v11 3 XTM Web UI UserGuide (Es-419)

Fireware XTMWeb UI v11.
3 Gua del Usuario
Fireware XTM
Web UI
v11.3 Gua del Usuario
WatchGuard XTMDevices
Firebox XPeak e-Series
Firebox XCore e-Series
Firebox XEdge e-Series
Acerca de esta Gua del usuario
La Gua del usuario de la interfaz de usuario web del Fireware XTM se actualiza con cada lanzamiento de
producto importante. Para lanzamientos de productos menores, slo se actualiza el sistema de Ayuda de la
interfaz de usuario web del Fireware XTM. El sistema de Ayuda tambin incluye ejemplos de
implementacin especficos, basados en tareas que no estn disponibles en la Gua del usuario.
Para acceder a la documentacin del producto ms reciente, consulte la Ayuda de la interfaz de usuario
web del Fireware XTM en el sitio web de WatchGuard en:
http://www.watchguard.com/help/documentation/.
La informacin de esta gua est sujeta a cambios sin previo aviso. Las empresas, los nombres y los datos
utilizados en los ejemplos de este documento son ficticios, salvo indicacin en contrario. Ninguna parte de
esta gua podr reproducirse ni transmitirse en ninguna forma y por ningn medio, electrnico o mecnico,
para ningn propsito, sin el consentimiento expreso por escrito de WatchGuard Technologies, Inc.
Gua revisada: 15 de julio de 2010
Informacin sobre copyright, marcas comerciales y patentes

Copyright 19982010 WatchGuard Technologies, Inc. Todos los derechos reservados. Todas las marcas o
nombres comerciales mencionados en el presente, si los hubiere, son propiedad de sus respectivos
dueos.
En la Gua de copyright y licencias podr encontrar informacin completa sobre copyright, marcas
comerciales, patentes y licencias. Puede consultar este documento en el sitio web:
Nota Este producto es slo para uso interno.
Acerca de WatchGuard
WatchGuard ofrece soluciones de seguridad de contenido y red todo
en uno a un precio accesible, las cuales ofrecen proteccin en
profundidad y ayudan a satisfacer los requisitos de cumplimiento Direccin
reglamentarios. La lnea WatchGuard XTM combina firewall, VPN,
505 Fifth Avenue South
GAV, IPS, bloqueo de spam y filtrado de URL para proteger su red de
Suite 500
spam, virus, malware e intrusiones. La nueva lnea XCS ofrece
Seattle, WA 98104
seguridad para contenido web y correo electrnico combinada con
prevencin de prdida de datos. Las soluciones extensibles de Soporte
WatchGuard se adaptan para ofrecer seguridad en la medida justa, www.watchguard.com/support
desde pequeas empresas hasta empresas con ms de 10,000 EE.UU. y Canad +877.232.3531
empleados. WatchGuard crea dispositivos de seguridad simples, Todos los dems pases +1.206.521.3575
confiables y slidos que incluyen rpida implementacin,
Ventas
administracin integral y herramientas para la presentacin de
informes. Empresas del mundo entero confan en nuestras exclusivas EE.UU. y Canad +1.800.734.9905
cajas rojas para maximizar la seguridad sin sacrificar la eficiencia y la Todos los dems pases +1.206.613.0895
productividad.
Para obtener ms informacin, comunquese al 206.613.6600 o visite
www.watchguard.com.
ii Fireware XTMWeb UI
ndice
Introduccin a la seguridad de red 1
Acerca de redes y seguridad de red 1
Acerca de las conexiones a Internet 1
Acerca de los Protocolos 2
Acerca de las Direcciones IP 3
Direcciones privadas y puertas de enlace 3
Acerca de las mscaras de subred 3
Acerca de las Notacin diagonal 3
Acerca del ingreso de Direcciones IP 4
estticas y dinmicas Direcciones IP 4
Acerca de las DNS (sistema de domain name) 5
Acerca de firewall 6
Acerca de servicios y polticas 7
Acerca de puertos 8
El dispositivo WatchGuard y la red 8
Introduccin a Fireware XTM 11
Introduccin a Fireware XTM 11
Componentes de Fireware XTM 12
el WatchGuard System Manager 12
WatchGuard Server Center 13
Fireware XTM Web UI e interfaz de la lnea de comandos 14
Fireware XTMcon Actualizacin Pro 14
Servicio y soporte 17
Acerca de las Soporte de WatchGuard 17
LiveSecurity Service 17
LiveSecurity Service Gold 18
Expiracin del servicio 19
Introduccin 21
Antes de empezar 21
Verificar componentes bsicos 21
Gua del Usuario iii

Obtener tecla de funcin del dispositivo WatchGuard 21
Recoger direcciones de red 22
Seleccione un modo configuracin de firewall 23
Acerca del Quick Setup Wizard 24
Ejecutar el Web Setup Wizard 24
Conctese al Fireware XTM Web UI 28
Conectarse a la Fireware XTM Web UI desde una red externa 29
Acerca del Fireware XTMWeb UI 30
Seleccione el idioma de Fireware XTM Web UI 31
Limitaciones de la Fireware XTM Web UI 31
Concluya su instalacin 32
Personalizar su poltica de seguridad 33
Acerca de las LiveSecurity Service 33
Temas adicionales de instalacin 33
Conctese a un Firebox con Firefox v3 33
Identificar sus configuraciones de red 35
Configure su equipo para conectarse a su dispositivo WatchGuard 37
Desactive el proxy de HTTP en el explorador 39
Informacin bsica sobre configuracin y administracin 41
Acerca de las tareas bsicas de configuracin y administracin 41
Hacer una copia de seguridad de la imagen de Firebox 41
Restaurar imagen de copia de seguridad de Firebox 42
Utilice una unidad USB para realizar copias de respaldo y restaurar el sistema 42
Acerca de la unidad USB 42
Guardar una imagen de respaldo en una unidad USB conectada 42
Restaurar una imagen de respaldo desde una unidad USB conectada 43
Restaurar automticamente una imagen de respaldo desde un dispositivo USB 44
Estructura del directorio de la unidad USB 46
Guardar una imagen de respaldo en una unidad USB conectada a su de administracin 46
Restablecer un dispositivo Firebox o XTM a una configuracin anterior o nueva 48
Iniciar un dispositivo Firebox o XTM en modo seguro 48
iv Fireware XTMWeb UI
Restablecer un dispositivo Firebox X Edge e-Series o WatchGuard XTM 2 Series a las
configuraciones predeterminadas de fbrica 49
Ejecutar el Quick Setup Wizard 49
Acerca de las configuraciones predeterminadas de fbrica 49
Acerca de las teclas de funcin 51
Cuando compra una nueva funcin 51
Ver las funciones disponibles con la actual tecla de funcin 51
Obtener una tecla de funcin junto a LiveSecurity 52
Agregar una tecla de funcin a su Firebox 54
Reiniciar su Firebox 56
Reiniciar Firebox de modo local 57
Reiniciar Firebox de modo remoto 57
Activar NTP y agregar servidores NTP 57
Definir la zona horaria y las propiedades bsicas del dispositivo 58
Acerca del SNMP 59
Sondeos y capturas SNMP 60
Acerca de las Bases de Informacin de Administracin (MIBs) 60
Activar Sondeo de SNMP 61
Activar Capturas y estaciones de administracin de SNMP 62
Acerca de las frases de contrasea, claves de cifrado y claves compartidas de WatchGuard 64
Crear una contrasea, una clave de cifrado o una clave compartida segura 64
Frases de contrasea de Firebox 64
Frases de contrasea de usuario 65
Frases de contrasea del servidor 65
Claves de cifrado y claves compartidas 66
Alterar frases de contrasea de Firebox 66
Defina las configuraciones globales del Firebox 67
Defina las configuraciones globales de administracin de errores ICMP 68
Habilitar la comprobacin TCP SYN 69
Definir las configuraciones globales de ajuste de tamao mximo del segmento TCP 70
Activar o desactivar la administracin de trfico y QoS 70
Cambiar el puerto Web UI 70
Gua del Usuario v

Reinicio automtico 70
Consola externa 71
Acerca de los servidores WatchGuard System Manager 71
Administrar un Firebox desde una ubicacin remota 72
Configurar un Firebox como un dispositivo administrado 74
Editar la poltica WatchGuard 74
Configurar Dispositivo Administrado 76
Actualizar para una nueva versin del Fireware XTM 77
Instalar la actualizacin en su equipo administrado 77
Actualizar el Firebox 78
Descargue el archivo de configuracin 78
Configuracin de red 79
Acerca de las configuracin de interfaz de red 79
Modos de red 79
Tipos de interfaz 80
Acerca de las interfaces de red en el Edge e-Series 81
Modo de enrutamiento combinado 82
Configurar una interfaz externa 82
Configurar el DHCP en modo de enrutamiento mixto 86
Pgina Acerca de Servicio DNS dinmico 88
Configurar DNS dinmico 88
Acerca de la configuracin de red en modo directo 89
Utilizar modo directo para la configuracin de la interfaz de red 90
Configurar host relacionados 90
Configurar DHCP en modo directo 91
Modo Bridge 94
Configuraciones de interfaz comunes 95
Desactivar una interfaz 96
Configurar retransmisin de DHCP 97
Restringir el trfico de red mediante la direccin MAC 97
Agregar servidores WINS y Direcciones del servidor DNS 98
Configurar una secondary network 99
vi Fireware XTMWeb UI
Acerca de la Configuraciones de interfaz 100
Configuracin de tarjeta de interfaz de red (NIC) 101
Determinar No fragmentar bit IPSec 102
Configuracin de la ruta de unidad de transmisin mxima (PMTU) para IPSec 103
Usar vnculo de direccin MAC esttico 103
Buscar la direccin MAC de una computadora 104
Acerca de los puentes LAN 105
Crear una configuracin de puente de red. 105
Asignar una interfaz de red a un puente. 106
Acerca de 106
Agregue una ruta esttica 107
Acerca de redes virtuales de rea local (VLAN) 108
Requisitos y restricciones de la VLAN 108
Acerca de las etiquetado 109
Definir un nuevo (red de rea local virtual) 109
Asignar interfaces a (red de rea local virtual) 111
Ejemplos de configuracin de red 112
Ejemplo: Configurar dos VLAN con la misma interfaz 112
Use Firebox X Edge con el bridge inalmbrico 3G Extend 115
WAN mltiple 119
Acerca de usar mltiples interfaces externas 119
Requisitos y condiciones de WAN mltiple 119
WAN mltiple y DNS 120
Acerca de las opciones de WAN mltiple 120
Orden de operacin por turnos 120
Conmutacin por error 121
Desbordamiento en la interfaz 121
Tabla de enrutamiento 122
Mdem serie (solamente Firebox XEdge) 122
Configurar la opcin de operacin por turnos de WAN mltiple 122
Antes de empezar 122
Configurar interfaces 122
Gua del Usuario vii

Descubra cmo asignar pesos a interfaces 123
Configurar la opcin de conmutacin por error de WAN mltiple 124
Configurar WAN mltiple Opcin de desbordamiento en la interfaz 125
Configurar WAN mltiple opcin tabla de enrutamiento 126
Modo de tabla de enrutamiento y balance de carga 126
Acerca de la tabla de enrutamiento de Firebox 127
Cuando usar los mtodos de WAN mltiple y enrutamiento 127
Conmutacin por error de mdem serie 128
Activar conmutacin por error de mdem serial 128
Configuraciones de la cuenta 129
Configuraciones de DNS 129
Configuracin de marcado 130
Configuraciones avanzadas 131
Configuracin de "Monitor de enlace" 131
Acerca de la configuracin avanzada de WAN mltiple 132
Define una duracin de Sticky Connection global 133
Definir accin de failback 133
Acerca del Estado de la interfaz de WAN 134
Tiempo necesario para que el Firebox actualice su tabla de enrutamiento 134
Definir un host de monitor de enlace 134
Traduccin de direccin de red (NAT) 137
Acerca de la Traduccin de direccin de red (NAT) 137
Tipos de NAT 137
Acerca de la dinmica basada en polticas 138
Agregar firewall a entradas de NAT dinmicas 138
Configurar NAT dinmica basada en polticas 141
viii Fireware XTMWeb UI

Acerca de las 1-to-1 NAT 142
Acerca de 1-to-1 NAT y VPN 143
Configurar el firewall 1-to-1 NAT 144
Configurar basado en polticas 1-to-1 NAT 147
Configurar el bucle invertido de NAT con NAT esttica 148
Agregar una poltica para bucle invertido de NAT al servidor 148
Bucle invertido de NAT y 1-to-1 NAT 150
Acerca de la NAT esttica 153
Configurar Balance de carga en el servidor 154
Ejemplos de NAT 157
Ejemplo de 1-to-1 NAT 157
Configuracin inalmbrica 159
Acerca de la configuracin inalmbrica 159
Acerca de las configuracin del punto de acceso inalmbrico 160
Acerca de configuraciones 161
Activar/desactivar Broadcasts de SSID 163
Cambiar la SSID 163
Registro eventos de autenticacin 163
Cambiar la umbral de fragmentacin 163
Cambiar la Umbral de RTS 165
Acerca de configuraciones de seguridad 166
Definir inalmbricos mtodo de autenticacin 166
Definir nivel de cifrado 167
Habilitar conexiones inalmbricas a la red opcional o de confianza 167
Activar una red inalmbrica para invitados 170
Activar un hotspot inalmbrico 173
Establecer la configuracin del tiempo de espera 174
Personalizar la pantalla de presentacin del hotspot 174
Conctese a un hotspot inalmbrico 176
Consulte Conexiones hotspot inalmbricas 177
Configurar la interfaz externa como interfaz inalmbrica 178
Gua del Usuario ix

Configurar la interfaz externa principal como interfaz inalmbrica 178
Configurar un tnel BOVPN para seguridad adicional 181
Acerca de configuraciones de radio en Firebox XEdge e-Series inalmbrico 181
Configurar la regin operativa y el canal 182
Definir modo de operacin inalmbrica 183
Acerca de las configuraciones de radio inalmbrico en el dispositivo inalmbrico WatchGuard

XTM2 Series 183
El pas se configura automticamente 184
Seleccionar el modo de banda y el modo inalmbrico 185
Seleccionar el canal 186
Configurar la de red invitada inalmbrica en su computadora 186
Dynamic Routing 187
Acerca de dynamic routing 187
Acerca de archivos de configuracin de demonio de enrutamiento. 187
Acerca del Protocolo de Informacin de Enrutamiento (RIP) 188
Comandos del Protocolo de Informacin de Enrutamiento (RIP) 188
Configurar el Firebox para usar RIP v1 190
Configurar el Firebox para usar RIP v2 191
Muestra de archivo de configuracin del enrutamiento RIP 192
Acerca del Protocolo "Abrir Camino Ms Curto Primero" (OSPF) 194
Comandos de OSPF 194
Tabla de Costo de Interfaz de OSPF 197
Configurar el Firebox para usar OSPF 198
Muestra de archivo de configuracin del enrutamiento OSPF 199
Acerca del Border Gateway Protocol (BGP) 201
Comandos BGP 202
Configurar el Firebox para usar el BGP 204
Muestra de archivo de configuracin del enrutamiento BGP 206
Autenticacin 209
Acerca de la autenticacin de usuario 209
Usuario pasos de autenticacin 210
Administrar usuarios autenticados 211
x Fireware XTMWeb UI
Use la autenticacin para restringir el trfico entrante 212
Use la autenticacin a travs de un Firebox de puerta de enlace 212
Definir valores de autenticacin global 212
Definir tiempos de espera de autenticacin 213
Permitir mltiples inicios de sesin concomitantes 214
Limitar sesiones de inicio 214
Direccionar usuarios automticamente al portal de inicio de sesin 215
Usar una pgina de inicio predeterminada personalizada 216
Definir tiempos de espera de Sesin de Administracin 216
Acerca de la poltica de Autenticacin de WatchGuard (WG-Autoriz) 216
Acerca de Single Sign-On (SSO) 217
Configurar SSO 218
Instalar el agente de Single Sign-On (SSO) de WatchGuard 218
Instale el cliente de Single Sign-On (SSO) de WatchGuard 220
Activar Single Sign-On (SSO) 220
Tipos de servidores de autenticacin 222
Acerca de la utilizacin de servidores de autenticacin de terceros 222
Use un servidor de autenticacin de resguardo 222
Configure su Firebox como servidor de autenticacin 223
Tipos de autenticacin de Firebox 223
Definir un nuevo usuario para autenticacin en Firebox 225
Definir un nuevo grupo para autenticacin de Firebox 227
Configurar autenticacin de servidor RADIUS 227
Clave de autenticacin 228
Losmtodos de autenticacin de RADIUS 228
Usar la autenticacin por servidor RADIUS con su dispositivo WatchGuard 228
Como la autenticacin del servidor RADIUS funciona 230
Configurado autenticacin de servidor VASCO 233
Configurar autenticacin SecurID 234
Configurar autenticacin LDAP 236
Gua del Usuario xi

Acerca de las configuraciones opcionales de LDAP 238
Configurar autenticacin en Active Directory 239
Sobre la configuracin opcional del Active Directory 241
Encuentre su base de bsqueda del Active Directory 241
Alterar el puerto predeterminado de Active Directory Server 242
Usar las configuraciones opciones de Active Directory o de LDAP 243
Especificar Configuraciones opcionales de LDAP o Active Directory 243
Use una cuenta de usuario local para autenticacin 247
Use los usuarios y grupos autorizados en polticas 248
Polticas 251
Acerca de polticas 251
Polticas de filtro de paquetes y proxy 251
Acerca de cmo agregar polticas a Firebox 252
Acerca de la pgina de polticas de Firewall o VPN mvil 253
Agregar polticas en la configuracin 254
Agregar una poltica de la lista de plantillas 255
Desactivar o eliminar una poltica 256
Acerca de los alias 257
Miembros de alias 257
Crear un alias 258
Acerca de la precedencia de polticas 260
Orden de polticas automtico 260
Especificidad de la poltica y protocolos 260
Reglas de trfico 261
Acciones de firewall 261
Cronogramas 261
Nombres y tipos de polticas 262
Determinar precedencia manualmente 262
Crear Cronogramas para acciones de Firebox 262
Establecer un cronograma operativo 263
Acerca de las Polticas personalizadas 263
xii Fireware XTMWeb UI

Cree o edite una plantilla de poltica personalizada. 264
Acerca de propiedades de polticas 265
Pestaa Poltica 266
Pestaa Propiedades 266
Pestaa Avanzada 266
Configuraciones de proxy 266
Definir reglas de acceso a una poltica 267
Configurar el enrutamiento basado en la poltica 269
Configurar un tiempo de espera inactivo personalizado 270
Determinar Administracin de errores ICMP 271
Aplicar reglas NAT 271
Defina la duracin de sticky connection para una poltica 272
Configuraciones de proxy 273
Acerca de las polticas de proxy y ALG 273
Configuracin de proxy 273
Acerca de las configuraciones de Application Blocker 274
Configurar el Application Blocker 275
Acerca de Skype y el Application Blocker 276
Agregar una poltica de proxy a la configuracin 277
Acerca de las acciones de proxy 279
Configurar la accin de proxy 279
Editar, eliminar o clonar acciones de proxy 279
Acerca de acciones de proxy definidas por el usuario y predefinidas Acciones de proxy 280
Acerca del DNS proxy 280
Proxy DNS: Contenido 281
Proxy DNS: Configuracin 282
Pgina Acerca de Proxy FTP 284
Pestaa Poltica 284
Pestaa Avanzada 285
Pestaas Configuracin y Contenido 285
FTP DNS: Contenido 285
Gua del Usuario xiii

Proxy FTP: Configuracin 286
Pgina Acerca de ALG H.323 287
ALG H.323: Contenido 289
ALG H.323: Configuracin 291
Pgina Acerca de Proxy HTTP 292
Pestaa Poltica 293
Pestaa Avanzada 294
Pestaas Configuracin, Contenido y Application Blocker 294
Permitir actualizaciones de Windows a travs del proxy HTTP 294
Proxy HTTP: Pestaa Contenido 295
Proxy HTTP: Pestaa Configuracin 298
Proxy HTTP: Application Blocker 300
Pgina Acerca de Proxy HTTPS 301
Pestaa Poltica 301
Pestaa Avanzada 302
Proxy deHTTPS:Contenido 302
Proxy HTTPS: Configuracin 304
Pgina Acerca de Proxy POP3 305
Pestaa Poltica 306
Pestaa Avanzada 306
Proxy POP3: Contenido 307
Proxy POP3: Configuracin 308
Pgina Acerca de Proxy SIP 309
SIP ALG: Contenido 311
SIP ALG: Configuracin 313
Pgina Acerca de Proxy SMTP 314
Pestaa Poltica 314
xiv Fireware XTMWeb UI

Pestaa Avanzada 315
Pestaas Configuracin, Direccin y Contenido 315
Proxy SMTP: Direccin 315
Proxy SMTP: Contenido 316
Proxy SMTP: Configuracin 318
Configure el proxy SMTP para colocar mensajes de correo electrnico en cuarentena 319
Pgina Acerca de Proxy de TCP-UDP 319
Pestaa Poltica 319
Pestaa Avanzada 320
Proxy de TCP-UDP: Contenido 320
Proxy de TCP-UDP: Configuracin 320
Administracin de trfico y QoS 323
Acerca de las Administracin de trfico y QoS 323
Activar administracin de trfico y QoS 323
Garantice ancho de banda 324
Restrinja el ancho de banda 325
Marcado QoS 325
Prioridad de trfico 325
Configurar el ancho de banda de interfaz saliente 325
Configure los lmites de la tasa de conexin 326
Acerca de las Marcado QoS 327
Marcado QoSpara interfaces y polticas 327
Marcado QoS y trfico IPSec 327
Marcado: tipos y valores 328
Activar marcado QoS para una interfaz 329
Activar el marcado QoS o configuraciones de priorizacin para una poltica 330
Control de trfico y definiciones de polticas 332
Definir un Accin de administracin de trfico 332
Gua del Usuario xv

Agregar una Accin de administracin de trfico a una poltica 334
Default Threat Protection 335
Acerca de la Default Threat Protection 335
Acerca de las opciones de administracin predeterminada de paquetes 335
Acerca de los ataques de suplantacin de paquetes 337
Acerca de los Ataques de ruta de origen de IP IP 337
Acerca de las pruebas de espacio de direccin y espacio del puerto 338
Acerca de los ataques de congestin del servidor 340
Acerca de los paquetes no controlados 342
Acerca de ataques de negacin de servicio distribuidos 343
Acerca de los sitios bloqueados 343
Sitios permanentemente bloqueados 344
Lista de Sitios de bloqueo automtico/Sitios temporalmente bloqueados 344
Ver y editar los sitios en la lista de Sitios Bloqueados 344
Bloquear un sitio permanentemente 344
Crear Excepciones sitios bloqueados 345
Bloquear sitios temporalmente con configuracin de polticas 346
Cambiar la duracin de los sitios que son bloqueados automticamente 347
Acerca de los puertos bloqueados 347
Puertos bloqueados predeterminados 348
Bloquear un puerto 349
Registro y Notificacin 351
Acerca de la generacin de registros y archivos de registro 351
Log Servers 351
Syslog de estado del sistema 352
Generacin de registros y notificacin en aplicaciones y servidores 352
Acerca de las mensajes de registro 352
Tipos de mensajes de registro 352
Enviar mensajes de registro al WatchGuard Log Server 353
Agregar, editar o alterar la prioridad de Log Servers 354
Enviar informacin de registro a un host de Syslog 355
Configurar Registros 356
xvi Fireware XTMWeb UI

Defina el nivel de registro de diagnstico 357
Configurar registros y notificacin para una poltica 359
Determinar preferencias de registro y notificacin 360
Use el Syslog para ver los datos de mensaje de registro 361
Ver, Ordenar y Filtrar datos de mensaje de registro 361
Actualizar datos de mensaje de registro 363
Monitorear su Firebox 365
Monitorear su Firebox 365
El Panel de control 365
Pginas Estado del sistema 367
Tabla ARP 368
Autenticaciones 369
Medidor de ancho de banda 370
Estado de sitios bloqueados 370
Agregar o editar sitios bloqueados temporalmente 371
Suma de comprobacin 372
Conexiones 372
Lista de componentes 372
Uso de CPU 373
Concesiones de protocolo de configuracin dinmica de host (DHCP) 373
Diagnsticos 374
Ejecutar un comando de diagnstico bsico 374
Utilizar argumentos de comandos 374
DNS dinmico 375
Tecla de funcin 376
Cuando compra una nueva funcin 376
Ver las funciones disponibles con la actual tecla de funcin 376
Interfaces 377
LiveSecurity 378
Memoria 379
Lista de acceso saliente 379
Procesos 379
Gua del Usuario xvii

Rutas 380
Syslog 381
Administracin de trfico 381
Estadsticas de VPN 382
Estadsticas inalmbricas 383
Conexiones hotspot inalmbricas 384
Certificates 385
Acerca de los certificados 385
Usar mltiples certificados para determinar la confianza 385
Cmo el Firebox usa certificados 386
CRLs y caducidad de certificados 386
Solicitudes de firmas y autoridades de certificacin 387
Autoridades de Certificacin confiadas por Firebox 387
Ver y administrar Certificados de Firebox 393
Crear una CSR con el OpenSSL 395
Usar OpenSSL para generar una CSR 395
Firme un certificado con Microsoft CA 396
Emitir el certificado 396
Descargar el certificado 396
Usar Certificados para el proxy de HTTPS 397
Proteger un servidorHTTPS privado 397
Examinar contenido de los servidores HTTPS externos 398
Exportar el certificado de inspeccin de contenidoHTTPS 398
Importar los certificados en dispositivos clientes 399
Solucionar problemas con la inspeccin de contenidoHTTPS 399
Use certificados autenticados para el tnel VPN Mobile con IPSec 399
Usar un certificado para autenticacin del tnel BOVPN 400
Verificar el certificado con el FSM 401
Verificar los certificados de VPN con servidor de LDAP 401
Configure el certificado del servidor web para la autenticacin de Firebox 402
Importar un certificado en un dispositivo cliente 404
Importar un certificado en formatoPEM con el Windows XP 404
xviii Fireware XTMWeb UI

Importar un certificado en formatoPEM con el Windows Vista 404
Importar un certificado en formatoPEM con Mozilla Firefox 3.x 405
Importar un certificado en formatoPEM con el Mac OSX10.5 405
Redes Privada Virtual (VPN) 407
Introduccin a VPNs 407
Branch Office VPN (BOVPN) 407
Mobile VPN 408
Acerca de la VPNs de IPSec 408
Acerca de los algoritmos y protocolos de IPSec 408
Acerca de las negociaciones VPN de IPSec 410
Configuraciones de Fase 1 y Fase 2 412
Acerca de Mobile VPNs 413
Seleccione una Mobile VPN 413
Opciones de acceso a Internet para usuarios de Mobile VPN 415
Descripcin de configuracin de Mobile VPN 416
Tneles de BOVPN manuales 417
Lo que necesita para crear un BOVPN 417
Acerca de tneles BOVPN manuales 418
Lo que necesita para crear un VPN 418
Cmo crear un tnel BOVPN manual 419
Tneles de una direccin 419
Failover de VPN 419
Configuraciones de VPN Global 419
Estado del tnelBOVPN 420
Regenerar clave de tnelesBOVPN 420
Muestra cuadro de informacin de direccin de VPN 420
Definir puertas de enlace 421
Definir extremos de puerta de enlace 424
Configurar modo y transformaciones (Configuraciones de la Fase 1) 426
Editar y eliminar puertas de enlace 430
Desactivar inicio automtico de tnel 430
Si su Firebox est detrs de un dispositivo que hace NAT 430
Gua del Usuario xix

Establezca tneles entre los extremos de puertas de enlace 431
Definir un tnel 431
Agregar rutas para un tnel 434
Configuraciones de Fase 2 434
Agregar una Propuesta de Fase 2 436
Cambiar el orden de tneles 438
Acerca de las configuraciones de VPN Global 438
Activar puerto de transferencia IPSec 439
Activar TOS para IPSec 439
Activar servidor LDAP para verificacin de certificado 440
Usar 1-to-1 NAT a travs de un tnel BOVPN 440
1-to-1 NAT y VPNs 440
Otras razones por las cuales usar una 1-to-1 NAT por una VPN 441
Alternativa al uso de NAT 441
Cmo configurar la VPN 441
Ejemplo 442
Configurar el tnel local 442
Configurar el tnel remoto 445
Definir una ruta para todo el trfico hacia Internet 447
Configurar el tnel BOVPN en el Firebox remoto 447
Configurar el tnel BOVPN en el Firebox central 448
Agregar una entrada de NAT dinmica en el Firebox central 449
Activar enrutamiento de multidifusin a travs de un tnel BOVPN 450
Activar un dispositivo WatchGuard para enviar trfico de multidifusin a travs de un tnel 451
Active el otro dispositivo WatchGuard para recibir trfico de multidifusin a travs de un tnel
453
Activar el enrutamiento de difusin a travs de un tnel BOVPN 453
Activar el enrutamiento de difusin para el Firebox local 454
Configurar enrutamiento de difusin para el Firebox en el otro extremo del tnel 455
Configurar Failover de VPN 456
Definir mltiples pares de puertas de enlace 456
Vea Estadsticas de VPN 458
xx Fireware XTMWeb UI
Regenerar clave de tneles BOVPN 458
Preguntas relacionadas 459
Por qu necesito una direccin externa esttica? 459
Cmo obtengo una direccin IP externa esttica? 459
Cmo soluciono problemas de la conexin? 459
Por qu el ping no est funcionando? 459
Cmo configuro ms que el nmero de tneles VPN permitido en mi Edge? 460
Mejorar la disponibilidad del tnel BOVPN 460
Mobile VPN con PPTP 465
Acerca del Mobile VPN con PPTP 465
Requisitos de Mobile VPN con PPTP 465
Niveles de cifrado 466
Configurar Mobile VPN with PPTP 466
Autenticacin 467
Configuraciones de cifrado 468
Agregar al conjunto de direcciones IP 468
Configuraciones de pestaas avanzadas 469
Configurar servidores WINS y DNS 470
Agregar nuevos usuarios al grupo de usuarios de PPTP 471
Configurar polticas para permitir el trfico de Mobile VPN con PPTP 473
Configurar polticas para permitir el trfico de Mobile VPN con PPTP 474
Permitir a los usuarios de PPTP acceder a una red de confianza 474
Usar otros grupos o usuarios en una poltica de PPTP 475
Opciones de acceso a Internet a travs de un tnel de Mobile VPN con PPTP 475
VPN de ruta predeterminada 475
Dividir VPN de tnel 476
Configuracin de VPN de ruta predeterminada para Mobile VPN with PPTP 476
Configuracin de VPN de tnel dividido para Mobile VPN with PPTP 476
Preparar computadoras cliente para PPTP 477
Preparar una computadora cliente con Windows NT o 2000: Instalar MSDUN y los paquetes de
servicio 477
Crear y conectar una Mobile VPN with PPTP para Windows Vista 478
Gua del Usuario xxi

Cree y conecte una Mobile VPN with PPTP para Windows XP 479
Cree y conecte una Mobile VPN with PPTP para Windows 2000 480
Realizar conexiones PPTP salientes desde detrs de un Firebox 480
Mobile VPN con IPSec 481
Acerca del Mobile VPN con IPSec 481
Configurar una conexin de Mobile VPN con IPSec 481
Requisitos del sistema 482
Opciones de acceso a Internet a travs de un tnel de Mobile VPN con IPSec 482
Acerca de archivos de configuracin de cliente MobileVPN 483
Configurar el Firebox para Mobile VPN with IPSec 483
Agregar usuarios a un grupo de Mobile VPN de Firebox 491
Modificar un perfil de grupo existente de Mobile VPN con IPSec 493
Configurado servidores WINS y DNS. 505
Bloquear un perfil del usuario final 506
Archivos de configuracin de Mobile VPN con IPSec 507
Configurar polticas para filtrar trfico de Mobile VPN 507
Distribuir el software y los perfiles 508
Tpicos adicionales de Mobile VPN 509
Configurar Mobile VPN with IPSec para una direccin IP dinmica 510
Pgina Acerca de cliente Mobile VPNwith IPSec 512
Requisitos del cliente 512
Instalar el software cliente de Mobile VPN con IPSec 512
Conecte y desconecte el cliente Mobile VPN 515
Vea los mensajes de registro del Mobile VPN 517
Proteger su equipo con el firewall de Mobile VPN 517
Instrucciones de usuario final para la instalacin del cliente VPN Mobile con IPSec de
WatchGuard 526
Configuracin del Mobile VPN para Windows Mobile 531
Los requisitos del cliente Mobile VPN WM Configurator y de IPSec de Windows Mobile 531
Instalar el software Mobile VPN WM Configurator 532
Seleccione un certificado e ingrese el PIN 533
Importar un perfil del usuario final 533
xxii Fireware XTMWeb UI

Instale el software cliente del Windows Mobile en el dispositivo Windows Mobile 534
Cargar el perfil de usuario final en el dispositivo Windows Mobile 535
Conecte y desconecte el Cliente Mobile VPN para Windows Mobile 537
Proteger su dispositivo Windows Mobile con el firewall de Mobile VPN 540
Detener el WatchGuard Mobile VPN Service 540
Desinstalar el Configurator, Service y Monitor 541
Mobile VPN con SSL 543
Acerca del Mobile VPN con SSL 543
Configurar el dispositivo Firebox o XTM para Mobile VPN with SSL 543
Realizar configuraciones de autenticacin y conexin 544
Realice las configuraciones de Red y Conjunto de direcciones IP 544
Realizar configuraciones avanzadas para Mobile VPN with SSL 547
Configurar la autenticacin de usuario para Mobile VPN with SSL 549
Configurar polticas para controlar el acceso de clientes de Mobile VPN con SSL 549
Elegir un puerto y protocolo para Mobile VPN with SSL 550
Opciones de acceso a Internet a travs de un tnel de Mobile VPN con SSL 551
Determinacin del nombre para Mobile VPN with SSL 552
Instalar y conectar el cliente de Mobile VPN con SSL 554
Requisitos de la computadora cliente 555
Descargar el software cliente 555
Desinstalar el software cliente 556
Conectarse a su red privada 556
Controles del cliente de Mobile VPN con SSL 557
Se debe distribuir e instalar en forma manual el software cliente de Mobile VPN con SSL y el
archivo de configuracin 558
Desinstale el cliente de Mobile VPN con SSL. 559
WebBlocker 561
Acerca de las WebBlocker 561
Configurar un WebBlocker Server local 562
Activacin de WebBlocker 562
Cree perfiles de WebBlocker 562
Gua del Usuario xxiii

Activar anulacin local 566
Seleccione categoras para bloquear 566
Utilice el perfil de WebBlocker con servidores proxy HTTP y HTTPS 567
Agregar excepciones de WebBlocker 568
Usar anulacin local de WebBlocker 568
Acerca de las Categoras de WebBlocker 569
Consultar si un sitio est categorizado 570
Agregar, eliminar o cambiar una categora 571
Acerca de las Excepciones de WebBlocker 572
Defina la accin para las sitios que no tienen coincidencias Excepciones 572
Componentes de las reglas de excepcin 572
Excepciones con parte de una URL 572
Agregar WebBlocker Excepciones 573
Renovar suscripciones de seguridad 575
Acerca del vencimiento de los servicios de suscripcin de WebBlocker 575
spamBlocker 577
Acerca de las spamBlocker 577
Requisitos de spamBlocker 579
Acciones, etiquetas y categoras de spamBlocker 581
Configurado spamBlocker 583
Acerca de las Excepciones de spamBlocker 587
Configurar acciones de Virus Outbreak Detection para una poltica 593
Configure spamBlocker para colocar mensajes de correo electrnico en cuarentena 595
Acerca de la utilizacin spamBlocker con servidores proxy mltiples 597
Configure los parmetros globales de spamBlocker 597
Utilice un servidor proxy HTTP para spamBlocker 599
Agregar reenviadores de correo electrnico de confianza para mejorar la precisin de

calificacin del spam 600
Active y configure los parmetros de la Virus Outbreak Detection (VOD) 601
Acerca de spamBlocker y los lmites de escaneo de la VOD 602
Cree reglas para su lector de correo electrnico 602
Enviar correos electrnicos spam o masivos a carpetas especiales en Outlook 603
xxiv Fireware XTMWeb UI

Enviar un informe acerca de falsos positivos o falsos negativos 604
Utilice el registro RefID en lugar de un mensaje de texto 605
Buscar la categora a la cual est asignado un mensaje 605
La Defensa de reputacin activada 607
Acerca de la Defensa de reputacin activada 607
Umbrales de reputacin 607
Calificaciones de reputacin 608
Comentario sobre la Defensa de reputacin activada 608
Configurar la Defensa de reputacin activada 608
Configurar la Defensa de reputacin activada para una accin de proxy 609
Configurar los umbrales de reputacin 610
Enviar los resultados de escaneo del Gateway Antivirus a WatchGuard 611
Gateway AntiVirus e Intrusion Prevention 613
Acerca de las Gateway AntiVirus y prevencin de intrusiones 613
Instale y actualice el Gateway AntiVirus/IPS 614
Acerca del Gateway AntiVirus/la Intrusion Prevention y las polticas de proxy 614
Configurar el servicio del Gateway AntiVirus 615
Configure el servicio del Gateway AntiVirus 615
Configurar acciones del Gateway AntiVirus 616
Configurado Gateway AntiVirus a colocar mensajes de correo electrnico en cuarentena 619
Acerca de los lmites de escaneo del Gateway AntiVirus 620
Actualice la configuracin del Gateway AntiVirus/IPS 620
Si utiliza un cliente antivirus de terceros 621
Establezca la configuracin de descompresin del Gateway AntiVirus 621
Configurar el servidor de actualizacin del Gateway AntiVirus/IPS 622
Ver estado de servicios de suscripcin y actualizar firmas manualmente 623
Configurar el Intrusion Prevention Service 624
Configurar el Intrusion Prevention Service 625
Configurar acciones del IPS 627
Establezca la configuracin del IPS 631
Gua del Usuario xxv

Configurado excepciones de firma 633
Quarantine Server 635
Pgina Acerca de Quarantine Server 635
Configure Firebox para que ponga correos electrnicos en cuarentena 636
Definir la ubicacin del Quarantine Server en Firebox 636
xxvi Fireware XTMWeb UI

1 Introduccin a la seguridad de red
Acerca de redes y seguridad de red

Una red es un grupo de equipos y otros dispositivos que se conectan entre s. Puede tratarse de dos equipos
en la misma habitacin, decenas de equipos en una organizacin o muchos equipos en el mundo entero
conectados a travs de Internet. Los equipos en la misma red pueden trabajar juntos y compartir datos.
Aunque las redes como Internet brindan acceso a una gran cantidad de informacin y oportunidades
comerciales, tambin pueden exponer la red a atacantes. Muchas personas creen que sus equipos no
guardan informacin importante o que un hacker no estar interesado en sus equipos. Se equivocan. Un
hacker puede utilizar su equipo como plataforma para atacar a otros equipos o redes. La informacin de su
organizacin, incluida la informacin personal acerca de usuarios, empleados o clientes, tambin es valiosa
para los hackers.
El dispositivo WatchGuard y la suscripcin a LiveSecurity pueden ayudar a prevenir estos ataques. Una
buena poltica de seguridad de red o un conjunto de reglas de acceso para usuarios y recursos, tambin
pueden ayudar a detectar y prevenir ataques a su equipo o red. Recomendamos configurar el Firebox para
que coincida con la poltica de seguridad y considerar las amenazas tanto internas como externas de la
organizacin.
Acerca de las conexiones a Internet

Los ISP (proveedores de servicio de Internet) son empresas que ofrecen acceso a Internet a travs de
conexiones de red. La velocidad con la cual una conexin de red puede enviar datos se conoce como
ancho de banda: por ejemplo, 3 megabits por segundo (Mbps).
Una conexin a Internet de alta velocidad, como mdem por cable o DSL (lnea de suscriptor digital), se
conoce como conexin de banda ancha. Las conexiones de banda ancha son mucho ms rpidas que las
conexiones telefnicas. El ancho de banda de una conexin telefnica es inferior a .1 Mbps, mientras que
una conexin de mdem por cable puede ser de 5 Mbps o ms.
Gua del Usuario 1

Introduccin a la seguridad de red
Las velocidades tpicas para los mdem por cable en general son inferiores a las velocidades mximas,
porque cada equipo en un barrio es miembro de una LAN. Cada equipo en esa LAN usa parte del ancho de
banda. Debido a este sistema de medio compartido, las conexiones de mdem por cable pueden volverse
lentas cuando ms usuarios estn en la red.
Las conexiones DSL proveen ancho de banda constante, pero en general son ms lentas que las conexiones
de mdem por cable. Adems, el ancho de banda slo es constante entre el hogar u oficina y la oficina
central de DSL. La oficina central de DSL no puede garantizar una buena conexin a un sitio web o red.
Cmo viaja la informacin en Internet

Los datos que se envan por Internet se dividen en unidades o paquetes. Cada paquete incluye la direccin
de Internet del destino. Los paquetes que componen una conexin pueden usar diferentes rutas a travs
de Internet. Cuando todos llegan a destino, vuelven a agruparse en el orden original. Para asegurar que
todos los paquetes lleguen a destino, se agrega informacin de direccin a los paquetes.
Acerca de los Protocolos

Un protocolo es un conjunto de reglas que permiten a los equipos conectarse a travs de una red. Los
protocolos son la gramtica del lenguaje que utilizan los equipos cuando se comunican a travs de una red.
El protocolo estndar para conectarse a Internet es el IP (Protocolo de Internet). Este protocolo es el
lenguaje comn de los equipos en Internet.
Un protocolo tambin indica el modo en que los datos se envan a travs de una red. Los protocolos
utilizados con ms frecuencia son TCP (Protocolo de control de transmisin) y UDP (Protocolo de datagrama
de usuario). TCP/IP es el protocolo bsico utilizado por los equipos que se conectan a Internet.
Se deben conocer algunas de las configuraciones de TCP/IP cuando se configura el dispositivo WatchGuard.
Para obtener ms informacin sobre TCP/IP, consulte Buscar las propiedades TCP/IP en la pgina 36.
2 Fireware XTMWeb UI
Acerca de las Direcciones IP

Para realizar un envo postal comn a una persona, se debe conocer su direccin. Para que un equipo en
Internet enve datos a un equipo diferente, debe conocer la direccin de ese equipo. Una direccin de
equipo se conoce como direccin de protocolo de Internet (IP). Todos los dispositivos en Internet tienen
direcciones IP nicas, que permiten a otros dispositivos en Internet encontrarlos e interactuar con ellos.
Una direccin IP consta de cuatro octetos (secuencias de nmeros binarios de 8 bits) expresados en
formato decimal y separados por puntos. Cada nmero entre los puntos debe estar en el rango de 0 a 255.
Algunos ejemplos de direcciones IP son:
n 206.253.208.100
n 4.2.2.2
n 10.0.4.1
Direcciones privadas y puertas de enlace

Muchas empresas crean redes privadas que tienen su propio espacio de direccin. Las direcciones 10.x.x.x
y 192.168.x.x estn reservadas para direcciones IPprivadas. Los equipos en Internet no pueden usar estas
direcciones. Si su equipo est en una red privada, se conecta a Internet a travs de un dispositivo de puerta
de enlace que tiene una direccin IP pblica.
En general, la puerta de enlace predeterminada es un enrutador que se encuentra entre la red del usuario
e Internet. Despus de instalar el Firebox en la red, se convierte en la puerta de enlace predeterminada
para todos los equipos conectados a sus interfaces de confianza u opcionales.
Acerca de las mscaras de subred

Debido a cuestiones de seguridad y rendimiento, las redes a menudo se dividen en porciones ms
pequeas llamadas subred. Todos los dispositivos en una subred tienen direcciones IP similares. Por
ejemplo, todos los dispositivos que tienen direcciones IP cuyos tres primeros octetos son 50.50.50
pertenecen a la misma subred.
La subnet mask o mscara de red de una direccin IP de red es una serie de bits que enmascaran secciones
de la direccin IP que identifican qu partes de la direccin IP son para la red y qu partes son para el host.
Una puede escribirse del mismo modo que una direccin IP o en notacin diagonal o CIDR (enrutamiento
de interdominios sin clases).
Acerca de las Notacin diagonal

Firebox utiliza notacin diagonal para muchos fines, entre ellos la configuracin de polticas. La notacin
diagonal, conocida tambin como notacin CIDR (enrutamiento de interdominios sin clases), es un modo
compacto de mostrar o escribir una mscara de subred. Cuando se usa notacin diagonal, se escribe la
direccin IP, una barra diagonal hacia adelante (/) y el nmero de mscara de subred.
Para encontrar el nmero de mscara de subred el usuario debe:
1. Convertir la representacin decimal de la mscara de subred a una representacin binaria.

2. Contar cada "1" en la mscara de subred. El total es el nmero de mscara de subred.
Gua del Usuario 3

Por ejemplo, el usuario desea escribir la direccin IP 192.168.42.23 con una mscara de subred de
255.255.255.0 en notacin diagonal.
1. Convertir la mscara de subred a una representacin binaria.

En este ejemplo, la representacin binaria de 255.255.255.0 es:
11111111.11111111.11111111.00000000.
2. Contar cada "1" en la mscara de subred.
En este ejemplo, hay veinticuatro (24).
3. Escribir la direccin IP original, una barra diagonal hacia adelante (/) y luego el nmero del paso 2.
El resultado es 192.168.42.23/24.
La siguiente tabla muestra mscaras de red comunes y sus equivalentes en notacin diagonal.
Mscara de red Equivalente diagonal
255.0.0.0 /8
255.255.0.0 /16
255.255.255.0 /24
255.255.255.128 /25
255.255.255.192 /26
255.255.255.224 /27
255.255.255.240 /28
255.255.255.248 /29
255.255.255.252 /30
Acerca del ingreso de Direcciones IP

Cuando se ingresan direcciones IP en el Quick Setup Wizard o en cuadros de dilogo, se deben ingresar los
dgitos y decimales en la secuencia correcta. No se debe usar la tecla TAB, las teclas de flecha, la barra
espaciadora ni el mouse para colocar el cursor despus de los decimales.
Por ejemplo si ingresa la direccin IP 172.16.1.10, no ingrese un espacio despus de ingresar 16. No intente
colocar el cursor despus del decimal subsiguiente para ingresar 1. Ingrese un decimal directamente despus
de 16 y luego ingrese 1.10. Presione la tecla de barra inclinada (/) para desplazarse a la mscara de red.
estticas y dinmicas Direcciones IP

Los ISP (proveedores de servicios de Internet) asignan una direccin IP a cada dispositivo en la red. La
direccin IP puede ser esttica o dinmica.
Direcciones IP estticas
Una direccin IP esttica es una direccin IP que permanece siempre igual. Si tiene un servidor web, un
servidor FTP u otro recurso de Internet que debe tener una direccin que no puede cambiar, puede
obtener una direccin IP esttica de su ISP. Una direccin IP esttica generalmente es ms costosa que una
direccin IP dinmica. Algunos ISP no proveen direcciones IP estticas. La direccin IP esttica debe
configurarse en forma manual.
Direcciones IP dinmicas
Una direccin IP dinmica es una direccin IP que el ISP permite utilizar en forma temporal a un usuario. Si
una direccin dinmica no est en uso, puede ser asignada automticamente a un dispositivo diferente. Las
direcciones IP dinmicas se asignan a travs de DHCP o PPPoE.
Acerca de DHCP
El Protocolo de Configuracin Dinmica de Host (DHCP) es un protocolo de Internet que los equipos en red
utilizan para obtener direcciones IP y otra informacin como la puerta de enlace predeterminada. Cuando
el usuario se conecta a Internet, un equipo configurado como un servidor DHPC en el ISP le asigna
automticamente una direccin IP. Podra ser la misma direccin IP que tena anteriormente o podra ser
una nueva. Cuando se cierra una conexin a Internet que usa una direccin IP dinmica, el ISP puede
asignar esa direccin IP a un cliente diferente.
El dispositivo WatchGuard se puede configurar como servidor DHCP para las redes detrs del dispositivo. Se
asigna un rango de direcciones para que el servidor DHCP use.
Acerca de PPPoE
Algunos ISP asignan direcciones IP a travs del Protocolo punto a punto por Ethernet (PPPoE). PPPoE agrega
algunas de las funciones de Ethernet y del protocolo punto a punto (PPP) a una conexin de acceso
telefnico estndar. Este protocolo de red permite al ISP utilizar los sistemas de facturacin, autenticacin y
seguridad de su infraestructura telefnica con productos DSL de mdem y de mdem por cable.
Acerca de las DNS (sistema de domain name)

Con frecuencia se puede encontrar la direccin de una persona desconocida en el directorio telefnico. En
Internet, el equivalente a un directorio telefnico es el DNS(sistema de domain name). El DNS es una red
de servidores que traducen direcciones IP numricas en direcciones de Internet legibles y viceversa. El
DNS toma el domain name amistoso que el usuario ingresa cuando desea ver un sitio web particular, como
www.example.com y encuentra la direccin IP equivalente, como 50.50.50.1. Los dispositivos de red
necesitan la direccin IP real para encontrar el sitio web, pero para los usuarios es mucho ms fcil
ingresar y recordar los domain names que las direcciones IP.
Un servidor DNS es un servidor que realiza esta traduccin. Muchas organizaciones tienen un servidor DNS
privado en su red que responde a solicitudes de DNS. Tambin se puede usar un servidor DNS en la red
externa, como un servidor DNS proporcionado por el ISP (proveedor de servicios de Internet).
Gua del Usuario 5

Acerca de firewall
Un dispositivo de seguridad de red, como un firewall, separa a las redes internas de las conexiones de la
red externa para disminuir el riesgo de un ataque externo. La siguiente figura muestra el modo en que el
firewall protege de Internet a los equipos de una red de confianza.
Los firewall usan polticas de acceso para identificar y filtrar diferentes tipos de informacin. Tambin
pueden controlar qu polticas o puertos pueden usar los equipos protegidos en Internet (acceso saliente).
Por ejemplo, muchos firewall tienen polticas de seguridad de prueba que permiten slo tipos de trfico
especficos. Los usuarios pueden seleccionar la poltica ms conveniente para ellos. Otros firewall, por
ejemplo los dispositivos WatchGuard como el Firebox, permiten al usuario personalizar estas polticas.
Para ms informaciones, vea Acerca de servicios y polticas en la pgina 7 y Acerca de puertos en la pgina 8
Los firewall pueden ser hardware o software. Un firewall protege a las redes privadas de usuarios no
autorizados en Internet y examina el trfico que ingresa a redes protegidas o sale de stas. El firewall
rechaza el trfico de red que no coincide con los criterios o polticas de seguridad.
En algunos firewall cerrados o de rechazo predeterminado, todas las conexiones de red son rechazadas a
menos que exista una regla especfica para permitir la conexin. Para implementar este tipo de firewall, se
debe tener informacin detallada acerca de las aplicaciones de red requeridas para satisfacer las
necesidades de una organizacin. Otros firewall permiten todas las conexiones de red que no han sido
rechazadas explcitamente. Este tipo de firewall abierto es ms fcil de implementar, pero no es tan seguro.
Acerca de servicios y polticas

El usuario utiliza un servicio para enviar diferentes tipos de datos (como correo electrnico, archivos o
comandos) desde una computadora a otra a travs de una red o a una red diferente. Estos servicios utilizan
protocolos. Los servicios de Internet utilizados con frecuencia son:
n El acceso a la World Wide Web utiliza el Protocolo de transferencia de hipertexto (HTTP).

n El correo electrnico utiliza el Protocolo simple de transferencia de correo (SMTP) o el Protocolo de
Oficina de Correos (POP3).
n La transferencia de archivos utiliza el Protocolo de transferencia de archivos (FTP).
n Resolver un domain name a una direccin de Internet utiliza el Servicio de Domain Name (DNS).
n El acceso a un terminal remoto utiliza Telnet o SSH (Secure Shell).
Cuando se autoriza o se rechaza un servicio, se debe agregar una poltica a la configuracin del dispositivo
WatchGuard. Cada poltica que se agrega tambin puede sumar un riesgo de seguridad. Para enviar y recibir
datos, se debe abrir una puerta en la computadora, lo cual pone en riesgo a la red. Recomendamos agregar
slo las polticas necesarias para la empresa.
Como ejemplo del modo en que se utiliza una poltica, supongamos que el administrador de red de una
empresa desea activar una conexin de servicios de terminal de Windows al servidor web pblico de la
empresa en la interfaz opcional del Firebox. Peridicamente administra el servidor web con una conexin
Gua del Usuario 7

de Escritorio Remoto. Al mismo tiempo desea asegurarse de que ningn otro usuario de la red pueda
utilizar los servicios de terminal del Protocolo de Escritorio Remoto a travs del Firebox. El administrador
de red debe agregar una poltica que permita conexiones RDP slo desde la direccin IP de su propio
equipo de escritorio a la direccin IP del servidor web pblico.
Cuando se configura el dispositivo WatchGuard con el Quick Setup Wizard, el asistente slo agrega
conectividad saliente limitada. Si el usuario tiene ms aplicaciones de software y trfico de red para que
examine Firebox, debe:
n Configurar las polticas en Firebox para que transfieran en trfico necesario.

n Definir las propiedades y hosts aprobados para cada poltica
n Equilibrar el requisito para proteger la red contra los requisitos de los usuarios de obtener acceso a
recursos externos.
Acerca de puertos
Aunque los equipos tienen puertos de hardware que se utilizan como puntos de conexin, los puertos
tambin son nmeros utilizados para asignar trfico a un proceso particular en un equipo. En estos puertos,
tambin llamados puertos TCP y UDP los programas transmiten datos. Si una direccin IP es como la
direccin de una calle, un nmero de puerto es como un nmero de departamento o edificio dentro de
esa calle. Cuando un equipo enva trfico a travs de Internet a un servidor u otro equipo, utiliza una
direccin IP para identificar al servidor o equipo remoto y un nmero de puerto para identificar el proceso
en el servidor o equipo que recibe los datos.
Por ejemplo, supongamos que deseamos ver una pgina web en particular. El explorador web intenta crear
una conexin en el puerto 80 (el puerto utilizado para trfico HTTP) para cada elemento de la pgina web.
Cuando el explorador recibe los datos que solicita al servidor HTTP, como una imagen, cierra la conexin.
Muchos puertos se usan slo para un tipo de trfico, como el puerto 25 para SMTP (Protocolo simple de
transferencia de correo ). Algunos protocolos, como SMTP, tienen puertos con nmeros asignados. A otros
programas se les asignan nmeros de puerto en forma dinmica para cada conexin. IANA (Internet
Assigned Numbers Authority) mantiene una lista de puertos conocidos. Se puede acceder a esta lista a
travs de:
http://www.iana.org/assignments/port-numbers
La mayora de las polticas que se agregan a la configuracin del Firebox tienen un nmero de puerto entre
0 y 1024, pero los nmeros de puerto posibles pueden ser entre 0 y 65535.
Los puertos estn abiertos o cerrados. Si un puerto est abierto, el equipo acepta informacin y utiliza el
protocolo identificado con ese puerto para crear conexiones a otros equipos. Sin embargo, un puerto
abierto es un riesgo de seguridad. Para protegerse contra riesgos creados por los puertos abiertos, se
pueden bloquear los puertos utilizados por los hackers para atacar a la red. Para ms informaciones, vea
Acerca de los puertos bloqueados en la pgina 347.
El dispositivo WatchGuard y la red

El dispositivo WatchGuard es un dispositivo de seguridad de red altamente eficaz que controla todo el
trfico entre la red externa y la red de confianza. Si equipos con confianza combinada se conectan a la red,
tambin se puede configurar una interfaz de red opcional que est separada de la red de confianza. Luego
se puede configurar el firewall en el dispositivo para detener todo el trfico sospechoso de la red externa a
las redes de confianza y opcionales. Si se enruta todo el trfico para los equipos de confianza combinada a
travs de la red opcional, se puede aumentar la seguridad para esas conexiones a fin de sumar ms
flexibilidad a la solucin de seguridad. Por ejemplo, los clientes con frecuencia usan la red opcional para los
usuarios remotos o para servidores pblicos como un servidor web o un servidor de correo electrnico.
Algunos clientes que adquieren un dispositivo WatchGuard no conocen demasiado sobre redes
informticas o seguridad de red. La Web UI (interfaz de usuario basada en la web) de Fireware XTM provee
muchas herramientas de autoayuda para estos clientes. Los clientes con ms experiencia pueden utilizar la
integracin avanzada y las mltiples funciones de soporte WAN del Fireware Appliance Software XTM Pro
para conectar un dispositivo WatchGuard a una red de rea ancha mayor. El dispositivo WatchGuard se
conecta a un mdem por cable, DSL de mdem o enrutador ISDN.
La Web UI puede utilizarse para administrar sin percances las configuraciones de seguridad de red desde
diferentes ubicaciones y en cualquier momento. As se obtiene ms tiempo y recursos para utilizar en otros
equipos de la empresa.
Gua del Usuario 9

Gua del Usuario 10

2 Introduccin a Fireware XTM
Introduccin a Fireware XTM

Fireware XTM le ofrece una forma sencilla y eficiente de visualizar, administrar y monitorear cada Firebox
en su red. La solucin Fireware XTM incluye cuatro aplicaciones de software:
n WatchGuard System Manager (WSM)

n Fireware XTM Web UI
n Command Line Interface (CLI) de Fireware XTM
n WatchGuard Server Center
Posiblemente sea necesario utilizar ms de una aplicacin Fireware XTM para configurar la red de una
organizacin. Por ejemplo, si se tiene slo un producto Firebox X Edge e-Series, la mayora de las tareas de
configuracin pueden realizarse con la Fireware XTM Web UI o la Command Line Interface de Fireware
XTM. Sin embargo, para funciones de administracin y registro ms avanzadas, se debe utilizar WatchGuard
Server Center. Si el usuario administra ms de un dispositivo WatchGuard o si ha comprado Fireware XTM
con una actualizacin Pro, recomendamos utilizar WatchGuard System Manager (WSM). Si el usuario decide
administrar y monitorear la configuracin con la Fireware XTM Web UI, algunas funciones no pueden
configurarse.
Para obtener ms informacin acerca de estas limitaciones, consulte Limitaciones de la Fireware XTM Web
UI en la pgina 31.
Para obtener ms informacin acerca de cmo conectarse a Firebox con el WatchGuard System Manager o
la Command Line Interface de Fireware XTM, consulte la Ayuda en lnea o la Gua del usuario para esos
productos. Se puede visualizar y descargar la documentacin ms reciente para estos productos en la
pgina Documentacin del producto de Fireware XTM:
http://www.watchguard.com/help/documentation/xtm.asp.
Nota Los trminos Firebox y dispositivo WatchGuard que se encuentran a lo largo de

toda esta documentacin se refieren a productos de WatchGuard que usan
Fireware XTM, como el dispositivo Firebox X Edge e-Series.
Gua del Usuario 11

Componentes de Fireware XTM

Para iniciar WatchGuard System Manager o WatchGuard Server Center desde el escritorio de Windows,
seleccione el acceso directo desde el men de Inicio. WatchGuard Server Center tambin puede iniciarse
desde un cono en la bandeja del sistema. Desde estas aplicaciones, se pueden iniciar otras herramientas
que ayudan a administrar la red. Por ejemplo, se puede iniciar HostWatch o el Policy Manager desde
WatchGuard System Manager (WSM).
el WatchGuard System Manager

WatchGuard System Manager (WSM) es la principal aplicacin para la administracin de red con Firebox.
WSM se puede utilizar para administrar muchos dispositivos Firebox diferentes, incluso aquellos que usan
distintas versiones de software. WSM incluye un conjunto integral de herramientas que ayudan a
monitorear y controlar el trfico de red.
Policy Manager
Se puede utilizar el Policy Manager para configurar el firewall. El Policy Manager incluye un conjunto
completo de filtrados de paquetes preconfigurados, polticas de proxy y puertas de enlace de la
capa de aplicacin (ALG). El usuario tambin puede establecer un filtrado de paquetes
personalizado, una poltica de proxy o ALG en los cuales se configuran los puertos, los protocolos y
otras opciones. Otras funciones del Policy Manager ayudan a detener los intentos de intrusin en la
red, como ataques de congestin del servidor SYN, ataques de suplantacin de paquetes y sondeos
de espacio entre puertos o direcciones.
Firebox System Manager (FSM)
El Firebox System Manager provee una interfaz para monitorear todos los componentes del
dispositivo WatchGuard. Desde FSM, se puede ver el estado en tiempo real de Firebox y su
configuracin.
HostWatch
HostWatch es un monitor de conexin en tiempo real que muestra el trfico de red entre
diferentes interfaces de Firebox. HostWatch tambin muestra informacin acerca de usuarios,
conexiones, puertos y servicios.
LogViewer
El LogViewer es la herramienta del WatchGuard System Manager usada para ver datos del archivo
de registro. Puede mostrar los datos de registro pgina por pgina, o buscar y exhibir por palabras
claves o campos de registro especificados.
Report Manager
El Report Manager puede usarse para generar informes de los datos reunidos desde los Log Servers
para todos los dispositivos WatchGuard. Desde el Report Manager, se pueden ver los Informes
WatchGuard disponibles para los dispositivos WatchGuard.
Administrador de CA
El Administrador de la autoridad de certificacin (CA) muestra una lista completa de certificados de

seguridad instalados en el equipo de administracin con Fireware XTM. Esta aplicacin puede
utilizarse para importar, configurar y generar certificados para uso con tneles VPN y otros fines de
autenticacin.
WatchGuard Server Center

WatchGuard Server Center es la aplicacin donde se configuran y monitorean todos los servidores
WatchGuard.
Management Server
El Management Server funciona en un equipo Windows. Con este servidor, se pueden administrar
todos los dispositivos de firewall y crear tneles de red privada virtual (VPN) utilizando una simple
funcin de arrastrar y soltar. Las funciones bsicas del Management Server son:
n Autoridad de certificacin para distribuir certificados para tneles de seguridad del protocolo
de Internet (IPSec).
n Administracin de la configuracin del tnel VPN.
n Administracin de mltiples dispositivos Firebox y Firebox X Edge.
Log Server
El Log Server rene los mensajes de registro de cada Firebox de WatchGuard. Estos mensajes de
registro estn cifrados cuando se envan al Log Server. El formato del mensaje de registro es XML
(texto sin formato). La informacin reunida de dispositivos de firewall incluye los siguientes
mensajes de registro: trfico, evento, alarma, depuracin (diagnstico) y estadstica.
WebBlocker Server
El WebBlocker Server funciona con el proxy HTTP del Firebox para denegar el acceso de usuarios a
categoras especficas de sitios web. Durante la configuracin del Firebox, el administrador establece
las categoras de sitios web para permitir o bloquear.
Gua del Usuario 13

Para obtener ms informacin sobre WebBlocker y el WebBlocker Server, consulte Acerca de las
WebBlocker en la pgina 561.
Quarantine Server
El Quarantine Server rene y asla mensajes de correo electrnico que segn la sospecha de
spamBlocker son spam o pueden tener un virus.
Para ms informaciones, vea Pgina Acerca de Quarantine Server en la pgina 635.
Report Server
El Report Server peridicamente agrupa los datos reunidos por los Log Servers en los dispositivos
WatchGuard y luego genera informes en forma peridica. Una vez que los datos se encuentran en el
Report Server, se puede utilizar el Report Manager para generar y ver los informes.
Fireware XTM Web UI e interfaz de la lnea de comandos

La Fireware XTM Web UI y la Command Line Interface son soluciones de administracin alternativas que
pueden realizar la mayora de las mismas tareas que WatchGuard System Manager y el Policy Manager .
Algunas opciones y funciones de configuracin avanzada, como las configuraciones de FireCluster o poltica
de proxy, no estn disponibles en la Fireware XTM Web UI o la Command Line Interface.
Para ms informaciones, vea Acerca del Fireware XTMWeb UI en la pgina 30.
Fireware XTMcon Actualizacin Pro

La actualizacin Pro a Fireware XTM provee varias funciones avanzadas para clientes con experiencia,
como balance de carga en el servidor y tneles SSL VPN adicionales. Las funciones disponibles con una
actualizacin Pro dependen del tipo y el modelo de Firebox:
Core/Peak e-Series
Core e- Edge e- Edge e-Series
Funcin y XTM XTM1050
Series Series (Pro)
(Pro)
FireCluster X
75 mx. (Core)
VLANs 75 mx. 200 mx. (Peak/XTM 20 mx. 50 mx.
1050)
Dynamic Routing (OSPF y BGP) X
Enrutamiento basado en la poltica X X
Balance de carga en el servidor X
Tneles SSLVPN mximos X X
Conmutacin por error de WAN

X X X
mltiples
Balance de carga de WAN

X X
mltiples
Para adquirir Fireware XTM con una actualizacin Pro, comunquese con su revendedor local.
Gua del Usuario 15

Gua del Usuario 16

3 Servicio y soporte
Acerca de las Soporte de WatchGuard

WatchGuard sabe qu importante resulta el soporte cuando debe asegurar su red con recursos limitados.
Nuestros clientes requieren ms conocimiento y asistencia en un mundo donde la seguridad es de
importancia crtica. LiveSecurity Service le proporciona el respaldo que necesita, con una suscripcin que
respalda su dispositivo WatchGuard desde el momento del registro.
LiveSecurity Service
Su dispositivo WatchGuard incluye una suscripcin al innovador LiveSecurity Service, que se activa en lnea
cuando registra el producto. En el momento de la activacin, la suscripcin de LiveSecurity Service le
otorga acceso a un programa de soporte y mantenimiento sin comparacin en la industria.
LiveSecurity Service viene con los siguientes beneficios:
Garanta de hardware con reemplazo de hardware avanzado
Una suscripcin activa de LiveSecurity extiende la garanta de hardware de un ao incluida con cada
dispositivo WatchGuard. Su suscripcin adems ofrece el reemplazo de hardware avanzado para
minimizar el tiempo de inactividad en caso de una falla de hardware. Si tiene una falla de hardware,
WatchGuard le enviar una unidad de reemplazo antes de que tenga que enviar el hardware
original.
Actualizaciones de software
Su suscripcin de LiveSecurity Service le proporciona acceso a las actualizaciones del software

actual y a las mejoras funcionales para sus productos WatchGuard.
Soporte tcnico
Cuando necesita asistencia, nuestros equipos expertos estn listos para ayudarlo:
n Representantes disponibles 12 horas al da, 5 das a la semana en su zona horaria local*

n Tiempo mximo de respuesta inicial focalizada de cuatro horas
Gua del Usuario 17

Servicio y soporte
n Acceso a foros para usuarios en lnea moderados por ingenieros generales de soporte
Recursos y alertas de soporte
Su suscripcin de LiveSecurity Service le brinda acceso a una variedad de videos instructivos de

produccin profesional, cursos de capacitacin interactivos en Internet y herramientas en lnea
diseadas especficamente para responder las preguntas que pueda tener acerca de la seguridad de
red en general o los aspectos tcnicos de la instalacin, la configuracin y el mantenimiento de sus
productos WatchGuard.
Nuestro Equipo de respuesta rpida, un grupo dedicado de expertos en seguridad de red,

monitorea Internet para identificar las amenazas emergentes. Luego, emite Transmisiones de
LiveSecurity para indicarle de manera especfica lo que debe hacer para encargarse de cada nueva
amenaza. Puede personalizar sus preferencias de alerta para seleccionar cuidadosamente el tipo de
avisos y alertas que le enva LiveSecurity Service.
LiveSecurity Service Gold

LiveSecurity Service Gold est disponible para las compaas que requieren disponibilidad las 24 horas.
Este servicio de soporte de primera calidad otorga una mayor cantidad de horas de cobertura y tiempos de
respuesta ms rpidos gracias a la asistencia de soporte remoto las 24 horas. LiveSecurity Service Gold es
necesario en cada unidad de su organizacin para contar con una cobertura completa.
LiveSecurity
Caractersticas del servicio LiveSecurity Service
Service Gold
De lunes a viernes, de 6.00a.

Horarios de soporte tcnico las 24 horas
m. a 6.00p.m.*
Nmero de incidentes de soporte

5 por ao Ilimitada
(en lnea o por telfono)
Tiempo de respuesta inicial focalizada 4 horas 1 hora
Foro de soporte interactivo S S
Actualizaciones de software S S
Herramientas de autoayuda y capacitacin en lnea S S
Transmisiones de LiveSecurity S S
Asistencia de instalacin Opcional Opcional
Paquete de soporte de tres incidentes Opcional N/A
Actualizacin de respuesta de prioridad

Opcional N/A
de una hora, para un solo incidente
Actualizacin para un solo incidente fuera del

Opcional N/A
horario de trabajo habitual
Servicio y soporte
* En la regin del pacfico asitico, los horarios de soporte estndar son de lunes a viernes, de 9.00a.m. a 9.00p.m.
(GMT +8).
Expiracin del servicio

Le recomendamos mantener su suscripcin activa para asegurar su organizacin. Cuando su suscripcin de
LiveSecurity expira, usted pierde el acceso a advertencias de seguridad actualizadas y actualizaciones de
software peridicas, lo que puede poner su red en peligro. El dao a la red resulta mucho ms costoso que
una renovacin de la suscripcin de LiveSecurity Service. Si realiza la renovacin dentro de 30 das, no se
le cobrar una tarifa de reingreso.
Gua del Usuario 19

Servicio y soporte
Gua del Usuario 20

4 Introduccin
Antes de empezar
Antes de empezar el proceso de instalacin, asegrese de concluir las tareas descritas en las siguientes
secciones.
Nota En esas instrucciones de instalacin, suponemos que su dispositivo WatchGuard

tenga una interfaz de confianza, una externa y una opcional configurada. Para
configurar interfaces adicionales en su dispositivo, use las herramientas y
procedimientos de configuracin descritos en los tpicos Configuracin de red y
Configuracin.
Verificar componentes bsicos

Asegurarse de que tiene esos tems:
n Un equipo de tarjeta de interfaz de red Ethernet 10/100BaseT y un explorador web instalados

n Un dispositivo Firebox o XTM de WatchGuard
n Un cable serial (azul)
solamente modelos Firebox X Core, Peak y XTM de WatchGuard
n Un cable cruzado de Ethernet (rojo)
solamente modelos Firebox X Core, Peak y XTM de WatchGuard
n Un cable recto de Ethernet (verde)
n Cable de energa o adaptador de energa CA
Obtener tecla de funcin del dispositivo WatchGuard

Para habilitar todas las funciones de su dispositivo WatchGuard, debe registrar el dispositivo en el sitio web
de LiveSecurity de WatchGuard y obtener su tecla de funcin. El Firebox tiene slo una licencia de usuario
(licencia por puesto) hasta que aplica su tecla de funcin.
Gua del Usuario 21

Introduccin
Si registra su dispositivo WatchGuard antes de usar el Quick Setup Wizard, puede pegar una copia de su
tecla de funcin en el asistente. El asistente entonces la aplica a su dispositivo. Si no pega su tecla de funcin
en el asistente, an puede finalizarlo. Hasta que se agregue la tecla de funcin, slo una conexin es
permitida a Internet.
Tambin se obtiene una nueva tecla de funcin para cualquier producto o servicio opcional cuando los
compra. Despus de registrar su dispositivo WatchGuard o cualquier nueva funcin, puede sincronizar su
tecla de funcin del dispositivo WatchGuard con las teclas guardadas en su perfil de registro en el sitio de
LiveSecurity de WatchGuard. Puede usar Fireware XTM Web UI en cualquier momento para obtener su
tecla de funcin.
Para saber cmo registrar su dispositivo WatchGuard y obtener una tecla de funcin, vea Obtener una tecla
de funcin junto a LiveSecurity en la pgina 52.
Recoger direcciones de red

Recomendamos que registre su informacin de red antes y despus de configurar su dispositivo
WatchGuard. Use la primera tabla abajo para sus direcciones IP de red antes de poner su dispositivo en
funcionamiento. Para ms informacin acerca de cmo identificar sus direcciones IP de red, vea Identificar
sus configuraciones de red en la pgina 35.
WatchGuard usa la notacin diagonal para mostrar la Subnet Mask. Para ms informaciones, vea Acerca de
las Notacin diagonal en la pgina 3. Para ms informacin acerca de las direcciones IP, vea Acerca de las
Direcciones IP en la pgina 3.
Tabla 1: Direcciones IP de red sin el dispositivo WatchGuard
Red de rea Amplia _____._____._____._____ / ____
Puerta de enlace predeterminada _____._____._____._____
Red de rea local _____._____._____._____ / ____
Secondary Network (si corresponde) _____._____._____._____ / ____
Servidor(es) Pblico(s) (si corresponde) _____._____._____._____
_____._____._____._____
_____._____._____._____
Use la segunda tabla para sus direcciones IP de red despus de poner su dispositivo WatchGuard en
funcionamiento.
Interfaz externa
Conecta a la red externa (generalmente Internet) que no sea de confianza.
Interfaz de confianza
Conecta a la red interna o LAN (red de rea local) privada que desea proteger.
Introduccin
Interfaz opcional
Generalmente conecta a un rea de confianza combinada de su red, tales como servidores en DMZ
(zona desmilitarizada). Puede usar interfaces opcionales para crear zonas en la red con diferentes
niveles de acceso.
Tabla 1: Direcciones IP de red con el dispositivo WatchGuard
Puerta de enlace predeterminada _____._____._____._____
Interfaz externa _____._____._____._____/ ____
Interfaz de confianza _____._____._____._____ / ____
Interfaz opcional _____._____._____._____ / ____
Secondary Network (si corresponde) _____._____._____._____ / ____
Seleccione un modo configuracin de firewall

Debe elegir cmo desea conectar el dispositivo WatchGuard a su red antes de ejecutar el Quick Setup
Wizard. La forma como conecta el dispositivo controla la configuracin de la interfaz. Cuando conecta el
dispositivo, selecciona el modo de configuracin enrutado o directo que mejor de adecue a su red
actual.
Muchas redes funcionan mejor con la configuracin de enrutamiento combinado, pero recomendamos el
modo directo si:
n Ya asign un gran nmero de direcciones IP estticas y no desea alterar su configuracin de red.

n No se puede configurar los equipos en redes de confianza y opcional que tengan direcciones IP
pblicas con direcciones IP privadas.
Esa tabla y las descripciones abajo de ella muestran tres condiciones que pueden ayudar a seleccionar el
modo configuracin del firewall.
Modo de enrutamiento combinado Modo directo
Todas las interfaces del dispositivo WatchGuard

Todas las interfaces del dispositivo WatchGuard
estn en la misma red y tienen la misma direccin
estn el redes diferentes.
IP.
Las interfaces de confianza y opcional deben estar

Los equipos en las interfaces de confianza u opcional
en redes diferentes. Cada interfaz tiene una
pueden tener una direccin IP pblica.
direccin IP en su red.
Use la NAT (traduccin de direccin de red)

esttica para asignar direcciones pblicas a La NAT no es necesaria porque los equipos con
direcciones privadas detrs de las interfaces de acceso pblico tienen direcciones IP.
confianza u opcionales.
Para ms informacin acerca del modo directo, vea Acerca de la configuracin de red en modo directo en
la pgina 89.
Gua del Usuario 23

Introduccin
Para ms informacin acerca del modo de enrutamiento combinado, vea Modo de enrutamiento
combinado en la pgina 82.
El dispositivo WatchGuard tambin soporta un tercer modo configuracin llamado modo puente. Ese modo
es usado con menos frecuencia. Para ms informacin acerca del modo puente, vea Modo Bridge en la
pgina 94.
Nota Puede usar el Web Setup Wizard o el Quick Setup Wizard del WSM para crear su
configuracin inicial. Cuando ejecuta el Web Setup Wizard, la configuracin
firewall es automticamente definida en modo de enrutamiento combinado.
Cuando ejecuta el Quick Setup Wizard del WSM, puede configurar el dispositivo en
modo de enrutamiento combinado o modo directo.
Ahora puede iniciar el Quick Setup Wizard. Para ms informaciones, vea Acerca del Quick Setup Wizard en
la pgina 24.
Acerca del Quick Setup Wizard

Se puede usar la Quick Setup Wizard para crear una configuracin bsica para su dispositivo WatchGuard. El
dispositivo usa ese archivo de configuracin bsica cuando se inicia por primera vez. Eso permite que
funcione como un firewall bsico. Puede usar ese mismo procedimiento a cualquier momento para
restablecer el dispositivo en una configuracin bsica nueva. Eso es til para la recuperacin del sistema.
Cuando configura su dispositivo WatchGuard con el Quick Setup Wizard, se definen slo las polticas bsicas
(TCP y UDP salientes), filtrado de paquetes del FTP, ping y WatchGuard) y direcciones IP de interfaz. Si tiene
ms aplicaciones de software y trfico de red para que el dispositivo busque, debe:
n Configurar las polticas en el dispositivo WatchGuard para dejar pasar el trfico necesario
n Balancear el requisito para proteger su red contra los requisitos de sus usuarios para conectarse a
recursos externos
Para instrucciones acerca de cmo ejecutar el asistente a partir del explorador web, vea Ejecutar el Web
Setup Wizard en la pgina 24.
Ejecutar el Web Setup Wizard

Nota Esas instrucciones son para el Web Setup Wizard en un Firebox que usa el Fireware
XTM v11.0 o posterior. Si su dispositivo WatchGuard usa una versin anterior del
software, debe actualizar para el Fireware XTM antes de usar esas instrucciones.
Vea las Notas de versin para las instrucciones de actualizacin para su modelo de
Firebox.
Puede usar el Web Setup Wizard para hacer una configuracin bsica en un dispositivo WatchGuard XTM o
Firebox X e-Series. El Web Setup Wizard automticamente configura el Firebox en el modo de
enrutamiento combinado.
Introduccin
Para usar el Web Setup Wizard, debe hacer una conexin de red directa hacia el dispositivo WatchGuard y
usar un explorador web para iniciar el asistente. Cuando configura su dispositivo WatchGuard, l usa DHCP
para enviar una nueva direccin IP a su equipo.
Antes de iniciar el Web Setup Wizard, asegrese de:
n Registrar su dispositivo WatchGuard con el LiveSecurity Service

n Almacenarunacopiade latecladefuncindeldispositivoWatchGuardenunarchivodetextoensuequipo
Iniciar el Web Setup Wizard

1. Use el cable cruzado de Ethernet que viene con su Firebox para conectar el equipo de
administracin a la interfaz de confianza del Firebox.
n Para un dispositivo Firebox X Core, Peak e-Series, o XTM, la interfaz de confianza es la nmero 1
n Para un Firebox X Edge E-Series, la interfaz de confianza es la LAN0
2. Conecte el cable de energa a la entrada de energa del dispositivo WatchGuard y a una fuente de
energa.
3. Inicie el Firebox en modo predeterminado de fbrica. En los modelos Core, Peak y XTM, eso se
conoce como modo seguro.
Para ms informaciones, vea Restablecer un dispositivo Firebox o XTM a una configuracin anterior
o nueva en la pgina 48.
4. Asegrese de que su equipo est configurado para aceptar una direccin IP asignada por DHCP.
Si su equipo usa Windows XP:

n En el men Windows Inicio, seleccione Todos los programas > Panel de control > Conexiones
de red > Conexiones de rea local.
n Haga clic en Propiedades.
n Seleccione Protocolo de Internet (TCP/IP) y haga clic en Propiedades.
n Asegrese de que Obtener una direccin IP automticamente est seleccionado.
Para instrucciones ms detalladas, vea Identificar sus configuraciones de red en la pgina 35.
5. Si su explorador usa un servidor proxy de HTTP, debe desactivar temporalmente la configuracin
proxy HTTP en su explorador.
Para ms informaciones, vea Desactive el proxy de HTTP en el explorador en la pgina 39.

6. Abra el explorador web e ingrese la direccin IP predeterminada de fbrica de interfaz 1.
Para un Firebox XCore o Peak, o un dispositivo WatchGuard XTM, la direccin IP es:
https://10.0.1.1:8080 .
Para un Firebox XEdge, la direccin es: https://192.168.111.1:8080 .
Si usa el Internet Explorer, asegrese de ingresar el https:// al principio de la direccin IP. Eso
establece una conexin HTTP segura entre su equipo de administracin y el dispositivo WatchGuard.
El Web Setup Wizard se inicia automticamente.
7. Registre las credenciales de cuenta del administrador:
Nombre de usuario: admin
Frase de contrasea: lecturaescritura
8. Complete las siguientes pantallas del asistente.
Gua del Usuario 25

Introduccin
El Web Setup Wizard incluye ese grupo de cuadros de dilogo. Algunos cuadros de dilogo aparecen
slo si selecciona ciertos mtodos de configuracin:
Ingresar
Ingresar con las credenciales de cuenta del administrador. Para Nombre de usuario, seleccione
admin. Para Frase de contrasea, use la frase:lecturaescritura.
Bienvenido
La primera pantalla le informa sobre el asistente.
Seleccione un tipo de configuracin.
Seleccione si prefiere crear una nueva configuracin o restaurar una configuracin a partir de
una imagen de copia de seguridad guardada.
Acuerdo de licencia
Debe aceptar el acuerdo de licencia para continuar con el asistente.
Opciones de tecla de funcin, Retener tecla de funcin, Aplicar tecla de funcin
Si su Firebox todava no tiene una tecla de funcin, el asistente provee opciones para que
descargue o importe una tecla de funcin. El asistente slo puede descargar una tecla de
funcin si tiene una conexin a Internet. Si descarg una copia local de la tecla de funcin a su
equipo, puede pegarla en el asistente de configuracin.
Si el Firebox no tiene una conexin a Internet mientras ejecuta el asistente y no se registr el

dispositivo ni descarg la tecla de funcin a su equipo antes de haber iniciado el asistente,
puede elegir no aplicar una tecla de funcin.
Advertencia
Si no aplica una tecla de funcin en el Web Setup Wizard, debe registrar el
dispositivo y aplicar la tecla de funcin en el Fireware XTMWeb UI. La
funcionalidad del dispositivo es limitada hasta que se aplique una tecla de funcin.
Configurar la interfaz externa de su Firebox
Seleccione el mtodo que su ISP usa para asignar su direccin IP. Las opciones son DHCP, PPPoE
o esttica.
Configurar la interfaz externa para DHCP
Ingrese su identificacin de DHCP, tal como su ISP la provee.
Configurar la interfaz externa para PPPoE
Ingrese su informacin de PPPoE, tal como su ISP la provee.
Configurar la interfaz externa con una direccin IP esttica
Ingrese su direccin IP esttica, tal como su ISP la provee.
Configurar los servidores DNS y WINS
Ingresar las direcciones de DNS de dominio y servidor WINS que desea que el Firebox utilice
Configurar la interfaz de confianza del Firebox
Introduccin
Ingrese la direccin IP de la interfaz de confianza. Como opcin, puede activar el servidor DHCP
para la interfaz de confianza.
Inalmbrico (Firebox X Edge e-Series inalmbrico solamente)
Define la regin de funcionamiento, canal y modo inalmbrico. La lista de regiones de

funcionamiento inalmbrico que puede seleccionar puede ser diferente segn donde haya
adquirido su Firebox.
Para ms informaciones, vea Acerca de configuraciones de radio en Firebox XEdge e-Series

inalmbrico en la pgina 181.
Crear frases de contrasea para su dispositivo
Ingrese una frase de contrasea para el estado (slo lectura) y cuentas de administracin
admin (lectura/escritura) en el Firebox.
Habilitar administracin remota
Active la administracin remota si desea administrar ese dispositivo desde la interfaz externa.
Agregue la informacin de contacto para su dispositivo
Puede ingresar un nombre de dispositivo, ubicacin e informacin de contacto y guardar los

datos de administracin para ese dispositivo. Por defecto, el nombre del dispositivo se
configura con el nmero de modelo de su Firebox. Recomendamos que elija un nombre nico
que pueda usar para identificar fcilmente ese dispositivo, especialmente si usa administracin
remota.
Configurar la zona horaria
Seleccione la zona horaria en la que el Firebox est ubicado.
El Quick Setup Wizard est concluido
Despus de concluir el asistente, el dispositivo WatchGuard se reinicia.
Si deja el Web Setup Wizard ocioso por 15 minutos o ms, debe volver al Paso 3 e iniciar nuevamente.
Nota Si cambia la direccin IP de la interfaz de confianza, debe cambiar su configuracin

de red para asegurarse de que su direccin IP coincide con la subred de la red de
confianza antes de conectase al Firebox. Si usa DHCP, reinicie su equipo. Si usa
direcciones estticas, vea Use una direccin IP esttica en la pgina 38.
Despus que el asistente se concluye

Despus que completa todas las pantallas en el asistente, se hace una configuracin bsica del dispositivo
WatchGuard que incluye cuatro polticas (TCP saliente, filtrado de paquetes del FTP, ping y WatchGuard) y
las direcciones IP de interfaz especificadas. Puede usar Fireware XTM Web UI para expandir o cambiar la
configuracin para su dispositivo WatchGuard.
n Para ms informacin acerca de como concluir la instalacin de su dispositivo WatchGuard despus

que se concluye el Web Setup Wizard, vea Concluya su instalacin en la pgina 32.
Gua del Usuario 27

Introduccin
n Para ms informacin acerca de cmo conectarse al Fireware XTMWeb UI, vea Conctese al
Fireware XTM Web UI en la pgina 28.
Si tiene problemas con el asistente

Si el Web Setup Wizard no puede instalar el Fireware Appliance Software XTM en el dispositivo
WatchGuard, el tiempo de espera del asistente se agota. Si tiene problemas con el asistente, verifique esto:
n El archivo del software de la aplicacin Fireware XTM descargado del sitio web LiveSecurity podra
estar corrompido. Si la imagen del software est corrompida, en un dispositivo Firebox X Core, Peak
o XTM, este mensaje aparece en la interfaz de LCD: Error de archivo truncado.
Si ese mensaje aparece, descargue el software nuevamente y pruebe el asistente una vez ms.
n Si usa el Internet Explorer 6, limpie el cach del archivo en el explorador web e intente
nuevamente.
Para limpiar el cach, en el Internet Explorer seleccione Herramientas > Opciones de Internet >
Borrar archivos.
Conctese al Fireware XTM Web UI

Para conectarse a la Fireware XTM Web UI, se utiliza un explorador web para ir a la direccin IP de la
interfaz opcional o de confianza del dispositivo WatchGuard a travs del nmero de puerto correcto. Las
conexiones a la Web UI estn siempre cifradas con HTTPS; el mismo cifrado de alta seguridad utilizado por
sitios web de bancos y compras. Se debe utilizar https cuando se ingresa la URL en la barra de direccin del
explorador, en lugar de http.
De manera predeterminada, el puerto utilizado para la Web UI es 8080. La URL para conectarse a la Web UI
en su explorador es:
https://<firebox-ip-address>:8080
Aqu, <firebox-ip-address> es la direccin IP asignada a la interfaz opcional o de confianza. Cuando se realiza

esta conexin, el explorador carga el aviso de inicio de sesin. La URL predeterminada para la interfaz de
confianza es diferente para el Edge que para los otros modelos de Firebox.
n La URL predeterminada para un dispositivo Firebox XCore, Peak o WatchGuard XTM es

https://10.0.1.1:8080 .
n El URL predeterminado para un Firebox X Edge es https://192.168.111.1:8080 .
El usuario puede cambiar la direccin IP de la red de confianza a una direccin IP diferente. Para ms
informaciones, vea Configuraciones de interfaz comunes en la pgina 95.
Por ejemplo, para usar la URL predeterminada para conectarse a un Firebox XEdge:
1. Abra su explorador web.

2. En la barra de direccin o ubicacin, ingrese https://192.168.111.1:8080 y presione Enter.
En el explorador aparece una notificacin del certificado de seguridad.
Introduccin
3. Cuando observe la advertencia del certificado, haga clic en Continuar a este sitio web (IE 7) o
Agregar excepcin (Firefox 3).
Esta advertencia aparece porque el certificado que utiliza el dispositivo WatchGuard est firmado
por la autoridad de certificacin de WatchGuard, que no figura en la lista de autoridades de
confianza de su explorador.
Nota Esta advertencia aparece cada vez que el usuario se conecta al dispositivo
WatchGuard a menos que se acepte el certificado en forma permanente o se
genere e importe un certificado para uso del dispositivo. Para ms informaciones,
vea Acerca de los certificados en la pgina 385.
4. En la lista desplegable Nombre de usuario, seleccione el nombre de usuario.
5. En el campo Frase de contrasea, ingrese la frase de contrasea.
n Si elige el nombre de usuario administrador, ingrese la frase de contrasea de configuracin

(de lectura-escritura).
n Si elige el nombre de usuario estado, ingrese la frase de contrasea de estado (de slo lectura).
Nota De manera predeterminada, la configuracin de Firebox slo permite conexiones a

la Fireware XTM Web UI desde las redes opcionales o de confianza. Para cambiar la
configuracin para permitir conexiones a la Web UI desde la red externa, consulte
Conectarse a la Fireware XTM Web UI desde una red externa en la pgina 29.
Conectarse a la Fireware XTM Web UI desde una

red externa
La configuracin del dispositivo Fireware XTM tiene una poltica llamada Web UI de WatchGuard. Esta
poltica controla qu interfaces de Firebox pueden conectarse a la Fireware XTM Web UI De manera
predeterminada, esta poltica slo permite conexiones desde redes Cualquiera de confianza y Cualquiera
opcional. Si desea permitir el acceso a la Web UI desde la red externa, debe editar la poltica Web UI de
WatchGuard y agregar Cualquiera externa a la lista Desde.
Fireware XTM Web UI:
1. Seleccione Firewall >Polticas de Firewall.

2. Haga doble clic en la poltica Web UI de WatchGuard para editarla.
3. Haga clic en la pestaa Poltica.
4. En la seccin Desde, haga clic en Agregar.
Gua del Usuario 29

Introduccin
5. Seleccione Cualquiera externa.

6. Haga clic en OK.
7. Haga clic en Guardar.
Acerca del Fireware XTMWeb UI

La Web UI del Fireware XTM permite monitorear y administrar cualquier dispositivo que utiliza Fireware
XTM versin 11 o posterior sin necesidad de instalar ningn otro software en su equipo. El nico software
que necesita es un explorador que admita Adobe Flash.
Debido a que no es necesario instalar ningn software, se puede utilizar la Web UI desde cualquier equipo
que tenga conectividad TCP/IP y un explorador. Esto significa que el usuario puede administrar Firebox
desde un equipo que tenga Windows, Linux, Mac OS o cualquier otra plataforma, siempre que tenga un
explorador compatible con Adobe Flash 9 y conectividad de red.
La Web UI es una herramienta de administracin en tiempo real. Esto significa que cuando utiliza la Web UI
para realizar cambios en un dispositivo, los cambios realizados generalmente tienen efecto inmediato. La
Web UI no permite generar una lista de cambios a un archivo de configuracin guardado localmente, para
enviar muchos cambios al dispositivo de una sola vez en un momento posterior. Esto difiere del Policy
Manager de Fireware XTM, lo cual es una herramienta de configuracin fuera de lnea. Los cambios
realizados a un archivo de configuracin guardado localmente utilizando el Policy Manager slo tienen
efecto despus de que se guarda la configuracin en el dispositivo.
Nota Se debe completar el Quick Setup Wizard para poder ver la Fireware XTM Web UI.
Para ms informaciones, vea Ejecutar el Web Setup Wizard en la pgina 24.
Tambin se debe utilizar una cuenta con privilegios de acceso administrativos
totales para ver y cambiar las pginas de configuracin.
En el lado izquierdo de la Fireware XTM Web UI se encuentra la navigation bar del men principal que se
utiliza para seleccionar un grupo de pginas de configuracin.
El elemento superior en la navigation bar es el Panel de control, que permite regresar a la pgina Panel de
control de Fireware XTM, la cual se ve en cuanto el usuario se conecta a la Fireware XTM Web UI.
Introduccin
Todos los dems elementos de la navigation bar contienen elementos de men secundarios que se usan
para configurar las propiedades de esa funcin.
n Para visualizar estos elementos de men secundarios, haga clic en el nombre del elemento de
men. Por ejemplo, si hace clic en Autenticacin, aparecen estos elementos de men secundarios:
Servidores, Configuracin, Usuarios y grupos, Certificado de servidor web y Single Sign-On.
n Para ocultar los elementos de men secundarios, haga clic nuevamente en el elemento de men de
nivel superior.
Para mostrar los elementos de men que se amplan o en los que se hace clic, la documentacin utiliza el
smbolo de flecha derecha (>). Los nombres de mens aparecen en negrita. Por ejemplo, el comando para
abrir la pgina Configuracin de autenticacin aparece en el texto como Configuracin de >Autenticacin.
Seleccione el idioma de Fireware XTM Web UI

Fireware XTM Web UI admite cinco idiomas. El nombre del idioma seleccionado actualmente se muestra
en la parte superior de cada pgina.
Para cambiar a un idioma diferente:
1. Haga clic en el nombre del idioma.

Aparecer una lista desplegable de idiomas.
2. Seleccione el idioma de la lista.

Fireware XTM Web UI utiliza el idioma seleccionado.
Limitaciones de la Fireware XTM Web UI

Se puede utilizar la Fireware XTM Web UI, WatchGuard System Manager y la Command Line Interface (CLI)
de Fireware XTM para configurar y monitorear el dispositivo Fireware XTM. Cuando el usuario desea
modificar el archivo de configuracin de un dispositivo, puede aplicar cualquiera de estos programas. Sin
embargo, hay varios cambios de configuracin del dispositivo que no pueden realizarse con la Fireware
XTM Web UI.
Algunas de las tareas que puede completar en el Policy Manager, pero no con la Web UI incluyen:
n Ver o configurar opciones de proxy avanzadas.

n La vista avanzada de tipos de contenido proxy no est disponible.
n Algunas otras opciones de configuracin proxy no estn disponibles (varan segn el proxy).
n Editar reglas de NAT esttica (slo se pueden agregar y eliminar)
Gua del Usuario 31

Introduccin
n Exportar un certificado o ver detalles acerca de un certificado (slo se pueden importar

certificados).
n Activar la generacin de registro de diagnstico o cambiar los niveles de registro de diagnstico.
n Cambiar la generacin de registro de opciones de manejo predeterminado de paquetes.
n Activar o desactivar la notificacin de eventos de VPN para sucursales.
n Agregar o quitar entradas ARP estticas en la tabla ARP del dispositivo.
n Obtener el archivo de configuracin de Mobile VPN with SSL en forma manual.
n Obtener la configuracin de cliente usuario final de Mobile VPN with IPSec cifrada (.wgx) (slo se
puede obtener el archivo .ini equivalente, pero sin cifrar)
n Editar el nombre de una poltica.
n Agregar una direccin personalizada a una poltica.
n Utilizar un nombre de host (Bsqueda de DNS) para agregar una direccin IP a una poltica
n Utilizar administracinbasadaenroles(tambinconocidacomocontroldeaccesobasadoenrolesoRBAC).
n Ver o cambiar la configuracin de un dispositivo que es miembro de un FireCluster.
El grupo de aplicaciones incorporadas en WatchGuard System Manager incluye muchas otras herramientas
para monitoreo e informes. Algunas de las funciones proporcionadas por HostWatch, LogViewer, Report
Manager y WSM tampoco estn disponibles en la Web UI.
Para utilizar algunas funciones de Fireware XTM relacionadas con servidores WatchGuard, es necesario
instalar WatchGuard Server Center. No es necesario utilizar WatchGuard System Manager para instalar
WatchGuard Server Center. Los siguientes servidores WatchGuard pueden configurarse utilizando
WatchGuard Server Center:
n Management Server
n Log Server
n Report Server
n Quarantine Server
n WebBlocker Server
Para aprender cmo configurar funciones no admitidas en la Web UI o cmo utilizar WatchGuard Server
Center, consulte la Ayuda de Fireware XTM WatchGuard System Manager v11 en
http://www.watchguard.com/help/docs/wsm/11/es-ES/index.html.
Para conocer ms acerca de la CLI, consulte la Referencia de Command Line Interface de WatchGuard en
http://www.watchguard.com/help/documentation.
Concluya su instalacin
Despusde concluir el WebSetup Wizard, debe concluir lainstalacin de su dispositivoWatchGuard ensu red.
1. Ponga el dispositivo WatchGuard en su ubicacin fsica permanente.

2. Asegrese de que la puerta de enlace del equipo de administracin y el resto de la red de confianza
sea la direccin IP de la interfaz de confianza de su dispositivo WatchGuard.
3. Para conectarse a su dispositivo WatchGuard con la interfaz del usuario web de Fireware XTM, abra
un explorador web e ingrese:
https//[direccin IP de la interfaz de confianza del dispositivo
WatchGuard]:8080 .
n El URL para un dispositivo Firebox X Core, Peak o XTM es https://10.0.1.1:8080 .

n El URL predeterminado para un Firebox X Edge es https://192.168.111.1:8080 .
Para obtener ms informacin, consulte Conctese al Fireware XTM Web UI en la pgina 28.
Introduccin
4. Si usa una configuracin enrutada, asegrese de alterar la puerta de enlace puerta de enlace
predeterminada en todos los equipos que se conectan a su dispositivo WatchGuard para que la
direccin IP coincida con la de la interfaz de confianza del dispositivo WatchGuard.
5. Personalice su configuracin segn sea necesario para fines de seguridad de su empresa.
Para ms informacin, vea la siguiente seccin Personalizar su poltica de seguridad.
Personalizar su poltica de seguridad

Su poltica de seguridad controla quin puede entrar y salir de su red y a qu parte de su red se puede
entrar. El archivo de configuracin de su dispositivo WatchGuard administra las polticas de seguridad.
Cuando haya concluido el Quick Setup Wizard, el archivo de configuracin creado slo era una
configuracin bsica. Se puede modificar esa configuracin para que est de acuerdo con su poltica de
seguridad de su negocio y los requisitos de seguridad de su empresa. Puede agregar polticas de proxy y
filtrado de paquetes para definir qu puede entrar y salir de su red. Cada poltica puede tener efectos
diferentes sobre su red. Las polticas que aumentan su seguridad de red pueden disminuir el acceso a ella.
A su vez, las polticas que aumentan el acceso a su red pueden poner en riesgo la seguridad de la misma.
Para ms informaciones acerca de polticas, vea Acerca de polticas en la pgina 251.
Para una nueva instalacin, recomendamos que use solo polticas de filtrado de paquetes hasta que todos
sus sistemas estn funcionando correctamente. Segn sea necesario, puede agregar polticas de proxy.
Acerca de las LiveSecurity Service

Su dispositivo WatchGuard incluye una suscripcin al LiveSecurity Service. Su suscripcin:
n Asegura de que tenga la proteccin de red ms reciente con las actualizaciones de software
tambin ms recientes
n Provee soluciones a sus problemas con recursos completos de soporte tcnico
n Previene interrupciones de servicio con mensajes y ayuda de configuracin para los problemas de
seguridad ms recientes
n Ayuda a aprender ms acerca de seguridad de red a travs de recursos de capacitacin
n Extiende su seguridad de red con software y otras funciones
n Extiende la garanta de su hardware con sustitucin avanzada
Para ms informacin acerca del LiveSecurity Service, vea Acerca de las Soporte de WatchGuard en la
pgina 17.
Temas adicionales de instalacin

Conctese a un Firebox con Firefox v3
Los exploradores web usan certificados para asegurar que el dispositivo del otro lado de una conexin
HTTPS sea el dispositivo que se espera. Los usuarios ven un aviso cuando el certificado es autofirmado o
Gua del Usuario 33

Introduccin
cuando hay discrepancia entre la direccin IP o nombre del host solicitado y la direccin IP o nombre de
host en el certificado. Por defecto, su Firebox usa un certificado autofirmado que se puede usar para
configurar su red rpidamente. No obstante, cuando los usuarios se conectan a Firebox con un explorador
web, aparece un mensaje de aviso Error en la conexin segura.
Para evitar ese mensaje de error, recomendamos que agregue un certificado vlido firmado por una CA
(autoridad de certificacin) para su configuracin. Ese certificado de CA tambin puede ser usado para
mejorar la seguridad de la autenticacin por VPN. Para obtener ms informaciones sobre el uso de
certificados con los dispositivos Firebox, vea Acerca de los certificados en la pgina 385.
Si contina a usar el certificado autofirmado predeterminado, puede agregar una excepcin para Firebox
en cada equipo cliente. Las versiones actuales de la mayora de los exploradores web ofrecen un enlace en
el mensaje de aviso en el cual el usuario puede hacer clic para autorizar la conexin. Si su empresa usa
Mozilla Firefox v3, los usuarios pueden agregar una excepcin de certificado permanente antes de
conectarse al Firebox.
Las acciones que requieren una excepcin incluyen:
n Acerca de la autenticacin de usuario

n Instalar y conectar el cliente de Mobile VPN con SSL
n Ejecutar el Web Setup Wizard
n Conctese al Fireware XTM Web UI
Las URLs que suelen requerir una excepcin incluyen:

https://direccin IP o nombre de host de una interfaz Firebox:8080
https://direccin IP o nombre de host de una interfaz Firebox:4100
https://direccin IP o nome de host de Firebox:4100/sslvpn.html
Agregar una excepcin de certificado al Mozilla Firefox v3

Si agrega una excepcin en el Firefox v3 para el Firebox Certificate, el mensaje de aviso no aparece en las
conexiones siguientes. Debe agregar una excepcin separada para cada direccin IP, nombre de host y
puerto usado para conectarse al Firebox. Por ejemplo, una excepcin que usa un nombre de host que no
funciona adecuadamente si se conecta con una direccin IP. Del mismo modo, una excepcin que
especifica un puerto 4100 no se aplica a una conexin que no tiene un puerto especificado.
Nota Una excepcin de certificado no deja su equipo menos seguro. Todo el trfico de
red entre su equipo y el dispositivo WatchGuard permanece cifrado de modo
seguro con SSL.
Hay dos mtodos para agregar una excepcin. Debe poder enviar trfico al Firebox para agregar una
excepcin.
n Haga clic en el enlace en el mensaje de aviso Error en la conexin segura.

n Use el Administrador de Certificados del Firefox v3 para agregar excepciones.
En el mensaje de aviso Error en la conexin segura:
1. Haga clic en O puede agregar una excepcin.

2. Haga clic en Agregar excepcin.
Aparece el cuadro de dilogo "Agregar Excepcin de Seguridad".
Introduccin
3. Haga clic en Obtener Certificado.

4. Seleccione la casilla de verificacin Almacenar esa excepcin permanentemente.
5. Haga clic en Confirmar Excepcin de Seguridad.
Para agregar mltiples excepciones:
1. En Firefox, seleccione Herramientas > Opciones.

Aparece el cuadro de dilogo "Opciones".
2. Seleccione Avanzado.
3. Haga clic en la pestaa Cifrado y despus haga clic en Visualizar certificados.
Abre el cuadro de dilogo Administrador de Certificados.
4. Haga clic en la pestaa Servidores, y despus en Agregar excepcin.
5. En el cuadro de texto Ubicacin, ingrese la URL para conectarse al Firebox. Las URLs ms comunes
estn listadas arriba.
6. Cuando aparece la informacin del certificado en el rea Estado del Certificado, haga clic en
Confirmar Excepcin de Seguridad.
7. Haga clic en OK. Para agregar ms excepciones, repita los Pasos 4-6.
Identificar sus configuraciones de red

Para configurar su dispositivo WatchGuard, debe saber cierta informacin acerca de su red. Puede usar esa
seccin para aprender a identificar sus configuraciones de red.
Para una descripcin de lo bsico de red, vea Acerca de redes y seguridad de red en la pgina 1.
Requisitos de direcciones de red

Antes de empezar la instalacin, debe saber cmo su equipo obtiene una direccin IP. Su Proveedor de
servicios de Internet (ISP) o administrador de red corporativa puede proveerle esa informacin. Use el
mismo mtodo para conectar el dispositivo WatchGuard a Internet que usa para su equipo. Por ejemplo, si
conecta su equipo directamente a Internet con una conexin de banda ancha, puede poner el dispositivo
WatchGuard entre su equipo e Internet y usar la configuracin de red de su equipo para configurar la
interfaz externa del dispositivo WatchGuard.
Puede usar una direccin IP esttica, DHCP o PPPoE para configurar la interfaz externa del dispositivo
WatchGuard. Para obtener ms informacin acerca de las direcciones de red, vea Configurar una interfaz
externa en la pgina 82.
Su equipo debe tener un explorador web. El explorador web es usado para configurar y administrar el
dispositivo WatchGuard. Su equipo debe tener una direccin IP en la misma red que el dispositivo
WatchGuard.
En la configuracin predeterminada de fbrica, el dispositivo WatchGuard asigna una direccin IP a su

equipo con DHCP (siglas para Protocolo de configuracin de host dinmico). Puede configurar su equipo
Gua del Usuario 35

Introduccin
para que use DHCP y despus puede conectarse al dispositivo para administrarlo. Tambin puede otorgar
una direccin IP esttica a su equipo que est en la misma red que la direccin IP de confianza del
dispositivo WatchGuard. Para ms informaciones, vea Configure su equipo para conectarse a su dispositivo
WatchGuard en la pgina 37.
Buscar las propiedades TCP/IP

Para conocer las propiedades de la red, el usuario debe observar las propiedades TCP/IP de su equipo o de
cualquier otro equipo de la red. Debe contar con la siguiente informacin para instalar el dispositivo
WatchGuard:
n Direccin IP
n Mscara de subred
n Puerta de enlace predeterminada
n Direccin IP esttica o dinmica del equipo
n Direcciones IP principales y secundarias de los servidores DNS
Nota Si el ISP asigna al equipo del usuario una direccin IP que empieza con 10, 192.168
172.16 a 172.31, entonces el ISP utiliza NAT (Traduccin de direccin de red) y su
direccin IP es privada. Recomendamos obtener una direccin IP pblica para la
direccin IP externa de Firebox. Si el usuario tiene una direccin IP privada, puede
tener problemas con algunas funciones como la conexin a red privada virtual.
Para buscar las propiedades TCP/IP para el sistema operativo del equipo, se deben seguir las instrucciones
de las secciones siguientes.
Buscar las propiedades TCP/IP en Microsoft Windows Vista
1. Seleccione Inicio> Programas> Accesorios> Ventana de comandos.

Aparece el cuadro de dilogo Ventana de comandos.
2. En la ventana de comandos, ingrese ipconfig /all y presione Enter.
3. Anote los valores que se observan para el adaptador de red principal.
Buscar las propiedades TCP/IP en Microsoft Windows 2000, Windows 2003 y

Windows XP
1. Seleccione Inicio> Todos los programas> Accesorios> Ventana de comandos.

Buscar las propiedades TCP/IP en Microsoft Windows NT
1. Seleccione Inicio> Programas> Ventana de comandos.

Introduccin
Buscar las propiedades TCP/IP en Macintosh OS 9
1. Seleccione el Men Apple> Paneles de control> TCP/IP.

Aparece el cuadro de dilogo TCP/IP.
Buscar las propiedades TCP/IP en Macintosh OS X 10.5
1. Seleccione el Men Apple> Preferencias del sistema o seleccione el cono desde el dock.
Aparece el cuadro de dilogo Preferencias del sistema.
2. Haga clic en el cono Red.
Aparece el cuadro Preferencia de red.
3. Seleccione el adaptador de red que utiliza para conectarse a Internet.
4. Anote los valores que se observan para el adaptador de red.
Buscar las propiedades TCP/IP en otros sistemas operativos (Unix, Linux)
1. Lea la gua del sistema operativo para encontrar las configuraciones TCP/IP.
Buscar Configuraciones de PPPoE

Muchos ISPs usan el Protocolo Punto a Punto por Ethernet (PPPoE) porque es fcil usar con la
infraestructura de marcado. Si su ISP usa PPPoE para asignar direcciones IP, debe obtener esa informacin:
n Nombre de inicio de sesin

n Dominio (opcional)
n Contrasea
Configure su equipo para conectarse a su dispositivo

WatchGuard
Antes que pueda usar el Web Setup Wizard, debe configurar su equipo para conectar su dispositivo
WatchGuard. Puede configurar su tarjeta de interfaz de red para usar una direccin IP esttica o usar DHCP
para obtener una direccin IP automticamente.
Usar DHCP
Si su equipo no usa el sistema operativo Windows XP, lea la ayuda del sistema operativo para obtener
instrucciones acerca de cmo configurar su equipo para usar el DHCP.
Para configurar un equipo con Windows XP para usar DHCP:
1. Seleccione Inicio > Panel de control.

Aparece la ventana "Panel de control".
2. Haga doble clic en Conexiones de red.
Gua del Usuario 37

Introduccin
3. Haga doble clic en Conexin de rea local.

Aparece la ventana de "Estado de conexin de rea local".
4. Haga clic en Propiedades.
Aparece la ventana de "Propiedades de conexin de rea local".
5. Haga doble clic en Protocolo de internet (TCP/IP).
Aparece el cuadro de dilogo "Protocolo de internet (TCP/IP)".
6. Seleccione Obtener direccin IP automticamente y Obtener direccin de servidor DNS
automticamente.
7. Haga clic en Aceptar para cerrar el cuadro de dilogo Protocolo de Internet (TCP/IP).
8. Haga clic en Aceptar para cerrar el cuadro de dilogo Propiedades de conexin de red de rea local.
9. Cerrar las ventanas Estado de conexin de rea local, Conexiones de red y Panel de control.
Su equipo est listo para conectarse al dispositivo WatchGuard.
10. Cuando el dispositivo WatchGuard est listo, abra un explorador web.
11. En la barra de direcciones, ingrese la direccinIP de su dispositivo WatchGuard y presione Entrar.
12. Si aparece una advertencia de certificado, acptelo.
Se inicia el Quick Setup Wizard.
Nota La direccinIP para el Firebox X Edge es https://192.168.111.1/ .

La direccinIP predeterminada para un Firebox X Core o Peak, o dispositivo
WatchGuard XTM es https://10.0.1.1/ .
13. Ejecutar el Web Setup Wizard.
Use una direccin IP esttica

Si su equipo no usa el sistema operativo Windows XP, lea la ayuda del sistema operativo para obtener
instrucciones acerca de cmo configurar su equipo para usar lea direccin IP esttica. Debe seleccionar una
direccin IP en la misma subred como la red de confianza.
Para configurar un equipo con Windows XP para usar una direccin IP esttica:
1. Seleccione Inicio > Panel de control.

2. Haga doble clic en Conexiones de red.
3. Haga doble clic en Conexin de rea local.
Aparece la ventana de "Estado de conexin de rea local".
Aparece la ventana de "Propiedades de conexin de rea local".
5. Haga doble clic en Protocolo de internet (TCP/IP).
6. Seleccione Usar la siguiente direccin IP.
7. En el campo direccin IP, ingrese una direccin IP en la misma red que la interfaz de confianza de
Firebox.
Recomendamos esas direcciones:
n Firebox XEdge 192.168.111.2 para

n Firebox XCore o Peak, o dispositivo WatchGuard XTM 10.0.1.2
La red de interfaz de confianza predeterminada para un Firebox XEdge es 192.168.111.0.
La red de interfaz de confianza predeterminada para un Firebox XCore o Peak, o dispositivo WatchGuard
XTM es 10.0.1.0.
Introduccin
8. En el campo Subnet Mask, ingrese 255.255.255.0 .

9. En el campo Puerta de enlace predeterminada, ingrese la direccin IP de la interfaz de confianza
del dispositivo WatchGuard.
La direccin de la interfaz de confianza predeterminada del Edge es 192.168.111.1.
10. Haga clic en Aceptar para cerrar el cuadro de dilogo Protocolo de Internet (TCP/IP).
11. Haga clic en Aceptar para cerrar el cuadro de dilogo Propiedades de conexin de red de rea local.
12. Cerrar las ventanas Estado de conexin de rea local, Conexiones de red y Panel de control.
Su equipo est listo para conectarse al dispositivo WatchGuard.
13. Cuando el dispositivo WatchGuard est listo, abra un explorador web.
14. En la barra de direcciones, ingrese la direccinIP de su dispositivo WatchGuard y presione Entrar.

15. Si aparece una advertencia de certificado, acptelo.
Se inicia el Quick Setup Wizard.
Nota La direccinIP para el Firebox X Edge es https://192.168.111.1/ .

La direccinIP predeterminada para un Firebox X Core o Peak, o dispositivo
WatchGuard XTM es https://10.0.1.1/ .
16. Ejecutar el Web Setup Wizard.
Desactive el proxy de HTTP en el explorador

Muchos exploradores web estn configurados para usar un servidor proxy HTTP para aumentar la velocidad
de descarga de las pginas web. Para administrar o configurar el Firebox con la interfaz de administracin
web, su explorador debe conectase directamente con el dispositivo. Si usa un servidor proxy de HTTP, debe
desactivar temporalmente la configuracin de proxy HTTP en su explorador. Puede activar la configuracin
del servidor proxy HTTP en su explorador nuevamente despus que configure el Firebox.
Use esas instrucciones para desactivar el proxy HTTP en Firefox, Safari o Internet Explorer. Si est usando un
explorador diferente, use el sistema de Ayuda del explorador para encontrar la informacin necesaria.
Muchos exploradores automticamente desactivan la funcin de proxy del HTTP.
Desactivar el proxy HTTP en Internet Explorer 6.x o 7.x

1. Abra el Internet Explorer.
2. Seleccione Herramientas > Opciones de Internet.
Aparece el cuadro de dilogo de "Opciones de Internet".
3. Haga clic en la pestaa Conexiones.
4. Haga clic en Configuracin de LAN.
Aparece el cuadro de dilogo "Configuracin de red de rea local (LAN)".
5. Limpie la casilla de verificacin Usar un servidor proxy para su LAN.
6. Haga clic en Aceptar para cerrar el cuadro de dilogo Configuracin de red de rea local (LAN).
7. Haga clic en Aceptar para cerrar el cuadro de dilogo Opciones de Internet.
Desactivar el proxy HTTP en Firefox 2.x

1. Abra el Firefox.
2. Seleccione Herramientas > Opciones.
Gua del Usuario 39

Introduccin
3. Haga clic en el icono Avanzado.

4. Haga clic en la pestaa Red. Haga clic en Configuraciones.
5. Haga clic en Configuraciones de conexin.
Aparece el cuadro de dilogo "Configuraciones de conexin".
6. Asegrese de que la opcin Conexin directa a Internet est seleccionada.
7. Haga clic en Aceptar para cerrar el cuadro de dilogo Configuraciones de conexin.
8. Haga clic en Aceptar para cerrar el cuadro de dilogo Opciones.
Desactivar el proxy HTTP en Safari 2.0

1. Abra el Safari.
2. Seleccione Preferencias.
Aparece el cuadro de dilogo de "Preferencias" del Safari.
4. Haga clic en el botn Cambiar configuracin.
Aparece el cuadro de dilogo "Preferencias del Sistema".
5. Limpie la casilla de verificacin Proxy web (HTTP).
6. Haga clic en Aplicar ahora.
5 Informacin bsica sobre
configuracin y administracin
Acerca de las tareas bsicas de configuracin y

administracin
Despus que su dispositivo WatchGuard est instalado en su red y configurado con un archivo de
configuracin bsica, puede comenzar a aadir configuraciones personalizadas. Los tpicos en esta seccin
lo ayuda a concluir esas tareas bsicas de administracin y mantenimiento.
Hacer una copia de seguridad de la imagen de

Firebox
Una imagen de copia de seguridad de Firebox es una copia cifrada y guardada de una imagen de disco flash
del disco flash de Firebox. Eso incluye el software del dispositivo Firebox, archivo de configuracin, licencias
y certificados. Puede guardar una imagen de copia de seguridad en su de administracin o en un directorio
en su red. La imagen de copia de seguridad para un Firebox XEdge no incluye el software del dispositivo
Firebox.
Recomendamos que realice archivos de copia de seguridad de la imagen de Firebox peridicamente.

Tambin recomendamos que cree una imagen de copia de seguridad del Firebox antes de hacer cambios
significativos en la configuracin de su Firebox, o antes de actualizar su Firebox o el software del dispositivo.
1. Seleccione Imagen de copia de seguridad >de Sistema.

2. Ingrese y confirme una clave de cifrado. Esa es la clave utilizada para cifrar el archivo de copia de
seguridad. Si pierde o olvida la clave de cifrado, no puede restaurar el archivo de copia de
seguridad.
3. Haga clic en Copia de seguridad.
4. Seleccione una ubicacin para guardar el archivo de imagen de copia de seguridad e ingrese un
nombre de archivo.
La imagen de copia de seguridad est guardada en la ubicacin especificada.
Gua del Usuario 41

Informacin bsica sobre configuracin y administracin
Restaurar imagen de copia de seguridad de

Firebox
1. Seleccione Sistema > Restaurar Imagen.
2. Haga clic en Restaurar imagen.
3. Haga clic en Examinar.
4. Seleccione el archivo de imagen de copia de seguridad guardado. Haga clic en Abrir.
5. Haga clic en Restaurar.
6. Ingrese la clave de cifrado usada cuando cre la imagen de copia de seguridad.
Firebox restaura la imagen de copia de seguridad. Eso reinicia y usa la imagen de copia de seguridad.
Espere dos minutos antes de conectarse al Firebox nuevamente.
Si no logra restaurar la imagen de Firebox con xito, puede restablecer el Firebox. Dependiendo del
modelo de Firebox que tenga, puede restablecer el Firebox en sus configuraciones predeterminadas de
fbrica o ejecutar nuevamente el Quick Setup Wizard para crear una nueva configuracin.
Para ms informaciones, vea Restablecer un dispositivo Firebox o XTM a una configuracin anterior o nueva
en la pgina 48.
Utilice una unidad USB para realizar copias de

respaldo y restaurar el sistema
Una imagen de respaldo de un dispositivo WatchGuard XTM es una copia cifrada y guardada de la imagen
del disco de la unidad flash desde el dispositivo XTM. El archivo de imagen de respaldo incluye el sistema
operativo del dispositivo XTM, el archivo de configuracin, la tecla de funcin y los certificados.
En el caso de los dispositivos WatchGuard XTM 2 Series, 5 Series, 8 Series o XTM 1050, puede conectar una
unidad o un dispositivo de almacenamiento USB al puerto USB del dispositivo XTM para llevar a cabo los
procedimientos de copia de respaldo y restauracin. Cuando guarda una imagen de respaldo del sistema en
una unidad USB conectada, puede restaurar su dispositivo XTM a un estado conocido con mayor rapidez.
Nota No puede utilizar esta funcin en un dispositivo e-Series, porque los dispositivos e-
Series no tienen puerto USB.
Acerca de la unidad USB

La unidad USB debe ser formateada con el sistema de archivos FAT o FAT32. Si la unidad USB tiene ms de
una particin, Fireware XTM slo utiliza la primera particin. Cada imagen de respaldo del sistema puede
ser incluso de 30MB de tamao. Le recomendamos utilizar una unidad USB lo suficientemente grande para
almacenar varias imgenes de respaldo.
Guardar una imagen de respaldo en una unidad USB conectada

Para realizar este procedimiento, debe conectar una unidad USB a su dispositivo XTM.
1. Seleccione Sistema > Unidad USB.

Aparecer la pgina Copia de respaldo/Restaurar a unidad USB.
2. En la seccin Nueva imagen de respaldo, ingrese un Nombre de archivo para la imagen de

respaldo.
3. Ingrese y confirme una Encryption key. Esa es la clave utilizada para cifrar el archivo de respaldo. Si
pierde u olvida la encryption key, no puede restaurar el archivo de respaldo.
4. Haga clic en Guardar en unidad USB.
La imagen guardada aparece en la lista de Imgenes de respaldo del dispositivo disponibles despus de que se
termin de guardar.
Restaurar una imagen de respaldo desde una unidad USB

conectada
Para realizar este procedimiento, debe conectar una unidad USB a su dispositivo XTM.

Aparecer la pgina Copia de respaldo/Restaurar a unidad USB.
2. Desde la lista Imgenes de respaldo disponibles, seleccione un archivo de imagen de respaldo a

restaurar.
3. Haga clic en Restaurar la imagen seleccionada.
Gua del Usuario 43

4. Ingrese la Encryption key usada cuando cre la imagen de respaldo.

5. Haga clic en Restaurar.
El dispositivo XTM restaura la imagen de respaldo. Eso reinicia y usa la imagen de copia de seguridad.
Restaurar automticamente una imagen de respaldo desde un

dispositivo USB
Si se conecta una unidad USB (dispositivo de almacenamiento) a un dispositivo WatchGuard XTM en modo
de recuperacin, el dispositivo puede restaurar automticamente la imagen previamente respaldada en la
unidad USB. Para utilizar la funcin de restauracin automtica, primero debe seleccionar una imagen de
respaldo en la unidad USB como la que desea utilizar para el proceso de restauracin. Debe utilizar
Fireware XTM Web UI, Firebox System Manager o la Command Line Interface de Fireware XTM para
seleccionar esa imagen de respaldo.
Puede utilizar la misma imagen de respaldo para ms de un dispositivo, si todos los dispositivos pertenecen
a la misma familia de modelos de WatchGuard XTM. Por ejemplo, puede utilizar una imagen de respaldo
guardada en un XTM 530 como la imagen de respaldo de cualquier otro dispositivo XTM 5 Series.
Seleccione la imagen de respaldo que desea restaurar automticamente

Aparecer la pgina Copia de respaldo/Restaurar a unidad USB. Los archivos de imagen de respaldo guardados
aparecen en una lista en la parte superior de la pgina.
2. Desde la lista Imgenes de respaldo disponibles, seleccione un archivo de imagen de respaldo.

3. Haga clic en Utilizar la imagen seleccionada para la restauracin automtica.
4. Ingrese la Encryption key usada para crear la imagen de respaldo. Haga clic en Aceptar
El dispositivo XTM guarda una copia de la imagen de respaldo seleccionada en la unidad USB.
Si haba guardado una imagen de restauracin automtica anterior, el archivo auto-restore.fxi es

reemplazado por una copia de la imagen de respaldo seleccionada.
Advertencia
Si su dispositivo XTM ha utilizado una versin del sistema operativo Fireware XTM
anterior a la v11.3, debe actualizar la imagen de software del modo de
recuperacin en el dispositivo a la v11.3 de la funcin de restauracin automtica
a operar. Vea las Notas de versin de Fireware XTM 11.3 para obtener
instrucciones de actualizacin.
Restaurar la imagen de respaldo de un dispositivo XTM 5 Series, 8

Series o XTM 1050
1. Conecte la unidad USB que contiene la imagen de restauracin automtica a un puerto USB del
dispositivo XTM.
2. Apague el dispositivo XTM.
3. Presione la flecha hacia arriba en el panel delantero del dispositivo mientras lo enciende.
4. Mantenga el botn presionado hasta que aparezca "Iniciando modo de recuperacin" en la pantalla
LCD.
El dispositivo restaura la imagen de respaldo de la unidad USB y utiliza la imagen restaurada de manera
automtica despus de reiniciarse.
Si la unidad USB no contiene una imagen de restauracin automtica vlida para esta familia de modelos de
dispositivos XTM, el dispositivo no se reinicia y, en cambio, se inicia en modo de recuperacin. Si vuelve a
reiniciar el dispositivo, ste utilizar su configuracin actual. Cuando el dispositivo est en modo de
recuperacin, puede utilizar el WSM Quick Setup Wizard para crear una nueva configuracin bsica.
Para obtener ms informacin acerca WSM Quick Setup Wizard, vea Ejecutar el Quick Setup Wizard del WSM.
Restaurar la imagen de respaldo de un dispositivo XTM 2 Series

1. Conecte la unidad USB que contiene la imagen de restauracin automtica a un puerto USB del
dispositivo XTM 2 Series.
2. Desconecte la fuente de energa.
3. Presione y sostenga el botn Restablecer en la parte trasera del dispositivo.
4. Conecte el suministro de energa mientras sigue presionando el botn Restablecer.
5. Despus de 10 segundos, suelte el botn Restablecer.
El dispositivo restaura la imagen de respaldo de la unidad USB y utiliza la imagen restaurada de manera
automtica despus de reiniciarse.
Si la unidad USB no contiene una imagen de restauracin automtica vlida para 2 Series, la restauracin
automtica fallar y el dispositivo no se reiniciar. Si el proceso de restauracin automtica no resulta
exitoso, debe desconectar y volver a conectar la fuente de alimentacin para iniciar el dispositivo 2 Series
con las configuraciones predeterminadas de fbrica.
Para obtener informacin sobre las configuraciones predeterminadas de fbrica, vea Acerca de las
configuraciones predeterminadas de fbrica.
Gua del Usuario 45

Estructura del directorio de la unidad USB

Cuando guarda una imagen de respaldo en una unidad USB, el archivo se guarda en un directorio en la
unidad USB con el mismo nombre del nmero de serie de su dispositivo XTM. Esto significa que puede
almacenar imgenes de respaldo para ms de un dispositivo XTM en la misma unidad USB. Cuando restaura
una unidad de respaldo, el software recupera automticamente la lista de imgenes de respaldo
almacenada en el directorio asociado con ese dispositivo.
En cada dispositivo, la estructura del directorio en el dispositivo USB es la siguiente, donde sn se reemplaza
con el nmero de serie del dispositivo XTM:
\sn\flash-images\
\sn\configs\
\sn\feature-keys\
\sn\certs\
Las imgenes de respaldo de un dispositivo se guardan en el directorio \sn\flash-images . La imagen de

respaldo guardada en el directorio de imgenes flash contiene el sistema operativo de Fireware XTM, la
configuracin del dispositivo, las teclas de funcin y los certificados. Los subdirectorios \configs ,
\feature-keys y \certs no se utilizan para ninguna operacin de copia de respaldo y restauracin desde
una unidad USB. Puede utilizarlos para almacenar teclas de funcin, archivos de configuracin y certificados
adicionales para cada dispositivo.
Tambin hay un directorio en el nivel de raz de la estructura del directorio que se utiliza para almacenar la
imagen de respaldo de restauracin automtica designada.
\auto-restore\
Cuando designa una imagen de respaldo para utilizarla para la restauracin automtica, una copia de la
imagen de respaldo seleccionada se cifra y almacena en el directorio \auto-restore con el nombre de
archivo auto-restore.fxi . Slo puede tener una imagen de restauracin automtica guardada en cada
unidad USB. Puede utilizar la misma imagen de respaldo de restauracin automtica para ms de un
dispositivo, si ambos dispositivos pertenecen a la misma familia de modelos WatchGuard XTM. Por ejemplo,
puede utilizar una imagen de restauracin automtica guardada en un XTM 530 como la imagen de
restauracin automtica de cualquier otro dispositivo XTM 5 Series.
Debe utilizar el comando Sistema > Unidad USB para crear una imagen de restauracin automtica. Si copia
y renombra una imagen de respaldo manualmente y la almacena en este directorio, el proceso de
restauracin automtica no funciona correctamente.
Guardar una imagen de respaldo en una unidad USB conectada

a su de administracin
Puede usar Fireware XTM Web UI para guardar una imagen de respaldo en una unidad o un dispositivo de
almacenamiento USB conectado a su de administracin. Si guarda los archivos de configuracin para
mltiples dispositivos en la misma unidad USB, puede conectar la unidad USB a cualquiera de esos
dispositivos XTM para su recuperacin.
Si usa el comando Sistema > Unidad USB para hacer esto, los archivos se guardarn automticamente en el
directorio adecuado de la unidad USB. Si utiliza el comando Sistema > Imagen de respaldo , o si utiliza
Windows u otro sistema operativo para copiar manualmente los archivos de configuracin al dispositivo
USB, debe crear manualmente el nmero de serie correcto y los directorios de imgenes flash para cada
dispositivo (si todava no existen).
Antes de empezar
Antes de empezar, es importante que comprenda la Estructura del directorio de la unidad USB utilizada por
la funcin de respaldo y restauracin USB. Si no guarda la imagen de respaldo en la ubicacin correcta, es
posible que el dispositivo no la encuentre cuando le conecte la unidad USB.
Guardar la imagen de respaldo

Para guardar una imagen de respaldo en una unidad USB conectada a su de administracin, use los pasos
que se describen en Hacer una copia de seguridad de la imagen de Firebox. Cuando selecciona la ubicacin
en donde desea guardar el archivo, seleccione la letra correspondiente a la unidad USB conectada a su
computadora. Si desea que la imagen de respaldo que guarda sea reconocida por el dispositivo XTM cuando
conecte la unidad, asegrese de guardar la copia de respaldo en el directorio \flash-images bajo el
directorio nombrado con el nmero de serie de su dispositivo XTM.
Por ejemplo, si el nmero de serie de su dispositivo XTM es 70A10003C0A3D , guarde el archivo de la

imagen de respaldo en esta ubicacin de la unidad USB:
\70A10003C0A3D\flash-images\
Designar una imagen de respaldo para la restauracin automtica

Para designar una imagen de respaldo para el uso por parte de la funcin de restauracin automtica, debe
conectar la unidad USB al dispositivo y designar la imagen de respaldo que desea utilizar para la
restauracin automtica como se describe en Utilice una unidad USB para realizar copias de respaldo y
restaurar el sistema. Si guarda una imagen de respaldo manualmente en el directorio de restauracin
automtica, el proceso de restauracin automtica no funciona correctamente.
Gua del Usuario 47

Restablecer un dispositivo Firebox o XTM a una

configuracin anterior o nueva
Si su dispositivo Firebox o XTM tiene un problema de configuracin grave, puede restablecer el dispositivo a
su configuracin predeterminada de fbrica. Por ejemplo, si no sabe la contrasea de configuracin o si un
corte de suministro elctrico causa daos al sistema operativo de Fireware XTM, puede usar el Quick Setup
Wizard para conformar su configuracin nuevamente o restaurar una configuracin guardada.
Para una descripcin de las configuraciones predeterminadas de fbrica, vea Acerca de las configuraciones
predeterminadas de fbrica en la pgina 49.
Nota Si tiene un dispositivo WatchGuard XTM, tambin puede utilizar el modo seguro
para restaurar automticamente una imagen de respaldo del sistema desde un
dispositivo de almacenamiento USB. Para ms informaciones, vea Restaurar
automticamente una imagen de respaldo desde un dispositivo USB.
Iniciar un dispositivo Firebox o XTM en modo seguro

Para restaurar las configuraciones predeterminadas de fbrica para un dispositivo Firebox X Core e-Series,
Peak e-Series, WatchGuard XTM 5 Series, 8 Series o 10 Series, primero debe iniciar el dispositivo Firebox o
XTM en modo seguro.
1. Apague el dispositivo Firebox o XTM.

2. Presione el botn con la flecha hacia abajo en el panel delantero mientras enciende el dispositivo
Firebox o XTM.
3. Mantenga presionado el botn de la flecha hacia abajo hasta que aparezca el mensaje de inicio del
dispositivo en la pantalla LCD:
n En un dispositivo Firebox X Core e-Series o Peak e-Series, aparece WatchGuard

Technologies en la pantalla LCD.
n En un dispositivo WatchGuard XTM, aparece Iniciando modo seguro... en la pantalla.
Cuando el dispositivo est en modo seguro, la pantalla muestra el nmero del modelo seguido de la
palabra "seguro".
Cuando inicia un dispositivo en modo seguro:
n El dispositivo usa temporalmente las configuraciones de seguridad y de red predeterminadas de

fbrica.
n No se quita la tecla de funcin actual. Si ejecuta el Quick Setup Wizard para crear una nueva
configuracin, el asistente usa la tecla de funcin previamente importada.
n Su configuracin actual slo se elimina cuando guarda una nueva configuracin. Si reinicia el
dispositivo Firebox o XTM antes de guardar una nueva configuracin, el dispositivo volver a utilizar
su configuracin actual.
Restablecer un dispositivo Firebox X Edge e-Series o

WatchGuard XTM 2 Series a las configuraciones
predeterminadas de fbrica
Cuando reinicia un dispositivo Firebox X Edge e-Series o XTM 2 Series, las configuraciones originales son
reemplazadas por las configuraciones predeterminadas de fbrica. Para restablecer el dispositivo a las
configuraciones predeterminadas de fbrica:

2. Presione y sostenga el botn Restaurar en la parte trasera del dispositivo.
3. Conecte el suministro de energa mientras sigue presionando el botn Restaurar.
4. Siga presionando el botn Restaurar hasta que el indicador amarillo Attn se mantenga encendido.
Eso muestra que el dispositivo restaur con xito las configuraciones predeterminadas de fbrica.
En un Firebox X Edge e-Series, ese proceso puede llevar 45 segundos o ms. En un dispositivo 2 Series, ese
proceso puede llevar 75 segundos o ms.
5. Suelte el botn Restaurar.
Nota Debe iniciar el dispositivo nuevamente antes de conectarlo. Si no lo hace, cuando

intente conectar el dispositivo, aparecer una pgina web con este mensaje: Su
dispositivo se est ejecutando a partir de una copia de respaldo del firmware.
Tambin podr ver ese mensaje si el botn Restaurar queda fijo en la posicin de
presionado. Si sigue viendo ese mensaje, revise el botn Restaurar y reinicie el
dispositivo.

7. Conecte la fuente de energa nuevamente.
Se enciende el Indicador de Energa y su dispositivo es restablecido.
Ejecutar el Quick Setup Wizard

Despus de restaurar las configuraciones predeterminadas de fbrica, puede usar el Quick Setup Wizard
para crear una configuracin bsica o restaurar una imagen respaldo guardada.
Para ms informaciones, vea Acerca del Quick Setup Wizard en la pgina 24.
Acerca de las configuraciones predeterminadas

de fbrica
El trmino configuraciones predeterminadas de fbrica se refiere a la configuracin que est en el
dispositivo WatchGuard cuando lo recibe, antes de realizar cualquier cambio. Tambin puede restablecer
las configuraciones predeterminadas de fbrica en el Firebox, tal como se describe en Restablecer un
dispositivo Firebox o XTM a una configuracin anterior o nueva en la pgina 48.
Las propiedades de configuracin y red predeterminadas para el dispositivo WatchGuard son:
Gua del Usuario 49

Red de confianza (Firebox XEdge e-Series)
La direccin IP predeterminada para la red de confianza es 192.168.111.1. La Subnet Mask para la

red de confianza es 255.255.255.0.
La direccinIP predeterminada para el Fireware XTMWeb UI es https://192.168.111.1:8080.
Firebox est configurado para asignar direcciones IP a equipos en la red de confianza a travs de
DHCP. Por defecto, esas direcciones IP pueden ir desde 192.168.111.2 a 192.168.111.254.
Red de confianza (Firebox XCore y Peak e-Series y dispositivos WatchGuard XTM)
La direccinIP predeterminada para la red de confianza es 10.0.1.1. La Subnet Mask para la red de
confianza es 255.255.255.0.
El puerto y la direccin IP predeterminada para el Fireware XTMWeb UI es https://10.0.1.1:8080.
Firebox est configurado para asignar direccionesIP a equipos en la red de confianza a travs de
DHCP. Por defecto, esas direcciones IP puede ir desde 10.0.1.2 a 10.0.1.254..
Red externa
Firebox est configurado para obtener una direccin IP con DHCP.
Red opcional
La red opcional est desactivada.
Configuraciones de firewall
Todas las polticas entrantes son negadas. La poltica saliente permite todo el trfico saliente. Se
niegan las solicitudes de ping recibidas en la red externa.
Seguridad del sistema
Firebox posee cuentas de administrador acopladas admin (acceso de lectura y escritura) y estado
(acceso slo lectura). La primera vez que configura el dispositivo con el Quick Setup Wizard, define
las frases de contrasea de estado y configuracin. Despus de concluir el Quick Setup Wizard,
puede iniciar sesin en el Fireware XTMWeb UI sea con la cuenta de administrador admino estado.
Para tener acceso completo de administrador, inicie sesin con el nombre de usuario de admin e
ingrese la frase de contrasea de configuracin. Para acceso de slo lectura, inicie sesin con el
nombre de usuario de estado e ingrese la frase de contrasea de slo lectura.
Por defecto, Firebox est configurado para administracin local desde la red de confianza
solamente. Los cambios adicionales de configuracin deben ser realizados para permitir la
administracin desde la red externa.
Opciones de actualizacin
Para habilitar las opciones de actualizacin, como WebBlocker, spamBlocker y Gateway AV/IPS,
debe pegar o importar la tecla de funcin que habita esas funciones en la pgina de configuracin o
usar el comando Obtener Tecla de Funcin para activar las opciones de actualizacin. Si inicia el
Firebox en modo seguro, no es necesario importar la tecla de funcin nuevamente.
Acerca de las teclas de funcin

La tecla de funcin es una licencia que le permite utilizar diversas funciones en su dispositivo WatchGuard.
Al comprar una opcin o actualizacin y obtener una nueva tecla de funcin, aumenta la funcionalidad de
su dispositivo.
Cuando compra una nueva funcin

Cuando compra una nueva funcin para su dispositivo WatchGuard, debe:
n Obtener una tecla de funcin junto a LiveSecurity

n Agregar una tecla de funcin a su Firebox
Ver las funciones disponibles con la actual tecla de funcin

Su dispositivo WatchGuard siempre tiene una tecla de funcin activa actualmente. Para ver las funciones
disponibles con esa tecla de funcin:
1. Conctese al Fireware XTM Web UI.

2. Seleccione Sistema > Tecla de Funcin.
Aparece la pgina "Tecla de Funcin".
Gua del Usuario 51

La seccin Funciones incluye:
n Una lista de funciones disponibles

n Si la funcin est activada o no
n Valor asignado a la funcin, tal como nmero de interfacesVLAN permitidas
n Fecha de caducidad de la funcin
n Estado actual de caducidad, tal como cuntos das faltan para que la funcin caduque
n El nmero mximo de direcciones IP permitidas de acceso saliente (slo para dispositivos Firebox X
Edge XTM)
Obtener una tecla de funcin junto a LiveSecurity

Antes de activar una nueva funcin, o remover un servicio de suscripcin, debe tener un certificado de
license key de WatchGuard que no est registrado an en el sitio web de LiveSecurity. Cuando activa la
License Key, puede obtener una tecla de funcin que habilita la funcin activada en el dispositivo
WatchGuard. Tambin puede retener una tecla de funcin existente posteriormente.
Activar la license key para una funcin

Para activar una license key y obtener una tecla de funcin para la funcin activada:
1. Abra un explorador web y vaya a http://www.watchguard.com/activate.

Si todava no ha iniciado sesin en LiveSecurity, aparece la pgina de Inicio de Sesin de LiveSecurity.
2. Ingrese su nombre de usuario y contrasea de LiveSecurity.
Aparece la pgina Activar Productos.
3. Ingrese un nmero de serie o license key para el producto, tal como aparece en su certificado
impreso. Asegrese de incluir todos los guiones.
Use el nmero de serie para registrar un nuevo dispositivo WatchGuard y la license key para
registrar las funciones de complementos.
4. Haga clic en Continuar.

Aparece la pgina Elija el producto para actualizar.
5. En la lista desplegable, seleccione el dispositivo para actualizar o renovar.
Si agreg un nombre del dispositivo cuando registr su dispositivo WatchGuard, ese nombre
aparece en la lista.
6. Haga clic en Activar.
Aparece la pgina "Retener tecla de funcin".
7. Copie la tecla de funcin completa en un archivo de texto y gurdelo en su PC.

8. Haga clic en Finalizar.
Obtener una tecla de funcin actual

Puede registrarse en el sitio web de LiveSecurity para obtener una tecla de funcin actual o puede usar
Fireware XTM Web UIpara retener una tecla de funcin actual y agregarla directamente a su dispositivo
WatchGuard.
Cuando va al sitio web de LiveSecurity para retener su tecla de funcin, puede elegir entre descargar una o
ms teclas de funcin en un archivo comprimido. Si selecciona mltiples dispositivos, el archivo
comprimido contiene un archivo de tecla de funcin para cada dispositivo.
Para retener una tecla de funcin actual del sitio web de Live Security:
1. Abra un explorador web y vaya a http://www.watchguard.com/archive/manageproducts.asp.

Si todava no ha iniciado sesin en LiveSecurity, aparece la pgina de Inicio de Sesin de LiveSecurity.
2. Ingrese su nombre de usuario y contrasea de LiveSecurity.
Aparece la pgina "Administrar Productos".
3. Seleccione Teclas de Funcin.
Aparece la pgina "Retener Tecla de Funcin", con una lista desplegable para seleccionar un producto.
4. En la lista desplegable, seleccione su dispositivo WatchGuard.
5. Haga clic en Obtener Tecla.
Aparece una lista de todos sus dispositivos registrados. Aparece una marca de verificacin al lado del
dispositivo seleccionado.
6. Seleccione Mostrar teclas de funcin en la pantalla.
7. Haga clic en Obtener Tecla.
Aparece la pgina "Retener tecla de funcin".
8. Copie la tecla de funcin en un archivo de texto y gurdelo en su equipo.
Para usar el Fireware XTMWeb UIpara retener la tecla de funcin actual:

Aparece el Panel de Control del Fireware XTMWeb UI.
2. Seleccione Sistema> Tecla de Funcin .
Aparece la pgina Resumen de Tecla de Funcin.
Gua del Usuario 53

3. Haga clic en Obtener Tecla de Funcin.

Su tecla de funcin es descargada a partir de LiveSecurity y es automticamente actualizada en su dispositivo
WatchGuard.
Agregar una tecla de funcin a su Firebox

Si adquiere una nueva opcin o actualiza su dispositivo WatchGuard, puede agregar una nueva tecla de
funcin para activar las nuevas funciones. Antes de instalar la nueva tecla de funcin, debe remover
completamente la antigua.
1. Seleccione Sistema > Tecla de funcin.

Aparece la pgina Tecla de funcin de Firebox.
Las funciones que estn disponibles con esa tecla de funcin aparecenen esa pgina. Esa pgina
tambin incluye:
n Si la funcin est activada o no
n Un valor asignado a la funcin, tal como nmero de interfacesVLAN permitidas
n La fecha de caducidad de la funcin
n El tiempo que falta para que la funcin caduque
2. Haga clic en Remover para remover la tecla de funcin actual.

Pgina de cuadro de dilogo Todas las informaciones sobre teclas de funcin estn limpias de.
3. Haga clic en Actualizar.
Importar Tecla de Funcin de Firebox pgina aparece.
Gua del Usuario 55

4. Copiar el texto del archivo de la tecla de funcin y pegar en el cuadro de texto.

5. Haga clic Guardar.
La pgina "Tecla de funcin" reaparece con la informacin de la nueva tecla de funcin.
Remover una tecla de funcin

1. Seleccione Sistema > Tecla de funcin.
Aparece la pgina Tecla de funcin de Firebox.
2. Haga clic en Eliminar.
Todas las informaciones sobre teclas de funcin estn limpias en pgina.
Reiniciar su Firebox
Puede usar el Fireware XTM Web UI para reiniciar su Firebox desde un equipo en la red de confianza. Si
permite el acceso externo, tambin puede reiniciar el Firebox desde un equipo en Internet. Puede
determinar la hora del da en la cual su Firebox se reinicia automticamente.
Reiniciar Firebox de modo local

Para reiniciar Firebox de modo local, puede usar el Fireware XTMWeb UI o puede desconectar y conectar
nuevamente el dispositivo.
Reiniciar desde el Fireware XTM Web UI
Para reiniciar el Firebox desde el Fireware XTMWeb UI, debe iniciar sesin con acceso de lectura-escritura.
1. Seleccione Panel de Control>Sistema.

2. En la seccin Informacin del dispositivo, haga clic en Reiniciar.
Desconecte y vuelva a conectar
En el Firebox XEdge:
1. Desconecte el Firebox X Edge del suministro de energa.

2. Espere un mnimo de 10 segundos.
3. Conecte la fuente de energa nuevamente.
En el Firebox XCore o Peak, o en el dispositivo WatchGuard XTM:
1. Use el conmutador de energa para apagar el dispositivo.

2. Espere un mnimo de 10 segundos.
3. Encienda el dispositivo.
Reiniciar Firebox de modo remoto

Antes de conectarse a su Firebox para administrar o reiniciarlo desde un equipo remoto externo al Firebox,
primero debe configurar el Firebox para permitir la administracin desde la red externa.
Para ms informaciones, vea Administrar un Firebox desde una ubicacin remota en la pgina 72.
Para iniciar el Firebox de forma remota a partir del Fireware XTMWeb UI:
1. Seleccione Panel de Control> Sistema.

2. En la seccin Informacin del dispositivo, haga clic en Reiniciar.
Activar NTP y agregar servidores NTP

El Protocolo de Horario de Red (NTP, en las siglas en ingls) sincroniza el horario del reloj en toda una red.
Su Firebox puede usar el NTP para obtener el horario correcto automticamente desde los servidores NTP
en Internet. Como el Firebox usa el horario del reloj de su sistema para cada mensaje de registro que
genera, el horario debe estar ajustado correctamente. Se puede alterar el servidor NTP que Firebox utiliza.
Tambin puede agregar ms servidoresNTP o borrar los existentes, o puede ajustar el horario
manualmente.
Para usar NTP, la configuracin de su Firebox debe permitir DNS. El DNS es permitido en la configuracin
predeterminada por la poltica Saliente. Tambin debe configurar los servidores DNS para la interfaz
externa antes de configurar el NTP.
Gua del Usuario 57

Para obtener ms informacin acerca de esas direcciones, vea Agregar direcciones de servidor DNS y WINS.
1. Seleccionar Sistema >NTP.

Aparece el cuadro de dilogo Configuracin de NTP.
2. Seleccione Activar NTP Server .

3. Para agregar un servidorNTP, seleccione IP de hostoNombre de host (buscar)en la lista
desplegable Elegir tipo, despus ingrese la direccinIP o nombre del host del servidorNTP que
desea usar en el cuadro de texto al lado.
Se puede configurar hasta tres servidores NTP
4. Para borrar un servidor, seleccione la entrada del servidor y haga clic en Remover.
Definir la zona horaria y las propiedades bsicas

del dispositivo
Cuando ejecuta el Web Setup Wizard, se define la zona horaria y otras propiedades bsicas del dispositivo.
Para alterar las propiedades bsicas del dispositivo:
1. Conctese al Fireware XTMWeb UI.

2. Seleccione Sistema > Sistema.
Aparece la Configuracin del dispositivo.
3. Configurar esas opciones:
modelo de Firebox
Modelo y modelo de Firebox, tal como determinado por el Quick Setup Wizard.Si agrega una
nueva tecla de funcin al Firebox con una actualizacin de modelo, el modelo de Firebox en la
configuracin del dispositivo es automticamente actualizado.
Nombre
El nombre descriptivo del Firebox. Puede otorgar a Firebox un nombre descriptivo que
aparecer en sus informes y archivos de registro. De lo contrario, los informes y archivos de
registro usan la direccin IP del la interfaz externa de Firebox. Muchos clientes usan un domain
name totalmente cualificado como nombre descriptivo, caso registren ese nombre en el
sistema DNS. Debe otorgar un nombre descriptivo al Firebox si usa el Management Server para
configurar los certificados y tneles VPN.
Ubicacin, Contacto
Ingrese cualquier informacin que podra ser til para identificar y hacer el mantenimiento del
Firebox. Esos campos son llenados por el Quick Setup Wizard, caso haya insertado esa
informacin all.
Zona horaria
Seleccione la zona horaria para la ubicacin fsica del Firebox. La configuracin de zona horaria
controla la fecha y hora que aparecen en el archivo de registro y en las herramientas como el
LogViewer, Informes WatchGuard y WebBlocker.
Acerca del SNMP

El SNMP (siglas en ingls para Protocolo de Administracin de Red Simple) es usado para monitorear
dispositivos en su red. El SNMP utiliza bases de informacin de administracin (MIB) para definir cules
informaciones y eventos son monitoreados. Debe configurar una aplicacin de software separada, a
menudo denominada visor de eventos o explorador MIB, para recoger y administrar datos de SNMP.
Gua del Usuario 59

Hay dos tipos de MIBs: estndar y empresarial. Las MIBs estndares son definiciones de eventos de
hardware y red usadas por diversos dispositivos. Las MIBs empresariales son usados para dar informacin
acerca de eventos especficos a un fabricante determinado. Su Firebox soporta ocho MIBs estndares: IP-
MIB, IF-MIB, TCP-MIB, UDP-MIB, SNMPv2-MIB, SNMPv2-SMI, RFC1213-MIB y RFC1155 SMI-MIB. Tambin
soporta dos MIBs empresariales: WATCHGUARD-PRODUCTS-MIB y WATCHGUARD-SYSTEM-CONFIG-MIB.
Sondeos y capturas SNMP

Puede configurar su Firebox para aceptar sondeos de SNMP desde un servidor SNMP. El Firebox reporta
datos al servidor SNMP, tal como conteo de trfico de cada interfaz, tiempo de actividad del dispositivo, el
nmero de paquetes TCP recibidos y enviados, y la ltima alteracin de cada interfaz de red en el Firebox.
Una captura SNMP es una notificacin de evento que su Firebox enva a un sistema de administracin de
SNMP. La captura identifica cuando ocurre una condicin especfica, tal como un valor que sea exceda su
umbral predefinido. Su Firebox puede enviar una captura para cualquier poltica en el Policy Manager.
Una solicitud de informe de SNMP es similar a una captura, pero el receptor enva una respuesta. Si su
Firebox no obtiene una respuesta, l enva la solicitud de informe nuevamente hasta que el administrador
de SNMP enve una respuesta. Se enva una captura slo una vez, y el receptor no enva ningn tipo de
acuse de recibo al recibir la captura.
Acerca de las Bases de Informacin de Administracin (MIBs)

Fireware XTM soporta dos tipos de Bases de Informacin de Administracin (MIBs):
MIBs Estndares
Las MIBs estndares son definiciones de eventos de hardware y red usadas por diversos dispositivos.
Su dispositivo WatchGuard soporta ocho MIBs estndares:
n IP-MIB
n IF-MIB
n TCP-MIB
n UDP-MIB
n SNMPv2-MIB
n SNMPv2-SMI
n RFC1213-MIB
n RFC1155 SMI-MIB
Esas MIBs incluyen datos acerca de la informacin de red estndar, tal como direcciones IP y
configuracin de interfaz de red.
MIBs Empresariales
Las MIBs empresariales son usados para dar informacin acerca de eventos especficos a un
fabricante determinado. Su Firebox soporta las siguientes MIBs empresariales:
n WATCHGUARD-PRODUCTS-MIB
n WATCHGUARD-SYSTEM-CONFIG-MIB
n UCD-SNMP-MIB
Esas MIBs incluyen datos ms especficos acerca del hardware del dispositivo.
Al instalar el WatchGuard System Manager, las MIBs son instaladas en:
\My Documents\My WatchGuard\Shared WatchGuard\SNMP
Activar Sondeo de SNMP

Puede configurar su Firebox para aceptar sondeos de SNMP desde un servidor SNMP. Su Firebox reporta
datos al servidor SNMP, tal como conteo de trfico de cada interfaz, tiempo de actividad del dispositivo, el
nmero de paquetes TCP recibidos y enviados, y la ltima alteracin de cada interfaz de red.
1. Seleccione Sistema >SNMP.

Aparece la pgina SNMP.
2. Para activar el SNMP, en la lista desplegable Versin, seleccione v1, v2c, o v3.
3. Si seleccion la v1 o v2c para la versin del SNMP, ingrese la Cadena de comunidad que el servidor
SNMP usa cuando se contacta con el Firebox. La cadena de comunidad es como un ID de usuario y
contrasea que permite el acceso a las estadsticas de un dispositivo.
Si seleccion la v3 para la versin del SNMP, ingrese el Nombre del usuario que el servidor SNMP
usa cuando se contacta con el Firebox.
4. Si su servidor SNMP usa autenticacin, en la lista desplegable Protocolo de autenticacin,
seleccione MD5 o SHA e ingrese la Contrasea de autenticacin dos veces.
Gua del Usuario 61

5. Si su servidor SNMP usa cifrado, en la lista desplegable Protocolo de Privacidad, seleccione DES e
ingrese la Contrasea de cifrado dos veces.
Para habilitar su Firebox para que pueda recibir sondeos de SNMP, se debe agregar una poltica de SNMP.

2. Haga clic en Agregar.
3. Expanda la categora Filtrados de paquetes y seleccione SNMP. Haga clic en Agregar.
Aparece la pgina "Configuracin de Poltica".
4. Abajo del cuadro De, haga clic en Agregar.
Aparece la ventana Agregar miembro.
5. En la lista desplegable Insertar miembro, seleccione IP del host.
6. Ingrese la direccin IP de su servidor SNMP en el cuadro de texto al lado. Haga clic en OK.
7. Remueva la entrada Cualquiera de Confianza de la lista De.
8. Abajo del cuadro Para, haga clic en Agregar.
9. En el cuadro de dilogo Agregar miembro, seleccione Firebox. Haga clic en OK.
10. Remueva la entrada Cualquiera Externo de la lista Para.
Activar Capturas y estaciones de administracin de SNMP

Una captura SNMP es una notificacin de evento que el dispositivo WatchGuard enva a un sistema de
administracin de SNMP. La captura identifica cuando ocurre una condicin especfica, tal como un valor
que sea exceda su umbral predefinido. Su dispositivo WatchGuard puede enviar una captura para cualquier
poltica.
Una solicitud de informe de SNMP es similar a una captura, pero el receptor enva una respuesta. Si su
dispositivo WatchGuard no obtiene una respuesta, l enva la solicitud de informe nuevamente hasta que el
administrador de SNMP enve una respuesta. Se enva una captura slo una vez, y el receptor no enva
ningn tipo de acuse de recibo al recibir la captura.
Una solicitud de informe es ms confiable que una captura porque su dispositivo WatchGuard sabe si la
solicitud de informe fue recibida. No obstante, las solicitudes de informe consumen muchos recursos. Son
guardadas en la memoria hasta que el remitente obtenga una respuesta. Si se debe enviar una solicitud de
informe ms de una vez, los reintentos aumentan el trfico. Recomendamos que considere si vale la pena
usar la memoria del enrutador para cada notificacin de SNMP y aumentar el trfico de red.
Para activar las solicitudes de informe de SNMP, debe usar SNMPv2 o SNMPv3. SNMPv1 slo soporta
capturas, pero no solicitudes de informe.
Configurar Estaciones de Administracin de SNMP

1. Seleccione Sistema >SNMP.
Aparece la pgina SNMP.
2. En la lista desplegable Capturas de SNMP, seleccione la versin de la captura o informe que desea
usar.
SNMPv1 slo soporta capturas, pero no solicitudes de informe.
3. En el cuadro de texto Estaciones de Administracin deSNMP , ingrese la direccin IP de su servidor
SNMP. Haga clic en Agregar.
4. Para remover un servidor de la lista, seleccione la entrada y haga clic en Remover.
Agregar una poltica de SNMP

Para habilitar su Firebox para que pueda recibir sondeos de SNMP, se debe agregar una poltica de SNMP.

3. Expanda la categora Filtrados de paquetes y seleccione SNMP. Haga clic en Agregar poltica.
4. En el cuadro de texto Nombre, ingrese un nombre para la poltica.
5. Seleccione la casilla de verificacin Activar.
7. En la lista desplegable Tipo de miembro , seleccione el IP del host.
Gua del Usuario 63

8. En el cuadro de texto al lado, inserte la direccin IP de su servidor SNMP y despus haga clic en
Aceptar.
9. Remueva la entrada Cualquiera de Confianza de la lista De.
10. En la seccin Hasta, haga clic en Agregar.
11. En el cuadro de dilogo Agregar miembro, seleccione Firebox. Haga clic en OK.
12. Remueva la entrada Cualquiera Externo de la lista Para.
Enviar una captura SNMP para una poltica

Su Firebox puede enviar una captura SNMP cuando el trfico es filtrado por una poltica. Debe tener al
menos una estacin de administracinde SNMP configurada para activar las capturasSNMP.

2. Haga doble clic en una poltica.
O seleccione una poltica y haga clic en Editar.
3. Haga clic en la pestaa Propiedades.
4. En la seccin Registro, seleccione la casilla de verificacin Enviar Captura SNMP.
Acerca de las frases de contrasea, claves de

cifrado y claves compartidas de WatchGuard
Como parte de la solucin de seguridad de su red, utilice contraseas, claves de cifrado y claves
compartidas. Este tema incluye informacin sobre la mayora de las contraseas, claves de cifrado y claves
compartidas que usted utiliza para los productos WatchGuard. No incluye informacin sobre contraseas o
frases de contrasea de terceros. En los procedimientos relacionados tambin se incluye informacin
sobre las restricciones para las contraseas, las claves de cifrado y las claves compartidas.
Crear una contrasea, una clave de cifrado o una clave

compartida segura
Para crear una contrasea, una clave de cifrado o una clave compartida segura, se recomienda:
n utilice una combinacin de caracteres ASCII en minscula y en mayscula, nmeros y caracteres

especiales (por ejemplo, Im4e@tiN9);
n no utilice una palabra de los diccionarios estndar, incluso si la utiliza en una secuencia diferente o
en un idioma diferente; y
n no utilice un nombre. Resulta fcil para un atacante encontrar un nombre de empresa, un nombre
de familia o el nombre de alguien famoso.
Como medida de seguridad adicional, se recomienda cambiar las contraseas, las claves de cifrado y las
claves compartidas a intervalos regulares.
Frases de contrasea de Firebox

Un Firebox utiliza dos frases de contrasea:
Frase de contrasea de estado
La frase de contrasea o contrasea de slo lectura que permite acceso al Firebox. Cuando inicia
sesin con esta frase de contrasea, puede revisar su configuracin, pero no puede guardar los
cambios en el Firebox. La frase de contrasea de estado est asociada al estado del nombre de
usuario.
Frase de contrasea de configuracin
La frase de contrasea o contrasea de slo lectura que permite a un administrador tener acceso
pleno al Firebox. Debe utilizar esta frase de contrasea para guardar los cambios de configuracin
en el Firebox. sta es tambin la frase de contrasea que debe utilizar para cambiar sus frases de
contrasea de Firebox. La frase de contrasea de configuracin est asociada al nombre de usuario
del administrador.
Cada una de estas frase de contrasea de Firebox debe tener al menos ocho caracteres.
Frases de contrasea de usuario

Puede crear nombres de usuario y frases de contrasea para utilizar con la autenticacin de Firebox y la
administracin basada en roles.
Frases de contraseas de usuario para autenticacin de Firebox
Una vez que configura esta frase de contrasea de usuario, los caracteres se enmascaran y la frase
de contrasea no vuelve a aparecer en texto simple. Si se pierde la frase de contrasea, debe
configurar una nueva frase de contrasea. El rango permitido para esta frase de contrasea es de
entre ocho y 32 caracteres.
Frases de contrasea de usuario para administracin basada en roles
Una vez que configura esta frase de contrasea de usuario, no vuelve a aparecer en el cuadro de
dilogo Propiedades de usuario y de grupo. Si se pierde la frase de contrasea, debe configurar una
nueva frase de contrasea. Esta frase de contrasea debe tener al menos ocho caracteres.
Frases de contrasea del servidor

Frase de contrasea del administrador
La frase de contrasea del administrador se utiliza para controlar el acceso a WatchGuard Server
Center. Tambin puede utilizar esta frase de contrasea cuando se conecta a su Management Server
desde WatchGuard System Manager (WSM). Esta frase de contrasea debe tener al menos ocho
caracteres. La frase de contrasea del administrador est relacionada con la admin del nombre de
usuario.
Secreto compartido del servidor de autenticacin
El secreto compartido es la clave que Firebox y el servidor de autenticacin utilizan para asegurar la
informacin de autenticacin que se transfiere entre ellos. El secreto compartido distingue
maysculas de minsculas y debe ser el mismo en Firebox que en el servidor de autenticacin. Los
servidores RADIUS, SecurID y VASCO utilizan una clave compartida.
Gua del Usuario 65

Claves de cifrado y claves compartidas

Encryption Key del Log Server
La clave de cifrado se utiliza para crear una conexin segura entre Firebox y los Log Servers, y para
evitar ataques man-in-the-middle (o de intrusos). El rango permitido para la clave de cifrado es de
8 a 32 caracteres. Puede usar todos los caracteres, excepto los espacios o barras diagonales o
invertidas (/ o \).
Respaldar/restablecer clave de cifrado
sta es la clave de cifrado que usted crea para cifrar un archivo de respaldo de su configuracin de
Firebox. Al restablecer un archivo de respaldo, utilice la clave de cifrado que seleccion cuando
cre el archivo de respaldo de configuracin. Si pierde o olvida la clave de cifrado, no puede
restaurar el archivo de copia de seguridad. La clave de cifrado debe tener al menos ocho caracteres
y no puede tener ms de 15 caracteres.
Clave compartida VPN
La clave compartida es una contrasea utilizada por dos dispositivos para cifrar y descifrar los datos
que pasan a travs del tnel. Los dos dispositivos usan la misma frase de contrasea. Si los
dispositivos no tienen la misma frase de contrasea, no pueden encriptar o descifrar los datos
correctamente.
Alterar frases de contrasea de Firebox

Firebox usa dos frases de contrasea:
Frase de contrasea de estado
La frase de contrasea o contrasea de slo lectura que permite acceso al Firebox.
Frase de contrasea de configuracin
La frase de contrasea o contrasea de slo lectura que permite a un administrador tener acceso
pleno al Firebox.
Para obtener ms informacin acerca de las frases de contrasea, vea Acerca de las frases de contrasea,
claves de cifrado y claves compartidas de WatchGuard en la pgina 64.
Para alterar las frases de contrasea:
1. Seleccione Sistema > Frase de contrasea.

Aparece la pgina Frase de contrasea.
2. Ingrese y confirme las frases de contrasea de nuevo estado (slo lectura) y confirmacin
(lectura/escritura). La frase de contrasea de estado debe ser diferente de la frase de contrasea de
configuracin.
Defina las configuraciones globales del Firebox

En Fireware XTM Web UIse pueden seleccionar configuraciones que controlen las acciones de muchas
funciones de los dispositivos Firebox y XTM. Se configuran los parmetros bsicos para:
n Administracin de errores ICMP

n Comprobacin TCP SYN
n Ajuste del tamao mximo de TCP
n Administracin de trfico y QoS
n Puerto de interfaz del usuario web
Para modificar las configuraciones globales:
1. Seleccionar Sistema >Configuraciones globales.

Aparece el cuadro de dilogo Configuraciones globales.
Gua del Usuario 67

2. Configure las diferentes categoras de las configuraciones globales como se describe en las
siguientes secciones.
Defina las configuraciones globales de administracin de

errores ICMP
El Protocolo de mensajes de control de Internet (ICMP) controla errores en las conexiones. Se utiliza para
dos tipos de operaciones:
n Para informar a los host clientes acerca de condiciones de error.

n Para sondear una red a fin de encontrar caractersticas generales acerca de sta.
El Firebox enva un mensaje de error ICMP cada vez que ocurre un evento que coincide con uno de los
parmetros seleccionados. Estos mensajes son herramientas convenientes para utilizar cuando se
resuelven problemas, pero tambin pueden reducir la seguridad porque exponen informacin acerca de la
red. Si el usuario rechaza estos mensajes ICMP, puede aumentar la seguridad al impedir los sondeos de red,
pero esto tambin puede generar demoras del tiempo de espera para conexiones incompletas, lo cual
puede causar problemas en las aplicaciones.
Las configuraciones para la administracin global de errores de ICMP son:
Se requiere fragmentacin (PMTU)
Seleccione esta casilla de verificacin para permitir los mensajes "Se requiere fragmentacin" de
ICMP. El Firebox utiliza estos mensajes para encontrar la ruta MTU.
Tiempo excedido
Seleccione esta casilla de verificacin para permitir mensajes de "Tiempo excedido" de ICMP. Un
enrutador en general enva estos mensajes cuando ocurre un bucle en la ruta.
No se puede alcanzar la red
Seleccione esta casilla de verificacin para permitir mensajes "No se puede alcanzar la red" de
ICMP. Un enrutador en general enva estos mensajes cuando un enlace de red est roto.
No se puede alcanzar el host
Seleccione esta casilla de verificacin para permitir mensajes "No se puede alcanzar el host" de
ICMP. La red en general enva estos mensajes cuando no puede utilizar un host o servicio.
No se puede alcanzar el puerto
Seleccione esta casilla de verificacin para permitir mensajes "No se puede alcanzar el puerto" de
ICMP. Un host o firewall en general enva estos mensajes cuando un servicio de red no est
disponible o no est permitido.
No se puede alcanzar el protocolo
Seleccione esta casilla de verificacin para permitir mensajes "No se puede alcanzar el protocolo"
de ICMP.
Para anular estas configuraciones globales de ICMP para una poltica especfica: Fireware XTM Web UI:

2. Haga doble clic en la poltica para editarla.
Aparece la pgina Configuracin de polticas.
3. Seleccione la pestaa Avanzado.
3. Seleccione la casilla de verificacin Utilizar administracin de errores de ICMP basada en polticas.
4. Seleccione la casilla de verificacin slo para las configuraciones que desea activar.
Habilitar la comprobacin TCP SYN

La comprobacin TCP SYN garantiza que el protocolo de enlace de tres vas TCP se complete antes de que el
dispositivo Firebox o XTM permita una conexin de datos.
Gua del Usuario 69

Definir las configuraciones globales de ajuste de tamao

mximo del segmento TCP
El segmento TCP puede configurarse en un tamao especfico para una conexin que debe tener ms
sobrecarga TCP/IP de capa 3 (por ejemplo, PPPoE, ESP o AH). Si este tamao no est configurado
correctamente, los usuarios no pueden obtener acceso a algunos sitios web. Las configuraciones globales
de ajuste de tamao mximo del segmento TCP son:
Ajuste automtico
El dispositivo Firebox o XTM examina todas las negociaciones de tamao mximo del segmento
(MSS) y cambia el valor de MSS al correspondiente.
Sin ajustes
El dispositivo Firebox o XTM no cambia el valor de MSS.
Limitar a
El usuario configura un lmite de ajuste del tamao.
Activar o desactivar la administracin de trfico y QoS

Para los fines de prueba de rendimiento o depuracin de la red, el usuario puede desactivar las funciones
de administracin de trfico y QoS.
Para activar estas funciones:
Seleccione la casilla de verificacin Activar todas las funciones de administracin de trfico y QoS.
Para desactivar estas funciones:
Desmarque la casilla de verificacin Activar todas las funciones de administracin de trfico y QoS.
Cambiar el puerto Web UI

De manera predeterminada, la Fireware XTM Web UI utiliza el puerto 8080.
Para cambiar este puerto:
1. En el cuadro de texto Puerto Web UI , ingrese o seleccione un nmero de puerto diferente.

2. Utilice el nuevo puerto para conectarse a la Fireware XTM Web UI y pruebe la conexin con el
nuevo puerto.
Reinicio automtico
Puede programar el dispositivo Firebox o XTM para que se reinicie automticamente en el da y la hora
especificados.
Para programar un reinicio automtico para el dispositivo:
1. Seleccione la casilla de verificacin Programar horario para reiniciar.

2. En la lista desplegable adyacente, seleccione Diario para reiniciar a la misma hora todos los das o
seleccione un da de la semana para un reinicio semanal.
3. En los cuadros de texto adyacentes, ingrese o seleccione la hora y los minutos del da (en formato
de 24 horas) en que desea que comience el reinicio.
Consola externa
Esta opcin slo est disponible para los dispositivos y configuraciones Firebox X Edge. Seleccione esta
casilla de verificacin para usar el puerto serie para conexiones de consola, como la CLI (interfaz de lnea
de comandos) del Fireware XTM. El puerto serie no puede usarse para conmutacin por error de mdem
cuando esta opcin est seleccionada y es necesario reiniciar el dispositivo para cambiar esta configuracin.
Acerca de los servidores WatchGuard System

Manager
Cuando instala el software de WatchGuard System Manager, puede elegir instalar uno o ms servidores
WatchGuard System Manager. Tambin puede ejecutar el programa de instalacin y seleccionar instalar un
solo servidor o ms servidores, sin WatchGuard System Manager. Cuando instala un servidor, el programa
de WatchGuard Server Center se instala automticamente. WatchGuard Server Center es una aplicacin
unificada que usted puede utilizar para establecer, configurar, guardar un archivo de respaldo y restablecer
todos los servidores WatchGuard System Manager.
Cuando utiliza Fireware XTM Web UI para administrar su Firebox o dispositivos XTM, tambin puede elegir
utilizar los servidores WatchGuard System Manager y WatchGuard Server Center. Para obtener ms
informacin sobre WatchGuard System Manager, los servidores WatchGuard System Manager y
WatchGuard Server Center, consulte Ayuda de Fireware XTMWatchGuard System Manager v11.x y la Gua
de usuario de WatchGuard System Manager v11.x de Fireware XTM.
WatchGuard System Manager incluye cinco servidores:
n Management Server
n Log Server
n Report Server
n Quarantine Server
n WebBlocker Server
Para obtener ms informacin sobre WatchGuard System Manager y los servidores WatchGuard, consulte
Ayuda de Fireware XTMWatchGuard System Manager v11.x o la Gua de usuario v11.x.
Cada servidor tiene una funcin especfica:
Management Server
El Management Server funciona en un equipo Windows. Con este servidor, puede manejar todos los
dispositivos firewall y crear tneles de red privada virtual (VPN) con slo arrastrar y soltar. Las
funciones bsicas del Management Server son:
n Autoridad de certificacin para distribuir certificados para tneles de seguridad del protocolo
de Internet (IPSec).
Gua del Usuario 71

n Administracin de la configuracin del tnel VPN.

n Administracin de mltiples dispositivos Fireware XTM y Firebox
Para obtener ms informacin acerca del Management Server, consulte Acerca del WatchGuard
Management Server la Ayuda de Fireware XTMWatchGuard System Manager v11.x o la Gua de
usuario v11.x..
Log Server
El Log Servers recopila mensajes de registro para cada dispositivo Firebox y XTM, y los guarda en una
base de datos PostgreSQL. Los mensajes de registro se cifran cuando se envan al Log Servers. El
formato del mensaje de registro es XML (texto sin formato). Los tipos de mensajes de registro que el
Log Servers recopila incluyen mensajes de registro de trfico, mensajes de registro de eventos,
alarmas y mensajes de diagnstico.
Para obtener ms informacin sobre los Log Servers, consulte la Ayuda de Fireware XTM
WatchGuard System Manager v11.x o la Gua de usuario v11.x..
Report Server
El Report Server agrupa peridicamente los datos recopilados por sus Log Server desde sus
dispositivos Firebox y XTM, y los almacena en una base de datos PostgreSQL. El Report Server luego
genera los reportes que usted especifica. Cuando los datos se encuentran en el Report Server,
puede revisarlos con el Report Manager o la Web UI (interfaz de usuario) de reporte.
Para obtener ms informacin acerca de cmo utilizar la Reporting Web UI, consulte la Ayuda de la
Reporting Web UI.
Para obtener ms informacin sobre el Report Server, consulte la Ayuda de Fireware XTM
WatchGuard System Manager v11.x o la Gua de usuario v11.x.
Quarantine Server
El Quarantine Server recopila y asla mensajes de correo electrnico que spamBlocker identifica
como posible spam.
Para obtener ms informacin sobre el Quarantine Server, consulte Pgina Acerca de Quarantine
Server en la pgina 635.
WebBlocker Server
El WebBlocker Server funciona con el proxy HTTP para denegar el acceso de usuario a categoras
especificadas de sitios web. Cuando configura Firebox, establece las categoras de sitio web que
desea permitir o bloquear.
Para obtener ms informacin sobre WebBlocker y el WebBlocker Server, consulte Acerca de las
WebBlocker en la pgina 561.
Administrar un Firebox desde una ubicacin remota

Cuando configura un Firebox con el Quick Setup Wizard, se crea automticamente una poltica llamada
poltica WatchGuard. Esa poltica permite conectarse y administrar el Firebox desde cualquier equipo en
redes de confianza u opcional. Si desea administrar el Firebox desde una ubicacin remota (cualquier
ubicacin externa al Firebox), debe alterar la poltica WatchGuard para permitir conexiones administrativas
desde la direccin IP de su ubicacin remota.
La poltica WatchGuard controla el acceso al Firebox en esos cuatro puertos TCP: 4103, 4105, 4117, 4118.
Cuando permite las conexiones en la poltica WatchGuard, permite las conexiones a cada uno de esos
cuatro puertos.
Antes de modificar la poltica WatchGuard, recomendamos que considere conectarse al Firebox con una
VPN. Eso aumenta enormemente la seguridad de la conexin. Caso no sea posible, recomendamos que
permita el acceso desde la red externa slo a determinados usuarios autorizados y al nmero de equipos
ms pequeo posible. Por ejemplo, su configuracin es ms segura si permite conexiones desde un equipo
simple en vez de desde el alias "Cualquier-externo".

2. Haga doble clic en la poltica de WatchGuard.
O haga clic en la poltica WatchGuard y seleccione Editar.
Aparece la pgina de Configuracin de Poltica.
Gua del Usuario 73


Aparece el cuadro de dilogo "Agregar miembro".
4. Agregar la direccin del equipo externo que se conecta al Firebox: en la lista desplegable Tipo de
miembro, seleccione IP del host, y haga clic en Aceptar. Despus, ingrese la direccinIP.
5. Si desea otorgar acceso a un usuario autorizado en la lista desplegable Tipo de miembro seleccione
Alias.
Para obtener informacin sobre cmo crear un alias, vea Crear un alias en la pgina 258.
Configurar un Firebox como un dispositivo

administrado
Si su Firebox tiene una direccinIP dinmica o si el Management Server no puede conectarse a l por
cualquier otra razn, es posible configurar el Firebox como cliente administrado antes de aadirlo al
Management Server.
Editar la poltica WatchGuard

Aparece la pgina "Polticas de Firewall".
2. Haga doble clic en la poltica WatchGuard para abrirla.
Aparece el cuadro de dilogo de la pgina Configuracin de Polticas para la poltica WatchGuard.
3. En las la lista desplegable Conexiones, asegrese que Permitido est seleccionado.

5. En el Tipo de miembro lista desplegable, seleccione el IP del host.
6. En el cuadro de texto ,Tipo inserte la direccin IP de la interfaz externa del Firebox de puerta de
enlace.
Si no tiene un Firebox de puerta de enlace que proteja el Management Server contra la Internet,
ingrese la direccin IP esttica del Management Server.
7. Haga clic en OK para cerrar el cuadro de dilogo Agregar miembro.
8. Asegrese de que la seccin Para incluya una entrada para Firebox o para Cualquiera.
Ahora puede agregar el dispositivo a la Management Server configuration. Cuando agrega ese Firebox a la
Management Server configuration, ste automticamente se conecta a la direccin IP esttica y configura el
Firebox como un cliente Firebox administrado.
Gua del Usuario 75

Configurar Dispositivo Administrado

(Opcional) Si su Firebox tiene una direccinIP dinmica o si el Management Server no puede encontrar la
direccin IP del Firebox por algn motivo, es posible usar ese procedimiento para preparar su Firebox para
que sea administrado por el Management Server.
1. Seleccione Sistema > Dispositivos Administrados.

Aparece la pgina "Dispositivo Administrado".
2. Para configurar un Firebox como dispositivo administrado, seleccione la casilla Centralized

Management.
3. En el campo Nombre del dispositivo administrado, ingrese el nombre que desea dar al Firebox
cuando lo agrega a la Management Server configuration.
Ese nombre distingue maysculas de minsculas y debe coincidir con el nombre usado al agregar el
dispositivo a la Management Server configuration.
4. En la ventana Direccin(es)IP del Management Server , seleccione la direccin IP del Management
Server caso tenga una direccin IP pblica.
O seleccione la direccin IP pblica del Firebox de puerta de enlace para el Management Server.
5. Para agregar una direccin, haga clic en Agregar.
El Firebox que protege el Management Server automticamente monitorea todos los puertos
usados por el Management Server y enva cualquier conexin de esos puertos hacia el Management
Server configurado. Cuando usa el Management Server Setup Wizard, el Asistente aade una poltica
WG-Mgmt-Server a su configuracin para cuidar de esas conexiones. Si no us el Management
Server Setup Wizard en el Management Server o si salt el paso Firebox de Puerta de Enlace en el
asistente, debe aadir manualmente la poltica WG-Mgmt-Server a la configuracin de su Firebox de
puerta de enlace.
6. En los campos Shared Secret y Confirmar, ingrese el secreto compartido.
El secreto compartido ingresado aqu debe coincidir con aqul ingresado al agregar el Firebox a la
Management Server configuration.
7. Copie el texto de su archivo de certificado CA del Management Server, y pguelo en el campo
Certificado de Management Server.
Cuando guarda la configuracin en el Firebox, ste queda activado como dispositivo administrado. El
Firebox administrado intenta conectarse a la direccin IP del Management Server en el puerto TCP 4110.
Las conexiones de administracin no son permitidas a partir del Management Server para este dispositivo
Firebox.
Ahora puede agregar el dispositivo a la Management Server configuration. Para obtener ms informacin
acerca de la Ayuda del WatchGuard System Manager o Gua del usuario.
Tambin puede usar el WSM para configurar el modo de administracin de su dispositivo. Para obtener ms
informacin acerca de la Ayuda del WatchGuard System Manager o Gua del usuario.
Actualizar para una nueva versin del Fireware XTM

Peridicamente, el WatchGuard crea nuevas versiones Fireware XTM disponible a los usuarios de Firebox
con suscripciones activas del LiveSecurity. Para actualizar desde una versin del Fireware XTM hacia una
nueva versin de Fireware XTM, use los procedimientos en las siguientes secciones.
Instalar la actualizacin en su equipo administrado

1. Descargue el software actualizado de Fireware XTM en la seccin de Descargas de Software del sitio
web de WatchGuard en http://www.watchguard.com.
Gua del Usuario 77

2. Inicie el archivo descargado desde el sitio web de LiveSecurity y use el procedimiento en pantalla
para instalar el archivo de actualizacin del Fireware XTM en el directorio de instalacin de
WatchGuard en su equipo de administracin.
Por defecto, el archivo es instalado en una carpeta en:
C:\Program Files\Common Files\WatchGuard\resources\FirewareXTM\11.0
Actualizar el Firebox
1. Seleccione Sistema >Imagen de copia de seguridad para guardar una imagen de copia de
seguridad de su Firebox.
Para ms informaciones, vea Hacer una copia de seguridad de la imagen de Firebox en la pgina 41.
2. Seleccione Sistema >Actualizar OS.
3. Ingrese el nombre de archivo o haga clic en Examinar para seleccionar el archivo de actualizacin
desde el directorio en el que est instalado.
El nombre del archivo termina con .sysa_dl.
4. Haga clic en Actualizar.
El procedimiento de actualizacin puede llevar hasta 15 minutos y automticamente reinicia el dispositivo

WatchGuard.
Si su dispositivo WatchGuard estuvo funcionando por algn tiempo antes de la actualizacin, puede ser
necesario reiniciar el dispositivo antes de iniciar la actualizacin, para que se limpie la memoria temporal.
Descargue el archivo de configuracin

A partir del Fireware XTMWeb UI, puede descargar la configuracin de su dispositivo WatchGuard en un
archivo comprimido. Eso puede ser til si desea abrir el mismo archivo de configuracin en el Policy
Manager de Fireware XTM pero no logra conectarse al dispositivo desde el Policy Manager. Eso tambin
puede ser til si desea enviar un archivo de configuracin al representante de WatchGuard Technical
Support.
1. Seleccione Sistema >Configuracin.

Aparece la pgina de descarga del Archivo de configuracin.
2. Haga clic en Descargar archivo de configuracin.
Aparece el cuadro de dilogo "Seleccionar ubicacin para descarga".
3. Seleccione una ubicacin para guardar el archivo de configuracin.
El archivo de configuracin es guardado en un archivo en formato comprimido (.gz). Antes que pueda usar
ese archivo con el Policy Managerde Fireware XTM, debe extraer el archivo zipeado hacia una carpeta en
su equipo.
Para obtener ms informacin acerca del Policy Manager, vea la Ayuda del WatchGuard System Manager.
6 Configuracin de red
Acerca de las configuracin de interfaz de red

Un componente principal de la configuracin del dispositivo WatchGuard es la configuracin de las
direcciones IP de la interfaz de red. Cuando se ejecuta el Quick Setup Wizard, las interfaces externa y de
confianza se configuran de manera tal que el trfico pueda circular desde dispositivos protegidos a una red
externa. Puede seguir los procedimientos en esta seccin para cambiar la configuracin despus de
ejecutar el Quick Setup Wizard o para agregar otros componentes de su red a la configuracin. Por
ejemplo, puede configurar una interfaz opcional para servidores pblicos como un servidor web.
El dispositivo WatchGuard separa fsicamente a las redes en la red de rea local (LAN) de las que se
encuentran en la red de rea ancha (WAN) como Internet. El dispositivo utiliza enrutamiento para enviar
paquetes desde las redes que protege a redes fuera de la organizacin. Para hacerlo, el dispositivo debe
conocer qu redes estn conectadas en cada interfaz.
Recomendamos registrar la informacin bsica acerca de la configuracin de red y VPN en caso de que
necesite contactar a soporte tcnico. Esta informacin puede ayudar al tcnico a resolver su problema con
rapidez.
Modos de red
El dispositivo WatchGuard admite varios modos de red:
Modo de enrutamiento combinado
En el modo de enrutamiento combinado, se puede configurar Firebox para que enve trfico de red
entre una amplia variedad de interfaces de red fsica y virtual. ste es el modo de red
predeterminado y ofrece la mayor flexibilidad para diferentes configuraciones de red. Sin embargo,
cada interfaz debe configurarse por separado y es posible que deba cambiarse la configuracin de
red para cada computadora o cliente protegido por Firebox. Firebox utiliza la traduccin de
direccin de red (NAT) para enviar informacin entre interfaces de red.
Gua del Usuario 79

Configuracin de red
Para obtener ms informacin, consulte Acerca de la Traduccin de direccin de red (NAT) en la

pgina 137.
Los requisitos para un modo de enrutamiento combinado son:
n Todas las interfaces del dispositivo WatchGuard deben configurarse en diferentes subnet. La
configuracin mnima incluye a las interfaces externas y de confianza. Tambin puede
configurar una o ms interfaces opcionales.
n Todas las computadoras conectadas a las interfaces opcionales y de confianza deben tener una
direccin IP de esa red.
Modo directo
En una configuracin directa, el dispositivo WatchGuard est configurado con la misma direccin IP
en todas las interfaces. Puede colocar el dispositivo WatchGuard entre el enrutador y la LAN y no
ser necesario cambiar la configuracin de ninguna computadora local. Esta configuracin se
conoce como modo directo porque el dispositivo WatchGuard se coloca en una red existente.
Algunas funciones de red, como puentes y VLAN ( redes virtuales de rea local) no estn disponibles
en este modo.
Para la configuracin directa se debe:
n Asignar una direccin IP externa al dispositivo WatchGuard.

n Utilizar una red lgica para todas las interfaces.
n No configurar multi-WAN en modo de operacin por turnos o conmutacin por error.
Para ms informaciones, vea Acerca de la configuracin de red en modo directo en la pgina 89.
Modo puente
El modo puente es una funcin que permite ubicar al dispositivo WatchGuard entre una red
existente y su puerta de enlace para filtrar o administrar el trfico de red. Cuando se activa esta
funcin, el dispositivo WatchGuard procesa y reenva todo el trfico de red entrante a la gateway IP
address especificada. Cuando el trfico llega a la puerta de enlace, parece haber sido enviado desde
el dispositivo original. En esta configuracin, el dispositivo WatchGuard no puede realizar varias
funciones que requieren una direccin IP pblica y nica. Por ejemplo, no se puede configurar un
dispositivo WatchGuard en modo puente para que funcione como extremo para una VPN (red
privada virtual).
Para ms informaciones, vea Modo Bridge en la pgina 94.
Tipos de interfaz
Se utilizan tres tipos de interfaz para configurar la red en enrutamiento combinado o modo directo:
Interfaces externas
Una interfaz externa se usa para conectar el dispositivo WatchGuard a una red fuera de la
organizacin. Con frecuencia, una interfaz externa es el mtodo mediante el cual se conecta Firebox
a Internet. Se puede configurar un mximo de cuatro (4) interfaces externas fsicas.
Configuracin de red
Cuando se configura una interfaz externa, se debe elegir el mtodo que usa el proveedor de
servicios de Internet (ISP) para otorgar una direccin IP a su Firebox. Si no conoce el mtodo, solicite
esta informacin a su ISP o administrador de red.
Interfaces de confianza
Las interfaces de confianza se conectan a la LAN (red de rea local) privada o a la red interna de la
organizacin. Una interfaz de confianza en general provee conexiones a los empleados y recursos
internos seguros.
Interfaces opcionales
Las interfaces opcionales son entornos combinados-de confianza o DMZ que estn separados de la
red de confianza. Ejemplos de computadoras que a menudo se encuentran en una interfaz opcional
son los servidores web pblicos, servidores FTP y servidores de correo electrnico.
Para obtener ms informacin sobre tipos de interfaz, consulte Configuraciones de interfaz comunes en la
pgina 95.
Si tiene un Firebox X Edge, puede utilizar la interfaz de usuario web de Firebox XTM para configurar la
conmutacin por error con un mdem externo en el puerto serie.
Para ms informaciones, vea Conmutacin por error de mdem serie en la pgina 128.
Cuando se configuran las interfaces en el dispositivo WatchGuard, se debe utilizar notacin diagonal para
indicar la subnet mask. Por ejemplo, se ingresa el rango de red 192.168.0.0 subnet mask 255.255.255.0
como 192.168.0.0/24. Una interfaz de confianza con la direccin IP de 10.0.1.1/16 tiene una subnet mask
de 255.255.0.0.
Para obtener ms informacin sobre notacin diagonal, consulte Acerca de las Notacin diagonal en la
pgina 3.
Acerca de las interfaces de red en el Edge e-Series

Cuando utiliza Fireware XTM en un Firebox X Edge e-Series, los nmeros de interfaz de red que aparecen
en la interfaz de usuario web (web UI) del Fireware XTM no coinciden con las etiquetas de interfaz de red
que aparecen debajo de las interfaces fsicas en el dispositivo. Utilice la siguiente tabla para comprender
cmo los nmeros de interfaz de la web UI se asignan a las interfaces fsicas en el dispositivo.
Nmero de
Etiqueta de interfaz en el hardware de Firebox X Edge e-
interfaz en
Series
Fireware XTM
0 WAN 1
1 LAN 0, LAN 1, LAN 2
2 WAN 2
3 Op
Gua del Usuario 81

Configuracin de red
Las interfaces con etiqueta LAN 0, LAN 1 y LAN 2 pueden considerarse como un concentrador de red de
tres interfaces que se conecta a una nica interfaz de Firebox. En Fireware XTM, estas interfaces se
configuran juntas como Interfaz 1.
Modo de enrutamiento combinado

En el modo de enrutamiento combinado, Firebox puede configurarse para enviar trfico de red entre
muchos tipos diferentes de interfaces de red fsica y virtual. El modo de enrutamiento combinado es el
modo de red predeterminado. Aunque la mayora de las funciones de seguridad y red estn disponibles en
este modo, debe verificar cuidadosamente la configuracin de cada dispositivo conectado a Firebox para
asegurarse de que la red funcione correctamente.
Una configuracin de red bsica en el modo de enrutamiento combinado utiliza por lo menos dos
interfaces. Por ejemplo, puede conectar una interfaz externa a un mdem por cable u otra conexin a
Internet y una interfaz de confianza a un enrutador interno que conecta a miembros internos de la
organizacin. En esa configuracin bsica, puede agregar una red opcional que protege a los servidores
pero permite un mayor acceso desde redes externas, configurar VLAN y otras funciones avanzadas o
configurar opciones de seguridad adicionales como restricciones de direccin MAC. Tambin puede definir
el modo en que el trfico de red se enva entre las interfaces.
Para comenzar con la configuracin de interfaces en el modo de enrutamiento combinado, consulte

Configuraciones de interfaz comunes en la pgina 95.
En el modo de enrutamiento combinado es fcil olvidar las direcciones IP y puntos de conexin en la red ,
especialmente si se usan VLAN (redes virtuales de rea local), secondary networks y otras funciones
avanzadas. Recomendamos registrar la informacin bsica acerca de la configuracin de red y VPN en caso
de que necesite contactar a soporte tcnico. Esta informacin puede ayudar al tcnico a resolver su
problema con rapidez.
Configurar una interfaz externa

Una interfaz externa se usa para conectar el dispositivo Firebox o XTM a una red fuera de la organizacin.
Con frecuencia, una interfaz externa es el mtodo mediante el cual se conecta el dispositivo a Internet. Se
puede configurar un mximo de cuatro (4) interfaces externas fsicas.
Cuando se configura una interfaz externa, se debe elegir el mtodo que usa el proveedor de servicios de
Internet (ISP) para otorgar una direccin IP a su dispositivo. Si no conoce el mtodo, solicite esta
informacin a su ISP o administrador de red.
Para obtener informacin acerca de los mtodos utilizados para configurar y distribuir direcciones IP,
consulte estticas y dinmicas Direcciones IP en la pgina 4.
Usar una direccin IP esttica

1. Seleccione Interfaces de >red.
Aparece la pgina de Interfaces de red.
2. Seleccione una interfaz externa. Haga clic en Configurar.
3. En la lista desplegable Modo configuracin, seleccione IP esttica.
4. En el cuadro de texto Direccin IP , ingrese la direccin IP de la interfaz.
Configuracin de red
5. En el cuadro de texto Puerta de enlace predeterminada , ingrese la direccin IP de la puerta de

enlace predeterminada.
Usar autenticacin PPPoE

Si su ISP usa PPPoE, debe configurar la autenticacin PPPoE antes de que el dispositivo pueda enviar trfico
a travs de la interfaz externa.

2. Seleccione una interfaz externa. Haga clic en Configurar.
3. En la lista desplegable Modo configuracin , seleccione PPPoE.
4. Seleccione una opcin:
n Obtener una direccin IP automticamente

n Usar esta direccin IP (proporcionada por el proveedor de servicios de Internet)
5. Si seleccion Usar esta direccin IP, en el cuadro de texto adyacente, ingrese la direccin IP.
6. Ingrese el nombre de usuario y la contrasea. Vuelva a ingresar la contrasea.
Los ISP usan el formato de direccin de correo electrnico para nombres de usuario, como por ejemplo
user@example.com.
7. Haga clic en Configuracin avanzada de PPPoE para configurar opciones de PPPoE adicionales.
El ISP puede informarle si debe cambiar los valores de tiempo de espera o LCP.
Gua del Usuario 83

Configuracin de red
8. Si el ISP requiere la etiqueta de host nico para paquetes de descubrimiento de PPPoE, seleccione
la casilla de verificacin Utilizar etiqueta de host nico en paquetes de descubrimiento de PPPoE.
9. Seleccionar cundo el dispositivo se conecta al servidor PPPoE:
n Siempre activo: el dispositivo Firebox o XTM mantiene una conexin PPPoE constante. No es
necesario para el trfico de red atravesar la interfaz externa.
Si selecciona esta opcin, ingrese o seleccione un valor en el cuadro de texto Intervalo de

reintento de inicializacin de PPPoE para establecer la cantidad de segundos en que PPPoE
intenta inicializarse antes de que ingrese en tiempo de espera.
n Marcar a demanda: el dispositivo Firebox o XTM se conecta al servidor PPPoE slo cuando
recibe una solicitud de enviar trfico a una direccin IP en la interfaz externa. Si el ISP
restablece la conexin en forma regular, seleccione esta opcin.
Si selecciona esta opcin, en el cuadro de texto Tiempo de espera inactivo , establezca la

cantidad de tiempo en que un cliente puede permanecer conectado cuando no se enva
trfico. Si no selecciona esta opcin, debe reiniciar Firebox en forma manual cada vez que se
restablece la conexin.
10. En el cuadro de texto Falla en eco de LCP en , ingrese o seleccione el nmero de solicitudes de eco
de LCP permitidas antes de que la conexin PPPoE se considere inactiva y se cierre.
11. En el cuadro de texto Tiempo de espera del eco de LCP en , ingrese o seleccione la cantidad de
tiempo, en segundos, en la que debe recibirse la respuesta a cada tiempo de espera del eco.
12. Para configurar el dispositivo Firebox o XTM para que reinicie automticamente la conexin PPPoE
en forma diaria o semanal, seleccione la casilla de verificacin Programar tiempo para reinicio
automtico.
Configuracin de red
13. En la lista desplegable Programar tiempo para reinicio automtico, seleccione Diario para reiniciar
la conexin al mismo tiempo cada da o seleccione un da de la semana para un reinicio semanal.
Seleccione la hora y minutos del da (en formato de 24 horas) para reiniciar automticamente la
conexin PPPoE.
14. En el cuadro de texto Nombre del servicio , ingrese un nombre del servicio PPPoE.
Las opciones son el nombre del ISP o una clase de servicio que est configurada en el servidor
PPPoE. En general, esta opcin no se usa. Seleccinela slo si hay ms de un concentrador de
acceso o si sabe que debe utilizar un nombre de servicio especfico.
15. En el cuadro de texto Nombre del concentrador de acceso , ingrese el nombre de un concentrador
de acceso PPPoE, conocido tambin como servidor PPPoE. En general, esta opcin no se usa.
Seleccione esta opcin slo si sabe que hay ms de un concentrador de acceso.
16. En el cuadro de texto Reintentos de autenticacin , ingrese o seleccione el nmero de veces que
el dispositivo Firebox o XTM puede intentar realizar una conexin.
El valor predeterminado es de tres (3) intentos de conexin.
17. En el cuadro de texto Tiempo de espera de autenticacin , ingrese un valor para la cantidad de
tiempo entre los reintentos.
El valor predeterminado es 20 segundos entre cada intento de conexin.
18. Haga clic en Volver a las configuraciones principales de PPPoE.
19. Guarde su configuracin.
Usar DHCP
1. En la lista desplegable Modo configuracin , seleccione DHCP.
2. Si el ISP o el servidor DHCO externo requiere un identificador de cliente, como una direccin MAC,
ingrese esta informacin en el cuadro de texto Cliente .
3. Para especificar un nombre de hostpara identificacin,ingrselo enel cuadrode textoNombre dehost .
4. Para asignar una direccin IP en forma manual a la interfaz externa, ingrsela en el cuadro de texto
Utilizar esta direccin IP .
Para configurar esta interfaz para que obtenga una direccin IP automticamente, desmarque el
cuadro de texto Utilizar esta direccin IP.
5. Para cambiar el tiempo de concesin, seleccione la casilla de verificacin Tiempo de concesin y
seleccione el valor deseado en la lista desplegable adyacente.
Las direcciones IP que asigna un servidor DHCP tienen un tiempo de concesin predeterminado de
un da; cada direccin es vlida por un da.
Gua del Usuario 85

Configuracin de red
Configurar el DHCP en modo de enrutamiento mixto

DHCP (protocolo de configuracin dinmica de host) es un mtodo para asignar direcciones IP en forma
automtica a clientes de red. El dispositivo WatchGuard se puede configurar como servidor DHCP para las
redes que protege. Si tiene un servidor DHCP, recomendamos que contine usando ese servidor para DHCP.
Si el dispositivo WatchGuard est configurado en modo directo, consulte Configurar DHCP en modo directo
en la pgina 91.
Nota No se puede configurar DHCP en ninguna interfaz en la cual est activado

FireCluster.
Configurar DHCP
1. Seleccione Interfaces de> red.
2. Seleccione una interfaz de confianza u opcional. Haga clic en Configurar.
Configuracin de red
3. En la lista desplegable Modo configuracin, seleccione Usar servidor DHCP.
4. Para agregar un grupo de direcciones IP para asignar usuarios en esta interfaz, ingrese una direccin
IP de inicio y una direccin IP de finalizacin desde la misma subnet, luego haga clic en Agregar.
El grupo de direcciones debe pertenecer ya sea a la subnet IP principal o secundaria de la interfaz.
Se puede configurar un mximo de seis rangos de direcciones. Los grupos de direcciones se usan desde el
primero al ltimo. Las direcciones en cada grupo se asignan por nmero, de menor a mayor.
5. Para cambiar el tiempo de concesin predeterminado, seleccione una opcin diferente en la lista
desplegable Tiempo de concesin.
Es el intervalo de tiempo en el que un cliente DHCP puede usar una direccin IP que recibe del servidor DHCP.
Cuando el tiempo de concesin se est por agotar, el cliente enva datos al servidor DHCP para obtener una
nueva concesin.
6. De manera predeterminada, cuando el dispositivo WatchGuard est configurado como servidor
DHCP, revela la informacin del servidor DNS y WINS configurada en la pestaa Configuracin de
red > WINS/DNS. Para especificar informacin diferente para que el dispositivo asigne cuando
revela las direcciones IP, haga clic en ,pestaa DNS/WINS..
n Ingrese un Domain name para cambiar el dominio DNS predeterminado.

n Para crear una nueva entrada del servidor DNS o WINS, haga clic en el botn Agregar
adyacente al tipo de servidor que desea, ingrese una direccin IP y haga clic en OK.
n Para cambiar la direccin IP del servidor seleccionado, haga clic en el botn Editar.
n Para eliminar al servidor seleccionado de la lista adyacente, haga clic en el botn Eliminar.
Configurar reservas de DHCP

Para reservar una direccin IP especfica para un cliente:
1. Ingrese un nombre para la reserva, la direccin IP que desea reservar y la direccin MAC de la
tarjeta de red del cliente.
Gua del Usuario 87

Configuracin de red
Pgina Acerca de Servicio DNS dinmico

Se puede registrar la direccin IP externa del dispositivo WatchGuard en el servicio del sistema de domain
name (DNS) dinmico DynDNS.org. Un servicio DNS dinmico garantiza que la direccin IP adjunta a su
domain name cambie cuando el ISP entregue una nueva direccin IP a su dispositivo. Esta funcin est
disponible en modo de enrutamiento combinado o modo de configuracin de red directo.
Si se usa esta funcin, el dispositivo WatchGuard recibe la direccin IP de members.dyndns.org cuando se

inicia. Verifica que la direccin IP sea correcta cada vez que se reinicia y peridicamente cada veinte das. Si
se realizan cambios en la configuracin DynDNS en el dispositivo WatchGuard o si se cambia la direccin IP
de la puerta de enlace predeterminada, actualiza DynDNS.com de inmediato.
Para obtener ms informacin sobre el servicio DNS dinmico o para crear una cuenta DynDNS, ingrese en
http://www.dyndns.com.
Nota WatchGuard no est asociado con DynDNS.com.
Configurar DNS dinmico

1. Seleccione Red >DNS dinmico.
Aparece la pgina de cliente de DNS dinmico.
2. Seleccione una interfaz de red y despus haga clic en Configurar.
Aparece la pgina de configuracin de DNS dinmico.
Configuracin de red
3. Seleccione la casilla de verificacin Activar DNS dinmico.

4. Ingrese el nombre de usuario y contrasea.
5. En el cuadro de texto Confirmar, vuelva a ingresar la contrasea.
6. En el cuadro de texto Dominio, ingrese el dominio de la organizacin.
7. En la lista desplegable Tipo de servicio, seleccione el sistema que se usar para DNS dinmico:
n dyndns; enva actualizaciones para un nombre de host DNS dinmico. Use la opcin dyndns
cuando no tenga control sobre la direccin IP (por ejemplo, no es esttica y cambia en forma
regular).
n custom; enva actualizaciones para un nombre de host DNS personalizado. Las empresas que
pagan para registrar sus dominios en dyndns.com utilizan con frecuencia esta opcin.
Para acceder a una explicacin de cada opcin, consulte http://www.dyndns.com/services/.
8. En el campo Opciones, ingrese una o ms de estas opciones:
n mx=mailexchanger& ; especifica un Mail eXchanger (MX) para usar con el nombre de host.
n backmx=YES|NO& ; solicita que el MX en el parmetro anterior est configurado como MX de
copia de seguridad (incluye al host como MX con un valor de preferencia menor).
n wildcard=ON|OFF|NOCHG& ; activa o desactiva comodines para este host (ON [encendido] para
activar).
n offline=YES|NO ; establece al nombre de host en modo desconectado. Pueden enlazarse una
o ms opciones con el signo &. Por ejemplo:
&mx=backup.kunstlerandsons.com&backmx=YES&wildcard=ON
Para obtener ms informacin, consulte http://www.dyndns.com/developers/specs/syntax.html.

9. Haga clic en Enviar.
Acerca de la configuracin de red en modo

directo
En una configuracin directa, Firebox est configurado con la misma direccin IP en todas las interfaces. El
modo configuracin directa distribuye el rango de direccin lgica de la red a lo largo de todas las
interfaces de red disponibles. Puede colocar Firebox entre el enrutador y la LAN y no ser necesario
cambiar la configuracin de ninguna computadora local. Esta configuracin se conoce como modo directo
porque el dispositivo WatchGuard se coloca en una red previamente configurada.
En modo directo:
n Se debe asignar la misma direccin IP principal a todas las interfaces en Firebox (externa, de
confianza y opcional).
n Pueden asignarse secondary networks en cualquier interfaz.
n Lasmismas direccionesIP ypuertas de enlace predeterminadaspueden mantenerse para loshost enlas
redesde confianzay opcionales,y se puede agregar una direccinde secondarynetwork ala interfaz
externaprincipal paraque Fireboxpueda enviar trfico correctamente a loshost de estas redes.
n Los servidores pblicos detrs de Firebox pueden continuar utilizando las direcciones IP pblicas. La
traduccin de direccin de red (NAT) no se utiliza para enrutar trfico desde el exterior de la red
hacia los servidores pblicos.
Las propiedades de una configuracin directa son:
Gua del Usuario 89

Configuracin de red
n Se debe asignar y utilizar una direccin IP esttica en la interfaz externa.

n Se utiliza una red lgica para todas las interfaces.
n No se puede configurar ms de una interfaz externa cuando el dispositivo WatchGuard est
configurado en modo directo. La funcionalidad multi-WAN se desactiva automticamente.
En algunas ocasiones es necesario Limpiar cach de ARP de cada computadora protegida por Firebox, pero
esto no es frecuente.
Nota Si se mueve una direccin IP de una computadora que se encuentra detrs de una
interfaz a una computadora que se encuentra detrs de una interfaz diferente,
pueden transcurrir varios minutos antes de que el trfico de red se enve a la nueva
ubicacin. Firebox debe actualizar su tabla de enrutamiento interna antes de que
este trfico pueda circular. Los tipos de trfico que se ven afectados incluyen
registro, SNMP y conexiones de administracin de Firebox.
Las interfaces de red pueden configurarse en modo directo cuando se ejecuta el Quick Setup Wizard. Si ya
ha creado una configuracin de red, puede usar el Policy Manager para cambiar al modo directo.
Para ms informaciones, vea Ejecutar el Web Setup Wizard en la pgina 24.
Utilizar modo directo para la configuracin de la interfaz de red

Aparece el cuadro de dilogo Interfaces de red.
2. En la lista desplegable Configurar interfaces en, seleccione Modo directo transparente.
3. En el campoDireccin IP, ingrese la direccin IP que desea utilizar como direccin principal para
todas las interfaces de Firebox.
4. En el campo Puerta de enlace ingrese la direccin IP de la puerta de enlace. Esta direccin IP se
agrega automticamente a la lista de hosts relacionados.
Configurar host relacionados

En una configuracin directa o de puente, Firebox est configurado con la misma direccin IP en todas las
interfaces. Firebox automticamente descubre nuevos dispositivos que se conectan a estas interfaces y
agrega cada nueva direccin MAC a su tabla de enrutamiento interna. Si desea configurar conexiones de
dispositivos en forma manual o si la funcin de asignacin automtica de host no funciona correctamente,
puede agregar una entrada de host relacionado. Una entrada de host relacionado crea una ruta esttica
entre la direccin IP del host y una interfaz de red. Recomendamos desactivar la asignacin automtica de
host en interfaces para las que se crean entradas de host relacionados.

2. Configurar interfaces de red en modo directo o puente. Haga clic en Propiedades.
Aparece la pgina Propiedades del modo directo.
Configuracin de red
3. Desmarque la casilla de verificacin para cualquier interfaz en la que desee agregar una entrada de
host relacionado.
4. En el cuadro de texto Host, ingrese la direccin IP del dispositivo para el cual desea construir una
ruta esttica desde Firebox. Seleccione la Interfaz en la lista desplegable adyacente y luego haga clic
en Agregar. Repita este paso para agregar otros dispositivos.
Configurar DHCP en modo directo

Cuando se usa el modo directo para la configuracin de red, de manera opcional se puede configurar a
Firebox como servidor DHCP para las redes que protege o convertir a Firebox en agente de retransmisin de
DHCP. Si tiene un servidor DHCP configurado, recomendamos que contine usando ese servidor para DHCP.
Gua del Usuario 91

Configuracin de red
Usar DHCP
De manera predeterminada, Firebox revela la informacin de configuracin del servidor DNS/WINS cuando
est configurado como servidor DHCP. La informacin DNS/WINS de esta pgina puede configurarse para
anular la configuracin global. Para obtener ms informacin, consulte las instrucciones en Agregar
servidores WINS y Direcciones del servidor DNS en la pgina 98.

3. Seleccione la pestaa Configuracin DHCP.
4. Para agregar un grupo de direcciones desde el cual Firebox puede entregar direcciones IP: en los
cuadros de texto IP de inicio e IP de finalizacin, ingrese un rango de direcciones IP que se
encuentren en la misma subnet que la direccin IP directa. Haga clic en Agregar.
Repita este paso para agregar ms grupos de direcciones.
Se puede configurar un mximo de seis grupos de direcciones.
Configuracin de red
5. Para reservar una direccin IP especfica de un grupo de direcciones para un dispositivo o cliente,
en la seccin Direcciones reservadas:
n Ingrese un Nombre de reserva para identificar la reserva.

n Ingrese la direccin IP reservada que desea reservar.
n Ingrese la Direccin MAC del dispositivo.
n Haga clic en Agregar.
Repita este paso para agregar ms reservas de DHCP.
6. Si es necesario, Agregar servidores WINS y Direcciones del servidor DNS.
7. Para cambiar el tiempo de concesin DHCP, seleccione una opcin diferente en la lista desplegable
Tiempo de concesin.
8. En la parte superior de la pgina, haga clic en Volver.
Utilizar retransmisin de DHCP

2. Seleccione cualquier interfaz de confianza u opcional y haga clic en Configurar.
O bien, haga doble clic en una interfaz de confianza u opcional.
Aparece la pgina Configuracin de interfaz.
3. Junto al cuadro de texto Direccin IP, seleccione Utilizar retransmisin de DHCP.
4. Ingrese la direccin IP del servidor DHCP en el campo relacionado. Asegrese de Agregue una ruta
esttica al servidor DHCP, si es necesario.
5. Haga clic en Guardar. Haga clic en Guardar nuevamente.
Especificar la configuracin DHCP para una sola interfaz
Puede especificar una configuracin DHCP diferente para cada interfaz opcional o de confianza en su
configuracin. Para modificar estas configuraciones:
1. Desplcese hasta la parte inferior del cuadro de dilogo Configuracin de red.

2. Seleccione una interfaz.
3. Haga clic en Configurar.
4. Para utilizar la misma configuracin de DHCP que estableci en el modo directo, seleccione Utilizar
configuracin DHCP del sistema.
Para desactivar DHCP para clientes en esa interfaz de red, seleccione Desactivar DHCP.
Para configurar diferentes opciones de DHCP para clientes en una secondary network, seleccione
Utilizar servidor DHCP para secondary network.
5. Para agregar grupos de direcciones IP, configurar el tiempo de concesin predeterminado y
administrar servidores DNS/WINS, complete los Pasos 3-6 de la seccin Utilizar DHCP.
6. Haga clic en OK.
Gua del Usuario 93

Configuracin de red
Modo Bridge
El modo Bridge es una funcin que le permite instalar su dispositivo Firebox o XTM entre una red existente
y su puerta de enlace para filtrar o administrar el trfico de red. Cuando se activa esta funcin, el dispositivo
Firebox o XTM procesa y reenva todo el trfico de red a otros dispositivos de la puerta de enlace. Cuando el
trfico llega a la puerta de enlace desde el dispositivo Firebox o XTM, parece haber sido enviado desde el
dispositivo original.
Para utilizar el modo Bridge, debe especificar una direccin IP utilizada para administrar el dispositivo
Firebox o XTM. El dispositivo tambin utiliza esta direccinIP para obtener actualizaciones para elGateway
Antivirus/IPS y para generar rutas a servidores DNS, NTP o WebBlocker internos segn sea necesario.
Debido a esto, asegrese de asignar una direccinIP que pueda enrutarse por Internet.
Cuando utiliza el modo Bridge, el dispositivo Firebox o XTM no puede completar algunas funciones que
requieren que el dispositivo funcione como puerta de enlace. Estas funciones incluyen:
n WAN mltiple
n VLAN (redes virtuales de rea local)
n Puentes de red
n Rutas estticas
n FireCluster
n Secondary networks
n Servidor DHCP o retransmisin DHCP
n Conmutacin por error de mdem serial (Firebox X Edge nicamente)
n 1 a 1 NAT, dinmica o esttica
n Enrutamiento dinmico (OSPF, BGP o RIP)
n Cualquier tipo de VPN para la cual el dispositivo Firebox o XTM sea un extremo o puerta de enlace
n Algunas funciones proxy, incluido el Servidor de cach de Internet HTTP
Si ya ha configurado estas funciones o estos servicios, se desactivarn cuando cambie a modo Bridge. Para
utilizar estas funciones o servicios nuevamente, debe usar un modo de red diferente. Si vuelve al modo de
enrutamiento combinado o directo, es posible que deba configurar algunas funciones nuevamente.
Nota Cuando se activa el modo Bridge, se desactiva cualquier interfaz con un puente de
red o VLAN configurado previamente. Para utilizar esas interfaces, primero debe
cambiar a modo de enrutamiento combinado o directo y configurar la interfaz
como externa, opcional o de confianza y luego volver al modo Bridge. Las
funciones inalmbricas de los dispositivos inalmbricos Firebox o XTM funcionan
correctamente en el modo Bridge.
Para activar el modo Bridge:

2. En la lista desplegable Configurar interfaces en, seleccione Modo Bridge.
Configuracin de red
3. Si se le indica que desactive las interfaces, haga clic en S para desactivar las interfaces o en No para
volver a la configuracin anterior.
4. Ingrese la direccin IP del dispositivo Firebox o XTM en notacin diagonal.
Para obtener ms informacin sobre notacin diagonal, consulte Acerca de las Notacin diagonal
en la pgina 3.
5. Ingrese la direccin IP de puerta de enlace que recibe todo el trfico de red desde el dispositivo.
Configuraciones de interfaz comunes

Con el modo de enrutamiento combinado, se puede configurar el dispositivo WatchGuard para que enve
trfico de red entre una amplia variedad de interfaces de red fsica y virtual. ste es el modo de red
predeterminado y ofrece la mayor flexibilidad para diferentes configuraciones de red. Sin embargo, cada
interfaz debe configurarse por separado y es posible que deba cambiarse la configuracin de red para cada
computadora o cliente protegido por el dispositivo WatchGuard.
Para configurar el modo de enrutamiento combinado en Firebox:
1. Seleccione Interfaces de> red.

Aparece el cuadro de dilogo Interfaces.
2. Seleccione la interfaz que desea configurar y despus haga clic en Configurar. Las opciones
disponibles dependen del tipo de interfaz seleccionada.
Aparece el cuadro de dilogo de interfaz Configuracin.
Gua del Usuario 95

Configuracin de red
3. En el campo Nombre de la interfaz (alias), puede retener el nombre predeterminado o cambiarlo a

otro que refleje con ms detalle su propia red y sus propias relaciones de confianza.
Asegrese de que el nombre sea nico entre los nombres de interfaz y tambin entre todos los
nombres de grupos MVPN y nombres de tnel. Puede usar este alias con otras funciones, como
polticas de proxy, para administrar el trfico de red para esta interfaz.
4. (Opcional) Ingrese una descripcin de la interfaz en el campo Descripcin de interfaz.
5. En la lista desplegable Modo configuracin, seleccione el tipo de interfaz. Puede seleccionar
Externa, De confianza, Opcional, Puente, Desactivada o VLAN. Algunos tipos de interfaz tienen
configuraciones adicionales.
n Para obtener ms informacin acerca de cmo asignar una direccin IP a una interfaz externa,
consulte Configurar una interfaz externa en la pgina 82. Para configurar la direccin IP de una
interfaz de confianza u opcional, ingrese la direccin IP en notacin diagonal.
n Para asignar direcciones IP en forma automtica a clientes en una interfaz de confianza u
opcional, consulte Configurar el DHCP en modo de enrutamiento mixto en la pgina 86 o
Configurar retransmisin de DHCP en la pgina 97.
n Para usar ms de una direccin IP en una nica interfaz de red fsica, consulte Configurar una
secondary network en la pgina 99.
n Para obtener ms informacin acerca de configuraciones LAN, consulte Acerca de redes
virtuales de rea local (VLAN) en la pgina 108.
n Para quitar una interfaz de su configuracin, consulte Desactivar una interfaz en la pgina 96.
6. Configure la interfaz como se describe en uno de los temas anteriores.
Desactivar una interfaz

1. Seleccione Red > Configuracin.
Aparece el cuadro de dilogo "Configuracin de red".
Configuracin de red
2. Seleccione la interfaz que desea desactivar. Haga clic en Configurar.

Aparece el cuadro de dilogo Configuracin de interfaz.
3. En la lista desplegable Tipo de interfaz, seleccione Desactivada. Haga clic en OK.
En el cuadro de dilogo Configuracin de red, el tipo de interfaz ahora aparece como Desactivada.
Configurar retransmisin de DHCP

Una forma de obtener direcciones IP para las computadoras en las redes de confianza u opcional es usar
un servidor DHCP en una red diferente. Se puede usar la retransmisin DHCP para obtener direcciones IP
para las computadoras en la red de confianza u opcional. Con esta funcin, Firebox enva solicitudes DHCP a
un servidor en una red diferente.
Si el servidor DHCP que desea utilizar no se encuentra en una red protegida por el dispositivo WatchGuard,
debe configurar un tnel VPN entre el dispositivo WatchGuard y el servidor DHCP para que esta funcin
opere correctamente.
Nota No se puede usar la retransmisin DHCP en ninguna interfaz en la cual est

activado FireCluster.
Para configurar retransmisin DHCP:

2. Seleccione una interfaz de confianza u opcional y haga clic en Configurar.
3. En la lista desplegable debajo de la direccin IP de interfaz, seleccione Usar retransmisin DHCP.
4. Ingrese la direccin IP del servidor DHCP en el campo relacionado. Asegrese de Agregue una ruta
esttica al servidor DHCP, si es necesario.
Restringir el trfico de red mediante la direccin MAC

Puede usar una lista de direcciones MAC para administrar qu dispositivos tienen permitido enviar trfico
en la interfaz de red especificada. Cuando se activa esta funcin, el dispositivo WatchGuard verifica la
direccin MAC de cada computadora o dispositivo que se conecta a la interfaz especificada. Si la direccin
MAC de ese dispositivo no figura en la lista de control de acceso MAC para esa interfaz, el dispositivo no
puede enviar trfico.
Esta funcin es especialmente til para prevenir cualquier acceso no autorizado a la red desde una
ubicacin dentro de su oficina. Sin embargo, se debe actualizar la lista de control de acceso MAC para cada
interfaz cuando se agrega a la red una nueva computadora autorizada.
Nota Si decide restringir el acceso mediante la direccin MAC, debe incluir la direccin
MAC de la computadora que usa para administrar el dispositivo WatchGuard.
Para activar el control de acceso MAC para una interfaz de red:

Gua del Usuario 97

Configuracin de red
2. Seleccione la interfaz en la que desea activar el control de acceso MAC y luego haga clic en
Configurar.
3. Seleccione la pestaa Control de acceso MAC.
4. Seleccione la casilla de verificacin Restringir acceso mediante direccin MAC.

5. Ingrese la direccin MAC de la computadora o dispositivo para darle acceso a la interfaz especfica.
6. (Opcional) Ingrese un Nombre para la computadora o dispositivo para identificarlo en la lista.
Repita los pasos 5 al 7 para agregar ms computadoras o dispositivos a la lista de control de acceso MAC.
Agregar servidores WINS y Direcciones del servidor DNS

Los permisos para compartir Firebox Direcciones IP del servidor WINS (Windows Internet Name Server) y
Direcciones IP del servidor DNS (Sistema de domain name) para algunas funciones. Estas funciones incluyen
DHCP y Mobile VPN. Los servidores WINS y DNS deben estar accesibles desde la interfaz de confianza de
Firebox.
Esta informacin se utiliza para dos fines:
n El Firebox utiliza el servidor DNS para resolver nombres con las direcciones IP de las VPN de IPSec y
para que las funciones spamBlocker, antivirus (AV) de puerta de enlace e IPS funcionen
correctamente.
n Los usuarios de Mobile VPN y los clientes DHCP utilizan las entradas de WINS y DNS en las redes de
confianza o en las redes opcionales para resolver las consultas de DNS.
Asegrese de utilizar slo un servidor WINS y DNS interno para DHCP y Mobile VPN. Esto ayuda a garantizar
que no se creen polticas con propiedades de configuracin que impidan a los usuarios conectarse con el
servidor DNS.
Configuracin de red

2. Desplcese hasta la seccin Servidores DNS y Servidores WINS.
3. En el cuadro de texto Servidor DNS o Servidor WINS, ingrese las direcciones principal y secundaria
para cada servidor WINS y DNS.
5. Repita los pasos 3 al 4 para especificar hasta tres servidores DNS.
6. (Opcional) En el cuadro de texto Domain name, ingrese un domain name para que un cliente DHCP
use con nombres no calificados como watchguard_mail.
Configurar una secondary network

Una secondary network es una red que comparte una de las mismas redes fsicas que una de las interfaces
del dispositivo Firebox o XTM. Cuando se agrega una secondary network, se realiza (o agrega) un alias IP a la
interfaz. Este alias IP es la puerta de enlace predeterminada para todas las computadoras en la secondary
network. La secondary network le indica al dispositivo Firebox o XTM que hay ms de una red en la interfaz
del dispositivo Firebox o XTM.
Por ejemplo, si configura un dispositivo Firebox o XTM en modo Drop-in, le otorga a cada interfaz del
dispositivo Firebox o XTM la misma direccin IP. Sin embargo, probablemente use un conjunto de
direcciones IP diferente en su red de confianza. Puede agregar esta red privada como secondary network a
la interfaz de confianza del dispositivo Firebox o XTM. Cuando se agrega una secondary network, se crea
una ruta desde una direccin IP en la secondary network a la direccin IP de la interfaz del dispositivo
Firebox o XTM.
Si su dispositivo Firebox o XTM est configurado con una direccin IP esttica, puede agregar una direccin
IP en la misma subnet que la interfaz externa principal como secondary network. Luego se puede
configurar NAT esttica para ms de un tipo de servidor igual. Por ejemplo, configure una secondary
network externa con una segunda direccin IP pblica si tiene dos servidores SMTP pblicos y desea
configurar una regla NAT esttica para cada uno.
Gua del Usuario 99

Configuracin de red
Puede agregar hasta 2048 secondary networks por interfaz del dispositivo Firebox o XTM. Puede utilizar
secondary networks con una configuracin de red directa o enrutada. Tambin puede agregar una
secondary network a una interfaz externa de un dispositivo Firebox o XTM si la interfaz externa est
configurada para obtener su direccin IP a travs de PPPoE o DHCP.
Para definir una direccin IP secundaria, debe tener:
n Una direccin IP sin utilizar en la secondary network para asignrsela a la interfaz del dispositivo
Firebox o XTM.
n Una direccin IP sin utilizar en la misma red que la interfaz externa del dispositivo Firebox o XTM.
Para definir una direccin IP secundaria:

2. Seleccione la interfaz para la secondary network y haga clic en Configurar o haga doble clic en una
interfaz.
3. En la seccin Redes secundarias, ingrese una direccin IP de host no asignada en notacin diagonal
de la secondary network. Haga clic en Agregar. Repita este paso para agregar secondary networks
adicionales.
5. Haga clic en Guardar nuevamente.
Nota Asegrese de agregar las direcciones de secondary network correctamente. El

dispositivo Firebox o XTM no indica si la direccin es correcta. Recomendamos no
crear una subnet como secondary network en una interfaz que forme parte de una
red ms grande en una interfaz diferente. En tal caso, puede ocurrir spoofing y la
red no podr funcionar correctamente.
Acerca de la Configuraciones de interfaz

Se pueden usar varias configuraciones avanzadas para las interfaces de Firebox:
Configuracin de tarjeta de interfaz de red (NIC)
Establece la velocidad y los parmetros dobles para las interfaces de Firebox en configuracin
automtica o manual. Recomendamos mantener la velocidad de enlace configurada para
negociacin automtica. Si usa la opcin de configuracin manual, debe asegurarse de que el
dispositivo al que se conecta Firebox tambin est manualmente configurado a la misma velocidad y
parmetros dobles que Firebox. Utilice la opcin de configuracin manual slo cuando deba anular
los parmetros de interfaz automticos de Firebox para operar con otros dispositivos en la red.

Configuracin de red
Configurar el ancho de banda de interfaz saliente
Cuando utiliza configuraciones de administracin de trfico para garantizar ancho de banda a las
polticas, esta configuracin verifica que no se garantice ms ancho de banda del que efectivamente
existe para una interfaz. Esta configuracin ayuda a asegurar que la suma de configuraciones de
ancho de banda garantizado no complete el enlace de manera tal que el trfico no garantizado no
pueda circular.
Activar marcado QoS para una interfaz
Crea diferentes clasificaciones de servicio para distintos tipos de trfico de red. Puede establecer el
comportamiento de marcado predeterminado a medida que el trfico sale de una interfaz. Estas
configuraciones pueden ser anuladas por las configuraciones definidas para una poltica.
Determinar No fragmentar bit IPSec
Determina la configuracin de No fragmentar (DF) bit para IPSec.
Configuracin de la ruta de unidad de transmisin mxima (PMTU) para IPSec
(Interfaces externas nicamente) Controla la cantidad de tiempo en que Firebox disminuye la

unidad mxima de transmisin (MTU) para un tnel VPN IPSec cuando recibe una solicitud de ICMP
de fragmentar un paquete desde un enrutador con una configuracin de MTU ms baja en Internet.
Usar vnculo de direccin MAC esttico
Utiliza direcciones de hardware (MAC) de la computadora para controlar el acceso a una interfaz de
Firebox.
Configuracin de tarjeta de interfaz de red (NIC)

2. Seleccione la interfaz que configurar. Haga clic en Configurar.
3. Haga clic en Configuraciones generales avanzadas.
4. En la lista desplegable velocidad de enlace, seleccione Negociacin automtica si desea que el

dispositivo WatchGuard seleccione la mejor velocidad de red. Tambin puede seleccionar una de las
velocidades doble medio o doble completo que usted sepa que son compatibles con el resto de su
equipo de red.
Negociacin automtica es la configuracin predeterminada. Le recomendamos encarecidamente

que no cambie esta configuracin a menos que soporte tcnico le indique hacerlo. Si configura la
velocidad de enlace en forma manual y otros dispositivos de su red no admiten la velocidad
seleccionada, se puede generar un conflicto que no permita a la interfaz de Firebox reconectarse
despus de una conmutacin por error.
Gua del Usuario 101

Configuracin de red
5. En el cuadro de texto Unidad Mxima de Transmisin (MTU) , seleccione el tamao mximo del
paquete, en bytes, que pueden enviarse a travs de la interfaz. Recomendamos utilizar el valor
predeterminado, 1500 bytes, a menos que el equipo de red requiera un tamao de paquete
diferente.
Puede configurar la MTU desde un mnimo de 68 a un mximo de 9000.
6. Para cambiar la direccin MAC de la interfaz externa, seleccione la casilla de verificacin Cancelar
direccin MAC e ingrese la nueva direccin MAC.
Para obtener ms informacin acerca de direcciones MAC, consulte la siguiente seccin.

8. Haga clic en Guardar nuevamente.
Acerca de direcciones MAC

Algunos ISP utilizan una direccin MAC para identificar a las computadoras en su red. Cada direccin MAC
recibe una direccin IP esttica. Si su ISP utiliza este mtodo para identificar su computadora, entonces
debe cambiar la direccin MAC de la interfaz externa del dispositivo WatchGuard. Utilice la direccin MAC
del mdem por cable, DSL de mdem o enrutador que se conectaron directamente al ISP en su
configuracin original.
La direccin MAC debe tener estas propiedades:
n La direccin MAC debe usar 12 caracteres hexadecimales. Los caracteres hexadecimales tienen un
valor entre 0 y 9 o entre "a" y "f".
n La direccin MAC debe funcionar con:
o Una o ms direcciones en la red externa.
o La direccin MAC de la red de confianza para el dispositivo.
o La direccin MAC de la red opcional para el dispositivo.
n La direccin MAC no debe estar configurada en 000000000000 o ffffffffffff.
Si la casilla de verificacin Cancelar direccin MAC no est seleccionada cuando se reinicia el dispositivo
WatchGuard, el dispositivo utiliza la direccin MAC predeterminada para la red externa.
Para reducir los problemas con direcciones MAC, el dispositivo WatchGuard verifica que la direccin MAC
que usted asigna a la interfaz externa sea nica en su red. Si el dispositivo WatchGuard encuentra un
dispositivo que usa la misma direccin MAC, vuelve a cambiar a la direccin MAC estndar para la interfaz
externa y se inicia nuevamente.
Determinar No fragmentar bit IPSec

Cuando configura la interfaz externa, seleccione una de las tres opciones para determinar la configuracin
para la seccin No fragmentar (DF) bit para IPSec.

Configuracin de red
Copiar
Seleccione Copiar para aplicar la configuracin DF bit del marco original al paquete cifrado IPSec. Si
un marco no tiene configurado DF bit, Fireware XTM no configura DF bit y fragmenta el paquete si es
necesario. Si un marco est configurado para no ser fragmentado, Fireware XTM encapsula el marco
completo y configura DF bit del paquete cifrado para que coincida con el marco original.
Determinar
Seleccione Configurar si no desea que Firebox fragmente el marco independientemente de la

configuracin de bit original. Si un usuario debe realizar conexiones IPSec a un Firebox desde detrs
de un Firebox diferente, debe desmarcar esta casilla de verificacin para activar la funcin de
puerto de transferencia de IPSec. Por ejemplo, si los empleados mviles se encuentran en una
ubicacin cliente que tiene un Firebox, pueden realizar conexiones IPSec a su red con IPSec. Para
que el Firebox local permita correctamente la conexin IPSec saliente, tambin se debe agregar una
poltica IPSec.
Limpiar
Seleccione Borrar para dividir el marco en partes que puedan integrarse a un paquete IPSec con el
encabezado ESP o AH, independientemente de la configuracin de bit original.
Configuracin de la ruta de unidad de transmisin mxima

(PMTU) para IPSec
Esta configuracin de interfaz avanzada se aplica a interfaces externas nicamente.
La Path Maximum Transmission Unit (PMTU) controla la cantidad de tiempo en que Firebox disminuye la
unidad mxima de transmisin (MTU) para un tnel VPN IPSec cuando recibe una solicitud de ICMP de
fragmentar un paquete desde un enrutador con una configuracin de MTU ms baja en Internet.
Recomendamos mantener la configuracin predeterminada. Esto puede protegerlo de un enrutador en

Internet con una configuracin de MTU muy baja.
Usar vnculo de direccin MAC esttico

Es posible controlar el acceso a una interfaz en el dispositivo WatchGuard mediante la direccin (MAC) del
hardware de la computadora. Esta funcin puede proteger a la red de ataques de envenenamiento ARP, en
los cuales los piratas informticos intentan cambiar la direccin MAC de sus computadoras para que
coincidan con un dispositivo real en la red del usuario. Para usar el vnculo de direccin MAC, se debe
asociar una direccin IP en la interfaz especfica con una direccin MAC. Si esta funcin est activada, las
computadoras con una direccin MAC especfica slo pueden enviar y recibir informacin con la direccin
IP asociada.
Gua del Usuario 103

Configuracin de red
Tambin se puede utilizar esta funcin para restringir todo el trfico de red a los dispositivos que coinciden
con las direcciones MAC e IP en esta lista. Esto es similar a la funcin de control de acceso MAC.
Para ms informaciones, vea Restringir el trfico de red mediante la direccin MAC en la pgina 97.
Nota Si decide restringir el acceso a la red mediante el vnculo de direccin MAC,

asegrese de incluir la direccin MAC de la computadora que usa para
administrar el dispositivo WatchGuard.
Para establecer las configuraciones del vnculo de direccin MAC esttico:
1. Seleccione Interfaces de >red. Seleccione una interfaz y despus haga clic en Configurar.
2. Haga clic en Avanzado.
3. Ingrese un par de direccin IP y direccin MAC. Haga clic en Agregar. Repita este paso para agregar
otros pares.
4. Si desea que esta interfaz transmita slo trfico que coincida con una entrada en la lista vnculo de
direccin MAC/IP esttico, seleccione la casilla de verificacin Slo permitir trfico enviado desde
o hacia estas direcciones MAC/IP.
Si no desea bloquear trfico que no coincide con una entrada de la lista, desmarque esta casilla de
verificacin.
Buscar la direccin MAC de una computadora

La direccin MAC se conoce tambin como direccin de hardware o direccin Ethernet. Es un identificador
nico, especfico de la tarjeta de red en la computadora. La direccin MAC en general se muestra del
siguiente modo: XX-XX-XX-XX-XX-XX, en donde cada X es un dgito o letra de la A a la F. Para encontrar la
direccin MAC de una computadora en la red:
1. Desde la lnea de comando de la computadora cuya direccin MAC desea averiguar, ingrese
ipconfig /all (Windows) o ifconfig (OS X o Linux).
2. Busque la entrada de "direccin fsica" de la computadora. Este valor es la direccin MAC o de
hardware de la computadora.

Configuracin de red
Acerca de los puentes LAN

Un puente de red establece una conexin entre interfaces de red fsica mltiples en el dispositivo
WatchGuard. Un puente puede usarse del mismo modo que una interfaz de red fsica normal. Por ejemplo,
se puede configurar DHCP para entregar direcciones IP a clientes en un puente o utilizarlo como alias en
polticas de firewall.
Para utilizar un puente debe:
1. Crear una configuracin de puente de red..

2. Asignar una interfaz de red a un puente..
Si desea establecer un puente entre todo el trfico de dos interfaces, recomendamos utilizar el modo
puente para la configuracin de red.
Crear una configuracin de puente de red.

Para utilizar un puente, debe crear una configuracin de puente y asignarla a una o ms interfaces de red.
1. Seleccione Puente de> red.

Aparece la pgina Puente.
2. Haga clic en Nuevo.
Gua del Usuario 105

Configuracin de red
3. En la pestaa Configuracin de puente, ingrese un Nombre y una Descripcin (opcional) para la

configuracin de puente.
4. Seleccione una Zona de seguridad en la lista desplegable e ingrese una direccin IP en notacin
diagonal para el puente.
El puente se agrega al alias de la zona de seguridad que especifica.
5. Para agregar interfaces de red, seleccione la casilla de verificacin adyacente a cada interfaz de red
que desea agregar a la configuracin del puente.
6. Para realizar la configuracin DHCP, seleccione la pestaa DHCP. Seleccione Servidor DHCP o
Retransmisin DHCP en la lista desplegable Modo DHCP.
Para obtener ms informacin sobre la configuracin DHCP, consulte Configurar el DHCP en modo
de enrutamiento mixto en la pgina 86 o Configurar retransmisin de DHCP en la pgina 97.
7. Si desea agregar secondary networks a la configuracin de puente, seleccione la pestaa
Secundaria.
Ingrese una direccin IP en notacin diagonal y haga clic en Agregar.
Para obtener ms informacin sobre secondary networks, consulte Configurar una secondary
network en la pgina 99.
Asignar una interfaz de red a un puente.

Para utilizar un puente, debe crear una configuracin de puente y asignarla a una o ms interfaces de red.
Puede crear la configuracin de puente en el cuadro de dilogo Configuracin de red , o cuando configura
una interfaz de red.
1. Seleccione Puente de> red.

Aparece la pgina Puente.
2. Seleccione una configuracin de puente en la lista Configuracin de puente, luego haga clic en
Configurar.
3. Seleccione la casilla de verifciacin junto a cada interfaz de red que desea agregar al puente.
Acerca de
Una ruta es la secuencia de dispositivos a travs de los cuales se enva el trfico de red. Cada dispositivo en
esta secuencia, en general llamado enrutador, almacena informacin acerca de las redes a las que est
conectado en una tabla de enrutamiento. Esta informacin se utiliza para reenviar el trfico de red al
siguiente enrutador en la ruta.
El dispositivo WatchGuard actualiza automticamente su tabla de enrutamiento cuando se cambia la

configuracin de interfaz de red, cuando falla una conexin de red fsica o cuando se reinicia. Para
actualizar la tabla de enrutamiento en otra oportunidad, debe usar el dynamic routing o agregar una ruta
esttica. Las rutas estticas pueden mejorar el rendimiento, pero si surge un cambio en la estructura de red
o si falla una conexin, el trfico de red no puede llegar a destino. El dynamic routing garantiza que el
trfico de red pueda llegar a destino, pero es ms difcil de configurar.

Configuracin de red
Agregue una ruta esttica

Un ruta es la secuencia de dispositivos a travs de los cuales debe pasar el trfico de red para llegar desde
el origen al destino. Un enrutador es el dispositivo en una ruta que encuentra un punto de red subsiguiente
a travs del cual enva el trfico de red a su destino. Cada enrutador est conectado a un mnimo de dos
redes. Un paquete puede atravesar un nmero de puntos de red con enrutadores antes de llegar a destino.
Se pueden crear rutas estticas para enviar el trfico a host o redes especficas. El enrutador puede
entonces enviar el trfico desde la ruta especificada al destino correcto. Si tiene una red completa detrs
de un enrutador en la red local, agregue una ruta de red. Si no agrega una ruta a una red remota, todo el
trfico a esa red se enva a la puerta de enlace predeterminada del Firebox.
Antes de comenzar, debe comprender la diferencia entre una ruta de red y una ruta de host. Una ruta de
red es una ruta a una red completa detrs de un enrutador ubicado en la red local. Utilice una ruta de host
si hay slo un host detrs del enrutador o si desea que el trfico se dirija slo a un host.
1. Seleccione Rutas de >red.

Aparece la pgina Rutas.
2. En la lista desplegable Tipo, seleccione IP de host o IP de red.
n Seleccione IP de red si tiene una red completa detrs de un enrutador en la red local.
n Seleccione IP de host si hay slo un host detrs del enrutador o si desea que el trfico se dirija
slo a un host.
3. En el cuadro de texto Ruta hacia, ingrese la direccin IP de destino.
4. En el cuadro de texto Puerta de enlace, ingrese la direccin IP de la interfaz local del enrutador.
La direccin IP de la puerta de enlace debe ser una direccin IP administrada por el dispositivo
WatchGuard.
Gua del Usuario 107

Configuracin de red
5. En el cuadro de texto Mtrica, ingrese o seleccione una mtrica para la ruta. Las rutas con las
mtricas ms bajas tienen mayor prioridad.
7. Para agregar otra ruta esttica, repita los pasos 2 al 4.
Para eliminar una ruta esttica, seleccione la direccin IP en la lista y haga clic en Eliminar.
Acerca de redes virtuales de rea local (VLAN)

Una VLAN (red de rea local virtual) 802.1Q es una coleccin de computadoras en una o varias LAN que se
agrupan en un solo dominio de broadcast independientemente de su ubicacin fsica. Esto permite agrupar
dispositivos de acuerdo con patrones de trfico en lugar de proximidad fsica. Los miembros de una VLAN
pueden compartir recursos como si estuvieran conectados a la misma LAN. Las VLAN tambin pueden
usarse para dividir a un conmutador en mltiples segmentos. Por ejemplo, supongamos que su empresa
tiene empleados de tiempo completo y trabajadores contratados en la misma LAN. Usted desea restringir a
los empleados contratados a un subconjunto de los recursos utilizados por los empleados de tiempo
completo. Tambin desea utilizar una poltica de seguridad ms restrictiva para los trabajadores
contratados. En este caso, se divide la interfaz en dos VLAN.
Las VLAN permiten dividir la red en grupos con una agrupacin o estructura jerrquica lgica en lugar de
una fsica. Esto ayuda a liberar al personal de TI de las restricciones del diseo de red y la infraestructura de
cableado existentes. Las VLAN facilitan el diseo, la implementacin y la administracin de la red. Debido a
que las VLAN se basan en software, la red se puede adaptar de manera rpida y sencilla a incorporaciones,
reubicaciones y reorganizaciones.
Las VLAN utilizan puentes y conmutadores, entonces los broadcast son ms eficientes porque se dirigen
slo a personas en la VLAN y no a todos los conectados. En consecuencia, se reduce el trfico a travs de
los enrutadores, lo cual implica una reduccin en la latencia del enrutador. Firebox puede configurarse para
funcionar como servidor DHCP para dispositivos en la VLAN o puede utilizar retransmisin DHCP con un
servidor DHCP separado.
Requisitos y restricciones de la VLAN

n La implementacin de VLAN de WatchGuard no es compatible con el protocolo de administracin
de enlaces Spanning Tree (rbol de expansin).
n Si su Firebox est configurado para utilizar el modo de red directo, no puede utilizar VLAN.
n Una interfaz fsica puede ser miembro de una VLAN no etiquetado en slo una VLAN. Por ejemplo,
si Externo-1 es un miembro no etiquetado de una VLAN denominada VLAN-1, no puede ser
miembro no etiquetado de una VLAN diferente al mismo tiempo. Adems, las interfaces externas
pueden ser miembros de slo una VLAN.
n La configuracin de multi-WAN se aplica al trfico VLAN. Sin embargo, puede ser ms fcil administrar
el ancho de banda cuando se usan slo interfaces fsicas en una configuracin multi-WAN.
n El modelo y la licencia de su dispositivo controlan el nmero de VLAN que puede crear.
Para consultar el nmero de VLAN que puede agregar a su configuracin, seleccione Estado del
sistema>Licencia.
Identifique la fila denominada Nmero total de interfaces VLAN.

Configuracin de red
n Recomendamos no crear ms de 10 VLAN que funcionen en interfaces externas por el

rendimiento.
n Todos los segmentos de red que desee agregar a una VLAN deben tener direcciones IP en la red VLAN.
Nota Si define VLAN, puede ignorar mensajes con el texto 802.1d unknown version
(802.1d versin desconocida). Esto puede ocurrir porque la implementacin de
VLAN de WatchGuard no es compatible con el protocolo de administracin de
enlaces Spanning Tree (rbol de expansin).
Acerca de las etiquetado

Para activar VLAN, debe implementar conmutadores compatibles con VLAN en cada sitio. Las interfaces del
conmutador insertan etiquetas en la capa 2 del marco de datos que identifican un paquete de red como
parte de una VLAN especfica. Estas etiquetas, que agregan cuatro bytes extras al encabezado de Ethernet,
identifican al marco como perteneciente a una VLAN especfica. El etiquetado se especifica con el estndar
IEEE 802.1Q.
La definicin de VLAN incluye la disposicin de marcos de datos etiquetados y no etiquetados. Debe

especificar si la VLAN recibe datos etiquetados, no etiquetados o no recibe datos de cada interfaz activada.
El dispositivo WatchGuard puede insertar etiquetas para paquetes que se envan a un conmutador
compatible con VLAN. Su dispositivo tambin puede eliminar etiquetas de paquetes que se envan a un
segmento de red que pertenece a una VLAN que no tiene conmutador.
Definir un nuevo (red de rea local virtual)

Antes de crear una nueva VLAN, asegrese de comprender los conceptos acerca de las VLAN y sus
restricciones, segn se describe en Acerca de redes virtuales de rea local (VLAN) en la pgina 108. Antes
de poder crear una configuracin de VLAN, debe cambiar tambin por lo menos una interfaz para que sea
del tipo VLAN.
Cuando se define una nueva VLAN, se agrega une entrada en la tabla Configuracin de VLAN. Se puede
cambiar la vista de esta tabla:
n Haga clic en el encabezado de columna para ordenar la tabla segn los valores de esa columna.
n La tabla puede ordenarse de mayor a menor o de menor a mayor.
n Los valores en la columna Interfaz muestran las interfaces fsicas que son miembros de esta VLAN.
n El nmero de interfaz en negrita es la interfaz que enva datos no etiquetados a esa VLAN.
Para crear una nueva VLAN:
1. Seleccione Red > VLAN.

Aparece la pgina VLAN.
2. Aparece una tabla de VLAN actuales definidas por el usuario y sus configuraciones:
Tambin puede configurar interfaces de red desde la tabla Interfaces.
Gua del Usuario 109

Configuracin de red
3. Haga clic en Nueva.

Aparece la pgina Configuracin de VLAN.
4. En el campo Nombre, ingrese un nombre para la VLAN.

5. (Opcional) En el campo Descripcin, ingrese una descripcin de la VLAN.
6. En el campo Identificacin de VLAN ingrese o seleccione un valor para la VLAN.
7. En el campo Zona de seguridad, seleccione De confianza, Opcional o Externa.
Las zonas de seguridad corresponden a los alias para las zonas de seguridad de la interfaz. Por
ejemplo, las VLAN de tipo De confianza son administradas por polticas que usan el alias Cualquiera
de confianza como origen o destino.
8. En el campo Direccin IP ingrese la direccin de la puerta de enlace de la VLAN.
Usar DHCP en una VLAN
Puede configurar Firebox como servidor DHCP para las computadoras en la red VLAN.
1. En la pestaa Red, seleccione Servidor DHCP en la lista desplegable Modo DHCP. para configurar el
Firebox como servidor DHCP para la red VLAN. Si es necesario, ingrese el domain name para
proporcionarlo a los clientes DHCP.
2. Para agregar un conjunto de direcciones IP, Ingrese la primera y la ltima direccin IP en el grupo.
Haga clic en Agregar.
Se puede configurar un mximo de seis grupos de direcciones.
3. Para reservar una direccin IP especfica para un cliente, Ingrese la direccin IP, el nombre de
reserva y la direccin MAC del dispositivo. Haga clic en Agregar.

Configuracin de red
4. Para cambiar el tiempo de concesin predeterminado, seleccione un intervalo de tiempo diferente

en la lista desplegable que se encuentra en la parte superior de la pgina.
Es el intervalo de tiempo en el que un cliente DHCP puede usar una direccin IP que recibe del servidor DHCP.
Cuando el tiempo de concesin se est por agotar, el cliente enva una solicitud al servidor DHCP para obtener
una nueva concesin.
5. Para agregar servidores DNS o WINS a la configuracin DHCP, ingrese la direccin del servidor en el
campo adyacente a la lista. Haga clic en Agregar.
6. Para borrar un servidor de la lista, seleccione la entrada y haga clic en Eliminar.
Usar Retransmisin de DHCP en una VLAN
1. En la pestaa Red, seleccione Retransmisin de DHCP en la lista desplegable Modo DHCP.

2. Ingrese la direccin IP del servidor DHCP. Asegrese de agregar una ruta al servidor DHCP, si es
necesario.
Ahora puede realizar los siguientes pasos y Asignar interfaces a (red de rea local virtual).
Asignar interfaces a (red de rea local virtual)

Cuando se crea una nueva VLAN, se especifica el tipo de datos que recibe de las interfaces de Firebox. Sin
embargo, tambin se puede convertir a una interfaz en miembro de una VLAN actualmente definida o
eliminar una interfaz de una VLAN. Se debe cambiar el tipo de interfaz a VLAN para poder usarla en una
configuracin VLAN.
1. Seleccione Red >VLAN.

Aparece la pgina VLAN.
2. Haga clic en Nueva o seleccione una interfaz de VLAN y haga clic en Configurar.
3. En la lista Seleccionar una configuracin de etiqueta VLAN para cada interfaz, haga clic en la
columna Etiquetado/No etiquetado adyacente a una interfaz y seleccione una opcin en la lista
desplegable:
n Trfico etiquetado: la interfaz enva y recibe trfico etiquetado.

n Trfico no etiquetado : la interfaz enva y recibe trfico no etiquetado.
n Sin trfico: se elimina la interfaz de esta configuracin VLAN.
Gua del Usuario 111

Configuracin de red
Ejemplos de configuracin de red

Ejemplo: Configurar dos VLAN con la misma interfaz
Una interfaz de red en un dispositivo Firebox o XTM es miembro de ms de una VLAN cuando el interruptor
que se conecta a esa interfaz transporta trfico a ms de una VLAN. Este ejemplo muestra cmo conectar un
interruptor configurado para dos VLAN diferentes a una sola interfaz en el dispositivo Firebox o XTM.
El diagrama subsiguiente muestra la configuracin correspondiente para este ejemplo.
En este ejemplo, los equipos en ambas VLAN se conectan al mismo interruptor 802.1Q y el interruptor se
conecta a la interfaz 3 del dispositivo Firebox o XTM.
Las instrucciones subsiguientes le muestran cmo configurar estas VLAN:
Configurar la Interfaz 3 como una interfaz de VLAN

2. En el cuadro de texto Nombre de interfaz (Alias), ingrese vlan.
3. Seleccione la interfaz nmero 3. Haga clic en Configurar.

Configuracin de red
1. En la lista desplegable Tipo de interfaz, seleccione VLAN.

Defina las dos VLAN y asgnelas a la interfaz de VLAN

1. Seleccione Red > VLAN.
2. Haga clic en Nuevo.
3. En el cuadro de texto Nombre (Alias), ingrese un nombre para la VLAN. Para este ejemplo, ingrese
VLAN10 .
4. En el cuadro de texto Descripcin, ingrese una descripcin. Para este ejemplo, ingrese
Contabilidad .
5. En el cuadro de texto ID de VLAN, ingrese el nmero de VLAN configurado para la VLAN en el
interruptor. Para este ejemplo, ingrese 10 .
6. En la lista desplegable Zona de seguridad, seleccione la zona de seguridad. Para este ejemplo,
seleccione De confianza.
7. En el cuadro de texto Direccin IP, ingrese la direccin IP que desea utilizar para el dispositivo
Firebox o XTM en esta VLAN. Para este ejemplo, ingrese 192.168.10.1/24 .
columna Etiquetado/No etiquetado adyacente a una interfaz y seleccione Etiquetado en la lista
desplegable.
Gua del Usuario 113

Configuracin de red

10. Haga clic en Nuevo para agregar la segunda VLAN.
11. En el cuadro de texto Nombre (Alias), ingrese VLAN20 .
12. En el cuadro de texto Descripcin, ingrese Ventas .
13. En el cuadro de texto ID de VLAN, ingrese 20 .
14. En la lista Zona de seguridad, seleccione Opcional.
15. En el campo Direccin IP, ingrese la direccin IP que desea utilizar para el dispositivo Firebox o XTM
en esta VLAN. Para este ejemplo, ingrese 192.168.20.1/24 .
columna Etiquetado/No etiquetado adyacente a una interfaz y seleccione Etiquetado en la lista
desplegable.
18. Ahora, ambas VLAN aparecen en la lista y estn configuradas para utilizar la interfaz de VLAN
definida.

Configuracin de red
Use Firebox X Edge con el bridge inalmbrico 3G Extend

El bridge inalmbrico 3G Extend de WatchGuard aade conectividad celular 3G al dispositivo Firebox X Edge
o WatchGuard XTM2 Series. Cuando se conecta la interfaz externa del dispositivo WatchGuard del bridge
inalmbrico 3G Extend de WatchGuard, las computadoras de la red pueden conectarse en forma
inalmbrica a Internet a travs de la red celular 3G.
El 3G Extend tiene dos modelos basados en tecnologa de Top Global y Cradlepoint.
Use el dispositivo 3GExtend/Top Global MB5000K

Siga estos pasos para usar el bridge inalmbrico 3G Extend con el dispositivo Firebox X Edge o XTM2 Series.
1. Configure la interfaz externa en el dispositivo WatchGuard para obtener su direccin con PPPoE.
Asegrese de configurar el nombre de usuario PPPoE/contrasea en pblico/pblico. Para obtener
ms informacin acerca de cmo configurar la interfaz externa para PPPoE, consulte Configurar una
interfaz externa en la pgina 82.
2. Active la tarjeta de datos de banda ancha. Consulte las instrucciones incluidas en la tarjeta de datos
de banda ancha para obtener ms informacin.
3. Prepare el bridge inalmbrico 3G Extend:
n Inserte la tarjeta de datos de banda ancha en la ranura del bridge inalmbrico 3G Extend.
n Conecte la energa elctrica al bridge inalmbrico 3G Extend.
n Verifique que las luces LED estn activas.
4. Use un cable Ethernet para conectar el bridge inalmbrico 3G Extend a la interfaz externa del
dispositivo WatchGuard.
Gua del Usuario 115

Configuracin de red
No es necesario cambiar ninguna configuracin en el dispositivo 3GExtend antes de conectarlo al

dispositivo WatchGuard. En algunas ocasiones es necesario conectarse a la interfaz de administracin web
del dispositivo 3GExtend. Para conectarse a la interfaz 3GExtend web, conecte la computadora
directamente al MB5000K con un cable Ethernet y asegrese de que la computadora est configurada para
obtener su direccin IP con DHCP. Abra el explorador web e ingrese http://172.16.0.1 . Conctese con
un nombre de usuario/contrasea de pblico/pblico.
n Para operar correctamente con el dispositivo WatchGuard, el bridge inalmbrico 3G Extend debe
configurarse para ejecutarse en modo "Autoconexin". Todos los dispositivos 3G Extend/MB5000K
estn preconfigurados para ejecutarse en este modo de manera predeterminada. Para verificar si el
dispositivo 3G Extend est configurado en modo Autoconexin, conctese directamente al
dispositivo y seleccione Interfaces >Acceso a Internet. Seleccione la interfaz WAN#0. En el seccin
Red, asegrese de que el modo Conectar de la lista desplegable est configurado en Auto.
n Si la tarjeta inalmbrica 3G funciona en la red celular GPRS, puede ser necesario agregar un inicio
de sesin de red y contrasea a la configuracin del dispositivo 3G Extend. Para agregar un inicio de
sesin de red red y contrasea, conctese al bridge inalmbrico 3GExtend y seleccione Servicios >
Bridge administrable.
n Para restablecer las configuraciones predeterminadas de fbrica en el MB5000K, conctese al
bridge inalmbrico 3G Extend y seleccione Sistema> Configuraciones predeterminadas de fbrica.
Haga clic en S.
Por seguridad, recomendamos cambiar el nombre de usuario/contrasea PPPoE predeterminados de

pblico/pblico despus de que la red est en funcionamiento. Debe cambiar el nombre de usuario y la
contrasea en el dispositivo WatchGuard y en el bridge inalmbrico 3G Extend.
n Para cambiar el nombre de usuario y la contrasea PPPoE en el dispositivo WatchGuard, consulte

Configurar una interfaz externa en la pgina 82.
n Para cambiar el nombre de usuario y la contrasea PPPoE en el dispositivo 3G Extend, conctese al
dispositivo en ingrese en Servicios>Bridge administrable.
El dispositivo 3G Extend admite ms de 50 tarjetas de mdem y opciones de planISP. Para obtener

informacin detallada acerca del producto Top Global, incluida la Gua del usuario del MB5000, ingrese en
http://www.topglobaluse.com/support_mb5000.htm.
Use el dispositivo 3GExtend/Cradlepoint CBA250.

Siga estos pasos para usar el adaptador de banda ancha celular 3G Extend Cradlepoint con su dispositivo
WatchGuard Firebox X.
1. Siga las instrucciones en la Gua de inicio rpido del Cradlepoint CBA250 para configurar el
dispositivo Cradlepoint.
2. Configure la interfaz externa en el dispositivo WatchGuard para obtener su direccin con DHCP. Para
aprender cmo configurar la interfaz externa para PPPoE, consulte Configurar una interfaz externa
en la pgina 82.
3. Use un cable Ethernet para conectar el dispositivo Cradlepoint a la interfaz externa de Firebox.
4. Inicie (o reinicie) el dispositivo WatchGuard.
Cuando Firebox se inicia, recibe una direccin DHCP del dispositivo Cradlepoint. Despus de que se asigna una
direccin IP, Firebox puede conectarse a Internet a travs de la red de banda ancha celular.

Configuracin de red
El Cradlepoint admite un gran nmero de USB o dispositivos inalmbricos de banda ancha ExpressCard.
Para obtener una lista de dispositivos admitidos, consulte http://www.cradlepoint.com/support./cba250.
Gua del Usuario 117

Configuracin de red
Gua del Usuario 118

7 WAN mltiple
Acerca de usar mltiples interfaces externas

Puede usar su dispositivo Firebox WatchGuard para crear soporte redundante para la interfaz externa. Esa
es una opcin til si debe tener una conexin constante a Internet.
Con la funcin WAN mltiple, puede configurar hasta cuatro interfaces externas, cada una en una subred
diferente. Eso permite conectar su Firebox a ms de un Proveedor de servicios de Internet (ISP). Cuando
configura una segunda interfaz, la funcin de WAN mltiple es automticamente activada.
Requisitos y condiciones de WAN mltiple

Debe tener una segunda conexin a Internet y ms de una interfaz externa para usar la mayora de las
opciones de configuracin de WAN mltiple.
Las condiciones y requisitos para el uso de WAN mltiple incluyen:
n Si tiene una poltica configurada con un alias de interfaz externa individual en su configuracin, debe
alterarla para usar el alias Cualquiera-Externo, u otro alias configurado para interfaces externas. Si no
lo hace, puede ser que sus polticas de firewall nieguen algn trfico.
n La configuracin de WAN mltiple no se aplica al trfico entrante. Cuando configura una poltica
para trfico entrante, puede ignorar todas las configuraciones de WAN mltiple.
n Para anular la configuracin de WAN mltiple en cualquier poltica individual, active el enrutamiento
basado en la poltica para la poltica en cuestin. Para ms informacin acerca del enrutamiento
basado en la poltica, vea Configurar el enrutamiento basado en la poltica en la pgina 269.
n Asigne el Domain Name totalmente cualificado de su empresa a la direccin IP de interfaz externa
del orden ms bajo. Si aade un dispositivo WatchGuard de WAN mltiple a la Management Server
configuration, debe usar la interfaz externa de orden ms inferior para identificarlo cuando agrega
el dispositivo.
n Para usar WAN mltiple, debe usar el modo de enrutamiento combinado para la configuracin de
red. Esa funcin no opera en las configuraciones de red de modo directo o puente.
Gua del Usuario 119

WAN mltiple
n Para usar el mtodo de desbordamiento en la interfaz, debe tener el Fireware XTM con una
actualizacin Pro. Tambin debe tener una licencia Pro de Fireware XTM si usa el mtodo de
operacin por turnos y configura diferentes pesos para las interfaces externas del dispositivo
WatchGuard.
Puede usar una de las cuatro opciones de configuracin de WAN mltiple para administrar su trfico de red.
Para detalles de configuracin y procedimientos, vea la seccin para cada opcin.
WAN mltiple y DNS

Asegrese de que su servidor DNS puede ser contactado a travs de cada una de las WAN. De lo contrario,
debe modificar sus polticas de DNS de modo tal que:
n La lista De incluya Firebox.

n La casilla de verificacin Usar enrutamiento basado en la poltica est seleccionada.
Si slo una WAN puede alcanzar el servidor DNS, seleccione esa interfaz en la lista desplegable al
lado.
Si ms de una WAN puede alcanzar el servidor DNS, seleccione una de ellas, seleccione
Conmutacin por error, seleccione Configurar y seleccione todas las interfaces que pueden
alcanzar el servidor DNS. El orden es indiferente.
Nota Debe tener un Fireware XTM con una actualizacin Pro para usar la enrutamiento
basado en la poltica.
Acerca de las opciones de WAN mltiple

Cuando configura interfaces externas mltiples, tiene varias opciones para controlar cul interfaz un paquete
saliente utiliza. Alguna de esas funciones requiere que tenga el Fireware XTM con actualizacin Pro.
Orden de operacin por turnos

Cuando configura la WAN mltiple con el mtodo de operacin por turnos, el dispositivo WatchGuard
busca en su tabla de enrutamiento la informacin de dynamic routing o esttico para cada conexin. Si no
se encuentra la ruta especificada, el dispositivo WatchGuard distribuye la carga de trfico entre sus
interfaces externas. El dispositivo WatchGuard usa el promedio de trfico enviado (TX) y recibido (RX) para
balancear la carga de trfico por todas las interfaces externas especificadas en su configuracin de
operacin por turnos.
Si tiene un Fireware XTM con actualizacin Pro, puede asignar un peso para cada interfaz usada en su
configuracin de operacin por turnos. Por defecto y para todos los usuarios de Fireware XTM, cada
interfaz tiene un peso 1. El peso se refiere a la proporcin de carga que el dispositivo WatchGuard enva a
travs de una interfaz. Si tiene un Fireware XTM Pro y asigna un peso de 2 a una interfaz determinada, se
duplica la parte de trfico que pasar por esa interfaz, comparada a la interfaz con peso 1.
Por ejemplo, si tienen tres interfaces externas con 6M, 1.5M y .075 de ancho de banda y desea balancear el
trfico en las tres interfaces, se podra usar 8, 2 y 1 como pesos para esas tres interfaces. El Fireware
intentar distribuir las conexiones de modo que 8/11, 2/11 y 1/11 del trfico total fluya por cada una de las
tres interfaces.

WAN mltiple
Para ms informaciones, vea Configurar la opcin de operacin por turnos de WAN mltiple en la pgina 122.
Conmutacin por error

Cuando usa el mtodo de conmutacin por error para enrutar el trfico por las interfaces externas del
dispositivo WatchGuard, se selecciona una interfaz externa para que sea la principal. Las otras interfaces
externas son las de resguardo y se define el orden para que el dispositivo WatchGuard use las interfaces de
resguardo. El dispositivo WatchGuard monitorea la interfaz externa principal. Si se desconecta, el dispositivo
WatchGuard enva todo el trfico a la siguiente interfaz externa en su configuracin. Mientras el dispositivo
WatchGuard enva todo el trfico a la interfaz de resguardo, sigue monitoreando la interfaz externa
principal. Cuando la interfaz principal est activa nuevamente, el dispositivo WatchGuard inmediatamente
recomienza a enviar todas las nuevas conexiones por la interfaz externa principal.
Se controla lo que el dispositivo WatchGuard debe hacer con las conexiones existentes; stas pueden
conmutar por recuperacin inmediatamente o continuar a usar la interfaz de resguardo hasta que la
conexin est concluida. La conmutacin por error de WAN mltiple y el FireCluster son configurados
separadamente. La conmutacin por error de WAN mltiple provocada por una conexin con fallas hacia
un host de monitor de enlace no desencadena la conmutacin por error del FireCluster. La conmutacin
por error del FireCluster ocurre solamente cuando la interfaz fsica est desactivada o no responde. La
conmutacin por error del FireCluster tiene precedencia sobre la conmutacin por error de WAN mltiple.
Params informaciones,vea Configurar la opcinde conmutacinpor error de WAN mltiple enla pgina124.
Desbordamiento en la interfaz
Cuando usa el mtodo de configuracin de WAN mltiple de desbordamiento en la interfaz, selecciona el
orden que desea que el dispositivo WatchGuard enve trfico por las interfaces externas y configura cada
interfaz con un valor de umbral de ancho de banda. El dispositivo WatchGuard comienza a enviar el trfico
por la primera interfaz externa en su lista de configuracin de desbordamiento en la interfaz. Cuando el
trfico por esa interfaz alcanza el umbral de ancho de banda definido, el dispositivo WatchGuard comienza a
enviar trfico a la siguiente interfaz externa configurada en la lista de configuracin de desbordamiento en
la interfaz.
Ese mtodo de configuracin de WAN mltiple permite que la cantidad de trfico enviada por cada interfaz
WAN sea restringido a un lmite de ancho de banda especificado. Para determinar el ancho de banda, el
dispositivo WatchGuard examina la cantidad de paquetes enviados (TX) y recibidos (RX) y usa el nmero
ms alto. Cuando configura el umbral ancho de banda para cada interfaz, debe considerar las necesidades
de su red para la interfaz en cuestin y definir el valor de umbral segn esas necesidades. Por ejemplo, si su
ISP es asimtrico y define el umbral de ancho de banda segn una tasa alta de TX, el desbordamiento en la
interfaz no ser desencadenado por una alta tasa de RX.
Si todas las interfaces WAN llegaron al lmite de ancho de banda, el dispositivo WatchGuard usa el algoritmo
de enrutamiento ECMP (Protocolo de mltiples rutas de igual costo) para encontrar la mejor ruta.
Nota Es necesario tener el Fireware XTM con actualizacin Pro para usar ese mtodo de
enrutamiento de WAN mltiple.
Para ms informaciones, vea Configurar WAN mltiple Opcin de desbordamiento en la interfaz en la

pgina 125.
Gua del Usuario 121

WAN mltiple
Tabla de enrutamiento
Cuando selecciona la opcin de tabla de enrutamiento para su configuracin de WAN mltiple, el
dispositivo WatchGuard usa las rutas en su tabla de enrutamiento interna o las rutas que obtiene de los
procesos de dynamic routing para enviar paquetes por la interfaz externa correcta. Para ver si una ruta
especfica existe para un destino de paquete, el dispositivo WatchGuard examina su tabla de enrutamiento
desde el topo hacia abajo de la lista de rutas. Puede ver la lista de rutas en la tabla de enrutamiento en la
pestaa Estado del Firebox System Manager. La opcin de tabla de enrutamiento es de WAN mltiple
predeterminada.
Si su dispositivo WatchGuard no encuentra una ruta especificada, l selecciona qu ruta usar segn los
valores hash del IP de destino y origen del paquete, usando el algoritmo de ECMP (Protocolo de mltiples
rutas de igual costo) especificado en:
http://www.ietf.org/rfc/rfc2992.txt
Con el ECMP, el dispositivo WatchGuard usa un algoritmo para decidir cul salto siguiente (ruta) usar para
enviar cada paquete. Ese algoritmo no tiene en cuenta la carga de trfico actual.
Para ms informaciones, vea Cuando usar los mtodos de WAN mltiple y enrutamiento en la pgina 127.
Mdem serie (solamente Firebox XEdge)

Si su organizacin tiene una cuenta de marcado con un ISP, puede conectar un mdem externo al puerto
serie en su Edge y usar esa conexin para conmutacin por error cuando todas las otras interfaces externas
estn inactivas.
Para ms informaciones, vea Conmutacin por error de mdem serie en la pgina 128.
Configurar la opcin de operacin por turnos de

WAN mltiple
Antes de empezar
n Para usar la funcin de WAN mltiple, hay que tener ms de una interfaz externa configurada. Si
necesario, use el procedimiento descrito en Configurar una interfaz externa en la pgina 82.
n Asegrese que entiende los conceptos y requisitos para WAN mltiple y el mtodo elegido, tal
como se describe en Acerca de usar mltiples interfaces externas en la pgina 119 y Acerca de las
opciones de WAN mltiple en la pgina 120.
Configurar interfaces
1. Seleccione Red >WAN mltiple.
2. En la lista desplegable de la seccin Modo deWAN mltiple, seleccione Operacin por turnos.

WAN mltiple
3. Si tiene un Fireware XTM con actualizacin Pro, puede modificar el peso asociado a cada interfaz.
Elija una interfaz, despus ingrese o seleccione un nuevo valor en el campo Peso al lado. El valor
predeterminado es 1 para cada interfaz.
Para ms informacin acerca del peso de interfaz, vea Descubra cmo asignar pesos a interfaces en
la pgina 123.
4. Para asignar una interfaz a la configuracin de WAN mltiple, seleccione una interfaz y haga clic en
Configurar.
5. Seleccione la casilla de verificacin Participar en WAN mltiple y haga clic en Aceptar.
6. Para concluir su configuracin, debe aadir informacin del monitor de enlace, tal como se describe
en Acerca del Estado de la interfaz de WAN en la pgina 134.
Descubra cmo asignar pesos a interfaces

Si usa un Fireware XTM con actualizacin Pro, puede asignar un peso para cada interfaz usada en su
configuracin deWAN mltiple de operacin por turnos. Por defecto, cada interfaz tiene un peso de 1. El
peso se refiere a la proporcin de carga que el Firebox enva a travs de una interfaz.
Solo nmeros enteros pueden ser usados como pesos de interfaz; fracciones o decimales no son
permitidos. Para un balance de carga ptimo, puede ser necesario hacer clculos para saber el peso en
nmero entero que asignar a cada interfaz. Use un multiplicador comn, as se define la proporcin relativa
de ancho de banda dada por cada conexin externa en nmeros enteros.
Por ejemplo, supongamos que tiene tres conexiones a Internet. Un ISP tiene 6 Mbps, otros ISP tiene 1,5
Mbps, y un tercero tiene 769 Kpbs. Convierta la proporcin en nmeros enteros:
n Primero, convierta 768 Kbps a aproximadamente 0,75 Mbps, para usar la misma unidad de medida
para las tres lneas. Sus tres lneas tienen la proporcin de 6, 1,5 y 0,75 Mbps.
n Multiplique cada valor por 100 para quitar los decimales. Proporcionalmente, eso equivale a: [6 : 1,5
: 0,75] es la misma razn que [600 : 150 : 75]
Gua del Usuario 123

WAN mltiple
n Encuentre el mayor divisor comn de los tres nmeros. En este caso, 75 es el nmero ms alto que
divide igualmente los tres nmeros, 600, 150 y 75.
n Divida cada uno de los nmeros por el mayor divisor comn.
Los resultados son 8, 2 y 1. Podra usar esos nmeros como pesos en una configuracin deWAN mltiple
de operacin por turnos.
Configurar la opcin de conmutacin por error de

WAN mltiple
Antes de empezar
2. En la lista desplegable Modo de WAN Mltiple, seleccione Conmutacin por error.
3. Seleccione una interfaz en la lista y haga clic Arriba o Abajo para definir el orden de la conmutacin
por error. La primera interfaz de la lista es la principal.
Para ms informacin acerca de las opciones avanzadas de configuracin de WAN mltiple, vea
Acerca de la configuracin avanzada de WAN mltiple en la pgina 132.

WAN mltiple
Configurar WAN mltiple Opcin de

desbordamiento en la interfaz
Antes de empezar
n Para usar la funcin de WAN mltiple, debe tener ms de una interfaz externa configurada. Si
2. En la lista desplegable Modo WAN mltiple, seleccione Desbordamiento en la interfaz.
3. En el campo Umbral para cada interfaz, ingrese o seleccione la cantidad de trfico de red en
megabits por segundo (Mbps) que la interfaz debe cargar antes de enviar el trfico a otras
interfaces.
4. Para definir el orden de la operacin de interfaz, seleccione una interfaz en la tabla y haga clic en
Arriba y Abajo para cambiar el orden. Las interfaces son usadas desde la primera a la ltima en la lista.
5. Para concluir su configuracin, debe aadir informacin, tal como se describe en Acerca del Estado
de la interfaz de WAN en la pgina 134.
Para ms informacin acerca de las opciones avanzadas de configuracin de WAN mltiple, vea Acerca de
la configuracin avanzada de WAN mltiple.
Gua del Usuario 125

WAN mltiple
Configurar WAN mltiple opcin tabla de

enrutamiento
Antes de empezar
n Debe elegir si el mtodo de tabla de enrutamiento es un mtodo de WAN mltiple correcto para
sus necesidades. Para ms informaciones, vea Cuando usar los mtodos de WAN mltiple y
enrutamiento en la pgina 127
Modo de tabla de enrutamiento y balance de carga

Es importante observar que la opcin de tabla de enrutamiento no hace el balance de carga en las
conexiones a Internet. El Firebox lee su tabla de enrutamiento interna desde arriba hacia abajo. Las rutas
estticas y dinmicas que especifican un destino aparecen en la parte superior de la tabla de enrutamiento
y tienen precedencia sobre las rutas predeterminadas. (Una ruta predetermina tiene destino 0.0.0.0/0.) Si
no hay una entrada esttica o dinmica especfica en la tabla de enrutamiento para un destino, el trfico
hacia ese destino es enrutado entre las interfaces externas del Firebox usando los algoritmos de ECMP. Eso
puede resultar o no en la distribucin equitativa de paquetes entre las mltiples interfaces externas.
2. En la lista desplegable Modo deWAN mltiple, seleccione Tabla de enrutamiento.
3. Para asignar interfaces a la configuracin de WAN mltiple, seleccione una interfaz y haga clic en
Configurar.
4. Seleccione la casilla de verificacin Participar de WAN mltiple. Haga clic en OK.

WAN mltiple
Para ms informacin acerca de las opciones avanzadas de configuracin de WAN mltiple, vea Acerca de
la configuracin avanzada de WAN mltiple.
Acerca de la tabla de enrutamiento de Firebox

Cuando selecciona la opcin de configuracin de tabla de enrutamiento, es importante saber mirar la tabla
de enrutamiento que est en su Firebox.
En el Fireware XTMWeb UI:
Seleccione Estado del sistema > Rutas.

Eso muestra la tabla de enrutamiento interna en su Firebox.
Las rutas en la tabla de enrutamiento interna en el Firebox incluyen:
n Las rutas que el Firebox aprende de los procesos de dynamic routing en el dispositivo (RIP, OSPF y
BGP), si activa el dynamic routing.
n Las rutas de redes permanentes o rutas de host que se aaden.
n Las rutas que el Firebox crea automticamente cuando lee la informacin de configuracin de red.
Si su Firebox detecta que una interfaz externa est inactiva, l remueve las rutas estticas o dinmicas que
usan esa interfaz. Eso es as si los hosts especificados en el Monitor de enlaces no responden y si un enlace
fsico de Ethernet est inactivo.
Para ms informacin acerca de actualizaciones de tabla de enrutamiento y estado de interfaz, vea Acerca
del Estado de la interfaz de WAN en la pgina 134.
Cuando usar los mtodos de WAN mltiple y enrutamiento

Si usa el dynamic routing, puede usar el mtodo de configuracin de WAN mltiple de tabla de
enrutamiento o de operacin por turnos. Las rutas que usan una puerta de enlace en una red interna
(opcional o de confianza) no son afectadas por el mtodo de WAN mltiple seleccionado.
Cuando usar el mtodo de tabla de enrutamiento

El mtodo de tabla de enrutamiento es una buena opcin si:
n Activa el dynamic routing (RIP, OSPF o BGP) y los enrutadores en la red externa encaminan rutas al
dispositivo WatchGuard para que el dispositivo pueda aprender las mejores rutas hacia las
ubicaciones externas.
n Debe tener acceso a un sitio externo o red externa a travs de una ruta especfica en una red
externa. Los ejemplos incluyen:
n Tener un circuito privado que usa un enrutador de frame relay en la red externa.
n Preferir que todo el trfico a una ubicacin externa siempre pase por una interfaz externa del
El mtodo de tabla de enrutamiento es la forma ms rpida de balancear carga de ms de una ruta a

Internet. Despus de activar esa opcin, el algoritmo de ECMP administra todas las decisiones de conexin.
No son necesarias configuraciones adicionales en el dispositivo WatchGuard.
Gua del Usuario 127

WAN mltiple
Cuando usar el mtodo de operacin por turnos

El balance de carga de trfico a Internet usando ECMP se basa en conexiones, no en ancho de banda. Las
rutas configuradas estticamente o aprendidas desde el dynamic routing son usadas antes que el algoritmo
de ECMP. Si tiene un Fireware XTM con una actualizacin Pro, la opcin de operacin por turnos ponderada
permite enviar ms trfico por una interfaz externa que otras opciones. Al mismo tiempo, el algoritmo de la
operacin por turno distribuye el trfico a cada interfaz externa basado en el ancho de banda, no en
conexiones. Eso le da ms control sobre cuntos bytes de datos son enviados a travs de cada ISP.
Conmutacin por error de mdem serie

(Este tpico se aplica solamente al Firebox X Edge y al XTM2 Series.)
Puede configurar el Firebox X Edge o el XTM 2 Series para enviar trfico a travs de un mdem serial
cuando no logra enviar trfico con alguna interfaz externa. Debe tener una cuenta de marcado con ISP
(Proveedor de servicios de Internet) y un mdem externo conectado al puerto serie (Edge) o puerto USB
(2 Series) para usar esa opcin.
El Edge fue probado con esos mdems:
n Mdem fax serial Hayes 56K V.90

n Zoom FaxModem 56K modelo 2949
n Mdem externo U.S. Robotics 5686
n Mdem serial Creative Modem Blaster V.92
n MultiTech 56K Data/Fax Modem International
El 2 Series fue probado con esos mdems:
n Zoom FaxModem 56K modelo 2949

n MultiTech 56K Data/Fax Modem International
n Mdem Fax/Datos OMRON ME5614D2
n Mdem fax serial Hayes 56K V.90
En el caso de un mdem serial, use un adaptador USBa serial para conectar el mdem al dispositivo XTM2
Series.
Activar conmutacin por error de mdem serial

1. Seleccione Red > Mdem.
Aparece la pgina Mdem.
2. Seleccione la casilla Activar mdem para conmutacin por error cuando todas las interfaces
externas estn inactivas.

WAN mltiple
3. Completar la configuracin Cuenta, DNS, Marcado y Monitor de enlace, tal como se describe en las
siguientes secciones.
Configuraciones de la cuenta
1. Seleccione la pestaa Cuenta.
2. En el cuadro de texto Nmero de telfono, ingrese el nmero de telfono de su ISP.
3. Si tiene otro nmero para su ISP, en el cuadro de texto Nmero de telfono alternativo, ingrselo.
4. En el cuadro de texto Nombre de la cuenta , ingrese el nombre de su cuenta de marcado.
5. Si inicia sesin en su cuenta con un domain name en el cuadro de texto Dominio de cuenta, ingrese
el domain name.
Un ejemplo de domain name es msn.com.
6. En el cuadro de texto Contrasea de cuenta , ingrese la contrasea que utiliza para conectarse a su
cuenta de marcado.
7. Si tiene problemas con su conexin, seleccione la casilla de verificacin Activar rastreo de
depuracin de mdem y PPP. Cuando esa opcin est seleccionada, el Firebox enva registros
detallados para la funcin de conmutacin por error del mdem serial al archivo de registro del
evento.
Configuraciones de DNS
Si su ISP de marcado no ofrece informacin del servidor DNS, o si debe usar un servidor DNS diferente,
puede agregar manualmente las direcciones IP para que un servidor DNS use despus que ocurre una
conmutacin por error.
1. Seleccione la pestaa DNS.

Aparece la pgina "Configuraciones de DNS".
Gua del Usuario 129

WAN mltiple
2. Seleccione la casilla de verificacin Configurar manualmente las direcciones IP del servidor DNS.
3. En el cuadro de texto Servidor DNS principal , ingrese la direccin IP del servidor DNS principal.
4. Si tiene un servidor DNS secundario, en el cuadro de texto Servidor DNS secundario, ingrese la
direccin IP para el servidor secundario.
5. En el cuadro de texto MTU, para fines de compatibilidad, puede definir la Unidad Mxima de
Transmisin (MTU, en sus siglas en ingls) en un valor diferente. La mayora de los usuarios
mantienen la configuracin predeterminada.
Configuracin de marcado
1. Seleccione la pestaa Marcado.
Aparece la pgina "Opciones de marcado".
2. En el cuadro de texto Tiempo de espera de marcado , ingrese o seleccione el nmero de segundos

antes que se agote el tiempo de espera si su mdem no se conecta. El valor predeterminado es de
dos (2) minutos.
3. En el cuadro de texto Intentos de remarcado , ingrese o seleccione el nmero de veces que el
Firebox intenta remarcar si su mdem no se conecta. El nmero predeterminado indica que se
espere tres (3)intentos de conexin.
4. En el cuadro de texto Tiempo de espera de inactividad , ingrese o seleccione el nmero de minutos
que esperar si el trfico no pasa por el mdem antes que se agote el tiempo de espera. El valor
predeterminado es de ningn tiempo de espera.
5. En la lista desplegable Volumen del parlante , seleccione el volumen del parlante de su mdem.

WAN mltiple
Configuraciones avanzadas
Algunos ISPs requieren que se especifique una o ms opciones de ppp para establecer conexin. En China,
por ejemplo, algunos ISPs requieren el uso de la opcin de ppp de recibir-todos. La opcin de recibir-todos
hace que el ppp acepte todos los caracteres de control del punto.
1. Seleccione la pestaa Avanzado.
2. En el cuadro de texto Opciones de PPP, ingrese las opciones requeridas de PPP. Para especificar
ms de una opcin de PPP, separe cada opcin con una coma.
Configuracin de "Monitor de enlace"

Puede definir las opciones para probar una o ms interfaces externas para una conexin activa. Cuando una
interfaz externa se vuelve activa nuevamente, el Firebox ya no enva trfico a travs del mdem serial y usa,
en su lugar, la interfaz o las interfaces externas. Puede configurar el Monitor de enlace para enviar un ping a
un sitio o dispositivo en la interfaz externa, crear una conexinTCP con un sitio o nmero de puerto que
especifique, o ambos. Tambin puede definir el intervalo de tiempo entre pruebas de conexin y
configurar el nmero de veces que una prueba debe fallar o tener xito antes que una interfaz sea activada
o desactivada.
Para configurar el monitor de enlace para una interfaz:
1. Seleccione la pestaa Monitor de enlace.

Aparecen las opciones definidas de ping y conexinTCP para cada interfaz externa.
2. Para configurar una interfaz, seleccinela en la lista y haga clic en Configurar.

Aparece el cuadro de dilogo "Detalles de monitor de enlace".
Gua del Usuario 131

WAN mltiple
3. Para enviar un ping a una ubicacin o dispositivo en la red externa, seleccione la casilla Ping e
ingrese una direccinIP o nombre de host en el cuadro de texto al lado.
4. Para crear una conexin TCP a una ubicacin o dispositivo en la red externa, seleccione la casilla TCP
e ingrese una direccinIP o nombre de host en el cuadro de texto al lado. Tambin puede ingresar
o seleccionar un Nmero depuerto.
El nmero de puerto predeterminado es 80 (HTTP).
5. Para que el ping y las conexiones TCP tengan xito antes que una interfaz sea marcada como activa,
seleccione la casilla Ping y TCP deben tener xito.
6. Para cambiar el intervalo de tiempo entre los intentos de conexin, en el cuadro de texto Probar
intervalo , ingrese o seleccione un nmero diferente.
La configuracin predeterminada es de 15 segundos.
7. Para cambiar el nmero de fallas que marcan una interfaz como inactiva, en el cuadro de texto
Desactivar despus de, ingrese o seleccione un nmero diferente.
8. Para cambiar el nmero de conexiones exitosas que marcan una interfaz como activa, en el cuadro
de texto Reactivar despus de , ingrese o seleccione un nmero diferente.
9. Haga clic en OK.
Acerca de la configuracin avanzada de WAN

mltiple
Puede configurar sticky connections, failback, y notificacin de eventos de WAN mltiple. No todas las
opciones de configuracin estn disponibles para todas las opciones de configuracin de WAN mltiple. Si
una configuracin no se aplica a la opcin de WAN mltiple seleccionada, esos campos no aparecen activos.
Para configurar WAN mltiple:
1. Seleccione Red > WAN mltiple.

2. Haga clic en la pestaa Configuracin avanzada.
3. Configure Duracin de Sticky Connection y Failback para conexiones activas, tal como se describe
en las secciones siguientes.

WAN mltiple
Define una duracin de Sticky Connection global

Una sticky connection es una conexin que sigue usando la misma interfaz de WAN por un perodo definido
de tiempo. Puede definir los parmetros de sticky connection si usa opciones de desbordamiento en la
interfaz o operacin por turnos para WAN mltiple. La rapidez asegura que, si un paquete sale por una
interfaz externa, los futuros paquetes entre el par de direcciones IP de origen y de destino usan la misma
interfaz externa por un perodo determinado de tiempo. Por defecto, las sticky connections usan la misma
interfaz por 3 minutos.
Si una definicin de poltica contiene una configuracin de sticky connection, esa configuracin es usada en
lugar de la configuracin global.
Para cambiar la duracin de sticky connection global para un protocolo o conjunto de protocolos:
1. En el cuadro de texto para el protocolo, ingrese o seleccione un nmero.

2. En la lista desplegable al lado, seleccione una duracin.
Si define una duracin de sticky connection en una poltica, puede anular la duracin de sticky connection
global. Para ms informaciones, vea Defina la duracin de sticky connection para una poltica en la pgina 272.
Definir accin de failback

Puede definir la accin que desea que su dispositivo WatchGuard haga cuando ocurre un evento de
conmutacin por error y la interfaz externa principal se vuelve activa nuevamente. Cuando eso se d, todas
las nuevas conexiones inmediatamente conmutan por recuperacin hacia la interfaz externa principal.
Seleccione el mtodo deseado para las conexiones en proceso en el momento de la failback.
En la lista desplegable Failback para conexiones activas :
n Failback inmediata Seleccione esta opcin si desea que el dispositivo WatchGuard detenga
inmediatamente todas las conexiones existentes.
Gua del Usuario 133

WAN mltiple
n Failback gradual Seleccione esta opcin si desea que el dispositivo WatchGuard siga usando la
interfaz de conmutacin por error para conexiones existentes hasta que cada conexin est
completa.
Esa configuracin de failback tambin se aplica a cualquier configuracin de enrutamiento basado en la

poltica que se define para usar interfaces externas de conmutacin por error.
Acerca del Estado de la interfaz de WAN

Puede elegir el mtodo y frecuencia con la que desea que el Firebox verifique el estado de cada interfaz de
WAN. Si no configura un mtodo especificado para ser usado por Firebox, l enva un ping a la puerta de
enlace predeterminada de la interfaz para verificar el estado de la misma.
Tiempo necesario para que el Firebox actualice su tabla de

enrutamiento
Si un host de monitor de enlace no responde, puede llevar de 40 - 60 segundos para que el dispositivo
WatchGuard actualice su tabla de enrutamiento. Cuando el mismo host de monitor de enlace empieza a
responder nuevamente, puede llevar de 1 - 60 segundos para que su Firebox actualice su tabla de
enrutamiento.
El proceso de actualizacin es mucho ms rpido cuando su Firebox detecta una desconexin fsica del
puerto de Ethernet. Cuando eso ocurre, el dispositivo WatchGuard actualiza su tabla de enrutamiento
inmediatamente. Cuando su Firebox detecta que la conexin de Ethernet est activa nuevamente, l
actualiza su tabla de enrutamiento dentro de 20 segundos.
Definir un host de monitor de enlace

2. Seleccione la interfaz y haga clic en Configurar.
Aparece el cuadro de dilogo "Detalles de monitor de enlace".

WAN mltiple
3. Seleccione las casillas de verificacin para cada mtodo de monitor de enlace que desea que el
Firebox use para verificar el estado de cada interfaz externa:
n Ping Agregue una direccin IP o domain name para que el Firebox enve un ping para
verificar el estado de la interfaz.
n TCP Agregue una direccin IP o domain name de un equipo con el que el Firebox puede
negociar un protocolo de enlace de TCP para verificar el estado de la interfaz de WAN.
n Ping y TCP deben tener xito La interfaz es considerada inactiva excepto si tanto el ping
como la conexin TCP son concluidos con xito.
Si una interfaz externa es miembro de una configuracin de FireCluster, una conmutacin por error
de WAN mltiple provocada por una falla de conexin hacia un host de monitor de enlace no
desencadena la conmutacin por error del FireCluster. La conmutacin por error del FireCluster
ocurre solamente cuando la interfaz fsica est desactivada o no responde. Si agrega un domain
name para que el Firebox enve un ping y alguna de las interfaces externas tiene una direccin IP
esttica, debe configurar un servidor DNS, tal como se describe en Agregar direcciones de servidor
DNS y WINS.
4. Para configurar la frecuencia con la que desea que el Firebox verifique el estado de la interfaz,
ingrese o seleccione una configuracin de Probar despus de.
La configuracin predeterminada es de 15 segundos.
5. Para cambiar el nmero de fallas de pruebas consecutivas que debe ocurrir antes de una
conmutacin por error, ingrese o seleccione una configuracin de Desactivar despus de.
La configuracin predeterminada es de tres (3). Despus del nmero de fallas seleccionado, el Firebox intenta
enviar el trfico a travs de la siguiente interfaz especificada en la lista de conmutacin por error de WAN
mltiple.
6. Para cambiar el nmero de pruebas consecutivas exitosas a travs de una interfaz antes que la
interfaz previamente inactiva se vuelva activa nuevamente, ingrese o seleccione una configuracin
de Reactivar despus de.
7. Repita esos pasos para cada interfaz externa.
Gua del Usuario 135

WAN mltiple
Gua del Usuario 136

8 Traduccin de direccin de red
(NAT)
Acerca de la Traduccin de direccin de red (NAT)

La traduccin de direccin de red (NAT) es un trmino utilizado para describir cualquiera de varias formas
de traduccin de direccin IP y puerto. En su nivel ms bsico, NAT cambia la direccin IP de un paquete
de un valor a otro diferente.
El objetivo principal de NAT es aumentar el nmero de computadoras que pueden funcionar partiendo de
una nica direccin IP pblicamente enrutable y ocultar las direcciones IP privadas de host en su LAN.
Cuando se usa NAT, la direccin IP de origen se cambia en todos los paquetes que se envan.
NAT se puede aplicar como configuracin de firewall general o como una configuracin en una poltica. Las
configuraciones de NAT firewall no se aplican a las polticas BOVPN.
Si tiene Fireware XTM con una actualizacin Pro, puede usar la funcin de Balance de carga en el servidor
como parte de una regla NAT esttica. La funcin de balance de carga en el servidor est diseada para
ayudarle a aumentar la escalabilidad y el rendimiento de una red de alto trfico con mltiples servidores
pblicos protegidos por el dispositivo WatchGuard. Con el balance de carga en el servidor, puede
determinar que el dispositivo WatchGuard controle el nmero de sesiones iniciadas en hasta diez
servidores para cada poltica de firewall que configure. El dispositivo WatchGuard controla la carga segn el
nmero de sesiones en uso en cada servidor. El dispositivo WatchGuard no mide ni compara el ancho de
banda que usa cada servidor.
Para obtener ms informacin sobre el balance de carga en el servidor, consulte Configurar Balance de
carga en el servidor en la pgina 154.
Tipos de NAT
El dispositivo WatchGuard admite tres tipos diferentes de NAT. Su configuracin puede usar ms de un tipo
de NAT al mismo tiempo. Se aplican algunos tipos de NAT a todo el trfico de firewall y otros tipos como
configuracin en una poltica.
Gua del Usuario 137

Traduccin de direccin de red (NAT)
NAT dinmico
NAT dinmico tambin se conoce como enmascaramiento IP. El dispositivo WatchGuard puede
aplicar su direccin IP pblica a los paquetes salientes para todas las conexiones o para servicios
especficos. Esto oculta a la red externa la direccin IP real de la computadora que es el origen del
paquete. NAT dinmica en general se usa para ocultar las direcciones IP de host internos cuando
tienen acceso a servicios pblicos.
Para ms informaciones, vea Acerca de la dinmica basada en polticas en la pgina 138.
NAT esttica
NAT esttica, conocida tambin como reenvo de puerto, se configura cuando se configuran las
polticas. NAT esttica es una NAT de puerto-a-host. Un host enva un paquete desde la red externa a
un puerto en una interfaz externa. NAT esttica cambia esta direccin IP a una direccin IP y puerto
detrs del firewall.
Para ms informaciones, vea Acerca de la NAT esttica en la pgina 153.
1-to-1 NAT
1-to-1 NAT crea una asignacin entre direcciones IP en una red y direcciones IP en una red
diferente. Este tipo de NAT con frecuencia se usa para que las computadoras externas tengan
acceso a los servidores internos pblicos.
Para ms informaciones, vea Acerca de las 1-to-1 NAT en la pgina 142.
Acerca de la dinmica basada en polticas

NAT dinmica es el tipo de NAT que se utiliza con ms frecuencia. Cambia la direccin IP de origen de una
conexin saliente a la direccin IP pblica de Firebox. Fuera de Firebox, se observa slo la direccin IP de la
interfaz externa de Firebox en los paquetes salientes.
Muchas computadoras pueden conectarse a Internet desde una direccin IP pblica. NAT dinmica ofrece
ms seguridad para host internos que usan Internet porque oculta las direcciones IP de host en su red. Con
NAT dinmica, todas las conexiones deben iniciarse desde detrs de Firebox. Los host maliciosos no pueden
iniciar conexiones a las computadoras detrs de Firebox cuando ste est configurado para NAT dinmica.
En la mayora de las redes, la poltica de seguridad recomendada es aplicar NAT a todos los paquetes
salientes. Con Fireware, NAT dinmica est activada de manera predeterminada en el cuadro de dilogo
Red > NAT. Tambin est activada de manera predeterminada en cada poltica que se crea. Puede anular la
configuracin de firewall para NAT dinmica en las polticas individuales, como se describe en Aplicar
reglas NAT en la pgina 271.
Agregar firewall a entradas de NAT dinmicas

La configuracin predeterminada de NAT dinmica activa NAT dinmica desde todas las direcciones IP
privadas hacia la red externa. Las entradas predeterminadas son:
n 192.168.0.0/16 Cualquiera-externo

Estas tres direcciones de red son las redes privadas reservadas por Internet Engineering Task Force (IETF) y
en general se usan para las direcciones IP en LAN. Para activar NAT dinmica para direcciones IP privadas
distintas de stas, debe agregar una entrada para ellas. El dispositivo WatchGuard aplica reglas NAT
dinmicas en la secuencia en la que aparecen en la lista Entradas de NAT dinmica. Recomendamos colocar
las reglas en una secuencia que coincida con el volumen de trfico al que se aplican las reglas.
1. Seleccione Red > NAT.

Aparece la pgina de configuracin de NAT.
2. En la seccin NAT dinmica, haga clic en Agregar.

Aparece la pgina de configuracin de NAT dinmica.
Gua del Usuario 139

3. En la seccin Desde, haga clic en la lista desplegable Tipo de miembro para seleccionar el tipo de
direccin a utilizar para especificar el origen de los paquetes salientes: IP de host, IP de red, Rango
de host o Alias.
4. En la seccin Desde, debajo de la lista desplegable Tipo de miembro, ingrese la direccin IP de
host, la direccin IP de red o el rango de direcciones IP de host o seleccione un alias en la lista
desplegable.
Debe ingresar una direccin de red en notacin diagonal.
Para obtener ms informacin sobre alias del dispositivo WatchGuard incorporados, consulte Acerca
de los alias en la pgina 257.
5. En la seccin Hasta, haga clic en la lista desplegable Tipo de miembro para seleccionar el tipo de
direccin a utilizar para especificar el destino de los paquetes salientes.
6. En la seccin Hasta, debajo de la lista desplegable Tipo de miembro, ingrese la direccin IP de host,
la direccin IP de red o el rango de direcciones IP de host , o seleccione un alias en la lista
desplegable.
La nueva entrada aparece en la lista Entradas de NAT dinmica.
Eliminar una entrada NAT dinmica

No puede cambiar una entrada NAT dinmica existente. Si desea cambiar una entrada existente, debe
eliminar la entrada y agregar una nueva.
Para eliminar una entrada NAT dinmica:
1. Seleccione la entrada que desea eliminar.

Aparece un mensaje de advertencia.
3. Haga clic en S.

Reordenar entradas NAT dinmica

Para cambiar la secuencia de las entradas NAT dinmica:
1. Seleccione la entrada que desea cambiar.

2. Haga clic en Arriba o Abajo para desplazarla en la lista.
Configurar NAT dinmica basada en polticas

En NAT dinmica basada en polticas, Firebox asigna direcciones IP privadas a direcciones IP pblicas. NAT
dinmica se activa en la configuracin predeterminada de cada poltica. No es necesario activarla a menos
que la haya desactivado previamente.
Para que NAT dinmica basada en polticas funcione correctamente, utilice la pestaa Poltica del cuadro de
dilogo Editar propiedades de polticas para asegurarse de que la poltica est configurada para permitir el
trfico saliente slo a travs de una interfaz de Firebox.
Las reglas de 1-to-1 NAT tienen mayor prioridad que las reglas de NAT dinmica.
1. Seleccione Firewall > Polticas de firewall.

Aparece la lista de polticas de firewall.
2. Seleccione una poltica y haga clic en Editar.
Aparece la pgina de Configuracin de polticas.
3. Haga clic en la pestaa Avanzado.
Gua del Usuario 141

4. Seleccione la casilla de verificacin NAT dinmica.

5. Seleccione Usar configuraciones NAT de red si desea utilizar las reglas de NAT dinmica
establecidas para el dispositivo WatchGuard.
Seleccione Todo el trfico en esta poltica si desea aplicar NAT a todo el trfico en esta poltica.
Puede configurar una direccin IP de origen NAT dinmica para cualquier poltica que usa NAT
dinmica. Seleccione la casilla de verificacin Establecer IP de origen.
Cuando selecciona una direccin IP de origen, cualquier trfico que usa esta poltica muestra una
direccin especfica de su rango de direcciones IP externas o pblicas como el origen. Esto se utiliza
con ms frecuencia para obligar al trfico SMTP saliente a mostrar la direccin de registro MX para
su dominio cuando la direccin IP en la interfaz externa del dispositivo WatchGuard no coincide con
la direccin IP de registro MX. Esta direccin de origen debe estar en la misma subnet que la
interfaz especificada para el trfico saliente.
Recomendamos no utilizar la opcin Establecer IP de origen si tiene ms de una interfaz externa
configurada en su dispositivo WatchGuard.
Si no selecciona la casilla de verificacin Establecer IP de origen, el dispositivo WatchGuard cambia
la direccin IP de origen para cada paquete a la direccin IP de la interfaz desde la cual se enva el
paquete.
Desactivar basado en polticas NAT dinmica

NAT dinmica se activa en la configuracin predeterminada de cada poltica. Para desactivar NAT dinmica
para una poltica:

4. Para desactivar NATpara el trfico controlado por esta poltica, desmarque la casilla de verificacin
NAT dinmica.
Acerca de las 1-to-1 NAT

Cuando se activa 1-to-1 NAT, el dispositivo WatchGuard cambia las rutas de todos los paquetes entrantes y
salientes enviados desde un rango de direcciones a un rango de direcciones diferente. Una regla 1-to-1
NAT siempre tiene prioridad sobre NAT dinmica.
1-to-1 NAT con frecuencia se utiliza cuando se tiene un grupo de servidores internos con direcciones IP
privadas que deben hacerse pblicas. Se puede usar 1-to-1 NAT para asignar direcciones IP pblicas a los
servidores internos. No es necesario cambiar la direccin IP de los servidores internos. Cuando se tiene un
grupo de servidores similares (por ejemplo, un grupo de servidores de correo electrnico),1-to-1 NAT es
ms fcil de configurar que NAT esttica para el mismo grupo de servidores.
Para comprender cmo configurar 1-to-1 NAT, proponemos este ejemplo:

La empresa ABC tiene un grupo de cinco servidores de correo electrnico con direcciones privadas detrs
de la interfaz de confianza de su dispositivo WatchGuard. Estas direcciones son:
10.1.1.1
10.1.1.2
10.1.1.3
10.1.1.4
10.1.1.5
La empresa ABC selecciona cinco direcciones IP pblicas de la misma direccin de red como interfaz
externa de su dispositivo WatchGuard y crea registros DNS para que los servidores de correo electrnico
resuelvan.
Estas direcciones son:
50.1.1.1
50.1.1.2
50.1.1.3
50.1.1.4
50.1.1.5
La empresa ABC configura una regla 1-to-1 NAT para sus servidores de correo electrnico. La regla 1-to-1
NAT crea una relacin esttica, bidireccional entre los pares correspondientes de direcciones IP. La relacin
tiene el siguiente aspecto:
10.1.1.1 <--> 50.1.1.1

10.1.1.2 <--> 50.1.1.2
10.1.1.3 <--> 50.1.1.3
10.1.1.4 <--> 50.1.1.4
10.1.1.5 <--> 50.1.1.5
Cuando se aplica la regla 1-to-1 NAT, el dispositivo WatchGuard crea el enrutamiento bidireccional y la
relacin NAT entre el grupo de direcciones IP privadas y el grupo de direcciones pblicas. 1-to-1 NAT
tambin funciona en trfico enviado desde redes que protege el dispositivo WatchGuard.
Acerca de 1-to-1 NAT y VPN

Cuando se crea un tnel VPN, las redes en cada extremo del tnel VPN deben tener rangos de direcciones
de red diferentes. Se puede usar 1-to-1 NAT cuando se debe crear un tnel VPN entre dos redes que usan
la misma direccin de red privada. Si el rango de direccin en la red remota es el mismo que en la red
local, se pueden configurar ambas puertas de enlace para que usen 1-to-1 NAT.
1-to-1 NAT se configura para un tnel VPN al configurar el tnel VPN y no en Red> NAT. pgina.
Gua del Usuario 143

Configurar el firewall 1-to-1 NAT

1. Seleccione Red > NAT.
Aparece la pgina de configuracin de NAT.
2. En la seccin 1-to-1 NAT, haga clic en Agregar.

Aparece la pgina de configuracin de 1-to-1 NAT.

3. En la lista desplegable Tipo de asignacin, seleccione IP nica (para asignar un host), Rango de IP
(para asignar un rango de hosts) o Subnet IP (para asignar una subnet).
Si selecciona Rango de IP o Subnet IP, no incluya ms de 256 direcciones IP en ese rango o subnet.
Para aplicar NAT a ms de 256 direcciones IP, debe crear ms de una regla.
4. Complete todos los campos en la seccin Configuracin.
Para obtener ms informacin acerca de cmo usar estos campos, consulte la siguiente seccin
Definir una regla de 1-to-1 NAT.
Despus de configurar una regla de 1-to-1 NAT global, debe agregar las direcciones IP NAT a las polticas
correspondientes.
n Si su poltica administra trfico saliente, agregue las direcciones IP de la base real a la seccin Desde
de la configuracin de polticas.
n Si su poltica administra trfico entrante, agregue las direcciones IPde base NAT a la seccin Hasta
de la configuracin de polticas.
En el ejemplo anterior, donde usamos 1-to-1 NAT para otorgar acceso a un grupo de servidores de correo
electrnico descritos en Acerca de las 1-to-1 NAT en la pgina 142, debemos configurar la poltica SMTP
para permitir el trfico SMTP. Para completar esta configuracin, debe cambiar la configuracin de la
poltica para permitir el trfico desde la red externa al rango de direccin IP 10.1.1.1-10.1.1.5.
1. Crear una nueva poltica o modificar una poltica existente.

2. Junto a la lista Desde, haga clic en Agregar.
3. Seleccione el alias Cualquiera-externo y haga clic en OK.
4. Junto a la lista Hasta, haga clic en Agregar.
5. Para agregar una direccin IP por vez, seleccione IP de host en la lista desplegable e ingrese la
direccin IP en el cuadro de texto adyacente y haga clic enOK.
6. Repita los pasos 3 al 4 para cada direccin IP en el rango de direccin NAT.
Para agregar varias direcciones IP a la vez, seleccione Rango de host en la lista desplegable. Ingrese
la primera y la ltima direccin IP del rango de base de NAT y haga clic en OK.
Gua del Usuario 145

Nota Para conectarse a una computadora ubicada en una interfaz diferente que usa 1-
to-1 NAT, debe usar la direccin IP pblica (base de NAT) de esa computadora. Si
esto es un problema, puede desactivar 1-to-1 NAT y usar NAT esttica.
Definir una Regla de 1-to-1 NAT

En cada regla de 1-to-1 NAT, puede configurar un host, un rango de host o una subnet. Tambin debe
configurar:
Interfaz
El nombre de la interfaz Ethernet en la cual se aplica 1-to-1 NAT. Su dispositivo WatchGuard aplica 1-
to-1 NAT a paquetes enviados hacia y desde la interfaz. En nuestro ejemplo anterior, la regla se
aplica a la interfaz externa.
Base de NAT
Cuando se configura una regla de 1-to-1 NAT, la regla se configura con un rango de direcciones IP
desde y un rango hasta. La base de NAT es la primera direccin IP disponible en el rango de
direcciones hasta. La direccin IP base de NAT es la direccin a la que cambia la direccin IP de base
real cuando se aplica 1-to-1 NAT. No se puede usar la direccin IP de una interfaz Ethernet existente
como base de NAT. En nuestro ejemplo anterior, la base de NAT es 50.50.50.1.
Base real
Cuando se configura una regla de 1-to-1 NAT, la regla se configura con un rango de direcciones IP
desde y un rango hasta. La base real es la primera direccin IP disponible en el rango de direcciones
desde. Es la direccin IP asignada a la interfaz Ethernet fsica de la computadora a la cual se aplicar
la poltica de 1-to-1 NAT. Cuando los paquetes de una computadora con una direccin de base real
atraviesan la interfaz especificada, se aplica la accin 1 a 1. En nuestro ejemplo anterior, la base real
es 10.0.1.50.
Nmero de host para NAT (para rangos nicamente)
El nmero de direcciones IP en un rango al cual se aplica la regla de 1-to-1 NAT. La primera

direccin IP de base real se traduce a la primera direccin IP de base de NAT cuando se aplica 1-to-1
NAT. La segunda direccin IP de base real en el rango se traduce a la segunda direccin IP de base
de NAT cuando se aplica 1-to-1 NAT. Esto se repite hasta que se alcanza el Nmero de host para
NAT. En el ejemplo anterior, el nmero de host al que se aplicar NAT es 5.
Tambin puede usar 1-to-1 NAT cuando debe crear un tnel VPN entre dos redes que usan la misma
direccin de red privada. Cuando se crea un tnel VPN, las redes en cada extremo del tnel VPN deben
tener rangos de direcciones de red diferentes. Si el rango de direccin en la red remota es el mismo que
en la red local, se pueden configurar ambas puertas de enlace para que usen 1-to-1 NAT. Luego, se puede
crear el tnel VPN y no cambiar las direcciones IP de un lado del tnel. 1-to-1 NAT se configura para un
tnel VPN al configurar el tnel VPN y no en el cuadro de dilogo Red> NAT.
Para observar un ejemplo de cmo usar 1-to-1 NAT, consulte Ejemplo de 1-to-1 NAT.

Configurar basado en polticas 1-to-1 NAT

En 1-to-1 NAT basada en polticas, su dispositivo WatchGuard usa los rangos de direcciones IP pblicas y
privadas que se establecieron al configurar 1-to-1 NAT global, pero las reglas se aplican a una poltica
individual. 1-to-1 NAT se activa en la configuracin predeterminada de cada poltica. Si el trfico coincide
con 1-to-1 NAT y con las polticas de NAT dinmica, 1-to-1 NAT prevalece.
Activar 1-to-1 NAT basada en polticas

Debido a que 1-to-1 NAT basada en polticas est activada en forma predeterminada, no es necesaria
ninguna otra accin para activarla. Si previamente ha desactivado 1-to-1 NAT basada en polticas, seleccione
la casilla de verificacin enPaso 4 del siguiente procedimiento para volver a activarla.
Desactivar 1-to-1 NAT basada en polticas

4. Desmarque la casilla de verificacin 1-to-1 NAT para desactivar NAT para el trfico controlado por
esta poltica.
Gua del Usuario 147

Configurar el bucle invertido de NAT con NAT

esttica
Fireware XTMincluye soporte para bucle invertido de NAT. El bucle invertido de NAT permite a un usuario
en las redes de confianza u opcionales obtener acceso a un servidor pblico que se encuentra en la misma
interfaz fsica de Firebox por medio de su direccin IP pblica o domain name. Para conexiones de bucle
invertido de NAT, Firebox cambia la direccin IP de origen de la conexin para que sea la direccin IP de la
interfaz interna de Firebox (la direccin IP principal para la interfaz donde tanto el cliente como el servidor
se conectan a Firebox).
El siguiente ejemplo ayuda a comprender cmo configurar el bucle invertido de NAT cuando se usa NAT
esttica:
La empresa ABC tiene un servidor HTTP en la interfaz de confianza de Firebox. La empresa utiliza NAT
esttica para asignar la direccin IP pblica al servidor interno. La empresa desea permitir a los usuarios de
la red de confianza el uso de la direccin IP pblica o el domain name para acceder a este servidor pblico.
En este ejemplo suponemos:
n La interfaz de confianza est configurada con una direccin IP en la red 10.0.1.0/24.

n La interfaz de confianza tambin est configurada con una direccin IP secundaria en la red
192.168.2.0/24.
n El servidor HTTP est conectado fsicamente a la red 10.0.1.0/24. La direccin de base real del
servidor HTTP se encuentra en la red de confianza.
Agregar una poltica para bucle invertido de NAT al servidor

En este ejemplo, para permitir a los usuarios de sus redes de confianza y opcional utilizar la direccin IP
pblica o el domain name para acceder a un servidor pblico que se encuentra en la red de confianza, se
debe agregar una poltica HTTP que podra ser la siguiente:

La seccin Hasta de la poltica contiene una ruta NAT esttica desde la direccin IP pblica del servidor
HTTP a la direccin IP real de ese servidor.
Para obtener ms informacin acerca de NAT esttica, consulte Acerca de la NAT esttica en la pgina 153.
Si utiliza 1-to-1 NAT para enrutar trfico a servidores dentro de su red, consulte Bucle invertido de NAT y 1-
to-1 NAT en la pgina 150.
Gua del Usuario 149

Bucle invertido de NAT y 1-to-1 NAT

El bucle invertido de NAT permite a un usuario en las redes de confianza u opcionales conectarse a un
servidor pblico con su direccin IP pblica o domain name si el servidor se encuentra en la misma interfaz
fsica de Firebox. Si utiliza 1-to-1 NAT para enrutar el trfico a servidores en la red interna, siga estas
instrucciones para configurar el bucle invertido de NAT desde usuarios internos a esos servidores. Si no
utiliza 1-to-1 NAT, consulte Configurar el bucle invertido de NAT con NAT esttica en la pgina 148.
Para comprender cmo configurar el bucle invertido de NAT cuando usa 1-to-1 NAT, proponemos este
ejemplo:
La empresa ABC tiene un servidor HTTP en la interfaz de confianza de Firebox. La empresa utiliza una regla
1-to-1 NAT para asignar la direccin IP pblica al servidor interno. La empresa desea permitir a los usuarios
de la interfaz de confianza el uso de la direccin IP pblica o el domain name para acceder a este servidor
pblico.
En este ejemplo suponemos:
n Un servidor con la direccin IP pblica 100.100.100.5 est asignado con una regla 1-to-1 NAT a un
host en la red interna.
En la seccin de 1-to-1 NAT de la pgina de configuracin de NAT, seleccione estas opciones:
Interfaz Externa, NATBase 100.100.100.5, Base real 10.0.1.5
n La interfaz de confianza est configurada con una red principal, 10.0.1.0/24.

n El servidor HTTP est conectado fsicamente a la red en la interfaz de confianza. La direccin de base
real de ese host se encuentra en la interfaz de confianza.
n La interfaz de confianza tambin est configurada con una secondary network, 192.168.2.0/24.
En este ejemplo, para permitir el bucle invertido de NAT a todos los usuarios conectados a la interfaz de
confianza, es necesario:
1. Asegurarse de que exista una entrada 1-to-1 NAT para cada interfaz que usa ese trfico cuando las
computadoras internas obtienen acceso a la direccin IP pblica 100.100.100.5 con una conexin

de bucle invertido de NAT.
Se debe agregar una asignacin ms de 1-to-1 NAT para aplicar al trfico que se inicia en la interfaz
de confianza. La nueva asignacin 1 a 1 es igual a la anterior, excepto que la Interfaz est
configurada en De confianza en lugar de Externa.
Despus de agregar la segunda entrada 1-to-1 NAT, la seccin de la pestaa 1-to-1 NAT cuadro de
dilogo Configuracin de pgina muestra dos asignaciones de 1-to-1 NAT: una para Externa y una
para De confianza.
En la seccin 1-to-1 NAT de la pgina de configuracin de NAT, agregue estas dos entradas:
Interfaz Externa, NAT Base 100.100.100.5, Base real 10.0.1.5

Interfaz De confianza, NAT Base 100.100.100.5, Base real 10.0.1.5
2. Agregue una entrada NAT dinmica para cada red en la interfaz a la que est conectado el servidor.
El campo Desde para la entrada NAT dinmica es la direccin IP de red de la red desde la cual las
computadoras obtienen acceso a la direccin IP de 1-to-1 NAT con bucle invertido de NAT.
Elcampo Hasta para laentrada NATdinmica esla direccinbase de NAT enla asignacinde 1-to-1NAT.
En este ejemplo, la interfaz de confianza tiene dos redes definidas y se desea permitir a los usuarios
de ambas redes obtener acceso al servidor HTTP con la direccin IP pblica o nombre de host del
servidor. Se deben agregar dos entradas NAT dinmica.
En la seccin NAT dinmica de la pgina de configuracin de NAT, agregue:
10.0.1.0/24 - 100.100.100.5
192.168.2.0/24 - 100.100.100.5
3. Agregue una poltica para permitir a los usuarios en su red de confianza utilizar la direccin IP
pblica o el domain name para obtener acceso al servidor pblico en la red de confianza. Para este
ejemplo:
De
Cualquiera de confianza
Gua del Usuario 151

Para
100.100.100.5
La direccin IP pblica a la que los usuarios desean conectarse es 100.100.100.5. Esta direccin IP
est configurada como direccin IP secundaria en la interfaz externa.
En la seccin Hasta de la poltica, agregue 100.100.100.5.
Para obtener ms informacin acerca de cmo configurar NAT esttica, consulte Acerca de la NAT esttica
en la pgina 153.
Para obtener ms informacin acerca de cmo configurar 1-to-1 NAT, consulte Configurar el firewall 1-to-1
NAT en la pgina 144.

Acerca de la NAT esttica

NAT esttica, conocida tambin como reenvo de puerto, es una NAT de puerto-a-host. Un host enva un
paquete desde la red externa a un puerto en una interfaz externa. NAT esttica cambia la direccin IP de
destino a una direccin IP y puerto detrs del firewall. Si una aplicacin de software utiliza ms de un
puerto y los puertos se seleccionan en forma dinmica, se debe usar 1-to-1 NAT o verificar si un proxy en el
dispositivo WatchGuard administra este tipo de trfico. NAT esttica tambin funciona en el trfico enviado
desde redes que protege el dispositivo WatchGuard.
Cuando se usa NAT esttica, se utiliza una direccin IP externa de Firebox en lugar de la direccin IP de un
servidor pblico. Se puede optar por esta posibilidad o se puede utilizar en caso de que el servidor pblico
no tenga una direccin IP pblica. Por ejemplo, se puede ubicar el servidor de correo electrnico SMTP
detrs del dispositivo WatchGuard con una direccin IP privada y configurar NAT esttica en su poltica
SMTP. El dispositivo WatchGuard recibe conexiones en el puerto 25 y se asegura de que todo el trfico
SMTP se enve al servidor SMTP real detrs de Firebox.
2. Haga doble clic en una poltica para editarla.

3. En la lista desplegableConexiones estn, seleccione Permitidas.
Para usar NAT esttica, la poltica debe permitir el acceso del trfico entrante.
4. Debajo de la lista Hasta, haga clic en Agregar.
Nota NAT esttica slo est disponible para polticas que usan un puerto especfico, que
incluye TCP y UDP. Una poltica que utiliza un protocolo diferente no puede usar
NAT esttica entrante. El botn NAT en el cuadro de dilogo Propiedades de esa
poltica no est disponible. Tambin se puede usar NAT esttica con la poltica
Cualquiera.
5. En el Miembro En la lista desplegable Tipo, seleccione NAT esttica.
6. En la lista desplegable Direccin IP externa, seleccione la direccin IP externa o alias que desea
utilizar en esta poltica.
Gua del Usuario 153

Por ejemplo, puede usar NAT esttica en esta poltica para paquetes recibidos en slo una direccin
IP externa. O bien, puede usar NAT esttica para paquetes recibidos en cualquier direccin IP
externa si selecciona el alias Cualquiera externo.
7. Ingrese la direccin IP interna. Es el destino en la red opcional o de confianza.
8. Si es necesario, seleccione la casilla de verificacin Determinar puerto interno para un puerto
diferente . Esto activa la traduccin de direccin de puerto (PAT).
Esta funcin permite cambiar el destino del paquete no slo a un host interno especfico sino
tambin a un puerto diferente. Si selecciona esta casilla de verificacin, ingrese el nmero de
puerto o haga clic en la flecha hacia arriba o hacia abajo para seleccionar el puerto que desea
utilizar. En general, esta funcin no se utiliza.
9. Haga clic en OK para cerrar el cuadro de dilogo Agregar NAT esttica.
La ruta de NAT esttica aparece en la lista Miembros y Direcciones.
Configurar Balance de carga en el servidor

Nota Para usar la funcin de balance de carga en el servidor, debe contar con un
dispositivo Firebox XCore, Peak o WatchGuard XTM y Fireware XTMcon
actualizacin Pro.
La funcin de balance de carga en el servidor en Fireware XTM est diseada para ayudarle a aumentar la
escalabilidad y el rendimiento de una red de alto trfico con mltiples servidores pblicos. Con el balance
de carga en el servidor, puede activar al dispositivo WatchGuard para que controle el nmero de sesiones
iniciadas en hasta diez servidores para cada poltica de firewall que configure. El dispositivo WatchGuard
controla la carga segn el nmero de sesiones en uso en cada servidor. El dispositivo WatchGuard no mide
ni compara el ancho de banda que usa cada servidor.
El balance de carga en el servidor se configura como parte de una regla NAT esttica. El dispositivo
WatchGuard puede balancear conexiones entre sus servidores con dos algoritmos diferentes. Cuando se
configura el balance de carga en el servidor, se debe elegir el algoritmo al que desea que se aplique el
Operacin por turnos
Si selecciona esta opcin, el dispositivo WatchGuard distribuye las sesiones entrantes entre los
servidores que se especifican en la poltica en orden de operacin por turnos. La primera conexin
se enva al primer servidor especificado en su poltica. La prxima conexin se enva al siguiente
servidor en su poltica y as sucesivamente.
Conexin menor
Si selecciona esta opcin, el dispositivo WatchGuard enva cada nueva sesin al servidor en la lista
que actualmente tiene el nmero ms bajo de conexiones abiertas al dispositivo. El dispositivo
WatchGuard no puede determinar cuntas conexiones abiertas tiene el servidor en otras interfaces.
Se pueden aplicar pesos a los servidores en la configuracin del balance de carga en el servidor para
asegurarse de que los servidores con ms capacidad reciban la carga ms pesada. De manera

predeterminada, cada interfaz tiene un peso de uno. El peso se refiere a la proporcin de carga que
el dispositivo WatchGuard enva a un servidor. Si se asigna un peso de 2 a un servidor, se duplica en
nmero de sesiones que el dispositivo WatchGuard enva a ese servidor, en comparacin con un
servidor con un peso de 1.
Cuando se configura el balance de carga en el servidor, es importante saber:
n Se puede configurar el balance de carga en el servidor para cualquier poltica a la cual se puede
aplicar NAT esttica.
n Si se aplica el balance de carga en el servidor a una poltica, no se puede configurar el enrutamiento
basado en polticas u otras reglas de NAT en la misma poltica.
n Cuando se aplica el balance de carga en el servidor a una poltica, se puede agregar un mximo de
10 servidores a la poltica.
n El dispositivo WatchGuard no modifica al remitente o la direccin IP de origen del trfico enviado a
estos dispositivos. Mientras que el trfico se enva directamente desde el dispositivo WatchGuard,
cada dispositivo que forma parte de la configuracin de balance de carga en el servidor ve la
direccin IP de origen original del trfico de red.
n Si se usa balance de carga en el servidor en una configuracin de FireCluster activa/pasiva, no
ocurre la sincronizacin en tiempo real entre los miembros del cluster cuando ocurre un evento de
conmutacin por error. Cuando la copia de seguridad principal pasiva se convierte en cluster
principal activo, enva conexiones a todos los servidores en la lista de balance de carga en el servidor
para ver cules servidores estn disponibles. Entonces aplica el algoritmo de balance de carga del
servidor a todos los servidores disponibles.
Para configurar el balance de carga en el servidor:
1. Seleccione Firewall >Polticas de Firewall. Seleccione la poltica que dese modificar y haga clic en
Editar.
O bien, agregue una nueva poltica.
2. Debajo del campo Hasta, haga clic en Agregar.

Aparece el cuadro de dilogo Miembro direccin.
3. En la lista desplegable Tipo de miembro, seleccione Balance de carga en el servidor.
Gua del Usuario 155

4. En la lista desplegable Direccin IP externa, seleccione la direccin IP externa o alias que desea
utilizar en esta poltica.
Por ejemplo, se puede determinar que el dispositivo WatchGuard aplique el balance de carga en el
servidor para esta poltica a paquetes recibidos en slo una direccin IP externa. O bien, se puede
determinar que el dispositivo WatchGuard aplique el balance de carga en el servidor a paquetes
recibidos en cualquier direccin IP externa si selecciona el alias Cualquiera externo.
5. En la lista desplegable Mtodo, seleccione el algoritmo deseado para que use el dispositivo
WatchGuard para el balance de carga en el servidor: Operacin por turnos o Conexin menor.
6. Haga clic en Agregar para agregar las direcciones IP de sus servidores internos para esta poltica.
Puede agregar un mximo de 10 servidores a una poltica. Tambin puede agregar peso al servidor.
De manera predeterminada, cada servidor tiene un peso de 1. El peso se refiere a la proporcin de
carga que el dispositivo WatchGuard enva a un servidor. Si se asigna un peso de 2 a un servidor, se
duplica en nmero de sesiones que el dispositivo WatchGuard enva a ese servidor, en comparacin
con un servidor con un peso de 1.
7. Para establecer sticky connections para los servidores internos, seleccione la casilla de verificacin
Activar sticky connection y configure el perodo en los campos Activar sticky connection.
Una sticky connection es una conexin que contina usando el mismo servidor durante un perodo
definido. Esta cohesin garantiza que todos los paquetes entre un par de direcciones de origen y de
destino se enven al mismo servidor durante el perodo especificado.

Ejemplos de NAT
Ejemplo de 1-to-1 NAT
Cuando se activa 1-to-1 NAT, el dispositivo Firebox o XTM cambia y enruta todos los paquetes entrantes y
salientes enviados desde un rango de direcciones a un rango de direcciones diferente.
Considere una situacin en la que se tiene un grupo de servidores internos con direcciones IP privadas,
cada una de las cuales debe mostrar una direccin IP pblica diferente al mundo exterior. Puede usar 1-to-
1 NAT para asignar direcciones IP pblicas a los servidores internos y no tiene que cambiar las direcciones
IP de sus servidores internos. Para comprender cmo configurar 1-to-1 NAT, considere este ejemplo:
Una empresa tiene un grupo de tres servidores con direcciones privadas detrs de una interfaz opcional de
su Firebox. Las direcciones de estos servidores son:
10.0.2.11
10.0.2.12
10.0.2.13
El administrador selecciona tres direcciones IP pblicas de la misma direccin de red como interfaz externa
de su Firebox y crea registros DNS para que los servidores resuelvan. Estas direcciones son:
50.50.50.11
50.50.50.12
50.50.50.13
Ahora el administrador configura una regla 1-to-1 NAT para los servidores. La regla 1-to-1 NAT crea una
relacin esttica, bidireccional entre los pares correspondientes de direcciones IP. La relacin tiene el
siguiente aspecto:
10.0.2.11 <--> 50.50.50.11

10.0.2.12 <--> 50.50.50.12
10.0.2.13 <--> 50.50.50.13
Cuando se aplica la regla 1-to-1 NAT, Firebox crea el enrutamiento bidireccional y la relacin NAT entre el
grupo de direcciones IP privadas y el grupo de direcciones pblicas.
Gua del Usuario 157

Para conocer los pasos para definir una regla 1-to-1 NAT, consulte Configurar el firewall 1-to-1 NAT.

9 Configuracin inalmbrica
Acerca de la configuracin inalmbrica

Cuando activa la funcin inalmbrica del dispositivo WatchGuard, puede configurar la interfaz externa para
utilizarla en forma inalmbrica o puede configurar el dispositivo WatchGuard como punto de acceso
inalmbrico para usuarios en las redes de confianza, opcionales o invitadas.
Antes de configurar el acceso a la red inalmbrica, consulte Antes de empezar en la pgina 161.
Para activar la funcin inalmbrica en su dispositivo WatchGuard:
1. Seleccione Red > Inalmbrica.

Aparece la pgina Inalmbrica.
2. En la pgina Inalmbrica, seleccione una opcin de configuracin inalmbrica:
Activar cliente inalmbrico como interfaz externa
Esta configuracin le permite configurar la interfaz externa del dispositivo inalmbrico

WatchGuard a fin de conectarse con una red inalmbrica. Esto no resulta til en reas que
tienen una infraestructura de red limitada o nula.
Gua del Usuario 159

Configuracin inalmbrica
Para obtener informacin sobre cmo configurar la interfaz externa en modo inalmbrico,
consulte Configurar la interfaz externa como interfaz inalmbrica en la pgina 178.
Activar puntos de acceso inalmbricos
Esta configuracin le permite configurar el dispositivo inalmbrico WatchGuard como un punto

de acceso para los usuarios en las redes de confianza, opcionales o invitadas.
Para ms informaciones, vea Acerca de las configuracin del punto de acceso inalmbrico en la
pgina 160.
3. En la seccin Configuraciones de radio, seleccione sus configuraciones de radio inalmbrico.
Para ms informaciones, vea Acerca de configuraciones de radio en Firebox XEdge e-Series

inalmbrico en la pgina 181 y Acerca de las configuraciones de radio inalmbrico en el dispositivo
inalmbrico WatchGuard XTM2 Series en la pgina 183.
Acerca de las configuracin del punto de acceso

inalmbrico
Cualquier dispositivo inalmbrico WatchGuard puede configurarse como punto de acceso inalmbrico con
tres zonas de seguridad diferentes. Puede activar otros dispositivos inalmbricos para conectar con el
dispositivo inalmbrico WatchGuard como parte de la red de confianza o parte de la red opcional. Tambin
puede activar una red de servicios inalmbricos para invitados para los usuarios de dispositivos
WatchGuard. Las computadoras que se conectan con la red invitada se conectan a travs del dispositivo
inalmbrico WatchGuard, pero no tienen acceso a las computadoras en las redes opcionales o de confianza.
Antes de activar el dispositivo inalmbrico WatchGuard como un punto de acceso inalmbrico, debe
examinar cuidadosamente los usuarios inalmbricos que se conectan con el dispositivo y determinar el
nivel de acceso que desea para cada tipo de usuario. Hay tres tipos de acceso inalmbrico que puede
habilitar:
Habilitar conexiones inalmbricas a una interfaz de confianza
Cuando habilita conexiones inalmbricas a travs de una interfaz de confianza, los dispositivos
inalmbricos tienen acceso total a todas las computadoras en las redes opcionales y de confianza, as
como acceso total a Internet segn las reglas que usted configure para el acceso saliente en su
dispositivo WatchGuard. Si activa el acceso inalmbrico a travs de una interfaz de confianza, se
recomienda especialmente que active y utilice la funcin de restriccin de MAC para habilitar el
acceso a travs del dispositivo WatchGuard slo para los dispositivos que agregue a la lista de
direcciones MAC habilitadas.
Para obtener ms informacin sobre cmo restringir el acceso a travs de direcciones MAC,
consulte Usar vnculo de direccin MAC esttico en la pgina 103.
Habilitar conexiones inalmbricas a una interfaz opcional
Cuando habilita conexiones inalmbricas a travs de una interfaz opcional, esos dispositivos
inalmbricos tienen acceso total a todas las computadoras en la red opcional, as como acceso total a
Internet segn las reglas que configure para el acceso saliente en su dispositivo WatchGuard.

Habilitar conexiones de invitados inalmbricos a travs de la interfaz externa
Las computadoras que se conectan con la Wireless Guest Network se conectan a travs del
dispositivo WatchGuard a Internet segn las reglas que configure para el acceso saliente en su
dispositivo WatchGuard. Estos dispositivos no tienen acceso a las computadoras de su red opcional o
de confianza.
Para obtener ms informacin sobre cmo configurar una Wireless Guest Network, consulte Activar
una red inalmbrica para invitados en la pgina 170.
Antes de configurar el acceso a la red inalmbrica, consulte Antes de empezar en la pgina 161.
Para habilitar conexiones inalmbricas a su red opcional o de confianza, consulte Habilitar conexiones
inalmbricas a la red opcional o de confianza en la pgina 167.
Antes de empezar
Los dispositivos inalmbricos WatchGuard cumplen con las pautas 802.11n, 802.11b y 802.11g establecidas
por el Instituto de Ingenieros Elctricos y Electrnicos (IEEE). Al instalar un dispositivo inalmbrico
WatchGuard:
n Asegrese de que el dispositivo inalmbrico se instale en un lugar a ms de 20 centmetros de

distancia respecto de las personas. ste es un requisito de la Comisin Federal de Comunicaciones
(FCC) para los transmisores de baja potencia.
n Es recomendable instalar el dispositivo inalmbrico lejos de otras antenas o transmisores para
disminuir las interferencias.
n El algoritmo predeterminado de autenticacin inalmbrica que est configurado para cada zona de
seguridad inalmbrica no es el algoritmo de autenticacin ms seguro. Si los dispositivos
inalmbricos que se conectan a su dispositivo inalmbrico WatchGuard pueden funcionar
adecuadamente con WPA2, se recomienda incrementar el nivel de autenticacin a WPA2.
n Un cliente inalmbrico que se conecta con el dispositivo WatchGuard desde la red opcional o de
confianza puede ser parte de cualquier tnel de red privada virtual (VPN) para sucursales donde el
componente de la red local de la configuracin de la Fase 2 incluya direcciones IP de la red opcional
o de confianza. Para controlar el acceso al tnel VPN, puede forzar a los usuarios de dispositivos
WatchGuard para que se autentiquen.
Acerca de configuraciones
Cuando activa el acceso a la red opcional, de confianza o inalmbrica para invitados, algunas configuraciones
se definen del mismo modo para cada una de las tres zonas de seguridad. stas pueden configurarse con
distintos valores para cada zona.
Gua del Usuario 161

Para obtener informacin sobre la configuracin de SSID de broadcast y responder a las consultas sobre la
configuracin del SSID, consulte Activar/desactivar Broadcasts de SSID en la pgina 163.
Para obtener informacin sobre cmo configurar el Nombre de red (SSID), consulte Cambiar la SSID en la
pgina 163.
Para obtener informacin sobre la configuracin Registrar eventos de autenticacin, consulte Registro
eventos de autenticacin en la pgina 163.
Para obtener informacin sobre el Umbral de fragmentacin, consulte Cambiar la umbral de

fragmentacin en la pgina 163.
Para obtener informacin sobre el Umbral de RTS, consulte Cambiar la Umbral de RTS en la pgina 165.
Para obtener informacin sobre las configuraciones de Autenticacin y de Cifrado, consulte Acerca de
configuraciones de seguridad en la pgina 166.

Activar/desactivar Broadcasts de SSID

Las computadoras con tarjetas de red inalmbrica envan solicitudes para ver si hay puntos de acceso
inalmbricos a los que pueden conectarse.
Para configurar una interfaz inalmbrica de dispositivo WatchGuard a fin de enviar y responder a estas
solicitudes, seleccione la casilla de verificacin Broadcast de SSID y responder a consultas SSID. Por
razones de seguridad, active esta opcin nicamente cuando se encuentre configurando computadoras en
su red a fin de conectar el dispositivo inalmbrico WatchGuard. Desactive esta opcin una vez que todos sus
clientes estn configurados. Si utiliza la funcin de servicios inalmbricos para invitados, quiz deba habilitar
broadcasts de SSID en la operacin estndar.
Cambiar la SSID
El SSID (Identificador de conjunto de servicios) es el nombre especfico de su red inalmbrica. Para utilizar
la red inalmbrica desde la computadora de un cliente, la tarjeta de red inalmbrica en la computadora
debe tener el mismo SSID que la red inalmbrica WatchGuard a la cual se conecta la computadora.
El SO Fireware XTM asigna automticamente un SSID a cada red inalmbrica. Este SSID utiliza un formato
que contiene el nombre de la interfaz, y los dgitos entre el quinto y el noveno del nmero de serie del
dispositivo inalmbrico WatchGuard. Para cambiar el SSID, ingrese un nuevo nombre en el campo SSID para
identificar especficamente su red inalmbrica.
Registro eventos de autenticacin

Un evento de autenticacin ocurre cuando una computadora inalmbrica intenta conectarse a la interfaz
inalmbrica de un dispositivo WatchGuard. Para incluir estos eventos en el archivo de registro, marque la
casilla de verificacin Registrar eventos de autenticacin.
Cambiar la umbral de fragmentacin

Fireware XTM le permite configurar el tamao mximo de marco que el dispositivo inalmbrico
WatchGuard puede enviar sin fragmentar el marco. Esto se denomina umbral de fragmentacin. Por lo
general, esta configuracin no se cambia. La configuracin predeterminada es el tamao mximo de marco
de 2346, lo que significa que nunca fragmentar los marcos que enve a los clientes inalmbricos. Esto es lo
mejor para la mayora de los entornos.
Cundo cambiar el umbral de fragmentacin predeterminado

Cuando dos dispositivos utilizan el mismo medio para transmitir paquetes exactamente al mismo tiempo,
ocurre una colisin. Los dos paquetes pueden corromperse y el resultado es un grupo de fragmentos de
datos que no se pueden leer. Si un paquete sufre una colisin, ste debe descartarse y volver a
transmitirse. Esto se suma a la sobrecarga de la red y puede reducir el rendimiento o la velocidad de sta.
Gua del Usuario 163

Hay ms posibilidades de que los marcos ms grandes choquen entre s que los pequeos. Para reducir los
paquetes inalmbricos, debe disminuir el umbral de fragmentacin en el dispositivo inalmbrico
WatchGuard. Si disminuye el tamao mximo de los marcos, esto puede reducir la cantidad de
transmisiones de repeticin ocasionadas por los choques y disminuir la sobrecarga ocasionada por las
transmisiones de repeticin.
Los marcos ms pequeos introducen ms sobrecarga en la red. Esto ocurre particularmente en las redes
inalmbricas debido a que cada marco fragmentado enviado desde un dispositivo inalmbrico a otro
requiere que el dispositivo receptor reconozca el marco. Cuando las tasas de error de los paquetes son
altas (mayores a un porcentaje de choques o de errores del cinco o del diez por ciento), puede mejorar el
rendimiento de la red inalmbrica si disminuye el umbral de fragmentacin. El tiempo que se ahorra al
reducir las transmisiones de repeticin puede ser suficiente para compensar la sobrecarga adicional que
agregan los paquetes ms pequeos. Esto puede dar como resultado una mayor velocidad.
Si la tasa de error de los paquetes es baja y usted reduce el umbral de fragmentacin, el rendimiento de la
red inalmbrica disminuye. Esto se produce debido a que cuando usted disminuye el umbral, se agrega
sobrecarga del protocolo y la eficiencia del protocolo se reduce.
Si desea experimentar, comience con el mximo predeterminado 2346 y disminuya el umbral de a una
pequea cantidad por vez. Para lograr un buen aprovechamiento, debe monitorear los errores de los
paquetes de la red en diferentes momentos del da. Compare el efecto que un umbral ms pequeo
produce en el rendimiento de la red cuando los errores son muy altos con el efecto en el rendimiento
cuando los errores son moderadamente altos.
En general, se recomienda dejar esta configuracin en su valor predeterminado de 2346.
Cambiar el umbral de fragmentacin

1. Seleccione Red > inalmbrica.
2. Seleccione la red inalmbrica que desea configurar. Junto al Punto de acceso 1, al Punto de acceso
2 o a Invitado inalmbrico, haga clic en Configurar.
Aparecen los ajustes de configuracin automtica para esa red inalmbrica.

3. Para cambiar el umbral de fragmentacin, en el cuadro de texto Umbral de fragmentacin ingrese

o seleccione un valor entre 256 y 2346.
4. Haga clic en Volver a la pgina principal.

Cambiar la Umbral de RTS

RTS/CTS (Solicitar envo/Borrar envo) ayuda a evitar problemas cuando los clientes inalmbricos pueden
recibir seales de ms de un punto de acceso inalmbrico en el mismo canal. Este problema a veces se
conoce con el nombre de nodo oculto.
No se recomienda cambiar el umbral de RTS predeterminado. Cuando el umbral de RTS se configura al

valor predeterminado de 2346, RTS/CTS se desactiva.
Gua del Usuario 165

Si debe cambiar el umbral de RTS, ajstelo en forma gradual. Redzcalo de a una pequea cantidad por vez.
Luego de cada cambio, aguarde el tiempo necesario para decidir si el cambio en el rendimiento de la red es
positivo antes de cambiarlo nuevamente. Si reduce demasiado este valor, puede introducir ms latencia en
la red, ya que las solicitudes de envo se incrementan tanto que el medio compartido se reserva con ms
frecuencia que la necesaria.
Acerca de configuraciones de seguridad

Los dispositivos inalmbricos WatchGuard utilizan tres normas de protocolo de seguridad para proteger su
red inalmbrica: WEP (privacidad equivalente por cable), WPA (Wi-Fi Protected Access ) y WPA2. Cada
norma de protocolo puede cifrar las transmisiones en la red de rea local (LAN) entre las computadoras y
los puntos de acceso. Tambin pueden impedir el acceso no autorizado al punto de acceso inalmbrico.
Tanto WEP como WPA utilizan claves compartidas iniciales. WPA y WPA2 utilizan un algoritmo para cambiar
la clave de cifrado a intervalos regulares, lo que mantiene la seguridad de los datos enviados en una
conexin inalmbrica.
Para proteger la privacidad, puede utilizar estas funciones junto con otros mecanismos de seguridad de
LAN, tales como proteccin de contrasea, tneles VPN y autenticacin de usuario.
Definir inalmbricos mtodo de autenticacin

Estn disponibles cinco mtodos de autenticacin para los dispositivos inalmbricos WatchGuard. De ser
posible, se recomienda utilizar WPA2 porque es el ms seguro. Los cinco mtodos disponibles, desde el
menos seguro al ms seguro, son:
Sistema abierto
La autenticacin de sistema abierto permite a cualquier usuario autenticar el punto de acceso. Este
mtodo se puede utilizar sin cifrado o con cifrado de privacidad equivalente por cable (WEP).
Clave compartida
Enla autenticacinde clave compartida, slopueden conectarse aquellos clientesinalmbricos que

tenganla clave compartida. Laautenticacin de clave compartidaslo puede utilizarse concifrado WEP.
Slo WPA (PSK)
Cuando utiliza WPA (Wi-Fi Protected Access) con claves compartidas iniciales, se otorga a cada
usuario inalmbrico la misma contrasea para autenticar el punto de acceso inalmbrico.
WPA/WPA2 (PSK)
Cuando selecciona la autenticacin WPA/WPA2 (PSK), Edge acepta conexiones desde dispositivos
inalmbricos configurados para utilizar WPA o WPA2.
SLO WPA2 (PSK)
La autenticacin WPA2 con claves compartidas iniciales implementa la norma 802.11i completa y es
el mtodo de autenticacin ms seguro. No funciona con algunas tarjetas de red inalmbrica
anteriores.

Definir nivel de cifrado

En la lista desplegable Cifrado, seleccione el nivel de cifrado para las conexiones inalmbricas. Las
selecciones disponibles cambian cuando utiliza mecanismos de autenticacin diferentes. El sistema
operativo de Fireware XTM crea automticamente una encryption key (clave de cifrado) aleatoria cuando
sta resulta necesaria. Puede utilizar esta clave o cambiarla por una distinta. Cada cliente inalmbrico debe
utilizar esta misma clave cuando se conecte al dispositivo Firebox o XTM.
Autenticacin por sistema abierto y por Clave compartida

Las opciones de cifrado para la autenticacin por sistema abierto y por clave compartida son WEP
hexadecimal de 64 bits, WEP ASCII de 40 bits, WEP hexadecimal de 128 bits y WEP ASCII de 128 bits. Si
selecciona la autenticacin de sistema abierto, tambin puede seleccionar Sin cifrado.
1. Si utiliza el cifrado WEP, en los cuadros de texto Clave, ingrese caracteres hexadecimales o ASCII. No
todos los controladores de adaptadores inalmbricos admiten caracteres ASCII. Puede tener un
mximo de cuatro claves.
n Una clave WEP hexadecimal de 64 bits debe tener 10 caracteres hexadecimales (0-f).
n Una clave WEP ASCII de 40 bits debe tener 5 caracteres.
n Una clave WEP hexadecimal de 128 bits debe tener 26 caracteres hexadecimales (0-f).
n Una clave WEP ASCII de 128 bits debe tener 13 caracteres.
2. Si ingres ms de una clave, en la lista desplegable ndice de claves, seleccione la clave que desea
utilizar de manera predeterminada.
El dispositivo Firebox o XTM inalmbrico slo puede usar una encryption key por vez. Si seleccion
una clave distinta de la primera clave en la lista, tambin debe configurar su cliente inalmbrico para
que utilice la misma clave.
Autenticacin WPA y WPA2 PSK

Las opciones de cifrado para los mtodos de autenticacin de el acceso protegido Wi-Fi (WPA-PSK y WPA2-
PSK) son:
n TKIP Slo use TKIP (Protocolo de integridad de clave temporal) para el cifrado. Esta opcin no
est disponible para los modos inalmbricos que admiten 802.11n.
n AES Slo utilice AES (Estndar de cifrado avanzado) para el cifrado.
n TKIP o AES Utilice TKIP o AES.
Le recomendamos que seleccione TKIP o AES. Esto permite que el dispositivo inalmbrico Firebox o XTM
acepte conexiones de clientes inalmbricos configurados para utilizar cifrado TKIP o AES. En el caso de los
clientes inalmbricos 802.11n, le recomendamos que configure el cliente inalmbrico para utilizar el
cifrado AES.
Habilitar conexiones inalmbricas a la red

opcional o de confianza
Para habilitar conexiones inalmbricas a su red opcional o de confianza:
Gua del Usuario 167


Aparece la pgina de configuracin Inalmbrica.
2. Seleccione Activar puntos de acceso inalmbricos.

3. Junto al Punto de acceso 1 o al Punto de acceso 2, haga clic en Configurar.
Aparece el cuadro de dilogo Configuracin del punto de acceso inalmbrico.

4. Seleccione la casilla de verificacin Activar bridge inalmbrico a una interfaz opcional o de

confianza.
5. En la lista desplegable junto a Activar bridge inalmbrico a una interfaz opcional o de confianza,
seleccione una interfaz opcional o de confianza.
De confianza
Cualquier cliente inalmbrico en la red de confianza tiene acceso total a las computadoras en
las redes opcionales y de confianza, y acceso a Internet segn lo definen las reglas de firewall
saliente en su dispositivo WatchGuard.
Si el cliente inalmbrico configura la direccin IP en su tarjeta de red inalmbrica con DHCP, el servidor
DHCP en la red opcional de Edge debe estar activo y configurado.
Opcional
Cualquier cliente inalmbrico en la red opcional tiene acceso total a las computadoras en la red
opcional y acceso a Internet segn lo definen las reglas de firewall saliente en su dispositivo
WatchGuard.
Si el cliente inalmbrico configura la direccin IP en su tarjeta de red inalmbrica con DHCP, el servidor
DHCP en la red opcional de Edge debe estar activo y configurado.
6. Para configurar la interfaz inalmbrica para enviar y responder a las solicitudes de SSID, seleccione la
casilla de verificacin Broadcast de SSID y responder a consultas SSID.
Para obtener informacin sobre esta configuracin, consulte Activar/desactivar Broadcasts de SSID
en la pgina 163.
7. Seleccione la casilla de verificacin Registrar eventos de autenticacin si desea que el dispositivo
WatchGuard enve un mensaje de registro al archivo de registro cada vez que una computadora
inalmbrica intenta conectase con la interfaz.
Para ms informaciones acerca de registros, vea Registro eventos de autenticacin en la pgina 163.
8. Para requerir que los usuarios inalmbricos utilicen Mobile VPN con el cliente IPSec, seleccione la
casilla de verificacin Requerir Mobile VPN cifrado con conexiones IPSec para clientes
inalmbricos.
Cuando selecciona esta casilla de verificacin, los nicos paquetes que Firebox habilita a travs de la
red inalmbrica son DHCP, ICMP, IKE (UDP puerto 500), ARP e IPSec (protocolo IP 50). Si requiere
que los usuarios inalmbricos utilicen Mobile VPN con el cliente IPSec, se puede incrementar la
seguridad para los clientes inalmbricos si no selecciona WPA o WPA2 como el mtodo de
autenticacin inalmbrica.
9. En el cuadro de texto Nombre de red (SSID), ingrese un nombre especfico para su red opcional
inalmbrica o utilice el nombre predeterminado.
Para obtener informacin sobre cmo cambiar el SSID, consulte Cambiar la SSID en la pgina 163.
un valor: 2562346. No se recomienda cambiar esta configuracin.
Para obtener ms informacin sobre esta configuracin, consulte Cambiar la umbral de

Gua del Usuario 169

11. En la lista desplegable Autenticacin, seleccione el tipo de autenticacin para activar las conexiones
inalmbricas con la interfaz opcional. Recomendamos utilizar WPA2 si los dispositivos inalmbricos
de la red son compatibles con WPA2.
Para obtener ms informacin sobre esta configuracin, consulte Definir inalmbricos mtodo de
autenticacin.
12. En la lista desplegable Cifrado, seleccione el tipo de cifrado que desea utilizar para la conexin
inalmbrica y agregue las claves o las contraseas requeridas para el tipo de cifrado que seleccione.
Si selecciona una opcin de cifrado con claves compartidas iniciales, se genera una clave compartida
inicial aleatoria para usted. Puede usar esta clave o ingresar una propia.
Para ms informaciones, vea Definir nivel de cifrado en la pgina 167.

13. Guardar la configuracin
Nota Si activa conexiones inalmbricas con la interfaz de confianza, se recomienda

restringir el acceso mediante una direccin MAC. Esto impide que los usuarios se
conecten con el dispositivo inalmbrico WatchGuard desde computadoras no
autorizadas que podran contener virus o spyware. Haga clic en la pestaa Control
de acceso MAC para activar el control de acceso MAC. Debe utilizar esta pestaa
de la misma manera en que restringe el trfico de red en una interfaz segn se
describe en Restringir el trfico de red mediante la direccin MAC en la pgina 97.
Para configurar una Wireless Guest Network sin acceso a las computadoras en sus redes opcionales o de
confianza, consulte Activar una red inalmbrica para invitados en la pgina 170.
Activar una red inalmbrica para invitados

Puede activar una Wireless Guest Network para proveer a un usuario invitado acceso inalmbrico a Internet
sin acceso a las computadoras en sus redes opcionales o de confianza.
Para configurar una Wireless Guest Network:

Aparece la pgina Configuracin inalmbrica.
2. Seleccione Activar puntos de acceso inalmbricos.

3. Junto a Invitado inalmbrico, haga clic en Configurar.
Aparece el cuadro de dilogo Configuracin de invitado inalmbrico.

4. Seleccione la casilla de verificacin Activar Wireless Guest Network.
Se permiten conexiones inalmbricas a Internet a travs del dispositivo WatchGuard segn las reglas
que usted haya configurado para el acceso saliente en su dispositivo. Estas computadoras no tienen
acceso a las computadoras de su red opcional o de confianza.
5. En el cuadro de texto DireccinIP, ingrese la direccin IPprivada que utilizar con la Wireless Guest
Network. La direccin IPque ingrese no debe estar en uso en una de sus interfaces de red.
6. En el cuadro de dilogo Mscara de subred, ingrese la mscara de subred. El valor correcto
generalmente es 255.255.255.0.
7. Para configurar el dispositivo WatchGuard como un servidor DHCP cuando un dispositivo
inalmbrico intenta realizar una conexin, seleccione la casilla de verificacin Activar servidor DHCP
en la Wireless Guest Network.
Para obtener ms informacin sobre cmo establecer la configuracin para el servidor DHCP,
consulte Configurar el DHCP en modo de enrutamiento mixto en la pgina 86.
8. Haga clic en la pestaa Inalmbrica para ver las configuraciones de seguridad para la Wireless Guest
Network.
Aparecen las configuraciones inalmbricas.
Gua del Usuario 171

9. Seleccione la casilla de verificacin SSID de broadcast y responder a consultas SSID para que su
nombre de Wireless Guest Network est visible para los usuarios invitados.
Para obtener informacin sobre esta configuracin, consulte Activar/desactivar Broadcasts de SSID
en la pgina 163.
10. Para enviar un mensaje de registro al archivo de registro cada vez que una computadora inalmbrica
intenta conectarse con la Wireless Guest Network, seleccione la casilla de verificacin Registrar
eventos de autenticacin.
Para ms informaciones acerca de registros, vea Registro eventos de autenticacin en la pgina 163.
11. Para permitir que los usuarios inalmbricos invitados se enven trfico entre s, desmarque la casilla
de verificacin Prohibir trfico de red inalmbrica de cliente a cliente.
12. En el cuadro de texto Nombre de red (SSID), ingrese un nombre especfico para su Wireless Guest
Network o utilice el nombre predeterminado.
Para obtener informacin sobre cmo cambiar el SSID, consulte Cambiar la SSID en la pgina 163.
un valor: 2562346. No se recomienda cambiar esta configuracin.
Para obtener ms informacin sobre esta configuracin, consulte Cambiar la umbral de

14. En la lista desplegable Autenticacin, seleccione el tipo de autenticacin para activar las conexiones a
la Wireless Guest Network. La configuracin que elija depender del tipo de acceso a los invitados que
desee proveer y de si desea requerir que sus invitados ingresen una contrasea para utilizar la red.

Para obtener ms informacin sobre esta configuracin, consulte Definir inalmbricos mtodo de
autenticacin en la pgina 166.
Para ms informaciones, vea Definir nivel de cifrado en la pgina 167.

16. Haga clic en Volver a la pgina principal.
Tambin puede restringir el acceso a la red invitada mediante una direccin MAC. Haga clic en la pestaa
Control de acceso MAC para activar el control de acceso MAC. Debe utilizar esta pestaa de la misma
manera en que restringe el trfico de red en una interfaz segn se describe en Restringir el trfico de red
mediante la direccin MAC en la pgina 97.
Activar un hotspot inalmbrico

Puede configurar su red inalmbrica para invitados WatchGuard XTM 2 Series o Firebox X Edge e-Series
como un hotspot inalmbrico para brindarles acceso a Internet a sus visitas o a sus clientes. Cuando activa la
funcin de hotspot, tiene ms control sobre las conexiones a su red inalmbrica para invitados.
Cuando configura su dispositivo como hotspot inalmbrico, usted puede personalizar:
n La pantalla de presentacin que ven los usuarios cuando se conectan

n Trminos y condiciones que los usuarios deben aceptar antes de poder navegar a un sitio web
n Duracin mxima de la conexin continua de un usuario
Cuando activa la funcin de hotspot inalmbrico, se crea automticamente la poltica Permitir usuarios de
hotspot. Esta poltica permite las conexiones desde la interfaz inalmbrica para invitados a sus interfaces
externas. Esto provee a los usuarios del hotspot inalmbrico un acceso inalmbrico a Internet sin acceso a
las computadoras en sus redes opcionales o de confianza.
Antes de configurar un hotspot inalmbrico, debe establecer la configuracin de su red inalmbrica para
invitados como se describe en Activar una red inalmbrica para invitados.
Para configurar el hotspot inalmbrico:

2. Junto a Invitado inalmbrico, haga clic en Configurar.
3. En la pgina Inalmbrico, seleccione la pestaa Hotspot.
4. Marque la casilla de seleccin Activar hotspot.
Gua del Usuario 173

Establecer la configuracin del tiempo de espera

Puede establecer configuraciones de tiempo de espera para limitar la cantidad de tiempo que los usuarios
pueden utilizar su hotspot de manera continua. Cuando se vence el perodo de espera, el usuario es
desconectado. Cuando un usuario es desconectado, pierde toda conexin a Internet pero permanece
conectado a la red inalmbrica. Vuelve a aparecer la pantalla de presentacin del hotspot y el usuario debe
volver a aceptar los Trminos y condiciones antes de poder continuar utilizando el hotspot inalmbrico.
1. En el cuadro de texto Agotamiento de la sesin, especifique la cantidad mxima de tiempo durante

la cual un usuario puede permanecer continuamente conectado a su hotspot. Puede especificar la
unidad de tiempo mediante la lista desplegable adyacente. Si el Agotamiento de la sesin se
configura en 0 (el valor predeterminado), los usuarios inalmbricos invitados no son desconectados
despus de un intervalo de tiempo especificado.
2. En el cuadro de texto Tiempo de espera inactivo, especifique la cantidad de tiempo que un usuario
debe permanecer inactivo para que expire la conexin. Puede especificar la unidad de tiempo
mediante la lista desplegable adyacente. Si el Tiempo de espera inactivo se configura en 0, los
usuarios no son desconectados si no envan ni reciben trfico.
Personalizar la pantalla de presentacin del hotspot

Cuando los usuarios se conectan a su hotspot, ven una pantalla de presentacin, o un sitio web que deben
visitar antes de poder navegar a otros sitios web. Puede configurar el texto que aparece en esta pgina,
como tambin el aspecto de la pgina. Tambin puede redirigir al usuario a una pgina web especificada
despus que acepte los trminos y condiciones.
Como mnimo, debe especificar el Ttulo de la pgina y los Trminos y condiciones para activar esta
funcin.
1. En el cuadro de texto Ttulo de la pgina, ingrese el ttulo que desea que aparezca en la pgina de
presentacin del hotspot.

2. Para incluir un mensaje de bienvenida:
n Marque la casilla de seleccin Mensaje de bienvenida.

n En el cuadro de texto Mensaje de bienvenida, ingrese el mensaje que vern los usuarios
cuando se conecten al hotspot.
3. (Opcional) Para usar un logotipo personalizado en la pantalla de presentacin:
n Marque la casilla de seleccin Utilizar un logotipo personalizado.

n Haga clic en Subir para cargar el archivo de su logotipo personalizado.
El archivo debe estar en un formato .jpg, .gif o .png. Le recomendamos que la imagen no sea
mayor de 90 x 50 (ancho x altura) pxeles o 50kB.
3. En el cuadro de texto Trminos y condiciones, ingrese o pegue el texto que desea que los usuarios
acepten antes de poder utilizar el hotspot. La longitud mxima es de 20.000 caracteres.
4. Para redirigir automticamente a los usuarios a un sitio web despus de que aceptan los Trminos y
condiciones, en el cuadro de texto URL de redireccin, ingrese la URL del sitio web.
5. Puede personalizar las fuentes y los colores de su pgina de bienvenida:
n Fuente: Seleccione la fuente en la lista desplegable Fuente. Si no especifica una fuente, la

pgina de bienvenida utiliza la fuente predeterminada del navegador para cada usuario.
n Tamao: Seleccione el tamao del texto en la lista desplegable Tamao. El tamao
predeterminado del texto es Mediano.
Gua del Usuario 175

n Color del texto: ste es el color para el texto en la pantalla de presentacin del hotspot. El color
predeterminado es el #000000 (negro). El color configurado aparece en un recuadro
adyacente al cuadro de texto Color del texto. Haga clic en el recuadro coloreado para
seleccionar un color diferente en la paleta de colores. O bien, ingrese el cdigo de color HTML
en el cuadro de texto Color del texto.
n Color de fondo: ste es el color utilizado para el fondo de la pantalla de presentacin del
hotspot. El color predeterminado es el #FFFFFF (blanco). El color configurado aparece en un
recuadro adyacente al cuadro de texto Color de fondo. Haga clic en el recuadro coloreado para
seleccionar un color diferente en la paleta de colores. O bien, ingrese el cdigo de color HTML
en el cuadro de texto Color de fondo.
7. Haga clic en la Vista previa de la pantalla de presentacin.
Aparece una vista previa de la pantalla de presentacin en una nueva ventana del navegador.
7. Cierre la ventana de vista previa del navegador.

8. Cuando termine de configurar su hotspot, haga clic en Regresar a la pgina principal.
9. Haga clic en Guardar para guardar la configuracin.
Conctese a un hotspot inalmbrico

Despus de configurar su hotspot inalmbrico, puede conectarse a ste para ver su pantalla de
presentacin.
1. Utilice un cliente inalmbrico para conectase a su red inalmbrica para invitados. Utilice el SSID y
cualquier otra configuracin que haya establecido para la red inalmbrica para invitados.
2. Abra un explorador web. Navegue a cualquier sitio web.
Aparecer la pantalla de presentacin del hotspot inalmbrico en el navegador.

3. Marque la casilla de seleccin He ledo y acepto los trminos y condiciones.

4. Haga clic en Continuar.
El navegador muestra la URL original que solicit. O bien, si el hotspot est configurado para redirigir
automticamente el navegador a una URL, el navegador se dirigir a ese sitio web.
El contenido y el aspecto de la pantalla de presentacin del hotspot puede establecerse en la configuracin

del hotspot para su red inalmbrica para invitados.
La URL de la pantalla de presentacin del hotspot inalmbrico es:

https://<IP address of the wireless guest network>:4100/hotspot .
Consulte Conexiones hotspot inalmbricas

Cuando activa la funcin de hotspot inalmbrico, puede consultar informacin acerca de la cantidad de
clientes que estn conectados. Tambin puede desconectar clientes inalmbricos.
Para ver la lista de clientes hotspot inalmbricos conectados:
1. Conctese a la Fireware XTM Web UI en su dispositivo inalmbrico.

2. Seleccione Estado del sistema > Hotspot inalmbrico.
Aparecer la direccin IP y la direccin MAC para cada cliente inalmbrico conectado.
Gua del Usuario 177

Para desconectar a un cliente hotspot inalmbrico, desde la pgina Clientes hotspot inalmbricospage:
1. Seleccione un cliente hotspot inalmbrico conectado o varios.

2. Haga clic en Desconectar.
Configurar la interfaz externa como interfaz

inalmbrica
En reas con infraestructura de red limitada o inexistente, se puede utilizar el dispositivo inalmbrico
WatchGuard para proporcionar acceso seguro a la red. Debe conectar fsicamente los dispositivos de red al
dispositivo WatchGuard. Luego, configure la interfaz externa para que se conecte a un punto de acceso
inalmbrico que se conecta a una red ms grande.
Nota Cuando la interfaz externa se configura con una conexin inalmbrica, el

dispositivo inalmbrico WatchGuard ya no puede usarse como punto de acceso
inalmbrico. Para proporcionar acceso inalmbrico a los usuarios, conecte un
dispositivo de punto de acceso inalmbrico al dispositivo inalmbrico
WatchGuard.
Configurar la interfaz externa principal como interfaz

inalmbrica
Aparece la pgina Configuracin inalmbrica.

2. Seleccione Activar cliente inalmbrico como interfaz externa.

3. Haga clic en Configurar.
Aparece la configuracin de interfaz externa.
4. En la lista desplegable Modo configuracin, seleccione una opcin:
Configuracin manual
Para usar una direccin IP esttica, seleccione esta opcin. Ingrese la Direccin IP, Mscara de
subred y Puerta de enlace predeterminada.
Cliente DHCP
Para configurar la interfaz externa como cliente DHCP, seleccione esta opcin. Ingrese la
configuracin de DHCP.
Gua del Usuario 179

Para obtener ms informacin acerca de cmo configurar la interfaz externa para usar una
direccin IP esttica o DHCP, consulte Configurar una interfaz externa en la pgina 82.
5. Haga clic en la pestaa Inalmbrico.
Aparece la configuracin de cliente inalmbrico.
6. En el cuadro de texto Nombre de red (SSID), ingrese un nombre nico para la red externa
inalmbrica.
7. En la lista desplegable Autenticacin, seleccione el tipo de autenticacin que desea activar para las
conexiones inalmbricas. Recomendamos utilizar WPA2 si los dispositivos inalmbricos de la red son
compatibles con WPA2.
Para obtener ms informacin acerca de los mtodos de autenticacin inalmbrica, consulte Acerca
de configuraciones de seguridad en la pgina 166.

Configurar un tnel BOVPN para seguridad adicional

Para crear un puente inalmbrico y proporcionar ms seguridad, agregue un tnel BOVPN entre el
dispositivo WatchGuard y la puerta de enlace externa. Se debe configurar el Modo agresivo en los
parmetros de Fase 1 de la configuracin de BOVPN en ambos dispositivos.
Para obtener informacin acerca de cmo configurar un tnel BOVPN, consulte Acerca de tneles BOVPN
manuales en la pgina 418.
Acerca de configuraciones de radio en Firebox X

Edge e-Series inalmbrico
Los dispositivos inalmbricos WatchGuard utilizan seales de radiofrecuencia para enviar y recibir trfico
desde las computadoras con tarjetas de Ethernet inalmbrico. Varias configuraciones son especficas segn
la seleccin del canal.
Para ver o cambiar las configuraciones de radio:

Las Configuraciones de radio aparecen en la parte inferior de esta pgina.
Gua del Usuario 181

Configurar la regin operativa y el canal

Cuando activa el modo inalmbrico, debe configurar la regin operativa inalmbrica.
1. En la lista desplegable Regin operativa, seleccione la regin operativa que mejor describa la
ubicacin de su dispositivo.
La lista de regiones operativas inalmbricas que puede seleccionar en su Firebox puede ser
diferente segn dnde lo haya adquirido.
2. En la lista desplegable Canal, seleccione un canal o seleccione Automtico.
Si configura el canal en Automtico, el dispositivo inalmbrico WatchGuard selecciona

automticamente el canal con la seal disponible ms fuerte en su ubicacin fsica.
Debido a los requisitos normativos de las distintas partes del mundo, no todos los canales inalmbricos estn
disponibles en todas las regiones. Esta tabla incluye los canales disponibles para cada regin operativa
compatible en Firebox X Edge e-Series inalmbrico.
Europa,
Frecuencia Australia Medio Repblica
Canal central Amrica Asia &Nueva Oriente y Francia Israel Japn Taiwn Popular
(MHz) Zelanda frica de China
(EMEA)
1 2412 S S S S -- -- S S S
2 2417 S S S S -- -- S S S
3 2422 S S S S -- S S S S
4 2427 S S S S -- S S S S
5 2432 S S S S -- S S S S
6 2437 S S S S -- S S S S
7 2442 S S S S -- S S S S
8 2447 S S S S -- S S S S
9 2452 S S S S -- S S S S
10 2457 S S S S S -- S S S
11 2462 S S S S S -- S S S
12 2467 -- -- S S S -- S -- S
13 2472 -- -- S S S -- S -- S
14 2484 -- -- -- -- -- -- S -- --

Definir modo de operacin inalmbrica

La mayora de las tarjetas inalmbricas pueden operar slo en modo de 802.11b (hasta 11 MB/segundo) o
de 802.11g (54 MB/segundo). Para establecer el modo operativo para el dispositivo inalmbrico
WatchGuard, seleccione una opcin en la lista desplegable Modo inalmbrico. Existen tres modos
inalmbricos:
802.11b solamente
Este modo limita el dispositivo inalmbrico WatchGuard para que se conecte con dispositivos que
estn slo en el modo 802.11b.
802.11g solamente
Este modo limita el dispositivo inalmbrico WatchGuard para que se conecte con dispositivos que
estn slo en el modo 802.11g.
802.11g y 802.11b
ste es el modo predeterminado y la configuracin recomendada. Este modo le permite al

dispositivo WatchGuard conectarse con los dispositivos que utilizan 802.11b u 802.11g. El dispositivo
WatchGuard funciona en el modo 802.11g solamente si todas las tarjetas inalmbricas que estn
conectadas al dispositivo utilizan el modo 802.11g. Si alguno de los clientes 802.11b se conecta al
dispositivo, todas las conexiones automticamente pasan al modo 802.11b.
Acerca de las configuraciones de radio

inalmbrico en el dispositivo inalmbrico
WatchGuard XTM2 Series
Los dispositivos inalmbricos WatchGuard utilizan seales de radiofrecuencia para enviar y recibir trfico
desde las computadoras con tarjetas de Ethernet inalmbrico. Las configuraciones de radio disponibles para
el dispositivo inalmbrico WatchGuard XTM2 Series son distintas de las del dispositivo inalmbrico Firebox
XEdge e-Series.
Para ver o cambiar las configuraciones de radio:

Gua del Usuario 183

Las Configuraciones de radio aparecen en la parte inferior de esta pgina.
El pas se configura automticamente

Debido a los requisitos normativos de las distintas partes del mundo, no se pueden utilizar todas las
configuraciones de radio inalmbrico en todos los pases. Cada vez que enciende el dispositivo inalmbrico
XTM 2 Series, el dispositivo se contacta con un servidor WatchGuard para determinar el pas y la
configuracin de radio inalmbrico permitido para ese pas. Para hacer esto, el dispositivo debe tener una
conexin a Internet. Una vez que se determina el pas, puede establecer todas las configuraciones de radio
inalmbrico compatibles que puedan utilizarse en ese pas.
En el cuadro de dilogo Configuracin inalmbrica, la configuracin de Pas muestra en qu pas el

dispositivo detecta que se encuentra. No se puede cambiar la configuracin de Pas. Las opciones
disponibles para las dems configuraciones de radio se basan en los requisitos normativos del pas en donde
el dispositivo detecta que se encuentra.
Nota Si el dispositivo XTM2 Series no puede conectarse con el servidor WatchGuard, no

se podr saber cul es el pas. En este caso, slo podr seleccionar en el conjunto
limitado de configuraciones de radio inalmbrico permitidas en todos los pases. El
dispositivo inalmbrico XTM2 Series contina intentando conectarse
peridicamente al servidor WatchGuard para determinar el pas y las
configuraciones de radio inalmbrico permitidas.

Si el dispositivo 2 Series an no tiene una regin configurada o si la regin no est actualizada, puede forzar
el dispositivo para actualizar la regin de radio inalmbrico.
Para actualizar la regin de radio inalmbrico:
1. Seleccione Estado del sistema >Estadsticas inalmbricas.

2. haga clic en Actualizar la informacin del pas.
El dispositivo 2 Series se contacta con un servidor WatchGuard para determinar la regin operativa actual.
Seleccionar el modo de banda y el modo inalmbrico

El dispositivo WatchGuard XTM2 Series admite dos bandas inalmbricas diferentes: 2.4 GHz y 5 GHz. La
banda que selecciona y el pas determinan los modos inalmbricos disponibles. Seleccione la Banda que
admite el modo inalmbrico que desea utilizar. Luego seleccione el modo en la lista desplegable Modo
inalmbrico.
La banda 2.4 GHz admite estos modos inalmbricos:

802.11n, 802.11g y 802.11b
ste es el modo predeterminado en la banda 2.4 GHz y es la configuracin recomendada. Este modo
le permite al dispositivo WatchGuard conectarse con los dispositivos que utilizan 802.11n, 802.11g u
802.11b.
802.11g y 802.11b
Este modo le permite al dispositivo inalmbrico WatchGuard conectarse con los dispositivos que
utilizan 802.11g u 802.11b.
SLO 802.11b
Este modo le permite al dispositivo inalmbrico WatchGuard conectarse solamente con los
dispositivos que utilizan 802.11b.
La banda 5 GHz admite estos modos inalmbricos:

802.11a y 802.11n
ste es el modo predeterminado en la banda 5 GHz. Este modo le permite al dispositivo inalmbrico
WatchGuard conectarse con los dispositivos que utilizan 802.11a u 802.11n.
SLO 802.11a
Este modo le permite al dispositivo inalmbrico WatchGuard conectarse solamente con los
dispositivos que utilizan 802.11a.
Nota Si elige un modo inalmbrico que admite varias normas 802.11, el rendimiento
general puede disminuir considerablemente. Esto se debe en parte a la necesidad
de admitir protocolos de proteccin para la retrocompatibilidad cuando los
Gua del Usuario 185

dispositivos que utilizan modos ms lentos estn conectados. Adems, los

dispositivos ms lentos tienden a dominar la velocidad porque puede llevar mucho
ms tiempo enviar o recibir la misma cantidad de datos a los dispositivos que
utilizan un modo ms lento.
La banda 5 GHz provee ms rendimiento que la banda 2.4 GHz, pero puede no ser compatible con todos los
dispositivos inalmbricos. Seleccione la banda y el modo segn las tarjetas inalmbricas de los dispositivos
que se conectarn con el dispositivo inalmbrico WatchGuard.
Seleccionar el canal
Los canales disponibles dependen del pas y del modo inalmbrico que seleccione. En forma
predeterminada, el Canal se configura en Automtico. Cuando el canal se configura en Automtico, el
dispositivo inalmbrico 2-Series selecciona automticamente un canal silencioso de la lista disponible en la
banda que usted ha seleccionado. O puede seleccionar un canal especfico de la lista desplegable Canal.
Configurar la de red invitada inalmbrica en su

computadora
Estas instrucciones son para el sistema operativo Windows XP con Service Pack 2. Para obtener
instrucciones de instalacin para otros sistemas operativos, consulte la documentacin o los archivos de
ayuda de su sistema operativo.
1. Seleccione Iniciar > Configuracin >Panel de control > Conexiones de red.

Aparece el cuadro de dilogo Conexiones de red.
2. Haga clic con el botn derecho en Conexin de red inalmbrica y seleccione Propiedades.
Aparece el cuadro de dilogo Conexin de red inalmbrica.
3. Seleccione la pestaa Redes inalmbricas.
4. Debajo de Redes preferidas, haga clic en Agregar.
Aparece el cuadro de dilogo Propiedades de red inalmbrica.
5. Ingrese el SSID en el cuadro de dilogo Nombre de red (SSID).
6. Seleccione los mtodos de autenticacin de red y el cifrado de datos en las listas desplegables. Si es
necesario, desmarque la casilla de verificacin La clave se provee en forma automtica e ingrese la
clave de red dos veces.
7. Haga clic en OK para cerrar el cuadro de dilogo Propiedades de red inalmbrica.
8. Haga clic en Ver redes inalmbricas.
Todas las conexiones inalmbricas disponibles aparecen en el cuadro de texto Redes disponibles.
9. Seleccione el SSID de la red inalmbrica y haga clic en Conectar.
Si la red utiliza cifrado, ingrese la clave de red dos veces en el cuadro de texto Conexin de red
inalmbrica y haga clic en Conectar nuevamente.
10. Configure la computadora inalmbrica para utilizar la configuracin dinmica de host (DHCP).

10 Dynamic Routing
Acerca de dynamic routing

Un protocolo de enrutamiento es un lenguaje que un enrutador usa con otros enrutadores para compartir
informacin acerca del estado de las tablas de enrutamiento de red. Con el enrutamiento esttico, las tablas
de enrutamiento son definidas y no cambian. Si un enrutador en un camino remoto falla, no se puede
enviar un paquete a su destino. El dynamic routing hace que las actualizaciones automticas enruten tablas
a medida que cambia la configuracin de una res.
Nota El soporte para algunos protocolos de dynamic routing est disponible slo en el
Fireware XTM con actualizacin Pro. El dynamic routing no es soportado en el
Firebox X Edge E-Series.
El Fireware XTM soporta los protocolos RIP v1 y RIP v2. El Fireware XTM con actualizacin Pro soporta los
protocolos RIP v1, RIP v2, OSPF y BGP v4.
Acerca de archivos de configuracin de demonio

de enrutamiento.
Para usar cualquiera de los protocolos de dynamic routing con el Fireware XTM, debe importar o insertar
un archivo de configuracin de dynamic routing para el demonio de enrutamiento elegido. Ese archivo de
configuracin incluye informaciones como contrasea y nombre del archivo de registro. Para ver una
muestra de archivos de configuracin para cada protocolo de enrutamiento, vea estos tpicos:
n Muestra de archivo de configuracin del enrutamiento RIP

n Muestra de archivo de configuracin del enrutamiento OSPF
n Muestra de archivo de configuracin del enrutamiento BGP
Notas acerca de los archivos de configuracin:
n Los caracteres "!" y "#" son puestos antes de los comentarios, que son lneas de texto en archivos de
configuracin que explican la funcin de los comandos siguientes. Si el primer caracter de una lnea
Gua del Usuario 187

Dynamic Routing
es un caracter de comentario, entonces el resto de la lnea ser interpretado como un comentario.

n Puede usar la palabra "no" al principio de la lnea para desactivar un comando. Por ejemplo: "no red
10.0.0.0/24 rea 0.0.0.0" desactiva el rea de backbone en la red especificada.
Acerca del Protocolo de Informacin de

Enrutamiento (RIP)
El Protocolo de Informacin de Enrutamiento (RIP, en sus siglas en ingls) es usado para administrar
informacin de enrutadores en una red autocontenida, tal como una LAN corporativa o una WAN privada.
Con el RIP, el host de puerta de enlace enva su tabla de enrutamiento al enrutador ms cercano a cada 30
segundos. Ese enrutador enva el contenido de sus tablas de enrutamiento a los enrutadores vecinos.
El RIP es mejor para redes pequeas. Eso es as porque la transmisin de la tabla de enrutamiento completa
a cada 30 segundos puede poner una carga grande de trfico en la red y porque las tablas de RIP se limitan
a 15 saltos. El OSPF es una mejor opcin para grandes redes.
Hay dos versiones del RIP. RIP v1 usa la difusin de UDP a travs del puerto 520 para enviar actualizaciones
a las tablas de enrutamiento. RIP v2 usa la multidifusin para enviar actualizaciones de tabla de
enrutamiento.
Comandos del Protocolo de Informacin de Enrutamiento (RIP)

La tabla siguiente es un catlogo de comandos de enrutamiento soportados por RIP v1 y RIP v2 que pueden
ser usados para crear o modificar un archivo de configuracin de enrutamiento. Si usa RIP v2, debe incluir
la Subnet Mask con cualquier comando que usa una direccin IP de red o el RIP v2 no funcionar. Las
secciones deben aparecer en el archivo de configuracin en el mismo orden que aparecen en esta tabla.
Seccin Comando Descripcin
Defina una contrasea simple o una autenticacin MD5 en una interfaz
interfaz eth[N] Comience seccin para definir
Tipo de autenticacin para interfaz
ip rip cadena autenticacin

Definir contrasea de autenticacin de rip
[CONTRASEA]
clave [CLAVE] Definir nombre de clave MD5
clave [ENTERO] Definir nmero de clave MD5
cadena-clave [CLAVE-AUT] Definir clave de autenticacin de MD5
ip rip modo autenticacin md5 Usar autenticacin MD5
ip rip modo autenticacin clave

Definir clave de autenticacin de MD5
[CLAVE]
Configurar demonio de enrutamientoRIP
router rip Activar demonio de RIP

Dynamic Routing
Definir versin RIP en 1 o 2 (versin 2

versin [1/2]
predeterminada)
ip rip enviar versin [1/2] Definir RIPpara enviar versin 1 2
ip rip recibir versin [1/2] Definir RIPpara recibir versin 1 2
no ip split-horizon Desactivar split-horizon; activado por defecto
Configurar interfaces y redes
no red eth [N]
interfaz-pasiva eth[N]
interfaz-pasiva predeterminada
red [A.B.C.D/M]
vecino [A.B.C.D/M]
Distribuir rutas a puntosRIP e inyectar rutas OSPF o BGP a la tabla de enrutamientoRIP
informacin-predeterminada Compartir ruta de ltimo recurso (ruta

originar predeterminada) con puntosRIP
redistribuir ncleo Redistribuir rutas estticas de firewall a puntos RIP
redistribuir conectado Redistribuir rutas de todas las interfaces a puntosRIP
redistribuir mapa-ruta conectado Redistribuir rutas de todas las interfaces hacia puntos
[NOMBREMAPA] RIP, con un filtro de mapa de ruta (nombremapa)
redistribuir ospf Redistribuir rutas deOSPF a RIP
redistribuir mapa-ruta ospf Redistribuir rutas desde OSPF a RIP, con un filtro de
[NOMBREMAPA] mapa de ruta (nombremapa).
redistribuir bgp Redistribuir rutas de BGP a RIP
redistribuir mapa-ruta bgp Redistribuir rutas desde BGP a RIP, con un filtro de
[NOMBREMAPA] mapa de ruta (nombremapa).
Configurar filtros de redistribucin de rutas con mapas de ruta y listas de acceso
lista-acceso [PERMITIR|NEGAR] Crear una lista de acceso para permitir o negar la

[NOMBRELISTA] [A,B,C,D/M | redistribucin de solo una direccinIP o todas las
CUALQUIERA] direccionesIP
ruta-mapa [NOMBREMAPA] Crear un mapa de ruta con un nombre y permitir

permitir [N] otorgando prioridad de N
coincidir direccin ip
[NOMBRELISTA]
Gua del Usuario 189

Dynamic Routing
Configurar el Firebox para usar RIP v1

1. Seleccionar Red > Dynamic Routing.
Configuracin de dynamic routing pgina .
2. Selecciona la casilla Activar dynamic routing.
3. Haga clic en la pestaa RIP.
4. Seleccione Activar .
5. Copie y pegue el texto del archivo de configuracin del demonio de enrutamiento en la ventana.
Para ms informaciones, vea Acerca de archivos de configuracin de demonio de enrutamiento. en la

pgina 187.
Permitir trfico de RIP v1 a travs del Firebox

Debe agregar y configurar una poltica para permitir difusiones de RIP desde en enrutador hacia la direccin
IP de difusin de red. Tambin debe aadir la direccin IP de la interfaz de Firebox en el campo Para.

Dynamic Routing
1. Seleccione Firewall >Polticas de Firewall. Haga clic en Agregar.

Aparece la pgina "Seleccionar un tipo de poltica".
2. En la lista de filtrados de paquetes, seleccione RIP. Haga clic en Agregar.
3. En la pgina Configuracin de poltica, configure la poltica para permitir el trfico desde la direccin
de red o IP del enrutador que usa RIP hacia la interfaz Firebox que se conecta. Tambin debe
agregar la direccin IP de difusin de red.
5. Configurar el enrutador seleccionado en el Paso 3.
6. Despus de configurar el enrutador, seleccione Estado del Sistema >Rutas y verifique si el Firebox
y el enrutador estn enviando actualizaciones el uno al otro.
Entonces puede aadir la autenticacin y restringir la poltica de RIP para analizar slo las interfaces
correctas.
Configurar el Firebox para usar RIP v2

3. Haga clic en la pestaa RIP.
Gua del Usuario 191

Dynamic Routing
5. Copie y pegue el archivo de configuracin del demonio de enrutamiento en la ventana.

Para ms informaciones, vea Acerca de archivos de configuracin de demonio de enrutamiento. en la

pgina 187.
Permitir trfico de RIP v2 a travs del Firebox

Debe aadir y configurar una poltica para permitir multidifusiones de RIP v2 de los enrutadores que tienen
RIP v2 activado, hacia la direccin reservada de multidifusin para RIP v2.

de red o IP del enrutador usando RIP hacia la direccin IP de multidifusin 224.0.0.9.
Entonces puede aadir la autenticacin y restringir la poltica de RIP para analizar slo las interfaces
correctas.
Muestra de archivo de configuracin del enrutamiento RIP

Para usar usar cualquier protocolo de dynamic routing con el Fireware XTM, es necesario copiar y pegar un
archivo de configuracin para el demonio de dynamic routing. Este tpico incluye una muestra de archivo
de configuracin para el demonio de enrutamiento de RIP. Si desea usar este archivo de configuracin
como base para su propio archivo de configuracin, copie el texto en una aplicacin como el Bloc de Notas
o Wordpad y gurdelo con un nuevo nombre. Puede entonces editar los parmetros para atender a las
necesidades de su empresa.
Los comandos opcionales son comentados con el caracter "!" . Para activar un comando, elimine el "!" y
modifique las variables, segn sea necesario.
!! SECCIN 1: Configurar claves de autenticacin MD5.
! Definir el nombre de la clave de autenticacin MD5 (CLAVE), el nmero de la
clave (1),
! y la cadena de la clave de autenticacin (CLAVEAUT).
! clave CLAVE
! clave 1 ! cadena-clave CLAVEAUT
!! SECCIN 2: Configure las propiedades de interfaz.
! Definir autenticacin para interfaz (eth1).
! interfaz eth1
!
! Definir la contrasea de autenticacin simple de RIP (CLAVECOMPARTIDA).
! ip rip cadena de autenticacin CLAVECOMPARTIDA
!
! Definir autenticacin MD5 de RIP y clave MD5 (CLAVE).
! ip rip modo autenticacin md5

Dynamic Routing
! ip rip clave autenticacin CLAE

!
!! SECCIN 3: Configure propiedades globales del demonio de RIP.
! Activar demonio de RIP. Debe estar activado para todas las configuraciones de
RIP. router rip
!
! Definir versin RIP en 1; la predeterminada es la versin 2.
! versin 1
!
! Definir RIP para enviar o recibir versin 1; la predeterminada es la versin 2.
! ip rip enviar versin 1
! ip rip recibir versin 1
!
! Desactivar split-horizon para evitar bucles de enrutamiento. Predeterminado
est activado.
! no ip split-horizon
!! SECCIN 4: Configurar interfaces y redes.
! Desactivar enviar y recibir RIP en interfaz (eth0).
! no red eth0
!
! Definir RIP para slo-recibir en interfaz (eth2).
! interfaz-pasiva eth2
!
! Definir RIP para slo-recibir en todas las interfaces.
! interfaz-pasiva predeterminada
!
! Activar difusin (versin 1) o multidifusin (versin 2) de RIP en
! red (192.168.253.0/24). !red 192.168.253.0/24
!
! Definir actualizaciones de tabla de enrutamiento de unidifusin para vecino
(192.168.253.254).
! vecino 192.168.253.254
!! SECCIN 5: Redistribuir rutas de RIP para puntos e inyectar OSPF o BGP
!! rutas a tabla de enrutamiento RIP.
! Compartir ruta del ltimo recurso (ruta predeterminada) de la tabla de
enrutamiento de ncleo
! con puntos RIP
! informacin-predeterminada originar
!
! Redistribuir rutas estticas de firewall a puntos RIP.
! redistribuir ncleo
!
! Definir mapas de ruta (NOMBREMAPA) para restringir la redistribucin de rutas
en Seccin 6.
! Redistribuir rutas de todas las interfaces hacia puntos RIP o con un mapa de ruta
! filtro (NOMBREMAPA).
! redistribuir conectado
! redistribuir mapa-ruta conectado NOMBREMAPA
!
! Redistribuir rutas desde OSPF a RIP o con un filtro de mapa de ruta
(NOMBREMAPA).
! redistribuir ospf !redistribuir ospf mapa-ruta NOMBREMAPA
!
Gua del Usuario 193

Dynamic Routing
! Redistribuir rutas desde BGP a RIP o con un filtro de mapa de ruta

(NOMBREMAPA).
! redistribuir bgp !redistribuir bgp mapa-ruta NOMBREMAPA
!! SECCIN 6: Configurar filtros de redistribucin de rutas con mapas de ruta y
!! listas de acceso.
! Crear una lista de acceso para slo permitir redistribucin de 172.16.30.0/24.
! lista-acceso NOMBRELISTA permitir 172.16.30.0/24
! lista-acceso NOMBRELISTA negar todos
!
! Crear un mapa de ruta con el NOMBREMAPA de nombre y permitir otorgando
prioridad de 10.
! ruta-mapa [NOMBREMAPA] permitir 10
! coincidir direccin ip NOMBRELISTA
Acerca del Protocolo "Abrir Camino Ms Curto

Primero" (OSPF)
Nota El soporte para ese protocolo est disponible slo en el Fireware XTM con
actualizacin Pro.
El OSPF (Abrir camino ms curto primero) es un protocolo de enrutador interior usado en grandes redes.
Con el OSPF, un enrutador que ve una alteracin en su tabla de enrutamiento o que detecta un cambio en
la red inmediatamente enva una actualizacin de multidifusin a todos los otros enrutadores en la red.
OSPF es diferente del RIP porque:
n El OSPF enva slo la parte de la tabla de enrutamiento que fue alterada en la transmisin. El RIP
enva la tabla de enrutamiento completa todas las veces.
n El OSPF enva una multidifusin slo cuando su informacin fue alterada. El RIP enva una tabla de
enrutamiento a cada 30 segundos.
Adems, observe lo siguiente acerca de OSPF:
n Si tiene ms de un rea de OSPF, una debe ser rea 0.0.0.0 (el rea del backbone).
n Todas las reas deben ser adyacentes al rea de backbone. Si no lo son, debe configurar un enlace
virtual al rea de backbone.
Comandos de OSPF
Para crear o modificar un archivo de configuracin de enrutamiento, debe usar los comandos correctos de
enrutamiento. La tabla siguiente es un catlogo de comandos de enrutamiento soportados por OSPF. Las
secciones deben aparecer en el archivo de configuracin en el mismo orden que aparecen en esta tabla.
Tambin puede usar el texto de muestra encontrados en Muestra de archivo de configuracin del
enrutamiento OSPF en la pgina 199.
Configurar interfaz
ip ospf clave-autenticacin
Definir contrasea de autenticacin de OSPF
[CONTRASEA]
interfaz eth[N] Iniciar seccin para definir propiedades para

Dynamic Routing
interfaz
ip ospf clave-resumen-mensaje Definir clave e ID de clave de autenticacin de

[CLAVE-ID] md5 [CLAVE] MD5
Definir costo de enlace para la interfaz (ver tabla

ip ospf costo [1-65535]
de Costo de Interfaz OSPF abajo)
Definir intervalo para enviar paquetes de hello; el

ip ospf hello-intervalo [1-65535]
predeterminado es de 10 segundos
Definir intervalo despus del ltimo hello de un

ip ospf intervalo-muerto [1-65535] vecino antes de declararlo inactivo; el
predeterminado es de 40 segundos.
Definir intervalo entre retransmisiones de

ip ospf intervalo-retransmitir [1-
anuncios de enlace-estado (LSA); el
65535]
predeterminado es de 5 segundos.
Definir tiempo requerido para enviar

ip ospf transmitir-retraso [1-3600] actualizacin de LSA; el predeterminado es de 1
segundo.
Definir prioridad de ruta; valor alto aumenta la

ip ospf prioridad [0-255] elegibilidad de volverse en enrutador asignado
(DR, en sus siglas en ingls)
Configurar Demonio deEnrutamiento de OSPF
enrutador ospf Activar demonioOSPF
definir ID de enrutador para OSPF manualmente;

ospf enrutador-id [A.B.C.D] enrutador determina su propio ID caso no est
definido
Activar compatibilidad RFC 1583 (puede llevar a

compatibilidad ospf rfc 1583
bucles de ruta)
ospf abr-tipo Ms informacin acerca de ese comando puede

[cisco|ibm|accesodirecto|estndar] ser encontrada en el archivo draft-ietf-abr-o5.txt
interfaz-pasiva eth[N] Desactivar anuncio de OSPF en interfaz eth[N]
ancho de banda de referencia de Definir costo global (vea tabla de costo de OSPF
costo-auto[0-429495] abajo); no use con el comando "ip ospf [COSTO]"
temporizadores spf [0- Definir cronogramade tiempo de retraso y

4294967295][0-4294967295] espera de OSPF
Activar OSPF en una Red
*La variable "rea" puede ser ingresada en dos formatos:
Gua del Usuario 195

Dynamic Routing
[W.X.Y.Z]; o como un nmero entero [Z].
Anunciar OSPF en la red

red [A.B.C.D/M] rea [Z]
A.B.C.D/M para rea 0.0.0.Z
Configurar propiedades para rea de backbone u otras reas
La variable "rea" puede ser ingresada en dos formatos: [W.X.Y.Z]; o como un nmero entero [Z].
Crear rea 0.0.0.Z y definir una red con clase para

rea [Z] rango [A.B.C.D/M] el rea (las configuraciones de mscara y red de
interfaz y rango deberan coincidir)
rea [Z] enlace-virtual [W.X.Y.Z] Definir vecino de enlace virtual para rea 0.0.0.Z
rea [Z] stub Definir rea 0.0.0.Z como stub
rea [Z] stub no-summary
Activar autenticacin de contrasea simple para

rea [Z] autenticacin
rea 0.0.0.Z
rea [Z] resumen de mensaje de

Activar autenticacin MD5 para rea 0.0.0.Z
autenticacin
Redistribuir rutasOSPF
informacin-predeterminada Compartir ruta de ltimo recurso (ruta

originar predeterminada) con OSPF
Compartir ruta del ltimo recurso (ruta

informacin-predeterminada
predeterminada) con OSPF, y aadir una mtrica
originar mtrica [0-16777214]
usada para generar la ruta predeterminada
informacin-predeterminada Compartir siempre la ruta de ltimo recurso (ruta

originar siempre predeterminada)
informacin-predeterminada Compartir siempre ruta del ltimo recurso (ruta

originar siempre mtrica [0- predeterminada), y aadir una mtrica usada para
16777214] generar la ruta predeterminada
redistribuir conectado Redistribuir rutas de todas las interfaces a OSPF
Redistribuir rutas de todas las interfaces a OSPF y

redistribuir mtricas conectadas
una mtrica usada para la accin
Configurar redistribucin de rutas con Listas de Acceso

y Mapas de Ruta
lista-acceso [NOMBRELISTA] Crear una lista de acceso para permitir la

permiso [A.B.C.D/M] distribucin a A.B.C.D/M

Dynamic Routing
listas-acceso [NOMBRELISTA] negar Restringir distribucin de cualquier mapa de ruta

todos especificado arriba
ruta-mapa [NOMBREMAPA] Crear un mapa de ruta con el [NOMBREMAPA] de

permitir [N] nombre y permitir otorgando prioridad de [N]
coincidir direccin ip
[NOMBRELISTA]
Tabla de Costo de Interfaz de OSPF

El protocolo OSPF encuentra la ruta ms eficiente entre dos puntos. Para eso, mira los factores como
velocidad de enlace de la interfaz, el nmero de salto entre puntos y otros indicadores. Por defecto, OSPF
usa la velocidad de enlace real de un dispositivo para calcular el costo total de una ruta. Puede definir el
costo de la interfaz manualmente para ayudar a maximizar la eficiencia si, por ejemplo, su firewall basado
en gigabytes est conectado a un enrutador de 100M. Use los nmeros en esa tabla para definir
manualmente el costo de interfaz en un valor diferente del costo real de interfaz.
Tipo de Ancho de banda en Ancho de banda en Costo de Interfaz de

interfaz bits/segundo bytes/segundo OSPF
Ethernet 1G 128M 1
Ethernet 100M 12.5M 10
Ethernet 10M 1.25M 100
Mdem 2M 256K 500
Mdem 1M 128K 1000
Mdem 500K 62.5K 2000
Mdem 250K 31.25K 4000
Mdem 125K 15625 8000
Mdem 62500 7812 16000
Serial 115200 14400 10850
Serial 57600 7200 21700
Serial 38400 4800 32550
Serial 19200 2400 61120
Serial 9600 1200 65535
Gua del Usuario 197

Dynamic Routing
Configurar el Firebox para usar OSPF

Configuracin de dynamic routing pginaaparece.
3. Haga clic en la pestaa OSPF.
Para ms informaciones, vea Acerca de archivos de configuracin de demonio de enrutamiento. en

la pgina 187.
Para empezar, necesita slo dos comandos en su archivo de configuracin de OSPF. Esos dos
comandos, en ese orden, empiezan el proceso de OSPF:
router ospf
red <network IP address of the interface you want the process to listen on and distribute through
the protocol> rea <area ID in x.x.x.x format, such as 0.0.0.0>

Dynamic Routing
Permitir trfico de OSPF a travs del Firebox

Debe aadir y configurar una poltica para permitir multidifusiones de OSPF de los enrutadores que tienen
OSPF activado, hacia la direccin reservada de multidifusin para OSPF.

de red o IP del enrutador usando OSPF hacia las direcciones IP 224.0.0.5 y 224.0.0.6.
Para ms informacin acerca de cmo definir las direcciones de origen y destino para una poltica,
vea Definir reglas de acceso a una poltica en la pgina 267.
Entonces puede aadir la autenticacin y restringir la poltica de OSPF para analizar slo las
interfaces correctas.
Muestra de archivo de configuracin del enrutamiento OSPF

Para usar usar cualquier protocolo de dynamic routing con el Fireware XTM, es necesario copiar y pegar un
archivo de configuracin para el demonio de dynamic routing. Este tpico incluye una muestra de archivo
de configuracin para el demonio de enrutamiento de OSPF. Si desea usar este archivo de configuracin
como base para su propio archivo de configuracin, copie el texto en una aplicacin como el Bloc de Notas
o Wordpad y gurdelo con un nuevo nombre. Puede entonces editar los parmetros para atender a las
necesidades de su empresa.
!! SECCIN 1: Configure las propiedades de interfaz.
! Definir propiedades para interfaz eth1.
! interfaz eth1
!
! Definir la contrasea de autenticacin simple (CLAVECOMPARTIDA).
! ip ospf clave-autenticacin CLAVECOMPARTIDA
!
! Definir el IP de clave de autenticacin MD5 (10) y clave de autenticacin MD5
(CLAVEAUT).
! ip ospf clave-resumen-mensaje 10 md5 CLAVEAUT
!
! Definir costo de enlace en 1000 (1-65535) en la interfaz eth1.
! para tabla de costo de enlace OSPF. ! ip ospf costo 1000
!
! Definir intervalo de hello en 5 segundos (1-65535); el predeterminado es 10
segundos.
! ip ospf intervalo-hello 5
Gua del Usuario 199

Dynamic Routing
!
! Definir intervalo de muerto en 15 segundos (1-65535); el predeterminado es 40
segundos.
! ip ospf intervalo-muerto 15
!
! Definir intervalo entre retransmisiones de anuncios de enlace-estado (LSA)
! en 10 segundos (1-65535); el predeterminado es 5 segundos.
! ip ospf intervalo-retransmitir 10
!
! Definir intervalo de actualizacin LSA en 3 segundos (1-3600); el
predeterminado es 1 segundo.
! ip ospf transmitir-retraso 3
!
! Definir alta prioridad (0-255) para aumentar a elegibilidad para convertirse en
! enrutador asignado (DR).
! ip ospf prioridad 255
!! SECCIN 2: Iniciar OSFP y definir propiedades de demonio.
! Activar demonio OSPF. Debe estar activado para todas las configuraciones
de OSPF.
! router ospf
!
! Definir el ID del enrutador manualmente en 100.100.100.20. Si no definirlo, el
firewall lo har
! definir el propio ID basado en una direccin IP de interfaz.
! ospf router-id 100.100.100.20
!
! Activar compatibilidad RFC 1583 (aumenta la probabilidad de bucles de
enrutamiento).
! ospf rfc1583compatibilidad
!
! Definir tipo de enrutador de adyacencia de rea (ABR) en cisco, ibm, acceso
directo o estndar.
! Ms informacin acerca de los tipos ABR en draft-ietf-ospf-abr-alt-05.txt.
! ospf abr-tipo cisco
!
! Desactivar anuncio de OSPF en interfaz eth0.
! interfaz pasiva eth0
!
! Definir costo global en 1000 (0-429495).
! ancho de banda de referencia de costo-auto 1000
!
! Definir retraso de cronograma de SPF en 25 (0-4294967295) segundos y sostener
! 20 (0-4294967295) segundos; predeterminado es 5 y 10 segundos. ! temporizadores
spf 25 20
!! SECCIN 3: Definir propiedades de rea y red. Definir reas con notacin
W.X.Y.Z
!! o Z.
! Anunciar OSPF en la red 192.168.253.0/24 para rea 0.0.0.0.
! red 192.168.253.0/24 rea 0.0.0.0
!
! Crear rea 0.0.0.1 y definir un rango de redes de clase (172.16.254.0/24)
! para el rea (configuraciones de red de interfaz y rango deben coincidir).
! rea 0.0.0.1 rango 172.16.254.0/24
!

Dynamic Routing
! Definir vecino de enlace virtual (172.16.254.1) para rea 0.0.0.1.

! rea 0.0.0.1 enlace-virtual 172.16.254.1
!
! Definir rea 0.0.0.1 como stub en todos los enrutadores en rea 0.0.0.1.
! rea 0.0.0.1 stub
!
! rea 0.0.0.2 stub sin-resumen
!
! Activar autenticacin de contrasea simple para rea 0.0.0.0.
! rea 0.0.0.0 autenticacin
!
! Activar autenticacin MD5 para rea 0.0.0.1.
! rea 0.0.0.1 resumen-mensaje autenticacin
!! SECCIN 4: Redistribuir rutas de OSPF
! Compartir ruta del ltimo recurso (ruta predeterminada) de la tabla de
enrutamiento de ncleo
! con puntos OSPF.
! informacin-predeterminada originar
!
! Redistribuir rutas estticas a OSPF.
! redistribuir ncleo
!
! Redistribuir rutas de todas las interfaces a OSPF.
! redistribuir conectado
! redistribuir mapa-ruta conectado
! ! Redistribuir rutas de RIP y BGP y OSPF.
! redistribuir rip !redistribuir bgp
!! SECCIN 5: Configurar filtros de redistribucin de rutas con listas de acceso
!! y mapas de ruta.
! Crear una lista de acceso para slo permitir redistribucin de 10.0.2.0/24.
! lista-acceso NOMBRELISTA permitir 10.0.2.0/24
! lista-acceso NOMBRELISTA negar todos
!
! Crear un mapa de ruta con el NOMBREMAPA de nombre y permitir otorgando una
prioridad de 10 (1-199).
! coincidir direccin ip NOMBRELISTA
Acerca del Border Gateway Protocol (BGP)

Nota El soporte para ese protocolo est disponible slo en Fireware XTM con una
actualizacin Pro en los dispositivos Core e-Series, Peak e-Series o XTM.
El Border Gateway Protocol (BGP) es un protocolo de dynamic routing usado en la Internet por grupos de
enrutadores para compartir informacin de enrutamiento. El BGP usa parmetros de ruta o atributos para
definir polticas de enrutamiento y crear un ambiente estable de enrutamiento. Ese protocolo permite que
divulgue ms de un camino hacia y desde la Internet a su red y recursos, lo que le ofrece caminos
redundantes y puede aumentar su tiempo de actividad.
Gua del Usuario 201

Dynamic Routing
Los hosts que usan BGP usan TCP para enviar informacin de tabla de enrutamiento actualizada cuando un
host encuentra una alteracin. El Host enva slo la parte de la tabla de enrutamiento que tiene la
alteracin. El usa el enrutamiento interdominios sin clase (CIDR) para reducir el volumen de las tables de
enrutamiento de Internet. El volumen de la tabla de enrutamiento de BGP en el Fireware XTM est definido
en 32 K.
El volumen de la red de rea amplia (WAN) tpica del cliente WatchGuard es ms adecuado para el dynamic
routing de OSPF. Una WAN tambin puede usar el border gateway protocol externo (EBGP) cuando ms de
una puerta de enlace hacia Internet est disponible. EBGP le permite aprovechar al mximo la posible
redundancia con una red "multi-homed".
Para participar en un BGP con un ISP, debe tener un nmero de sistema autnomo (ASN). Debe obtener un
ASN junto a uno de los registros regionales en la tabla abajo. Despus de que se le asigne su propio ASN,
debe contactar cada ISP para obtener sus ASNs y otras informaciones necesarias.
Regin Nombre del registro Sitio web
Norte Amrica RIN www.arin.net
Europa RIPE NCC www.ripe.net
Asia-Pacfico APNIC www.apnic.net
Amrica Latina LACNIC www.lacnic.net
frica AfriNIC www.afrinic.net
Comandos BGP
Para crear o modificar un archivo de configuracin de enrutamiento, debe usar los comandos correctos de
enrutamiento. La tabla siguiente es un catlogo de comandos de enrutamiento de BGP. Las secciones deben
aparecer en el archivo de configuracin en el mismo orden que aparecen en esta tabla.
No use los parmetros de configuracin de BGP que no reciba de su ISP.
Configurar daemon de enrutamiento de BGP
Activar el daemon BGP y definir nmero de sistema

bgp enrutado [ASN]
autnomo (ASN); eso es provisto por su ISP
Anunciar BGP en la red

red [A.B.C.D/M]
A.B.C.D/M
sin red [A.B.C.D/M] Desactivar anuncios de BGP en la re A.B.C.D/M
Definir propiedades de vecinos
vecino [A.B.C.D] remoto-como

Definir vecino como miembro de ASN remoto
[ASN]
Definir vecino en otra red usando "multi-hop" (multi-salto)

vecino [A.B.C.D] ebgp-multihop
de EBGP

Dynamic Routing
vecino [A.B.C.D] versin 4 o Definir versin de BGP (4, 4+, 4-) para comunicacin con
posterior vecino; la predeterminada es la 4
vecino [A.B.C.D] actualizar- Definir la sesin BGP para que use una interfaz especfica
fuente [PALABRA] para las conexiones TCP
vecino [A.B.C.D]
Anunciar ruta predeterminada para vecino BGP [A,B,C,D]
predeterminado-originar
Definir puerto TCP personalizado para comunicarse con

vecino [A.B.C.D] puerto 189
vecino BGP [A,B,C,D]
vecino [A.B.C.D] enviar-

Determinar punto enviar-comunidad
comunidad
Definir peso predeterminado para las rutas de vecino

vecino [A.B.C.D] peso 1000
[A.B.C.D]
vecino [A.B.C.D] mximo-prefijo Definir nmero mximo de prefijos permitidos a partir de

[NMERO] este vecino
Listas de comunidades
lista-comunidad ip [<1- Especificar comunidad para que acepte el nmero de

99>|<100-199>] permitir sistema autnomo y nmero de red separados por dos
AA:NN puntos
Filtrado de punto
vecino [A.B.C.D] distribuir-lista

[NOMBRELISTA] Definir distribucin de lista y direccin para punto
[ENTRAR|SALIR]
vecino [A.B.C.D] prefijo-lista

Para aplicar una lista de prefijos para coincidir con los
[NOMBRELISTA]
anuncios entrantes o clientes para ese vecino
[ENTRAR|SALIR]
vecino [A.B.C.D] filtro-lista

Para coincidir una lista de acceso de camino de sistema
[NOMBRELISTA]
autnomo a rutas entrantes y salientes
[ENTRAR|SALIR]
vecino [A.B.C.D] ruta-mapa

[NOMBREMAPA] para aplicar un mapa de ruta a rutas entrantes o salientes
[ENTRAR|SALIR]
Redistribuir rutas a BGP
redistribuir ncleo Redistribuir rutas estticas a BGP
redistribuir rip Redistribuir rutas RIP a BGP
Gua del Usuario 203

Dynamic Routing
redistribuir ospf Redistribuir rutas OSPF a BGP
Reflexin de ruta
Para configurar el ID del cluster si el cluster de BGP tiene

bgp cluster-id A.B.C.D
ms de un reflector de ruta
vecino [W.X.Y.Z] ruta-reflector- Para configurar el enrutador como reflector de ruta BGP y
cliente configurar el vecino especificado como su cliente
Listas de acceso y listas de prefijos IP
ip prefijo-listas PRELISTA
Definir lista de prefijos
permitir A.B.C.D/E
acceso-lista NOMBRE
Definir lista de acceso
[negar|permitir] A.B.C.D/E
ruta-mapa [NOMBREMAPA] En conjuncin con los comandos "coincidir" y "definir", eso

permitir [N] define las condiciones y acciones para redistribuir rutas
coincidir direccin ip lista-

Coincide el acceso-lista especificado
prefijo [NOMBRELISTA]
definir comunidad [A:B] Definir el atributo de comunidad BGP
coincidir comunidad [N] Coincide la comunidad_lista especificada
Definir el valor de preferencia para la ruta de sistema

definir local-preferencia [N]
autnomo
Configurar el Firebox para usar el BGP

Para participar en un BGP con un ISP, debe tener un nmero de sistema autnomo (ASN). Para ms
informaciones, vea Acerca del Border Gateway Protocol (BGP) en la pgina 201.

3. Haga clic en la pestaa BGP.

Dynamic Routing
Para ms informaciones, vea Acerca de archivos de configuracin de demonio de enrutamiento. en

la pgina 187.
Para empezar, necesita slo tres comandos en su archivo de configuracin de BGP. Esos tres
comandos, inicie el proceso de BGP, configurar una relacin de punto con el ISP y cree una ruta para
una red hacia Internet. Debe usar los comandos en ese orden.
BGP de enrutador: Nmero del sistema autnomo de BGP provisto por su
red de ISP: direccin IP de red a la cual desea divulgar una ruta desde el vecino de Internet
: <IP address of neighboring BGP router> remoto-como <BGP autonomous number>
Permitir trfico de BGP a travs del Firebox

Debe aadir y configurar una poltica para permitir el trfico de BGP hacia del Firebox desde las redes
aprobadas. Esas redes deben ser las mismas definidas en su archivo de configuracin de BGP.
Gua del Usuario 205

Dynamic Routing

2. En la lista de filtrados de paquetes, seleccione BGP. Haga clic en Agregar.
de red o IP del enrutador que usa BGP hacia la interfaz Firebox que se conecta. Tambin debe
agregar la direccin IP de difusin de red.
Entonces puede aadir la autenticacin y restringir la poltica de BGP para analizar slo las interfaces
correctas.
Muestra de archivo de configuracin del enrutamiento BGP

Para usar cualquiera de los protocolos de dynamic routing con el Fireware XTM, debe importar o insertar
un archivo de configuracin para el demonio de dynamic routing. Este tpico incluye una muestra de
archivo de configuracin para el demonio de enrutamiento de BGP. Si desea usar este archivo de
configuracin como base para su propio archivo de configuracin, copie el texto en una aplicacin como el
Bloc de Notas o Wordpad y gurdelo con un nuevo nombre. Puede entonces editar los parmetros para
atender a las necesidades de su empresa.
!! SECCIN 1: Iniciar demonio de BGP y anunciar bloqueos de red a vecinos de BGP
! Activar BGP y definir ASN local en 100 enrutador bgp 100
! Divulgar red local 64.74.30.0/24 a todos los vecinos definidos en la seccin 2
64.74.30.0/24
!! SECCIN 2: Propiedades de vecinos

! Definir vecino (64.74.30.1) como miembro de ASN remoto (200)
! vecino 64.74.30.1 remoto-como 200
! Definir vecino (208.146.43.1) en otra red usando "multi-hop" (multi-salto)
de EBGP
! vecino 208.146.43.1 remoto-como 300
! vecino 208.146.43.1 ebgp-multihop
! Definir versin de BGP (4, 4+, 4-) para comunicacin con vecino; la
predeterminada es la 4
! vecino 64.74.30.1 versin 4+
! Anunciar ruta predeterminada para vecino BGP (64.74.30.1)
! vecino 64.74.30.1 predeterminada-originar
! Definir puerto TCP personalizado 189 para comunicarse con vecino BGP
(64.74.30.1). Puerto predeterminado es TCP 179
! vecino 64.74.30.1 puerto 189
! Determinar punto enviar-comunidad
! vecino 64.74.30.1 enviar-comunidad
! Definir peso predeterminado para las rutas de vecino (64.74.30.1)
! vecino 64.74.30.1 peso 1000
! Definir nmero mximo de prefijos permitidos a partir de este vecino

Dynamic Routing
no 64.74.30.1 NMERO mximo-prefijo
CIN 3: Definir listas de comunidades

! lista-comunidad ip 70 permitir 7000:80
CIN 4: Filtrado de anuncios

! Definir distribucin de lista y direccin para punto
! vecino 64.74.30.1 distribuir-lista NOMBRELISTA [entrar|salir]
! Para aplicar una lista de prefijos para coincidir con los anuncios entrantes o
clientes para ese vecino
! vecino 64.74.30.1 prefijo-lista NOMBRELISTA [entrar|salir]
! Para coincidir una lista de acceso de camino de sistema autnomo a rutas
entrantes y salientes
! vecino 64.74.30.1 filtro-lista NOMBRELISTA [entrar|salir]
! para aplicar un mapa de ruta a rutas entrantes o salientes
! vecino 64.74.30.1 ruta-mapa NOMBREMAPA [entrar|salir]
CCIN5:Redistribuir rutas a BGP

! Redistribuir rutas estticas a BGP
! Redistribuir ncleo
! Redistribuir rutas RIP a BGP
! Redistribuir rip
! Redistribuir rutas OSPF a BGP
! Redistribuir ospf
CCIN6:Reflexin de ruta
! Definir ID de clster y firewall como un cliente de servidor de reflector de ruta
51.210.0.254
! bgp clster-id A.B.C.D
! vecino 51.210.0.254 ruta-reflector-cliente
!! SECCIN 7: Listas de acceso y listas de prefijos IP

! Definir lista de prefijos
! ip prefijo-lista PRELISTA permitir 10.0.0.0/8
! Definir lista acceso!acceso-lista NOMBRE negar 64.74.30.128/25
! acceso-lista NOMBRE permitir 64.74.30.0/25
! Crear un mapa de ruta con el NOMBREMAPA de nombre y permitir otorgando
prioridad de 10
! coincidir direccin ip prefijo-lista NOMBRELISTA
! definir comunidad 7000:80
Gua del Usuario 207

Dynamic Routing
Gua del Usuario 208

11 Autenticacin
Acerca de la autenticacin de usuario

La autenticacin de usuario es un proceso que descubre si un usuario es quien se declar ser y averigua los
privilegios asignados a dicho usuario. En el Firebox, la cuenta de usuario tiene dos partes: un nombre de
usuario y una frase de contrasea. Cada cuenta de usuario est asociada a una direccin IP. Esa combinacin
de nombre de usuario, frase de contrasea y direccin IP ayuda el administrador del dispositivo a
monitorear las conexiones a travs del dispositivo. Con la autenticacin, los usuarios pueden iniciar sesin
en la red desde cualquier equipo, pero acceder slo a los protocolos y puertos de red a los cuales estn
autorizados. Firebox puede tambin mapear las conexiones que se inician desde una direccin IP
determinada y tambin transmitir el nombre de la sesin mientras el usuario est autenticado.
Puede crear polticas de firewall para dar acceso a recursos especficos de red a usuarios y grupos. Eso es
til en los ambientes de red donde varios usuarios comparten un nico equipo o direccin IP.
Puede configurar su Firebox como servidor de autenticacin local o usar su servidor de Active Directory
Authentication, LDAP o RADIUS existente. Cuando usa la autenticacin de Firebox por el puerto 4100, los
privilegios de cuenta pueden estar basados en el nombre de usuario. Cuando usa una autenticacin de
terceros, los privilegios de cuenta para los usuarios que autentican a servidores de autenticacin de
terceros estn basados en la participacin en un grupo.
La funcin de autenticacin de usuario de WatchGuard permite que un nombre de usuario est asociado a
una direccin IP especfica para ayudarlo a autenticarse y rastrear conexiones de usuarios a travs del
dispositivo. Con el dispositivo, la pregunta fundamental que cada conexin realiza es "debo permitir el
trfico de la origen X hacia el destino Y?" Para que la funcin de autenticacin de WatchGuard funcione
correctamente, la direccin IP del equipo del usuario no debe cambiar mientras el usuario est autenticado
al dispositivo.
En gran parte de los ambientes, la relacin entre una direccin IP y el equipo de usuario es bastante estable
como para ser usada para la autenticacin. Los ambientes en los cuales la asociacin entre el usuario y una
direccin IP no sea consistente, como en terminales o redes en las cuales las aplicaciones sean ejecutadas
desde un servidor de terminal, no suelen ser muy aptos para una utilizacin exitosa de la funcin de
autenticacin de usuario.
Gua del Usuario 209

Autenticacin
WatchGuard soporta control de Autenticacin, Cuentas y Acceso (AAA, en sus siglas en ingls) en los
productos de firewall, basado en el asociacin estable entre la direccin IP y la personal.
La funcin de autenticacin de usuario de WatchGuard tambin soporta la autenticacin a un dominio de

Active Directory con Single Sign-On (SSO), as como otros servidores comunes de autenticacin. Asimismo,
soporta configuraciones de inactividad y lmites de duracin de sesin. Esos controles restringen el perodo
de tiempo que una direccin IP puede transmitir trfico a travs de Firebox antes que los usuarios deban
proveer sus contraseas nuevamente (reautenticarse).
Si controla el acceso de SSO con una lista blanca y administra tiempos de espera de inactividad, tiempos de
espera de sesin y quines estn autorizados a autenticarse, puede mejorar su control de autenticacin,
cuentas y control de acceso.
Para evitar que un usuario se autentique, debe desactivar la cuenta para aquel usuario en el servidor de
autenticacin.
Usuario pasos de autenticacin

Un servidor HTTPS opera en el dispositivo WatchGuard para aceptar las solicitudes de autenticacin.
Para autenticarse, un usuario debe conectarse a la pgina web del portal de autenticacin en el dispositivo
WatchGuard.
1. Dirjase a:
https://[direccin IP de la interfaz del dispositivo]:4100/
o
https://[nombre del host del dispositivo]:4100
Aparece la pgina web de autenticacin.
2. Ingrese un nombre de usuario y contrasea.
3. Seleccione el servidor de autenticacin en la lista desplegable, si ms de un tipo de autenticacin
est configurado.
El dispositivo WatchGuard enva el nombre y contrasea al servidor de autenticacin usando un PAP (Protocolo
de Autenticacin de Contrasea, segn sus siglas en ingls).
Cuando autenticado, el usuario est autorizado a usar los recursos aprobados de red.
Nota Como el Fireware XTM usa un certificado autofirmado por defecto para HTTPS, se
recibe una advertencia de seguridad de su explorador web cuando se autentica.
Puede ignorar esa advertencia de seguridad sin mayor riesgo. Si desea quitar esa
advertencia, puede usar un certificado externo o crear un certificado
personalizado que coincida con la direccin IP o domain name usado para la
autenticacin.

Autenticacin
Cerrar manualmente una sesin autenticada

Los usuarios no necesitan esperar que el tiempo de espera de la sesin se agote para cerrar sus sesiones
autenticadas. Pueden cerrar sus sesiones manualmente antes que se agote el tiempo de espera. La pgina
web de autenticacin debe estar abierta para que el usuario cierre una sesin. Si est cerrada, el usuario
debe autenticarse nuevamente para desconectarse.
Para cerrar manualmente una sesin autenticada:
1. Dirjase a la pgina web del portal de Autenticacin:
https://[direccin IP de la interfaz del dispositivo]:4100/

o
https://[nombre del host del dispositivo]:4100
2. Haga clic en Salir.
Nota Si la pgina web del portal de autenticacin est configurada para redireccionar
automticamente hacia otra pgina web, el portal lo redirecciona algunos
segundos despus que lo abre. Asegrese de salir antes que la pgina lo
redireccione.
Administrar usuarios autenticados

Puede usar Fireware XTM Web UI para ver una lista de todos los usuarios autenticados en su dispositivo
WatchGuard y cerrar sesiones para esos usuarios.
Ver usuarios autenticados

Para ver los usuarios autenticados en su dispositivo WatchGuard:

2. Seleccione Estado del sistema > Lista de autenticacin.
Aparece una lista de todos los usuarios autenticados en el Firebox.
Cerrar una sesin de usuario

A partir de la navigation bar del Fireware XTM Web UI:
1. Seleccione Estado del sistema > Lista de autenticacin.

Aparece una lista de todos los usuarios autenticados en el Firebox.
2. Seleccione uno o ms nombres de usuario de la lista.

3. Haga clic con el botn derecho en el(los) nombre(s) de usuario y seleccione Usuario de
desconexin.
Gua del Usuario 211

Autenticacin
Use la autenticacin para restringir el trfico

entrante
Una funcin de la herramienta de autenticacin es restringir el trfico saliente. Tambin puede ser usada
para restringir el trfico de red entrante. Cuando tiene una cuenta en el dispositivo WatchGuard que tiene
una direccin IPexterna pblica, puede autenticarse al dispositivo desde un equipo externo al dispositivo.
Por ejemplo, puede insertar esa direccin en su explorador web: https://<IP address of
WatchGuard device external interface>:4100/ .
Despus de autenticarse, puede usar las polticas configuradas para usted en el dispositivo.
Para permitir que un usuario remoto se autentique desde la red externa:

2. Seleccione la poltica Autenticacin de WatchGuard y haga clic en Editar.
Tambin puede hacer doble clic en la poltica. Esa poltica aparece despus que se agrega un usuario
o grupo a una configuracin de polticas.
3. En la lista desplegable Conexiones estn, asegrese de que Permitido est seleccionado
4. Abajo de la ventana De, haga clic en Agregar.
Aparece el cuadro de dilogo "Agregar Direccin".
5. Seleccione Cualquiera de la lista y haga clic en Agregar.
6. Haga clic en OK.
En la ventana "De" aparece "Cualquiera".
7. Abajo del cuadro Para, haga clic en Agregar.
8. Seleccione Firebox en la lista y haga clic en Agregar.
9. Haga clic en OK.
Firebox aparece en la ventana "Para".
Use la autenticacin a travs de un Firebox de puerta de enlace

El Firebox de puerta de enlace es el dispositivo puesto en su red para proteger su Management Server
contra la Internet.
Para enviar una solicitud de autenticacin a travs de un Firebox de puerta de enlace a un dispositivo
diferente, debe tener una poltica que permita el trfico de autenticacin en el dispositivo de puerta de
enlace. Si se niega el trfico de autenticacin en el dispositivo de puerta de enlace, agregar la poltica de
WG-Autoriz. Esa poltica controla el trfico en el puerto TCP 4100. Debe configurar la poltica para permitir
el trfico hacia la direccin IP del dispositivo de destino.
Definir valores de autenticacin global

Puede definir valores de autenticacin global (tales como los valores de tiempo de espera y la pgina de
autenticacin redirecciona).
Para configurar la autenticacin:

Autenticacin

2. Seleccione Configuracin >de Autenticacin.
Aparece la pgina "Configuracin de Autenticacin".
3. Configurar la autenticacin tal como se describe en las secciones siguientes.

Definir tiempos de espera de autenticacin

Puede definir el perodo de tiempo que los usuarios permanecen autenticados despus de cerrar su ltima
conexin autenticada. Ese tiempo de espera es definido o en el cuadro de dilogo Configuraciones de
Autenticacin, o enConfigurar usuario de Firebox pgina.
Para ms informaciones sobre la configuracin de autenticacin de usuario y Configurar usuario de Firebox

pgina, vea Definir un nuevo usuario para autenticacin en Firebox en la pgina 225.
Para usuarios autenticados por servidores externos, los tiempos de espera definidos en esos servidores
tambin anulan los tiempos de espera de autenticacin global.
Los valores de tiempos de espera de autenticacin no se aplican a usuarios de Mobile VPN con PPTP.
Gua del Usuario 213

Autenticacin
Tiempo de espera de sesin
El perodo de tiempo mximo que un usuario puede enviar trfico a una red externa. Si define este
campo en cero (0) segundos, minutos, horas o das, la sesin no expira y el usuario puede seguir
conectado por el tiempo que desee.
Tiempo de espera inactivo
El perodo de tiempo mximo que el usuario puede permanecer autenticado cuando est inactivo
(sin transmitir cualquier trfico a la red externa). Si define este campo en cero (0) segundos,
minutos, horas o das, la sesin no termina cuando est inactiva y el usuario puede seguir conectado
por el tiempo que desee.
Permitir mltiples inicios de sesin concomitantes

Puede permitir que ms de un usuario se autentique con las mismas credenciales de usuario al mismo
tiempo en un servidor de autenticacin. Eso es til para cuentas de invitados o ambientes de laboratorio.
Cuando el segundo usuario ingresa con las mismas credenciales, automticamente se cierra la sesin del
primer usuario autenticado con las credenciales. Si no permitir esa funcin, el usuario no puede
autenticarse en el servidor de autenticacin ms de una vez al mismo tiempo.
1. Vaya a Configuracin de Autenticacin pgina.

2. Seleccione la casilla de verificacin Permitir mltiples sesiones de autenticacin de firewall de la
misma cuenta.
Para usuarios de Mobile VPNwith IPSec y Mobile VPN with SSL, las sesiones de inicio simultneas de la
misma cuenta siempre son compatibles, est la casilla seleccionada o no. Esos usuarios deben iniciar sesin
desde diferentes direcciones IP para el inicio de sesin simultneo, es decir, no pueden usar la misma
cuenta para iniciar sesin si estn detrs de un Firebox que usa NAT. Los usuarios de Mobile VPN con PPTP
no tienen esa restriccin.
Limitar sesiones de inicio

En Configuracin de Autenticacin pgina, puede imponer un lmite de sesin nica autenticada por
usuario. Si selecciona esa opcin, los usuarios no pueden iniciar sesin en un servidor de autenticacin
desde diferentes direcciones IP con las mismas credenciales. Cuando un usuario est autenticado e intenta
autenticarse nuevamente, puede seleccionar si se cierra la primera sesin de usuario cuando la sesin
siguiente es autenticada, o si la sesin siguiente es rechazada.
1. Seleccione Imponer a usuarios el lmite de una nica sesin de inicio.

2. De la lista desplegable, seleccione Rechazar intentos concomitantes de inicio de sesin cuando el
usuario ya est registrado o Cerrar primera sesin cuando el usuario inicia sesin por segunda vez.

Autenticacin
Direccionarusuariosautomticamenteal portal deiniciode

sesin
Si requiere que los usuarios se autentiquen antes de acceder a la Internet, puede elegir enviar usuarios
automticamente que no estn todava autenticados al portal de autenticacin o solicitarles que naveguen
manualmente hasta el portal. Eso se aplica solamente a conexiones HTTP y HTTPS.
Redireccionar usuarios automticamente a la pgina de autenticacin para que se autentiquen.
Al marcar esta casilla de verificacin, todos los usuarios que todava no estn autenticados sern
redireccionados automticamente al portal de inicio de sesin de autenticacin cuando intenten
acceder a Internet. Si no seleccionar esa casilla de verificacin, los usuarios no autenticados deben
navegar manualmente al portal de inicio de sesin de autenticacin.
Para ms informacin acerca de autenticacin de usuario, vea Usuario pasos de autenticacin en la

pgina 210.
Gua del Usuario 215

Autenticacin
Usar una pgina de inicio predeterminada personalizada

Al seleccionar la casilla de verificacin Redireccionar usuarios automticamente a la pgina de
autenticacin para solicitar a los usuarios que se autentiquen antes de acceder a Internet, aparece el portal
de autenticacin web de Firebox cuando un usuario abre un explorador web. Si desea que el explorador
vaya a una pgina diferente despus que los usuarios inician la sesin con xito, puede definir un
redireccionamiento.
En Configuracin de Autenticacin pgina:
1. Seleccione la casilla de verificacin Enviar un redireccionamiento al explorador despus de una

autenticacin exitosa
2. En el cuadro de texto, ingrese el URLdel sitio web al cual desea que los usuarios sean
redireccionados.
Definir tiempos de espera de Sesin de Administracin

Use esos campos para definir el perodo de tiempo que un usuario registrado con privilegios de
lectura/escritura permanece autenticado antes que el dispositivo WatchGuard cierre la sesin.
El perodo de tiempo mximo que un usuario puede enviar trfico a una red externa. Si define este
campo en cero (0) segundos, minutos, horas o das, la sesin no expira y el usuario puede seguir
conectado por el tiempo que desee.
El perodo de tiempo mximo que el usuario puede permanecer autenticado cuando est inactivo
(sin transmitir cualquier trfico a la red externa). Si define ese campo en cero (0) segundos, minutos,
horas o das, la sesin no termina cuando el usuario est inactivo y puede seguir conectado por el
tiempo que desee.
Acerca de la poltica de Autenticacin de

WatchGuard (WG-Autoriz)
La poltica de Autenticacin de WatchGuard (WG-Autoriz) es adicionada automticamente a la configuracin
de su dispositivo WatchGuard. La primera poltica que agrega a la configuracin de su dispositivo que tiene
un nombre de grupo o usuario en el campo De en la pestaa Poltica de la definicin de polticas cre una
poltica WG-Autoriz. Esa poltica controla el acceso al puerto 4100 en el dispositivo. Los usuarios envan
solicitudes de autenticacin al dispositivo a travs de ese puerto. Por ejemplo, para autenticarse a un
dispositivo WatchGuard con una direccin IP de 10.10.10.10, ingrese https://10.10.10.10:4100 en la
barra de direcciones del explorador web.

Autenticacin
Si desea enviar una solicitud de autenticacin a travs de un dispositivo de puerta de enlace hacia un
dispositivo diferente, puede ser necesario agregar la poltica WG-Autoriz manualmente. Si el trfico de
autenticacin es negado en el dispositivo de puerta de enlace, debe usar el Policy Manager para agregar la
poltica WG-Autoriz. Modifique esa poltica para permitir el trfico hacia la direccin IP del dispositivo de
destino.
Para obtener ms informacin sobre cuando modificar la poltica de autenticacin de WatchGuard, vea Use
la autenticacin para restringir el trfico entrante en la pgina 212.
Acerca de Single Sign-On (SSO)

Cuando los usuarios inician la sesin en los equipos en su red, deben presentar un nombre de usuario y
contrasea. Si usa la autenticacin en Active Directory en su Firebox para restringir el trfico de red saliente
a usuarios o grupos determinados, ellos tambin deben iniciar sesin nuevamente cuando se autentican
manualmente al dispositivo para acceder a recursos de red, como la Internet. Puede usar Single Sign-On
(SSO) para permitir que usuarios en las redes de confianza o opcional se autentiquen automticamente al
Firebox cuando inician sesin en sus equipos.
El SSO de WatchGuard es una solucin en dos partes, que incluye el agente SSO y los servicios de cliente
SSO. Para que SSO funcione, el software del agente SSO debe estar instalado en un equipo en su dominio. El
software cliente SSO es opcional y est instalado en el equipo cliente de cada usuario.
El software del agente SSO hace un llamado al equipo cliente por el puerto 4116 para verificar quin est
registrado en el momento. Si no hay respuesta, el agente SSO retorna al protocolo anterior de las versiones
anteriores a WSM 10.2.4, y hace un llamadoNetWkstaUserEnum al equipo cliente. Entonces usa la
informacin recibida para autenticar un usuario en Single Sign-On.
Si el cliente SSO no est instalado, el agente SSO puede obtener ms de una respuesta del equipo que
consulta. Eso puede ocurrir si ms de un usuario inicia sesin en el mismo equipo, o debido a los accesos
por lotes o servicio que ocurren en el equipo. El agente SSO usa slo la primera respuesta recibida del
equipo y reporta aquel usuario a Firebox como el usuario que est registrado. El dispositivo puede
comparar la informacin del usuario con todas las polticas definidas para aquel usuario y/o grupo de
usuarios de una sola vez. El agente SSO, por defecto, pone en cach esos datos por unos 10 minutos para
que no sea necesario generar una consulta para cada conexin.
Cuando el software cliente SSO est instalado, recibe un llamado del agente SSO y devuelve informacin
precisa sobre el usuario que est actualmente registrado en la estacin de trabajo. El agente SSO no
establece contacto con el servidor de Active Directory para obtener credenciales del usuario, porque
recibe la informacin correcta sobre quin est registrado actualmente en un equipo y a cules grupos de
Active Directory el usuario pertenece, desde el cliente SSO.
Si trabaja en un ambiente donde ms de una persona usa un equipo, recomendamos que instale el
software cliente SSO. Si no usa el cliente SSO, hay limitaciones de control de acceso a las que se debe
prestar atencin. Por ejemplo, para servicios instalados en un equipo cliente (tal como un cliente antivirus
administrado de modo central) que hayan sido desplegados para que el inicio de sesin se hiciera con las
credenciales de la cuenta de dominio, Firebox ofrece derechos de acceso a todos los usuarios definidos a
Gua del Usuario 217

Autenticacin
partir del primer usuario registrado (y los grupos a los cuales ese usuario pertenece), y no las credenciales
de usuarios individuales que inician sesin interactivamente. Adems, todos los mensajes de registro
generados a partir de la actividad de usuario muestran el nombre de usuario de la cuenta de servicio y no el
usuario individual.
Nota Si no instala el cliente SSO, recomendamos que no use el SSO en ambientes donde
los usuarios se registran a equipos con inicio de sesin por lote o de servicio.
Cuando ms de un usuario est asociado a una direccinIP, los permisos de red
pueden no funcionar correctamente. Eso puede representar un riesgo de
seguridad.
Antes de empezar
n Debe tener un Active Directory Server configurado en una red de confianza u opcional.
n Su Firebox debe estar configurado para usar la Active Directory Authentication.
n Cada usuario debe tener una cuenta configurada en el Active Directory Server.
n Cada usuario debe registrarse en una cuenta de dominio para que Single Sign-On (SSO)funcione
correctamente. Si los usuarios se registran a una cuenta que existe slo en sus equipos locales, sus
credenciales no son verificadas y el Firebox no reconoce que estn registrados.
n Si usa un software de firewall de terceros en sus equipos en red, asegrese de que el puertoTCP
445 (Samba/Windows Network)est abierto en cada cliente.
n Asegrese de que la opcin de compartir impresoras y archivos est habilitada en todos los equipos
desde los cuales los usuarios se autentican con SSO.
n Asegrese de que los puertos NetBIOS y SMS no estn bloqueados en todos los equipos desde los
cuales los usuarios se autentican con SSO. NetBIOS usa puertos TCP/UDP 137, 138 y 139. SMB usa el
puerto TCP 445.
n Asegrese de que el puerto 4116 est abierto en los equipos cliente.
n Asegrese de que todos los equipos desde los cuales los usuarios se autentican con SSO sean
miembros del dominio con relaciones de confianza absoluta.
Configurar SSO
Para usar el SSO, debe instalar el software del agente SSO. Recomendamos que tambin instale el cliente
SSO en los equipos de los usuarios. Aunque slo pueda usar el SSO con el agente SSO, la seguridad y el
control de acceso aumentan cuando tambin se usa el cliente SSO.
Para configurar el SSO, siga esos pasos:
1. Instalar el agente de Single Sign-On (SSO) de WatchGuard.

2. Instale el cliente de Single Sign-On (SSO) de WatchGuard (opcional, pero recomendado).
3. Activar Single Sign-On (SSO).
Instalar el agente de Single Sign-On (SSO) de WatchGuard

Para usar Single Sign-On (SSO), debe instalar el agenteSSO de WatchGuard. El agenteSSO es un servicio que
recibe solicitudes de autenticacin de Firebox y verifica el estado del usuario con el servidor de Active
Directory. El servicio es ejecutado con el nombre de WathGuard Authentication Gateway en el equipo en
el cual se instala el software agenteSSO. Ese equipo debe tener instalado el Microsoft.NETFramework 2.0

Autenticacin
o versin posterior.
Nota Para usar Single Sign-On en su Firebox, debe instalar el agenteSSO en un equipo
dominio con direccinIP esttica. Recomendamos que instale el agenteSSO en su
controlador de dominio.
Descargar el software del agenteSSO

1. Abrir un explorador web e ir a http://www.watchguard.com/.
2. Iniciar sesin con su nombre de usuario y contrasea de LiveSecurity Service.
3. Haga clic en el enlace Descargas de Software.
4. Seleccione el tipo de dispositivo y nmero de modelo.
5. Descargue el software WatchGuard Authentication Gateway y guarde el archivo en una ubicacin
adecuada.
Antes de instalar
El servicio del agenteSSO debe ser ejecutado como cuenta de usuario, no como cuenta de administrador.
Recomendamos que cree una nueva cuenta de usuario para esa finalidad. Para que el servicio del agente
SSO funcione correctamente, configure la cuenta de usuario con estas propiedades:
n Agregar la cuenta al grupo Admin de Dominio.

n Convertir Admin de Dominio en un grupo principal.
n Permitir que el inicio de sesin en la cuenta como un servicio.
n Definir contrasea para que nunca caduque.
Instalar el servicio del agenteSSO

1. Haga doble clic en WG-Authentication-Gateway.exe para iniciar el Asistente de Configuracin del
Authentication Gateway.
En algunos sistemas operativos, puede ser necesario insertar una contrasea de administrador local
para ejecutar el instalador.
2. Para instalar el software, use las instrucciones en cada pgina y complete el asistente.
Para el nombre de usuario del dominio, ingrese el nombre de usuario en el formato:

dominio\nombre de usuario . No incluya la parte .com o .net del domain name. Por ejemplo, si el
dominio es mywatchguard.com y se use la cuenta de dominio ssoagente, inserte
mywatchguard\ssoagente .
Tambin puede usar el formato UPN del nombre de usuario:
nombredeusuario@mywatchguard.com . Si usa el formato UPN del nombre de usuario, debe
incluir la parte .com o .net del domain name.
3. Para cerrar el asistente, haga clic en Finalizar.
Despus que el asistente concluya, el servicio de WatchGuard Authentication Gateway inicia

automticamente. Cada vez que el equipo se reinicia, el servicio inicia automticamente.
Gua del Usuario 219

Autenticacin
Instale el cliente de Single Sign-On (SSO) de WatchGuard

Como parte de la solucin de Single Sign-On (SSO) de WatchGuard, se puede instalar el clienteSSO de
WatchGuard. El clienteSSO es instalado como un servicio de Windows y ejecutado en la cuenta del Sistema
Local en una estacin de trabajo para verificar las credenciales del usuario con sesin iniciada en aquel
equipo. Cuando un usuario intenta autenticarse, el agente SSO enva una solicitud de credenciales de
usuario al cliente SSO. Entonces, el cliente SSO devuelve las credenciales al usuario con sesin iniciada en la
estacin de trabajo.
El cliente SSO analiza en el puerto 4116.
Como el instalador del cliente SSO es un archivo MSI, se puede elegir instalarlo automticamente en los
equipos de los usuarios cuando inician sesin en el dominio. Puede usar la Poltica de Grupo de Active
Directory para instalar el software automticamente cuando los usuarios inicien sesin en su dominio. Para
obtener ms informacin acerca del despliegue de instalacin del software para los objetos de poltica de
grupo de Active Directory, vea la documentacin de su sistema operativo.
Descargar el software clienteSSO

1. Use su explorador web para ir a http://www.watchguard.com/.
2. Iniciar sesin con su nombre de usuario y contrasea de LiveSecurity Service.
3. Haga clic en el enlace Descargas de Software.
4. Seleccione el tipo de dispositivo y nmero de modelo.
5. Descargue el software WatchGuard Authentication Client y guarde el archivo en una ubicacin
adecuada.
Instale el servicio clienteSSO

1. Haga doble clic en WG-Authentication-Client.msi para iniciar el Asistente de Configuracin de
Authentication Client.
En algunos sistemas operativos, puede ser necesario insertar una contrasea de administrador local
para ejecutar el instalador.
2. Para instalar el software, use las instrucciones en cada pgina y complete el asistente.
Para ver cules unidades estn disponibles para instalar el cliente y cunto espacio est disponible
en cada una de las unidades, haga clic en Costo de Disco.
3. Para cerrar el asistente, haga clic en Cerrar.
El servicio WatchGuard Authentication Client inicia automticamente cuando el asistente concluye e

inicia siempre que el equipo reinicia.
Activar Single Sign-On (SSO)

Antes de configurar el SSO, debe:
n Configurar su Active Directory Server

n Instalar el agente de Single Sign-On (SSO) de WatchGuard
n Instale el cliente de Single Sign-On (SSO) de WatchGuard (opcional)

Autenticacin
Activar y configurar el SSO

Para activar y configurar el SSO desde Fireware XTM Web UI:
1. Seleccione Single Sign-On por > Autenticacin.

Aparece la pgina "Single Sign-On por Autenticacin".
2. Seleccione la casilla de verificacin Activar Single Sign-On (SSO) con Active Directory.
3. En el cuadro de texto Direccin IP de Agente SSO , ingrese la direccin IP de su Agente SSO.
4. En el cuadro de texto Poner datos en cach por , ingrese o seleccione el perodo de tiempo que se
guardan los datos del agente SSO en cach.
5. En la lista Excepciones de SSO , agregar o remover las direccionesIP del host para las cuales no
desea que el dispositivo enve consultas de SSO.
Para obtener ms informacin sobre excepcionesde SSO, vea la seccin siguiente.

6. Haga clic Guardar para guardar los cambios.
Definir excepciones de SSO

Si su red incluye dispositivo con direccionesIP que no requieren autenticacin, como servidores de red,
servidores de impresoras o equipos que no forman parte del dominio, recomendamos que agregue sus
direccionesIP a la lista de Excepciones de SSO. Cada vez que ocurre una conexin desde uno de esos
dispositivo y la direccinIP para el dispositivo no est en la lista de excepciones, el Firebox contacta al
agente SSO para intentar asociar la direccinIP al nombre de usuario. Eso lleva cerca de 10 segundos. Use
la lista de excepciones para evitar que se produzcan retrasos en cada conexin y que se reduzca el trfico
de red innecesariamente.
Gua del Usuario 221

Autenticacin
Tipos de servidores de autenticacin

El sistema operativo de Fireware XTM soporta seis mtodos de autenticacin:
n Configure su Firebox como servidor de autenticacin

n Configurar autenticacin de servidor RADIUS
n Configurado autenticacin de servidor VASCO
n Configurar autenticacin SecurID
n Configurar autenticacin LDAP
n Configurar autenticacin en Active Directory
Puede configurar uno o ms tipos de servidor de autenticacin para un dispositivo WatchGuard. Si usa ms
de un tipo de servidor de autenticacin, los usuarios deben seleccionar el tipo de servidor de autenticacin
en una lista desplegable cuando se autentican.
Acerca de la utilizacin de servidores de autenticacin de

terceros
Si usa un servidor de autenticacin de terceros, no necesita mantener una base de datos separada en el
dispositivo WatchGuard. Se puede configurar un servidor externo, instalar el servidor de autenticacin con
acceso al dispositivo y poner el servidor como resguardo del dispositivo, por seguridad. Se puede entonces
configurar el dispositivo para que reenve las solicitudes de autenticacin de usuario a ese servidor. Si crea
un grupo de usuarios en el dispositivo que se autentica en un servidor externo, asegrese de crear un
grupo en el servidor que tenga el mismo nombre que el grupo de usuarios en el dispositivo.
Para configurar un dispositivo WatchGuard para servidores de autenticacin externos, vea:
n Configurar autenticacin de servidor RADIUS

n Configurado autenticacin de servidor VASCO
n Configurar autenticacin SecurID
n Configurar autenticacin LDAP
n Configurar autenticacin en Active Directory
Use un servidor de autenticacin de resguardo

Puede configurar un servidor de autenticacin principal y de resguardo con cualquier tipo de autenticacin
de terceros. Si el dispositivo WatchGuard no puede conectarse al autenticacin principal despus de tres
intentos, el servidor principal queda marcado como inactivo y se genera un mensaje de alarma. El
dispositivo entonces se conecta con el servidor de autenticacin de resguardo.
Si el dispositivo WatchGuard no puede conectarse al servidor de autenticacin de resguardo, espera diez

minutos y luego intentar conectarse al servidor de autenticacin principal nuevamente. El servidor inactivo
es marcado como activo despus que se alcanza el intervalo de tiempo.

Autenticacin
Configure su Firebox como servidor de

autenticacin
Si no usa un servidor de autenticacin externo, puede usar el Firebox como servidor de autenticacin. Ese
procedimiento divide su empresa en grupos y usuarios para autenticacin. Cuando asigne usuarios a grupos,
asegrese de asociarlos por tarea e informacin que usan. Por ejemplo, puede tener un grupo para
contabilidad, un grupo de marketing y un grupo de investigacin y desarrollo. Tambin puede haber un
grupo de nuevos empleados con acceso a Internet ms controlado.
Cuando se crea un grupo, se define el procedimiento de autenticacin para los usuarios, el tipo de sistema
e informacin que pueden acceder. Un usuario puede ser una red o un equipo. Si su empresa cambia, se
puede agregar o quitar usuarios de sus grupos.
El servidor de autenticacin de Firebox est activado por defecto. No necesita activarlo antes de agregar
usuarios y grupos.
Tipos de autenticacin de Firebox

Puede configurar el Firebox para autenticar usuarios para cuatro tipos diferentes de autenticacin:
n Firewall autenticacin
n de conexiones de Mobile VPN with PPTP
n Configurar el Firebox para Mobile VPN with IPSec
n Conexiones de Mobile VPN con SSL
Cuando la autenticacin tiene xito, el Firebox enlaza esos elementos:
n Nombre de usuario
n Grupo (o grupos) de usuarios de Firebox del cual el usuario es un miembro
n Direccin IP del equipo usado para autenticarse
n Direccin IP virtual del equipo usado para conectarse a Mobile VPN
Firewall autenticacin
Se crean cuentas y grupos de usuarios para permitirles que se autentiquen. Cuando un usuario se autentica
con Firebox, sus credenciales y direccin IP del equipo son usadas para encontrar si alguna poltica se aplica
al trfico que el equipo enva y recibe.
Para crear una cuenta de usuario de Firebox:
1. Definir un nuevo usuario para autenticacin en Firebox.

2. Definir un nuevo grupo para autenticacin de Firebox y poner el nuevo usuario en aquel grupo.
3. Cree una poltica que permita el trfico slo desde y hacia una lista de nombres o grupos de usuarios
Firebox.
Esa poltica se aplica slo si se recibe o enva un paquete a la direccin IP del usuario autenticado.
Para autenticarse con una conexin HTTPS al Firebox a travs del puerto 4100:
1. Abra un explorador web y dirjase a:

https://<IP address of a Firebox interface>:4100/
Gua del Usuario 223

Autenticacin
2. Ingrese el nombre de usuario y contrasea.

3. Seleccione Dominio en la lista desplegable.
Ese campo slo aparece si puede elegir ms de un dominio.
4. Haga clic en Ingresar.
Si las credenciales son vlidas, el usuario ser autenticado.
de conexiones de Mobile VPN with PPTP

Al activar Mobile VPNwith PPTP en su Firebox, los usuarios incluidos en el grupo de Mobile VPNwith PPTP
pueden usar la funcin de PPTP incluida en el sistema operativo del equipo para establecer una conexin
PPTP con el dispositivo.
Como el Firebox permite la conexin PPTP desde cualquier usuario Firebox que ofrezca las credenciales
correctas, es importante que se haga una poltica para sesiones de PPTP que incluya slo usuarios que
desea autorizar el envo de trfico a travs de la sesin PPTP. Tambin puede aadir un grupo o usuario
individual a una poltica que restrinja el acceso a los recursos detrs de Firebox. Firebox crea un grupo
preconfigurado denominado usuarios PPTP para esa finalidad.
Para configurar una conexin de Mobile VPN con PPTP:
1. En el Fireware XTM Web UI, seleccione VPN>Mobile VPN with PPTP.

2. Seleccione la casilla de verificacin Activar Mobile VPN with PPTP.
3. Asegrese de que la casilla de verificacin Usar autenticacin RADIUS para autenticar usuarios de
Mobile VPN with PPTP no est seleccionada. Si la casilla de verificacin est seleccionada, el
servidor de autenticacin RADIUS autentica la sesin PPTP. Si limpia esa casilla, Firebox autentica la
sesin PPTP.
Firebox averigua si el nombre de usuario y contrasea insertados por el usuario en el cuadro de
dilogo de la conexin de VPN coincide con las credenciales del usuario en la base de datos de
usuarios de Firebox que es miembro del grupo de usuarios PPTP.
Si las credenciales aportadas por el usuario coinciden con una cuenta en la base de datos de usuarios de
Firebox, el usuario es autenticado para una sesin PPTP.
4. Crear una poltica que permita el trfico solo desde y hacia una lista de nombres o grupos de
usuarios Firebox.
El Firebox no observa esa poltica, a no ser que haya trfico desde o hacia la direccin IP del usuario
autenticado.
Conexiones de Mobile VPN con IPSec

Al configurar su dispositivo WatchGuard para hospedar sesiones de Mobile VPN con IPSec, cree polticas en
su dispositivo y luego use el cliente de Mobile VPN con IPSec para permitir que sus usuarios accedan a su
red. Despus de configurar el dispositivo WatchGuard, cadaequipo cliente debe ser configurado con el
software cliente de Mobile VPN con IPSec.
Cuando el equipo del usuario est correctamente configurado, el usuario hace la configuracin de Mobile
VPN. Si las credenciales usadas para la autenticacin coinciden con una entrada en la base de datos de
usuarios de Firebox, y si el usuario est en el grupo de Mobile VPN creado, la sesin de Mobile VPN es
autenticada.
Para configurar la autenticacin para Mobile VPNwith IPSec:

Autenticacin
1. Configurar una conexin de Mobile VPN con IPSec.

2. Instalar el software cliente de Mobile VPN con IPSec.
Conexiones de Mobile VPN con SSL

Puede configurar el Firebox para hospedar sesiones de Mobile VPN con SSL.Cuando Firebox est
configurado con una conexin de Mobile VPN with SSL, los usuarios incluidos en el grupo de Mobile VPN
with SSL pueden instalar y usar el software cliente de Mobile VPN con SSL para establecer una conexin SSL.
Como el Firebox permite la conexin SSL desde cualquiera de sus usuarios que ofrezca las credenciales
correctas, es importante que se haga una poltica para sesiones de SSL que incluya slo usuarios que desea
autorizar que enven trfico a travs de la sesin SSL. Tambin se puede agregar esos usuarios a un Grupo
de Usuarios de Firebox y crear una poltica que permita el trfico slo desde ese grupo. Firebox crea un
grupo preconfigurado denominado usuarios SSLVPN para esa finalidad.
Para configurar una conexin de Mobile VPN con SSL:
1. En el Fireware XTM Web UI, seleccione VPN> Mobile VPN with SSL.
Aparece la pgina "Configuracin de Mobile VPN con SSL".
2. Configurar el dispositivo Firebox o XTM para Mobile VPN with SSL.
Definir un nuevo usuario para autenticacin en Firebox

1. En el Fireware XTM Web UI, seleccione servidores de >autenticacin.
Aparece la pgina "Servidores de autenticacin".
2. En la pestaa Firebox de los Servidores de Autenticacin pgina, haga clic en Agregar abajo de la
lista Usuarios.
Aparece el cuadro de dilogo "Configurar Usuario de Firebox".
Gua del Usuario 225

Autenticacin
3. Ingrese el Nombre y (opcional) una Descripcin del nuevo usuario.

4. Ingrese y confirme la frase de contrasea que desea que la persona use para autenticarse.
Nota Al definir esa frase de contrasea, los caracteres estn enmascarados y no

aparecen en el texto simple de nuevo. Si pierde la frase de contrasea, debe definir
una nueva.
5. En el campo Tiempo de espera de sesin, defina el perodo mximo de tiempo que el usuario
puede enviar trfico a la red externa.
La configuracin mnima para este campo es de un (1) segundos, minutos, horas o das. El valor
mximo es de 365 das.
6. En el campo Tiempo de espera inactivo, establezca la cantidad de tiempo que el usuario puede
permanecer autenticado mientras est inactivo (sin transmitir trfico hacia la red externa).
La configuracin mnima para este campo es de un (1) segundos, minutos, horas o das. El valor
mximo es de 365 das.
7. Para agregar un usuario a un Grupo de Autenticacin de Firebox, seleccione el nombre de usuario
en la lista Disponible.
8. Haga clic en para desplazar el nombre a la lista Miembro.
O bien, puede hacer doble clic en el nombre de usuario en la lista Disponible.
El usuario es agregado a la lista de usuarios. Puede entonces agregar ms usuarios.
9. Para cerrar el cuadro de dilogo Configurar usuario de Firebox, haga clic en Aceptar.
Aparece la pestaa "Usuarios de Firebox" con un listado de los nuevos usuarios.

Autenticacin
Definir un nuevo grupo para autenticacin de Firebox

2. Seleccione la pestaa Firebox.
3. Haga clic en Agregar bajo de la lista Grupos.
Aparece el cuadro de dilogo "Configurar Grupo de Firebox".
4. Ingrese un nombre para el grupo.

5. (Opcional) Ingrese una descripcin para el grupo.
6. Para agregar un usuario al grupo, seleccione el nombre de usuario en la lista Disponible. Haga clic en
para desplazar el nombre a la lista Miembro.
Tambin puede hacer doble clic en el nombre de usuario en la lista "Disponible".
7. Despus de agregar todos los usuarios necesarios al grupo, haga clic en Aceptar.
Ahora puede configurar polticas y autenticacin con esos usuarios y grupos, tal como se describe en Use
los usuarios y grupos autorizados en polticas en la pgina 248.
Configurar autenticacin de servidor RADIUS

RADIUS (Servicio de Usuario de Marcado por Autenticacin Remota) autentica los usuarios locales y
remotos en una red empresarial. RADIUS es un sistema cliente/servidor que guarda en una base de datos
central los datos de autenticacin de los usuarios, servidores de acceso remoto, puertas de enlace de VPN y
otros recursos.
Para ms informacin acerca de la autenticacin porRADIUS, vea Como la autenticacin del servidor
RADIUS funciona en la pgina 230.
Gua del Usuario 227

Autenticacin
Clave de autenticacin
Los mensajes de autenticacin hacia y desde el servidor RADIUS usan una clave de autenticacin, no una
contrasea. Esa clave de autenticacin, o shared secret, debe ser la misma en el cliente y servidor RADIUS.
Sin esa clave, no puede haber comunicacin entre cliente y servidor.
Losmtodos de autenticacin de RADIUS

Para autenticacin por web y Mobile VPN with IPSec o SSL, RADIUS soporta solamente la autenticacin PAP
(siglas en ingls para Protocolo de Autenticacin por Contrasea).
Para autenticacin con PPTP, RADIUS soporta slo MSCHAPv2 ( Protocolo de autenticacin por desafo
mutuo de Microsoft versin 2).
Antes de empezar
Antes de configurar su dispositivo WatchGuard para usar el servidor de autenticacin RADIUS, es necesario
tener esta informacin:
n Servidor RADIUS principal direccin IP y puerto RADIUS

n Servidor RADIUS secundario (opcional) direccin IP y puerto RADIUS
n Secreto compartido Contrasea que distingue maysculas de minsculas, que sea igual en el
dispositivo WatchGuard y en el servidor RADIUS
n Mtodos de autenticacin Defina su servidor RADIUS para permitir el mtodo de autenticacin
que su dispositivo WatchGuard utiliza: PAP o MS CHAP v2
Usar la autenticacin por servidor RADIUS con su dispositivo

WatchGuard
Para usar la autenticacin por servidor RADIUS con su dispositivo WatchGuard, debe:
n Agregar la direccin IP del dispositivo WatchGuard al servidor RADIUS, tal como se describe en la
documentacin de su proveedorRADIUS.
n Activar y especificar el servidor RADIUS en la configuracin de su dispositivo WatchGuard.
n Agregar nombres de usuario o nombres de grupo RADIUS a sus polticas.
Para activar y especificar el(los) servidor(es) RADIUS en su configuracin:
En Fireware XTM Web UI:
1. Seleccione Servidores >de autenticacin.

2. Haga clic en la pestaa servidor RADIUS.

Autenticacin
3. Para activar el servidor RADIUS y activar los campos en este cuadro de dilogo, seleccione la casilla
de verificacin Activar servidor .
4. En el cuadro de texto Direccin IP, ingrese la direccin IP del servidor RADIUS.
5. En el campo Puerto, asegrese de que aparezca el nmero de puerto que RADIUS usa para
autenticacin. El nmero de puerto predeterminado es 1812. Los servidores RADIUS ms antiguos
pueden usar puerto 1645.
6. En el frase de contrasea secreta , ingrese el secreto compartido entre el dispositivo WatchGuard y
el servidor RADIUS.
El secreto compartido distingue maysculas de minsculas, y debe ser igual en el dispositivo
WatchGuard y en el servidor RADIUS.
7. En el cuadro de texto ConfirmarFrase de contrasea, ingrese el secreto compartido nuevamente.
8. Ingrese o seleccione el valor de tiempo de espera.
El valor de tiempo de espera es el perodo de tiempo que el dispositivo WatchGuard espera la

respuesta del servidor de autenticacin antes de intentar establecer una nueva conexin.
9. En el cuadro de texto Reintentos, inserte o seleccione el nmero de veces que el dispositivo
WatchGuard intenta conectarse al servidor de autenticacin (el tiempo de espera est especificado
arriba) antes de reportar una conexin fallida por un intento de autenticacin.
10. En el cuadro de texto atributo Grupo, ingrese o seleccione un valor del atributo. El atributo Grupo
predeterminado es FilterID, que es el atributo 11 de RADIUS.
Gua del Usuario 229

Autenticacin
El valor del atributo Grupo es usado para definir el atributo que lleva la informacin de grupo de
usuarios. Debe configurar el servidor RADIUS para que incluya la cadena FilterID en el mensaje de
autenticacin de usuario que enva al dispositivo WatchGuard. Por ejemplo, ingenieroGrupo o
finanzaGrupo. Esa informacin luego es utilizada para control de acceso. El dispositivo WatchGuard
hace coincidir la cadena de FilterID con el nombre de grupo configurado en las polticas del
11. En el cuadro de texto Tiempo muerto , ingrese o seleccione el perodo de tiempo a partir del cual
un servidor inactivo queda marcado como activo nuevamente. Seleccione minutos o horas de la
lista desplegable al lado para alterar la duracin.
Despus que un servidor de autenticacin no haya respondido por un perodo de tiempo, ste
queda marcado como inactivo. Este servidor no realizar intentos seguidos de autenticacin hasta
que est marcado como activo nuevamente.
12. Para agregar un servidor RADIUS de resguardo, seleccione la pestaa Configuracin del servidor
secundario y seleccione .Activar servidor RADIUS secundario .
13. Repetir los pasos 4 - 11 para agregar la informacin en los campos requeridos. Asegrese de que el
secreto compartido sea el mismo en el servidor RADIUS principal y de resguardo.
Para ms informaciones, vea Use un servidor de autenticacin de resguardo en la pgina 222.

Como la autenticacin del servidor RADIUS funciona

RADIUS es un protocolo que fue diseado originalmente para autenticar usuarios remotos en un servidor
de acceso por marcado. RADIUS ahora es usado en una amplia gama de ambientes de autenticacin.
RADIUS es un protocolo cliente-servidor, en el cual Firebox es el cliente y el servidor RADIUS es el servidor.
(El cliente RADIUS a veces es denominado Servidor de Acceso a la Red, o NAS en sus siglas en ingls).
Cuando un usuario intenta autenticarse, Firebox enva un mensaje al servidor RADIUS. Si el servidor RADIUS
est configurado adecuadamente para que Firebox sea un cliente, RADIUS enva un mensaje de aceptar o
rechazar al Firebox (el Servidor de Acceso de Red).
Cuando Firebox usa el RADIUS para un intento de autenticacin:
1. El usuario intenta autenticarse, sea a travs de una conexin de HTTPS por el explorador al Firebox
por el puerto 4100 o a travs de una conexin usando Mobile VPN with PPTP o IPSec. Firebox lee el
nombre de usuario y contrasea.
2. Firebox crea un mensaje llamado mensajes Acceso-Solicitar y lo enva al servidor RADIUS. Firebox
usa el secreto compartido de RADIUS en el mensaje. La contrasea siempre est cifrada en el
mensaje Acceso-Solicitar.
3. El servidor RADIUS se asegura de que el mensaje Acceso-Solicitar sea de un cliente conocido (el
Firebox). Si el servidor RADIUS no est configurado para aceptar Firebox como cliente, el servidor
rechaza el mensaje Acceso-Solicitar y no retorna el mensaje.
4. Si Firebox es un cliente conocido del servidor RADIUS y el secreto compartido est correcto, el
servidor encuentra el mtodo solicitado de autenticacin en el mensaje Acceso-Solicitar.

Autenticacin
5. Si el mensaje Acceso-Solicitar usa un mtodo de autenticacin permitido, el servidorRADIUS

obtiene las credenciales de usuarios en el mensaje y busca una coincidencia en una base de datos
de usuarios. Si el nombre de usuario y contrasea coinciden con una entrada de la base de datos, el
servidor RADIUS puede obtener informacin adicional acerca del usuario en la base de datos de
usuarios (tal como la aprobacin de acceso remoto, membresa de grupo, horas de conexin, etc.)
6. El servidor RADIUS verifica si tiene una poltica de acceso o un perfil en su configuracin que
coincida con todas las informaciones disponibles sobre el usuario. Caso exista tal poltica, el servidor
enva una respuesta.
7. Si falla cualquiera de las condiciones anteriores, o si el servidor RADIUS no tiene una poltica que
coincida, enva un mensaje de Acceso-Rechazar que muestra la falla de autenticacin. La transaccin
de RADIUS termina y el usuario tiene el acceso negado.
8. Si el mensaje Acceso-Solicitar cumple con todas las condiciones anteriores, RADIUS enva un
mensaje Acceso-Aceptar a Firebox.
9. El servidor RADIUS usa el secreto compartido para cualquier respuesta que enva. Si el secreto
compartido no coincide, Firebox rechaza la respuesta de RADIUS.
10. Firebox lee el valor de cualquier atributo FilterID en el mensaje. Conecta el nombre de usuario con
el atributo FilterID para poner el usuario en un grupo RADIUS.
11. El servidor RADIUS puede incluir grandes volmenes de informacin adicional en el mensaje
Acceso-Aceptar. Firebox ignora gran parte de esa informacin, como los protocolos que el usuario
est permitido usar (como PPP o SLIP), los puertos a los que el usuario puede acceder, tiempo de
espera de inactividad y otros atributos.
12. El nico atributo que Firebox busca en el mensaje Acceso-Aceptar es el atributo FilterID (atributo
RADIUS nmero 11). El FilterID es una cadena de texto que se configura el servidor RADIUS para
incluir en el mensaje Acceso-Aceptar. Ese atributo es necesario para que Firebox asigne el usuario a
un grupo RADIUS.
Para obtener ms informaciones sobre grupos RADIUS, vea la siguiente seccin.
Acerca de los grupos RADIUS

Al configurar la autenticacin RADIUS, puede definir el nmero del atributo Grupo. Fireware XTM lee el
nmero del atributo Grupo en Fireware XTM Web UI para decir qu atributo RADIUS lleva la informacin
de grupo RADIUS. Fireware XTMreconoce slo el atributo RADIUS nmero 11, FilterID, como atributo
Grupo. Al configurar el servidor de RADIUS, no altere el valor predeterminado en 11 del nmero del
atributo de Grupo.
Cuando Firebox recibe el mensaje de Acceso-Aceptar de RADIUS, lee el valor del atributo FilterID y usa ese
valor para asociar el usuario a un grupo RADIUS. (Debe configurar el FilterID manualmente en su
configuracin de RADIUS.) Por lo tanto, el valor del atributo FilterIP es el nombre del grupo RADIUS donde
el Firebox pone el usuario.
Los grupos RADIUS que usa en Fireware XTM Web UI no son los mismos que los grupos Windows definidos
en su controlador de dominio o cualquier otro grupo existente en su base de datos de usuarios de dominio.
Un grupo RADIUS es slo un grupo lgico de usuarios utilizado por Firebox. Asegrese de que la cadena de
texto FilterID est seleccionada. Puede hacer que el valor de FilterID coincida con el nombre de un grupo
local o grupo de dominio en su organizacin, pero eso no es necesario. Recomendamos que use un nombre
descriptivo que lo ayude a recordar cmo defini sus grupos de usuarios.
Gua del Usuario 231

Autenticacin
Utilizacin prctica de grupos RADIUS

Si su organizacin tiene muchos usuarios que autenticar, puede facilitar la administracin de sus polticas de
Firebox al configurar el RADIUS para que enve el valor FilterID a muchos usuarios. Firebox pone a todos los
usuarios en un grupo lgico para que sea fcil administrar el acceso de los usuarios. Cuando crea una
poltica en Fireware XTM Web UI que permita que slo usuarios autenticados accedan a un recurso de red,
se usa el nombre de grupo RADIUS en vez de agregar una lista de varios usuarios individuales.
Por ejemplo, cuando Mara se autentica, la cadena FilterID que RADIUS enva es Ventas, as que Firebox
pone a Mara en el grupo RADIUS de Ventaspor el tiempo que ella est autenticada. Si los usuarios Juan y
Alicia se autentican concomitantemente, y RADIUS pone el mismo valor FilterID Ventas en los mensajes
Acceso-Aceptar para Juan y Alicia, entonces, Mara, Juan y Alicia estn todos en el mismo grupo Ventas.
Puede crear una poltica en Fireware XTMWebUI que permita al grupo Ventas acceder a un recurso.
Puede configurar RADIUS para enviar resultados de un FilterID diferente, tal como Soporte de TI, para los
miembros de su organizacin de soporte interno. Tambin puede crear una poltica diferente para permitir
que los usuarios de Soporte de TI accedan a recursos.
Por ejemplo, puede permitir que el grupo Ventas acceda a Internet usando una poltica de HTTP filtrada.
Tambin puede filtrar su acceso web con WebBlocker. Una poltica diferente en el Policy Manager puede
permitir que los usuarios de Soporte de TI accedan a Internet con la poltica de HTTP no filtrada, para que
puedan acceder a Internet sin el filtro de WebBlocker. Use el nombre del grupo RADIUS (o nombres de
usuario) en el campo De de un poltica para mostrar cules grupos (o cules usuarios) pueden usar la
poltica.
Valores de tiempo de espera y reintentos.

Ocurre una falla de autenticacin cuando no se recibe respuesta del servidor RADIUS principal. Despus de
tres intentos fallidos de autenticacin, el Fireware XTM usa el servidor RADIUS secundario. Ese proceso se
denomina conmutacin por error.
Nota Ese nmero de intentos de autenticacin no es el mismo que el nmero de

reintentos. No es posible alterar el nmero de intentos de autenticacin antes que
ocurra la conmutacin por error.
Firebox enva un mensaje Acceso-Solicitar al primer servidor RADIUS en la lista. Si no hay respuesta, Firebox
espera el nmero de segundos definido en el cuadro Tiempo de espera y entonces enva otro Acceso-
Solicitar. Eso contina por el nmero de veces indicado en el cuadro Reintento (o hasta que haya una
respuesta vlida). Si no hay una respuesta vlida del servidor RADIUS, o si el secreto compartido de RADIUS
no coincide, Fireware XTM lo considera un intento fallido de autenticacin.
Despus de tres intentos fallidos de autenticacin, Fireware XTM usa el servidor RADIUS secundario para el
siguiente intento de autenticacin. Si el servidor secundario tampoco logra contestar despus de tres
intentos de autenticacin, Fireware XTMespera diez minutos para que el administrador corrija el problema.
Despus de diez minutos, Fireware XTMintenta usar el servidor RADIUS principal nuevamente.

Autenticacin
Configurado autenticacin de servidor VASCO

La autenticacin por el servidor VASCO usa el software VACMAN Middleware para autenticar usuarios
remotos a una red empresarial a travs de un ambiente de servidor web o RADIUS. VASCO tambin soporta
mltiples ambientes de servidor de autenticacin. El sistema por token de contrasea nica de VASCO
permite eliminar el enlace ms dbil de su infraestructura de seguridad - el uso de contraseas estticas.
Para usar la autenticacin por servidor VASCO con su dispositivo WatchGuard, debe:
n Agregar la direccin IP del dispositivo WatchGuard al VACMAN Middleware Server, tal como se
describe en la documentacin de su proveedor VASCO.
n Activar y especificar el VACMAN Middleware Server en la configuracin de su dispositivo
WatchGuard.
n Agregar nombres de usuario y de grupo a las polticas en el Policy Manager.
La autenticacin por servidor VASCO es configurada usando las configuraciones del servidorRADIUS. El
cuadro de dilogo Servidores de autenticacin no tiene una pestaa separada para servidores VACMAN
Middleware Server.

2. Haga clic en la pestaa RADIUS.
Gua del Usuario 233

Autenticacin
3. Para activar el VACMAN Middleware Server y activar los campos en ese cuadro de dilogo,
seleccione la casilla de verificacin Servidor.
4. En el cuadro de texto Direccin IP, ingrese la direccin IP del VACMAN Middleware Server.
5. En el cuadro de texto Puerto, asegrese de que apareza el nmero de puerto que VASCO usa para
autenticacin. El nmero de puerto predeterminado es 1812.
6. En el cuadro de texto frase de contrasea secreta , inserte el secreto compartido entre el
dispositivo WatchGuard y el VACMAN Middleware Server.
El secreto compartido distingue maysculas de minsculas, y debe ser igual en el dispositivo

WatchGuard y en el servidor.
7. En el cuadro de texto Confirmar , ingrese el secreto compartido nuevamente.
8. En el cuadro de texto Tiempo de espera, inserte o seleccione el perodo de tiempo que el
dispositivo WatchGuard espera la respuesta del servidor de autenticacin antes de intentar
establecer una nueva conexin.
9. En el cuadro de texto Reintentos , ingrese o seleccione el nmero de veces que el dispositivo
WatchGuard intenta conectarse al servidor de autenticacin antes de reportar un error de conexin
por un intento de autenticacin.
10. Ingrese o seleccione el valor del atributo Grupo. El atributo Grupo predeterminado es FilterID, que
es el atributo 11 de VASCO.
El valor del atributo Grupo es usado para definir cul atributo lleva la informacin de grupo de
usuarios. Debe configurar el servidor VASCO para que incluya la cadena FilterID en el mensaje de
autenticacin de usuario que enva al dispositivo WatchGuard. Por ejemplo, ingenieroGrupo o
finanzaGrupo. Esa informacin luego es utilizada para control de acceso. El dispositivo WatchGuard
hace coincidir la cadena de FilterID con el nombre de grupo configurado en las polticas del
un servidor inactivo queda marcado como activo nuevamente. Seleccione minutos o horas de la
lista desplegable al lado para alterar la duracin.
queda marcado como inactivo. Intentos seguidos de autenticacin, no intente conectarse a este
servidor hasta que est marcado como activo nuevamente.
12. Para agregar un VACMAN Middleware Server de resguardo, seleccione la pestaa Configuraciones
de Servidor Secundario, y seleccione Activar servidor RADIUS secundario .
secreto compartido sea el mismo en el VACMAN Middleware Server principal y de resguardo.

Configurar autenticacin SecurID

Para usar autenticacin por SecurID, debe configurar correctamente los servidores RADIUS, VASCO y
ACE/Server. Los usuarios tambin deben tener un token y un PIN (nmero de identificacin personal) de
SecurID. Consulte la documentacin de SecurID RSA para obtener ms informacin.

Autenticacin

2. Haga clic en la pestaa SecurID.
3. Seleccione Activar SecurID Server casilla de verificacin para activar el servidor SecurID y activar los
campos en ese cuadro de dilogo.
4. En el cuadro de texto Direccin IP, ingrese la direccin IP del servidor SecurID.
5. Haga clic en el campo Puerto para subir o bajar, hasta definir el nmero de puerto para usar en la
autenticacin de SecurID.
El nmero predeterminado es 1812.
6. En el frases de contrasea cuadro de texto, ingrese el secreto compartido entre el dispositivo
WatchGuard y el servidor SecurID. El secreto compartido distingue maysculas de minsculas, y
debe ser igual en el dispositivo WatchGuard y en el servidor SecurID.
7. En el cuadro de texto Confirmar , ingrese nuevamente el secreto compartido.
8. En el cuadro de texto Tiempo de espera, inserte o seleccione el perodo de tiempo que el
dispositivo WatchGuard espera la respuesta del servidor de autenticacin antes de intentar
establecer una nueva conexin.
9. En el Reintentos , inserte o seleccione el nmero de veces que el dispositivo WatchGuard intenta
conectarse al servidor de autenticacin antes de reportar una conexin fallida por un intento de
autenticacin.
10. En el cuadro de texto atributo Grupo , ingrese o seleccione un valor del atributo Grupo.
Recomendamos que no altere ese valor.
Gua del Usuario 235

Autenticacin
El valor del atributo Grupo es usado para definir el atributo que lleva la informacin de grupo de
usuarios. Cuando el servidor SecurID enva un mensaje al dispositivo WatchGuard al cual el usuario
est autenticado, tambin enva una cadena de grupo de usuarios. Por ejemplo, ingenieroGrupo o
finanzaGrupo. Esa informacin luego es utilizada para control de acceso.
un servidor inactivo queda marcado como activo nuevamente. Seleccione minutos o horas en la
lista desplegable al lado para determinar la duracin.
queda marcado como inactivo. Intentos seguidos de autenticacin, no use este servidor hasta que
est marcado como activo nuevamente, despus que se alcance el valor del tiempo muerto.
12. Para agregar un servidor SecurID de resguardo, seleccione la pestaa Configuracin del servidor
secundario y seleccione Activar un servidor SecurID secundario.Server .
secreto compartido sea el mismo en el servidor SecurID principal y de resguardo.

14. Haga clic en OKGuardar.
Configurar autenticacin LDAP

Puede usar un servidor de autenticacin por LDAP (Protocolo de Acceso Liviano al Directorio) para
autenticar los usuarios con el dispositivo WatchGuard. El LDAP es un protocolo abierto para usar servicios
de directorio online, y opera con los protocolos de transferencia de Internet, tal como el TCP. Antes de
configurar su dispositivo WatchGuard para la autenticacin de LDAP, asegrese de verificar la
documentacin de su proveedor de LDAP para ver si su instalacin soporta el atributo memberOf (o
equivalente).

2. Haga clic en la pestaa LDAP .

Autenticacin
3. Seleccionar la casilla de verificacin Activar LDAPServer para activar el servidor de LDAP y activar
los campos en ese cuadro de dilogo.
4. En el cuadro de texto Direccin IP, ingrese la direccin IP del servidor de LDAP principal a la cual el
dispositivo WatchGuard debe contactarse para solicitudes de autenticacin.
El servidor de LDAP puede estar ubicado en cualquier interfaz del dispositivo WatchGuard. Tambin
puede configurar su dispositivo para usar un servidor de LDAP en una red remota a travs de un
tnel VPN.
5. En el cuadro de texto Puerto, seleccione el nmero del puerto TCP para ser usado por el dispositivo
WatchGuard para conectar con el servidor de LDAP. El nmero de puerto predeterminado es 389.
LDAP por TLS no est soportado.
6. En el cuadro de texto Base de bsqueda , ingrese las configuraciones de base de bsqueda.
El formato estndar es: ou=unidad organizacional,dc=primera parte del nombre de distincin del
servidor,dc=cualquier parte del nombre de distincin del servidor que aparece despus del punto.
Se determina una base de bsqueda para imponer lmites a los directorios en el servidor de
autenticacin en los que el dispositivo WatchGuard busca para que haya una coincidencia de
autenticacin. Por ejemplo, si las cuentas de usuario estn en una OU (unidad organizativa) a la que
se refiere como cuentas y el domain name es ejemplo.com, su base de bsqueda es:
ou=cuentas,dc=ejemplo,dc=com
7. En el cuadro de texto Cadena de grupo , ingrese el atributo de cadena de grupo.
Gua del Usuario 237

Autenticacin
Esa cadena de atributos contiene datos de grupo de usuarios en el servidor de LDAP. En muchos
servidores de LDAP, la cadena predeterminada de grupo es uniqueMember, en otros servidores es
member.
8. En el cuadro de texto DN del usuario de bsqueda , inserte el Nombre de Distincin (DN) para una
operacin de bsqueda.
Puede usar cualquier DN de usuario con el privilegio de bsqueda en el LDAP/Active Directory,

como un Administrador. Algunos administradores crean un nuevo usuario que slo tiene privilegios
de bsqueda para usar en ese campo.
9. En el cuadro de texto Contrasea de usuario de bsqueda , inserte el nombre de distincin (DN)
para una operacin de bsqueda.
10. En el cuadro de texto Atributo de inicio de sesin, en la lista desplegable, seleccione un atributo de
inicio de sesin de LDAP para ser usado para autenticacin.
El atributo de inicio de sesin es el nombre usado para vincular a la base de datos de LDAP. El
atributo de inicio de sesin predeterminado es uid. Si usa uid, el campo DN de usuario buscando y
el campo Contrasea de Usuario buscando pueden estar vacos.
11. En el cuadro de texto Tiempo muerto, ingrese o seleccione el perodo de tiempo a partir del cual
un servidor inactivo est marcado como activo nuevamente. Seleccione minutos o horas en la lista
desplegable al lado para determinar la duracin.
queda marcado como inactivo. Intentos seguidos de autenticacin, no intente con este servidor
hasta que est marcado como activo nuevamente.
12. Para agregar un servidor de LDAP de resguardo, seleccione la pestaa Configuraciones de Servidor
de Resguardo, y seleccione Activar un servidor de LDAP secundario .
secreto compartido sea el mismo en el servidor de LDAP principal y de resguardo.

Acerca de las configuraciones opcionales de LDAP

El Fireware XTM puede obtener informacin adicional del servidor del directorio (LDAP o Active Directory)
cuando lee la lista de atributos en la respuesta de bsqueda del servidor. Eso permite usar el servidor del
directorio para asignar parmetros adicionales a las sesiones de usuarios autenticados, tal como los tiempos
de espera y asignaciones de direccin de Mobile VPN con IPSec. Como los datos provienen de atributos de
LDAP asociados a objetos de usuarios individuales, uno no est limitado a las configuraciones globales en el
Fireware XTM Web UI. Se puede determinar esos parmetros para cada usuario individual.
Para ms informaciones, vea Usar las configuraciones opciones de Active Directory o de LDAP en la pgina 243.

Autenticacin
Configurar autenticacin en Active Directory

El Active Directory es una aplicacin de Microsoft, basada en Windows, de una estructura de directorio de
LDAP. El Active Directory le permite expandir el concepto de jerarqua usado en el DNS hacia un nivel
organizativo. Mantiene la informacin y configuracin de una organizacin en una base de datos central y
de fcil acceso.
Puede usar un servidor de Active Directory Authentication para que los usuarios puedan autenticar el
dispositivo WatchGuard con sus credenciales actuales de red. Debe configurar el dispositivo y el Active
Directory Server.
Antes de empezar, asegrese de que sus usuarios puedan autenticarse con xito en el Active Directory
Server.

2. Haga clic en la pestaa Active Directory.
3. Seleccione la casilla Activar Active Directory .

4. En el campo direccin IP, ingrese la direccin IP del Active Directory Server principal.
Gua del Usuario 239

Autenticacin
El Active Directory Server puede estar ubicado en cualquier interfaz del dispositivo WatchGuard.
Tambin es posible configurar el dispositivo para usar un Active Directory Server disponible a travs
de un tnel VPN.
5. En el cuadro de texto Puerto , ingrese o seleccione el nmero de puerto de TCP a ser usado por el
dispositivo para conectarse al Active Directory Server. El nmero de puerto predeterminado es 389.
Si su Active Directory Server es un servidor de catlogo global, puede ser til alterar el puerto
predeterminado. Para ms informaciones, vea Alterar el puerto predeterminado de Active Directory
Server en la pgina 242.
6. En el cuadro de texto Base de bsqueda, inserte la ubicacin en el directorio para empezar la
bsqueda.
El formato estndar para la configuracin de base de bsqueda es: ou=<name of organizational

unit>,dc=<first part of the distinguished server name>,dc=<any part of the distinguished server
name that appears after the dot>.
Se determina una base de bsqueda para poner lmites en los directorios en el servidor de
autenticacin en los que el dispositivo WatchGuard busca para que haya una coincidencia de
autenticacin. Recomendamos que determine la base de bsqueda en la raz del dominio. Eso
permite encontrar todos los usuarios y grupos a los que pertenecen los mismos.
Para ms informaciones, vea Encuentre su base de bsqueda del Active Directory en la pgina 241.
7. En el cuadro de texto Cadena de Grupo, inserte la cadena de atributos usada para mantener la
informacin del grupo usuario en el Active Directory Server. Si no cambi su esquema de Active
Directory, la cadena de grupo siempre es memberOf .
8. En el cuadro de texto DN del usuario de bsqueda , inserte el Nombre de Distincin (DN) para una
operacin de bsqueda.
No es necesario insertar nada en este cuadro de texto si mantiene el atributo de inicio de sesin de
sAMAccountName . Si altera el atributo del inicio de sesin, debe agregar un valor en el campoDN del
usuario de bsqueda para su configuracin. Puede usar cualquier DN de usuario con el privilegio de
bsqueda en el Active Directory/LDAP, como un Administrador. No obstante, un DN de usuario ms
dbil, slo con un privilegio de bsqueda, suele ser suficiente.
9. En el cuadro de texto Contrasea de usuario de bsqueda , inserte el nombre de distincin (DN)
para una operacin de bsqueda.
10. En el atributo de inicio de sesin lista desplegable, seleccione un atributo de inicio de sesin de
Active Directory para ser usado para autenticacin.
El atributo de inicio de sesin es el nombre usado para vincular a la base de datos del Active
Directory. El atributo de inicio de sesin predeterminado es sAMAccountName. Si usa el
sAMAccountName, el campoDN de usuario de bsqueda y el campo Contrasea de usuario de
bsqueda pueden estar vacos.
11. En el cuadro de texto Tiempo muerto, ingrese o seleccione una hora a partir de la cual un servidor
inactivo est marcado como activo nuevamente. Seleccione minutos o horas en la lista desplegable
al lado para determinar la duracin.
queda marcado como inactivo. Intentos seguidos de autenticacin, no intente con este servidor
hasta que est marcado como activo nuevamente.

Autenticacin
12. Para agregar un Active Directory Server de resguardo, seleccione la pestaa Configuracin de
servidor de resguardo y seleccione la casilla Activar Active Directory Server secundario.
secreto compartido sea el mismo en el Active Directory Server principal y de resguardo.

Sobre la configuracin opcional del Active Directory

El Fireware XTM puede obtener informacin adicional del servidor del directorio (LDAP o Active Directory)
cuando lee la lista de atributos en la respuesta de bsqueda del servidor. Eso permite usar el servidor del
directorio para asignar parmetros adicionales a las sesiones de usuarios autenticados, tal como los tiempos
de espera y asignaciones de direccin de Mobile VPN con IPSec. Como los datos provienen de atributos de
LDAP asociados a objetos de usuarios individuales, uno no est limitado a las configuraciones globales en el
Fireware XTM Web UI. Se puede determinar esos parmetros para cada usuario individual.
Para ms informaciones, vea Usar las configuraciones opciones de Active Directory o de LDAP en la pgina 243.
Encuentre su base de bsqueda del Active Directory

Al configurar el dispositivo WatchGuard para autenticar usuarios con su Active Directory Server, se agrega
una base de bsqueda. La base de bsqueda es el lugar por donde la bsqueda empieza en la estructura
jerrquica del Active Directory para las entradas de cuenta de usuario. Eso puede ayudar a apurar el
procedimiento de autenticacin.
Antes de empezar, debe tener un Active Directory Server operativo que contenga los datos de cuenta de
todos los usuarios para los cuales desea configurar autenticacin en el dispositivo WatchGuard.
En su Active Directory Server:
1. Seleccione Inicio> Herramientas administrativas >Usuarios y equipos de Active Directory.

2. En el rbol Usuarios y equipos de Active Directory, encuentre y seleccione su domain name.
3. Expanda el rbol para encontrar una ruta en la jerarqua de Active Directory.
Los componentes del domain name tienen el formato dc=componente de domain name, estn
incluidos al final de la cadena de base de bsqueda y estn separados por comas.
Para cada nivel del domain name, debe incluir un componente de domain name separado en su
base de bsqueda de Active Directory. Por ejemplo, si su domain name es prefijo.ejemplo.com, el
componente del domain name en su base de bsqueda es DC=prefijo,DC=ejemplo,DC=com .
Por ejemplo, si su domain name en el rbol se parece a este despus de expandirlo:
La cadena de la base de bsqueda que agregar a la configuracin de Firebox es:
DC=kunstlerandsons,DC=com
La cadena de bsqueda no distingue maysculas de minsculas. Cuando ingresa su cadena de bsqueda,

puede usar letras maysculas o minsculas.
Gua del Usuario 241

Autenticacin
Campos DN del usuario de bsqueda y Contrasea del usuario de

bsqueda
Debe rellenar estos campos slo si seleccion una opcin para el Atributo de inicio de sesin que sea
diferente del valor predeterminado, sAMAccountName. La mayora de las organizaciones que usa Active
Directory no lo cambia. Cuando deja ese campo en el valor predeterminado sAMAccountName, los
usuarios proveen sus nombres usuales de inicio de sesin en Active Directory como nombres de usuarios
para autenticar. Ese es el nombre que encuentra en el cuadro de texto Nombre de usuario para inicio de
sesin en la pestaa Cuenta, cuando edita la cuenta de usuario en Usuarios y equipos de Active Directory.
Si usa un valor diferente para Atributo de inicio de sesin, el usuario que intente autenticarse da un
formato diferente del nombre de usuario. En ese caso, debe agregar Credenciales de usuario de bsqueda a
la configuracin de su Firebox.
Alterar el puerto predeterminado de Active Directory Server

Si su dispositivo WatchGuard est configurado para autenticar usuarios con servidor de Active Directory
Authentication (AD), l se conecta por defecto al Active Directory Server en el puerto LDAP estndar, que
es el puerto TCP 389. Si los servidores de Active Directory que agrega a su configuracin del dispositivo
WatchGuard estn configurados como servidores de catlogo global de Active Directory, puede solicitar al
dispositivoWatchGuard que use el puerto de catlogo global - puerto TCP 3268 - para conectarse al Active
Directory Server.
Un servidor de catlogo global es un controlador de dominio que almacena informaciones sobre todos los
objetos en el bosque. Eso permite que las aplicaciones busquen en el Active Directory, pero sin tener que
referirse a controladores de dominio especficos que almacenan los datos solicitados. Si tiene slo un
dominio, Microsoft recomienda que configure todos los controladores de dominio como servidores de
catlogo global.
Si el Active Directory Server principal o secundario usado en su configuracin del dispositivoWatchGuard

tambin est configurado como un servidor de catlogo global, puede cambiar el puerto utilizado por el
dispositivoWatchGuard para conectarse al Active Directory Server para aumentar la velocidad de las
solicitudes de autenticacin. No obstante, no recomendamos la creacin de servidores de catlogo global
de Active Directory adicionales slo para aumentar la velocidad de las solicitudes de autenticacin. La
replicacin que ocurre entre mltiples servidores de catlogo global puede usar bastante ancho de banda
de su red.
Configurar el Firebox para que use el puerto de catlogo global

2. Seleccione la pestaa Active Directory.
3. En el cuadro de texto Puerto, limpie los contenidos e inserte 3268.

Autenticacin
Descubra si su Active Directory Server est configurado como servidor

de catlogo global
1. Seleccione Inicio> Herramientas administrativas >Sitios y servicios de Active Directory.
2. Expanda el rbol de sitios y encuentre el nombre de su Active Directory Server.
3. Haga clic con el botn derecho en Configuraciones NTDS para el Active Directory Server y
seleccione Propiedades.
Si la casilla de verificacin Catlogo Global est seleccionada, el Active Directory Server est
configurado para ser un catlogo global.
Usar las configuraciones opciones de Active

Directory o de LDAP
Cuando el Fireware XTM contacta el servidor de directorio (Active Directory o LDAP) para buscar
informacin, puede obtener informacin adicional en la lista de atributos en la respuesta de bsqueda
enviada por el servidor. Eso le permite usar el servidor del directorio para asignar parmetros adicionales a
la sesin de usuario autenticado, tales como los tiempos de espera y asignaciones de direccin de Mobile
VPN. Como los datos provienen de atributos de LDAP asociados a objetos de usuarios individuales, puede
definir esos parmetros para cada usuario individual, sin limitarse a las configuraciones globales en Fireware
XTM Web UI.
Antes de empezar
Para usar esas configuraciones opcionales es necesario:
n Ampliar el esquema de directorio para agregar nuevos atributos para esos elementos.
n Hacer que los nuevos atributos estn disponibles para la clase de objeto a la que pertenecen las
cuentas de usuario.
n Otorgar valores a los atributos para los objetos de usuario que deberan usarlos.
Asegurarse de planear y probar cuidadosamente su esquema de directorio antes de ampliarlo a sus

directorios. Las adiciones al esquema de Active Directory, por ejemplo, generalmente son permanentes y
no se puede deshacerlas. Use el sitio web de Microsoft para obtener recursos para planear, probar e
implementar cambios a un esquema de Active Directory. Consulte la documentacin de su proveedor de
LDAP antes de ampliar el esquema a otros directorios.
Especificar Configuraciones opcionales de LDAP o Active

Directory
Para especificar los atributos adicionales, Fireware XTM busca en la respuesta de bsqueda del servidor de
directorio:

Gua del Usuario 243

Autenticacin
2. Haga clic en la pestaa LDAP o en Active Directory y asegrese de que el servidor est activado.

Autenticacin
3. Haga clic en Configuraciones opcionales.

Aparecen las configuraciones opcionales del servidor pgina .
Gua del Usuario 245

Autenticacin
4. Ingrese los atributos que desea incluir en la bsqueda del directorio en los campos de cadenas.
Cadena de atributos de IP
Ese campo se aplica solamente a clientes de Mobile VPN.
Ingrese el nombre del atributo para que Fireware XTM lo use para asignar una direccin IP
virtual al cliente de Mobile VPN. Debe ser un atributo de valor nico y una direccin IP en
formato decimal. La direccin IP debe estar dentro del grupo de direcciones IP virtuales que
son especificadas en la creacin del Grupo de Mobile VPN.
Si Firebox no encuentra el atributo de IP en el resultado de bsqueda, o si no se especifica un

atributo en Fireware XTM Web UI, l asigna una direccin IP virtual al cliente de Mobile VPN a
partir del grupo de direcciones IP virtuales creadas con el Grupo de Mobile VPN.
Cadena de atributos de mscara de red
Ingrese el nombre del atributo para que Fireware XTM lo use para asignar una Subnet Mask a la
direccin IP virtual del cliente de Mobile VPN. Debe ser un atributo de valor nico y una Subnet
Mask en formato decimal.
El software de Mobile VPN asigna automticamente una mscara de red si el Firebox no

encuentra el atributo de mscara de red en el resultado de bsqueda, o si no especifica uno en
Fireware XTM Web UI.
Cadena de atributos de DNS

Autenticacin
Ingrese el nombre del atributo que Fireware XTM usa para asignar una o ms direcciones de
DNS al cliente de Mobile VPN para el perodo de duracin de la sesin de Mobile VPN. Eso
puede ser un atributo de mltiples valores y debe ser una direccin IP decimal normal con
puntos. Si Firebox no encuentra el atributo de DNS en el resultado de bsqueda, o si no se
especifica un atributo en Fireware XTM Web UI, l usa las direcciones WINS insertadas cuando
Configurado servidores WINS y DNS..
Cadena de atributos de WINS
Ingrese el nombre del atributo que Fireware XTM debera usar para asignar una o ms
direcciones WINS al cliente de Mobile VPN para el perodo de duracin de la sesin de Mobile
VPN. Eso puede ser un atributo de mltiples valores y debe ser una direccin IP decimal
normal con puntos. Si Firebox no encuentra el atributo de WINS en el resultado de bsqueda, o
si no se especifica un atributo en Fireware XTM Web UI, l usa las direcciones WINS insertadas
cuando Configurado servidores WINS y DNS..
Cadena de atributos de tiempo de concesin
Eso se aplica a los clientes de Mobile VPN y a clientes que usan autenticacin por firewall.
Ingrese el nombre del atributo para que Fireware XTM use para controlar la duracin mxima
que un usuario puede permanecer autenticado (tiempo de espera de sesin). Despus de ese
perodo de tiempo, el usuario es removido de la lista de usuarios autenticados. Debe ser un
atributo de valor nico. Fireware XTMinterpreta el valor del atributo como un nmero decimal
de segundos. Interpreta un valor cero como nunca se agota el tiempo de espera.
Cadena de atributos de tiempo de espera inactivo
Eso se aplica a los clientes de Mobile VPN y a clientes que usan autenticacin por firewall.
Ingrese el nombre del atributo que Fireware XTM usa para controlar el perodo de tiempo que
un usuario puede permanecer autenticado cuando no se transmite trfico hacia el Firebox
desde el usuario (tiempo de espera inactivo). Si no se enva trfico al dispositivo por ese
perodo de tiempo, el usuario es removido de la lista de usuarios autenticados. Debe ser un
atributo de valor nico. Fireware XTM interpreta el valor del atributo como un nmero decimal
de segundos. Interpreta un valor cero como nunca se agota el tiempo de espera.

Configuraciones de atributos guardadas.
Use una cuenta de usuario local para

autenticacin
Cualquier usuario puede autenticarse como usuario de Firewall, usuario de PPTP, o usuario de Mobile VPN,
y abrir un tnel PPTP o Mobile VPN si el PPTP o Mobile VPN est activado en Firebox. No obstante, despus
de la autenticacin o de que un tnel haya sido establecido con xito, los usuarios pueden enviar trfico por
el tnel VPN slo si el trfico est permitido por una poltica en Firebox. Por ejemplo, un usuario slo de
Gua del Usuario 247

Autenticacin
Mobile VPN puede enviar trfico a travs de un tnel de Mobile VPN. Aunque el usuario slo de Mobile
VPN pueda autenticarse y abrir un tnel PPTP, no puede enviar el trfico a travs de ese tnel.
Si usa la autenticacin por Active Directory y la membresa a un grupo para el usuario no coincide con la
poltica de Mobile VPN, encuentra un mensaje de error que dice que el Trfico descifrado no coincide con
ninguna poltica. Si encuentra ese mensaje de error, asegrese de que el usuario est en un grupo con el
mismo nombre que su grupo de Mobile VPN.
Use los usuarios y grupos autorizados en polticas

Se puede especificar nombres de usuarios y grupos al crear polticas en Fireware XTM Web UI. Por
ejemplo, se pueden definir todas las polticas para que slo autoricen conexiones para usuarios
autenticados. O puede limitar conexiones en una poltica para usuarios especficos.
El trmino usuarios y grupos autorizados se refiere a usuarios y grupos que estn autorizados a acceder a
los recursos de red.
Definir usuarios y grupos para autenticacin de Firebox

Si usa el Firebox como servidor de autenticacin y desea definir usuarios y grupos que se autentican a
Firebox, vea Definir un nuevo usuario para autenticacin en Firebox en la pgina 225 y Definir un nuevo
grupo para autenticacin de Firebox en la pgina 227.
Definir usuarios y grupos para autenticacin de terceros

1. Cree un grupo en su servidor de autenticacin externo que contenga todas las cuentas de usuarios
en su sistema.
2. En el Fireware XTM Web UI, seleccione Usuarios y Grupos de > Autenticacin.

Aparece el cuadro de dilogo "Usuarios y Grupos de Autenticacin".

Autenticacin
3. Ingrese un nombre de usuario o grupo creado en el servidor de autenticacin.

4. (Opcional) Ingrese una descripcin para el usuario o grupo.
5. Seleccione el botn de radio Grupo o Usuario.
6. En la lista desplegable Servidor Autoriz, seleccione su tipo de servidor de autenticacin.
Las opciones disponibles incluyen Cualquiera, Firebox-DB, RADIUS (para autenticacin a travs de
un servidor RADIUS o VACMAN Middleware Server ), SecurID, LDAP, o Active Directory.
Agregar usuarios y grupos a las definiciones de poltica

Cualquier usuario o grupo que desee usar en las definiciones de polticas debe ser agregado como usuario
autorizado. Todos los usuarios y grupos creados para autenticacin en Firebox y todos los usuarios de
Mobile VPN son automticamente agregados a la lista de usuarios y grupos autorizados en el cuadro de
dilogo Usuarios y Grupos Autorizados. Puede agregar cualesquiera usuarios o grupos de servidores de
autenticacin externos a la lista de usuarios y grupos autorizados siguiendo el procedimiento anterior.
Entonces estar listo para agregar usuarios y grupos a su configuracin de poltica.
1. En el Fireware XTM Web UI, seleccione Firewall > Polticas de Firewall.

2. Seleccione una poltica de la lista y haga clic en Editar.
O haga doble clic en una poltica.
3. En la pestaa poltica, abajo del cuadro De, haga clic en Agregar.
Gua del Usuario 249

Autenticacin
4. Haga clic en Agregar usuario.

Aparece el cuadro de dilogo "Agregar usuarios y grupos autorizados".
5. En la lista desplegable a la izquierda Tipo, seleccione si el usuario o grupo est autorizado como
usuario de firewall, VPN SSL o PPTP.
Para ms informacin sobre esos tipos de autenticacin, vea Tipos de autenticacin de Firebox en la
pgina 223.
6. De la lista desplegable Tipo a la derecha, seleccione Usuario o Grupo.
7. Si el usuario o grupo aparece en la lista Grupos, seleccione el usuario o grupo y haga clic en
Seleccionar.
Reaparece el cuadro de dilogo "Agregar direccin" con el usuario o grupo en el cuadro Miembros o
Direcciones Seleccionados.
Haga clic en Aceptar para cerrar el cuadro de dilogo Editar Propiedades de Poltica.
8. Si el usuario o grupo no aparece en la lista en el cuadro de dilogo Agregar Usuarios o Grupos
Autorizados, vea Definir un nuevo usuario para autenticacin en Firebox en la pgina 225, Definir un
nuevo grupo para autenticacin de Firebox en la pgina 227, o el procedimiento anterior Definir
usuarios y grupos para autenticacin externa.
Despus que se agrega un usuario o grupo a una configuracin de polticas, Fireware XTM Web UI agrega
automticamente una poltica de autenticacin de WatchGuard a su configuracin de Firebox. Use esa
poltica para controlar el acceso a la pgina web del portal de autenticacin.
Para obtener instrucciones para editar esa poltica, vea Use la autenticacin para restringir el trfico
entrante en la pgina 212.

12 Polticas
Acerca de polticas
La poltica de seguridad de una empresa es un conjunto de definiciones para proteger la red de equipos y la
informacin que la recorre. El Firebox rechaza todos los paquetes que no estn especficamente
permitidos. Cuando se agrega una poltica al archivo de configuracin del Firebox, se agrega un conjunto de
reglas que indican al Firebox que debe permitir o rechazar trfico en funcin de factores como el origen y
el destino del paquete o el puerto TCP/IP o el protocolo utilizado para el paquete.
Como ejemplo del modo en que puede usarse una poltica, supongamos que el administrador de red de
una empresa desea conectarse en forma remota a un servidor web protegido por el Firebox. El
administrador de red administra el servidor web con una conexin de Escritorio Remoto. Al mismo tiempo,
el administrador de red desea asegurarse de que ningn otro usuario de la red pueda utilizar el Escritorio
Remoto. Para crear esta configuracin, el administrador de red agrega una poltica que permite conexiones
RDP slo desde la direccin IP de su propio equipo de escritorio a la direccin IP del servidor web.
Una poltica tambin puede aportar al Firebox ms instrucciones sobre cmo administrar el paquete. Por
ejemplo, el usuario puede definir configuraciones de registro y notificacin que se aplican al trfico o usar
NAT (Traduccin de direccin de red) para cambiar la direccin IP de origen y el puerto del trfico de red.
Polticas de filtro de paquetes y proxy

Firebox utiliza dos categoras de polticas para filtrar el trfico de red: filtrado de paquetes y servidores
proxy. Un filtro de paquetes examina la IP y el encabezado de TCP/UDP del paquete. Si la informacin del
encabezado del paquete es legtima, entonces Firebox acepta el paquete. De lo contrario, Firebox lo
rechaza.
Un proxy examina tanto la informacin del encabezado como el contenido de cada paquete para
asegurarse de que las conexiones sean seguras. Esto tambin se denomina inspeccin profunda de
paquetes. Si la informacin del encabezado del paquete es legtima y el contenido del paquete no se
considera una amenaza, entonces Firebox acepta el paquete. De lo contrario, Firebox lo rechaza.
Gua del Usuario 251

Polticas
Acerca de cmo agregar polticas a Firebox

Firebox incluye muchos filtrados de paquetes preconfigurados y proxies que se pueden agregar a la
configuracin. Por ejemplo, si el usuario desea un filtro de paquete para todo el trfico Telnet, agrega una
poltica Telnet predefinida que pueda modificar para la configuracin de red. Tambin puede definir una
poltica personalizada para la cual se configuran los puertos, protocolos y otros parmetros.
Cuando se configura Firebox con el Quick Setup Wizard, el asistente agrega varios filtrados de paquetes:
Saliente (TCP-UDP), FTP, ping y hasta dos polticas de administracin de WatchGuard. Si el usuario tiene ms
aplicaciones de software y trfico de red para que examine Firebox, debe:
n Configurar las polticas en Firebox para que permitan la circulacin del trfico necesario.
n Equilibrar el requisito para proteger la red contra los requisitos de los usuarios de obtener acceso a
recursos externos.
Recomendamos establecer lmites en el acceso saliente cuando se configura Firebox.
Nota En toda la documentacin, nos referimos a los filtrados de paquetes y proxies

como polticas. La informacin sobre polticas se refiere tanto a los filtrados de
paquetes como a proxies, salvo indicacin en contrario.

Polticas
Acerca de la pgina de polticas de Firewall o VPN mvil

Las pginas de polticas de Firewall y polticas de Mobile VPN muestran las polticas incluidas en la
configuracin actual de su dispositivo Firebox o XTM.
La siguiente informacin aparece para cada poltica:
Accin
La accin que toma la poltica para el trfico que coincide con la definicin de la poltica. El smbolo en
esta columna tambin indica si la poltica es una poltica de filtro de paquetes o una poltica de proxy.
n Marca de comprobacin verde: poltica de filtro de paquetes; se permite el trfico

n X roja: poltica de filtro de paquetes; se rechaza el trfico
n Crculo con lnea: poltica de filtro de paquetes y la accin para el trfico no est configurada
n Escudo verde con marca de comprobacin: poltica de proxy; el trfico est permitido
n Escudo rojo con una X: poltica de proxy; se rechaza el trfico
n Escudo gris: poltica de proxy; la accin para el trfico no est configurada
Nombre de la poltica
Nombre de la poltica, como se define en el campo Nombre en la pgina Configuracin de polticas.
Tipo de poltica
El protocolo que la poltica administra. Los servidores proxy incluyen el protocolo y "-proxy".
Tipo de trfico
Tipo de trfico que la poltica examina: firewall o VPN.
Gua del Usuario 253

Polticas
Registro
Si est habilitada la generacin de registros para la poltica.
Alarma
Si estn configuradas las alarmas para la poltica.
De
Direcciones desde las cuales se aplica el trfico para esta poltica (direcciones de origen).
Para
Direcciones desde las cuales se aplica el trfico para esta poltica (direcciones de destino).
PBR
Indica si la poltica utiliza enrutamiento basado en polticas. Si ste es el caso y no est habilitada la
conmutacin por error, aparece el nmero de interfaz. Si el enrutamiento basado en la poltica y la
conmutacin por error estn habilitados, aparece una lista de nmeros de interfaz, con la interfaz
principal en el primer lugar de la lista.
Para ms informacin acerca del enrutamiento basado en polticas, vea Configurar el enrutamiento
basado en la poltica en la pgina 269.
Puerto
Protocolos y puertos utilizados por la poltica.
De manera predeterminada, la Fireware XTM Web UI clasifica a las polticas desde la ms especfica hasta la
ms general. El orden determina cmo fluye el trfico a travs de las polticas. Si desea establecer el orden
de las polticas de manera manual, junto a El orden automtico est activado, haga clic en Desactivar.
Para obtener ms informacin sobre el orden de las polticas, consulte Acerca de la precedencia de
polticas.
Agregar polticas en la configuracin

Para agregar una poltica de firewall o Mobile VPN:
1. Seleccione Firewall >Polticas de firewall o Firewall> Polticas de Mobile VPN.

Aparece la pgina Polticas que seleccion el usuario.
3. Ample la lista de filtrados de paquetes y polticas para encontrar un protocolo o puerto.
4. Para polticas de firewall, seleccione una plantilla y haga clic en Agregar.
Para polticas de proxy, tambin se debe seleccionar la opcin Cliente o Servidor en la lista
desplegable Accin de proxy.
Para polticas de Mobile VPN, primero seleccione un grupo de Mobile VPN al cual se aplique la
poltica, luego seleccione la plantilla y haga clic en Agregar.

Polticas
El Firebox incluye una definicin predeterminada para cada poltica incluida en la configuracin del Firebox.
La definicin predeterminada consiste en configuraciones que son apropiadas para la mayora de las
instalaciones. Sin embargo, pueden modificarse de acuerdo con los fines comerciales especficos o si se
desea incluir propiedades de poltica especiales como acciones de administracin de trfico y cronogramas
operativos.
Despus de agregar una poltica a la configuracin, se definen reglas para:
n Establecer orgenes y destinos de trfico permitidos.

n Configurar reglas de filtrado.
n Activar o desactivar la poltica.
n Configurar propiedades como administracin de trfico, NAT y registro.
Para obtener ms informacin sobre la configuracin de polticas, consulte Acerca de propiedades de

polticas en la pgina 265.
Agregar una poltica de la lista de plantillas

El Firebox incluye una definicin predeterminada para cada poltica incluida en la configuracin del Firebox.
Las configuraciones de definiciones predeterminadas son apropiadas para la mayora de las instalaciones.
Sin embargo, el usuario puede modificarlas para incluir propiedades de polticas especiales como acciones
de QoS y cronogramas operativos.
1. en la pgina Agregar poltica,ample las carpetas Filtrados de paquetes, Proxies o Personalizada.

Aparece una lista de plantillas para polticas de filtrados de paquetes o proxy.
2. Seleccione el tipo de poltica que desea crear. Haga clic en Agregar.
Aparece el cuadro de dilogo , pgina Configuracin de polticas.
Gua del Usuario 255

Polticas
3. Para cambiar el nombre de la poltica, ingrese un nuevo nombre en el campo Nombre.

4. Defina las reglas de acceso y otras configuraciones para la poltica.
Para obtener ms informacin sobre propiedades de polticas, consulte Acerca de propiedades de polticas
en la pgina 265.
Desactivar o eliminar una poltica

Para desactivar una poltica:

Polticas

2. Seleccione la poltica y haga clic en Editar.
3. Desmarque la casilla de verificacin Activar.
Eliminar una poltica

Segn cambie la poltica de seguridad, en ocasiones es necesario eliminar una poltica.
Para borrar una poltica:

2. Seleccione la poltica y haga clic en Eliminar. Los cambios en la configuracin se guardan
automticamente.
Acerca de los alias

Un alias es un acceso directo que identifica a un grupo de hosts, redes o interfaces. Cuando se usa un alias,
es fcil crear una poltica de seguridad porque el Firebox permite utilizar alias cuando se crean polticas.
Los alias predeterminados en Fireware XTM Web UI incluyen:
n Cualquiera: cualquier alias de origen o destino correspondiente a interfaces del Firebox, como De
confianza o Externa.
n Firebox: un alias para todas las interfaces del Firebox.
n Cualquiera de confianza: un alias para todas las interfaces del Firebox configuradas como interfaces
de confianza y cualquier red a la que se puede obtener acceso a travs de estas interfaces.
n Cualquiera externa: un alias para todas las interfaces del Firebox configuradas como externas y
cualquier red a la que se puede obtener acceso a travs de estas interfaces.
n Cualquiera opcional: un alias para todas las interfaces del Firebox configuradas como opcionales y
cualquier red a la que se puede obtener acceso a travs de estas interfaces.
n Cualquiera BOVPN: un alias para cualquier tnel BOVPN (IPSec).
Cuando se utiliza el asistente de la poltica BOVPN para crear una poltica para permitir el trfico a
travs de un tnel BOVPN, el asistente automticamente crea alias .in y .out para los tneles
entrantes y salientes.
Los nombres de alias son diferentes de los nombres de usuario o grupo utilizados en la autenticacin de
usuario. Con la autenticacin de usuario, se puede monitorear una conexin con un nombre y no como una
direccin IP. La persona se autentica con un nombre de usuario y una contrasea para obtener acceso a los
protocolos de Internet.
Para ms informacin acerca de autenticacin de usuario, vea Acerca de la autenticacin de usuario en la

pgina 209.
Miembros de alias
Puede agregarse estos objetos a un alias:
n IP de host
n IP de red
Gua del Usuario 257

Polticas
n Un rango de direcciones IP de host

n Nombre de DNS para un host
n Direccin de tnel: definida por un usuario o grupo, direccin y nombre del tnel.
n Direccin personalizada: definida por un usuario o grupo, direccin e interfaz del Firebox.
n Otro alias
n Un usuario o grupo autorizado
Crear un alias
Para crear un alias para utilizar con las polticas de seguridad:
1. Seleccione Alias de> firewall.

Los alias pgina .

Agregar alias pgina aparece.

Polticas
3. En el cuadro de texto Nombre de alias ingrese un nombre nico para identificar al alias.
Este nombre aparece en listas cuando se configura una poltica de seguridad.
4. En el campo Descripcin, ingrese una descripcin del alias.
Agregar una direccin, rango de direccin, nombre de DNS, usuario,

grupo u otro alias al alias
1. En el cuadro de dilogo Agregar alias, haga clic en Agregar miembro.
2. En el En la lista desplegable Tipo de miembro seleccione el tipo de miembro que desea agregar.
3. Ingrese la direccin o el nombre en el cuadro Tipo cuadro de textoo seleccione el usuario o grupo..
4. Haga clic en OK.
El nuevo miembro aparece en la seccin Miembros de alias de Agregar alias. pgina.
5. Para agregar ms miembros, repita los pasos 1al 4.
Para quitar una entrada de la lista de miembros, seleccione la entrada y haga clic en Eliminar miembro.
Gua del Usuario 259

Polticas
Acerca de la precedencia de polticas

La precedencia es la secuencia en la cual el dispositivo Firebox o XTM examina el trfico de red y aplica una
regla de poltica. El dispositivo Firebox o XTM automticamente ordena las polticas desde la ms detallada a
la ms general. Compara la informacin en el paquete con la lista de reglas en la primera poltica. La
primera regla de la lista que coincida con las condiciones del paquete se aplica al paquete. Si el nivel de
detalle en dos polticas es equivalente, una poltica de proxy siempre tiene prioridad sobre una Poltica de
filtrado de paquetes.
Orden de polticas automtico

El dispositivo Firebox o XTM automticamente otorga la precedencia ms alta a las polticas ms especficas
y la ms baja a las menos especficas. El dispositivo Firebox o XTM examina la especificidad de los criterios
subsiguientes en este orden. Si no puede determinar la precedencia con el primer criterio, pasa al siguiente
y as sucesivamente.
1. Especificidad de la poltica
2. Protocolos configurados para el tipo de poltica
3. Reglas de trfico del campo Hasta
4. Reglas de trfico del campo Desde
5. Accin de firewall (permitido, negado o negado (enviar restablecer)) aplicada a las polticas
6. Cronogramas aplicados a las polticas
7. Secuencia alfanumrica basada en el tipo de poltica
8. Secuencia alfanumrica basada en el nombre de la poltica
Las secciones subsiguientes incluyen ms detalles acerca de lo que hace el dispositivo Firebox o XTM dentro
de estos ocho pasos.
Especificidad de la poltica y protocolos

El dispositivo Firebox o XTM utiliza estos criterios en secuencia para comparar dos polticas hasta que
determina que las polticas son equivalentes o que una es ms detallada que la otra.
1. Una poltica "Cualquier poltica" siempre tiene la precedencia ms baja.

2. Verificacin del nmero de protocolos TCP 0 (cualquiera) o UDP 0 (cualquiera). La poltica con el
menor nmero tiene mayor precedencia.
3. Verificacin del nmero de puertos nicos para los protocolos TCP y UDP. La poltica con el menor
nmero tiene mayor precedencia.
4. Suma la cantidad de puertos TCP y UDP nicos. La poltica con el menor nmero tiene mayor
precedencia.
5. Calificacin de los protocolos segn el valor del protocolo IP. La poltica con la menor calificacin
tiene mayor precedencia.
Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara la especificidad de la

poltica y los protocolos, examina las reglas de trfico.

Polticas
Reglas de trfico
El dispositivo Firebox o XTM utiliza estos criterios en secuencia para comparar la regla de trfico ms
general de una poltica con la regla de trfico ms general de una segunda poltica. Asigna mayor
precedencia a la poltica con la regla de trfico ms detallada.
1. Rango de direcciones IP de la
2. direccin de host (menor al de la subnet con la que se compara)
3. Rango de direcciones IP de la
4. subnet (mayor al de la subnet con la que se compara)
5. Nombre de usuario de autenticacin
6. Grupo de autenticacin
7. Interfaz, dispositivo Firebox o XTM
8. Cualquiera externa, Cualquiera de confianza, Cualquiera opcional
9. Cualquier
Por ejemplo, compare estas dos polticas:
(HTTP-1) Desde: De confianza, usuario1
(HTTP-2) Desde: 10.0.0.1, Cualquiera de confianza
De confianza es la entrada ms general para HTTP-1. Cualquiera-De confianza es la entrada ms general

para HTTP-2. Debido a que De confianza se incluye dentro del alias Cualquiera-De confianza, HTTP-1 es la
regla de trfico ms detallada. Esto es correcto a pesar de que HTTP-2 incluye una direccin IP, porque el
dispositivo Firebox o XTM compara la regla de trfico ms general de una poltica con la regla de trfico ms
general de la segunda poltica para establecer la precedencia.
Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara las reglas de trfico,
examina las acciones de firewall.
Acciones de firewall
El dispositivo Firebox o XTM compara las acciones de firewall de dos polticas para establecer la
precedencia. La precedencia de acciones de firewall de mayor a menor es:
1. Negada o Negada (enviar restablecer)

2. Poltica de proxy permitida
3. Poltica de filtrado de paquetes permitida
Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara las acciones de
firewall, examina los cronogramas.
Cronogramas
El dispositivo Firebox o XTM compara los cronogramas de dos polticas para establecer la precedencia. La
precedencia de cronogramas de mayor a menor es:
1. Siempre desactivado
2. A veces activo
3. Siempre activo
Gua del Usuario 261

Polticas
Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara los cronogramas,
examina los nombres y tipos de polticas.
Nombres y tipos de polticas

Si las dos polticas no coinciden en ningn otro criterio de precedencia, el dispositivo Firebox o XTM ordena
las polticas en secuencia alfanumrica. Primero, utiliza el tipo de poltica. Luego, utiliza el nombre de la
poltica. Dado que dos polticas no pueden ser del mismo tipo y tener el mismo nombre, ste es el ltimo
criterio de precedencia.
Determinar precedencia manualmente

Para cambiar al modo de orden manual y cambiar la precedencia de la poltica, debe desactivar el modo de
orden automtico:

2. Junto a El modo de orden automtico est activado, haga clic en Desactivar.
Aparece un mensaje de configuracin.
3. Haga clic en S para confirmar que desea cambiar al modo de orden manual.
4. Para cambiar el orden de una poltica, seleccinela y arrstrela a la nueva ubicacin.
O bien, seleccione una poltica y haga clic en Subir o Bajar para subirla o bajarla en la lista.
5. Haga clic en Guardar para guardar los cambios en el orden de la poltica.
Crear Cronogramas para acciones de Firebox

Un cronograma es un conjunto de horarios en los cuales una funcin est activada o desactivada. El
cronograma debe utilizarse si el usuario desea que una poltica o accin de WebBlocker se active o
desactive automticamente en los horarios especificados. El cronograma creado puede aplicarse a ms de
una poltica o accin de WebBlocker si desea que esas polticas o acciones se activen en los mismos
horarios.
Por ejemplo, una organizacin desea restringir ciertos tipos de trfico de red durante el horario comercial
normal. El administrador de red podra crear un cronograma que se active en los das laborables y
establecer cada poltica en la configuracin para que use el mismo cronograma.
Para crear un cronograma:
1. Seleccione Firewall>Programacin.
Aparece la pgina Programacin.
2. Para crear un nuevo cronograma, haga clic en Agregar.
Para modificar un cronograma, haga clic en Editar.
3. En el cuadro de texto Nombre, ingrese un nombre o una descripcin para el cronograma. Este
nombre no puede modificarse despus de guardar el cronograma.
4. Seleccione los horarios en los que desea que el cronograma funcione para cada da de la semana.

Polticas
Establecer un cronograma operativo

El usuario puede establecer un cronograma operativo para una poltica, para que sta se ejecute en los
horarios especificados. Los cronogramas pueden ser compartidos por ms de una poltica.
Para modificar el cronograma de una poltica:
1. Seleccione Firewall>Programacin.
Aparece la pgina Programacin.
2. En la lista Polticas de programacin, seleccione el Nombre del cronograma de una poltica.

3. En la columna Cronograma, seleccione un cronograma de la lista desplegable.
Acerca de las Polticas personalizadas

Si el usuario necesita autorizar un protocolo que no est incluido de manera predeterminada como opcin
de configuracin del Firebox, debe definir una poltica de trfico personalizada. Puede agregar una poltica
personalizada que use:
n Puertos TCP
n Puertos UDP
n Un protocolo IP que no sea TCP o UDP, como GRE, AH, ESP, ICMP, IGMP y OSPF. El usuario identifica
un protocolo IP que no es TCP o UDP con el nmero de protocolo IP.
Gua del Usuario 263

Polticas
Para crear una poltica personalizada, primero debe crear o editar una plantilla de poltica personalizada
que especifique los puertos y protocolos utilizados por polticas de ese tipo. Luego, crea una o ms polticas
a partir de esa plantilla para establecer reglas de acceso, registro, QoS y otras configuraciones.
Cree o edite una plantilla de poltica personalizada.

1. Seleccione Firewall >Polticas de Firewall. Haga clic en el botn Agregar.
2. Haga clic en Personalizada o seleccione una plantilla de poltica personalizada y haga clic en Editar.
3. En el cuadro de texto Nombre, ingrese el nombre de la poltica personalizada. El nombre aparece

en el Policy Manager como el tipo de poltica. Un nombre nico ayuda al usuario a encontrar la
poltica cuando desea modificarla o eliminarla. Este nombre no debe ser igual a ningn nombre de
la lista en el cuadro de dilogo Agregar poltica.
4. En el cuadro de texto Descripcin, ingrese una descripcin de la poltica.
Esto aparece en la seccin Detalles al hacer clic en el nombre de la poltica en la lista de Filtros de usuarios.
5. Seleccione el tipo de poltica: Filtro de paquetes o Proxy.
6. Si seleccione Proxy, elija el protocolo de proxy en la lista desplegable adyacente.
7. Para agregar protocolos a esta poltica, haga clic en Agregar.
Aparece el cuadro de dilogo Agregar protocolo.

Polticas
8. En la lista desplegable Tipo, seleccione Puerto independiente o Intervalo de puertos.

9. En la lista desplegable Protocolo, seleccione el protocolo para esta nueva poltica.
Si selecciona Puerto independiente, puede elegir TCP, UDP, GRE, AH, ESP, ICMP, IGMP, OSP, IP o
Cualquiera.
Si selecciona Intervalo de puertos, puede elegir TCP o UDP. Las opciones por debajo de la lista
desplegable cambian para cada protocolo.
Nota Fireware XTM no circula trfico multicast IGMP a travs de Firebox o entre
interfaces de Firebox. Circula trfico multicast IGMP slo entre una interfaz y
Firebox.
10. En la lista desplegable Puerto de servidor, seleccione el puerto para esta nueva poltica.
Si selecciona Intervalo de puertos, elija un puerto de servidor de inicio y un puerto de servidor de
finalizacin.
La plantilla de la poltica se agrega a la carpeta Polticas personalizadas.
Ahora puede utilizar la plantilla de la poltica que cre para agregar una o ms polticas personalizadas a su
configuracin. Siga el mismo procedimiento que para una poltica predefinida.
Acerca de propiedades de polticas

Cada tipo de poltica tiene una definicin predeterminada, que consiste en configuraciones que son
apropiadas para la mayora de las organizaciones. Sin embargo, el usuario puede modificar configuraciones
de polticas segn los fines particulares de su empresa o agregar otras configuraciones como administracin
de trfico y cronogramas operativos.
Las polticas de Mobile VPN se crean y funcionan del mismo modo que las polticas de firewall. Sin
embargo, se debe especificar un grupo de Mobile VPN al que se aplica la poltica.
En la parte superior de la pgina de configuracin de la poltica, se puede cambiar el nombre de la poltica.

Si la poltica es una poltica de proxy, tambin puede cambiarse la accin de proxy. Para ms informaciones,
vea Acerca de las acciones de proxy en la pgina 279.
Gua del Usuario 265

Polticas
Para configurar las propiedades de una poltica, en la pgina Polticas de Firewall, haga doble clic en la
poltica para abrir la pgina Configuracin de polticas. O bien, si acaba de agregar una poltica a la
configuracin, aparece automticamente la pgina Configuracin de polticas.
Pestaa Poltica
Utilice la pestaa Poltica para definir informacin bsica acerca de una poltica, como si permite o rechaza
trfico y cules dispositivos administra. Las configuraciones de la pestaa Poltica pueden utilizarse para
crear reglas de acceso para una poltica o configurar el enrutamiento basado en la poltica, NAT esttica o el
balance de carga en el servidor.
Para obtener ms informacin sobre las opciones para esta pestaa, consulte los siguientes temas:
n Definir reglas de acceso a una poltica en la pgina 267

n Configurar el enrutamiento basado en la poltica en la pgina 269
n Acerca de la NAT esttica en la pgina 153
n Configurar Balance de carga en el servidor en la pgina 154
Pestaa Propiedades
La pestaa Propiedades muestra el puerto y el protocolo al que se aplica la poltica, adems de una
descripcin de la poltica configurada. Las configuraciones en esta pestaa pueden utilizarse para definir las
preferencias de registro, notificaciones, bloque automtico y tiempo de espera.
n Determinar preferencias de registro y notificacin en la pgina 360

n Bloquear sitios temporalmente con configuracin de polticas en la pgina 346
n Configurar un tiempo de espera inactivo personalizado en la pgina 270
Pestaa Avanzada
La pestaa Avanzada incluye configuraciones para NAT y Administracin de trfico (QoS), adems de
opciones de WAN mltiples e ICMP.
n Establecer un cronograma operativo en la pgina 263

n Agregar una Accin de administracin de trfico a una poltica en la pgina 334
n Determinar Administracin de errores ICMP en la pgina 271
n Aplicar reglas NAT en la pgina 271
n Activar el marcado QoS o configuraciones de priorizacin para una poltica en la pgina 330
n Defina la duracin de sticky connection para una poltica en la pgina 272
Configuraciones de proxy
Cada poltica de proxy tiene configuraciones especficas de la conexin que pueden personalizarse. Para
conocer ms acerca de las opciones para cada proxy, consulte el tema Acerca de para el protocolo
deseado.
Acerca del DNS proxy en la pgina 280 Pgina Acerca de Proxy POP3 en la pgina 305

Polticas
Pgina Acerca de Proxy FTP en la pgina

Pgina Acerca de Proxy SIP en la pgina 309
284
Pgina Acerca de ALG H.323 en la pgina
Pgina Acerca de Proxy SMTP en la pgina 314
287
Pgina Acerca de Proxy HTTP en la pgina
Pgina Acerca de Proxy de TCP-UDP en la pgina 319
292
Pgina Acerca de Proxy HTTPS en la pgina
301
Definir reglas de acceso a una poltica

La pestaa Poltica del cuadro de dilogo Configuracin de polticas se usa para configurar las reglas de
acceso a una poltica determinada.
El campo Las conexiones estn define si el trfico que coincide con las reglas de la poltica est permitido o
negado. Para configurar el modo en que se administra el trfico, utilice estas configuraciones:
Permitido
El Firebox permite el trfico que usa esta poltica si coincide con las reglas establecidas en la poltica.
El usuario puede configurar la poltica para crear un mensaje de registro cuando el trfico de red
coincide con la poltica.
Negado
Firebox rechaza todo el trfico que coincide con las reglas de esta poltica y no enva una notificacin
al dispositivo que envi el trfico. El usuario puede configurar la poltica para crear un mensaje de
registro cuando un equipo intenta utilizar esta poltica. La poltica tambin puede agregar
automticamente un equipo o red a la lista de Sitios bloqueados si intenta establecer una conexin
con esta poltica.
Para ms informaciones, vea Bloquear sitios temporalmente con configuracin de polticas en la

pgina 346.
Negado (enviar restablecer)
El Firebox rechaza todo el trfico que coincide con las reglas de esta poltica. El usuario puede
configurar la poltica para crear un mensaje de registro cuando un equipo intenta utilizar esta
poltica. La poltica tambin puede agregar automticamente un equipo o red a la lista de Sitios
bloqueados si intenta establecer una conexin con esta poltica.

pgina 346.
Con esta opcin, el Firebox enva un paquete para informar al dispositivo que envi el trfico de red
que la sesin se rechaz y la conexin se cerr. El usuario puede configurar una poltica para
informar otros errores en cambio, que indican al dispositivo que el puerto, el protocolo, la red o el
host no pueden alcanzarse. Recomendamos utilizar estas opciones con precaucin para asegurarse
de que la red funciona correctamente con otras redes.
Gua del Usuario 267

Polticas
La pestaa Poltica tambin incluye:
n Una lista Desde (u origen) que especifica quin puede enviar (o no puede enviar) trfico de red con
esta poltica.
n Una lista Hasta (o destino) que especifica a quin el Firebox puede enrutar trfico si el trfico
coincide (o no coincide) con las especificaciones de la poltica.
Por ejemplo, puede configurar un filtro de paquetes ping para permitir el trfico de ping desde todos los
equipos de la red externa a un servidor web de la red opcional. Sin embargo, cuando se abre la red de
destino a conexiones a travs del puerto o puertos que la poltica controla, la red puede volverse
vulnerable. Asegrese de configurar las polticas con cuidado para evitar vulnerabilidades.
1. Para agregar miembros a sus especificaciones de acceso, haga clic en Agregar junto a la lista de
miembros Desde o Hasta.
Aparece el cuadro de dilogo Agregar miembro.
2. El contiene a los miembros que el usuario puede agregar a las listas Desde o Hasta. Un miembro
puede ser un alias, usuario, grupo, direccin IP o rango de direcciones IP.
3. En la lista desplegable Tipo de miembro, especifique el tipo de miembro que desea agregar al
cuadro.
4. Seleccione el miembro que desea agregar y haga clic en Agregar o haga doble clic en una entrada
de esta ventana.
5. Para agregar otros miembros al campo Desde o Hasta, repita los pasos anteriores.
6. Haga clic en OK.

Polticas
El origen y el destino pueden ser una direccin IP de host, un rango de host, un nombre de host, una
direccin de red, un nombre de usuario, un alias, un tnel VPN o cualquier combinacin de esos objetos.
Para obtener ms informacin sobre los alias que aparecen como opciones en la lista Desde y Hasta,
consulte el tema Acerca de los alias en la pgina 257.
Para obtener ms informacin acerca de cmo crear un nuevo alias, consulte Crear un alias en la pgina 258.
Configurar el enrutamiento basado en la poltica

Para enviar trfico de red, un enrutador en general examina la direccin de destino en el paquete y
observa la tabla de enrutamiento para encontrar el destino del siguiente salto. En algunos casos, el usuario
desea enviar trfico a una ruta diferente de la ruta predeterminada que se especifica en la tabla de
enrutamiento. Puede configurar una poltica con una interfaz externa especfica para usar con todo el
trfico saliente que coincida con esa poltica. Esta tcnica se conoce como enrutamiento basado en la
poltica. El enrutamiento basado en la poltica tiene prioridad sobre otras configuraciones de WAN
mltiples.
El enrutamiento basado en la poltica puede usarse cuando hay ms de una interfaz externa y Firebox se ha
configurado para WAN mltiples. Con el enrutamiento basado en la poltica, el usuario puede asegurarse de
que todo el trfico para una poltica siempre atraviese la misma interfaz externa, aunque la configuracin
de WAN mltiples est definida para enviar trfico en una configuracin de operacin por turnos. Por
ejemplo, si el usuario desea que el correo electrnico se enrute a travs de una interfaz particular, puede
usar el enrutamiento basado en la poltica en la definicin de proxy POP3 o SMTP.
Nota Para usar enrutamiento basado en la poltica, debe tener Fireware XTM con una
actualizacin Pro. Tambin debe configurar por lo menos dos interfaces externas.
Enrutamiento basado en la poltica, conmutacin por error y failback

Cuando se usa el enrutamiento basado en la poltica con conmutacin por error de WAN mltiples, se
puede especificar si el trfico que coincide con la poltica usa otra interfaz externa cuando ocurre la
conmutacin por error. La configuracin predeterminada es rechazar el trfico hasta que la interfaz est
disponible nuevamente.
Las configuraciones de failback (definidas en la pestaa WAN mltiples del cuadro de dilogo Configuracin
de red) tambin se aplican al enrutamiento basado en la poltica. Si ocurre un evento de conmutacin por
error y la interfaz original luego pasa a estar disponible, Firebox puede enviar conexiones activas a la
interfaz de conmutacin por error o puede retornar a la interfaz original. Las nuevas conexiones se envan a
la interfaz original.
Restricciones en el enrutamiento basado en la poltica

n El enrutamiento basado en la poltica est disponible slo si la WAN mltiple est activada. Si se
activa la WAN mltiple, el cuadro de dilogo Editar propiedades de polticas automticamente
incluye campos para configurar el enrutamiento basado en la poltica.
n De manera predeterminada, el enrutamiento basado en la poltica no est activado.
Gua del Usuario 269

Polticas
n El enrutamiento basado en la poltica no se aplica al trfico IPSec ni al trfico destinado a la red de

confianza u opcional (trfico entrante).
Agregar enrutamiento basado en la poltica a una poltica

O haga doble clic en una poltica.
3. Seleccione la casilla de verificacin Usar enrutamiento basado en la poltica.
4. Para especificar la interfaz para enviar trfico saliente que coincida con la poltica, seleccione el
nombre de la interfaz en la lista desplegable adyacente. Asegrese de que la interfaz seleccionada
sea miembro del alias o red definido en el campo Hasta de la poltica.
5. (Opcional) Configurar el enrutamiento basado en la poltica con conmutacin por error de WAN
mltiples, como se describe a continuacin. Si no selecciona Conmutacin por error y la interfaz
definida para esta poltica pasa a estar inactiva, el trfico se rechaza hasta que la interfaz vuelva a
estar disponible.
Configurar basado en polticas Enrutamiento con conmutacin por error

El usuario puede configurar la interfaz especificada para esta poltica como interfaz principal y definir otras
interfaces externas como interfaces de resguardo para todo el trfico que no es IPSec.
1. En la pgina Configuracin de polticas, seleccione Usar conmutacin por error.

2. En la lista adyacente, seleccione la casilla de verificacin para cada interfaz que desea utilizar en la
configuracin de la conmutacin por error.
3. Haga clic en Subir y Bajar para definir el orden para conmutacin por error.
La primera interfaz de la lista es la principal.
Configurar un tiempo de espera inactivo personalizado

El tiempo de espera inactivo es la cantidad de tiempo mximo que una conexin puede mantenerse activa
cuando no se enva trfico. De manera predeterminada, el Firebox cierra las conexiones de red despus de
300 segundos (6 minutos). Cuando se activa esta configuracin para una poltica, el Firebox cierra la
conexin una vez transcurrido el lapso de tiempo especificado por el usuario.
1. En la pgina Configuracin de polticas, seleccione la pestaa Propiedades.

2. Seleccione la casilla de verificacin Especificar tiempo de espera inactivo personalizado.
3. En el campo adyacente, establezca el nmero de segundos antes del tiempo de espera.

Polticas
Determinar Administracin de errores ICMP

Pueden establecerse las configuraciones de administracin de errores de ICMP asociadas con una poltica.
Estas configuraciones anulan las configuraciones globales de administracin de errores de ICMP.
Para cambiar las configuraciones de administracin de errores de ICMP para la poltica actual:

2. Seleccione la casilla de verificacin Utilizar administracin de errores de ICMP basada en polticas.
3. Seleccione una o ms casillas de verificacin para anular las configuraciones de ICMP globales para
ese parmetro.
Para obtener ms informacin sobre configuraciones de ICMP, consulte Defina las configuraciones
globales del Firebox en la pgina 67.
Aplicar reglas NAT

Se pueden aplicar reglas de traduccin de direccin de red (NAT) a una poltica. Puede seleccionar 1-to-1
NAT o NAT dinmica.
1. En la pgina Configuracin de polticas, seleccione la pestaa Avanzada.

2. Seleccione una de las opciones descritas en las siguientes secciones.
1-to-1 NAT
Con este tipo de NAT, el dispositivo WatchGuard utiliza rangos de direcciones IP pblicas y privadas
configurados por el usuario, segn se describe en Acerca de las 1-to-1 NAT en la pgina 142.
NAT dinmico
Con este tipo de NAT, el dispositivo WatchGuard asigna direcciones IP privadas a direcciones IP pblicas.
Todas las polticas tienen NAT dinmica activada de manera predeterminada.
Seleccione Usar configuraciones NAT de red si desea utilizar las reglas de NAT dinmica establecidas para
el dispositivo WatchGuard.
Seleccione Todo el trfico en esta poltica si desea aplicar NAT a todo el trfico en esta poltica.
En el campo Configurar IP de origen, puede seleccionar una direccin IP de origen NAT dinmica para
cualquier poltica que use NAT dinmica. De este modo se garantiza que cualquier trfico que usa esta
poltica muestra una direccin especfica de su rango de direcciones IP externas o pblicas como el origen.
Esto resulta til si se desea obligar al trfico SMTP saliente a mostrar la direccin de registro MX para su
dominio cuando la direccin IP en la interfaz externa del dispositivo WatchGuard no coincide con la
direccin IP de registro MX.
Las reglas de 1-to-1 NAT tienen mayor prioridad que las reglas de NAT dinmica.
Gua del Usuario 271

Polticas
Defina la duracin de sticky connection para una poltica

La configuracin de sticky connection para una poltica anula la configuracin de sticky connection global. Se
deben activar WAN mltiples para utilizar esta funcin.
1. En la pgina Propiedades de polticas, seleccione la pestaa Avanzada.

2. Para usar la configuracin de sticky connection de WAN mltiple global, desmarque la casilla de
verificacin Anular configuracin de sticky connection de WAN mltiple.
3. Para definir un valor de sticky connection personalizado para esta poltica, seleccione la casilla de
verificacin Activar sticky connection.
4. En el cuadro de texto Activar sticky connection, ingrese la cantidad de tiempo en minutos para
mantener la conexin.

13 Configuraciones de proxy
Acerca de las polticas de proxy y ALG

Todas las polticas de WatchGuard son herramientas importantes para la seguridad de la red, ya sea se trate
de polticas de filtro de paquetes, polticas de proxy o puertas de enlace de la capa de aplicacin (ALG). Un
filtro de paquetes examina el encabezado IP y TCP/UDP de cada paquete, un proxy monitorea y escanea
conexiones completas y una ALG proporciona administracin de conexin transparente adems de
funcionalidad del proxy. Las polticas de proxy y ALG examinan los comandos utilizados en la conexin para
asegurarse de que tengan la sintaxis y el orden correctos y usan la inspeccin de paquetes profunda para
garantizar que las conexiones sean seguras.
Una poltica de proxy o ALG abre cada paquete en secuencia, elimina el encabezado del nivel de red y
examina la carga del paquete. Un proxy luego reescribe la informacin de la red y enva el paquete a su
destino, mientras que una ALG restablece la informacin de la red original y reenva el paquete. Como
resultado, un proxy o ALG puede encontrar contenido prohibido o malicioso oculto o integrado en la carga
de datos. Por ejemplo, un proxy SMTP examina todos los paquetes SMTP (correo electrnico) entrantes
para encontrar contenido prohibido, como programas o archivos ejecutables escritos en lenguajes de
script. Los atacantes con frecuencia usan estos mtodos para enviar virus informticos. Un proxy o ALG
puede imponer una poltica que prohbe estos tipos de contenido, mientras el filtro de paquetes no puede
detectar el contenido no autorizado en la carga de datos del paquete.
Si el usuario ha adquirido y activado servicios de suscripcin adicionales (Gateway AntiVirus, Intrusion

Prevention Service, spamBlocker, WebBlocker), los servidores proxy de WatchGuard pueden aplicar estos
servicios al trfico de red.
Configuracin de proxy
Al igual que los filtrados de paquetes, las polticas de proxy incluyen opciones comunes para administrar el
trfico de red, incluidas las funciones de administracin del trfico y programacin. Sin embargo, las
polticas de proxy tambin incluyen configuraciones que se relacionan con el protocolo de red especfico.
Gua del Usuario 273

Por ejemplo, puede configurar una poltica de proxy DNS para permitir slo las solicitudes que coinciden
con la clase IN o configurar un proxy SMTP para denegar los mensajes de correo electrnico si los
encabezados no estn definidos correctamente. Estas opciones pueden configurarse en las pestaas
General y Contenido de cada poltica de proxy.
Fireware XTM admite polticas de proxy para muchos protocolos comunes, entre ellos DNS, FTP, H.323,
HTTP, HTTPS, POP3, SIP, SMTP y TCP-UDP. Para obtener ms informacin sobre una poltica de proxy,
consulte la seccin para dicha poltica.
284
287
292
301
Acerca de las configuraciones de Application

Blocker
El Application Blocker puede usarse para definir las acciones que realiza el dispositivo Firebox o XTM
cuando una poltica de proxy TCP-UDP, HTTP o HTTPS detecta actividad de red de aplicaciones de
mensajera instantnea (IM) o punto a punto (P2P).
El Application Blocker identifica estas aplicaciones de IM:
n AIM (AOL Instant Messenger)

n ICQ
n IRC
n MSN Messenger
n Skype
n Yahoo! Messenger
Nota El Application Blocker no puede bloquear las sesiones de Skype que ya estn
activas. Para ms informaciones, vea Acerca de Skype y el Application Blocker.
El Application Blocker identifica estas aplicaciones P2P:
n BitTorrent
n Ed2k (eDonkey2000)
n Gnutella
n Kazaa
n Napster
n Winny
Nota No se requiere que el Intrusion Prevention service utilice la funcin del Application
Blocker.

Configurar el Application Blocker

En los servidores proxy HTTP y TCP-UDP, puede establecer estas configuraciones del Application Blocker:
Aplicaciones de IM
Seleccione la casilla de seleccin adyacente a una o ms aplicaciones de IM. Luego, seleccione

Permitir o Eliminar en la lista desplegable Cuando se detecta una aplicacin de IM. Si
selecciona Permitir, se bloquearn las aplicaciones que no haya marcado. Si selecciona
Eliminar, se permitirn las aplicaciones que no haya marcado.
Por ejemplo, la captura de pantalla anterior muestra que las aplicaciones AIM, ICQ y Yahoo!
estn seleccionadas. Como la accin est configurada para Eliminar, el proxy de TCP-UDP
permite el trfico de IM de IRC, Skype y MSN.
Aplicaciones de P2P
Seleccione la casilla de seleccin adyacente a una o ms aplicaciones de P2P. Luego, seleccione

Permitir o Eliminar en la lista desplegable Cuando se detecta una aplicacin de P2P. Si
selecciona Permitir, se bloquearn las aplicaciones que no haya marcado. Si selecciona
Eliminar, se permitirn las aplicaciones que no haya marcado.
Por ejemplo, la captura de pantalla anterior muestra que las aplicaciones Kazaa, Ed2k, Napster y
Gnutella estn seleccionadas. Como la accin est configurada para Eliminar, el proxy permite
cualquier otro tipo de trfico P2P.
Para obtener informacin acerca de dnde establecer las configuraciones del Application Blocker en los
servidores proxy HTTP y TCP-UDP, consulte:
n Proxy de TCP-UDP: Contenido

n Proxy HTTP: Application Blocker
Gua del Usuario 275

Acerca de Skype y el Application Blocker

Skype es una aplicacin de red punto a punto (P2P) muy conocida que se usa para realizar llamadas de voz,
enviar mensajes o archivos de texto o participar en videoconferencias por Internet. El cliente de Skype usa
una combinacin dinmica de puertos que incluye a los puertos salientes 80 y 443. El trfico de Skype es
muy difcil de detectar y bloquear porque est cifrado y porque el cliente de Skype puede derivar muchos
firewalls de red.
El Application Blocker puede configurarse para bloquear el inicio de sesin de un usuario en la red de
Skype. Es importante comprender que el Application Blocker slo puede bloquear el proceso inicio de
sesin en Skype. No puede bloquear el trfico para un cliente de Skype que ya ha iniciado sesin y tiene
una conexin activa. Por ejemplo:
n Si un usuario remoto inicia sesin en Skype cuando el equipo no est conectado a la red y luego el
usuario se conecta a la red mientras el cliente de Skype an est activo, el Application Blocker no
puede bloquear el trfico de Skype hasta que el usuario cierre la sesin de la aplicacin de Skype o
reinicie el equipo.
n Cuando se configura el Application Blocker por primera vez para bloquear Skype, cualquier usuario
que ya est conectado a la red de Skype no puede bloquearse hasta que cierre la sesin en Skype o
reinicie su equipo.
Cuando el Application Blocker bloquea un inicio de sesin en Skype, agrega las direcciones IP de los
servidores Skype a la lista de Sitios bloqueados. Para estas direcciones IP bloqueadas, el Origen activador es
"admin" y el Motivo es "manejo predeterminado de paquetes". Adems, aparece un mensaje de registro
en Control de trfico que muestra que el acceso al servidor de Skype fue denegado porque la direccin
est en la lista de Sitios bloqueados.
Nota Debido a que la lista de Sitios bloqueados bloquea el trfico entre los servidores de
Skype y todos los usuarios de su red, el acceso a Skype se bloquea para todos los
usuarios.
Las direcciones IP del servidor de Skype permanecen en la lista de Sitios bloqueados durante el perodo
especificado por el usuario en el cuadro de texto Duracin de sitios bloqueados automticamente en la
configuracin de Sitios bloqueados. La duracin predeterminada es 20 minutos. Si se bloquea Skype y luego
se cambia la configuracin para dejar de bloquear Skype, las direcciones IP del servidor de Skype en la lista
de Sitios bloqueados permanecern bloqueadas hasta que venza el bloqueo o hasta quitarlas de la lista de
Sitios bloqueados en forma manual.
Para obtener ms informacin acerca de la configuracin Duracin de sitios bloqueados

automticamente, consulte Cambiar la duracin de los sitios que son bloqueados automticamente en la
pgina 347.
Bloquear inicios de sesin en Skype

Para bloquear inicios de sesin en Skype, se debe crear una configuracin del Application Blocker y
seleccionar Skype como un tipo de aplicacin a bloquear. Luego se debe aplicar la configuracin a la poltica
de proxy TCP/UDP.

Para obtener ms informacin acerca de cmo crear una configuracin del Application Blocker, consulte
Acerca de las configuraciones de Application Blocker en la pgina 274.
Agregar una poltica de proxy a la configuracin

Cuando se agrega una poltica de proxy o ALG (puerta de enlace de la capa de aplicacin) a la configuracin
del Fireware XTM, se especifican tipos de contenido que el dispositivo Firebox o XTM debe buscar a medida
que examina el trfico de red. Si el contenido coincide (o no coincide) con los criterios definidos en la
definicin de proxy o ALG, el trfico se permite o deniega.
Pueden usarse las configuraciones predeterminadas de la poltica de proxy o ALG o pueden cambiarse estas
configuraciones para adaptarlas al trfico de red de su organizacin. Tambin pueden crearse polticas de
proxy o ALG adicionales para administrar diferentes partes de la red.
Es importante recordar que una poltica de proxy o ALG requiere ms capacidad de procesamiento que un
filtro de paquetes. Si se agrega un gran nmero de polticas de proxy o ALG a la configuracin, las
velocidades del trfico de red podran disminuir. Sin embargo, un proxy o ALG utiliza mtodos que los filtros
de paquetes no pueden utilizar para capturar paquetes peligrosos. Cada poltica de proxy incluye varias
configuraciones que pueden ajustarse para crear un equilibrio entre los requisitos de seguridad y
rendimiento.
Puede usar Fireware XTM Web UI para agregar una poltica de proxy.

3. En la lista Seleccionar tipo de poltica, seleccione un filtro de paquetes, una poltica de proxy o ALG
(puerta de enlace de la capa de aplicacin). Haga clic en Agregar.
Aparece la pgina Configuracin de poltica.
Gua del Usuario 277

Para obtener ms informacin sobre las propiedades bsicas de todas las polticas, consulte Acerca de
propiedades de polticas en la pgina 265.
Para obtener ms informacin acerca de las configuraciones predeterminadas para una poltica de proxy o
ALG, consulte el tema "Acerca de" para el tipo de poltica agregada.
284
287


292
301
Acerca de las acciones de proxy

Una accin de proxy es un grupo especfico de configuraciones, orgenes o destinos para un tipo de proxy.
Dado que la configuracin puede incluir varias polticas de proxy del mismo tipo, cada poltica de proxy
utiliza una accin de proxy diferente. Cada poltica de proxy tiene acciones de proxy predefinidas o
predeterminadas para clientes y servidores. Por ejemplo, puede usarse una accin de proxy para paquetes
enviados a un servidor POP3 protegido por el dispositivo Firebox o XTM y una accin de proxy diferente
para aplicar a mensajes de correo electrnico recuperados por clientes POP3.
Pueden crearse muchas acciones de proxy diferentes tanto para clientes como para servidores o para un
tipo de poltica de proxy especfico. Sin embargo, puede asignarse slo una accin de proxy a cada poltica
de proxy. Por ejemplo, una poltica POP3 est vinculada a una accin de proxy POP3-Cliente. Si desea crear
una accin de proxy POP3 para un servidor POP3 o una accin de proxy adicional para clientes POP3,
deben agregarse nuevas polticas de proxy POP3 que usen esas nuevas acciones de proxy al Policy
Manager.
Configurar la accin de proxy

Para establecer la accin de proxy para una poltica de proxy antes de crear la poltica, seleccione una
plantilla de poltica de proxy y luego seleccione la accin deseada en la lista desplegable Accin de proxy.
Para cambiar una accin de proxy para una poltica de proxy existente, haga clic en el botn Cambiar en la
parte superior de la pgina, luego seleccione la accin deseada en la lista desplegable y haga clic en OK.
Editar, eliminar o clonar acciones de proxy

n Para editar una accin de proxy, modifique las configuraciones de una poltica de proxy que utilice
esa accin de proxy y guarde los cambios.
n Para eliminar una accin de proxy, ingrese en la pgina Firewall> Acciones de proxy. Seleccione la
accin de proxy que desea borrar y haga clic en Eliminar. Si elige una accin de proxy que est en
uso, debe modificar esa poltica de proxy para que use una accin de proxy diferente antes de
poder eliminar la accin de proxy.
n Para realizar una copia de una accin de proxy y guardarla con un nuevo nombre, ingrese en la
pgina Firewall> Acciones de proxy. Seleccione el proxy con las configuraciones que desea copiar y
haga clic en Clonar. Ingrese un nuevo nombre para la accin de proxy y haga clic en OK.
Para obtener ms informacin sobre las configuraciones de acciones de proxy para cada proxy, consulte el
tema Acerca de para ese proxy.
284
287
Pgina Acerca de Proxy HTTP en la pgina Pgina Acerca de Proxy de TCP-UDP en la pgina 319
Gua del Usuario 279

292
301
Acerca de acciones de proxy definidas por el usuario y

predefinidas Acciones de proxy
Fireware XTM tiene acciones de proxy servidor y cliente predefinidas para cada proxy. Estas acciones
predefinidas se configuran para equilibrar los requisitos de accesibilidad de una empresa tpica con la
necesidad de proteger su capital de equipos contra ataques. Las configuraciones de acciones de proxy
predefinidas no pueden modificarse. Si desea realizar cambios en la configuracin, debe clonar (copiar) la
definicin existente y guardarla como una accin de proxy definida por el usuario. Los servicios de
suscripcin, como el Gateway AntiVirus, no pueden configurarse para acciones de proxy predefinidas.
Por ejemplo, si desea modificar una configuracin en la accin de proxy HTTP Cliente, debe guardarla con
un nombre diferente, como HTTP Cliente.1. Esto es necesario slo cuando se realizan modificaciones en los
conjuntos de reglas. Si se realizan cambios en configuraciones generales como los orgenes o destinos
permitidos o las configuraciones NAT para una poltica, no es necesario guardarlas con un nuevo nombre.
Acerca del DNS proxy

El Sistema de domain name (DNS) es un sistema de servidores en red que traducen direcciones IP
numricas en direcciones de Internet legibles y jerrquicas, y viceversa. DNS permite a la red de equipos
comprender, por ejemplo, que se desea alcanzar el servidor en 200.253.208.100 cuando se ingresa un
domain name en el explorador, como www.watchguard.com. Con Fireware XTM, es posible controlar el
trfico DNS mediante dos mtodos: el filtro de paquetes DNS y la poltica de proxy DNS. El proxy DNS es til
slo si las solicitudes de DNS se enrutan a travs de Firebox.
Cuando se crea un nuevo archivo de configuracin, ste automticamente incluye una poltica de filtrado
de paquetes salientes que admite todas las conexiones TCP y UDP desde las redes de confianza y opcional a
las externas. Esto permite a los usuarios conectarse a un servidor DNS externo con los puertos TCP 53 y
UDP 53 estndar. Dado que Saliente es un filtro de paquetes, no puede ofrecer proteccin contra troyanos
salientes UDP comunes, explotaciones de DNS y otros problemas que ocurren cuando se abre todo el
trfico UDP saliente de las redes de confianza. El proxy DNS tiene funciones para proteger la red de estas
amenazas. Si se utilizan servidores DNS externos para la red, el conjunto de reglas DNS Saliente ofrece
mtodos adicionales de controlar los servicios disponibles a la comunidad de red.
Para agregar el proxy DNS a la configuracin de Firebox, consulte Agregar una poltica de proxy a la
configuracin en la pgina 277.
Pestaa Poltica
n Las conexiones DNS Servidor proxy estn: especifica si las conexiones estn Permitidas, Negadas o
Negadas (enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaa Poltica
de la definicin de proxy). Vea Definir reglas de acceso a una poltica en la pgina 267.
n Usar el enrutamiento basado en la poltica: consulte Configurar el enrutamiento basado en la
poltica en la pgina 269.

n Tambin puede configurarse NAT esttica o el balance de carga en el servidor. Vea Acerca de la NAT
esttica en la pgina 153 y Configurar Balance de carga en el servidor en la pgina 154.
Pestaa Propiedades
n Para definir el registro para una poltica, haga clic en Registro y Determinar preferencias de registro
y notificacin en la pgina 360.
n Si configura la lista desplegable Las conexiones estn (en la pestaa Poltica) en Negadas o Negadas
(enviar restablecer), se pueden bloquear sitios que intentan usar DNS. Vea Bloquear sitios
temporalmente con configuracin de polticas en la pgina 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de
autenticacin, Configurar un tiempo de espera inactivo personalizado en la pgina 270.
Pestaa Avanzada
Pueden usarse varias otras opciones en la definicin de proxy:
n Establecer un cronograma operativo

n Agregar una Accin de administracin de trfico a una poltica
n Determinar Administracin de errores ICMP
n Aplicar reglas NAT (Tanto 1-to-1 NAT como NAT dinmica estn activadas de manera
predeterminada en todas las polticas).
n Activar el marcado QoS o configuraciones de priorizacin para una poltica
n Defina la duracin de sticky connection para una poltica
Pestaas Configuracin y Contenido

Las polticas de proxy de WatchGuard tienen opciones de seguridad de red y rendimiento adicionales
relacionadas con el tipo de trfico de red que controla el proxy. Para modificar estas configuraciones, edite
una poltica de proxy y seleccione la pestaa Configuracin o Contenido.
n Proxy DNS: Configuracin

n Proxy DNS: Contenido
Proxy DNS: Contenido

Cuando se agrega una poltica de proxy DNS, se pueden configurar opciones adicionales relacionadas con el
protocolo DNS.
Para mejorar la seguridad de red y el rendimiento:
1. Edite o agregue la poltica DNS-Servidor proxy.

2. Haga clic en la pestaa Contenido.
3. Configure Tipos de consulta y Nombres de consulta.
Gua del Usuario 281

Tipos de consulta
Esta lista muestra cada tipo de registro DNS y su valor. Para denegar solicitudes de registro DNS
de un tipo especfico, desmarque la casilla de verificacin adyacente.
Nombres de consulta
Para denegar solicitudes DNS por patrn, seleccione la casilla de verificacin Denegar estos
nombres de consulta. Ingrese un nombre de host en el campo de texto adyacente y haga clic
en Agregar.
Para borrar una entrada de la lista Nombres de consulta, seleccione la entrada y haga clic en
Eliminar.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaa diferente.
Proxy DNS: Configuracin

Cuando se agrega una poltica de proxy DNS, se pueden configurar opciones adicionales relacionadas con el
protocolo DNS.
1. Edite o agregue la poltica DNS-Servidor proxy.

2. Seleccione la pestaa Configuracin.
3. Configurar las Reglas de deteccin de anomalas de protocolo.

Internet sin clasificar
La mayora de las solicitudes DNS utilizan la clase IN o Internet. Muchos ataques, en cambio,
utilizan las clases CH (caos) o HS (Hesiod). Sin embargo, algunas configuraciones de red
requieren que estas clases funcionen correctamente. Por ejemplo, se puede usar el servicio de
nombres Hesiod para distribuir automticamente informacin de usuarios y grupos a travs de
una red con el sistema operativo Unix. La accin predeterminada es denegar estas solicitudes.
Seleccione una opcin para solicitudes DNS que usan las clases CH o HS:
n Permitir
n Denegar
n Descartar
n Bloquear: todas las solicitudes futuras de ese dispositivo se bloquean automticamente
durante un perodo determinado. Seleccione la opcin apropiada en la lista desplegable
adyacente.
Consulta con formato errneo
Un atacante pueden intentar enviar solicitudes DNS que no coinciden con los estndares del
protocolo para obtener el control de la red. Sin embargo, otras aplicaciones a veces pueden
enviar solicitudes con formato inadecuado que son necesarias para la organizacin.
Recomendamos utilizar la configuracin predeterminada y denegar las solicitudes DNS con
formato inadecuado.
Seleccione una opcin para solicitudes DNS con formato inadecuado:
n Permitir
n Denegar
n Descartar
n Bloquear: todas las solicitudes futuras de ese dispositivo se bloquean automticamente
durante un perodo determinado. Seleccione la opcin apropiada en la lista desplegable
adyacente.
Activar el registro para informes
Para enviar un mensaje de registro para cada solicitud de conexin administrada por el DNS-
Servidor proxy, seleccione esta casilla de verificacin. Debe activar esta opcin para crear
informes precisos sobre el trfico DNS Servidor proxy.
Gua del Usuario 283

Pgina Acerca de Proxy FTP

El FTP (protocolo de transferencia de archivos) se usa para enviar archivos desde un equipo a otro diferente
a travs de una red TCP/IP. El cliente FTP es generalmente un equipo. El servidor FTP puede ser un recurso
que mantiene archivos en la misma red o en una red diferente. El cliente FTP puede estar en uno de dos
modos para la transferencia de datos: activo o pasivo. En el modo activo, el servidor inicia una conexin con
el cliente en el puerto de origen 20. En el modo pasivo, el cliente utiliza un puerto previamente negociado
para conectarse al servidor. El proxy FTP monitorea y examina estas conexiones FTP entre los usuarios y los
servidores FTP a los que se conectan.
Con una poltica de proxy FTP es posible:
n Establecer la longitud mxima del nombre de usuario, la longitud de la contrasea, la longitud del
nombre de archivo y la longitud de la lnea de comandos permitidas a travs del proxy para ayudar a
proteger la red de ataques de fallas en la memoria intermedia.
n Controlar el tipo de archivos que el proxy FTP permite para cargas y descargas.
El proxy TCP/UDP est disponible para protocolos en puertos no estndares. Cuando el FTP utiliza un puerto
que no es el puerto 20, el proxy TCP/UDP retransmite el trfico al proxy FTP. Para obtener informacin
sobre el proxy TCP/UDP, consulte Pgina Acerca de Proxy de TCP-UDP en la pgina 319.
Para agregar el proxy FTP a la configuracin de Firebox, consulte Agregar una poltica de proxy a la
Pestaa Poltica
La pestaa Poltica se utiliza para definir reglas de acceso y otras opciones.
n Las conexiones FTP-Servidor proxy estn: especifica si las conexiones estn Permitidas, Negadas o
Negadas (enviar restablecer). Defina quin figura en la lista Desde y Hasta (en la pestaa Poltica de
la definicin de proxy).
Para ms informaciones, vea Definir reglas de acceso a una poltica.
n Usar el enrutamiento basado en la poltica: Configurar el enrutamiento basado en la poltica.
n Tambin puede configurarse NAT esttica o el balance de carga en el servidor.
Para obtener ms informacin, consulte Acerca de la NAT esttica en la pgina 153 o Configurar
Balance de carga en el servidor en la pgina 154.
Pestaa Propiedades
n Si configura la lista desplegable Las conexiones de FTP Servidor proxy estn (en la pestaa Poltica)
en Negadas o Negadas (enviar restablecer), se pueden bloquear sitios que intentan usar FTP.
pgina 346.
autenticacin, Configurar un tiempo de espera inactivo personalizado en la pgina 270.

Pestaa Avanzada


n Proxy FTP: Configuracin

n FTP DNS: Contenido
FTP DNS: Contenido

El usuario puede controlar el tipo de archivos que el proxy FTP permite para cargas y descargas. Por
ejemplo, debido a que muchos hackers utilizan archivos ejecutables para implementar virus o gusanos en
un equipo, el usuario podra denegar solicitudes de archivos *.exe. O bien, si no dese permitir que los
usuarios carguen archivos de Windows Media a un servidor FTP, puede agregar *.wma a la definicin de
proxy y especificar que estos archivos se rechazan. Utilice el asterisco (*) como carcter comodn.
Gua del Usuario 285

1. Seleccione la pestaa Contenido.

2. En la seccin Descargas, seleccione la casilla de verificacin Denegar estos tipos de archivos si
desea limitar los tipos de archivos que un usuario puede descargar.
Esta casilla de verificacin est seleccionada de manera predeterminada y restringe los tipos de archivos que
los usuarios pueden descargar a travs del proxy FTP.
3. Si desea denegar archivos o tipos de archivos adicionales, ingrese un asterisco (*) y el nombre o
extensin del archivo y luego haga clic en Agregar.
4. En la seccin Cargas, seleccione la casilla de verificacin Denegar estos tipos de archivos si desea
limitar los tipos de archivos que un usuario puede descargar.
Si selecciona esta configuracin, no se permitirn los archivos que coincidan con los patrones
mencionados.
5. Si desea denegar cualquier archivo o tipo de archivo adicional, ingrese un asterisco (*) y el nombre
o extensin del archivo y luego haga clic en Agregar.
Proxy FTP: Configuracin

Cuando se agrega una poltica de proxy FTP, pueden configurarse opciones adicionales relacionadas con el
protocolo FTP.
1. Edite o agregue la poltica FTP Servidor proxy.

Longitud mxima de nombre de usuario
Defina el nmero mximo de caracteres que un usuario puede enviar en un nombre de

usuario. Cuando un usuario se conecta a un servidor FTP, debe proporcionar un nombre de
usuario para iniciar sesin. Los nombres de usuario muy extensos pueden ser signo de un
ataque de fallas en la memoria intermedia.
Extensin mxima de contrasea
Defina el nmero mximo de caracteres para contraseas de usuarios. Cuando un usuario se

conecta a un servidor FTP, debe proporcionar una contrasea para iniciar sesin. Las
contraseas muy extensas pueden ser signo de un ataque de fallas en la memoria intermedia.
Extensin mxima de nombre de archivo

Defina el nmero mximo de caracteres en un nombre de archivo, para solicitudes de carga y

descarga. Algunos sistemas de archivo no pueden identificar o usar archivos con nombres de
archivos muy largos.
Extensin mxima de lnea de comandos
Defina el nmero mximo de caracteres que un usuario puede enviar en un comando FTP. Los
usuarios envan comandos a un servidor FTP para completar tareas con archivos. Los comandos
muy extensos pueden ser signo de un ataque de fallas en la memoria intermedia.
Cantidad mxima de inicios de sesin fallidos
Defina el nmero mximo de veces que un usuario puede intentar iniciar sesin antes de que
se denieguen las conexiones. Los mltiples intentos de inicio de sesin fallidos pueden ser
resultado de un atacante que utiliza ataques de diccionario para obtener acceso al servidor.
Para enviar un mensaje de registro para cada solicitud de conexin administrada por el FTP
Servidor proxy, seleccione esta casilla de verificacin. Debe activar esta opcin para crear
informes precisos sobre el trfico FTP Servidor proxy.
4. Para bloquear automticamente conexiones que no coinciden con la configuracin en esa opcin,
seleccione la casilla de verificacin adyacente Bloqueo automtico.
Pgina Acerca de ALG H.323

Si en la empresa se usa voz sobre IP (VoIP), el usuario puede agregar una ALG (puerta de enlace de la capa
de aplicacin) H.323 o SIP (Protocolo de inicio de sesin) para abrir los puertos necesarios para activar VoIP
a travs del dispositivo WatchGuard. Una ALG se crea del mismo modo que una poltica de proxy y ofrece
opciones de configuracin similares. Estas ALG se han creado para funcionar en un entorno NAT para
mantener la seguridad en equipos de conferencias con direcciones privadas protegidos por el dispositivo
WatchGuard.
H.323 en general se usa en equipos de videoconferencia e instalaciones de voz ms antiguos. SIP es un

estndar ms nuevo que es ms comn en entornos hospedados, donde slo dispositivos extremos como
telfonos estn hospedados en la ubicacin de la empresa y un proveedor de VoIP administra la
conectividad. Si es necesario se pueden usar ALG H.323 y SIP al mismo tiempo. Para determinar qu ALG
agregar, consulte la documentacin para los dispositivos o aplicaciones VoIP.
Componentes de VoIP
Es importante comprender que en general VoIP se implementa mediante el uso de:
Conexiones punto a punto
En una conexin punto a punto, cada uno de los dos dispositivos conoce la direccin IP del otro
dispositivo y se conecta al otro directamente. Si los dos puntos se encuentran detrs de Firebox,
ste puede enrutar el trfico de llamada correctamente.
Gua del Usuario 287

Conexiones hospedadas
Conexiones hospedadas por un sistema de gestin de llamadas (PBX)
Con H.323, el componente clave de la gestin de llamadas se conoce como gatekeeper. Un gatekeeper
gestiona las llamadas VoIP para un grupo de usuarios y puede encontrarse en una red protegida por el
dispositivo WatchGuard o en una ubicacin externa. Por ejemplo, algunos proveedores VoIP hospedan un
gatekeeper en la red a la que el usuario debe conectarse antes de que ste pueda realizar una llamada
VoIP. Otras soluciones requieren que el usuario configure y mantenga un gatekeeper en su red.
La coordinacin del gran nmero de componentes de una instalacin VoIP puede ser compleja.
Recomendamos asegurarse de que las conexiones VoIP funcionen en forma satisfactoria antes de agregar
una ALG H.323 o SIP. Esto puede ayudar al usuario a resolver cualquier problema.
Funciones de ALG
Cuando se activa una ALG H.323, el dispositivo WatchGuard:
n Responde automticamente a aplicaciones VoIP y abre los puertos adecuados.

n Se asegura de que las conexiones VoIP usen protocolos H.323 estndar.
n Genera mensajes de registro con fines de auditora.
Muchos dispositivos y servidores VoIP utilizan NAT (traduccin de direccin de red) para abrir y cerrar
puertos automticamente. Las ALG H.323 y SIP tambin cumplen esta funcin. Se debe desactivar NAT en
los dispositivos VoIP si se configura una ALG H.323 o SIP.
Pestaa Poltica
n Las conexiones ALG-H.323 estn: especifica si las conexiones estn Permitidas, Negadas o Negadas
(enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaa Poltica de la
definicin de ALG).
Para ms informaciones, vea Definir reglas de acceso a una poltica en la pgina 267.
n Usar el enrutamiento basado en la poltica : si desea utilizar el enrutamiento basado en la poltica en
la definicin de proxy, consulte Configurar el enrutamiento basado en la poltica en la pgina 269.
Para ms informaciones, vea Acerca de la NAT esttica en la pgina 153 y Configurar Balance de
Pestaa Propiedades
(enviar restablecer), se pueden bloquear sitios que intentan usar DNS.
pgina 346.
autenticacin, Configurar un tiempo de espera inactivo personalizado.

Pestaa Avanzada
Tambin puede usar estas opciones en la definicin de proxy:


n ALG H.323: Configuracin

n ALG H.323: Contenido
ALG H.323: Contenido

Cuando se agrega una ALG (puerta de enlace de la capa de aplicacin) H.323, se pueden configurar
opciones adicionales relacionadas con el protocolo H.323.
1. Editar o agregar la poltica ALG H.323.

Codecs negados
Utilice esta funcin para denegar uno o ms codecs VoIP. Cuando se abre una conexin VoIP
H.323 que usa un codec especificado en esta lista, el dispositivo WatchGuard cierra la conexin
automticamente. Esta lista est vaca de manera predeterminada. Recomendamos agregar un
Gua del Usuario 289

codec a esta lista si consume demasiado ancho de banda, presenta un riesgo de seguridad o si
es necesario lograr que la solucin VoIP funcione correctamente. Por ejemplo, pude optar por
denegar los codecs G.711 o G.726 porque usan ms de 32 Kb/seg de ancho de banda o puede
optar por denegar el codec Speex porque es utilizado por un codec VoIP no autorizado.
Para agregar un codec a la lista:
n En el cuadro de texto Codecs, ingrese el nombre del codec o el patrn de texto nico.
No use caracteres comodn ni sintaxis de expresin regular. Los patrones de codec
distinguen maysculas de minsculas.
Para eliminar un codec de la lista:
n Seleccione un codec en la lista.

n Haga clic en Eliminar.
Activar control de acceso para VoIP
Seleccione esta casilla de verificacin para activar la funcin de control de acceso. Cuando est
activada, la ALG H.323 permite o restringe llamadas segn las opciones configuradas.
Configuracin predeterminada
n Seleccione la casilla de verificacin Iniciar llamadas VoIP para permitir que todos los
usuarios VoIP inicien llamadas de manera predeterminada.
n Seleccione la casilla de verificacin Recibir llamadas VoIP para permitir que todos los
usuarios VoIP reciban llamadas de manera predeterminada.
n Seleccione la casilla de verificacin adyacente Registro para crear un mensaje de
registro para cada conexin VoIP H.323 iniciada o recibida.

Niveles de acceso
Para crear una excepcin a la configuracin predeterminada especificada anteriormente:
n Ingrese un nombre de host, direccin IP o direccin de correo electrnico.

n Seleccione un nivel de acceso en la lista desplegable adyacente.
Se puede permitir que los usuarios inicien llamadas nicamente, reciban llamadas
nicamente, inicien y reciban llamadas o denegarles el acceso VoIP. Estas configuraciones se
aplican slo al trfico VoIP H.323.
Si desea eliminar una excepcin:
n Seleccione la excepcin en la lista.

n Haga clic en Eliminar.
Las conexiones realizadas por usuarios que tienen una excepcin de nivel de acceso se
registran de manera predeterminada. Si no desea registrar conexiones realizadas por un
usuario con una excepcin de nivel de acceso, desmarque la casilla de verificacin Registro
cuando cree la excepcin.
ALG H.323: Configuracin

Cuando se agrega una ALG (puerta de enlace de la capa de aplicacin) H.323, se pueden configurar
opciones adicionales relacionadas con el protocolo H.323.
1. Editar o agregar la poltica ALG H.323.

Activar proteccin de cosecha de directorio.
Seleccione esta casilla de verificacin para asegurarse de que los atacantes no puedan robar
informacin de usuarios a gatekeepers VoIP protegidos por Firebox. Esa opcin es activada por
defecto.
Sesiones mximas
Gua del Usuario 291

Esta funcin para restringe el nmero mximo de sesiones de audio o video que pueden
crearse con una nica llamada VoIP. Por ejemplo, si el usuario define el nmero de sesiones
mximas en una y participa en una llamada VoIP con audio y video, la segunda conexin se
descarta. El valor predeterminado es dos sesiones y el valor mximo es cuatro sesiones.
Firebox crea una entrada de registro cuando niega una sesin multimedia por encima de este
nmero.
Informacin del agente usuario
Para identificar el trfico H.323 saliente como un cliente especfico, ingrese una nueva cadena
de agente usuario en el cuadro de texto Reescribir agente usuario como.
Para eliminar el agente usuario falso, desmarque el cuadro de texto.
Tiempos de espera
Cuando no se envan datos durante un perodo determinado en un canal VoIP de audio, video
o datos, Firebox cierra esa conexin de red. El valor predeterminado es 180 segundos (tres
minutos) y el valor mximo es 3600 segundos (60 minutos). Para especificar un intervalo de
tiempo diferente, ingrese el nmero en segundos en el cuadro de texto Canales de medios
inactivos.
Seleccione esta casilla de verificacin para enviar un mensaje de registro para cada solicitud de
conexin administrada por la ALG H.323. Esta opcin es necesaria para que Informes
WatchGuard cree informes precisos sobre el trfico H.323. Esa opcin es activada por defecto.
Pgina Acerca de Proxy HTTP

El protocolo de transferencia de hipertexto (HTTP) es un protocolo de solicitud/respuesta entre clientes y
servidores. El cliente HTTP en general es un explorador web. El servidor HTTP es un recurso remoto que
almacena archivos HTML, imgenes y otro contenido. Cuando el cliente HTTP inicia una solicitud, establece
una conexin del TCP (Protocolo de control de transmisin) en el puerto 80. Un servidor HTTP escucha
solicitudes en el puerto 80. Cuando recibe la solicitud del cliente, el servidor responde con el archivo
solicitado, un mensaje de error o alguna otra informacin.
El proxy HTTP es un filtro de contenido de alto rendimiento. Examina el trfico web para identificar
contenido sospechoso que puede ser un virus u otro tipo de intrusin. Tambin puede proteger de ataques
a su servidor HTTP.
Con un filtro de proxy HTTP, es posible:
n Ajuste los tiempos de espera y los lmites de duracin de las solicitudes y respuestas HTTP para
evitar el mal desempeo de la red, como tambin varios ataques.
n Personalizar el deny message que los usuarios ven cuando intentan conectarse a un sitio web
bloqueado por el proxy HTTP.
n Filtrar tipos MIME de contenido web.

n Bloquear patrones de ruta y URL especificados.

n Negar cookies de sitios web especificados.
Tambin se puede usar el proxy HTTP con la suscripcin de seguridad WebBlocker. Para ms informacin,
vea Acerca de las WebBlocker en la pgina 561.
El proxy TCP/UDP est disponible para protocolos en puertos no estndares. Cuando HTTP utiliza un puerto
que no es el puerto 80, el proxy TCP/UDP enva el trfico al proxy HTTP. Para obtener informacin sobre el
proxy TCP/UDP, consulte Pgina Acerca de Proxy de TCP-UDP en la pgina 319.
Para agregar el proxy HTTP a la configuracin del dispositivo Firebox o XTM, consulte Agregar una poltica
de proxy a la configuracin en la pgina 277.
Pestaa Poltica
n Las conexiones HTTP Servidor proxy estnE specifique si las conexiones estn Permitidas, Negadas
o Negadas (enviar restablecer) y seleccione los usuarios, equipos o redes que aparecen en las listas
Desde y Hasta (en la pestaa Poltica de la definicin de proxy). Para ms informacin, vea Definir
reglas de acceso a una poltica en la pgina 267.
n Usar el enrutamiento basado en polticasPara utilizar el enrutamiento basado en polticas en la
definicin de proxy, consulte Configurar el enrutamiento basado en la poltica en la pgina 269.
Para ms informacin, vea Acerca de la NAT esttica en la pgina 153 y Configurar Balance de carga
en el servidor en la pgina 154.
Gua del Usuario 293

Pestaa Propiedades
n Para definir el registro para una poltica, haga clic en Generacin de registros y Determinar
preferencias de registro y notificacin .
(enviar restablecer), se pueden bloquear los dispositivos que intentan conectarse por el puerto 80.
Para ms informacin, vea Bloquear sitios temporalmente con configuracin de polticas en la
pgina 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por el dispositivo Firebox o
XTM o el servidor de autenticacin, Configurar un tiempo de espera inactivo personalizado.
Pestaa Avanzada

Pestaas Configuracin, Contenido y Application Blocker

relacionadas con el tipo de trfico de red que controla cada proxy. Para modificar estas configuraciones,
edite una poltica de proxy y seleccione la pestaa Configuracin, Contenido o Application Blocker.
n Proxy HTTP: Pestaa Configuracin

n Proxy HTTP: Pestaa Contenido
n Proxy HTTP: Application Blocker
Vea tambin
Permitir actualizaciones de Windows a travs del proxy HTTP

Los servidores Windows Update identifican el contenido que entregan a un equipo como una transmisin
binaria genrica (como transmisin de octetos), la cual queda bloqueada por las reglas de proxy HTTP
predeterminadas. Para permitir actualizaciones de Windows a travs del proxy HTTP, se debe editar el
conjunto de reglas de proxy HTTP Cliente para agregar excepciones de proxy HTTP para los servidores
Windows Update.
1. Asegrese de que Firebox permita conexiones salientes en el puerto 443 y el puerto 80.
Estos son los puertos que usan los equipos para contactar a los servidores Windows Update.
2. Seleccione la pestaa Configuracin de la poltica de proxy HTTPS.

3. En el cuadro de texto a la izquierda del botn Agregar , ingrese o pegue cada uno de estos dominios
y haga clic en Agregar despus de cada uno:
windowsupdate.microsoft.com
download.windowsupdate.com
update.microsoft.com
download.microsoft.com
ntservicepack.microsoft.com
wustat.windows.com
v4.windowsupdate.microsoft.com
v5.windowsupdate.microsoft.com
Si an no puede descargar actualizaciones de Windows

Si tiene ms de una poltica de proxy HTTP, asegrese de agregar las excepciones HTTP a la poltica y accin
de proxy correctas.
Microsoft no limita las actualizaciones slo a estos dominios. Examine los registros de trfico negado a un
dominio de propiedad de Microsoft. Busque el trfico negado por el proxy HTTP. La lnea de registro debe
incluir el dominio. Agregue cualquier nuevo dominio de Microsoft a la lista de excepciones de proxy HTTP y
luego vuelva a ejecutar Windows Update.
Proxy HTTP: Pestaa Contenido

Ciertos tipos de contenido que los usuarios solicitan a sitios web pueden ser una amenaza para la seguridad
de la red. Otros tipos de contenido pueden disminuir la productividad de los usuarios. Si la definicin de
proxy predeterminada no satisface todas las necesidades de la empresa, se puede agregar, eliminar o
modificar la definicin.
Para configurar restricciones para contenido HTTP:
1. Edite o agregue la poltica HTTP Servidor proxy.

Gua del Usuario 295

3. Configure las opciones como se describe en las siguientes secciones.

Tipo de contenido
Cuando un servidor web enva trfico HTTP, en general agrega un tipo MIME o tipo de contenido al
encabezado del paquete que muestra el tipo de contenido que incluye el paquete. El encabezado HTTP en
el tren de datos contiene este tipo MIME. Se agrega antes de enviar los datos.
El formato de un tipo MIME es tipo/subtipo. Por ejemplo, si desea permitir imgenes JPEG, debe agregar
imagen/jpg a la definicin de proxy. Tambin puede usar el asterisco (*) como comodn. Para permitir
cualquier formato de imagen, se agrega imagen/* .
Para obtener una lista de tipos MIME registrados y actualizados, ingrese en

http://www.iana.org/assignments/media-types.

1. Seleccione la casilla de verificacin Permitir slo los tipos de contenido seguro si desea limitar los
tipos de contenido permitidos a travs a travs del proxy. De manera predeterminada se incluye
una lista de tipos de MIME comunes.
2. Para agregar tipos de contenido comunes a la lista, en la lista Tipos de contenido predefinidos ,
seleccione el tipo de MIME y haga clic en <.
3. Para agregar otros tipos de contenido, en el cuadro de texto Tipos de contenido, ingrese un tipo de
contenido y haga clic en Agregar.
4. Para eliminar un tipo de contenido, seleccinelo en la lista Tipos de contenido y haga clic en
Eliminar.
No se pueden eliminar tipos de contenido predefinidos.
Patrones de nombre de archivo

Una URL (localizador uniforme de recursos) identifica un recurso en un servidor remoto e indica la
ubicacin de la red en ese servidor. La ruta de URL es la cadena de informacin despus del domain name
de nivel superior. Se puede usar el proxy HTTP para bloquear sitios web que contienen texto especificado
en la ruta de URL. Si la definicin de proxy predeterminada no satisface todas las necesidades de la
empresa, se puede agregar, eliminar o modificar los patrones de ruta de URL. Utilice el asterisco (*) como
carcter comodn. Por ejemplo:
n Para bloquear todas las pginas que tienen el nombre de host www.prueba.com, ingrese el patrn:
www.prueba.com*
n Para bloquear todas las rutas que contienen la palabra sexo, en todos los sitios web, ingrese: *sexo*
n Para bloquear rutas de URL que terminan en *.prueba, en todos los sitios web, ingrese: *.prueba
Para bloquear patrones de rutas de URL no seguros:
1. Para usar reglas de rutas de URL para filtrar el contenido del host, la ruta y los componentes de la
cadena de consulta de una URL, seleccione la casilla de verificacin Denegar los patrones de nombres
de archivos no seguros.
El nombre especifica los nombres de archivos pero cualquier patrn que se ingresa se aplica a toda la ruta de URL.
2. Para agregar un nuevo patrn de ruta, ingrese la ruta y haga clic en Agregar.
3. Para eliminar un patrn de ruta, seleccione el patrn y haga clic en Eliminar.
Cookies
Las cookies HTTP son pequeos archivos de texto alfanumrico que los servidores web ponen en los
clientes web. Las cookies controlan la pgina en la que est un cliente web para permitir al servidor web
enviar ms pginas en la secuencia correcta. Los servidores web tambin usan cookies para reunir
informacin acerca de un usuario final. Muchos sitios web usan cookies para autenticacin y otras funciones
legtimas y no pueden funcionar correctamente sin cookies.
El proxy HTTP busca paquetes segn el dominio asociado con la cookie. El dominio puede especificarse en
la cookie. Si la cookie no contiene un dominio, el proxy usa el nombre de host en la primera solicitud. Por
ejemplo, para bloquear todas las cookies para nosy-adware-site.com, use el patrn: *.nosy-adware-
site.com . Si desea rechazar cookies de todos los subdominios en un sitio web, use el smbolo comodn (*)
antes y despus del dominio. Por ejemplo, *google.com* bloquea todos los subdominios de google.com,
como images.google.com y mail.google.com.
Para bloquear cookies de sitios:
Gua del Usuario 297

1. Para bloquear cookies de un sitio en particular, seleccione la casilla de verificacin Denegar las
cookies de estos sitios.
2. En el siguiente cuadro de texto, ingrese el domain name del sitio web o dominios parcial con
comodines.
Proxy HTTP: Pestaa Configuracin

Para determinar los parmetros HTTP bsicos:

3. Configure las opciones como se describe en las siguientes secciones.

Solicitudes HTTP
Tiempo de espera de conexin inactivo
Determina el tiempo que la conexin TCP de la sesin HTTP permanece abierta cuando no han
circulado paquetes a travs de ella. Si ningn paquete atraviesa la conexin TCP durante el tiempo
especificado, la conexin TCP se cierra. Dado que toda sesin de TCP utiliza una pequea cantidad
de memoria en Firebox y los exploradores y servidores no siempre cierran las sesiones HTTP
correctamente, esta opcin se usa para controlar el rendimiento. En el campo adyacente, ingrese la
cantidad de minutos antes de que el proxy se desconecte.
Longitud mxima de URL
Define el nmero mximo de caracteres permitidos en una URL. En esta rea del proxy, URL incluye
a todo lo que compone a la direccin web despus del dominio de nivel superior. Esto incluye el
carcter diagonal pero no el nombre de host (www.miejemplo.com o miejemplo.com). Por ejemplo,
la URL www.miejemplo.com/productos cuenta diez caracteres para este lmite porque /productos
tiene diez caracteres.
El valor predeterminado de 2048 en general es suficiente para cualquier URL solicitado por un
equipo detrs de Firebox. Una URL que es muy larga puede indicar un intento de comprometer a un
servidor web. La extensin mnima es de 15 bytes. Se recomienda mantener esta configuracin
activada con las configuraciones predeterminadas. Esto ayuda a protegerse contra clientes web
infectados en las redes que protege el proxy HTTP.
conexin administrada por el HTTP Servidor proxy. Esta opcin es necesaria para que Informes
WatchGuard cree informes precisos sobre el trfico HTTP.

Respuestas HTTP
Tiempo de espera
Controla durante cunto tiempo el proxy HTTP espera que el servidor web enve la pgina web.
Cuando un usuario hace clic en un hipervnculo o ingresa una URL en la barra de direccin del
explorador web, enva una solicitud HTTP a un servidor remoto para obtener el contenido. En la
mayora de los exploradores, la barra de estado muestra, Contactando al sitio... o un mensaje
similar. Si el servidor remoto no responde, el cliente HTTP contina enviando la solicitud hasta que
recibe una respuesta o hasta que la solicitud ingresa en tiempo de espera. Al mismo tiempo, el
proxy HTTP contina controlando la conexin y usa recursos de red valiosos.
Extensin mxima de lnea
Controla la extensin mxima permitida de una lnea de caracteres en los encabezados de respuesta
HTTP. Defina este valor para proteger a sus equipos contra explotaciones por fallas en la memoria
intermedia. Dado que las URL para muchos sitios de comercio continan aumentando la extensin
con el tiempo, es posible que en el futuro necesite ajustar este valor.
conexin administrada por el HTTP Servidor proxy. Debe activar esta opcin para crear informes
precisos sobre el trfico HTTP Servidor proxy.
Mensaje de negacin
Cuando se niega el contenido, el dispositivo WatchGuard enva un deny message predeterminado que
reemplaza al contenido negado. El usuario puede escribir un nuevo deny message para reemplazar el deny
message predeterminado. Puede personalizar el deny message con HTML estndar. Tambin puede usar
caracteres Unicode (UTF-8) en el mensaje de negacin. La primera lnea del deny message es un
componente del encabezado HTTP. Debe incluir una lnea vaca entre la primera lnea y el cuerpo del
mensaje.
El deny message de Firebox aparece en el explorador web cuando el usuario realiza una solicitud que el
proxy HTTP no permite. Tambin recibe un deny message cuando la solicitud est permitida, pero el proxy
HTTP niega la respuesta del servidor web remoto. Por ejemplo, si un usuario intenta descargar un archivo
.exe y se ha bloqueado ese tipo de archivo, el usuario visualiza un deny message en el explorador web. Si el
usuario intenta descargar una pgina web que tiene tipo de contenido desconocido y la poltica de proxy
est configurada para bloquear tipos MIME desconocidos, el usuario visualiza un mensaje de error en el
explorador web. El deny message predeterminado puede verse en el campo Mensaje de negacin. Para
cambiar este mensaje por otro personalizado, utilice estas variables:
%(transaccin)%
Incluye Solicitud o Respuesta en el deny message para mostrar qu lado de la transaccin caus la
negacin del paquete.
%(motivo)%
Incluye el motivo por el que Firebox neg el contenido.
Gua del Usuario 299

%(mtodo)%
Incluye el mtodo de solicitud de la solicitud negada.
%(Host de URL)%
Incluye el nombre de host del servidor de la URL negada. Si no se incluy un nombre de host, se
incluye la direccin IP del servidor.
%(ruta de URL)%
Incluye el componente de la ruta del URL negado.
Excepciones de proxy HTTP

Para ciertos sitios web, se usan excepciones de proxy HTTP para derivar las reglas de proxy HTTP, pero no el
marco de proxy. El trfico que coincide con las excepciones de proxy HTTP an atraviesa la administracin
de proxy estndar utilizada por el proxy HTTP. Sin embargo, cuando ocurre una coincidencia, algunas
configuraciones de proxy no se incluyen.
El usuario puede agregar nombres de host o patrones como excepciones de proxy HTTP. Por ejemplo, si
bloquea todos los sitios web terminados en .prueba pero desea permitir que los usuarios visiten el sitio
www.ejemplo.com, puede agregar www.ejemplo.com como una excepcin de proxy HTTP.
El usuario especifica la direccin IP o el domain name de los sitios que desea permitir. El domain name (o
host) es la parte de un URL que termina en .com, .net, .org, .biz, .gov o .edu. Los domain names tambin
pueden terminar en un cdigo de pas, como .de (Alemania) o .jp (Japn).
Para agregar un domain name, ingrese el patrn de URL sin el inicio http://. Por ejemplo, para permitir que
los usuarios visiten el sitio web de WatchGuard http://www.watchguard.com, ingrese
www.watchguard.com . Si desea permitir todos los subdominios que contienen watchguard.com, puede
usar el asterisco (*) como carcter comodn. Por ejemplo, para permitir que los usuarios visiten
watchguard.com, www.watchguard.com y support.watchguard.com, ingrese:
*.watchguard.com
1. En el cuadro de texto adyacente a Agregar, ingrese la direccin IP de host o el domain name del
sitio web que desea permitir.
Repita este proceso para cada host o domain name adicional que desea agregar.
3. Si desea que se grabe un mensaje de registro en el archivo de registro cada vez que ocurre una
transaccin web en un sitio web en la lista de excepciones, seleccione la casilla de verificacin
Registrar cada excepcin de HTTP.
Proxy HTTP: Application Blocker

El Application Blocker puede usarse para definir las acciones que realiza el dispositivo Firebox o XTM cuando
una poltica de proxy HTTP detecta el trfico de red de mensajera instantnea (IM) o punto a punto (P2P).
En la pestaa Application Blocker, seleccione los tipos de aplicacin IM y P2P a detectar y sus acciones
asociadas.

Para obtener informacin acerca de estas configuraciones, consulte Acerca de las configuraciones de
Application Blocker en la pgina 274.
Pgina Acerca de Proxy HTTPS

HTTPS (Protocolo de transferencia de hipertexto sobre nivel de seguridad de la conexin, o HTTP sobre SSL)
es un protocolo de solicitud/respuesta entre clientes y servidores utilizado para comunicaciones y
transacciones seguras. El proxy HTTPS puede utilizarse para asegurar un servidor web protegido por Firebox
o para examinar el trfico HTTPS solicitado por clientes en su red. De manera predeterminada, cuando el
cliente HTTPS inicia una solicitud, establece una conexin TCP (protocolo de control de transmisin) en el
puerto 443. La mayora de los servidores HTTPS escuchan solicitudes en el puerto 443.
HTTPS es ms seguro que HTTP porque usa un certificado digital para cifrar y descifrar solicitudes de pgina
del usuario adems de las pginas reenviadas por el servidor web. Debido a que el trfico HTTPS est
cifrado, Firebox debe descifrarlo para poder examinarlo. Despus de examinar el contenido, Firebox cifra
el trfico con un certificado y lo enva al destino previsto.
El usuario puede exportar el certificado predeterminado creado por Firebox para esta funcin o importar
un certificado para que Firebox use. Si se usa el proxy HTTPS para examinar el trfico web solicitado por los
usuarios de la red, se recomienda exportar el certificado predeterminado y distribuirlo a cada usuario para
que no reciban advertencias del explorador acerca de certificados que no son de confianza. Si se usa el
proxy HTTPS para asegurar un servidor web que acepta solicitudes de una red externa, se recomienda
importar el certificado del servidor web existente por la misma razn.
Cuando un cliente o servidor HTTPS usa un puerto distinto del puerto 443 en la empresa, se puede usar el
proxy TCP/UDP para retransmitir el trfico al proxy HTTPS. Para obtener informacin sobre el proxy
TCP/UDP, consulte Pgina Acerca de Proxy de TCP-UDP en la pgina 319.
Pestaa Poltica
n Las conexiones HTTPS Servidor proxy estn: especifica si las conexiones estn Permitidas, Negadas
o Negadas (enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaa
Poltica de la definicin de proxy). Para ms informaciones, vea Definir reglas de acceso a una
n Usar el enrutamiento basado en la poltica : para utilizar el enrutamiento basado en la poltica en la
n Tambin puede configurarse NAT esttica o el balance de carga en el servidor
. Para obtener ms informacin, consulte Acerca de la NAT esttica en la pgina 153 y Configurar
Balance de carga en el servidor en la pgina 154.
Pestaa Propiedades
y notificacin .
(enviar restablecer), se pueden bloquear sitios que intentan usar HTTPS. Para ms informaciones,
vea Bloquear sitios temporalmente con configuracin de polticas en la pgina 346.
Gua del Usuario 301

Pestaa Avanzada


una poltica de proxy y seleccione la pestaa Configuracin o Contenido. Para ms informacin, vea:
n Proxy HTTPS: Configuracin

n Proxy deHTTPS:Contenido
Proxy deHTTPS:Contenido
Cuando se agrega una poltica de proxy HTTPS, se pueden configurar opciones adicionales relacionadas con
el protocolo HTTPS.
1. Edite o agregue la poltica HTTPS Servidor proxy.


Activar inspeccin profunda de contenido HTTPS
Cuando esta casilla de verificacin est seleccionada, Firebox descifra el trfico HTTPS, examina
el contenido y vuelve a cifrar el trfico con un nuevo certificado. La poltica de proxy HTTP que
se elige en esta pgina examina el contenido.
Nota Si otro tipo de trfico usa el puerto HTTPS, como el trfico SSL VPN, se
recomienda evaluar esta opcin con atencin. El proxy de HTTPS intenta examinar
todo el trfico en el puerto 443de TCP de la misma manera. Para asegurarse de
que otras fuentes de trfico funcionen correctamente, se recomienda agregar esas
fuentes a la lista de derivacin. Para obtener ms informacin consulte la siguiente
seccin.
De manera predeterminada, Firebox genera automticamente el certificado utilizado para

cifrar el trfico. El usuario tambin puede cargar su propio certificado. Si el sitio web original o
el servidor web tienen un certificado no vlido o con suscripcin propia o si el certificado fue
firmado por una CA que Firebox no reconoce, aparece una advertencia del explorador acerca
del certificado. Los certificados que no pueden volverse a firmar correctamente aparecen
como emitidos por el Proxy HTTPS Fireware: Certificado no reconocido o simplemente
Certificado no vlido.
Se recomienda importar el certificado que se usa, adems de cualquier otro certificado

necesario para que el cliente confe en ese certificado, en cada dispositivo cliente. Cuando un
cliente no confa automticamente en el certificado utilizado para la funcin de inspeccin de
contenido, aparece una advertencia en el explorador y servicios como Windows Update no
funcionan correctamente.
Algunos programas, como algunos programas de mensajera instantnea o comunicacin,

guardan copias privadas de certificados y no usan el almacenamiento de certificados del
sistema operativo. Si estos programas no tienen un mtodo para importar certificados de CA
de confianza, es posible que no funcionen correctamente cuando se activa la inspeccin de
contenido.
Para ms informaciones, vea Acerca de los certificados en la pgina 385 o Usar Certificados
para el proxy de HTTPS en la pgina 397.
Accin de proxy
Seleccione una poltica de proxy HTTP para que Firebox use cuando inspecciona contenido
HTTPS descifrado.
Cuando activa la inspeccin de contenido, las configuraciones de WebBlocker de la accin del

proxy de HTTP anulan las configuraciones de WebBlocker del proxy deHTTPS. Si agrega
direcciones IP a la lista de derivacin para la inspeccin de contenido, el trfico de esos sitios
se filtra con las configuraciones de WebBlocker del proxy HTTPS.
Para ms informacin en la configuracin del WebBlocker, vea Acerca de las WebBlocker en la

pgina 561.
Usar OCSP para confirmar la validez de los certificados
Gua del Usuario 303

Seleccione esta casilla de verificacin para que Firebox automticamente verifique las
revocaciones de certificados con OCSP (Protocolo de estado de certificado en lnea). Cuando
esta funcin est activada, Firebox usa informacin en el certificado para contactar a un
servidor OCSP que mantiene un registro del estado del certificado. Si el servidor OCSP
responde que el certificado ha sido revocado, Firebox desactiva el certificado.
Si selecciona esta opcin, puede ocurrir una demora de varios segundos mientras Firebox
solicita una respuesta del servidor OCSP. Firebox guarda entre 300 y 3000 respuestas de OCSP
para mejorar el rendimiento para sitios web visitados con frecuencia. El modelo de Firebox
determina el nmero de respuestas guardadas en el cach.
Tratar los certificados que no puedan ser confirmados como no vlidos
Cuando esta opcin est seleccionada y un respondedor OCSP no enva una respuesta a una
solicitud de estado de revocacin, Firebox considera el certificado original como no vlido o
revocado. Esta opcin puede hacer que los certificados se consideren no vlidos si hay un error
de enrutamiento o un problema con la conexin de red.
Lista de derivacin
Firebox no inspecciona contenido enviado hacia o desde direcciones IP en esta lista. Para
agregar un sitio web o nombre de host, ingrese la direccin IP en el cuadro de texto y haga clic
en el botn Agregar.
Cuando activa la inspeccin de contenido, las configuraciones de WebBlocker de la accin del

proxy de HTTP anulan las configuraciones de WebBlocker del proxy deHTTPS. Si agrega
direcciones IP a la lista de derivacin para la inspeccin de contenido, el trfico de esos sitios
se filtra con las configuraciones de WebBlocker del proxy HTTPS.
Para ms informacin en la configuracin del WebBlocker, vea Acerca de las WebBlocker en la

pgina 561.
Proxy HTTPS: Configuracin

Cuando se agrega una poltica de proxy HTTPS, se pueden configurar opciones adicionales relacionadas con
el protocolo HTTPS.

Seleccione esta casilla de verificacin para cerrar conexiones HTTPS que no han enviado o
recibido trfico durante el tiempo especificado. Para cambiar el lmite de tiempo, ingrese o
seleccione un nmero en el cuadro de texto adyacente.
Nombres del certificado

El usuario puede permitir o negar el acceso a sitios web cuando el certificado coincide con un
patrn de esta lista desplegable. Esta funcin acta aunque no se use la inspeccin de
contenido profunda para descifrar el trfico de red HTTPS.
n Permitir: seleccione esta opcin para permitir trfico desde sitios que coinciden con los
patrones en la lista Nombres del certificado.
n Negar : seleccione esta opcin para rechazar conexiones de sitios que coinciden y enviar
un deny message al sitio.
n Descartar : seleccione esta opcin para rechazar conexiones sin un mensaje de
negacin.
n Bloquear : seleccione esta opcin para descartar conexiones y automticamente agregar
el sitio a la lista Sitios bloqueados.
Para agregar un sitio web, ingrese el domain name (en general la URL) del certificado en el
cuadro de texto adyacente y haga clic en Agregar.
Para eliminar un sitio, seleccinelo y haga clic en Eliminar.
conexin administrada por el HTTPS Servidor proxy. Debe activar esta opcin para crear
informes precisos sobre el trfico HTTPS Servidor proxy.
Pgina Acerca de Proxy POP3

POP3 (Protocolo de Oficina de Correos v.3) es un protocolo que mueve mensajes de correo electrnico
desde un servidor de correo electrnico a un cliente de correo electrnico en una conexin TCP a travs
del puerto 110. La mayora de las cuentas de correo electrnico basadas en Internet usan POP3. Con POP3,
un cliente de correo electrnico contacta a un servidor de correo electrnico y verifica si tiene mensajes
de correo electrnico nuevos. Si encuentra un nuevo mensaje, descarga el mensaje de correo electrnico
al cliente de correo electrnico local. Despus de que el cliente de correo electrnico recibe el mensaje, la
conexin se cierra.
Con un filtro de proxy POP3, es posible:
n Ajustar los lmites de tiempo de espera y extensin de lnea para asegurarse de que el proxy POP3
no use demasiados recursos de red y para impedir algunos tipos de ataques.
n Personalizar el deny message que los usuarios ven cuando se bloquea un mensaje de correo
electrnico que se les enva.
n Filtrar contenido integrado en el mensaje de correo electrnico con tipos MIME.
n Bloquear patrones de ruta y URL especificados.
Para agregar el proxy POP3 a la configuracin de Firebox, consulte Agregar una poltica de proxy a la
Gua del Usuario 305

Pestaa Poltica
n Las conexiones POP3-Servidor proxy estn: especifica si las conexiones estn Permitidas, Negadas
Pestaa Propiedades
(enviar restablecer), se pueden bloquear sitios que intentan usar POP3.
pgina 346.
Pestaa Avanzada


n Proxy POP3: Configuracin

n Proxy POP3: Contenido

Proxy POP3: Contenido

Los encabezados de mensajes de correo electrnico incluyen un encabezado de tipo de contenido para
mostrar el tipo MIME del correo electrnico y de cualquier adjunto. El tipo de contenido o tipo MIME
informa al equipo los tipos de medios que contiene el mensaje. Ciertos tipos de contenido incluidos en el
mensaje de correo electrnico pueden ser una amenaza de seguridad para la red. Otros tipos de contenido
pueden disminuir la productividad de los usuarios.
1. Editar o agregar la poltica POP3 Servidor proxy.

Permitir slo los tipos de contenido seguro
En la lista Tipos de contenido, el usuario puede configurar valores para el filtrado de contenido
y la accin a seguir para tipos de contenido que no coinciden con los criterios. Para la poltica
de proxy de POP3 servidor, se definen los valores para el filtrado de contenido entrante. Para la
poltica de proxy de POP3 cliente, se definen los valores para el filtrado de contenido saliente.
El formato de un tipo MIME es tipo/subtipo. Por ejemplo, si desea permitir imgenes JPEG, se
agrega imagen/jpg . Tambin puede usar el asterisco (*) como comodn. Para permitir
cualquier formato de imagen, se agrega imagen/* a la lista.
Denegar los patrones de nombres de archivos no seguros
Gua del Usuario 307

Este conjunto de reglas se usa en una accin de proxy POP3 servidor para poner lmites en los
nombres de archivo para adjuntos de correo electrnico entrante. Este conjunto de reglas se
usa en una accin de proxy POP3 cliente para poner lmites en los nombres de archivo para
adjuntos de correo electrnico saliente. El usuario puede agregar, eliminar o modificar reglas.
Proxy POP3: Configuracin

Cuando se agrega una poltica de proxy POP3, se pueden configurar opciones adicionales relacionadas con
el protocolo POP3.

Tiempo de espera
Utilice esta configuracin para limitar la cantidad de minutos en los que el cliente de correo
electrnico intenta abrir una conexin con el servidor de correo electrnico antes de que la
conexin se cierre. Esto impide que el proxy use demasiados recursos de red cuando el
servidor POP3 est lento o no se puede alcanzar.
Longitud mxima de lnea
Utilice esta configuracin para impedir algunos tipos de ataques de fallas en la memoria
intermedia. Las extensiones de lnea muy largas pueden causar fallas en la memoria intermedia
en algunos sistemas de correo electrnico. La mayora de los clientes y sistemas de correo
electrnico envan lneas relativamente cortas, pero algunos sistemas de correo electrnico
web envan lneas muy extensas. Sin embargo, es poco probable que el usuario tenga que
cambiar esta configuracin, a menos que evite el acceso a correo electrnico legtimo. La
configuracin predeterminada es 1000 bytes.
Mensaje de negacin
En el cuadro de texto Mensaje de negacin, puede escribir un mensaje de texto sin cifrar
personalizado en HTML estndar que aparece en el correo electrnico del destinatario cuando
el proxy bloquea ese correo electrnico. Se pueden usar las siguientes variables:
n %(motivo)%: incluye el motivo por el que Firebox neg el contenido.

n %(tipo)%: incluye el tipo de contenido que se neg.
n %(nombre de archivo)%: incluye el nombre de archivo del contenido negado.
n %(virus)%: incluye el nombre o el estado de un virus. Slo para usuarios de Gateway
AntiVirus.
n %(accin)%: incluye el nombre de la accin seguida; bloquear, extraer, etc.
n %(recuperacin)%: incluye si se puede recuperar el adjunto.

conexin administrada por el POP3 Servidor proxy. Debe activar esta opcin para crear
informes precisos sobre el trfico POP3 Servidor proxy.
Pgina Acerca de Proxy SIP

Si en la empresa se usa voz sobre IP (VoIP), el usuario puede agregar un SIP (Protocolo de inicio de sesin) o
una ALG (puerta de enlace de la capa de aplicacin) H.323 para abrir los puertos necesarios para activar
VoIP a travs de Firebox. Una ALG se crea del mismo modo que una poltica de proxy y ofrece opciones de
configuracin similares. Estas ALG se han creado para funcionar en un entorno NAT para mantener la
seguridad en equipos de conferencias con direcciones privadas detrs de Firebox.
H.323 en general se usa en equipos de videoconferencia e instalaciones de voz ms antiguos. SIP es un

estndar ms nuevo que es ms comn en entornos hospedados, donde slo dispositivos extremos como
telfonos estn hospedados en la ubicacin de la empresa y un proveedor de VoIP administra la
conectividad. Si es necesario se pueden usar ALG H.323 y SIP al mismo tiempo. Para determinar cul ALG
necesita agregar, consulte la documentacin para dispositivos o aplicaciones VoIP.
Nota El proxy SIP admite conexiones SIP de tipo amigo pero no de tipo par.
Componentes de VoIP
Es importante comprender que en general VoIP se implementa con:
Conexiones punto a punto
En una conexin punto a punto, cada uno de los dos dispositivos conoce la direccin IP del otro
dispositivo y se conecta al otro directamente. Si los dos puntos se encuentran detrs de Firebox,
ste puede enrutar el trfico de llamada correctamente.
Conexiones hospedadas
Conexiones hospedadas por un sistema de gestin de llamadas (PBX)
En el SIP estndar, dos componentes clave de la gestin de llamadas son el Log Server SIP y el Proxy SIP.
Juntos, estos componentes administran las conexiones hospedadas por el sistema de gestin de llamadas.
La SIP-ALG de WatchGuard abre y cierra los puertos necesarios para que funcione SIP. La SIP-ALG de
WatchGuard puede admitir tanto al Log Server SIP como al Proxy SIP cuando se usan con un sistema de
gestin de llamadas externo a Firebox. En esta versin, no se admite SIP cuando el sistema de gestin de
llamadas est protegido por Firebox.
La coordinacin del gran nmero de componentes de una instalacin VoIP puede ser compleja.
Recomendamos asegurarse de que las conexiones VoIP funcionen en forma satisfactoria antes de agregar
una ALG H.323 o SIP. Esto puede ayudar al usuario a resolver cualquier problema.
Funciones de ALG
Cuando se activa una SIP-ALG, Firebox:
Gua del Usuario 309

n Responde automticamente a aplicaciones VoIP y abre los puertos adecuados.

n Se asegura de que las conexiones VoIP usen protocolos SIP estndar.
n Genera mensajes de registro con fines de auditora.
Muchos dispositivos y servidores VoIP utilizan NAT (traduccin de direccin de red) para abrir y cerrar
puertos automticamente. Las ALG H.323 y SIP tambin cumplen esta funcin. Se debe desactivar NAT en
los dispositivos VoIP si se configura una ALG H.323 o SIP.
Para agregar la SIPALG a la configuracin de Firebox, consulte Agregar una poltica de proxy a la
Pestaa Poltica
n Las conexionesSIP-ALG estn: especifica silas conexionesestn Permitidas,Negadas oNegadas
(enviar restablecer)y define el contenidode lalista Desdey Hasta (en lapestaa Poltica de la definicin
de ALG).Para msinformaciones, veaDefinir reglasde accesoa unapoltica enla pgina267.
n Usar el enrutamiento basado en la poltica: para utilizar el enrutamiento basado en la poltica en la
definicin de ALG, consulte Configurar el enrutamiento basado en la poltica en la pgina 269.
Pestaa Propiedades
y notificacin .
(enviar restablecer), se pueden bloquear sitios que intentan usar SIP. Para ms informaciones, vea
Bloquear sitios temporalmente con configuracin de polticas en la pgina 346.
autenticacin, consulte Configurar un tiempo de espera inactivo personalizado en la pgina 270.
Pestaa Avanzada
Pueden usarse varias otras opciones en la definicin de ALG:


Las ALG de WatchGuard tienen opciones de seguridad de red y rendimiento adicionales relacionadas con el
tipo de trfico de red que controla la ALG. Para modificar estas configuraciones, edite una ALG y haga clic
en la pestaa Configuracin o Contenido.

n SIP ALG: Configuracin

n SIP ALG: Contenido
SIP ALG: Contenido

Cuando se agrega una SIP ALG (puerta de enlace de la capa de aplicacin), se pueden configurar opciones
adicionales relacionadas con el protocolo SIP.
1. Editar o agregar la poltica SIP ALG.

Codecs negados
Utilice esta funcin para denegar uno o ms codecs VoIP. Cuando se abre una conexin SIP
VoIP que usa un codec especificado en esta lista, el dispositivo WatchGuard cierra la conexin
automticamente. Esta lista est vaca de manera predeterminada. Recomendamos agregar un
codec a esta lista si consume demasiado ancho de banda, presenta un riesgo de seguridad o si
es necesario para que la solucin VoIP funcione correctamente. Por ejemplo, pude optar por
denegar los codecs G.711 o G.726 porque usan ms de 32 Kb/seg de ancho de banda o puede
optar por denegar el codec Speex porque es utilizado por un codec VoIP no autorizado.
Para agregar un codec a la lista, ingrese el nombre del codec o el patrn de texto nico en el
cuadro de texto y haga clic en Agregar. No use caracteres comodn ni sintaxis de expresin
regular. Los patrones codec distinguen maysculas de minsculas.
Para borrar un codec de la lista, seleccinelo y haga clic en Eliminar.
Gua del Usuario 311

Activar control de acceso para VoIP
Seleccione esta casilla de verificacin para activar la funcin de control de acceso. Cuando est
activada, la SIP ALG permite o restringe llamadas segn las opciones configuradas.
Configuracin predeterminada
Seleccione la casilla de verificacin Iniciar llamadas VoIP para permitir que todos los usuarios
VoIP inicien llamadas de manera predeterminada. Seleccione la casilla de verificacin Recibir
llamadas VoIP para permitir que todos los usuarios VoIP reciban llamadas de manera
predeterminada. Seleccione la casilla de verificacin adyacente Registro para crear un mensaje
de registro para cada conexin SIP VoIP iniciada o recibida.
Niveles de acceso
Para crear una excepcin a la configuracin predeterminada especificada anteriormente,

ingrese un nombre de host, una direccin IP o una direccin de correo electrnico. Seleccione
un nivel de acceso en la lista desplegable adyacente y luego haga clic en Agregar.
Se puede permitir que los usuarios inicien llamadas nicamente, reciban llamadas
nicamente, inicien y reciban llamadas o denegarles el acceso VoIP. Estas configuraciones se
aplican slo al trfico SIP VoIP.
Si desea eliminar una excepcin, seleccinela en la lista y haga clic en Eliminar.
Las conexiones realizadas por usuarios que tienen una excepcin de nivel de acceso se
registran de manera predeterminada. Si no desea registrar conexiones realizadas por un
usuario con una excepcin de nivel de acceso, desmarque la casilla de verificacin Registro
cuando cree la excepcin.

SIP ALG: Configuracin

Cuando se agrega una SIP ALG (puerta de enlace de la capa de aplicacin), se pueden configurar opciones
adicionales relacionadas con el protocolo SIP.
1. Editar o agregar la poltica SIP ALG.

Activar normalizacin de encabezado
Seleccione esta casilla de verificacin para negar encabezados SIP extremadamente largos o
malformados. Aunque estos encabezados a menudo indican un ataque en Firebox, si es
necesario se puede desactivar esta opcin para que la solucin VoIP funcione correctamente.
Activar ocultacin de topologa
Esta funcin reescribe los encabezados de trfico SIP para eliminar informacin de red privada,
como direcciones IP. Recomendamos mantener esta opcin activada, salvo que tenga un
dispositivo de puerta de enlace VoIP actual que realice la ocultacin de topologa.
Activar proteccin de cosecha de directorio.
Seleccione esta casilla de verificacin para asegurarse de que los atacantes no puedan robar
informacin de usuarios a gatekeepers VoIP protegidos por Firebox. Esa opcin es activada por
defecto.
Sesiones mximas
Utilice esta funcin para restringir el nmero mximo de sesiones de audio o video que
pueden crearse con una nica llamada VoIP. Por ejemplo, si el usuario define el nmero de
sesiones mximas en una y participa en una llamada VoIP con audio y video, la segunda
conexin se descarta. El valor predeterminado es dos sesiones y el valor mximo es cuatro
sesiones. Firebox crea una entrada de registro cuando niega una sesin multimedia por encima
de este nmero.
Gua del Usuario 313

conexin administrada por la SIP ALG. Debe activar esta opcin para crear informes precisos
sobre el trfico SIP.
Informacin del agente usuario
Para identificar el trfico SIP saliente como un cliente especfico, ingrese una nueva cadena de
agente usuario en el cuadro de texto Reescribir agente usuario como. Para eliminar el agente
usuario falso, desmarque el cuadro de texto.
Canales de medios inactivos
Cuando no se envan datos durante un perodo determinado en un canal VoIP de audio, video
o datos, Firebox cierra esa conexin de red. El valor predeterminado es 180 segundos (tres
minutos) y el valor mximo es 600 segundos (diez minutos). Para especificar un intervalo de
tiempo diferente, ingrese el nmero en segundos en el cuadro de texto Canales de medios
inactivos.
Pgina Acerca de Proxy SMTP

SMTP (Protocolo simple de transferencia de correo) es un protocolo utilizado para enviar mensajes de
correo electrnico entre servidores de correo electrnico y tambin entre clientes de correo electrnico y
servidores de correo electrnico. En general utiliza una conexin TCP en el puerto 25. El proxy SMTP se
puede usar para controlar mensajes de correo electrnico y contenido de correo electrnico. El proxy
escanea los mensajes SMTP para un nmero de parmetros filtrados y los compara con las reglas en la
configuracin de proxy.
Con un filtro de proxy SMTP, es posible:
n Ajustar los lmites de tiempo de espera, tamao mximo del correo electrnico y extensin de lnea
para asegurarse de que el proxy SMTP no use demasiados recursos de red y pueda impedir algunos
tipos de ataques.
n Personalizar el deny message que los usuarios ven cuando se bloquea un mensaje de correo
electrnico que intentan recibir.
n Filtrar contenido integrado en el mensaje de correo electrnico con tipos MIME y patrones de
nombre.
n Limitar las direcciones de correo electrnico a las que se pueden enviar mensajes de correo
electrnico y automticamente bloquear mensajes de correo electrnico de remitentes especficos.
Para agregar el proxy SMTP a la configuracin de Firebox, consulte Agregar una poltica de proxy a la
Pestaa Poltica
n Las conexiones SMPT Servidor proxy estn: especifica si las conexiones estn Permitidas, Negadas


n Usar el enrutamiento basado en la poltica: para utilizar el enrutamiento basado en la poltica en la
Pestaa Propiedades
y notificacin .
(enviar restablecer), se pueden bloquear sitios que intentan usar SMTP. Para ms informaciones,
vea Bloquear sitios temporalmente con configuracin de polticas en la pgina 346.
autenticacin, consulte Configurar un tiempo de espera inactivo personalizado en la pgina 270.
Pestaa Avanzada

Pestaas Configuracin, Direccin y Contenido

una poltica de proxy y seleccione la pestaa Configuracin o Contenido. El proxy SMTP tambin incluye
una pestaa Direccin, donde pueden configurarse opciones para remitentes y destinatarios de mensajes
de correo electrnico.
n Proxy SMTP: Configuracin

n Proxy SMTP: Direccin
n Proxy SMTP: Contenido
Proxy SMTP: Direccin

Cuando se agrega una poltica de proxy SMTP, pueden configurarse opciones adicionales relacionadas con
el protocolo SMTP.
Para limitar quines pueden enviar y recibir mensajes de correo electrnico:
Gua del Usuario 315

1. Edite o agregue la poltica SMTP Servidor proxy.

2. Haga clic en la pestaa Direccin.
Bloquear el correo electrnico de emisores no seguros
Seleccione esta casilla de verificacin para limitar quines pueden enviar mensajes de correo
electrnico a destinatarios en su red. Para agregar un remitente a la lista, ingrese la direccin
de correo electrnico en el cuadro de texto adyacente y haga clic en el botn Agregar. El
asterisco (*) puede usarse como carcter comodn para hacer coincidir ms de un remitente.
Limitar destinatarios de correo electrnico
Seleccione esta casilla de verificacin para permitir que slo usuarios especificados reciban
mensajes de correo electrnico. Para agregar un destinatario a la lista, ingrese la direccin de
correo electrnico en el cuadro de texto adyacente y haga clic en el botn Agregar. El asterisco
(*) puede usarse como carcter comodn para hacer coincidir ms de un destinatario.
Proxy SMTP: Contenido

Cuando se agrega una poltica de proxy SMTP, pueden configurarse opciones adicionales relacionadas con
el protocolo SMTP. Ciertos tipos de contenido incluidos en el mensaje de correo electrnico pueden ser
una amenaza de seguridad para la red. Otros tipos de contenido pueden disminuir la productividad de los
usuarios. El conjunto de reglas para la accin de proxy SMTP entrante se usa para configurar valores para el
filtrado de contenido SMTP entrante. El conjunto de reglas para la accin de proxy SMTP saliente se usa
para configurar valores para el filtrado de contenido SMTP saliente. El proxy SMTP admite los siguientes
tipos de contenido de manera predeterminada: texto/*, imagen/*, multiparte/*, mensaje/*, aplicacin/* y
aplicacin/x-watchguard-bloqueado.


Permitir slo los tipos de contenido seguro
Para permitir slo los tipos MIME configurados en la lista Tipos de contenido, seleccione esta
casilla de verificacin.
Para agregar un tipo de contenido predefinido a la lista Tipos de contenido, seleccione la

entrada y haga clic en < para copiar la entrada.
Para agregar un nuevo tipo de contenido, ingrese el tipo MIME en la lista adyacente y haga clic
en Agregar. El asterisco (*) puede usarse como carcter comodn para hacer coincidir ms de
un tipo MIME al mismo tiempo.
Para eliminar un tipo de contenido, seleccione la entrada y haga clic en Eliminar. No pueden
eliminarse tipos de contenido en la lista Tipos de contenido predefinidos.
Denegar los patrones de nombres de archivos no seguros
Seleccione esta casilla de verificacin para negar mensajes de correo electrnico con adjuntos
que tienen nombres de archivo que coinciden con un patrn en la lista adyacente.
Para agregar un patrn de nombre de archivo, ingrese el patrn de nombre de archivo en el

cuadro de texto adyacente y haga clic en Agregar. El asterisco (*) puede usarse como carcter
comodn para hacer coincidir ms de un nombre de archivo al mismo tiempo.
Para eliminar un patrn de nombre de archivo, seleccinelo en la lista y haga clic en Eliminar.
Gua del Usuario 317

Proxy SMTP: Configuracin

Cuando agrega una poltica de proxy SMTP, puede configurar opciones adicionales relacionadas con el
protocolo DNS.

Tiempo de espera
El usuario puede establecer la cantidad de tiempo que una conexin SMTP entrante puede
estar inactiva antes de que la conexin se cierre. El valor predeterminado es 10 minutos.
Para cambiar este valor, ingrese o seleccione un nmero en el campo adyacente.
Tamao mximo de correo electrnico
Utilice esta opcin para configurar la extensin mxima de los mensajes SMTP entrantes. El
valor predeterminado es de 10.000.000bytes o 10MB.
Para permitir mensajes de cualquier tamao, configure el valor en cero (0).
La codificacin puede aumentar la extensin de los archivos incluso en un tercio. Por ejemplo,
para permitir mensajes de hasta 10KB, debe configurar este campo en un mnimo de 1.334
bytes para asegurarse de recibir los mensajes de 10KB.
Longitud mxima de lnea
Puede configurar la extensin mxima de lnea para las lneas de los mensajes SMTP. Las
extensiones de lnea muy largas pueden causar fallas en la memoria intermedia en algunos
sistemas de correo electrnico. La mayora de los clientes de correo electrnico envan
extensiones de lnea cortas, pero algunos sistemas de correo electrnico Web envan lneas
muy largas.
La configuracin predeterminada es de 1.000bytes o 1KB.
Para permitir extensiones de lnea de cualquier tamao, configure el valor en cero (0).
Seleccione esta casilla de verificacin para enviar un mensaje de registro por cada solicitud de
conexin administrada mediante el proxy SMTP. Debe activar esta opcin para crear informes
precisos acerca del trfico proxy SMTP.

Configure el proxy SMTP para colocar mensajes de correo

electrnico en cuarentena
El WatchGuard Quarantine Server proporciona un mecanismo de cuarentena seguro y con funcionalidad
completa para cualquier mensaje de correo electrnico con sospecha o certeza de ser spam o de contener
virus. Este depsito recibe mensajes de correo electrnico del proxy SMTP y filtrados por spamBlocker.
Para configurar el proxy SMTP para colocar mensajes de correo electrnico en cuarentena:
1. Agregue el proxy SMTP a su configuracin y active spamBlocker en la definicin de proxy.

O bien, active spamBlocker y seleccinelo para activarlo para el proxy SMTP.
2. Cuando se configuran las acciones que spamBlocker aplica para diferentes categoras de mensajes
de correo electrnico (como se describe en Configurado spamBlocker en la pgina 583),
asegrese de seleccionar la accin Cuarentena para al menos una de las categoras. Cuando se
selecciona esta accin, se le solicita que configure el Quarantine Server si an no lo ha hecho.
Tambin se puede seleccionar la accin Cuarentena para mensajes de correo electrnico identificados por
la Virus Outbreak Detection como portadores de virus. Para ms informaciones, vea Configurar acciones de
Virus Outbreak Detection para una poltica en la pgina 593.
Pgina Acerca de Proxy de TCP-UDP

El proxy de TCP-UDPse incluye para estos protocolos en puertos no estndar: HTTP, HTTPS, SIP y FTP. En el
caso de estos protocolos, el proxy de TCP-UDPretransmite el trfico a los servidores proxy correctos para
los protocolos o le da la posibilidad de permitir o negar el trfico. En el caso de otros protocolos, puede
seleccionar si desea permitir o negar el trfico. Tambin puede utilizar esta poltica de proxy para permitir o
negar el trfico de red mediante IM(mensajera instantnea)y P2P(punto a punto). El proxy de TCP-UDP
est pensado slo para las conexiones salientes.
Para agregar el proxy de TCP-UDP a su configuracin de Firebox, consulte Agregar una poltica de proxy a
la configuracin en la pgina 277.
Pestaa Poltica
n Las conexiones del proxy de TCP-UDP estn Especifique si las conexiones estn Permitidas,
Negadas o Negadas (enviar restablecer), y defina quin aparece en la lista De y A (en la pestaa
Poltica de la definicin de proxy). Para obtener ms informacin, consulte Definir reglas de acceso
a una poltica en la pgina 267.
Pestaa Propiedades
y notificacin .
Gua del Usuario 319

n Si configur la lista desplegable Las conexiones estn (en la pestaa Poltica) como Negadas o
Negadas (enviar restablecer), puede bloquear los sitios que intenten utilizar el TCP-UDP. Vea
Bloquear sitios temporalmente con configuracin de polticas en la pgina 346.
n Si desea utilizar un tiempo de espera inactivo distinto de configurado por el dispositivo WatchGuard
o el servidor de autenticacin, Configurar un tiempo de espera inactivo personalizado.
Pestaa Avanzada


n Proxy de TCP-UDP: Configuracin

n Proxy de TCP-UDP: Contenido
Proxy de TCP-UDP: Contenido

Puede utilizar la configuracin del Application Blocker en la pestaa Contenido para definir las acciones que
realiza el dispositivo Firebox o XTM cuando una poltica de proxy TCP-UDP detecta trfico de red de
mensajera instantnea (IM) o punto a punto (P2P).
En la pestaa Contenido, marque la casilla de seleccin para los tipos de aplicacin IM y P2P que desea que
el proxy TCP-UDP detecte, como tambin la accin asociada.
Para ms informacin, vea Acerca de las configuraciones de Application Blocker en la pgina 274.
Proxy de TCP-UDP: Configuracin

Cuando agrega una poltica de proxy de TCP-UDP, puede configurar opciones adicionales relacionadas con
los protocolos de redes mltiples.
Para especificar las polticas de proxy que filtran distintos tipos de trfico de red:


Acciones del servidor proxy para redirigir el trfico
El proxy de TCP-UDP puede pasar el trfico HTTP, HTTPS, SIP y FTP a polticas de proxy que ya
haya creado cuando este trfico se enve por puertos no estndar. En el caso de cada uno de
estos protocolos, en las listas desplegables adyacentes, seleccione la poltica de proxy que
desea para administrar este trfico.
Si no desea que su Firebox utilice una poltica de proxy para filtrar un protocolo, seleccione
Permitir o Negar en la lista desplegable adyacente.
Nota Para asegurarse de que su Firebox funciona correctamente, no podr seleccionar

Permitir para el protocolo FTP.
Seleccione esta casilla de verificacin para enviar un mensaje de registro por cada solicitud de
conexin administrada mediante el proxy TCP-UDP. Debe activar esta opcin para crear
informes precisos acerca del trfico proxy TCP-UDP.
Gua del Usuario 321

Gua del Usuario 322

14 Administracin de trfico y QoS
Acerca de las Administracin de trfico y QoS

En una red amplia con muchas computadoras, el volumen de datos que se desplaza por el firewall puede
ser muy grande. Un administrador de red puede utilizar las acciones de Administracin de trfico y Calidad
de servicio (QoS) para evitar la prdida de datos para importantes aplicaciones comerciales y para
asegurarse de que las aplicaciones crticas de la misin tengan prioridad sobre el resto del trfico.
La administracin de trfico y la QoS proporcionan una cantidad de beneficios. Se puede:
n Garantizar o limitar el ancho de banda

n Controlar la velocidad a la cual Firebox enva paquetes a la red
n Priorizar cundo enviar paquetes a la red
Para aplicar la administracin de trfico a las polticas, usted define una accin de administracin de trfico,
que es una coleccin de configuraciones que puede aplicar a una o ms definiciones de la poltica. De esta
manera, no necesita ajustar la configuracin de la administracin de trfico de manera independiente en
cada poltica. Puede definir acciones de administracin de trfico adicionales si desea aplicar diferentes
configuraciones a diferentes polticas.
Activar administracin de trfico y QoS

Por motivos de rendimiento, todas las funciones de administracin de trfico y QoS estn desactivadas de
manera predeterminada. Debe activar estas funciones en la Configuracin global antes de poder utilizarlas.
1. Seleccione Sistema >Configuracin global.

Aparece la pgina de Configuracin global.
Gua del Usuario 323

Administracin de trfico y QoS
2. Seleccione la casilla de verificacin Activar todas las funciones de administracin de trfico y QoS.
Garantice ancho de banda

Las reservas de ancho de banda pueden evitar los tiempos de espera de conexin. Una cola de
administracin de trfico con ancho de banda reservado y una prioridad baja puede proporcionar ancho de
banda a aplicaciones en tiempo real con mayor prioridad cuando sea necesario y sin desconexiones. Otras
colas de administracin de trfico pueden aprovechar el ancho de banda reservado sin utilizar cuando est
disponible.
Por ejemplo, supongamos que la compaa tiene un servidor FTP en una red externa y desea garantizar que
el FTP siempre tenga por lo menos 200kilobytes por segundo (KBps) mediante la interfaz externa. Tambin
puede considerar la configuracin de un ancho de banda mnimo para la interfaz de confianza para
asegurarse de que la conexin tenga un ancho de banda garantizado de extremo a extremo. Para hacer
esto, debera crear una accin de administracin de trfico que defina un mnimo de 200KBps para el
trfico FTP en la interfaz externa. Entonces, creara una poltica FTP y aplicara la accin de administracin
de trfico. Esto permitir ejecutar el comando ftp put a 200KBps. Si desea permitir la ejecucin del
comando ftp get a 200KBps, debe configurar el trfico FTP en la interfaz de confianza para que tambin
tenga un mnimo de 200KBps.

Como ejemplo adicional, supongamos que su compaa utiliza materiales multimedia (streaming media)
para capacitar a clientes externos. Estos materiales multimedia utilizan RTSP mediante el puerto 554. Tiene
cargas frecuentes al FTP de la interfaz de confianza a la interfaz externa y no desea que estas cargas
compitan con la capacidad de los clientes para recibir los materiales multimedia. Para garantizar el ancho de
banda suficiente, puede aplicar una accin de administracin de trfico a la interfaz externa para el puerto
de materiales multimedia.
Restrinja el ancho de banda

La configuracin de ancho de banda garantizado trabaja con el ajuste del Ancho de banda de interfaz
saliente configurado para cada interfaz externa para asegurarse de que no garantice ms ancho de banda
del que realmente existe. Esta configuracin tambin ayuda a asegurar que la suma de la configuracin de
ancho de banda garantizado no llene el enlace de modo que el trfico no garantizado no pueda pasar. Por
ejemplo, supongamos que el enlace es de 1Mbps y usted intenta utilizar una accin de administracin de
trfico que garantiza 973Kbps (0.95Mbps) a la poltica FTP en ese enlace. Con esta configuracin, el trfico
FTP podra utilizar una cantidad tal del ancho de banda disponible que otros tipos de trfico no podran
utilizar la interfaz.
Marcado QoS
El marcado QoS crea diferentes clases de servicio para distintos tipos de trfico de red saliente. Cuando
marca el trfico, puede cambiar hasta seis bits en los campos del encabezado del paquete definidos para
este fin. Otros dispositivos pueden utilizar este marcado para administrar un paquete de la manera
adecuada mientras viaja de un punto a otro de la red.
Puede activar el marcado QoS para una interfaz individual o una poltica individual. Cuando define el
marcado QoS para una interfaz, cada paquete que abandona la interfaz est marcado. Cuando define el
marcado QoS para una poltica, todo el trfico que utiliza esa poltica tambin est marcado.
Prioridad de trfico
Puede asignar diferentes niveles de prioridad a las polticas o al trfico de una interfaz en particular. La
priorizacin del trfico en el firewall le permite administrar cosas de clase de servicio (CoS) mltiples y
reservar la prioridad ms alta para los datos en tiempo real o la transmisin de datos. Una poltica con alta
prioridad puede extraer ancho de banda de las conexiones existentes de baja prioridad cuando el enlace
est congestionado; entonces, el trfico debe competir por el ancho de banda.
Configurar el ancho de banda de interfaz saliente

Algunas funciones de administracin de trfico exigen que establezca un lmite de ancho de banda para
cada interfaz de red. Por ejemplo, debe establecer la configuracin de Ancho de banda de interfaz saliente
para utilizar el marcado QoS y la priorizacin.
Despus de configurar este lmite, Firebox completa las tareas de priorizacin bsica sobre el trfico de red
para evitar problemas de trfico excesivo en la interfaz especificada. Adems, aparece una advertencia en
Fireware XTM Web UI si asigna demasiado ancho de banda al crear o ajustar las acciones de administracin
de trfico.
Gua del Usuario 325

Si no cambia la configuracin de Ancho de banda de interfaz saliente en ninguna interfaz del valor
predeterminado en 0, est configurada para autonegociar la velocidad de enlace para esa interfaz.
1. Seleccione Administracin de trfico >por firewall.

Aparece la pgina de administracin de trfico.
2. Haga clic en la pestaa Interfaces.
3. En la columna Ancho de banda adyacente al nombre de la interfaz, ingrese la cantidad de ancho de

banda proporcionada por la red.
Utilice la velocidad de carga de su conexin a Internet en kilobits o megabits por segundo (Kbps o
Mbps).
Configure el ancho de banda de su interfaz LAN sobre la base de la velocidad de enlace mnima
admitida por su infraestructura LAN.
4. Para cambiar la unidad de la velocidad, seleccione una interfaz de la lista, luego haga clic en la
unidad de velocidad adyacente y seleccione una opcin diferente en la lista desplegable.
Configure los lmites de la tasa de conexin

Para mejorar la seguridad de red, puede crear un lmite en una poltica de modo que slo filtre una
cantidad especfica de conexiones por segundo. Si se intentan realizar conexiones adicionales, el trfico se
niega y se crea un mensaje de registro.
1. Seleccione Firewall >Polticas de firewall o Polticas>de Mobile VPN parafirewall.

Aparecer la pgina de Polticas.
2. Haga doble clic en una poltica o seleccione la poltica que desea configurar y haga clic en Editar.
4. Seleccione la casilla de verificacin Tasa de conexin.
5. En el cuadro de texto adyacente, ingrese o seleccione el nmero de conexiones que puede
procesar esta poltica en un segundo.

Acerca de las Marcado QoS

Las redes actuales suelen constar de varios tipos de trfico de red que compiten por el ancho de banda.
Todo el trfico, ya sea de primordial importancia o carente de importancia, tiene la misma posibilidad de
llegar a destino de manera oportuna. El marcado de calidad del servicio (QoS) le brinda un tratamiento
preferencial al trfico crtico, para asegurarse de que sea entregado de manera rpida y confiable.
La funcin de QoS debe poder diferenciar los varios tipos de secuencias de datos que fluyen por su red.
Entonces, debe marcar los paquetes de datos. El marcado QoS crea diferentes clasificaciones de servicio
para distintos tipos de trfico de red. Cuando marca el trfico, puede cambiar hasta seis bits en los campos
del encabezado del paquete definidos para este fin. Firebox y otros dispositivos aptos para QoS pueden
utilizar este marcado para administrar un paquete de la manera adecuada mientras viaja de un punto a otro
de la red.
Fireware XTM soporta dos tipos de marcado QoS: Marca de precedencia IP (tambin conocida como Clase de
servicio) y marca de Differentiated Service Code Point (DSCP). Para obtener ms informacin acerca de estos
tipos de marcado y los valores que puede configurar, consulte Marcado: tipos y valores en la pgina 328.
Antes de empezar
n Asegrese de que su equipo de LAN soporte el marcado y la administracin QoS. Es posible que
tambin deba asegurarse de que su ISP soporte el marcado QoS.
n El uso de procedimientos de QoS en una red requiere una planificacin exhaustiva. Primero puede
identificar el ancho de banda terico disponible y luego determinar qu aplicaciones de red son de
alta prioridad, especialmente sensibles a la latencia y la oscilacin o ambas opciones.
Marcado QoSpara interfaces y polticas

Puede activar el marcado QoS para una interfaz individual o una poltica individual. Cuando define el
marcado QoS para una interfaz, cada paquete que abandona la interfaz est marcado. Cuando define el
marcado QoS para una poltica, todo el trfico que utiliza esa poltica tambin est marcado. El marcado QoS
para una poltica anula cualquier configuracin de marcado QoS en una interfaz.
Por ejemplo, supongamos que su Firebox recibe trfico con marcado QoS de una red de confianza y lo
enva a una red externa. La red de confianza ya tiene aplicado el marcado QoS, pero usted desea que el
trfico a su equipo ejecutivo obtenga una prioridad ms alta que el resto del trfico de red de la interfaz de
confianza. Primero, configure el marcado QoS de la interfaz de confianza en un valor determinado. Luego,
agregue una poltica con configuracin de marcado QoS para el trfico a su equipo ejecutivo con un valor
ms alto.
Marcado QoS y trfico IPSec

Si desea aplicar el marcado QoS al trfico IPsec, debe crear una poltica de firewall especfica para la poltica
IPsec correspondiente y aplicarle el marcado QoS a esa poltica.
Tambin puede elegir si desea preservar el marcado existente cuando se encapsula un paquete marcado
en un encabezado IPSec.
Gua del Usuario 327

Para preservar el marcado:
1. Seleccione VPN > Configuraciones Globales.

Aparece la pgina de configuracin deVPN global.
2. Seleccione la casilla de verificacin Activar TOS para IPSec.
Se preservan todas las marcas existentes cuando el paquete es encapsulado en un encabezado IPSec.
Para eliminar el marcado:

Aparece la pgina de configuracin deVPN global.
2. Limpie la casilla de verificacin Activar TOS para IPSec.
Se restablecen los bits de TOS y no se preserva el marcado.
Marcado: tipos y valores

Fireware XTM soporta dos tipos de marcado QoS: Marca de precedencia IP (tambin conocida como Clase
de servicio) y marca de Differentiated Service Code Point (DSCP). La marca de precedencia IP slo afecta a
los tres primeros bits del octeto de tipo de servicio IP (TOS). La marca DSCP ampla el marcado a los seis
primeros bits del octeto de TOS IP. Ambos mtodos le permiten preservar los bits en el encabezado, que
pueden haber sido marcados previamente por un dispositivo externo, o cambiarlos a un nuevo valor.
Los valores de DSCP se pueden expresar de forma numrica o mediante nombres de palabras clave
especiales que corresponden al comportamiento por salto (PHB). El comportamiento por salto es la
prioridad aplicada a un paquete cuando viaja de un punto a otro dentro de una red. La marca DSCP de
Fireware soporta tres tipos de comportamiento por salto:
Mejor esfuerzo
Mejor esfuerzo es el tipo de servicio predeterminado y se recomienda para el trfico no crtico o no

realizado en tiempo real. Si no utiliza el marcado QoS, todo el trfico recaer dentro de esta clase.
Assured Forwarding (AF)
El Assured Forwarding se recomienda para el trfico que requiere mejor confiabilidad que el
servicio de mejor esfuerzo. Dentro del tipo de comportamiento por salto denominado Assured
Forwarding (AF), el trfico puede asignarse a tres clases: baja, media y alta.
Desvo urgente (EF)
Este tipo tiene la prioridad ms alta. Generalmente se reserva para el trfico crtico de la misin y en
tiempo real.
Los puntos de cdigo del selector de clase (CSx) se definen como compatibles con las versiones anteriores
de los valores de precedencia IP. CS1 a CS7 son idnticos a los valores de precedencia IP 1 a 7.
La tabla subsiguiente muestra los valores de DSCP que usted puede seleccionar, el valor de precedencia IP
correspondiente (que es igual al valor CS) y la descripcin en palabras clave de PHB.

Valor de precedencia IP Descripcin: Palabra clave del

Valorde DSCP
equivalente (valores CS) comportamiento por salto
0 Mejor esfuerzo (igual a la carencia de marcado)
8 1 Scavenger*
10 AF Clase 1 - Baja
12 AF Clase 1 - Media
14 AF Clase 1 - Alta
16 2
24 3
32 4
40 5
46 EF
48 6 Control de Internet
56 7 Control de red
* La clase Scavenger se utiliza para el trfico de prioridad ms baja (por ejemplo, para compartir medios o
utilizar aplicaciones de juegos). Este trfico tiene una prioridad ms baja que Mejor esfuerzo.
Para obtener ms informacin acerca de los valores de DSCP consulte esta referencia: http://www.rfc-
editor.org/rfc/rfc2474.txt
Activar marcado QoS para una interfaz

Puede establecer el comportamiento de marcado predeterminado a medida que el trfico sale de una
interfaz. Estas configuraciones pueden ser anuladas por las configuraciones definidas para una poltica.
Gua del Usuario 329


2. Limpie la casilla de verificacin Desactivar toda administracin de trfico. Haga clic en Guardar.
Es posible que desee desactivar estas funciones ms tarde si realiza pruebas de rendimiento o depuracin de red.
4. Seleccione la interfaz para la cual desea activar el marcado QoS. Haga clic en Configurar.
5. Haga clic en Avanzado.
6. En la lista desplegable Tipo de marcado, seleccione DSCP o Precedencia IP.

7. En la lista desplegable Mtodo de marcado, seleccione el mtodo de marcado:
n Preservar: no cambiar el valor actual del bit. Firebox prioriza el trfico sobre la base de este valor.
n Asignar: asignarle al bit un nuevo valor.
8. Si seleccion Asignar en el paso anterior, seleccione un valor de marcado.
Si seleccion el tipo de marcado Precedencia IP puede seleccionar valores de 0 (prioridad normal)
a 7 (prioridad ms alta).
Si seleccion el tipo de marcado DSCP, los valores son de 0 a 56.
Para obtener ms informacin acerca de estos valores, consulte Marcado: tipos y valores en la
pgina 328.
9. Seleccione la casilla de verificacin Priorizar trfico basado en el marcado QoS.
Activar el marcado QoS o configuraciones de priorizacin para

una poltica
Adems de marcar el trfico que abandona una interfaz de Firebox, tambin puede marcar el trfico por
poltica. La accin de marcado que selecciona es aplicada a todo el trfico que usa la poltica. Las polticas
mltiples que utilizan las mismas acciones de marcado no tienen efecto una sobre otra. Las interfaces de
Firebox tambin pueden tener su propia configuracin de marcado QoS. Para utilizar el marcado QoS o la
configuracin de priorizacin para una poltica, debe cancelar cualquier configuracin de marcado QoS por
interfaz.
1. Seleccione Firewall >Polticas de firewall o Polticas>de Mobile VPN parafirewall.

Aparecer la pgina de Polticas.
2. Seleccione la poltica que desea cambiar. Haga clic en Editar.

4. Seleccione la casilla de verificacin Cancelar configuraciones por interfaz para activar otros campos
de marcado QoS y priorizacin.
5. Complete la configuracin como se describe en las secciones subsiguientes.
Configuracin de marcado QoS

Para obtener ms informacin acerca de los valores de marcado QoS, consulte Marcado: tipos y valores en
la pgina 328.
1. En la lista desplegable Tipo de marcado, seleccione DSCP o Precedencia IP.

2. En la lista desplegable Mtodo de marcado, seleccione el mtodo de marcado:
n Preservar: no cambiar el valor actual del bit. Firebox prioriza el trfico sobre la base de este valor.
n Asignar: asignarle al bit un nuevo valor.
3. Si seleccion Asignar en el paso anterior, seleccione un valor de marcado.
Si seleccion el tipo de marcado Precedencia IP puede seleccionar valores de 0 (prioridad normal)
a 7 (prioridad ms alta).
Si seleccion el tipo de marcado DSCP, los valores son de 0 a 56.
4. En la lista desplegable Priorizar trfico basado en, seleccione MarcadoQoS.
Configuracin de priorizacin
Se pueden utilizar muchos algoritmos para priorizar el trfico de red. Fireware XTM utiliza un mtodo de
cola de alto rendimiento segn la clase basado en el algoritmo de marcado jerrquico de paquetes
(Hierarchical Token Bucket, HTB). La priorizacin en el Fireware XTM se aplica por poltica y es equivalente a
los niveles de 0 a 7 de CoS (clase de servicio), donde 0 es la prioridad normal (predeterminada) y 7 es la
prioridad ms alta. El nivel 5 comnmente se utiliza para transmitir datos como VoIP o videoconferencias.
Reserve los niveles 6 y 7 para las polticas que permiten las conexiones de administracin del sistema, para
asegurarse de que estn siempre disponibles y evitar la interferencia de otro trfico de red de alta
prioridad.Utilice la tabla de niveles de prioridad como gua cuando asigne las prioridades.
1. En la lista desplegable Priorizar trfico basado en, seleccione Valor personalizado.

2. En la lista desplegable Valor, seleccione un nivel de prioridad.
Gua del Usuario 331

Niveles de prioridad
Le recomendamos asignar una prioridad superior a 5 slo a las polticas administrativas de WatchGuard,
como la poltica WatchGuard, la poltica WG-Logging o la poltica WG-Mgmt-Server. El trfico comercial de
alta prioridad deber obtener una prioridad de 5 o menor.
Prioridad Descripcin
0 Rutinaria (HTTP, FTP)
1 Prioridad
2 Inmediata (DNS)
3 Flash (Telnet, SSH, RDP)
4 Cancelar Flash
5 Crtica (VoIP)
6 Control de interconexin de redes (Configuracin del enrutador remoto)
7 Control de red (Administracin de firewall, enrutador e interruptor)
Control de trfico y definiciones de polticas

Definir un Accin de administracin de trfico
Las acciones de administracin de trfico pueden imponer restricciones de ancho de banda y garantizar una
cantidad mnima de ancho de banda para una o ms polticas. Cada accin de administracin de trfico
puede incluir configuraciones para interfaces mltiples. Por ejemplo, en una accin de administracin de
trfico utilizada con una poltica HTTP para una organizacin pequea, puede configurar el ancho de banda
mnimo garantizado de una interfaz de confianza en 250Kbps y el ancho de banda mximo en 1000Kbps.
Esto limita las velocidades a las cuales los usuarios pueden descargar archivos, pero garantiza que una
pequea cantidad del ancho de banda siempre est disponible para el trficoHTTP. Luego podr configurar
el ancho de banda mnimo garantizado de una interfaz externa en 150Kbps y el ancho de banda mximo en
300Kbps para administrar las velocidades de carga al mismo tiempo.
Determine el ancho de banda disponible

Antes de comenzar, debe determinar el ancho de banda disponible de la interfaz utilizada para las polticas
que desea que tengan un ancho de banda garantizado. En el caso de las interfaces externas, puede
comunicarse con su ISP (Proveedor de servicios de Internet)para verificar el acuerdo de nivel de servicio
para el ancho de banda. A continuacin puede utilizar una prueba de velocidad con herramientas en lnea
para verificar este valor. Estas herramientas pueden producir valores diferentes segn una cantidad de
variables. En el caso de otras interfaces, puede suponer que la velocidad de enlace en la interfaz Firebox es

el ancho de banda mximo terico para esa red. Tambin debe considerar tanto las necesidades de envo
como de recepcin de una interfaz y configurar el valor de umbral sobre la base de estas necesidades. Si su
conexin a Internet es asimtrica, utilice el ancho de banda del enlace ascendente establecido por su ISP
como el valor de umbral.
Determine la suma de su ancho de banda

Tambin debe determinar la suma del ancho de banda que desea garantizar para todas las polticas en una
interfaz determinada. Por ejemplo, en una interfaz externa de 1500Kbps, es posible que desee reservar
600Kbps para todo el ancho de banda garantizado y utilizar los 900Kbps restantes para todo el otro trfico.
Todas las polticas que utilizan una accin de administracin de trfico comparten su tasa de conexin y sus
configuraciones de ancho de banda. Cuando son creadas, las polticas pertenecen automticamente a la
accin de administracin de trfico predeterminada, que no impone restricciones ni reservas. Si crea una
accin de administracin de trfico para configurar un ancho de banda mximo de 10Mbps y se la aplica a
una poltica FTP y a una poltica HTTP, todas las conexiones manejadas por esas polticas deben compartir 10
Mbps. Si ms tarde aplica la misma accin de administracin de trfico a una polticaSMTP, las tres polticas
debern compartir 10Mbps. Esto tambin se aplica a los lmites de la tasa de conexin y al ancho de banda
mnimo garantizado. El ancho de banda garantizado sin utilizar reservado por una accin de administracin
de trfico puede ser utilizado por otras acciones.
Crear o modificar una accin de administracin de trfico

2. Haga clic en Agregar para crear una nueva accin de administracin de trfico.
O bien, seleccione una accin y haga clic en Configurar.
3. Ingrese un Nombre y una Descripcin (opcional) para la accin. Utilizar el nombre de la accin para
hacer referencia a sta cuando la asigne a una poltica.
4. En la lista desplegable, seleccione una interfaz. Ingrese el ancho de banda mnimo y mximo para
esa interfaz en los cuadros de texto adyacentes.
Gua del Usuario 333

6. Repita los pasos 4 y 5 para agregar lmites de trfico a interfaces adicionales.

7. Para eliminar una interfaz de la accin de administracin de trfico, seleccinela y haga clic en
Eliminar.
Ahora puede aplicar esta accin de administracin de trfico a una o ms polticas.
Agregar una Accin de administracin de trfico a una poltica

Despus de Definir un Accin de administracin de trfico, puede agregarla a las definiciones de las
polticas. Tambin puede agregar cualquier accin de administracin de trfico existente a las definiciones
de la poltica.

2. En la lista Polticas de administracin de trfico, seleccione una poltica.
3. En la columna adyacente, haga clic en la lista desplegable y seleccione una accin de administracin
de trfico.
4. Para configurar una accin para otras polticas, repita los pasos 2 al 3.
Nota Si tiene una configuracin multi-WAN, los lmites de ancho de banda se aplican de
manera independiente a cada interfaz.
Agregue una accin de administracin de trfico a las polticas mltiples

Cuando se agrega la misma accin de administracin de trfico a polticas mltiples, el ancho de banda
mximo y mnimo se aplican a cada interfaz de su configuracin. Si dos polticas comparten una accin que
tiene un ancho de banda mximo de 100kbps en una sola interfaz, entonces todo el trfico de esa interfaz
que coincida con esas polticas estar limitado a 100kbps en total.
Si utiliza un ancho de banda limitado en una interfaz para varias aplicaciones, cada una con puertos nicos,
es posible que necesite que todas las conexiones de alta prioridad compartan una accin de administracin
de trfico. Si tiene mucho ancho de banda libre, podra crear acciones de administracin de trfico
independientes para cada aplicacin.

15 Default Threat Protection
Acerca de la Default Threat Protection

El OS del Fireware XTM de WatchGuard y las polticas creadas le dan el control rgido sobre el acceso a su
red. Un acceso rgido a polticas ayuda a mantener los hackers fuera de su red. Pero hay otros tipos de
ataques que una poltica rgida no puede derrotar. La configuracin cuidadosa de las opciones de Default
Threat Protection para el dispositivo WatchGuard puede detener amenazas como los ataques de congestin
de SYN, ataques de suplantacin de paquetes y sondeos de espacio de direccin y puerto.
Con la proteccin contra amenazas predeterminada, el firewall examina el origen y el destino de cada
paquete que recibe. Mira la direccin IP y el nmero de puerto y monitorea los paquetes en busca de
patrones que muestran si su red est en riesgo. Si existe algn riesgo, puede configurar el dispositivo
WatchGuard para bloquear automticamente un posible ataque. Ese mtodo proactivo de deteccin de
intrusin y prevencin mantiene a los atacantes fuera de su red.
Para configurar la proteccin contra amenazas predeterminada, vea:
n Acerca de las opciones de administracin predeterminada de paquetes

n Acerca de los sitios bloqueados
n Acerca de los puertos bloqueados
Tambin puede adquirir una actualizacin para su dispositivo WatchGuard para usar Intrusion Prevention
basada en firmas. Para ms informaciones, vea Acerca de las Gateway AntiVirus y prevencin de intrusiones
en la pgina 613.
Acerca de las opciones de administracin

predeterminada de paquetes
Cuando su dispositivo WatchGuard recibe un paquete, examina la fuente y el destino para ste. Busca la
direccin IP y el nmero del puerto. El dispositivo tambin monitorea paquetes en busca de patrones que
pueden mostrar si su red est en riesgo. Ese proceso se denomina administracin predeterminada de
paquetes.
Gua del Usuario 335

Default Threat Protection
La administracin predeterminada de paquetes puede:
n Rechazar un paquete que podra ser un riesgo de seguridad, incluyendo paquetes que podran ser
parte de un ataque de suplantacin de paquetes o ataque de congestin del servidor SYN.
n Bloquear automticamente todo el trfico hacia y desde una direccin IP
n Agregar un evento al archivo de registro
n Enviar una captura SNMP al Management Server de SNMP
n Enviar una notificacin de posibles riesgos de seguridad
La mayora de las opciones de administracin predeterminada de paquetes estn activadas en la

configuracin del dispositivo WatchGuard. Puede cambiar los umbrales en los cuales el dispositivo
WatchGuard toma medidas. Tambin puede cambiar las opciones seleccionadas para la administracin
predeterminada de paquetes.
1. En el Fireware XTMWeb UI, seleccione Firewall > Administracin predeterminada de paquetes.

Aparece la pgina "Administracin predeterminada de paquetes".
2. Seleccione las casillas para los patrones de trfico contra los cuales desea tomar medidas, tal como
se explic en esos tpicos:
n Acerca de los ataques de suplantacin de paquetes en la pgina 337

n Acerca de los Ataques de ruta de origen de IP IP en la pgina 337
n Acerca de las pruebas de espacio de direccin y espacio del puerto en la pgina 338
n Acerca de los ataques de congestin del servidor en la pgina 340
n Acerca de los paquetes no controlados en la pgina 342
n Acerca de ataques de negacin de servicio distribuidos en la pgina 343

Acerca de los ataques de suplantacin de paquetes

Un mtodo que los atacantes usan para entrar en su red es crear una identidad electrnica falsa. Ese es un
mtodo de suplantacin de IP (spoofing) que los atacantes usan para enviar un paquete de TCP/IP con una
direccin IP diferente de la del equipo que la envi primero.
Cuando se activa un anti-suplantacin (anti-spoofing), el dispositivo WatchGuard verifica si la direccin IP de

origen de un paquete es de una red en una interfaz determinada.
La configuracin predeterminada del dispositivo WatchGuard busca abandonar los ataques de suplantacin
de paquetes. Para alterar la configuracin de esa funcin:
1. En el Fireware XTMWeb UI, seleccione Firewall >Administracin de paquetes predeterminada.

Aparece la pgina "Administracin de paquetes predeterminada".
2. Seleccione o limpie la casilla de verificacin Abandonar ataques de suplantacin de paquetes.

Acerca de los Ataques de ruta de origen de IP IP

Para encontrar la ruta que los paquetes toman en su red, los atacantes usan ataques de ruta de origen de IP.
El atacante enva un paquete de IP y usa la respuesta de su red para obtener informacin acerca del sistema
operativo del equipo objetivo o del dispositivo de red.
Gua del Usuario 337

La configuracin predeterminada del dispositivo WatchGuard busca abandonar los ataques de ruta de
origen de IP. Para alterar la configuracin de esa funcin:
1. En el Fireware XTMWeb UI, seleccione Firewall>Administracin de paquetes predeterminada.

2. Seleccione o limpie la casilla de verificacin Abandonar ruta de origen de IP.

Acercadelaspruebasdeespaciodedireccin yespaciodel puerto

Los atacantes suelen buscar puertos abiertos como puntos de partida para iniciar ataques de red. Un
sondeo de espacio entre puertos es un trfico de TCP o UDP enviado a un rango de puertos. Esos puertos
pueden estar en secuencia o ser aleatorios, de 0 a 65535. Un sondeode espacio de direccin es un trfico
de TCP o UDP enviado a un rango de direcciones de red. Los sondeos de espacio entre puertos examinan
un equipo para encontrar los servicios que usa. Los sondeos de espacio de direccin examinan una red para
ver cules dispositivos de red estn en aquella red.
Para ms informacin acerca de puertos, vea Acerca de puertos en la pgina 8.
Nota El dispositivo WatchGuard detecta sondeos de espacio de direccin y puerto slo

en interfaces configuradas como tipo Externo.

Cmo el dispositivo WatchGuard identifica sondeos de red

Un sondeo de espacios de direcciones es identificado cuando un equipo en una red externa enva un
nmero especificado de paquetes a direcciones IP diferentes asignadas a interfaces externas del dispositivo
WatchGuard. Para identificar un sondeo de espacio entre puertos, su dispositivo WatchGuard cuenta el
nmero de paquetes enviados desde una direccin IP hacia las direcciones IP de interfaz externa. Las
direcciones pueden incluir la direccin IP de interfaz externa y cualquier direccin IP secundaria
configurada en la interfaz externa. Si el nmero de paquetes enviados a las direcciones IP diferentes o
destination ports en un segundo es superior al nmero seleccionado, la direccin IP de origen es agregada a
la lista de Sitios Bloqueados.
Cuando las casillas Bloquear sondeos de espacio entre puertos y Bloquear sondeos de espacio de direccin
estn seleccionadas, todo el trfico entrante en cualquier interfaz externa es examinado por el dispositivo
WatchGuard. No se puede desactivar esas funciones para direcciones IP especficas o por diferentes
perodos de tiempo.
Para proteger contra sondeos de espacio de direccin y de espacio entre

puertos
La configuracin predeterminada del dispositivo WatchGuard bloquea sondeos de red. Puede alterar las
configuraciones de esa funcin y alterar el nmero mximo permitido de sondeos de direccin o puertos
por segundo para cada direccin IP de origen (el valor predeterminado es 50).
1. En el Fireware XTM Web UI, seleccione Firewall >Administracin de paquetes predeterminada.

Gua del Usuario 339

2. Seleccione o limpie las casillas Bloquear sondeos de espacio entre puertos y Bloquear sondeos de
espacios de direccin.
3. Para cada direccin IP de origen, haga clic en las flechas para seleccionar el nmero mximo de
sondeos de direccin o puerto permitidos por segundo. El valor predeterminado para cada uno es
de 10 por segundo. Eso significa que el origen es bloqueado si establece conexiones a 10 puertos o
hosts diferentes en un segundo.
Para bloquear atacantes ms rpidamente, se puede definir en un valor mnimo el umbral de nmero
mximo permitido de sondeos de direccin o puerto por segundo. Si el nmero est definido en
demasiado bajo, el dispositivo WatchGuard tambin podran negar trfico legtimo de red. Es menos
probable que bloquee trfico legtimo de red si usa un nmero ms alto, pero el dispositivo WatchGuard
debe enviar paquetes de restablecer TCP para cada conexin que abandona. Eso consume ancho de banda
y recursos en el dispositivo WatchGuard y provee informacin al atacante acerca de su firewall.
Acerca de los ataques de congestin del servidor

En un ataque de congestin del servidor, los atacantes envan un volumen muy alto de trfico a un sistema
para que no pueda examinar y termine permitiendo el trfico de red. Por ejemplo, un ataque de
congestin del servidor ICMP ocurre cuando un sistema recibe muchos comandos ping de ICMP y debe
usar todos sus recursos para enviar comandos de respuestas. En dispositivo WatchGuard puede proteger
contra esos tipos de ataques de congestin:
n IPSec
n IKE
n Protocolo de control de mensajes en Internet (ICMP)
n SYN
n Protocolo de datagrama de usuario (UDP)
Los ataques de congestin tambin son conocidos como ataques de negacin de servicio (DoS). La
configuracin predeterminada del dispositivo WatchGuard busca bloquear ataques de congestin.
Para cambiar las configuraciones para esa funcin, o para cambiar el nmero mximo de conexiones
permitidas por segundo:
1. En el Fireware XTMWeb UI, seleccione Firewall > Administracin de paquetes predeterminada.


2. Seleccione o limpie las casillas de verificacin Ataque de congestin del servidor.

3. Haga clic en las flechas para seleccionar el nmero mximo de paquetes permitidos por segundo
para cada direccin IP de origen.
Por ejemplo, si se define en 1000, el Firebox bloquea una fuente que reciba ms de 1000 paquetes
por segundo desde aquella origen.
Acerca de la configuracin del ataque de congestin del servidor de SYN

Para ataques de congestin de SYN, puede definir el umbral a partir del cual el dispositivo WatchGuard
informa un posible ataque de congestin del servidor de SYN, pero ningn paquete es abandonado si slo se
recibe el nmero de paquetes seleccionado. Cuando se duplica el umbral seleccionado, todos los paquetes
de SYN son abandonados. En cualquier nivel entre el umbral seleccionado y el doble de ese nivel, si los
valores src_IP, dst_IP y total_extensin de un paquete son los mismos en el paquete anterior recibido,
entonces siempre es abandonado. De lo contrario, 25% de los nuevos paquetes recibidos son abandonados.
Por ejemplo, se define el umbral del ataque de congestin del servidor de SYN en 18 paquetes/seg. Cuando
el dispositivo WatchGuard recibe 18 paquetes/seg, le informa un posible ataque de congestin del servidor
de SYN, pero no abandona ningn paquete. Si el dispositivo recibe 20 paquetes por segundo, abandona el
25% de los paquetes recibidos (5 paquetes). Si el dispositivo recibe 36 paquetes o ms, los ltimos 18 o ms
son abandonados.
Gua del Usuario 341

Acerca de los paquetes no controlados

Un paquete no controlado es un paquete que no coincide con ninguna regla de poltica. El dispositivo
WatchGuard siempre niega los paquetes no controlados, pero puede cambiar la configuracin del
dispositivo para proteger an ms su red.

2. Seleccione o limpie las casillas de verificacin para estas opciones:
Bloquear automticamente origen de paquetes no controlados
Seleccione para bloquear automticamente el origen de los paquetes no controlados. El

dispositivo WatchGuard aade la direccin IP que enva el paquete a la lista de sitios
temporalmente bloqueados.
Enviar mensaje de error a los clientes cuyas conexiones estn desactivadas
Seleccione para enviar un restablecer TCP o error de ICMP de vuelta al cliente cuando el
dispositivo WatchGuard recibe un paquete no controlado.

Acerca de ataques de negacin de servicio distribuidos

Ataques de negacin de servicio distribuidos (DDoS) son muy similares a ataques de congestin del
servidor. En un ataque DDoS, muchos clientes y servidores diferentes envan conexiones a un slo sistema
informtico para intentar congestionar el sistema. Cuando ocurre un ataque de DDoS, usuarios legtimos no
pueden usar el sistema objetivo.
La configuracin predeterminada del dispositivo WatchGuard busca bloquear ataques DDoS. Puede cambiar
configuraciones para esa funcin y tambin el nmero mximo de conexiones permitidas por segundo.

2. Seleccione o limpie las casillas de verificacin Cuota por cliente o Cuota por servidor.
3. Haga clic en las flechas para definir el nmero mximo de conexiones permitidas por segundo
desde una direccin IP de origen protegida por el dispositivo WatchGuard (Cuota por cliente) o una
direccin IP de destino protegida por el dispositivo WatchGuard (Cuota por servidor): Las
conexiones que exceden esa cuota son desechadas.
Acerca de los sitios bloqueados

Un sitio bloqueado es una direccin IP que no puede establecer una conexin a travs del dispositivo
WatchGuard. Se solicita al dispositivo WatchGuard que bloquee sitios especficos que sabe o supone que
Gua del Usuario 343

representan un riesgo de seguridad. Despus de encontrar la fuente del trfico sospechoso, puede
bloquear todas las conexiones desde esa direccin IP. Tambin puede configurar el dispositivo WatchGuard
para enviar un mensaje de registro cada vez que la fuente intenta establecer conexin con su red. A partir
del archivo de registro, puede ver los servicios que las fuentes usan para lanzar los ataques.
El Firebox niega todo el trfico a partir de una direccin IP bloqueada. Puede definir dos tipos diferentes de
direcciones IP bloqueadas: permanente y bloqueo automtico.
Sitios permanentemente bloqueados

El trfico de red desde sitios permanentemente bloqueados siempre es negado. Esas direcciones IP son
almacenadas en la lista de Sitios Bloqueados y deben ser aadidas manualmente. Por ejemplo, puede aadir
una direccin IP que constantemente intenta explorar su red segn la lista de Sitios Bloqueados para evitar
exploraciones de puertos desde aquel sitio.
Para bloquear un sitio, vea Bloquear un sitio permanentemente en la pgina 344.
Lista de Sitios de bloqueo automtico/Sitios temporalmente

bloqueados
Los paquetes desde los sitios de bloqueo automtico son negados por el perodo de tiempo especificado. El
Firebox usa las reglas de manejo de paquetes especificadas para cada poltica para determinar si bloquear o
no un sitio. Por ejemplo, si crea una poltica que niega todo el trfico en un puerto 23 (Telnet), cualquier
direccin IP que intente enviar trfico Telnet a travs de ese puerto es automticamente bloqueada por el
perodo de tiempo especificado.
Para bloquear automticamente los sitios que envan trfico negado, vea Bloquear sitios temporalmente con
configuracin de polticas en la pgina 346.
Tambin puede bloquear automticamente sitios que sean fuente de paquetes que no coincidan con ninguna
regla de poltica. Para ms informaciones, vea Acerca de los paquetes no controlados en la pgina 342.
Ver y editar los sitios en la lista de Sitios Bloqueados

Para ver una lista de todos los sitios actualmente en la lista de sitios bloqueados, seleccione Estado del
sistema > Sitios bloqueados.
Para ms informaciones, vea Estado de sitios bloqueados en la pgina 370.
Bloquear un sitio permanentemente

1. En el Fireware XTMWeb UI, seleccione Firewall >Sitios bloqueados.

2. En la lista desplegable Elegir tipo, seleccione si desea insertar una direccin IP de host, una
direccin de red o rango de direcciones IP.
3. Ingrese un valor en el cuadro de texto siguiente y haga clic en Agregar. Si debe bloquear un rango
de direcciones que incluya una o ms direcciones IP asignadas al dispositivo WatchGuard, primero
debe aadir esas direcciones IP a la lista de excepciones de sitios bloqueados.
Para aadir excepciones, vea Crear Excepciones sitios bloqueados en la pgina 345.
Crear Excepciones sitios bloqueados

Cuando aade un sitio a la lista de Excepciones sitios bloqueados, el trfico hacia ese sitio no es bloqueado
por la funcin de bloqueo automtico.

2. Haga clic en la pestaa Excepciones sitios bloqueados.
Gua del Usuario 345

3. En la lista desplegable Elegir tipo, seleccione si desea insertar una direccin IP de host, una
direccin de red o rango de direcciones IP.
4. Ingrese un valor en el cuadro de texto siguiente y haga clic en Agregar.
Bloquear sitios temporalmente con configuracin de polticas

Puede usar la configuracin de polticas para bloquear temporalmente sitios que intenten usar un servicio
negado. Las direcciones IP de los paquetes negados son agregadas a la lista de sitios bloqueados
temporalmente por 20 minutos (por defecto).
1. En el Fireware XTMWeb UI, seleccione Firewall > Polticas de Firewall. Haga doble clic en una
poltica para editarla.
Aparece el cuadro de dilogo "Configuracin de polticas".
2. En la pestaa Poltica, asegrese de definir la lista desplegable Conexiones estn en Negadas o

Negadas (enviar restablecer).
3. En la pestaa Propiedades, seleccione la casilla Automticamente bloquear sitios que intenten
conectarse. Por defecto, las direcciones IP de los paquetes negados son agregadas a la lista de sitios
bloqueados temporalmente por 20 minutos.

Cambiar la duracin de los sitios que son bloqueados

automticamente
Nota Para ver una lista de direcciones IP que son bloqueadas automticamente por el
dispositivo WatchGuard, seleccione Estado del sistema >Sitios bloqueados. Puede
usar la lista "Sitios temporalmente bloqueados" y sus mensajes de registro para
ayudarlo a decidir cules direcciones IP bloquear permanentemente.
Para activar la funcin de bloqueo automtico:
En el Fireware XTMWeb UI, seleccione Firewall >Administracin de paquetes predeterminada.

Para ms informaciones, vea Acerca de los paquetes no controlados en la pgina 342.
Tambin puede usar la configuracin de polticas para bloquear automticamente sitios que intenten usar
un servicio negado. Para ms informaciones, vea Bloquear sitios temporalmente con configuracin de
polticas en la pgina 346.
Para definir el perodo de tiempo que los sitios son automticamente bloqueados:
2. Seleccione la pestaa Bloqueoautomtico.
3. Para alterar el perodo de tiempo que un sitio es bloqueado automticamente, en el cuadro de texto
Duracin para sitios de bloqueo automtico, ingrese o seleccione el nmero de minutos para
bloquear un sitio. El tiempo predeterminado es de 20 minutos.
Acerca de los puertos bloqueados

Es posible bloquear los puertos que se sabe que pueden ser usados para atacar su red. Eso detiene
servicios de red externa especficos. Bloquear los puertos puede proteger sus servicios ms sensibles.
Cuando bloquea un puerto, se anulan todas las reglas en sus definiciones de polticas. Para bloquear un
puerto, vea Bloquear un puerto en la pgina 349.
Gua del Usuario 347

Puertos bloqueados predeterminados

En la configuracin predeterminada, el dispositivo WatchGuard bloquea algunos destination ports. En
general no es necesario cambiar esa configuracin predeterminada. Los paquetes TCP y UDP son
bloqueados para estos puertos:
X Window System (puertos 6000-6005)
La conexin cliente del X Window System (o X-Windows) no es cifrada y es peligroso usarla en

Internet.
X Font Server (puerto 7100)
Diversas versiones del X Windows operan los servidores de fuentes X. Los servidores de fuentes X
funcionan como un superusuario en algunos hosts.
NFS (puerto 2049)
El NFS (Sistema de archivos de red) es un servicio de TCP/IP en el cual muchos usuarios usan los
mismos archivos en una red. Las nuevas versiones tienen problemas graves de seguridad y
autenticacin. Proveer NFS por Internet puede ser muy peligroso.
Nota El servicio portmap suele usar el puerto 2049 para NFS. Si usa NFS, asegrese de el
NFS usa el puerto 2049 en todos sus sistemas.
rlogin, rsh, rcp (puertos 513, 514)
Esos servicios ofrecen acceso remoto a otros equipos. Representan un riesgo de seguridad y
muchos atacantes sondean esos servicios.
Servicio portmap RPC (puerto 111)
Los servicios RPC usan el puerto 111 para encontrar qu puertos un servidor RPC determinado
utiliza. Los servicios RPC son fciles de atacar a travs de Internet.
puerto 8000
Muchos proveedores usan ese puerto y muchos problemas de seguridad estn relacionados a l.
puerto 1
El servicio PCPmux usa el puerto 1, pero no con frecuencia. Se puede bloquearlo para dificultar el
anlisis de los puertos por esas herramientas.
puerto 0
Ese puerto siempre est bloqueado por el dispositivo WatchGuard. No se puede permitir el trfico
en el puerto 0 a travs del dispositivo.
Nota Si debe autorizar el trfico a travs de cualquiera de los puertos bloqueados

predeterminados para usar aplicaciones de software asociadas, recomendamos
que permita el trfico slo a travs de un tnel VPN o use SSH (Secure Shell) en esos
puertos.

Bloquear un puerto
Nota Tenga mucho cuidado se bloquea nmeros de puerto superiores a 1023. Los
clientes suelen usar esos nmeros de puerto de origen.
1. En el Fireware XTMWeb UI, seleccione Firewall > Puertos bloqueados.

2. Haga clic en las flechas del campo Puerto o ingrese el nmero de puerto para bloquear.
El nuevo nmero de puerto aparece en la lista de "Puertos bloqueados".
Bloquear direcciones IP que intenten usar puertos bloqueados

Puede configurar el dispositivo WatchGuard para bloquear automticamente un equipo externo que
intente usar un puerto bloqueado. En el cuadro de dilogo Puertos bloqueados pginaseleccione la casilla
Bloquear automticamente los sitios que intenten utilizar puertos bloqueados.
Gua del Usuario 349

Gua del Usuario 350

16 Registro y Notificacin
Acerca de la generacin de registros y archivos de

registro
Una funcin importante de la seguridad de red es recoger mensajes de sus sistemas de seguridad,
examinar esos registros con frecuencia y mantenerlos en un archivo para futuras consultas. El sistema de
mensaje de registro de WatchGuard crea archivos de registro con informacin acerca de seguridad
referente a eventos que se puede revisar para monitorear la actividad y seguridad de su red, identificar
riesgos de seguridad y solucionarlos.
Un archivo de registro es una lista de eventos, junto con la informacin acerca de esos eventos. Un evento
es una actividad que ocurre en el dispositivo Firebox o XTM. Un ejemplo de un evento es cuando el
dispositivo niega un paquete. Su dispositivo Firebox o XTM tambin puede capturar informacin acerca de
eventos permitidos para darle una imagen ms completa de la actividad en su red.
El sistema de mensaje de registro tiene varios complementos, que estn descritos abajo.
Log Servers
Hay dos mtodos para salvar los archivos de registro con el Fireware XTM Web UI:
WatchGuard Log Server
Ese es un componente del WatchGuard System Manager (WSM). Si tiene un Firebox III, Firebox X
Core o Firebox X Peak, Firebox X Edge con Fireware XTM o WatchGuard XTM 2 Series, 5 Series, 8
Series o 1050, puede configurar un Log Server principal para recoger mensajes de registro.
Syslog
sta es una interfaz de registro desarrollada para UNIX pero que tambin es utilizada en muchos
otros sistemas computarizados. Si utiliza un host de syslog, puede configurar su dispositivo Firebox o
XTM para que enve mensajes de registro a su servidor de syslog. Para encontrar un servidor de
syslog compatible con su sistema operativo, ingrese una bsqueda en Internet para "syslog
Gua del Usuario 351

Registro y Notificacin
daemon".
Si su dispositivo Firebox o XTM est configurado para enviar archivos de registro a un WatchGuard Log
Server y la conexin falla, los archivos de registro no son recogidos. Es posible configurar su dispositivo para
tambin enviar mensajes de registro a un host de syslog que est en la red de confianza local para prevenir
la prdida de archivos de registro.
Para ms informacin acerca del envo de mensajes de registro a un WatchGuard Log Server, vea Enviar
mensajes de registro al WatchGuard Log Server en la pgina 353.
Para ms informacin acerca del envo de mensajes de registro a un host de syslog, vea Enviar informacin
de registro a un host de Syslog en la pgina 355.
Syslog de estado del sistema

La pgina Syslog de la Fireware XTM Web UI exhibe informacin de mensaje de registro en tiempo real que
incluye datos acerca de la mayora de las actividades recientes en el dispositivo Firebox o XTM.
Para ms informaciones, vea Use el Syslog para ver los datos de mensaje de registro en la pgina 361.
Generacin de registros y notificacin en aplicaciones y

servidores
El Log Server puede recibir mensajes de registro de su dispositivo Firebox o XTM o de un servidor
WatchGuard. Despus de configurar su dispositivo Firebox o XTM y el Log Server, el dispositivo enva
mensajes de registro al Log Server. Puede activar la generacin de registros en diversas aplicaciones y
polticas de WSM que haya definido para que su dispositivo Firebox o XTM controle el nivel de registros que
se ve. Si elige enviar mensajes de registro desde otro servidor WatchGuard al Log Server, primero debe
activar la generacin de registros en aquel servidor.
Acerca de las mensajes de registro

Su dispositivo Firebox o XTM enva mensajes de registro al Log Server. Tambin puede enviar mensajes de
registro a un servidor de syslog o guardar los registros localmente en el dispositivo Firebox o XTM. Se puede
elegir enviar los registros a una o a ambas ubicaciones.
Tipos de mensajes de registro

El Firebox enva varios tipos de mensajes de registro. El tipo aparece en el texto del mensaje. Los tipos de
mensajes de registro son:
n Trfico
n Alarma
n Evento
n Depurar
n Estadstica

Mensajes de registro de trfico

El Firebox enva mensajes de registro de trfico mientras aplica el filtrado de paquetes y reglas de proxy al
trfico que pasa por el dispositivo.
Mensajes de registro de alarma

Los mensajes de registro de alarma son enviados cuando ocurre un evento que desencadena la ejecucin
de un comando en Firebox. Cuando la condicin de alarma coincide, el dispositivo enva un mensaje de
registro de Alarma al Log Server o servidor de syslog, y despus realiza la accin especificada.
Hay ocho categoras de mensajes de registro de Alarma: Sistema, IPS, AV, Poltica, Proxy, Contador,
Negacin de Servicio y Trfico. El Firebox no enva ms de 10 alarmas en 15 minutos para las mismas
condiciones.
Mensajes de registro de Evento

El Firebox enva mensajes de registro de eventos debido a la actividad del usuario. Las acciones que pueden
hacer que el Firebox enve un mensaje de registro de eventos incluyen:
n Inicio y apagado del dispositivo

n Autenticacin de VPN y dispositivo
n Inicio y apagado de proceso
n Problemas con los componentes de hardware del dispositivo
n Cualquier tarea realizada por el administrador del dispositivo
Mensajes de registro de depuracin

Los mensajes de registro de depuracin incluyen informacin de diagnstico que puede usar para ayudar a
solucionar problemas. Hay 27 componentes de producto diferentes que pueden enviar mensajes de
registro de depuracin.
Mensajes de registro de estadstica

Los mensajes de registro de estadstica incluyen informacin acerca del desempeo de Firebox. Por
defecto, el dispositivo enva mensajes de registro acerca de las estadsticas de desempeo de la interfaz
externa y ancho de banda de VPN a su archivo de registro. Puede usar esos registros para cambiar sus
configuraciones de Firebox, segn sea necesario para mejorar el desempeo.
Enviar mensajes de registro al WatchGuard Log

Server
El El WatchGuard Log Server es un componente del WatchGuard System Manager. Si tiene el WatchGuard
System Manager, puede configurar el Log Server principal y de resguardo para recoger mensajes de
registro de sus dispositivos Firebox. Se define un Log Server como el principal (Prioridad 1) y otros Log
Servers como servidores de resguardo.
Gua del Usuario 353

Si el Firebox no puede conectarse al Log Server principal, intenta conectarse al siguiente Log Server en la
lista de prioridad. Se el Firebox examina cada Log Server en la lista y no puede conectar, l intenta
conectarse al primer Log Server en la lista nuevamente. Cuando el Log Server principal no est disponible,
el Firebox se conecta al Log Server de resguardo, el Firebox intenta reconectarse al Log Server principal a
cada 6 minutos. Eso no afecta la conexin de Firebox con el Log Server de resguardo hasta que el Log
Server principal est disponible.
Para ms informacin acerca de los WatchGuard Log Servers e instrucciones para configurar el Log Server
para que acepte mensajes de registro, vea el Gua del usuario del WatchGuard System Manager.
Agregar, editar o alterar la prioridad de Log Servers

Para enviar mensajes de registro de su Firebox al WatchGuard Log Server:
1. Seleccione Sistema > Registros.

Aparece la pgina Registro.
2. Para enviar mensajes de registro a uno o ms WatchGuard Log Servers, seleccione la casilla de
verificacin Enviar mensajes de registro a WatchGuard Log Servers.
3. En el campo Direccin de Log Server, ingrese la direccin IP del Log Server principal.
4. En el campo Encryption Key, ingrese la Log Server encryption key.
5. En el campo Confirmar, ingrese la clave de cifrado nuevamente.
La informacin para el Log Server aparece en la lista Log Server.
7. Repita los pasos 3 a 6 para agregar ms Log Servers a la lista Servidor.

8. Para alterar la prioridad de un Log Server en la lista, seleccione una direccin IP en la lista y haga clic
en Arriba o Abajo.
El nmero de prioridad cambia a medida que la direccin IP sube o baja en la lista.
Enviar informacin de registro a un host de Syslog

Syslog es una interfaz de registro desarrollada para UNIX, pero tambin usada por diversos otros sistemas
informticos. Es posible configurar el dispositivo WatchGuard para enviar informacin de registro a un
servidor syslog. Un dispositivo WatchGuard puede enviar mensajes de registro a un WatchGuard Log Server
o a un servidor syslog o a ambos a la vez. Los mensajes de registro syslog no son cifrados. Recomendamos
que no seleccione un host de syslog en la interfaz externa.
Para configurar el dispositivo WatchGuard para que enve mensajes de registro a un host de syslog, debe
tener un host de syslog configurado, en funcionamiento y listo para recibir mensajes de registro.

2. Seleccione la pestaa Servidor Syslog.
3. Seleccione la casilla de verificacin Activar salida Syslog para ese servidor.

4. En el campo Activar salida Syslog para ese servidor, ingrese la direccin IP del host de syslog.
5. En la seccin Configuracin, para seleccionar un recurso de syslog para cada tipo de mensaje de
registro, haga clic en las listas desplegables al lado.
Si selecciona NINGUNO, los detalles para ese tipo de mensaje no son enviados al host de syslog.
Gua del Usuario 355

Para ms informacin acerca de los diferentes tipos de mensajes, vea Tipos de mensajes de registro
en la pgina 352.
El recurso de syslog se refiere a uno de los campos en el paquete syslog y tambin al archivo al cual
syslog enva un mensaje de registro. Puede usar Local0 para mensajes syslog de alta prioridad, como
alarmas. Puede usar Local1Local7 para asignar prioridades para otros tipos de mensajes de registro
(nmeros inferiores tienen mayor prioridad). Vea su documentacin de syslog para ms
informacin acerca de los recursos de registro.
Nota Como el trfico de syslog no es cifrado, los mensajes de syslog que son enviados a
travs de Internet disminuyen la seguridad de la red de confianza. Es ms seguro si
pone su host de syslog en su red de confianza.
Configurar Registros
Es posible elegir guardar los mensajes de registro en su Firebox y seleccionar las estadsticas de desempeo
que incluir en sus archivos de registro.

2. Haga clic en la pestaa Configuracin.

3. Para almacenar mensajes de registro en su dispositivo WatchGuard, seleccione la casilla de

verificacin Enviar mensaje de registro al almacenamiento interno de Firebox.
4. Para incluir estadsticas de desempeo en sus archivos de registro, seleccione la casilla de
verificacin Insertar estadsticas de interfaz externa y ancho de banda VPN en el archivo de
registro.
5. Para enviar un mensaje de registro cuando el archivo de configuracin de Firebox es alterado,
seleccione la casilla de verificacin Enviar mensajes de registro cuando se altera la configuracin
de este Firebox.
6. Para enviar mensajes de registro acerca del trfico enviado por Firebox, seleccione la casilla de
verificacin Activar registros de trfico enviado por el propio Firebox.
Defina el nivel de registro de diagnstico

De Fireware XTM Web UI puede seleccionar el nivel de registros de diagnstico para ser grabado en su
archivo de registro. No recomendamos que seleccione el nivel de registros ms alto excepto si un
representante del soporte tcnico se lo solicite mientras se soluciona un problema. Cuando usa el nivel de
registro de diagnstico ms alto, el archivo de registro puede llenarse muy rpidamente y el desempeo
del dispositivo WatchGuard suele reducirse.
1. Seleccione Sistema > Registro de diagnstico.

Aparece la pgina "Nivel de registro de diagnstico".
Gua del Usuario 357

2. Use la barra de desplazamiento para encontrar la categora.

3. En la lista desplegable para la categora, defina el nivel de detalles que incluir en el mensaje de
registro para la categora:
n Apagado
n Error
n Advertencia
n Informacin
n Depurar
Cuando Apagado (el nivel ms bajo) est seleccionado, los mensajes de diagnstico para esa
categora estn desactivados.

Configurar registros y notificacin para una

poltica
2. Agregue o haga clic en una poltica.
Aparece la pgina de Configuracin de Poltica.
3. Haga clic en la pestaa Propiedades.
Gua del Usuario 359

4. En la seccin Registros, defina los parmetros para que coincidan con su poltica de seguridad.
Para ms informacin acerca de los campos en la seccin Registros, vea Determinar preferencias de
registro y notificacin en la pgina 360.
Determinar preferencias de registro y notificacin

Las configuraciones para registro y notificacin son similares en toda la configuracin del Firebox. Para cada
lugar donde se definan las preferencias de registros y notificacin, prcticamente todos los campos escritos
abajo estn disponibles.
Enviar mensaje de registro
Cuando selecciona esa casilla de verificacin, el Firebox enva un mensaje de registro cuando ocurre
un evento.
Puede seleccionar enviar mensajes de registro a un almacenamiento interno de Firebox,

WatchGuard Log Server o Servidor Syslog. Para obtener pasos detallados para seleccionar un destino
para sus mensajes de registro, vea Configurar Registros en la pgina 356.
Enviar captura SNMP
Cuando selecciona esa casilla de verificacin, el Firebox enva una notificacin de evento al sistema
de administracin del SNMP. El Protocolo de Administracin de Red Simple (SNMP, en sus siglas en
ingls) es un conjunto de herramientas usado para monitorear y administrar redes. Una captura
SNMP es una notificacin de evento que el Firebox enva al sistema de administracin de SNMP
cuando una condicin especificada ocurre.
Nota Si selecciona la casilla Enviar captura SNMP y todava no configur el SNMP,

aparece un cuadro de dilogo que solicita que lo haga. Haga clic en S para ir al
cuadro de dilogo Configuracin de SNMP. No puede enviar capturas SNMP si no
tiene el SNMP configurado.
Para ms informacin acerca del SNMP, vea Acerca del SNMP en la pgina 59.
Para activar las capturasSNMP o solicitudes de informes, vea Activar Capturas y estaciones de
administracin de SNMP en la pgina 62.

Enviar notificacin
Cuando selecciona esa casilla, el Firebox enva una notificacin cuando el evento especificado
ocurre. Por ejemplo, cuando una poltica permite un paquete.
Puede seleccionar cmo el Firebox enva la notificacin:
n CorreoelectrnicoElLogServer envaunmensajede correoelectrnicocuandoocurre elevento

n Ventana emergente El Log Server abre un cuadro de dilogo cuando ocurre el evento.
Definir:
n Intervalo de lanzamiento El tiempo mnimo (en minutos) entre diferentes
notificaciones. Ese parmetro evita que ms de una notificacin sea enviada en un
espacio corto de tiempo para el mismo evento.
n Repetir conteo Esa configuracin controla con qu frecuencia ocurre un evento.
Cuando el nmero de eventos alcanza el valor seleccionado, una notificacin especial de
repeticin se inicia. Esa notificacin crea una entrada de registro repetida acerca de
aquella notificacin especificada. La notificacin empieza nuevamente despus que
ocurre el nmero de eventos especificado en ese campo.
Por ejemplo, defina el Intervalo de lanzamiento en 5 minutos y el Repetir conteo en 4. Un sondeo

de espacio entre puertos se inicia a las 10:00 y sigue a cada minuto. Eso da inicio a los mecanismos
de registro y notificacin.
Esas acciones ocurren en esos momentos:
n 10:00 Sondeo de espacio entre puertos inicial (primer evento)

n 10:01 Inicia primera notificacin (un evento)
n 10:06 Inicia segunda notificacin (reporta cinco eventos)
n 10:11 Inicia tercera notificacin (reporta cinco eventos)
n 10:16 Inicia cuarta notificacin (reporta cinco eventos)
El intervalo de lanzamiento controla los intervalos de tiempo entre cada evento (1, 2, 3, 4 y 5). Eso
se defini en 5 minutos. Multiplique el "repetir conteo" por el intervalo de lanzamiento. Ese es el
intervalo de tiempo que un evento debe continuar para que se inicie la repeticin de notificacin.
Use el Syslog para ver los datos de mensaje de

registro
Puede ver los datos de mensaje de registro en tiempo real en la pgina Syslog. Puede elegir ver slo un tipo
de mensaje de registro o filtrar todos los mensajes de registro segn detalles especficos. Tambin puede
controlar la frecuencia con la que los datos del mensaje de registro se actualizan.
Cuando usa el campo Filtrar para especificar cules mensajes de registro aparecen, los resultados de
bsqueda por filtro incluyen todas las entradas que son coincidencias parciales para el filtro seleccionado.
Ver, Ordenar y Filtrar datos de mensaje de registro

Puede elegir ver slo tipos especficos de mensajes de registro y aplicar filtros para refinar los datos que
aparecen en los mensajes de registro de Syslog.
Gua del Usuario 361

1. Seleccione Estado del sistema > Syslog.

Aparece la pgina Syslog con una lista completa de mensajes de registro en tiempo real para todos los tipos de
mensajes.
2. Para ver slo un tipo de mensaje de registro, en la lista desplegable Tipo de cuadro, seleccione un
tipo de mensaje:
n Trfico
n Alarma
n Evento

n Depurar
n Estadstica
3. Para ver todos los tipos de mensaje de registro nuevamente, en la lista desplegable Tipo de cuadro,
seleccione Todos.
4. Para ordenar los mensajes de registro por un tipo de dato, haga clic en el encabezado de la columna
para ver el tipo de dato en cuestin. Las columnas diferentes aparecen segn el tipo de mensaje de
registro seleccionado en la lista desplegable Tipo de cuadro.
5. Para ver slo mensajes de registro con un detalle de mensaje especfico, en el cuadro de texto Filtro
, ingrese el detalle deseado.
La pantalla del Syslog se actualiza automticamente para mostrar slo los mensajes de registro que incluyen
en detalle especificado. Si ningn mensaje coincide con el filtro insertado, la pgina del Syslog queda en
blanco.
Por ejemplo, si slo desea ver mensajes de registro del usuarioAdmin, ingrese IDusuario=Admin .
Los resultados incluyen mensajes de registro con el usuario Admin, Admins, Administrador y
cualquier otro nombre de usuario que incluya los caracteres Admin.
6. Para remover un filtro, limpie todos los detalles del cuadro de texto Filtro .
La pantalla de Syslog se actualiza automticamente.
7. Para copiar los datos del mensaje de registro de la lista, seleccione uno o ms tems en la lista y haga
clic en Copiar.
Actualizar datos de mensaje de registro

n Para alterar la frecuencia con la cual se actualizan los datos de mensaje de registro en la pantalla,
defina Intervalo de actualizacin.
n Para desactivar temporalmente la opcin de actualizar pantalla, haga clic en Pausar.
n Para activar la actualizacin de la pantalla nuevamente, haga clic en Reiniciar.
Gua del Usuario 363

Gua del Usuario 364

17 Monitorear su Firebox
Monitorear su Firebox
Para monitorear el estado y la actividad en el dispositivo Firebox o XTM, utilice las pginas de Panel de
control y Estado del sistema.
El Panel de control
El Panel de control incluye dos pginas: la pgina Sistema y la pgina Servicios de suscripcin.
La pgina Sistema incluye una vista rpida del estado del dispositivo. Si tiene acceso a la configuracin (de
lectura y escritura), puede reiniciar el dispositivo desde esta pgina. La pgina Sistema del panel de control
aparece automticamente al conectarse a la Fireware XTM Web UI.
Para abrir la pgina Sistema desde otra pgina en la Web UI:
Seleccione Panel de Control> Sistema.
Gua del Usuario 365

La pgina Sistema del Panel de control muestra:
n Informacin del dispositivo:

n Nombre del dispositivo
n Versin de software del sistema operativo de Fireware XTM
n Nmero de modelo del dispositivo
n Nmero de serie del dispositivo
n Tiempo de funcionamiento desde el ltimo reinicio
n Informacin de la interfaz de red:
n Estado del enlace
n Alias: el nombre de la interfaz
n IP: la direccin IP asignada a la interfaz
n Puerta de enlace: la puerta de enlace de la interfaz

n Memoria y CPU: estadsticas de uso
Para consultar las estadsticas de un perodo ms prolongado o para ver ms detalles acerca de las
estadsticas en el Panel de control:
En la parte inferior de un elemento del Panel de control, haga clic en Zoom.

Aparece la pgina Estado del sistema, con ms informacin y opciones.
Tambin puede ver informacin acerca de las suscripciones al Gateway AntiVirus, el Intrusion Prevention
Service, WebBlocker y spamBlocker.
Seleccione Panel de control>Servicios de suscripcin.

Aparece la pgina Servicios de suscripcin.
La pgina Servicios de suscripcin, muestra:
n Trfico analizado, infectado y omitido, monitoreado por el Gateway AntiVirus.

n Trfico analizado, detectado e impedido, monitoreado por el Intrusion Prevention Service.
n Versin de firma e informacin de actualizacin del Gateway AntiVirus y el Intrusion Prevention
Service.
n Trfico y solicitudes HTTP rechazados por WebBlocker.
n Correo limpio, confirmado, masivo y sospechoso identificado por spamBlocker.
Para obtener ms informacin acerca de actualizaciones de firma manuales, consulte Ver estado de
servicios de suscripcin y actualizar firmas manualmente en la pgina 623.
Pginas Estado del sistema

Las pginas Estado del sistema incluyen una lista de categoras de monitoreo. En estas pginas se pueden
monitorear todos los componentes del dispositivo Firebox o XTM.
Gua del Usuario 367

Las pginas Estado del sistema estn configuradas para actualizarse automticamente cada 30 segundos.
Para modificar estas configuraciones:
1. Para modificar el intervalo de actualizacin, haga clic y arrastre el tringulo en la barra deslizante
Intervalo de actualizacin.
2. Para detener las actualizaciones en forma temporal, haga clic en Pausa.
3. Para forzar una actualizacin inmediata, haga clic en Pausa y luego haga clic en Reiniciar.
Los nmeros en el eje x de las tablas indican la cantidad de minutos atrs. Las tablas estadsticas en el Panel
de control muestran datos de los ltimos 20 minutos.
Algunas pginas de Estado del sistema tienen la funcin Copiar.
Para copiar informacin de una lista:
1. Seleccione uno o ms elementos de la lista.

2. Haga clic en Copiar.
3. Pegue los datos en otra aplicacin.
Tabla ARP
Para ver la tabla ARP para Firebox:
Seleccione Estado del sistema>TablaARP.
La pgina Tabla ARP incluye dispositivos que han respondido a una solicitud ARP (Protocolo de resolucin
de direccin) de Firebox:
Direccin IP
La direccin IP del equipo que responde a la solicitud ARP.
Tipo HW
El tipo de conexin de Ethernet que la direccin IP usa para conectarse.

Marcadores
Si la direccin de hardware de IP se resuelve, se marca como vlida. De lo contrario, se marca como

no vlida.
Nota Una direccin de hardware vlida puede mostrarse brevemente como no vlida
mientras Firebox espera una respuesta a la solicitud ARP.
Direccin HW
La direccin MAC de la tarjeta de interfaz de red que est asociada con la direccin IP.
Dispositivo
La interfaz de Firebox donde se encontr la direccin de hardware para esa direccin IP. El nombre
de ncleo Linux para la interfaz se muestra entre parntesis.
Para obtener ms informacin acerca de las pginas Estado del sistema, consulte Monitorear su Firebox en
la pgina 365.
Autenticaciones
Para ver la lista de usuarios autenticados para Firebox:
Seleccione Estado del sistema>Lista de autenticacin.
La pgina Lista de autenticacin incluye informacin acerca de cada usuario actualmente autenticado para
Firebox.
Usuario
El nombre del usuario autenticado.
Tipo
El tipo de usuario que se autentic: usuario mvil o de firewall.
Dominio de autenticacin
El servidor de autenticacin que autentic al usuario.
Hora de inicio
La cantidad de tiempo desde que el usuario se autentic.
ltima actividad
La cantidad de tiempo desde la ltima actividad del usuario.
Direccin IP
La direccin IP interna que utiliza el usuario; en el caso de usuarios mviles, esta direccin IP es la
direccin IP que Firebox les ha asignado.
Gua del Usuario 369

De direccin
La direccin IP en el equipo a partir del cual el usuario se autentica. Para los usuarios mviles, esa
direccin IP es la misma que en el equipo utilizado para conectarse al Firebox. Para los usuarios de
firewall, la direccin IP y la Direccin De son las mismas.
Para ordenar la Lista de Autenticacin:
Haga clic en el encabezado de la columna.
Para finalizar una sesin de usuario:
Haga clic en el nombre de usuario y seleccione Cerrar sesin de usuarios.
Para obtener ms informacin acerca de la autenticacin, consulte Acerca de la autenticacin de usuario

en la pgina 209.
la pgina 365.
Medidor de ancho de banda

Esta pgina del Medidor de ancho de banda muestra las estadsticas de velocidad en tiempo real para todas
las interfaces de Firebox a travs del tiempo. El eje Y (vertical) muestra la velocidad. El eje X (horizontal)
muestra la hora.
Para monitorear el uso de ancho de banda para interfaces de Firebox:
1. Seleccione Estado del sistema>Medidor de ancho de banda.

2. Para ver el valor de cada punto de datos, mueva el mouse sobre las lneas del grfico.
la pgina 365.
Estado de sitios bloqueados

Para ver una lista de direcciones IP actualmente bloqueadas por Firebox:
Seleccione Estado del sistema>Sitios bloqueados.
La pgina Sitios bloqueados incluye una lista de direcciones IP que actualmente se encuentran el la lista de
Sitios bloqueados, el motivo por el que se agregaron a la lista y el tiempo de vencimiento (cuando se
elimina al sitio de la lista Sitios bloqueados).
La tabla incluye la siguiente informacin para cada sitio bloqueado:
IP
La direccin IP del sitio bloqueado.
Origen
El origen del sitio bloqueado. Los sitios agregados en la pgina Estado del sistema>Sitios
bloqueados se muestran como administracin, mientras que los sitios agregados desde la pgina
Firewall> Sitios bloqueados se muestran como configuracin.

Motivo
El motivo por el que se bloque el sitio.
Tiempo de espera
La cantidad de tiempo total de bloqueo del sitio.
Caducidad
La cantidad de tiempo que falta hasta que termine el perodo de tiempo de espera.
Nota Los sitios bloqueados que muestran un Motivo de IP esttica bloqueada y

muestran un Tiempo de espera y Vencimiento de Nunca se vence estn
bloqueados permanentemente. No se puede eliminar o editar un sitio bloqueado
permanentemente de esta pgina. Para agregar o quitar un sitio bloqueado
permanentemente, seleccione Firewall> Sitios bloqueados como se describe en
Bloquear un sitio permanentemente en la pgina 344.
Agregar o editar sitios bloqueados temporalmente

En la pgina Estado del sistema Sitios bloqueados, el usuario tambin puede agregar o quitar sitios
bloqueados temporalmente de la lista de sitios bloqueados y cambiar el vencimiento de esos sitios.
Para agregar un sitio bloqueado temporalmente a la lista de sitios bloqueados:

Aparece el cuadro de dilogo Agregar sitio bloqueado temporalmente.
2. Ingrese la direccin IP del sitio que desea bloquear.

3. En el cuadro de texto y la lista desplegable Vence luego de, seleccione cunto tiempo desea que
este sitio permanezca en la lista de sitios bloqueados.
4. Haga clic en OK.
Para cambiar el vencimiento de un sitio bloqueado temporalmente:
1. En la Lista de conexiones, seleccione el sitio.

2. Haga clic en Cambiar vencimiento.
Aparece el cuadro de dilogo Editar sitio bloqueado temporalmente.
3. En el cuadro de texto y la lista desplegable Vence luego de, seleccione cunto tiempo desea que
este sitio permanezca en la lista de sitios bloqueados.
4. Haga clic en OK.
Para quitar un sitio bloqueado temporalmente de la lista de sitios bloqueados:
Gua del Usuario 371

1. Seleccione el sitio en la Lista de conexiones.

El sitio bloqueado se quita de la lista.
la pgina 365.
Suma de comprobacin
Para ver la suma de comprobacin de los archivos del OS (sistema operativo) instalado actualmente en
Firebox:
Seleccione Estado del sistema >Suma de comprobacin.

Firebox calcula la suma de comprobacin para el OS instalado. Firebox puede tardar algunos
minutos en completar el clculo de la suma de comprobacin. La suma de comprobacin aparece
con la fecha y la hora en que se complet el clculo de la suma de comprobacin.
la pgina 365.
Conexiones
Para monitorear las conexiones a Firebox:
Seleccione Estado del sistema>Conexiones.
La pgina Conexiones incluye un nmero de conexiones que atraviesan a Firebox. El nmero actual de
conexiones para cada protocolo aparece en la columna Conexiones.
la pgina 365.
Lista de componentes
Para ver una lista de los componentes de software instalados en Firebox:
Seleccione Estado del sistema>Lista de componentes.
La pgina Componentes incluye una lista del software instalado en Firebox.
La lista de software incluye estos atributos:
n Nombre
n Versin
n Build
n Fecha
la pgina 365.

Uso de CPU
Para monitorear el uso de CPU en Firebox:
1. Seleccione Estado del sistema>Uso de CPU.

La pgina Uso de CPU contiene grficos que muestran el uso de CPU y la carga promedio en un
perodo determinado.
3. Para seleccionar un perodo, haga clic en la lista desplegable Uso de CPU.
n El eje X indica el nmero de minutos atrs.

n La escala del eje Y es el porcentaje de capacidad de CPU utilizado.
En la pgina Panel de control aparece una versin ms pequea de este grfico.
la pgina 365.
Concesiones de protocolo de configuracin

dinmica de host (DHCP)
Para ver una lista de las concesiones de protocolo de configuracin dinmica de host (DHCP) para Firebox:
Seleccione Estado del sistema>Concesiones de DHCP.
La pgina Concesiones de DHCP incluye al servidor DHCP y las concesiones utilizadas por Firebox, con las
reservas de DHCP.
Interfaz
La interfaz de Firebox a la que est conectado el cliente.
Direccin IP
La direccin IP de la concesin.
Host
El nombre de host. Si no hay un nombre de host disponible, este campo est vaco.
Direccin MAC
La direccin MAC asociada con la concesin.
Hora de inicio
El tiempo por el que el cliente solicit la concesin.
Hora de finalizacin
La hora en que vence la concesin.
Tipo de hardware
El tipo de hardware.
Gua del Usuario 373

la pgina 365.
Diagnsticos
Se puede utilizar la pgina Diagnsticos para hacer ping a una direccin IP o host, trazar la ruta a una
direccin IP o host, buscar informacin de DNS para el host o visualizar informacin acerca de los paquetes
transmitidos a travs de la red (Depsito de protocolo de control de transmisin, TCP).
Seleccione Estado del sistema >Diagnsticos.
Ejecutar un comando de diagnstico bsico

1. En la lista desplegable Tarea, seleccione el comando que desea ejecutar:
n Ping
n Rastrear ruta
n BuscarDNS
n Volcado de TCP
Si selecciona ping, traceroute o dnslookup, aparece el campo Direccin.
Si selecciona tcpdump, aparece el campo Interfaz.
2. En el campo Direccin, ingrese una direccin IP o nombre de host.
O seleccione Interfaz en la lista desplegable.
3. Haga clic en Ejecutar tarea.
El resultado del comando aparece en la ventana Resultados y aparece el botn Detener tarea.
4. Para detener la tarea de diagnstico, haga clic en Detener tarea.
Utilizar argumentos de comandos

1. En la lista desplegable Tarea, seleccione el comando que desea ejecutar:

n Ping
n Rastrear ruta
n BuscarDNS
n Volcado de TCP
2. Seleccione la casilla de verificacin Opciones avanzadas.
El campo Argumentos est activado y el campo Direccin o Interfaz est desactivado.
3. En el campo Argumentos, ingrese los argumentos del comando.
Para ver los argumentos disponibles para un comando, deje el campo Argumentos en blanco.
4. Haga clic en Ejecutar tarea.
El resultado del comando aparece en la ventana Resultados y aparece el botn Detener tarea.
5. Para detener la tarea de diagnstico, haga clic en Detener tarea.
la pgina 365.
DNS dinmico
Para ver la tabla de rutas de DNS dinmico:
Seleccione Estado del sistema>DNS dinmico.
La pgina DNS dinmico contiene la tabla de rutas DNS con la siguiente informacin:
Nombre
El nombre de la interfaz.
Usuario
El nombre de usuario de la cuenta de DNS dinmico.
Dominio
El dominio para el cual se provee el DNS dinmico.
Sistema
El tipo de servicio DNS dinmico.
Agregar
La direccin IP asociada al dominio.
IP
La direccin IP actual de la interfaz.
ltimo
La ltima vez que se actualiz el DNS.
Siguiente fecha
La prxima fecha programada para actualizacin del DNS.
Estado
El estado de DNS dinmico.
Gua del Usuario 375

la pgina 365.
Tecla de funcin
La tecla de funcin es una licencia que le permite utilizar diversas funciones en su dispositivo WatchGuard.
Al comprar una opcin o actualizacin y obtener una nueva tecla de funcin, aumenta la funcionalidad de
su dispositivo.
Cuando compra una nueva funcin

Cuando compra una nueva funcin para su dispositivo WatchGuard, debe:
n Obtener una tecla de funcin junto a LiveSecurity

n Agregar una tecla de funcin a su Firebox
Ver las funciones disponibles con la actual tecla de funcin

Su dispositivo WatchGuard siempre tiene una tecla de funcin activa actualmente. Se puede utilizar la
Fireware XTM Web UI para ver las funciones disponibles con esta tecla de funcin. Tambin pueden
revisarse los detalles de la tecla de funcin actual.
Los detalles disponibles incluyen:
n Nmero de serie del dispositivo WatchGuard al cual esa tecla de funcin se aplica
n ID y nombre del dispositivo WatchGuard
n Modelo y nmero de versin de dispositivo
n Funciones disponibles
Para ver informacin acerca de las funciones con licencia para el dispositivo WatchGuard:
1. Seleccione Estado del sistema> Tecla de funcin.

Aparece la pgina Tecla de funcin, con informacin bsica acerca de las funciones habilitadas por la tecla de
funcin para este dispositivo.

2. Para ver informacin para cada funcin, utilice la barra de desplazamiento en la pestaa Tecla de
funcin.
Aparece la siguiente informacin:
n Funcin: el nombre de la funcin con licencia.

n Valor: la funcin que la licencia habilita. Por ejemplo, una capacidad o nmero de usuarios.
n Vencimiento: fecha en la que vence la licencia.
n Tiempo restante: la cantidad de das hasta el vencimiento de la licencia.
3. Para ver los detalles de la tecla de funcin, haga clic en la pestaa Texto de la tecla de funcin.
Aparecen las funciones con licencia del dispositivo.
la pgina 365.
Interfaces
Para ver informacin sobre las interfaces de red de Firebox:
Seleccione Estado del sistema> Interfaces.
Gua del Usuario 377

La pgina Interfaces incluye informacin para cada interfaz:
Estado del enlace
Si la interfaz est activa, aparece Activada . Si no est activa, aparece Desactivada .
Alias
El nombre de la interfaz.
Activado
Incluye informacin sobre si cada interfaz est activada.
Puerta de enlace
La puerta de enlace definida para cada interfaz.
IP
La direccin IP configurada para cada interfaz.
Direccin MAC
La direccin MAC para cada interfaz.
Nombre
El nmero de interfaz.
Mscara de red
Mscara de red para cada interfaz.
Zona
La zona de confianza para cada interfaz.
la pgina 365.
LiveSecurity
La Fireware XTM Web UI incluye una pgina con las notificaciones de alertas ms recientes enviadas desde
LiveSecurity Service de WatchGuard. Las alertas de LiveSecurity proveen informacin que se aplica al
dispositivo, como las notificaciones acerca de las actualizaciones de software disponibles. Las notificaciones
de alertas se envan no ms de una vez al da.
Para ver las alertas desde WatchGuard:
1. Seleccione Estado del sistema> LiveSecurity.

2. Haga clic en Actualizar para verificar las nuevas alertas.
la pgina 365.

Memoria
Para monitorear el uso de memoria en Firebox:
1. Seleccione Estado del sistema>Memoria.

Aparece un grfico que muestra el uso de memoria de ncleo Linux a lo largo de un perodo.
3. Para seleccionar el perodo para el grfico, haga clic en la lista desplegable Memoria.
n El eje X indica el nmero de minutos atrs.

n La escala del eje Y es la cantidad de memoria utilizada en megabytes.
En la pgina Panel de control tambin puede verse una versin ms pequea de este grfico.
la pgina 365.
Lista de acceso saliente

(Esta funcin se aplica slo a los dispositivos Firebox X Edge e-Series con Fireware XTM.)
La tecla de funcin para su dispositivo Firebox X Edge activa el dispositivo para que tenga un nmero
especfico de direcciones IP con acceso de salida. La Web UI de Fireware XTM puede usarse para ver el
nmero mximo de direcciones IP que tienen permitido acceso saliente y las direcciones IP que
actualmente tienen acceso saliente. Tambin puede remover las direcciones IP de la lista de acceso de
salida, que permite que otra direccinIP remplace aqulla removida. Eso ayuda si tiene un nmero
limitado de direccionesIP con acceso de salida. Fireware XTM limpia automticamente todas las
direcciones IP de la Lista de acceso saliente una vez por hora.
La informacin acerca del nmero mximo de direcciones IP con acceso saliente tambin est disponible
en la tecla de funcin. Para ms informacin, vea Acerca de las teclas de funcin en la pgina 51.
Nota Esta funcin se aplica solo a los dispositivos Firebox X Edge con Fireware XTM. Si
no tiene un dispositivo Firebox X Edge con Fireware XTM, esta pgina no aparece
en la Web UI.
Para ver la Lista de acceso de salida:
1. Seleccione Estado del sistema> Lista de acceso saliente.

Aparece la pgina Lista de acceso saliente.
2. Para quitar una o ms direcciones IP de la lista, seleccione las direcciones y haga clic en Eliminar.
3. Para quitar todas las direcciones IP de la lista, haga clic en Borrar lista.
4. Para copiar la informacin de determinados elementos de la lista, seleccione los elementos y haga
clic en Copiar.
5. Para cambiar la frecuencia con la que se actualiza la informacin de la pgina, deslice el control
Intervalo de actualizacin.
6. Para detener temporalmente la actualizacin de informacin en la pgina, haga clic en Pausa.
Procesos
Para ver una lista de procesos que se ejecutan en Firebox:
Gua del Usuario 379

Seleccione Estado del sistema> Procesos.
La pgina Procesos incluye informacin acerca de todos los procesos que se ejecutan en Firebox.
Identificador de procesos (PID)
La identificacin del proceso es un nmero nico que muestra cundo se inici el proceso.
NOMBRE
El nombre del proceso.
ESTADO
El estado del proceso:
R: en ejecucin
S: suspendido
D,Z: inactivo
RSS
El nmero total de kilobytes de memoria fsica que utiliza el proceso.
PARTE
El nmero total de kilobytes de memoria compartida que utiliza el proceso.
HORA
El tiempo que ha utilizado el proceso despus de la ltima vez que se inici el dispositivo.
CPU
El porcentaje de tiempo de CPU que el proceso ha utilizado despus del ltimo reinicio del
dispositivo.
la pgina 365.
Rutas
Para ver la tabla de rutas para Firebox:
Seleccione Estado del sistema>Rutas.
La tabla de rutas incluye esta informacin acerca de cada ruta:
Destino
La red para la que fue creada la ruta.
Interfaz
La interfaz asociada a la ruta.
Puerta de enlace
La puerta de enlace que utiliza la red.

Marca
Las marcas establecidas para cada ruta.
Indicador
El indicador establecido para esta ruta en la tabla de enrutamiento.
Mscara
La mscara de red para la ruta.
la pgina 365.
Syslog
Se puede usar syslog para ver los datos de registro en el archivo de registro de Firebox.
Seleccione Estado del sistema>Syslog.

La pgina Syslog aparece con las entradas ms recientes en el archivo de registro de Firebox.
Para obtener ms informacin sobre cmo utilizar esta pgina, consulte Use el Syslog para ver los datos de
mensaje de registro en la pgina 361.
la pgina 365.
Administracin de trfico
Para ver las estadsticas de administracin de trfico:
Seleccione Estado del sistema>Administracin de trfico.

Aparecen las estadsticas asociadas con cada accin de administracin de trfico que se ha configurado.
La pgina Administracin de trfico incluye las siguientes estadsticas:
Accin de administracin de trfico (TM)
El nombre de la accin de administracin de trfico
Interfaz
La interfaz del dispositivo WatchGuard a la que se aplica la accin de trfico.
Bytes (%)
El nmero total de bytes.
Bytes/segundo
Los bits por segundo actuales (estimador de velocidad).
Paquetes
El nmero total de paquetes.
Gua del Usuario 381

Paquetes/segundo
Los paquetes por segundo actuales (estimador de velocidad).
Para obtener informacin acerca de la administracin de trfico, consulte Acerca de las Administracin de
trfico y QoS en la pgina 323.
la pgina 365.
Estadsticas de VPN
Para ver estadsticas acerca de tneles VPN:
1. Seleccione Estado del sistema>VPNEstadstica.

Aparecen las estadsticas de trfico para tneles Branch Office VPN (BOVPN) y Mobile VPN with IPSec.
Para cada tnel VPN, esta pgina incluye:
Nombre
Nombre del tnel.
Local
La direccin IP en el extremo local del tnel.
Remoto
La direccin IP en el extremo remoto del tnel.
Puerta de enlace
Los extremos de la puerta de enlace utilizados por este tnel.
Entrada de paquetes
El nmero de paquetes recibidos a travs del tnel.
Entrada de bytes
El nmero de bytes recibidos a travs del tnel.
Salida de paquetes
El nmero de paquetes enviados a travs del tnel.
Salida de bytes
El nmero de bytes enviados a travs del tnel.
Reingresos
El nmero de reingresos para el tnel.
2. Para forzar a un tnel BOVPN a reingresar, seleccione un tnel BOVPN y haga clic en el botn
Reingresar tnel BOVPN seleccionado.
Para ms informaciones, vea Regenerar clave de tneles BOVPN en la pgina 458.

3. Para ver informacin adicional para usar en la solucin de problemas, haga clic en Depurar.
Recomendamos utilizar esta funcin cuando se resuelve un problema de VPN con un representante
de soporte tcnico.
la pgina 365.
Estadsticas inalmbricas
Para ver estadsticas acerca de la red inalmbrica:
Seleccione Estado del sistema> Estadsticas inalmbricas.

Aparece un resumen de la configuracin inalmbrica y algunas estadsticas acerca del trfico inalmbrico.
El resumen incluye:
n Informacin de la configuracin inalmbrica

n Estadsticas de la interfaz
n Claves
n Velocidades de bit
n Frecuencias
Si el dispositivo es un WatchGuard XTM 2 Series modelo inalmbrico, en esta pgina tambin se puede
actualizar la informacin del pas inalmbrica para este dispositivo. Las opciones disponibles para la
configuracin de radio inalmbrica se basan en los requisitos normativos del pas en el cual el dispositivo
detecta que se encuentra.
Para actualizar la informacin de pas inalmbrico:
haga clic en Actualizar la informacin del pas.

El dispositivo 2 Series contacta el servidor WatchGuard para determinar la regin actual de operacin.
Para obtener ms informacin acerca de las configuraciones de radio en el dispositivo WatchGuard XTM2
Series, consulte Acerca de las configuraciones de radio inalmbrico en el dispositivo inalmbrico
WatchGuard XTM2 Series.
la pgina 365.
Gua del Usuario 383

Conexiones hotspot inalmbricas

Cuando activa la funcin de hotspot inalmbrico para su dispositivo inalmbrico WatchGuard XTM2 Series o
Firebox XEdge e-Series, puede consultar informacin acerca de la cantidad de clientes que estn
conectados. Tambin puede desconectar clientes inalmbricos.
Para obtener ms informacin acerca de cmo activar la funcin de hotspot inalmbrico, consulte Activar
un hotspot inalmbrico.
Para ver las conexiones hotspot inalmbricas:
1. Conctese al Fireware XTM Web UI para su dispositivo inalmbrico.

2. Seleccione Estado del sistema >Hotspot inalmbrico.
Aparecer la direccin IP y la direccinMAC para cada cliente inalmbrico conectado.
Para obtener ms informacin acerca de cmo administrar las conexiones hotspot inalmbricas, consulte
Consulte Conexiones hotspot inalmbricas.

18 Certificates
Acerca de los certificados

Los certificados hacen coincidir la identidad de una persona u organizacin con un mtodo para que otros
verifiquen la identidad y la seguridad de las comunicaciones. Usan un mtodo de cifrado llamado par de
claves, o dos nmeros relacionados matemticamente llamados clave privada y la clave pblica. Un
certificado incluye tanto una afirmacin de identidad como una clave pblica y es firmado por una clave
privada.
La clave privada usada para firmar un certificado puede ser del mismo par de claves usado para generar el
certificado o de un par de claves diferentes. Si la clave privada es el mismo par de claves usado para crear
el certificado, el resultado se llama certificado autofirmado. Si la clave privada es de un par de claves
diferentes, el resultado es un certificado comn. Los certificados con claves privadas que pueden ser
utilizados para firmar otros certificados son llamados CertificadosCA(Autoridad de Certificacin, en sus
siglas en ingls). Una autoridad de certificacin es una organizacin o aplicacin que firma o revoca los
certificados.
Si su organizacin tiene una configuracin de PKI (infraestructura de clave pblica), usted mismo puede
firmar certificados como CA. La mayora de las aplicaciones y dispositivos automticamente aceptan
certificados de CAs de confianza y relevantes. Los certificados que no son firmados por CAs relevantes, tal
como un certificado autofirmado, no son aceptados automticamente por diversos servidores o programas
y no funcionan correctamente con algunas funciones del Fireware XTM.
Usar mltiples certificados para determinar la confianza

Se pueden usar diversos certificados juntos para crear una cadena de confianza. Por ejemplo, el certificado
CA al principio de la cadena es de una CA relevante y es usado para firmar otro certificadoCA para una CA
ms pequea. Esa CA ms pequea puede, luego, firmar otro certificado CA usado por su organizacin.
Finalmente, su organizacin puede usar ese certificadoCA para firmar otro certificado para ser usado con la
funcin de inspeccin de contenido proxy deHTTPS. No obstante, para usar ese certificado final en el
extremo de la cadena de confianza, primero se debe importar todos los certificados en la cadena de
confianza en el siguiente orden:
Gua del Usuario 385

Certificates
1. CertificadoCA de la CA relevante (como tipo "Otro")

2. Certificado CA de la CA ms pequeo (como tipo "Otro")
3. CertificadoCA de la organizacin (como tipo "Otro")
4. Certificado usado para reencriptar contenido proxy de HTTPS despus de la inspeccin (como tipo
"Autoridad proxy deHTTPS")
Tambin podra ser necesario importar todos esos certificados en cada dispositivo cliente para que el
ltimo certificado tambin sea de confianza para los usuarios.
Para ms informaciones, vea Ver y administrar certificados de FireboxVer y administrar Certificados de

Firebox en la pgina 393.
Cmo el Firebox usa certificados

Su Firebox usa certificados para varios propsitos:
n Los datos de la sesin de administracin est protegidos con un certificado.

n Los tneles BOVPN o Mobile VPN with IPSec puede usar certificados para autenticacin.
n Cuando se habilita la inspeccin de contenido, el proxy de HTTPS usa un certificado para cifrar
nuevamente el trfico HTTPS entrante despus de ser descifrado para inspeccin.
n Puede usar un certificado con el proxy de HTTPS para proteger un servidor web en su red.
n Cuando un usuario se autentica con el Firebox para cualquier finalidad, tal como una anulacin del
WebBlocker, la conexin queda protegida con un certificado.
Por defecto, su Firebox crea certificados autofirmados para proteger los datos de sesin de administracin
e intentos de autenticacin para el Fireware XTM Web UI y para la inspeccin de contenido proxy de HTTPS.
Para asegurar que el certificado usado para la inspeccin de contenido HTTPS sea nico, su nombre incluye
el nmero de serie de su dispositivo y la hora en la cual el certificado fue creado. Como esos certificados no
son firmados por una CA de confianza, los usuarios en su red ven alertas en sus exploradores web.
Hay tres opciones para remover ese alerta:
1. Puede importar certificados firmados por una CA en los cuales su organizacin confa, tal como un
PKI ya configurado para su organizacin, para ser usado con esas funciones. Recomendamos que use
esa opcin si posible.
2. Puede crear un certificado autofirmado personalizado que coincida con el nombre y ubicacin de su
organizacin.
3. Puede usar el certificado autofirmado predeterminado.
En la segunda y tercera opciones, puede pedir que los clientes de red acepten esos certificados
autofirmados manualmente cuando se conectan al Firebox. O puede exportar los certificados y distribuirlos
con las herramientas de administracin de red. Debe tener el WatchGuard System Manager instalado para
exportar certificados.
CRLs y caducidad de certificados

Cada certificado tiene una caducidad determinada cuando es creado. Cuando el certificado llega al fin de la
caducidad definida, se vence y ya no puede ser usado automticamente. Tambin puede remover los
certificados manualmente con el Firebox System Manager (FSM).

Certificates
A veces la CA revoca o desactiva los certificados antes que caduquen. Su Firebox mantiene una lista
actualizada de esos certificados revocados, llamada Lista de Revocacin de Certificados (CRL, las siglas en
ingls), para verificar que los certificados usados por una autenticacinde VPN son vlidos. Si tiene el
WatchGuard System Manager instalado, esa lista puede ser actualizada manualmente con el Firebox System
Manager (FSM), o automticamente con la informacin de un certificado. Cada certificado incluye un
nmero nico usado para identificarlo. Si el nmero nico en un certificado de servidor web, BOVPN o
Mobile VPN with IPSec coincide con un identificador de su CRL asociado, el Firebox desactiva el certificado.
Cuando se activa la inspeccin de contenido en un proxy deHTTPS, el Firebox puede verificar el

respondedor de OCSP (Protocolo de estado del certificado online) asociado a los certificados usados para
firmar el contenido de HTTPS. El respondedor de OCSP enva el estado de la revocacin del certificado. El
Firebox acepta la respuesta del OCSP si sta est firmada por un certificado en el cual Firebox confa. Si la
respuesta del OCSP no est firmada por un certificado en el que Firebox confa, o si el respondedor del
OCSP no enva una respuesta, entonces se puede configurar el Firebox para que acepte o rechace el
certificado original.
Para ms informaciones acerca de las opciones deOCSP, vea Proxy deHTTPS:Contenido en la pgina 302.
Solicitudes de firmas y autoridades de certificacin

Para crear un certificado autofirmado, se pone parte de un par de claves criptogrficos en una solicitud de
firma de certificado (CSR) y enva la solicitud a una CA. Es importante usar un nuevo par de claves para cada
CSR creada. La CA emite un certificado despus de recibir la CSR y verificar su identidad. Si tiene el software
del FSM o Management Server instalado, puede usar esos programas para crear una CSR para su Firebox.
Tambin puede usar otras herramientas, tal como OpenSSL o el Microsoft CAServer que viene con la
mayora de los sistemas operativos de Windows Server.
Si desea crear un certificado para ser usado con la funciones de inspeccin de contenido proxy deHTTPS,
debe ser un certificadoCA que pueda firmar nuevamente otros certificados. Si crea una CSR con el Firebox
System Manager y lo firma por una CA relevante, esa CSR puede ser usada como un certificado CA.
Si no tiene un PKI configurado en su organizacin recomendamos que elija una CA relevante para firmar las
CSRs usadas, excepto para el certificado CA del proxy de HTTPS. Si una CA relevante firma sus certificados,
stos son automticamente considerados de confianza por la mayora de los usuarios. WatchGuard prob
los certificados firmados por VeriSign, Microsoft CAServer, Entrust y RSA KEON. Tambin puede importar
certificados adicionales para que su Firebox confe en otras CAs.
Para obtener una lista completa de las CAs automticamente de confianza, vea Autoridades de Certificacin
confiadas por Firebox en la pgina 387.
Crear una CSR con el OpenSSL
Autoridades de Certificacin confiadas por Firebox

Por defecto, su Firebox confa en la mayora de las autoridades de certificacin (CAs) que los exploradores
web actuales. Recomendamos que importe certificados firmados por una CA en esa lista para el proxy de
HTTPS o Fireware XTMWeb UI, para que los usuarios no vean los alertas de certificado en su explorador
web cuando usan esas funciones. Sin embargo, tambin se puede importar certificados de otras CAs para
que sus certificados sean de confianza.
Gua del Usuario 387

Certificates
Si tiene instalado el WatchGuard System Manager, una copia de cada certificado es almacenada en su disco
duro en:
C:\Documents and Settings\WatchGuard\wgauth\certs\README
Lista de Autoridades de Certificacin

C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification Authority - G2,
OU=(c) 1998 VeriSign, Inc. - Slo para uso autorizado, OU=VeriSign Trust
Network
C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting, OU=Certification
Services Division, CN=Thawte Personal Premium CA/direccinemail=personal-
premium@thawte.com
C=ES, L=C/ Muntaner 244 Barcelona, CN=Autoridad de Certificacion
Firmaprofesional CIF A62634068/direccinEmail=ca@firmaprofesional.com
C=HU, ST=Hungra, L=Budapest, O=NetLock Halozatbiztonsagi Kft.,
OU=Tanusitvanykiadok, CN=NetLock Kozjegyzoi (Class A) Tanusitvanykiado
C=ZA, ST=Western Cape, L=Durbanville, O=Thawte, OU=Thawte Certification,
CN=Thawte Timestamping CA
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 1999 VeriSign, Inc.
- Slo para uso autorizado, CN=VeriSign Class 4 Public Primary Certification
Authority - G3
C=SE, O=AddTrust AB, OU=AddTrust TTP Network, CN=AddTrust Qualified CA Root
C=DK, O=TDC Internet, OU=TDC Internet Root CA
C=US, O=VeriSign, Inc., OU=Class 2 Public Primary Certification Authority -
G2, OU=(c) 1998 VeriSign, Inc. - Slo para uso autorizado, OU=VeriSign Trust
Network
C=US, O=Wells Fargo, OU=Wells Fargo Certification Authority, CN=Wells Fargo
Root Certificate Authority
OU=GlobalSign Root CA - R2, O=GlobalSign, CN=GlobalSign
CN=Test-Only Certificate
C=US, O=Entrust, Inc., OU=www.entrust.net/CPS est incluido como referencia,
OU=(c) 2006 Entrust, Inc., CN=Entrust Root Certification Authority
C=SE, O=AddTrust AB, OU=AddTrust TTP Network, CN=AddTrust Class 1 CA Root
C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO
Certification Authority
O=RSA Security Inc, OU=RSA Security 2048 V3
Services Division, CN=Thawte Personal Basic CA/direccinEmail=personal-
basic@thawte.com
C=FI, O=Sonera, CN=Sonera Class1 CA
O=VeriSign Trust Network, OU=VeriSign, Inc., OU=VeriSign International Server
CA - Class 3, OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97
VeriSign
C=ZA, O=Thawte Consulting (Pty) Ltd., CN=Thawte SGC CA
C=US, O=Equifax Secure Inc., CN=Equifax Secure eBusiness CA-1
C=JP, O=SECOM Trust.net, OU=Security Communication RootCA1
C=US, O=America Online Inc., CN=America Online Root Certification Authority 1
C=HU, L=Budapest, O=NetLock Halozatbiztonsagi Kft., OU=Tanusitvanykiadok,
CN=NetLock Uzleti (Class B) Tanusitvanykiado
C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network,
OU=http://www.usertrust.com, CN=UTN - DATACorp SGC
C=BE, O=GlobalSign nv-sa, OU=Root CA, CN=GlobalSign Root CA

Certificates
C=US, O=VeriSign, Inc., OU=Class 2 Public Primary Certification Authority

C=CH, O=SwissSign AG, CN=SwissSign Gold CA - G2
C=US, O=RSA Data Security, Inc., OU=Secure Server Certification Authority
C=IE, O=Baltimore, OU=CyberTrust, CN=Baltimore CyberTrust Root
Authority - G3
C=US, OU=www.xrampsecurity.com, O=XRamp Security Services Inc, CN=XRamp
Global Certification Authority
C=PL, O=Unizeto Sp. z o.o., CN=Certum CA CA
C=US, O=Entrust.net, OU=www.entrust.net/CPS incorp. by ref. (limita
responsabilidad.), OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Secure
Server Certification Authority
L=ValiCert Validation Network, O=ValiCert, Inc., OU=ValiCert Class 3 Policy
Validation Authority,
CN=http://www.valicert.com//emailAddress=info@valicert.com
C=CH, O=SwissSign AG, CN=SwissSign Platinum CA - G2
OU=GlobalSign Root CA - R2, O=GlobalSign, CN=GlobalSign
O=Digital Signature Trust Co., CN=DST Root CA X3
C=US, O=AOL Time Warner Inc., OU=America Online Inc., CN=AOL Time Warner Root
Certification Authority 1
C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA Limited, CN=Secure
Certificate Services
O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Terms of use at
https://www.verisign.com/rpa (c)00, CN=VeriSign Time Stamping Authority CA
O=Entrust.net, OU=www.entrust.net/GCCA_CPS incorp. by ref. (limita respons.),
OU=(c) 2000 Entrust.net Limited, CN=Entrust.net Client Certification
Authority
C=US, O=SecureTrust Corporation, CN=Secure Global CA
C=US, O=Equifax, OU=Equifax Secure Certificate Authority
O=beTRUSTed, OU=beTRUSTed Root CAs, CN=beTRUSTed Root CA - RSA Implementation
C=WW, O=beTRUSTed, CN=beTRUSTed Root CAs, CN=beTRUSTed Root CA
C=US, O=GeoTrust Inc., CN=GeoTrust Primary Certification Authority
C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification
Services Division, CN=Thawte Premium Server CA/direccinEmail=premium-
server@thawte.com
C=US, O=SecureTrust Corporation, CN=SecureTrust CA
OU=Extended Validation CA, O=GlobalSign, CN=GlobalSign Extended Validation CA
C=US, O=GeoTrust Inc., CN=GeoTrust Global CA 2
C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden Root CA
C=IL, ST=Israel, L=Eilat, O=StartCom Ltd., OU=CA Authority Dep., CN=Free SSL
Certification Authority/direccinEmail=admin@startcom.org
C=US, O=VISA, OU=Visa International Service Association, CN=Visa eCommerce
Root
O=beTRUSTed, OU=beTRUSTed Root CAs, CN=beTRUSTed Root CA - Entrust
Implementation
Authority - G5
C=US, O=Equifax Secure Inc., CN=Equifax Secure Global eBusiness CA-1
C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA Chained CAs Certification
Gua del Usuario 389

Certificates
Authority, CN=IPS CA Chained CAs Certification Authority/direccinEmail=ips@m

IPSail.ips.es
DC=com, DC=microsoft, DC=corp, DC=redmond, CN=Microsoft Secure Server
Authority
OU=http://www.usertrust.com, CN=UTN-USERFirst-Hardware
C=BM, O=QuoVadis Limited, CN=QuoVadis Root CA 3
C=TW, O=Government Root Certification Authority
C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA Limited, CN=Trusted
C=US, O=GeoTrust Inc., CN=GeoTrust Universal CA 2
C=US, O=Entrust.net, OU=www.entrust.net/Client_CA_Info/CPS incorp. by ref.
limits liab., OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Client
C=FR, O=Certplus, CN=Class 2 Primary CA
C=US, O=Starfield Technologies, Inc., OU=Starfield Class 2 Certification
Authority
Services Division, CN=Thawte Personal Freemail CA/emailAddress=personal-
freemail@thawte.com
O=Entrust.net, OU=www.entrust.net/CPS_2048 incorp. by ref. (limita respons.),
OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Certification Authority
(2048)
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA CLASEA1 Certification
Authority, CN=IPS CA CLASEA1 Certification
Authority/direccinEmail=ips@mail.ips.es
C=US, O=AOL Time Warner Inc., OU=America Online Inc., CN=AOL Time Warner Root
Certification Authority 2
Network
C=US, O=VISA, OU=Visa International Service Association, CN=GP Root 2
C=US, O=GeoTrust Inc., CN=GeoTrust Global CA
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Trminos de uso en
https://www.verisign.com/rpa (c)06, CN=VeriSign Class 3 Extended Validation
SSL CA
C=EU, O=AC Camerfirma SA CIF A82743287, OU=http://www.chambersign.org,
CN=Global Chambersign Root
C=DE, ST=Hamburg, L=Hamburg, O=TC TrustCenter for Security in Data Networks
GmbH, OU=TC TrustCenter Class 2 CA/direccinEmail=certificate@trustcenter.de
C=US, O=GTE Corporation, OU=GTE CyberTrust Solutions, Inc., CN=GTE CyberTrust
Global Root
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Trminos de utilizacin
en https://www.verisign.com/rpa (c)05, CN=VeriSign Class 3 Secure Server CA
C=US, O=GTE Corporation, CN=GTE CyberTrust Root
Authority - G3
OU=http://www.usertrust.com, CN=UTN-USERFirst-Network Applications
CN=NetLock Minositett Kozjegyzoi (Class QA)

Certificates
Tanusitvanykiado/direccinEmail=info@netlock.hu
Authority - G3
C=us, ST=Utah, L=Salt Lake City, O=Digital Signature Trust Co., OU=DSTCA X2,
CN=DST RootCA X2/direccinEmail=ca@digsigtrust.com
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA CLASE3 Certification
Authority, CN=IPS CA CLASE3 Certification Authority/direccinEmail=ips@m
IPSail.ips.es
O=RSA Security Inc, OU=RSA Security 1024 V3
C=US, O=Equifax Secure, OU=Equifax Secure eBusiness CA-2
C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte,
Inc. - Slo para uso autorizado, CN=thawte Primary Root CA
C=us, ST=Utah, L=Salt Lake City, O=Digital Signature Trust Co., OU=DSTCA X1,
CN=DST RootCA X1/direccinEmail=ca@digsigtrust.com
C=US, O=Network Solutions L.L.C., CN=Network Solutions Certificate Authority
C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification
Services Division, CN=Thawte Server CA/direccinEmail=server-certs@thawte.com
Network
C=NL, O=DigiNotar, CN=DigiNotar Root CA CA/=info@diginotar.nl
C=US, O=America Online Inc., CN=America Online Root Certification Authority 2
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA Timestamping Certification
Authority, CN=IPS CA Timestamping Certification
C=US, O=DigiCert Inc., CN=DigiCert Security Services CA
C=US, O=Digital Signature Trust, OU=DST ACES, CN=DST ACES CA X6
C=DK, O=TDC, CN=TDC OCES CA
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA CLASEA3 Certification
Authority, CN=IPS CA CLASEA3 Certification
OU=http://www.usertrust.com, CN=UTN-USERFirst-Correo electrnico y
autenticacin del cliente
C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA CA Limited, CN=AAA
CN=http://www.valicert.com//direccinEmail=info@valicert.com
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA CLASE1 Certification
Authority, CN=IPS CA CLASE1 Certification
C=BM, O=QuoVadis Limited, OU=Root Certification Authority, CN=QuoVadis Root
C=CH, O=SwissSign AG, CN=SwissSign Silver CA - G2
C=US, O=Digital Signature Trust Co., OU=DSTCA E2
Gua del Usuario 391

Certificates
C=US, O=Digital Signature Trust Co., OU=DSTCA E1

C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root CA
C=US, ST=Arizona, L=Scottsdale, O=GoDaddy.com, Inc.,
OU=http://certificates.godaddy.com/repository, CN=Go Daddy Secure
Certification Authority/nmeroSerie=07969287
C=EU, O=AC Camerfirma SA CIF A82743287, OU=http://www.chambersign.org,
CN=Chambers of Commerce Root
C=BM, O=QuoVadis Limited, CN=QuoVadis Root CA 2
C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert High Assurance EV Root
CA
C=US, ST=DC, L=Washington, O=ABA.ECOM, INC., CN=ABA.ECOM Root
CA/direccinEmail=admin@digsigtrust.com
C=ES, ST=BARCELONA, L=BARCELONA, O=IPS Seguridad CA CA, OU=Certificaciones,
CN=IPS SERVIDORES/direccinEmail=ips@mail.ips.es
C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Assured ID Root CA
C=ch, O=Swisscom, OU=Digital Certificate Services, CN=Swisscom Root CA 1
CN=T\xC3\x9CRKTRUST Elektronik Sertifika Hizmet
Sa\xC4\x9Flay\xC4\xB1c\xC4\xB1s\xC4\xB1, C=TR, L=ANKARA, O=(c) 2005
T\xC3\x9CRKTRUST Bilgi \xC4\xB0leti\xC5\x9Fim ve Bili\xC5\x9Fim
G\xC3\xBCvenli\xC4\x9Fi Hizmetleri A.\xC5\x9E.
Authority - G5
C=DE, ST=Hamburg, L=Hamburg, O=TC TrustCenter for Security in Data Networks
GmbH, OU=TC TrustCenter Class 3 CA/direccinEmail=certificate@trustcenter.de
CN=NetLock Expressz (Class C) Tanusitvanykiado
OU=http://www.usertrust.com, CN=UTN-USERFirst-Object
C=US, O=The Go Daddy Group, Inc., OU=Go Daddy Class 2 Certification Authority
C=US, O=Akamai Technologies Inc, CN=Akamai Subordinate CA 3
C=SE, O=AddTrust AB, OU=AddTrust TTP Network, CN=AddTrust Public CA Root
CN=T\xC3\x9CRKTRUST Elektronik Sertifika Hizmet
Sa\xC4\x9Flay\xC4\xB1c\xC4\xB1s\xC4\xB1, C=TR, L=Ankara, O=T\xC3\x9CRKTRUST
Bilgi \xC4\xB0leti\xC5\x9Fim ve Bili\xC5\x9Fim G\xC3\xBCvenli\xC4\x9Fi
Hizmetleri A.\xC5\x9E. (c) Kas\xC4\xB1m 2005
C=US, O=GeoTrust Inc., CN=GeoTrust Universal CA
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Trminos de utilizacin
en https://www.verisign.com/rpa (c)06, CN=VeriSign Class 3 Extended
Validation SSL SGC CA
O=Entrust.net, OU=www.entrust.net/SSL_CPS incorp. por ref. (limita respons.),
OU=(c) 2000 Entrust.net Limited, CN=Entrust.net Secure Server Certification
Authority
CN=Microsoft Internet Authority
CN=http://www.valicert.com//direccinEmail=info@valicert.com
OU=http://www.usertrust.com, CN=UTN-USERFirst-Hardware
C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External
CA Root
C=FI, O=Sonera, CN=Sonera Class2 CA

Certificates
O=beTRUSTed, OU=beTRUSTed Root CAs, CN=beTRUSTed Root CA-Baltimore

Implementation
C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom
Ver y administrar Certificados de Firebox

Puede usar el Fireware XTMWeb UI para ver y administrar sus certificados de Firebox. Eso incluye:
n Ver un listado de los certificados actuales de Firebox y sus propiedades

n Importar un certificado
n Seleccionar un certificado del servidor web para la autenticacin de Firebox
n Seleccionar un certificado para ser usado con una VPN para Sucursales o VPN de usuario mvil
Nota Debe usar el Firebox System Manager (FSM) para crear solicitudes de firma de
certificado (CSRs), importar listas de revocacin de certificado (CRLs), remover o
eliminar certificados.
Para obtener ms informacin, vea el sistema de Ayuda del WatchGuard System
Manager.
Ver los certificados actuales

Para ver el listado actual de certificados:
1. Seleccione Sistema > Certificados.

Aparece la lista "Certificados", con todos los certificados y solicitudes de firma de certificado (CSRs).
La lista Certificados incluye:

n El estado y tipo del certificado.
n El algoritmo usado por el certificado.
n El nombre del sujeto o identificador del certificado.
Por defecto, los certificadosCA de confianza no estn incluidos en esta lista.
2. Para mostrar todos los certificados en CAs de confianza, seleccione la casilla Mostrar CAs de
confianza para proxy deHTTPS.
3. Para ocultar los certificados CA de confianza, limpie la casilla Mostrar CAs de confianza para proxy
deHTTPS.
Importar un certificado desde un archivo

Se puede importar un certificado desde el portapapeles de Windows o desde un archivo en su PC local. Los
certificados deben tener el formatoPEM (base64). Antes de importar un certificado para ser usado con la
funcin de inspeccin de contenido proxy de HTTPS, debe importar cada certificado anterior en la cadena
de confianza con el tipo Otro. Eso configura el Firebox para que confe en el certificado. Debe importar esos
certificados desde el primero hacia el ltimo, o desde el ms relevante hacia el menos relevante, para que
el Firebox pueda conectar los certificados en la cadena de confianza adecuadamente.
Para ms informaciones, vea Acerca de los certificados en la pgina 385 y Usar Certificados para el proxy de
HTTPS en la pgina 397.
Gua del Usuario 393

Certificates

Aparece la pgina "Certificados".
2. Haga clic en Importar.
3. Seleccione la opcin que coincida con la funcin del certificado:
n Autoridad proxy de HTTPS (para inspeccin profunda de paquetes) - Seleccione esta opcin si
el certificado es para una poltica de proxy de HTTPS que administra el trfico web solicitado
por los usuarios en una red de confianza u opcional desde un servidor web en una red externa,
seleccione Un certificado importado con esa finalidad debe ser un certificadoCA. Antes de
importar el certificadoCA usado para reencriptar el trfico con un proxy de HTTPS, asegrese
de que el certificadoCA usado para reencriptar firmar ese certificado haya sido importado con
la categora Otro.
n Servidor proxy deHTTPS - Seleccione esta opcin si el certificado es para una poltica de proxy
de HTTPS que administra el trfico web solicitado por usuarios en una red externa desde un
servidor web protegido por el Firebox. Antes de importar el certificadoCA usado para
reencriptar el trfico desde el servidor web de HTTPS, asegrese de que el certificadoCA
utilizado para firmar ese certificado haya sido importado con la categora Otro.
n CA de confianza para proxy de HTTPS - Seleccione esta opcin para un certificado usado para
confiar en trficoHTTPS que no sea reencriptado por el proxy deHTTPS. Por ejemplo, un
certificado raz o de CA intermediario usado para firmar el certificado de un servidor web
externo.
n IPSec, Servidor web, Otro - Seleccione esta opcin si el certificado es para autenticacin u
otros propsitos, o si desea importar un certificado para crear una cadena de confianza para un
certificado que sea usado para reencriptar el trfico de red con un proxy de HTTPS.
4. Copie y pegue los contenidos del certificado en el cuadro de texto grande. Si el certificado incluye
una clave privada, ingrese la contrasea para descifrar la clave.
5. Haga clic en Importar certificado.
Se agrega el certificado al Firebox.
Usar un certificado del servidor web para autenticacin

Para usar un certificado de terceros para ese propsito, primero debe importar ese certificado. Vea el
procedimiento anterior para ms informacin. Si usa un certificado personalizado firmado por el Firebox,
recomendamos que exporte el certificado y luego lo importe en cada dispositivo cliente que se conecta al
Firebox.
1. Seleccione Autenticacin > Certificado de Servidor Web .

Aparece la pgina de Certificado del servidor web de autenticacin.
2. Para usar un certificado de terceros importado, seleccione Certificado de terceros y seleccione el
certificado en la lista desplegable.
Haga clic en Guardar y no siga los otros pasos en este procedimiento.

Certificates
3. Para crear un nuevo certificado para la autenticacin Firebox, seleccione Personalizar certificado
firmado por Firebox.
4. Ingrese un domain name o direccin IP de una interfaz en su Firebox en el cuadro de texto en la
parte inferior del cuadro de dilogo. Haga clic en Agregar. Cuando haya aadido todos los domain
names deseados, haga clic en Aceptar.
5. Ingrese el nombre comn de su organizacin. ste suele ser su domain name.
Tambin puede ingresar un nombre de organizacin y un nombre de departamento de la
organizacin (ambos opcionales) para identificar la parte de su organizacin que cre el certificado.
Crear una CSR con el OpenSSL

Para crear un certificado, primero necesita crear una Solicitud de firma de certificado (CSR). Puede enviar
una CSR a una autoridad de certificacin o usarla para un certificado autofirmado.
Usar OpenSSL para generar una CSR

El OpenSSL est instalado en la mayora de las distribuciones de GNU/Linux. Para descargar el cdigo fuente
o un archivo binario de Windows, vaya a http://www.openssl.org/ y siga las instrucciones de instalacin
para su sistema operativo. Puede usar el OpenSSL para convertir certificados y solicitudes de firma de
certificado de un formato a otro. Para ms informacin, vea la pgina principal de OpenSSL o la
documentacin online.
1. Abra un terminal de command line interface.

2. Para generar un archivo de clave privada llamado privkey.pem en su directorio actual de trabajo,
ingrese:
openssl genrsa-out privkey.pem 1024
3. Ingrese:
openssl req -new -key privkey.pem -out request.csr
Este comando genera una CSR en el formato PEM en su directorio de trabajo actual.
4. Cuando le solicitan la informacin del atributo de nombre comn x509, ingrese el domain name
completo (FQDN). Use otra informacin, segn convenga.
5. Siga las instrucciones de su autoridad de certificacin para enviar la CSR.
Para crear un certificado temporal y autofirmado hasta que la CA emita su certificado firmado:
1. Abra un terminal de command line interface.

2. Ingrese:
openssl x509 -req -days 30 -in request.csr -key privkey.pem -out sscert.cert
Ese comando crea un certificado dentro de su directorio actual que caduca en 30 das con la clave privada y
la CSR creada en el procedimiento anterior.
Nota No se puede usar un certificado autofirmado para la autenticacin de puerta de

enlace remota de VPN. Recomendamos que use certificados firmados por una
Autoridad de Certificacin de confianza.
Gua del Usuario 395

Certificates
Firme un certificado con Microsoft CA

Aunque pueda crear un certificado autofirmado con el Firebox System Manager u otras herramientas,
tambin se puede crear un certificado con el Microsoft Certificate Authority (CA).
Cada solicitud de firma de certificado (CSR) debe ser firmada por una autoridad de certificacin (CA) antes
que sea usada para autenticacin. Al crear un certificado con ese procedimiento, uno acta como la CA y
firma digitalmente su propia CSR. No obstante, por cuestiones de compatibilidad, recomendamos que enve
su CSR a una CA ampliamente conocida. Los certificados races para esas organizaciones estn inslados por
defecto en la mayora de los exploradores de Internet y dispositivos WatchGuard, as no hace falta que uno
mismo distribuya los certificados races.
Se puede usar la mayora de los sistemas operativos de Windows Server para completar una CSR y crear un
certificado. Las instrucciones siguientes son para el Windows Server 2003.
Enviar la solicitud de certificado

1. Abra su explorador web. En la ubicacin o barra de direccin, ingrese la direccin IP del servidor
donde est instalada la Autoridad de Certificacin, seguido de certsrv .
Por ejemplo: http://10.0.2.80/certsrv
2. Haga clic en el enlace Solicitar un certificado.
3. Haga clic en el enlace Solicitud avanzada de certificado.
4. Haga clic en Enviar un certificado.
5. Pegue los contenidos de su archivo de CSR en el cuadro de texto Solicitud guardada.
6. Haga clic en OK.
7. Cierre su explorador web.
Emitir el certificado
1. Conctese al servidor donde est instalada la Autoridad de Certificacin, si necesario.
2. Seleccione Inicio > Panel de control> Herramientas administrativas > Autoridad de certificacin.
3. En el rbol Autoridad de certificacin (Local), seleccione Su domain name> Solicitudes pendientes.
4. Seleccione la CSR en el panel de navegacin derecho.
5. En el menu Accin, seleccione Todas las tareas > Emitir.
6. Cierre la ventana de Autoridad de Certificacin.
Descargar el certificado
1. Abra su explorador web. En la ubicacin o barra de direccin, ingrese la direccin IP del servidor
donde est instalada la autoridad de certificacin, seguido de certsrv.
Ejemplo: http://10.0.2.80/certsrv
2. Haga clic en el enlace Ver el estado de una solicitud de certificado pendiente.
3. Haga clic en la solicitud de certificado con la hora y fecha que fue enviada.
4. Para elegir el formato PKCS10 o PKCS7, seleccione Codificacin de base 64.
5. Haga clic en Descargar certificado para guardar el certificado en su disco duro.
La Autoridad de Certificacin es distribuida como componente en el Windows Server 2003. Si la Autoridad

de Certificacin no est instalada en la carpeta Herramientas Administrativas del Panel de Control siga las
instrucciones del fabricante para instalarla.

Certificates
Usar Certificados para el proxy de HTTPS

Muchos sitios web usan protocolos HTTP y HTTPS para enviar informacin a usuarios. Cuando el trfico
HTTP puede ser fcilmente examinado, el trfico HTTPS es cifrado. Para examinar el trfico HTTPS solicitado
por un usuario en su red, se debe configurar su Firebox para que descifre la informacin y luego la cifre con
un certificado firmado por una CA confiada por todos los usuarios de la red.
Por defecto, el Firebox cifra nuevamente el contenido inspeccionado con un certificado autofirmado
generado automticamente. Los usuarios sin una copia de ese certificado ven un alerta de certificado
cuando se conectan a una sitio web seguro con HTTPS. Si un sitio web remoto usa un certificado vencido, o
si ese certificado est firmado por una CA (Autoridad de Certificacin) que el Firebox no reconoce, ste
forma nuevamente el contenido como Fireware HTTPSProxy:Certificado no reconocido o simplemente
Certificado invlido.
Esta seccin incluye informacin acerca de cmo exportar un certificado desde el Firebox e importarlo en
un sistema con Microsoft Windows o Mac OSX para que funcione con el proxy de HTTPS. Para importar el
certificado en otros dispositivos, sistemas operativos o aplicaciones, vea la documentacin de sus
fabricantes.
Proteger un servidorHTTPS privado

Para proteger un servidor de HTTPS en su red, primero debe importar el certificadoCA usado para firmar
el certificado del servidor de HTTPS y, luego, importar el certificado del servidor de HTTPS con su clave
privada asociada. Si el certificado CA usado para firmar el certificado del servidor del HTTPS no es
automticamente confiable, debe importar cada certificado de confianza en secuencia para que este
recurso funcione correctamente. Despus de importar todos los certificados, configure el proxy de HTTPS.

Aparece la pgina "Seleccionar un tipo de poltica.
3.Expanda la categora Proxies y seleccione HTTPS-proxy.
4.Haga clic en Agregar poltica.
5.Seleccione la pestaa Contenido.
6.Seleccione la casilla de verificacin Activar inspeccin profunda de contenidoHTTPS.
7.Elija la accin proxy de HTTPS que desea usar para inspeccionar el contenido de HTTPS.
8.Limpie las dos casillas de verificacin para validacin deOCSP.
9.En la Lista de derivacin, ingrese las direcciones IP de los sitios web para los cuales no desea
inspeccionar el trfico.
Para ms informaciones, vea Ver y administrar certificados de FireboxVer y administrar Certificados de

Firebox en la pgina 393.
Gua del Usuario 397

Certificates
Examinar contenido de los servidores HTTPS externos

Nota Si tiene otro trfico que usa el puerto HTTPS, tal como el trficoSSLVPN,
recomendamos que evale la funcin de inspeccin de contenido cuidadosamente.
El proxy de HTTPS intenta examinar todo el trfico en el puerto 443de TCP de la
misma manera. Para asegurar que otras fuentes de trfico operan correctamente,
recomendamos que agregue esas direccionesIP a la lista de Derivacin.
Para ms informaciones, vea Proxy de HTTPS: Inspeccin de contenidoProxy de
HTTPS:Contenido en la pgina 302.
Si su organizacin ya tiene un PKI (Infraestructura de Clave Pblica) configurado con una CA de confianza,
entonces puede importar un certificado en el Firebox que est firmado por la CA de su organizacin. Si el
certificadoCA no es automticamente confiable, debe importar cada certificado previo en la cadena de
confianza para que ese recurso funcione correctamente. Para ms informaciones, vea Ver y administrar
certificados de FireboxVer y administrar Certificados de Firebox en la pgina 393.
Antes de activar esa funcin, recomendamos que provea el(los) certificado(s) usado(s) para firmar el trfico
HTTPS para todos los clientes en su red. Puede poner los certificados en un adjunto de correo electrnico
con las instrucciones, o usar el software de administracin de red para instalar los certificados
automticamente. Tambin recomendamos que pruebe el proxy de HTTPS con un pequeo nmero de
usuarios para asegurarse de que funciona correctamente antes de aplicarlo al trfico en una red grande.
Si su organizacin no tiene un PKI, debe copiar el certificado predeterminado o autofirmado personalizado

desde el Firebox hacia cada dispositivo cliente.

3. Expanda la categora Proxies y seleccione HTTPS-proxy.
4. Haga clic en Agregar poltica.
5. Seleccione la pestaa Contenido.
6. Seleccione la casilla de verificacin Activar inspeccin profunda de contenidoHTTPS.
7. Elija la accin proxy de HTTPS que desea usar para inspeccionar el contenido de HTTPS.
8. Seleccione las opciones que desea para la validacin del certificadoOCSP.
9. En la Lista de derivacin, ingrese las direcciones IP de los sitios web para los cuales no desea
inspeccionar el trfico.
Cuando activa la inspeccin de contenido, las configuraciones de WebBlocker de la accin del proxy de
HTTP anulan las configuraciones de WebBlocker del proxy deHTTPS. Si aade direccionesIP a la lista de
Derivaciones, se filtra el trfico de esos sitios con las configuraciones WebBlocker del proxy de HTTPS.
Para ms informacin en la configuracin del WebBlocker, vea Acerca de las WebBlocker en la pgina 561.
Exportar el certificado de inspeccin de contenidoHTTPS

Ese procedimiento exporta un certificado de su Firebox en el formatoPEM.

Certificates
1. Abra el Firebox System Manager y conctese a su Firebox.

2. Seleccione Ver > Certificados.
3. Seleccione el certificado CA Autoridad proxy de HTTPS en la lista y haga clic en Exportar.
4. Ingrese un nombre y seleccione una ubicacin para guardar el certificado localmente.
5. Copie el certificado guardado en el equipo cliente.
Si el certificado proxy de HTTPS usado para la inspeccin de contenido requiere otro certificadoCA
intermediario o raz antes que sea de confianza para los clientes de la red, tambin debe exportar esos
certificados. Tambin puede copiar los certificados de la fuente original para distribucin.
Si import el certificado anteriormente en un cliente, puede exportar ese certificado directamente del
sistema operativo o tienda del certificado del explorador. En la mayora de los casos, eso exporta el
certificado en el formato x.509. Los usuarios de Windows y Mac OSX pueden hacer doble clic en un
certificado de formato x.509 para importarlo.
Importar los certificados en dispositivos clientes

Para usar certificados instalados en el Firebox con los dispositivos clientes, debe exportar los certificados
con el FSM y luego importarlos en cada cliente.
Para ms informaciones, vea Importar un certificado en un dispositivo cliente en la pgina 404.
Solucionar problemas con la inspeccin de contenidoHTTPS

El Firebox suele crear mensajes de registro cuando hay un problema con un certificado usado para la
inspeccin de contenido de HTTPS. Recomendamos que verifique esos mensajes de registro para ms
informacin.
Si las conexiones hacia los servidores web remotos se interrumpen a menudo, asegrese de que fueron
importados todos los certificados necesarios para confiar en el certificado CA usado para reencriptar el
contenido HTTPS, as como los certificados necesarios para confiar en el certificado del servidor web
original. Debe importar todos esos certificados en el Firebox y cada dispositivo cliente para que las
conexiones tengan xito.
Use certificados autenticados para el tnel VPN

Mobile con IPSec
Cuando se crea un tnel de Mobile VPN, la identidad de cada extremo debe ser verificada con una clave.
Esa clave puede ser o una frase de contrasea o una clave precompartida (PSK) conocida por ambos
extremos, o un certificado del Management Server. Su dispositivo WatchGuard debe ser un cliente
administrado para usar un certificado para la autenticacin de Mobile VPN. Debe usar el WatchGuard
System Manager para configurar su dispositivo WatchGuard como un cliente administrado.
Para obtener ms informacin acerca de la Ayuda del WatchGuard System Manager.
Para usar los certificados para un nuevo tnel de Mobile VPN con IPSec:
1. Seleccione VPN > Mobile VPN with IPSec.

3. Haga clic en la pestaa Tnel IPSec.
Gua del Usuario 399

Certificates
4. En la seccin Tnel IPSec, seleccione Usar un certificado.

5. En el cuadro de texto DireccinIP CA, ingrese la direccin IP de su Management Server.
6. En el cuadro de texto Tiempo de espera, ingrese o seleccione el tiempo en segundos que el cliente
de Mobile VPN with IPSec espera la respuesta de la autoridad de certificacin antes de detener las
tentativas de conexin. Recomendamos que se mantenga el valor predeterminado.
7. Realice la configuracin del grupo de Mobile VPN.
Para ms informaciones, vea Configurar el Firebox para Mobile VPN with IPSec en la pgina 483.
Para cambiar un tnel de Mobile VPN existente para que use certificados para autenticacin:

2. Seleccione grupo de Mobile VPN que desea cambiar. Haga clic en Editar.
4. En la seccin Tnel IPSec, seleccione Usar un certificado.
5. En el cuadro de texto DireccinIP CA, ingrese la direccin IP de su Management Server.
6. En el cuadro de texto Tiempo de espera, ingrese o seleccione el tiempo en segundos que el cliente
de Mobile VPN with IPSec espera la respuesta de la autoridad de certificacin antes de detener las
tentativas de conexin. Recomendamos que se mantenga el valor predeterminado.
Cuando usa certificados, debe otorgar tres archivos a cada usuario de Mobile VPN:
n El perfil del usuario final (.wgx)

n El certificado del cliente (.p12)
n El certificado raz de CA (.pem)
Copie todos los archivos en el mismo directorio. Cuando el usuario de Mobile VPN importa el archivo .wgx,
los certificados cliente y raz en los archivos cacert.pem y .p12 son cargados automticamente.
Params informacionesacerca de Mobile VPN con IPSec,vea Acercadel MobileVPN conIPSec enla pgina481.
Usar un certificado para autenticacin del tnel

BOVPN
Cuando se crea un tnel BOVPN, el protocolo de IPSec verifica la identidad de cada extremo o con una
clave precompartida (PSK) o un certificado importado y almacenado en el Firebox.
Para usar un certificado para autenticacin del tnel BOVPN:
1. Seleccione VPN >Branch Office VPN (BOVPN).
2. En la seccin Puertas de enlace, haga clic enAgregar para crear nueva puerta de enlace.
O seleccione una puerta de enlace existente y haga clic en Editar.
3. Seleccione Utilizar Firebox Certificate de IPSec.
4. Seleccione el certificado que desea usar.
5. Defina otros parmetros, segn sea necesario.
Si usa un certificado para autenticacin de BOVPN:
n Primero debe importar el certificado.

Para ms informaciones, vea Ver y administrar Certificados de Firebox en la pgina 393.

Certificates
n El Firebox System Manager debe reorganizar el certificado como un certificado de tipo IPSec.
n Asegrese de que los certificados para los dispositivos en cada gateway endpoint usen el mismo
algoritmo. Ambos extremos deben usar o DSS o RSA. El algoritmo para los certificados aparece en el
cuadro en la pgina Puerta de enlace.
n Si no tiene un certificado de terceros o autofirmado, debe usar una autoridad de certificacin en un
WatchGuard Management Server.
Verificar el certificado con el FSM

Aparece la pgina "Certificados".
2. En la columna Insertar, aparece la verificacin de IPSec o IPSec/Web.
Verificar los certificados de VPN con servidor de LDAP

Puede usar un servidor de LDPA para verificar automticamente certificados para la autenticacin de VPN
si tiene acceso al servidor. Debe tener datos de la cuenta de LDAP ofrecidos por un servicio de CA de
terceros para usar esta funcin.

Aparece la pgina Configuraciones globales de VPN.
2. Seleccione la casilla Activar servidor de LDAP para verificacin de certificado.

3. En el cuadro de texto Servidor, ingrese el nombre o direccin del servidor de LDAP.
4. (Opcional) Ingrese el nmero de Puerto.
Su Firebox verifica el CRL almacenado en el servidor de LDAP cuando se solicita la autenticacin del tnel.
Gua del Usuario 401

Certificates
Configure el certificado del servidor web para la

autenticacin de Firebox
Cuando los usuarios se conectan a su dispositivo WatchGuard con un explorador web, suelen ver un alerta
de seguridad. Ese alerta aparece porque el certificado predeterminado no es de confianza o porque el
certificado no coincide con la direccin IP o domain name usado para la autenticacin. Si tiene un Fireware
XTM con actualizacin Pro, puede usar un certificado autofirmado o de terceros que coincida con el IP o
domain name para autenticacin de usuarios. Debe importar ese certificado en cada dispositivo o
explorador cliente para evitar los alertas de seguridad.
Para configurar el certificado del servidor web para la autenticacin de Firebox:
1. Seleccione > Autenticacin Certificado de autenticacin web.

Certificates
2. Para usar el certificado predeterminado, seleccione Certificado predeterminado firmado por

Firebox y contine hasta el ltimo paso de ese procedimiento.
3. Para usar un certificado previamente importado, seleccione Certificado de terceros.
4. Seleccione un certificado en la lista desplegable al lado y siga hasta el ltimo paso de ese
procedimiento.
Ese certificado debe ser reconocido como un certificado Web.
Gua del Usuario 403

Certificates
5. Si desea crear un certificado personalizado, firmado por su Firebox, seleccione Certificado

personalizado firmado por su Firebox.
6. Ingrese el nombre comn de su organizacin. ste suele ser su domain name.
(Opcional) Tambin puede ingresar un nombre de organizacin y un nombre de departamento de

la organizacin para identificar la parte de su organizacin que cre el certificado.
7. Para crear ms nombres de sujetos o direccionesIP de interfaces para direccionesIP para las cuales
se usar el certificado, ingrese un Domain Name.
8. Haga clic en el botn Agregar al lado del cuadro de texto, para aadir cada entrada
9. Repita los pasos 7 a 8 para aadir ms domain names.
Importar un certificado en un dispositivo cliente

Al configurar su Firebox para usar un certificado de terceros o personalizado para autenticacin o
inspeccin de contenido HTTPS, debe importar ese certificado hacia cada cliente en su red para evitar los
alertas de seguridad. Eso tambin permite que servicios como Windows Update funcionen correctamente.
Nota Si normalmente usa el Fireware XTMWeb UI, debe instalar el Firebox System
Manager antes de exportar los certificados.
Importar un certificado en formatoPEM con el Windows XP

Este proceso permite que el Internet Explorer, Windows Update y otros programas o servicios usen la
tienda de certificados Windows en el Microsoft Windows XP para acceder al certificado.
1. En el men de Windows Inicio, seleccione Ejecutar.

2. Ingrese mmc y haga clic en Aceptar.
Aparece el Windows Management Console.
3. Seleccione Archivo >Agregar/Remover encaje.
5. Seleccione Certificados y despus haga clic en Agregar.
6. Seleccione Cuenta del equipo y haga clic en Siguiente.
7. Haga clic en Finalizar, Cerrar o Aceptar para aadir el mdulo de certificados.
8. En la ventana Raz de Consola, haga clic en el icono de ms (+) para expandir el rbol Certificados.
9. Expanda el objeto Autoridades de Certificacin de raz de confianza.
10. En el objeto Autoridades de certificacin de raz de confianza, haga clic con el botn derecho en
Certificados y seleccione Todas las tareas>Importar.
11. Haga clic en Siguiente. Haga clic en Examinar para encontrar y seleccionar el certificado CA de
Autoridad de Proxy de HTTPS previamente exportado. Haga clic en OK.
12. Haga clic en Siguiente y despus en Finalizar para concluir el asistente.
Importar un certificado en formatoPEM con el Windows Vista

Este proceso permite que el Internet Explorer, Windows Update y otros programas o servicios usen la
tienda de certificados Windows en el Microsoft Windows Vista para acceder al certificado.
1. En el men Inicio del Windows, ingrese certmgr.msc en el cuadro de texto Buscar y presione
Entrar.
Si se le solicita que autentique como administrador, inserte su contrasea o confirme su acceso.

Certificates
2. Seleccione el objeto Autoridades de certificacin de raz de confianza.

3. En el men Accin, seleccione Todas las tareas>Importar.
4. Haga clic en Siguiente. Haga clic en Examinar para encontrar y seleccionar el certificado CA de
Autoridad de Proxy de HTTPS previamente exportado. Haga clic en OK.
5. Haga clic en Siguiente y despus en Finalizar para concluir el asistente.
Importar un certificado en formatoPEM con Mozilla Firefox 3.x

Mozilla Firefox usa una tienda de certificados privados en vez de una tienda de certificados de sistema
operativo. Si los clientes en su red usan el explorador Firefox, debe importar el certificado en la tienda de
certificados de Firefox aunque ya haya importado el certificado en el sistema operativo del host.
Cuando tiene ms de un dispositivo Firebox que usa un certificado autofirmado para inspeccin de
contenido HTTPS, los clientes en su red deben importar una copia de cada Firebox Certificate. No obstante,
los certificados de Firebox autofirmados predeterminados usan el mismo nombre y el Mozilla Firefox slo
reconoce el primer certificado importado cuando ms de un certificado tiene el mismo nombre.
Recomendamos que remplace los certificados autofirmados por el certificado firmado por una CA
diferente, y luego distribuya esos certificados a cada cliente.
1. En el Firefox, seleccione Herramientas >Opciones.

3. Seleccione la pestaa Cifrado y despus haga clic en Ver certificados.
Aparece el cuadro de dilogo "Administrador de Certificados".
4. Seleccione la pestaa Autoridades y despus haga clic en Importar.
5. Examine para seleccionar el archivo de certificado y despus haga clic en Abrir.
6. En el cuadro de dilogo Descargando certificado, seleccione la casilla Confiar en esta CA para
identificar los sitios web. Haga clic en OK.
7. Haga doble clic en Aceptar para cerrar los cuadros de dilogo Administrador de Certificados y
Opciones .
8. Reinicie el Mozilla Firefox.
Importar un certificado en formatoPEM con el Mac OSX10.5

Ese proceso permite que el Safari u otros programas o servicios usen la tienda de certificados de Mac OSX
para acceder al certificado.
1. Abra la aplicacin Acceso a claves.

2. Seleccione la categora Certificados.
3. Haga clic en el icono de ms (+) en la barra de herramientas inferior y despus encuentre y
seleccione el certificado.
4. Seleccione la clave Sistema y haga clic en Abrir. Tambin puede seleccionar la clave "Sistema" y
arrastrar y soltar el archivo del certificado hacia la lista.
5. Haga clic con el botn derecho en el certificado y seleccione Obtener datos.
Aparece la ventana de datos del certificado.
6. Expanda la categora Confianza.
7. En la lista desplegable Cuando est usando este certificado, seleccione Confiar siempre.
8. Cerrar la ventana de datos del certificado.
9. Ingrese la contrasea del administrador para confirmar sus cambios.
Gua del Usuario 405

Certificates
Gua del Usuario 406

19 Redes Privada Virtual (VPN)
Introduccin a VPNs
Para que los datos se transfieren con seguridad entre dos redes por una red desprotegida, como es la
Internet, puede crear una red privada virtual (VPN). Tambin puede usar una VPN para establecer una
conexin segura entre un host y una red. Las redes y hosts en los extremos de una VPN pueden ser sedes
corporativas, sucursales o usuarios remotos. Las VPNs usan el cifrado para proteger datos y la autenticacin
para identificar el emisor y el destinatario de los datos. Si la informacin de autenticacin est correcta, los
datos son cifrados. Slo el emisor y el destinatario del mensaje pueden leer los datos enviados por la VPN.
Un tnel VPN es una ruta virtual entre dos redes privadas de VPN Nos referimos a esa ruta como tnel
porque se usa un protocolo de tnel, como IPSec, SSL o PPTP, para proteger el envo de paquetes de datos.
La puerta de enlace o PC que usa una VPN usa ese tnel para enviar paquetes de datos por la Internet
pblica hacia direcciones IP privadas detrs de una puerta de enlace de VPN.
Branch Office VPN (BOVPN)

Una VPN para Sucursales (BOVPN) es una conexin cifrada entre dos dispositivos exclusivos de hardware.
Es usada con ms frecuencia para asegurar la proteccin de comunicaciones entre redes en dos oficinas.
WatchGuard ofrece dos mtodos para configurar una BOVPN:
BOVPN manual
Puede usar el Policy Manager o el Fireware XTMWeb UI para configurar manualmente una BOVPN
entre dos dispositivos que soportan protocolos de VPN de IPSec.
Para ms informaciones, vea Acerca de tneles BOVPN manuales en la pgina 418.
BOVPN administrada
Puede usar el WatchGuard System Manager para configurar una BOVPN administrada en dos
dispositivos WatchGuard.
Gua del Usuario 407

Redes Privada Virtual (VPN)
Para obtener ms informacin, vea el Gua del usuario del WatchGuard System Manager o el
sistema de ayuda online.
Todas las BOVPNs de WatchGuard usan el conjunto de protocolo IPSec para proteger el tnel BOVPN.
Para obtener ms informacin acerca de las VPNs de IPSec, vea Acerca de la VPNs de IPSec en la pgina 408.
Mobile VPN
Una Mobile VPN es una conexin cifrada entre un dispositivo de hardware exclusivo y un PC de escritorio o
laptop. Una Mobile VPN permite que sus empleados trabajen a distancia y viajen y se conecten con
seguridad a la red corporativa. WatchGuard soporta tres tipos de Mobile VPNs:
n Mobile VPN with IPSec

n Mobile VPN with PPTP
n Mobile VPN with SSL
Para comparar las soluciones de Mobile VPN, vea Seleccione una Mobile VPN en la pgina 413.
Acerca de la VPNs de IPSec

La VPN para Sucursales de WatchGuard y el Mobile VPN with IPSec usan el conjunto de protocolo IPSec
para establecer VPNs entre dispositivos o usuarios mviles. Antes de configurar una VPN de IPSec,
principalmente si configura un tnel BOVPN manual, es til comprender cmo las VPNs de IPSec
funcionan.
Para ms informacin, vea:
n Acerca de los algoritmos y protocolos de IPSec

n Acerca de las negociaciones VPN de IPSec
n Configuraciones de Fase 1 y Fase 2
Acerca de los algoritmos y protocolos de IPSec

IPSec es un conjunto de servicios basado en criptografa y protocolos de seguridad que protegen la
comunicacin entre dispositivos que envan trfico por una red no confiable. Como el IPSec est construido
a partir de un conjunto de protocolos y algoritmos conocidos, se puede crear una VPN de IPSec entre su
dispositivo WatchGuard y muchos otros dispositivos que soportan esos protocolos estndares. Los
protocolos y algoritmos usados por IPSec son abordados en las siguientes secciones.
Algoritmos de cifrado
Los algoritmos de cifrado protegen los datos para que no puedan ser ledos por terceros mientras estn en
trnsito. El Fireware XTM soporta tres algoritmos de cifrado:
n DES (Estndar de Cifrado de Datos) Usa una clave de cifrado con extensin de 56 bits. Ese es el
ms dbil de los tres algoritmos.
n 3DES(Triple-DES) Un algoritmode cifradobasado enDES que usa DESparacifrar losdatos tresveces.
n AES (Estndar de Cifrado Avanzado) El algoritmo de cifrado ms fuerte que existe. Fireware XTM
puede usar claves de cifrado AES para esas extensiones: 128, 192, o 256 bits.

Algoritmos de autenticacin
Los algoritmos de autenticacin verifican la integridad y autenticidad de los datos de un mensaje. El
Fireware XTM soporta dos algoritmos de autenticacin:
n HMAC-SHA1 (Cdigo de autenticacin de mensaje hash Secure Hash Algorithm 1) SHA-1

produce un resumen de mensaje de 160 bits (20 bytes). Aunque sea ms lento que el MD5, ese
archivo ms grande es ms fuerte contra los ataques de fuerza bruta.
n HMAC-MD5 (Cdigo de autenticacin de mensaje hash Algoritmo 5 de resumen de mensaje) El
MD5 produce un resumen de mensaje de 128 bits (16 bytes), que lo hace ms rpido que SHA-1.
Protocolo IKE
Definido en RFC2409, IKE(siglas en ingls para intercambio de clave de Internet) es un protocolo usado
para configurar las asociaciones de seguridad para IPSec. Esas asociaciones de seguridad establecen
secretos de sesin compartidos a partir de los cuales se derivan las claves para el cifrado de datos en tnel.
El IKE tambin es usado para autenticar los dos puntos de IPSec.
Algoritmo de intercambio de clave Diffie-Hellman

El algoritmo de intercambio de clave Diffie-Hellman (DH) es un mtodo usado para que una clave de cifrado
compartida est disponible a dos entidades sin el intercambio de la clave. La clave de cifrado para los dos
dispositivos es usada como una clave simtrica para encriptar datos. Solamente las dos partes involucradas
en el intercambio de clave DH pueden deducir la clave compartida, y la clave nunca es enviada por cable.
Un grupo de clave Diffie-Hellman es un grupo de nmeros enteros usados para el intercambio de clave
Diffie-Hellman. Fireware XTM puede usar grupos DH 1, 2 y 5. Los nmeros ms altos del grupo ofrecen
seguridad ms fuerte.
Para ms informaciones, vea Acerca de los grupos Diffie-Hellman en la pgina 429.
AH
Definido en RFC 2402, el AH (Encabezado de autenticacin) es un protocolo que puede usar en las
negociaciones de VPN de Fase 2 de BOVPN manual. Para ofrecer seguridad, el AH agrega informacin de
autenticacin al datagrama de IP. La mayora de los tneles VPN no usan AH porque no ofrece cifrado.
ESP
Definido en RFC 2406, el ESP (Carga de seguridad de encapsulacin) ofrece autenticacin y cifrado de datos.
El ESP toma la carga original de un paquete de datos y la reemplaza por datos cifrados. Aade verificaciones
de integridad para asegurar que los datos no sean alterados en trnsito y que vienen de una fuente
adecuada. Recomendamos que use el ESP en negociaciones de Pase 2 de BOVPN porque el ESP es ms
seguro que el AH. El Mobile VPN with IPSec siempre usa ESP.
Gua del Usuario 409

Acerca de las negociaciones VPN de IPSec

Los dispositivos en ambos extremos de un tnel VPN de IPSec son puntos de IPSec. Cuando dos puntos de
IPSec quieren establecer una VPN entre s, ellos intercambian una serie de mensajes acerca de cifrado y
autenticacin, e intentan aceptar diversos parmetros diferentes. Ese proceso es conocido como
negociaciones de VPN. Un dispositivo en la secuencia de negociacin es el iniciador mientras que el otro es
el respondedor.
Las negociaciones de VPN ocurren en dos fases distintas: Fase 1 y Fase 2.
Configuraciones
El principal propsito de la Fase 1 es configurar un canal cifrado seguro a travs del cual los dos
puntos pueden negociar la Fase 2. Cuando la Fase 1 termina con xito, los puntos pasan rpidamente
hacia las negociaciones de Fase 2. Si la Fase 1 falla, los dispositivos no pueden empezar la Fase 2.
Fase 2
El propsito de las negociaciones de Fase 2 es que los dos puntos concuerden en un conjunto de
parmetros que definen qu trfico puede pasar por la VPN y cmo encriptar y autenticar el trfico.
Ese acuerdo se llama Asociacin de Seguridad.
Las configuraciones de Fase 1 y Fase 2 deben coincidir en los dispositivos en ambos extremos del tnel.
Negociaciones de Fase 1
En las negociaciones de Fase 1, los dos puntos intercambian credenciales. Los dispositivos se identifican y
negocian para encontrar un conjunto comn de configuraciones de Fase 1 que usar. Cuando se concluyen
las negociaciones de Fase 1, los dos puntos tienen una Asociacin de Seguridad (SA) de Fase 1. Esa SA es
vlida slo por un perodo de tiempo determinado. Despus que la SA de Fase 1 caduca, si dos los puntos
deben concluir las negociaciones de Fase 2 nuevamente, tambin deben negociar la Fase 1 nuevamente.
Las negociaciones de Fase 1 incluyen estos pasos:
1. Los dispositivos intercambian credenciales.
Las credenciales pueden ser un certificado o una clave precompartida. Ambos extremos de puerta
de enlace deben usar el mismo mtodo de credenciales. Si un punto usa una clave precompartida,
el otro punto tambin debe usar una y las claves deben coincidir. Si un punto usa un certificado, el
otro tambin debe usar un certificado.
2. Los dispositivos se identifican uno al otro.
Cada dispositivo ofrece un identificador de Fase 1, que puede ser una direccinIP, domain name,
informacin de dominio o nombre de X500. La configuracin de VPN en cada punto contiene un
identificador de Fase 1 del dispositivo local y del remoto, y las configuraciones deben coincidir.
3. Los puntos deciden si usar el Modo Principal o Modo Agresivo.

Las negociaciones de Fase 1 pueden usar uno de los dos modos: Modo Principal o Modo Agresivo. El
dispositivo que inicia las negociaciones IKE (el iniciador) enva una propuesta de Modo Principal o
una propuesta de Modo Agresivo. El respondedor puede rechazar la propuesta caso no est
configurado para usar ese modo. Las comunicaciones de Modo Agresivo ocurren con menos
intercambios de paquetes. El Modo Agresivo es menos seguro, pero ms rpido que el Modo
Principal.
4. Los puntos concuerdan respecto a los parmetros de Fase 1.
n Si usar NAT Traversal

n Si enviar mensajes de IKEkeep-alive (soportado entre dispositivos WatchGuard solamente)
n Si usar la Dead Peer Detection (RFC 3706)
5. Los puntos concuerdan respecto a las configuraciones de Transformacin de Fase 1.
Las configuraciones de transformacin incluyen un conjunto de parmetros de cifrado y

autenticacin, y el perodo mximo de tiempo para la SA de Fase 1. Las configuraciones en la
transformacin de Fase 1 deben coincidir exactamente con la transformacin de Fase 1 en el punto
IKE, sino las negociaciones de IKE fallan.
Los temes que puede definir en la transformacin son:
n Autenticacin El tipo de autenticacin (SHA1 o MD5).
n Cifrado El tipo de algoritmo de cifrado (DES, 3DES o AES).
n Duracin de SA El perodo de tiempo hasta que se caduque la Asociacin de Seguridad (SA)
de Fase 1.
n Grupo de clave El grupo de clave Diffie-Hellman.
Negociaciones de Fase 2
Despus que dos puntos de IPSec concluyen las negociaciones de Fase 1, empiezan las negociaciones de
Fase 2. Las negociaciones de Fase 2 establecen la SA de Fase 2 (a veces denominada SA de IPSec). La SA de
IPSec es un conjunto de especificaciones de trfico que informan al dispositivo qu trfico enviar por la
VPN y cmo cifrarlo y autenticarlo. En las negociaciones de Fase 2, los dos puntos concuerdan en un
conjunto de parmetros de comunicacin. Cuando configura el tnel BOVPN en el Policy Manager o en el
Fireware XTMWeb UI, especifica los parmetros de Fase 2.
Como los puntos usan la SA de Fase 1 para proteger las negociaciones de Fase 2, y define las
configuraciones de SA de Fase 1 en las configuraciones de puerta de enlace de BOVPN, debe especificar la
puerta de enlace que usar para cada tnel.
Las negociaciones de Fase 2 incluyen estos pasos:
1. Los puntos usan la SA de Fase 1 para proteger las negociaciones de Fase 2.
Las negociaciones de Fase 2 slo pueden empezar despus que se haya establecido la SA de Fase 1.
2. Los pares intercambian identificadores de Fase 2 (IDs).
Los IDs de Fase 2 siempre son enviados como un par en una propuesta de Fase 2: uno indica cules
direcciones IP detrs del dispositivo local pueden enviar trfico por la VPN y el otro indica cules
direcciones IP detrs del dispositivo remoto pueden enviar trfico por la VPN. Eso tambin se
conoce como una ruta de tnel. Puede especificar los IDs de Fase 2 para el punto local y remoto
como una direccinIP de host, una direccinIP de red o un rango de direccionesIP.
Gua del Usuario 411

3. Los puntos concuerdan respecto al uso del Perfect Forward Secrecy (PFS).
El PFS especifica cmo se derivan las claves de Fase 2. Cuando se selecciona el PFS, ambos paresIKE
deben usar el PFS, sino la regeneracin de claves de Fase 2 falla. El PFS garantiza que si una clave de
cifrado usada para proteger la transmisin de datos est comprometida, un atacante puede acceder
slo a los datos protegidos por aquella clave, no por claves siguientes. Si los puntos concuerdan con
usar el PFS, deben tambin concordar con el grupo de claves Diffie-Hellman que usar para el PFS.
4. Los puntos concuerdan con una propuesta de Fase 2.
La propuesta de Fase 2 incluye las direcciones IP que pueden enviar trfico por el tnel, y un grupo
de parmetros de cifrado y autenticacin. El Fireware XTM enva esos parmetros en una propuesta
de Fase 2. La propuesta incluye el algoritmo que usar para autenticar datos, para cifrar datos y con
qu frecuencia generar nuevas claves de cifrado de Fase 2.
Los tems que puede definir en una propuesta de Fase 2 incluyen:
Tipo
Para un BOVPN manual, puede seleccionar el tipo de protocolo que usar: Encabezado de
autenticacin (AH) o Carga de seguridad de encapsulacin (ESP). El ESP ofrece autenticacin y
cifrado de los datos. El AH ofrece autenticacin sin el cifrado. Recomendamos que seleccione
ESP. La BOVPN administrada y el Mobile VPN with IPSec siempre usan ESP.
Autenticacin
La autenticacin asegura que la informacin recibida es exactamente la lista que la informacin

enviada. Puede usar el SHA o MD5 como algoritmo que los puntos usan para autenticar
mensajesIKE uno del otro. SHA1 es el ms seguro.
Cifrado
El cifrado mantiene los datos confidenciales. Puede seleccionar el DES, 3DES o AES. El AES es el
ms seguro.
Forzar Caducidad de Clave
Para asegurarse de que las claves de cifrado de Fase 2 cambian peridicamente, siempre active
la caducidad de clave. Cuanto ms tiempo una clave de cifrado de Fase 2 est en uso, ms datos
un atacante puede recoger para usar en un ataque contra la clave.
Configuraciones de Fase 1 y Fase 2

Se configura la Fase 1 y Fase 2 para cada VPN de IPSec configurada.
Branch Office VPN (BOVPN)

Para una Branch Office VPN (BOVPN) (BOVPN), se configura la Fase 1 cuando define una puerta de enlace
de Sucursal y configura la Fase 2 cuando define un tnel de Sucursal.
Para ms informacin acerca del la configuracin de Fase 1 y Fase 2 de BOVPN, vea:
n Definir puertas de enlace en la pgina 421

n Definir un tnel en la pgina 431

Mobile VPN with IPSec

En el caso del Mobile VPN con IPSec, se configura la Fase 1 y Fase 2 cuando agrega o edita una
configuracin de Mobile VPN con IPSec.
Para ms informacin, vea:
n Configurar el Firebox para Mobile VPN with IPSec

n Modificar un perfil de grupo existente de Mobile VPN con IPSec
Usar un certificado para autenticacin de tnel VPN de IPSec

Cuando se crea un tnel IPSec, el protocolo de IPSec verifica la identidad de cada extremo o con una clave
precompartida (PSK) o un certificado importado y almacenado en el Firebox. Se configura el mtodo de
autenticacin de tnel en la configuracin de Fase 1 de VPN.
Para ms informacin acerca de cmo usar un certificado para autenticacin de tnel, vea:
n Usar un certificado para autenticacin del tnel BOVPN

n Use certificados autenticados para el tnel VPN Mobile con IPSec
Acerca de Mobile VPNs

Una Mobile VPN permite que sus empleados trabajen a distancia y viajen y se conecten con seguridad a la
red corporativa. El Fireware XTM soporta tres tipos de redes privadas virtuales de usuario remoto: Mobile
VPN with IPSec, Mobile VPN with PPTP y Mobile VPN with SSL.
Cuando una Mobile VPN, primero configura su Firebox y despus configura los equipos de clientes
remotos. El Policy Manager o el Fireware XTMWeb UI son usados para configurar cada usuario o grupo de
usuarios. Para la Mobile VPN with IPSec y Mobile VPN with SSL, se usa el Policy Manager o la interfaz de
usuario web para crear un archivo de configuracin de perfil de usuario final que incluya todas las
configuraciones necesarias para conectarse al Firebox. Tambin puede configurar sus polticas para permitir
o negar trfico desde clientes Mobile VPN. Los usuarios de Mobile VPN se autentican en la base de datos de
usuario de Firebox o en un servidor de autenticacin externo.
Seleccione una Mobile VPN

El Fireware XTM soporta tres tipos de Mobile VPN. Cada tipo usa diferentes puertos, protocolos y
algoritmos de cifrado.
Mobile VPN with PPTP
n PPTP(Protocolo de tnel punto a punto) Protege el tnel entre dos extremos

n Puerto 1723 TCP Establece el tnel
n Protocolo 47 IP Cifra los datos
n Algoritmos de cifrado 40 bits 128 bits
n IPSec (Seguridad de protocolo de Internet) Protege el tnel entre dos extremos

n Puerto500 UDP (IKE) Establece el tnel
n Puerto4500 UDP (NAT Traversal) Usado si el Firebox est configurado para NAT
Gua del Usuario 413

n Protocolo 50 IP (ESP) o Protocolo51 IP (AH) Cifra los datos

n Algoritmos de cifrado DES, 3DES o AES (128, 192 256 bits)
Mobile VPN with SSL
n SSL (Secure Sockets Layer) Protege el tnel entre dos extremos

n Puerto 443 TCP o Puerto 443 UDP Establece el tnel y cifra los datos
n Algoritmos de cifrado Blowfish, DES, 3DES o AES (128, 192 256 bits)
Nota En el caso del Mobile VPN con SSL, puede elegir un puerto y protocolo diferentes.
Para ms informaciones, vea Elegir un puerto y protocolo para Mobile VPN with
SSL en la pgina 550
El tipo de Mobile VPN que selecciona depende mucho de su infraestructura existente y sus preferencias de
poltica de red. El Firebox puede administrar tres tipos de Mobile VPN simultneamente. Un equipo cliente
puede ser configurado para usar uno o ms mtodos. Algunos de los aspectos que considerar cuando
seleccione qu tipo de Mobile VPN usar estn descritos en las siguientes secciones.
Licencias y capacidad del tnel VPN

Cuando selecciona un tipo de tnel, asegrese de considerar el nmero de tneles que su dispositivo
soporta y si puede adquirir una actualizacin para aumentar el nmero de tneles.
Mobile VPN Mximo de tneles VPN
Mobile VPN with

50 tneles
PPTP
n Los tneles mximos y bsicos vara segn el modelo del

Mobile VPN with dispositivo WatchGuard.
IPSec n Es necesaria la compra de licencia para activar el nmero mximo
de tneles.
n Los tneles mximos y bsicos varan segn el modelo del

Mobile VPN with n La actualizacin Pro para el Fireware XTMOS es necesaria para el
SSL mximo de tneles VPN de SSL.
n Para soportar ms de un tnel VPN de SSL debe tener una
actualizacin Pro.
Para el nmero mximo y bsico de tneles soportados por Mobile VPN with IPSec y Mobile VPN with SSL,
vea las especificaciones detalladas para su modelo de dispositivo WatchGuard.
Compatibilidad del servidor de autenticacin

Cuando selecciona una solucin de Mobile VPN, asegrese de elegir una solucin que soporte el tipo de
servidor de autenticacin utilizado.

Vasco
Mobile RSA Active
Firebox RADIUS Vasco/ RADIUS Challenge LDAP
VPN SecurID Directory
Response
Mobile
VPN with S S No No No No No
PPTP
Mobile
VPN with S S S N/A S S S
IPSec
Mobile
VPN with S S S N/A S S S
SSL
Pasos de configuracin del cliente y compatibilidad del sistema

operativo
Los pasos de configuracin que el cliente debe seguir son diferentes para cada solucin de Mobile VPN.
Cada solucin de VPN tambin es compatible con sistemas operativos diferentes.
Mobile VPN with PPTP
No instale el software cliente de VPN de WatchGuard. Debe configurar manualmente la

configuracin de red en cada equipo cliente para establecer una conexinde PPTP.
Compatible con: Windows XP y Windows Vista.
Debe instalar el cliente Mobile VPN con IPSec de WatchGuard y manualmente importar el perfil del
usuario final. El cliente Mobile VPN con IPSec requiere ms pasos para ser configurado que el
cliente Mobile VPN con SSL.
Compatible con: Windows XP SP2 (32 bits y 64 bits), Windows Vista (32 bits y 64 bits) y Windows 7
(32 bits y 64 bits).
Mobile VPN with SSL
Debe instalar el cliente Mobile VPN con SSL de WatchGuard y el archivo de configuracin.
Compatible con: Windows XP SP2 (32 bits solamente), Windows Vista (32 bits solamente), Windows
7 (32 bits y 64 bits), Mac OSX10.6 Snow Leopard y Mac OSX 10.5 Leopard
Opciones de acceso a Internet para usuarios de Mobile VPN

Para los tres tipos de Mobile VPN, tiene dos opciones de acceso a Internet para sus usuarios de Mobile VPN:
Gua del Usuario 415

Forzar todo el trfico de cliente a travs del tnel (VPN de ruta predeterminada)
La opcin ms segura es requerir que todo el trfico de Internet del usuario remoto sea enrutado a
travs del tnel VPN hacia el dispositivo WatchGuard. Despus, el trfico es enviado de vuelta a
Internet. Con esa configuracin (conocida como VPN de ruta predeterminada), el dispositivo
WatchGuard puede examinar todo el trfico y ofrecer mayor seguridad, aunque se use ms
potencia de procesamiento y ancho de banda.
Al usar una VPN de ruta predeterminada con Mobile VPN para IPSec o Mobile VPNpara PPTP, una
poltica de NAT dinmica debe incluir el trfico saliente de la red remota. Eso permite que los
usuarios remotos naveguen en Internet cuando envan todo el trfico al dispositivo WatchGuard.
Permitir acceso directo a Internet (dividir VPN de tnel)
Otra opcin de configuracin es activar el tnel dividido. Con esa opcin, los usuarios pueden
navegar en Internet, pero el trfico de Internet no es enviado a travs del tnel VPN. El tnel
dividido mejora el desempeo de red, pero disminuye la seguridad debido a que las polticas
creadas no son aplicadas al trfico de Internet. Si usa el tnel dividido, recomendamos que cada
equipo cliente tenga un firewall de software.
Para ms informacin especfica para cada tipo de Mobile VPN, vea:
n Opciones de acceso a Internet a travs de un tnel de Mobile VPN con IPSec

n Opciones de acceso a Internet a travs de un tnel de Mobile VPN con PPTP
n Opciones de acceso a Internet a travs de un tnel de Mobile VPN con SSL
Descripcin de configuracin de Mobile VPN

Cuando configura una Mobile VPN, primero debe configurar el dispositivo WatchGuard y despus los
equipos clientes. Independientemente del tipo de Mobile VPN elegido, debe concluir los mismos cinco
pasos de configuracin. Los detalles para cada paso son diferentes segn el tipo de VPN.
1. Activar la Mobile VPN en el Policy Manager.

2. Definir las configuraciones de VPN para el nuevo tnel.
3. Seleccionar y configurar el mtodo de autenticacin para los usuarios de Mobile VPN.
4. Definir polticas y recursos.
5. Configurar los equipos clientes.
n En el caso del Mobile VPNcon IPSec y Mobile VPN con SSL, instale el software cliente y el
archivo de configuracin.
n Para el Mobile VPN con PPTP, configure manualmente la conexin de PPTP en la configuracin
de red del equipo cliente.
Para ms informacin y pasos detallados para configurar cada tipo de Mobile VPN, vea:
n Acerca del Mobile VPN con IPSec

n Acerca del Mobile VPN con PPTP
n Acerca del Mobile VPN con SSL

20 Tneles de BOVPN manuales
Lo que necesita para crear un BOVPN

Antes de configurar una red Branch Office VPN (BOVPN) en su dispositivo WatchGuard, lea esos requisitos:
n Debe tener dos dispositivos WatchGuard o un dispositivo WatchGuard y un segundo dispositivo que
usa estndares IPSec. Debe activar la opcin VPN en otro dispositivo si todava no est activa.
n Debe tener una conexin de Internet.
n El ISP para cada dispositivo de VPN debe permitir el trfico IPSec en sus redes.
Algunos ISPs no permiten la creacin de tneles VPN en sus redes excepto si actualiza su servicio de
Internet para un nivel que soporte tneles VPN. Hable con un representante de cada ISP para
asegurarse de que esos puertos y protocolos estn permitidos:
n Puerto UDP 500 (Intercambio de clave de red o IKE)
n Puerto UDP 4500 (NAT Traversal)
n Protocolo IP 50 (Carga de seguridad de encapsulacin o ESP)
n Si en el otro extremo del tnel VPN hay un dispositivo WatchGuard y cada dispositivo es
administrado, puede usar la opcin Managed VPN. La Managed VPN es ms fcil de configurar que
la "Manual VPN". Para usar esa opcin, debe obtener informacin junto al administrador del
dispositivo WatchGuard en el otro extremo del tnel VPN.
n Debe saber si la direccin IP asignada a la interfaz externa de su dispositivo WatchGuard es esttica o
dinmica.
Para obtener ms informacin acerca de las direcciones IP, vea Acerca de las Direcciones IP en la
pgina 3.
n Su modelo de dispositivo WatchGuard informa el nmero mximo de tneles VPN que puede crear.
Si su modelo de Firebox puede ser actualizado, puede adquirir la actualizacin del modelo que
aumente el nmero mximo de tneles VPN soportados.
n Si se conecta a dos redes Microsoft Windows NT, ambas deben estar en el mismo dominio de
Microsoft Windows o deben ser dominios de confianza. Esa es una cuestin de Microsoft
Networking, no una limitacin de Firebox.
Gua del Usuario 417

Tneles de BOVPN manuales
n Si desea usar los servidores DNS y WINS de la red en el otro extremo del tnel VPN, debe conocer
las direccin IP de esos servidores.
El Firebox puede dar direcciones IP de WINS y DNS a equipos en su red de confianza si stos
obtienen sus direcciones IP de Firebox con DHCP.
n Si desea dar a los equipos las direcciones IP de los servidores WINS y DNS en el otro extremo de la
VPN, puede ingresarlas en las configuraciones de DHCP en la configuracin de la red de confianza.
Para ms informacin acerca de cmo configurar el Firebox para distribuir las direccin IP con
DHCP, vea Configurar el DHCP en modo de enrutamiento mixto en la pgina 86.
n Debe conocer la direccin de red de las redes privadas (de confianza) detrs de su Firebox y de la
red detrs del otro dispositivo de VPN, as como de sus mscaras de subred.
Nota Las direcciones IP privadas de los equipos detrs de su Firebox no pueden ser las
mismas que las direcciones IP de los equipos en el otro extremo del tnel VPN. Si su
red de confianza usa las mismas direcciones IP que la oficina hacia la cual se
establecer un tnel VPN, entonces su red o la otra red debe cambiar los ajustes de
direccin IP para evitar conflictos de direccin IP.
Acerca de tneles BOVPN manuales

Una VPN (Red Privada Virtual) establece conexiones seguras entre equipos y redes en diferentes
ubicaciones. Cada conexin es conocida como un tnel. Cuando se crea un tnel VPN, las dos extremidades
del tnel autentican una a la otra. Los datos en el tnel son cifrados. Slo el remitente y el destinatario del
trfico pueden leerlos.
Las Redes Privadas Virtuales de Sucursal (BOVPN, en las siglas en ingls) permiten a las organizaciones
ofrecer conectividad segura y cifrada entre oficinas separadas geogrficamente. Las redes y hosts en un
tnel BOVPN pueden ser sedes corporativas, sucursales, usuarios remotos o trabajadores a distancia. Esas
comunicaciones suelen contener tipos de datos crticos intercambiados dentro de un firewall corporativo.
En ese panorama, una BOVPN ofrece conexiones confidenciales entre esas oficinas. Eso optimiza la
comunicacin, reduce el costo de lneas exclusivas y mantiene la seguridad en cada extremidad.
Manual Los Tneles BOVPN son creados con el Fireware XTMWeb UI, ofreciendo diversas opciones
adicionales de tneles. Otro tipo de tnel es un tnel BOVPN administrado, que es un tnel BOVPN que se
crea en el WatchGuard System Manager con el procedimiento de arrastrar y soltar, un asistente y el uso de
plantillas. Para ms informacin acerca de ese tipo de tnel, vea el Gua del Usuario o el sistema de ayuda
online de WatchGuard System Manager.
Lo que necesita para crear un VPN

Adems de los requisitos de VPN, debe tener esa informacin para crear un tnel Manual VPN:
n Debe saber si la direccin IP asignada al otro dispositivo VPN es esttica o dinmica. Si el otro
dispositivo VPN tiene una direccinIP dinmica, su Firebox debe encontrar el otro dispositivo por el
domain name y el otro dispositivo debe usar DNS Dinmico.
n Se debe conocer la clave compartida (frase de contrasea) del tnel. La misma clave compartida
debe ser usada por cada dispositivo.
n Se debe conocer el mtodo de cifrado usado en el tnel (D 3DESES, 3DES, AES 128 bits, AES 192 bits
o AES 256 bits). Los dos dispositivos de VPN deben usar el mismo mtodo de cifrado.

n Se debe conocer el mtodo de autenticacin de cada extremo del tnel (MD5 o SHA-1). Los dos
dispositivos de VPN deben usar el mismo mtodo de autenticacin.
Para ms informaciones, vea Lo que necesita para crear un BOVPN en la pgina 417.
Recomendamos que tome nota de su configuracin de Firebox y la informacin relacionada para el otro
dispositivo. Vea Muestra cuadro de informacin de direccin de VPN en la pgina 420 para registrar esa
informacin.
Cmo crear un tnel BOVPN manual

El procedimiento bsico para crear un tnel manual requiere estos pasos:
1. Definir puertasde enlacepuntos de conexin tantoen laextremidad localcomo enla remotadel tnel.
2. Establezca tneles entre los extremos de puertas de enlace configure rutas para el tnel,
especifique cmo los dispositivos controlan la seguridad y cree una poltica para el tnel.
Algunas otras opciones pueden ser usadas para los tnelesBOVPN estn descritas en las secciones abajo.
Tneles de una direccin

Configurar NAT dinmica saliente a travs de un tnel BOVPN si desea mantener el tnel VPN abierto slo
en una direccin. Eso puede ser til cuando establece un tnel para un sitio remoto donde todo el trfico
de VPN viene desde una direccin IP pblica.
Failover de VPN
Los tneles VPN automticamente hacen la conmutacin por error para la interfaz WAN de resguardo
durante la conmutacin por error de WAN. Puede configurar tneles BOVPN para hacer conmutacin por
error a un extremo de punto de resguardo si el extremo principal deja de estar disponible. Para hacer eso,
debe definir al menos un extremo de resguardo, tal como se describe en Configurar Failover de VPN en la
pgina 456.
Configuraciones de VPN Global

Las configuraciones de VPN Global en su Firebox se aplican a todos los tneles BOVPN, tneles
administrados y tneles de Mobile VPN. Puede usar esas configuraciones para:
n Activar puerto de transferencia IPSec

n Limpiar o mantener las configuraciones de paquetes con conjunto de bits de Tipo de Servicio (TOS)
n Usar un servidor de LDAP para verificar los certificados
n Hacer que el Firebox enve una notificacin cuando un tnelBOVPN est inactivo (slo tneles
BOVPN).
Para cambiar esas configuraciones, en el Fireware XTMWeb UI, seleccione VPN >Configuraciones
Globales. Para ms informaciones acerca de esas configuraciones, vea Acerca de las configuraciones de
VPN Global en la pgina 438.
Gua del Usuario 419

Estado del tnelBOVPN

Para ver el estado actual de los tnelesBOVPN. En el Fireware XTMWeb UI, seleccione Estado del sistema
>Estadsticas de VPN. Para ms informaciones, vea Estadsticas de VPN en la pgina 382.
Regenerar clave de tnelesBOVPN

Puede usar el Fireware Web UI para generar nuevas claves inmediatamente para los tneles BOVPN en vez
de esperar que caduquen. Para ms informaciones, vea Regenerar clave de tneles BOVPN en la pgina 458.
Muestra cuadro de informacin de direccin de

VPN
Asignado
Elemento Descripcin
por
La direccin IP que identifica el dispositivo compatible con

IPSec en la Internet. ISP ISP
Direccin IP externa Ejemplo: ISP ISP

Sitio A: 207.168.55.2
Sitio B: 68.130.44.15
Direccin usada para identificar una red local. Esas son las
direcciones IP de los equipos en cada extremo que estn
autorizados a enviar trfico a travs del tnel VPN.
Recomendamos que use una direccin de uno de los
rangos reservados:
10.0.0.0/8255.0.0.0
172.16.0.0/12255.240.0.0
Direccin de red 192.168.0.0/16255.255.0.0

Usted
local Los nmeros despus de las barras diagonales indican las
mscaras de subred. /24 significa que la Subnet Mask para
la red de confianza es 255.255.255.0. Para ms
informacin acerca de la notacin diagonal, vea Acerca de
las Notacin diagonal en la pgina 3.
Ejemplo:
Sitio A: 192.168.111.0/24
Sitio B: 192.168.222.0/24

Asignado
Elemento Descripcin
por
La clave compartida es una frase de contrasea usada por

dos dispositivos compatibles con IPSec para cifrar y
descifrar los datos que pasan por el tnel VPN. Los dos
dispositivos usan la misma frase de contrasea. Si los
dispositivos no tienen la misma frase de contrasea, no
pueden encriptar o descifrar los datos correctamente.
Use una frase de contrasea que contenga nmeros,

Clave compartida Usted
smbolos, letras en minsculas y maysculas para mejor
seguridad. Por ejemplo, "Gu4c4mo!3" es mejor que
"guacamole".
Ejemplo:
Sitio A: OurSharedSecret
Sitio B: OurSharedSecret
DES usa cifrado de 56 bits. 3DES usa cifrado de 168 bits. El

cifrado AES est disponible en 128, 192 y 256 bits. AES de
256 bits es el cifrado ms seguro. Los dos dispositivos
Mtodo de cifrado deben usar el mismo mtodo de cifrado. Usted
Ejemplo:
Sitio A: 3DES; Sitio B: 3DES
Los dos dispositivos deben usar el mismo mtodo de

autenticacin.
Autenticacin Ejemplo: Usted

Sitio A: MD5 (o SHA-1)
Sitio B: MD5 (o SHA-1)
Definir puertas de enlace

Un puerta de enlace es un punto de conexin para uno o ms tneles. Para crear un tnel, debe configurar
puertas de enlace tanto en el dispositivo extremo local como en el remoto. Para configurar esas puertas de
enlace, debe especificar:
n Mtodo de credencial - claves precompartidas o un Firebox Certificate IPSec. Para ms informacin

acerca de cmo usar certificados para autenticacinBOVPN, vea Usar un certificado para
autenticacin del tnel BOVPN en la pgina 400.
n Ubicacin de los extremos de la puerta de enlace remota y local, sea por direccin IP o por
informacin de dominio.
Gua del Usuario 421

n Las configuraciones la Fase 1 de la negociacin de Intercambio de Claves de Internet (IKE). Esa fase
define la asociacin de seguridad o protocolos y configuraciones que los extremos de la puerta de
enlace usarn para comunicarse, para proteger datos que son transmitidos en la negociacin.
1. En el Fireware XTMWeb UI, seleccione VPN> VPN de Sucursal.
Aparece la pgina de configuracin de VPN de Sucursal, con la lista de Puertas de Enlace en el topo.
2. Para agregar una puerta de enlace, haga clic en Agregar al lado de la lista Puertas de enlace.
Aparece la pgina de configuraciones Puerta de enlace.

3. En el cuadro de texto Nombre de la puerta de enlace, ingrese un nombre para identificar la puerta
de enlace para este Firebox.
4. En lapgina Puerta de enlace, seleccione o Usar clave precompartida o Usar Firebox Certificate de
IPSec para identificar el procedimiento de autenticacin utilizado por ese tnel.
Si seleccion Usar clave precompartida
ingrese o pegue la clave compartida. Debe usar la misma clave compartida en el dispositivo
remoto. Esa clave compartida debe usar slo caracteres ASCII estndares.
Si seleccion Usar Firebox Certificate de IPSec
La tabla abajo del botn de radio muestra los certificados actuales en el Firebox. Seleccione el
certificado que usar para la puerta de enlace.
Para ms informaciones, vea Usar un certificado para autenticacin del tnel BOVPN en la pgina 400.
Ahora puede Definir extremos de puerta de enlace.
Gua del Usuario 423

Definir extremos de puerta de enlace

Los extremos de puerta de enlace son puertas de enlace locales y remotas conectadas por una BOVPN. Esa
informacin explica a su dispositivo WatchGuard cmo identificar y comunicarse con el dispositivo del
extremo remoto cuando negocia la BOVPN. Tambin dice al dispositivo WatchGuard cmo identificarse al
extremo remoto al negociar la BOVPN.
Cualquier interfaz externa puede ser un gateway endpoint. Si tiene ms de una interfaz externa, puede
configurar mltiples puertas de enlace para Configurar Failover de VPN.
Puerta de enlace local

En la seccin Puerta de Enlace local, configure el ID de la puerta de enlace y la interfaz a la cual la BOVPN se
conecta en su dispositivo WatchGuard. Para el ID de la puerta de enlace, si tiene una direccinIP esttica,
puede seleccionar Por direccinIP. Use Por informacin de dominio si tiene un dominio que enva a la
direccinIP la BOVPN que se conecte a su dispositivo WatchGuard.
1. En la seccin Extremos de la puerta de enlace del cuadro de dilogo Puerta de enlace pgina, haga
clic en Agregar.
Aparece el cuadro de dilogo Configuraciones de extremos de la nueva puerta de enlace.

2. Especifique el ID de la puerta de enlace.
n Por direccin IP - Seleccione el botn de radio Por direccin IP. Ingrese la direccinIP de la
direccinIP de la interfaz de Firebox .
n Por domain name - Ingrese su domain name.
n Por ID de usuario en dominio - Ingrese el nombre de usuario y dominio con el
formatoNombreUsuario@NombreDominio .
n Por nombre x500-Ingrese el nombre x500.
3. En la lista desplegable Interfaz externa, seleccione la interfaz en el Firebox con la direccinIP o
dominio que elige para el ID de puerta de enlace.
Puerta de enlace remota

En el rea de Puerta de enlace remota, configure el ID y la direccinIP de la puerta de enlace para el
dispositivo del extremo remoto al que la BOVPN se conecta. La direccinIP de la puerta de enlace puede
ser o una direccinIP esttica o una direccinIP dinmica. El ID de la puerta de enlace puede ser Por
domain name, por ID de usuarioen dominio, o Por nombre x500. El administrador del dispositivo de
puerta de enlace remota puede determinar cul usar.
1. Seleccione la direccinIP de la puerta de enlace remota.
n DireccinIP esttica - Seleccione esta opcin si el dispositivo remoto tiene una direccinIP
esttica. Para direccinIP, ingrese la direccinIP o seleccinela en la lista desplegable.
n DireccinIP dinmica - Seleccione esta opcin si el dispositivo remoto tiene una direccinIP
dinmica.
2. Seleccione el ID de la puerta de enlace.
n Por direccin IP - Seleccione el botn de radio Por direccin IP. Ingrese la direccinIP.
n Por domain name - Ingrese el domain name.
n Por ID de usuarioen dominio - Ingrese el ID de usuario y dominio.
n Por nombre x500-Ingrese el nombre x500.
Nota Si el extremo de la VPN remota usa DHCP o PPPoE para obtener su direccin IP
externa, defina el tipo de ID de la puerta de enlace remota en Nombre del dominio.
Defina el campo del nombre del punto en domain name totalmente cualificado del
extremo de la VPN remota. El Firebox usa la direccin IP y el domain name para
encontrar el extremo del VPN. Asegrese de que el servidor DNS usado por Firebox
pueda identificar el nombre.
Haga clic en Aceptar para cerrar el cuadro de dilogo Configuraciones de extremos de la nueva puerta de
enlace. El Puerta de enlace pgina . Aparece el par de la puerta de enlace definido en la lista de extremos
de la puerta de enlace. Vaya a Configurar modo y transformaciones (Configuraciones de la Fase 1) para
configurar la Fase 1 para esa puerta de enlace.
Gua del Usuario 425

Configurar modo y transformaciones (Configuraciones de la

Fase 1)
La Fase 1 del establecimiento de conexin IPSec es donde los dos puntos forman un canal autenticado y
seguro que pueden usar para comunicarse. Eso es conocido como Asociacin de Seguridad (SA) ISAKMP
Un intercambio de Fase 1 puede usar o el Modo Principal o el Modo Agresivo. El modo determina el tipo y
el nmero de intercambios de mensajes realizados durante esa fase.
Una transformacin es un conjunto de protocolos de seguridad y algoritmos usados para proteger los datos
de VPN. Durante la negociacin IKE, los puntos hacen un acuerdo para usar determinada transformacin.
Se puede definir un tnel para que ofrezca un punto ms de un conjunto de transformacin para
negociacin. Para ms informaciones, vea Agregar una transformacin de Fase 1 en la pgina 428.
1. En de la pgina Puerta de enlace, seleccione la pestaa Configuraciones de Fase 1.

2. En la lista desplegable Modo, seleccione Principal, Agresivo o Recurso de emergencia principal.
Modo principal
Ese modo es un modo seguro y utiliza tres intercambios de mensajes separados para un total
de seis mensajes. Los dos primeros mensajes negocian la poltica, los dos siguientes
intercambian datos de Diffie-Hellman y los ltimos dos autentican el intercambio Diffie-
Hellman. El Modo Principal soporta grupos Diffie-Hellman 1, 2 y 5. Ese modo tambin le
permite usar transformaciones mltiples, tal como se describe en Agregar una transformacin
de Fase 1 en la pgina 428.
Modo Agresivo
Ese modo es ms rpido porque usa slo tres mensajes, que intercambian Acerca de los grupos
Diffie-Hellman datos e identifican los dos extremos de la VPN. La identificacin de los extremos
de la VPN hace el Modo Agresivo menos seguro.
Recurso de emergencia principal hacia modo agresivo
El Firebox intenta el intercambio con el Modo Principal. Si falla la negociacin, utiliza el Modo
Agresivo.
3. Si desea crear un tnel BOVPN entre el Firebox y otro dispositivo que est detrs de un dispositivo
NAT, seleccione la casilla de verificacin NAT Traversal. NAT Traversal o Encapsulacin de UDP
permite que el trfico llegue a los destinos correctos.
4. Para que el Firebox enve mensajes a su par de IKE para mantener el tnel VPN abierto, seleccione
la casilla de verificacin IKE keep-alive. Para determinar el Intervalo de mensajes, ingrese el
nmero de segundos o use el control de valores para seleccionar el nmero de segundos que
desea.
Nota El IKE keep-alive slo es utilizado por los dispositivos WatchGuard. No actvelo si el
extremo remoto es un dispositivo IPSec de terceros.
5. Para definir un nmero mximo de veces que el Firebox intenta enviar un mensaje de IKE keep-
alive antes de intentar negociar la Fase 1 nuevamente, inserte el nmero deseado en el cuadro
Mx. Fallas.
6. Use la casilla de verificacin Dead Peer Detection para activar o desactivar la Dead Peer Detection
basada en trfico. Cuando se activa la deteccin de punto puerto, Firebox se conecta a un punto slo
si no se recibe el trfico del punto por un perodo determinado de tiempo y si se est esperando
que un paquete sea enviado al punto. Ese mtodo es ms escalable que los mensajes de IKE keep-
alive.
Si desea cambiar los valores predeterminados de Firebox, ingrese el perodo de tiempo (en
segundos) en el campo tiempo de espera inactivo de trfico antes que el Firebox intente
conectarse al punto. En el campo Mx. de reintentos, ingrese el nmero de veces que Firebox
debera intentar conectarse antes que el punto sea considerado inactivo.
La Dead Peer Detection es un estndar usado por la mayora de los dispositivos IPSec.
Recomendamos que seleccione la Dead Peer Detection si ambos dispositivos extremos lo soportan.
Gua del Usuario 427

Nota Si configura un failover de VPN, debe activar la Dead Peer Detection. Para ms
informacin acerca del failover de VPN, vea Configurar Failover de VPN en la
pgina 456
7. El Firebox contiene un conjunto de transformaciones que aparece en la lista Configuracin de

transformaciones. Esa transformacin especifica la autenticacin de SHA-1, el cifrado de 3DES y el
Grupo 2 de Diffie-Hellman.
Se puede:
n Usar este conjunto de transformaciones predeterminadas.
n Remover ese conjunto de transformaciones y reemplazarlo por uno nuevo.
n Agregar una transformacin adicional, tal como se explica en Agregar una
transformacin de Fase 1 en la pgina 428.
Agregar una transformacin de Fase 1

Se puede definir un tnel para ofrecer a un punto ms de un conjunto de transformacin para negociacin.
Por ejemplo, un conjunto de transformaciones puede incluir SHA1-DES-DF1 ([mtodo de autenticacin]-
[mtodo de cifrado]-[grupo de claves]) y una segunda transformacin puede incluir MD5-3DES-DF2, con las
transformaciones SHA1-DES-DF1 definidas como el conjunto de prioridad ms alta. Cuando se crea un tnel,
Firebox puede usar SHA1-DES-DF1 o MD5-3DES-DF2 para que coincida con el conjunto de transformaciones
del otro extremo de la VPN.
Puede incluir un mximo de nuevo conjuntos de transformaciones. Debe especificar el Modo Principal en
las configuraciones de Fase 1 para usar transformaciones mltiples.
1. En la pestaa Configuraciones de Fase 1 de la pgina Puerta de enlace, encuentre el cuadro

Configuraciones de transformaciones en la parte inferior del cuadro de dilogo. Haga clic en
Agregar.
Aparece el cuadro de dilogo Configuraciones de transformacin.
2. En la lista desplegable Autenticacin, seleccione SHA1 o MD5 como tipo de autenticacin.

3. En la lista desplegable Cifrado , seleccione AES (128 bits), AES (192 bits), AES (256 bits), DES, o 3DES
como tipo de cifrado.
4. Para cambiar la duracin de SA (asociacin de seguridad), ingrese un nmero en el campo Duracin
de SA y seleccione Hora o Minuto en la lista desplegable al lado.

5. En la lista desplegable Grupo de Claves, seleccione el grupo Diffie-Hellman que desea. El Fireware
XTM soporta grupos 1, 2 y 5.
Los grupos Diffie-Hellman determinan la fuerza de la clave maestra usada en el proceso de
intercambio de claves. Cuanto ms alto el nmero del grupo, ms fuerte la seguridad pero se
requiere ms tiempo para hacer las claves. Para ms informaciones, vea Acerca de los grupos Diffie-
Hellman en la pgina 429.
6. Se puede agregar hasta nueve conjuntos de transformaciones. Se puede seleccionar una
transformacin y hacer clic en Arriba o Abajo para cambiar su prioridad. El conjunto de
transformaciones en la parte superior de la lista es usado primero.
7. Haga clic en OK.
Acerca de los grupos Diffie-Hellman

Los grupos Diffie-Hellman (DH) determinan la fuerza de la clave usada en el proceso de intercambio de claves.
Los miembros de grupos ms altos son ms seguros, pero se necesita ms tiempo para computar la clave.
Los dispositivos WatchGuard soportan grupos Diffie-Hellman 1, 2 y 5:
n Grupo DH 1: Grupo de 768 bits

Ambos puntos en un intercambio de VPN deben usar el mismo grupo DH, que es negociado durante la Fase
1 del proceso de negociacin de IPSec. Cuando define un tnel BOVPN manual, se especifica el grupo
Diffie-Hellman como parte de la Fase 1 de la creacin de una conexin IPSec. Es ah donde los dos puntos
forman un canal seguro y autenticado que pueden usar para comunicar.
Los grupos DH y Perfect Forward Secrecy (PFS)
Adems de la Fase 2, tambin se puede especificar el grupo Diffie-Hellman en la Fase 2 de una conexin
IPSec. La configuracin de Fase 2 incluye las configuraciones para una asociacin de seguridad (SA), o cmo
los paquetes de datos son protegidos cuando pasan entre dos extremos. Se especifica el grupo Diffie-
Hellman en la Fase 2 slo cuando selecciona el Perfect Forward Secrecy (PFS).
PFS vuelve las claves ms seguras porque las nuevas claves no estn hechas de las claves anteriores. Si una
clave est comprometida, las claves de la nueva sesin an estarn seguras. Cuando especifica un PFS
durante la Fase 2, ocurre un intercambio Diffie-Hellman cada vez que una nueva SA es negociada.
El grupo DH que elige para Fase 2 no necesita coincidir con el grupo que elige para la Fase 1.
Cmo elegir un grupo Diffie-Hellman
El grupo DH predeterminado tanto para Fase 1 como para Fase 2 es el grupo Diffie-Hellman 1. Ese grupo
ofrece seguridad bsica y buen desempeo. Si la velocidad para la inicializacin del tnel y la regeneracin
de clave no es una preocupacin, use el Grupo 2 o Grupo 5. La velocidad real inicializacin y de
regeneracin de clave dependen de diversos factores. Puede querer intentar el Grupo DH 2 o 5 y luego
decidir si el tiempo de desempeo ms lento es un problema para su red. Si el desempeo no es aceptable,
cambie por un grupo DH inferior.
Gua del Usuario 429

Anlisis de desempeo
La siguiente tabla muestra el resultado de una aplicacin de software que genera 2000 valores Diffie-
Hellman. Esos nmeros son para un CPU Pentium 4 Intel 1.7GHz.
N de pares de Tiempo por par de

GrupoDH Tiempo necesario
claves clave
Grupo 1 2000 43 seg 21 ms
Grupo 2 2000 84 seg 42 ms
Grupo 5 2000 246 seg 123 ms
Editar y eliminar puertas de enlace

Para cambiar la definicin de una puerta de enlace
1. Seleccione VPN >BOVPN.

2. Seleccione la puerta de enlace y haga clic en Editar.
Aparece la pgina de configuraciones de Puerta de enlace.
3. Realice los cambios y haga clic en Guardar.
Para eliminar una puerta de enlace, seleccione la puerta de enlace y haga clic en Remover.
Desactivar inicio automtico de tnel

Los tneles BOVPN son automticamente creados cada vez que se inicia el dispositivo WatchGuard. Puede
querer cambiar ese comportamiento predeterminado. Una razn comn para cambiarlo sera si el extremo
remoto usa un dispositivo de terceros que debe iniciar el tnel en vez del extremo local.
Para desactivar el inicio automtico para tneles que usan una puerta de enlace

Aparece la pgina Configuracin de VPN de Sucursal.
Aparece la pgina Puerta de enlace.
3. Limpie la casilla de verificacin Iniciar tnel de Fase 1 cuando Firebox se inicia en la parte inferior
de la pgina.
Si su Firebox est detrs de un dispositivo que hace NAT

El Firebox puede usar NAT Traversal. Eso significa que puede establecer tneles VPN si su ISP hace NAT
(siglas en ingls para Traduccin de Direccin de Red) o si la interfaz externa de su Firebox est conectada a
un dispositivo que hace NAT. Recomendamos que la interfaz externa de Firebox tenga una direccin IP
pblica. Si eso no es posible, siga las instrucciones abajo.

Los dispositivos que no hacen NAT suelen tener algunas funciones bsicas de firewall. Para establecer un
tnel VPN hacia su Firebox cuando el Firebox est instalado detrs de un dispositivo que hace NAT, el
dispositivo NAT debe dejar que pase el trfico. Esos puertos y protocolos deben estar abiertos en el
dispositivo NAT:
n Puerto UDP 500 (IKE)

n Puerto UDP 4500 (NAT Traversal)
n Protocolo IP 50 (ESP)
Vea la documentacin de su dispositivo NAT para obtener informacin acerca de cmo abrir esos puertos y
protocolos en el dispositivo NAT.
Si la interfaz externa de su Firebox tiene una direccin IP privada, no puede usar una direccin IP como tipo
de ID local en las configuraciones de Fase 1.
n Si el dispositivo NAT al cual Firebox est conectado tiene una direccin IP pblica dinmica:
n Primero, defina el dispositivo en modo puente. Para ms informaciones, vea Modo
Bridge en la pgina 94. En modo puente, el Firebox obtiene la direccin IP pblica en su

interfaz externa. Consulte la documentacin para su dispositivo NAT para ms
informacin.
n Configure el DNS Dinmico en el Firebox. Para informaciones, vea Pgina Acerca de
Servicio DNS dinmico en la pgina 88. En las configuraciones de Fase 1 del Manual VPN,
defina el tipo de ID local en Domain Name. Ingrese el domain name de DynDNS como el
ID local. El dispositivo remoto debe identificar su Firebox por domain name y debe usar
el domain name DynDNS asociado a su Firebox en su configuracin de Fase 1.
n Si el dispositivo NAT al cual Firebox est conectado tiene una direccin IP pblica esttica:
n En las configuraciones de Fase 1 de la Manual VPN, defina en la lista desplegable el tipo
de ID local en Domain Name. Ingrese la direccin IP pblica asignada a la interfaz externa

del dispositivoNAT como ID local. El dispositivo remoto debe identificar su Firebox por
domain name y debe usar la misma direccin IP pblica como domain name en su
configuracin de Fase 1.
Establezca tneles entre los extremos de puertas

de enlace
Despus de definir los extremos de la puerta de enlace, puede establecer tneles entre ellos. Para
establecer un tnel, debe:
n Definir un tnel
n Configuraciones de Fase 2 para la negociacin de Intercambio de Claves de Internet (IKE). Esa fase
define las asociaciones de seguridad para el cifrado de paquetes de datos.
Definir un tnel
1. En el Fireware XTMWeb UI, seleccione VPN> VPN para Sucursales.
Aparece la pgina VPN de Sucursal.
Gua del Usuario 431

2. Haga clic en Agregar al lado de la lista Tneles.

Aparece el nuevo cuadro de dilogo Nuevo Tnel.

3. En el cuadro Nombre del tnel, ingrese un nombre para el tnel.

Asegrese de que no haya nombres idnticos de tneles, de grupo de Mobile VPN y de interfaz.
4. En la lista Puerta de enlace, seleccione la puerta de enlace a ser usada por este tnel.
5. Si desea agregar el tnel a las polticas BOVPN-Allow.in y BOVPN-Allow.out, seleccione la casilla

Agregar este tnel a las polticas BOVPN-Allow. Esas polticas permiten todo el trfico que coincida
con las rutas del tnel. Si desea restringir el trfico a travs del tnel, limpie esa casilla y crear
polticas personalizadas para tipos de trfico que desea autorizar que pase a travs del tnel
Ahora puede Agregar rutas para un tnel, Configuraciones de Fase 2o Activar enrutamiento de
multidifusin a travs de un tnel BOVPN.
Editar y eliminar un tnel

Para alterar un tnel, seleccione VPN> Tneles para Sucursales seleccione VPN >BOVPN.
1. Seleccione el tnel y haga clic en Editar.

Aparece la pgina "Tnel".
2. Realice las alteraciones y haga clic en Guardar.
Para eliminar un tnel de la pgina BOVPN, seleccione el tnel y haga clic en Remover.
Gua del Usuario 433

Agregar rutas para un tnel

1. En la pestaa Direcciones del cuadro de dilogo Tnel, haga clic en Agregar.
Aparece el cuadro de dilogo Configuraciones de Ruta de Tnel.
2. En la seccin IP local, seleccione el tipo de direccin local en la lista desplegable Elegir tipo.
Despus, ingrese el valor en el cuadro de texto abajo. Puede ingresar una direccin IP de host,
direccin de red, un rango de direcciones IP de host o nombre DNS.
3. En la seccin IP remoto, seleccione el tipo de direccin remota en la lista desplegable Elegir tipo.
Despus, ingrese el valor en el cuadro de texto abajo. Puede ingresar una direccin IP de host,
direccin de red, un rango de direcciones IP de host o nombre DNS.
4. En la lista desplegable Direccin, seleccione la direccin del tnel. La direccin del tnel determina
cul extremo del tnel VPN puede iniciar una conexin VPN a travs del tnel.
5. Se puede usar la pestaa NAT para activar la 1-to-1 NAT y NAT dinmica para el tnel si los tipos de
direccin y el sentido del tnel seleccionado son compatibles. Para ms informaciones, vea
Configurar NAT dinmica saliente a travs de un tnel BOVPN y Usar 1-to-1 NAT a travs de un
tnel BOVPN en la pgina 440.
6. Haga clic en OK.
Configuraciones de Fase 2
Las configuraciones de Fase 2 incluyen los ajustes para una asociacin de seguridad (SA), que define cmo
los paquetes de datos son protegidos cuando pasan entre dos extremos. La SA mantiene toda la
informacin necesaria para que Firebox sepa qu debera hacer con el trfico entre los extremos. Los
parmetros en SA pueden incluir:

n Los algoritmos de cifrado y autenticacin utilizados.

n Duracin de SA (en segundos o nmero de bytes, o ambos).
n La direccin IP del dispositivo para el cual se establece la SA (el dispositivo que maneja el cifrado y
descifrado de IPSec en el otro lado de la VPN, no el PC por detrs que enva o recibe el trfico).
n Las direcciones IP de origen y de destino del trfico al cual la SA se aplica.
n Direccin del trfico a la cual se aplica la SA (hay una SA para cada direccin de trfico, entrante y
saliente).
1. En la pgina Tnel, haga clic en la pestaa Configuraciones de Fase 2.
2. Seleccione la casilla PFS si desea activar el Perfect Forward Secrecy (PFS). Si activa el PFS, seleccione
el grupo Diffie-Hellman.
El Perfect Forward Secrecy ofrece ms proteccin a las claves creadas en una sesin. Las claves
hechas con PFS no son hechas a partir de una clave anterior. Si una clave anterior est
comprometida despus de una sesin, las claves de su nueva sesin quedan protegidas. Para ms
informaciones, vea Acerca de los grupos Diffie-Hellman en la pgina 429.
3. El Firebox contiene una propuesta predeterminada que aparece en la lista Propuestas de IPSec. Esa
propuesta especifica el mtodo de proteccin de datos de ESP, cifrado AES y autenticacin SHA1.
Puede:
n Hacer clic en Agregar para agregar una propuesta predeterminada.
n Seleccione una propuesta diferente en la lista desplegable y haga clic en Agregar.
n Agregar una propuesta adicional, tal como se explica en Agregar una Propuesta de Fase 2 en
la pgina 436.
Gua del Usuario 435

Si planea usar la funcin de puerto de transferencia IPSec, debe usar una propuesta con ESP (Carga de
seguridad de encapsulacin) como mtodo de propuesta. El puerto de transferencia IPSec soporta ESP,
pero no AH. Para ms informacin acerca del puerto de transferencia IPSec, vea Acerca de las
configuraciones de VPN Global en la pgina 438.
Agregar una Propuesta de Fase 2

Se puede definir un tnel para ofrecer a un punto ms de una propuesta para Fase 3 de IKE. Por ejemplo,
se puede especificar ESP-3DES-SHA1 en un propuesta y ESP-DES-MD5 en la segunda propuesta. Cuando el
trfico pasa por el tnel, la asociacin de seguridad puede usar o el ESP-3DES-SHA1 o el ESP-DES-MD5 para
que coincida con las configuraciones de transformacin en el punto.
Se puede incluir un mximo de nueve propuestas.
Para agregar una nueva propuesta, haga clic en la pestaa Configuraciones de Fase 2 en el pgina Tnel .
Agregar una propuesta existente

Se puede elegir entre seis propuestas preconfiguradas. Los nombres siguen el formato <Type>-
<Authentication>-<Encryption>. Para las seis, "Forzar caducidad de clave" est configurado en 8 horas
128.000 kilobytes.
Para usar una de las seis propuestas preconfiguradas:
1. En la pgina Tneles en la seccin Propuestas IPSec, seleccione la propuesta que desea aadir.
Crear una nueva propuesta

1. En el Fireware XTMWeb UI, seleccione VPN> VPN para Sucursales. En la seccin Propuestas de
Fase 2, haga clic en Agregar.
Aparece la pgina "Propuesta de Fase 2".

2. En el campo Nombre, ingrese un nombre para la nueva propuesta.
En el cuadro de texto Descripcin, ingrese una descripcin que identifique esa propuesta (opcional).
3. En la lista desplegable Tipo, seleccione ESP o AH, como mtodo de propuesta. Recomendamos que
use el ESP (Carga de seguridad de encapsulacin). Las diferencias entre ESP y AH (Encabezado de
autenticacin) son:
n El ESP es una autenticacin con cifrado.

n El AH es slo una autenticacin. La autenticacin de ESP no incluye la proteccin del
encabezado de IP, mientras que el AH s lo incluye.
n El puerto de transferencia IPSec soporta ESP, pero no AH. Si planea usar la funcin de puerto
de transferencia de IPSec, debe especificar el ESP como el mtodo de propuesta. Para ms
informacin acerca del puerto de transferencia IPSec, vea Acerca de las configuraciones de
VPN Global en la pgina 438.
4. En la lista desplegable Autenticacin, seleccione SHA1, MD5 o Ninguno como el mtodo de
autenticacin.
5. (Si seleccion ESP en la lista desplegable Tipo) En la lista desplegable Cifrado, seleccione el mtodo
de cifrado.
Las opciones son DES, 3DES y AES de 128, 192 o 256 bits, que aparecen en la lista en orden del ms
simple y menos seguro al ms complejo y ms seguro.
6. Para que los extremos de la puerta de enlace generen e intercambien nuevas claves despus que
pase un perodo de tiempo o cantidad de trfico determinado, seleccione la casilla Forzar caducidad
de clave En los campos abajo, ingrese un perodo de tiempo y un nmero de bytes despus de los
cuales una clave caduca.
Si "Forzar caducidad de clave" est desactivado, o si est activado y la hora y el nmero de kilobytes
Gua del Usuario 437

estn puestos en cero, el Firebox intenta usar la hora del caducidad de la clave definida para el
punto. Si sta tambin est desactivada o en cero, Firebox usa una hora predeterminada de
caducidad de clave de 8 horas.
El tiempo mximo antes de forzar la caducidad de clave es de un ao.
Editar una propuesta

Slo las propuestas definidas por usuario pueden ser editadas.
1. En el Fireware XTMWeb UI, seleccione VPN> BOVPN.

2. En la seccin Propuestas de Fase 2, seleccione una propuesta y haga clic en Editar.
3. Altere los campos tal como se describe en la seccin Crear nueva propuesta de este tpico.
Cambiar el orden de tneles

El orden de los tnelesVPN es especialmente importante cuando ms de un tnel usa las mismas rutas o
cuando las rutas se solapan. Un tnel en posicin superior en la lista de tneles en el cuadro de dilogo
Tneles IPSec para Sucursales tiene precedencia sobre el tnel de abajo, cuando el trfico hace coincidir
las rutas de mltiples tneles.
Se puede cambiar el orden en el cual Firebox intenta las conexiones:

Aparece la pgina de configuracin de BOVPN.
2. Seleccione un tnel y haga clic en Subir o Bajar para ir hacia arriba o abajo en la lista.
Acerca de las configuraciones de VPN Global

Puede seleccionar configuraciones que se aplican a tneles BOVPN manuales, tneles BOVPN
administrados y tneles de Mobile VPN con IPSec.
1. En el Fireware XTM Web UI, seleccione VPN > Configuraciones globales.

Aparece la pgina Configuraciones globales de VPN.

2. Analice las configuraciones explicadas abajo para sus tneles VPN.
Activar puerto de transferencia IPSec

Para que un usuario haga conexiones de IPSec a un Firebox detrs de un Firebox diferente, debe mantener
la casilla de verificacin Activar puerto de transferencia IPSec seleccionada. Por ejemplo, si los empleados
mviles estn en el local del cliente que tiene un Firebox, pueden usar el IPSec para hacer conexiones
IPSec hacia su red. Para que el Firebox local permita correctamente la conexin de salida de IPSec, tambin
debe agregar una poltica de IPSec al Policy Manager.
Cuando crea una propuesta de Fase 2 y planea usar la funcin de puerto de transferencia IPSec, debe
especificar el ESP (Carga de seguridad de encapsulacin) como mtodo de propuesta. El puerto de
transferencia IPSec soporta IPSec, pero no AH (Encabezado de autenticacin). Para informaciones acerca de
cmo crear una propuesta de Fase 2, vea Agregar una Propuesta de Fase 2 en la pgina 436.
Cuando activa el puerto de transferencia de IPSec, se agrega automticamente una poltica llamada
WatchGuard IPSec al Policy Manager. La poltica permite el trfico desde cualquier red de confianza u
opcional hacia cualquier destino. Cuando desactiva el puerto de transferencia de IPSec, la poltica
WatchGuard IPSec es automticamente eliminada.
Activar TOS para IPSec

El Tipo de Servicio (TOS) es un conjunto de sealadores de cuatro bits en el encabezado del IP que puede
solicitar a los dispositivos de enrutamiento que den ms o menos prioridad a un datagrama de IP que a
otros. El Fireware le da la opcin de permitir que los tneles IPSec limpien o mantengan las configuraciones
en paquetes que tengan sealadores TOS. Algunos ISPs desechan todos los paquetes que tengan
sealadores TOS.
Si no seleccionar la casilla de verificacin Activar TOS para IPSec, todos os paquetes IPSec no tienen los
sealadores TOS. Si los sealadores TOS fueron definidos anteriormente, ellos son removidos cuando
Fireware encapsula el paquete en un encabezado IPSec.
Gua del Usuario 439

Cuando est seleccionada la casilla de verificacin Activar TOS para IPSec y el paquete original tiene
sealadores TOS y el Fireware los mantiene cuando encapsula el paquete en un encabezado IPSec. Si el
paquete original no tiene sealadores TOS definidos, Fireware no define el indicador TOS cuando encapsula
el paquete en un encabezado IPSec.
Analice la configuracin de esta casilla de verificacin si desea aplicar un marcado QoS al trfico de IPSec. El
marcado QoS puede cambiar la configuracin del sealador TOS. Para ms informaciones sobre el marcado
QoS, vea Acerca de las Marcado QoS en la pgina 327.
Activar servidor LDAP para verificacin de certificado

Al crear una puerta de enlace VPN, se especifica un mtodo de credenciales para ser usado por los dos
extremos de la VPN cuando se crea el tnel. Si elige usar un Firebox Certificate de IPSec, puede identificar
un servidor de LDAP que valide el certificado. Ingrese la direccin IP para el servidor de LDAP. Tambin
puede especificar un puerto si desea usar uno diferente del 389.
Esa configuracin no se aplica a los tneles de Mobile VPN con IPSec.
Usar 1-to-1 NAT a travs de un tnel BOVPN

Cuando crea un tnel VPN de sucursal entre dos redes que usan el mismo rango de direcciones IP privadas,
ocurre un conflicto de direcciones IP. Para crear un tnel sin ese conflicto, ambas redes deben aplicar la 1-
to-1 NAT a la VPN. La 1-to-1 NAT hace que las direcciones IP en sus equipos parezcan ser diferentes de las
verdaderas direcciones IP cuando el trfico pasa por la VPN.
La 1-to-1 NAT asigna una o ms direcciones IP en un rango a un segundo rango de direccin IP del mismo
tamao. Cada direccin IP en el primer rango asigna a una direccin IP en el segundo rango. En este
documento, llamamos al primer rango de direcciones IP reales y al segundo rango direcciones IP
enmascaradas. Para ms informaciones acerca de 1-to-1 NAT, vea Acerca de las 1-to-1 NAT en la pgina 142.
1-to-1 NAT y VPNs

Cuando usa 1-to-1 NAT a travs de un tnel BOVPN:
n Cuando un equipo en su red enva trfico a un equipo en la red remota, el Firebox cambia la
direccin IP de origen del trfico para una direccin IP en el rango de IPs enmascaradas. La red
remota ve las direcciones IP enmascaras como el origen del trfico.
n Cuando un equipo en la red remota enva trfico a un equipo en su red a travs de VPN, la oficina
remota enva el trfico al rango de direccin de IP enmascarada. El Firebox cambia la direccin IP de
destino a la direccin correcta en el rango de direccin IP real y despus enva el trfico al destino
correcto.
La 1-to-1 NAT por una VPN slo afecta el trfico que pasa por esa VPN. Las reglas que ve en Fireware XTM
Web UIRed >NAT no afectan al trfico que pasa por una VPN.

Otras razones por las cuales usar una 1-to-1 NAT por una VPN
Adems de la situacin anterior, tambin podra usar una 1-to-1 NAT por una VPN si la red a la cual desea
establecer un tnel VPN ya tiene una VPN a una red que usa las mismas direcciones IP privadas usadas en
su red. Un dispositivo IPSec no puede enrutar trfico a dos redes remotas diferentes cuando dos redes usan
las mismas direcciones IP privadas. Se usa 1-to-1 NAT por VPN para que los equipos en su red parezcan
tener direcciones IP diferentes (enmascaradas). No obstante, al contrario de la situacin descrita al
principio de este tpico, necesita usar el NAT slo en su lado de la VPN y no en ambos extremos.
Una situacin similar se da cuando dos oficinas remotas usan las mismas direcciones IP privadas y ambas
desean hacer una VPN hacia su Firebox. En ese caso, una de las oficinas remotas debe usar NAT por la VPN
hacia su Firebox para solucionar el conflicto de direcciones IP.
Alternativa al uso de NAT

Si su oficina usa un rango de direcciones IP privadas comn, tal como 192.168.0.x 192.168.1.x, es muy
probable que tendr problema de conflictos con direcciones IP en el futuro. Esos rangos de direcciones IP
suelen ser usados por enrutadores de banda ancha u otros dispositivos electrnicos en pequeas oficinas o
en casa. Debera considerar la posibilidad de cambiar hacia un rango de direcciones IP privadas menos
comn, tal como 10.x.x.x 172.16.x.x.
Cmo configurar la VPN

1. Seleccione un rango de direcciones IP que sus equipos muestren como direcciones IP de origen
cuando el trfico viene desde su red y va hacia la red remota a travs de la BOVPN. Consulte el
administrador de red acerca de la otra red para seleccionar un rango de direcciones IP que no est
en uso. No use ninguna direccin IP de:
n La red de confianza, opcional o externa conectada a su Firebox

n Una secondary network conectada a la interfaz externa, opcional o de confianza de su Firebox
n Una red enrutada configurada en su poltica Firebox (Red > Rutas)
n Redes a las cuales ya tiene un tnel BOVPN
n Grupos de direcciones IP virtuales de Mobile VPN
n Redes que pueden ser alcanzadas por el dispositivo IPSec a travs de sus interfaces, rutas de
red o rutas de VPN
2. Definir puertas de enlace para los dispositivos Firebox local y remoto.
3. Establezca tneles entre los extremos de puertas de enlace. En el cuadro de dilogo Configuraciones
de Ruta de Tnel para cada Firebox, seleccione la casilla de verificacin 1-to-1 NAT e ingrese su
rango de direccionesIP enmascaradas en el cuadro de texto al lado.
El nmero de direccionesIP en el cuadro de texto debe ser exactamente el mismo que el nmero de
direccionesIP en el cuadro de texto Local en el topo del cuadro de dilogo. Por ejemplo, si usa la
notacin diagonal para indicar un subred, el valor despus de la barra diagonal debe ser igual en
ambos cuadros de texto. Para ms informaciones, vea Acerca de las Notacin diagonal en la pgina 3.
No es necesario definir nada en las configuraciones Red>NAT en el Fireware XTMWeb UI. Esas
configuraciones no afectan el trfico de VPN.
Gua del Usuario 441

Ejemplo
Supongamos que dos empresas, Sitio A y Sitio B, desean hacer una VPN de Sucursal entre sus redes de
confianza. Ambas empresas usan un Firebox con Fireware XTM. Ambas empresas usan las mismas
direcciones IP para sus redes de confianza, 192.168.1.0/24. El Firebox de cada empresa usa una 1-to-1 NAT
a travs de la VPN. El Sitio A enva trfico al rango enmascarado del Sitio B y el trfico sale de la subred local
del Sitio A. Adems, el Sitio B enva trfico al rango enmascarado que el Sitio A utiliza. Esa solucin resuelve
el conflicto de direcciones IP en ambas redes. Las dos empresas aceptan que:
n El Sitio A hace que su red de confianza parezca venir del rango 192.168.100.0/24 cuando el trfico
pasa por la VPN. Ese es el rango de direcciones IP enmascaradas de Sitio B para esa VPN.
n El Sitio B hace que su red de confianza parezca venir del rango 192.168.200.0/24 cuando el trfico
pasa por la VPN. Ese es el rango de direcciones IP enmascaradas de Sitio B para esa VPN.
Definir una puerta de enlace de Sucursal en cada Firebox
El primer paso es crear una puerta de enlace que identifique el dispositivo IPSec remoto. Cuando crea una
puerta de enlace, ella aparece en la lista de puertas de enlace en Fireware XTM Web UI. Para ver a lista de
puertas de enlace en el Fireware XTMWeb UI, seleccione VPN> VPN de Sucursal.
Configurar el tnel local

Aparece la pgina VPN de Sucursal.
2. En la seccin Tnel de la pgina BOVPN, haga clic en Agregar.

Aparece la pgina de configuraciones Tnel.

3. Dar un nombre descriptivo al tnel. El ejemplo usa "TnelPara_SitioB".

4. En la lista desplegable Puerta de enlace, seleccione la puerta de enlace que seala el dispositivo
IPSec de la oficina remota. El ejemplo usa la puerta de enlace denominada "SitioB".
5. Examinar la pestaa Configuraciones de Fase 2. Asegrese de que las configuraciones de Fase 2
coincidan con las que la oficina remota usa para Fase 2.
6. Haga clic en la pestaa Direcciones y haga clic en Agregar para agregar el par local-remota.
Gua del Usuario 443

7. En la seccin IP local, seleccione IP de red en la lista desplegable Elegir tipo. En IP de red , ingrese
el rango de direcciones IP reales de los equipos locales que usan ese VPN. Este ejemplo usa
192.168.1.0/24.
8. En la seccin Remoto, seleccione IP de red en la lista desplegable Elegir tipo. En el cuadro de texto
IP de red ingrese el rango de direcciones IP privadas a las cuales los equipos locales envan trfico.
En este ejemplo, el Sitio B de oficina remota usa 1-to-1 NAT por su VPN. Eso hace que los equipos
del Sitio B parezcan venir del rango enmascarado del Sitio B, 192.168.200.0/24. Los equipos locales
en Sitio A envan trfico al rango de direccin IP enmascarado del Sitio B. Si la red remota no usa
NAT por su VPN, ingrese el rango de direcciones IP reales en el cuadro de texto Remoto.
9. Haga clic en la pestaa NAT. Seleccione la casilla de verificacin 1-to-1 NAT e ingrese el rango de
direcciones IP enmascaradas para esa oficina. Ese es el rango de direcciones IP que los equipos
protegidos por ese Firebox muestran como direccin IP de origen, cuando el trfico viene de ese
Firebox y va hacia el otro extremo de la VPN. La casilla de verificacin 1-to-1 NAT queda activada
despus que inserta una direccin IP de host vlida, una direccin IP de red vlida o un rango de
direcciones IP de host vlido en el cuadro de texto Local en la pestaa Direcciones.) El Sitio A usa
192.168.100.0/24 para su rango de direcciones IP enmascaradas.

10. Haga clic en OK. El Firebox agrega un nuevo tnel a las polticas BOVPN-Allow.out y BOVPN-Allow.in.
11. Guardar el archivo de configuracin.
Si necesita una 1-to-1 NAT en su extremo de la VPN solamente, puede parar aqu. El dispositivo en el otro
extremo de la VPN debe configurar su VPN para aceptar trfico desde su rango enmascarado.
Configurar el tnel remoto

1. Siga los pasos 1 - 6 en el procedimiento anterior para agregar el tnel en el Firebox remoto.
Asegrese de hacer que las configuraciones de Fase 2 coincidan.
2. En la seccin IP local, seleccione IP de red en la lista desplegable Elegir tipo. En el cuadro de texto
IP de red, , ingrese el rango de direcciones IP reales de los equipos locales que usan esa VPN. Este
ejemplo usa 192.168.1.0/24.
3. En la seccin IP local, seleccione IP de red en la lista desplegable Elegir tipo. En el cuadro de texto
IP de red, ingrese el rango de direcciones IP privadas a las cuales los equipos remotos envan trfico.
En nuestro ejemplo, el Sitio A hace una 1-to-1 NAT a travs de esa VPN. Eso hace que los equipos en
Sitio A parezcan venir de su rango enmascarado, 192.168.100.0/24. Los equipos locales en Sitio B
envan trfico al rango de direccin IP enmascarado del Sitio A.
Gua del Usuario 445

4. Haga clic en la pestaa NAT. Seleccione la casilla de verificacin 1-to-1 NAT e ingrese el rango de
direcciones IP enmascaradas de ese sitio. Ese es el rango de direcciones IP que los equipos de ese
Firebox muestran como direccin IP de origen, cuando el trfico viene de ese Firebox y va al otro
extremo del VPN. El Sitio B usa 192.168.200.0/24 para su rango de direcciones IP enmascaradas.
5. Haga clic en OK. El Firebox agrega un nuevo tnel a las polticas BOVPN-Allow.out y BOVPN-Allow.in.

Definir una ruta para todo el trfico hacia Internet

Cuando permite que los usuarios remotos accedan a Internet a travs de un tnel VPN, la configuracin
ms segura es requerir que todo el trfico de Internet sea enrutado a travs de un tnel VPN hacia el
Firebox. Desde el Firebox, el trfico luego es enviado de vuelta a Internet. Con esa configuracin (conocida
como ruta de concentrador o VPN de ruta predeterminada), el Firebox puede examinar todo el trfico y
ofrecer mayor seguridad, aunque se use ms potencia de procesamiento y ancho de banda en el Firebox.
Al usar una VPN de ruta predeterminada, una poltica de NAT dinmica debe incluir el trfico saliente de la
red remota. Eso permite que usuarios remotos naveguen en Internet cuando envan todo el trfico hacia el
Firebox.
Cuando defina una ruta predeterminada a travs de un tnel BOVPN, se deben hacer tres cosas:
n Configurar una BOVPN en el Firebox remoto (cuyo trfico desea enviar a travs del tnel) para
enviar todo el trfico desde su propia direccin de red hacia 0.0.0.0/0.
n Configurar una BOVPN en el Firebox central para permitir que el trfico pase por l hacia el Firebox
remoto.
n Agregar una ruta en el Firebox central desde 0.0.0.0/0 hacia la direccin de red del Firebox remoto.
Antes de empezar los procedimientos en este tpico, ya se debe haber creado una Branch Office VPN
(BOVPN) manual entre los Fireboxes central y remoto. Para ms informacin acerca de cmo hacer eso,
vea Acerca de tneles BOVPN manuales en la pgina 418.
Configurar el tnel BOVPN en el Firebox remoto

1. Inicie sesin en el Web UI para el Firebox remoto.
2. Seleccione VPN >Branch Office VPN (BOVPN). Encuentre el nombre del tnel hacia el Firebox
central y haga clic en Editar.
Gua del Usuario 447

4. En IP local, en el cuadro de texto IP del host, ingrese la direccin de red de confianza del Firebox
remoto.
5. En IP remoto, seleccione IP de red en la lista desplegable Elegir tipo. En el cuadro de texto IP de
host, ingrese 0.0.0.0/0 y haga clic en Aceptar.
6. Seleccione cualquier otro tnel hacia el Firebox central y haga clic en Remover.
7. Haga clic en Guardar para guardar el cambio de configuracin.
Configurar el tnel BOVPN en el Firebox central

1. Inicie sesin en el Web UI para el Firebox central.
2. Seleccione VPN >Branch Office VPN (BOVPN). Encuentre el nombre del tnel hacia el Firebox
remoto y haga clic en Editar.
4. Haga clic en el botn al lado de la lista desplegable Local. Seleccione IP de red en la lista
desplegable Elegir tipo. Ingresar 0.0.0.0/0 para Valor y haga clic en Aceptar. En IP local, seleccione
IP de red en la lista desplegable Elegir tipo. En el cuadro de texto IP de host, ingrese 0.0.0.0/0.
5. En el cuadro Remoto, ingrese la direccin de red de confianza del Firebox remoto y haga clic en
AceptarEn IP remoto, ingrese la direccin de red de confianza del Firebox remoto y haga clic en
Aceptar
6. Seleccione cualquier otro tnel hacia el Firebox remoto y haga clic en Remover.
7. Haga clic en Aceptar y Guardar el archivo de configuracin. Haga clic en Guardar para guardar el
cambio de configuracin.

Agregar una entrada de NAT dinmica en el Firebox central

Para permitir que un equipo con direccin IP privada acceda a Internet a travs del Firebox, se debe
configurar el Firebox central para que use NAT dinmica. Con la NAT dinmica, el Firebox reemplaza la
direccin IP privada incluida en un paquete enviado desde un PC protegido por Firebox con la direccin IP
pblica del propio Firebox. Por defecto, la NAT dinmica est habilitada y activa para tres direcciones de red
privada aprobadas por RFC:
192.168.0.0/16 - Cualquiera-Externa
Cuando configura una ruta predeterminada a travs de un tnel Branch Office VPN (BOVPN) hacia otro
Firebox, debe agregar una entrada de NAT dinmica para la subred detrs del Firebox remoto si sus
direcciones IP no se encuentran dentro de uno de los tres rangos de red privada.
1. En el Fireware XTMWeb UI, seleccione Red> NAT.

Aparece la pginaNAT.
Gua del Usuario 449

2. En la seccin NAT Dinmica de la pgina NAT, haga clic en Agregar.

Aparece la pgina de configuracin de NAT Dinmica.
3. En la seccin De, seleccione IP de red en la lista desplegableTipo de miembro.

4. Inserte la direccin IP de red de la red detrs del Firebox remoto.
5. En la seccin Para, seleccione Cualquiera-externo en la segunda lista desplegable.
Activar enrutamiento de multidifusin a travs de

un tnel BOVPN
Puede activar un enrutamiento de multidifusin a travs de un tnel BOVPN para suportar streams de
multidifusin de una direccin entre las redes protegidas por los dispositivos WatchGuard. Por ejemplo,
puede usar un enrutamiento de multidifusin a travs de un tnel BOVPN para reproducir medios por
stream de un servidor de video por demanda (VOD) a los usuarios en la red en el otro extremo de un tnel
Branch Office VPN (BOVPN).
Advertencia
El enrutamiento de multidifusin a travs de un tnel BOVPN slo es soportado
entre dispositivos WatchGuard.
Cuando activa el enrutamiento de multidifusin a travs de un tnel BOVPN, el tnel enva el trfico de
multidifusin desde una nica direccin IP en un lado del tnel a una direccin IP de grupo de
multidifusin. Se configura la multidifusin en el tnel para enviar el trfico de multidifusin a esa direccin
IP de grupo de multidifusin a travs del tnel.
Debe configurar la multidifusin en cada Firebox de modo diferente. Debe configurar el tnel en un Firebox
para enviar el trfico de multidifusin a travs del tnel y hacer las configuraciones del tnel en el otro
Firebox para recibir el trfico de multidifusin. Puede configurar slo una direccin IP de origen por tnel.

Al activar el enrutamiento de multidifusin a travs de un tnelBOVPN, el dispositivo WatchGuard crea un

tnelGRE dentro del tnelVPN de IPSec entre las redes. El Firebox enva el trfico de multidifusin a travs
del tnelGRE. El tnel GRE requiere una direccin IP no utilizada en cada extremo del tnel. Debe
configurar direcciones IP auxiliares para cada extremo del tnelBOVPN.
Activar un dispositivo WatchGuard para enviar trfico de

multidifusin a travs de un tnel
En el Firebox desde el cual se enva el trfico de multidifusin, edite la configuracin de tnel para activar el
dispositivo para que enve trfico de multidifusin a travs del tnel BOVPN.
2. Seleccione un tnel y haga clic en Editar.

3. De la pgina Tnel, haga clic en la pestaa Configuraciones de multidifusin.
4. Seleccione la casilla de verificacin Activar enrutamiento de multidifusin a travs del tnel

5. En el cuadro de texto IP de origen, ingrese la direccin IP del originador de trfico.
6. En el cuadro de texto IP de grupo , ingrese la direccin IP de multidifusin para recibir el trfico.
Gua del Usuario 451

7. Seleccione el botn de radio Activar dispositivo para enviar trfico de multidifusin.

8. En la lista desplegable Interfaz de entrada, seleccione la interfaz desde la cual se origina el trfico
de multidifusin.
9. Haga clic en la pestaa Direcciones.
Aparecen las configuraciones Extremos de tnel de difusin/multidifusin en la parte inferior de la pestaa
Direcciones.
10. En la seccin Direcciones auxiliares , ingrese las direcciones IP para cada extremo del tnel de
multidifusin. El Firebox usa esas direcciones como extremos de tnel GRE de
difusin/multidifusin dentro del tnelBOVPN de IPSec. Puede definir el IP local y el IP remoto en
cualquier direccin IP no utilizada. Recomendamos que use direcciones IP que no sean usadas en
ninguna red conocida por Firebox.
n En el campo IP local, ingrese una direccinIP para ser usada por el extremo local del tnel.
n En el campo IP remoto, ingrese una direccinIP para ser usada por el extremo remoto del tnel.

Active el otro dispositivo WatchGuard para recibir trfico de

multidifusin a travs de un tnel
En el Firebox en la red en la cual desea recibir el trfico de multidifusin, configure la multidifusin para
activar el dispositivo para que reciba trfico de multidifusin a travs del tnel.

3. De la pgina Tnel, haga clic en la pestaa Configuraciones de multidifusin.
4. Seleccione la casilla de verificacin Activar enrutamiento de multidifusin a travs del tnel
5. En el campo IP de origen, ingrese la direccin IP del originador de trfico.
6. En el campo IP de grupo, ingrese la direccin IP de multidifusin para recibir el trfico.
7. Seleccione el botn de radio Activar dispositivo para recibir trfico de multidifusin.
8. Use las casillas de verificacin para seleccionar cules interfaces reciben el trfico de multidifusin.
9. Haga clic en la pestaa Direcciones.
Aparecen las configuraciones Extremos de tnel de difusin/multidifusin en la parte inferior de la pestaa
Direcciones.
10. En la seccin Direcciones auxiliares, ingrese las direcciones IP opuestas insertadas en la
configuracin del otro extremo del tnel.
n En el campo IP local, ingrese la direccinIP que insert en el campo IP remoto para el Firebox
en el otro extremo del tnel.
n En el campo IP remoto, ingrese la direccinIP que insert en el campo IP Local para el Firebox
Activar el enrutamiento de difusin a travs de un

tnel BOVPN
Nota El enrutamiento de difusin a travs de un tnel BOVPN slo es soportado entre
dispositivos WatchGuard.
Puede configurar su Firebox para que soporte enrutamiento de difusin limitado a travs de un tnel
Branch Office VPN (BOVPN). Cuando activa el enrutamiento de difusin, el tnel soporta la difusin para
direccionesIP de difusin limitada, 255.255.255.255. El trfico de difusin de subred no es enrutado por el
tnel. El enrutamiento de difusin soporta la difusin slo de una red a otra a travs de un tnel BOVPN.
El enrutamiento de difusin a travs de un tnel BOVPN no soporta estos tipos de difusin:
n Difusin de Protocolo DHCP/Bootstrap (bootp)

n Difusin de NetBIOS
n Difusin de Bloqueo de Mensajes del Servidor (SMB)
Para un ejemplo que muestre cules difusiones pueden ser enrutadas a travs de un tnel BOVPN, vea
Ejemplo: Enrutamiento de difusin a travs de un tnel BOVPN.
Gua del Usuario 453

Algunas aplicaciones de software requieren la posibilidad de hacer la difusin hacia otros dispositivos de
red para que funcionen. Si los dispositivos que necesitan comunicarse de esa forman estn en redes
conectadas por un tnel BOVPN, puede activar el enrutamiento de difusin a travs del tnel para que la
aplicacin pueda encontrar dispositivos en la red en el otro extremo del tnel.
Al activar el enrutamiento de difusin a travs de un tnelBOVPN, el dispositivo WatchGuard crea un tnel

GRE dentro del tnelVPN de IPSec entre las redes. El Firebox enva el trfico de difusin a travs del tnel
GRE. El tnel GRE requiere una direccin IP no utilizada en cada extremo del tnel. Por lo tanto, debe
configurar direcciones IP auxiliares para cada extremo del tnelBOVPN.
Activar el enrutamiento de difusin para el Firebox local


3. De la pgina Tnel, seleccione la ruta de tnel y haga clic en Editar.
4. Haga clic en la casilla de verificacin Activar enrutamiento de difusin por el tnel. Haga clic en OK.
Vuelva al cuadro de dilogo pgina Tnel. Aparecen Direcciones auxiliares en la parte inferior de la pestaa
Direcciones.

5. En la seccin Direcciones auxiliares, ingrese las direccionesIP para cada extremo del tnel de
difusin. El Firebox usa esas direcciones como extremos de tnel GRE de difusin/multidifusin
dentro del tnelBOVPN de IPSec. Puede definir el IP localy el IP remoto en cualquier direccin IP
no utilizada. Recomendamos que use direcciones IP que no sean usadas en ninguna red conocida
por Firebox.
n En el campo IP local, ingrese una direccinIP para ser usada por el extremo local del tnel.
n En el campo IP remoto, ingrese una direccinIP para ser usada por el extremo remoto del tnel.
Configurar enrutamiento de difusin para el Firebox en el otro

extremo del tnel
1. Repita los pasos 1-4 arriba para activar el enrutamiento de difusin para el Firebox en el otro
extremo del tnel.
2. En la seccin Direcciones auxiliares, ingrese las direcciones opuestas insertadas en la configuracin
del otro extremo del tnel.
n En el campo IP local, ingrese la direccinIP que insert en el campo IP remoto para el Firebox
Gua del Usuario 455

n En el campo IP remoto, ingrese la direccinIP que insert en el campo IP Local para el Firebox
Configurar Failover de VPN

La conmutacin por error (failover) es una funcin importante de redes que necesitan alta disponibilidad.
Cuando tiene una conmutacin por error de WAN mltiple configurada, los tneles VPN automticamente
hacen la conmutacin por error hacia una interfaz externa de resguardo, caso ocurra una falla. Puede
configurar tneles VPN para hacer conmutacin por error a un extremo de resguardo si el extremo
principal queda no disponible.
Ocurre un failover de VPN cuando se da uno de esos dos eventos:
n Un enlace fsico est inactivo. El Firebox monitorea el estado de la puerta de enlace de la VPN y los
dispositivos identificados en la configuracin del monitor de enlace de WAN mltiple. Si en enlace
fsico est inactivo, ocurre un failover de VPN.
n El Firebox detecta el par de VPN que no est activo.
Cuando ocurre una conmutacin por error, si el tnel usa el IKEkeep-alive, ste contina a enviar los
paquetes activos de Fase 1 al punto. Cuando obtiene una respuesta, IKE desencadena la failback hacia la
puerta de enlace de la VPN principal. Si el tnel usa Dead Peer Detection, la failback ocurre cuando se
recibe una respuesta de una puerta de enlace de la VPN principal.
Cuando ocurre un evento de conmutacin por error, gran parte de las conexiones nuevas y existentes
hacen la conmutacin por error automticamente. Por ejemplo, si inicia un comando "PUT" de FTP y la ruta
de la VPN principal queda inactiva, la conexin de FTP continua en la ruta de la VPN de resguardo. No se ha
perdido la conexin, pero hay demora. Observe que slo puede ocurrir un failover de VPN si:
n Los dispositivos Firebox en cada extremo del tnel tienen el Fireware v11.0 o posterior instalado.
n La conmutacin por error de WAN mltiples est configurada, tal como se describe en Acerca de
usar mltiples interfaces externas en la pgina 119.
n Las interfaces de su Firebox figuran como pares de puerta de enlace en el Firebox remoto. Si ya
configur la conmutacin por error de WAN mltiples, sus tneles VPN automticamente harn la
conmutacin por error hacia la interfaz de resguardo.
n Si la puerta de enlace est activada en las configuraciones de Fase 1 para la puerta de enlace de
sucursal en cada extremo del tnel.
El failover de VPN no ocurre para los tneles BOVPN con NAT dinmica habilitada como parte de su
configuracin de tnel. Para los tneles BOVPN que no usan NAT, el failover de VPN ocurre y la sesin de
BOVPN continua. Con los tneles de Mobile VPN, la sesin no contina. Debe autenticar su cliente de
Mobile VPN nuevamente para hacer un nuevo tnel de Mobile VPN.
Definir mltiples pares de puertas de enlace

Para configurar tneles BOVPN manualmente para que hagan la conmutacin por error hacia un extremo
de resguardo, se debe definir ms de un conjunto de extremos local y remoto (pares de puertas de enlace)
para cada puerta de enlace. Para la funcionalidad completa de conmutacin por error para una
configuracin de VPN, debe definir pares de puerta de enlace para cada combinacin de interfaces

externas en cada lado del tnel. Por ejemplo, suponga que su extremo local principal sea 23.23.1.1/24 con
un resguardo en 23.23.2.2/24. Su extremo remoto principal es el 50.50.1.1/24 con un resguardo en
50.50.2.1/24. Para un failover completo de VPN, necesitara definir esos cuatro pares de puertas de enlace:
23.23.1.1 - 50.50.1.1
23.23.1.1 - 50.50.2.1
23.23.2.1 - 50.50.1.1
23.23.2.1 - 50.50.2.1
1. Seleccione VPN >VPN para sucursales . Haga clic en Agregar al lado de la listaPuertas de enlace
para agregar una nueva puerta de enlace. Asigne un nombre a la puerta de enlace y defina el
mtodo de credenciales, tal como se describe en Definir puertas de enlace en la pgina 421.
2. En la seccin Extremos de la Puerta de enlace la pgina de configuraciones Puerta de enlace., haga
clic en Agregar.
El Aparece el cuadro de dilogo "Configuraciones de extremos de puerta de enlace".
3. Especifique la ubicacin de las puertas de enlace local y remota. Seleccione el nombre de la interfaz
externa que coincida con la direccin IP o domain name de puerta de enlace local que agregue.
Se puede agregar tanto una direccin IP como un ID de puerta de enlace para la puerta de enlace
Gua del Usuario 457

remota. Eso puede ser necesario si la puerta de enlace remota est detrs de un dispositivo NAT y
requiera ms informacin para autenticarse en la red detrs del dispositivo NAT.
4. Haga clic en Aceptar para cerrar el cuadro de dilogo Configuraciones de extremos de la nueva
puerta de enlace.
El Aparece el cuadro de dilogo "Puerta de enlace". Aparece el par de la puerta de enlace definido en la lista
de extremos de la puerta de enlace.
5. Repita ese procedimiento para definir pares adicionales de puertas de enlace. Se puede agregar
hasta nueve pares de puertas de enlace. Puede seleccionar un par y hacer clic en Subir o Bajar para
cambiar el orden en el cual Firebox intenta establecer conexiones.
Vea Estadsticas de VPN

Puede usar el Fireware XTMWeb UIpara monitorear el trfico de la VPN de Firebox y solucionar los
problemas de configuracin de la VPN.
1. Seleccione Estado del sistema>Estadsticas deVPN.

Aparece la pgina "Estadsticas de VPN".
2. Para forzar el tnelBOVPN a regenerar una clave, haga clic en el botn Regenerar clave para tnel
BOVPN seleccionado.
Para ms informaciones, vea Regenerar clave de tneles BOVPN en la pgina 458.

3. Para ver informacin adicional para usar en la solucin de problemas, haga clic en Depurar.
Para ms informaciones, vea Estadsticas de VPN en la pgina 382.
Regenerar clave de tneles BOVPN

Los extremos de la puerta de enlace de los tneles BOVPN deben generar e intercambiar nuevas claves sea
despus de un perodo de tiempo determinado o despus que una cantidad de trfico pase por el tnel. Si
desea generar nuevas claves inmediatamente antes que caduquen, puede regenerar nueva clave para un
tnel BOVPN para forzarlo a caducar inmediatamente. Eso puede ser til cuando se est solucionando
problemas en el tnel.
Para regenerar clave para un tnelBOVPN:
1. Seleccione Estado del sistema>VPNEstadstica.

Aparece la pgina Estadstica de VPN.
2. En la tabla Tneles VPN para Sucursales, haga clic en un tnel para seleccionarlo.
3. Haga clic en Regenerar clave de tnel BOVPN seleccionado.

Preguntas relacionadas
Por qu necesito una direccin externa esttica?
Para establecer una conexin de VPN, cada dispositivo debe conocer la direccin IP del otro dispositivo. Si
la direccin para un dispositivo es dinmica, la direccin IP puede cambiar. Si la direccin IP cambia, no se
pueden establecer las conexiones entre los dispositivos excepto si los dos dispositivos saben como
encontrarse mutuamente.
Puede usar un DNS Dinmico si no puede obtener una direccin IP externa. Para ms informaciones, vea
Pgina Acerca de Servicio DNS dinmico en la pgina 88.
Cmo obtengo una direccin IP externa esttica?

Obtiene la direccin IP externa para su PC o red junto a su administrador de red o ISP. Muchos ISPs usan
direcciones IP dinmicas para facilitar la configuracin de sus redes y la utilizacin por muchos usuarios. La
mayora de los ISPs puede ofrecerle una direccin IP esttica como una opcin.
Cmo soluciono problemas de la conexin?

Si puede enviar un ping a la interfaz de confianza del Firebox remoto y a equipos en la red remota, el tnel
VPN est activo. Otra causa posible de otros problemas es la configuracin del software de red o de las
aplicaciones de software.
Por qu el ping no est funcionando?

Si no puede enviar un ping a la direccin IP de interfaz local del Firebox remoto, siga estos pasos:
1. Enve un ping a la direccin externa del Firebox remoto.
Por ejemplo, en el Sitio A, enve un ping a la direccin IP del Sitio B. Si no recibe una respuesta,
asegrese de que estn correctas las configuraciones de la red externa del Sitio B. El Sitio B debe ser
configurado para responder a las solicitudes de ping en aquella interfaz. Si las configuraciones est
correctas, asegrese que los equipos en el Sitio B tengan conexin a Internet. Si los equipos en el
Sitio B no logran conectarse, hable con su administrador de red o ISP.
2. Si puede enviar un ping a la direccin externa de cada Firebox, intente enviar un ping a la direccin
local en la red remota.
Desde un equipo en el Sitio A, enve un ping a la direccin IP de la interfaz interna del Firebox
remoto. Si el tnel VPN est activo, el Firebox remoto retorna el ping. Si no recibe una respuesta,
asegrese de que la configuracin local est correcta. Cercirese de que los rangos de direccin de
DHCP local para las dos redes conectadas por el tnel VPN no usan direcciones IP similares. Las dos
redes conectadas por el tnel no deben usar las mismas direcciones IP.
Gua del Usuario 459

Cmo configuro ms que el nmero de tneles VPN permitido

en mi Edge?
El nmero de tneles VPN que pueden ser creados en su Firebox X Edge E-Series es determinado por el
modelo Edge que tiene. Puede adquirir la actualizacin de un modelo para su Edge para hacer ms tneles
VPN junto a un revendedor o en el sitio web de WatchGuard:
http://www.watchguard.com/products/purchaseoptions.asp
Mejorar la disponibilidad del tnel BOVPN

Hay instalaciones de BOVPN en las cuales todas las configuraciones est correctas, pero las conexiones de
BOVPN no siempre funcionan correctamente. Puede usar la informacin abajo para ayudarlo a solucionar
los problemas de disponibilidad de tneles de BOVPN. Esos procedimientos no mejoran el desempeo
general de los tneles BOVPN.
Gran parte de los tneles BOVPN permanecen disponibles para el pasaje de trfico en todos los momentos.
Los problemas suelen estar asociados a una o ms de estas tres condiciones:
n Una o ambas extremidades poseen conexiones externas no confiables. Alta latencia, alta
fragmentacin de paquetes y alta prdida de paquetes pueden convertir una conexin en no
confiable. Esos factores tienen un impacto ms fuerte en el trfico de BOVPN que en otro trfico
comn, como HTTPy SMTP. Con el trfico de BOVPN, los paquetes cifrados deben llegar a la
extremidad de destino, ser decodificados y luego rearmados antes que el trfico no cifrado sea
enrutado a la direccin IP de destino.
n Un extremo no es un dispositivo WatchGuard o es uno ms antiguo con un software de sistema
anterior. Las pruebas de compatibilidad entre los productos WatchGuard y dispositivos ms antiguos
se hacen con el software ms reciente disponible para dispositivos ms antiguos. Con el software
ms antiguo puede haber problemas que ya hayan sido arreglados en la versin ms reciente del
software.
Como estn basados en el estndar IPSec, los dispositivos WatchGuard son compatibles con la
mayora de los extremos de terceros. No obstante, algunos dispositivos de extremos de terceros no
son compatibles con IPSec debido a problemas de software o configuraciones con derechos de
autor.
n Si hay un volumen bajo de trfico a travs del tnel o si hay largos perodos de tiempo sin que pase
trfico por el tnel, algunos extremos terminan la conexin de la VPN. Los dispositivos WatchGuard
que ejecutan los dispositivos Fireware y WatchGuard Edge no hacen eso. Algunos dispositivos de
terceros y dispositivos WatchGuard con versiones ms antiguas del softwareWFS usan esa condicin
como forma de cerrar los tneles que parecen estar muertos.
Es posible instalar el sistema operativo ms reciente y el software de administracin en todos los

dispositivos WatchGuard, pero todas las otras condiciones en esa lista estn fuera de su control. Sin
embargo, puede tomar ciertas medidas para mejorar la disponibilidad del BOVPN.
Seleccionar IKE keep-alive o Dead Peer Detection,pero no ambas
Tanto las configuraciones de IKE keep-alive como Dead Peer Detection pueden mostrar cuando un

tnel est desconectado. Cuando encuentran un tnel desconectado, inician una nueva negociacin de
Fase 1. Si selecciona tanto IKE keep-alive como Dead Peer Detection, la renegociacin de Fase 1 que se
inicia puede hacer que el otro identifique el tnel como desconectado e inicie una segunda
negociacin de Fase 1. Cada negociacin de Fase 1 detiene todo el trfico del tnel hasta que ste haya
sido negociado. Para mejorar la estabilidad del tnel, seleccione o IKEkeep-alive o Dead Peer
Detection. No seleccione ambas.
Observe lo siguiente acerca de esas configuraciones:
La configuracin de IKE keep-alive es usada solamente por los dispositivos WatchGuard. No usar si
el extremo remoto es un dispositivo IPSec de terceros.
Cuando habilita IKE keep-alive, Firebox enva un mensaje a un dispositivo de puerta de enlace
remota en un intervalo regular y espera una respuesta. El intervalo de mensaje determina con
qu frecuencia se enva un mensaje. Fallas mx. indica cuntas veces el dispositivo de puerta
de enlace remota puede presentar fallas al responder antes que Firebox intente renegociar la
conexin de Fase 1.
La Dead Peer Detection es un estndar usado por la mayora de los dispositivos IPSec. Seleccione la
Dead Peer Detection si ambos dispositivos extremos la soportan.
Al activar la Dead Peer Detection, Firebox monitorea el trfico de tnel para identificar si un
tnel est activo. Si no se activ el trfico desde el punto remoto para el perodo de tiempo
insertado en tiempo de espera inactivo de trfico, y un paquete est esperando para ser
enviado al punto, el Firebox enva una consulta. Si no hay respuestas despus del nmero de
Mx. reintentos, Firebox renegocia la conexin de Fase 1. Para ms informaciones acerca de la
Dead Peer Detection, vea http://www.ietf.org/rfc/rfc3706.txt.
Las configuraciones de IKEkeep-alive y Dead Peer Detection forman parte de las configuraciones de
Fase 1.
1. En el Fireware XTMWeb UI, seleccione VPN> BOVPN.

3. Haga clic en la pestaa Configuraciones de Fase 1.
Usar las configuraciones predeterminadas
Las configuraciones de BOVPN predeterminadas ofrecen la mejor combinacin de seguridad y

velocidad. Use esas configuraciones predeterminadas siempre que posible. Si un dispositivo extremo
remoto no soporta una de las configuraciones predeterminadas de WatchGuard, configure el
dispositivo WatchGuard para que utilice la configuracin predeterminada del extremo remoto. Esas
son las configuraciones predeterminadas para WSM 11.x:
Nota Si no se exhibe una configuracin en las pginas de configuracin de VPN>

BOVPN , no se puede cambiarla.
Configuraciones generales
Principal(Seleccionar Agresivo si uno de los dispositivos

Modo
posee una direccinIP externa dinmica).
Gua del Usuario 461

Configuraciones generales
NATTraversal S
Intervalo de keep-alive de NAT

20 segundos
Traversal
IKE keep-alive Desactivado
Intervalo de mensaje de IKEkeep-

Ninguno
alive
Mx. Fallas de IKEkeep-alive Ninguno
Dead Peer Detection (RFC3706) Activado
Tiempo de espera inactivo de trfico

20 segundos
para Dead Peer Detection
Mx. de reintentos de Dead Peer

5
Detection
Configuraciones de transformacin de FASE 1
Algoritmo de autenticacin SHA-1
Algoritmo de cifrado 3DES
Caducidad de negociacin o duracin de SA (horas) 8
Caducidad de negociacin o duracin de SA (kilobytes) 0
Grupo Diffie-Hellman 2
Configuraciones de propuesta de FASE 2
Tipo ESP
Algoritmo de autenticacin SHA-1
Algoritmo de cifrado AES (256 bit)
Forzar Caducidad de Clave Activar
Caducidad de Clave Fase 2 (horas) 8
Caducidad de Clave Fase 2 (kilobytes) 128000
Activar Perfect Forward Secrecy No
Grupo Diffie-Hellman Ninguno
Configurar Firebox para enviar trfico de registro a travs del tnel
Si no hay trfico a travs del tnel por un perodo de tiempo, un extremo puede decidir que el otro no

est disponible y no intenta renegociar el tnel VPN inmediatamente. Una forma de asegurar que el
trfico no deje de pasar por el tnel es configurar el Firebox para que enve registro de trfico a travs
del tnel. No necesita que un Log Server reciba y mantenga los registros de trfico. En ese caso, se
configura intencionadamente el Firebox para enviar el trfico de registro a un Log Server que no
existe. Eso crea un pequeo pero consistente volumen de trfico enviado a travs del tnel, lo que
puede ayudar a mantenerlo ms estable.
Hay dos tipos de datos de registro: registro WatchGuard y registro syslog. Si el Firebox est configurado
para enviar datos de registro tanto al WatchGuard Log Server como al servidor de syslog, no se puede
usar ese mtodo para enviar el trfico por el tnel.
Debe elegir una direccinIP del Log Server a la cual enviar los datos de registro. Para elegir la
direccinIP, use estas directrices.
n La direccin IP delLog Server utilizada debe ser una direccinIP que est incluida en las
configuraciones de ruta de tnel. Para ms informaciones, vea Agregar rutas para un tnel en
la pgina 434.
n La direccinIP del Log Server no debera ser una direccinIP usada por un dispositivo real.
Los dos tipos de registro generan diferentes volmenes de trfico.
Registro de WatchGuard
No se enva ningn dato de registro hasta que Firebox se haya conectado al Log Server. Los
nicos tipos de trfico enviados a travs del tnel son intentos de conectase al Log Server,
enviados a cada tres minutos. Eso puede ser un volumen de trfico suficiente para ayudar en la
estabilidad del tnel con un mnimo impacto en otro trfico de BOVPN.
Registro de syslog
Los datos de registro son enviados inmediatamente a la direccinIP del servidor de syslog. El
volumen de datos de registro depende del trfico que Firebox maneja. El registro de syslog
suele generar bastante trfico para que siempre estn pasando paquetes por el tnel. El
volumen de trfico puede a veces hacer que el trfico normal de BOVPN quede ms lento,
pero eso no es comn.
Para mejorar la estabilidad y tener menor impacto sobre el trfico de BOVPN, intente primero la
opcin de Registro de WatchGuard. Si eso no mejora la estabilidad del tnel BOVPN, intente el registro
de syslog. Los procedimientos siguientes suponen que ambos dispositivos extremos son dispositivos
Firebox de WatchGuard y que ningn extremo est configurado para enviar datos de registro ni al
WatchGuard Log Server ni a un servidor de syslog. Si el extremo ya est configurado para enviar datos
de registro que son recogidos por un servidor, no cambie esas configuraciones de registro.
Algunas de las opciones que puede intentar son:
n Configurar un extremo para enviar trfico de registro WatchGuard a travs del tnel.
n Configurar el otro extremo para enviar trfico de registro de WatchGuard a travs del tnel.
n Configurar ambos extremos para enviar trfico de registro de WatchGuard a travs del tnel.
n Configurar un extremo para enviar trfico de registro de syslog a travs del tnel.
n Configurar slo el otro extremo para enviar trfico de registro de syslog a travs del tnel.
n Configurar ambos extremos para enviar trfico de registro de syslog a travs del tnel.
Enviar datos de registro de WatchGuard a travs del tnel
Gua del Usuario 463

1. En el Fireware XTMWeb UI, seleccione Sistema > Registro.

2. Seleccione la casilla de verificacin Activar registro WatchGuard para esos servidores.
3. En el campo Direccin de Log Server, ingrese la direccin IP seleccionada para el Log Server en
el campo Direccin IP del Log Server.
4. Ingrese una clave de cifrado en el campo Encryption Key y confrmela en el campo Confirmar.
El rango permitido para la clave de cifrado es de 8 a 32 caracteres. Puede usar todos los caracteres,
excepto los espacios o barras diagonales o invertidas (/ o \).
5. Haga clic en Agregar. Haga clic en Guardar.
Enviar datos de syslog a travs del tnel
1. En el Fireware XTMWeb UI, seleccione Sistema > Registro.

2. Haga clic en la pestaa Servidor de Syslog.
3. Seleccione la casilla de verificacin Activar registro Syslog para esos servidores.
4. Ingrese la direccin IP elegida para el servidor de syslog en el campo al lado.

21 Mobile VPN con PPTP
Acerca del Mobile VPN con PPTP

La conexin a red privada virtual mvil (Mobile VPN) con protocolo de tnel punto a punto (PPTP) crea una
conexin segura entre un equipo remoto y los recursos de red detrs del dispositivo WatchGuard. Cada
dispositivo WatchGuard admite hasta 50 usuarios al mismo tiempo. Los usuarios de Mobile VPN con PPTP
pueden autenticarse en el dispositivo WatchGuard o en un servidor de autenticacin RADIUS o VACMAN.
Para usar Mobile VPN con PPTP, debe configurar el dispositivo WatchGuard y las computadoras cliente
remotas.
Requisitos de Mobile VPN con PPTP

Antes de configurar el dispositivo WatchGuard para usar Mobile VPN with PPTP, asegrese de tener esta
informacin:
n Las direcciones IP para que el cliente remoto use para las sesiones de Mobile VPN con PPTP.
Paratneles de Mobile VPN con PPTP,el dispositivoWatchGuard ofrece a cadausuario remotouna
direccinIP virtual.Estas direccionesIP nopueden ser direcciones que utilice lared detrsdel
dispositivoWatchGuard. Elprocedimiento msseguro paraasignar direccionesa usuariosde Mobile
VPN es instalar una secondarynetwork "marcadorade posicin".Luego, seleccione una direccinIP de
ese rango de red. Por ejemplo, cree una nuevasubnet comosecondary networken sured de confianza
10.10.0.0/24.Seleccione lasdirecciones IPen estasubnet parasu rangode direccionesPPTP.
n Las direcciones IP de los servidores DNS y WINS que determinan los nombres de host para las
direcciones IP.
n Los nombres de usuario y contraseas de los usuarios autorizados a conectarse al dispositivo
WatchGuard con Mobile VPN with PPTP.
Gua del Usuario 465

Mobile VPN con PPTP
Niveles de cifrado
Para Mobile VPN with PPTP, se puede seleccionar un cifrado de 128bits o un cifrado de 40bits. Las
versiones de software de Windows XP en los Estados Unidos tienen activado un cifrado de 128bits. Puede
obtener un parche de cifrado de alta seguridad de Microsoft para otras versiones de Windows. Firebox
siempre intenta utilizar cifrado de 128bits en primer lugar. Puede configurarse para usar cifrado de 40bits
si el cliente no puede usar una conexin cifrada de 128bits.
Para obtener ms informacin sobre cmo admitir el cifrado de 40 bits consulte Configurar Mobile VPN
with PPTP en la pgina 466.
Si no reside en los Estados Unidos y desea tener cifrado de alta seguridad activado en su cuenta
LiveSecurity Service, enve un mensaje de correo electrnico a supportid@watchguard.com e incluya toda
la informacin que se indica a continuacin:
n Nmero de clave de LiveSecurity Service

n Fecha de compra del producto WatchGuard
n Nombre de su empresa
n Direccin de correo postal de la empresa
n Nmero de telfono y nombre de contacto
n Direccin de correo electrnico
Si reside en los Estados Unidos y an no utiliza WatchGuard System Manager (WSM) con cifrado de alta
seguridad, debe descargar el software de cifrado de alta seguridad de la pgina de Descargas de software
en el sitio web de LiveSecurity Service.
1. Abra un explorador web y visite www.watchguard.com.

2. Ingrese en su cuenta de LiveSecurity Service.
3. Haga clic en Soporte.
Aparece el Centro de Soporte de WatchGuard.
4. En la seccin Administracin de sus productos, haga clic en Descargas de software.
5. En la lista Seleccionar familia de productos, seleccione su dispositivo WatchGuard.
Aparece la pgina de Descargas de software.
6. Descargue WatchGuard System Manager con cifrado de alta seguridad.
Antes de instalar el software de WatchGuard System Manager con cifrado de alta seguridad, debe
desinstalar de su computadora cualquier otra versin de WatchGuard System Manager.
Nota Para mantener la configuracin actual del dispositivo WatchGuard, no use el

Quick Setup Wizard cuando instale el nuevo software. Abra el WatchGuard System
Manager, conctese al dispositivo WatchGuard y guarde el archivo de
configuracin. Las configuraciones con una versin de cifrado diferente son
compatibles.
Configurar Mobile VPN with PPTP

Para configurar el dispositivo WatchGuard para aceptar conexiones PPTP , primero debe activar y realizar
las configuraciones para Mobile VPN with PPTP.
1. Seleccione VPN > Mobile VPN with PPTP.

Mobile VPN con PPTP
2. Seleccione la casilla de verificacin Activar Mobile VPN with PPTP.

Esto permite configurar a los usuarios remotos de PPTP y automticamente crea una poltica de
PPTP de WatchGuard para permitir el trfico de PPTP al dispositivo WatchGuard. Recomendamos no
modificar las propiedades predeterminadas de la poltica de PPTP de WatchGuard.
3. Realice las configuraciones de autenticacin como se describe en las secciones siguientes.
Autenticacin
Los usuarios de Mobile VPN con PPTP pueden autenticarse en la base de datos interna de Firebox o usar
autenticacin extendida en un servidor RADIUS o VACMAN Middleware Server como alternativa a Firebox.
Las instrucciones para usar un VACMAN Middleware Server son idnticas a las instrucciones para usar un
servidor RADIUS.
Para usar la base de datos interna de Firebox, no seleccione la casilla de verificacin Usar autenticacin
RADIUS para usuarios de PPTP.
Para usar un servidor RADIUS o VACMAN Middleware para autenticacin:
Gua del Usuario 467

Mobile VPN con PPTP
1. Seleccione la casilla de verificacin Usar autenticacin RADIUS para usuarios de PPTP.

2. Configurar autenticacin de servidor RADIUS o Configurado autenticacin de servidor VASCO.
3. En el servidor RADIUS, cree un grupo de usuarios de PPTP y agregue nombres o grupos de usuarios
de PPTP.
Nota Para establecer la conexin de PPTP, el usuario debe ser miembro de un grupo
denominado PPTP-Users (usuarios de PPTP). Cuando el usuario ya est
autenticado, Firebox mantiene una lista de todos los grupos del que el usuario es
miembro. Use cualquiera de los grupos en una poltica para controlar el trfico
para el usuario.
Configuraciones de cifrado
Las versiones nacionales estadounidenses de Windows XP tienen activado un cifrado de 128bits. Puede
obtener un parche de cifrado de alta seguridad de Microsoft para otras versiones de Windows.
n Si desea solicitar el cifrado de 128bits para todos los tneles PPTP, seleccione Solicitar cifrado de
128bits.
Recomendamos utilizar cifrado de 128bits para VPN.
n Para permitir que los tneles bajen el cifrado de 128bits a 40bits para conexiones menos
confiables, seleccione Permitir bajar cifrado de 128bits a 40bits.
Firebox siempre intenta utilizar cifrado de 128bits en primer lugar. Se utiliza el cifrado de 40bits si
el cliente no puede usar la conexin cifrada de 128bits. En general, slo los clientes fuera de los
Estados Unidos seleccionan esta casilla de verificacin.
n Para permitir trfico que no est cifrado a travs de la VPN, seleccione No requiere cifrado.
Agregar al conjunto de direcciones IP

Mobile VPN with PPTP admite hasta 50usuarios al mismo tiempo. Firebox otorga una direccin IP abierta a
cada usuario de Mobile VPN entrante dentro de un grupo de direcciones IP disponibles. Esto contina hasta
que todas las direcciones estn en uso. Despus de que un usuario cierra una sesin, la direccin vuelve a
colocarse en el grupo disponible. El siguiente usuario que ingresa obtiene esta direccin.
Debe configurar dos o ms direcciones IP para que PPTP funcione correctamente.
1. En la seccin Conjunto de direcciones IP, en la lista desplegable Elegir tipo, seleccioneIP de host
(para una sola direccin IP) o Rango de host (para un rango de direcciones IP).
2. En el cuadro de texto IP de host, ingrese una direccin IP.

Si seleccion Rango de host, la primera direccin IP del rango es Desde y la ltima direccin IP del

Mobile VPN con PPTP
rango es Hasta.
3. Haga clic en Agregar para agregar la direccin IP de host o el rango de host al conjunto de
direcciones IP.
Se pueden configurar hasta 50direcciones IP.
Si selecciona IP de host, debe agregar por lo menos dos direcciones IP.
Si selecciona Rango de host y agrega un rango de direcciones IP superior a 50direcciones, Mobile
VPN with PPTP utiliza las primeras 50direcciones del rango.
4. Repita los pasos 1al 3 para configurar todas las direcciones para usar con Mobile VPN with PPTP.
Configuraciones de pestaas avanzadas

1. En la pgina Mobile VPN with PPTP, haga clic en la pestaa Avanzada.
2. Realice la configuracin de tiempo de espera y las configuraciones de Unidad mxima de
transmisin (MTU) y Unidad mxima de recepcin (MRU) como se describe en las siguientes
secciones.
Recomendamos mantener las configuraciones predeterminadas.
Configuracin de tiempo de espera
Puede definir dos configuraciones de tiempo de espera para tneles PPTP si usa autenticacin RADIUS:
El perodo de tiempo mximo que un usuario puede enviar trfico a una red externa. Si configura
este campo en cero (0) segundos, minutos, horas o das, no se usa tiempo de espera de sesin y el
usuario puede permanecer conectado durante el tiempo que desee.
Gua del Usuario 469

Mobile VPN con PPTP
El tiempo mximo que el usuario puede permanecer autenticado cuando est inactivo (sin trfico
hacia la interfaz de red externa). Si configura este campo en cero (0) segundos, minutos, horas o
das, no se usa tiempo de espera inactivo y el usuario puede permanecer inactivo durante el tiempo
que desee.
Si no usa RADIUS para autenticacin, el tnel PPTP usa la configuracin de tiempo de espera especificada
por usted para cada usuario de Firebox. Para obtener ms informacin acerca de la configuracin de
usuario de Firebox, consulte Definir un nuevo usuario para autenticacin en Firebox en la pgina 225.
Otras configuraciones
Los tamaos de la Unidad mxima de transmisin (MTU) o Unidad mxima de recepcin (MRU) se envan al
cliente como parte de los parmetros de PPTP para usar durante la sesin de PPTP. No modifique los valores
de MTUo MRU a menos que est seguro de que la modificacin soluciona un problema en la configuracin.
Los valores de MTUo MRU incorrectos ocasionan la falla del trfico a travs de la VPN with PPTP.
Para modificar los valores de MTUo MRU:
1. En la pgina Mobile VPN with PPTP, haga clic en la pestaa Avanzada.

2. En la seccin Otras configuraciones, ingrese o seleccione los valores de la Unidad mxima de
transmisin (MTU) o Unidad mxima de recepcin (MRU).
Configurar servidores WINS y DNS

Los clientes de Mobile VPN con PPTP utilizan direcciones de servidor compartidas del Servicio Windows
Internet Naming (WINS) y el Sistema de domain name (DNS). El DNS cambia los nombres de host a
direcciones IP, mientras que WINS cambia los nombres de NetBIOS a direcciones IP. La interfaz de
confianza de Firebox debe tener acceso a estos servidores.
1. Seleccione Interfaces de > red.

Aparece la pgina de Interfaces de red. Las configuraciones de WINS y DNS se encuentran en la parte inferior.

Mobile VPN con PPTP
2. En la seccin ServidoresDNS, ingrese un domain name para el servidor DNS.

3. En el cuadro de texto Servidor DNS, ingrese la direccin IP para el servidor DNS y haga clic en
Agregar.
Pueden agregarse hasta tres direcciones para servidores DNS.
4. En el cuadro de texto Servidores WINS, ingrese la direccin IP para un servidor WINS y haga clic en
Agregar.
Pueden agregarse hasta dos direcciones para servidores WINS.
Agregar nuevos usuarios al grupo de usuarios de

PPTP
Para crear un tnel VPN PPTP con Firebox, los usuarios mviles ingresan sus nombres de usuario y frases de
contrasea para autenticarse. Firebox utiliza esta informacin para autenticar al usuario.
Cuando activa PPTP en su configuracin de Firebox, automticamente se crea un grupo de usuarios

predeterminado. Este grupo de usuarios se denomina PPTP_Users (usuarios de PPTP). Este nombre de
grupo se muestra al crear un nuevo usuario o agregar nombres de usuario a las polticas.
Para ms informacin acerca de grupos Firebox, vea Configure su Firebox como servidor de autenticacin
en la pgina 223.

2. Haga clic en la pestaa Firebox .
Gua del Usuario 471

Mobile VPN con PPTP
3. En la seccin Usuarios, haga clic en Agregar.


Mobile VPN con PPTP
4. Ingrese un Nombre y una Frase de contrasea para el nuevo usuario. Ingrese la frase de contrasea
nuevamente para confirmarla.
No se requiere una descripcin. Recomendamos no cambiar los valores predeterminados para el tiempo de
espera de sesin y el tiempo de espera inactivo.
5. En la lista Disponible, seleccione Usuarios de PPTP y haga clic .
Usuarios de PPTP aparece en la lista de Miembros.
6. Haga clic en OK.
Configurarpolticasparapermitirel trficodeMobileVPNcon
PPTP
Los usuarios de Mobile VPN con PPTP no tienen privilegios de acceso a travs de un Firebox en forma
predeterminada. Para permitir a usuarios remotos el acceso a recursos de red especficos, se deben
agregar nombres de usuarios o el grupo de usuarios de PPTP, como orgenes y destinos en las definiciones
de poltica individual.
Para ms informaciones, vea Use los usuarios y grupos autorizados en polticas en la pgina 248.
Para usar WebBlocker para controlar el acceso de usuarios remotos, agregue usuarios de PPTP o el grupo
de usuarios de PPTP a una poltica de proxy que controle a WebBlocker.
Gua del Usuario 473

Mobile VPN con PPTP
Nota Si se asignan direcciones desde una red de confianza a usuarios de PPTP, el trfico
desde el usuario de PPTP no se considera de confianza. De manera
predeterminada, todo trfico de Mobile VPN con PPTP no es de confianza.
Independientemente de las direcciones IP asignadas, se deben crear polticas para
permitir a los usuarios de PPTP obtener acceso a los recursos de red.
Configurar polticas para permitir el trfico de

Mobile VPN con PPTP
Los usuarios de Mobile VPN con PPTP no tienen privilegios de acceso a travs de un Firebox en forma
predeterminada. Debe configurar las polticas para permitir que los usuarios de PPTP obtengan acceso a
recursos de red. Puede agregar polticas nuevas o editar las polticas existentes.
Nota Si se asignan direcciones desde una red de confianza a usuarios de PPTP, el trfico
desde el usuario de PPTP no se considera de confianza. De manera
predeterminada, todo trfico de Mobile VPN con PPTP no es de confianza.
Independientemente de la direccin IP asignada, se deben crear polticas para
permitir a los usuarios de PPTP obtener acceso a los recursos de red.
Permitir a los usuarios de PPTP acceder a una red de confianza

En este ejemplo, se agrega la opcin Cualquier poltica para permitir a todos los miembros del grupo de
usuarios de PPTP el acceso total a los recursos en todas las redes de confianza.

2. Ample la carpeta Filtrados de paquetes.
Aparece una lista de plantillas para filtrados de paquetes.
3. Seleccione Cualquiera y haga clic en Agregar.
4. En el cuadro de texto Nombre, ingrese un nombre para la poltica.
Elija un nombre que le ayude a identificar esta poltica en su configuracin.
5. En la pestaa Poltica, en la seccin Desde , seleccione Cualquiera de confianza y haga clic en
Remover.
6. En la pestaa Poltica, en la seccin Desde , haga clic en Agregar.
7. En la lista desplegable Tipo de miembro, seleccioneGrupo de PPTP.
8. Seleccione Usuarios de PPTP y haga clic en Seleccionar.
Despus de Usuarios de PPTP aparece el nombre del mtodo de autenticacin entre parntesis.
9. Haga clic en OK para cerrar el cuadro de dilogo Agregar miembro.
10. En el rea Hasta, haga clic en Agregar.
11. En la seccin Miembros y direcciones seleccionados , seleccione Cualquiera externo y haga clic en
Remover.


Mobile VPN con PPTP
13. En la lista Miembros seleccionados, seleccione Cualquiera de confianza y haga clic en OK.
Para ms informaciones acerca de polticas, vea Agregar polticas en la configuracin en la pgina 254.
Usar otros grupos o usuarios en una poltica de PPTP

Los usuarios deben ser miembros del grupo Usuarios de PPTP para realizar una conexin PPTP. Cuando se
configura una poltica para otorgar acceso a los usuarios de PPTP a recursos de red, se puede usar el
nombre de usuario individual o cualquier otro grupo del que el usuario sea miembro.
Para seleccionar un usuario o grupo distinto de Usuarios de PPTP:

2. Haga doble clic en la poltica a la que desea agregar el usuario o grupo.
3. En la pestaa Poltica, en la seccin Desde , haga clic en Agregar.
4. En la lista desplegable Tipo de miembro, seleccione Usuario de Firewall o Grupo de Firewall.
5. Seleccione el usuario o grupo que desea agregar y haga clic en OK.
Para obtener ms informacin sobre cmo utilizar usuarios y grupos en polticas, consulte Use los usuarios y
grupos autorizados en polticas en la pgina 248.
Opciones de acceso a Internet a travs de un

tnel de Mobile VPN con PPTP
Puede permitir que usuarios remotos accedan a Internet a travs de un tnel Mobile VPN. Esta opcin
afecta su seguridad porque este trfico de Internet no est filtrado ni cifrado. Tiene dos opciones de rutas
de tnel de Mobile VPN: la VPN de ruta predeterminada y la VPN de tnel dividido.
VPN de ruta predeterminada

La opcin ms segura es requerir que todo el trfico de Internet del usuario remoto sea enrutado a travs
del tnel VPN hacia el dispositivo WatchGuard. Despus, el trfico es enviado de vuelta a Internet. Con esta
configuracin (conocida como VPN de ruta predeterminada), Firebox puede examinar todo el trfico y
proporcionar mayor seguridad, aunque utiliza ms capacidad de procesamiento y ancho de banda. Al usar
una VPN de ruta predeterminada, una poltica de NAT dinmica debe incluir el trfico saliente de la red
remota. Esto permite a los usuarios remotos navegar por Internet cuando envan todo el trfico al
Nota Si usa los comandos "route print" o "ipconfig" despus de iniciar un tnel Mobile
VPN en una computadora que tiene instalado Microsoft Windows, ver
informacin incorrecta de la puerta de enlace predeterminada. La informacin
correcta se encuentra en la pestaa Detalles del cuadro de dilogo Estado de la
conexin privada virtual.
Gua del Usuario 475

Mobile VPN con PPTP
Dividir VPN de tnel

Otra opcin de configuracin es activar el tnel dividido. Esta configuracin permite a los usuarios navegar
por Internet sin necesidad de enviar trfico de Internet a travs del tnel VPN. El tnel dividido mejora el
desempeo de red, pero disminuye la seguridad debido a que las polticas creadas no son aplicadas al
trfico de Internet. Si usa el tnel dividido, recomendamos que cada equipo cliente tenga un firewall de
software.
Configuracin de VPN de ruta predeterminada para Mobile VPN

with PPTP
En Windows Vista, XP y 2000, la configuracin predeterminada para una conexin PPTP es default-route
(ruta predeterminada). Firebox debe estar configurado con NAT dinmica para recibir el trfico desde un
usuario de PPTP. Cualquier poltica que administre trfico hacia Internet desde detrs del dispositivo
WatchGuard debe estar configurada para permitir el trfico del usuario de PPTP.
Cuando configura la VPN de ruta predeterminada:
n Asegrese de que las direcciones IP que ha agregado al conjunto de direcciones PPTP estn
incluidas en la configuracin de NAT dinmica en el dispositivo WatchGuard.
Desde el Administrador de la poltica, seleccione Red > NAT.
n Modifique la configuracin de la poltica para permitir conexiones desde el grupo de usuarios de
PPTP a travs de la interfaz externa.
Por ejemplo, si usa WebBlocker para controlar el acceso web, agregue el grupo de usuarios de PPTP
a la poltica de proxy que est configurada con WebBlocker activado.
Configuracin deVPNdetnel divididoparaMobileVPNwith

PPTP
En la computadora cliente, edite las propiedades de conexin de PPTP para que no enven todo el trfico a
travs de la VPN.
1. Para Windows Vista, XP o 2000, ingrese en Panel de control> Conexiones de red y haga clic con el
botn derecho en la conexin VPN.
2. Seleccione Propiedades.
Aparece el cuadro de dilogo de propiedades de VPN.
3. Seleccione la pestaa Red .
4. Seleccione Protocolo de Internet (TCP/IP) en el men y haga clic en Propiedades.
5. En la pestaa General , haga clic en Avanzada.
Aparece el cuadro de dilogo Configuracin avanzada de TCP/IP.
6. Windows XP y Windows 2000: en la pestaa General (XP y Windows 2000), desmarque la casilla de
verificacin Usar puerta de enlace predeterminada en red remota.
Windows Vista: en la pestaa Configuracin (XP y Windows 2000), desmarque la casilla de
verificacin Usar puerta de enlace predeterminada en red remota.

Mobile VPN con PPTP
Preparar computadoras cliente para PPTP

Antes de poder usar las computadoras clientes como host remotos de Mobile VPN con PPTP, primero se
debe preparar el acceso a Internet en cada computadora. Luego, puede usar las instrucciones en las
siguientes secciones para:
n Instalar la versin necesaria del Acceso telefnico a redes de Microsoft y los paquetes de servicio
necesarios.
n Preparar el sistema operativo para conexiones de VPN.
n Instalar un adaptador de VPN (no es necesario en todos los sistemas operativos).
Preparar una computadora cliente con Windows NT o 2000:

Instalar MSDUN y los paquetes de servicio
A veces es necesario instalar estas opciones para la configuracin correcta de Mobile VPN con PPTP en
Windows NT y 2000:
n Actualizaciones de MSDUN (Acceso telefnico a redes)

n Otras extensiones
n Paquetes de servicio
Para Mobile VPN with PPTP, deben tenerse instaladas las siguientes actualizaciones:
Cifrado Plataforma Aplicacin
Base Windows NT SP4 de 40bits
Alta seguridad Windows NT SP4 de 128bits
Base Windows 2000 SP2* de 40bits
Alta seguridad Windows 2000 SP2* de 128bits
El cifrado de 40bits es la configuracin predeterminada en Windows 2000. Si realiza la actualizacin desde

Windows 98 con cifrado de alta seguridad, Windows 2000 automticamente establece el cifrado de alta
seguridad para la nueva instalacin.
Para instalar estas actualizaciones o paquetes de servicio, ingrese al sitio web del Centro de descargas de
Microsoft en:
http://www.microsoft.com/downloads/
Los pasos para configurar y establecer una conexin PPTP son diferentes para cada versin de Microsoft
Windows.
Para establecer una conexin PPTP en Windows Vista, consulte: Crear y conectar una Mobile VPN with
PPTP para Windows Vista en la pgina 478
Para establecer una conexin PPTP en Windows XP, consulte: Cree y conecte una Mobile VPN with PPTP
para Windows XP en la pgina 479
Para establecer una conexin PPTP en Windows 2000, consulte: Cree y conecte una Mobile VPN with PPTP
para Windows 2000 en la pgina 480
Gua del Usuario 477

Mobile VPN con PPTP
Crear y conectar una Mobile VPN with PPTP para Windows Vista
Crear una conexin PPTP
Para preparar una computadora cliente con Windows Vista, debe configurar la conexin PPTP en la
configuracin de red.
1. Desde el men Inicio de Windows, seleccione Configuracin> Panel de control.

El men Inicio en Windows Vista se encuentra en el extremo inferior izquierdo de la pantalla.
2. Haga clic en Red e Internet.
Aparece el Centro de redes y recursos compartidos.
3. En la columna de la izquierda, debajo de Tareas, haga clic en Conectarse a una red.
Se inicia el asistente de conexin nueva.
4. Seleccione Conectarse a un lugar de trabajo y haga clic en Siguiente.
Aparece el cuadro de dilogo Conectarse a un lugar de trabajo.
5. Seleccione No, crear una conexin nueva y haga clic en Siguiente.
Aparece el cuadro de dilogo Cmo desea conectarse.
6. Haga clic en Usar mi conexin a Internet (VPN).
Aparece el cuadro de dilogo Ingrese la direccin de Internet a la que se conectar.
7. Ingrese el nombre del host o la direccin IP de la interfaz externa de Firebox en el campo Direccin
de Internet.
8. Ingrese un nombre para la Mobile VPN (como "PPTP para Firebox") en el cuadro de texto Nombre
de destino.
9. Seleccione si desea que otras personas puedan usar esta conexin.
10. Seleccione la casilla de verificacin No conectarse ahora; configurar para poder conectarse ms
tarde para que la computadora cliente no intente conectarse en este momento.
11. Haga clic en Siguiente.
Aparece el cuadro de dilogo Ingrese su nombre de usuario y contrasea.
12. Ingrese el Nombre de usuario y la contrasea para este cliente.
13. Haga clic en Crear.
Aparece el cuadro de dilogo La conexin est lista para usar.
14. Para probar la conexin, haga clic en Conectarse ahora.
Establecer la conexin PPTP

Para conectar una computadora cliente con Windows Vista reemplace [nombre de la conexin] con el
nombre real que us para configurar la conexin PPTP. El nombre de usuario y la contrasea se refiere a
uno de los usuarios que agreg al grupo de usuarios de PPTP. Para ms informaciones, vea Agregar nuevos
usuarios al grupo de usuarios de PPTP en la pgina 471.
Asegrese de tener una conexin activa a Internet antes de comenzar.
1. Haga clic en Inicio > Configuracin > Conexiones de red > [nombre de la conexin]
El botn de Inicio de Windows Vista se encuentra en el extremo inferior izquierdo de la pantalla.
2. Ingrese el nombre de usuario y la contrasea para la conexin y haga clic en Conectar.
3. La primera vez que se conecta, debe seleccionar una ubicacin de red. Seleccione Ubicacin
pblica.

Mobile VPN con PPTP
Cree y conecte una Mobile VPN with PPTP para Windows XP

Para preparar una computadora cliente con Windows XP, debe configurar la conexin PPTP en la
configuracin de red.
Cree la Mobile VPN with PPTP

Desde el escritorio de Windows de la computadora cliente:
1. Desde el men Inicio de Windows, seleccione Panel de control> Conexiones de red.

2. Haga clic en Crear una conexin nueva en el men de la izquierda.
O bien, haga clic en Asistente de conexin nueva en la vista clsica de Windows.
Aparece el asistente de conexin nueva.
4. Seleccione Conectarse a la red desde su lugar de trabajo y haga clic en Siguiente.
5. Seleccione Conexin de red privada virtual y haga clic en Siguiente.
6. Ingrese un nombre para la conexin nueva (como "Conectarse con Mobile VPN") y haga clic en
Siguiente.
7. Seleccione si Windows asegura que la red pblica est conectada:
n Paraunaconexinde bandaancha,seleccioneNomarcarla conexininicial.
O
n Para una conexin por mdem, seleccione Marcar automticamente esta conexin inicial y
luego seleccione un nombre de conexin dentro de la lista desplegable.

Aparece la pantalla de Seleccin del Servidor VPN. El asistente incluye esta pantalla si usa Windows XP SP2. No
todos los usuarios de Windows XP ven esta pantalla.
9. Ingrese el nombre de host o la direccin IP de la interfaz externa de Firebox y haga clic en Siguiente.
Aparece la pantalla de Tarjeta inteligente.
10. Seleccione si usar la tarjeta inteligente con este perfil de conexin y haga clic enSiguiente.
Aparece la pantalla Disponibilidad de conexin.
11. Seleccione quin puede usar este perfil de conexin y haga clic en Siguiente.
12. Seleccione Agregar un acceso directo a esta conexin en mi escritorio.
Conectarse con la Mobile VPN with PPTP

1. Inicie la conexin a Internet a travs de la red telefnica o directamente a travs de una LAN o WAN.
2. Haga doble clic en el acceso directo a la conexin nueva en su escritorio.
O bien, seleccione Panel de control> Conexiones de red y seleccione su conexin nueva desde la
lista de red privada virtual.
3. Ingrese el nombre de usuario y la frase de contrasea para la conexin.
Para obtener ms informacin acerca del nombre de usuario y la frase de contrasea, consulte
Agregar nuevos usuarios al grupo de usuarios de PPTP en la pgina 471.
4. Haga clic en Conectar.
Gua del Usuario 479

Mobile VPN con PPTP
Cree y conecte una Mobile VPN with PPTP para Windows 2000
Parapreparar unhost remotocon Windows2000, debe configurar laconexin PPTPen laconfiguracin de red.
Cree la Mobile VPN with PPTP

Desde el escritorio de Windows de la computadora cliente:
1. Desde el men Inicio de Windows, seleccione Configuracin> Conexiones de red> Crear una
conexin nueva.
Aparece el asistente de conexin nueva.
3. Seleccione Conectarse a la red desde su lugar de trabajo y haga clic en Siguiente.
4. Haga clic en Conexin de red privada virtual.
5. Ingrese un nombre para la conexin nueva (como "Conectarse con Mobile VPN") y haga clic en
Siguiente.
6. Seleccione no marcar (para conexin de banda ancha) o marcar esta conexin en forma automtica
(para conexin con mdem) y haga clic en Siguiente.
7. Ingrese el nombre de host o la direccin IP de la interfaz externa de Firebox y haga clic en Siguiente.
8. Seleccione Agregar acceso directo a esta conexin en mi escritorio y haga clic en Finalizar.
Conectarse con la Mobile VPN with PPTP

1. Inicie la conexin a Internet a travs de la red telefnica o conctese directamente a travs de una
LAN o WAN.
2. Haga doble clic en el acceso directo a la conexin nueva en su escritorio.
O bien, seleccione Panel de control> Conexiones de red y seleccione su conexin nueva desde la
lista de red privada virtual.
3. Ingrese el nombre de usuario y la frase de contrasea para la conexin.
Para obtener ms informacin acerca del nombre de usuario y la frase de contrasea, consulte
Agregar nuevos usuarios al grupo de usuarios de PPTP en la pgina 471.
Realizar conexiones PPTP salientes desde detrs

de un Firebox
Si es necesario, puede realizar una conexin PPTP a un Firebox desde detrs de un Firebox diferente. Por
ejemplo, uno de los usuarios remotos va a la oficina de un cliente que tiene un Firebox. El usuario puede
conectarse a su red con una conexin PPTP. Para que el Firebox local permita la conexin PPTP saliente en
forma correcta, agregue la poltica de PPTP y permita el trfico desde la red en la que se encuentra el
usuario al alias Any-External (cualquiera externo).
Para agregar una poltica, consulte Agregar polticas en la configuracin en la pgina 254.

22 Mobile VPN con IPSec
Acerca del Mobile VPN con IPSec

El Mobile VPN with IPSec es una aplicacin de software cliente instalada en un equipo remoto. El cliente
hace una conexin segura desde el equipo remoto hacia su red protegida a travs de una red desprotegida,
tal como la Internet. El cliente Mobile VPN usa la Seguridad de Protocolo de Internet (IPSec) para proteger
la conexin.
Esos tpicos incluyen instrucciones para ayudar a configurar un tnel Mobile VPN entre el cliente de
Mobile VPN con IPSec y un dispositivo WatchGuard con Fireware XTM instalado.
Configurar una conexin de Mobile VPN con IPSec

Puede configurar el dispositivo WatchGuard para que funcione como un extremo para los tneles Mobile
VPN con IPSec.
En el Fireware XTMWeb UI, seleccione , seleccione >VPN Mobile VPN con IPSec.
El usuario debe ser un miembro de un grupo de Mobile VPN para poder establecer una conexin de
Mobile VPN con IPSec. Cuando agrega un grupo de Mobile VPN, se agrega una poltica Cualquiera a las
Polticas de Mobile VPN> de Firewall que permite que el trfico pase hacia y desde el usuario autenticado
de Mobile VPN.
Haga clic en el botn Generar para crear un perfil de usuario final (archivo .wgx) que puede guardar.
El usuario debe tener ese archivo .wgx para configurar el equipo cliente de Mobile VPN. Si usa un
certificado para autenticacin, tambin se generan los archivos .p12 y cacert.pem. Esos archivos pueden
ser encontrados en la misma ubicacin que el perfil de usuario final de .wgx.
Para restringir el acceso del cliente Mobile VPN, elimine la poltica Cualquiera y aada polticas a Firewall
>Polticas de Mobile VPN que permitan el acceso a recursos.
Gua del Usuario 481

Mobile VPN con IPSec
Cuando el dispositivo WatchGuard est configurado, el equipo cliente debe ser configurado con el software
cliente Mobile VPN con IPSec. Para ms informacin acerca de cmo instalar el software cliente Mobile
VPN con IPSec, vea Instalar el software cliente de Mobile VPN con IPSec en la pgina 512.
Cuando el equipo del usuario est correctamente configurado, el usuario hace la configuracin de Mobile
VPN. Si las credenciales usadas para la autenticacin coinciden con una entrada en la base de datos de
usuarios del dispositivo WatchGuard, y si el usuario est en el grupo Mobile VPN creado, la sesin Mobile
VPN es autenticada.
Requisitos del sistema

Antes de configurar su dispositivo WatchGuard para Mobile VPN with IPSec, asegrese de comprender los
requisitos del sistema para la computadora de administracin de WatchGuard y la computadora del cliente
usuario mvil.
WatchGuard System Manager con cifrado de alta seguridad
Debido a que se aplican estrictas restricciones de exportacin en el software de alto cifrado,

WatchGuard System Manager se ofrece con dos niveles de cifrado. Para generar un perfil de usuario
final para Mobile VPN with IPSec, debe asegurarse de configurar su dispositivo WatchGuard con el
WatchGuard System Manager con cifrado de alta seguridad. El estndar IPSec requiere un cifrado
mnimo de 56bits. Para ms informaciones, vea Instale el software WatchGuard System Manager.
Computadora del cliente usuario mvil
Puede instalar el Mobile VPN con software cliente IPSec en cualquier computadora con Windows
2000 Professional, Windows XP (32bits y 64bits) o Windows Vista (32bits y 64-bits). Antes de
instalar el software cliente, asegrese de que el equipo remoto no tenga un software cliente Mobile
User VPN de IPSec instalado. Tambin debe desinstalar cualquier software de firewall de escritorio
(que no sea el software de firewall de Microsoft) de cada equipo remoto. Para ms informaciones,
vea Requisitos del cliente en la pgina 512.
Nota Slo necesita usar WatchGuard System Manager si desea distribuir el perfil de
usuario final como archivo cifrado (.wgx). Se recomienda esta accin. Puede usar
la Fireware XTMWeb UI para configurar el Mobile VPN with IPSec y generar el
perfil de usuario final sin cifrar (.ini). Para obtener ms informacin sobre los dos
tipos de archivos de configuracin de perfil de usuario final, consulte Acerca de
archivos de configuracin de cliente MobileVPN en la pgina 483.
Opciones de acceso a Internet a travs de un tnel de Mobile

VPN con IPSec
Puede permitir que los usuarios remotos accedan a Internet a travs de un tnel de Mobile VPN. Esa
opcin afecta su seguridad porque el trfico de Internet no es filtrado ni cifrado. Tiene dos opciones de
rutas de tnel de Mobile VPN: la VPN de ruta predeterminada y la VPN de tnel dividido.

VPN de ruta predeterminada

La opcin ms segura es requerir que todo el trfico de Internet del usuario remoto sea enrutado a travs
del tnel VPN hacia el Firebox. Desde el Firebox, el trfico luego es enviado de vuelta a Internet. Con esa
configuracin (conocida como VPN de ruta predeterminada), el Firebox puede examinar todo el trfico y
ofrecer mayor seguridad, aunque se use ms potencia de procesamiento y ancho de banda. Al usar una
VPN de ruta predeterminada, una poltica de NAT dinmica debe incluir el trfico saliente de la red remota.
Eso permite que usuarios remotos naveguen en Internet cuando envan todo el trfico hacia el Firebox.
Para ms informacin acerca de NAT dinmica, vea Agregar firewall a entradas de NAT dinmicas en la
pgina 138.
Dividir VPN de tnel

Otra opcin de configuracin es activar el tnel dividido. Esa configuracin permite que los usuarios
naveguen por Internet normalmente. El tnel dividido disminuye la seguridad porque las polticas de
Firebox no son aplicadas al trfico de Internet, pero el desempeo aumenta. Si usa el tnel dividido, sus
equipos clientes deberan tener un firewall de software.
Acerca de archivos de configuracin de cliente MobileVPN

Con Mobile VPN with IPSec, el administrador de seguridad de red controla los perfiles del usuario final. El
Policy Manager es usado para crear el grupo de Mobile VPN con IPSec y crear un perfil de usuario final, con
la extensin .wgx o .imi. Los archivos .wgx e .ini contienen la clave compartida, identificacin del usuario,
direcciones IP y configuraciones usadas para crear un tnel seguro entre el equipo remoto y el dispositivo
WatchGuard.
El archivo .wgx est cifrado con una frase de contrasea con ocho caracteres de extensin o ms. Tanto el
administrador como el usuario remoto deben conocer esa frase de contrasea. Cuando usa el software
cliente de Mobile VPN con IPSec para importar el archivo .wgx, la frase de contrasea es usada para
descifrar el archivo y configurar el cliente. El archivo .wgx no configura la Administracin de Lnea.
El archivo de configuracin .ini no est cifrado. Slo debe ser usado si la configuracin de Administracin
de Lnea fue alterada para algo diferente de Manual. Para ms informacin, vea Administracin de Lnea
en la pestaa Avanzado en Modificar un perfil de grupo existente de Mobile VPN con IPSec en la pgina 493.
Puede crear o recrear el archivo .wgx e .ini en cualquier momento. Para ms informaciones, vea Archivos
de configuracin de Mobile VPN con IPSec en la pgina 507.
Si desea bloquear los perfiles para usuarios mviles, puede convertirlos en solo lectura. Para ms
informaciones, vea Bloquear un perfil del usuario final en la pgina 506.
Configurar el Firebox para Mobile VPN with IPSec

Puede activar el Mobile VPN with IPSec para un grupo de usuarios creado, o puede crear un nuevo grupo
de usuarios. Los usuarios en el grupo pueden autenticarse sea en el Firebox o en un servidor de
autenticacin de terceros incluido en su configuracin del Firebox.
Gua del Usuario 483

Configurar un grupo de Mobile VPN con IPSec

Aparece la pgina de "Mobile VPN with IPSec".

Aparece la pgina de "Configuracin de VPN de Usuario Mvil con IPSec".

3. Ingrese un nombre de grupo en el cuadro de texto Nombre de grupo .

Puede ingresar el nombre de un grupo existente o el nombre de un nuevo grupo de Mobile VPN.
Asegrese que el nombre es exclusivo entre los nombres de grupo de VPN, as como todos los
nombres de tneles VPN e interfaces.
4. Hacer esas configuraciones para editar el perfil del grupo:
Servidor de autenticacin
Seleccione el autenticacin que usar para ese grupo de Mobile VPN. Puede autenticar usuarios
con la base de datos interna de Firebox (Firebox-DB) o con un servidor RADIUS, VASCO,
SecurID, LDAP o Active Directory Server. Asegrese de que el mtodo de autenticacin elegido
est activado.
frases de contrasea
Ingrese una frase de contrasea para cifrar el perfil de Mobile VPN (archivo .wgx) que
dinstribuye en ese grupo. La clave compartida puede contener slo caracteres ASCII
estndares. Si usa un certificado para autenticacin, ese es el PIN para el certificado.
Confirmar
Gua del Usuario 485

Ingrese la frase de contrasea nuevamente.
Direccin IP externa
Ingrese la direccin IP externa principal a la cual los usuarios de Mobile VPN en ese grupo
pueden conectarse.
Direccin IP de resguardo
Ingrese la direccin IP externa de resguardo a la cual los usuarios de Mobile VPN en ese grupo
pueden conectarse. Esa direccin IP de resguardo es opcional. Si aade una direccin IP de
resguardo, asegrese de que sea una direccin IP asignada a una interfaz externa de Firebox.
Seleccione el tiempo mximo en minutos por el cual una sesin de Mobile VPN puede estar
activa.
Seleccione el tiempo en minutos antes que el Firebox cierre una sesin ociosa de Mobile VPN.
Los valores de tiempo de espera inactivo y sesin son valores predeterminados de tiempo de
espera si el servidor de autenticacin no tiene sus propios valores de tiempo de espera. Si usa
el Firebox como servidor de autenticacin, los tiempos de espera para el grupo de Mobile VPN
son siempre ignorados porque se definen los tiempos de espera para cada cuenta de usuario
de Firebox.
La sesin y los tiempos de espera inactivos no pueden ser ms extensos que el valor en el
campo de Duracin de SA.
Para definir ese valor, en el cuadro de dilogo Configuracin de Mobile VPN con IPSec, haga
clic en la pestaa Tnel IPSec y haga clic en Avanzado para Configuracin de Fase 1. El valor
predeterminado es de 8 horas.

Se abre la pgina Tnel IPSec.

6. Configure:
Utilice la frase de contrasea del perfil del usuario final como clave precompartida
Seleccione esa opcin para usar la frase de contrasea del perfil del usuario final como la clave
precompartida para la autenticacin de tnel. Debe usar la misma clave compartida en el
dispositivo remoto. Esa clave compartida puede contener slo caracteres ASCII estndares.
Usar un certificado
Seleccione esa opcin para usar un certificado para autenticacin de tnel.

Para ms informaciones, vea Use certificados autenticados para el tnel VPN Mobile con IPSec
en la pgina 399.
Direccin IP de CA
Si usa un certificado, ingrese la direccin IP del Management Server que fue configurado como
autoridad de certificacin.
Tiempo de espera
Si usa un certificado, ingrese el tiempo en segundos antes del cual el cliente de Mobile VPN
with IPSec deja de intentar conectarse si no hay respuesta de la autoridad de certificacin.
Recomendamos que se mantenga el valor predeterminado.
Gua del Usuario 487

Seleccione los mtodos de autenticacin y cifrado para los tneles VPN. Esa configuracin debe
ser la misma para ambos extremos de VPN. Para realizar configuraciones avanzadas, tal como
NAT Traversal o grupo de clave, haga clic en Avanzado y vea Definir configuraciones avanzadas
de Fase 1 en la pgina 501.
Las opciones de Cifrado estn en la lista en orden del ms simple y menos seguro al ms
complejo y ms seguro:
DES
3DES
AES (128 bits)
AES (192 bits)
AES (256 bit)
Seleccione el PFS (Perfect Forward Secrecy) para activar el PFS y definir el grupo Diffie-
Hellman.
Para cambiar otra configuracin de propuestas, haga clic en Avanzado y vea Definir
configuraciones avanzadas Configuraciones de Fase 2 en la pgina 503.
7. Haga clic en la pestaa Recursos.

Aparece la pgina Recursos.

8. Configure:
Permitir todo el trfico a travs del tnel
Para enviar todo el trfico de Internet de usuario de Mobile VPN a travs del tnel VPN,
seleccione esa casilla de verificacin.
Si seleccione esa casilla, el trfico de Internet del usuario de Mobile VPN es enviado a travs de
la VPN. Eso es ms seguro, pero disminuye el desempeo de la red.
Si no seleccione esa casilla, el trfico de Internet del usuario de Mobile VPN es enviado
directamente a Internet. Eso es menor seguro, pero los usuarios pueden navegar por Internet
ms rpidamente.
Lista de Recursos Permitidos
Esa lista incluye los recursos a los cuales los usuarios en el grupo de autenticacin de Mobile
VPN puede acceder en la red.
Para agregar una direccin IP o una direccin IP de red a la lista de recursos de red, seleccione
IP del host o IP de red, ingrese la direccin y haga clic en Agregar.
Gua del Usuario 489

Para eliminar la direccin IP seleccionada o la direccin IP de red de la lista de recursos,

seleccione un recurso y haga clic en Remover.
Conjunto de direcciones IP virtuales
Esa lista incluye las direcciones IP internas que son usadas por los usuarios de Mobile VPN por
el tnel. Esas direcciones no pueden ser usadas por ningn dispositivo de red ni por otro grupo
de Mobile VPN.
Para agregar una direccin IP o una direccin IP de red al conjunto de direcciones IP virtuales,
seleccione IP de host o IP de red, ingrese la direccin y haga clic en Agregar.
Para quitarla del conjunto de direcciones IP virtuales, seleccione un host o una direccinIP de
red y haga clic en Remover.

Aparece la pgina "Avanzado".
10. Configurar la Administracin de Lnea:
Modo de conexin
Manual En ese modo, el cliente no intenta reiniciar el tnel VPN automticamente caso est
desactivado. Esa es la configuracin predeterminada.
Para reiniciar el tnel VPN, debe hacer clic en el botn Conectar en el Monitor de Conexin, o
hacer clic con el botn derecho en el icono de Mobile VPN en la barra de herramientas del
escritorio Windows y hacer clic en Conectar.
Automtico En ese modo, el cliente intenta iniciar la conexin cuando su equipo enva
trfico a un destino que puede alcanzar a travs de la VPN. El cliente tambin intenta reiniciar
el tnel VPN automticamente caso est quede sin disponibilidad.
Variable En ese modo, el cliente intenta reiniciar el tnel VPN automticamente hasta que
se haga clic en Desconectar. Despus de desconectar, el cliente no intenta reiniciar el tnel
VPN nuevamente hasta que se haga clic en Conectar.
Tiempo de espera de inactividad

Si el Modo de conexin est definido en Automtico o Variable, el software cliente Mobile

VPNwith IPSec no intenta renegociar la conexin de VPN hasta que no haya trfico desde los
recursos de red disponibles a travs del tnel por el perodo de tiempo insertado en Tiempo de
espera de inactividad.
Nota Las configuraciones predeterminadas de Administracin de Lnea son Manual y 0

segundos. Si alterar una de ellas, debe usar el archivo .ini para configurar el
software cliente.

La pgina Mobile VPN with IPSec se abre y el nuevo grupo IPSec aparece en la lista Grupos.
Los usuarios que son miembros del grupo creado no pueden conectarse hasta que importen el archivo de
configuracin correcto en el software cliente Mobile VPN con IPSec. Se debe generar el archivo de
configuracin y luego proveerlo a los usuarios finales.
Para generar los perfiles de usuario final para el grupo editado:

2. Haga clic en Generar.
Nota El Fireware XTM Web UI slo puede generar el archivo de configuracin .ini de
usuario mvil. Si desea generar el archivo .wgx, debe usar el Policy Manager.
Configurar el servidor de autenticacin externo

Si crea un grupo de usuarios Mobile VPN que se autentica en un servidor externo, asegrese de crear un
grupo en el servidor que tenga el mismo nombre que se aadi al asistente para el grupo Mobile VPN.
Si usa Active Directory como su servidor de autenticacin, los usuarios deben pertenecer a un grupo de
seguridad de Active Directory con el mismo nombre que el nombre de grupo configurado para Mobile VPN
with IPSec.
Para RADIUS, VASCO o SecurID, asegrese de que el servidor RADIUS enva un atributo Filtro-Id (atributo 11
de RADIUS) cuando un usuario se autentica con xito, para informar al Firebox a qu grupo el usuario
pertenece. El valor del atributo Filter-Id debe coincidir con el nombre del grupo Mobile VPN como aparece
en las configuraciones del servidor de autenticacin de Fireware XTM RADIUS. Todos los usuarios de Mobile
VPN que se autentiquen en el servidor deben pertenecer a ese grupo.
Agregar usuarios a un grupo de Mobile VPN de Firebox

Para abrir un tnel de Mobile VPN con el Firebox, los usuarios remotos ingresan su nombre de usuario y
contrasea para autenticarse. El software del WatchGuard System Manager usa esa informacin para
autenticar el usuario en el Firebox. Para autenticarse, los usuarios deben formar parte del grupo aadido en
el Asistente para agregar VPN de usuario mvil.
Para ms informacin acerca de grupos Firebox, vea Tipos de autenticacin de Firebox en la pgina 223.
Gua del Usuario 491

Para aadir usuarios a un grupo caso use un servidor de autenticacin de terceros, use las instrucciones en
la documentacin de su proveedor.
Para aadir usuarios a un grupo caso use la autenticacin de Firebox:

2. Seleccione la pestaa Firebox.

3. Para agregar un nuevo usuario, en la seccin Usuarios, haga clic en Agregar.

4. Ingrese un Nombre y una Frase de contrasea para el nuevo usuario. La frase de contrasea debe
tener al menos 8 caracteres de extensin. Ingrese la frase de contrasea nuevamente para
confirmarla.
La descripcin no es obligatoria. Recomendamos que no cambie los valores de Tiempo de espera de sesin y
Tiempo de espera inactivo.
5. En la seccin Grupo de autenticacin de Firebox , en la lista Disponible, seleccione el nombre de
grupo y haga clic en .
6. Haga clic en OK.
El cuadro de dilogo "Configurar Usuario de Firebox" se cierra. Aparece el nuevo usuario en la pgina
"Servidores de autenticacin" en la lista Usuarios.
Modificar un perfil de grupo existente de Mobile VPN con IPSec

Despus de crear un grupo de Mobile VPN con IPSec, puede editar el perfil en:
n Cambiar la clave compartida

n Agregar acceso a ms hosts y redes
n Restringir acceso a un nico destination port, puerto de origen o protocolo
n Cambiar las configuraciones de Fase 1 y Fase 2
Gua del Usuario 493

Configurar un grupo de Mobile VPN con IPSec

2. Seleccione el grupo que desea editar y haga clic en Editar.

Aparece la pgina de "Configuracin de VPN de Usuario Mvil con IPSec".

3. Configure esas opciones para editar el perfil del grupo:
Servidor de autenticacin
Seleccione el autenticacin que usar para ese grupo de Mobile VPN. Puede autenticar usuarios
al Firebox (Firebox-DB) o a un servidor RADIUS, VASCO, SecurID, LDAP o Active Directory
Server. Asegrese de que ese mtodo de autenticacin est activado.
frases de contrasea
Para cambiar la frase de contrasea que cifra el archivo .wgx, ingrese una nueva frase de
contrasea. La clave compartida puede contener slo caracteres ASCII estndares. Si usa un
certificado para autenticacin, ese es el PIN para el certificado.
Confirmar
Ingrese la nueva frase de contrasea nuevamente.
Principal
Gua del Usuario 495

Ingrese la direccin IP externa principal o dominio al cual los usuarios de Mobile VPN en ese
grupo pueden conectarse.
Resguardo
Ingrese la direccin IP externa de resguardo o dominio al cual los usuarios de Mobile VPN en
ese grupo pueden conectarse. Esa direccin IP de resguardo es opcional. Si aade una
direccin IP de resguardo, asegrese de que sea una direccin IP asignada a una interfaz
externa de Firebox.
Seleccione el tiempo mximo en minutos por el cual una sesin de Mobile VPN puede estar
activa.
Seleccione el tiempo en minutos antes que el Firebox cierre una sesin ociosa de Mobile VPN.
Los valores de tiempo de espera inactivo y sesin son valores predeterminados de tiempo de
espera si el servidor de autenticacin no emite valores especficos de tiempo de espera. Si usa
el Firebox como servidor de autenticacin, los tiempos de espera para el grupo de Mobile VPN
son siempre ignorados porque se definen los tiempos de espera para cada cuenta de usuario
de Firebox.
La sesin y los tiempos de espera inactivos no pueden ser ms extensos que el valor en el
campo de Duracin de SA .
Para definir ese valor, en el cuadro de dilogo Configuracin de Mobile VPN con IPSec, haga
clic en la pestaa Tnel IPSec y haga clic en Avanzado para Configuracin de Fase 1. El valor
predeterminado es de 8 horas.

5. Configure esas opciones para editar el IPSec:
Use la frase de contrasea del perfil de usuario final como la clave precompartida
Seleccione esa configuracin para usar la frase de contrasea del perfil del usuario final como
la clave precompartida para la autenticacin de tnel. La frase de contrasea es definida en la
pestaa General en la seccin Frase de contrasea. Debe usar la misma clave compartida en el
dispositivo remoto y esa clave puede contener solamente caracteres ASCII estndares.
Usar un certificado
Seleccione esa opcin para usar un certificado para autenticacin de tnel.

Para ms informaciones, vea Use certificados autenticados para el tnel VPN Mobile con IPSec
en la pgina 399.
Direccin IP de CA
Si elige usar un certificado, ingrese la direccin IP del Management Server que fue configurado
como autoridad de certificacin.
Tiempo de espera
Si elige usar un certificado, ingrese el tiempo en segundos antes del cual el cliente de Mobile
VPN with IPSec deja de intentar conectarse a la autoridad de certificacin que no responde.
Recomendamos que use la configuracin predeterminada.
Gua del Usuario 497

Seleccione los mtodos de autenticacin y cifrado para los tneles de Mobile VPN.
Para realizar configuraciones avanzadas, tal como NAT Traversal o grupo de clave, haga clic en
Avanzado y Definir configuraciones avanzadas de Fase 1.
Las opciones de Cifrado aparecen en la lista en orden del ms simple y menos seguro al ms
complejo y ms seguro.
DES
3DES
AES (128 bits)
AES (192 bits)
AES (256 bit)
Seleccione el PFS (Perfect Forward Secrecy) para activar el PFS y definir el grupo Diffie-
Hellman.
Para alterar otra configuracin de propuesta, haga clic en Avanzado y Definir configuracin
avanzada de Fase 2.
6. Haga clic en la pestaa Recursos.

7. Defina esas opciones para editar las configuraciones:
Permitir todo el trfico a travs del tnel
Para enviar todo el trfico de Internet de usuario de Mobile VPN a travs del tnel VPN,
seleccione esa casilla de verificacin.
Si seleccione esa casilla, el trfico de Internet del usuario de Mobile VPN es enviado a travs de
la VPN. Eso es ms seguro, pero el acceso al sitio web puede ser lento.
Si no seleccione esa casilla, el trfico de Internet del usuario de Mobile VPN es enviado
directamente a Internet. Eso es menor seguro, pero los usuarios pueden navegar por Internet
ms rpidamente.
Lista de Recursos Permitidos
Esa lista incluye los recursos de red que estn disponibles a los usuarios en el grupo Mobile VPN.
Para agregar una direccin IP o una direccin IP de red a la lista de recursos de red, seleccione
IP del host o IP de red, ingrese la direccin y haga clic en Agregar.
Gua del Usuario 499

Para eliminar la direccin IP o la direccin IP de red de la lista de recursos, seleccione un

recurso y haga clic en Remover.
Conjunto de direcciones IP virtuales
Las direcciones IP internas que son usadas por los usuarios de Mobile VPN por el tnel
aparecen en esa lista. Esas direcciones no pueden ser usadas por ningn dispositivo de red ni
por otro grupo de Mobile VPN.
Para agregar una direccin IP o una direccin IP de red al conjunto de direcciones IP virtuales,
seleccione IP de host o IP de redo ingrese la direccin y haga clic en Agregar.
Para quitarla del conjunto de direcciones IP virtuales, seleccione un host o una direccinIP de
red y haga clic en Remover.
9. Configurar la Administracin de Lnea:
Modo de conexin
Manual En ese modo, el cliente no intenta reiniciar el tnel VPN automticamente caso est
desactivado. Esa es la configuracin predeterminada.
Para reiniciar el tnel VPN, debe hacer clic en Conectar en el Monitor de Conexin, o hacer
clic con el botn derecho en el icono de Mobile VPN en la barra de herramientas del escritorio
Windows y hacer clic en Conectar.
Automtico En ese modo, el cliente intenta iniciar la conexin cuando su equipo enva
trfico a un destino que puede alcanzar a travs de la VPN. El cliente tambin intenta reiniciar
el tnel VPN automticamente caso est quede sin disponibilidad.
Variable En ese modo, el cliente intenta reiniciar el tnel VPN automticamente hasta que
se haga clic en Desconectar. Despus de desconectar, el cliente no intenta reiniciar el tnel
VPN nuevamente hasta que se haga clic en Conectar.
Tiempo de espera de inactividad
Si define el Modo de conexin en Automtico o Variable, el software cliente Mobile VPN with
IPSec no intenta renegociar la conexin de VPN por el tiempo especificado.

Nota Las configuraciones predeterminadas de Administracin de Lnea son Manual y 0

segundos. Si alterar una de ellas, debe usar el archivo .ini para configurar el
software cliente.

Los usuarios finales que son miembros del grupo editado no pueden conectarse hasta que importen el
archivo de configuracin correcto en el software cliente Mobile VPN con IPSec. Se debe generar el archivo
de configuracin y luego proveerlo a los usuarios finales.
Para generar los perfiles de usuario final para el grupo editado:

2. Haga clic en Generar.
Definir configuraciones avanzadas de Fase 1

Puede definir las configuraciones avanzadas de Fase 1 para su perfil del usuario de Mobile VPN.
1. En la pgina Editar Mobile VPN with IPSec, haga clic en la pestaa Tnel IPSec.
2. En la seccin Configuracin de Fase 1, haga clic en Avanzado.
Aparece la "Configuracin Avanzada de Fase 1".
Gua del Usuario 501

3. Configurar las opciones para el grupo, tal como se describe en las siguientes secciones.
Recomendamos que use las configuraciones predeterminadas.
Opciones de Fase 1
Duracin de SA
Seleccione una duracin de SA (asociacin de seguridad) y seleccione Hora o Minuto en la lista

desplegable. Cuando la SA caduca, se inicia una nueva negociacin de Fase 1. Una duracin ms
corta de SA es ms segura pero la negociacin de SA puede producir errores en las conexiones
existentes.
Grupo de claves
Seleccione un grupo Diffie-Hellman. WatchGuard soporta grupos 1, 2 y 5.

Los grupos Diffie-Hellman determinan la fuerza de la clave maestra usada en el proceso de
intercambio de claves. Cuando ms alto sean los nmeros, ms seguro, pero se usa ms tiempo y
recursos en el equipo cliente y el Firebox debe generar las claves.

NAT Traversal
Seleccione esta casilla de verificacin para establecer un tnel de Mobile VPN entre el Firebox y
otro dispositivo que est detrs de un dispositivo NAT. La NAT Traversal, o la Encapsulacin de UDP,
permite que el trfico sea enrutado a los destinos correctos.
IKE keep-alive
Seleccione esta casilla de verificacin solo si este grupo se conecta a un dispositivo WatchGuard ms
antiguo y no soporta la Dead Peer Detection. Todos los dispositivos WatchGuard con Fireware v9.x o
inferior, Edge v8.x o inferior y todas las versiones del WFS no soportan la Dead Peer Detection. Para
esos dispositivos, seleccione esta casilla de verificacin para activar el Firebox para que enve
mensajes a su punto IKE para mantener el tnel VPN abierto. No seleccionar IKEkeep-alive y
Deteccin de punto.
Intervalo de mensajes
Seleccione el nmero de segundos para el intervalo de mensajes de mantener conexin IKE.
Mx. de fallas
Estipule un nmero mximo de veces que el Firebox espera una respuesta de los mensajes de
mantener conexin IKE antes de terminar la conexin de VPN e iniciar nueva negociacin de Fase 1.
Dead Peer Detection
Seleccione esta casilla de verificacin para activar la Dead Peer Detection (DPD). Ambos extremos
deben soportar la DPD. Todos los dispositivos WatchGuard con Fireware v10.x y Edge v10.x o
superior soportan la DPD. No seleccionar IKEkeep-alive y Deteccin de punto.
La DPD est basada en RFC 3706 y usa estndares de trfico de IPSec para determinar si una
conexin est disponible antes que se enve un paquete. Cuando selecciona la DPD, se enva un
mensaje al punto cuando no se recibi ningn trfico del punto dentro del perodo de tiempo
seleccionado. Si la DPD determina que un punto no est disponible, no se hacen intentos adicionales
de conexin.
Tiempo de espera inactivo de trfico
Defina el nmero de segundos que el Firebox espera antes de verificar si el otro dispositivo est
activo.
Cantidad mxima de reintentos
Defina el nmero mximo de veces que el Firebox intenta conectarse antes de determinar que el
punto no est disponible, terminar la conexin de VPN e iniciar nueva negociacin de Fase 1.
Definir configuraciones avanzadas Configuraciones de Fase 2

Puede definir las configuraciones avanzadas de Fase 2 para su perfil del usuario de Mobile VPN.
1. En la pgina Editar Mobile VPN with IPSec, haga clic en la pestaa Tnel IPSec.
2. En la seccin Configuracin de Fase 2, haga clic en Avanzado.
Aparece la "Configuracin Avanzada de Fase 2".
Gua del Usuario 503

3. Configurar las opciones de Fase 2, tal como se describe en la siguiente seccin.

Recomendamos que use las configuraciones predeterminadas.
Opciones de Fase 2
Tipo
Las dos opciones de mtodo de propuesta son ESP o AH. Slo el ESP es compatible actualmente.
Autenticacin
Seleccione el mtodo de autenticacin: SHA1 o MD5.
Cifrado
Seleccione un mtodo de cifrado. Las opciones estn en la lista en orden del ms simple y menos
seguro al ms complejo y ms seguro.
n DES
n 3DES
n AES(128 bits)
n AES (192 bits)
n AES (256 bits)

Forzar Caducidad de Clave
Para regenerar los extremos de puerta de enlace e intercambiar nuevas claves despus de un
perodo de tiempo o despus que pase una cantidad de trfico por la puerta de enlace, seleccione
esa casilla de verificacin.
En el campo Forzar caducidad de clave, seleccione la perodo de tiempo y nmero de kilobytes que
puede pasar antes que la clave caduque.
Si Forzar caducidad de Clave est desactivado, o si est activado y la hora y el nmero de kilobytes
est puestos en cero, el Firebox usa la hora de caducidad de la clave definida para el punto. Si sta
tambin est desactivada o en cero, Firebox usa una hora predeterminada de caducidad de clave de
8 horas. El perodo mximo de tiempo que puede pasar antes que caduque una clave es un ao.
Configurado servidores WINS y DNS.

Los clientes de Mobile VPN dependen de direcciones compartidas de servidores Windows Internet Name
Server (WINS) y Sistema de domain name (DNS). DNS traduce los nombres de host en direcciones IP. WINS
determina los nombres NetBIOS en direcciones IP. Estos servidores deben ser accesibles desde la interfaz
de confianza Firebox.
Asegrese de utilizar slo un servidor DNS interno. No utilice servidores DNS externos.

Gua del Usuario 505

2. En el cuadro de texto Domain name, ingrese un domain name para el servidor DNS.
3. En los cuadros de texto Servidores DNS y Servidores WINS , ingrese las direcciones de los servidores
WINS y DNS.
Bloquear un perfil del usuario final

Puede usar la configuracin global para bloquear el perfil del usuario final para que los usuarios puedan ver
algunas configuraciones, pero no alterarlas, y ocultar otras configuraciones para que los usuarios no puedan
alterarlas. Recomendamos que bloquee todos los perfiles, para que los usuarios no puedan hacer
alteraciones en sus perfiles. Esa configuracin es para los archivos de perfil del usuario final .wgx. No se
puede transformar los archivos .ini de perfil del usuario final en solo lectura.
1. Seleccione VPN > Mobile VPN withIPSec.

2. Para dar a los usuarios mviles acceso de solo lectura a sus perfiles, seleccione la casilla
Transformar las polticas de seguridad en solo lectura en el cliente de Mobile VPN.

Nota Esa configuracin se aplica solamente a archivos .wgx. Debe usar el Policy
Manager para generar archivos .wgx para sus usuarios.
Archivos de configuracin de Mobile VPN con IPSec

Para configurar el cliente Mobile VPN con IPSec, se importa un archivo de configuracin. El archivo de
configuracin tambin se llama perfil del usuario final. Hay dos tipos de archivos de configuracin.
.wgx
Los archivos .wgx son cifrados y pueden ser configurados para que el usuario final no pueda cambiar
las configuraciones en el software cliente Mobile VPN con IPSec. Un archivo .wgx no puede
configurar la Administracin de Lnea en el software cliente. Si define la Administracin de Lnea en
otro modo que no sea Manual, debe usar un archivo de configuracin .ini.
Para ms informaciones, vea Bloquear un perfil del usuario final.
.ini
El archivo .ini es usado solo si no se define la Administracin de Lnea en Manual. El archivo de

configuracin .ini no est cifrado.
Para ms informacin, vea Administracin de Lnea en la pestaa Avanzado Modificar un perfil de

grupo existente de Mobile VPN con IPSec.
Cuando configura un grupo Mobile VPN with IPSec por primera vez, o si hace un cambio en las
configuraciones de un grupo, debe generar el archivo de configuracin para el grupo y proveerlo a los
usuarios finales.
Para usar el Fireware XTM Web UI para generar un perfil de usuario final para un grupo:
1. Seleccione VPN > Mobile VPN>IPSec.

2. Seleccione el grupo Mobile VPN y haga clic en Generar.
3. Seleccione una ubicacin para guardar el archivo de configuracin .ini.
Ahora puede distribuir el archivo de configuracin a los usuarios finales.
Configurar polticas para filtrar trfico de Mobile VPN

En una configuracin predeterminada, los usuarios de Mobile VPN con IPSec tienen acceso completo a los
recursos de Firebox con la poltica Cualquiera. La poltica Cualquiera permite el trfico en todos los puertos
y protocolos entre el usuario de Mobile VPN y los recursos de red disponibles a travs del tnel Mobile
VPN. Para restringir el trfico del usuario de la VPN por puerto y protocolo, puede eliminar la poltica
Gua del Usuario 507

Cualquiera y remplazarla por polticas para restringir acceso.
Agregar una poltica individual

1. Seleccione Firewall>Polticas de Mobile VPN.
2. Debe seleccionar un grupo antes de aadir una poltica.
3. Agregar, editar y eliminar polticas, tal como se describe en Acerca de polticas en la pgina 251.
Distribuir el software y los perfiles

WathGuard recomienda que distribuya los perfiles del usuario final a travs de correo electrnico cifrado u
otro mtodo seguro. Cada equipo cliente debe tener:
n Paquete de instalacin de software

El paquete de instalacin WatchGuard Mobile VPN with IPSec est ubicado en el sitio web de
LiveSecurity Service en:https://www.watchguard.com/archive/softwarecenter.asp
Para descargar el software, debe registrarse en el sitio con su nombre de usuario y contrasea de
LiveSecurity Service.
n El perfil de usuario final
Ese archivo contiene el nombre del grupo, la clave compartida y las configuraciones que permiten
que un equipo remoto se conecte con seguridad por Internet a una red privada y protegida. El perfil
de usuario final tiene el nombre de archivo nombregrupo.wgx. La ubicacin predeterminada del
archivo .wgx es:
C:\Documents and Settings\All Users\Shared WatchGuard \muvpn\<IP address of
Firebox>\<Mobile VPN with IPSec nombre grupo\wgx
n Dos archivos de certificado, si est autenticando con certificados

Esos son el archivo .p12, que es un archivo cifrado con el certificado, y el cacert.pem, que contiene
el certificado raz (CA). Los archivos .p12 y cacert.pem pueden ser encontrados en la misma
ubicacin que el .wgx del perfil de usuario final.
n Documentacin del usuario
La documentacin para ayudar el usuario remoto a instalar el cliente de Mobile VPN e importar el
archivo de configuracin de Mobile VPN puede ser encontrada en los Acerca de archivos de
configuracin de cliente MobileVPN tpicos.
n Frases de contrasea
Para importar el perfil de usuario final, el usuario debe ingresar una frase de contrasea. Esa clave
descifra el archivo e importa la poltica de seguridad en el cliente de Mobile VPN. La frase de
contrasea es definida cuando se crea el grupo Mobile VPN en el Policy Manager.
Para ms informacin acerca de cmo cambiar la clave compartida, vea Modificar un perfil de grupo
existente de Mobile VPN con IPSec en la pgina 493.

Nota La frase de contrasea, nombre de usuario y contrasea del perfil de usuario final
son informaciones confidenciales. Por cuestiones de seguridad, recomendamos
que no ofrezca esa informacin por correo electrnico. Como el correo electrnico
no es seguro, un usuario no autorizado puede usar la informacin para obtener
acceso a su red interna. Ofrezca la informacin al usuario a travs de un mtodo
que no permita que personas no autorizadas la intercepten.
Tpicos adicionales de Mobile VPN

Esa seccin describe los tpicos especiales para Mobile VPN with IPSec.
Estableciendo conexiones salientes de IPSec detrs de un Firebox

Un usuario puede tener que hacer conexiones de IPSec hacia un Firebox detrs de otro Firebox. Por
ejemplo, si un empleado mvil viaja al local del cliente que tiene un Firebox, l puede hacer conexiones de
IPSec hacia su red. Para que el Firebox local administre correctamente la conexin saliente de IPSec, debe
configurar una poltica de IPSec que incluya el filtro de paquetes de IPSec.
Para ms informacin acerca de cmo activar polticas, vea Acerca de polticas en la pgina 251.
Como la poltica de IPSec activa un tnel para el servidor de IPSec y no realiza ninguna verificacin de
seguridad en el firewall, agregue a esa poltica slo los usuarios en los que confa.
Terminar conexiones de IPSec

Para detener completamente las conexiones de VPN, el Firebox debe ser reiniciado. Las conexiones
actuales no se detienen cuando quita la poltica de IPSec.
Configuraciones de VPN Global

Las configuraciones de VPN Global en su Firebox se aplican a todos los tneles BOVPN, tneles
administrados y tneles de Mobile VPN. Puede usar esas configuraciones para:
n Activar puerto de transferencia IPSec.

n Limpie o mantennga las configuraciones de paquetes con conjunto de sealadores de Tipo de
Servicio (TOS).
n Usar un servidor de LDAP para verificar los certificados.
Para cambiar esa configuracin, en el Fireware XTMWeb UI, seleccione VPN >Configuraciones Globales..
Para ms informaciones acerca de esas configuraciones, vea Acerca de las configuraciones de VPN Global
en la pgina 438.
Ver el nmero de licencias de Mobile VPN

Puede ver el nmero de licencias de Mobile VPN que estn instaladas en la Tecla de Funcin.
1. En el Fireware XTMWeb UI, seleccione Sistema >Tecla de funcin.

Aparece la pgina "Tecla de Funcin".
Gua del Usuario 509

2. Deslice hacia abajo hasta Usuarios de Mobile VPN en la columna Funcin, y busque el nmero en la
columna Valor. Ese es el nmero mximo de usuarios de Mobile VPN que pueden conectarse al
mismo tiempo.
Adquirir licencias adicionales de Mobile VPN

El Mobile VPN with IPSec de WatchGuard es una funcin opcional. Cada dispositivo Firebox X incluye
algunas licencias de Mobile VPN. Es posible adquirir ms licencias para Mobile VPN.
Las licencias estn disponibles a travs de su revendedor local o en el sitio web de WatchGuard:
http://www.watchguard.com/sales
Agregar teclas de funcin

Para ms informacin acerca de cmo aadir teclas de funcin, vea Acerca de las teclas de funcin en la
pgina 51.
Mobile VPN y failover de VPN

Puede configurar tneles VPN para hacer conmutacin por error a un extremo de resguardo si el extremo
principal queda no disponible. Para ms informacin acerca del failover de VPN, vea Configurar Failover de
VPN en la pgina 456.
Si la conmutacin por error (failover) de VPN est configura y ocurre una conmutacin por error, las
sesiones de Mobile VPN no tienen continuidad. Debe autenticar su cliente de Mobile VPN nuevamente
para hacer un nuevo tnel de Mobile VPN.
Para configurar un failover de VPN para tneles de Mobile VPN:
1. En el Fireware XTMWeb UI, seleccione VPN >Mobile VPN with IPSec.

Aparece la pgina de "Configuracin de Mobile VPN con IPSec".
2. Seleccione un grupo de usuarios mviles en la lista y haga clic en Editar.

Aparece el cuadro de dilogo de "Editar Mobile VPN with IPSec".
3. Seleccione la pestaa General.
4. En la seccin Direcciones IP de Firebox, ingrese la direccin IP de interfaz WAN de resguardo en el
campo Direccin IP de resguardo .
Puede especificar slo una interfaz de resguardo hacia la cual los tneles conmutan por error,
aunque tenga interfaces WAN adicionales.
Configurar Mobile VPN with IPSec para una direccin IP

dinmica
Recomendamos que use o una direccin IP esttica para un Firebox que sea un extremo de VPN o use DNS
dinmico. Para ms informacin acerca del DNS dinmico, vea Pgina Acerca de Servicio DNS dinmico en
la pgina 88.

Si ninguna de esas opciones es posible y la direccin IP externa del Firebox cambia, debe otorgar un nuevo
archivo de configuracin .wgx a los usuarios de IPSec remoto o pedirles que editen la configuracin cliente
para que sta incluya la nueva direccinIP siempre que la direccinIP cambie. De lo contrario, los usuarios
IPSec no pueden conectarse hasta que obtengan el nuevo archivo de configuracin o direccinIP.
Use estas instrucciones para configurar el Firebox y dar soporte a los usuarios del cliente IPSec si el Firebox
tiene una direccinIP dinmica y no puede usar un DNS dinmico.
Mantenga un registro de la direccinIP actual

Use ese procedimiento para encontrar la direccinIP actual de la interfaz externa de Firebox:
1. En el Fireware XTM Web UI, seleccione Estado del sistema> Interfaces.

2. Busque la interfaz con el alias Externo y busque la direccinIP en la columna IP . Esa es la direccin
IP externa del Firebox.
Esa es la direccinIP guardada en los archivos de configuracin .wgx. Cuando los usuarios remotos dicen
que no pueden conectarse, verifique la direccinIP externa del Firebox para ver si la direccin IP cambi.
Configurar los equipos clientes Firebox e IPSec

El Firebox debe tener una direccinIP asignada a la interfaz externa antes que se descarguen los archivos
.wgx. Esa es la nica diferencia de la configuracin normal de los equipos clientes Firebox e IPSec.
Actualizar las configuracin del cliente cuando cambia la direccin

Cuando la direccinIP externa del Firebox cambia, los equipos clientes de Mobile VPN con IPSec remoto no
pueden conectarse hasta que sean configurados con una nueva direccinIP. Se puede cambiar la direccin
IP de dos maneras.
n Otorgue un nuevo archivo de configuracin .wgx a los usuarios remotos para que lo importen.
n Solicite a los usuarios remotos que editen manualmente la configuracin del cliente IPSec. Para esa
opcin, debe configurar el Firebox para que los usuarios remotos puedan editar la configuracin.
Para ms informaciones, vea Bloquear un perfil del usuario final en la pgina 506.
Para otorgar un nuevo archivo de configuracin .wgx a los usuarios remotos:
1. En el Fireware XTM Web UI, seleccione VPN >Mobile VPN with IPSec.
2. Seleccione un grupo de usuarios de Mobile VPN y haga clic en Generar para crear y descargar los
archivos .wgx.
3. Distribuya los archivos .wgx a los usuarios remotos.
4. Solicite que los usuarios remotos Importar el perfil de usuario final.
Para que los usuarios editen manualmente la configuracin cliente:
1. Otorgue a los usuarios remotos la nueva direccinIP externa del Firebox y solicite que sigan los
prximos cinco pasos.
2. En el equipo cliente IPSec seleccione Inicio > Todos los programas > WatchGuard Mobile VPN >
Mobile VPN Monitor.
3. Seleccione Configuracin > Configuracin de perfil.
4. Seleccione el perfil y haga clic en Configurar.
Gua del Usuario 511

5. En la columna de la izquierda, seleccione Configuracin general de IPSec.

6. Para Puerta de enlace, ingrese la nueva direccinIP externa del Firebox.
Pgina Acerca de cliente Mobile VPNwith IPSec

El cliente Mobile VPN con IPSec de WatchGuard es instalado en un equipo cliente mvil, caso el usuario
viaje o trabaje desde su casa. El usuario se conecta con una conexin a Internet estndar y activa el cliente
Mobile VPN para acceder a los recursos protegidos de red.
El cliente Mobile VPN crea un tnel cifrado hacia sus redes de confianza y opcional, que estn protegidas
por un Firebox de WatchGuard. El cliente Mobile VPN permite proveer acceso remoto a sus redes internas
y no comprometer su seguridad.
Requisitos del cliente

Antes de instalar el cliente, asegrese que entiende esos requisitos y recomendaciones.
Debe configurar su Firebox para que funcione con Mobile VPN with IPSec. Si todava no lo hizo, vea los
tpicos que describen cmo configurar su Firebox para usar Mobile VPN.
n Puede instalar el software cliente Mobile VPN con IPSec en cualquier equipo con Windows 2000,
Windows XP (32 bits y 64 bits), Windows Vista (32 bits y 64 bits) o Windows 7 (32 bits y 64 bits).
Antes de instalar el software cliente, asegrese de que el equipo remoto no tenga un software
cliente Mobile User VPN de IPSec instalado. Tambin debe desinstalar cualquier software de
firewall de escritorio (que no sea el software de firewall de Microsoft) de cada equipo remoto.
n Si el equipo cliente usa Windows XP, debe iniciar sesin usando una cuenta que tenga derechos de
administrador para instalar el software cliente Mobile VPN e importar el archivo de configuracin
.wgx o .ini. Despus que el cliente haya sido instalado y configurado, los derechos de administrador
no son requeridos para conectarse.
n Si el equipo cliente usa Windows Vista, debe iniciar sesin usando una cuenta que tenga derechos
de administrador para instalar el software cliente Mobile VPN. Los derechos de administrador no
son necesarios para importar un archivo .wgx o .ini o para conectarse despus que el cliente haya
sido instalado.
n Recomendamos que se asegure de que todos los service packs disponibles estn instalados antes de
instalar el software cliente Mobile VPN.
n Se obtiene la configuracin de WINS y DNS para el cliente Mobile VPN en el perfil del cliente que
importa cuando configura su cliente Mobile VPN.
n Recomendamos que no altere la configuracin de ningn cliente Mobile VPN que no est
explcitamente descrita en esta documentacin.
Instalar el software cliente de Mobile VPN con IPSec

El proceso de instalacin consiste de dos partes: instalar el software cliente en el equipo remoto e importar
el perfil de usuario final en el cliente. Antes de iniciar la instalacin, asegrese de tener los siguientes
componentes de instalacin:
n El archivo de instalacin de Mobile VPN

n Un perfil de usuario final, con una extensin de archivo .wgx o .ini

n frases de contrasea
n Un archivo cacert.pem y un .p12 (si usa certificados para autenticar)
n Nombre de usuario y contrasea
Nota Tome nota de la clave compartida y mantngala en un lugar seguro. Debe usarla
durante los pasos finales del procedimiento de instalacin.
Para instalar el cliente:
1. Copie el archivo de instalacin de Mobile VPN en el equipo remoto y extraiga los contenidos del
archivo.
2. Copie el perfil del usuario final (el archivo .wgx o .ini) en el directorio raz en el equipo remoto
(cliente o usuario). No ejecute el software de instalacin a partir de un CD u otra unidad externa.
Si usa certificados para autenticarse, copie los archivos cacert.pem y .p12 en el directorio raz.
3. Haga doble clic en el archivo .exe extrado en el Paso 1. Eso inicia el WatchGuard Mobile VPN
Installation wizard. Debe reiniciar su equipo cuando el asistente de instalacin se reinicia.
Para instrucciones detalladas para usuarios finales clientes de Mobile VPN con IPSec, vea Instrucciones de
usuario final para la instalacin del cliente VPN Mobile con IPSec de WatchGuard en la pgina 526.
Importar el perfil de usuario final

Cuando el equipo se reinicia, abre el cuadro de dilogo WatchGuard Mobile VPN Connection Monitor.
Cuando el software se inicia por primera vez despus de instalarlo, encuentra este mensaje:
No hay perfil para el marcado de VPN! Desea usar el asistente de configuracin

para crear un perfil ahora?
Haga clic en No.
Para apagar la funcionalidad de inicio automtico del Connection Monitor, seleccione Ver > Inicio
automtico > No iniciar automticamente.
Para importar un archivo .wgx o .ini de configuracin de Mobile VPN:
1. En el escritorio del Windows, seleccione Inicio > Todos los programas > WatchGuard Mobile VPN >
Monitor de Mobile VPN.
2. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuracin > Importar perfil.
Se inicia el Asistente de Importacin de Perfil.
3. En la pantalla Seleccionar perfil de usuario, vaya hacia la ubicacin del archivo de configuracin .wgx
o .ini.
5. Si usa un archivo .wgx, en la pantalla Descifrar persil de usuario, ingrese la frase de contrasea. La
frase de contrasea distingue maysculas de minsculas.
7. En la pantalla Sobrescribir o agregar perfil, puede seleccionar sobrescribir un perfil con el mismo
nombre. Eso es til si su administrador de red le ofrece un nuevo archivo .wgx para importar.
Gua del Usuario 513

9. En la pantalla Autenticacin, puede seleccionar si desea ingresar el nombre de usuario y contrasea

que usa para autenticar el tnel VPN.
Si mantiene esos campos vacos, se solicita que inserte su nombre de usuario y contrasea siempre
que se conecte.
Si inserta su nombre de usuario y contrasea, el Firebox los almacena y no hace falta inserir esa
informacin siempre que se conecte. No obstante, eso representa un riesgo de seguridad. Tambin
puede ingresar slo su nombre de usuario y mantener el campo contrasea vaco.

El equipo ahora est listo para usar el Mobile VPN with IPSec.
Seleccione un certificado e ingrese el PIN

Si usa certificados para autenticacin, debe seleccionar el certificado correcto para la conexin. Debe tener
un archivo cacert.pem y un .p12.
1. Seleccione Configuracin> Certificados.

2. Haga doble clic en una configuracin de certificado para abrirla.
3. En la pestaa Certificado de usuario, seleccione del archivo PKS#12 en la lista desplegable
Certificado.
4. Al lado del cuadro de texto Nombre de archivo PKS#12, haga clic en el botn y examine la ubicacin
del archivo .p12.
5. Haga clic en OK.
6. Seleccione Conexin > Insertar PIN.
7. Ingrese el PIN y haga clic en Aceptar.
El PIN es la frase de contrasea insertada para cifrar el archivo cuando est ejecutando el "Add Mobile User
VPN Wizard".
Desinstalar el cliente Mobile VPN

Puede ser necesario desinstalar el cliente Mobile VPN. Recomendamos que use la herramienta de
Windows Agregar/Quitar programas para desinstalar el cliente Mobile VPN. Despus que se instala el
software cliente Mobile VPN por primera vez, no es necesario desinstalarlo antes de aplicar una
actualizacin al software cliente.
Antes de iniciar, desconecte todos los tneles y cierre el Mobile VPN Connection Monitor. Desde el
escritorio de Windows:
1. Haga clic en Inicio > Configuracin > Panel de control.

2. Haga doble clic en el icono de Agregar/Quitar Programas.
Aparece la ventana Agregar/Quitar Programas.
3. Seleccione WatchGuard Mobile VPN y haga clic en Alterar/Quitar.
Aparece la venta del Asistente InstallShield.
4. Haga clic en Quitar y despus en Siguiente.
Aparece el cuadro de dilogo Confirmar eliminacin de archivo.

5. Haga clic en Aceptar para remover completamente todos los componentes. Si no selecciona esa
casilla de verificacin al final de la desinstalacin, la prxima vez que instala el software Mobile VPN,
la configuracin de conexin de esa instalacin ser usada para la nueva instalacin.
Conecte y desconecte el cliente Mobile VPN

El software cliente Mobile VPN con IPSec de WatchGuard establece una conexin segura por Internet
desde un equipo remoto hacia su red protegida. Para iniciar esa conexin, debe conectarse a Internet y
usar el cliente Mobile VPN para conectarse a la red protegida.
Establezca su conexin a Internet a travs de una conexin de red de marcado o una conexin LAN. Luego,
use las instrucciones abajo para seleccionar su perfil, conectar y desconectar, haciendo clic con el botn
derecho en el icono en su barra de herramientas de Windows.
2. En la lista desplegable Perfil, seleccione el nombre del perfil creado para sus conexiones de Mobile
VPN al Firebox.
3. Haga clic en para conectarse.
Desconectar el cliente Mobile VPN

En el cuadro de dilogo Monitor de Mobile VPN, haga clic en para desconectar.
Controlar el comportamiento de conexin

Para cada perfil importado, puede controlar la accin que el software cliente Mobile VPN toma cuando el
tnel VPN deja de estar disponible por cualquier motivo. Puede hacer esas configuraciones en el dispositivo
WatchGuard y usar un archivo .ini para configurar el software cliente. Un archivo .wgx no cambia esas
configuraciones.
Gua del Usuario 515

Para definir manualmente el comportamiento del cliente Mobile VPN cuando el tnel VPN deja de estar
disponible:
1. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuracin > Perfiles.

2. Seleccione el nombre del perfil y haga clic en Editar.
3. En el panel izquierdo, seleccione Administracin de lnea.
4. Use la lista desplegable Modo de conexin para definir un comportamiento de conexin para ese
perfil.
n Manual Cuando selecciona el modo de conexin manual, el cliente no intenta
reiniciar el tnel VPN automticamente caso est desactivado. Para reiniciar el tnel
VPN, debe hacer clic en el botn Conectar en el Monitor de Conexin, o hacer clic con el
botn derecho en el icono de Mobile VPN en la barra de herramientas del escritorio
Windows y hacer clic en Conectar.

nAutomtico Cuando selecciona el modo de conexin automtico, el cliente intenta

iniciar la conexin cuando su equipo enva trfico a un destino que puede alcanzar a
travs de la VPN. El cliente tambin intenta reiniciar el tnel VPN automticamente caso
est desactivado.
n Variable Cuando selecciona el modo de conexin variable, el cliente intenta reiniciar
el tnel VPN automticamente hasta que se haga clic en Desconectar. El cliente no

intenta reiniciar el tnel VPN nuevamente hasta que se haga clic en Conectar.
5. Haga clic en OK.
Icono del cliente Mobile User VPN

El El icono de Mobile User VPN aparece en la bandeja de sistema del escritorio de Windows mostrando el
estado del firewall de escritorio, del firewall de enlace y de la red VPN. Puede hacer clic con el botn
derecho en el icono para conectar y desconectar el Mobile VPN y ver cul perfil est en uso.
Vea los mensajes de registro del Mobile VPN

Puede usar el archivo de registro del cliente Mobile VPN para solucionar problemas con la conexin del
cliente VPN.
Para ver los mensajes de registro de Mobile VPN, seleccione Registro> Libro de registro del Monitor de
Conexin.
Aparece el cuadro de dilogo "Libro de Registros".
Proteger su equipo con el firewall de Mobile VPN

El cliente Mobile VPN con IPSec de WatchGuard incluye dos componentes de firewall:
Gua del Usuario 517

Firewall de enlace
El firewall de enlace no est activado por defecto. Cuando el firewall de enlace est activado, su
equipo desecha los paquetes recibidos de otros equipos. Puede elegir activar el firewall de enlace
slo cuando un tnel de Mobile VPN est activo, mantngalo habilitado todo el tiempo.
Firewall de escritorio
Ese firewall completo puede controlar las conexiones hacia y desde su equipo. Puede definir redes
conocidas y definir reglas de acceso separadamente para redes desconocidas o conocidas.
Activar el firewall del enlace

Cuando el firewall de enlace est activado, el software cliente Mobile VPN desecha los paquetes enviados a
su equipo desde otros hosts. Slo permite paquetes enviados a su equipo en respuesta a paquetes a su vez
enviados por su equipo. Por ejemplo, si enva una solicitud a un servidor HTTP a travs de un tnel desde su
equipo, el trfico de respuesta desde el servidor HTTP est permitido. Si un host intenta enviar una solicitud
HTTP a su equipo a travs del tnel, sta es negada.
Para activar el firewall de enlace:

2. Seleccione el perfil para el cual desea activar el firewall de enlace y seleccione Editar.
3. En el panel izquierdo, seleccione Firewall de enlace.
4. En la lista desplegable Inspeccin de estado, seleccione cuando conectado o siempre. Si selecciona

"cuando conectado", el firewall de enlace funciona solo cuando el tnel VPN est activo para este
perfil.
Si selecciona siempre, el firewall de enlace est siempre activo, est el tnel VPN activo o no.
5. Haga clic en OK.

Pgina Acerca de firewall de escritorio

Cuando activa una regla en sus configuraciones de firewall, debe especificar a qu tipo de red la regla se
aplica. En el cliente Mobile VPN, hay tres tipos diferentes de redes:
Redes VPN
Redes definidas para el cliente en el perfil del cliente que importan.
Redes desconocidas
Cualquier rede no especificada en el firewall.
Redes conocidas
Cualquier red especificada en el firewall como conocida.
Para ms informacin acerca de cmo activar un firewall de escritorio, vea Activar firewall de escritorio en
la pgina 519.
Activar firewall de escritorio

Para activar el firewall de escritorio completo:
1. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuracin > Firewall.

El firewall est desactivado por defecto.
2. Cuando activa el firewall, debe elegir entre dos modos de firewall:
n Configuracin bsica bloqueada Cuando activa ese modo, el firewall niega todas las
conexiones hacia o desde su equipo, excepto si cre una regla para permitir la conexin.
n Configuracin bsica abierta Cuando activa ese modo, el firewall permite todas las
conexiones, excepto si cre una regla para negar la conexin.
Gua del Usuario 519

3. Haga clic en OK.
Despus de activar el firewall de escritorio, puede configurar su firewall.
Para ms informacin acerca de cmo definir redes conocidas y crear reglas de firewall, vea Definir redes
conocidas en la pgina 520 y Crear reglas de firewall en la pgina 521.
Definir redes conocidas

Puede generar un conjunto de reglas de firewall para redes conocidas especficas que usted defina. Por
ejemplo, si desea usar el cliente Mobile VPN en una red local en la cual desea que su equipo est
disponible para otros equipos, puede aadir la direccin de red de esa LAN como red conocida. Eso hace
que las reglas de firewall para esa LAN sean diferentes de las reglas de firewall creadas para conexiones
hacia Internet y redes VPN remotas.
1. En el cuadro de dilogo Configuracin de firewall, haga clic en la pestaa Redes conocidas.

2. Haga clic en Agregar para aadir una nueva red conocida.
La funcin de deteccin automtica de Red Conocida no funciona correctamente en esta versin del
software cliente Mobile VPN con IPSec.

Crear reglas de firewall

Puede crear excepciones al modo de firewall definido en la activacin del firewall en la pestaa Reglas de
firewall del cuadro de dilogo Configuracin de firewall. Por ejemplo, si seleccion Configuracin bsica
bloqueada al activar el firewall, entonces las reglas creadas aqu permiten el trfico. Si seleccion
Configuracin bsica abierta, las reglas creadas aqu niegan el trfico. Las reglas de firewall pueden incluir
mltiples nmeros de puerto desde un nico protocolo.
Seleccione o limpie las casillas de verificacin abajo Ver configuracin para mostrar o ocultar categoras de
reglas de firewall. Algunas opciones no estn disponibles en el Mobile VPN para la versin de Windows
Mobile del firewall de escritorio.
Para crear una regla, haga clic en Agregar. Use las cuatro pestaas en el cuadro de dilogo Entrada de regla
de firewall para definir el trfico que desea controlar:
n Pestaa General
n Pestaa Local
n Pestaa Remoto
n Pestaa Aplicaciones
Gua del Usuario 521

Pestaa General
Puede definir las propiedades bsicas de sus reglas de firewall en la pestaa General del cuadro de dilogo
Entrada de regla de firewall.
Nombre de la regla
Ingrese un nombre descriptivo para esa regla. Por ejemplo, puede crear una regla llamada
"navegacin web" que incluya trfico en puertos de TCP 80 (HTTP), 8080 (HTTP alternativo) y 443
(HTTPS).
Estado
Para hacer que una regla est inactiva, seleccione Desactivar. Las nuevas reglas son activas por
defecto.
Direccin
Para aplicar la regla al trfico proveniente de su equipo, seleccione saliente. Para aplicar la regla al
trfico que es enviado a su equipo, seleccione entrante. Para aplicar la regla a todo el trfico,
seleccione bidireccional.
Asignar regla a
Seleccionar las casillas al lado de los tipos de red a los que se aplica esa regla.
Protocolo
Use esa lista desplegable para seleccionar el tipo de trfico de red que desea controlar.

Pestaa Local
Puede definir los puertos y las direcciones IP locales que son controlados por su regla de firewall en la
pestaa Local en el cuadro de dilogo Entrada de regla de firewall. Recomendamos que, en cualquier
regla, configure las Direcciones IP locales para activar el botn de radio Cualquier direccin IP. Si configura
una poltica entrante, puede aadir los puertos con los cuales controlar esa poltica en la configuracin de
Puertos Locales. Si desea controlar ms de un puerto a en la misma poltica, seleccione Varios puertos o
rangos. Haga clic en Nuevo para agregar cada puerto.
Si seleccione el botn de radio Explicitar direccin IP, asegrese de que especifica una direccin IP. La
direccin IP no debe estar definida en 0.0.0.0.
Gua del Usuario 523

Pestaa Remoto
Puede definir los puertos y direcciones IP remotas que son controlados por esa regla en la pestaa Remoto
del cuadro de dilogo Entrada de regla de firewall.
Por ejemplo, si su firewall est definido para que niegue todo el trfico y desea crear una regla para
permitir conexiones POP3 salientes, agregue la direccin IP de su servidor POP3 como Explicitar direccin
IP en la seccin Direcciones IP remotas. Despus, en la seccin Puertos remotos, especifique el puerto
110 como un Explicitar puerto para esa regla.
Si seleccione el botn de radio Explicitar direccin IP, asegrese de que especifica una direccin IP. La
direccin IP no debe estar definida en 0.0.0.0.

Pestaa Aplicaciones
Puede limitar su regla de firewall para que se aplique solo cuando se usa un programa especificado.
1. En la pestaa Aplicaciones en el cuadro de dilogo "Entrada de regla de firewall", seleccione la

casilla Vincular regla a la aplicacin abajo. Esa pestaa no est disponible en el Mobile VPN para la
versin de Windows Mobile del firewall de escritorio.
Gua del Usuario 525

2. Haga clic en Seleccionar aplicacin para examinar su equipo local en busca de una lista de
aplicaciones disponibles.
3. Haga clic en OK.
Instrucciones de usuario final para la instalacin del cliente

VPN Mobile con IPSec de WatchGuard
Nota Esas instrucciones estn escritas para usuarios finales del cliente Mobile VPN con
IPSec. Ellas informan a los usuarios finales que contacten a su administrador de
red para obtener instrucciones acerca de cmo instalar un firewall de escritorio o
configurar el firewall que forme parte del software cliente, y para obtener la
configuracin para controlar el comportamiento de conexin caso no usen un
archivo .ini. Puede imprimir esas instrucciones o usarlas para crear un conjunto de
instrucciones para sus usuarios finales.
El cliente Mobile VPN con IPSec de WatchGuard crea una conexin cifrada entre su equipo y el Firebox con
una conexin a Internet estndar. El cliente Mobile VPN le permite tener acceso a recursos protegidos de
red desde cualquier ubicacin remota con una conexin a Internet.
Antes de instalar el cliente, asegrese de entender esos requisitos y recomendaciones:

n Puede instalar el software cliente Mobile VPN con IPSec en cualquier equipo con Windows 2000
Pro, Windows XP (32 bits y 64 bits) o Windows Vista (32 bits y 64 bits).
n Asegrese de que el equipo no tenga ningn otro software cliente Mobile User VPN de IPSec
instalado.
n Desinstale cualquier software de firewall de escritorio (que no sea el software de firewall de
Microsoft) de su equipo.
n Si el equipo cliente usa el Windows XP para instalar el software cliente Mobile VPN y para importar
el archivo de configuracin .wgx, debe iniciar sesin con una cuenta que tenga derechos de
administrador. Despus que el cliente haya sido instalado y configurado, los derechos de
administrador no son requeridos para conectarse.
n Si el equipo cliente usa Windows Vista, para instalar el software cliente Mobile VPN, debe iniciar
sesin usando una cuenta que tenga derechos de administrador. Los derechos de administrador no
son necesarios para importar un archivo .wgx o .ini o para conectarse despus que el cliente haya
sido instalado.
n Recomendamos que se asegure de que todos los service packs disponibles estn instalados antes de
instalar el software cliente Mobile VPN.
n Recomendamos que no altere la configuracin de ningn cliente Mobile VPN que no est
explcitamente descrita en esta documentacin.
Antes de iniciar la instalacin, asegrese de tener los siguientes componentes de instalacin:
n Archivo de instalacin del software Mobile VPN with IPSec

n Perfil de usuario final, con una extensin de archivo .wgx o .ini.
n Frase de contrasea (caso el perfil de usuario final sea un archivo .wgx o la conexin use certificados
para autenticacin)
n Nombre de usuario y contrasea
n Archivo de certificado cacert.pem y .p12 (caso la conexin use certificados para autenticacin)
Instale el software cliente

1. Copie el archivo .zip del Mobile VPN en el equipo remoto y extraiga los contenidos del archivo hacia
el directorio raz en el equipo remoto (cliente o usuario). No ejecute el software de instalacin a
partir de un CD u otra unidad externa.
2. Copie el perfil del usuario final (archivo .wgx o .ini) en el directorio raz.
Si usa certificados para autenticarse, copie tambin los archivos cacert.pem e .p12 en el directorio raz.
3. Haga doble clic en el archivo .exe extrado en el Paso 1. Eso inicia el Asistente de Instalacin del
Mobile VPN de WatchGuard. Debe reiniciar su equipo cuando el asistente de instalacin se reinicia.
4. Haga clic en la secuencia del asistente y acepte todas las configuraciones predeterminadas.
5. Reinicie su equipo cuando el asistente de instalacin se concluye.
6. Cuando el equipo se reinicia, aparece el cuadro de dilogo WatchGuard Mobile VPN Connection
Monitor. Cuando el software se inicia por primera vez despus de instalarlo, encuentra este
mensaje:
No hay perfil para el marcado de VPN!

Desea usar el asistente de configuracin para crear un perfil ahora?
7. Haga clic en No.

8. Seleccione Ver >Inicio automtico > No iniciar automticamente para que el programa no se
ejecute automticamente.
Gua del Usuario 527

Despus de instalar el software cliente, reinstale el software del firewall de escritorio o configure el firewall
que forme parte del software cliente. Si usa un firewall de escritorio de terceros, asegrese de configurarlo
para permitir que el trfico establezca el tnel VPN y que fluya trfico por ese tnel. Contacte su
administrador de red para obtener instrucciones.
Importar el perfil del usuario final

El archivo del perfil del usuario final configura el cliente Mobile VPN con los ajustes necesarios para crear
un tnel VPN.
Para importar un archivo .wgx o .ini de configuracin de Mobile VPN:
2. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuracin > Importar perfil.
3. En la pantalla Seleccionar perfil de usuario, vaya hacia la ubicacin del archivo de configuracin .wgx
o .ini.
5. Si usa un archivo .wgx, en la pantalla Descifrar persil de usuario, ingrese la frase de contrasea. La
frase de contrasea distingue maysculas de minsculas.
nombre. Eso es til si su administrador de red le ofrece un nuevo archivo .wgx para importar.
9. En la pantalla Autenticacin, puede seleccionar si desea ingresar el nombre de usuario y contrasea
que usa para autenticar el tnel VPN.
Si mantiene esos campos vacos, debe insertar su nombre de usuario y contrasea siempre que se
conecte.
Si inserta su nombre de usuario y contrasea, el Firebox los almacena y no hace falta inserir esa
informacin siempre que se conecte. No obstante, eso representa un riesgo de seguridad. Tambin
puede ingresar slo su nombre de usuario y mantener el campo contrasea vaco.
Seleccione un certificado e ingrese el frase de contrasea

Complete esa seccin slo si tiene un archivo cacert.pem y un .p12.

Certificado.
3. Al lado del cuadro de texto Nombre de archivo PKS#12, haga clic en el botn y examine la ubicacin
del archivo .p12.
4. Haga clic en OK.
6. Ingrese su frase de contrasea y haga clic en Aceptar.

Conecte y desconecte el cliente Mobile VPN

Conctese a Internet a travs de una conexin de red de marcado o una conexin LAN. Luego, use las
instrucciones abajo para seleccionar su perfil, conectarse y desconectarse.
Para seleccionar su perfil y conectarse al cliente Mobile VPN:
Aparece el cuadro de dilogo Mobile VPN de WatchGuard.
2. En la lista desplegable Perfil, seleccione el nombre del perfil importado.
3. Haga clic en para conectarse.

El icono del cliente Mobile User VPN aparece en la bandeja de sistema de Windows cuando est conectado.
Para desconectar el cliente Mobile VPN:
1. Cuadro de dilogo Restaurar el Monitor de Mobile VPN.

2. Haga clic en para desconectarse.
Controlar comportamiento de conexin

El comportamiento de conexin controla la accin que el software cliente Mobile VPN toma cuando el
tnel VPN se vuelve no disponible por cualquier motivo. Por defecto, debe reconectar manualmente. No
se requiere que altere el comportamiento de conexin, pero puede seleccionar reconectar de forma
automtica o variable. Contacte su administrador de red para obtener una sugerencia de configuracin.
Nota Si importa un archivo .ini para configurar el software cliente, no altere ninguna
configuracin de la Administracin de Lnea. El archivo .ini realiza esas
configuraciones.
Para definir el comportamiento del cliente Mobile VPN cuando el tnel VPN deja de estar disponible:
Gua del Usuario 529


2. Seleccione el nombre del perfil y haga clic en Editar.
3. En el panel izquierdo, seleccione Administracin de lnea.
4. Use la lista desplegable Modo de conexin para definir un comportamiento de conexin para ese
perfil.
o Manual Cuando selecciona el modo de conexin manual, el cliente no intenta reiniciar el
tnel VPN automticamente caso est desactivado.
Para reiniciar el tnel VPN, debe hacer clic en el botn Conectar en el Monitor de Conexin,
o hacer clic con el botn derecho en el icono de Mobile VPN en la barra de herramientas del
escritorio Windows y hacer clic en Conectar.

o Automtico Cuando selecciona el modo de conexin automtico, el cliente intenta iniciar

la conexin cuando su equipo enva trfico a un destino que puede alcanzar a travs de la
VPN. El cliente tambin intenta reiniciar el tnel VPN automticamente caso est desactivado.
o Variable Cuando selecciona el modo de conexin variable, el cliente intenta reiniciar el
tnel VPN automticamente hasta que se haga clic en Desconectar. Despus de desconectar,
el cliente no intenta reiniciar el tnel VPN nuevamente hasta que se haga clic en Conectar.
5. Haga clic en OK.
Icono del cliente Mobile User VPN
El El icono del Mobile User VPN aparece en la bandeja de sistema de Windows mostrando el estado de la
conexin de VPN. Puede hacer clic con el botn derecho en el icono para reconectar y desconectar el
Mobile VPN y para ver el perfil en uso.
Configuracin del Mobile VPN para Windows

Mobile
El Mobile VPN de WatchGuard para Windows Mobile usa la conexin de datos en un dispositivo que ejecuta
el sistema operativo de Windows Mobile para establecer una conexin de VPN segura a redes protegidas
por un Firebox compatible con el Mobile VPN with IPSec. El Mobile VPN para Windows Mobile tiene dos
componentes:
n El WatchGuard Mobile VPN WM Configurator es ejecutado en un equipo que puede establecer

una conexin con el dispositivo Windows Mobile usando el Microsoft ActiveSync. El Configurator
configura y sube el software cliente al dispositivo Windows Mobile.
n El software cliente Mobile VPN de WatchGuard se ejecuta en el dispositivo Windows Mobile. El
WatchGuard Mobile VPN Service debe estar en ejecucin para que se establezca una conexin de
VPN. El WatchGuard Mobile VPN Monitor permite seleccionar un perfil de usuario final cargado y
conectarse a la VPN.
El Mobile VPN para Windows Mobile usa los mismos archivos .wgx de perfil de usuario final que son usados
para configurar el Mobile VPN with IPSec. Para crear el perfil de usuario final, vea Configurar el Firebox
para Mobile VPN with IPSec en la pgina 483.
Los requisitos del cliente Mobile VPN WM Configurator y de

IPSec de Windows Mobile
Antes de instalar el cliente, asegrese que entiende esos requisitos y recomendaciones para trabajar con el
Mobile VPN with IPSec. Si todava no lo hizo, vea los tpicos que describen cmo configurar su Firebox para
usar Mobile VPN.
Debe Configurar el Firebox para Mobile VPN with IPSec. Ese proceso crea el perfil del usuario final
necesario para configurar el software cliente de Windows Mobile.
Los requisitos de sistema del Mobile VPN WM Configurator son:
Gua del Usuario 531

Sistema Operativo (OS) Microsoft ActiveSync Versin
Windows 2000 4.5 o posterior
Windows XP (32 bits y 64 bits) 4.5 o posterior
Windows Vista 6.1
Los requisitos del dispositivo cliente de IPSec de Windows Mobile son:
n Windows Mobile 5.0

n Windows Mobile 6.0
Los dispositivos compatibles incluyen:
n Symbol MC70 (Windows Mobile 5 Premium Phone)

n T-Mobile Dash (Windows Mobile 6 Smartphone)
n Samsung Blackjack (Windows Mobile 5 Smartphone)
Nota Los dispositivos de esa lista fueron probados con el Mobile VPN de WatchGuard
para Windows Mobile. Para aprender si otros usuarios configuraron otro
dispositivo con xito, verifique el Foro de Usuario WatchGuard, en
http://forum.watchguard.com/.
Para instalar el Mobile VPNWM Configurator de Windows Mobile en algunos sistemas operativos, debe
iniciar sesin en el equipo con una cuenta con derechos de administrador e importar el archivo de
configuracin .wgx. Los derechos de administrador no son necesarios para subir el cliente y la configuracin
al dispositivo Windows Mobile.
Instalar el software Mobile VPN WM Configurator

El software Mobile VPN WM Configurator debe ser instalado en un equipo que puede conectarse al
dispositivo Windows Mobile a travs de ActiveSync. Antes de iniciar la instalacin, asegrese de tener estos
componentes de instalacin:
n El archivo de instalacin del Mobile VPN WM Configurator de WatchGuard

n Un perfil de usuario final, con una extensin de archivo .wgx
n Clave compartida
n Un archivo de certificado .p12 (si la VPN se conecta a un Firebox X Core o Peak y usa certificado
para autenticarse)
n Nombre de usuario y contrasea (si la VPN se conecta a un Firebox X Core o Peak y usa
Autenticacin Extendida)
Nota Tome nota de la clave compartida y mantngala en un lugar seguro. Debe usarla
cuando importe el perfil de usuario final.
Para instalar el Configurator:
1. Copie el archivo .zip del Mobile VPN WM Configurafor en el equipo y extraiga los contenidos de
archivo.
2. Copie el perfil del usuario final (archivo .wgx) en el directorio raz del equipo remoto.

3. Haga doble clic en el archivo .exe extrado en el Paso 1. Eso inicia el WatchGuard Mobile VPN WM
Installation Wizard.
4. Siga los pasos en el asistente. En el cuadro de dilogo Asistente InstallShield Concluido mantenga el
casilla de verificacin Iniciar instalacin de PDA seleccionado slo si el dispositivo Windows Mobile
est actualmente conectado a travs del ActiveSync.
Seleccione un certificado e ingrese el PIN

Si la VPN usa un certificado para autenticarse, debe:
1. Guardar el archivo .p12 en el directorio \certs\. La ubicacin predeterminada es C:\Program

Files\WatchGuard\Mobile VPN WM\certs\ .
2. Seleccione Inicio >Todos los programas >WatchGuard Mobile VPN>WatchGuard Mobile VPN
WM para iniciar el Configurator.
Certificado.
5. Al lado del cuadro de textoNombre de archivo PKS#12, ingrese
%installdir%\certs\mycert.p12 . Reemplace mycert.p12 por el nombre de su archivo .p12.
Haga clic en OK.
7. Ingrese el PIN y haga clic en Aceptar.
El PIN es la clave compartida ingresada para cifrar el archivo en el Add Mobile User VPN Wizard.
Importar un perfil del usuario final

Para importar un archivo .wgx de configuracin de Mobile VPN:
1. Seleccione Inicio >Todos los programas >WatchGuard Mobile VPN>WatchGuard Mobile VPN
2. Seleccione Configuracin > Importar perfil.
3. En la pantalla Seleccionar perfil de usuario, navegue hasta la ubicacin del archivo de configuracin
.wgx provisto por su administrador de red. Haga clic en Siguiente.
4. En la pantalla Descifrar Perfil del usuario, ingrese la clave compartida o frase de contrasea provista
por su administrador de red. La clave compartida distingue maysculas de minsculas. Haga clic en
Siguiente.
nombre. Eso es til si su administrador de red le ofrece un nuevo archivo .wgx y hace falta
importarlo nuevamente. Haga clic en Siguiente.
6. En la pantalla Autenticacin, puede ingresar el el nombre de usuario y contrasea que usa para
autenticar el tnel VPN. Si inserta su nombre de usuario y contrasea aqu, el Firebox los almacena y
no hace falta ingresar esa informacin siempre que se conecte. No obstante, eso representa un
riesgo de seguridad. Puede ingresar slo su nombre de usuario y mantener el campo contrasea
vaco. Eso minimiza la cantidad de datos necesarios para la conexin de VPN.
Si mantiene esos campos vacos, debe ingresar su nombre de usuario y contrasea la primera vez
que se conecta a la VPN. La vez siguiente, el campo del nombre de usuario estar automticamente
llenado con el ltimo nombre de usuario insertado.
Gua del Usuario 533

Nota Si la contrasea que usa es la misma del Active Directory o del Servidor de LDAP y
elije almacenarla, la contrasea se vuelve invlida cuando cambia en el servidor de
autenticacin.
Instale el software cliente del Windows Mobile en el

dispositivo Windows Mobile
Despus de importar el perfil del usuario final hacia el Configurator, conecte el Configurator al dispositivo
Windows Mobile. El equipo y el dispositivo Windows Mobile deben tener una conexin de ActiveSync
cuando inicia el Configurator.
Nota Despus que el software WatchGuard Mobile VPN est instalado en su dispositivo
Windows Mobile, debe reiniciarlo.
1. Conecte su dispositivo Windows Mobile a su equipo con el Microsoft ActiveSync.
2. Para iniciar el Configurator, seleccione Inicio >Todos los programas >WatchGuard Mobile VPN>
WatchGuard Mobile VPN WM.
3. Si el software WatchGuard Mobile VPN WM todava no fue instalado en el dispositivo Windows
Mobile, se abre el cuadro de dilogo Confirmacin. Haga clic en S.

4. Se abre un cuadro de dilogo de Informacin. Haga clic en OK.
5. El software cliente WatchGuard Mobile VPN WM se ejecuta en el dispositivo Windows Mobile. Haga
clic en OK.
6. Reiniciar el dispositivo Windows Mobile.
Cargar el perfil de usuario final en el dispositivo Windows Mobile

Despus que el software Windows Mobile est instalado, puede cargar el perfil de usuario final en el
dispositivo Windows Mobile.
1. Conecte su dispositivo Windows Mobile a su equipo con el Microsoft ActiveSync.

2. Seleccione Inicio >Todos los programas >WatchGuard Mobile VPN >WatchGuard Mobile VPN
3. En la lista desplegable Perfil, seleccione el perfil que desea cargar en el dispositivo Windows Mobile.
Gua del Usuario 535

4. Haga clic en Cargar.

5. Cuando se termine de cargar, el rea de estado del Configurator muestra Carga realizada con xito!

Si la VPN usa un certificado para autenticarse, debe cargarlo en el dispositivo Windows Mobile. Antes de
cargar el certificado, el Configurator debe ser configurado para usar el certificado.
Para obtener ms informacin, vea seleccionar un certificado e insertar el PIN.
Para cargar un certificado:
1. En el Configurator, seleccione Configuracin > Cargar archivo PKS#12.

2. Examinar para encontrar archivo PKS#12 y seleccionarlo. Haga clic en Abrir.
Conecteydesconecteel ClienteMobileVPNparaWindows
Mobile
El software cliente WatchGuard Mobile VPN para Windows Mobile usa la conexin de datos del dispositivo
Windows Mobile para establecer una conexin segura a las redes protegidas por un Firebox. El dispositivo
Windows Mobile debe poder establecer una conexin de datos a Internet.
1. En el dispositivo Windows Mobile, seleccione Inicio > Programas > WatchGuard Mobile VPN
Monitor.
Si el WatchGuard Mobile VPN Servive no est en ejecucin, se abre un cuadro de dilogo. Haga clic
en S para iniciar servicio.
Gua del Usuario 537

2. Se abre el cuadro de dilogo WatchGuard Mobile VPN. Seleccione el perfil del usuario final de la
lista desplegable en la parte superior del cuadro de dilogo de WatchGuard Mobile VPN.
3. Haga clic en Conectar e ingrese su nombre de usuario y contrasea. Haga clic en OK.

Nota Despus de establecer la primera conexin VPN con xito, el cliente guarda el
nombre de usuario y slo solicita una contrasea. Para alterar el nombre de
usuario, haga clic en Aceptar con el rea del contrasea limpia. Se abre uncuadro
de dilogo en el cual puede ingresar un nombre de usuario y contrasea
diferentes.
4. Aparece una lnea amarilla con la palabra Conectando entre telfono y equipo en el cuadro de
dilogo de WatchGuard Mobile VPN. La lnea se pone verde cuando el tnel VPN est listo.
Para desconectar el cliente Mobile VPN:
Monitor.
2. Haga clic en Desconectar. La lnea verde cambia al amarillo.
Cuando no hay una lnea entre el telfono y el equipo, la VPN est desconectada.
Gua del Usuario 539

Proteger su dispositivo Windows Mobile con el firewall de

Mobile VPN
El Mobile VPN de WatchGuard para Windows Mobile incluye dos componentes de firewall:
Firewall de enlace
El firewall de enlace no est activado por defecto. Cuando el firewall de enlace est activado, su
dispositivo Windows Mobile desecha los paquetes recibidos desde otros equipos. Puede elegir
activar el firewall de enlace slo cuando un tnel de Mobile VPN est activo, mantngalo habilitado
todo el tiempo.
Firewall de escritorio
Ese firewall completo puede controlar las conexiones hacia y desde su dispositivo Windows Mobile.
Puede definir redes conocidas y definir reglas de acceso separadamente para redes desconocidas o
conocidas.
Para ms informaciones, vea Activar el firewall del enlace en la pgina 518 y Activar firewall de escritorio en
la pgina 519.
Detener el WatchGuard Mobile VPN Service

El WatchGuard Mobile VPN Service debe estar en ejecucin en el dispositivo Windows Mobile para usar el
WatchGuard Mobile VPN Monitor para crear tnelesVPN. Cuando cierra el Monitor, el Service no se
detiene. Debe detener el servicio manualmente.
Service.

2. Se abre el cuadro de dilogo WatchGuard Mobile VPN. Haga clic en S para detener el servicio.
Desinstalar el Configurator, Service y Monitor

Para desinstalar el WatchGuard Mobile VPN para Windows Mobile, debe desinstalar el software de su PC
con Windows y de su dispositivo Windows Mobile.
Desinstalar el Configurator de su PC con Windows

1. En su PC con Windows, seleccione Inicio >Panel de control.
2. Haga doble clic en Agregar/Quitar Programas.
3. Haga clic en WatchGuard Mobile VPN WM y haga clic en Alterar/Quitar.
4. Haga clic en S para desinstalar la aplicacin.
5. Haga clic en Aceptar cuando la desinstalacin est concluida.
Desinstale el WatchGuard Mobile VPN Service y Monitor de su

dispositivo Windows Mobile.
1. En su dispositivo Windows Mobile, seleccione Inicio >Configuracin.
2. En Configuracin, haga clic en la pestaa Sistema y doble clic en Quitar programas.
Gua del Usuario 541

3. Seleccione WatchGuard Mobile VPN y haga clic en Quitar.

4. Se abre el cuadro de dilogo Quitar programa. Haga clic en S para quitar el software.
5. Un cuadro de dilogo pregunta si desea reiniciar el dispositivo ahora. Haga clic en S para reiniciar el
dispositivo. Haga clic en No para reiniciar ms tarde. La deinstalacin del programa no se termina
hasta que se reinicie el dispositivo.

23 Mobile VPN con SSL
Acerca del Mobile VPN con SSL

El cliente de Mobile VPN con SSL WatchGuard es una aplicacin de software que est instalada en un
equipo remoto. El cliente hace una conexin segura desde el equipo remoto hacia su red protegida a travs
de una red desprotegida, tal como la Internet. El cliente de Mobile VPN utiliza SSL (nivel de seguridad en las
conexiones) para asegurar la conexin.
Configurar el dispositivo Firebox o XTM para

Mobile VPN with SSL
De Fireware XTM Web UI, cuando se activa Mobile VPN con SSL, se crean un grupo de usuarios "SSLVPN-
Users" y una poltica "WatchGuard SSLVPN" para permitir conexiones VPN con SSL desde Internet a su
interfaz externa.
Gua del Usuario 543

Mobile VPN con SSL
Realizar configuraciones de autenticacin y conexin

1. Seleccione >VPN Mobile VPN with SSL.
Se abre la pgina Configuracin de Mobile VPN con SSL.
2. Seleccione la casilla de seleccin Activar Mobile VPN with SSL de WatchGuard.

3. Seleccione un servidor de autenticacin en la lista desplegable de Servidores de autenticacin.
Puede autenticar usuarios con la base de datos interna del dispositivo Firebox o XTM (Firebox-DB) o
con un servidor RADIUS, VACMAN Middleware, SecurID, LDAP o de Active Directory.
Asegrese de que el mtodo de autenticacin est activado (seleccione Autenticacin >Servidores
de autenticacin). Para obtener ms informacin, consulte Configurar autenticacin de usuario para
Mobile VPN with SSL.
4. Si selecciona RADIUS o SecurID como servidor de autenticacin, puede seleccionar la casilla de

verificacin Forzar usuarios a autenticar despus que se pierde una conexin para obligar a los
usuarios a autenticarse despus de perder la conexin con Mobile VPN with SSL. Recomendamos
seleccionar esta casilla de seleccin si usa autenticacin de dos factores con contrasea de un solo
uso, como SecurID o Vasco.
Si no obliga a los usuarios a autenticarse despus de perder la conexin, el intento de conexin
automtica puede fallar. El cliente de Mobile VPN con SSL automticamente intenta reconectarse
despus de perder la conexin con la contrasea de un solo uso que el usuario ingres
originalmente, lo cual ya no es correcto.
5. En la lista desplegable Principal, seleccione o ingrese un domain name o una direccin IP pblica.
Los clientes de Mobile VPN con SSL se conectan a esta direccin IP o domain name en forma
predeterminada.
6. Si su dispositivo Firebox o XTM tiene ms de una conexin WAN, seleccione una direccin IP pblica
diferente en la lista desplegable Copia de respaldo. Un cliente de Mobile VPN con SSL se conecta a
la direccin IP de copia de respaldo cuando no puede establecer una conexin con la direccin IP
principal.
Realice las configuraciones de Red y Conjunto de direcciones IP

En la seccin Configuraciones de red y conjunto de direcciones IP, configure los recursos de red que los
clientes de Mobile VPN with SSL pueden usar.

Mobile VPN con SSL
1. Desde la lista desplegable en la seccin Configuraciones de red y conjunto de direcciones IP,

seleccione el mtodo que utilizar el dispositivo Firebox o XTM para enviar trfico a travs de los
tneles VPN.
n Seleccione Bridge de trfico de VPN para el bridge del trfico de VPN con SSL a una red que
especifique. Esta es la configuracin predeterminada para Firebox X Edge. Cuando selecciona
esta opcin, no puede filtrar el trfico entre los usuarios de VPN con SSL y la red a la que se
conecta el trfico de VPN con SSL.
n Seleccione Trfico de VPN enrutado para enrutar el trfico de VPN hacia redes y recursos
especficos. Esta es la configuracin predeterminada para los dispositivos Firebox X Core o Peak
e-Series y WatchGuard XTM.
2. Seleccione o desmarque la casilla de seleccin Forzar todo el trfico de cliente a travs del tnel.
n Seleccione Forzar todo el trfico de cliente a travs del tnel para enviar todo el trfico de
red privada e Internet a travs del tnel. Esta opcin enva todo el trfico externo a travs de
las polticas del dispositivo Firebox o XTM que usted crea y ofrece una seguridad constante a los
usuarios mviles. Sin embargo, debido a que requiere mayor capacidad de procesamiento en
el dispositivo Firebox o XTM, el acceso a los recursos de Internet puede ser muy lento para el
usuario mvil. Para permitir a los clientes acceder a Internet cuando esta opcin est
seleccionada, consulte Opciones de acceso a Internet a travs de un tnel de Mobile VPN con
SSL en la pgina 551.
Gua del Usuario 545

Mobile VPN con SSL
n Desmarque la casilla de seleccin Forzar todo el trfico de cliente a travs del tnel para
enviar slo la informacin de la red privada a travs del tnel. Esta opcin permite a los
usuarios una mejor velocidad de red al enrutar slo el trfico necesario a travs del dispositivo
Firebox o XTM, pero el acceso a los recursos de Internet no est restringido por las polticas del
dispositivo Firebox o XTM. Para restringir el acceso del cliente de Mobile VPN con SSL slo a los
dispositivos especificados en su red privada, seleccione el botn de radioEspecificar recursos
autorizados. Ingrese la direccin IP del recurso de red en notacin diagonal y haga clic en
Agregar.
3. Configurar las direcciones IP que el dispositivo Firebox o XTM asigna a las conexiones de los clientes
de Mobile VPN with SSL. Las direcciones IP virtuales en este conjunto de direcciones no pueden
formar parte de una red protegida por el dispositivo Firebox o XTM, ninguna red a la que se accede
a travs de una ruta o BOVPN, asignada por DHCP a un dispositivo detrs del dispositivo Firebox o
XTM, o utilizada para conjuntos de direcciones de Mobile VPN with IPSec o Mobile VPN with SSL.
Trfico de VPN enrutado
Para el conjunto de direcciones IP virtuales, mantenga la configuracin predeterminada de

192.168.113.0/24 o ingrese un rango diferente. Ingrese la direccin IP de la subnet en
notacin diagonal. Las direcciones IP de esta subnet se asignan automticamente a
conexiones cliente de Mobile VPN con SSL. No puede asignar una direccin IP a un usuario.
Las direcciones IP virtuales en este conjunto de direcciones no pueden formar parte de una
red protegida por el dispositivo Firebox o XTM, ninguna red a la que se accede a travs de
una ruta o BOVPN, asignada por DHCP a un dispositivo detrs del dispositivo Firebox o XTM, o
utilizada para conjuntos de direcciones de Mobile VPN with IPSec o Mobile VPN with PPTP.
Bridge de trfico de VPN
En la lista desplegable Bridge a interfaz, seleccione el nombre de la interfaz con la que desea
conectar. En los campos Inicio y Finalizacin, ingrese la primera y la ltima direccin IP en el
rango asignado a las conexiones cliente de Mobile VPN con SSL. Las direcciones IP de Inicio y
Finalizacin deben encontrarse en la misma subred que la interfaz puenteada.
Nota La opcin Bridge a interfaz no conecta el trfico de VPN con SSL a ninguna
secondary network en la interfaz seleccionada.
4. Haga clic en Guardar para guardar los cambios en el dispositivo Firebox o XTM.
Despus de guardar los cambios en el dispositivo Firebox o XTM, debe configurar la autenticacin de
usuario para Mobile VPN with SSL antes de que los usuarios puedan descargar e instalar el software. Todo
cambio que realice se distribuye a los clientes en forma automtica la prxima vez que se conectan
utilizando Mobile VPN with SSL.
Para obtener ms informacin sobre el uso de notacin diagonal, consulte Acerca de las Notacin diagonal
en la pgina 3.

Mobile VPN con SSL
Realizar configuraciones avanzadas para Mobile VPN with SSL

1. Seleccione >VPN Mobile VPN with SSL.
Se abre la pgina Configuracin de Mobile VPN con SSL.

Las opciones que puede configurar en esta pestaa incluyen:
Autenticacin
Mtodo de autenticacin utilizado para establecer la conexin. Las opciones son MD5, SHA, SHA-1,
SHA-256 y SHA-512.
Cifrado
Algoritmo que se utiliza para cifrar el trfico. Las opciones son Blowfish, DES, 3DES, AES (128bits),
AES (192bits) o AES (256bits). Los algoritmos se muestran en orden del de menor seguridad al de
mayor seguridad, con la excepcin de Blowfish, que usa una clave de 128bits para cifrado de alta
seguridad.
Para un rendimiento ptimo con un alto nivel de cifrado, recomendamos seleccionar autenticacin
MD5 con cifrado Blowfish.
Gua del Usuario 547

Mobile VPN con SSL
Canal de datos
El protocolo y puerto Mobile VPN with SSL se utiliza para enviar datos despus de establecer una
conexin de VPN. Puede utilizar el protocolo TCP o UDP. Luego, seleccione un puerto. El protocolo
y puerto predeterminado para Mobile VPN with SSL es el puerto TCP 443. ste es tambin el
protocolo y puerto estndar para trfico HTTPS. La Mobile VPN with SSL puede compartir el puerto
443 con HTTPS.
Para ms informacin, vea Elegir un puerto y protocolo para Mobile VPN with SSL en la pgina 550.
Canal de configuracin
El protocolo y puerto Mobile VPN with SSL se utiliza para negociar el canal de datos y para descargar
archivos de configuracin. Si configura el protocolo del canal de datos en TCP, el canal de
configuracin utiliza automticamente el mismo puerto y protocolo. Si configura el protocolo del
canal de datos en UDP, puede establecer el protocolo del canal de configuracin en TCP o UDP y
puede utilizar un puerto diferente al canal de datos.
Mantener conexin
Define la frecuencia con la que el dispositivo Firebox o XTM enva trfico a travs del tnel para
mantener la actividad del tnel cuando no se enva otro trfico a travs del tnel.
Tiempo de espera
Define durante cunto tiempo el dispositivo Firebox o XTM espera una respuesta. Si no hay
respuesta antes del valor de tiempo de espera, el tnel se cierra y el cliente debe volver a
conectarse.
Renegociar el canal de datos
Si una conexin Mobile VPN with SSL ha estado activa durante la cantidad de tiempo especificada en
el cuadro de texto Renegociar el canal de datos, el cliente de Mobile VPN con SSL debe crear un
tnel nuevo. El valor mnimo es de 60 minutos.
Servidores DNS y WINS
Puede utilizar servidores DNS y WINS para determinar las direcciones IP de recursos que estn
protegidos por el dispositivo Firebox o XTM. Si desea que los clientes de Mobile VPN with SSL usen
un servidor DNS o WINS detrs del dispositivo Firebox o XTM en lugar de los servidores asignados
por la red remota a la que estn conectados, ingrese el domain name y las direcciones IP de los
servidores DNS y WINS en su red. Para obtener ms informacin sobre DNS y WINS, consulte
Determinacin del nombre para Mobile VPN with SSL en la pgina 552.
Restablecer valores predeterminados
Haga clic en la pestaa Avanzada para restablecer los valores predeterminados. Se elimina toda la
informacin de los servidores DNS y WINS en la pestaa Avanzada.

Mobile VPN con SSL
Configurar la autenticacin de usuario para Mobile VPN with SSL

Para permitir a los usuarios autenticarse en el dispositivo Firebox o XTM y conectarse con Mobile VPN with
SSL, debe configurar la autenticacin de usuario en el dispositivo Firebox o XTM. Puede configurar el
dispositivo Firebox o XTM como servidor de autenticacin o usar un servidor de autenticacin de terceros.
Cuando activa Mobile VPN with SSL, automticamente se crea un grupo Usuarios-SSLVPN.
Los usuarios deben ser miembros del grupo Usuarios-SSLVPN para establecer una conexin de Mobile VPN
con SSL. Los usuarios no pueden conectarse si son miembros de un grupo que forma parte del grupo
Usuarios-SSLVPN. El usuario debe ser miembro directo del grupo Usuarios-SSLVPN.
Para ms informacin, vea Configure su Firebox como servidor de autenticacin en la pgina 223 y Acerca
de la utilizacin de servidores de autenticacin de terceros en la pgina 222.
Configurar polticas para controlar el acceso de clientes de

Mobile VPN con SSL
Cuando se activa Mobile VPN with SSL, se agrega una poltica Permitir Usuarios-SSLVPN. No tiene
restricciones respecto del trfico que permite desde clientes SSL a recursos de red protegidos por el
dispositivo Firebox o XTM. Para restringir el acceso de clientes de Mobile VPN con SSL, desactive la poltica
Permitir Usuarios-SSLVPN. Luego, agregue nuevas polticas a su configuracin o agregue el grupo con
acceso Mobile VPN with SSL a la seccin Desde de polticas existentes.
Nota Si asigna direcciones de una red de confianza a usuarios de Mobile VPN con SSL, el
trfico desde el usuario de Mobile VPN con SSL no se considera de confianza. De
manera predeterminada, todo trfico de Mobile VPN con SSL no es de confianza.
Independientemente de la direccin IP asignada, deben crearse polticas para
permitir el acceso de los usuarios de Mobile VPN con SSL a los recursos de red.
Permitir a los usuarios de Mobile VPN con SSL el acceso a una red de
confianza
En este ejemplo, se utiliza Fireware XTM Web UI para agregar la opcin Cualquier poltica para otorgar
acceso a los recursos a todos los miembros del grupo Usuarios-SSLVPN en todas las redes de confianza.
2. Ample la carpeta Filtros de paquetes.

Aparece una lista de plantillas para filtros de paquetes.
3. Seleccione Cualquiera y haga clic en Agregar.
Aparece la pgina Configuracin de polticas.
4. Ingrese un nombre para la poltica en el cuadro de texto Nombre. Elija un nombre que le ayude a
identificar esta poltica en su configuracin.
5. En la pestaa Poltica, en la seccin Desde , seleccione Cualquiera de confianza y haga clic en
Remover.
7. En la lista desplegable Tipo de miembro, seleccione Grupo SSLVPN.
Gua del Usuario 549

Mobile VPN con SSL
8. Seleccione Usuarios-SSLVPN, y haga clic en OK..

Despus de Usuarios-SSLVPN se encuentra el nombre del mtodo de autenticacin entre parntesis.
9. Haga clic en OK para cerrar el cuadro de dilogo Agregar miembro .
10. En la seccin Desde, seleccione Cualquiera externo y haga clic en Remover.
12. En el Seleccionar miembros seleccione Cualquiera de confianzay haga clic en OK..
13. Haga clic en Guardar para guardar los cambios en el dispositivo Firebox o XTM.
Para ms informacin acerca de polticas, vea Agregar polticas en la configuracin en la pgina 254.
Usar otros grupos o usuarios en una poltica de Mobile VPN con SSL
Los usuarios deben ser miembros del grupo Usuarios-SSLVPN para establecer una conexin de Mobile VPN
con SSL. Puede usar polticas con otros grupos para restringir acceso a recursos despus de que el usuario
se conecta. Puede usar Fireware XTM Web UI para seleccionar un usuario o grupo distinto de Usuarios-
SSLVPN.

2. Haga doble clic en la poltica a la que desea agregar el usuario o grupo.
3. En la pestaa Poltica, haga clic en Agregar en el rea Desde.
4. En la lista desplegable Tipo de miembro, seleccione Usuario de firewall o Grupo de firewall.
5. Seleccione el usuario o grupo que desea agregar y haga clic en OK.
Para obtener ms informacin sobre cmo utilizar usuarios y grupos en polticas, consulte Use los usuarios y
grupos autorizados en polticas en la pgina 248.
Elegir un puerto y protocolo para Mobile VPN with SSL

El protocolo y puerto predeterminado para Mobile VPN with SSL es el puerto TCP 443. Si intenta configurar
Firebox para usar un protocolo y puerto que ya est en uso, aparecer un mensaje de error.
Las configuraciones de red comunes que requieren el uso de TCP 443 incluyen:
n Firebox protege a un servidor web que utiliza HTTPS.

n Firebox protege a un servidor Microsoft Exchange que tiene configurado Outlook Web Access.
Si tiene una direccin IP externa adicional que no acepta conexiones de puerto TCP 443 entrantes, puede
configurarla como direccin IP principal para Mobile VPN with SSL.
Nota El trfico de Mobile VPN con SSL siempre se cifra utilizando SSL, aunque utilice un
puerto o protocolo diferente.
Cmo elegir un protocolo y puerto diferente

Si necesita cambiar el protocolo o puerto predeterminado para Mobile VPN with SSL, recomendamos
seleccionar un protocolo y puerto que no est normalmente bloqueado. Algunas consideraciones
adicionales incluyen:

Mobile VPN con SSL
Seleccionar un protocolo y puerto comn
Mobile VPN with PPTP y Mobile VPN con IPSec utilizan protocolos y puertos especficos que algunas
conexiones de Internet pblica bloquean. De manera predeterminada, Mobile VPN with SSL
funciona en el protocolo y puerto utilizado para el trfico de sitio web cifrado (HTTPS) para evitar el
bloqueo. sta es una de las principales ventajas de SSL VPN sobre otras opciones de Mobile VPN.
Recomendamos seleccionar el puerto TCP 80 (HTTP), el puerto TCP 53 o el puerto UDP 53 (DNS)
para mantener esta ventaja.
Casi todas las conexiones de Internet admiten estos puertos. Si el sitio de acceso utiliza filtrados de
paquetes, el trfico de SSL debera pasar. Si el sitio de acceso utiliza servidores proxy, es probable
que el trfico de SSL sea rechazado porque no cumple con los protocolos de comunicacin estndar
HTTP o DNS.
UDP en comparacin con TCP
Normalmente TCP funciona al igual que UDP, pero TCP puede ser mucho ms lento si la conexin ya
es lenta o poco confiable. La latencia adicional surge por la verificacin de error que forma parte del
protocolo TCP. Debido a que la mayora del trfico que pasa a travs de un tnel VPN utiliza TCP, la
suma de la verificacin de error de TCP a la conexin VPN es redundante. Con conexiones lentas y
poco confiables, los tiempos de espera de la verificacin de error de TCP hacen que el trfico de
VPN se enve cada vez con mayor lentitud. Si esto sucede en forma repetida, el usuario percibe el
rendimiento deficiente de la conexin.
UDP es una buena opcin si la mayora del trfico generado por los clientes de MVPN con SSL se
basa en TCP. Los protocolos HTTP, HTTPS, SMTP SMTP, POP3 y Microsoft Exchange utilizan TCP de
manera predeterminada. Si la mayora del trfico generado por los clientes de Mobile VPN con SSL
es UDP, recomendamos seleccionar TCP para el protocolo MVPN con SSL.
Opciones de acceso a Internet a travs de un tnel de Mobile

VPN con SSL
Forzar todo el trfico de cliente a travs del tnel
sta es la opcin ms segura. Requiere que todo el trfico de Internet de usuarios remotos se enrute a
travs del tnel VPN a Firebox. Desde el Firebox, el trfico luego es enviado de vuelta a Internet. Con esta
configuracin (conocida tambin como VPN de ruta-predeterminada), Firebox puede examinar todo el
trfico y proveer mayor seguridad. Sin embargo, esto requiere ms capacidad de procesamiento y ancho
de banda de Firebox, lo cual puede afectar el rendimiento de la red si tiene un nmero grande de usuarios
de VPN. De manera predeterminada, una poltica denominada Permitir Usuarios-SSLVPN permite el acceso
a todos los recursos internos y a Internet.
Permitir acceso directo a Internet

Si selecciona Trfico de VPN enrutado en la configuracin de Mobile VPN con SSL y no se fuerza todo el
trfico cliente a travs del tnel, se deben configurar los recursos permitidos para los usuarios de SSL VPN.
Si selecciona Especificar recursos permitidos o Permitir acceso a redes conectadas a travs de redes de
confianza, opcional y VLAN, slo el trfico a esos recursos se enva a travs del tnel VPN. Todo el resto del
Gua del Usuario 551

Mobile VPN con SSL
trfico va directamente a Internet y a la red a la que est conectada el usuario SSL VPN remoto. Esta opcin
puede afectar su seguridad porque cualquier trfico enviado a Internet o a la red cliente remota no est
cifrado ni sujeto a las polticas configuradas en Firebox.
Utilizar el proxy HTTP para controlar el acceso a Internet para usuarios

de Mobile VPN con SSL
Si configura Mobile VPN with SSL para forzar todo el trfico cliente a travs del tnel, puede usar polticas
de proxy HTTP para restringir el acceso a Internet. La poltica Permitir Usuarios-SSLVPN predeterminada no
tiene restricciones en el trfico que permite de clientes SSL a Internet. Para restringir el acceso a Internet,
puede utilizar la poltica de proxy HTTP que ya ha configurado o agregar una nueva poltica de proxy HTTP
para clientes SSL.
1. En Fireware XTMWeb UI, seleccione Firewall >Polticas de firewall.

2. Haga doble clic en la poltica para abrir la pgina Configuracin de polticas.
3. En la pestaa Poltica, haga clic en Agregar en el rea Desde.
4. En la lista desplegable Tipo de miembro, seleccione Grupo SSLVPN.
5. Seleccione Usuarios-SSLVPN y haga clic en OK.
La poltica de proxy HTTP prevalece sobre la poltica Cualquiera. Puede dejar que la poltica Cualquiera
administre el trfico que no sea HTTP o puede seguir estos mismos pasos con otra poltica para administrar
el trfico desde los clientes SSL.
Para obtener ms informacin sobre cmo configurar una poltica de proxy HTTP, consulte Pgina Acerca
de Proxy HTTP en la pgina 292.
Determinacin del nombre para Mobile VPN with SSL

El objetivo de una conexin Mobile VPN es permitir a un usuario conectarse a recursos de red como si
estuviera conectado localmente. Con una conexin de red local, el trfico NetBIOS en la red le permite
conectarse a dispositivos utilizando el nombre del dispositivo. No es necesario conocer la direccin IP de
cada dispositivo de red. Sin embargo, los tneles de Mobile VPN no pueden circular trfico de difusin y
NetBIOS depende del trfico de difusin para funcionar correctamente. Debe utilizarse un mtodo
alternativo para la determinacin de nombres.
Mtodos de determinacin de nombres a travs de una conexin de

Mobile VPN con SSL
Debe elegir uno de estos dos mtodos para la determinacin de nombres:
WINS/DNS (Windows Internet Name Service/Sistema de domain name)
Un servidor WINS mantiene una base de datos de determinacin de nombres NetBIOS para la red
local. DNS funciona de un modo similar. Si el dominio utiliza slo el Active Directory , debe usar DNS
para la determinacin de nombres.

Mobile VPN con SSL
Archivo LMHOSTS
Un archivo LMHOSTS es un archivo creado en forma manual que se instala en todas las
computadoras que tienen instalado Mobile VPN with SSL. El archivo contiene una lista de nombres
de recursos y sus direcciones IP asociadas.
Seleccione el mejor mtodo para su red.

Debido a los requisitos de administracin limitados y la informacin actualizada que provee, WINS/DNS es la
solucin preferida para la determinacin de nombres a travs de un tnel MVPN. El servidor WINS escucha
a la red local en forma constante y actualiza su informacin. Si un recurso cambia su direccin IP o se agrega
un nuevo recurso, no debe realizarse ningn cambio en el cliente SSL. Cuando el cliente intenta obtener
acceso a un recurso por nombre, se enva una solicitud a los servidores WINS/DNS y se entrega la
informacin ms actualizada.
Si an no tiene un servidor WINS, el archivo LMHOSTS es una forma rpida de proporcionar la

determinacin de nombres a clientes de Mobile VPN con SSL. Lamentablemente es un archivo esttico y
debe editarlo en forma manual cada vez que se produzca un cambio. Adems, los pares nombre de
recurso/direccin IP en el archivo LMHOSTS se aplican a todas las conexiones de red, no slo a la conexin
de Mobile VPN con SSL.
Configurar WINS o DNS para determinacin de nombres

Cada red es nica en los recursos disponibles y las habilidades de los administradores. El mejor recurso para
aprender cmo configurar un servidor WINS es la documentacin de su servidor, como el sitio web de
Microsoft. Cuando configure el servidor WINS o DNS, tenga en cuenta que:
n El servidor WINS debe configurarse para ser un cliente en s.

n Su Firebox debe ser la puerta de enlace predeterminada de los servidores WINS y DNS.
n Debe asegurarse de que los recursos de red no tengan ms de una direccin IP asignada a una sola
interfaz de red. NetBIOS slo reconoce la primera direccin IP asignada a una NIC. Para obtener ms
informacin, consulte http://support.microsoft.com/kb/q131641/.
Agregarservidores WINS y DNS a unaconfiguracin de Mobile VPNcon SSL

1. Seleccione VPN > Mobile VPN with SSL.
Aparece la pgina de la pestaa Avanzada de Mobile VPN con SSL.
3. En el rea Servidores WINS y DNS, ingrese las direcciones principal y secundaria para los servidores
WINS y DNS. Tambin puede ingresar un sufijo de dominio en el cuadro de texto Domain name para
que un cliente use con nombres no calificados.
5. La prxima vez que una computadora cliente SSL se autentique en Firebox, la nueva configuracin
se aplicar a la conexin.
Gua del Usuario 553

Mobile VPN con SSL
ConfigurarunarchivoLMHOSTS paraproporcionardeterminacinde
nombre
Cuando usa un archivo LMHOSTS para obtener determinacin de nombres para sus clientes MUVPN, no se
requieren cambios en Firebox ni en el software cliente MUVPN. A continuacin se muestran instrucciones
bsicas para ayudarle a crear un archivo LMHOSTS. Para obtener ms informacin sobre archivos LMHOSTS,
consulte http://support.microsoft.com/kb/q150800/.
Editar un archivo LMHOSTS

1. Busque un archivo LMHOSTS en la computadora cliente de MUVPN. El archivo LMHOSTS (a veces
denominado lmhosts.sam) generalmente se encuentra en:
C:\WINDOWS\system32\drivers\etc
2. Si encuentra un archivo LMHOSTS en esa ubicacin, bralo con un editor de texto como Notepad. Si
no puede encontrar un archivo LMHOSTS, cree un nuevo archivo en un editor de texto.
3. Para crear una entrada en el archivo LMHOSTS, ingrese la direccin IP de un recurso de red, cinco
espacios y luego el nombre del recurso. El nombre del recurso debe tener 15 caracteres o menos.
El aspecto debe ser similar a ste:
192.168.42.252 server_name
4. Si comenz con un archivo LMHOSTS anterior, guarde el archivo con su nombre original. Si cre un
nuevo archivo en Notepad, gurdelo con el nombre lmhost en el directorio
C:\WINDOWS\system32\drivers\etc. Tambin debe seleccionar el tipo "Todos los archivos" en el
cuadro de dilogo Guardar o Notepad aade ".txt" al nombre de archivo.
5. Reinicie la computadora cliente SSL para que el archivo LMHOSTS se active.
Instalar y conectar el cliente de Mobile VPN con SSL

El software de Mobile VPN con SSL permite a los usuarios conectarse, desconectarse, reunir ms
informacin sobre la conexin y salir o dejar al cliente. El cliente de Mobile VPN con SSL agrega un cono a
la bandeja del sistema en el sistema operativo Windows o un cono en la barra de men en Mac OS X.
Puede usar este cono para controlar el software cliente.
Para usar Mobile VPN with SSL debe:
1. Verificar los requisitos del sistema.

2. Descargar el software cliente.
3. Instale el software cliente
4. Conectarse a su red privada.
Nota Si un usuario no puede conectarse al dispositivo WatchGuard o no puede

descargar el instalador desde el dispositivo WatchGuard, Se debe distribuir e
instalar en forma manual el software cliente de Mobile VPN con SSL y el archivo de
configuracin.

Mobile VPN con SSL
Requisitos de la computadora cliente

Puede instalar el software cliente de Mobile VPN con SSL en computadoras con los siguientes sistemas
operativos:
n Microsoft Windows 7
n Microsoft Windows Vista
n Microsoft Windows XP
n Mac OS X 10.5 (Leopard)
Si la computadora cliente tiene Windows Vista o Windows XP, debe ingresar con una cuenta que tenga
derechos de administrador para instalar el software cliente de Mobile VPN con SSL. No se requieren
derechos de administrador para conectarse despus de que el cliente de SSL ha sido instalado y
configurado. En Windows XP Professional, el usuario debe ser miembro del grupo Operadores de
configuracin de red para ejecutar el cliente de SSL.
Si la computadora cliente tiene Mac OS X, no se requieren derechos de administrador para instalar o utilizar
el cliente de SSL.
Descargar el software cliente

1. Conectarse a la siguiente direccin con un navegador de Internet:
https://<IP address of a Firebox interface>/sslvpn.html
or
https://<Host name of the Firebox>/sslvpn.html
2. Ingrese su nombre de usuario y contrasea para autenticarse en el dispositivo WatchGuard.
Aparece la pgina de descargas para clientes de VPNSSL.
3. Haga clic en el botn Descargar en el instalador que desea utilizar. Las opciones disponibles son dos:
Windows (WG-MVPN-SSL.exe) y Mac OS X (WG-MVPN-SSL.dmg).
4. Guarde el archivo en su escritorio u otra carpeta que desee.
Gua del Usuario 555

Mobile VPN con SSL
Nota Tambin puede conectarse a Firebox en el puerto 4100 para descargar el software
cliente de VPNSSL.
Desinstalar el software cliente

Para Microsoft Windows:
1. Haga doble clic en WG-MVPN-SSL.exe.

Se inicia el Asistente de Configuracin del cliente de Mobile VPN con SSL.
2. Acepte las configuraciones predeterminadas en cada pantalla del asistente.
3. Si desea agregar un cono de escritorio o un cono de inicio rpido, seleccione la casilla de
verificacin correspondiente a esta opcin en el asistente. No es necesario un cono de escritorio o
de inicio rpido.
4. Finalice y salga del asistente.
Para Mac OS X:
1. Haga doble clic en WG-MVPN-SSL.dmg.

En su escritorio se crea un volumen con el nombre WatchGuard Mobile VPN (Mobile VPN WatchGuard).
2. En el volumen Mobile VPN WatchGuard, haga doble clic en WatchGuard Mobile VPN with SSL
Installer V15.mpkg.
Se inicia el instalador del cliente.
3. Acepte las configuraciones predeterminadas en cada pantalla del instalador.
4. Finalice y salga del instalador.
Despus de descargar e instalar el software cliente, el software cliente de Mobile VPN automticamente se
conecta al dispositivo WatchGuard. Cada vez que se conecta al dispositivo WatchGuard, el software cliente
verifica las actualizaciones de configuracin.
Conectarse a su red privada

1. Utilice uno de los tres mtodos siguientes para iniciar el software cliente:
o En el Men Inicio, seleccione Todos los programas > WatchGuard > Cliente de Mobile VPN
con SSL > Cliente de Mobile VPN con SSL.
o Haga doble clic en el cono de Mobile VPN con SSL en su escritorio.
o Haga clic en el cono de Mobile VPN con SSL en la barra de herramientas del inicio rpido.
2. Ingrese la informacin del dispositivo WatchGuard al que desea conectarse y el nombre de usuario y
contrasea del usuario.
El servidor es la direccin IP de la interfaz externa principal del dispositivo WatchGuard. Si configur

Mobile VPN with SSL para que use un puerto distinto del puerto 443 predeterminado, en el campo
Servidor ingrese la interfaz externa principal seguida de dos puntos y el nmero de puerto. Por
ejemplo, si Mobile VPN with SSL est configurada para usar el puerto 444 y la direccin IP externa
principal es 50.50.50.1., el Servidor es 50.50.50.1:444.
Para Mac OS X:

Mobile VPN con SSL
1. Abra una ventana del Buscador. Ingrese en Aplicaciones > WatchGuard y haga doble clic en la
aplicacin Mobile VPN with SSL WatchGuard.
Aparece el cono de Mobile VPN con SSL WatchGuard en la barra de men.
2. Haga clic en el cono en la barra de men y seleccione Conectar.
3. Ingrese la informacin del dispositivo WatchGuard al que desea conectarse y el nombre de usuario y
contrasea del usuario.
El servidor es la direccin IP de la interfaz externa principal del dispositivo WatchGuard. Si configur

Mobile VPN with SSL para que use un puerto distinto del puerto 443 predeterminado, en el campo
Servidor ingrese la interfaz externa principal seguida de dos puntos y el nmero de puerto. Por
ejemplo, si Mobile VPN with SSL est configurada para usar el puerto 444 y la direccin IP externa
principal es 50.50.50.1., el Servidor es 50.50.50.1:444.
El usuario cliente de SSL debe ingresar sus credenciales de inicio de sesin. Mobile VPN with SSL no es
compatible con ningn servicio de Single Sign-On (SSO). Si la conexin entre el cliente SSL y el dispositivo
WatchGuard se pierde momentneamente, el cliente SSL intenta restablecer la conexin.
Controles del cliente de Mobile VPN con SSL

Cuando se ejecuta el cliente de Mobile VPN con SSL, aparece el cono de Mobile VPN con SSL WatchGuard
en la bandeja del sistema (Windows) o a la derecha de la barra de men (Mac OS X). La lupa del cono
muestra el estado de conexin de VPN.
n No se establece la conexin de VPN.

n Se ha establecido la conexin de VPN. Puede conectarse en forma segura con los recursos detrs
del dispositivo WatchGuard.
n El cliente est en proceso de conexin o desconexin.
Para ver la lista de controles del cliente, haga clic con el botn derecho en el cono de Mobile VPN con SSL
en la bandeja del sistema (Windows) o haga clic en el cono de Mobile VPN con SSL en la barra de men
(Mac OS X). Puede seleccionar las siguientes acciones:
Conectar/Desconectar
Iniciar o detener la conexin SSL VPN.
Ver registros
Abrir el archivo de registro de conexin
Propiedades
Windows: Seleccione Iniciar programa en el inicio para iniciar al cliente cuando se inicia Windows.
Ingrese un nmero de Nivel de registro para cambiar el nivel de detalle incluido en los registros.
Mac OS X: Muestra informacin detallada sobre la conexin SSL VPN. Tambin puede establecer el
nivel de registro.
Acerca de las
Se abre el cuadro de dilogo de Mobile VPN WatchGuard con informacin acerca del software
cliente.
Gua del Usuario 557

Mobile VPN con SSL
Salir (Windows o Mac OS X)
Desconctese del dispositivo WatchGuard y apague al cliente.
Se debe distribuir e instalar en forma manual el software

cliente de Mobile VPN con SSL y el archivo de configuracin
Si por algn motivo los usuarios no pueden descargar el software cliente desde Firebox, puede
proporcionarles el software cliente y el archivo de configuracin en forma manual. Puede descargar el
software cliente de Mobile VPN con SSL desde la seccin Descargas de software del sitio web de
WatchGuard LiveSecurity. Siga los pasos a continuacin para obtener el archivo de configuracin de VPN
SSL para distribuir.
Obtener el archivo de configuracin desde Firebox

Debe configurar Firebox para usar Mobile VPN with SSL antes de utilizar este procedimiento.
Para obtener el archivo de configuracin de Mobile VPN con SSL, debe instalar el WatchGuard System
Manager. Luego puede usar el Firebox System Manager para obtener el archivo. Para obtener ms
informacin, consulte el captulo Mobile VPN para SSL en la Ayuda o Gua del usuario del WatchGuard
System Manager.
Instale y configure el cliente SSL utilizando el software de instalacin y

el archivo de configuracin.
Debe tener dos archivos:
n Software de instalacin del cliente Mobile VPN con SSL VPN

WG-MVPN-SSL.exe (Microsoft Windows) o WG-MVPN-SSL.dmg (Mac OS X)
n Archivo de configuracin de Mobile VPN con SSL VPN
sslvpn_client.wgssl
1. Haga doble clic en WG-MVPN-SSL.exe.

Se inicia el Asistente de Configuracin del cliente de Mobile VPN con SSL.
2. Acepte las configuraciones predeterminadas en cada pantalla del asistente.
3. Si desea agregar un cono de escritorio o un cono de inicio rpido, seleccione la casilla de
verificacin correspondiente a esa opcin.
No es necesario un cono de escritorio o de inicio rpido. El cono de cliente se agrega al men de Inicio de
Windows de manera predeterminada.
4. Finalice y salga del asistente.
5. Utilice uno de los tres mtodos siguientes para iniciar el software cliente:
o En el Men Inicio, seleccione Todos los programas > WatchGuard > Cliente de Mobile VPN
con SSL > Cliente de Mobile VPN con SSL.
o Haga doble clic en el cono de cliente de Mobile VPN con SSL en el escritorio.
o Haga clic en el cono de cliente de Mobile VPN con SSL en la barra de herramientas del inicio

Mobile VPN con SSL
6. Haga doble clic en sslvpn-client.wgssl para configurar el software cliente de Mobile VPN con SSL.
Para Mac OS X:
1. Haga doble clic en WG-MVPN-SSL.dmg.

En el escritorio se crea un volumen con el nombre WatchGuard Mobile VPN (Mobile VPN WatchGuard).
2. En el volumen Mobile VPN WatchGuard, haga doble clic en WatchGuard Mobile VPN with SSL
Installer V15.mpkg.
3. Acepte la configuracin predeterminada en el instalador.
4. Finalice y salga del instalador.
5. Inicie el software cliente. Abra una ventana del Buscador e ingrese en Aplicaciones > WatchGuard.
6. Haga doble clic en la aplicacin Mobile VPN with SSL WatchGuard .
Aparece el logotipo de Mobile VPN con SSL WatchGuard en la barra de men.
7. Haga doble clic en sslvpn-client.wgssl para configurar el software cliente de Mobile VPN con SSL.
Actualizar la configuracin de una computadora que no puede

conectarse al dispositivo WatchGuard
Debe tener un archivo sslvpn-client.wgssl actualizado. Para recibir informacin sobre cmo obtener el
archivo sslvpn-client.wgssl, consulte Obtener el archivo de configuracin desde Firebox.
1. Haga doble clic en sslvpn-client.wgssl.

Se inicia el cliente SSL.
2. Ingrese su nombre de usuario y contrasea. Haga clic en Conectar.
El SSL VPN se conecta con la nueva configuracin.
Desinstale el cliente de Mobile VPN con SSL.

Puede usar la aplicacin desinstalar para eliminar al cliente de Mobile VPN con SSL de una computadora.
Windows Vista y Windows XP

1. En el Men Inicio, seleccione Todos los programas > WatchGuard > Cliente de Mobile VPN con SSL
> Desinstalar cliente de Mobile VPN con SSL.
Se inicia el programa para desinstalar el cliente de Mobile VPN con SSL.
2. Haga clic en S para eliminar el cliente de Mobile VPN con SSL y todos sus componentes.
3. Cuando el programa haya terminado, haga clic en OK.
Mac OS X
1. En una ventana del Buscador, ingrese en la carpeta Aplicaciones > WatchGuard.
2. Haga doble clic en la aplicacin Desinstalar WG SSL VPN para iniciar el programa de desinstalacin.
Se inicia el programa para desinstalar el cliente de Mobile VPN con SSL.
3. Haga clic en OK en el cuadro de dilogo Advertencia.
4. Haga clic en OK en el cuadro de dilogo Listo.
5. En una ventana del Buscador, ingrese en la carpeta Aplicaciones.
6. Arrastre la carpeta WatchGuard a la Papelera de reciclaje.
Gua del Usuario 559

Mobile VPN con SSL
Gua del Usuario 560

24 WebBlocker
Acerca de las WebBlocker

Si les otorga a los usuarios acceso ilimitado a los sitios web, es posible que su compaa sufra una prdida de
productividad y una reduccin en el ancho de banda. La navegacin en Internet sin controles tambin
puede aumentar los riesgos de seguridad y las responsabilidades legales. La suscripcin de seguridad de
WebBlocker le brinda el control de los sitios web que estn disponibles para sus usuarios.
WebBlocker utiliza una base de datos de direcciones de sitios web controlada por SurfControl, una
compaa lder en filtros web. Cuando un usuario de su red intenta conectarse a un sitio web, el dispositivo
WatchGuard examina la base de datos de WebBlocker. Si el sitio web no est en la base de datos y no est
bloqueado, la pgina se abre. Si el sitio web est en la base de datos de WebBlocker y est bloqueado,
aparece una notificacin y el sitio web no se muestra.
WebBlocker funciona con servidores proxy HTTP y HTTPS para filtrar la navegacin web. Si no configur un
proxy HTTP o HTTPS, el proxy se configura y activa de manera automtica cuando activa WebBlocker.
El WebBlocker Server alberga la base de datos de WebBlocker que el dispositivo WatchGuard utiliza para
filtrar el contenido web. Si utiliza WebBlocker en un dispositivo WatchGuard cualquiera distinto de Edge,
primero debe configurar un WebBlocker Server local en su estacin de administracin. Por defecto,
WebBlocker en Edge utiliza un WebBlocker Server albergado y mantenido por WatchGuard.
El WebBlocker Server se instala como parte de la instalacin de WatchGuard System Manager. Para
aprender a configurar un WebBlocker Server, consulte la ayuda de WatchGuard System Manager en
http://www.watchguard.com/help/docs/fireware/11/es-ES/index.html.
Para configurar WebBlocker en el dispositivo WatchGuard, debe tener una license key de WebBlocker y
registrarla en el sitio web de LiveSecurity. Despus de registrar la License Key, LiveSecurity le otorgar una
tecla de funcin.
Para obtener ms informacin acerca de las teclas de funcin, consulte Acerca de las teclas de funcin en la
pgina 51.
Gua del Usuario 561

WebBlocker
Configurar un WebBlocker Server local

Cuando utiliza WebBlocker en su Firebox, ste se conecta a un WebBlocker Server para comprobar si un
sitio web coincide con una categora de WebBlocker.
Para utilizar WebBlocker en un Firebox Core o Peak, o en un dispositivo WatchGuard XTM, primero debe
configurar un WebBlocker Server en su red local. Para utilizar WebBlocker en un Firebox X Edge, no es
necesario que configure un servidor local de WebBlocker. De manera predeterminada, WebBlocker en
Firebox X Edge se conecta con un WebBlocker Server mantenido por WatchGuard.
Para instalar su WebBlocker Server propio, debe descargar e instalar el software WatchGuard System
Manager.
Para aprender a configurar un servidor local de WebBlocker, consulte la ayuda de WatchGuard System
Manager en http://www.watchguard.com/help/docs/wsm/11/es-ES/index.html.
Despus de instalar un WebBlocker Server en una computadora de su red local, debe cambiar sus perfiles
de WebBlocker para utilizar su Servidor local de WebBlocker.
Para obtener instrucciones para cambiar sus perfiles de WebBlocker, consulte Activacin de WebBlocker en
la pgina 562.
Activacin de WebBlocker
Para utilizar WebBlocker, debe definir las acciones de WebBlocker por lo menos para un perfil de
WebBlocker, que especifica el WebBlocker Server a utilizar y las categoras de contenido a bloquear. Luego,
puede aplicar el perfil de WebBlocker a una poltica de proxy HTTP o HTTP.
Cuando un usuario intenta visitar un sitio web, Firebox le enva una solicitud al WebBlocker Server para
averiguar si el usuario puede acceder a ese sitio web sobre la base de la categora del sitio. El resultado de
esta solicitud se guarda en una memoria cach. Puede cambiar el tamao de esta memoria cach para
mejorar el rendimiento.
Antes de empezar
En el caso de todos los dispositivos WatchGuard a excepcin de Firebox X Edge, debe instalar un servidor
WebBlocker local antes de poder configurar WebBlocker en Firebox.
Para ms informaciones, vea Configurar un WebBlocker Server local en la pgina 562.
Cree perfiles de WebBlocker

1. Seleccione Servicios de suscripcin > WebBlocker.
Aparece la pgina de WebBlocker.

WebBlocker
2. En la seccin Perfiles de WebBlocker, haga clic en Nuevo.

Aparece la pgina Configuracin de WebBlocker.
Gua del Usuario 563

WebBlocker
3. En el cuadro de texto Nombre de perfil, ingrese un nombre para el perfil de WebBlocker.

4. En la seccin Configuracin de WebBlocker, establezca la configuracin de agotamiento del tiempo
de espera del servidor:
Si no se puede establecer la comunicacin con el servidor en
Ingrese la cantidad de segundos para intentar conectarse con el WebBlocker Server antes de
que se agote el tiempo de espera del dispositivo WatchGuard.
El trfico est
Para permitir que el usuario vea el sitio web si el dispositivo WatchGuard no puede conectarse
con el WebBlocker Server, seleccione Permitido.
Para bloquear el sitio web para el usuario si el dispositivo WatchGuard no puede conectarse
con el WebBlocker Server, seleccione Negado.
Registrar sitios negados
Para enviar un mensaje al archivo de registro cuando WebBlocker niega el acceso a un sitio
porque el dispositivo WatchGuard no puede conectarse con el WebBlocker Server, marque la
casilla de verificacin Registrar sitios negados.

WebBlocker
5. Para controlar si los usuarios de su red pueden acceder a los sitios web si WebBlocker est activado
pero expira la suscripcin de seguridad de WebBlocker, en la lista desplegable Cuando la licencia de
WebBlocker expira, el acceso a todos los sitios est, seleccione una de estas opciones:
Negado
Seleccione esta opcin para bloquear el acceso a todos los sitios web cuando la licencia del
WebBlocker expira.
Permitido
Seleccione esta opcin para permitir el acceso a todos los sitios web cuando la licencia del
WebBlocker expira.
Por defecto, la derivacin de licencia est configurada para bloquear el acceso a todos los sitios web
si la suscripcin de seguridad de WebBlocker expir. sta es la opcin ms segura si debe bloquear a
sus usuarios de tipos de contenido especficos.
Para obtener informacin acerca de cmo renovar su suscripcin de seguridad, consulte Renovar
suscripciones de seguridad en la pgina 575.
6. Para mejorar el rendimiento de WebBlocker, aumente el valor del Tamao de cach.
7. En la seccin Servidores WebBlocker, configure un WebBlocker Server.
Si su dispositivo WatchGuard es un Firebox X Edge, puede utilizar un WebBlocker Server albergado

por WatchGuard o un servidor WebBlocker local. Para utilizar el WebBlocker Server albergado por
WatchGuard, marque la casilla de verificacin Utilizar WebBlocker Server albergado por
WatchGuard. Esta opcin slo est disponible si su dispositivo es un Firebox X Edge.
Para agregar una entrada para un WebBlocker Server local:
n En el cuadro de texto IP, ingrese la direccin IP de su WebBlocker Server.
n En el cuadro de texto Puerto, ingrese o seleccione el nmero de puerto. El nmero de puerto
predeterminado para el servidor WebBlocker es 5003.
n Para agregar al servidor WebBlocker a la lista, haga clic en Agregar.
Gua del Usuario 565

WebBlocker
Puede agregar un segundo WebBlocker Server para utilizarlo como servidor de respaldo si Firebox
no puede conectarse con el servidor principal. Siga los mismos pasos para agregar un WebBlocker
Server de respaldo. El primer servidor de la lista es el servidor principal.
n Para desplazar un servidor hacia arriba o hacia abajo en la lista, haga clic en la direccin IP del
servidor y luego en Mover hacia arriba o en Mover hacia abajo.
n Para eliminar un servidor de la lista, seleccinelo y haga clic en Eliminar.
Activar anulacin local

Cuando permite la anulacin local de WebBlocker, al usuario que intente conectarse con un sitio negado
por WebBlocker se le solicitar que ingrese la contrasea de anulacin. Cuando el usuario ingresa la
contrasea correcta, WebBlocker le permite acceder al sitio web de destino hasta que alcance el tiempo de
espera de inactividad o hasta que cierre sesin un usuario autenticado. Esta funcin se admite solamente
con las polticas de proxy HTTP. Para obtener ms informacin acerca de la anulacin local, consulte Usar
anulacin local de WebBlocker en la pgina 568.
Para permitir que los usuarios eludan WebBlocker si tienen la frase de contrasea correcta:
1. En la seccin Anulacin local, marque la casilla de verificacin Utilizar esta frase de contrasea y el
tiempo de espera de inactividad para permitir la anulacin local de WebBlocker.
2. En el cuadro de texto Frase de contrasea, ingrese la frase de contrasea.
3. En el cuadro de texto Confirmar, vuelva a ingresar la misma contrasea.
4. (Opcional) Cambie el valor del Tiempo de espera de inactividad.
Seleccione categoras para bloquear

1. Haga clic en la pestaa Categoras.
Aparece la lista de categoras de WebBlocker.

WebBlocker
2. Marque las casillas de verificacin adyacentes a las categoras de sitios web que desea bloquear en
este perfil de WebBlocker.
Para obtener ms informacin acerca de las categoras de WebBlocker, consulte Acerca de las
Categoras de WebBlocker en la pgina 569.
3. Para crear un mensaje de registro cuando se niega un sitio web sobre la base de una categora que
decidi bloquear, marque la casilla de verificacin Registrar esta accin.
La poltica de WebBlocker se agrega a la lista.
Utiliceel perfil deWebBlockercon servidoresproxyHTTP yHTTPS

Puede utilizar el perfil de WebBlocker que cre con los servidores proxy HTTP y HTTPS.
En la pgina de WebBlocker:
1. En la seccin Acciones de WebBlocker, en la lista Acciones HTTP y HTTPS, junto a cada accin de
proxy, haga clic en la lista desplegable y seleccione un perfil de WebBlocker.
Gua del Usuario 567

WebBlocker
Agregar excepciones de WebBlocker

Si desea permitir o negar siempre el acceso a sitios web especficos, independientemente de la categora
de WebBlocker, haga clic en la pestaa Excepciones. Puede agregar la URL o el patrn de URL de los sitios
que desea que WebBlocker permita o niegue siempre.
Para obtener ms informacin acerca de cmo agregar excepciones de WebBlocker, consulte Agregar
WebBlocker Excepciones en la pgina 573.
Usar anulacin local de WebBlocker

La anulacin local de WebBlocker es una funcin que permite que un usuario ingrese una contrasea de
anulacin para dirigirse a un sitio web que est bloqueado por una poltica de WebBlocker. Por ejemplo, en
una escuela, un maestro podra utilizar la contrasea de anulacin para permitir que un estudiante acceda a
un sitio aprobado que est bloqueado por las categoras de contenido de WebBlocker.
Cuando un usuario intenta dirigirse a un sitio bloqueado por la poltica de WebBlocker, si est activada la
anulacin local, el usuario ve un deny message en el navegador.

WebBlocker
Si el dispositivo WatchGuard utiliza un certificado autofirmado para la autenticacin, es posible que el

usuario tambin vea una advertencia de certificado. Le recomendamos que instale un certificado de
confianza en Firebox con este fin, o importe el certificado autofirmado en el dispositivo de cada cliente.
Para obtener acceso al sitio solicitado, el usuario debe ingresar el destino de anulacin y la contrasea de
anulacin.
1. En el cuadro de texto Destino de anulacin, ingrese la URL a la cual desea permitir el acceso. Por
defecto, el destino de anulacin se configura como la URL que se bloque. Puede utilizar comodines
en el destino de anulacin para otorgar acceso a ms de un sitio o a ms pginas de un mismo sitio.
Ejemplos de destinos de anulacin que utilizan comodines:
*.amazon.com
permite acceder a todos los subdominios de amazon.com

*amazon.com
permite acceder a todos los domain names que terminan con amazon.com, como images-
amazon.com
www.amazon.com/books-used-books-textbooks/*
permite acceder solamente a las pginas que se encuentran en esa ruta
2. En el cuadro de texto Contrasea de anulacin, ingrese la contrasea de anulacin configurada en

el perfil de WebBlocker.
Despus de que el usuario ingresa la contrasea de anulacin correcta, Firebox le permite acceder al
destino de anulacin hasta que un usuario autenticado cierre sesin o hasta que no haya trfico a un sitio
con coincidencia durante la cantidad de tiempo especificada en el tiempo de espera de inactividad de
anulacin local de WebBlocker. La anulacin local se activa y el tiempo de espera de inactividad de la
anulacin local se configura en el perfil de WebBlocker..
Para obtener ms informacin acerca de cmo configurar la anulacin local de WebBlocker, consulte
Activacin de WebBlocker en la pgina 562.
Acerca de las Categoras de WebBlocker

La base de datos de WebBlocker contiene nueve grupos de categoras, con 54 categoras de sitios web.
Un sitio web se agrega a una categora cuando los contenidos del sitio web coinciden con el criterio
correcto. Los sitios web que ofrecen opiniones o material educativo acerca del tema de la categora no
estn incluidos. Por ejemplo, la categora Drogas ilegales niega los sitios que indican cmo utilizar la
marihuana. No niegan los sitios que contienen informacin acerca del consumo histrico de marihuana.
SurfControl peridicamente agrega nuevas categoras de sitios web. Las nuevas categoras no aparecen en
la pgina de configuracin de WebBlocker hasta que WatchGuard actualiza el software para agregar las
nuevas categoras.
Para bloquear los sitios que cumplen con los criterios para una nueva categora de SurfControl que todava
no forma parte de una actualizacin del software de WebBlocker, seleccione la categora Otro.
Gua del Usuario 569

WebBlocker
Para bloquear los sitios que no cumplen con los criterios para ninguna otra categora, seleccione la
categora Sin categorizar.
Consultar si un sitio est categorizado

Para ver si WebBlocker niega el acceso a un sitio web como parte de un bloque de categora, dirjase a la
pgina Probar un sitio en el sitio web de SurfControl.
1. Abra un explorador web y dirjase a:

http://mtas2.surfcontrol.com/mtas/WatchGuardTest-a-Site_MTAS.asp.
Se abre la pgina Probar un sitio de WatchGuard.
2. Ingrese la URL o direccin IP del sitio que desea probar.

3. Haga clic en Probar sitio.
Aparece la pgina Resultados de Probar un sitio de WatchGuard.

WebBlocker
Agregar, eliminar o cambiar una categora

Si recibe un mensaje que indica que la URL que ingres no figura en la lista de SurfControl, puede enviarla
en la pgina Resultados de prueba.
1. En la pgina Resultados de prueba, haga clic en Enviar un sitio.

Aparece la pgina Enviar un sitio.
2. Seleccione si desea Agregar un sitio, Borrar un sitio o Cambiar la categora.

3. Ingrese la URL del sitio.
4. Si desea solicitar que se cambie la categora a la cual fue asignado un sitio, seleccione la nueva
categora desde el men desplegable.
Gua del Usuario 571

WebBlocker
Acerca de las Excepciones de WebBlocker

WebBlocker podra negar un sitio web que es necesario para su negocio. Usted puede anular a WebBlocker
cuando define un sitio web que WebBlocker suele negar como una excepcin para permitir que los
usuarios tengan acceso a ste. Por ejemplo, supongamos que los empleados de su compaa utilizan con
frecuencia sitios web que contienen informacin mdica. Algunos de estos sitios web estn prohibidos por
WebBlocker porque recaen en la categora de educacin sexual. Para anular a WebBlocker, especifique la
direccin IP domain name. Tambin puede negar sitios que WebBlocker suele permitir
Las excepciones de WebBlocker se aplican solamente al trfico HTTP. Si niega un sitio con WebBlocker, el
sitio no se agrega automticamente a la lista de Sitios bloqueados.
Para agregar excepciones de WebBlocker, consulte Agregar WebBlocker Excepciones en la pgina 573.
Defina la accin para las sitios que no tienen coincidencias

Excepciones
En la seccin Usar lista de categora debajo de la lista de reglas de excepcin, puede configurar la accin
que desea que ocurra si la URL no coincide con las excepciones que configura. Por defecto, el botn de
radio Use la lista de categora de WebBlocker para determinar accesibilidad est seleccionado y
WebBlocker compara los sitios contra las categoras seleccionadas en la pestaa Categoras para
determinar la accesibilidad.
Tambin puede elegir no utilizar las categoras en absoluto y en cambio, utilizar reglas de excepcin slo para
restringir el acceso a sitios web. Para hacer esto, haga clic en el botn de radio Negar acceso al sitio web.
Registrar esta accin

Seleccione para enviar un mensaje al archivo de registro cuando Firebox niega una excepcin de
WebBlocker.
Componentes de las reglas de excepcin

Puede hacer que el dispositivo WatchGuard bloquee o permita una URL que contenga una coincidencia
exacta. Por lo general, es ms conveniente que el dispositivo WatchGuard busque patrones de URL. Los
patrones de URL no incluyen "http://" al comienzo. Para generar coincidencias de rutas de URL en todos los
sitios web, el patrn debe contener /* como rastro.
Excepciones con parte de una URL

Puede crear excepciones de WebBlocker mediante el uso de cualquier parte de una URL. Puede configurar
un nmero de puerto, nombre de ruta o cadena que debe bloquearse para un sitio web en especial. Por
ejemplo, si es necesario bloquear slo www.espaciocompartido.com/~dave porque contiene fotografas
inapropiadas, ingrese www.espaciocompartido.com/~dave/*. Esto permite que los usuarios puedan
navegar a www.espaciocompartido.com/~julia, que puede tener contenidos que desea que sus usuarios
puedan ver.
Para bloquear las URL que contengan la palabra sexo en la ruta, puede ingresar */*sexo*. Para
bloquear las URL que contengan la palabra sexo en la ruta o en el nombre de host, ingrese *sexo*.

WebBlocker
Puede bloquear los puertos de una URL. Por ejemplo, observe la URL
http://www.hackerz.com/warez/index.html:8080. Esta URL hace que el navegador utilice el protocolo
HTTP en el puerto TCP 8080 en lugar del mtodo predeterminado que utiliza el puerto TCP 80. Puede
bloquear el puerto al generar la coincidencia *8080.
Agregar WebBlocker Excepciones

Puede agregar una excepcin, que es una coincidencia exacta de una URL, o puede utilizar el smbolo
comodn "*" en la URL para que coincida con cualquier carcter. Por ejemplo, si agrega
"www.algunsitio.com" a la lista de Sitios permitidos y un usuario ingresa "www.algunsitio.com/noticias", la
solicitud resultar negada. Si agrega "www.algunsitio.com/*" a la lista de Sitios permitidos, WebBlocker
permite que las solicitudes se dirijan a todas las rutas de URL en el sitio web www.algunsitio.com.
Para agregar excepciones:
1. Desde la Fireware XTM Web UI, seleccione Servicios de suscripcin > WebBlocker.
Aparece la pgina de WebBlocker.
2. En la seccin Perfiles de WebBlocker, junto a la poltica de WebBlocker, haga clic en Configurar.
Aparecer la configuracin de la poltica de WebBlocker.
3. Haga clic en la pestaa Excepciones.
Gua del Usuario 573

WebBlocker
4. En el cuadro de texto debajo de la lista Sitios permitidos, ingrese la URL exacta o el patrn de URL
de un sitio al cual desee permitir el acceso siempre. Haga clic en Agregar para agregarlo a la lista de
excepciones de Sitios permitidos.
5. En el cuadro de texto debajo de la lista Sitios negados, ingrese la URL exacta o el patrn de URL de
un sitio al cual desee negar el acceso siempre. Haga clic en Agregar para agregarlo a la lista de Sitios
negados.
Nota Cuando ingrese una excepcin de URL, no incluya http:// al comienzo. Puede
utilizar el smbolo comodn, *, para buscar coincidencia de cualquier carcter. Por
ejemplo, la excepcin www.algunsitio.com/* generar coincidencias de todas las
rutas de URL en el sitio web www.algunsitio.com. Puede utilizar ms de un
comodn en una excepcin de URL.
6. En la seccin Usar lista de categora, puede configurar la accin que desea realizar si la URL no
coincide con las excepciones que configura. La configuracin predeterminada es que el botn de

WebBlocker
radio Use la lista de categora de WebBlocker para determinar accesibilidad est seleccionado y
WebBlocker compare los sitios contra las categoras seleccionadas en la pestaa Categoras para
determinar la accesibilidad.
Tambin puede elegir no utilizar las categoras en absoluto y en cambio, utilizar reglas de excepcin
slo para restringir el acceso a sitios web. Para hacer esto, haga clic en el botn de radio Negar
acceso al sitio web.
Renovar suscripciones de seguridad

Los servicios de suscripcin de WatchGuard (el Gateway AntiVirus, el Intrusion Prevention Service,
WebBlocker y spamBlocker) deben recibir actualizaciones peridicas para funcionar con eficiencia.
Para ver la fecha de vencimiento de sus servicios de suscripcin, en la Web UI deFireware XTM, seleccione
Sistema >Tecla de funcin. La columna Vencimiento muestra la fecha de vencimiento de la suscripcin.
Cuando renueva la suscripcin de seguridad, debe actualizar la tecla de funcin del dispositivo WatchGuard.
Para actualizar la tecla de funcin, desde la Web UI deFireware XTM, seleccione Sistema > Tecla de
funcin.
Para obtener ms informacin acerca de las teclas de funcin, consulte Acerca de las teclas de funcin en la
pgina 51.
Acerca del vencimiento de los servicios de

suscripcin de WebBlocker
Si su sitio utiliza WebBlocker, debe renovar o desactivar su suscripcin de WebBlocker cuando venza para
evitar una interrupcin en la navegacin web. WebBlocker tiene una configuracin predeterminada que
bloquea todo el trfico cuando se agota el tiempo de espera de las conexiones con el servidor. Cuando su
WebBlocker se vence, ya no se comunica con el servidor. Para Firebox, esto aparece como el agotamiento
del tiempo de espera del servidor. Todo el trfico HTTP se bloquea a menos que esta configuracin
predeterminada se cambie antes del vencimiento.
Para cambiar esta configuracin, dirjase a la pestaa Configuracin de la pgina de configuracin de

WebBlocker y cambie la configuracin de la seccin Derivacin de licencia a Permitida.
Gua del Usuario 575

WebBlocker
Gua del Usuario 576

25 spamBlocker
Acerca de las spamBlocker

Los correos electrnicos no deseados, tambin conocidos como spam, llenan una bandeja de entrada
promedio a una velocidad asombrosa. Un gran volumen de spam disminuye el ancho de banda, degrada la
productividad del empleado y desperdicia recursos de red. La opcin spamBlocker de WatchGuard utiliza
una tecnologa de deteccin de patrones lder en la industria proporcionada por Commtouch para bloquear
el spam en su puerta de enlace de Internet y mantenerlo alejado de su Servidor de correo electrnico.
Los filtros de correo comerciales utilizan muchos mtodos para detectar el spam. Las listas negras guardan
una lista de dominios que son utilizados por fuentes de spam conocidas y son rels abiertos para el spam.
Los filtros de contenido buscan palabras clave en el encabezado y en el cuerpo del mensaje de correo
electrnico. La deteccin de URL compara una lista de dominios utilizados por fuentes de spam conocidas
con el enlace publicitado en el cuerpo del mensaje de correo electrnico. No obstante, todos estos
procedimientos escanean cada mensaje de correo electrnico individual. Los atacantes pueden evitar
fcilmente esos algoritmos fijos. Pueden enmascarar la direccin del emisor para evitar una lista negra,
cambiar las palabras clave, integrar palabras en una imagen o utilizar mltiples idiomas. Tambin pueden
crear una cadena de servidores proxy para camuflar la URL publicitada.
spamBlocker utiliza la solucin Deteccin de patrones recurrentes (Recurrent-Pattern Detection, RPD)

creada por Commtouch para detectar estos ataques de spam difciles de advertir. La RPD es un mtodo
innovador que navega Internet para detectar los ataques de spam en tiempo real. La RPD detecta los
patrones del ataque, no slo el patrn de mensajes de spam individuales. Como no utiliza el contenido ni el
encabezado de un mensaje, puede identificar el spam en cualquier idioma, formato o codificacin. Para ver
un ejemplo de anlisis de ataque de spam en tiempo real, visite el Monitor de ataques de Commtouch en:
http://www.commtouch.com/Site/ResearchLab/map.asp
spamBlocker adems proporciona una funcin opcional de Virus Outbreak Detection. Para ms
informaciones, vea Active y configure los parmetros de la Virus Outbreak Detection (VOD) en la pgina 601.
Para ver las estadsticas de la actividad actual de spamBlocker, seleccione Panel de instrumentos > Servicios
de suscripcin.
Gua del Usuario 577

spamBlocker
Gua del Usuario 578

Requisitos de spamBlocker
Antes de activar spamBlocker, debe tener:
n Una tecla de funcin de spamBlocker: para obtener una tecla de funcin, comunquese con su
revendedor de WatchGuard o dirjase al sitio web de WatchGuard LiveSecurity en:
http://www.watchguard.com/store
n Un servidor de correo electrnico POP3 o SMTP: spamBlocker trabaja con los servidores proxy
SMTP entrantes y POP3 de WatchGuard para escanear su correo electrnico. Si no configur el
proxy POP3 o SMTP, estos se activarn cuando configure el servicio de spamBlocker. Si tiene ms de
una poltica de proxy para POP3 o para SMTP, spamBlocker trabajar con todas.
n El DNS debe estar configurado en su Firebox: en la Fireware XTM Web UI, seleccione Red >
Interfaces. En la lista Servidores DNS, agregue las direcciones IP de los servidores DNS que su
dispositivo WatchGuard utiliza para resolver los nombres de host.
n Una conexin a Internet disponible
Gua del Usuario 579

Gua del Usuario 580
Acciones, etiquetas y categoras de spamBlocker
El dispositivo WatchGuard utiliza las acciones de spamBlocker para aplicar decisiones acerca de la entrega
de mensajes de correo electrnico. Cuando un mensaje es asignado a una categora, se aplica la accin
relacionada. No se admiten todas las acciones cuando utiliza spamBlocker con el proxy POP3.
Permitir
Permitir que el mensaje de correo electrnico pase por Firebox.
Agregar etiqueta de asunto
Permitir que el mensaje de correo electrnico pase por Firebox pero insertar texto en la lnea de
asunto del mensaje de correo electrnico para marcarlo como spam o posible spam. Puede
mantener las etiquetas predeterminadas o personalizarlas, como se describe en la seccin de
etiquetas de spamBlocker a continuacin. Tambin puede crear reglas en su lector de correo
electrnico para clasificar el spam de manera automtica, como se describe en Cree reglas para su
lector de correo electrnico en la pgina 602.
Poner en cuarentena (slo SMTP)
Enviar el mensaje de correo electrnico al Quarantine Server. Tenga en cuenta que la opcin Poner
en cuarentena est admitida slo si utiliza spamBlocker con el proxy SMTP. El proxy POP3 no admite
esta opcin.
Negar (slo SMTP)
Evita que el mensaje de correo electrnico sea entregado al servidor de correo. Firebox enva este
mensaje SMTP 571 al servidor de correo electrnico enviante: Entrega no autorizada, mensaje
rechazado. La opcin Negar se admite slo si utiliza spamBlocker con el proxy SMTP. El proxy POP3
no admite esta opcin.
Abandonar (slo SMTP)
Abandonar la conexin inmediatamente. El dispositivo WatchGuard no le brinda ningn mensaje de

error al servidor enviante. La opcin Abandonar est admitida slo si utiliza spamBlocker con el
proxy SMTP. El proxy POP3 no admite esta opcin.
Etiquetas de spamBlocker
Si selecciona la accin de spamBlocker para agregar una etiqueta a determinados mensajes de correo
electrnico, Firebox agrega una cadena de texto a la lnea de asunto del mensaje. Puede utilizar las
etiquetas predeterminadas provistas o crear etiquetas personalizadas. La longitud mxima de la etiqueta es
de 30 caracteres.
Este ejemplo muestra la lnea de sujeto de un mensaje de correo electrnico confirmado como spam. La
etiqueta que se agreg fue la predeterminada: ***SPAM***.
Asunto: ***SPAM*** Cotizacin gratuita de seguro automotor
Este ejemplo muestra una etiqueta personalizada: [SPAM]

Asunto: [SPAM] Ha sido aprobado!
Gua del Usuario 581

Categoras de spamBlocker
La solucin Deteccin de patrones recurrentes (RPD) de Commtouch (RPD) clasifica los ataques de spam
por severidad en su base de datos Centro de deteccin anti-spam. spamBlocker consulta esta base de datos
y le asigna una categora a cada mensaje de correo electrnico.
spamBlocker tiene tres categoras:
La categora Spam confirmado incluye los mensajes de correo electrnico que vienen de emisores de
spam conocidos. Si utiliza spamBlocker con el proxySMTP, le recomendamos que utilice la accin Negar
para este tipo de correo electrnico. Si utiliza spamBlocker con el proxy POP3, le recomendamos que
utilice la accin Agregar etiqueta de asunto para este tipo de correo electrnico.
La categora Masivo incluye a los mensajes de correo electrnico que no provienen de emisores conocidos
pero que coinciden con algunos patrones de estructura de spam conocidos. Le recomendamos que utilice
la accin Agregar etiqueta de asunto para este tipo de correo electrnico, o bien, la accin Poner en
cuarentena si utiliza spamBlocker con el proxy SMTP.
La categora Sospechoso incluye a los mensajes de correo electrnico que parecen poder asociarse con un
nuevo ataque de spam. Con frecuencia, estos mensajes son mensajes de correo electrnico legtimos. Le
recomendamos que considere los mensajes de correo electrnico sospechosos como un falso positivo y en
consecuencia, no como spam, a menos que haya verificado que no se trata de un falso positivo para su red.
Tambin le recomendamos que utilice la accin Permitir para el correo electrnico sospechoso, o bien, la
accin Poner en cuarentena si utiliza spamBlocker con el proxy SMTP.
Consulte la categora de spamBlocker de un mensaje

Despus de que spamBlocker categoriza un mensaje, agrega la categora de spam al encabezado del
mensaje de correo electrnico completo como una calificacin de spam.
Para encontrar la calificacin de spam de un mensaje, abra el encabezado completo del mensaje de correo
electrnico.
Si tiene Microsoft Outlook, abra el mensaje, seleccione Ver > Opciones y busque en el cuadro de dilogo
Encabezados de Internet.
La calificacin de spam aparece en esta lnea:
X-WatchGuard-Spam_Score:
Por ejemplo:
X-WatchGuard-Spam-Score: 3, masivo; 0, sin virus
El primer nmero en esta lnea es la categora de spam. Este nmero tiene uno de estos valores:
0 - limpio
1 - limpio
2 - sospechoso
3 - masivo
4 - spam

Si activa la Virus Outbreak Detection (VOD) en su configuracin de spamBlocker, la calificacin de spam en
el encabezado del mensaje de correo electrnico tendr un nmero secundario, la categora de VOD. Este
nmero tiene uno de estos valores:
0 - sin virus
1 - sin virus
2 - posible amenaza de virus
3 - alta amenaza de virus
Configurado spamBlocker
Para configurar spamBlocker para un proxy SMTP o POP3:
1. Desde la Web UI de Fireware XTM, seleccione Servicios de suscripcin > spamBlocker.

Aparece la pgina de configuracin de spamBlocker, con una lista de las acciones de proxy SMTP y POP3 en su
dispositivo WatchGuard y una indicacin de si spamBlocker est activado para cada una.
2. Seleccione la poltica que desea configurar y haga clic en Configurar.

Aparece la pgina de configuracin de spamBlocker para esa poltica.
Gua del Usuario 583

3. Seleccione la casilla de verificacin Activar spamBlocker.
4. Configure las acciones que spamBlocker aplicar para cada categora de correo electrnico en las
listas desplegables adyacentes a spam ConfirmadoMasivo y Sospechoso. Si selecciona Agregar
etiqueta de asunto para cualquier categora, puede cambiar la etiqueta predeterminada que
aparece en el cuadro de texto a la derecha de la lista desplegable.
Para obtener ms informacin acerca de las etiquetas de spamBlocker, consulte Acciones, etiquetas
y categoras de spamBlocker en la pgina 581.
5. Si desea enviar un mensaje de registro cada vez que spamBlocker realiza una accin, seleccione la
casilla de verificacin Enviar un mensaje de registro de la accin que corresponde. Si no desea
grabar los mensajes de registro de una accin, desmarque esta casilla de verificacin.
6. La lista desplegable Cuando el servidor de spamBlocker no est disponible especifique cmo debe
administrar el correo electrnico entrante el dispositivo WatchGuard cuando no se puede
comunicar con el servidor de spamBlocker. Le recomendamos que utilice la accin predeterminada
Permitido.
n Si configura esta opcin como Negado para el proxy POP3 o SMTP, esto causar un conflicto
con Microsoft Outlook. Cuando Outlook inicia una conexin con el servidor de correo
electrnico, spamBlocker intenta comunicarse con el servidor de spamBlocker. Si el servidor
de spamBlocker no est disponible, spamBlocker detiene la descarga de correos electrnicos.
Cuando esto ocurre, comienza un ciclo. Outlook intenta descargar los correos electrnicos y
spamBlocker detiene la descarga. Esto contina hasta que el dispositivo WatchGuard logra
conectarse al servidor de spamBlocker, se abandona la solicitud porque se vencen los tiempos
de proxy o usted cancela la solicitud.

n Si configura esta opcin como Negado con el proxy SMTP, el dispositivo WatchGuard enva este
mensaje SMTP 450 al servidor de correo electrnico enviante: La casilla de correo no est
disponible por el momento.
7. La casilla de verificacin Enviar mensaje de registro para cada correo electrnico clasificado como
no spam especifica si se agrega un mensaje al archivo de registro si un mensaje de correo
electrnico es escaneado por spamBlocker pero no es designado como spam Confirmado, Masivo ni
Sospechoso. Seleccione esta casilla de verificacin si desea agregar un mensaje al archivo de
registro en esta situacin.
8. (Opcional) Agregue reglas de excepcin a spamBlocker, como se describe en Acerca de las
Excepciones de spamBlocker en la pgina 587.
9. Configure las acciones de Virus Outbreak Detection, como se describe en Configurar acciones de
Virus Outbreak Detection para una poltica en la pgina 593.
Nota Si tiene algn firewall perimetral entre el dispositivo WatchGuard que utiliza
spamBlocker e Internet, ste no debe bloquear el trfico HTTP. El protocolo HTTP se
utiliza para enviar solicitudes desde el dispositivo WatchGuard hasta el servidor de
spamBlocker.
Despus de activar spamBlocker para una accin o poltica de proxy, puede definir la configuracin global
de spamBlocker. Estos ajustes se aplican a todas las configuraciones de spamBlocker. Haga clic en
Configuracin para ver o modificar la configuracin global de spamBlocker. Para ms informaciones, vea
Configure los parmetros globales de spamBlocker en la pgina 597.
Gua del Usuario 585

Gua del Usuario 586
Acerca de las Excepciones de spamBlocker
Puede crear una lista de excepciones a las acciones generales de spamBlocker que se base en la direccin
del emisor o del destinatario. Por ejemplo, si desea permitir un boletn de noticias que spamBlocker
identifica como correo electrnico masivo, puede agregar a ese emisor a la lista de excepciones y utilizar la
accin Permitir independientemente de la categora de spamBlocker a la cual est asignado el emisor. O
bien, si desea aplicar una etiqueta a un emisor que spamBlocker designa como seguro, tambin puede
agregar eso a la lista de excepciones.
Asegrese de utilizar la direccin real del emisor, que figura en el campo Correo de en el encabezado del
mensaje de correo electrnico, que posiblemente no coincida con la direccin del campo De: que ve en
la parte superior del mensaje de correo electrnico. Para obtener la direccin real para la excepcin,
busque el encabezado completo del mensaje de correo electrnico (desde Microsoft Outlook, con el
mensaje abierto, seleccione Ver > Opciones y busque en el cuadro Encabezados de Internet). Las
direcciones del emisor y el destinatario estn en estas lneas:
X-WatchGuard-Mail-From:
X-WatchGuard-Mail-Recipients:
Tenga cuidado cuando agrega comodines a una excepcin. Los emisores de spam pueden replicar la
informacin del encabezado. Cuanto ms especficas sean las direcciones de su lista de excepciones, ms
difcil ser replicarlas.
Para agregar una regla de excepcin, consulte Agregar spamBlocker reglas de excepciones en la pgina 589.
Para cambiar el orden de las reglas enumeradas en el cuadro de dilogo, consulte Cambiar el orden de las
Excepciones en la pgina 591.
Gua del Usuario 587

Gua del Usuario 588
Agregar spamBlocker reglas de excepciones
Despus de activar spamBlocker, puede definir excepciones que permitan que los correos electrnicos de
emisores especficos deriven a spamBlocker.

Aparece la pgina de configuracin de spamBlocker.
2. Seleccione una poltica de proxy y haga clic en Configurar. Haga clic en la pestaa Excepciones.
Aparece la pgina de configuracin de spamBlocker y muestra la lista de excepciones de spamBlocker.
3. Desde la lista desplegable Accin, seleccione una accin de la regla: Permitir, Agregar etiqueta de
asunto, Poner en cuarentena, Negar o Abandonar. (Recuerde que el proxy POP3 slo admite las
acciones Permitir y Agregar etiqueta de asunto en spamBlocker).
4. Ingrese un emisor, un destinatario o ambos. Puede ingresar la direccin de correo electrnico

completa o utilizar comodines.
Asegrese de utilizar la direccin real del emisor. Puede encontrar esta direccin en el campo
Correo de en el encabezado del correo electrnico. Es posible que esta direccin no coincida con
la que aparece en el campo De: que ve en la parte superior del mensaje de correo electrnico.
Para obtener la direccin real para la excepcin, busque el encabezado completo del mensaje de
correo electrnico (desde Microsoft Outlook, con el mensaje abierto, seleccione Ver > Opciones y
busque en el cuadro Encabezados de Internet). Las direcciones del emisor y el destinatario estn
en estas lneas:
X-WatchGuard-Mail-From:
X-WatchGuard-Mail-Recipients:
Tenga cuidado cuando agrega comodines a una excepcin. Los emisores de spam pueden replicar
Gua del Usuario 589

la informacin del encabezado. Cuanto ms especficas sean las direcciones de su lista de
excepciones, ms difcil ser replicarlas.
La excepcin se agrega en la parte inferior de la lista de excepciones.
6. Si desea enviar un mensaje de registro cada vez que un correo electrnico coincida con una de las
excepciones, haga clic en la casilla de verificacinRegistrar excepciones.
Las excepciones se procesan en el mismo orden en que aparecen en la lista. De ser necesario, haga clic en
los botones Arriba y Abajo para Cambiar el orden de las Excepciones.

Cambiar el orden de las Excepciones
El orden de aparicin de las reglas de excepciones de spamBlocker en el cuadro de dilogo refleja el orden
en que los mensajes de correo electrnico se comparan con las reglas. La poltica de proxy compara los
mensajes con la primera regla de la lista y contina secuencialmente desde arriba hacia abajo. Cuando un
mensaje coincide con una regla, el dispositivo WatchGuard realiza la accin relacionada. No realiza ninguna
otra accin, incluso aunque el mensaje coincida con una o ms reglas posteriores de la lista.
Para cambiar el orden de las reglas, seleccione la regla cuyo orden desea cambiar. Haga clic en el botn
Arriba o Abajo para desplazar la regla seleccionada hacia arriba o abajo de la lista.
Gua del Usuario 591

Gua del Usuario 592
Configurar acciones de Virus Outbreak Detection para una
poltica
La Virus Outbreak Detection (VOD) es una tecnologa que utiliza el anlisis del trfico para identificar los
ataques de virus por correo electrnico en todo el mundo en pocos minutos y luego ofrece proteccin
contra esos virus. Suministrada por Commtouch, un lder de la industria en proteccin contra spam y virus
en correos electrnicos, la VOD est incorporada en el servicio de suscripcin de spamBlocker. Despus de
activar spamBlocker, puede configurar la Virus Outbreak Detection.
Para configurar las acciones de Virus Outbreak Detection:
2. Asegrese de que la Virus Outbreak Detection est activada:
n En spamBlocker pgina, haga clic en Configuracin.

n En la pgina Configuracin de spamBlocker, haga clic en la pestaa VOD.
n Seleccione la casilla de verificacin Activar Virus Outbreak Detection (VOD).
Para ms informaciones, vea Active y configure los parmetros de la Virus Outbreak Detection
(VOD) en la pgina 601.
n Haga clic en Guardar.
3. En spamBlocker pgina, seleccione una poltica de proxy y haga clic en Configurar. Haga clic en la
pestaa Virus Outbreak Detection.
4. Desde la lista desplegable Cuando se detecta un virus, seleccione la accin que debe realizar el
dispositivo WatchGuard si VOD detecta un virus en un mensaje de correo electrnico.
5. Desde la lista desplegable Cuando ocurre un error de escaneo, seleccione la accin que debe
realizar el dispositivo WatchGuard cuando VOD no puede escanear un mensaje de correo
electrnico o un adjunto.
Los adjuntos que no se pueden escanear incluyen mensajes codificados de BinHex, determinados
Gua del Usuario 593

archivos cifrados o archivos que utilizan un tipo de compresin no admitido como los archivos Zip
protegidos por contrasea.
6. Seleccione las casillas de verificacin Registrar esta accin para enviar un mensaje de registro
cuando se detecta un virus o cuando ocurre un error de escaneo.
El proxy SMTP admite las acciones Permitir, Bloquear, Eliminar, Poner en cuarentena, Abandonar y
Bloquear. El proxy POP3 slo admite las acciones Permitir, Bloquear y Eliminar.
Para obtener ms informacin acerca de estas acciones, consulte Acciones, etiquetas y categoras de
spamBlocker en la pgina 581.

Configure spamBlocker para colocar mensajes de correo
Para configurar spamBlocker para que ponga correos electrnicos en cuarentena:
1. Cuando configura spamBlocker (como se describe en Configurado spamBlocker en la pgina 583),

debe asegurarse de activar spamBlocker para el proxy SMTP.
2. Cuando configura las acciones que spamBlocker aplicar a las diferentes categoras de correo
electrnico (como se describe en Configurado spamBlocker en la pgina 583), asegrese de
seleccionar la accin Poner en cuarentena por lo menos para una de las categoras.
Tambin puede seleccionar la accin Poner en cuarentena para los mensajes de correo electrnico
identificados por Virus Outbreak Detection como portadores de virus. Para ms informaciones, vea
Configurar acciones de Virus Outbreak Detection para una poltica en la pgina 593.
Gua del Usuario 595

Gua del Usuario 596
Acerca de la utilizacin spamBlocker con servidores proxy
mltiples
Puede configurar ms de una poltica de proxy SMTP o POP3 para utilizar spamBlocker. Esto le permite
crear reglas personalizadas para grupos diferentes dentro de una organizacin. Por ejemplo, puede
permitir todos los correos electrnicos para sus empleados administrativos y utilizar una etiqueta de spam
para el equipo de mercadeo.
Si desea utilizar ms de una poltica de proxy con spamBlocker, su red debe utilizar una de estas
configuraciones:
n Cadapolticadeproxydebeenviar loscorreoselectrnicosaunservidor decorreoelectrnicointerno

diferente.
o
n Debe configurar lasfuentesexternasque puedenenviar correoselectrnicosparacadapolticade proxy.
Configure los parmetros globales de

spamBlocker
Puede usar configuracin global de spamBlocker para optimizar spamBlocker para su propia instalacin.
Como la mayora de estos parmetros afectan la cantidad de memoria que utiliza spamBlocker en el
dispositivo WatchGuard, debe equilibrar el rendimiento de spamBlocker con las dems funciones de su
Nota Para realizar las configuraciones globales de spamBlocker, debe activar

spamBlocker por lo menos para una poltica de proxy.

2. Haga clic en Configuraciones.
Aparece la pgina de configuracin de spamBlocker.
Gua del Usuario 597

3. spamBlocker crea una conexin para cada mensaje que procesa. Esta conexin incluye informacin
acerca del mensaje que se utiliza para generar su calificacin de spam. spamBlocker establece un
nmero mximo predeterminado de conexiones que pueden analizarse simultneamente con
memoria intermedia segn el modelo de su dispositivo WatchGuard. Puede utilizar el campo
Nmero mximo de conexiones para aumentar o reducir este valor. Si la cantidad de trfico que
administran sus polticas de proxy es reducida, puede aumentar el nmero de conexiones admitidas
para spamBlocker sin afectar el rendimiento. Si tiene memoria disponible limitada en el dispositivo
WatchGuard, es posible que desee reducir el valor de este campo.
4. Utilice el campo Tamao mximo de archivo para escanear para configurar la cantidad de bytes
que debe tener un mensaje de correo electrnico para que pase a escanearse en spamBlocker. Por
lo general, de 20 a 40K resultan suficientes para que spamBlocker detecte el spam correctamente.
No obstante, si el spam a base de imgenes representa un problema para su organizacin, puede
aumentar el tamao mximo del archivo para bloquear ms mensajes de spam a base de imgenes.
Para obtener informacin sobre los lmites de escaneo predeterminados y mximos para cada
modelo de dispositivo WatchGuard, consulte Acerca de spamBlocker y los lmites de escaneo de la
VOD en la pgina 602.

5. En el campo Tamao de cach, ingrese el nmero de entradas que spamBlocker almacena
localmente para los mensajes que fueron categorizados como spam y masivos. Un cach local
puede mejorar el rendimiento porque no requiere trfico de red a Commtouch. Por lo general, no
tiene que cambiar este valor.
Puede configurar el campo Tamao de cach en 0 para que todos los correos electrnicos se
enven a Commtouch. Normalmente, esto slo se utiliza para detectar y solucionar problemas.
6. Desmarque la casilla de verificacin Activado al lado de Patrones proactivos si desea desactivar la
funcin de Patrones proactivos del motor de CT de Commtouch. Esta funcin est activada de
manera automtica. Utiliza una gran cantidad de memoria mientras se actualiza la base de datos
local. Si tiene recursos de memoria o procesador limitados, es posible que desee desactivar esta
funcin.
7. El cuadro de texto Anulacin de cadena de conexin slo se utiliza cuando debe detectar y
solucionar un problema de spamBlocker con un representante de soporte tcnico. No cambie este
valor a menos que se le solicite que proporcione informacin de depuracin adicional para un
problema de soporte tcnico.
8. Tambin puede definir varios parmetros opcionales ms para spamBlocker:
n Active y configure los parmetros de la Virus Outbreak Detection (VOD)

n Utilice un servidor proxy HTTP para spamBlocker
n Agregar reenviadores de correo electrnico de confianza para mejorar la precisin de
calificacin del spam
Utilice un servidor proxy HTTP para spamBlocker

Si spamBlocker debe utilizar un servidor proxy HTTP para conectarse con el servidor de CommTouch a
travs de Internet, debe configurar el servidor proxy HTTP desde Configuraciones de spamBlocker pgina.
1. En el la pgina de spamBlocker, haga clic en Configuracin.

2. Haga clic en la pestaa Servidor proxy HTTP.
Gua del Usuario 599

3. En la pestaa Servidor proxy HTTP, seleccione la casilla de verificacin Contactar el servidor de
spamBlocker usando un servidor proxy HTTP.
4. Utilice los otros campos de esta pestaa para configurar los parmetros del servidor proxy, que
incluyen la direccin del servidor proxy, el puerto que debe utilizar el dispositivo WatchGuard para
comunicarse con el servidor proxy y las credenciales de autenticacin que debe utilizar el
dispositivo WatchGuard para las conexiones con el servidor proxy (si el servidor proxy las requiere).
Agregar reenviadores de correo electrnico de confianza para

mejorar la precisin de calificacin del spam
Parte de la calificacin de spam de un mensaje de correo electrnico se calcula mediante la direccin IP del
servidor desde el cual se recibi el mensaje. Si se utiliza un servicio de reenvo de correo electrnico, la
direccin IP del servidor reenviante se utiliza para calcular la calificacin del spam. Como el servidor
reenviante no es el servidor de correo electrnico fuente inicial, es posible que la calificacin del spam no
sea precisa.
Para mejorar la precisin de la calificacin del spam, puede ingresar uno o ms nombres de host o domain
names de servidores de correo electrnico en los cuales confe para que reenven el correo electrnico a
su servidor de correo electrnico. Si utiliza un servidor SMTP, ingrese uno o ms nombres de host o domain
names de los servidores de correo electrnico SMTP en los cuales confe para que reenven los mensajes a
su servidor de correo electrnico. Si utiliza un servidor POP3, ingrese los domain names de proveedores
POP3 conocidos o comnmente utilizados en los cuales confa para descargar sus mensajes por medio de
ellos.

Despus de que agrega un reenviador de correo electrnico de confianza o varios, spamBlocker ignora al
reenviador de correos electrnicos de confianza en los encabezados de los mensajes de correo
electrnico. La calificacin del spam se calcula utilizando la direccin IP del servidor de correo electrnico
fuente.
1. Desde la pgina Configuracin de spamBlocker, haga clic en la pestaa Configuracin.

2. Debajo de la lista Reenviadores de correo electrnico de confianza, ingrese un nombre de host o
de dominio en el cuadro de texto. Haga clic en Agregar.
Si agrega un domain name, asegrese de agregar un punto al principio (.) del nombre, como en
.firebox.net.
3. (Opcional) Repita el paso 2 para agregar ms reenviadores de correo electrnico de confianza.

Active y configure los parmetros de la Virus Outbreak

Detection (VOD)
La Virus Outbreak Detection (VOD) es una tecnologa que identifica los ataques de virus por correo
electrnico de todo el mundo en minutos y luego ofrece proteccin contra esos virus. Ofrecida por
Commtouch, un lder de la industria en lo que respecta a proteccin contra virus y spam por correo
electrnico, VOD atrapa los virus incluso ms rpido que los sistemas basados en firmas.
Para activar y configurar VOD:
1. Desde la pgina Configuracin de spamBlocker, haga clic en la pestaa VOD.
2. Seleccione la casilla de verificacin Activar Virus Outbreak Detection (VOD).

3. De modo predeterminado, VOD analiza los mensajes de correo electrnico entrantes hasta un lmite
de tamao predeterminado que resulta ptimo para el modelo de Firebox. Puede aumentar o
reducir este lmite mediante las flechas adyacentes a Tamao mximo de archivo VOD para
escanear.
modelo de dispositivo WatchGuard, consulte Acerca de spamBlocker y los lmites de escaneo de la
VOD en la pgina 602.
VOD utiliza el valor mayor de los tamaos de archivo mximos configurados para la VOD o el spamBlocker.
Si el valor global para spamBlocker del campo Tamao mximo de archivo para escanear configurado en ,
pestaa Configuracin es mayor que el valor de Tamao mximo de archivo VOD para escanear, VOD
utilizar el valor global para spamBlocker. Para obtener informacin acerca de la configuracin global de
spamBlocker, consulte Configure los parmetros globales de spamBlocker en la pgina 597.
En las definiciones de proxy para spamBlocker, puede configurar las acciones que desea que spamBlocker
realice cuando encuentre un virus, como se describe en Configurar acciones de Virus Outbreak Detection
para una poltica en la pgina 593.
Gua del Usuario 601

Acerca de spamBlocker y los lmites de escaneo de la VOD
spamBlocker escanea cada archivo hasta un conteo de kilobytes especfico. Todos los bytes adicionales en el
archivo no se examinan. Esto permite al proxy escanear parcialmente archivos muy grandes sin ocasionar
un efecto considerable en el rendimiento. Los lmites de escaneo predeterminado y mximo son diferentes
para cada modelo de dispositivo WatchGuard.
Lmites de escaneo del archivo por modelo de dispositivo WatchGuard,

en kilobytes
Modelo Mnimo Mximo Predeterminado
Firebox X Edge e-Series 1 40 40
Firebox X Core e-Series 1 2000 60
Firebox X Peak e-Series 1 2000 100
WatchGuard XTM XTMSerie2 1 1000 60
WatchGuard XTM 5 Series 1 2000 100
WatchGuard XTM 8 Series 1 2000 100
WatchGuard XTM 1050 1 2000 100
Para obtener informacin acerca de cmo configurar el tamao mximo del archivo a escanear mediante
spamBlocker y la VOD, consulte Configure los parmetros globales de spamBlocker en la pgina 597 y
Active y configure los parmetros de la Virus Outbreak Detection (VOD) en la pgina 601
Cree reglas para su lector de correo electrnico

Para utilizar la accin de Etiqueta en spamBlocker, lo mejor es que configure su lector de correo
electrnico para clasificar los mensajes. La mayora de los lectores de correo electrnico, como Outlook,
Thunderbird y Mac Mail, le permiten configurar reglas que envan automticamente los mensajes de correo
electrnico etiquetados a una subcarpeta. Algunos lectores de correo electrnico adems permiten crear
una regla para eliminar los mensajes automticamente.
Como puede utilizar una etiqueta diferente para cada categora de spamBlocker, puede configurar una
regla diferente para cada categora. Por ejemplo, puede configurar una regla para trasladar todos los
mensajes de correo electrnico que contengan la etiqueta ***MASIVO*** en la lnea de asunto a una
subcarpeta para correos masivos en su bandeja de entrada. Puede configurar otra regla que elimine todos
los mensajes de correo electrnico que contengan la etiqueta ***SPAM*** en la lnea de asunto.
Para obtener instrucciones acerca de cmo configurar el cliente de correo electrnico Microsoft Outlook,
consulte Enviar correos electrnicos spam o masivos a carpetas especiales en Outlook en la pgina 603.
Para obtener informacin acerca de cmo utilizar este procedimiento en otros tipos de clientes de correo
electrnico, consulte la documentacin del usuario de esos productos.

Nota Si utiliza spamBlocker con el proxy SMTP, puede hacer que los correos electrnicos
spam se enven al Quarantine Server. Para obtener ms informacin sobre el
Quarantine Server, consulte Pgina Acerca de Quarantine Server en la pgina 635.
Enviar correos electrnicos spam o masivos a carpetas

especiales en Outlook
Este procedimiento le muestra los pasos para crear reglas para los correos electrnicos masivos y
sospechosos en Microsoft Outlook. Puede hacer que los correos electrnicos que contienen las etiquetas
spam o masivo se enven directamente a carpetas especiales en Outlook. Cuando cree estas carpetas,
mantendr los correos electrnicos que posiblemente sean spam fuera de sus carpetas habituales de
Outlook pero podr acceder a ellos si fuera necesario.
Antes de comenzar, asegrese de configurar spamBlocker para agregar una etiqueta a los correos
electrnicos spam y masivos. Puede utilizar las etiquetas predeterminadas o crear etiquetas personalizadas.
Los siguientes pasos describen cmo crear carpetas con las etiquetas predeterminadas.
1. En su bandeja de entrada de Outlook, seleccione Herramientas > Reglas y alertas.

2. Haga clic en Nueva regla para iniciar el asistente Reglas.
3. Seleccione Comenzar desde una regla en blanco.
4. Seleccione Comprobar los mensajes cuando llegan. Haga clic en Siguiente.
5. Seleccione la casilla de verificacin de condicin: con palabras especficas en el asunto. Luego, en
el panel inferior, edite la descripcin de la regla haciendo clic en especificar.
6. En el cuadro de dilogo Buscar texto, ingrese la etiqueta de spam como ***SPAM*** . Si utiliza una
etiqueta personalizada, ingrsela aqu en lugar de la anterior.
7. Haga clic en Agregar y luego haga clic en OK.
9. El asistente le pregunta qu desea hacer con el mensaje. Seleccione la casilla de verificacin
moverlo a la carpeta especificada. Luego, en el panel inferior, haga clic en especificada para
seleccionar la carpeta de destino.
10. En el cuadro de dilogo Elegir una carpeta, haga clic en Nueva.
11. En el campo de nombre de la carpeta, ingrese Spam . Haga clic en OK.
12. Haga clic en Siguiente dos veces.
13. Para completar la configuracin de la regla, ingrese un nombre para su regla de spam y haga clic en
Terminar.
14. Haga clic en Aplicar.
Repita estos pasos para crear una regla para el correo electrnico masivo, utilizando la etiqueta correo
electrnico masivo. Puede enviar el correo electrnico masivo a la misma carpeta o crear una carpeta
independiente para el correo electrnico masivo.
Gua del Usuario 603

Enviar un informe acerca de falsos positivos o
falsos negativos
Un mensaje de correo electrnico falso positivo es un mensaje legtimo que spamBlocker identifica
incorrectamente como spam. Un mensaje de correo electrnico falso negativo es un mensaje de spam que
spamBlocker no identifica correctamente como spam. Si encuentra un mensaje de correo electrnico falso
positivo o falso negativo, puede enviar un informe directamente a Commtouch. Tambin puede enviar un
informe acerca de un falso positivo para un mensaje de correo electrnico masivo solicitado. ste es un
mensaje que spamBlocker identifica como correo masivo cuando un usuario en realidad solicit el mensaje
de correo electrnico.
Nota No enve un informe acerca de un falso positivo cuando el correo electrnico fue
asignado a la categora Sospechoso. Como sta no es una categora permanente,
Commtouch no investiga los informes de error de spam sospechoso.
Debe tener acceso al mensaje de correo electrnico para enviar un informe de falso positivo o falso
negativo a Commtouch. Tambin debe conocer la categora (Spam confirmado, Masivo) en la cual
spamBlocker coloc el mensaje de correo electrnico. Si no conoce la categora, consulte la seccin
"Buscar la categora a la cual est asignado un mensaje" a continuacin.
1. Guarde el mensaje de correo electrnico como un archivo .msg o .eml.

No puede reenviar el correo electrnico inicial porque Commtouch debe ver el encabezado del
correo electrnico. Si utiliza un software de correo electrnico como Microsoft Outlook o Mozilla
Thunderbird, puede arrastrar y soltar el mensaje de correo electrnico hasta una carpeta en el
escritorio de la computadora. Si utiliza un software de correo electrnico que no tiene la funcin de
arrastrar y soltar, debe seleccionar Archivo > Guardar como para guardar el mensaje de correo
electrnico en una carpeta.
2. Cree un mensaje de correo electrnico nuevo destinado a:
reportfp@blockspam.biz para los falsos positivos
reportfn@blockspam.biz para los falsos negativos
reportso@blockspam.biz para los correos electrnicos masivos solicitados que se detectan como
falsos positivos
3. Ingrese lo siguiente en la lnea de asunto de su mensaje de correo electrnico:
Informe de FP <Your Company Name> <Date of submission> para los falsos positivos
Informe de FN <Your Company Name> <Date of submission> para los falsos negativos
Informe de FP <Your Company Name> <Date of submission> para los correos electrnicos
masivos solicitados que se detectan como falsos positivos
4. Adjunte el archivo .msg o .eml al mensaje de correo electrnico y envelo.
Si tiene muchos mensajes acerca de los cuales desea informar a Commtouch, puede incluirlos a todos en
un archivo Zip. No coloque el archivo Zip dentro de un archivo Zip. El archivo Zip slo se puede comprimir
un nivel para que Commtouch pueda analizarlo de manera automtica.

Utilice el registro RefID en lugar de un mensaje de texto
Si desea enviarle un informe a Commtouch pero no puede enviar el mensaje de correo electrnico inicial
porque la informacin del mensaje es confidencial, puede utilizar el registro RefID desde el encabezado del
correo electrnico en su lugar. El registro RefID es el nmero de referencia de la transaccin entre Firebox
y el Centro de deteccin de Commtouch.
spamBlocker le agrega un encabezado de X-WatchGuard-Spam-ID a cada correo electrnico. El encabezado

tiene este aspecto:
X-WatchGuard-Spam-ID: 0001.0A090202.43674BDF.0005-G-gg8BuArWNRyK9/VKO3E51A==
La larga secuencia de nmeros y letras despus de la parte X-WatchGuard-Spam-ID: del encabezado es
el registro RefID.
En lugar de adjuntar el correo electrnico inicial, coloque el registro de referencia en el cuerpo de su

mensaje de correo electrnico. Si tiene ms de un mensaje de correo electrnico acerca del cual desea
enviar un informe, coloque cada registro RefID en una lnea independiente.
Para ver los encabezados de los correos electrnicos si utiliza Microsoft Outlook:
1. Abra el mensaje de correo electrnico en una ventana nueva o seleccinelo en Outlook.

2. Si abre el correo electrnico en una ventana independiente, seleccione Ver > Opciones.
Si resalta el correo electrnico en Outlook, haga clic con el botn derecho sobre el mensaje de
correo electrnico y seleccione Opciones.
Los encabezados aparecen en la parte inferior de la ventana Opciones de mensaje.
Para ver los encabezados de los correos electrnicos si utiliza Microsoft Outlook Express:
1. Abra el mensaje de correo electrnico en una ventana nueva o resltelo en Outlook Express.
2. Si abre el correo electrnico en una ventana independiente, seleccione Archivo > Propiedades.
Si destaca el correo electrnico en Outlook Express, haga clic derecho sobre ste y seleccione
Propiedades.
3. Haga clic en la pestaa Detalles para ver los encabezados.
Para ver los encabezados de los correos electrnicos si utiliza Mozilla Thunderbird:
1. Abra los mensajes de correo electrnico en una ventana nueva.

2. Seleccione Ver > Encabezados > Todos.
Buscar la categora a la cual est asignado un mensaje

Las etiquetas de los mensajes representan la nica forma de saber a qu categora est asignado un
mensaje. Cambie la accin a Agregar etiqueta de asunto y utilice una secuencia nica de caracteres para
agregar al comienzo de la lnea de asunto del correo electrnico. Para obtener ms informacin acerca de
cmo utilizar las etiquetas de spamBlocker, consulte Acciones, etiquetas y categoras de spamBlocker en la
pgina 581.
Gua del Usuario 605

Gua del Usuario 606
34 La Defensa de reputacin
activada
Acerca de la Defensa de reputacin activada

En los dispositivos WatchGuard XTM 2 Series, 5 Series, 8 Series o XTM 1050, puede utilizar la suscripcin de
seguridad de Defensa de reputacin activada (RED) para aumentar el desempeo y mejorar la seguridad de
su dispositivo XTM.
Nota La Defensa de reputacin activada no se admite en los modelos Firebox X e-Series.
La RED de WatchGuard utiliza un servidor de reputacin de WatchGuard basado en nube que asigna una
calificacin de reputacin entre 1 y 100 a cada URL. Cuando un usuario se dirige a un sitio web, la RED enva
la direccin web (o URL) solicitada al servidor de reputacin de WatchGuard. El servidor de WatchGuard
responde con una calificacin de reputacin para esa URL. Sobre la base de la calificacin de reputacin y
de los umbrales configurados localmente, la RED determina si el dispositivo XTM debe eliminar el trfico,
permitir el trfico y escanearlo de manera local o permitirlo sin un escaneo local. Esto aumenta el
rendimiento, porque el Gateway AntiVirus no necesita escanear las URL que tienen una reputacin buena o
mala reconocida.
Umbrales de reputacin
Puede configurar dos umbrales de calificacin de reputacin:
n Umbral de reputacin mala Si la calificacin de una URL supera el umbral de reputacin Mala, el
proxy HTTP niega el acceso sin inspeccionar nada ms.
n Umbral de reputacin buena Si la calificacin de una URL es inferior al umbral de reputacin
Buena y el Gateway AntiVirus est activado, el proxy HTTP deriva el escaneo del Gateway Antivirus.
Si la calificacin de una URL es igual o se encuentra entre los umbrales de reputacin configurados y el
Gateway Antivirus est activado, el contenido es escaneado en busca de virus.
Gua del Usuario 607

La Defensa de reputacin activada
Calificaciones de reputacin
La calificacin de reputacin de una URL se basa en los comentarios recolectados de dispositivos de todo el
mundo. Incorpora los resultados de escaneo de dos motores contra el malware principales: Kaspersky y
AVG. La Defensa de reputacin activada utiliza la inteligencia colectiva de la nube para mantener la
seguridad de la navegacin por Internet y optimizar el rendimiento en la puerta de enlace.
Una calificacin de reputacin ms cercana a 100 indica que es bastante probable que la URL contenga una
amenaza. Una calificacin de reputacin ms cercana a 1 indica que es mucho menos probable que la URL
contenga una amenaza. Si el servidor de la RED no tiene una calificacin previa para una direccin web
determinada, le asignar una calificacin neutral de 50. La calificacin de reputacin cambia desde la
calificacin predeterminada de 50 sobre la base de una cantidad de factores.
Estos factores pueden hacer que la calificacin de reputacin de una URL aumente, o se desplace hacia el 100:
n Resultados de escaneo negativos

n Resultados de escaneo negativos para un enlace remitido
Estos factores pueden hacer que la calificacin de reputacin de una URL disminuya, o se desplace hacia el 1:
n Mltiples escaneos limpios

n Escaneos limpios recientes
Las calificaciones de reputacin pueden cambiar con el paso del tiempo. Para un mejor rendimiento, el
dispositivo XTM almacena las calificaciones de reputacin de las direcciones web a las que se accedi
recientemente en una cach local.
Comentario sobre la Defensa de reputacin activada

Si el Gateway AntiVirus est activado, puede elegir si desea enviar los resultados de los escaneos locales del
Gateway Antivirus al servidor de WatchGuard. Tambin puede elegir si desea cargar los resultados de
escaneo del Gateway Antivirus en WatchGuard incluso si la Defensa de reputacin activada no est activada
o no tiene licencia en su dispositivo. Se cifran todas las comunicaciones entre su red y el servidor de
Defensa de reputacin activada.
Le recomendamos que active la carga de los resultados de escaneo local a WatchGuard para mejorar la
cobertura y precisin general de la Defensa de reputacin activada.
Configurar la Defensa de reputacin activada

Puede activar la Defensa de reputacin activada (RED) para aumentar la seguridad y el rendimiento de las
polticas de proxy HTTP de su dispositivo XTM. No puede activar esta funcin en un dispositivo e-Series.
Antes de empezar
La Defensa de reputacin activada es un servicio de suscripcin. Antes de configurar la RED, debe Obtener
una tecla de funcin junto a LiveSecurity en la pgina 52 y Agregar una tecla de funcin a su Firebox en la
pgina 54.

Configurar la Defensa de reputacin activada para una accin

de proxy
1. Seleccione Servicios de suscripcin > Defensa de reputacin activada.
Aparece la pgina de configuracin de la Defensa de reputacin activada, con una lista de acciones de proxy HTTP.
2. Seleccione una accin de proxy HTTP definida por el usuario y haga clic en Configurar. No puede
configurar la Defensa de reputacin activada para las acciones de proxy predefinidas.
Aparece la configuracin de la Defensa de reputacin activada para esa accin de proxy.
3. Marque la casilla de seleccin Bloquear de inmediato las URL que tengan mala reputacin para
bloquear el acceso a los sitios con calificaciones superiores al umbral de reputacin Mala
configurado.
Gua del Usuario 609

4. Marque la casilla de seleccin Derivar cualquier escaneo de virus configurado para las URL que
tengan buena reputacin para hacer que el Gateway AntiVirus ignore los sitios que tengan una
calificacin inferior al umbral de reputacin Buena configurado.
5. Si desea activar una alarma para la accin, marque la casilla de seleccin Alarma para esa accin de
la RED. Si no desea utilizar la alarma, desmarque la casilla de seleccin Alarma para esa accin.
6. Si desea guardar los mensajes de registro de la accin, marque la casilla de seleccin Registro para
esa accin de la RED. Si no desea guardar los mensajes de registro para una respuesta de la RED,
limpie la casilla de seleccin Registro para esa accin.
Configurar los umbrales de reputacin

Puede cambiar los umbrales de reputacin en la configuracin avanzada.
1. el cuadro de dilogo de configuracin de la Defensa de reputacin activada pgina, haga clic en

Avanzado.
Aparece el cuadro de dilogo Configuracin Avanzada.
2. En el cuadro de texto Umbral de mala reputacin, ingrese o seleccione la calificacin de umbral

para la mala reputacin.
El proxy puede bloquear el acceso a los sitios que tengan una reputacin superior a este umbral.
3. En el cuadro de texto Umbral de buena reputacin, ingrese o seleccione la calificacin de umbral
para la buena reputacin.
El proxy puede derivar el escaneo del Gateway AntiVirus para los sitios que tienen una calificacin de
reputacin inferior a este umbral.
4. Haga clic en Restaurar la configuracin predeterminada si desea restablecer los umbrales de
reputacin a los valores predeterminados.
5. Haga clic en Aceptar

Enviar los resultados de escaneo del Gateway

Antivirus a WatchGuard
Cuando activa la Defensa de reputacin activada, la configuracin predeterminada permite que su
dispositivo XTM enve los resultados de los escaneos locales del Gateway AntiVirus a los servidores de
WatchGuard. Esta accin ayuda a mejorar los resultados de la Defensa de reputacin activada para todos los
usuarios de Fireware XTM. Si tiene el Gateway AntiVirus, pero no tiene la Defensa de reputacin activada,
an as puede enviar los resultados de escaneo del Gateway AntiVirus a WatchGuard.
Para ver o cambiar la configuracin de comentarios, seleccione Servicios de suscripcin > Defensa de
reputacin activada.
La casilla de seleccin Enviar resultados de escaneo cifrados a los servidores de WatchGuard para
mejorar la cobertura y precisin general controla el hecho de si el dispositivo XTM enva los resultados de
escaneo del Gateway AntiVirus a los servidores de WatchGuard. Esta casilla de seleccin se marca de forma
predeterminada cuando configura la Defensa de reputacin activada.
n Marque esta casilla de seleccin para enviar los resultados de escaneo del Gateway AntiVirus a
WatchGuard.
n Limpie esta casilla de seleccin si no desea enviar los resultados de escaneo del Gateway AntiVirus.
Le recomendamos que permita que el dispositivo XTM enve los resultados de escaneo del antivirus a
WatchGuard. Esto puede ayudar a mejorar el rendimiento, porque los resultados de escaneo ayudan a
mejorar la precisin de las calificaciones de reputacin. Todo comentario enviado al servicio de Defensa de
reputacin activada de WatchGuard ser cifrado.
Gua del Usuario 611

Gua del Usuario 612

35 Gateway AntiVirus e Intrusion
Prevention
Acerca de las Gateway AntiVirus y prevencin de

intrusiones
Los piratas informticos pueden utilizar muchos mtodos para atacar computadoras mediante Internet. Las
dos categoras principales de ataque son los virus y las intrusiones.
Los virus, incluidos los gusanos y los troyanos, son programas de computadora maliciosos que se
autorreplican y colocan copias de s mismos en otros cdigos ejecutables o documentos de su
computadora. Cuando una computadora est infectada, el virus puede destruir archivos o registrar
pulsaciones.
Las intrusiones son ataques directos a su computadora. Por lo general, el ataque explota una vulnerabilidad
en una aplicacin. Estos ataques son creados para daar su red, obtener informacin importante o utilizar
sus computadoras para atacar otras redes.
Para ayudar a proteger su red de virus e intrusiones, puede adquirir el Gateway AntiVirus/Intrusion
Prevention Service (Gateway AntiVirus/IPS) opcional para que el dispositivo de WatchGuard identifique y
evite los ataques. El servicio de Intrusion Prevention y el Gateway AntiVirus funcionan con los servidores
proxy SMTP, POP3, HTTP, FTP y TCP-UDP. Cuando se identifica un nuevo ataque, se registran las
caractersticas que hacen nico a ese ataque de virus o intrusin. Estas caractersticas registradas se
conocen como la firma. El Gateway AntiVirus/IPS utiliza estas firmas para detectar virus y ataques de
intrusiones cuando son escaneados por el proxy.
Cuando activa el Gateway AntiVirus/IPS para un proxy, el Gateway AntiVirus/IPS escanea los tipos de
contenido configurados para ese proxy.
Nota Con el objetivo de mejorar el rendimiento, Firebox X Edge e-Series no escanea los
siguientes tipos de contenido cuando utiliza el Gateway AntiVirus con el proxy
Gua del Usuario 613

Gateway AntiVirus e Intrusion Prevention
HTTP: texto/*, imagen/*, audio/*, video/*, aplicacin/javascript, aplicacin/x-

javascript y aplicacin/x-shockwave-flash. Los tipos de contenido aparecen en la
configuracin de la accin de proxy del cliente HTTP para Edge, pero el Gateway
AntiVirus no escanea estos tipos de contenido.
El Gateway AntiVirus/IPS puede escanear estos tipos de archivo comprimido: .zip, .gzip, .tar, .jar, .rar, .chm,
.lha, .pdf, contenedor XML/HTML, contenedor OLE (documentos de Microsoft Office), MIME
(principalmente los mensajes de correo electrnico en formato EML), .cab, .arj, .ace, .bz2 (Bzip), .swf (flash;
con soporte limitado).
Nota WatchGuard no puede garantizar que el Gateway AntiVirus/IPS pueda detener

todos los virus o todas las intrusiones o evitar los daos a sus sistemas o redes
causados por un ataque de virus o intrusiones.
Puede adquirir la actualizacin del Gateway AntiVirus/IPS para utilizar estos servicios. Para obtener ms
informacin visite el sitio web WatchGuard LiveSecurity en http://www.watchguard.com/store o
comunquese con su revendedor de WatchGuard.
Puede observar las estadsticas acerca de la actividad actual del Gateway AntiVirus y el servicio de Intrusion
Prevention en la pgina Panel de instrumentos > Servicios de suscripcin, como se describe en Ver estado
de servicios de suscripcin y actualizar firmas manualmente en la pgina 623.
Instale y actualice el Gateway AntiVirus/IPS

Para instalar el Gateway AntiVirus o el Intrusion Prevention Service, debe Obtener una tecla de funcin
junto a LiveSecurity en la pgina 52 y Agregar una tecla de funcin a su Firebox en la pgina 54.
En Internet, aparecen con frecuencia nuevos virus y mtodos de intrusin. Para asegurarse de que el
Gateway AntiVirus/IPS le proporcione la mejor proteccin, debe actualizar las firmas con frecuencia. Puede
configurar el dispositivo WatchGuard para actualizar las firmas automticamente desde WatchGuard, como
de describe en Configurar el servidor de actualizacin del Gateway AntiVirus/IPS en la pgina 622. Tambin
puede Ver estado de servicios de suscripcin y actualizar firmas manualmente.
Acerca del Gateway AntiVirus/la Intrusion Prevention y las

polticas de proxy
El Gateway AntiVirus puede trabajar con los servidores proxy SMTP, POP3, HTTP, FTP y TCP-UDP de
Watchguard. La Intrusion Prevention puede trabajar con esos servidores proxy adems de hacerlo con el
proxy DNS. Cuando activa el Gateway AntiVirus o la prevencin de intrusiones, estos servidores proxy
examinan varios tipos de trfico y realizan una accin especificada por usted, como abandonar la conexin
o bloquear el paquete y agregar su direccin de origen a la lista de Sitios bloqueados.
El Gateway AntiVirus y el IPS pueden escanear distintos tipos de trfico conforme a con qu polticas de
proxy usted utiliza la caracterstica:
n Proxy SMTP o POP3: El Gateway AntiVirus/IPS busca virus e intrusiones codificados con mtodos de
adjuntos de correo electrnico utilizados con frecuencia. Tambin puede utilizar el Gateway
AntiVirus y el proxy SMTP para enviar correos electrnicos infectados con virus al Quarantine

Server. Para ms informaciones, vea Pgina Acerca de Quarantine Server en la pgina 635 y
Configurado Gateway AntiVirus a colocar mensajes de correo electrnico en cuarentena en la
pgina 619.
n Proxy HTTP: El Gateway AntiVirus/IPS busca virus e intrusiones en los sitios web que los usuarios
intentan descargar.
n Proxy de TCP-UDP: Este proxy escanea el trfico en los puertos dinmicos. Reconoce el trfico de
muchos tipos de servidores proxy diferentes, incluidos los servidores proxy HTTP y FTP. El proxy
TCP-UDP luego enva el trfico al proxy adecuado para escanearlo y detectar virus e intrusiones.
Tambin puede utilizar el proxy TCP-UDP para bloquear los servicios de mensajera instantnea (IM)
o punto a punto (P2P).
n Proxy FTP: El Gateway AntiVirus/IPS busca virus e intrusiones en los archivos cargados o
descargados.
n Proxy DNS: El Gateway AntiVirus/IPS busca intrusiones en los paquetes DNS.
Cada proxy que utiliza el Gateway AntiVirus/IPS est configurado con opciones especiales para ese proxy.
Por ejemplo, las categoras de elementos que puede escanear son diferentes para cada proxy.
En todos los servidores proxy, usted puede limitar el escaneo de archivos a un conteo de kilobytes
especificado. El lmite de escaneo predeterminado y los lmites de escaneo mximos son diferentes para
cada modelo de dispositivo WatchGuard. Firebox escanea el comienzo de cada archivo hasta el conteo de
kilobytes especificado. Esto permite que los archivos de gran tamao pasen con un escaneo parcial.
Para obtener ms informacin acerca de los lmites de escaneo predeterminados y mximos para cada
modelo de dispositivo WatchGuard, consulte Acerca de los lmites de escaneo del Gateway AntiVirus en la
pgina 620.
Nota Para asegurarse de que el Gateway AntiVirus tenga firmas actualizadas, puede
activar las actualizaciones automticas para el servidor del Gateway AntiVirus,
como se describe en Configurar el servidor de actualizacin del Gateway
AntiVirus/IPS en la pgina 622.
Configurar el servicio del Gateway AntiVirus

Puede configurar el Gateway AntiVirus para que trabaje con los servidores proxy SMTP, POP3, HTTP, FTP y
TCP-UDP de Watchguard.
Antes de activar el servicio del Gateway AntiVirus, debe:
1. Obtener una tecla de funcin del Gateway AntiVirus/IPS. Comunquese con su revendedor de
WatchGuard o dirjase al sitio web de WatchGuard LiveSecurity en:
http://www.watchguard.com/store.
2. Agregar una tecla de funcin a su Firebox.
Configure el servicio del Gateway AntiVirus

1. Seleccione Servicios de suscripcin > Gateway AntiVirus.
Aparece la pgina del Gateway AntiVirus.
Gua del Usuario 615

2. Para actualizar la configuracin global, haga clic en Configuracin y Actualice la configuracin del
Gateway AntiVirus/IPS.
3. Para configurar acciones para una accin de proxy especfica, seleccione una accin de proxy y haga
clic en Configurar. Para obtener informacin acerca de la configuracin delGateway AntiVirus,
consulte Configurar acciones del Gateway AntiVirus.
Configurar acciones del Gateway AntiVirus

Cuando activa el Gateway AntiVirus, debe configurar las medidas a tomar si se encuentra un virus o un
error en un mensaje de correo electrnico (mediante un servidor proxy SMTP o POP3), sitio web (proxy
HTTP) o archivo cargado o descargado (proxy FTP).
Las opciones para acciones de antivirus son:
Permitir
Permitir que el paquete se enve al receptor, aunque el contenido incluya un virus.
Negar (slo proxy FTP)
Niega el archivo y enva un mensaje de negacin.

Bloquear (slo servidores proxy SMTP y POP3)
Bloquear el adjunto. Es una buena opcin para archivos que el dispositivo WatchGuard no puede
escanear. El usuario no puede abrir fcilmente un archivo bloqueado. Slo el administrador puede
desbloquear el archivo. El administrador puede usar una herramienta de antivirus diferente para
escanear el archivo y examinar el contenido del adjunto. Para aprender a desbloquear un archivo
bloqueado por el Gateway AntiVirus, consulte la ayuda de WatchGuard System Manager en
http://www.watchguard.com/help/docs/wsm/11/es-ES/Content/es-ES/services/gateway_av/av_
unlock_file_wsm.html.
Poner en cuarentena (slo proxy SMTP)
Cuando utiliza el proxy SMTP con la suscripcin de seguridad de spamBlocker, puede enviar los
mensajes de correo electrnico que contengan virus o posibles virus al Quarantine Server. Para
obtener ms informacin sobre el Quarantine Server, consulte Pgina Acerca de Quarantine Server
en la pgina 635. Para obtener informacin sobre cmo configurar el Gateway AntiVirus para que
funcione con el Quarantine Server, consulte Configurado Gateway AntiVirus a colocar mensajes de
correo electrnico en cuarentena en la pgina 619.
Eliminar (slo servidores proxy SMTP y POP3)
Elimina el adjunto y permite que se enve el mensaje al destinatario.
Abandonar (no admitido en proxy POP3)
Descartar el paquete y descartar la conexin. No se enva informacin al origen del mensaje.
Bloquear (no admitido en proxy POP3)
Se bloquea el paquete y se agrega la direccin IP del remitente a la lista de sitios bloqueados.
Nota Si la configuracin se define para permitir adjuntos, la configuracin es menos

segura.
Configure las medidas del Gateway AntiVirus para una accin de proxy
1. Desde la Web UI de Fireware XTM, seleccione Servicios de suscripcin > Gateway AntiVirus.
Aparece la pgina de configuracin del Gateway AntiVirus.
Gua del Usuario 617

2. Seleccione una accin de proxy definida por el usuario y haga clic en Configurar. No puede
modificar la configuracin del Gateway AntiVirus para las acciones de proxy predefinidas.
Aparece la configuracin del Gateway AntiVirus para esa accin de proxy.

3. Seleccione la casilla de verificacin Activar Gateway AntiVirus para activar el Gateway AntiVirus
para esta accin de proxy.
4. Desde la lista desplegable Cuando se detecta un virus, seleccione la accin que debe realizar el
dispositivo WatchGuard si se detecta un virus en un mensaje de correo electrnico, en un archivo o
en una pgina web. Consulte el comienzo de esta seccin para obtener una descripcin de las
acciones.
5. Desde la lista desplegable Cuando ocurre un error de escaneo, seleccione la accin que debe
realizar el dispositivo WatchGuard cuando no puede escanear un objeto o un adjunto. Los adjuntos
que no se pueden escanear incluyen mensajes codificados de BinHex, determinados archivos
cifrados o archivos que utilizan un tipo de compresin no admitido por el Gateway AntiVirus como
los archivos Zip protegidos por contrasea. Consulte el comienzo de esta seccin para obtener una
descripcin de las acciones.
6. Si desea guardar los mensajes de registro de la accin, seleccione la casilla de verificacin Registro
para la respuesta del antivirus. Si no desea guardar los mensajes de registro de una respuesta del
antivirus, desmarque la casilla de verificacin Registro.
7. Si desea activar una alarma para la accin, seleccione la casilla de verificacin Alarma para la
respuesta del antivirus. Si no desea utilizar la alarma, desmarque la casilla de verificacin Alarma
para esa accin.
8. El Gateway AntiVirus escanea cada archivo hasta un total de kilobytes especfico. Todos los bytes
adicionales en el archivo no se examinan. Esto permite al proxy escanear parcialmente archivos
muy grandes sin ocasionar un efecto considerable en el rendimiento. Ingrese el lmite de escaneo
de archivos en el campo Limitar el escaneo a primero
modelo de dispositivo WatchGuard, consulte Acerca de los lmites de escaneo del Gateway AntiVirus
en la pgina 620.
Configure la notificacin de alarma para las acciones del antivirus

Una alarma es un mecanismo para informar a los usuarios cuando una regla de proxy se aplica al trfico de
red.Si activa las alarmas para una accin del antivirus de proxy, tambin debe configurar el tipo de alarma
que desea utilizar en la poltica de proxy.
Para configurar el tipo de alarma que desea utilizar para una poltica de proxy:
1. Desde la Fireware XTM Web UI, seleccione Firewall > Polticas de firewall.
2. Haga doble clic sobre una poltica para editarla.
3. Haga clic en la pestaa Propiedades
4. Establezca la configuracin de notificacin como se describe en Determinar preferencias de registro
Configurado Gateway AntiVirus a colocar mensajes de correo

Para configurar el Gateway AntiVirus para que ponga correos electrnicos en cuarentena:
Gua del Usuario 619

1. Cuando configura el Gateway AntiVirus (como se describe en Configurar acciones del Gateway
AntiVirus en la pgina 616), debe asegurarse de activar el Gateway AntiVirus para el proxy SMTP. El
proxy POP3 no admite el Quarantine Server.
2. Cuando configura las acciones que spamBlocker aplicar a las diferentes categoras de correo
electrnico (como se describe en Configurado spamBlocker en la pgina 583), asegrese de
seleccionar la accin Poner en cuarentena por lo menos para una de las categoras. Cuando se
selecciona esta accin, se le solicita que configure el Quarantine Server si an no lo ha hecho.
Tambin puede seleccionar la accin Poner en cuarentena para los mensajes de correo electrnico
identificados por Virus Outbreak Detection como portadores de virus. Para ms informaciones, vea
Configurar acciones de Virus Outbreak Detection para una poltica en la pgina 593.
Acerca de los lmites de escaneo del Gateway AntiVirus

El Gateway AntiVirus escanea cada archivo hasta un total de kilobytes especfico. Todos los bytes adicionales
en el archivo no se examinan. Esto permite al proxy escanear parcialmente archivos muy grandes sin
ocasionar un efecto considerable en el rendimiento. Los lmites de escaneo predeterminado y mximo son
diferentes para cada modelo de dispositivo WatchGuard.
Lmites de escaneo del archivo por modelo de dispositivo WatchGuard,

en kilobytes
Modelo Mnimo Mximo Predeterminado
Firebox X Edge e-Series 250 1024 250
Firebox X Core e-Series 250 20.480 1024
Firebox X Peak e-Series 250 30.720 1024
WatchGuard XTM XTMSerie2 250 5120 512
WatchGuard XTMSerie5 250 30.720 1024
WatchGuard XTMSerie8 250 30.720 1024
WatchGuard XTM 1050 250 30.720 1024
Para obtener informacin acerca de cmo configurar el lmite de escaneo, consulte Configurar acciones del
Gateway AntiVirus en la pgina 616.
Actualice la configuracin del Gateway

AntiVirus/IPS
El dispositivo de WatchGuard tiene varias configuraciones para el motor del Gateway AntiVirus
independientemente de con qu proxy est configurado para funcionar. Para ms informaciones, vea
Establezca la configuracin de descompresin del Gateway AntiVirus en la pgina 621.

Es importante que actualice las firmas del Gateway AntiVirus/Intrusion Prevention Service. Las firmas de
estos servicios no se actualizan automticamente de manera predeterminada. Puede actualizar las firmas
de dos maneras:
n Configurar el servidor de actualizacin del Gateway AntiVirus/IPS para activar las actualizaciones
automticas
n Actualice las firmas manualmente en el Firebox System Manager, como se describe en Ver estado
de servicios de suscripcin y actualizar firmas manualmente en la pgina 623.
Si utiliza un cliente antivirus de terceros

Si utiliza un servicio de antivirus de terceros en computadoras protegidas por su dispositivo WatchGuard,
podra tener problemas con las actualizaciones del servicio de terceros. Cuando el cliente de ese servicio
secundario intenta actualizar su base de datos de firmas en el puerto 80, el servicio de Gateway
AntiVirus/IPS de Watchguard, trabajando mediante el proxy HTTP, reconoce las firmas y las destruye antes
de que puedan descargarse al cliente. El servicio secundario no puede actualizar su base de datos. Para
evitar este problema, debe agregar Excepciones de proxy HTTP a la poltica que niega el trfico de
actualizacin. Debe conocer el nombre de host de la base de datos de firmas del tercero. Luego, podr
agregar ese nombre de host como una excepcin permitida.
Establezca la configuracin de descompresin del Gateway

AntiVirus
El Gateway AntiVirus puede escanear el interior de los archivos comprimidos si activa la descompresin en
la configuracin del Gateway AntiVirus.
Aparece la pgina de configuracin del Gateway AntiVirus.
Aparece la pgina Configuracin global del Gateway AntiVirus.
3. Para escanear el interior de los adjuntos comprimidos, seleccione la casilla de verificacin Activar
descompresin. Seleccione o ingrese el nmero de niveles de descompresin que desea escanear.
Si activa la descompresin en un dispositivo Firebox XCore, Peak o WatchGuard XTM, le
recomendamos que mantenga la configuracin predeterminada de los niveles de diagrama, a
menos que su organizacin deba utilizar un valor mayor. Si especifica un nmero mayor, es posible
que el dispositivo WatchGuard enve el trfico con demasiada lentitud. El Gateway AntiVirus admite
hasta seis niveles. Si el Gateway AntiVirus detecta que la profundidad del archivo es superior al valor
configurado en este campo, generar un error de escaneo para el contenido.
Los adjuntos que no se pueden escanear incluyen archivos cifrados o archivos que utilizan un tipo de
compresin que no admitimos como los archivos Zip protegidos por contrasea. Para configurar la
accin que desea que Firebox realice cuando encuentre un mensaje que no pueda escanear,
Gua del Usuario 621

seleccione una accin para Cuando ocurre un error de escaneo en la categora General de la
configuracin de la poltica.
4. Haga clic en Restaurar la configuracin predeterminada si desea restablecer la interfaz del usuario
a su configuracin predeterminada.
Nota Le recomendamos no activar la descompresin en el dispositivo Firebox XEdge e-

Series porque esto puede reducir su rendimiento.
Configurar el servidor de actualizacin del Gateway

AntiVirus/IPS
El Gateway AntiVirus y el IPS utilizan el mismo servidor de actualizacin. Cuando configure el servidor de
actualizacin para el Gateway AntiViruso para el IPS, la configuracin se aplicar a ambos servicios.
O bien, seleccione Servicios de suscripcin > IPS.
Aparece la pgina de configuracin del Gateway AntiVirus o IPS.
3. Desde la lista desplegable Intervalo, ingrese el nmero de horas que debe transcurrir entre las
actualizaciones automticas.
4. Las actualizaciones automticas para el Gateway AntiVirus/IPS no estn activadas de manera
predeterminada. Para activar las actualizaciones automticas en el intervalo de actualizacin
seleccionado, haga clic en las casillas de verificacin.

nSeleccione la casilla de verificacin Firmas de prevencin de intrusiones si desea que el

dispositivo WatchGuard descargue un nuevo juego de firmas IPS en el intervalo de
actualizaciones automticas.
n Seleccione la casilla de verificacin Firmas del Gateway AntiVirus si desea que el
dispositivo WatchGuard descargue un nuevo juego de firmas del Gateway AntiVirus en el

intervalo de actualizaciones automticas.
5. No cambie la URL del servidor de actualizaciones para el Gateway AntiVirus o el IPS a menos que
WatchGuard le indique hacerlo. Si cambia la URL por accidente o incorrectamente, haga clic en
Restaurar para restablecer la configuracin predeterminada.
Conctese al servidor de actualizaciones mediante un servidor proxy HTTP

Si su dispositivo WatchGuard debe conectarse mediante un proxy HTTP para acceder al servidor de
actualizaciones del Gateway AntiVirus/IPS, debe agregar la informacin acerca del servidor proxy HTTP a la
configuracin del Gateway AntiVirus/IPS.
1. Desde la pgina de configuracin Gateway AntiVirus o IPS, haga clic en Configuracin.
2. Seleccione la casilla de verificacin Comunicarse con el servidor de actualizaciones del Gateway

AntiVirus/Intrusion Prevention mediante un servidor proxy HTTP.
3. Desde la lista desplegable Direccin del servidor, seleccione si desea identificar el servidor proxy
HTTP por nombre de host o direccin IP. Ingrese el nombre de host o la direccin IP en el campo
adjunto.
4. La mayora de los servidores proxy HTTP reciben las solicitudes en el puerto 8080. Si su proxy HTTP
utiliza un puerto diferente, ingrselo en el campo Puerto del servidor.
5. Desde la lista desplegable Autenticacin del servidor, seleccione el tipo de autenticacin que utiliza
su servidor proxy HTTP. Seleccione Sin autenticacin si su servidor proxy no requiere autorizacin.
Si su servidor proxy HTTP requiere autenticacin NTLM o Bsica, ingrese su nombre de usuario,
dominio de usuario y contrasea en los campos correctos.
Bloquee el acceso desde la red de confianza hacia el servidor de

actualizacin
Si no desea permitir que todos los usuarios de su red de confianza tengan acceso sin filtrar a la direccin IP
de la base de datos de firmas, puede utilizar un servidor interno en su red de confianza para recibir las
actualizaciones. Puede crear una nueva poltica de proxy HTTP con Excepciones de proxy HTTP o una
poltica de filtrado de paquetes HTTP que slo permita el trfico desde la direccin IP de su servidor interno
hacia la base de datos de firmas.
Ver estado de servicios de suscripcin y actualizar firmas

manualmente
Los servicios de suscripcin pueden configurarse para actualizar las firmas de manera automtica, como se
describe en Configurar el servidor de actualizacin del Gateway AntiVirus/IPS en la pgina 622. Tambin
puede actualizar las firmas de manera manual. Si las firmas del dispositivo WatchGuard no estn
actualizadas, usted no est protegido de los ltimos virus e intrusiones.
Gua del Usuario 623

Para ver el estado del sistema de servicios de suscripcin, desde la Fireware XTM Web UI, seleccione Panel
de instrumentos > Servicios de suscripcin. La pgina de estado Servicios de suscripcin muestra
estadsticas acerca de los servicios de suscripcin. En esta pgina tambin puede ver informacin acerca de
la firma actualmente instalada y consultar si hay una nueva versin disponible.
Desde la pgina de estado Servicios de suscripcin, haga clic en Actualizar para el servicio que desea
actualizar. El dispositivo WatchGuard descarga la actualizacin de firmas ms reciente que se encuentre
disponible para el Gateway AntiVirus o el servicio de proteccin de intrusiones.
Para obtener ms informacin acerca de los grficos de esta pgina, consulte Monitorear su Firebox en la
pgina 365.
Configurar el Intrusion Prevention Service

El Intrusion Prevention Service (IPS) incluye un conjunto de firmas asociadas con comandos especficos o
texto que se encuentra en comandos, que podra ser perjudicial. El servicio de Intrusion Prevention trabaja
en forma conjunta con los servidores proxy SMTP, POP3, HTTP y FTP. Si no configur estos servidores proxy,
se configurarn de manera automtica cuando e el Gateway AntiVirus o IPS para ese protocolo.
Cuando el IPS bloquea una intrusin, el nombre de la intrusin aparece en el archivo de registro.
Para ver los datos del archivo de registro:
Seleccione Estado del sistema>Syslog.

Para encontrar las estadsticas generales del Gateway AntiVirus/IPS:
Seleccione Servicios de suscripcin > Gateway AntiVirus.

O bien, seleccione Servicios de suscripcin > IPS.
Para encontrar informes de tendencias del Gateway AntiVirus/IPS:
Seleccione Panel de instrumentos > Servicios de suscripcin.
Antes de empezar
Antes de activar el Intrusion Prevention Service, debe:
1. Obtener una tecla de funcin del Gateway AntiVirus/IPS. Comunquese con su revendedor de
WatchGuard o dirjase al sitio web de WatchGuard LiveSecurity en:
http://www.watchguard.com/store.
2. Agregar una tecla de funcin a su Firebox.
Configurar el Intrusion Prevention Service

1. Seleccione Servicios de suscripcin > IPS.
Aparece la pgina de configuracin del IPS, con una lista de acciones de proxy.
Gua del Usuario 625

2. Para actualizar la configuracin global, haga clic en Configuracin y Actualice la configuracin del
Gateway AntiVirus/IPS.
3. Para configurar las accionesdel Gateway AntiVirus para una accin de proxy especfica, seleccione
una accin de proxy definida por el usuario y haga clic en Configurar.
No puede modificar la configuracin delIPS para las acciones de proxy predefinidas.
Para obtener informacin acerca de la configuracin del IPS, consulte Configurar acciones del IPS.

Configurar acciones del IPS
Puede utilizar la Web UI deFireware XTM para configurar el IPS para una accin de proxy.
1. Seleccione Servicios de suscripcin >IPS.

Aparece la pgina de configuracin delIPS.
2. Seleccione una accin de proxy definida por el usuario y haga clic en Configurar. No puede
modificar la configuracin delIPS para las acciones de proxy predefinidas.
Aparece la configuracin del IPS para esa accin de proxy.
Gua del Usuario 627

3. Para activar el IPSpara esta accin de proxy, seleccione la casilla de verificacin Activar la
prevencin de intrusiones.
4. (slo proxyTCP-UDP) Seleccione el Tipo de proteccin: Cliente o Servidor. Los puntos terminales
del cliente y el servidor tienen conjuntos de firmas diferentes.
Nota El IPSutiliza un conjunto de firmas diferente para proteger a los clientes que el que
utiliza para proteger a los servidores. El tipo de proteccin determina qu conjunto
de firmas utilizar el IPScon el proxy. En el caso de los servidores proxy DNS, FTP,
HTTP, SMTP y POP3, el tipo de proteccin se configura de manera automtica. En
el caso del proxyTCP-UDP, puede configurar el tipo de proteccin como Cliente o
Servidor. Cliente es la opcin predeterminada y suele ser la mejor opcin.
5. (Slo para servidores proxy HTTP y TCP-UDP) Para activar la proteccin contra el spyware,
seleccione la casilla de verificacin Proteccin contra spyware.
En el caso del proxy TCP-UDP,slo puede activar la proteccin contra spyware si seleccion Cliente
como el tipo de proteccin. Cuando activa la proteccin contra spyware, el motor del IPS utiliza las
firmas de proteccin contra spyware del proyecto de fuente abierta denominado Emerging Threats
(Amenazas emergentes) adems de las firmas del IPS.

Para obtener ms informacin acerca del proyecto Emerging Threats, consulte
http://www.emergingthreats.net.
6. (Slo proxy HTTP) Seleccione la casilla de verificacin Escaneo del contenido del texto. Esto ofrece
una proteccin ms potente pero puede reducir el rendimiento.
7. Para seleccionar las acciones que desea que el proxy realice para amenazas de diferentes niveles de
gravedad, en la lista Accin , seleccione una o ms casillas de comprobacin.
n AUTOBLOQUEAR: si el contenido coincide con una firma de un nivel de severidad igual o

superior al nivel de severidad de umbral que usted estableci, abandone la conexin y agregue
la direccin IP del emisor a la lista de sitios bloqueados. No puede seleccionar
AUTOBLOQUEAR para el proxy SMTP.
n ABANDONAR: si el contenido coincide con una firma de un nivel de severidad dentro del rango
de severidad que usted estableci, abandone la conexin. No se enva informacin al origen del
mensaje.
n PERMITIR (CON REGISTRO): permitir la transaccin incluso si el contenido coincide con una
firma de un nivel de severidad dentro del rango de severidad que usted seleccion. Las
transacciones que se realicen dentro de este rango de severidad se registrarn de manera
automtica.
n PERMITIR (SIN REGISTRO): si configur un valor que permite las amenazas sobre un nivel de
severidad mnima, las transacciones que alcancen un nivel de severidad inferior a ese nmero
se permitirn de manera automtica y no sern registradas. Los nmeros que aparecen en la
lista Severidad de amenaza para esta accin no pueden cambiarse.
Nota Si cambia el umbral de severidad mnimo para la accin PERMITIR (CON

REGISTRO) a un nmero superior a 1, todas las transacciones que coinciden con
una firma de amenaza de menor severidad se permitirn y no sern registradas.
8. Para configurar un nivel de severidad mnimo para las acciones de AUTOBLOQUEAR, ABANDONAR
o PERMITIR (CON REGISTRO), en el cuadro de texto Severidad de amenaza, ingrese o seleccione el
nmero del umbral de severidad de amenaza para cada accin. Las amenazas de intrusos son
clasificadas en una escala de severidad creciente del 1 al 100. De manera predeterminada, todas las
amenazas se abandonan y los eventos se graban en el archivo de registro.
9. Para enviar un mensaje de registro por una accin de proxy, seleccione la casilla de verificacin
Registro para la accin del IPS.
Si no desea enviar un mensaje de registro por una respuesta del IPS, desmarque la casilla de
verificacin Registro.
8. Para activar una alarma para una accin de proxy, seleccione la casilla de verificacin Alarma para la
accin del IPS.
Si no desea utilizar la alarma, desmarque la casilla de verificacin Alarma para esa accin.
Gua del Usuario 629

Gua del Usuario 630
Establezca la configuracin del IPS
Para establecer la configuracin del IPS:
1. Seleccione Servicios de suscripcin > IPS.

Aparece la pgina Configuracin del IPS.
3. Haga clic en la pestaa Configuracin y configure las actualizaciones automticas de las Firmas de
Intrusion Prevention y el servidor de actualizaciones automticas. Esta configuracin se aplica tanto
al Gateway AntiVirus como al IPS.
Para obtener ms informacin acerca de esta configuracin, consulte Configurar el servidor de

actualizacin del Gateway AntiVirus/IPS en la pgina 622.
4. Haga clic en la pestaa Excepciones y cree excepciones a las firmas de prevencin de intrusiones.
Para ms informaciones, vea Configurado excepciones de firma en la pgina 633.

Gua del Usuario 631

Gua del Usuario 632
Configurado excepciones de firma
Cuando activa la caracterstica del IPS en una poltica de proxy, sta examina el trfico para detectar
patrones de trfico que coincidan con las firmas de intrusiones conocidas. Cuando ocurre una coincidencia
de firma del IPS, el dispositivo WatchGuard niega el contenido y se bloquea la intrusin. Si desea permitir el
trfico bloqueado por la caracterstica del IPS, puede buscar el nmero de identificacin de la firma y
agregarla a la lista de excepciones del IPS.
Cada firma utilizada por el IPS tiene un nmero de ID nico. Puede encontrar el nmero de ID de una firma
mediante la herramienta Firebox System Manager. Para obtener informacin acerca de cmo encontrar la
ID de una firma del IPS en el Firebox System Manager, consulte la ayuda de WatchGuard System Manager.
Agregue una excepcin de firmas del IPS

1. Desde la Web UI de Fireware XTM, seleccione Servicios de suscripcin > IPS.
Aparece la pgina de configuracin del IPS.
Aparece la pgina Configuracin del IPS.
3. Haga clic en la pestaa Excepciones.

Aparece la lista de excepciones del IPS.
4. En el cuadro de texto ID de firma, ingrese la ID de firma de la firma que desea desactivar. Haga clic
en Agregar.
Gua del Usuario 633

Gua del Usuario 634
39 Quarantine Server
Pgina Acerca de Quarantine Server

El WatchGuard Quarantine Server ofrece un mecanismo seguro para poner en cuarentena cualquier
mensaje de correo electrnico que se sospeche o se sepa que es spam o contiene virus. El Quarantine
Server es un depsito para los mensajes de correo electrnico que el proxy SMTP decide poner en
cuarentena sobre la base del anlisis de spamBlocker o del Gateway AntiVirus. El control granular le
permite configurar preferencias de eliminacin de correos, asignacin de almacenamiento y otros
parmetros.
Nota El proxy SMTP requiere un Quarantine Server si lo configura para poner en

cuarentena los correos electrnicos que spamBlocker clasifique como spam o si
configura el Gateway AntiVirus para poner en cuarentena los correos electrnicos
de una categora especfica.
El Quarantine Server ofrece herramientas tanto para los usuarios como para los administradores. Los
usuarios reciben notificaciones peridicas por correo electrnico del Quarantine Server cuando tienen
correos electrnicos almacenados en el Quarantine Server. Luego, pueden hacer clic en el enlace que
aparece en el mensaje de correo electrnico para dirigirse al sitio web del Quarantine Server. En el sitio
web del Quarantine Server, pueden ver el emisor y el asunto de los mensajes de correo electrnico
sospechosos. Desde correo electrnico spam, el usuario puede liberar los mensajes de correo electrnico
que desee recibir en su bandeja de entrada y eliminar los dems mensajes. Los administradores pueden
configurar el Quarantine Server para eliminar automticamente los futuros mensajes de un dominio o
emisor especfico, o aquellos que contengan un texto especfico en la lnea de asunto.
El administrador puede ver estadsticas acerca de la actividad del Quarantine Server, como por ejemplo, la
cantidad de mensajes en cuarentena durante un intervalo de fechas especfico y la cantidad de mensajes
que posiblemente sean spam.
El proxy SMTP agrega los mensajes a diferentes categoras sobre la base de los anlisis realizados por
spamBlocker y por el Gateway AntiVirus. El Quarantine Server muestra estas clasificaciones para los
mensajes en cuarentena:
Gua del Usuario 635

Quarantine Server
n Spam sospechoso: El mensaje puede ser spam, pero no hay suficiente informacin para decidir con
seguridad.
n Spam confirmado: El mensaje es spam.
n Masivo: El mensaje fue enviado como correo electrnico masivo comercial.
n Virus: El mensaje contiene un virus.
n Posible virus:Es posible que el mensaje contenga un virus, pero no hay suficiente informacin para
decidir con seguridad.
Usted instala el Quarantine Server como parte de la instalacin de WatchGuard System Manager.
Para aprender a configurar un Quarantine Server, consulte la Gua del usuario de WSM en
Configure Firebox para que ponga correos

electrnicos en cuarentena
Despus de instalar y configurar el Quarantine Server, deber actualizar la configuracin de Firebox para
utilizar el Quarantine Server.
Esta accin requiere dos pasos:
1. Configurar la direccinIP del Quarantine Server como se describe en Definir la ubicacin del
Quarantine Server en Firebox en la pgina 636.
2. Configurar las acciones de spamBlocker y el Gateway AntiVirus para que el proxy SMTP ponga
correos electrnicos en cuarentena.
Para ms informaciones, vea Configure spamBlocker para colocar mensajes de correo electrnico en
cuarentena en la pgina 595, y Configurado Gateway AntiVirus a colocar mensajes de correo
electrnico en cuarentena en la pgina 619.
Definir la ubicacin del Quarantine Server en

Firebox
Debe definir la ubicacin del Quarantine Server en la configuracin de Firebox. Firebox enva los mensajes
de correo electrnico que deben ponerse en cuarentena al Quarantine Server ubicado en esta direccin IP.
1. Desde la Web UI (interfaz de usuario) de Fireware XTM, seleccione Servicios de suscripcin >
Quarantine Server.
Aparece la pgina de configuracin del Quarantine Server.

Quarantine Server
2. Ingrese la direccin IP del Quarantine Server. Le recomendamos que no cambie el puerto del
Quarantine Server a menos que se lo solicite un representante de WatchGuard Technical Support.
Gua del Usuario 637

Quarantine Server
Gua del Usuario 638

v11 3 XTM Web UI UserGuide (Es-419)

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

v11 3 XTM Web UI UserGuide (Es-419)

Cargado por

Copyright:

Formatos disponibles

Fireware XTMWeb UI v11.

3 Gua del Usuario

Gua revisada: 15 de julio de 2010

Informacin sobre copyright, marcas comerciales y patentes

Nota Este producto es slo para uso interno.

Acerca de redes y seguridad de red 1

Acerca de las conexiones a Internet 1

Acerca de los Protocolos 2

Acerca de las Direcciones IP 3

Direcciones privadas y puertas de enlace 3

Acerca de las mscaras de subred 3

Acerca de las Notacin diagonal 3

Acerca del ingreso de Direcciones IP 4

estticas y dinmicas Direcciones IP 4

Acerca de las DNS (sistema de domain name) 5

Acerca de servicios y polticas 7

El dispositivo WatchGuard y la red 8

Introduccin a Fireware XTM 11

Introduccin a Fireware XTM 11

Componentes de Fireware XTM 12

el WatchGuard System Manager 12

WatchGuard Server Center 13

Fireware XTM Web UI e interfaz de la lnea de comandos 14

Fireware XTMcon Actualizacin Pro 14

Acerca de las Soporte de WatchGuard 17

LiveSecurity Service Gold 18

Expiracin del servicio 19

Verificar componentes bsicos 21

Gua del Usuario iii

Recoger direcciones de red 22

Seleccione un modo configuracin de firewall 23

Acerca del Quick Setup Wizard 24

Ejecutar el Web Setup Wizard 24

Conctese al Fireware XTM Web UI 28

Conectarse a la Fireware XTM Web UI desde una red externa 29

Acerca del Fireware XTMWeb UI 30

Seleccione el idioma de Fireware XTM Web UI 31

Limitaciones de la Fireware XTM Web UI 31

Personalizar su poltica de seguridad 33

Acerca de las LiveSecurity Service 33

Temas adicionales de instalacin 33

Conctese a un Firebox con Firefox v3 33

Identificar sus configuraciones de red 35

Configure su equipo para conectarse a su dispositivo WatchGuard 37

Desactive el proxy de HTTP en el explorador 39

Informacin bsica sobre configuracin y administracin 41

Acerca de las tareas bsicas de configuracin y administracin 41

Hacer una copia de seguridad de la imagen de Firebox 41

Restaurar imagen de copia de seguridad de Firebox 42

Acerca de la unidad USB 42

Guardar una imagen de respaldo en una unidad USB conectada 42

Restaurar una imagen de respaldo desde una unidad USB conectada 43

Restaurar automticamente una imagen de respaldo desde un dispositivo USB 44

Estructura del directorio de la unidad USB 46

Guardar una imagen de respaldo en una unidad USB conectada a su de administracin 46

Restablecer un dispositivo Firebox o XTM a una configuracin anterior o nueva 48

Iniciar un dispositivo Firebox o XTM en modo seguro 48

Ejecutar el Quick Setup Wizard 49

Acerca de las configuraciones predeterminadas de fbrica 49

Acerca de las teclas de funcin 51

Cuando compra una nueva funcin 51

Ver las funciones disponibles con la actual tecla de funcin 51

Obtener una tecla de funcin junto a LiveSecurity 52