Documentos de Académico
Documentos de Profesional
Documentos de Cultura
WatchGuard System Manager GuÃÂ-a Del Usuario PDF
WatchGuard System Manager GuÃÂ-a Del Usuario PDF
Fireware® v8.3
Fireware® Pro v8.3
Aviso a los Usuarios
La información en esta guía está sujeta a cambios sin advertencia previa. Compañías, nombres y datos usados
en ejemplos aquí son ficticios a menos que se advierta lo contrario. Ninguna parte de esta guía puede ser
reproducida o transmitida por cualquier forma o medio, electrónico o mecánico, para cualquier propósito, sin la
autorización expresa de WatchGuard Technologies, Inc.
Copyright© 1998 - 2006 WatchGuard Technologies, Inc. Todos los derechos reservados
Todas las marcas registradas y nombres comerciales aquí mencionados, si las hay, son propiedad de sus respec-
tivos dueños.
II
ii WFS a Firewere
Contenidos
WatchGuard® System Manager (WSM) le brinda una forma fácil y eficiente de administrar la seguridad de su
red.
Con una computadora actuando como estación de administración, se puede mostrar, administrar y monito-
rear cada dispositivo Firebox® de su red.
WSM soporta ambientes integrados. Es posible administrar los diferentes modelos de dispositivos Firebox
que usan las distintas versiones de software appliances. Es también posible centralizar la administración de
los dispositivos Firebox X Edge.
WSM tiene tres servidores que ejecutan las funciones administrativas del Firebox:
Management Server
El Management Server opera en una computadora con Windows. Con este servidor, es posible mani-
pular todos los dispositivos de firewall y crear túneles VPN (Virtual Private Network – red privada vir-
tual) usando una simple función “arrastrar y soltar” del mouse. Las funciones básicas del Management
Server son:
- Administración centralizada de las configuraciones de túneles VPN
- Ser Autiridad de Certificación para distribuir certificados para túneles de Internet Protocol Security
(IPSec)
- Traducción de protocolo para el soporte de los productos WatchGuard SOHO y Firebox X Edge
Log Server
El Log Server recolecta mensajes de log de cada WatchGuard Firebox. Los mensajes de log se encrip-
tan cuando se envían al Log Server. El formato de los mensajes de log es XML (texto plano). La infor-
mación recabada de los dispositivos de firewall incluye los mensajes de log de tráfico, mensajes de log
de eventos, alarmas, y mensajes de diagnóstico.
WebBlocker Server
El WebBlocker Server opera con la proxy HTTP del Firebox para denegarle acceso a usuarios a catego-
rías específicas de sitios web. El administrador establece las categorías de los sitios web permitidos o
bloqueados durante la configuración del Firebox.
usan frecuentemente NAT para incrementar el número de computadoras que pueden operar con sólo una
dirección IP pública. NAT también oculta las direcciones IP privadas de las computadoras de su red.
Multi-WAN
Fireware le permite configurar un máximo de cuatro interfaz Firebox como externas, o interfaz WAN. Puede
controlar el flujo de tráfico a través de más de una interfase WAN para compartir el volumen del tráfico
saliente.
Nota
Tanto QoS como los protocolos OSPF y BGP son soportados únicamente por Fireware® Pro.
El protocolo RIP lo soportan tanto Fireware como Fireware Pro.
Alta disponibilidad
La función High Availability (alta disponibilidad) provee failover dinámico para las conexiones de firewall.
Con High Availability se puede tener operando un Firebox en modo standby (en espera), mientras que otro
Firebox continúa operando. El Firebox que está en standby automáticamente se hace cargo de las operacio-
nes de firewall si el Firebox primario no es capaz de conectarse a Internet.
Nota
High Availability es soportada sólo por Fireware® Pro.
Los componentes básicos de la interfaz del usuario del WatchGuard® System Manager son la barra de
herramientas de WatchGuard y la ventana del WatchGuard System Manager. Esta sección brinda informa-
ción básica acerca de la interfaz del usuario. Para más información diríjase a los capítulos siguientes.
Device Status
Esta pestaña muestra el estado del dispositivo conectado al WatchGuard System Manager. La infor-
mación que aparece incluye el estado, la dirección IP y la dirección MAC para cada interfase Ethernet
y los certificados instalados. También incluye el estado de todos los túneles VPN que están configu-
rados en el System Manager.
Los dispositivos que aparecen en esta pestaña están conectados directamente al WatchGuard
System Manager.
Device Management
Esta pestaña muestra una hoja de navegación y una hoja de información. La hoja de navegación
muestra los WatchGuard Management Servers conectados y sus dispositivos, VPNs administradas y las
configuraciones del administrador Firebox® X Edge. La hoja de información muestra más información
para cualquier ítem que seleccione en la misma.
La pestaña de Device Management muestra los servidores de administración conectados directa-
mente al Watchguard System Manager y los dispositivos conectados a esos servidores. Un dispositivo
administrado por el Management Server puede aparecer en la pestaña de Device Status sólo si está
también conectado directamente al Watchguard System Manager.
La ventana del WatchGuard System Manager tiene menús e íconos que puede utilizar para iniciar otras
herramientas.
• Dirección IP y máscara de red de gateway por defecto (sólo para interfaces externas).
Estado de la conexión
El árbol de vistas de cada dispositivo muestra uno de los cuatro estados posibles. Las descripciones de los
estados son las siguientes:
Sin signo de admiración e ícono gris
El dispositivo está siendo contactado por primera vez o aún no ha sido contactado.
Ícono normal
Operación normal. El dispositivo está enviando datos exitosamente al WatchGuard System Manager.
Históricamente, las organizaciones usaban muchas herramientas, sistemas y personal para controlar la segu-
ridad de sus redes. Diferentes sistemas de computación controlaban accesos, autenticación, redes privadas
virtuales y control de red. Estos sistemas costosos no son fáciles de usar juntos o de mantener actualizados.
WatchGuard® System Manager (WSM) provee una solución integrada para manejar su red y controlar los
problemas de seguridad. Este capítulo le dirá cómo instalar WatchGuard System Manager en su red.
Nota
Este capítulo da la información por defecto para un Firebox con una configuración de tres interfaz. Si su
Firebox tiene más de tres interfaz, use las herramientas de configuración y procedimientos del capítulo
“Preparando y configurando la red”.
Direcciones de red
Le recomendamos hacer dos tablas cuando configure su Firebox. Use la primera para sus direcciones IP de
red antes de poner operativo al Firebox.
WatchGuard usa notación de barras oblícuas para mostrar la máscara de subred.
Puerta de enlace
por defecto _____._____._____._____
Red secundaria
(si se aplica) _____._____._____._____ / ____
Servidor(es) Público(s)
(si se aplica) _____._____._____._____
_____._____._____._____
_____._____._____._____
Use la segunda tabla para las direcciones IP de su red después de poner operativo al Firebox.
External interface
Conecta a la red externa (usualmente Internet) que no es confiable (not trusted).
Trusted interface
Conecta a una red privada LAN (local area network) o una red interna que desea asegurar.
Optional interface(s)
Normalmente conecta a al área DMZ(desmilitarizada) o al área mixta confiable de su red. El número
de interfaces opcionales en su Firebox cambia de acuerdo al modelo que usted compra. Use opcio-
nales para crear zonas de la red con diferentes niveles de acceso.
Red secundaria
(si se aplica) _____._____._____._____ / ____
Las interfaces confiables y opcional deben estar en Las computadoras de las interfaces
diferentes redes. Cada interfase tiene una dirección IP confiables u opcional pueden tener
en su red. direcciones IP públicas.
Las máquinas que tienen acceso
Usa NAT (network address translation) estática para
realizar el mapa de direcciones públicas a privadas público tienen direcciones IP públicas.
Por lo tanto, no se precisa NAT estáti-
detrás de las interfaces confiables u opcional. ca.
Configuración ruteada
Use la configuración ruteada cuando tenga un pequeño número de direcciones IP públicas o cuando su
Firebox obtenga sus direcciones IP externas con PPPoE (point-to-point protocol over Ethernet – protocolo
punto a punto sobre Ethernet) o con DHCP (dynamic host configuration protocol – protocolo de configura-
ción de host dinámica).
En una configuración ruteada, instale el Firebox con diferentes subredes en cada una de sus interfaces. El
servidor público detrás del Firebox puede usar direcciones IP privadas. Firebox usa NAT para rutear tráfico
proveniente de la red externa hacia los servidores públicos.
Configuración drop-in
En una configuración drop-in, Firebox se configura con la misma dirección IP en todas las interfaces. El
modo de configuración drop-in distribuye el rango de direcciones lógicas de la red a través de las interfa-
ces Firebox. Puede poner al Firebox entre el router y la LAN y no tiene que cambiar la configuración de
ninguna de las computadoras locales. Esta configuración es conocida como “drop-in” porque Firebox es
“dropped in” (invitado informal) dentro de la red.
En el modo drop-in:
• Debe asignar la misma dirección IP primaria a todas las interfaces de su Firebox (externa, confiable y
opcional).
• Puede asignar redes secundarias en cualquier interfaz.
• Puede mantener la misma dirección IP y gateways para hosts de sus redes confiables y opcional,
y agregar una dirección de red secundaria a la interfaz Firebox para que éste pueda enviar
correctamente tráfico a los hosts en esas redes.
Los servidores públicos detrás del Firebox pueden continuar usando direcciones IP públicas. Firebox no usa
traducción de direcciones de red (NAT) para rutear tráfico desde fuera de su red hacia sus servidores públi-
cos.
administración. Para instalar el software del WatchGuard System Manager en su estación de administra-
ción basada en Windows, debe tener privilegios administrativos. Luego de la instalación, puede operar con
los privilegios de Power User bajo Windows XP o Windows 2003.
Puede descargar la más actualizada versión del software de WatchGuard System Manager, en cualquier
momento, desde https://www.watchguard.com/archive/softwarecenter.asp. Debe hacer “log in” con su
nombre de usuario y clave de LiveSecurity. Si es un nuevo usuario, cree un perfil de usuario y active su pro-
ducto en http://www.watchguard.com/activate antes de intentar descargar el software de WSM.
1 Descargue la última versión del software WatchGuard System Manager. Debe también descargar
e instalar la última versión del software de appliance Fireware® para su estación de administra
ción. Use este software con el Asistente Web Quick Setup para crear un archivo de configuración bási-
ca para su Firebox.
Asegúrese escribir el nombre y el camino a la carpeta (path) de los archivos cuando los guarda en el disco rígido.
2 Abra el archivo y use las instrucciones de instalación.
El programa de inicialización (Setup) incluye una pantalla en la cual puede seleccionar los componentes del software
o las actualizaciones a instalar. Es necesaria una licencia diferente cuando insta la algunos componentes del software.
Nota
Si su estación de administración está operando con una barra de herramientas Windows, algunos
usuarios encuentran necesario cerrar y volver a abrir la barra de herramientas para ver los nuevos
componentes instalados para el WatchGuard Management System.
Luego de que el Firebox esté configurado con esta configuración básica, puede usar Policy Manager para
expandirla o cambiarla.
Nota
Si instala el Management Server, Log Server o WebBlocker Server en una computadora con un firewall activo
de escritorio diferente de Windows , debe abrir los puertos necesarios para que los servidores se conecten a
través del firewall. Los usuarios del Firewall de Windows no tienen que cambiar su configuración Vea la sec-
ción “Instalando WatchGuard Servers en computadoras de escritorio con firewalls”, en este mismo capítulo,
para más información.
Para información básica sobre el WatchGuard System Manager, vea la sección “WatchGuard System Manager
(WSM), Interfaz del Usuario” en el capítulo 1. Puede tener acceso a todas las funcionalidades del WatchGuard
System Manager a través de esta ventana principal, tal como se describe a lo largo de este manual.
2 Desde la lista desplegable de Firebox, seleccione un Firebox® por su dirección IP o por el nombre
del host.
Puede también teclear la dirección IP o el nombre del host. Cuando introduzca una dirección IP, teclee todos los
números y los puntos. No use la tecla TAB o las flechas.
3 Teclee la passphrase de estado de Firebox (sólo lectura).
Se utiliza la passphrase de estado para monitorear el tráfico y las condiciones de Firebox. Deberá teclear la passphra
se de configuración cuando grabe una nueva configuración en el Firebox.
4 Si es nece s a ri o, cambie el valor en el ca m po Timeout ( t i e m pode espe ra agotado). Este valor establece el
t i e m po (en segundos) que la estación de administración espe ra la rece pción de datos enviados por el
Fire box, antes de enviar un mensaje que muestre que no puede obtener datos desde el dispo s i t i vo.
Si tiene una red lenta o una conexión Internet al dispositivo, debe incrementar el valor del tiempo de espera.
Disminuyendo el valor disminuirá el tiempo que deberá esperar por un mensaje de time-out cuando se intenta
conectar a un Firebox que no está disponible.
5 Haga click en Login.
Firebox aparece en la ventana del WatchGuard System Manager.
Desconectándose de un Firebox
Para desconectar, haga click en el botón derecho sobre la primera línea de información del
Firebox para desconectar y seleccione File > Disconnect. O seleccione el Firebox y enton-
ces haga click sobre el ícono Disconnect que se muestra a la izquierda.
Log Viewer
Log Viewer muestra una vista estática de un archivo de log. Le permite:
- Aplicar un filtro por tipo de datos
- Buscar por palabras y campos
- Imprimir y grabar en un archivo
Para más información acerca del uso del Log Viewer, vea el capítulo “Registro de eventos y notifica-
ción”, en esta Guía.
Historical Reports
Estos informes en HTML dan datos para usar cuando se monitorea o se corrigen errores en la red. Los
datos pueden incluir:
- Tipo de sesión
- Hosts más activos
- Servicios más usados
- URLs
Para más información acerca del uso de Historical Reports, vea el capítulo “Generando informes de
actividad de la red”, en esta Guía.
Después de instalarlo
Usted ha instalado, configurado y puesto en operación satisfactoriamente su nuevo WatchGuard® System
Manager en su red. Aquí podrá encontrar algunos procedimientos básicos y más información para tener en
cuenta.
Tópicos de instalación
Esta sección ofrece información adicional acerca de cómo configurar su Firebox®.
Management Server TCP 4109, TCP 4110, TCP 4112, TCP 4113
Log Server
con software de appliance Fireware® TCP 4115
con software de appliance WFS TCP 4107
Cuando agrega una red secundaria, está inscribiendo una segunda dirección IP en la interfaz Firebox.
Entonces está haciendo (o agregando) un alias de IP a la interfaz de red. Esta dirección de red secundaria
que Usted establece es la puerta de enlace por defecto para todas las computadoras de la red secundaria. La
red secundaria también le dice a Firebox que hay un red más en la interfaz Firebox.
Para agregar una red secundaria, realice un de estos procedimientos:
Nota
Si su ISP usa una conexión PPPoE para asignar una dirección IP estática, Firebox le permite
habilitar MUVPN y RUVPN con PPTP porque la dirección IP es estática.
Los alias externos y NAT 1a1 NAT no están disponibles cuando Firebox es un cliente PPPoE.
Ingresando direcciones IP
Cuando ingresa direcciones IP en las cajas de diálogo de Asistente Quick Setup o de WSM, escriba los dígi-
tos y los puntos en la secuencia correcta. No use la tecla TAB, las flechas, la barra espaciadora o el mouse
para ubicar al cursor entre los puntos. Por ejemplo, si teclea la dirección IP 172.16.1.10, no escriba un espa-
cio después de “16.” No intente poner el cursor después del punto siguiente para escribir “1.” Escriba un
punto directamente después de “16,” y luego escriba “1.10.” Presione la barra oblícua (/) para moverse
hacia la próxima máscara de red.
255.255.0.0 /16
255.255.255.0 /24
255.255.255.128 /25
255.255.255.192 /26
255.255.255.224 /27
255.255.255.240 /28
255.255.255.248 /29
255.255.255.252 /30
Ninguna solución de seguridad para Internet está completa sin actualizaciones regulares e información de
seguridad. Nuevas amenazas aparecen cada día — desde un nuevo hacker al más reciente defecto detecta-
do en un sistema operativo — y cada uno puede causar daño a su sistema de red. LiveSecurity® Service le
envía soluciones de seguridad directamente para mantener su sistema de seguridad en las mejores condi-
ciones. En la página web de WatchGuard® se dispone de entrenamiento y soporte técnico para ayudarlo a
aprender más acerca de la seguridad de redes y de sus productos WatchGuard.
Puede activar LiveSecurity® Service a través de la sección de activación de la página web de LiveSecurity.
Hay información acerca de cómo realizar la activación y correr el Asistente Quick Setup en la Quick Start
Guide y en el capítulo “Comenzando” de este libro.
Nota
Para activar LiveSecurity Service, debe habilitar JavaScript en su navegador.
Nota
Debe activar LiveSecurity® Service antes de poder acceder a los recursos en línea.
Respuesta instantánea
Las respuestas instantáneas son una herramienta de ayuda guiada diseñada para darle soluciones a
las consultas sobre el producto muy rápidamente. Ésta herramienta le hace preguntas y entonces le
da la mejor solución basada en las respuestas que usted da.
FAQs básicas
Las FAQs básicas (preguntas frecuentes) le dan información general acerca de Firebox® y del software
de WatchGuard System Manager. Están escritas para el cliente que es nuevo en seguridad de redes y
en los productos WatchGuard.
Advanced FAQs
Las FAQs avanzadas (preguntas frecuentes) le dan información importante acerca de las opciones de
configuración y la operación de sistemas o productos. Éstas se agregan a la información que puede
encontrar en esta Guía del Usuario y en el sistema de ayuda en línea.
Fireware® “How To”’s
La documentación Fireware How To (cómo hacer) le ayuda a encontrar rápidamente procedimientos
para tareas específicas de configuración del software de appliance Fireware.
Known Issues
La herramienta Known Issues (asuntos conocidos) monitorea problemas de los productos
WatchGuard y actualizaciones de software.
Foro de usuarios de WatchGuard
El equipo de asistencia técnica de WatchGuard opera una página web donde los clientes pueden
ayudarse entre sí con los productos WatchGuard. Asistencia Técnica monitorea este foro para asegu-
rarse que usted obtenga información precisa.
Entrenamiento en línea
Navegue en la sección de entrenamiento en línea para aprender más acerca de la seguridad de
redes y sobre los productos WatchGuard. Puede leer materiales de entrenamiento y obtener una cer-
tificación en los productos WatchGuard. El entrenamiento incluye vínculos a un amplio rango de
documentos y páginas web acerca de la seguridad en redes. El entrenamiento está dividido en par-
tes, las cuales le permiten usar sólo los materiales que usted cree que necesita. Para aprender más
acerca del entrenamiento en línea, navegue en:
www.watchguard.com/training/courses_online.asp
Aprender acerca de
Aprender acerca de (learn about) es una lista de todos los recursos disponibles para un producto o
función específicos. Es un mapa del sitio para dicha función.
Documentación del producto
La página web de WatchGuard tiene una copia de la guía de usuario de cada producto, incluyendo
guías de usuario de versiones de software que ya no tienen más soporte. Las guías de usuario están
en formato .pdf.
Recursos generales de Firebox X Edge y Firebox SOHO
Esta sección de la página web muestra información básica y vínculos para los clientes de Firebox X
Edge y Firebox SOHO. Puede ayudarlo a instalar y usar hardware Firebox X Edge y SOHO.
Para obtener acceso a las herramientas de auto-ayuda de LiveSecurity Service:
1 Inicie su navegador de web. En la barra de dirección, teclee:
http://www.watchguard.com/support
2 Haga click en Self Help Tools.
Debe ingresar con su usuario y clave.
3 Haga click en su selección.
Este foro tiene dferentes categorías que puede usar para buscar información. El equipo asistencia técnica
controla el foro durante las horas normales de trabajo. No obtendrá ayuda especial del equipo de asistencia
técnica cuando use el foro. Para entrar en contacto directamente con la asistencia técnica desde la web,
ingrese a su cuenta de LiveSecurity. Haga click en el vínculo Incidents para enviar un incidente a asistencia
técnica.
Ayuda en línea
La ayuda en línea de WatchGuard® es un sistema web que puede operar en la mayoría de los sistemas ope-
rativos de computadora. Liberamos cada versión de los productos de software con un sistema de ayuda
completo en línea.
Una versión estática de la ayuda se instala automáticamente con el software del WatchGuard System
Manager. Puede encontrarla en un subdirectorio de la carpeta de instalación con el nombre Help.
Buscando información
Hay tres métodos para buscar información en el sistema de ayuda en línea de WatchGuard:
Contenidos
La solapa Contents muestra una lista de categorías en el sistema de ayuda. Haga doble clic en un libro
para expandir una categoría. Haga clic en un título de página para ver los contenidos de esa categoría.
Índice
El índice (index) muestra una lista de las palabras que están en el sistema de ayuda. Teclee la palabra y
la lista automáticamente se dirige a aquellas palabras que comienzan con las letras tecleadas. Haga
clic en una página para ver los contenidos.
Búsqueda
La función búsqueda (search) es una búsqueda de texto completo del sistema de ayuda. Teclee una
palabra y presione ENTER. Una lista muestra las categorías que contienen esa palabra. La función de
búsqueda no opera con los operadores AND, OR, ni NOT.
Asistencia técnica
Su suscripción al servicio LiveSecurity® incluye asistencia técnica para el software WatchGuard® System
Manager y el hardware Firebox®. Para aprender más acerca de WatchGuard Technical Support, navegue la
página web de WatchGuard, en:
http://www.watchguard.com/support
Nota
Debe activar el servicio LiveSecurity antes de obtener asistencia técnica.
También están disponibles las actualizaciones Single Incident Priority Response Upgrade (SIPRU) y Single
Incident After Hours Upgrade (SIAU). Para mayores datos acerca de estas actualizaciones, diríjase a la pági-
na web de WatchGuard, en:
http://www.watchguard.com/support
LiveSecurity Gold
WatchGuard Gold LiveSecurity Technical Support se agrega a su servicio LiveSecurity estándar.
Recomendamos obtener esta actualización si usa Internet o túneles VPN en la mayor parte de su trabajo.
Con WatchGuard Gold LiveSecurity Technical Support Usted obtiene:
• Asistencia técnica 24 horas al día, los siete días de la semana, incluyendo feriados.
• El equipo de Asistencia Técnica opera el centro de soporte desde las 7 PM del Domingo a las 7 PM del
Viernes (hora del Pacífico de los EE.UU.). Para asistencia durante el fin de semana por problemas críti-
cos, use el sistema de llamadas on-call paging.
• Intentamos tener un tiempo de respuesta máximo de una hora.
• Para crear un incidentes de soporte, llame a WatchGuard LiveSecurity Technical Support. Un represen-
tante de atención al cliente (Customer Care) registra el problema y le da un número de incidente. Un
técnico de Priority Support (asistencia prioritaria) lo llama tan pronto como sea posible. Si tiene un
problema crítico cuando el centro de soporte no está abierto, use el número de teléfono de
LiveSecurity Technical Support para conectarse con un técnico.
Puede también enviar un incidente a través de la página web, en:
http://www.watchguard.com/support/incidents/newincident.asp.
Entrenamiento y certificación
El entre n a m i e nto en los prod u ctos WatchGuard® está disponible en línea para ay u d a rlo a aprender más ace r-
ca de la seguridad de red y de los prod u ctos Watc h Gu a rd. Puede enco nt rar mate riales de entre n a m i e nto en la
página web de Asistencia Técnica y prepararse para un examen de certificación. Los mate riales de entrena-
miento incluyen vínculos a libros y a páginas web con más info rmación ace rca de la seguridad de red.
El entrenamiento en los productos WatchGuard está también disponible cerca suyo a través de un amplio
grupo de WatchGuard Certified Training Partners, WCTPs (socios de entrenamiento certificados). Los socios
de entrenamiento ofrecen capacitación usando materiales certificados de entrenamiento y con el hardware
WatchGuard. Puede instalar y configurar los productos con un instructor avanzado y un administrador de
sistema para ayudarlo a aprender. Para encontrar un socio de entrenamiento, vaya a
http://www.watchguard.com/training/partners_locate.asp
WatchGuard® Firebox® System Manager (FSM) le brinda una interfase para monitorear todos los componen-
tes de un Firebox y el trabajo que hacen. Desde el FSM, puede monitorear las condiciones actuales del
Firebox, o conectarse directamente al Firebox para actualizar su configuración. Puede ver:
• El estado de las interfaces del Firebox y el tráfico que corre a través de las mismas
• El estado de los túneles VPN y la administración de certificados
• Gráficos en tiempo real del ancho de banda usado por el Firebox o de las conexiones en puertos
específicos
• El estado de cualquier otro servicio de seguridad que usa en su Firebox
Conectándose a un Firebox
1 Desde el WatchGuard System Manager, haga click en el icono Connect to Device.
O, puede seleccionar File > Connect To Device.
La caja de diálogo Connect to Firebox aparece.
Icono Función
Inicia la Performance Console en la cual puede confi-
gurar los gráficos que muestran el estado de Firebox.
Inicia la caja de diálogo Communication Log para
mostrar las conexiones entre Firebox System Manager y
el Firebox.
Pause/Continue
Puede hacer click en el botón Pause para detener temporalmente el refresco de esta ventana por
parte del Firebox System Manager. Después de hacer click en el botón Pause, este botón cambia al
botón Continue. Haga click en Continue para continuar refrescando la ventana.
Para cambiar el despliegue, presione el botón derecho y seleccione Triangle Mode (triángulo) o Star Mode
(estrella).
• CA fingerprint
• Estado del enlace físico (un ícono de interfaz o enlace en colores significa que están configurados
una interfaz o un enlace, y un icono oscuro indica que la interfaz o el enlace están caídos)
Servicios de seguridad
Bajo Security Services, Firebox System Manager incluye el número de virus encontrados, el número de intru-
siones, y el número de mensajes de spam que son bloqueados y efectivamente puestos en cuarentena
desde el último reinicio.
Puede cambiar el número máximo de mensajes de log que puede mantener y ver en el monitor de Tráfico.
Cuando llegue al máximo, un nuevo mensaje de log reemplazará la primera entrada. Si tiene un procesa-
dor lento o una cantidad pequeña de memoria RAM, un valor alto en este campo puede volver lento su
sistema de administración. Si necesita examinar un gran volumen de mensajes de log, le recomendamos
usar el Log Viewer, tal como se describe en la sección ”Iniciando el LogViewer”, en el capítulo 7.
1 Desde el Firebox System Manager, seleccione File > Settings.
Aparecerá el cuadro de diálogo Settings.
2 Desde la lista desplegable Maximum Log Messages, seleccione el número de mensajes de log que
desea que aparezcan en el Monitor de Tráfico. Haga click en OK.
El valor que usted teclea da el número de mensajes de log en miles.
2 Para desact i var o activar el despliegue en colores, tilde o destilde la casilla de verificación Show Logs
in Color.
3 En las pestañas Alarm, Traffic Allowed, Traffic Denied, Event, o Debug, haga click en el campo que aparece
en un color.
El campo Text Color en el lado derecho de las solapas muestra el color que se está usando en ese campo.
4 Para cambiar el color, haga clic en el control de color adyacente a Text Color. Seleccione un color.
Haga click en OK para cerrar el cuadro de diálodo de control de color. Haga clic en OK una vez más para
cerrar el cuadro de diálogo Settings.
La información en este campo aparece con el nuevo color en el Traffic Monitor. En la parte inferior del cuadro de diálogo
Traffic Monitor aparecerá una muestra de cómo se verá.
5 Puede también seleccionar un color de fondo para el monitor de tráfico. Haga click en la flecha de con-
trol de color adyacente a Background Color. Seleccione un color. Haga click en OK para cerrar el cuadro
de diálogo de control de color. Haga click otra vez en OK para cerrar el cuadro de diálogo Settings.
Puede cancelar los cambios ralizados en este cuadro de diálogo. Para ello, haga click en Restore Defaults.
Tipos de indicadores
Puede monitorear estos tipos de indicadores de desempeño:
System Information
Muestra cómo se está usando la CPU.
Interfaces
Monitorea y reporta los eventos de las interfases seleccionadas. Por ejemplo, puede establecer un
indicador que monitoree el número de paquetes que recibe una interfaz específica.
Policies
Monitorea y reporta los eventos de las políticas seleccionadas. Por ejemplo, puede establecer un indi-
cador que monitoree el número de paquetes que examina una política específica.
VPN Peers
Monitorea y reporta los eventos de las políticas VPN seleccionadas.
Tunnels
Monitorea y reporta los eventos de los túneles VPN seleccionados.
Definiendo indicadores
Para identificar un indicador para cualesquiera de las categorías:
1 Desde Firebox System Manager, seleccione el ícono Performance Console. O, seleccione
Tools > Performance Console.
Aparece la ventana Add Chart.
2 Desde la ventana Add Chart , expanda una de las categorías de counter que aparecen bajo Available
Counters (indicadores disponibles).
Haga click en el signo + adyacente al nombre de la categoría para ver los indicadoers que puede usar en esa categoría.
Cuando haga click en un indicador, los campos de Counter Configuration se refrescan automáticamente, respecto al indi-
cador que haya seleccionado.
3 Desde la ventana Chart Window, en la lista desplegable, seleccione New Window si quiere que el
gráfico aparezca en una nueva ventana. O seleccione el nombre de una ventana abierta para agregar el
gráfico a una ventana que ya está abierta.
4 En la lita desplegable Poll Interval (intervalo entre consultas), seleccione un intervalo de tiempo entre
cinco segundos y una hora.
Esta es la frecuencia con la que la consola de desempeño chequea si hay información actualizada proveniente del
Firebox.
5 Agregue información de configuración que se aplique al indicador especificado. Estos campos apare-
cen automáticamente cuando selecciona indicadores específicos.
- Type — (tipo) use la lista desplegable para seleccionar el tipo de gráfico a crear.
- Interface — (interfaz) use la lista desplegable para seleccionar la interfaz de la cual graficar los
datos.
- Policy — (política) use la lista desplegable para seleccionar la polítca de la configuración de
Firebox para graficar los datos. Si selecciona un Policy counter, debe actualizar la lista de políticas
que aparece en la consola de desempeño cuando haga click en el botón Refresh Policy List.
- Peer IP — use la lista desplegable para seleccionar la dirección IP de un VPN endpoint para
graficar sus datos. Si selecciona un indicador de pares VPN P, debe actualizar la lista de políticas
que aparece en la consola de desempeño cuando hace click en el botón Refresh Peer IP List.
- Tunnel ID — use la lista desplegable para seleccionar el nombre de un túnel VPN del cual graficar
los datos. Si selecciona un Tunnels counter, debe actualizar la lista de políticas que aparece en la
consola de desempeño cuando haga click en el botón Refresh Tunnel ID List. Si no conoce la
tunnel ID para su túnel VPN, chequee la pestaña Firebox System Manager Front Panel.
6 Seleccione la casilla de verificación Save Chart Data to File para grabar los datos recolectados por la
consola de desempeño en un archivo de datos XML o en un archivo de datos separados por comas.
Por ejemplo, puede abrir un archivo de datos XML en Microsoft Excel para ver los valores registrados para cada intervalo
de consulta. Puede usar otras herramientas para combinar datos de más de un gráfico.
7 Haga click en Create Chart para desplegar un gráfico en tiempo real de este indicador
Nota
Es te gráfico de desempeño muestra el uso de la CPU. Puede crear gráficos de otras funciones
del mismo modo.
Eliminando un gráfico
Para eliminar un gráfico, seleccione el nombre del gráfico de la lista y use el botón X en la barra de herra-
mientas de la Performance Console, o seleccione File > Delete Chart.
Seleccione la pestaña Bandwidth Meter (medidor de ancho de banda) para ver el ancho de banda en tiem-
po real para todas las interfaces Firebox®. El eje Y (vertical) muestra el número de conexiones. El eje X (hori-
zontal) muestra el tiempo. Si hace click en cualquier lugar del gráfico, puede obtener información más deta-
llada en una ventana desplegable acerca del uso del ancho de banda en ese momento.
Cambiando la forma en que aparecen las interfaces en el despliegue del ancho de banda
Una opción es cambiar la forma en que aparecen los nombres de las interfaces en el lado izquierdo de la
pestaña Bandwidth Meter. Los nombres pueden aparecer como una lista. La solapa puede mostrar tam-
bién el nombre de una interfaz junto a la línea que la identifica. Use el texto Show the interface como
una lista desplegable para seleccionar List o Tags.
1 Para cambiar la forma en que estas políticas aparecen, seleccione File > Settings. y haga click en la
pestaña Service Watch.
Cambiando la forma en que aparecen los nombres de las políticas en el despliegue de las políticas
Puede cambiar la forma en que aparecen los nombres de las políticas en la parte izquierda de la pestaña
Service Watch. Los nombres pueden mostrarse como una lista. La pestaña puede mostrar también el nom-
bre de una interfaz junto a la línea que la identifica. Use la lista desplegable Show the policy labels as para
seleccionar List o Tags.
Informe de estado
La pestaña Status Report le da estadísticas acerca del tráfico y el desempeño del Firebox .
Processes
La ID del proceso, el nombre del proceso y el estado del proceso.
Network configuration
Información acerca de las tarjetas de red en el Firebox: el nombre de la interfaz, sus direcciones de
hardware y software y su máscara de red. El despliegue también incluye información de ruteo local y
alias de IP.
Blocked Sites list
Los sitios actualmente bloqueados en forma manual y cualquier excepción actual. Las entradas de los
sitios temporalmente bloqueados aparecen permanentemente en la pestaña Blocked Sites.
Interfaces
Cada interfaz Firebox aparece en esta sección junto con información acerca de qué tipo de interfaz
está configurada (externa, trusted, u opcional), su estado y el recuento de paquetes.
Routes
La tabla de ruteo de núcleo del Firebox . Use estas rutas para encontrar cuál de las interfaces Firebox
se usa para cada dirección de destino.
Las rutas dinámicas que han sido aceptadas por el demonio de ruteo dinámico también aparece aquí.
ARP table
La tabla ARP en el Firebox. La tabla ARP es utilzada para comparar direcciones IP con direcciones de
hardware cuando un appliance está en el modo drop-in, usa los contenidos de la tabla ARP sólo para
conectividad alternativa sobre redes secundarias en las interfaces.
Dynamic Routing
Esto muestra los componentes de ruteo dinámico que están en uso en el Firebox, si los hay.
Refresh interval
Esta es la tasa con la cual se despliegan las actualizaciones de la información.
Support
Haga clic en Support para abrir el cuadro de diálogo Support Logs. Aquí es donde se establece el
lugar donde guardar el archivo de log de diagnóstico. Se graba el log de soporte en formato tarzippe-
ado (*.tgz). Cree este archivo para solucionar problemas cuando se lo solicite su representante de
soporte.
Lista de autenticación
La solapa Authentication List del Firebox System Manager da información acerca de todas las personas
que están autenticadas para el Firebox. Hay cuatro columnas para mostrarle información acerca de cada
usuario autenticado:
User
El nombre que el usuario da cuando se autentica.
Type
El tipo de usuario que se autentica: Firewall, MUVPN o PPTP.
IP Address
La dirección IP interna que está siendo utilizada por el usuario. Para usuarios MUVPN y PPTP, la direc-
ción IP que se muestra aquí es la dirección IP asignada a ellos por el Firebox.
From Address
La dirección IP de la computadora desde la que el usuario se autentica. Para usuarios MUVPN y PPTP,
la dirección IP que se muestra aquí es la dirección IP de la computadora que usan para conectarse al
Firebox. Para usuarios de Firewall, las direcciones IP y From son las mismas.
Puede hacer click en los encabezados de las columnas para ordenar a los usuarios. Puede también quitar
un usuario autenticado de la lista. Para hacer esto, haca click derecho sobre el nombre del usuario y enton-
ces detenga su sesión autenticada.
Sitios bloqueados
La pestaña Blocked Sites List del Firebox System Manager muestra las direcciones IP de todas las direc-
ciones IP externas que están bloqueadas temporalmente. Muchos eventos pueden causar que Firebox
agregue una dirección IP a la pestaña Blocked Sites: un sondeo de espacio en el puerto (port space
probe), un ataque spoofing, un sondeo de espacios de direcciones, o un evento configurado por Usted.
Junto a cada dirección IP está la hora en la que salió de la pestaña Blocked Sites. Puede usar el cuadro de
diálogo Blocked Sites en el Policy Manager para ajustar la cantidad de tiempo que una dirección IP per-
manece en la lista.
Puede quitar un sitio de la lista sólo si abre el Firebox con la passphrase de configuración.
Servicios de seguridad
La pestaña de Security Services incluye información acerca de los servicios Gateway AntiVirus e Intrusion
Prevention (prevención de intrusiones).
Gateway AntiVirus
Esta área del cuadro de diálogo da información acerca de la función Gateway AntiVirus.
Actividad desde el último inicio (activity since last restart)
- Files scanned: Número de archivos analizados en busca de virus desde el último inicio del
Firebox.
- Viruses found: Número de virus encontrados en los archivos analizados desde el último inicio
del Firebox.
- Viruses cleaned: Número de archivos infectados borrados desde el último inicio del Firebox.
Firmas (Signatures)
- Installed version: número de versión de las firmas instaladas.
- Last update: fecha de la última actualización de firmas.
- Version available: si está disponible una nueva versión de las firmas.
- Server URL: URL a la que el Firebox va a ver si existen actualizaciones disponibles y URL desde
donde se descarga la actualización.
- History: haga click para mostrar una lista de todas las actualizaciones de firmas.
- Update: haga click en este botón para actualizar sus firmas de virus. Este botón se activa sólo si
está dsponible una nueva versión de las firmas de virus.
Motor (Engine)
- Installed version: número de versión del motor instalado.
- Last update: fecha de la última actualización del motor.
- Version available: Si está disponible una nueva versión del motor.
- Server URL: URL a la que el Firebox va a ver si existen actualizaciones disponibles y la URL desde
donde se descarga la actualización.
- History: haga click para mostrar una lista de todas las actualizaciones del motor.
- Update: haga click para actualizar su motor antivirus. Este botón se activa sólo si está disponible
una nueva versión del motor.
- Show: haga click en este botón para descargar y mostrar una lista de todas las firmas actuales del
IPS (sistema de prevención de intrusiones). Después de descargar las firmas, puede buscar firmas
por signature ID.
spamBlocker
Actividad desde el último inicio (activity since last restart)
- Número de mensajes identificados como no spam, spam, bulk, o e-mail sospechoso.
- Número de mensajes bloqueados y marcados.
- Número de mensajes bloqueados o permitidos debido a la lista de excepciones del spamBlocker
que usted creó (las excepciones que usted. crea para denegar sitios adicionales algunas veces son
conocidas como una “lista negra” o -blacklist-; las excepciones que Ud. crea para permitir sitios
adicionales son a veces conocidas como lista blanca -whitelist).
Usando HostWatch
HostWatch es una interfaz gráfica de usuario que muestra las conexiones de red entre la red confiable y
externa. HostWatch también da información acerca de usuarios, conexiones y traducción de direcciones de
red (NAT).
La línea que conecta el host de origen y el host de destino usa un color que muestra el tipo de conexión.
Puede cambiar estos colores . Los colores por defecto son:
• Red — (rojo) Firebox® deniega la conexión.
• Blue — (azul) la conexión usa una proxy.
• Green — (verde) Firebox usa NAT para la conexión.
• Black — (negro) conexión normal (la conexión fue aceptada y no usa una proxy ni NAT).
Los íconos que muestran el tipo de servicio aparecen junto a las entradas del servidor de HTTP, Telnet, SMTP
y FTP.
La resolución del servidor de nombres de dominio (DNS) no ocurre inmediatamente que usted inicia
HostWatch. Cuando se configura HostWatch para la resolución DNS, reemplaza las direcciones IP con los
nombres de host o de usuario. Si Firebox no puede identificar el nombre de host o de usuario, la dirección
IP permanece en la ventana de HostWatch.
Si usa resolución DNS con HostWatch, la estación de administración puede enviar un gran número de
paquetes de NetBIOS (UDP 137) a través del Firebox. El único método para parar esto es desconectar
NetBIOS sobre TCP/IP en Windows.
Para iniciar HostWatch, haga click en el ícono de HostWatch en el Firebox System Manager. O selec-
cione Tools > HostWatch.
La ventana de HostWatch
La parte superior de la ventana de HostWatch tiene dos lados. Puede configurar la interfaz en el lado
izquierdo. El lado derecho muestra todas las otras interfaces. HostWatch muestra las conexiones hacia y
desde la interfaz configurada en el lado izquierdo. Para seleccionar una interfaz, haga click derecho en el
nombre actual de la interfaz. Seleccione la nueva interfaz.
Haga doble click en un item en uno de los lados para obtener el cuadro de diálogo Connections For (cone-
xiones para) para las conexiones que involucra ese item. El cuadro de diálogo muestra información acerca
de la conexión e incluye las direcciones IP, número de puerto, hora, tipo de conexión y dirección.
Mientras la parte superior de la ventana muestra sólo las conexiones hacia o desde la interfaz selecciona-
da, la parte de abajo de la ventana de HostWatch muestra todas las conexiones hacia y desde todas las
interfaces. La información se muestra en una tabla con los puertos y la hora en que la conexión fue creada.
2 Haga click en la pestaña para monitorear: Policy List (lista de políticas), External Hosts (hosts externos),
Other Hosts (otros hosts), Ports (puertos), o Authenticated Users (usuarios autenticados).
3 En la pestaña de cada ítem que no desee ver, borre la casilla de verificación en el cuadro de diálogo.
4 En la pestaña de cada ítem que no desee ver, tipee la dirección IP, número de puerto, o nombre de
usuario a monitorear. Haga clic ken Add. Haga esto para cada ítem que desee que HostWatch monitoree.
5 Haga click en OK.
3 Use la pestaña Line Color para cambiar los colores de las líneas entre las conexiones NAT, proxy, blocked
y normal.
Para operar correctamente, su Firebox® debe tener la información necesaria para aplicar su política de segu-
ridad al tráfico que fluye a través de su red. El Policy Manager le brinda una interfaz de usuario para configu-
rar los parámetros básicos del Firebox además de su política de seguridad. Este capítulo le muestra como:
• Agregar, eliminar y ver licencias
• Preparar Firebox para usar un servidor NTP
• Establecer el huso horario de Firebox
• Configurar Firebox para SNMP
• Cambiar passphrases de Firebox
• Dar un nombre a Firebox para identificarlo fácilmente (en lugar de una dirección IP)
• Recuperar un Firebox
Usted incrementa la funcionalidad de su Firebox® cuando compra una opción y agrega la clave de licencia
al archivo de configuración. Cuando obtenga una nueva clave, asegúrese utilizar las instrucciones que vie-
nen con ella para activar la nueva característica en el sitio web de LiveSecurity y agregue una nueva Feature
Key a su Firebox.
4 Escriba la clave de licencia del producto tal cual aparece en su certificado impreso, incluyendo los
guiones.
5 Haga click en Continue.
Aparece la página Choose Product to Upgrade (escoger el producto a actualizar).
Agregando licencias
1 Desde el Policy Manager, seleccione Setup > Licensed Features.
Aparecerá el cuadro de diálogo Firebox License Keys. Este cuadro de diálogo muestra las licencias que están disponibles.
3 Haga click en Import y encuentre el archivo de la Feature Key o pegue el contenido de su archivo de
Feature Key en el cuadro de diálogo.
4 Haga click en OK dos veces.
A esta altura, las funciones ya estarán disponibles en la estación de administración. En algunos casos, aparecerán nuevos
cuadros de diálogo y comandos del menú para configurar una función en el Policy Manager.
5 Guarde la configuración en el Firebox.
La función no operará en el Firebox hasta que no grabe el archivo de configuración en el Firebox.
2 Expanda Licenses, seleccione la license ID que quiere eliminar y haga click en Remove.
El Network Time Protocol (NTP) -protocolo de tiempo de red- sincroniza los relojes de las computadoras de
una red. El Firebox® puede sincronizar su reloj con un servidor NTP en Internet.
1 Desde el Policy Manager, seleccione Setup > NTP.
Aparecerá el cuadro de diálogo NTP Setting.
Puede dar al Firebox® un nombre especial para usar en sus archivos de log y reportes. Si no realiza este
procedimiento, los archivos de log y los reportes usan la dirección IP de la interfaz externa del Firebox.
Muchos clientes usan un Fully Qualified Domain Name (nombre de dominio completamente calificado) si
registran ese nombre en el sistema DNS. Usted debe dar al Firebox un nombre especial si usa el
Management Server para configurar túneles VPN y certificados con el Firebox.
El huso horario del Firebox time zone controla la fecha y la hora que aparece en el archivo de log y en
herramientas tales como LogViewer, Historical Reports, y WebBlocker. Utilice el huso horario correspon-
diente a la localización física de su Firebox. Establecer este huso horario permite que la hora aparezca
correctamente en los mensajes de log. La hora de sistema del Firebox se establece por defecto en la hora
según el meridiano de Greenwich.
1 Desde el Policy Manager, haga click en Setup > System.
Aparecerá el cuadro de diálogo Device Configuration.
2 En el cuadro de texto Name, escriba el nombre especial que desea darle al Firebox. Haga click en OK.
Una notificación emergente le dirá si usa caracteres que no son permitidos.
3 En los campos Location (localización) y Contact (contacto), escriba cualquier información que pueda
ser de ayuda para identificar y mantener el Firebox.
4 Desde la lista desplegable Time zone, seleccione el huso horario que desee. Haga click en OK.
El protocolo Simple Network Management Protocol (SNMP) es un conjunto de herramientas para monito-
rear y administrar redes. SNMP usa bases de administración de información (MIBs) que dan información de
configuración para los dispositivos que el sevidor SNMP administra o monitorea. Con el software de
appliance Fireware®, el Firebox® soporta SNMPv1 y SNMPv2c.
Puede configurar el Firebox para aceptar "polls" o consultas periódicas SNMP desde un servidor SNMP.
Puede también configurar Firebox para enviar "traps" o trampas a un servidor SNMP.
2 Teclee el Community String (cadena de caracteres de la comunidad) que Firebox debe usar cuando se
conecte el servidor SNMP. Haga click en OK.
El "community string" permite el acceso a las estadísticas de un dispositivo. Opera como un SSID inalámbrico o ID de
grupo. Este community string debe ser incluido en todo requerimiento SNMP. Si el community string es correcto, el disposi-
tivo da la información requerida. Si el community string no es correcto, el dispositivo descarta el requerimiento y no res-
ponde.
3 Haga click en OK. Grabe la configuración en el Firebox.
El Firebox puede ahora recibir SNMP polls.
10 Desde el cuadro de diálogo Add Address que aparece bajo Available Members, seleccione Firebox.
Haga click en Add.
11 Haga click en OK, OK y Close. Grabe la configuración en el Firebox.
Puede hacer que Firebox envíe una trap a cualquier política en el Policy Manager. Edite la política a la que
le enviará una trap. Para hacer esto, haga doble click en el ícono de la política, que se muestra en el Policy
Manager, para editar la configuración. Desde el cuadro de diálogo Edit Policy Properties, seleccione la
pestaña Properties. Haga click en Logging y seleccione la casilla de verificación Send SNMP Trap.
Usando MIBs
WatchGuard® System Manager con el software de appliance Fireware® soporta dos tipos de "Management
Information Bases" (MIBs):
• Se usan MIBs públicas en el producto Fireware y se copian en su estación de administración
WatchGuard cuando se instala Fireware. Estas MIBs incluyen estándares IETF y MIB2.
• Las MIBs privadas son creadas por WatchGuard para proveer información básica de monitoreo para
componentes específicos del Firebox, incluyendo la utilización de CPU y memoria y métricas de
interfaz e IPSec.
Cuando instala WatchGuard System Manager, los MIBs se instalan en
Mis Documentos\My WatchGuard\Shared WatchGuard\SNMP.
Firebox soporta estos objectos MIBs de sólo lectura:
- RFC1155-SMI
- SNMPv2-SMI
- RFC1213-MIB
- RAPID-MIB
- RAPID-SYSTEM-CONFIG-MIB
4 Escriba y confirme las nuevas passphrases de estado (de sólo lectura) y de configuración (de lectura y
escritura). La passphrase de estado debe ser diferente de la passphrase de configuración.
5 Haga click en OK.
La nueva imagen flash y las nuevas passphrases se graban en el Firebox. El Firebox se reinicia automáticamente.
Recuperando un Firebox
Si desea resetear un Firebox® a sus parámetros de fábrica o resetear un Firebox con una configuración com-
pletamente nueva, puede usar el procedimiento de recuperación de Firebox. El procedimiento usado para
recuperar un dispositivo Firebox X Core o Peak e-Series es diferente del de recuperación de un modelo ante-
rior de Firebox X Core o Peak. Asegúrese de usar el procedimiento correcto para su Firebox.
2 Mantega apretado el botón de la flecha hacia arriba mientras enciende el Firebox, y continúe apretado
el botón hasta que la pantalla LCD muestre que el Firebox está corriendo en modo System B o Safe.
Cuando el Firebox está corriendo en modo System B, lo está haciendo en el modo estándar de fábrica. En este caso, la
interfaz confiable del Firebox se establece en 10.0.1.1.
3 Conecte un cable de red Ethernet cruzado entre su estación de administración WatchGuard y la inter-
faz confiable del Firebox.
La interfaz confiable se etiqueta interface 1 en el Firebox.
4 Cambie la dirección IP en su estación de administración a 10.0.1.2 (u otra dirección IP desde la cual se
pueda conectar a la interfaz confiable del Firebox en 10.0.1.1).
Es buena idea hacer ping hacia la interfaz confiable desde su estación de administración para asegurarse de que tiene
una conexión de red en operación.
5 Abra el Policy Manager. Puede abrirla en un archivo de configuración existente o crear uno nuevo
usando las opciones disponibles en el menú desplegable File.
6 Seleccione Setup > Licenses Features. Haga click en Add y pegue una copia de su clave Feature Key
en el cuadro de texto, si fuere necesario.
7 Cuando esté listo, seleccione File > Save > To Firebox. Grabe su configuración en el Firebox de la
dirección IP 10.0.1.1, con la passphrase administrativa “admin”.
8 Después de reestableblecer Firebox con esta nueva configuración, es buena idea cambiar las pass-
phrases del Firebox. Seleccione File > Change Passphrases para establecer las nuevas passphrases.
9 Ahora puede poner el Firebox de nuevo en su red y conectarse con él usando la dirección IP y las
passphrases que usted estableció en su nueva configuración.
Si no cambia la dirección IP o las passphrases, puede conectarse a la dirección IP confiable 10.0.1.1 con la passphrase
“admin”.
Después de que su Firebox® esté instalado en su red y opere con el archivo de configuración básica, puede
comenzar a agregar parámetros de configuración personalizados para adecuarlos a los requerimientos de
su organización. Este capítulo muestra cómo hacer algunas tareas de configuración básica y mantenimiento.
Algunas de estas tareas las completará tantas veces como trabaje con su Firebox. Otras las deberá hacer sólo
una vez.
Estas tareas de configuración básica incluyen:
• Abrir un archivo de configuración en una computadora local o desde el Firebox
• Grabar un archivo de configuración en una computadora local o en el Firebox
• Crear y restaurar una imagen de respaldo del Firebox
• Usar alias
• Configurar los parámetros globales del Firebox
• Establecer cronogramas básicos para usar posteriormente en sus políticas
• Administar su Firebox desde una localización remota
El Policy Manager de Fireware® o Fireware Pro es una herramienta de software que le permite hacer, cam-
biar y guardar archivos de configuración. Un archivo de configuración, con la extensión .xml, incluye todos
los datos de configuración, opciones, direcciones IP y otra información que configura la política de seguri-
dad de su Firebox®. Cuando use Policy Manager, verá una version fácil de examinar y cambiar de su archivo
de configuración.
Cuando trabaje con Policy Manager, usted puede:
• Abrir el archivo de configuración vigente en su Firebox
• Abrir un archivo de configuración guardado en su disco duro local
• Hacer un nuevo archivo de configuración
• Si el cuadro de diálogo Connect to Firebox agota el tiempo de espera, asegúrese de que tiene una
conexión entre la interfaz confiable y su computadora. Asegúrese que haya tecleado la dirección IP
correcta para la interfaz confiable del Firebox. También asegúrese que la dirección IP de su computa-
dora esté en la misma red que la interfaz confiable del Firebox.
3 Use el cuadro de diálogo O pe n p a ra buscar y seleccionar el archivo de configuración. Haga click en Open.
El Policy Manager abrirá el archivo de configuración y mostrará los parámetros establecidos.
3 Use la lista desplegable Model para seleccionar su modelo de Firebox. Dado que hay grupos de funcio-
nes que son únicas para cada modelo, seleccione el que corresponda con su dispositivo de hardware.
4 Escriba un nombre para que el Firebox aparezca con el nombre de su archivo de configuración.
5 Haga click en OK.
El Policy Manager hará una nueva configuración con el nombre de archivo <nombre>.xml, donde <nombre> es aquél que
usted le dio al Firebox.
2 Desde la lista desplegable Firebox Address or Name, escriba una dirección IP o un nombre, o seleccio-
ne un Firebox. Si usa un nombre de Firebox, éste debe resolverse a través de DNS.
Cuando escriba una dirección IP, escriba todos los números y puntos. No use las teclas TAB o las flechas de desplazamien-
to del cursor.
3 Escriba la passphrase de configuración de Firebox. Debe usar la passphrase de configuración para
guardar un archivo en el Firebox.
4 Haga click en OK.
Una imagen de respaldo del Firebox es una copia encriptada y grabada de la imagen de su disco flash.
Incluye el software de appliance del Firebox, el archivo de configuración, licencias y certificados. Puede
guardar una imagen de respaldo en su estación de administración o en un directorio de su red.
Recomendamos que haga regularmente copia de respaldo de sus archivos de imagen de Firebox. También
recomendamos que cree una imagen de respaldo del Firebox antes de realizar cambios significativos en la
configuracion de su Firebox o de atualizar su Firebox o su software de appliance.
Los nombres de alias son diferentes de los nombres de usuario o grupo usados en autenticación de usua-
rios. Con la autenticación de usuarios, puede monitorear una conexión con un nombre y no como una
dirección IP. La persona se autentica con un nombre de usuario y una clave para acceder a los protocolos
de Internet. Para mayor información acerca de la autenticación de usuarios, vea “Cómo trabaja la autentica-
ción de usuario”, en el capítulo 10.
Creando un alias
1 Desde el Policy Manager, seleccione Setup > Alias.
Aparecerá el cuadro de diálogo Alias.
3 En el cuadro de texto Alias Name, escriba un nombre único para identificar el alias.
Este nombre aparecerá en las listas cuando usted configure una política de seguridad.
4 Haga click en Add para agregar una dirección IP de host, una dirección IP de red, un rango de host o
un alias a la lista de miembros alias.
El miembro aparecerá en la lista de miembros alias.
5 Haga click en OK dos veces.
VPN
Los parámetros globales de VPN son:
Ignore DF for IPSec
Ignora la configuración del bit Don’t Fragment (no fragmente) en el encabezado IP. Si lo establece en
ignorar, el Firebox quiebra el marco en partes que puedan ajustarse a un paquete IPSec con encabeza-
do ESP o AH.
IPSec pass-through
Si un usuario debe hacer conexiones IPSec hacia un Firebox desde atrás de otro Firebox, debe dejar en
blanco la casilla de verificación IPSec Pass-through para habilitar la función IPSec pass-through
(pasar a través de IPSec). Por ejemplo, si empleados móviles están en el local de un cliente con un
Firebox, deben poder hacer conexiones IPSec a su red usando IPSec. Para que el Firebox local permita
correctamente la conexión IPSec, usted debe también agregar una política IPSec al Policy Manager.
Parámetros de autenticación
El parámetro global de autenticación es:
Idle Timeout
Establece el tiempo de espera de autenticación en minutos. Una sesión de usuario autenticado finaliza
automáticamente si el usuario no realiza una conexión usando autenticación antes de que el tiempo
de espera sea alcanzado.
Creando Cronogramas
Puede usar “schedules” (cronogramas) para automatizar algunas acciones del Firebox®, tales como las tareas
del WebBlocker. Puede crear un cronograma para todos los días de la semana o crear uno diferente para
cada día de la semana. Puede entonces usar estas planificaciones horarias en las políticas creadas. Para infor-
mación acerca de cómo usar cronogramas en políticas, vea el capítulo “Configurando Políticas” .
1 Desde el Policy Manager, seleccione Setup > Actions > Schedules.
Aparecerá el cuadro de diálogo Schedules.
Cuando configure un Firebox® con el Asistente Quick Setup, automáticamente se crea una política que le
permite conectarse y administrar el Firebox desde cualquier computadora en las red confiable o en la
opcional. Si desea administrar el Firebox desde un sitio remoto (cualquier lugar externo al Firebox), debe
cambiar su configuración para permitir conexiones administrativas desde su ubicación remota.
La política que controla conexiones administrativas hacia el Firebox se denomina WatchGuard® en el
Policy Manager. Esta política controla el acceso al Firebox en estos cuatro puertos TCP : 4103, 4105, 4117,
4118. Cuando habilita conexiones en la política WatchGuard, debe admitir conexiones a cada uno de esos
cuatro puertos.
Antes de cambiar una política para admitir conexiones al Firebox desde una computadora externa a su
red, es buena idea considerar:
• Usar la autenticación de usuario para restringir conexiones al Firebox.
• Es una buena idea restringir el acceso desde la red externa al menor número de computadoras que
sea posible. Por ejemplo, es más seguro permitir conexiones desde una única computadora que si se
permiten conexiones desde el alias “Any-External” (cualquiera-externas).
1 Desde Policy Manager, haga doble click sobre la política WatchGuard.
Puede también hacer click derecho sobre la política WatchGuard y seleccionar Edit. Aparecerá el cuadro de diálogo Edit
Policy Properties.
3 Para introducir la dirección IP de la computadora externa que se conecta al Firebox, haga click en Add
Other. Asegúrese que Host IP es el tipo seleccionado, y escriba la dirección IP.
Para agregar un nombre de usuario, haga click en Add User. Seleccione el tipo de usuario y el método de
autenticación que él usa. Desde la lista desplegable User/Group, seleccione User y escriba el nombre
del usuario que se conectará al Firebox.
4 Haga click en OK.
Un evento es una actividad que ocurre en el Firebox®. Por ejemplo, denegar paso a través del Firebox a un
paquete es un evento. Hacer “logging” es registrar estos eventos en un log host (host de registro de even-
tos). Una notificación es un mensaje enviado al administrador por el Firebox cuando ocurre un evento que
constituya una posible amenaza a la seguridad. La notificación puede ser un e-mail, una ventana desplega-
ble o un envío por medio de una “trampa” SMTP.
Por ejemplo, WatchGuard® recomienda que configure el manejo de paquetes por defecto para enviar una
notificación cuando Firebox encuentra un “port space probe” (sondeo del espacio de puertos). Cuando esto
ocurre, el log host envía una notificación al administrador de seguridad de la red acerca de los paquetes
rechazados. El administrador de seguridad de la red puede examinar los archivos de log (registro de even-
tos) y tomar decisiones acerca de cómo aumentar la seguridad de la red de la organización. Algunos posi-
bles cambios son:
• Bloquear los puertos usados por el sondeo
• Bloquear la dirección IP que está enviando los paquetes
• Denunciar el hecho al ISP a través del cual los paquetes han sido enviados
El registro de eventos (o logging) y la notificación son importantes para una buena política de seguridad de
la red. Juntos, posibilitan el monitoreo de la seguridad de su red, identificando ataques y atacantes y brin-
dando seguridad contra amenazas y retos.
Puede instalar el Log Server en la computadora que esté usando como estación de administración. O puede
instalar el software del Log Server en una computadora diferente, utilizando el programa de instalación de
WatchGuard System Manager y seleccionando sólo instalar el componente Log Server. Puede también agre-
gar Log Servers adicionales como respaldo.
Nota
Si instala Management Server, Log Server o WebBlocker Server en una computadora con un firewall
distinto del de Windows, debe abrir los puertos necesarios para que se conecten los servidores a tra-
vés del firewall. Los usuarios del Firewall de Windows no tienen que modificar sus configuraciones. Vea
“Instalando WatchGuard Servers en computadoras de escritorio con firewalls”, en el capítulo 1, para
más información.
2 Escriba la clave de encriptación para usar en una conexión segura entre Firebox y los Log Servers. Las
claves de encriptación de Log Server tienen ocho caracteres como mínimo.
3 Confirme la clave de encriptación.
4 Seleccione un directorio para mantener todos los archivos de log, de informes y de definición de infor-
mes. Recomendamos usar la ubicación predeterminada.
5 Haga click en OK.
6 Haga click en Inicio > Panel de Control. Vaya a Power Options (Opciones de Energía). Seleccione la
pestaña Hibernar y desactive la hibernación. Esto es para evitar que el Log Server se cierre cuando la
computadora hiberne.
7 Asegúrese de que el Log Server y el Firebox estén sincronizados en la misma hora en el sistema. Para
información sobre cómo establecer la hora del sistema, vea el capítulo 5,“Administración básica del
Firebox”.
3 En la casilla Log Server Address, escriba la dirección IP del Log Server que desee usar.
4 En las casillas Encryption Key y Confirm, escriba la clave de encriptación del Log Server. El rango per-
mitido para la clave de encriptación es de 8 a 32 caracteres. Puede usar todos los caracteres excepto
espacios y barras (/ ó \).
5 Haga click en OK. Haga click en OK para cerrar el cuadro de diálogo Configure Log Servers. Haga click
en OK para cerrar el cuadro de diálogo Logging Setup.
6 Guarde los cambios en el Firebox para comenzar el registro de eventos.
Puede verificar que el Firebox esté registrando eventos correctamente. Desde WSM, selecccione Tools >
Firebox System Manager. En la sección Detail a la izquierda, próxima a Log Server, debe ver la dirección
IP del log host.
5 Para cada tipo de mensaje de log, seleccione la “syslog facility” a la cual lo quiere asignar. Para informa-
ción sobre tipos de mensajes de log, vea “Tipos de mensajes” en este mismo capítulo.
La “syslog facility” se refiere a uno de los campos del paquete syslog y al archivo al que syslog lo está enviando. Puede usar
Local0 para los mensajes de alta prioridad de syslog, tales como las alarmas. Puede usar Local1- Local7 para asignar priori-
dades para otros tipos de mensajes de log (los números menores tienen mayor prioridad). Vea la documentación de su
syslog para más información acerca de las “logging facilities”.
6 Haga click en OK. Haga click en OK para cerrar el cuadro de diálogo Logging Setup.
Para ver el estado y configuración del Log Server, haga click en el ícono del Log Server en la barra de
herramientas de WatchGuard® y seleccione Status/Configuration. Aparecerá la información de estado y
configuración. Hay tres áreas de control:
Log Files tab
La pestaña de archivo de log permite establecer las opciones de balance de su archivo de log.
Reports tab
La pestaña de informes permite programar informes regulares de las entradas de log.
Notification tab
La pestaña de notificación permite configurar la notificación por e-mail.
Juntos, estos controles establecen la configuración general para eventos y notificaciones.
2 Para rotar el archivo de log cada cierto intervalo de tiempo, seleccione la casilla de verificación Roll Log
Files By Time Interval. Establezca el intervalo de tiempo. De la lista desplegable Next Log Roll is
Scheduled For, seleccione una fecha en que el archivo de log debe reiniciarse.
3 Para reiniciar el archivo de log en base a su tamaño, seleccione la casilla de verificación Roll Log Files By
File Size. Escriba o seleccione el tamaño máximo que el archivo de log tendrá, antes de reiniciarse, o uti-
lice el control de rotación (spin) para establecer ese número.
2 Use los botones radiales para establecer un intervalo de tiempo para los informes: diario (daily), sema-
nal (weekly), primer día del mes (first day of the month) o personalizado en una fecha determinada
(custom).
3 De la lista desplegable Next Scheduled Report, seleccione una fecha y hora para el próximo informe
programado.
4 Haga click en Save Changes o en Close.
La interfaz de Log Server se cierra y guarda sus entradas. La nueva configuración se inicia inmediatamente.
El Log Server se reinicia automáticamente.
Controlando la notificación
Puede configurar el Firebox para enviar un mensaje por e-mail cuando ocurra un evento específico. Use la
pestaña Notification para configurar la dirección de e-mail de destino.
1 Haga click en la pestaña Notification.
2 Escriba la dirección de correo electrónico y el host de mail para los mensajes de notificación por e-mail.
Los mensajes de notificación por e-mail tienen el formato:
nombre_del_firebox@[firebox_dirección_ip]. Asegúrese de que el servidor SMTP pueda manejar este formato.
Considere modificar los valores preestablecidos. Si el logging host no resuelve un FQDN y el servidor MX que lo recibe no
realiza búsquedas revertidas, el e-mail puede ser descartado.
3 Haga click en Save Changes o en Close.
La interfaz de Log Server se cierra y guarda sus entradas. La nueva configuración se inicia inmediatamente.
El Log Server se reinicia automáticamente.
Tipos de Mensajes
El Firebox® envía cuatro tipos de mensajes de log. El tipo aparecerá en el texto del mesaje. Los cuatro tipos
de mensajes de log son:
• Traffic (tráfico)
• Alarm (alarma)
• Event (evento)
• Diagnostic (diagnóstico)
• Si el Firebox tiene un nombre, el formato del nombre del archivo de log es Nombre de
Firebox- fecha.wgl.xml.
• Si el Firebox no tiene nombre, el nombre del archivo de log es FireboxIP-fecha.wgl.xml.
Iniciando el LogViewer
LogViewer es la herramienta de WatchGuard® System Manager que usted utiliza para ver los datos del archi-
vo de log. Puede mostrar datos de log página por página o buscar y mostrar por palabra clave o por campos
de log específicos.
1 Desde WatchGuard System Manager, seleccione Tools > Logs > LogViewer.
o
Haga click en el ícono LogViewer en la barra de herramientas de WatchGuard System Manager. El
ícono se muestra a la izquierda.
El cuadro de diálogo Settings tiene cinco pestañas, cada una con los mismos campos. Estas pestañas se
usan para establecer las propiedades para los cuatro tipos de mensajes que aparecerán en los archivos de
log: Alarmas, Tráfico, Eventos y Diagnóstico.
Show Logs in Color
Puede establecer que el mensaje aparezca en diferentes colores, según el tipo de mensaje de log. Si
el color no está habilitado, los mensajes de log aparecerán como texto blanco sobre fondo negro.
Show Columns
Para cada tipo de mensaje, puede seleccionar cuáles columnas mostrar en la ventana del LogViewer.
Seleccione la casilla de verificación junto a cada campo para hacerlo aparecer.
Text Color
Haga click en Text Color para establecer el color para cada tipo de mensaje de log.
Background Color
Puede establecer el color de fodo. Si el fondo y el texto son del mismo color, no podrá ver el texto.
Reset Defaults
Haga click para establecer el formato de los mensajes de log a los colores predeterminados.
Sample
Exhibe una muestra de mensaje de log con los cambios en su formato.
Show logs
Esta casilla de verificación está en cada pestaña. Si se la selecciona en una pestaña, los mensajes
para ese tipo de log se incuyen en la pantalla del LogViewer. Para eliminar un tipo de mensaje de log
de la pantalla, deje en blanco la casilla de verificación en la pestaña que corresponda a ese tipo de
log.
Usando el LogViewer
2 Use la lista desplegable Log Type para seleccionar el tipo de mensaje de log al que se aplica esa regla de
búsqueda. Puede seleccionar: Traffic (tráfico ) , Eve nt (eve nto), Alarm (alarma), Debug (depurar) o All (todos).
3 Haga click en el encabezado de columna Field y seleccione Add.
Aparecerá el cuadro de diálogo Add Search Rule.
Buscando en el LogViewer
Después de establecer una regla de búsqueda, puede usarla para buscar en los datos que se muestran en
el LogViewer.
1 Use la lista desplegable Log Type para seleccionar el tipo de mensaje de log que aparecerá en la ventana.
2 Use la lista desplegable Display Results para seleccionar el método para exhibir los resultados de la
búsqueda. Las opciones son:
- Highlight in main window (resaltar en la ventana principal) — La ventana de LogViewer muestra el
mismo conjunto de mensajes de log, pero cambia el color de aquéllos que cumplen con los crite-
rios. Use la tecla F3 para moverse entre las entradas especificadas.
- Main window (ventana principal) — sólo los mensajes de log que satisfacen los criterios de la bús-
queda aparecerán en la ventana primaria de LogViewer.
- New window (nueva ventana )- se abre una nueva ventana para mostrar los mensajes de log que
cumplan con los criterios de búsqueda.
3 Seleccione entre las opciones:
- Match any (cumple cualquiera)— exhibe los mensajes de log que cumplen con cualquier criterio de
búsqueda.
- Match all (cumple todos) — exhibe sólo los mensajes de log que cumplen con todos los criterios de
búsqueda.
4 Haga click en OK para comenzar la búsqueda.
2 Haga click en B rowse para enco nt rar la ubicación del logfile.wgl (archivo de log con extensión .wgl) a
convertir a XML. Si selecciona más de un archivo de log de una vez, el utilitario convierte todos los
archivos que seleccionó y los pone todos juntos en un solo archivo. El nuevo arc h i vo tiene formato .xml.
3 Haga click en Merge.
El utilitario convierte al archivo de log y lo guarda en la carpeta especificada.
Cuando instala Firebox® en su red y completa el Asistente Quick Setup , obtiene un archivo de configuración
básica. Utilice luego Policy Manager para crear un nuevo archivo de configuración o cambiar el archivo crea-
do por el Asistente Quick Setup.
Si es novato en seguridad de redes, le recomendamos que lleve a cabo todos los procedimientos de este
capítulo para asegurarse de haber configurado todos los componentes de su red. En este capítulo, aprende-
rá cómo usar Policy Manager para:
• Configurar las interfaces de Firebox
• Configurar el soporte Multi-WAN
• Agregar una red secundaria
• Agregar información de servidores DNS y WINS
• Configurar DNS dinámica
• Configurar ruteos de red y hosts
• Establecer la velocidad y el duplex de la interfase Firebox
• Configurar hosts relacionados
Puede usar también Policy Manager para configurar hasta cuatro interfaces del Firebox como externas, o
como interfaces de red de amplio alcance WAN - wide area network. Puede controlar el flujo del tráfico a tra-
vés de múltiples interfaces WAN para compartir la carga de tráfico saliente.
Nota
Si configura más de una interfaz como externa, sólo la de menor orden podrá servir como un
gateway IKE o punto final de túnel IPSec. Si la interfaz está caída, ningún túnel IPSec desde o hacia el
Firebox operará.
Utilizando PPPoE
Algunos ISPs asignan sus direcciones IP a través del Protocolo Punto-a-Punto sobre Ethernet (Point-to-
Point Protocol over Ethernet - PPPoE). PPPoE expande una conexión dial-up estándar para agregar algunas
caracterísitcas de Ethernet y PPP. Este sistema permite al ISP utilizar facturación, autenticación y sistemas
de seguridad de su infraestructura dial-up con productos como DSL y cable modem.
Si su ISP utiliza PPPoE, debe ingresar la información de PPPoE en su Firebox antes de que éste pueda
enviar tráfico a través de la interfaz externa.
1 Desde el cuadro de diálogo Interface Settings, seleccione PPPoE.
2 Seleccione una de las dos opciones:
- Obtener una dirección IP automáticamente
- Utilicezar unaa dirección IP otorgada por su Internet Service Provider - ISP
3 Si selecciona Use IP Address, ingrese la dirección IP en el cuadro de texto a la derecha.
4 Teclee User Name y Password. Debe teclear la contraseña dos veces.
Frecuentemente, los ISPs utilizan el formato de direcciones de e-mail para los nombres de usuario, como
minombre@dominioisp.net.
7 En el campo PPPoE Initialization Retry Interval, utilice los cursores para seleccionar el número de
segundos que PPPoE trata de inicializar antes de llegar al time out.
8 En el campo LCP echo failure, utilice los cursores para seleccionar el número de llamadas LCP fallidas
permitidas antes de que la conexión PPPoE sea considerada inactiva y se cierre.
9 En el campo LCP echo timeout, utilice los cursores para seleccionar el intervalo de tiempo, en segundos,
en que debe ser recibida la respuesta cada vez que se agota el tiempo de espera (time-out).
10 (Opcional) En el campo Service Name, teclee un nombre para el servicio PPPoE. Este es un nombre de
ISP o una clase de servicio que es configurado en el servidor PPPoE. Usualmente, esta opción no es utili-
zada. Utilice este campo sólo si hay más de un concetrador de acceso o si sabe que debe utilizar un
nombre de servicio específico.
11 (Opcional) En el campo Access Concentrator Name, ingrese el nombre de un concentrador de acceso a
PPPoE, también conocido como un servidor PPPoE. Usualmente, esta opción no es utilizada. Utilícela sólo
si sabe que hay más de un concentrador de acceso.
Utilizando DHCP
1 Desde el cuadro de diálogo Interface Settings, seleccione DHCP.
2 Si su servidor DHCP lo hace utilizar un identificador opcional en su intercambio DHCP, teclee este identi-
ficador en el cuadro de texto Host Name.
3 Bajo Host IP, seleccione Obtain an IP address automatically si desea que DHCP asigne una dirección
IP al Firebox. Si desea asignar manualmente una dirección IP y usar DHCP sólo para otorgar esa direc-
ción asignada al Firebox, seleccione Use IP address e ingrese la dirección IP en el campo adyacente.
4 Las direcciones IP asignadas por un servidor DHCP tienen “lease time” de un día, lo que significa que la
dirección es válida sólo por un día. Si desea cambiar el leasing time, seleccione la casilla de verificación
Specify Leasing Time y luego elija el valor en los campos bajo la casilla de verificación.
El software de appliance Fireware® le brinda la opción de configurar múltiples interfaces externas (hasta
cuatro), cada una en una subred diferente. Esto le permite conectar el Firebox® a más de un Proveedor de
Servicio de Internet (Internet Service Provider - ISP). Tan pronto como configure una segunda interfaz
externa, el soporte WAN múltiple es habilitado como WAN múltiple configurado en round robin, por
defecto. Hay tres opciones para controlar que interfaz utilizar para paquetes salientes.
Note que:
• Si tiene una política configurada con un alias de interfaz externa individual en su configuración,
debe cambiar la configuración para utilizar el alias “Any-External”.
• Si utiliza la característica WAN múltiple, mapee el Fully Qualified Domain Name de su compañía a la
dirección IP de la interfaz externa de menor orden. Si agrega un Firebox WAN múltiple a su configu-
ración de Management Server, debe agregar el Firebox utilizando la interfaz externa de menor
orden para identificarlo.
• No puede utilizar NAT 1-a-1 en una configuración WAN múltiple. Si posee un servidor SMTP público
tras su Firebox, debe configurar una regla de NAT estática para permitir acceso a su servidor público
SMTP de e-mail. Luego, puede configurar múltiples registros MX, uno para cada interfase externa de
Firebox.
• Si tiene una configuración WAN múltiple, no puede utilizar la opción Set Source IP de NAT dinámico
basado en políticas. Utilice la opción Set Source IP sólo cuando su Firebox utilice una única interfaz
externa.
• El soporte WAN múltiple, no es aplicable para usuarios de tráfico VPN de sucursal o móviles. Los
usuario de tráfico VPN de sucursal o mòviles siempre utilizan la primera interfase externa configura-
da para el Firebox. RUVPN con PPTP opera correctamente en una configuración WAN múltiple.
• La característica WAN múltiple no es soportada en el modo drop-in.
Nota
Si utiliza WAN múltiple ordenado en round-robin, es posible configurar round-robin DNS con su prove-
edor de DNS para realizar un balance de carga a través de más de una interfaz externa.
Nota
Si usa multi-WAN en modo WAN failover (paso a red redundante ante falla), puede usar DNS dinámico
para actualizar su registro DNS cada vez que falla la conectividad de su red. Esto brinda redundancia de
entrada para su red cuando ocurra un failover.
2 Seleccione la interfaz para configurarla como externa y haga click en Configure. Seleccione External
desde el menú desplegable Interface Type para activar el cuadro de diálogo. Teclee un nombre de
interfaz y una descripción.
Debe tener un mínimo de dos interfaces externas de red configuradas antes de poder ver y configurar las opciones de
WAN múltiple.
3 Teclee la dirección IP y la puerta de enlace predeterminada para la interfaz. Haga click en OK.
Cuando teclea una dirección IP, tipee todos los números y puntos. No utilice la tecla TAB ni los cursores.Luego de configurar
una segunda interfaz externa, las opciones de configuración de WAN múltiple aparecen en el cuadro de diálogo de
Network Configuration.
4 Seleccione el procedimiento que desea utilizar para controlar el tráfico a través de las múltiples
interfaces externas.
Estos tres procedimientos están descriptos arriba.
5 En el cuadro de diálogo WAN Ping Address, haga doble click en la columna Ping Address para agregar
una dirección IP o un nombre de dominio para cada interfaz externa. Le recomendamos que utilice la
dirección IP de una computadora externa a su organización.
Cuando una interfaz externa se encuentra activa, Firebox hace ping a las direcciones IP y nombres de dominio que ingresa
aquí, cada 20 segundos, para ver si la interfaz se encuentra operando correctamente. Si no hay respuesta luego de tres
pings, el Firebox comienza a utilizar las interfaces externas configuradas subsecuentemente. Luego comienza a hacer ping
a la dirección de WAN que usted configuró para esa interfaz para verificar la conectividad.
6 Haga click en OK. Guarde los cambios que realice en su Firebox.
dice a Firebox que hay una red más en la interfaz del Firebox.
Si su Firebox está configurado con una dirección IP estática, puede agregar una dirección IP en la misma
subred de su interfaz externa primaria como una red secundaria. Puede entonces configurar NAT estático
para más de un tipo de servidor. Por ejemplo, configure una red secundaria externa con una segunda
dirección IP pública si tiene dos servidores SMTP públicos y desea configurar una regla NAT estática para
cada uno.
Nota
Tenga cuidado de agregar las direcciones de la red secundaria correctamente. Le recomendamos no
crear una subred como una red secundaria en una interfaz que sea componente de una red mayor, en
una interfaz diferente. Si hace esto, puede ocurrir spoofing y la red puede no operar correctamente.
Un número de funciones del Firebox® deben tener compartidas las direcciones IP de los servidores
Windows Internet Name Server (WINS) y Domain Name System (DNS). Estas funciones incluyen DHCP y
Remote User VPN. El acceso a estos servidores debe estar permitido desde la interfaz confiable de Firebox.
Esta información es utilizada para dos propósitos:
• Firebox utiliza el servidor DNS mostrado aquí para resolver nombres de direcciones IP para IPSec VPNs
y para que el spamBlocker, y las finciones GAV e IPS operen correctamente.
• Las entradas WINS y DNS son usadas por los clientes DHCP en las redes confiables u opcional, usuarios
MUVPN, y usuarios PPTP RUVPN para resolver entradas DNS.
Asegúrese de utilizar sólo un servidor WINS y DNS para DHCP y RUVPN. Esto le ayuda a asegurarse de no
crear políticas con propiedades de configuración que no permitan a los usuarios conectarse al servidor
DNS.
1 Desde Policy Manager, seleccione Network > Configuration. Haga click en la pestaña WINS/DNS.
Aparece la información en la petaña WINS/DNS.
2 Teclee las direcciones primaria y secundaria para los servidores WINS y DNS. Puede además teclear un
sufijo de dominio en el cuadro de texto Domain Name para que un cliente DHCP utilice con nombres
no calificados tales como “kunstler_mail”.
2 Seleccione la interfaz externa que desea configurar para Dynamic DNS y haga click en Configure.
Aparece el cuadro de diálogo Per Interface Dynamic DNS.
3 Para habilitar el DNS dinámica, seleccione la casilla de verificación Enable Dynamic DNS.
4 Teclee el nombre de usuario, contraseña y nombre de dominio utilizado para configurar su cuenta de
DNS dinámico.
5 En el menú desplegable Service Type, seleccione el sistema a utilizar para esta actualización:
- dyndns envía actualizaciones para un nombre de host de DNS dinámica.
- statdns envía actualizaciones para un nombre de host de DNS estática.
- custom envía actualizaciones para un nombre de host de DNS personalizada.
Para más información en cada opción, vea http://www.dyndns.com/services/.
6 En el campo Options, puede teclear cualesquiera de las opciones mostradas abajo. Debe teclear un
caracter “&” antes y después de cada opción que agregue. Si agrega más de una opción, debe separar las
opciones con el caracter “&”. Por ejemplo: &backmx=NO&wildcard=ON&
mx=mailexchanger
backmx=YES|NO
wildcard=ON|OFF|NOCHG
offline=YES|NO
Configurando Enrutamientos
Una ruta o enrutamiento (route) es una secuencia de dispositivos a través de los cuales el tráfico de la red
debe ir para llegar desde su fuente hasta su destino. Un router es un dispositivo en una ruta que encuen-
tra el siguiente punto de la red a través del cual enviar el tráfico hacia su destino. Cada router está conec-
tado a un mínimo de dos redes. Un paquete puede ir a través de un número de puntos de la red con rou-
ters antes de llegar a destino.
El Firebox® le permite crear enrutamientos estáticos para enviar tráfico desde sus interfaces hasta un rou-
ter. El router puede enviar el tráfico al destino correcto desde la ruta especificada. Si no agrega un enruta-
miento a una red remota, todo el tráfico a esa red es enviado a puerta de enlace predeterminada de el
Firebox.
El WatchGuard® Users Forum es también una buena fuente de datos acerca de enrutamiento de redes y
routers. Utilice su servicio LiveSecurity para encontrar más información.
3 Desde el control del valor MTU, seleccione el tamaño máximo de paquete, en bytes, que puede ser
enviado a través de la interfaz.
Si utiliza PPPoE, debe cambiar este valor a 1492, o al MRU soportado por su ISP. Si no utiliza PPPoE, no le recomendamos
que cambie el valor MTU.
4 Desde el menú desplegable Link Speed, seleccione Auto Negotiate si desea que Firebox seleccione la
mejor velocidad de red. Puede, además, seleccionar una de las velocidades half-duplex o full-duplex que
sepa que es compatible con su equipamiento.
5 Haga click en OK para cerrar el cuadro de diálogo Advanced Settings. Haga clic en OK nuevamente
para cerrar el caudro de diálogo Network Configuration.
La traducción de direcciones de red, o Network Address Translation (NAT) fue primeramente desarrollada
como una solución para organizaciones que no podían conseguir suficientes números IP de red registrados
de los Internet Address Registrars (registradores de direcciones de Internet) para sus población en aumento
de hosts y redes.
NAT se usa, genéricamente, para describir cualquiera de las varias formas de las direcciones IP y de las tra-
ducciones de puertos. En su nivel más básico, NAT cambia la dirección IP de un paquete de un valor a otro
diferente. El propósito primario de NAT es no incrementar el número de computadoras que pueden operar
fuera de una única dirección IP públicamente ruteable, y ocultar las direcciones IP privadas de los hosts en
su LAN.
Hay diferentes formas de usar NAT. WatchGuard® System Manager soporta tres formas diferentes de NAT.
NAT dinámica
NAT dinámica es también conocida como IP enmascarado. El Firebox® puede aplicar su dirección IP
pública a los paquetes salientes para todas las conexiones o para servicios específicos. Esto oculta la
dirección IP real de la computadora que originó el paquete desde la red externa. NAT dinámica es
generalmente usada para ocultar las direcciones IP de los hosts internos cuando obtienen acceso a
servicios públicos.
1-to-1 NAT
1-to-1 NAT protege los hosts detrás de su red opcional o su red confiable para direcciones IP externas.
Este tipo de NAT es usada para brindar acceso a las computadoras externas a sus servidores públicos
internos.
NAT estática para una política
También conocida como reenvío de puerto (port forwarding), Usted configura la NAT estática cuando
configura políticas, según se describe en el capítulo “Configurando políticas”. NAT estática es una NAT
de puerto a host. Un host envía un paquete desde la red externa a un puerto en una interfaz externa.
NAT estática cambia esta dirección IP a una dirección IP y un puerto detrás del firewall.
Es posible que, en su configuración, use más de un tipo de NAT. Puede aplicar NAT como un parámetro
general del firewall, o como un parámetro de una política. Note que los parámetros de firewall NAT no se
aplican a políticas BOVPN o MUVPN.
La configuración preestablecida de NAT dinámica permite NAT dinámica de todas la direcciones IP priva-
das hacia la red externa. Las entradas por defecto son:
• 192.168.0.0/16 - Any-External
• 172.16.0.0/12 - Any-External
• 10.0.0.0/8 - Any-External
Estas tres direcciones de red son las redes privadas reservadas por la Internet Engineering Task Force (IETF)
y usualmente se usan para las direcciones IP de LANs. Para habilitar NAT dinámica para otras direcciones IP
privadas que no sean ésas, debe agregar entradas para ellas. Firebox aplica reglas de NAT dinámica en la
secuencia en que aparecen en la lista NAT dinámica Entries. Recomendamos que ponga las reglas en una
secuencia que corresponda al volumen de tráfico al que se aplican las reglas.
1 Desde el Policy Manager, seleccione Network > NAT.
Aparecerá el cuadro de diálogo NAT Setup.
2 En la pestaña Dynamic NAT del cuadro de diálogo NAT Setup, haga click en Add.
Aparecerá el cuadro de diálogo Add Dynamic NAT.
3 Use la lista desplegable From para seleccionar el origen de los paquetes salientes.
Por ejemplo, use el alias de host Trusted para habilitar NAT desde toda la red confiable. Para más información sobre los alias
“built-in” de Firebox, vea la sección “Trabajando con Alias”, en el capítulo 6.
4 Use la lista desplegable To para seleccionar el destino de los paquetes salientes.
5 Para agregar un host o una dirección IP de red, haga click en el botón Add Device que se muestra a
la derecha. Use la lista desplegable para seleccionar el tipo de dirección. Escriba la dirección IP o el
rango. Debe teclear una dirección de red en notación de barra oblícua.
Cuando teclee una dirección IP, teclee todos los números y puntos. No use la tecla TAB o las flechas.
6 Haga click en OK.
La nueva entrada aparecerá en la lista Dynamic NAT Entries.
50.1.1.2
50.1.1.3
50.1.1.4
50.1.1.5
La compañía ABC configura una regla 1-to-1 NAT para sus servidores de e-mail. La regla 1-to-1 NAT constru-
ye una relación estática y bidireccional entre los correspondientes pares de direcciones IP. La relación es
ésta:
10.1.1.1 <—> 50.1.1.1
10.1.1.2 <—> 50.1.1.2
10.1.1.3 <—> 50.1.1.3
10.1.1.4 <—> 50.1.1.4
10.1.1.5 <—> 50.1.1.5
Cuando se aplica la regla 1-to-1 NAT, Firebox crea el ruteo bidireccional y la relación NAT entre el pool de
direcciones IP privadas y el pool de direcciones públicas.
Puede también usar 1-to-1 NAT para resolver el problema cuando debe crear un túnel VPN entre dos redes
que usan la misma dirección de red privada. Cuando crea un túnel VPN, las redes en cada extremo del túnel
VPN deben tener diferentes rangos de direcciones de red. Si el rango de red en la red remota es el mismo de
la red local, puede configurar ambas puertas de enlace para usar 1-to-1 NAT. Entonces, puede crear el túnel
VPN y no cambiar la dirección IP de uno de los extremos del túnel. La 1-to-1 NAT para un túnel VPN está
configurada cuando usted configura el tunel VPN y no en el cuadro de diálogo Network > NAT.
3 En la lista desplegable Map Type, seleccione Single IP, IP range o IP subnet si desea mapear a un
host, a un rango de hosts, o a una subred.
4 En el cuadro de texto NAT base, escriba la dirección para que el rango NAT lo vea externamente.
5 Complete toda la información. Haga click en OK.
6 Repita los pasos 2 a 4 para cada entrada 1-to-1 NAT. Cuando haya terminado, haga click en OK para
cerrar el cuadro de diálogo NAT Setup. Guarde los cambios en el Firebox.
Después de configurar una regla global 1-to-1 NAT, debe configurar las direcciones IP basadas en NAT en
las políticas apropiadas. En el ejemplo dado más arriba, se debería configurar la política SMTP para permi-
tir tráfico SMTP desde Any hacia 50.1.1.1-50.1.1.5.
Nota
Si usa multi-WAN, no puede usar la opción Set Source IP. Utilice esta opción sólo cuando su Firebox
ustilice una única interfaz externa.
La NAT estática, también conocida como “port forwarding” (reenvío de puerto), es una NAT de puerto a host.
Un host envía un paquete desde la red externa a un puerto en una interfaz externa. La NAT estática cambia
esta dirección IP a una dirección IP y puerto detrás del firewall. Si un software de aplicación usa más de un
puerto y los puertos se seleccionan dinámicamente, debe usar 1-to-1 NAT o chequear si hay una proxy en el
Firebox® para administrar esta clase de tráfico.
Cuando use NAT estática, use una dirección IP externa de su Firebox en lugar de la dirección IP de un servi-
dor público. Puede hacer esto si usted porque así lo prefiera o porque su servidor público no tenga una
dirección IP pública. Por ejemplo, puede poner su servidor SMTP de e-mail detrás del Firebox con una direc-
ción IP privada y configurar static NAT en su política SMTP. El Firebox recibirá conexiones en el puerto 25 y
asegurará que cualquier tráfico SMTP sea enviado al servidor SMTP real que haya detrás suyo.
Debido a cómo trabaja NAT estática, está disponible sólo para políticas que usan un puerto TCP o UDP espe-
cífico. Una política que tenga otro protocolo no puede usar NAT estática entrante. Si tiene una política que
usa un protocolo que no sea TCP o UDP, el botón NAT en el cuadro de diálogo Properties de esa política
estará deshabilitado. Tampoco podrá usar NAT estática con una política Any.
1 Haga doble click en un ícono de política en Policies Arena.
2 Desde la lista desplegable Connections are, seleccione Allowed.
Para usar NAT estática, la política debe permitir tráfico entrante.
3 Debajo de la lista To, haga click en Add.
Aparecerá el cuadro de diálogo Add Address.
5 Desde la lista desplegable External IP Address, seleccione la dirección IP pública para usar para este
servicio.
6 Escriba la dirección IP interna.
La dirección IP interna es la de destino en la red confiable o la red opcional.
7 Si es necesario, seleccione la casilla de verificación Set internal port to different port than this
policy. Esto permite la traducción de direcciones de puerto (port address translation - PAT).
En general, no use esta característica. Porque permite que usted cambie el destino del paquete no sólo a un host interno
específico sino también a un puerto diferente. Si selecciona esta casilla de verificación, escriba el número de puerto dife-
rente o use los botones de flecha en la casilla Internal Port.
8 Haga click en OK para cerrar el cuadro de diálogo Add Static NAT.
Aparecerá la ruta estática NAT en la lista Members and Addresses.
9 Haga click en OK para cerrar el cuadro de diálogo Add Address. Haga click en OK para cerrar el cuadro
de diálogo Properties del servicio.
desconectarse. Si el Administrador desea impedir que un usuario se autentique, deberá desactivar la cuen-
ta de dicho usuario en el servidor de autenticación.
La primera función de la herramienta de autenticación es autenticar el tráfico saliente. Sin embargo, tam-
bién puede ser usada para restringir el tráfico entrante. Si usted posee una cuenta en el Firebox, siempre
podrá usar la autenticación externa. Por ejemplo, podrá escribir esta dirección en su navegador:
https://dirección IP de la interfaz externa del Firebox: 4100/
Luego de autenticarse, podrá usar las políticas que ya fueron configuradas por usted en el Firebox.
Utilice este procedimiento para permitir a un usuario remoto autenticarse desde una red externa. Esto
habilitará a la persona a usar diversos recursos a través del Firebox.
1 Desde el “Policy Manager”, haga doble click en el ícono de políticas de WatchGuard Autenticación.
Estas reglas aparecerán luego de que usted sume al usuario, o al grupo, a la configuración de políticas.
Si usted edita una política ya configurada, verá un aviso de “advertencia”.
2 Haga click en la pestaña de Policys.
3 Desde el “WG-Auth connections are...” elija Allowed.
4 Desde la caja de From, haga click en Ad d. Seleccione Any desde la lista y haga click en Add. Luego en OK.
5 Bajo la opción To haga click en Add. Seleccione luego Firebox de la lista y haga click en Add. Haga click
en OK.
Autenticación de Firewall
Para crear una cuenta de usuario Firebox, desde el Policy Manager seleccione Setup > Authentication
Servers. Luego de creada, podrá armar un grupo en el Firebox y colocar al usuario en dicho grupo. Luego,
genere una política que permita tráfico sólo desde, o hacia, una lista de usuarios del Firebox o a una lista
de grupos del Firebox. Dicha política se aplica solamente si un paquete proviene, o va, a la dirección IP
autentificada del usuario.
Un usuario se autentifica con una conexión HTTPs al Firebox, usando el puerto 4100, tipeando:
https://dirección IP de la interfaz del Firrebox:4100/
Si el nombre de usuario y la clave son válidos, el usuario será autenticado. Cuando un usuario es autentica-
do, las credenciales y la dirección IP de su computadora son empleadas para determinar que política se
aplica al tráfico que origina, o se dirige, a su PC.
Conexiones PPTP
Para configurar el Firebox para que sea huésped de sesiones PPTV VPN, selecciones VPN > Remote Users
y haga click en la pestaña PPTP. Si no tilda la opción Use RADIUS Authentication to authenticate remo-
te users, el Firebox autenticará la sesión PPTP. El dispositivo chequeará que el nombre y la clave que el
usuario coloca en la conexión VPN, coincidan con el nombre y la clave almacenados en la base de datos de
usuarios del Firebox. Si las credenciales proporcionadas coinciden con una cuenta del Firebox, el usuario
será autenticado y podrá mantener una sesión PPTP.
Luego, cree una política que permita el tráfico solamente desde, o hacia, una lista de nombre de usuarios
del Firebox, o una lista de grupos. El Firebox no chequeará esta política a menos que el tráfico provenga o
vaya a la dirección IP virtual autenticada.
El usuario realiza la conexión PPTP usando dicha función del Sistema Operativo de su computadora. Como
el Firebox permite la conexión PPTP desde cualquier usuario Firebox que proporcione las credenciales
correctas, es importante que usted haga una política para las sesiones PPTP, que incluya solamente a los
usuarios a los que quiera permitirles enviar tráfico sobre una sesión PPTP. O bien coloque a dichos usua-
rios en un grupo Firebox y cree una política que permita tráfico sólo dentro de dicho grupo.
El Firebox ya tiene pre-configurado un grupo para esta función, denominado “PPTP-Users”.
Conexiones MUVPN
Puede configurar el Firebox para recibir sesiones VPN de usuario móviles, (MUVPN) en sesiones IPSec. Para
hacerlo seleccione VPN > Remote Users y cliquee sobre la lengüeta Mobile User VPN. Podrá armar gru-
pos MUVPN, utilizando el Wizzard Add Mobile User VPN. Cuando éste ayudante termine, el Policy Manager
hará dos cosas:
• Preparará un Perfil de Configuración de Clientes (un archivo .wgx) y lo colocará en la estación de tra-
bajo de la computadora que crea la cuenta MUVPN. El usuario deberá contar con este archivo .wgx
para poder configurar la computadora cliente MUVPN.
• Automáticamente agregará una política “Any” a la pestaña Mobile User VPN que permite el paso
del tráfico desde, y hacia un usuario MUVPN autenticado.
Cuando la PC del usuario esté bien configurada, se podrá establecer una conexión MUVPN. Si el nombre y
clave elegidos por el usuario en el cuadro de diálogo de la autenticación MUVPN se corresponde con una
entrada similar en la base de datos del Firebox, y si dicho usuario pertenece al grupo MUVPN creado,
entonces la sesión será autentificada.
El Policy Manager crea automáticamente una política que permite cualquier tráfico desde el usuario
autenticado. Para restringir los puertos a los que puede acceder un cliente MUVPN, borre la política “Any” y
agregue nuevas políticas que incluyan esos puertos en la pestaña Mobile User VPN. Para agregar políti-
cas, consulte el apartado “Agregando Políticas”.
2 Para agregar un nuevo grupo de usuarios, haga click Add, bajo la lista de User Groups.
Aparecerá la caja de diálogo Add Firebox Group.
4 Para agregar un nuevo usuario, haga click Add bajo la lista de Users.
Aparecerá la caja de dialogo Stup Firebox User.
5 Escriba el Nombre y la passpharase que quiere que la persona utilice para autenticarse con el
Firebox.
Cuando la passphrase esté seteada, ya no será visible como texto común. Si la pierde deberá elegirse una nueva .
6 Para agregar un usuario a un grupo, seleccione el nombre del grupo desde la lista Available. Haga click
sobre la doble flecha que apunta a la izquierda para mover el nombre a la lista de Members.
También puede hacer doble click sobre el Nombre del Grupo.
7 Agregue el usuario al grupo de Usuarios PPTP, si quiere usar este grupo en un servicio.
8 Luego de agregar el usuario a los grupos elegidos, haga click en OK.
El usuario será agregado a la lista. Y podrá agregar más usuarios.
9 Para cerrar el cuadro de diálogo Setup Firebox User, haga click en OK.
Aparecerá la lengüeta de Usuarios del Firebox, con una lista de los nuevos usuarios
10 Con los usuarios y grupos ya agregados, haga click en OK. Desde ese momento podrá utilizar los
usuarios y grupos para configurar las políticas y la autenticación.
Usando una cuenta de usuario local para autenticación de Firewall, PPTP y MUVPN
Cualquier usuario puede autentificarse como usuario de Firewall, PPTP o MUVPN y abrir un túnel PPTP o
MUVPN, si estos están permitidos en el dispositivo. Sin embargo, luego de que una autenticación o un
túnel han sido establecidos en forma exitosa, dicho usuario podrá enviar tráfico a través del túnel VPN
solamente si esos paquetes están permitidos por una política en el Firebox. Por ejemplo, un usuario que
sólo pueda enviar tráfico MUVPN, podrá usar un túnel MUVPN, pero no un túnel PPTP, ni siquiera aunque
el usuario pueda autentificarse y establecerlo.
1 Habilite y configure el sistema para autentificaciones de usuarios de Firewall, MUVPN y PPTP para usar
cuentas locales.
2 Cree políticas apropiadas para estos tipos de autenticación.
3 Asocie una cuenta de usuario a cada grupo de autenticación (Usuarios -FW; Usuarios-PPTP, Usuarios-
MUVPN). También cree una cuenta que no pertenezca a ningún grupo.
4 Establezca la configuración en el Firebox.
5 Use un navegador, un cliente PPTP y un cliente MUVPN para autenticarse con el Firebox con cada una
de estas cuentas.
6 Para establecer cuantos intentos de conexión realizará el Firebox, Retry para elegir el número.
(Este es el número de veces que el Firebox intenta conectarse al Servidor de autenticación -empleando el Timeout antes
especificado- previamente a e informar que hay una conexión fallida).
7 Para setear los atributos del gru po, u t i l i ce el co nt rol Group Attribute para establecer el valor que desee
(El valor del atributo de grupos se usa para establecer que atributo lleva el Grupo de Usuarios de Información. Cuando el
RADIUS envía un mensaje al Firebox, diciendo que un usuario está autenticado, también envía una cadena de informa-
ción de grupo de usuario; por ejemplo “grupodemkt” o “grupo_contabilidad”. Esta información se usa para el control de
acceso.
8 Para agregar un Servidor RADIUS de backup, tilde la casilla Specify Ba c kup RADIUS Se rver. Al hacerlo,
tipee la dirección IP y el puerto del Servidor de backup. El “Secreto compartido” debe ser el mismo en
el Servidor RADIUS principal y en el de Backup.
9 Haga click en OK.
Nota
No utilice RADIUS Steel Belted con SecurID. Utilice aplicaciones de software RADIUS con
software de SecurID de RSA.
1 Desde el Policy Manager seleccione Setup > Authentication Servers. Click en la lengüeta SecurID
Server.
3 En la caja Port use el control para seleccionar el número de puerto para usar la autenticación SecurID.
El default es 1812.
4 En la caja Secret tipee el “Secreto compartido” entre el Firebox y el Servidor SecurID.
Este “Secreto compartido” es sensible a mayúsculas y minúsculas y debe ser el mismo entre el Servidor SecurID y el Firebox.
5 En la caja Timeout, use el control para elegir el timeout que usted desee.
Este control fija cuanto tiempo el Firebox espera una respuesta desde el Servidor de autenticación antes de intentar una
nueva conexión.
6 Para setear cuantos intentos de conexión realiza el Firebox, utilice Retry.
Es el número de veces que el Firebox intenta volver a conectar con el Servidor de autenticación –usando el timeout presta-
blecido- antes de informar que hay una conexión fallida.
7 Seleccione los atributos del grupo. Recomendamos no cambiar este valor.
Los atributos de grupo se usan para fijar que atributo transporta el grupo de información de usuario. Cuando un Servidor
SecurID envía un mensaje, diciendo que un usuario está autentificado, también envía una cadena de datos de “grupo de
usuarios”; por ejemplo “mktGroup”. Esta información se usa para el control de acceso
8 Tipee la dirección IP y el puerto del Servidor de backup del SecurID. El “Secreto compartido” debe ser el
mismo entre ambos.
9 Haga click en OK.
3 En la caja IP Address tipee la dirección IP del Servidor LDAP primario para que el Firebox pueda
hacer las solicitudes de autenticación.
El LDAP debe estar ubicado sobre cualquier interfase del Firebox o disponible a través de un túnel VPN.
4 Desde el menú descolgable “Port” seleccione el número de puerto TCP que usará el Firebox al
conectarse al Servidor LDAP. El estandar es 389.
No soporta conexión SSL en el puerto 636.
5 Tipee el Search Base. El formato estándar para este búsqueda es: ou=organizational unit,dc=first
part of distinguished server name,dc=any part of the distinguished server name que aparece luego del
punto.
Por ejemplo, si las cuentas de usuario están en OU, deberá referirlas como “cuentas” y si su nombre de
dominio es xxx.com, su search base será:
”ou=cuentas,dc=xxx,dc=com”
Usted fija la “search base” para poner un límite en los directorios del Servidor de autenticación en los cuales el Firebox
busca una coincidencia con la base de autenticación.
6 Tipee el Group String
Este atributo se usa para manejar información del grupo en el Servidor LDAP. En muchos Servidores de este tipo, la cade-
na default es “uniqueMember” en otros servidores es “member”.
7 Si es necesario, cambie el valor de Time-out. Esto fija cuanto tiempo esperará el Firebox por una res
puesta del Servidor de autenticación.
8 Agregue información del servidor LDAP de backup, si lo tiene.
9 Para configurar usuarios MUVPN, que obtengan información de configuración desde un Servidor LDAP,
puede cambiar su esquema de directorio y usar los seteos disponibles a través de Optional Settings.
Podrá introducir información de clientes MUVPN si las propiedades de usuario de su Servidor LDAP
incluyen la dirección IP, submáscaras de red, Servidor DNS y WINS. En esos casos podrá mapear estos
campos a los campos que aparecen en Optional Settings. Cuando el usuario MUVPN comienza un
túnel VPN a través del Firebox, el equipo emplea esos valores usando la información contenida en el
Servidor LDAP, en las propiedades de usuario del LDAP.
IP Attribute String
Escriba el nombre del usuario LDAP y sus propiedades en el campo que contiene las direcciones IP
asignadas.
Netmask Attibute String
Escriba el nombre de usuario LDAP y sus propiedades en el campo de máscara de subred asignada.
DNS Attribute String
Escriba el nombre de usuario LDAP y sus propiedades en el campo que contiene la dirección IP del
Servidor DNS.
WINS Attribute String
Escriba el nombre de usuario LDAP y sus propiedades en el campo que contiene la dirección IP del
Servidor WINS
Lease time Attribute String
Escriba el nombre de usuario LDAP y sus propiedades en el campo que contiene el total del tiempo
permitido para una sesión de conexión MUVPN.
Idle Timeout Attibute String
Escriba el nombre de usuario LDAP y sus propiedades en el campo que contengan el tiempo de
time-out asignado.
vés de la opción Optional Settings. Podrá entrar información del cliente MUVPN en el cuadro de pro-
piedades de usuarios de su Servidor Active Directory, que incluye las direcciones IP, submáscaras de
red y/o servidores DNS y WINS. Luego podrá mapear estos campos a los campos que aparecen en el
Optional Settings. Cuando un usuario MUVPN comience un túnel VPN a través del Firebox, el Firebox
fija las direcciones IP, las submáscaras de red y los Servidores de DNS y WINS para el usuario, aprove-
chando la información que aparece en las propiedades de usuario del Active Directory.
IP Attribute String
Tipee el nombre de los campos de propiedades de usuario de Active Directory que contienen la
dirección IP asignada.
Netmask Attibute String
Tipee el nombre de los campos de propiedades de usuario de Active Directory que contienen la
máscara de subred asignada.
DNS Attribute String
Tipee el nombre de los campos de propiedades de usuario de Active Directory que contengan las
direcciones IP del Servidor DNS.
WINS Attribute String
Tipee el nombre de los campos de propiedades de usuario de Active Directory que contengan la
dirección IP del Servidor WINS.
Lease Time Attribute String
Tipee el nombre de los campos de propiedades de usuario de Active Directory que contengan el
tiempo permitido de leasing.
Idle Timeout Attibute String
Tipee el nombre de los campos de propiedades de usuario de Active Directory que contenga el
tiempo de espera inactivo asignado para el time-out.
3 Desde la lista despegable de Choose Type seleccione Autenticación de Firewall, MUVPN o PPTP.
4 Desde la lista desplegable Auth Se rver seleccione el tipo de Se rvidor de autenticación que va a utilizar.
5 Desde User/Group seleccione User o Group.
6 Tipee el nombre de Usuario o Grupo creado en el Servidor de autenticación. Cliquee OK.
7 Configure el campo From con todas las políticas y políticas en el Policy Manager de la misma manera.
8 Tras sumar un usuario o grupo a una política, el WatchGuard System Manager, automáticamente agrega
una política WatchGuard de Autenticación a la configuración del dispositivo. Utilice esta política para
controlar el acceso a la página web de autenticación.
Su dispositivo WatchGuard® Fireware® y las políticas que son generadas usando el Policy Manager le permi-
ten tener un estricto control sobre el acceso a su red. Y una política estricta ayuda a mantener a los hackers
alejados de sus redes. Pero hay otros tipos de ataques que ni siquiera una política cuidadosa puede comba-
tir. Sin embargo, una ajustada configuración de las opciones de manejo de paquetes en su Firebox puede
detener ataques tales como “SYN flood” (saturación), ataques Spoofing y las pruebas y testeos lanzados por
hackers, buscando puertos abiertos o direcciones de su red.
Regularmente, con su configuración por defecto, un firewall examina el destino y el origen de cada paquete
que recibe. El dispositivo “mira” la dirección IP y los puertos, y monitorea los paquetes buscando patrones
que demuestren que la red está en riesgo. Si aparece algún indicio extraño, usted podrá configurar su
Firebox para bloquear automáticamente cualquier posible ataque. Este método proactivo de detección de
intrusiones ayuda a mantener a los atacantes lejos de su red. Además, es posible adquirir una actualización
para el Firebox que le permita usar prevención de intrusos basada en firmas digitales. Para obtener más
información sobre esto, vea los capítulos correspondientes en este manual.
2 Tilde la opción correcta para el patrón de tráfico que desea prevenir, tal como está explicado en la
sección siguiente. La configuración por defecto envía un mensaje al archivo de eventos (Log) cuando
uno de estos eventos ocurre. Para configurar una trampa SNMP o para las notificaciones del sistema de
manejo de paquetes haga click en Logging.
Ataques “spoofing”
Una opción que usan los atacantes para ganar acceso a las redes es falsificar una “identidad electrónica”.
Con este procedimiento de “Spoofing IP”, el atacante envía un paquete TCP/IP que usa una dirección IP
diferentes de la del host que la envía originalmente.
Con el sistema “IP Spoofing” habilitado, su Firebox realiza chequeos para asegurarse de que la fuente de la
dirección IP del paquete analizado pertenezca a la red correspondiente.
Para protegerse de ataques Spoofing, tilde la opción Drop Spoofing Attacks en la caja de diálogo de
Default Packet Handling.
Sitios Bloqueados
La función Sitios Bloqueados ayuda a prevenir el tráfico proveniente de sistemas que usted ya sabe que
son riesgosos para la red. Luego de que identifique la fuente el tráfico sospechoso, podrá bloquear todas
las conexiones desde dicha IP. También podrá configurar el Firebox para enviar un mensaje al archivo de
Logs cada vez que dicha fuente intente conectarse a su red. Luego podrá revisar ese archivo y ver los servi-
cios que son usados para los ataques.
Un sitio bloqueado es una dirección IP que ya no podrá establecer una conexión a través de su Firebox. Si
un paquete proviene desde un sistema bloqueado no pasará a través del dispositivo.
Es posible usar dos tipos diferente de bloqueos de direcciones IP:
• Sitios permanentemente bloqueados — colocándolos en la configuración, en forma manual. A esto
se los conoce como una “lista de sitios bloqueados”.
• Sitios auto-bloqueados — Son direcciones de IP que el Firebox agrega o saca de una lista tempo-
ral de sitios bloqueados. El Firebox usa las reglas de manejo de paquetes que son específicas para
cada servicio. Por ejemplo, usted puede configurar al Firebox para bloquear direcciones IP que inten-
tan conectarse a un puerto bloqueado. Estas direcciones serán, entonces, bloqueadas por un tiempo
especificado. A esto se lo conoce como Lista de Sitios Bloqueados Temporariamente.
Es posible usar una lista de sitios temporariamente bloqueados con los mensajes logueados, de manera
de poder tomar decisiones eficientes al elegir qué direcciones IP deberá bloquear en forma permanente.
3 Busque en la lista desplegable Choose Type, y elija un tipo de miembro entre Host IP, Network IP o
Host Range.
4 Elija el valor del miembro.
El tipo de miembro muestra si se trata de una dirección o un rango de direcciones IP. Cuando usted escriba una IP, tipee
todos los números y puntos No use la tecla de Tab o las flechas.
5 Haga click en OK.
El nuevo sitio aparecerá en la lista de sitios bloqueados.
3 Seleccione o deje vacías las siguientes opciones para permitir o no para estas categorías. Para
habilitar o deshabilitar todas simultáneamente tilde la casilla de verificación All Spyware Categories:
Adware
Una aplicación de software en la que aparecen banners de publlicidad mientras el programa trabaja. A
veces incluye código que graba la información personal de un usuario y la envía a desconocidos sin su
autorización ni conocimiento.
Dialer
Es un software que puede “tomar” el modem del usuario, llamar a diversos números preconfigurados y
acceder a sitios web inapropiados.
Downloader
Es un programa que obtiene e instala archivos. La mayoría obtiene dichos archivos desde un sitio web
o FTP determinado.
Hijacker
Es un tipo de malware que cambia los seteos preconfigurados del programa navegador y redirige a
quien lo usa a sitios no deseados.
Trackware
Cualquier software que usa la conexión de la PC para enviar información personal sin permiso del
usuario.
2 Fije los parámetros y las notificaciones para que cumplan sus políticas de seguridad:
Enter it in the Log
Cuando usted tilda esta opción, el Firebox envía un mensaje al log cada vez que se deniegue el acce-
so a un paquete por haber sido bloqueado por su configuración de puertos. La configuración por
defecto de todos los servicios del Firebox es enviar un mensaje al log cuando deniega el acceso a un
paquete.
Send notification
Cuando usted tilda esta opción, el Firebox envía una notificación cada vez que un paquete es rechaza-
do por la configuración de puertos bloqueados. Es posible configurar el Firebox para que realice una
de las siguientes acciones.
- E-mail: el Firebox envía un e-mail cuando ocurre el evento. Escriba la dirección de notificación en
la pestaña Notification de la interfaz del Servidor de Logs.
- Ventana Pop-up: el Firebox hace que aparezca una caja de diálogo en la estación de trabajo en la
que el evento ocurre.
Configurando el intervalo de lanzamiento y la cuenta de repetición
Usted podrá determinar el momento de las notificaciones, junto con la cuenta de repeticiones. Hágalo así:
Un sondeo del espacio de puertos comienza a las 10:00 AM, y continúa cada minuto. Esto da inicio al siste-
ma de logueo y de notificación. Estos serán los tiempos y las acciones que ocurrirán:
Bloqueo de Puertos
Se puede bloquear los puertos que usted sabe que pueden ser usados para atacar su red. Esto bloqueará
determinados servicios de red externos. Cuando usted cierra un puerto, esta acción toma la prioridad por
sobre cualquier otra configuración previa de servicios.
Usted puede bloquear un puerto porque:
• Hacerlo puede proteger los servicios más sensibles. Esta opción le ayuda a protegerse
de posibles errores en el proceso de configuración del Firebox.
• Los sondeos maliciosos contra servicios sensibles pueden ser registrados especialmente en el archi-
vo de log de eventos.
Con su configuración por default, el Firebox ya bloquea determinados puertos. Esto le facilita una
básica que, usualmente, no necesita ser cambiada. Bloquea los paquetes TCP y UDP para los siguientes
puertos.
X Windows System (puertos 6000-6005)
La conexión del cliente a X Windows System (o X-Windows) no está encriptada y es peligrosa en
Internet.
X Font Server (puerto 7100)
Muchas versiones de X-Windows operan X Font Servers. Los X Font Servers operan como “superu-
suario” en algunos servidores.
NFS (puerto 2049)
El NFS es usualmente usado como servicio TCP/IP, cuando muchos usuarios emplean los mismos
archivos en una red. Pero las nuevas versiones presentan importantes problemas de autenticación y
seguridad. Proporcionar servicios NFS sobre Internet puede ser muy peligroso.
Nota
El mapeador de puertos frecuentemente usa el puerto 2049 para NFS. Si usted usa NFS, asegúrese de
que este emplee el puerto 2049 en todos sus sistemas.
Desde el Policy Manager se puede acceder a dos categorías de “Políticas”: filtro de paquetes y proxies.
Un filtro de paquetes examina cada encabezado de un paquete IP y es la función más básica de un firewall.
Sirve para controlar el tráfico de red que fluye desde y hacia el Firebox. Si el encabezamiento de un paquete
es legítimo, entonces el Firebox permitirá la circulación de dicho paquete. Pero si no lo es, será rechazado.
Además, puede guardar este incidente en un archivo especial de log o enviar un mensaje de error a la fuen-
te de dicho paquete.
Una proxy usa el mismo procedimiento para examinar el encabezado de los paquetes pero, además, analiza
el contenido de los mismos. Si dicho contenido no se adecua a los criterios fijados por el Administrador, se
denegará el acceso. Una proxy opera en el nivel de las aplicaciones, mientras que un filtro de paquetes tra-
baja en los niveles de red y de protocolos de transporte. Cuando se activa una proxy, el Firebox hace lo
siguiente:
• Elimina todos los datos de la red.
• Examina los contenidos para determinar su tipo y si cumplen con la norma RFC.
• Agrega los datos de red nuevamente.
• Envía el paquete a su destino.
Una proxy requiere más recursos y ancho de banda que un filtro de paquetes, pero puede buscar conteni-
dos dañinos, mientras que el filtro no.
En esta guía nos referiremos a los filtros de paquetes y a las proxies conjuntamente como “políticas”. A
menos que se diga en forma específica, los procedimientos comentados se refieren a ambos.
El Policy Manager muestra cada filtro de paquetes y proxy como un ícono. El tráfico será permitido o dene-
gado y usted podrá configurar los puertos, protocolos y otros parámetros específicos.
Watchguard Fireware incluye varios paquetes de filtros y proxies pre-configurados. Por ejemplo, si usted
desea un filtro para el tráfico Telnet, simplemente agregue la regla “Telnet”. Además, también podrá armar fil-
tros de paquetes personalizados para ciertos puertos y/o protocolos.
Agregando Políticas
Podrá agregar políticas por medio del Policy Manager. Éste muestra íconos o una lista para identificar las
políticas ya configuradas en el Firebox. Para cada política podrá:
• Fijar cuáles son las fuentes y destinos de tráfico permitidos.
• Fijar las reglas de filtrado.
• Habilitar y deshabilitar políticas.
• Configurar propiedades como Calidad de Servicio (QoS), NAT, logging, etc.
Para cambiar a la vista de Detalles, selecciones Details desde el menu Views. En esta vista, cada política apa-
recerá como una fila. Podrá ver información de la configuración, incluyendo fuente, destino y parámetros de
logging y notificación.
Vista de Detalles
5 Aquí podrá cambiar el nombre de la “política”, Esta información aparecerá en la vista “Details” del Policy
Manager. Para cambiar el nombre, escriba uno en la caja de diálogo Name.
6 Haga click en OK para cerrar la caja de diálogo.
Podrá agregar una o más políticas mientras la caja esté abierta.
7 Haga click en Close.
La nueva política aparecerá en el Policy Manager. Podrá ahora fijar las propiedades de dichas políticas tal como se mues-
tra en el apartado “Configuración de propiedades de Políticas”.
- OSPF
- IP
- Any
Cuando seleccione Port Range, podrá elegir TCP o UDP.
9 Desde la lista desplegable Server Port, elija el puerto al que se aplicará esta nueva política. Si selec-
ciona Port Range, seleccione el puerto del servidor de partida y el de llegada.
10 Haga click en OK.
El Policy Manager agregará los valores en la caja de diálogo New Policy Template. Asegúrese de que el nombre, la infor-
mación y la configuración de esta política sean correctas. Si es necesario, haga click en Add para configurar más puertos
para esta política. Repita el procedimiento hasta que termine con todos los puertos de la política.
11 Haga click en OK.
Aparecerá la caja de diálogo de Add Policy, con la política recién configurada en la carpeta Custom.
Si usted agregó una política y desea luego cambiar sus propiedades, haga doble click en el ícono de
Políticas para abrir la caja de diálogo Edit Policy Properties.
Desde la lista From, podrá agregar las computadoras y las redes que pueden enviar o no tráfico de red cum-
pliendo con dicha política. En la lista To se podrá agregar computadoras y redes a las que el tráfico que sale
del Firebox podrá dirigirse si cumple con todas las especificaciones de la política. Por ejemplo, puede confi-
gurar un filtro para paquetes ping, de manera de permitir tráfico ping desde todas las computadoras de una
red externa, a un único servidor web en su red opcional. Para más información sobre los alias que aparecen
como opciones en las listas From y To, vea la sección “Trabajando con alias”.
Podrá usar estas opciones para configurar cómo manejar el tráfico.
Permitido (Allowed)
El Firebox permite el tráfico que usa esta política, si obedece todas las reglas configuradas.
Denegado (Denied)
El Firebox denegará el tráfico que se ajuste con esta política. Usted podrá configurar que se marque
una entrada en el archivo de log, cuando una computadora intenta usar esta política. También puede
agregar en forma automática una computadora, o red, que intente hacer una conexión con esta políti-
ca hacia un sitio integrante de la lista de sitios bloqueados (configurados en la pestaña Properties).
Denegado (con envío de reseteo) (Denied (send reset))
El Firebox deniega todo el tráfico que se ajusta con esta política. Puede también agregar automática-
mente una computadora o red que intente comenzar una conexión con esta política hacia alguno de
la lista de sitios bloqueados (configurados en la pestaña Properties). El Firebox además, envía un
paquete de reseteo (RST) que le avisa al cliente que la sesión se deniega y se cierra.
1 Desde la pestaña Policy, configure qué conexión estará permitida, denegada o denegada con reseteo.
2 Para agregar miembros a esta política, haga click en Add en el campo From o To de la lista de
miembros.
3 Use la caja de diálogo Add Address para agregar una red, direcciones IP o usuarios específicos a una
política. Haga click en Add User o en Add Other.
Podrá seleccionar un ítem desde la ventana Available Members y hacer click en Add, o hacer doble
click en un ítem de esta ventana. La lista de miembros disponibles contiene los alias que usted agregó
y los ya preconfigurados por el Policy Manager.
4 Si usted selecciona Add Other, desde la lista desplegable Choose Type, elija el rango de host, la direc-
ción IP del host o la dirección IP de la red que desea agregar. En la caja de opciones Value escriba la
dirección de red correcta, el rango o las direcciones IP que desee. Luego haga click en OK.
Aparecen los miembros o las direcciones elegidas en las listas Selected Members y Addresses.
5 Si selecciona Add User, elija el tipo de usuarios o grupos, elija el servidor de autenticación y si quiere
agregar un usuario o un grupo.
Repita el proceso para agregar otras direcciones y miembros. Su política podrá tener más de un objeto
en el campo de From o de To.
6 Haga click en OK.
Launch Interval
Es el tiempo mínimo, en minutos, entre diferentes notificaciones. Sirve para evitar notificaciones
múltiples sobre eventos similares que se verifiquen en un corto período de tiempo para el mismo
evento.
Repeat Count
Este contador registra la frecuencia con la que ocurre un evento. Cuando ésta llega al valor seleccio-
nado, se inicia un notificador especial de repeticiones. El notificador marca entradas repetidas de
ciertos eventos. La notificación comienza nuevamente luego de cierto número de eventos.
He aquí un ejemplo de cómo usar estos dos valores. Los valores están configurados como:
• Intervalo de lanzamiento = 5 minutos
• Contador de repeticiones = 4
Si lanzan contra el Firebox un sondeo del espacio de puertos a partir de las 10:00, que se repite una vez
por minuto, se disparará el mecanismo de logging y notificaciones. Lo que ocurriría es lo siguiente:
1 10:00 Registro del primer intento de sondeo del espacio de puertos (primer evento)
2 10:01 Se activa el sistema de notificación (1 evento)
3 10:06 Segunda notificación (informa de 5 eventos)
4 10:11 Tercera notificación (informa 5 eventos)
5 10:16 Cuarta notificación (informa 5 eventos)
Los intervalos de lanzamiento controlan los intervalos de tiempo entre los eventos a), b), c), d) y e). Éste fue
configurado en intervalos de 5 minutos. Multiplique el conteo de repetición por el intervalo de lanzamien-
to. Ése será el intervalo de tiempo durante el cual un evento deberá continuar para iniciar el notificador de
repeticiones.
Si la política configurada es una proxy, aparecerá la lista desplegable Proxy con los íconos View/Edit Proxy
y Clone Proxy. Para más información sobre cómo usar estas opciones vea el capítulo “Configurando las
políticas de proxies” de este manual.
Nota
Una política puede o bien permitir o bien denegar tráfico, pero no ambas cosas. Si usted desea que
su Firebox envíe mensajes de logging para ambas situaciones, tráfico permitido y denegado, deberá
configurar diferentes políticas para cada situación.
Por todo esto, recomendamos que usted utilice una dirección IP externa al Firebox como registro MX de su
dominio. Un registro MX (Mail Exchange) es un tipo de registro DNS que establece cómo serán ruteados los
e-mails a través de Internet. El registro MX le muestra a los servidores cómo enviar un e-mail y a que servi-
dor de correo enviarlo primero según diversas prioridades.
Usualmente, las conexiones que comienzan desde una red segura y salen a Internet, muestran las direccio-
nes IP externas del Firebox como la “fuente” de los paquetes IP. Si la dirección IP externa de su Firebox no es
su dominio MX registrado, algunos servidores remotos rechazan el mail enviado. Toman esta acción porque
la sesión SMTP no les muestra su registro MX DNS como la fuente de las direcciones IP de la conexión. Si su
Firebox no usa el registro MX de sus direcciones IP como la interfaz externa de sus direcciones IP, aun podrá
recurrir a mapeos NAT 1-a-1, para hacer que el correo saliente muestre las direcciones IP correctas. Vea más
información sobre NAT 1-a-1 en el capítulo “Trabajando con Firewall NAT”.
1 Desde el Policy Manager, haga doble click en el ícono de la política.
Nota
Algunas organizaciones tienen más de un servidor que usa el mismo protocolo (por ejemplo dos ser-
vidores SMTP) y desean utilizar NAT estática para cada servidor. Usted puede hacer esto si su Firebox
está configurado en modo ruteado y si usted tiene más de una dirección IP pública para dar a su
Firebox. Configure dos políticas en el Policy Manager. La primera establece la NAT estática entre la
dirección IP primaria externa del Firebox y su primer servidor. La segunda política fija la NAT estática
entre la dirección IP secundaria de la interfaz externa de su Firebox y su segundo servidor.
También tendrá la opción de fijar un NAT dinámico a una dirección IP origen para cualquier política que use
NAT dinámica. Esto le asegura que cualquier tráfico que use esta política muestre como origen una direc-
ción especificada de su rango de direcciones IP externas o públicas. Esto sirve para forzar al tráfico saliente
SMTP de manera de que muestre el registro de su dominio MX cuando las direcciones IP de la interfaz exter-
na del Firebox no sean las mismas que sus direcciones IP MX.
Las reglas 1-a-1 NAT tienen precedencia sobre las reglas de NAT dinámica.
Nota
Si utiliza multi-WAN, no podrá elegir la opción Set Source IP. Use esta posibilidad sólo cuando su
Firebox utilice una única interfaz externa.
La precedencia es la secuencia en la cual el Firebox examina el tráfico de red y aplica una regla de política. El
Firebox rutea el tráfico siguiendo las reglas hasta encontrar la primera política que coincida con el tráfico en
cuestión. El Policy Manager del Fireware, ordena automáticamente las políticas; desde la más detallada hasta
la más general. Pero usted podrá también fijar manualmente su propia precedencia.
para la nueva regla con todas las reglas existentes en el archivo de configuración.
Para fijar precedencias, el Policy Manager recurre a los siguiente criterios:
1 Protocolos establecidos para el tipo de política
2 Reglas de tráfico del campo To
3 Reglas de tráfico del campo From
4 Acción del Firewall.
5 Cronograma.
6 Orden alfanumérico basado en el tipo de política
7 Orden alfanumérico basado en el nombre de la política
Si el Policy Manager no puede fijar la precedencia cuando compara las reglas de tráfico, examina las accio-
nes de firewall.
Comparando cronogramas
El Policy Manager compara los cronogramas de dos políticas para fijar la precedencia. Ésta se fija desde la
más alta hacia la más baja:
1 Siempre deshabilitada
2 A veces habilitada
3 Siempre habilitada
Si el Policy Manager no puede fijar las precedencias cuando compara los cronogramas, analiza los nombres
de políticas.
Los filtros de proxy cumplen más funciones que los filtros de paquetes. Una proxy examina los contenidos
de un paquete y no únicamente su encabezado. Por esto, la proxy es capaz de encontrar contenidos prohibi-
dos, escondidos o embebidos en una transferencia de datos. Por ejemplo, una proxy SMTP examinará todos
los paquetes SMTP que lleguen por e-mail al sistema, para buscar contenidos prohibidos como, un progra-
ma ejecutable o un archivo con scripts. Los atacantes usan frecuentemente este tipo de métodos para
enviar virus. Una proxy SMTP “sabe” que dichos contenidos no están permitidos, mientras que un filtro de
paquetes no es capaz de detectar contenido no autorizado durante la transferencia de datos.
Las proxies de WatchGuard® también detectan anomalías en los protocolos de las aplicaciones y detienen
paquetes que no están correctamente configurados. Si un paquete SMTP no está bien “armado” o contiene
algo no esperado, no podrá atravesar su Firebox®.
Las políticas de proxy operan en los niveles de las aplicaciones, redes y de protocolos de transporte. En cam-
bio, las políticas de paquetes de filtro operan sólo sobre la red y sobre los protocolos de transporte. En otras
palabras, una proxy “toma” cada paquete, remueve la capa de red y examina su contenido. Luego, le devuel-
ve esa información y lo despacha a su destino final, dentro de una red segura y hacia otras redes opcionales.
Esto, para un volumen dado de tráfico de red, agrega más trabajo al Firewall. Pero la proxy utiliza métodos
de seguridad a los que un filtro de paquetes no puede recurrir para capturar paquetes peligrosos.
Definiendo Reglas
Un conjunto de reglas es un grupo de reglas basado en una característica de la proxy. Cuando se configura
una proxy, se pueden definir diversos conjuntos de reglas para esa proxy en la opción Categories. Los con-
juntos de reglas cambian cuando usted cambia la acción de una proxy desde la ficha Properties, en la ven-
tana de configuración de proxies.
Una proxy puede tener más de una acción de proxy asociada. Por ejemplo podrá usar un grupo de reglas
para los paquetes enviados a un servidor de correo protegido por el Firebox pero, además, podrá definir un
grupo de reglas diferentes para ser aplicadas a los mensajes de e-mail enviados a Internet a través del fire-
wall. También podrá usar las acciones de una proxy ya existente o clonar una acción de proxy actual y cam-
biarla para generar una nueva acción de proxy.
Una regla incluye diversos tipos de contenidos, patrones o expresiones y también la acción que el Firebox
realizará al constatar que el contenido de un paquete coincide con alguna de las reglas. Éstas además con-
tienen configuraciones relacionadas con el momento en que el Firebox envía alarmas o incluye eventos en
su archivo de Logs (registros).
Para la mayor parte de las características de una Proxy, el Firebox ya tiene un conjunto de reglas preinstala-
das. Pero usted podrá editar esas reglas de un conjunto y cambiar las acciones. También podrá agregar sus
propias reglas.
Los campos usados para las definiciones de reglas parecen similares para cada categoría de “conjuntos de
reglas”. Abajo se ve una “vista simple”. También puede seleccionar Change View para tener una “vista avan-
zada”.
Use la vista avanzada para mejorar la función de coincidencias de una proxy. Desde la vista avanzada
podrá configurar coincidencias exactas y expresiones regulares compatibles con Perl. En la vista simple
podrá configurar comodines de patrones que coincidan con expresiones regulares simples.
Drop
Deniega el pedido y además corta la conexión.
Block
Deniega el pedido, corta la conexión y agrega el host de la fuente al listado de sitios bloqueados.
Para más información sobre esto, vea el capítulo “Configuración de Sitios Bloqueados”, en el capítulo
correspondiente.
Strip
Remueve el adjunto de un paquete y lo descarta. Las otras partes del paquete son enviadas a través del
Firebox hacia su destino.
Lock
Traba un adjunto y lo modifica de manera tal que el usuario no podrá abrirlo. Solo el Administrador
podrá destrabar el archivo.
3 Una alarma es un mecanismo que le advierte al usuario cuando una regla de proxy se aplica al tráfico de
red. Elija la opción Alarm para configurar una alarma para este evento. Para fijar las opciones de alarma,
seleccione Proxy Alarm desde la lista Categories, en el lado izquierdo de la ventana de configuración del
proxy. Usted podrá enviar una trampa SNMP, un e-mail o hacer que aparezca una ventana emergente.
4 Elija la opción Log para que se inscriba un evento en el archivo de registro de eventos.
2 Seleccione una y muévala hacia arriba o abajo en la lista. Haga click en los botones de Up o Down para
mover la regla.
Repeat Count
Este valor registra cuán frecuentemente ocurre un evento. Cuando se alcanza un valor especificado, se
inicia un notificador especial de repeticiones. Éste genera un mensaje de repeticiones de log sobre esa
notificación específica. La notificación comienza nuevamente luego de este número de eventos.
A continuación, un ejemplo de cómo utilizar estos valores:
• Intervalo de lanzamiento = 5 minutos
• Cuenta de repeticiones = 4
Supongamos que a las 10:00 AM comienza a registrarse un intento externo de testeo de puertos, que se
repite cada minuto. Esto disparará los mecanismos de log y notificación. Aquí mostramos los tiempos y las
acciones que ocurrirán:
1 10:00 Se registra el intento de sondeo del espacio de puertos. (primer evento).
2 10:01 Se lanza la primera notificación (un evento)
3 10:06 Comienza la segunda notificación (informa de 5 eventos).
4 10:11 Comienza la tercera notificación (reporta 5 eventos)
5 10:16 Comienza la cuarta notificación (reporta 5 eventos).
Los intervalos de lanzamiento controlan los intervalos de tiempo entre los eventos 1, 2, 3, 4 y 5. Esto fue con-
figurado con un valor de 5 minutos. Multiplique la cuenta de repeticiones por el intervalo de lanzamiento y
tendrá el intervalo de tiempo por el cual deberá seguir un evento para disparar el notificador de repeticio-
nes.
algoritmos estándares (en base 64 o quote-printable encoding) para permitir que sean enviados a
través de sistemas de correo de 7 bits. La codificación puede incrementar la longitud de un archivo
en hasta un tercio. Así, para permitir mensajes de hasta 1000 bytes, deberá fijar el valor de este
campo en 1334 bytes, para asegurarse que dicho mail realmente pueda atravesar el firewall. El valor
de fábrica es de 3.000.000 bytes (tres millones de bytes).
Maximum e-mail line length
Tildando el valor Maximum e-mail line length, podrá fijar la longitud máxima de las líneas de un
mensaje SMTP. Líneas muy largas pueden generar un “buffer overflow” en algunos sistemas de
correo. La mayor parte de los clientes de correo y los sistemas envían líneas cortas, pero algunos sis-
temas de correo basados en web generan líneas muy largas. El valor por defecto es 1024.
der el SMTP para disponer de una mayor funcionalidad. El ESMTP ofrece un método para extender funcio-
nalmente el SMTP, y para que los clientes que soportan se reconozcan entre si.
1 Desde la sección Categories, seleccione ESMTP Settings.
Allow BDAT/CHUNKING
Selecciónelo para permitir BDAT/CHUNKING. Esto permite que los mensajes largos sean enviados más
fácilmente a través de una conexión SMTP.
Allow ETRN (Remote Message Queue Starting)
Ésta es una extensión del SMTP que permite que un cliente SMTP y un servidor interactúen para
comenzar a intercambiar colas de mensajes para un host dado.
Allow 8-bit MIME
Selecciónelo para permitir 8-bit MIME, si el cliente y el host soportan esta extensión. La extensión 8-bit
MIME le permite a un cliente y a un host intercambiar mensajes de texto hechos con octetos que no
pertenecen al rango US-ASCII (Hex 00-7f, ó 7-bit ASCII) y que usan SMTP.
Allow Binary MIME
Selecciónelo para permitir extensiones Binary MIME, si quien envía y quien recibe lo aceptan. El MIME
binario previene el incremento de codificados base 64 y la codificación “quoted-printable” de objetos
binarios enviados que usan el formato de mensajes MIME con el SMTP. No recomendamos que selec-
cione esta opción ya que puede ser un riesgo de seguridad.
Configurando spamBlocker
El correo electrónico no solicitado, también conocido como “spam”, suele llegar a las casillas en cantidades
sorprendentes. Un alto volumen de spam disminuye el ancho de banda disponible, afecta la productividad
de los empleados y desperdicia recursos de red. La opción WatchGuard® spamBlocker™ aumenta sus posibi-
lidades de frenar el spam antes de que éste penetre en su red.
Aunque es posible usar las pantallas de definiciones de proxy para activar y configurar el spamBlocker, es
más simple usar el menú Tasks desde el Policy Manager para hacerlo. Para más información sobre cómo
hacerlo o sobre cómo usar las pantallas spamBlocker en las definiciones de proxy, vea el capítulo “Usando
spamBlocker”.
2 Para más información sobre los campos de Proxy/AV alarm Configuration vea “Usando caja de diálo-
go para alarmas, mensajes de log y notificaciones”.
File Transfer Protocol, o Protocolo de Transferencia de Archivos (FTP), es el protocolo que se utiliza para
mover archivos en la Internet. Como SMTP y HTTP, el FTP recurre a los protocolos TCP/IP para permitir la
transferencia de datos. Usualmente se utiliza FTP tanto para descargar archivos como para subirlos a un
servidor en la red.
1 Agregue la proxy FTP al Policy Manager. Para aprender cómo agregar políticas en el Policy Manager
vea “Agregando Políticas”, en la página correspondiente.
2 Haga doble click en el ícono FTP y luego seleccione la pestaña Policy.
3 Seleccione Allowed desde el menú desplegable FTP proxy connections are.
4 Seleccione la pestaña Properties.
5 En el menú desplegable Proxy, elija configurar las acciones de proxy para los clientes y servidores
FTP.
6 Haga click en el ícono View/Edit Proxy.
2 Para fijar límites a los parámetros FTP, tilde las opciones aplicables. Estos parámetros ayudan a proteger
su red de ataques de buffer overflow. Si usted fija una opción en 0 bytes, el Firebox no usará ese pará-
metro. Utilice las flechas para fijar los límites:
Maximum user name length
Fija la longitud maxima para nombre de usuarios en sitios FTP.
Maximum password length
Fija la longitud máxima posible de una clave usada para loguearse al sitio FTP.
La proxy HTTP es un filtro de contenido de alta performance. Examina el tráfico web buscando identificar
contenido sospechoso que puede ser un virus, un spyware u otro tipo de intrusión. También puede prote-
ger su servidor web de ataques de una red externa. Podrá configurar la proxy HTTP de la siguiente mane-
ra:
• Permitir sólo contenido que coincida con los requerimientos RFC de clientes y servidor web.
• Seleccionar qué tipos de contenidos MIME el Firebox permitirá entrar a su red.
• Bloquear código Java, ActiveX y similares.
• Examinar el encabezado del HTTP para comprobar que no provenga de una fuente sospechosa.
1 Agregue la proxy HTTP al Policy Manager. Para aprender cómo hacerlo, vea “Agregando Políticas”.
2 Seleccione la pestaña Properties.
3 En el menú desplegable Proxy, elija configurar las acciones HTTP-Client o HTTP-Server. Use la
acción HTTP-Server (o una acción de proxy entrante que usted haya creado basándose en la HTTP-
Server) para proteger un servidor web. Use HTTP-Client o una acción de proxy saliente para filtrar soli-
citudes HTTP de usuarios ubicados detrás del Firebox.
4 Haga click en el ícono View/Edit Proxy.
También puede clonar una acción de proxy para crear una nueva acción de proxy.
Ver Identación
Controla cuánto tiempo debe esperar la proxy para que el cliente web haga una solicitud de algo
desde un servidor externo, luego de que éste inicie una conexión TCP/IP, o luego de un requerimiento
anterior, si es que lo hubo, para esa misma conexión. Si se supera el valor fijado, la proxy HTTP cierra la
conexión. El valor establecido de fábrica es de 600 segundos.
URL Length
Fija la longitud máxima del camino de la URL. Esto no incluirá el “http://” o el nombre del host. El con-
trol de longitud máxima de la URL puede ayudar a prevenir ataques de buffer overflow.
Range Request
Los requerimientos de rango permiten que un cliente requiera subgrupos de los bytes de un recurso
web en lugar del contenido completo. Por ejemplo, esto es útil cuando usted desea sólo algunas par-
tes de un gran archivo de Adobe. Podrá seleccionar un rango de requerimientos para prevenir la des-
carga de páginas innecesarias. Pero si usted permite requerimientos de rango a través del Firebox y
descarga un archivo infectado por un virus cuya “firma” esté dividida entre dos páginas, el software
antivirus no podrá detectarlo. Permitir requerimientos de rango puede hacer que las descargas ocu-
rran de modo más rápido, pero no más seguro.
HTML o Flash. Es usual que una PC cliente solicite más de un GET para cada página, ya que las páginas web
contienen muchos elementos distintos. Estos elementos se colocan juntos para hacer que una página se
forme como tal en la pantalla del usuario final.
Los navegadores usualmente recurren a operaciones POST para enviar datos a un sitio web. Muchas pági-
nas necesitan información del usuario final como domicilios, direcciones de correo y nombres. Si deshabili-
ta el comando POST, el Firebox denegará todas las operaciones POST realizadas hacia un servidor web
externo a su red. Esta opción puede prevenir que sus usuarios envíen información a una web ubicado en
la red externa.
La proxy HTTP soporta métodos de requerimiento tales como HEAD, GET, POST, OPTIONS, PUT y DELETE. Si
configura una regla para permitir otros métodos de requerimiento obtendrá un mensaje de error con el
texto “Method unsupported”.
1 Desde la sección Categories, seleccione Request Methods.
2 Siga los pasos usuales para crear reglas. Para más información vea la sección “Definiendo reglas”.
Nota
Usualmente, si filtra URLs con el conjunto de reglas de requerimientos para direcciones URL, deberá
configurar un patrón complejo que utilice expresiones regulares completas de sintaxis y la vista avan-
zada del conjunto de reglas. Es más simple y da mejores resultados usar filtros basados en el encabeza-
miento o en el tipo de contenido, en lugar de filtrar por caminos de URL.
información sobre los usuarios y, finalmente, otros sitios recurren a ellos para tareas de autenticación y
otras funciones similares legítimas y no logran operar correctamente sin su presencia.
Este conjunto de reglas le da a usted el control de las cookies en las respuestas de HTTP. Podrá configurar
reglas para extraer las cookies basándose en sus requerimientos de red. La regla por defecto para las
acciones HTTP-Server y HTTP-Client es permitir todas las cookies.
El conjunto de reglas Cookies busca paquetes basados en un dominio asociado con la cookie. El dominio
puede ser el especificado en la cookie. Si no hay un dominio en la misma, la proxy usa el nombre del host
del primer requerimiento. Así, para bloquear todas las cookies de un sitio como nosy-adware-site-com,
agregue una regla como la siguiente:“*.nosy-adware-site.com”.
1 Desde la sección Categories, en el lado izquierdo, seleccione Cookies.
2 Siga los pasos para crear reglas. Para más información, vea la sección “Definiendo reglas”.
2 Escriba el mensaje de denegación en la caja de diálogo. Puede usar las siguientes variables:
%(transaction)%
Coloca “Request” o “Response” para mostrar qué lado de la transacción causó que el paquete fuera
denegado.
%(reason)%
Explica la razón por la cual el Firebox deniega contenidos.
%(method)%
Coloca el método requerido de la respuesta denegada.
%(url-host)%
Coloca el nombre del Servidor de la URL denegada. Si no hay nombre, se ofrecen las direcciones IP.
%(url-path)%
Incluye el camino que compone la URL denegada.
Por medio del Domain Name System o DNS (Sistema de nombres de Dominios), usted podrá acceder a una
dirección web con un nombre fácil de recordar, del estilo “.com”. Los DNS encuentran el nombre de dominio
(por ejemplo WatchGuard.com) y lo transforman en direcciones IP. Las proxy DNS protegen a sus servidores
DNS de ataques del tipo TSIG, NXT y otros similares. Para agregar la proxy DNS a la configuración de su
Firebox:
1 Agregue la proxy DNS al Policy Manager. Para saber cómo agregar políticas en el Policy Manager, vea el
apartado “Agregando Políticas”.
2 Haga doble click en el ícono DNS y luego seleccione la pestaña Policy.
3 Seleccione Allowed desde el menú desplegable DNS proxy connections are.
4 Seleccione la pestaña Properties.
5 En el menú desplegable de la Proxy elija configurar la acción proxy DNS entrante y saliente.
6 Haga click en el ícono View/Edit Proxy
También puede clonar una acción proxy existente y asi crear una nueva.
Nota
Si usted usa Active Directory, y su configuración de Active Directory requiere actualizaciones dinámi-
cas, deberá permitir DNS OPcodes en las acciones de sus reglas proxy de DNS entrante. Esto es un ries-
go a la seguridad, pero puede ser imprescindible para que el directorio activo opere en forma correcta.
2 Para habilitar una regla, seleccione la caja de verificación Enabled adyacente a la acción y el nombre de
la regla.
2 Para agregar más nombres, siga los pasos usuales para crear reglas. Para más información, vea
“Definiendo Reglas”.
Transmission Control Protocol (TCP) es el protocolo primario de las redes TCP/IP. El protocolo IP controla
los paquetes mientras que el TCP habilita al host a comenzar las conexiones y a enviar y recibir datos. Una
proxy TCP monitorea la negociación TCP para controlar si la sesión es legítima.
Los informes históricos (Historical Reports) son una herramienta que crea sumarios e informes a partir de los
archivos de registros (logs) del dispositivo Firebox. El responsable de la red podrá utilizar dichos informes
para aprender y para hacer más eficiente el uso de Internet en la organización. También podrá medir el
recurso “ancho de banda” y constatar qué usuarios y cuáles aplicaciones demandan más recursos de red. Los
informes históricos se generan utilizando la información almacenada en el archivo de registros grabados en
el “Servidor de registros” (Log Server) de WatchGuard®.
Con las características avanzadas de la herramienta “Informes Históricos” es posible:
• Fijar un período de tiempo específico para generar un informe.
• Personalizar los informes usando filtros de datos.
• Consolidar diversos archivos de registros y crear un único informe sobre un grupo de Fireboxes.
• Mostrar los datos del informe en diferentes formatos.
Borrando un informe
Podrá borrar un informe de la lista de informes disponibles.
Desde Historical Reports, seleccione el informe que desea anular. Haga click en Remove. Esto eliminará el
archivo <nombre_informe>.rep del directorio report-defs.
Podrá usar la caja de diálogo Report Properties para configurar muchas características de los informes. Para
acceder a esta caja de diálogo puede:
• Seleccionar un informe entre los Informes Históricos y hacer click en Edit.
o
• En Historical Reports, haga click en Add.
Si seleccionó Specify Time Filters, haga click en Start y en End, en el menú desplegable y elija un
tiempo de inicio y de finalización. Haga click en OK.
4 (Opcional). Para incluir los nombres DNS de las direcciones IP seleccionadas, tilde la opción DNS
Resolution on IP Addresses.
Se incluirá esta información sólo para las direcciones IP para las cuales la información DNS pueda ser resuelta por el
Firebox.
Exportando Informes
Podrá exportar un informe en dos formatos: HTML y NetIQ. Los mismos se encuentran en
MyDocuments\MyWatchGuard\Shared WatchGuard\reports\<archivo exportado>. En el directorio reports,
se ubicarán los subdirectorios con el nombre y la fecha de cada informe.
Nota
El sistema de registros de la proxy HTTP de WatchGuard debe estar habilitado para poder proporcio-
nar al NetIQ la información necesaria.
Un informe incluye datos completos de los archivos de registro, a menos que el usuario recurra a filtros
específicos. Podrá usar un filtro de informes para mostrar solamente datos sobre uno o más servicios, o
sobre uno o varios usuarios, o sobre uno o varios hosts. El filtro puede tener dos formas:
Include
Sirve para hacer un informe que incluya registros especificados en las propiedades oportunamente
fijadas desde la pestaña User Report Filters o en Host o en Service.
Exclude
Sirve para generar informes que no incluyan registros especificados en las propiedades oportuna-
mente fijadas desde las pestaña User Report Filters o en Host o en Service.
Podrá establecer un filtro que Incluya o Excluya datos en un informe, con estas tres propiedades:
Host
La direcciones IP del Host.
Port
El nombre del servicio o el número de puerto.
User
El nombre del usuario autenticado.
Generando Informes
Podrá crear uno o más informes por medio de Historical Reports (Informes Históricos).
1 Desde Historical Reports tilde las opciones que desea para cada informe.
2 Haga click en Run.
Nota
Si no está tildada la opción Send a log message with summary information for each transaction
en la proxy HTTP, no verá información detallada sobre las conexiones de proxy HTTP en sus informes.
Secciones de informes
Hay dos tipos básicos de secciones de informes:
• Summary (Resumen) – Las secciones en las que se ordenan datos por conexiones o por ancho de
banda.
• Detailed (Detallada) – Las secciones que muestran todo el tráfico o los eventos, sin sumarios gráficos
ni rangos.
Abajo mostramos una lista de los posibles tipos diferentes de secciones de un informe y también las seccio-
nes consolidadas:
Firebox Statistics
Un resumen de estadísticas de uno o más archivos de registros de un Firebox.
Authentication Detail
Una lista de usuarios autenticados por secuencia temporal de conexiones. Las cajas de texto son:
- Usuarios autenticados
- Host
FTP Detail
Tablas para el entrante y saliente de FTP, en orden temporal. Los campos son Fecha, Hora, Cliente,
Servidor, solicitud de FTP y ancho de banda.
Denied Outgoing Packet Detail
Una lista de los paquetes salientes denegados, en orden temporal. Los campos son Fecha, Hora, Tipo,
Cliente, Puerto del Cliente, Servidor, Puerto del Servidor, Protocolo y Duración.
Denied Incoming Packet Detail
Una lista de los paquetes entrantes denegados, en orden temporal. Los campos son Fecha, Hora, Tipo,
Cliente, Puerto del cliente, Servidor, Puerto del Servidor, Protocolo y Duración.
Denied Packet Summary
En esta sección hay diversas tablas. Cada una muestra los datos del host que denegó paquetes. Los
datos tienen la hora de su primer y último intento, el tipo, el servidor, el puerto, el protocolo y el núme-
ro de intentos. Si hay un único intento, este último campo no contendrá datos.
Denied Service Detail
Una lista de eventos en los cuales al usuario se le ha denegado el uso de un servicio. Esta lista incluye
peticiones entrantes y salientes.
WebBlocker Detail
Una lista de las URLs denegadas por el WebBlocker, en orden temporal. Los campos son Fecha, Hora,
Usuario, Sitio Web, Tipo y Categoría.
Denied Authentication Detail
Una lista de las autenticaciones denegadas, en orden temporal. Los campos son Fecha, Hora, Host y
Usuario.
IPS Blocked Sites
Una lista de los sitios bloqueados por el IPS.
Alarms
Disponible sólo para usuarios de Fireware, este informe muestra todas las alarmas de los dispositivos y
el problema descubierto con cada una de ellas.
AV Summary
Un resumen del Gateway Antivirus relacionadas con las acciones de correo. Los campos incluyen
Remitente, detalles del virus, si éste fue limpiado y el tamaño del adjunto del correo. Esta sección sólo
está disponible para los usuarios de Fireware que además estén suscriptos al servicio Antivirus.
AV Detail
Una lista de orígenes, remitentes y detalles de virus relacionados con las acciones del Gateway
Antivirus para correo electrónico. Esta sección sólo estará disponible para los usuarios de Fireware que
estén suscriptos al servicio Antivirus.
IPS Summary
Un resumen de las acciones tomadas por el sistema de prevención de intrusiones IPS, que muestra el
porcentaje de tipo de tráfico, la dirección IP de origen y las categorías de firmas. Esta sección sólo esta-
rá disponible para usuarios de Fireware que estén suscriptos al servicio IPS.
IPS Detail
Una lista de todas las acciones tomadas por el IPS, incluyendo origen, protocolos y detalles de las fir-
mas. Esta sección sólo estará disponible para los usuarios de Fireware que estén suscriptos al servicio
IPS.
Secciones consolidadas
Network Statistics
Un resumen de las estadísticas de uno o más archivos de log, para todos los Fireboxes que están
siendo monitoreados.
Time Summary – Packet Filtered
Una tabla y una gráfico opcional de todas las conexiones aceptadas, divididas por intervalos de
tiempos definidos por el usuario y por orden temporal. El intervalo temporal por defecto es un día,
pero usted puede seleccionar otro.
Host Summary – Packet Filtered
Una tabla y un gráfico opcional de los hosts internos y externos que enviaron tráfico de paquetes fil-
trado a través del Firebox. Los hosts se muestran ordenados por volumen de bytes o por número de
conexiones.
Service Summary
Una tabla y un gráfico opcional del total de tráfico de todos los servicios, ordenado de acuerdo a la
cantidad de conexiones.
Session Summary – Packet Filtered
Una tabla y un gráfico opcional de las sesiones más frecuentes entrantes y salientes. Las sesiones se
muestran ordenadas por volumen de bytes o por número de conexiones. El formato de la sesión es:
cliente -> servidor : Servicio. Historical Reports intenta buscar el puerto del servidor en una tabla
para mostrar el nombre del servicio. Si no lo encuentra, exhibirá el número de puerto.
Time Summary – Proxied Traffic
Una tabla y un gráfico opcional de todas las conexiones aceptadas, divididas por un intervalo tem-
poral definido por el usuario y ordenadas por orden temporal. El intervalo por defecto es un día,
pero usted puede elegir otro diferente.
Host Summary – Proxied Traffic
Una tabla y un gráfico opcional de los hosts internos y externos que envían tráfico con una proxy, a
través del Firebox. Los hosts se muestran en orden según el volumen de bytes o por número de
conexiones.
Proxy Summary
Las proxies ordenadas por ancho de banda o por conexiones.
Session Summary – Proxied Traffic
Una tabla y un gráfico opcional de las más frecuentes sesiones entrantes y salientes. Las sesiones se
muestran ordenadas por volumen de bytes o por número de conexiones. El formato de la sesión es:
cliente -> servidor: Servicio. El servicio se muestra en letras mayúsculas.
HTTP Summary
Tablas y un gráfico opcional, de los dominios externos y hosts más frecuentes a los que los usuarios
se conectan a través de la HTTP proxy. Los dominios y los hosts se muestran ordenados por cantidad
de bytes o por número de conexiones.
El WatchGuard® Management Server administra los túneles VPN de una empresa distribuida, desde una
interfaz de administración fácil de usar. El Management Server también le permitirá administrar centraliza-
damente múltiples dispositivos Firebox® X Edge. Luego de haber completado los procedimientos de confi-
guración descriptos en este capítulo, usted puede usar el WatchGuard® Management Server para configurar
y administrar un dispositivo Firebox conectado al Management Server. Puede abrir las herramientas correc-
tas desde la página de dispositivo del Management Server para administrar equipos Firebox X Core, Firebox
X Peak, Firebox III, Firebox X Edge y SOHO 6. Para más información, vea el capítulo subsiguiente.
Usted puede usar el WatchGuard® Management Server para configurar y administrar múltiples dispositivos
Firebox X Edge. Para más información, vea el capítulo “Administrando Firebox X Edge y Firebox SOHO”.
Usted puede instalar el Management Server en su estación de administración durante la instalación. O bien
puede usar el mismo procedimiento de instalación para instalar el Management Server en una computado-
ra diferente que use sistema operativo Windows. Recomendamos instalar el software del Management
Server en una computadora con una dirección IP estática, que esté detrás de un Firebox con una dirección
IP estática externa. De otro modo, el Management Server podría no operar correctamente.
El WatchGuard® Management Server utiliza una cantidad de contraseñas para proteger información sensi-
ble en su disco rígido y para asegurar los datos con sistemas clientes. Luego de instalar el software
WatchGuard Management Server, debe usar el Asistente de Configuración para configurar el Management
Server. Este Asistente le pedirá estas passphrases:
• Clave maestra de encripción
• Passphrase del Management Server
La passphrase del Management Server y otras passphrases creadas automáticamente se guardan en un
archivo de passphrases.
del Management Server. Esto previene que una persona con acceso al disco rígido o sus contenidos archi-
vados pueda obtener las passphrases y usarlas para acceder a otros datos sensibles del disco rígido.
Seleccione y asegure cuidadosamente la clave maestra de encripción. Asegúrese de que la clave maestra
de encripción y la passphrase del Management Server no sean la misma.
Usted tendrá que usar la clave maestra de encripción cuando:
• Migre los datos del Management Server hacia un nuevo sistema
• Restaure un archivo de clave maestra perdido o corrupto
• Cambie la clave maestra de encripción
La clave maestra de encripción no se usa frecuentemente. Le recomendamos escribirla y guardarla en una
ubicación segura.
El Asistente Management Server Setup crea un nuevo Management Server en su estación de trabajo. Si
usted usó versiones previas de WatchGuard® System Manager y VPN Manager, también puede usar el
Asistente para migrar un servidor DVCP instalado en el Firebox® hacia un nuevo Management Server en una
estación de trabajo. Para sacar un Management Server de un Firebox, vea la Guía de Migración de WFS hacia
Fireware.
Recomendamos que instale el software del Management Server en una computadora con una dirección IP
dinámica que esté detrás de un Firebox con una dirección IP estática externa. De lo contrario, el
Management Server podría no operar correctamente.
Este procedimiento muestra los pasos que debe seguir para configurar exitosamente un nuevo
Management Server. Utilice este procedimiento si no tiene en este momento un Management Server.
1 Haga click derecho en el ícono del Management Server en la barra de herramientas de WatchGuard ubi-
cada en la barra de tareas de Windows.
Usted no verá este ícono si no tiene instalado el Management Server.
9 Aparecerá una pantalla informativa que muestra la información sobre sus servidores.
Haga click en Next.
El Asistente configurará el servidor.
10 Haga click en Finish.
Nota
Cuando una interfaz cuya dirección IP esté sujeta al Management Server se desconecte y luego se rei-
nicie, recomendamos reiniciar también el Management Server.
Para eliminar una licencia de Management Server, haga click en la pestaña Management. Seleccione la
licencia a eliminar, y haga click en Remove.
Haga click en OK cuando complete la configuración.
Para más información sobre las claves de licencia del Management Server, vea este FAQ avanzado:
https://www.watchguard.com/support/AdvancedFaqs/wsm8_srvrkey.asp
3 En la caja de texto Common Name, escriba el nombre que quiere que aparezca en el certificado de la
CA.
4 En la caja de texto Organization, escriba un nombre de organización para el certificado de la CA.
5 En la caja de texto Certificate Lifetime, escriba la cantidad de días luego de la cual el certificado de la
CA expirará.
Un período más largo de duración de un certificado puede dar a un atacante más tiempo para atacar.
6 Desde la lista desplegable Key Bits, seleccione cuán fuertemente se aplicará el certificado.
Cuanto más alto sea el número establecido en la configuración Key Bits, más fuerte será la criptografía que proteja la
clave.
7 Haga click en OK cuando complete la configuración.
3 En la caja de texto Certificate Lifetime, escriba la cantidad de días luego de la cual el certificado del
cliente expirará.
Un período más largo de duración de un certificado puede dar a un atacante más tiempo para atacar.
4 Desde la lista desplegable Key Bits, seleccione cuán fuertemente se aplicará el certificado.
Cuando más alto sea el número establecido en la configuración Key Bits, más fuerte será la criptografía que proteja la
clave.
5 Haga click en OK cuando complete la configuración.
El Management Server contiene la información de configuración para todos los Firebox® X Edge y túneles
VPN administrados. Es una buena idea crear archivos de respaldo regulares y frecuentes del Management
Server y mantenerlos en un lugar seguro. Usted puede usar este archivo de respaldo para recuperar el
Management Server en caso de falla del hardware. También puede usar este archivo de respaldo si desea
trasladar el Management Server hacia una nueva computadora. Para usar el archivo de respaldo una vez
que ha sido creado, debe conocer la clave maestra de encripción. La clave maestra de encripción es esta-
blecida cuando usted configura por primera vez el Management Server.
1 Desde la barra de tareas de Windows, haga click derecho en el ícono Management Server y seleccione
Stop Service.
2 Desde la barra de tareas de Windows, haga click derecho en el ícono Management Server y seleccione
Backup/Restore.
Dará comienzo el Asistente Management Server Backup/Restore. Use las instrucciones en pantalla para crear un archivo de
respaldo o restaurar una configuración de Management desde un archivo de respaldo.
3 Cuando el procedimiento esté completo, haga click derecho en el ícono Management Server de la barra
de tareas de su Windows y seleccione Start Service.
Para transferir el Management Server hacia una nueva computadora, usted debe conocer la clave maestra
de encripción. También debe asegurarse de dar al nuevo Management Server la misma dirección IP que
tenía el anterior.
1 Use el Asistente Management Server Backup/Restore para:
- Crear un archivo de respaldo de su configuración actual del Management Server.
- Instalar el software del Management Server sobre un nuevo Management Server.
- Usar el archivo de instalación del WatchGuard® System Manager e instalar el software del
Management Server.
2 Ejecute el Asistente Restore y seleccione el archivo respaldado.
3 Desde la barra de tareas de Windows, haga click derecho sobre el ícono del Management Server y
seleccione Start Service.
Luego de haber configurado el Management Server, usted puede usarlo para administrar túneles VPN y múl-
tiples dispositivos Firebox®.
También puede utilizar el Management Server para administrar y configurar dispositivos Firebox X Edge.
Para más información, vea el capítulo “Administrando Firebox X Edge y Firebox SOHO”.
2 Desde la lista desplegable del Management Server, seleccione un servidor por su nombre de host o
dirección IP.
También puede escribir la dirección IP o el nombre de host si es necesario.
Cuando escriba una dirección IP, escriba todos los números y los puntos. No use las teclas TAB o las flechas.
3 Escriba la passphrase para el Management Server.
4 Si es necesario, cambie el valor en el campo Timeout. Este valor establece el tiempo (en segundos) que
el Watchguard System Manager “escucha” si vienen datos desde el Management Server, antes de enviar
un mensaje de que no puede conectarse.
Si usted tiene una red o conexión a Internet lenta hacia el dispositivo, puede incrementar el valor de
time-out, o tiempo de espera. Si disminuye este valor, disminuirá el tiempo que deberá esperar la llega-
da de un mensaje de time-out cuando trate de conectarse con un Management Server que no esté
disponible.
5 Si usted está usando el servidor sólo para monitorear tráfico, seleccione la casilla de verificación
Monitoring Only. No seleccione esta casilla de verificación si debe configurar el servidor o sus disposi-
tivos administrados.
6 Haga click en OK.
El servidor aparecerá en la ventana del WatchGuard System Manager.
Nota
En algunas versiones previas de productos de seguridad WatchGuard, el WatchGuard System
Management Server se llamaba servidor DVCP.
Desconectándose de un servidor
Para desconectarse, haga click en el nombre del Management Server y seleccione File >
Disconnect. O bien seleccione el Management Server en la vista del árbol y luego haga click
en el ícono Disconnect que se muestra a la izquierda.
Nota
Si el Firebox que usted quiere administrar tiene una dirección IP estática sobre su interfaz externa, puede
detenerse aquí. Guarde la configuración para este Firebox. Ahora puede añadir el dispositivo a su confi-
guración del Management Server; el Management Server automáticamente se conectará a la dirección
IP estática y configurará al Firebox como Firebox cliente administrado.
Si el Firebox que usted quiere administrar tiene una dirección IP dinámica, vaya al paso 8.
9 Para configurar un Firebox como un dispositivo administrado, seleccione la caja de verificación Enable
this Firebox as a Managed Client.
10 En la caja Client Name, escriba el nombre que quiere darle al Firebox cuando lo añada a la configuración
del Management Server.
Este nombre es sensible a mayúsculas y minúsculas y debe coincidir con el nombre que usted use cuando añada el dispo-
sitivo a la configuración del Management Server.
11 Para permitir al cliente administrado enviar mensajes al Log Server, seleccione la casilla de verificación
Enable diagnostic logs (recomendamos usar esta opción sólo para localizar y solucionar problemas).
12 En la caja para la dirección IP del Management Server, escriba la dirección IP del Management Server si
éste tiene una dirección IP pública.
El Firebox que protege el Management Server automáticamente monitorea todos los puertos usados por el Management
Server y reenviará cualquier conexión sobre estos puertos hacia el Management Server configurado. El Firebox que prote-
ge al Management Server está configurado para hacer esto cuando usted corra el Asistente Management Server Setup.
Si usted no usa el Asistente Management Server Setup en el Management Server o si usted salteó el paso “Gateway
Firebox” en el Asistente, configure el gateway del Firebox para reenviar los puertos TCP 4110, 4112 y 4113 hacia la dirección
IP privada del Management Server.
13 En la caja Shared Secret, escriba un secreto compartido. Escríbalo de nuevo para confirmarlo.
El secreto compartido que escriba aquí debe coincidir con el que escriba cuando añada el Firebox a la configuración del
Management Server.
Configurando un Firebox III or Firebox X Core corriendo WFS como un Managed Client
1 Abra el Policy Manager para el Firebox que quiera habilitar como cliente administrado.
2 Haga doble click en el servicio WatchGuard para abrirlo para editarlo.
Aparecerá la caja de diálogo Edit Service Properties para la política WatchGuard.
3 En la pestaña Incoming, asegúrese de que las conexiones WatchGuard entrantes estén configuradas
como Enabled and Allowed.
4 Debajo de la caja de diálogo From, haga click en Add. Haga click en Add Other.
5 Asegúrese de que la lista desplegable Choose Type esté puesta en Host IP Address. En el campo
Value, escriba la dirección IP de la interfaz externa del gateway del Firebox que protege al
Management Server de la Internet.
Si usted no tiene un gateway en el Firebox que proteja al Management Server de la Internet, escriba la dirección IP está-
tica de su Management Server.
6 Haga click en OK. Haga click en OK nuevamente.
7 Asegúrese de que la caja de diálogo To incluya una entrada Firebox o bien Any.
Nota
Si el Firebox que usted quiere administrar tiene una dirección IP estática sobre su interfaz externa,
puede detenerse aquí. Guarde la configuración para este Firebox. Ahora puede añadir el dispositivo a
su configuración del Management Server, el Management Server automáticamente se conectará a la
dirección IP estática y configurará al Firebox como Firebox cliente administrado.
Si el Firebox que usted quiere administrar tiene una dirección IP dinámica, vaya al paso 8.
11 Para enviar mensajes de log al cliente administrado, seleccione la caja de verificación Enable debug
log messages for the DVCP Client (WatchGuard recomienda usar esta opción sólo para localizar y
solucionar problemas).
12 Haga click en Add para añadir el Management Server al cual se conecta el Firebox. En la caja de
dirección DVCP Server, escriba la dirección IP del Management Server si éste tiene una dirección IP
pública. O bien, escriba la dirección IP pública del Firebox que protege al Management Server. Escriba
el Shared Secret a utilizar en la conexión al Firebox. El secreto compartido que escriba aquí debe coin-
cidir con el que escribió cuando añadió este dispositivo a la configuración del Management Server.
Un Firebox puede ser cliente de sólo un Management Server.
El Firebox que protege el Management Server monitorea automáticamente todos los puertos usados por el Management
Server y reenviará cualquier conexión sobre estos puertos hacia el Management Server configurado. El Firebox que prote-
ge al Management Server está configurado para hacer esto cuando usted corra el Asistente Management Server Setup.
Si usted no usa el Asistente Management Server Setup en el Management Server o si usted salteó el paso “Gateway
Firebox” en el Asistente, configure el gateway del Firebox para reenviar los puertos TCP 4110, 4112 y 4113 hacia la dirección
IP privada del Management Server.
13 Haga click en OK.
Cuando guarde la configuración al Firebox, el Firebox quedará habilitado como cliente administrado. El Firebox que es
cliente administrado tratará de conectarse a la dirección IP del Management Server sobre el puerto TCP 4110. Las conexio-
nes de administración estarán permitidas desde el Management Server hacia este Firebox cliente administrado.
Nota
Si el Firebox X Edge que usted quiere administrar tiene una dirección IP estática sobre su interfaz
externa, puede detenerse aquí. Guarde la configuración para este Firebox. Ahora puede añadir el dispo-
sitivo a su configuración del Management Server. Cuando usted añada este Edge a la configuración del
Management Server, éste se conectará automáticamente a la dirección IP estática y configurará al Edge
como Firebox cliente administrado.
Si el Edge que usted quiere administrar tiene una dirección IP dinámica, vaya al paso 8.
8 En la caja de texto Management Server Address, escriba la dirección IP del Management Server si
éste tiene una dirección IP pública. Si el Management Server tiene una dirección IP privada, escriba la
dirección IP del Firebox que protege al Management Server.
El Firebox que protege al Management Server monitorea automáticamente todos los puertos usados por el
Management Server y reenviará cualquier conexión sobre esos puertos hacia el Management Server configurado. No es
necesaria ninguna configuración especial para que esto ocurra.
9 Escriba el Client Name (nombre de cliente) que dará a su Edge para identificarlo en la configuración
del Management Server.
Este nombre es sensible a mayúsculas y minúsculas y debe coincidir con el nombre que usted usó para el Edge cuando
lo añadió a la configuración del Management Server.
10 Escriba la Shared Key, o clave compartida.
La clave compartida se usa para encriptar la conexión entre el Management Server y el Firebox X Edge. Esta clave com-
partida debe ser la misma sobre el Edge y sobre el Management Server. La clave compartida debe proveérsela la persona
que administra el Management Server.
11 Haga click en Submit para guardar esta configuración en el Firebox X Edge.
Cuando usted guarde la configuración en el Edge, éste quedará habilitado como cliente administrado. El cliente Firebox
tratará de conectarse a la dirección IP del Management Server. Estarán permitidas las conexiones de administración
desde el Management Server hacia este cliente administrado Firebox.
4 En el panel de navegación izquierdo debajo de VPN, haga click en Managed VPN. Seleccione la casilla
de verificación Enable VPN Manager Access.
5 Escriba la passphrase de estado (status passphrase) para el VPN Manager Access. Escríbala de nuevo
para confirmarla.
6 Escriba la passphrase de configuración (configuration passphrase) para el VPN Manager Access. Escriba
la passphrase de configuración de nuevo para confirmarla.
Nota
Si el Firebox SOHO que usted quiere administrar tiene una dirección IP estática sobre su interfaz externa,
puede detenerse aquí. Haga click en Submit para guardar la configuración para este SOHO. Ahora puede
añadir el dispositivo a su configuración del Management Server. Cuando usted añada este SOHO a la
configuración del Management Server, éste automáticamente se conectará a la dirección IP estática y
configurará al SOHO como Firebox cliente administrado.
Si el SOHO que usted quiere administrar tiene una dirección IP dinámica, vaya al paso 8.
Se puede usar el Management Server para configurar y administrar túneles VPN entre equipos Firebox®,
incluyendo equipos Firebox III y Firebox X Core que usen la appliance de software WFS, equipos Firebox X
que usen la appliance de software Fireware®, equipos Firebox X Edge y equipos Firebox SOHO.
Un equipo con una dirección IP dinámica debe asimismo ser configurado como cliente administrado desde
el Policy Manager de dicho dispositivo. Ver las instrucciones en la sección anterior.
Si su equipo tiene múltiples interfaces externas, no modifique la configuración de la interfaz luego de añadir
el dispositivo al Management Server.
Nota
Con el Management Server también se pueden desplegar, administrar y monitorear dispositivos Firebox
X Edge. Vea el capítulo “Administrando Firebox X Edge y Firebox SOHO”.
10 En la caja de texto Hostname/IP Address, escriba la dirección IP estática o nombre de host del Firebox.
Para dispositivos que usen dirección IP dinámica, escriba el nombre de cliente del servicio Dynamic DNS.
Si el dispositivo tiene una dirección IP dinámica pero no usa el servicio Dynamic DNS, escriba un nombre único para el dis-
positivo. El nombre que escriba aquí deberá coincidir con el nombre que ingresó en el Policy Manager para dicho dispositi-
vo (si el dispositivo es un Firebox III, Firebox X Core o X Peak). Si el dispositivo es un Firebox X Edge o SOHO, este nombre
debe coincidir con el que le dio al dispositivo cuando lo habilitó como cliente administrado con el administrador de confi-
guración web.
11 Escriba la passphrase de estado (status passphrase). Esta es la passphrase (de sólo lectura) para el
Firebox que usted está añadiendo al Management Server.
12 Escriba la passphrase de configuración (configuration passphrase). Esta es la passphrase (de lectura y
escritura) para el Firebox que usted está añadiendo al Management Server.
13 Si el Firebox usa una dirección IP dinámica, escriba el secreto compartido. El secreto compartido que
usted escriba aquí debe coincidir con el que escribió en la configuración del dispositivo cuando lo habili-
tó como cliente administrado.
14 Haga click en Next.
Aparecerá la pantalla Configure WINS and DNS.
15 Escriba las direcciones primaria y secundaria para los servidores WINS y DNS que utilice este dispositivo,
si existen.
16 Escriba el nombre de dominio para este dispositivo, si existe. Haga click en Next.
Aparecerá la pantalla Provide Contact Information.
17 Puede seleccionar un registro de contactos existente para este dispositivo, o hacer click en Add para
añadir un nuevo registro de contactos para este dispositivo. Puede también borrar un registro de con-
tactos existente: selecciónelo y haga click en Delete.
18 Haga click en Next. Aparecerá la pantalla Configure the Device. Si el dispositivo ya está administrado
por otro servidor, o está configurado o administrado por este servidor, aparecerá una caja de diálogo
de advertencia. Haga click en Yes para continuar.
19 Haga click en Close para cerrar el Asistente Add Device.
Luego de añadir un Firebox con una dirección IP dinámica, hay que reiniciar dicho Firebox para que pueda conectarse al
Management Server y adquirir su configuración.
Nota
Si el tráfico es muy pesado, el Asistente Add Device no podrá conectarse, debido al SSL timeout.
Intente de nuevo cuando el sistema esté menos cargado.
Cuando se añade un Firebox® a un Management Server, se puede usar la información y los campos de la
pestaña Device Management para configurar los parámetros del dispositivo. Para más información sobre
cómo añadir un dispositivo al Management Server, vea “Agregando dispositivos al Management Server”.
Nota
La página de administración de un dispositivo Firebox X Edge le permite acceder a diferentes herramien-
tas y configurar más opciones. Para información sobre la administración de un Firebox X Edge, ver el
capítulo “Administrando Firebox X Edge y Firebox SOHO”.
Actualizando el dispositivo
1 Sobre la página de administración del Firebox, haga click en Update Device.
Aparecerá la caja de diálogo Update Device.
2 Use esta caja de diálogo para obtener las políticas del dispositivo, para establecer la configuración del
Management Server del dispositivo y para marcar la casilla “expire lease”.
3 Haga click en OK.
3 Use los botones apropiados para añadir, editar o eliminar recursos VPN.
4 Haga click en OK.
Aparecerá el nuevo recurso VPN en la lista.
Monitoreando VPNs
Las VPN configuradas manualmente se muestran en la pestaña Device Status de cada Firebox®. Las VPNs
administradas que se crean automáticamente en el Management Server aparecerán en la pestaña Device
Management.
Las políticas de VPN que usted cree manualmente con el Policy Manager no se muestran en la pestaña
Device Management.
Cuando uno crea un túnel VPN, puede elegir dos tipos de autenticación para dicho túnel: secretos comparti-
dos o certificados. Los secretos compartidos son un método de autenticación usado para establecer con-
fianza entre las computadoras de una VPN. Un secreto compartido se usa con una passphrase, o frase clave.
Los certificados usualmente dan más seguridad que los secretos compartidos durante el proceso de autenti-
cación.
Un certificado es un documento electrónico que contiene una clave pública. Una Autoridad de Certificación,
o Certificate Autority (CA) es un tercero confiable que otorga certificados a sus clientes. En el WatchGuard®
System Manager, la estación de trabajo configurada como Management Server también opera como CA. La
CA puede dar certificados a los Firebox® que son clientes administrados cuando contactan al Management
Server para recibir actualizaciones de configuración.
Las Autoridades de Certificación son un componente de un sistema de creación de claves, administración de
claves y certificación cuyo nombre es Infraestructura de Clave Pública, o Public Key Infrastructure (PKI). La
PKI provee servicios de directorio y certificado que pueden crear, proveer, conservar y, si es necesario, revo-
car los certificados.
La criptografía de clave pública es un componente central de una PKI. Este sistema criptográfico incluye dos
claves relacionadas matemáticamente, conocidas como un par asimétrico de claves. El usuario mantiene
secreta una clave, la clave privada. Y puede revelar la otra clave, conocida como clave pública, a otros usua-
rios.
Las claves en el par de claves van juntas. Sólo el dueño de la clave privada puede desencriptar datos encrip-
tados con la clave pública. Cualquier persona con la clave pública puede desencriptar datos encriptados con
la clave privada. Los certificados se usan para garantizar que las claves públicas sean válidas. Para asegurarse
de que un certificado sea legítimo, uno puede obtener la clave pública de la CA. Se puede computar la firma
digital del certificado y compararla con la firma digital en el certificado mismo. Si las firmas coinciden, la
clave es legítima.
Los certificados tienen un período de validez establecido cuando son creados. Pero ocasionalmente se los
revoca antes de la fecha y hora de expiración establecidas. La CA conserva una lista actualizada online de los
certificados revocados. Esta lista es la Lista de Revocación de Certificados, o Certificate Revocation List (CRL).
MUVPN y certificados
Como los clientes que son usuarios móviles de la VPN (MUVPN) no son clientes del Management Server,
ellos se autentican ante el Firebox. Use el Asistente MUVPN desde el Policy Manager para contactar la CA y
crear un certificado para el cliente MUVPN. El Policy Manager creará un paquete que incluye este certifica-
do y otros dos archivos.
El administrador del Firebox dará a cada usuario MUVPN el paquete de archivos. Estos archivos juntos
constituyen el perfil MUVPN del usuario final. Los usuarios que se autentiquen con claves compartidas
recibirán un archivo .wgx. Los usuarios que se autentiquen con certificados recibirán un archivo .wgx, más
un archivo .p12 (el cual es el certificado del cliente) y un archivo cacert.pem (que contiene el certificado
raíz).
El usuario MUVPN que se autentique con certificados abrirá entonces el archivo .wgx. Los certificados raíz
y de cliente contenidos en los archivos cacert.pem y .p12 serán cargados automáticamente.
Para más información sobre MUVPN, ver la Guía del Administrador MUVPN.
Nota
Escriba la unidad organizacional solamente si está haciendo certificados para usuarios MUVPN. No lo
haga para otro tipo de túneles VPN. El nombre de la unidad debe aparecer en este formato:
GW:<vpn nombre del gateway>
donde <vpn nombre del gateway> es el valor de config.watchguard.id en el archivo de configuración del
gateway del Firebox.
Internet es una red pública. Sobre este sistema de computadoras y redes, uno de los equipos puede obtener
información de los otros. Es posible que una persona lea paquetes de datos no seguros que usted envía
sobre Internet. Para enviar datos seguros entre oficinas, redes y usuarios, usted debe usar la seguridad más
poderosa.
Las redes privadas virtuales (VPNs, Virtual Private Networks) usan tecnología de encriptación para minimi-
zar los riesgos de seguridad y para asegurar la información privada sobre la Internet pública. Permiten que
los datos fluyan de manera segura a través de Internet entre dos redes. Los túneles VPN pueden asegurar
conexiones entre un host y una red. Las redes y los hosts en los endpoints de una VPN pueden ser las ofici-
nas centrales corporativas, las sucursales y usuarios remotos.
Los túneles VPN usan autenticación, que examina tanto al que envía como al que recibe. Si la información
de autenticación es correcta, los datos se desencriptan. Sólo el que envía el mensaje y el que lo recibe pue-
den leerlo con claridad.
Para más información sobre tecnología VPN, puede consultar en:
http://www.watchguard.com/support.
El sitio web de soporte de WatchGuard® contiene enlaces a documentación, FAQs básicos y avanzados y al
WatchGuard User Forum. Usted debe hacer un log in al sitio web de Soporte Técnico para utilizar algunas
de sus características.
Protocolos de Tunelamiento
Los túneles permiten a los usuarios enviar datos en paquetes seguros sobre una red no segura, en general,
Internet. Un túnel es un grupo de protocolos de seguridad, algoritmos de encriptación y reglas. El túnel
utiliza esta informacón para enviar tráfico seguro desde un endpoint al otro. Permite a los usuarios conec-
tarse a recursos y computadoras de otras redes.
Los protocolos de tunelamiento proveen la infraestructura y definen cómo se dará la transmisión de datos
sobre el túnel. Los dos protocolos de tunelamiento que soporta WatchGuard® System Manager son
Internet Protocol Security (IPSec) y Point-to-Point-Tunneling Protocol (PPTP). WatchGuard también soporta
SSL VPN con su línea de productos WatchGuard SSL VPN Firebox.
IPSec
Usted utilizará el protocolo IPSec para examinar paquetes IP y asegurarse de que están autenticados. IPSec
incluye características de seguridad como una autenticación muy poderosa, para proteger la privacidad de
la información que se transmite sobre Internet. IPSec es un estándar que trabaja con muchos sistemas de
diferentes fabricantes.
Incluye dos protoclos que protegen la integridad y la confidencialidad de los datos. El protocolo AH
(Authentication Header) es la solución para la integridad de los datos, mientras que el ESP (Encapsulated
Security Payload) provee tanto integridad como confidencialidad.
PPTP
Point to Point Tunneling Protocol (PPTP) es un estándar para seguridad VPN que puede ser usado por
muchos sistemas de diferentes fabricantes. Permite túneles para redes corporativas y hacia otros sistemas
habilitados para este protocolo (PPTP-enabled). No es tan seguro como IPSec y no puede asegurar dos
redes. Sólo asegura una dirección IP con otra dirección IP o con una red. PPTP provee una alternativa de
túnel económica para una red corporativa, más fácil de usar que IPSec.
Encriptación
Sobre una red que no es segura, los hackers pueden encontrar paquetes transmitidos de manera muy sen-
cilla. Los túneles VPN utilizan la encriptación para mantener los datos seguros.
La longitud de la clave de encriptación, junto con el algoritmo utilizado, definen el poder de la encriptación
para la VPN. Una clave más larga provee una mejor encriptación y más seguridad. El nivel de encriptación se
define para ofrecer el desempeño y la seguridad necesarios para la organización. Cuanto más poderosa es la
encriptación, en general se obtiene un nivel más alto de seguridad, pero puede tener efectos negativos
sobre el desempeño.
La encriptación básica permite un nivel de seguridad suficiente con buen desempeño para túneles que no
transmiten datos sensibles. Para las conexiones administrativas y aquellas en las que la privacidad es muy
importante, recomendamos alguna solución más poderosa.
El host o el dispostivo IPSec que envía un paquete a través de un túnel encripta el paquete. El destinatario,
en el otro extremo del túnel, lo desencripta. Los dos endpoints deben concordar sobre todos los parámetros
del túnel. Esto incluye los algoritmos de encriptación y autenticación, los hosts o redes autorizados a enviar
datos a través del túnel y el período de tiempo para calcular una nueva clave, entre otros.
Autenticación
Una parte importante de la seguridad para una VPN es asegurarse de que quien envía y quien recibe están
autenticados. Existen dos métodos: autenticación por passphrases (también llamada “secreto compartido”) y
los certificados digitales. Un secreto compartido es una passphrase que es igual para ambos extremos del
túnel.
Los certificados digitales utilizan criptografía de clave pública para identificar y autenticar los gateways
extremos. Puede usar certificados para autenticación para cualquier túnel VPN que usted cree con su
WatchGuard Management Server. Para más información sobre certificados, vea el capítulo “Administración
de Certificados y Autoridad de Certificación”.
Autenticación extendida
La autenticación para un usuario remoto puede puede darse a partir de una base de datos que se guarda
sobre el Firebox® o por un servidor de autenticación externo. Un ejemplo de esto último es Remote
Authentication Dial-In User Service (RADIUS). Un servidor de autenticación es una solución de terceras par-
tes segura que autentica otros sistemas sobre una red. Con Mobile User VPN (MUVPN, VPN para usuarios
móviles), que utiliza el protocolo de tunelamiento IPSec tunneling protocol, el usuario remoto debe tipear
un nombre de usuario y una contraseña cada vez que se inicia una VPN.
seguridad de los endpoints de una VPN en riesgo, puede poner en riesgo la seguridad de toda la red. Si,
por ejemplo, una persona roba una laptop y descubre la contraseña, tiene acceso directo a la red.
Los certificados digitales son registros electrónicos que identifican al usuario. Para más información sobre
certificados, vea el capítulo “Administración de Certificados y Autoridad de Certificación”. La autoridad de
certificación (CA, Certificate Authority), es una tercera parte segura que administra los certificados. En
WatchGuard® System Manager, usted puede configurar un Firebox para que opere como CA. Este tipo de
autenticación puede ser más segura que la de secretos compartidos.
Direccionamiento IP
El uso correcto de la dirección IP es importante cuando se hace un túnel VPN. Lo mejor es si las direcciones
IP privadas de las computadoras en uno de los lados del túnel son diferentes a las del otro lado. Si usted
tiene sucursales, utilice subredes en cada locación que sean diferentes de la red primaria de la oficina. Si es
posible, utilice subredes que sean casi iguales a la subred del Firebox® cuando configure una sucursal.
Por ejemplo, si la red Firebox primaria utiliza 192.168.100.0/24, use 192.168.101.0/24, 192.168.102.0/24 y
similares para la sucursal. Esto previene nuevos problemas en caso de que usted expanda su red y lo
ayuda a recordar la dirección IP de sus sucursales.
Para túneles MUVPN y RUVPN, Firebox brinda a cada usuario remoto una dirección de IP virtual. El método
más sencillo es obtener una IP virtual que provenga de la red primaria pero que no esté en uso por ningu-
na otra computadora. Usted no puede usar la misma dirección de IP virtual para usuarios remotos RUVPN
y MUVPN. Tampoco puede emplear una dirección de IP virtual que pueda estar sobre una computadora en
una ubicación diferente a la de la red primaria.
Si su red primaria no tiene la suficiente cantidad de direcciones IP para hacer esto, el procedimiento más
seguro es instalar una red secundaria “placeholder”. Seleccione un rango de direcciones para ésta y utilice
una dirección IP de ese rango para la dirección de IP virtual. Si ya está utilizando un rango de dirección de
IP privada en su red primaria, también puede expandir el rango de la red. Por ejemplo, usted puede cam-
biar de una red de clase C 192.168.100.0/24 a una red de clase B de 192.168.0.0/16.
Esto le permite seleccionar entre un rango de direcciones. Aquí no existen interferencias de estas direccio-
nes con la dirección real del host en uso detrás del Firebox. Si usted utiliza este procedimiento para direc-
ciones de IP virtuales para RUVPN, debe configurar la computadora cliente para usar el gateway por defec-
to en la red remota, o debe agregar manualmente las rutas luego de que el túnel VPN esté conectado. Esto
no es necesario para la computadora cliente de MUVPN.
A medida que el número de túneles VPN de su red se incrementa, se vuelve más dificultoso manejar el
gran número de claves de sesión que son utilizadas. Estas claves deben ser reemplazadas con frecuencia
para obtener una seguridad más poderosa.
Internet Key Exchange (IKE) es el protocolo de manejo de claves de que usa IPSec. IKE automatiza el proce-
dimiento para negociar y reemplazar claves. Internet Security Association and Key Management Protocol
(ISAKMP) es, por su parte, un protocolo criptográfico que es la base del protocolo de intercambio de claves
IKE. Éste utiliza un procedimiento de dos fases para crear un túnel IPSec. Durante la primera fase, dos gate-
ways crean un canal autenticado y seguro para el tráfico VPN. La fase 2 incluye un intercambio de claves
para encontrar cómo encriptar los datos entre los dos.
Diffie-Hellman es un algoritmo que usa IKE para generar las claves necesarias para la encriptación de datos.
Los grupos Diffie-Hellman son colecciones de parámetros que permiten dos pares de intercambio de siste-
mas y acuerdo sobre la clave de sesión. El grupo 1 es de 768-bit y el grupo 2 de 1024-bit. El segundo es más
seguro que el primero, pero usa más tiempo de procesador para generar las claves.
Con Network Address Translation (NAT, traducción de direcciones de red), las direcciones de fuente y de des-
tino de paquetes IP son cambiadas al tiempo que van desde el router al firewall. Si usted usa NAT entre dos
gateways VPN, debe usar ESP (y no AH) como protocolo de autenticación al momento de crear los túneles
VPN entre los dispositivos. Si usted envía tráfico IPSec o PPTP a través de un Firebox® (IPSec o PPTP de paso),
Firebox puede usar NAT 1-a-1 para enviarlo.
Control de Acceso
Los túneles VPN permiten a los usuarios tener acceso a los recursos de su red de computadoras. Piense qué
tipo de recursos son necesarios para cada tipo de usuario. Por ejemplo, usted puede permitir a un grupo de
empleados contratados tener acceso sólo a una red y a su personal de ventas acceder a todas las redes. Los
tipos de VPN diferentes también pueden definirse a partir de su nivel de confianza. Las VPNs de sucursales
(BOVPNS, Branch Office VNPs) tienen un dispositivo firewall en los dos extremos del túnel, por lo que son
más seguras que MUVPN y RUVPN, que sólo tienen protección en uno de los extremos.
Topología de la Red
Usted puede setear la VPN para dar soporte a configuraciones en malla (meshed) o hub-and-spoke. La topo-
logía que usted seleccione define los tipos y números de conexiones que podrán ocurrir, así como el flujo de
datos y de tráfico.
Esta topología es la más resistente a errores. Si una unidad de VPN deja de funcionar, sólo la conexión a la
red de esa unidad cae. Pero también es la topología más difícil de configurar. Cada unidad de VPN debe
tener un túnel VPN configurado con cada una de las otras unidades. Esto puede generar problemas posi-
bles de ruteo si no se hace con cuidado.
El conflicto más grande que puede tener con las redes fully meshed es de control. Como cada unidad
debe conectarse con cada otra, el número de túneles necesario se hace rápidamente muy grande, ya que
es igual al cuadrado de número de dispositivos:
[(número de dispositivos) x (número de dispositivos)] -1 ÷ 2 = número de túneles]
Cuando todas las unidades VPN son dispositivos WatchGuard®, WatchGuard System Manager puede hacer
que la configuración sea más fácil. El Management Server contiene toda la información para todos los
túneles. Con WatchGuard System Manager, usted puede hacer un túnel VPN entre dos dispositivos en tres
pasos utilizando un método de arrastrar y soltar.
Puede monitorear la seguridad del sistema completo desde más de una locación, cada una con un
Firebox®. Las compañías grandes usan esta configuración con las sucursales importantes, en cada una de
las cuales se instala un Firebox de alta más alta capacidad. Las oficinas pequeñas y los usurarios remotos
se conectan con dispositivos MUVPN, RUVPN, Firebox X Edge o SOHO 6.
Las redes que no tienen una topología de malla completa tienen sólo los túneles entre los dispositivos
que se hablan, tal como muestra la figura debajo. Por lo tanto, el flujo a través de la red es mejor que en la
topología fully meshed, o de malla completa. Los límites en todas las redes de malla son:
Redes hub-and-spoke
En una configuración hub-and-spoke, todos los túneles VPN terminan en un firewall. Las compañías más
pequeñas la usan con frecuencia con un Firebox primario. Muchos usuarios remotos distribuidos se conec-
tan con dispositivos MUVPN, RUVPN, Firebox X Edge o SOHO 6 a esta configuración. Cada dispositivo
remoto o usuario remoto hace un túnel VPN sólo con el Firebox primario.
En una configuración hub-and-spoke simple, cada ubicación remota puede enviar y recibir datos sólo a
través del túnel VPN a la red detrás del Firebox primario. Un túnel VPN al Firebox primario también puede
ser configurado para enviar y recibir datos de ubicaciones de VPN remotas diferentes (switching en túnel).
La intensidad del tráfico en hub-and-spoke puede ser alta si el Firebox primario envía paquetes desde una
ubicación remota a otra. Pero puede ser baja en un esquema simple, en el que las ubicaciones remotas pue-
dan enviar datos sólo a través de un túnel VPN a una ubicación de hub primaria.
El Firebox primario es el único punto en el que todos los túneles VPN pueden fallar, por lo que esto también
puede ser un problema. Si cae, usted no podrá conectar ningún túnel VPN a las locaciones remotas.
El flujo a través de un sistema hub-and-spoke simple es mucho más claro que a través de un sistema en
malla. Usted puede controlar el número de túneles mejor, según la suma que sigue:
[(número de dispositivos) – 1 = número de túneles]
Si es necesario tener más capacidad de comunicación, expanda la locación del hub. Pero como todo el tráfi-
co pasa por el hub, es necesario tener más ancho de banda para la instalación.
Red Hub-and-Spoke
Métodos de Tunelamiento
El tunelamiento dividido (split) se da cuando un usuario remoto o un endpoint tiene acceso a Internet en la
misma computadora en la que reside la conexión VPN. Este usuario, sin embargo, no pone el tráfico de
Internet en el túnel. El usuario remoto navega directamente a través del ISP. Esto hace que el sistema se
vuelva vulnerable, porque el tráfico de Internet no se filtra ni se encripta.
Esta peligrosa configuración es menos vulnerable cuando todo el tráfico de Internet del usuario remoto se
pasa a través de un túnel VPN al Firebox®. Desde el Firebox, el tráfico es enviado luego a Internet (switching
en túnel). Con esta configuración, el Firebox examina todo el tráfico y provee una mejor seguridad.
Cuando usted usa el switching en túnel, debe incluirse una política de NAT dinámica para el tráfico saliente
desde la red remota. Esto permite que los usuarios remotos naveguen por Internet al tiempo que envían
todo el tráfico al Firebox.
El tunelado dividido reduce el nivel de seguridad, pero incrementa el desempeño. Si usted utiliza este méto-
do, los usuarios remotos deben tener firewalls personales para las computadoras que están detrás del end-
point de la VPN.
WatchGuard® System Manager incluye estas herramientas de software para crear túneles:
• Remote User VPN (RUVPN) con PPTP
• Mobile User VPN (MUVPN) con IPSec
• Branch Office VPN (BOVPN) con IPSec, que usa Policy Manager para configurar manualmente las
definiciones del túnel
• Branch Office VPN (BOVPN) con IPSec, que usa WatchGuard System Manager para configurar auto-
máticamente las definiciones del túnel.
WatchGuard incorpora diferentes tipos de encripción para las distintas opciones de túneles VPN que se
pueden crear. BOVPN permite Data Encryption Service (DES) con una clave de encripción de 56-bit para
encripción básica, 112-bit para moderada y 168-bit (3DES) para potente. También utiliza Advanced
Encryption Standard (AES), un método de encripción de datos en bloque, con alternativas a 128-bit, 192-
bit o 256-bit.
WatchGuard también tiene una línea de productos SSL VPN Firebox por separado. Usted puede encontrar
más información en el sitio web público de WatchGuard: http://www.watchguard.com/products/fb-ssl.asp.
Mobile User VPN es un componente de software opcional disponible para todos los modelos de Firebox.
Los usuarios remotos son empleados móviles que necesitan tener acceso a la red corporativa. MUVPN crea
un túnel IPSec entre un host remoto que no es seguro y su red corporativa. Los usuarios remotos se conec-
tan a Internet con un servicio de banda ancha o de dial up estándar y luego usan el software MUVPN para
establecer una conexión segura a la red o las redes protegidas por el Firebox. Con MUVPN, sólo se necesita
un Firebox para crear el túnel.
MUVPN utiliza IPSec con DES o 3DES para encriptar el tráfico entrante y MD5 o SHA-1 para autenticar los
paquetes de datos. Usted configura una política de seguridad y la extiende a cada usuario remoto a través
del software MUVPN. La política de seguridad es un archivo encriptado con la extensión .wgx. Cuando se
instala el software en las computadoras de los usuarios remotos, ellos puede conectarse de manera segura
a la red corporativa. Los usuarios MUVPN pueden cambiar sus políticas de seguridad, o usted puede darles
políticas de sólo lectura (read-only).
BOVPN con IPSec está disponible con el nivel de encripción moderada de DES (56-bit) o con la más podero-
sa de 3DES (168-bit). También soporta AES a los niveles de 128-bit, 192-bit y 256-bit, siendo este último el
más seguro.
Usted puede crear diferentes túneles VPN para distintos tipos de tráfico en su red. Por ejemplo, puede utili-
zar un túnel VPN con encripción DES para el tráfico de su equipo de ventas, mientras que, al mismo tiempo,
define un túnel VPN con la encripción 3DES más poderosa para los datos provenientes del departamento de
finanzas.
Escenarios de VPN
Esta sección muestra tres diferentes tipos de compañías y las soluciones VPN que mejor calzan para
cada una.
Gallatin Corporation tiene una oficina central con unos 300 usuarios en Los Angeles y sucursales con otros
100 usuarios en cada una en Sacramento, San Diego e Irvine. Todas las locaciones poseen acceso de alta
velocidad a Internet y los empleados de todas ellas deben tener conexiones seguras a todas las demás.
Esta compañía usa WatchGuard Firebox® en cada locación y WatchGuard® System Manager para conectar
a cada una de ellas con todas las demás. Cada oficina se conecta a todas las otras. Todos los usuarios de
cada oficina tienen acceso a los registros compartidos ubicados en cualquier locación. El Management
Server está detrás del Firebox en la oficina primaria, mientras que los Fireboxes en las sucursales son
Managed Firebox Clients. Cuando se detiene un servicio del ISP de Gallatin, esto hace que el Firebox en la
oficina central no esté disponible. Pero los túneles en las otras locaciones permanecen activos.
WatchGuard® System Manager provee velocidad y confiabilidad cuando se crean túneles VPN IPSec en un
procedimiento de arrastrar y soltar, un asistente automatizado, y el uso de esquemas predefinidos. Usted
puede hacer, en minutos, túneles IPSec que utilicen autenticación y encriptación. Es posible asegurarse de
que esos túneles operen con otros túneles y políticas de seguridad. Desde una misma interfaz, usted puede
controlar y monitorear los túneles VPN. WatchGuard System Manager también le permite administrar de
manera segura dispositivos Firebox® X Edge desde una ubicación remota. Para más información, vea el capí-
tulo “Administración de Firebox X Edge y Firebox SOHO6”.
Para una VPN, usted puede configurar (y poner límites a) las redes que tendrán acceso a través del túnel.
Puede hacer una VPN entre hosts o entre redes. Para configurar las redes que estarán disponibles para un
dispositivo VPN dado, debe crear plantillas de políticas. Por defecto, WatchGuard® System Manager (WSM)
agrega y aplica una plantilla de política de red que brinda acceso a la red detrás del dispositivo VPN, si ésta
tiene una dirección de IP estática.
4 Agrege, edite o borre los recursos de la política del túnel. Haga click en Add para agregar una dirección
IP o una dirección de red a la política del túnel. Haga click en Edit para editar un recurso que haya selec-
cionado de la lista. Elija un recurso de la lista Resources y haga click en Remove para borrar el recurso.
5 Haga click en OK.
La plantilla de política se ha configurado y está disponible en el área de configuración de la VPN.
2 De la lista desplegable Allow to/from, seleccione el tipo de recurso y luego escriba la dirección de IP o la
dirección de red en la caja adyacente.
3 Haga click en OK.
Una plantilla de seguridad provee el tipo de encripción y de autenticación para un túnel. Se proveen planti-
llas de seguridad por defecto para los tipos de encripción disponibles. Usted puede, por otra parte, crear
nuevas plantillas. Las plantillas de seguridad facilitan la configuración del tipo de encripción y de autentica-
ción con el túnel desde el asistente Configuration.
Para crear una plantilla de política, en la pestaña Device Management:
1 Haga click con el botón derecho en la ventana y seleccione Insert Security Template, o haga
click en el ícono Insert Security Template (que se muestra a la izquierda).
Aparecerá la caja de diálogo Security Template.
2 En la caja Template Name, escriba el nombre de plantilla que desee usar. De las listas desplegables
Authentication y Encryption, seleccione el método de autenticación y el método de encripción.
3 Para definir la fecha final de una clave, elija la casilla de verificación Force key expiration y luego
seleccione los kilobytes o las horas hasta la expiración.
Si usted coloca dos valores, la clave se frena ante el evento que suceda primero.
La plantilla de seguridad ya está configurada. Usted puede elegirla en el asistente VPN cuando cree un túnel VPN con
este dispositivo.
4 Haga click en OK.
Es posible configurar un túnel con un procedimiento de arrastrar y soltar o con el asistente Add VPN.
Editando un Túnel
Usted puede ver todos sus túneles en la pestaña Device Management del WatchGuard® System Manager
(WSM). WSM le permite cambiar el nombre del túnel, la plantilla de seguridad, los endpoints y la política que
utiliza.
1 En la pestaña Device Management, expanda el árbol para ver el dispositivo a cambiar y su política.
2 Seleccione el túnel que desea cambiar.
3 Haga click en el botón derecho del mouse y seleccione Properties.
Aparecerá la caja de diálogo Tunnel Properties.
4 Haga los cambios que desee en el túnel.
5 Haga click en OK para salvar los cambios.
Cuando el túnel sea renegociado, se aplicarán los cambios.
Eliminando un túnel
1 En el WSM, haga click en la pestaña Device Management.
2 Expanda la carpeta Managed VPNs para ver el túnel que desea eliminar.
3 Haga click con el botón derecho en el túnel.
4 Seleccione Remove. Haga click en Yes para confirmar.
5 Es posible que necesite reiniciar los dispositivos que usan el túnel que quiere eliminar. Haga click en Yes.
Eliminando un dispositivo
1 Desde el System Manager, haga click en la pestaña Device Status o Device Management.
Aparecerá la pestaña Device Status (a la izquierda, en la figura que está debajo) o la pestaña Device Management (a la
derecha).
2 Si usted utiliza la pestaña Device Management, expanda la carpeta Devices para ver el dispositivo
a eliminar.
3 Haga click con el botón derecho del mouse sobre el dispositivo.
4 Seleccione Remove. Haga click en Yes.
Utilice VPN para sucursales (BOVPN, Branch Office VPN) con IPSec manual para hacer túneles encriptados
entre un Firebox® y un dispositivo de seguridad compatible con IPSec. Este dispositivo puede proteger una
sucursal u otra locación remota. BOVPN con IPSec manual puede utilizar diferentes métodos de encripta-
ción: DES (56-bit), 3DES (168-bit), AES 128, AES 192 y AES 256.
Antes de Empezar
Usted debe contar con esta información para utilizar BOVPN con IPSec manual:
• Política de endpoints — Direcciones IP de hosts o redes que son accesibles en el túnel.
• Método de encriptación — Los dos extremos del túnel deben utilizar el mismo método.
• Método de autenticación — Los dos extremos del túnel deben utilizar el mismo método.
Configurando un Gateway
Un gateway es un punto de conexión para uno o más túneles. El método de conexión que usa el gateway
para hacer un túnel es el que se debe usar en el otro extremo del mismo. Un ejemplo es el ISAKMP (Internet
Security Association and Key Management Protocol).
Agregando un gateway
Para iniciar la negociación de túnel IPSec, un par debe conectarse al otro. Usted puede usar una dirección IP
o un nombre DNS para conectar los pares. Si uno de ellos tiene una dirección IP dinámica, seleccione Any
para la dirección de IP del gateway remoto.
Para configurar esto, defina el tipo de identificador (ID) del gateway remoto como Domain Name o User
Domain Name. Defina el nombre del par como el nombre de dominio completamente calificado.
Asegúrese de que el Firebox® esté configurado con servidores DNS que puedan resolver el nombre de
dominio.
1 En el Policy Manager, haga click en VPN > Branch Office Gateways.
Aparecerá la caja de diálogo Gateways.
6 Configure los Local Settings. En la lista desplegable ID Type local, seleccione IP address, Domain Name,
o User Domain Name. Si usted elige IP address, puede optar por una dirección de IP de la lista desple-
gable adyacente. Todas las direcciones de IP de interfaz del Firebox configuradas aparecen allí.
7 Haga click en Pre-Shared Key o en Firebox Certificate para identificar el procedimiento de autentica-
ción a utilizar. Si usted elige Pre-Shared Key, escriba la clave compartida.
Debe utilizar la misma clave compartida en el dispositivo remoto. Ésta sólo debe utilizar caracteres ASCII estándares.
Nota
Usted debe iniciar Certificate Authority si ha seleccionado autenticación basada en certificados. Para
información sobre este tema, vea el capítulo sobre Certificate Authority en este manual. Además, si uti-
liza certificados, debe utilizar WatchGuard® Log Server para mensajes de log. No damos soporte a cer-
tificados de terceras partes.
8 Usted puede usar las definiciones por defecto Phase 1 o puede cambiarlas. Si decide utilizar las que
vienen por defecto, vaya al paso 19.
Phase 1 se refiere a la fase inicial de la negociación IKE. Contiene información sobre autenticación, negociación de sesión y
cambio de clave.
9 De la lista desplegable Authentication, seleccione SHA1 o MD5 como el tipo de autenticación.
10 De la lista desplegable Encryption, seleccione, None, DES o 3DES como el tipo de encriptación.
11 De la lista desplegable Mode, seleccione Main o Aggressive.
El modo Main no identifica los endpoints de la VPN durante la negociación y es más seguro que el modo Aggressive. El
modo Main también soporta propiedades Diffie-Hellman del grupo 2. El modo Main es más lento que el Agressive, debido
a que debe enviar más mensajes entre los endpoints.
12 Si usted desea modificar las definiciones de grupo de propiedades Diffie-Hellman y otras definiciones
avanzadas de Phase 1, haga click en Advanced.
Aparecerá la caja de diálogo Phase 1 Advanced Settings.
13 Para cambiar la “vida” de la asociación de seguridad (SA Life), escriba un número en el campo SA Life y
seleccione Hour o Minute de la lista desplegable.
14 De la lista desplegable Key Group, seleccione el grupo Diffie-Hellman que desee. WatchGuard soporta
los grupos 1 y 2.
Los grupos Diffie-Hellman son conjuntos de propiedades usadas para negociar claves secretas de manera segura a través
de un medio público. El Grupo 2 es más seguro que el 1, pero utiliza más tiempo para generar las claves.
15 Si desea utilizar dispositivos NAT a través del túnel, seleccione la casilla de verificación NAT Traversal.
Para definir el tiempo que debe estar vigente (Keep-alive interval), escriba la cantidad de segundos o
use el control de valor para elegir el número de segundos que necesite.
NAT Traversal o encapsulamiento UDP permite al tráfico llegar a los destinos correctos. Debe habilitarse cuando se desea
construir un túnel BOVPN entre el Firebox y otro dispositivo que esté detrás del dispositivo NAT.
16 Para tener un Firebox que envíe mensajes a su par IKE para mantener el túnel VPN abierto, elija la casilla
de verificación IKE Keep-alive. Para definir un intervalo de mensaje (Message Interval), escriba el
número de segudos o use el control de valor para elegir el número de segundos que necesite.
17 Para definir el número máximo de veces que el Firebox debe intentar enviar un mensaje IKE keep-alive
antes de intentar negociar la Phase 1 nuevamente, escriba el número que desee en la caja Max failures.
Use este método para configurar un túnel manual que utilice un gateway con el tipo de negociación de
claves ISAKMP (Internet Security Association and Key Management Protocol). ISAKMP es un protocolo que
autentica el tráfico de red entre dos dispositivos. Este procedimiento abarca la información sobre cómo los
dispositivos controlan la seguridad, lo que incluye la encriptación. También tiene la información usada
para hacer las claves utilizadas para convertir los datos encriptados a texto.
1 Desde el Policy Manager, seleccione VPN > Branch Office Tunnels.
Aparecerá la caja de diálogo Branch Office IPSec Tunnels.
Edit New
5 De la lista desplegable Proposal, seleccione la propuesta IKE Phase 2 para su túnel. La lista contiene
propuestas de seguridad de fase 2 predefinidas. Si usted quiere usar la propuesta por defecto y no crear
ni editar ninguna, vaya al paso 14. Usted puede editar cualquier propuesta de Phase 2 que haya creado,
pero no es posible editar las predefinidas. Debe agregar una nueva. Para editar una propuesta de Phase
2 que usted haya creado, seleccione su nombre y haga click en el botón Edit. Para crear una nueva, haga
click en el botón New.
Aparecerá la caja de diálogo Phase2 Proposal.
13 Seleccione la caja de chequeo PFS para habilitar Perfect Forward Secrecy (PFS). Si lo hace, elija el grupo
Diffie-Hellman.
Perfect Forward Secrecy ofrece más protección para las claves creadas en una sesión. Las claves hechas con PFS no se
crean a partir de una clave previa. Si una clave previa queda comprometida durante una sesión, su nueva clave de sesión
será segura. El grupo 1 de Diffie- Hellman usa un grupo de 768-bit para crear el cambio de clave nueva, mientras que el
grupo 2 utiliza un grupo de 1024-bit.
14 Haga click en Advanced para configurar las definiciones avanzadas. Use la caja de diálogo Phase2
Advanced Settings para configurar el túnel para usar política Any o para escribir la dirección. Haga
click en OK cuando termine.
Si no se selecciona “Use Any for Service”, se crea una asociación de seguridad (SA) para cada conjunto de pares de proto-
colos de puerto definidos en cada política utilizada. Esto crea un túnel VPN diferente para cada política. Si no se seleccio-
na “Use Any for Address”, se crea una SA (Security Association) basada en las rutas del túnel (los pares remoto-local).
15 En el bloque Addresses de la caja de diálogo New Tunnel, haga click en Add para agregar el par de
direcciones que usa el túnel.
Aparecerá la caja de diálogo Local-Remote Pair Settings.
18 De la lista desplegable Choose Type, seleccione el tipo de dirección que quiere usar. Elija Host IP (una
dirección IP), Network IP (una dirección IP de red con la máscara en notación de barra oblícua) o Host
Range (un rango de direcciones IP).
19 En la caja de texto Value, tipee una dirección IP o una dirección de red.
20 Haga click en OK.
Se cerrará el cuadro de diálogo Add Address.
21 De la lista desplegable Direction, seleccione la dirección para el túnel. Ésta decide cuál de los endpoints
del túnel VPN puede iniciar una conexión de VPN a través del túnel.
22 Usted puede hablitar NAT para el túnel. Seleccione la casilla de verificación 1:1 NAT o la DNAT.
Las opciones que usted puede elegir para NAT son diferentes para distintos tipos de dirección y para las distintas direccio-
nes de túnel. Para NAT 1:1, tipee la dirección a cambiar con NAT en el campo. También está disponible a través de la VPN
NAT dinámica. Debe definir un túnel unidireccional de LAN1 a LAN2 en el cual usted desea que todos los servidores en
LAN1 se conecten a los servidores de LAN2, pero que aparezcan como una sola dirección en LAN 2. Para información sobre
cómo hacer esto, vea “Configurando NAT dinámica saliente a través de un túnel BOVPN”.
23 Luego de configurar el par, haga click en OK.
24 Cuando complete la configuración del túnel, haga click en OK.
Usted puede usar NAT dinámica a través de túneles BOVPN. NAT dinámica actúa como NAT unidireccional
y mantiene el túnel VPN abierto sólo en una dirección. Esto puede ser útil cuando usted crea una BOVPN
hacia un sitio remoto donde todo el tráfico VPN viene de una dirección IP pública.
Por ejemplo, suponga que necesita crear un túnel BOVPN para un asociado de negocios, por lo que puede
acceder al servidor de bases de datos de éste, pero usted no desea que esa compañía acceda, a su vez, a
ninguno de sus recursos. Su asociado de negocios quiere permitirle el acceso, pero sólo desde una direc-
ción de IP simple para poder monitorear la conexión.
Usted debe tener la dirección IP externa y la dirección de red confiable para cada endpoint de la VPN para
completar ese procedimiento.
1 Desde el Policy Manager de su sitio, elija VPN > Branch Office Tunnels. Seleccione Add para agregar
un nuevo túnel BOVPN.
2 Déle un nombre a ese túnel.
3 Seleccione el ícono New Phase 2 Proposal (el botón más a la derecha en el campo Gateway).
Aparecerá la caja de diálogo New Gateway.
4 Cree un nuevo gateway, según como se describió al principio del paso 3 de “Agregando un gateway”.
5 Haga click en OK para regresar a la caja de diálogo New Tunnel.
6 Haga click en Advanced. Limpie todas las casillas de verificación. Haga click en OK.
Si usted no cambia estos parámetros en Phase 2 Advanced Settings, su túnel BOVPN no negociará correctamente. Sin
este cambio, el segundo endpoint de la VPN buscará la red confiable del primer endpoint, en lugar de su intefaz externa
luego de que usted habilitara NAT dinámica.
7 Haga click en Add para agregar una política de túnel. Use el procedimiento que comienza con “De la lista
desplegable Local”, descripto anteriormente. Asegúrese de elegir la caja de chequeo DNAT.
8 Haga click en OK. Guarde estos cambios en el Firebox®.
9 Desde Policy Manager en el sitio remoto, elija VPN > Branch Office Tunnels. Seleccione Add para
agregar un nuevo túnel BOVPN.
10 Repita los pasos 2 a 8 en el sitio remoto, pero no seleccione la caja de chequeo DNAT.
Cuando el Firebox en el sitio remoto se reinicie, los dos dispositivos Firebox negociarán un túnel VPN. Su
Firebox aplicará NAT dinámica para todo el tráfico destinado a la red confiable en el sitio remoto. Cuando
este tráfico alcance el sitio remoto, llegará como tráfico originado en su interfaz externa.
Nota
Este capítulo describe cómo usar WatchGuard System Manager para administrar dispositivos
Firebox X Edge. Para información detallada sobre la configuración del Firebox X, vea Guía del
Usuario de Firebox X.
Usted puede utilizar WatchGuard® System Manager con un WatchGuard Management Server para confi-
gurar y administrar muchos dispositivos Firebox® X Edge y para administrar muchos dispositivos Firebox
SOHO.
Cada Firebox X Edge y SOHO debe ser configurado para su administración por el Management Server.
Entonces, usted debe insertar (Insert) o importar (Import) los dispositivos al Management Server.
Usted puede Importar uno o más dispositivos Firebox X Edge que ya hayan sido configurados con el Quick
Setup Wizard dentro del Management Server. Éste es el procedimiento más rápido para agregar un grupo
de dispositivos Firebox X Edge al Management Server.
También puede Insertar un dispositivo Firebox X Edge que ya haya sido configurado o instalado usando el
Asistente Add Device. Debe configurar valores para identificar el dispositivo para el Management Server.
Es posible insertar sólo un dispositivo por vez.
• Para un dispositivo Firebox X Edge nuevo que tenga la configuración por defecto de fábrica, configú-
relo con el procedimiento “Preparando un Firebox X Edge nuevo o con configuración de fábrica para
administración” y luego importe el dispositivo con el procedimiento “Importando dispositivos
Firebox X Edge a un Management Server”.
• Para un Firebox X Edge que ya está instalado, configure el dispositivo para administración con el pro-
cedimiento “Preparando un Firebox X Edge instalado para administración” e inserte el dispositivo en
el Management Server usando el procedimiento “Agregando dispositivos Firebox X Edge y SOHO 6 a
un Management Server”.
Luego de configurar un Firebox X Edge para ser administrado por un Management Server, debe reiniciarlo
a su configuración de fábrica, para llevarlo a su estado original.
Nota
El Management Server se conecta a los dispositivos Firebox X Edge administrados sobre el puerto
TCP 4109. Asegúrese de tener una política que permita el tráfico desde dispositivos Edge administra-
dos sobre el puerto TCP 4109 en el gateway del Firebox, u otro firewall que proteja al Management
Server de Internet.
7 Use las instrucciones de las páginas Wait for the Firebox y The Wizard found this Firebox. Haga click
en Next luego de cada página.
8 Acepte el acuerdo de licencia (License Agreement) y haga click en Next.
9 Configure la interfaz externa (WAN 1) en el Firebox X Edge. Seleccione DHCP, PPPoE o Static IP
addressing y haga click en Next (para información detallada sobre cómo configurar las interfaces Edge,
vea la Guía del Usuario de Firebox X Edge).
10 Haga click en Next luego de configurar la interfaz.
11 Configure la interfaz interna de Edge y haga click en Next.
12 Cree una passphrase de estado y una passphrase de configuración para su Edge y haga click en Next.
Debe escribir cada passphrase dos veces. Ésta es la passphrase utilizada por el WatchGuard System Manager para conectar
y configurar el dispositivo.
13 Escriba un nombre de usuario y una passphrase para el dispositivo y haga click en Next.
Debe escribir la passphrase dos veces. Este es el nombre de usuario y la passphrase que usted puede usar para conectar y
configurar el dispositivo con un navegador web.
14 Seleccione los parámetros de zona horaria y haga click en Next.
15 Configure los parámetros de Management Server. Escriba la dirección de IP del gateway del Firebox que
protege el Management Server, el nombre para identificar al Firebox en la interfaz del Management
Server y la clave compartida. Haga click en Next.
La clave compartida es usada por el Management Server para crear túneles VPN entre Fireboxes. No tiene que recordar
esta clave.
16 Revise la configuración del Edge y haga click en Next.
17 Para configurar otro Edge, seleccione la casilla de verificación. Haga click en Finish.
Si usted elige esta casilla de verificación, el Asistente Quick Setup llena los campos con los mismos valo-
res que hay en esta configuración, de forma que usted pueda configurar con facilidad dispositivos Edge
similares.
12 Escriba las direcciones primaria y secundaria para los servidores WINS y DNS que usa este dispositivo, si
existen.
13 Escriba el nombre de dominio de este dispositivo, si hay alguno. Haga click en Next.
Aparece la pantalla Provide Contact Information.
14 Usted puede elegir un registro de contacto existente para este dispositivo o hacer click en Add para
agregar un registro de contacto nuevo para este dispositivo. Para borrar un registro de contacto existen-
te, selecciónelo y haga click en Delete.
15 Haga click en Next. Aparece la pantalla Configure the Device. Haga click en Next sobre esta pantalla
para configurar el dispositivo con los nuevos parámetros de administración y agregarlo al Management
Server. Si el dispositivo ya es administrado por otro servidor o ya fue configurado para su administración
por este servidor, aparecerá una caja de diálogo de advertencia. Haga click en Yes para continuar.
No puede configurar dispositivos Firebox SOHO con un Management Server.
16 Haga click en Close para cerrar el asistente Add New Device.
Los dispositivos Firebox® X Edge deben tener una actualización de firmware para operar con las característi-
cas avanzadas del Management Server. En el futuro, se requerirán más actualizaciones de firmware. Estas son
instaladas en el Management Server, que las carga en los dispositivos Edge. WatchGuard® System Manager
puede instalar las actualizaciones de firmware a un grupo de dispositivos Edge de manera sencilla. Usted
puede actualizar el firmware sobre grupos de dispositivos con una operación, ya sea inmediata o en un plan
preprogramado. Las actualizaciones de firmware se obtienen de LiveSecurity.
1 En la pestaña Device Management en WatchGuard System Manager, seleccione el Management Server.
Aparece la página de parámetros de Management Server.
Nota
En esta versión de WatchGuard System Manager, el único tipo de dispositivo que puede seleccionar es
Firebox X Edge.
6 Seleccione la casilla de verificación frente a cada Firebox X Edge que desee actualizar. Haga click en
Next.
7 Seleccione la versión de firmware a usar. Haga click en Next.
Aparece la página Select the Time and Date.
8 Para actualizar el firmware de inmediato, seleccione Update firmware immediately. Para programar la
actualización para algún momento en el futuro, seleccione Schedule firmware update.
9 Si usted eligió Schedule firmware update, seleccione la fecha del campo Date y defina la hora con el
campo Time.
10 Haga click en Next.
11 Haga click en Next. Haga click en Close.
El firmware ha sido actualizado o programado, según su selección.
Se ven todas las actualizaciones de firmware programadas, visualizadas por separado para cada dispositivo,
aún si más de uno está incluido en la misma actualización de firmware. Por esta razón, cuando usted selec-
cione un dispositivo, todos los dispositivos incluidos en esa actualización de firmware también serán elegi-
dos.
• Para borrar una actualización de firmware programada, haga click con el botón derecho en el disposi-
tivo y elija Remove task.
Todos los dispositivos en esa tarea de actualización de firmware se eliminan de la programación.
• Para agregar una actualización de firmware programada, haga click en Add.
Se iniciará el asistente Update Firmware.
Cuando el Firebox® X Edge es agregado al Management Server, usted puede usar su página de administra-
ción para configurar parámetros en el dispositivo.
2 Configure las propiedades de administración del dispositivo. Para información sobre los campos indivi-
duales en esta caja de diálogo, vea la Guía del Usuario de Firebox X Edge.
Actualizando el dispositivo
1 En la página de administración del Firebox X Edge, haga click en Update Device.
Aparece la caja de diálogo Update Device.
2 Puede utilizar esta caja de diálogo para obtener las políticas del dispositivo Firebox X Edge, reiniciar la
configuración del Management Server para el dispositivo y hacer expirar el contrato de administración.
También puede actualizar el certificado de Firebox y de CA, si ha cambiado.
3 Haga click en OK.
Esta sección muestra todos los túneles para los cuales el dispositivo es un endpoint.
2 Haga click en Add para agregar un nuevo túnel VPN
Se inicia el asistente Add VPN. Configure la VPN según sus necesidades.
Para más información sobre el Asistente Add VPN, vea el capítulo “Configurando túneles VPN administrados”.
Cuando el Firebox® SOHO 6 es agregado al Management Server, usted puede usar la página de administra-
ción para configurar parámetros en el dispositivo.
2 Configure las propiedades de administración del dispositivo. Para información sobre los campos indivi-
duales en esta caja de diálogo, vea la Guía del Usuario de Firebox SOHO.
Actualizando el dispositivo
1 En la página de administración del Firebox SOHO 6, haga click en Update Device.
Aparece la caja de diálogo Update Device.
2 Puede utilizar esta caja de diálogo para obtener las políticas del dispositivo Firebox SOHO 6, reiniciar la
configuración del Management Server para el dispositivo y hacer expirar el contrato de administración.
También puede actualizar el certificado del Firebox y de la CA, si ha cambiado.
3 Haga click en OK.
Esta sección muestra todos los túneles para los cuales el dispositivo es un endpoint.
2 Haga click en Add para agregar un nuevo túnel VPN.
Se inicia el asistente Add VPN. Configure la VPN según sus necesidades.
Cuando usted utiliza dispositivos Firebox® X Edge con WatchGuard® Management Server, usted puede
crear Edge Configuration Templates, o plantillas, en el Management Server. Luego puede aplicarlas a dis-
positivos Edge. Con las Edge Configuration Templates, usted puede configurar fácilmente filtros de firewall
estándares, cambiar las listas de sitios bloqueados, modificar su configuración de WebBlocker o cambiar
otros parámetros de políticas para todos o algunos de sus dispositivos Edge administrados.
Nota
Las Edge Configuration Templates pueden ser usadas sólo en un Firebox X Edge. Cada Edge puede tener
sólo una Edge Configuration Template. Un Edge debe tener la versión 7.5 o posterior de firmware para
usar Edge Configuration Templates.
Usted puede hacer cambios a la Edge Configuration Template o a la lista de dispositivos a los cuales esa
política ha sido aplicada en cualquier momento. El Management Se rver hace los cambios automáticamente.
1 Inicie WatchGuard System Manager y conéctese al Management Server.
2 Haga click en la pestaña Device Management.
Usted puede expandir la lista de Edge Configuration Templates para ver cualquier plantilla que haya sido creada. Si no se
generó ninguna, la lista se verá vacía.
3 Haga click con el botón derecho del mouse y elija Insert Edge Configuration Template.
3 Para usar una política predefinida, elija Choose a pre-defined policy from this list y seleccione la polí-
tica a usar de la lista.
4 Haga click en Next.
5 Si usted usa una política predefinida, seleccione la dirección del tráfico.
6 Seleccione denegar o permitir el tráfico para esta política y dirección.
3 Para crear y usar una política personalizada, seleccione Create and use a new custom policy.
4 Haga click en Next.
Aparecerá la página Specify Protocols.
Con WatchGuard® Management Server usted puede configurar los parámetros de red para un grupo de
equipos Firebox® X Edge, usando WatchGuard System Manager. Puede utilizar WatchGuard System Manager
para configurar parámetros de red individuales para cada Firebox X Edge. Si los parámetros de red para un
Edge ya son correctos, no tiene que cambiarlos con WatchGuard System Manager, pero puede hacerlo si lo
desea.
Nota
Todos los parámetros de red de Firebox X Edge pueden ser configurados utilizando la interfaz web del Edge.
Para información detallada sobre estas opciones de configuración, vea la Guía del Usuario de Firebox X
Edge.
3 Debajo de Network Settings, haga click en Configure. Si ve una advertencia, haga click en OK.
Aparecerá la caja de diálogo Edge Network Settings.
4 Para configurar los parámetros de red, haga click en cada categoría en el panel izquierdo de la caja de
diálogo y provea información en los campos que aparezcan. Las categorías son:
- External (eth0)
- Trusted (eth1)
- Optional (eth2)
- WAN Failover
- Dynamic DNS
- Routes
- Aliases (para más información sobre alias, vea la sección siguiente,“Usando alias”)
- Time Zone
- Users
- Groups
- Trusted Hosts
Para información sobre los campos que aparecen, vea Guía del Usuario de Firebox X Edge.
5 Haga click en OK para completar la configuración.
Usando alias
Los alias son utilizados en el Firebox® X Edge para definir un destino común para configuración de políticas
sobre el Management Server. Por ejemplo, con un alias, usted puede crear una Edge Configuration Template
para e-mail y definir esa política para que opere con su servidor de correo electrónico. Como éste puede
tener una dirección diferente en cada red Firebox X Edge, usted crea un alias en el Management Server lla-
mado MailServer. Cuando usted crea la Edge Configuration Template para el servidor de correo electrónico,
usa este alias como destino. Entonces, usted define el alias tanto como origen como destino, dependiendo
de la dirección de la política. En el ejemplo, usted puede configurar una política entrante SMPT Allow, con
MailServer como destino.
Para hacer que la Edge Configuration Template opere correctamente sobre dispositivos Edge que usen esta
política, usted debe configurar el alias MailServer en Network Settings para cada Firebox X Edge.
La configuración de alias se hace en dos pasos:
• Nombramiento del alias en el Management Server
• Definición de la IP del alias en el Firebox X Edge
Aparecen los alias. Aquellos que haya nombrado en el Management Server aparecerán con sus nombres en esta caja de
diálogo.
4 Seleccione un alias para definir y haga click en Edit.
Aparece la caja de diálogo Local Alias Setting.
5 Escriba la dirección IP para el alias local en la red de este Firebox X Edge. Haga click en OK.
6 Repita este procedimiento para cada alias a definir.
7 Haga click en OK cuando todos los alias hayan sido definidos.
La Red Privada Virtual con Usuario remoto (RUVPN) utiliza Protocolos de tunelamiento Punto a Punto (PPTP)
para establecer una conexión segura. Soporta hasta 50 usuarios al mismo tiempo para cada Firebox®. Los
usuarios RUVPN pueden autenticarse ante el Firebox o ante el servidor de autenticación RADIUS. El Firebox y
las computadoras hosts remotas del usuario remoto deben configurarse.
Antes de configurar el Firebox® para usar RUVPN, tome nota de esta información:
• Las direcciones IP del cliente remoto que se usarán en las sesiones RUVPN. Estas direcciones IP no
pueden ser direcciones que ya utilice la red detrás del Firebox. El procedimiento más seguro para
asignar direcciones a los usuarios RUVPN es instalar una red secundaria “placeholder” con un rango de
direcciones IP. Luego, seleccionar una dirección IP entre las de dicho rango. Por ejemplo, cree una
subred como red secundaria de su red confiable 10.10.0.0/24. Seleccione las direcciones IP en esta
subred para su rango de direcciones PPTP. Para mayor información, vea “Direccionamiento IP” en el
Cap. 18.
• Las direcciones IP de los servidores DNS y WINS, que resuelven los nombres de hosts a direcciones IP.
• Los nombres de usuarios y passphrases de los usuarios que tienen permiso de conectarse al Firebox
con RUVPN.
Niveles de encriptación
Para las RUVPN con PPTP, se puede elegir usar encriptación de 128 bits o de 40 bits. Las versiones domésti-
cas de Windows XP en los Estados Unidos están habilitadas con encriptación de 128-bits. Se puede conse-
guir de Microsoft un fuerte parche de encriptación para otras versiones de Windows. El Firebox siempre
intentará usar una conexión de 128 bits en primer lugar. Pero utiliza la encriptación de 40 bits (si está habili-
tada) cuando el cliente no puede usar la conexión encriptada con 128 bits. Para más información acerca de
cómo habilitar el salto desde 128 bits hasta 40 bits, ver “Preparando la computadoras de los usuarios” en
éste capítulo. Si usted no vive en los Estados Unidos y debe poder disponer de fuerte encriptación en su
cuenta LiveSecurity Service, envíe un correo electrónico a supportid@watchguard.com donde figure:
• Su número clave de LiveSecurity Service,
• Fecha de compra,
• Nombre de su compañía.
Nota
Para que el Firebox conserve su configuración actual, no utilice el Quick Setup Wizard cuando instale
el nuevo software. Abra el System Manager, conéctese al Firebox y guarde su archivo de configura-
ción. Las configuraciones con diferentes versiones de encriptación son compatibles.
Los clientes RUVPN usan direcciones de servidor compartidas Windows Internet Naming Service (WINS) y
Domain Name System (DNS). DNS transforma los nombres de host en direcciones IP, mientras que WINS
reemplaza nombres NetBIOS por direcciones IP. La interfaz confiable del Firebox® debe tener acceso a
estos servidores.
1 Desde el Policy Manager, haga click en Network > Configuration. Haga click en la pestaña WINS/DNS.
La información para servidores WINS y DNS aparecerá.
2 En las cajas de texto para direcciones IP, escriba las de los servidores WINS y DNS. Puede escribir tres
direcciones para servidores DNS y dos para servidores WINS. Escriba un nombre de dominio para el
servidor DNS.
Para configurar RUVPN con PPTP se debe activar esta característica. RUVPN con PPTP añade el ícono de polí-
ticas WatchGuard® PPTP al administrador de políticas Policy Manager. Esto establece propiedades por defec-
to para las conexiones PPTP y para el tráfico que fluya desde y hacia ellas. Recomendamos no modificar las
propiedades por defecto de políticas WatchGuard PPTP.
1 Desde el Policy Manager, haga click en VPN > Remote Users. Haga click en la pestaña PPTP.
2 Seleccione la caja de verificación Activate Remote User
3 Si es necesario, seleccione la caja de verificación Enable Drop from 128-bit to 40-bit.
Usualmente, sólo los clientes de fuera de Estados Unidos usan esta caja de verificación.
RUVPN con PPTP soporta hasta 50 usuarios al mismo tiempo. El Firebox® da una dirección IP abierta a cada
usuario RUVPN entrante, entre un grupo de direcciones disponibles. Esto continúa hasta que todas las direc-
ciones estén en uso. Cuando un usuario cierra una sesión, la dirección vuelve a figurar entre las disponibles.
El usuario subsiguiente que entre al sistema obtiene esta dirección. Para más información sobre cómo obte-
ner direcciones IP para clientes RUVPN, ver “Direccionamiento IP” en el capítulo 18. Se deben configurar dos
o más direcciones IP de PPTP para operar correctamente. Desde la pestaña PPTP en la caja de diálogo
Remote Users Configuration:
1 Haga click en Add.
Aparecerá la caja de diálogo Add Address
2 Desde el menú desplegable Choose Type, elija Host IP (para una única dirección IP) o Host Range
(para un rango de direcciones IP).
Puede configurar 50 direcciones. Si selecciona Host IP, debe añadir al menos dos direcciones IP. Si selecciona Range y
añade un rango de direcciones IP mayor que 50 direcciones, RUVPN con PPTP usa las primeras direcciones en el rango.
3 En la caja de texto Value, escriba las direcciones de IP host. Si selecciona Host Range, escriba las
primeras direcciones en el rango. Haga click en OK.
Escriba las direcciones IP que no estén en uso y que el Firebox puede dar a los clientes durante las sesiones RUVPN con
PPTP. La dirección aparece en la lista de direcciones disponibles para clientes remotos.
4 Repita el procedimiento para configurar todas las direcciones a utilizar con RUVPN con PPTP.
Para crear un tunel PPTP VPN con el Firebox®, un usuario remoto tipea su nombre de usuario y contraseña
para autenticarse. El software WatchGuard® System Manager usa esta información para autenticar al usua-
rio en el Firebox. Cuando se activa PPTP en la configuración del Firebox, se crea automáticamente un
grupo de usuarios por defecto. Este grupo de usuarios se llama pptp_users. Verá este nombre de grupo
cuando cree un nuevo usuario o añada nombres de usuario a las políticas.
Para más información sobre grupos Firebox, ver “Implementando Autenticación” en el capítulo 10.
3 Para añadir un nuevo usuario, haga click en el botón Add que está bajo la lista Users.
Aparecerá la caja de diálogo Setup Firebox User.
4 Escriba un nombre de usuario y una passphrases clave para el nuevo usuario. Escriba la passphrases
nuevamente para confirmarla. El nuevo usuario quedará puesto en la lista Users.
La caja de diálogo Authentication Servers permanecerá abierta para que pueda agregar más usuarios.
5 Para cerrar la caja de diálogo Authentication Servers, haga click en OK.
Puede utilizar los usuarios y grupos para configurar políticas. Vea la sección subsiguiente.
Los usuarios RUVPN no tienen acceso a privilegios a través del Firebox®. Se deben agregar nombres de
usuarios o el grupo completo de usuarios PPTP a las políticas para dar a los usuarios remotos acceso a deter-
minados recursos de la red. WatchGuard® recomienda dos procedimientos para configurar políticas de tráfi-
co RUVPN: por políticas individuales, o usando la política “Any” (cualquiera). Es mejor configurar políticas
individuales para controlar el tráfico RUVPN. Usar la política “Any” abre un agujero a través del Firebox para
los usuarios autenticados RUVPN. Esto permite todo el tráfico fluir entre hosts y no aplica reglas de firewall.
Es un riesgo de seguridad.
Nota
Para usar WebBlocker para controlar el acceso de los usuarios remotos, añada usuarios o grupos PPTP a
una política proxy que controle WebBlocker, como HTTP-Proxy. Use este tipo de política con cualquier
filtro de paquetes o política de proxy como alternativa a la política “Any”.
Primero se debe preparar cada computadora en uso como host remoto RUVPN con PPTP con acceso a
Internet. Luego, siga estos procedimientos utilizando las instrucciones de las secciones subsiguientes:
• Instale la versión necesaria de Microsoft Dial-Up Networking y los service packs que hagan falta.
• Prepare el sistema operativo para conexiones VPN
• Instale un adaptador VPN (no es necesario para todos los sistemas operativos).
Para instalar estas actualizaciones o service packs, vaya al sitio web del Microsoft Download Center en:
http://www.microsoft.com/downloads/search.asp
Para preparar un host remoto Windows XP, debe configurar la conexión de la red. Desde el Escritorio de
Windows de la computadora cliente:
1 Haga click en Inicio > Panel de Control > Conexiones de Red.
El Asistente para Conexiones de Red aparecerá.
2 Haga click en Crear una nueva conexión desde el menú de la izquierda. Se iniciará el Asistente para
Nueva Conexión. Haga click en Siguiente.
3 Haga click en Conectar a la red de mi lugar de trabajo. Haga click en Siguiente.
4 Haga click en Conexión a Red Privada Virtual. Haga click en Siguiente.
5 Dé un nombre a la nueva conexión, como “Conectar con RUVPN”. Haga click en Siguiente.
6 Seleccione no discar (para una conexión de banda ancha), o discar automáticamente esta conexión (para
una conexión por módem). Haga click en Siguiente.
El Asistente incluye esta pantalla si usa Windows XP SP2. No todos los usuarios de Windows XP la ven.
7 Escriba el nombre del host o la dirección IP de la interfaz externa del Firebox®. Haga click en Siguiente.
8 Seleccione quién puede usar este perfil de conexión. Haga click en Siguiente.
9 Seleccione Añadir acceso directo para esta conexión en el escritorio. Haga click en Finalizar.
10 Para conectarse esta nueva conexión VPN, primero realizar una conexión a Internet mediante discado o
directamente a través de la LAN o WAN.
11 Haga doble click en el acceso directo en el escritorio para esta conexión.
O seleccione Panel de control > Conexiones de red y busque en la lista de la Red Privada Virtual la conexión creada.
Para preparar un host remoto con Windows 2000, debe configurar la conexión de red.
Desde el Escritorio de Windows de la computadora cliente:
1 Haga click en Inicio > Panel de Control > Conexiones de Red.
El Asistente para Conexiones de Red aparecerá.
2 Haga click en Siguiente.
3 Haga click en Conectar a la red de mi lugar de trabajo. Haga click en Siguiente.
4 Haga click en Conexión a Red Privada Virtual.
5 Dé un nombre a la nueva conexión, como “Conectar con RUVPN”. Haga click en Siguiente.
6 Seleccione no discar (para una conexión de banda ancha), o discar automáticamente esta conexión
(para una conexión por módem). Haga click en Siguiente.
7 Escriba el nombre del host o la dirección IP de la interfaz externa del Firebox®. Haga click en Siguiente.
8 Seleccione Añadir acceso directo para esta conexión en el escritorio. Haga click en Finalizar.
9 Para conectarse esta nueva conexión VPN, primero realizar una conexión a Internet mediante discado o
directamente a través de la LAN o WAN.
10 Haga doble click en el acceso directo en el escritorio para esta conexión.
O seleccione Panel de control > Conexiones de red y busque en la lista de la Red Privada Virtual la conexión creada.
11 Escriba el nombre de usuario y passphrases para la conexión.
Esta información fue provista cuando se añadió al usuario a pptp_users. Ver “Agregando nuevos usuarios al PPTP_Users
Authentication Group” en este capítulo.
12 Haga click en Conectar.
La funcionalidad WebBlocker del WatchGuard® Fireware® utiliza el proxy HTTP para controlar el tráfico de la
web. Se pueden elegir las horas exactas en que los usuarios tienen permitido navegar por Internet. También
se pueden seleccionar las categorías de sitios web a los que los usuarios no deben ir.
Para instalar WebBlocker, hay que tener una clave de licencia de WebBlocker y registrarlo en el sitio web de
LiveSecurity. Una vez registrada esta clave de licencia, LiveSecurity dará una nueva clave o “Feature Key”.
Para instalar esta Feature Key:
1 Desde el Policy Manager, seleccione Setup > Licensed Features.
Aparecerá la caja de diálogo “Firebox License Keys”
4 En la caja de diálogo Add Firebox License Key, escriba o pegue la clave de licencia. Luego puede
hacer click en Import para encontrarla en su computadora o red. Haga click en OK.
La clave de licencia aparecerá en la caja de diálogo de Firebox License Keys.
Se puede instalar el Web Blocker Server en su estación de administración WatchGuard® la primera vez que
se configura el WatchGuard System Manager. También se puede instalar el software Web Blocker Server en
una computadora diferente. Para hacerlo, utilice el mismo método que usó para instalar el software
WatchGuard System Manager, pero seleccione sólo el componente Web Blocker Server.
Los sistemas operativos soportados por Web Blocker Server son Windows 2000 y Windows 2003.
Nota
Si instala uno de los servidores WSM en una computadora con un firewall personal distinto del de
Microsoft, puede abrir los puertos de los servidores para conectarse a través del firewall. Para permi-
tir conexiones al Web Blocker Server, abra el puerto UDP 5003. No es necesario cambiar su configura-
ción si usa el firewall de Microsoft Windows. Ver el capítulo 2 “Comenzando” para más información.
Nota
La base de datos del WebBlocker tiene más de 95 MB de datos. Su velocidad de conexión establece
la velocidad de la descarga, y éste puede demorar más de 30 minutos. Asegúrese de que el disco
rígido tenga un mínimo de 200 MB de espacio libre.
Activando el WebBlocker
Antes de usar WebBlocker en una política proxy HTTP, hay que usar el asistente Activate WebBlocker para
habilitar la función y crear una configuración básica. Para hacerlo:
1 Desde el WatchGuard® System Manager, seleccione Firebox® para usar el WebBlocker.
2 Seleccione Tools > Policy Manager.
o
puede hacer click en el ícono del Policy Manager en la barra de tareas del WatchGuard System Manager.
3 Desde el Policy Manager, seleccione Tasks > WebBlocker > Activate.
Comenzará el Asistente Activate WebBlocker.
Nota
Para impedir que los usuarios accedan desde sitios web que hacen anónima su entrada, bloquee la
categoría Remote Proxies en el WebBlocker.
Configurando el WebBlocker
Luego de usar el Asistente Activate WebBlocker para activar WebBlocker y crear una configuración básica, se
pueden configurar más opciones.
1 Desde el Policy Manager, seleccione Tasks > WebBlocker > Configure.
Aparecerá la caja de diálogo Configure WebBlocker y se verán las políticas proxy HTTP ya creadas.
La caja de de diálogo WebBlocker Configuration incluye pestañas para configurar servidores, categorías,
excepciones y funciones avanzadas.
Nota
Para impedir que los usuarios accedan desde sitios web que hacen anónima su entrada, bloquee la
categoría Remote Proxies en el WebBlocker.
Para servidores en el puerto 80, no incluya el puerto. Para servidores distintos del 80, añada “ :port”. Por ejem-
plo: 10.0.0.1:8080. Puede también usar el comodín para el puerto —por ejemplo, 10.0.0.1:*— pero esto no
aplica para el puerto 80.
Puede crear excepciones al WebBlocker usando cualquier parte de un URL. Puede establecer un número de
puerto, nombre de dirección web, o cadena de caracteres que deba bloquearse para un determinado sitio
web. Por ejemplo, si es necesario bloquear sólo www.sharedspace.com/~dave porque tiene fotografías
inapropiadas, escriba “www.sharedspacecom/~dave/*”.
Esto permite a los usuarios navegar por www.sharedspace.com/~julia, que podría tener contenidos que sí
quiere que los usuarios vean.
Para bloquear URLs que contengan la palabra “sex” en el path, puede escribir “*/*sex*”. Y para bloquear URLs
que contengan “sex” en el path o en el nombre de host, escriba “*sex*”.
Se pueden bloquear puertos en un URL. Por ejemplo, fíjese en el URL http://www.hackerz.com/warez/
index.html:8080. Este URL hace que el navegador use el protocolo HTTP sobre el puerto TCP 8080, en vez del
método por defecto que utiliza el TCP 80. Puede bloquear el puerto que coincida con *8080.
1 Para crear excepciones a las categorías WebBlocker, haga click en la pestaña Exceptions.
2 Haga click en el signo “+” para añadir una nueva regla de excepción.
3 Haga click en la columna Action para acceder a la lista desplegable Action. Seleccione hacer que
WebBlocker permita o prohíba la excepción.
4 Escriba un nombre para la excepción en la caja de texto Name.
5 Haga click en la columna Match Type para acceder a la lista desplegable Match Type:
Pattern match (coincidencia de patrones): asegúrese de sacar el prefijo “http://” e incluir “/* al final.
Exact match (coincidencia exacta): seleccione esta opción para que la coincidencia sea carácter por
carácter. Si ingresa una excepción que permita www.yahoo.com como coincidencia exacta solamente,
y el usuario escribe “www.yahoo.com/news”, la solicitud es denegada.
Regular expression (expresión regular): soporta caracteres comodín usuales en un shell script.
6 Escriba el patrón que quiere identificar como una excepción en la caja de texto Pattern.
7 Haga click en la caja de verificación Log si quiere que se registre un mensaje cada vez que se ejecuta
una acción basada en una excepción al WebBlocker.
8 Para activar la excepción, haga click en la caja de verificación Enabled.
9 En la sección Use category list, puede configurar la acción que debe ocurrir si el URL no coincide con
las excepciones configuradas. Si quiere usar la lista de la pestaña Categories para determinar la accesi-
bilidad, haga click en el botón radial superior. Si quiere denegar el acceso, haga click en el botón radial
inferior. Si deniega el acceso, puede seleccionar la caja de diálogo bajo el botón radial para registrar un
mensaje para esa acción.
2 Puede ajustar la configuración Cache size (tamaño del caché) para mejorar el rendimiento del
WebBlocker. Use las flechas para cambiar la cantidad de entradas en el caché o escriba un número.
3 Puede establecer un valor y una acción a ocurrir cuando el servidor esté fuera de servicio. Si quiere
permitir el web site cuando el servidor esté fuera de servicio, seleccione Allow the user to view the
website (permitir al usuario ver el sitio web). Si quiere denegar el sitio web, seleccione Deny access to
the website (denegar el acceso al sitio web).
El correo electrónico no solicitado, también conocido como spam, llena una casilla de entrada promedio a
una velocidad asombrosa. Un gran volumen de spam disminuye el ancho de banda, degrada la productivi-
dad del empleado y desperdicia recursos de la red. La opción WatchGuard® spamBlocker™ usa tecnología
líder de la industria en detección de patrones, a partir del Commtouch®, para bloquear el spam en su gate-
way de Internet e impedir que llegue a su servidor de correo electrónico. SpamBlocker busca patrones de
ataque de spam, en vez de contenidos en correos electrónicos individuales. Dado que busca patrones,
puede detectar spam en cualquier lenguaje, formato o método de codificación.
Para instalar spamBlocker™ debe tener una clave de licencia spamBlocker y registrarla en el sitio web de
LiveSecurity. Una vez registrada esta clave de licencia, LiveSecurity dará una nueva clave o “Feature Key”.
Activando el spamBlocker
Para activar el spamBlocker™ se usa un Asistente que inicia esta función y crea una configuración básica.
1 Desde el WatchGuard® System Manager, seleccione el Firebox® que usará el spamBlocker.
2 Seleccione Tools > Policy Manager.
o
puede hacer click en el ícono del Policy Manager en la barra de tareas del WatchGuard System Manager.
4 Haga click a través del Asistente y agregue la información que le vaya pidiendo. El Asistente tiene estas
pantallas:
Configurando el spamBlocker
Luego de usar el asistente del spamBlocker para activar spamBlocker y crear una configuración básica,
puede establecer otros parámetros de configuración.
1 Desde el Policy Manager, seleccione Tasks > spamBlocker > Configure.
Aparecerá la caja de diálogo del spamBlocker con un listado de las políticas SMTP, donde se muestra si spamBlocker está
activado para cada política.
3 Cuando usted utilizó el Asistente Activate spamBlocker, estableció las acciones que el spamBlocker
aplicaría para el correo electrónico en las categorías Spam, Bulk y Suspect. Puede cambiar estas acciones
en esta caja de diálogo.
4 Si quiere que se registren mensajes para determinada respuesta del spamBlocker, seleccione la caja de
verificación Log. Si no quiere registrar este tipo de mensajes, deje vacía la caja de verificación Log.
5 Asegúrese de que el DNS esté activado en el Firebox que aplica las reglas del spamBlocker.
Nota
Si usted tiene cualquier firewall perimetral entre el Firebox que usa el spamBlocker y la Internet, éste
no debe bloquear el tráfico HTTP. El protocolo HTTP se usa para enviar solicitudes desde el Firebox
hacia el servidor del spamBlocker.
2 Seleccione una regla de acción: Allow (permitir), Tag subject (marcar el Asunto) o Deny (Denegar).
3 Escriba un remitente, destinatario o ambos. Puede escribir el nombre completo o utilizar comodines.
Muchos administradores de red permiten la llegada de correo electrónico que no esté confirmado como
spam a las casillas de sus respectivos destinatarios. Luego establecen reglas en el software cliente de e-
mail para que cualquier mensaje marcado como sospechoso o masivo sea puesto en una carpeta especial.
El procedimiento que sigue da instrucciones sobre cómo configurar el cliente de correo electrónico
Microsoft Outlook. Para más información sobre cómo usar este procedimiento en otros tipos de clientes
de e-mail, mire la documentación para usuarios de dichos productos.
Antes de comenzar, asegúrese de configurar la acción para correo spam o masivo en Add Subject Tag.
Puede usar las marcas por defecto o crear marcas personalizadas. Los pasos que siguen describen cómo
crear carpetas con las marcas por defecto.
1 Desde la Bandeja de Entrada de Outlook, seleccione Herramientas > Reglas y Alertas.
2 Haga click en Nueva Regla para iniciar el Asistente de Reglas.
3 Seleccione Iniciar desde una regla en blanco.
4 Seleccione Comprobar los mensajes cuando lleguen. Haga click en Siguiente.
5 Seleccione la caja de verificación con la condición Con cierto texto en el asunto. Luego, en el panel
inferior, edite la descripción de la regla haciendo click sobre el vínculo a “cierto texto”. En la caja de diálo-
go Buscar texto, escriba la marca de spam como ***SPAM***. Si usa una marca personalizada, escríbala
en su lugar. Haga click en Agregar. Haga click en Aceptar.
6 Haga click en Siguiente.
7 El Asistente le preguntará qué desea hacer con el mensaje. Seleccione la caja de verificación Mover a la
carpeta especificada. Luego, en el panel inferior, haga click en la palabra especificada para seleccionar
la carpeta de destino.
8 En la caja de diálogo Elija una carpeta, haga click en Nueva. En el campo Nombre, escriba Spam. Haga
click en Aceptar.
9 Haga click dos veces en Siguiente.
10 Para completar la configuración de la regla, escriba un nombre para la regla de spam. Haga click en
Finalizar.
11 Haga click en Aplicar.
12 Repita estos pasos para crear una regla para correo electrónico masivo, utilizando la marca de correo
electrónico Bulk. Puede enviar el correo electrónico masivo a la misma carpeta, o crear carpetas separa-
das para este tipo de e-mail.
Un mensaje de correo electrónico es un falso positivo cuando es un mensaje legítimo que el spamBlocker
identifica incorrectamente como spam. Un mensaje de correo electrónico es un falso negativo si es un spam
que el spamBlocker no identifica correctamente como spam. Si usted encuentra e-mails que son falsos posi-
tivos o negativos, puede informar el error de clasificación directamente a Commtouch. Debe tener acceso al
mensaje de correo electrónico para enviar el informe. Para saber cómo enviar un informe sobre falsos positi-
vos o negativos, vaya a:
https://www.watchguard.com/support/advancedfaqs/fw_spam-report.asp
Se puede usar el Firebox® System Manager para monitorear la actividad del spamBlocker.
1 Desde el Firebox® System Manager, seleccione el Firebox cuya actividad del spamBlocker quiere monito-
rear.
2 Seleccione Tools > Firebox System Manager.
O
puede hacer click en el ícono del Firebox System Manager sobre la barra de tareas del WatchGuard System
Manager.
3 Desde el Firebox System Manager, haga click sobre la pestaña Security Services.
Aparecerán en la parte de abajo de la pantalla las estadísticas del spamBlocker.
Nota
El spamBlocker no detecta spam en el correo electrónico saliente.
Los hackers usan muchos métodos para atacar computadoras en Internet. Estos ataques (denominados
intrusiones en este capítulo) son creados para causar daño a su red, conseguir información sensible o usar
sus computadoras para atacar otras redes.
WatchGuard® ofrece el Gateway AntiVirus/Intrusion Prevention Service (GAV/IPS), que puede identificar y
detener una posible intrusión. El servicio de prevención de intrusiones opera con todas las proxies
WatchGuard. El WatchGuard Gateway AntiVirus opera con las proxies SMTP, HTTP y TCP.
Cuando un nuevo ataque de intrusión es identificado, se registran las características que convierten en
único dicho virus o ataque. Estas características registradas se conocen como la firma (signature). GAV/IPS
usa estas firmas para encontrar virus y ataques de intrusos.
Frecuentemente aparecen en Internet nuevos virus y métodos para hacer intrusiones. Para asegurarse de
que GAV/IPS brinda la mejor protección, debe actualizar las firmas con frecuencia. Puede configurar el
Firebox® para actualizar las firmas automáticamente desde WatchGuard. También puede actualizar las firmas
manualmente.
Nota
WatchGuard no puede garantizar que el producto pueda detener todos los virus e intrusiones, o pre-
venir el daño a sus sistemas proveniente de ataques de virus o intrusos.
Para instalar Gateway AntiVirus/Intrusion Prevention Service, debe tener una clave de licencia spamBlocker
y registrarla en el sitio web de LiveSecurity. Una vez registrada esta clave de licencia, LiveSecurity dará una
nueva clave o “Feature Key”.
Para instalar esta Feature Key:
1 Desde el Policy Manager, seleccione Setup > Licensed Features.
Aparecerá la caja de diálogo “Firebox License Keys”
WatchGuard® Gateway AntiVirus (GAV) detiene los virus antes de que lleguen a las computadoras de su
red. GAV opera con las proxies de WatchGuard SMTP, HTTP y TCP. Cuando se activa GAV, las proxies SMTP,
HTTP y TCP examinan los mensajes de correo electrónico y el tráfico web, y remueven cualquier virus que
encuentren (la configuración GAV de una política TCP es una acción de la proxy HTTP referenciada por la
acción de la proxy TCP que corresponda con ella).
Nota
Si su organización no usa un servidor de correo electrónico protegido por el Firebox, el Gateway
AntiVirus no protegerá contra virus de e-mail.
Si activa el Gateway AntiVirus con una SMTP proxy, encontrará virus codificados con los métodos frecuen-
temente utilizados en los adjuntos de los e-mails. Éstos incluyen codificaciones base64, binaria, 7-bit y 8-
bit. Gateway AntiVirus no encuentra virus en mensajes no codificados o con codificación binhex. El
Firebox® saca estos tipos de mensajes.
Si usted activa el Gateway AntiVirus con la SMTP proxy, encontrará virus en páginas web que los usuarios
intenten descargar. Si un virus es hallado, la conexión del usuario se interrumpirá (GAV no da una notifica-
ción sobre por qué la conexión se cayó).
Apply Gateway AntiVirus Settings to your policies (Aplicar parámetros del Gateway
AntiVirus a sus políticas)
Esta pantalla incluye una lista de las políticas para proxy que ya estén en su Firebox. En dicho listado, selec-
cione las políticas de proxies para las cuales quiere habilitar el Gateway AntiVirus. Aquellas políticas que ya
tengan habilitado el Gateway AntiVirus aparecerán grisadas.
Luego de usar el Asistente Activate Gateway AntiVirus para activar GAV y crear una configuración básica,
puede refinar aún más la configuración.
1 Desde el Policy Manager, seleccione Tasks > Gateway AntiVirus > Configure.
Aparecerá la caja de diálogo Gateway AntiVirus, donde aparecen listadas las políticas SMTP, HTTP y TCP ya creadas.
3 Los campos en esta caja de diálogo establecen las acciones necesarias si se encuentra un virus en
un mensaje de e-mail. También se utiliza esta caja de diálogo para configurar acciones para cuando un
mensaje de correo electrónico contenga un archivo adjunto demasiado grande, o que el Firebox no
pueda examinar. En la sección Actions, use el listado desplegable para seleccionar una acción del
Firebox para cada una de estas condiciones:
Allow (permitir)
Permite al adjunto llegar a su destinatario, aunque el contenido contenga un virus.
Drop (descartar)
Descarta el adjunto e interrumpe la conexión. Ninguna información es enviada a la fuente del mensa-
je.
Block (bloquear)
Bloquea el adjunto, y añade la dirección IP del remitente a la lista de sitios bloqueados (Blocked Sites).
Nota
Si establece una configuración que permita adjuntos, esa configuración será menos segura.
2 Para analizar archivos adjuntos comprimidos, seleccione la caja de verificación Decompress archives.
Seleccione o escriba la cantidad de niveles de compresión a analizar.
Los adjuntos comprimidos que no pueden ser analizados incluyen archivos encriptados o aquellos que utilizan un tipo
de compresión al cual no damos soporte, como archivos .zip protegidos con contraseña. Use la caja de diálogo Gateway
AntiVirus > Configure para establecer acciones para cuando el Firebox encuentre un mensaje que no pueda analizar.
3 Ingrese el tamaño máximo en kilobytes para los mensajes de e-mail.
Se puede ver el estado del Gateway AntiVirus y conseguir sus actualizaciones desde la pestaña Security
Services en el Firebox® System Manager.
Los hackers usan muchos métodos para atacar computadoras en Internet. La función de estos ataques es
causar daño a su red, conseguir información sensible o usar sus computadoras para atacar otras redes.
Estos ataques se conocen como intrusiones.
Nuestro Prevention Service se usa para hallar y detener ataques con las proxies WatchGuard. El Firebox®
Intrusion Prevention Service examina tráfico DNS, FTP, HTTP y SMTP. Y utiliza la proxy TCP para analizar otro
tráfico basado en TCP.
Antes de usar el IPS en una política para proxy, debe ejecutar el Asistente Activate Intrusion Prevention
para activar la función y crear una configuración básica. Para hacerlo:
1 Desde el WatchGuard® System Manager, seleccione el Firebox® que usará el IPS.
2 Seleccione Tools > Policy Manager.
o puede hacer click en el ícono del Policy Manager en la barra de tareas del WatchGuard System Manager.
3 Desde el Policy Manager, seleccione Tasks > Intrusion Prevention > Activate.
Comenzará el Asistente Activate Intrusion Prevention.
2 (sólo para HTTP) debajo de Signatures, haga click sobre una o ambas cajas de verificación para usar una
lista más precisa de firmas para endpoints del cliente HTTP, endpoints del servidor HTTP, o ambos.
3 En la sección Actions, use la lista desplegable para seleccionar la acción del Firebox para cada nivel de
seguridad.
Allow (permitir)
Permite un paquete, de modo que llegue a su destinatario aunque su contenido coincida con una
firma.
Deny (denegar)
Deniega el paso a un paquete para detenerlo y envía un paquete TCP de reset al remitente.
Drop (excluir)
Excluye un paquete para denegarlo, pero no envía un paquete TCP de reset al remitente.
Block (bloquear)
Bloquea un mensaje para excluir un paquete, y añade la dirección IP de la que dicho paquete comen-
zó a la lista de sitios bloqueados (Blocked Sites).
2 Seleccione la acción que el Firebox tomará cuando detecte IM: Allow, Drop, Deny o Block.
3 Seleccione IM Signature Categories para activar conjuntos de firmas para los diferentes servicios de
IM. Luego se puede deseleccionar servicios individualmente.
Bloqueando spyware
Las proxies HTTP y TCP proveen estas categorías antispyware:
Adware
Es una aplicación de software en la cual se muestran banners de publicidad mientras el programa
está en operación. A veces incluye código que registra información personal del usuario y la envía a
terceros, sin la autorización ni conocimiento del usuario.
Dialer
Es una aplicación de software que puede secuestrar el módem del usuario y discar números de
pago que dan acceso a sitios web inapropiados.
Downloader
Es un programa que consigue e instala otros archivos. La mayoría está configurada para conseguir
archivos de determinado sitio web o FTP.
Hijacker
Es un tipo de programa malware que modifica la configuración del navegador de la computadora y
lo redirige hacia sitios que uno no planeaba visitar.
Trackware
Es cualquier software que utiliza la conexión a Internet de la computadora para enviar información
personal sin el permiso del usuario.
1 Desde los campos de Intrusion Prevention Services en la proxy HTTP, haga click en la pestaña
Antispyware.
2 Seleccione la acción que el Firebox tomará cuando detecte spyware: Allow, Drop, Deny o Block.
Nota
Si la configuración permite adjuntos, será menos segura.
2 Escriba las firmas de IPS, IM, P2P o Antispyware que quiera deshabilitar. Haga click en Add.
1 Desde la caja de diálogo Intrusion Prevention, seleccione la proxy cuya configuración quiere copiar,
haga click derecho, y seleccione Copy IPS Configuration.
2 Desde la misma caja de diálogo, seleccione la o las proxies cuya configuración quiere copiar, haga click
derecho y seleccione Paste IPS Configuration.
3 Haga click en History para ver la fecha, versión y estado de las actualizaciones de firmas que hayan
ocurrido.
Nota
La mayoría de las funciones avanzadas de red descriptas en este capítulo —Quality of Service y proto-
colos dinámicos de enrutamiento OSPF y BGP— sólo están disponibles en Fireware® Pro. Solamente el
protocolo dinámico de enrutamiento RIP está disponible con Fireware.
Las funciones de red avanzadas están diseñadas para dar al administrador del Firebox® más control y una
mayor eficiencia con el tráfico de una red que sea muy grande o de alto tráfico. Estas funciones incluyen:
Quality of Service (Calidad de Servicio, o QoS)
Esta función le permite establecer colas de prioridad, restricciones de ancho de banda y límites a la
tasa de conexiones para políticas individuales.
Enrutamiento dinámico
Además del enrutamiento estático, el Firebox puede usar los protocolos de enrutamiento dinámico
RIP versiones 1 y 2, OSPF versión 2 y BGP versión 4. Estos protocolos de enrutamiento permiten la
modificación dinámica de tablas de enrutamiento.
Nota
Esta función sólo está disponible en Fireware® Pro.
En una red grande, con muchas computadoras, el volumen de datos movido a través del firewall puede ser
muy grande. Cuando el tráfico es excesivo para la red, hay paquetes de datos que se caen. Un administrador
de red puede prevenir la pérdida de datos para las aplicaciones de negocios importantes mediante Quality
of Service (QoS). Por ejemplo, se puede asignar que el tráfico del tipo intercambio de datos entre oficinas
centrales y sucursales tenga una prioridad más alta que el generado por la navegación por la web.
Con Fireware® Pro, se pueden establecer acciones de Quality of Service (QoS) y aplicarlas a las políticas, y así
asegurar que el ancho de banda esté siempre disponible para el tráfico importante.
También se puede definir una alarma que se dispare cuando la capacidad de la red resulte excedida, de
acuerdo con los parámetros establecidos para la acción QoS. Puede configurar la alarma para hacer que el
Firebox® envíe una notificación de evento al sistema de administración del SNMP, o que envíe una notifica-
4 Use los botones View/Edit o New/Clone (a la derecha de los campos Schedule y QoS) para cambiar las
propiedades de la acción QoS o para crear una nueva de esa política.
5 Haga click en OK. Guarde los cambios en el Firebox.
Enrutamiento Dinámico
Un protocolo de enrutamiento es el lenguaje con el que un router habla con otros routers para compartir
información sobre el estado de las tablas de enrutamiento de la red. Con el enrutamiento estático, las
tablas de enrutamiento se establecen y no cambiarn. Si un router en el camino remoto falla, un paquete
no puede llegar a destino.
El enrutamiento dinámico permite cambiar las tablas de enrutamiento en los routers cuando las rutas
cambian. Si el mejor camino hacia un destino no puede usarse, los protocolos de enrutamiento dinámico
cambian las tablas de enrutamiento cuando sea necesario para mantener en movimiento el tráfico de su
red. Fireware® Pro soporta los protocolos de enrutamiento dinámico RIP v1 y v2, OSPF y BGP v4. Fireware
soporta solamente RIP v1 y v2.
Usando RIP
Nota
El soporte para este protocolo está disponible tanto para Fireware® como para Fireware Pro.
RIP (Routing Information Protocol) se usa para administrar información sobre el router en una red auto
contenida, como una LAN corporativa o una WAN privada. Con RIP, un gateway host envía su tabla de
enrutamiento hacia el router más cercano cada 30 segundos. Este router, a su vez, envía los contenidos de
sus tablas de enrutamiento hacia los routers vecinos.
RIP es mejor para redes pequeñas. Esto es así porque la transmisión de la tabla de enrutamiento completa
puede implicar una gran carga de tráfico para la red, y porque las tablas RIP están limitadas a 15 hops.
OSPF es una alternativa mejor para redes mayores.
RIP Versión 1
RIP V1 utiliza un broadcast UDP sobre el puerto 520 para enviar actualizaciones hacia las tablas de enruta-
miento. Para crear o modificar un archivo de configuración de enrutamiento, aquí hay una tabla de coman-
dos de enrutamiento soportados. Las secciones deben aparecer en el archivo de configuración en el mismo
orden en que aparecen en esta tabla. También puede utilizar el mismo archivo de configuración RIP que se
encuentra en este FAQ:
https://www.watchguard.com/support/advancedfaqs/fw_dynroute-ex.asp
3 Haga click en Import para importar un archivo de configuración del demonio de enrutamiento, o escriba
su archivo de configuración en la caja de texto.
Si hace click en Import, puede navegar hacia la ubicación de la plantilla de configuración del demonio de RIP. Está ubicada
en C:\Documents and Settings\My Documents\My WatchGuard.
2 En la caja de diálogo New Policy Properties, configure la política para permitir el tráfico de la
dirección IP o de red del router que use RIP hacia la interfaz de Firebox® a la cual se conecta.
También debe añadir la dirección IP de broadcast de la red.
RIP Versión 2
RIP v2 usa el método multicast para enviar actualizaciones de tablas de enrutamiento. Para crear o modifi-
car un archivo de configuración de enrutamiento, fíjese en la tabla de comandos RIP soportados en la sec-
ción RIP Version 1. Cualquier comando que utiliza una dirección IP de red debe incluir la máscara de
subred, o RIP v2 no funcionará. Las secciones deben aparecer en el archivo de configuración en el mismo
orden en que aparecen en esa tabla.
2 En la ventana New Policy Properties, configure la política para permitir el tráfico desde la dirección IP
o de red del router que usa RIP hacia la dirección multicast 224.0.0.9.
Usando OSPF
Nota
Esta función sólo está disponible en Fireware® Pro.
OSPF (Open Shortest Path First) es un protocolo interior del router utilizado en grandes redes. Con OSPF,
un router que ve un cambio en su tabla de enrutamiento, o detecta un cambio en la red, envía inmediata-
mente una actualización multicast hacia todos los demás routers de la red. OSPF difiere de RIP en que:
• OSPF envía solamente la parte de la tabla de enrutamiento que cambió en su transmisión.
RIP envía la tabla de enrutamiento completa cada vez.
• OSPF envía un multicast solamente cuando su información cambió. RIP envía la tabla de
enrutamiento cada 30 segundos.
Hay otras cosas específicas que es importante entender sobre OSPF:
• Si tiene más de un área OSPF, una de ellas debe ser la 0.0.0.0 (el área backbone).
• Todas las áreas deben ser adyacentes al área backbone. Si no lo son, debe configurar un vínculo
virtual hacia el área backbone.
2 En la ventana New Policy Properties, configure la política para permitir el tráfico desde la dirección
IP o de red del router que usa OSPF hacia las direcciones IP 224.0.0.5 y 224.0.0.6. Haga click en OK.
Usando BGP
Nota
Esta función sólo está disponible en Fireware® Pro.
Border Gateway Protocol (BGP) es un protocolo de enrutamiento dinámico y escalable utilizado por grupos
de routers para compartir información de enrutamiento. BGP es el protocolo de enrutamiento que se usa en
la Internet. BGP usa parámetros de ruta o “atributos” para definir políticas de enrutamiento y crear un entor-
no de enrutamiento estable. BGP le permite anunciar más de un camino hacia y desde la Internet hasta su
red y sus recursos. Esto le brinda caminos redundantes y puede incrementar su disponibilidad (uptime).
Los hosts que usan BGP utilizan TCP para enviar información actualizada sobre las tablas de enrutamiento
cuando encuentran un cambio. El host envía solamente la parte de la tabla de enrutamiento que tiene el
cambio. BGP usa “classless interdomain routing (CIDR)” para reducir el tamaño de las tablas de enrutamiento
de Internet. El tamaño de la tabla de enrutamiento BGP en Fireware® Pro está establecido en 32 K.
El tamaño de la típica red de área amplia (WAN) de los clientes de WatchGuard® se ajusta mejor al enruta-
miento por OSPF dinámico. Una WAN también puede usar External Border Gateway Protocol (EBGP) cuando
esté disponible más de un gateway hacia Internet. EBGP le permitirá tomar plena ventaja de la posible
redundancia que hay con una red que tenga dos o más Sistemas Autónomos independientes (multihomed
network).
Para participar en EBGP con un ISP debe tener un número autónomo de sistema, o ASN (Autonomous
System Number). Debe conseguir un ASN de uno de los registros regionales de la tabla de abajo. Luego de
tener asignado su propio ASN, debe contactar a cada ISP para obtener sus números AS y otra información
necesaria.
Nota
Alta Disponibilidad sólo está disponible en Fireware® Pro.
Alta Disponibilidad (HA) se refiere a la capacidad de una red de operar cuando el hardware o el software
falla. Si usted añade redundancia a su red, eliminará un punto de vulnerabilidad.
La función WatchGuard® High Availability permite la instalación de dos dispositivos Firebox® en una confi-
guración failover (es decir, que produce una migración de un equipo a otro tras una falla). La configuración
incluye un Firebox que identificaremos como el dispositivo primario y otro que identificaremos como el
secundario. Uno de ellos siempre estará en modo activo y, el otro, en standby. Estos dos Fireboxes se cono-
cen como “pares” (“peers”). Constantemente estarán enviándose mensajes entre ellos para comunicarse su
respectivo estado.
Cuando ocurre un failover, el sistema que está en standby se activa. Cuando un Firebox se activa, permanece
activo hasta que algo lo ponga fuera de línea y, entonces, el Firebox que está en standby se inicia como la
unidad activa.
Este capítulo incluye dos métodos para configurar Alta Disponibilidad. Use el primer método si los dispositi-
vos a configurar para Alta Disponibilidad son equipos Firebox X Core o Peak e-Series. Si los dos Firebox son
Firebox X Core o Peak e-Series y no e-Series, puede usar tanto el primero como el segundo método.
Nota
La Alta Disponibilidad requiere una interfaz o interfaces dedicadas específicamente para
sincronización HA.
Cuando se activa Alta Disponibilidad, cada Firebox® en el par debe tener una “feature key” o clave que lo
habilite a usar la misma versión del software Fireware. Recomendamos que seleccione el Firebox con la
mayor cantidad de funciones habilitadas como Firebox primario. Si usted adquiere una actualización para
su par de Alta Disponibilidad, debe aplicar la actualización al número serial del Firebox primario cuando
active la actualización en el sitio de LiveSecurity. Ambos fireboxes en el par de Alta Disponibilidad usarán
las funciones licenciadas para el Firebox primario.
Si utiliza túneles IPSec VPN que usen certificados VPN para la autenticación, el Firebox secundario debe
obtener su propio sertificado IPSec VPN. Solamente el certificado del Management Server se copia desde
el Firebox primario hacia el secundario cuando ocurre un failover.
1 Desde el Policy Manager en el Firebox de HA primario, seleccione Network > High Availability.
La caja de diálogo High Availability aparecerá.
3 Haga click en Yes para resetear el Firebox a su estado por defecto y configúrelo como HA Firebox
secundario en el par HA.
Debe escribir la frase clave de la configuración para el HA Firebox secundario.
4 Use un cable cruzado para conectar la interfaz HA1 (eth7) de un Firebox con la interfaz HA1 del otro. Si
está habilitada la interfaz HA2 (eth6), conecte asimismo ambas interfaces HA2.
5 Abra el Firebox System Manager para el Firebox HA primario y seleccione Tools > High Availability
> Synchronize Configuration. Cuando se pueda, escriba la frase clave de la configuración.
Verá un mensaje que dice “High Availability is enabled”, o sea que HA ya está habilitada.
9 (Si seleccionó el botón radial Yes) En el campo Shared Secret, escriba un secreto compartido para
encriptar el tráfico HA entre Fireboxes. Escriba de nuevo el secreto compartido en el campo Confirm.
10 Guarde esta configuración en el Firebox activo.
11 Cierre el Policy Manager.
12 Use un cable cruzado para conectar la interfaz HA1 (eth5) de un Firebox con la interfaz HA1 del otro. Si
está habilitada la interfaz HA2 (eth4), conecte asimismo ambas interfaces HA2.
13 Ponga la unidad secundaria en modo seguro. Para hacerlo, apague el Firebox, luego délo vuelta hacia
usted y oprima el botón que tiene una flecha hacia arriba en el panel frontal del Firebox.
Aunque las operaciones de Alta Disponibilidad usualmente se producen automáticamente, también se pue-
den hacer algunas de estas funciones manualmente.
Forzando un failover
Se puede forzar que ocurra un failover. El sistema que está en standby se convertirá en activo inmediata-
mente. Desde el Firebox® System Manager, seleccione Tools > High Availability > Force Failover.
Sincronizando la configuración
Debe sincronizar la configuración cuando la configuración de un Firebox cambia mientras el otro está des-
conectado del par HA, o bien apagado.
Desde Firebox System Manager, seleccione Tools > High Availability > Synchronize Configuration.
Reiniciando el par
Cuando usted se conecta a una configuración HA, se comunica solamente con el Firebox activo. Para reini-
ciar el par de Fireboxes, debe enviar al Firebox activo un comando.
Desde el Firebox System Manager, seleccione Tools > High Availability > Restart Peer.
Nota
Cuando un Firebox está en una condición donde hay mucho tráfico y usted utilice el Firebox System
Manager para controlar operaciones HA, puede llegar a obtener mensajes de “time-out” (expiración)
incorrectos. En este caso, la operación puede haberse completado, y es posible que el mensaje de
time-out no sea correcto.
Las bases de datos de firmas para Gateway AntiVirus y Intrusion Prevention Service (IPS) no se sincronizan
automáticamente entre el dispositivos HA activos y los que están en standby.
Si las funciones de antivirus e IPS están habilitadas y ocurre un incidente que causa que el Firebox® en
standby se convierta en activo, este dispositivo puede tener una versión desactualizada de las bases de
datos de firmas para Gateway AntiVirus e IPS (especialmente si estuvo en standby por largo tiempo). Hasta
que sea actualizada la base de datos, pasará un tiempo durante el cual un virus nuevo podría sobrepasar
el Firebox.
Para minimizar este problema, mantenga los intervalos de actualización de las firmas para Gateway
AntiVirus y Intrusion Prevention Service habilitados y breves. Si es posible, fuerce una actualización manual
de firmas sobre el nuevo Firebox activo inmediatamente después de ocurrido el failover.
I M P O R TANTE: LEA CUIDADOSAMENTE. ESTE ACUERDO DE LICENCIA DE USUARIO FINAL DEL PRO-
D U C TO O SERVICIO ADICIONAL. (EL “ACUERDO”) ES UN ACUERDO LEGAL ENTRE USTED, EL CLIEN-
TE (“CLIENTE”) Y WATCHGUARD TECHNOLOGIES, INC. (“WATCHGUARD”). PARA ACTIVAR EL PRO-
D U C TO O SERVICIO ADICIONAL DESCRIPTO MÁS ABAJO (“PRODUCTO O SERVICIO ADICIONAL”), O
RENOVAR O ACTUALIZAR SU PRODUCTO O SERVICIO ADICIONAL USTED DEBERÁ PRIMERO LEER
ESTE ACUERDO Y ACORDAR ACEPTAR SUS TÉRMINOS INDICANDO SU ACEPTA C I Ó N COMO LO INDI-
patentes pendientes.
Microsoft®, Internet Explorer®, Windows® 95, Windows® 98, Windows NT®, Windows® 2000, Windows® 2003, y
Windows XP son marcas registradas o marcas registradas de Microsoft Corporation en EEUU y/o otros países.
Netscape y Netscape Navigator son marcas registradas de Netscape Communications Corporation en los EEUU y
otros países.
RealNetworks, RealAudio, y RealVideo son marcas registradas o marcas registradas de RealNetworks, Inc. en los
EEUU y/o otros países.
Las Licencias Java y todas las marcas y marcas comerciales basadas en Java son marcas comerciales o marcas
comerciales de Sun Microsystems, Inc. en los EEUU y otros países. Todos los derechos reservados.
Jcchart copyright® 1999 por KL Group Inc. Todos los derechos reservados.
WatchGuard, el logo de WatchGuard, Firebox, LiveSecurity, y cualquier otra marca listada como una marca comer-
cial en la parte “Términos de Uso” del sitio web de WatchGuard usada aquí, son marcas registradas o marcas de
WatchGuard Technologies, Inc. y/o sus respectivas subsidiarias en los EEUU y/o otros países. Todas las demás mar-
cas son propiedad de sus respectivos dueños.
Patentes
Patentes de EEUU Números: 6,493,752; 6,597,661; 6,618,755; D473,879. Otras Patentes Pendientes.
Licencias
Algunos componentes del Software WatchGuard System Manager software distribuidos con el código
fuente están cubiertos por una o más licencias de fuente abierta de terceras partes. Incluimos abajo el
texto completo de las licencias, tal como se requiere en el texto de cada una. Para obtener el código fuen-
te cubierto bajo estas licencias, por favor contacte a Soporte técnico de WatchGuard al:
• 877.232.3531 en los Estados Unidos y Canadá
• +1.360.482.1083 desde los otros países.
Es gratis bajar este código fuente de Internet. El costo de envío del CD es de U$S 35.
Licencia SSL
Este producto incluye software desarrollado por el proyecto OpenSSL para uso en el conjunto de herra-
mientas de OpenSSL.
Licencia OpenSSL
© 1998-2003 Proyecto OpenSSL. Todos los derechos reservados. La redistribución y el uso de las formas fuentes y
binarias con o sin modificaciones se permiten con el cumplimiento de las siguientes condiciones:
1. La redistribución del código fuente debe retener esta advertencia de copyright, esta lista de condiciones y los
siguientes descargos de responsabilidad.
2. Las redistribuciones en forma binaria deben reproducir esta advertencia de copyright, la lista de condiciones y
los siguientes descargos a la responsabilidad en la documentación y/o otros materiales provistos con la distribu-
ción.
3. Todos los materiales de publicidad que mencionen las características o el uso de este software deben mostrar el
siguiente reconocimiento: “Este producto incluye software desarrollado por el Proyecto OpenSSL para uso dentro
del conjunto de herramientas OpenSSL. (http://www.openssl.org)”.
4. Los nombres “OpenSSL Toolkit” y “OpenSSL Project” no deberán ser usados para endosar o promover los produc-
tos derivados de este software sin previo permiso escrito. Para obtener el permiso escrito por favor contactar a
opensslcore@openssl.org.
5. Los productos derivados de este software no podrán ser llamados “OpenSSL” y no podrán ser “OpenSSL” sin el
Licencia, como es indicado por una advertencia de copyright incluida o adosada a la obra. (Se provee un ejem-
plo en el apéndice más abajo).
“Obras Derivadas” significará cualquier obra, tanto en forma Fuente como Objeto, que esté basada en (o sea
derivada de) la Obra y para la cual las revisiones editoriales, anotaciones, elaboraciones u otras modificaciones
representan, como un todo, una obra de autoría original. Para los fines de esta Licencia, Obras Derivadas no
incluirán las obras que permanezcan en una forma separable o que estén simplemente conectadas (o ligadas por
el nombre) a las interfaces de la Obra y las Obras Derivadas de ella.
“Contribución” significará cualquier obra de autoría, incluyendo la versión original de la Obra y cualesquiera
otras modificaciones y adiciones a la Obra o a las Obras Derivadas de ella, que sean intencionalmente entrega-
das al Licenciatario para su inclusión en la Obra por el dueño o por un individuo o entidad legal autorizado para
entregarlas por parte del dueño del copyright. Para fines de esta definición, “entregado” significa cualquier
forma de comunicación, electrónica, verbal o escrita enviada al Licenciatario o sus representantes, incluyendo
pero no limitándose a, listas de correo electrónico, sistemas de control de código fuente, y sistemas de registro
de incidentes que son administrados por, o en nombre del Licenciatario para el fin de discutir y mejorar la obra,
pero excluyendo comunicaciones que estén manifiestamente señaladas como “No Contribuciones”.
“Colaborador” significará todo Licenciatario y cualquier individuo o Entidad Legal de quien el Licenciatario reci-
ba una Contribución y subsecuentemente la incorpore a la Obra.
2. Otorgamiento de la licencia de Copyright. Sujeto a los términos y condiciones de esta Licencia cada
Colaborador aquí le otorga a Usted una licencia perpetua, mundial, no exclusiva, gratuita, libre de royalties e
irrevocable, de copyright para reproducir, preparar Obras Derivadas, mostrar públicamente, usar públicamente,
sublicenciar y distribuir la Obra y las Obras Derivadas en formato Fuente u Objeto.
3. Otorgamiento de una Licencia de Patente. Sujeto a los términos y condiciones de esta Licencia, cada
Colaborador aquí le otorga a Usted una licencia perpetua, mundial, no exclusiva, gratuita, libre de royalties e
irrevocable (excepto como se establece en esta sección). Una licencia de patente para tener, haber hecho, usar,
ofrecer a la venta y de cualquier forma transferir la Obra, donde esa licencia se aplica solamente a aquellas
peticiones de patente licenciables por cada Colaborador que necesariamente no infrinjan por el Colaborador
mismo o por una combinación de sus Contribuciones con la Obra a las cuales esas Contribuciones han sido
entregadas. Si Usted establece un litigio que atente contra cualquier entidad (incluyendo una demanda cruzada
o contra demanda en juicio) alegando que la Obra o una Contribución incorporada de la Obra constituye, direc-
tamente o por contribución, una infracción a una patente, entonces cualquier patente otorgada a Usted bajo
esta Licencia y por la Obra terminará en la fecha de registro inicial de ese litigio.
4. Redistribución. Usted podrá reproducir y distribuir copias de la Obra y las Obras Derivadas en cualquier sopor-
te, con o sin modificaciones, en forma Fuente u Objeto, siempre que cumpla las siguientes condiciones: (a)
Usted debe dar a cualquiera de los receptores de la Obra u Obras Derivadas una copia de esta Licencia. (b) Usted
deberá incluir en los archivos modificados una advertencia notoria de que Usted ha modificado los archivos, y
(c) Usted debe retener, en la forma Fuente de cualquier Obra Derivada que Usted distribuya, todas las adverten-
cias de copyright, patentes, marcas comerciales y atribuciones de la Obra excluyendo aquellas advertencias que
no pertenezcan a ninguna parte de la Obra Derivada; y (d) Si la Obra incluye un archivo de texto de “ADVER-
TENCIA” como parte de su distribución, entonces cualquier Obra Derivada que Usted distribuya deberá incluir
una copia legible de las advertencias de atribución contenidas dentro de el archivo de A D V E R T E N C I A, exclu-
yendo aquellas advertencias que ya no pertenezcan a ninguna parte de la Obra Derivada, en al menos uno de
los siguientes lugares: dentro de un archivo de texto de A D V E R T E N C I A distribuido como parte de la Obra
Derivada; dentro de la forma Fuente o la documentación si se entregan junto con la Obra Derivada; o, dentro de
una pantalla generada por la Obra Derivada, si y donde sea que las advertencias de terceras partes normalmente
aparezcan. Los Contenidos de ese archivo de A D V E R T E N C I A son para fines informativos y no modifican la
Licencia. Usted puede agregar sus propias advertencias de atribución dentro de la Obra Derivada que Usted dis-
tribuya, a lo largo o como un agregado a la A D V E R T E N C I A de esta Obra, siempre que esa advertencia de atri-
bución adicional no pueda ser considerada como modificación de la Licencia. Usted puede agregar Sus propios
términos de Licencia y condiciones para uso, reproducción, o distribución de Sus modificaciones, o para cual-
quier Obra Derivada como un todo, cuando Su uso, reproducción o distribución de la Obra cumpla en otro caso
con las condiciones establecidas en esta Licencia.
5. Entrega de Contribuciones. A menos que Usted explícitamente indique lo contrario, cualquier contribución
intencionalmente entregada para inclusión en la Obra por Usted al Licenciatario estará bajo los términos y condi-
ciones de esta Licencia, sin ningún término o condiciones adicionales. A pesar de lo anterior, nada de lo aquí
dicho modificará o reemplazará cualquier acuerdo separado de licencia que usted pueda haber ejecutado con el
Licenciatario acerca de esas Contribuciones.
6. Marcas Comerciales. Esta licencia no le otorga permiso para usar los nombres comerciales, marcas comerciales,
marcas de servicio o nombres de producto del Licenciatario, excepto para lo requerido por lo razonable y acos-
tumbrado en la descripción del origen de la Obra y en la reproducción del contenido del archivo de ADVERTENCIA.
7. Renuncia de Garantía. A menos que sea requerido por la ley aplicable o acordado por escrito, el Licenciatario
provee la Obra (y cada Colaborador provee su Contribución) en una base de “TAL CUAL”, SIN GARANTÍAS O
CONDICIONES DE NINGUNA CLASE, tanto expresas o implícitas, incluyendo, sin limitación, cualquier garantía
o condición de T Í T U L O, NO-INFRACCIÓN, VIABILIDAD COMERCIAL O ADAPTABILIDAD PARA UN
P R O P Ó S I TO PA R T I C U L A R . Usted mismo es responsable de determinar lo apropiado del uso o redistribución de
la Obra y asume cualquier riesgo asociado con Su ejercicio de los permisos bajo esta Licencia.
8. Limitación de la Responsabilidad. En ningún caso y bajo ninguna teoría legal, si hubiera daño, (incluida negli-
gencia), estando bajo contrato o de otro modo, a menos que sea requerido por las leyes aplicables (tal como el
caso de actos deliberada o gruesamente negligentes) o acordado por escrito, deberá cualquier Colaborador ser
hecho responsable ante Usted por daños, incluyendo cualquier daño directo, indirecto, especial, incidental o con-
secuente, de cualquier tipo que devenga como resultado de esta Licencia fuera del uso o de la incapacidad de
usar la Obra (incluida, pero sin limitarse a, la pérdida de buena voluntad, detención del trabajo, falla o mal fun-
cionamiento de computadora o cualquier otro daño o pérdida comercial), aún en el caso en que el Colaborador
haya sido advertido de la posibilidad de ese daño.
9. Aceptación de Garantía o Responsabilidad Adicional. Durante la redistribución de la obra u Obras derivadas de
ella, Usted puede elegir ofrecer y cobrar un importe por dar el soporte o garantía o indemnización u otras obliga-
ciones de responsabilidad y/o derechos consistentes con esta Licencia. Sin embargo, al aceptar estas obligaciones
Usted debe actuar en Su propio nombre y bajo Su sola responsabilidad, no en nombre de ningún otro Colaborador,
y sólo si Usted acuerda indemnizar, defender y mantener a cada Colaborador indemne de cualquier responsabili-
dad en que pudiera incurrir por quejas en contra de dicho Colaborador, por razón de haber aceptado Usted tal
garantía o responsabilidad adicional.
Licencia PCRE
Partes de este software están basadas en software de dominio público originalmente escrito en el Centro
Nacional de Aplicaciones de Supercomputación, Universidad de Illinois, Urbana-Champaign. El PCRE es una
librería de funciones que soportan expresiones regulares cuya sintaxis y semántica es tan parecida como
sea posible a aquellas del leguaje Perl 5.
PCRE es una librería de funciones que soportan expresiones regulares cuya sintaxis y semántica es tan parecida
como sea posible a aquellas del lenguaje Perl 5. La versión 5 de PCRE es distribuida bajo los términos de la licen-
cias “BSD” como se especifica más abajo. La documentación de PCRE, provista en el directorio “doc”, es distribui-
da bajo los mismo términos del software mismo.
Escrito por: Philip Hazel <ph10@cam.ac.uk> Servicio de Cómputo de la Universidad de Cambridge, Cambridge,
Inglaterra. Teléfono: +44 1223 334714.
Copyright (c) 1997-2004 University de Cambridge. Todos los derechos reservados. Redistribución y uso en forma
fuente y binaria, con o sin modificación, están permitidos cuando se cumplan las siguientes condiciones:
* Las redistribuciones del código fuente deben retener la anterior advertencia de copyright, esta lista de condicio-
nes y la siguiente renuncia de responsabilidad.
* Las redistribuciones en forma binaria deben reproducir la anterior advertencia de copyright, la lista de condicio-
nes y la siguiente renuncia de responsabilidad en la documentación y/o otros materiales provistos con la distribu-
ción.
* Ni el nombre de la Universidad de Cambridge ni los nombres de los Colaboradores podrán ser usados para reco-
mendar o promover los productos derivados de este software sin un específico permiso previo.
ESTE SOFTWARE ES PROVISTO POR LOS TITULARES DEL COPYRIGHT Y SUS COLABORADORES “TA L
CUAL”, SIN GARANTÍAS EXPRESAS NI IMPLÍCITAS DE NINGUNA CLASE, INCLUIDAS, PERO SIN
usuarios de un programa libre obteniendo una licencia restrictiva del titular de una patente. Por eso insistimos en
que cualquier licencia de patente obtenida para una versión de la librería debe ser consistente con la completa
libertad de uso especificada en esta licencia.
La mayoría del software GNU, incluyendo algunas librerías, está cubierta por la Licencia Pública General normal
de GNU. Esta licencia, en cambio, la Licencia Pública General Reducida de GNU, se aplica a algunas librerías espe-
cialmente diseñadas y es bien diferente de la Licencia Pública General normal. Nosotros usamos esta licencia para
ciertas librerías y permitir vincularlas dentro de programas no libres.
Cuando un programa es vinculado con una librería, ya sea en forma estática o usando una librería compartida, la
combinación de los dos es, legalmente hablando, una obra combinada, una derivación de la librería original. La
Licencia Pública General de GNU normal permite, por supuesto, esa vinculación, pero sólo si la combinación com-
pleta cumple los criterios de libertad. La Licencia Pública General Reducida permite un criterio más laxo para vin-
cular otro código con la librería.
Nosotros llamamos a esta Licencia Pública General “Reducida” porque hace menos para proteger la libertad de los
usuarios que la Licencia Pública General normal. Esto también otorga a los desarrolladores de Software Libre
menos ventajas sobre sus competidores de programas no libres. Estas desventajas son la razón por la que usamos
la Licencia Pública General común para muchas librerías. Sin embargo, la licencia Reducida permite ventajas en
algunas circunstancias especiales.
Por ejemplo, en raras ocasiones puede haber una especial necesidad de animar el uso más amplio posible de una
cierta librería, de manera que se convierta en un estándar “de facto”. Para lograr esto, los programas no libres
deben poder usar la librería. Un caso más frecuente es que la librería libre haga el mismo trabajo que algunas
ampliamente usadas librerías no libres. En este caso, hay poco que ganar limitando la librería libre al software
libre exclusivamente, por eso usamos la Licencia Pública General Reducida.
En otros casos, el permiso para usar una librería particular en programas permite a un gran número de personas
usar un gran cuerpo de software libre. Por ejemplo, el permiso para usar la librería C de GNU en programas no
libres habilitó a mucha gente a usar el sistema operativo GNU tanto como su variante GNU/Linux.
A pesar de que la Licencia Pública General Reducida es Menos protectora de la libertad de los usuarios, asegura
que el usuario de un programa vinculado con la Librería tenga la libertad de correrlo usando una versión modifi-
cada de la Librería. Los términos precisos de las condiciones para copiar, distribuir y modificar siguen a continua-
ción. Preste especial atención a la diferencia entre “obra basada en la librería” y “obra que usa la librería” La pri-
mera contiene código derivado de la librería mientras que la segunda debe ser combinada con la librería para
correr.
acceso equivalente para copiar el código fuente desde el mismo sitio se satisfacen los requisitos para la distribu-
ción del código fuente, aunque las terceras partes no están obligadas a copiar el código fuente con el código
objeto.
5. Un programa que no contenga derivados de ninguna parte de la Librería, pero que está diseñado para trabajar
con la Librería al compilarse o al enlazarse con ella, se denomina un “obra que usa la Librería”. Esa obra, por sepa-
rado, no es una obra derivada de la Librería y, por lo tanto, cae fuera del ámbito de aplicación de esta licencia.
Sin embargo, al enlazar una “obra que usa la Librería” con la Librería, se crea un ejecutable que es un derivado de
la Librería (porque contiene partes de ella) en vez de una “obra que usa la Librería”. El ejecutable está, por lo
tanto, cubierto por esta licencia.
En la sección 6 se exponen los términos para la distribución de esos ejecutables.
Cuando una “obra que usa la Librería” utiliza material de un archivo de cabecera que forma parte de la Librería, el
código objeto de la obra puede ser una obra derivada de la Librería aunque el código fuente no lo sea. Que esto
sea cierto es especialmente significativo si la obra puede enlazarse sin la Librería o si la obra es una Librería. El
límite para que esto sea cierto no está definido con precisión por la ley.
Si dicho archivo objeto utiliza sólo parámetros numéricos, esquemas y descriptores de acceso de estructuras de
datos, pequeñas macros y funciones en línea (de diez líneas de longitud como máximo), entonces el uso del archi-
vo objeto no está restringido, independientemente de si es legalmente una obra derivada (los ejecutables que
contengan este código objeto y partes de la Librería seguirán cubiertos por la sección 6).
En caso contrario, si la obra es un derivado de la Librería, usted puede distribuir el código objeto de la obra bajo
los términos de la sección 6. Cualquier ejecutable que incluya esa obra también estará cubierto por la sección 6,
esté enlazado o no con la Librería.
6. Como excepción a las secciones anteriores, usted también puede combinar o enlazar una “obra que usa la
Librería” con la Librería para generar una obra que contenga partes de la Librería, y distribuir esa obra bajo los
términos que prefiera, siempre que permitan la modificación de la obra para el uso propio del cliente y la ingenie-
ría inversa para la depuración de tales modificaciones.
Usted deberá incluir con cada copia de la obra un aviso bien visible de que en ella se está utilizando la Librería y
de que tanto la Librería como su uso están cubiertos por esta licencia. Deberá suministrar una copia de esta licen-
cia. Si durante la ejecución de la obra se muestran avisos de derechos de autor, deberá incluir los avisos de dere-
chos de autor de la Librería, así como una referencia a la copia de esta licencia. Además, deberá hacer una de
estas cosas:
a) Acompañar la obra con el correspondiente código fuente legible por máquina completo de la Librería, incluyendo
cualquier cambio que se haya utilizado en la obra (que debe distribuirse bajo las secciones 1 y 2 anteriores); y, si la
obra es un ejecutable enlazado con la Librería, con la “obra que usa la Librería” legible completamente por una
máquina, como código objeto y/o código fuente, de forma que el usuario pueda modificar la Librería y volver a
enlazarla para generar un ejecutable modificado que contenga la Librería modificada (se entiende que el usuario
que cambia el contenido de los archivos de definiciones de la Librería no necesariamente será capaz de volver a
compilar la aplicación para usar las definiciones modificadas).
b) Usar un mecanismo de Librería compartida adecuado para enlazar con la Librería. Un mecanismo adecuado es
uno que (1) utiliza durante la ejecución una copia de la Librería que está ya presente en el sistema del usuario, en
vez de copiar funciones de la Librería en el ejecutable, y (2) funcionará correctamente con una versión modificada
de la Librería, si el usuario instala una, mientras que la interfaz de la versión modificada sea compatible con la ver-
sión con que se realizó la obra.
c) Acompañar la obra con una oferta escrita, válida por tres años al menos, para proporcionar a dicho usuario los
materiales especificados en la subsección 6a anterior, por un precio no superior al gasto de realizar esta distribu-
ción.
d) Si la distribución de la obra se hace ofreciendo acceso a la copia desde un lugar concreto, ofrecer un acceso
equivalente para la copia de los materiales especificados anteriormente desde ese mismo lugar.
e) Comprobar que el usuario ya ha recibido una copia de estos materiales o que usted ya le ha enviado una copia.
Para un ejecutable, la forma requerida de la “obra que usa la Librería” debe incluir todos los datos y programas de
utilidades necesarios para reproducir el ejecutable desde ella. Sin embargo, como excepción especial, los materia-
les que se han de distribuir no necesitan incluir nada de lo que se distribuye normalmente (ya sea en forma bina-
ria o fuente) con los componentes principales (compilador, núcleo, etcétera) del sistema operativo en que funcio-
diferirán en detalles para resolver nuevos problemas o preocupaciones. A cada nueva versión se da un número dis-
tintivo. Si la Librería especifica un número de versión de esta Licencia que se aplica a ésta y a “cualquier nueva
versión” usted tiene la opción de seguir los términos y condiciones de aquella versión o de cualquier nueva ver-
sión publicada por la Fundación para el Software Libre. Si la Librería no especifica un número de versión usted
podrá elegir cualquier versión publicada por la Fundación para el Software Libre.
14. Si usted quiere incorporar partes de la Librería dentro de otros programas libres cuyas condiciones de distribu-
ción son incompatibles con éstas, escriba al autor para pedirle permiso. Para software del que tiene copyright la
Fundación para el Software Libre, escriba a la Fundación para el Software Libre; a veces hacemos excepciones.
Nuestra decisión estará guiada por los dos objetivos de preservar el estado de libre de todos los derivados de
nuestro software libre y promover que el software sea generalmente compartido y reutilizado.
Programa como una obra derivada bajo la ley de copyright: esto es una obra conteniendo el programa o una
parte del mismo, ya sea textualmente o con modificaciones y/o traducido a otro lenguaje (de aquí en adelante,
la traducción es incluida sin limitaciones en el término “modificación”). A los titulares de la licencia se los
denomina “Usted”. Las actividades que no sean la copia, distribución y modificación no se encuentran cubiertas
por esta licencia y caen fuera de su ámbito de aplicación. El acto de correr el programa no está restringido, y el
resultado de dicho programa está cubierto sólo si sus contenidos constituyen una obra basada en el programa
(independientemente de si se hicieron por la ejecución del mismo) Que esto sea cierto dependerá de lo que el
programa haga.
1. Usted puede copiar y distribuir copias literales del código fuente completo del Programa tal y como lo ha
recibido, en cualquier soporte, a condición de que publique de forma manifiesta y adecuada, en cada una de las
copias, un aviso conveniente de copyright y una renuncia a la garantía; mantenga intactos todos los avisos que
hagan referencia a esta licencia y a la ausencia de cualquier garantía; y distribuya una copia de esta licencia
junto con la biblioteca. Usted puede cobrar un precio por el acto físico de hacer una copia y puede, si lo desea,
ofrecer la protección de una garantía a cambio de un importe.
2. Usted podrá modificar su copia o copiar el programa o una parte del mismo, creando entonces una obra
basada en el programa, y copiarla y distribuir esas modificaciones u obras bajo los términos de la Sección 1,
cuando también cumpla todas estas condiciones:
a) Debe hacer que los archivos modificados porten avisos bien visibles, declarando que ha modificado los archi-
vos y la fecha de los cambios.
b) Usted debe hacer que cualquier obra que usted distribuya o publique, que en todo o en parte contenga o se
derive del Programa o una parte del mismo, sea licenciado como un todo, sin cargo, a todas las terceras partes,
bajo los términos de esta Licencia.
c) Si el programa modificado lee normalmente comandos cuando corre, usted debe hacer que cuando comience
a correr en ese modo interactivo de la manera más común, imprima o muestre un anuncio que incluya una
apropiada advertencia de copyright y de que no hay garantía (o bien que diga que usted provee la garantía),
que los usuarios pueden redistribuir el programa bajo estas condiciones, y cómo puede ver el usuario una copia
de esta Licencia (excepción: si el programa es interactivo pero normalmente no imprime tal anuncio, no se
requiere que su obra basada en el programa lo imprima).
Estos requerimientos se aplican a la obra modificada como un todo. Si secciones identificables del programa no
son derivadas del mismo, y pueden razonablemente ser consideradas obras independientes y separadas, enton-
ces esta Licencia y sus términos no se aplican a las secciones que usted distribuya como obras separadas. Pero
cuando usted distribuya las mismas secciones como parte de un todo, que es una obra basada en el programa,
la distribución del todo debe ser en los términos de esta Licencia, cuyos permisos para otros licenciatarios se
extienden al todo completo y a cada parte, independientemente de quién la escribió.
La intención de esta sección no es exigir derechos o discutir los derechos de una obra escrita completamente
por usted; sino ejercer el derecho a controlar la distribución de obras derivadas o colectivas basadas en el
Programa.
Además, la mera adición al Programa (o a una obra basada en el Programa) de otra obra que no esté basada en
el Programa en un volumen de almacenamiento o en un soporte de distribución, no pone la otra obra bajo el
ámbito de aplicación de esta licencia.
3. Usted podrá copiar y distribuir el Programa (o una obra basada en el, bajo la Sección 2) en código objeto o
ejecutable bajo los términos de las Secciones 1 y 2, cuando usted haga una de las siguientes acciones:
a) acompañar con el código fuente completo correspondiente en un modo legible por una máquina, el cual debe
ser distribuido bajo los términos de las Secciones 1 y 2 en el soporte habitualmente usado para intercambio de
software, o,
b) acompañarlo con una oferta escrita, válida por lo menos por tres años, de darle a cualquier tercera parte por
un precio no mayor que el costo de hacer la distribución física, una copia completa, legible por máquina, del
correspondiente código fuente, para ser distribuido bajo los términos de las secciones 1 y 2 en un soporte de
uso habitual para el intercambio de software, o,
c) Acompañarlo con la información que usted ha recibido sobre la oferta de distribuir el correspondiente código
fuente (esta alternativa se permite sólo para distribución no comercial y sólo si usted ha recibido el programa
en código objeto o ejecutable con esa oferta de acuerdo a la subsección b) de más arriba).
El código fuente de una obra es la forma preferida para hacer modificaciones de la obra. Para una obra ejecuta-
ble, código fuente completo significa todos los códigos fuentes necesarios para todos los módulos que contenga,
más los archivos de las definiciones asociadas de interfases, más los scripts usados para controlar la compilación
e instalación del ejecutable. Sin embargo, como una excepción especial, el código fuente no necesita incluir nada
que normalmente se distribuya (ya sea en forma fuente o binaria) con los componentes mayores (compilador,
núcleo, etc.) del sistema operativo sobre el cual el ejecutable corre, a menos que ese componente en sí mismo
acompañe al ejecutable. Si la distribución del ejecutable u código objeto se hace ofreciendo acceso a una copia
desde un lugar designado, entonces cuenta como distribución del código fuente el ofrecer el acceso equivalente
para copiar el código fuente desde el mismo lugar, junto con el código objeto, aún si las terceras partes no se sin-
tieran inclinadas a copiar el código fuente junto con el código objeto.
4. Usted no podrá copiar, modificar, sublicenciar o distribuir el Programa excepto como está expresamente provis-
to bajo esta Licencia. Cualquier intento de copiar, modificar, sublicenciar o distribuir el Programa de otro modo es
nulo y perderá automáticamente sus derechos bajo esta Licencia. Sin embargo, a las partes que hayan recibido de
usted copias o derechos sujetos a esta licencia, no se les anularán sus licencias mientras cumplan sus condiciones.
5. No se le exige que acepte esta licencia, puesto que no la ha firmado. Sin embargo, es lo único que le otorga
permiso para modificar o distribuir el Programa o sus obras derivadas. Estas acciones están prohibidas por ley si
no acepta esta licencia. Entonces, al modificar o distribuir el Programa (o cualquier obra basada en el Programa),
usted indica su aceptación de esta Licencia y de todos sus términos y condiciones para copiar, distribuir o modifi-
car el Programa o las obras basadas en él.
6. Cada vez que redistribuye el Programa (o cualquier obra basada en el Programa) el receptor automáticamente
recibe una licencia del licenciatario original para copiar, distribuir o modificar el programa, sujeta a estos térmi-
nos y condiciones. Usted no podrá imponer más restricciones a los receptores para ejercitar los derechos aquí
otorgados. Usted no es responsable del cumplimiento de terceras partes de esta Licencia.
7. i, como consecuencia de una sentencia en corte o la alegación de una infracción de patente o por cualquier
otra razón (no limitada a cuestiones de patentes), se le impusieran condiciones a usted (ya fuera por orden de la
corte, acuerdo o de otro tipo) que contradijeran las condiciones de esta Licencia, ello no lo excusará de las condi-
ciones de la misma. Si usted no pudiera distribuir de manera de satisfacer simultáneamente las condiciones de
esta licencia y alguna otra obligación pertinente, entonces, como consecuencia, usted no podrá distribuir el
Programa en absoluto. Por ejemplo, si una licencia de patente no le permitiera una redistribución del programa
libre de royalties para todos aquellos que reciban copias, directa o indirectamente a través suyo, entonces, el
único modo en que puede satisfacer a la vez esto y esta Licencia es absteniéndose completamente de la distribu-
ción del Programa.
Si alguna parte de esta sección es inválida o inaplicable bajo alguna circunstancia particular, se intentará aplicar
el balance de la sección y la sección como un todo en las demás circunstancias.
El propósito de esta sección no es inducirlo a infringir cualquier patente o derecho legítimo de propiedad o de
discutir la validez de esos derechos, esta sección tiene el único fin de proteger la integridad del sistema de distri-
bución del software libre, el cual está implementado por prácticas de licencias públicas.
Mucha gente ha hecho generosas contribuciones a la gran variedad de software distribuido a través de este siste-
ma, confiando en la aplicación coherente de este sistema; es decisión del autor/donante decidir si desea distribuir
software a través de cualquier otro sistema y una licencia no puede prohibir esa elección.
8. Si la distribución y/o uso de el Programa es restringida en algunos países mediante patentes o por interfaces
con copyright, el titular original de copyright que pone el Programa bajo esta Licencia podrá agregar una limita-
ción de distribución geográfica explícita excluyendo a esos países, de modo que la distribución esté permitida sólo
en o dentro de esos países y no en los excluidos. En tal caso, esta Licencia incorporará la limitación como si estu-
viera escrita en el cuerpo de esta Licencia.
9. La Fundación para el Software Libre podrá publicar versiones revisadas o nuevas de la Licencia Pública General
de vez en cuando. Esas nuevas versiones serán similares en espíritu a la presente versión, pero diferirán en deta-
lles para resolver nuevos problemas o preocupaciones. A cada nueva versión se da un número distintivo. Si el
Programa especifica un número de versión de esta Licencia aplicable a ésta y a “cualquier nueva versión” usted
tiene la opción de seguir los términos y condiciones de aquella versión o de cualquier nueva versión publicada por
la Fundación para el Software Libre. Si el Programa no especifica un número de versión usted podrá elegir cual-
quier versión publicada por la Fundación para el Software Libre.
10. Si usted quiere incorporar partes del Programa dentro de otros programas libres cuyas condiciones de distri-
bución son incompatibles con éstas, escriba al autor para pedir permiso. Para software del que tiene copyright
la Fundación para el Software Libre escriba a la Fundación para el Software Libre; a veces hacemos excepciones.
Nuestra decisión estará guiada por los dos objetivos de preservar el estado de libre de todos los derivados de
nuestro software libre y promover que el software sea generalmente compartido y reutilizado.
SIN GARANTÍA
11. DADO QUE EL PROGRAMA ES LICENCIADO GRAT U I TAMENTE, NO HAY GARANTÍA POR EL PRO-
GRAMA, HASTA EL PUNTO PERMITIDO POR LA LEY APLICABLE. EXCEPTO CUANDO DE ALGÚN
MODO LO ESTABLEZCAN POR ESCRITO LOS TITULARES DEL COPYRIGHT Y/O OTRAS PARTES, EL
PROGRAMA ES PROVISTO “TAL CUAL” SIN GARANTÍA DE NINGÚN TIPO, TA N TO EXPRESA O
I M P L Í C I TA, INCLUIDAS, PERO SIN LIMITARSE A ELLAS, LAS GARANTÍAS IMPLÍCITAS DE VIABILI-
DAD COMERCIAL Y DE ADAPTABILIDAD PARA UN PROPÓSITO PARTICULAR. EL COMPLETO RIESGO
SOBRE LA CALIDAD Y PERFORMANCE DEL PROGRAMA ES SUYO. SI EL PROGRAMA DEMOSTRARA
SER DEFECTUOSO, USTED ASUME EL COSTO DE TODO EL MANTENIMIENTO, REPARACIÓN O
CORRECCIÓN.
12. EN NINGÚN CASO, A MENOS QUE SEA REQUERIDO POR LA LEY APLICABLE O ACORDADO
POR VOLUNTAD ESCRITA, NINGÚN TITULAR DEL COPYRIGHT O ALGUNA OTRA PARTE QUE PUEDA
MODIFICAR O REDISTRIBUIR EL PROGRAMA COMO SE PERMITE MÁS ARRIBA, PODRÁ SER RES-
PONSABLE ANTE USTED POR DAÑOS, INCLUYENDO CUALQUIER DAÑO GENERAL, ESPECIAL, INCI-
D E N TAL O CONSECUENTE DEVENIDO DEL USO O DE LA INCAPACIDAD DE USAR EL PROGRAMA
( I N C L U Y E N D O, PERO SIN LIMITARSE A, LA PÉRDIDA DE DATOS, O DATOS QUE SE CONVIERTA N
EN INEXACTOS O PERDIDAS CAUSADAS A USTED O A TERCERAS PARTES O LA FALLA DEL PRO-
GRAMA PARA OPERAR CON OTROS PROGRAMAS), AÚN SI EL TITULAR O LA OTRA PARTE HA SIDO
N OTIFICADO DE LA POSIBILIDAD DE ESE DAÑO.
FIN DE TÉRMINOS Y CONDICIONES
Licencia Sleepycat
Algunos de los componentes del software WatchGuard System Manager software son distribuidos con
una versión del Berkeley DB cubierto bajo la licencia de software Sleepycat.
Copyright (c) 1990-2004 Software Sleepycat.
Todos los derechos reservados.
La redistribución y el uso de las formas binarias y fuentes, con o sin modificación, están permitidas cuando se
cumplan las siguientes condiciones:
1. Las redistribuciones del código fuente deben retener la anterior advertencia de copyright, esta lista de condi-
ciones y la siguiente renuncia de responsabilidad.
2. Las redistribuciones en forma binaria deben reproducir la anterior advertencia de copyright, la lista de condi-
ciones y la siguiente renuncia de responsabilidad en la documentación y/o en otros materiales provistos con la
distribución.
3. Las redistribuciones en cualquier forma deben ser acompañadas por la información de cómo obtener los códi-
gos fuentes completos para el software DB y cualquier software acompañante que use el software DB. El código
fuente debe ser incluido en la distribución por no más que el costo de distribución más un importe nominal y
debe ser libremente redistribuible bajo condiciones razonables. Para un archivo ejecutable, códigos fuentes com-
pletos son los códigos fuentes de todos los módulos que contiene. Esto no incluye el código fuente para los
módulos o archivos que típicamente acompañan los componentes principales del sistema operativo sobre los
cuales el ejecutable corre.
ESTE SOFTWARE ES PROVISTO POR SLEEPYCAT SOFTWARE “TAL CUAL” Y SE RENUNCIA A CUAL-
QUIER GARANTÍA, EXPRESA O IMPLÍCITA, INCLUYENDO, PERO NO LIMITÁNDOSE A, LAS
GARANTÍAS IMPLÍCITAS DE VIABILIDAD COMERCIAL, ADAPTABILIDAD PARA UN PROPÓSITO PA R-
TICULAR O NO INFRACCIÓN. EN NINGÚN CASO SLEEPYCAT SOFTWARE SERÁ RESPONSABLE POR
CUALQUIER DAÑO DIRECTO, INDIRECTO, INCIDENTAL, ESPECIAL, EJEMPLAR O CONSECUENTE
( I N C L U Y E N D O, PERO NO LIMITÁNDOSE A, LA PROCURACIÓN DE BIENES O SERVICIOS SUSTITUTI-
VOS, PERDIDA DE USO, DATOS O GANANCIAS O INTERRUPCIÓN DE LOS NEGOCIOS) SIN EMBARGO
CAUSADOS Y DE ACUERDO A CUALQUIER TEORÍA DE RESPONSABILIDAD, SEA EN CONTRATO, RES-
PONSABILIDAD ESTRICTA, DAÑO (INCLUYENDO O NO NEGLIGENCIA) DEVENIDA DEL USO DE ESTE
S O F T WARE, AÚN SI SE NOTIFICARA DE LA POSIBILIDAD DEL DAÑO.
Copyright (c) 1990, 1993, 1994, 1995
Los Regentes de la Universidad de California. Todos los derechos reservados.
La redistribución de las formas fuente y binaria, con o sin modificación, está permitida cuando se cumplan las
siguientes condiciones:
1.Las redistribuciones del código fuente deben retener la anterior advertencia de copyright, esta lista de condicio-
nes y la siguiente renuncia de garantía.
2. Las redistribuciones en forma binaria deben retener la anterior advertencia de copyright, esta lista de condicio-
nes y la siguiente renuncia de garantía en la documentación y/o los materiales provistos con la distribución.
3. Ni el nombre de la Universidad ni los nombres de los colaboradores podrán ser usados para autorizar o promo-
ver productos derivados de este software sin el específico permiso escrito previo.
ESTE SOFTWARE ES PROVISTO POR LOS REGENTES Y COLABORADORES “TAL CUAL” Y SE RENUN-
CIA A CUALQUIER GARANTÍA EXPRESA O IMPLÍCITA, INCLUIDAS, PERO SIN LIMITARSE A ELLAS,
LAS GARANTÍAS IMPLÍCITAS DE VIABILIDAD COMERCIAL Y ADAPTABILIDAD PARA UN PROPÓSITO
PARTICULAR. EN NINGÚN CASO LOS REGENTES O LOS COLABORADORS SERÁN RESPONSABLES
POR CUALQUIER DAÑO (INCLUIDOS, PERO SIN LIMITARSE A, LA PROCURACIÓN DE BIENES O SER-
VICIOS SUSTITUTIVOS, PÉRDIDA DE USO, DATOS, GANANCIAS O INTERRUPCIÓN DE NEGOCIOS)
AUNQUE HAYAN SIDO CAUSADOS DE ACUERDO A ALGUNA TEORÍA DE LA RESPONSABILIDAD,
TA N TO EN CONTRATO, RESPONSABILIDAD ESTRICTA, DAÑO (INCLUYENDO O NO NEGLIGENCIA)
DEVENIDOS DE ALGÚN MODO DE USAR EL SOFTWARE, AÚN SI SE HUBIERA NOTIFICADO DE LA
POSIBILIDAD DE ESE DAÑO.
Copyright (c) 1995, 1996
El Presidente y los miembros de la junta de la Universidad de Harvard. Todos los derechos reservados.
La redistribución y el uso en forma fuente o binaria, con o sin modificaciones, están permitidos cuando se cum-
plan las siguientes condiciones: 1. Las redistribuciones en forma fuente, con o sin modificación, deben retener la
anterior advertencia de copyright, esta lista de condiciones y la siguiente renuncia de garantía. 2. Las redistribu-
ciones en cualquier forma deben reproducir la anterior advertencia de copyright, esta lista de condiciones y la
siguiente renuncia de garantía en la documentación y/o otros materiales provistos con la distribución. 3. Ni el
nombre de la Universidad ni los nombres de los colaboradores podrán ser usados para autorizar o promover los
productos derivados de este software sin el permiso específico previo escrito.
ESTE SOFTWARE ES PROVISTO POR HARVARD “TAL CUAL” Y SE RENUNCIA A CUALQUIER
GARANTÍA, INCLUIDAS, PERO SIN LIMITARSE A ELLAS, LAS GARANTÍAS DE VIABILIDAD COMER-
CIAL Y ADAPTABILIDAD PARA UN PROPÓSITO PARTICULAR. EN NINGÚN CASO HARVARD O SUS
COLABORADORES SERÁN RESPONSABLES POR CUALQUIER DAÑO DIRECTO, INDIRECTO, INCIDEN-
TAL, ESPECIAL, EJEMPLAR O CONSECUENTE (INCLUIDAS, PERO SIN LIMITARSE A, LA
PROCURACIÓN DE BIENES O SERVICIOS SUSTITUTIVOS, PÉRDIDA DE USO, DATOS, GANANCIAS O
INTERRUPCIÓN DE NEGOCIOS) DE ALGÚN MODO CAUSADAS DE ACUERDO A ALGUNA TEORÍA DE
RESPONSABILIDAD, SEA EN CONTRATO, RESPONSABILIDAD ESTRICTA, DAÑO (INCLUYENDO O NO
NEGLIGENCIA) DEVENIDOS DE ALGÚN MODO DE USO DE ESTE SOFTWARE, INCLUSO SI SE HUBIE-
RA NOTIFICADO DE LA POSIBILIDAD DE ESE DAÑO.
Licencia Sourcefire
Además del copyright y la información de la licencia encontrada antes en este apéndice, las actualizaciones de
firmas provistas como parte de la suscripción Gateway AV/IPS están sujetas a este acuerdo de licencia:
SOURCEFIRE, INC.
VERSIÓN 1.1.1
LAS REGLAS CERTIFICADAS VRT SE LE ENTREGAN A USTED POR SOURCEFIRE, INC. (“SOURCEFIRE”)
BAJO LOS TÉRMINOS DE ESTE ACUERDO DE LICENCIA CERTIFICADO VRT (El “ACUERDO”). AL
HACER CLICK EN EL BOTÓN ACEPTAR MÁS ABAJO, O AL INSTALAR O USAR LAS REGLAS CERTIFI-
CADAS VRT, USTED CONSIENTE SER LIGADO POR ESTE ACUERDO. SI USTED NO ESTÁ DE ACUER-
DO CON LOS TÉRMINOS Y CONDICIONES DE ESTE ACUERDO, NO HAGA CLICK EN EL BOT Ó N
A C E P TAR Y NO INSTALE NI USE NINGUNA PARTE DE LAS REGLAS CERTIFICADAS VRT.
1. Definiciones
1.1 “Propósito Comercial” significa el uso, reproducción o distribución de (i) las Reglas Certificadas VRT o cual-
quier Modificación, o cualquier porción de lo anterior, (ii) una compilación que incluye en todo o parte, las
Reglas Certificadas VRT o cualquier Modificación, tanto en el caso en que se busca un resultado de ganancia
pecuniaria directa o indirecta, como en cualquier otra consideración o beneficio económico para una persona o
entidad involucrada en tal uso, reproducción o distribución. Ejemplos de Propósito Comercial incluyen, sin limi-
tación, (v) integrar las Reglas Certificadas VRT con otro software o hardware para venta, (w) licenciar las Reglas
Certificadas por un importe, (x) usar las Reglas Certificadas VRT para proveer un servicio a una tercera parte, (y)
vender las Reglas Certificadas VRT, o (z) distribuir las Reglas Certificadas VRT para su uso con otros productos u
otros servicios.
1.2 “Compilación” significa un trabajo que combina las Reglas Certificadas VRT o alguna Modificación o partes
de las mismas con servicios, programas o código u otros productos no regidos por los términos de este Acuerdo.
1.3. “Mejoras” significan una Modificación de una Regla Certificada VRT (o de una Regla VRT modificada) que
corrige un bug, defecto o error en esa regla sin afectar la funcionalidad general de esa Regla Certificada VRT (o
Modificación de la misma)
1.4 “Modificaciones” significan una alteración, adición, o borrado de la sustancia o la estructura de las Reglas
Certificadas VRT o cualquier Modificación de ellas, incluyendo, sin limitación, (a) cualquier agregado o borrado
de los contenidos del archivo que contenga el Código Original o Modificaciones previas o, (b) cualquier derivado
de las Reglas Certificadas VRT o cualquier Modificación; o (c) cualquier nuevo archivo que contenga cualquier
parte de las Reglas Certificadas VRT o sus Modificaciones.
1.5 “Uso Permitido”, la definición de ese término se dará en la Sección 2.1
1.6 “Actividades Restringidas”, la definición de ese término se dará en la Sección 2.1
1.7 “Usuario Registrado Snort®” significará un individuo que se ha registrado o suscripto a www.nsnort.org para
usar las Reglas Certificadas VRT.
1.8 “Reglas Certificadas VRT” son las reglas Snort® (en forma de texto, como código fuente, como código objeto
y toda la documentación a ellas relacionada) que han sido creadas, desarrolladas, probadas y oficialmente apro-
badas por Sourcefire. Estas reglas son designadas con SIDs de 3465 - 1,000,000, excepto en el caso que se
advierta otra cosa en el archivo de licencia.
1.9 “Usted” (o “Su”) significa un individuo ejerciendo derechos bajo este Acuerdo otorgado bajo la Sección 7.
Para entidades legales, “Usted” o “Su” incluye cualquier entidad legal que controla, es controlada, o está bajo un
control común con usted o cualquier otra entidad de la que usted esté actuando en nombre de. Para los fines de
esta definición, “control” significa (a) el poder, directo o indirecto de ejercer la dirección o el gerenciamiento de
esa entidad por contrato o de otro modo, o (b) la propiedad o usufructo de más del cuarenta por ciento (40%)
de las acciones comunes.
2. Otorgamiento de Licencia Sourcefire
2.1 Otorgamiento de Licencia. Permiso de uso. Sujeto a los términos y condiciones de este Acuerdo, Sourcefire
aquí otorga a usted una licencia mundial, no exclusiva, para hacer cualquiera de las siguientes cosas respecto a
las Reglas Certificadas VRT: (a) usar y desplegar las Reglas Certificadas VRT en las consolas de administración y
los sensores que usted administre (sobre los cuales tenga control administrativo); (b) usar y desplegar las Reglas
Certificadas VRT en nombre de su empleador en las consolas de administración y sensores internos (por ejemplo
donde una relación empleador-empleado válida exista entre usted y una entidad legal); (c) modificar las Reglas
Certificadas VRT y usar las Modificaciones consistentemente con los párrafos (a) y (b) más arriba; (d) distribuir
las Reglas Certificadas VRT y cualesquiera Modificaciones generalmente accesibles a los Usuarios Registrados
Snort® sobre una base limitada a otros Usuarios Registrados Snort®; (e) distribuir cualquier Mejora generalmen-
te accesible a los Usuarios Registrados Snort® en las listas de correo habitualmente utilizadas por la comunidad
de usuarios Snort® como un todo; (f) reproducir las Reglas Certificadas VRT como sea estrictamente necesario
para el ejercicio de sus derechos bajo esta Sección 2.1; y (g) Hacer accesibles las Reglas Certificadas VRT (o
cualquier Modificación) a los consultores de su empleador, agentes, y subcontratistas para el propósito limitado
de ejercer sus derechos bajo la Sección 2.1, dado que eso respeta este Acuerdo. Los párrafos (a) hasta (g) son
colectivamente mencionados como los “Usos Permitidos”. Todos los derechos no otorgados en este Acuerdo son
reservados por Sourcefire.
2.2 Limitaciones de la Licencia, Actividades Restringidas. Usted reconoce y acuerda que las Reglas Certificadas
VRT son propiedad de Sourcefire, contienen activos valiosos e información propietaria y propiedad de Sourcefire, y
son provistas a usted bajo los términos y condiciones de este Acuerdo. A pesar de todo lo contrario en este
Acuerdo, Usted acuerda que usted no hará ninguna de las siguientes cosas sin el previo consentimiento escrito de
Sourcefire: (a) usar, desplegar, usar, modificar, licenciar, mostrar, reproducir o distribuir las Reglas Certificadas VRT
o sus Modificaciones (aún combinadas con otros materiales como una Compilación) de otro modo que los permi-
tidos bajo los Usos Permitidos; (b) vender, licenciar, transferir, alquilar, usar, modificar, reproducir o revelar las
Reglas Certificadas VRT o cualquier Modificación a éstas (como un todo o como parte tanto independientemente
como parte de una Compilación) para un Propósito Comercial; (c) Publicar o hacer generalmente accesibles cual-
quiera de las Reglas Certificadas VRT (en todo o en parte o alguna de las Modificaciones a las mismas) a indivi-
duos o grupos de individuos que no han acordado los términos y condiciones de este Acuerdo, dado, sin embargo,
que nada en esta Sección 2.2 (c) descartará los Usos Permitidos de la Sección 2.1 (e); (d) compartir cualquier
información de autenticación o contraseña provistos a usted por Sourcefire con alguna tercera parte para permi-
tirle a esa parte el acceso a su cuenta snort.org o a otros accesos a las Reglas Certificadas VRT; (e) alterar o
remover cualquier advertencia de copyright o leyenda propietaria contenida en las Reglas Certificadas VRT. Los
párrafos (a) hasta (e) de esta Sección 2.2 son colectivamente referidos como “Actividades Restringidas”
2.3. Obligaciones de Reproducción. Usted acepta que cualquier incorporación de las Reglas Certificadas VRT per-
mitidas bajo este Acuerdo contendrá las Advertencias expuestas en la Exposición A. Además en la medida que
usted haga copias o distribuya las Reglas Certificadas VRT o sus Modificaciones bajo este Acuerdo, usted acuerda
asegurarse que todas y cada una de esas copias contendrán (a) una copia de la apropiada advertencia de copy-
right y todas las otras leyendas propietarias aplicables; (b) una renuncia de cualquier garantía consistente con
este Acuerdo; y (c) cualquier advertencia referida a este Acuerdo y a la ausencia de garantías.
3. Modificaciones; Obras Derivadas. En el caso de que usted cree una Modificación, el uso, reproducción y distri-
bución de esa Modificación se regirá por los términos y condiciones de este Acuerdo. Además usted otorga aquí a
Sourcefire y a cualquier otro licenciatario de las Reglas Certificadas VRT una licencia irrevocable, perpetua, com-
pletamente pagada, mundial, libre de royalties y no exclusiva para usar, reproducir, modificar, mostrar y distribuir
esas Modificaciones (y su código fuente). Sin embargo, usted y cualquier receptor de esas Modificaciones debe
incluir: (a) la advertencia original de copyright y toda otra leyenda propietaria aplicable; (b) la renuncia a la
garantía original; (c) las advertencias originales referidas a este Acuerdo y a la ausencia de garantías; y (d) una
advertencia notoria estableciendo que usted cambió las Reglas Certificadas VRT (o cualquier modificación a las
mismas) y la fecha de cualquier cambio.
4. Obligaciones de Distribución
4.1 General. El código fuente de la versión de las Reglas Certificadas VRT (o cualquier modificación de las mismas)
pueden ser distribuidas bajo los términos de este Acuerdo, y usted debe incluir una copia de este Acuerdo con
cada copia de las Reglas Certificadas VRT que usted distribuya.
4.2 Advertencias Requeridas. Usted debe duplicar la advertencia en la Exposición A en cada archivo del código
fuente. Si no fuera posible poner esa advertencia en un archivo de código fuente debido a su estructura, entonces
debe incluir esa advertencia en una ubicación (como un directorio relevante) donde un usuario buscaría probable-
mente esa advertencia. Si usted crea una o mas Modificaciones usted debe agregar su nombre como colaborador
a la advertencia descripta en la Exposición A. Usted debe también duplicar este Acuerdo en cualquier documenta-
ción del código fuente donde haya descrito los derechos de los receptores o los derechos de propiedad relaciona-
dos con las Reglas Certificadas VRT. Si usted ofreciera garantía, soporte, indemnización u obligaciones de respon-
sabilidad, usted deberá hacerlo sólo en su propio nombre y no en nombre de Sourcefire. Usted debe dejar absolu-
tamente claro que cualquier garantía, soporte, indemnización u obligación de responsabilidad es ofrecida por
usted mismo y aquí acuerda indemnizar y hacer que Sourcefire no sufrirá daños por cualquier responsabilidad en
la que incurra Sourcefire como resultado de cualquier garantía, soporte, indemnización o responsabilidad en los
términos que usted ofrezca.
5. Incapacidad para cumplir por causa estatutaria o regulatoria. Si fuera imposible para usted cumplir con alguno
de los términos de este acuerdo con respecto a parte o la totalidad del Código Original debido a estatuto, orden
judicial o regulación, entonces usted debe: (a) cumplir con los términos de este acuerdo hasta el mayor grado
posible; y (b) describir las limitaciones y el código que ellas afectan. Esa descripción debe estar incluida en
todas las distribuciones del Código Fuente. Excepto en el caso en que le esté prohibido por estatuto o regula-
ción esa descripción, ésta debe ser lo suficientemente detallada como para que un receptor de capacidad nor-
mal sea capaz de entenderla.
6. Aplicación de este Acuerdo. Este acuerdo se aplica al código al cual Sourcefire adosado la advertencia en la
exposición A y se relaciona a las Modificaciones creadas en la Sección 3.
7. Versiones del Acuerdo
7.1 Nuevas Versiones. Sourcefire puede publicar versiones revisada y/o nuevas versiones del Acuerdo de de vez
en cuando. Cada versión recibirá un número de versión distintivo.
7.2 Efecto de las Nuevas Versiones. Una vez que las Reglas Certificadas VRT hayan sido publicadas bajo una ver-
sión particular de este Acuerdo, usted siempre puede continuar usándolas bajo los términos de esa versión.
Usted puede también elegir usar esas Reglas Certificadas VRT bajo cualquier versión posterior de ese Acuerdo
publicada por Sourcefire. Nadie más que Sourcefire tiene derecho a modificar los términos aplicables al Código
Original
8. RENUNCIA DE GARANTÍA
LAS REGLAS CERTIFICADAS VRT Y LAS MODIFICACIONES SON PROVISTAS BAJO ESTE ACUERDO
“ TAL CUAL”, SIN GARANTÍA DE NINGÚN TIPO, TA N TO EXPRESA COMO IMPLÍCITA INCLUYENDO,
SIN LIMITACIÓN, LAS GARANTÍAS DE QUE LAS REGLAS CERTIFICADAS VRT O SUS MODIFICACIO-
NES ESTÉN LIBRES DE DEFECTOS, SEAN COMERCIALMENTE VIABLES, SE AJUSTEN A UN
P R O P Ó S I TO PARTICULAR O NO ESTÉN EN INFRACCIÓN. EL RIESGO TOTAL DE LA CALIDAD Y EL
DESEMPEÑO DE LAS REGLAS CERTIFICADAS VRT Y LAS MODIFICACIONES ES SUYO Y, SI ALGUNA
REGLA CERTIFICADA VRT O MODIFICACIÓN DEMOSTRARA SER DEFECTUOSA EN ALGÚN SENTIDO,
USTED (NO SOURCEFIRE) ASUME EL COSTO DEL NECESARIO MANTENIMIENTO, REPARACIÓN O
CORRECCIÓN. ESTA RENUNCIA DE GARANTÍA CONSTITUYE UNA PARTE ESENCIAL DE ESTE
A C U E R D O. NO SE AUTORIZA NINGÚN USO DE NINGUNA DE LAS REGLAS CERTIFICADAS VRT NI
NINGUNA MODIFICACIÓN DE LAS MISMAS EXCEPTO BAJO ESTA RENUNCIA DE GARANTÍA.
9. Finalización
9.1 Este Acuerdo y los derechos otorgados en el mismo terminarán automáticamente si usted falla en cumplir
con cualquiera o todos estos términos y no subsana esa falla dentro de los 30 días de darse cuenta del incum-
plimiento. Todas las sublicencias de las Reglas Certificadas VRT que hayan sido correctamente otorgadas sobre-
vivirán cualquier terminación de este acuerdo. Las provisiones que por su naturaleza deban permanecer en efec-
to más allá de la terminación de este acuerdo sobrevivirán.
10. L I M I TACIÓN DE RESPONSABILIDAD. BAJO NINGUNA CIRCUNSTANCIA Y BAJO NINGUNA
TEORÍA LEGAL, POR DAÑO (INCLUYENDO NEGLIGENCIA), CONTRATO U OTRO CASO, SERÁ USTED
O SOURCEFIRE RESPONSABLE FRENTE A NINGUNA PERSONA O PARTE POR CUALQUIER DAÑO
I N D I R E C TO, ESPECIAL, INCIDENTAL O CONSECUENTE DE CUALQUIER TIPO INCLUYENDO, SIN
L I M I TACIÓN, DAÑOS POR PÉRDIDA DE BUENA VOLUNTAD, DETENCIÓN DEL TRABAJO, RUPTURAS
A LA SEGURIDAD O FALLAS, DESPERFECTOS EN COMPUTADORAS, MAL FUNCIONAMIENTO, O
CUALQUIER OTRO DAÑO O PÉRDIDA, INCLUSO SI ESA PARTE HUBIERA INFORMADO DE LA POSI-
BILIDAD DE ESOS DAÑOS. ESTA LIMITACIÓN DE RESPONSABILIDAD NO SE APLICARÁ EN EL CASO
EN QUE LAS LEYES APLICABLES PROHÍBAN ESAS LIMITACIONES. ALGUNAS JURISDICCIONES NO
PERMITEN LA EXCLUSIÓN O LIMITACIÓN DE DAÑOS INCIDENTALES O CONSECUENTES, POR LO
TA N TO, ESTA EXCLUSIÓN Y LIMITACIÓN PUEDE NO APLICARSE A USTED.
11. Cumplimiento de la Licencia.
Sourcefire le podrá pedir que provea un certificado, firmado por su representante autorizado, de que está usan-
do las Reglas Certificadas VRT en forma consistente con los Usos Permitidos. En el caso en que usted no esté
usando las Reglas Certificadas VRT de acuerdo con un Uso Permitido o si usted viola los términos de este
Acuerdo, Sourcefire puede, dado que las reparaciones legales pueden resultar inadecuadas, además de otras
reparaciones: (a) demandar la devolución de las Reglas Certificadas VRT; (b) prohibir e imponer uso posterior de
las Reglas Certificadas VRT; (c) aplicarle un importe apropiado para el uso real que usted hace de las Reglas
Certificadas VRT.
12. Usuarios del Gobierno de Estados Unidos. Si las Reglas Certificadas VRT están siendo adquiridas por o en
nombre del Gobierno de los EEUU o por uno de sus contratistas primarios o subcontratistas (a cualquier nivel),
entonces los derechos del Gobierno en las Reglas Certificadas VRT y sus modificaciones estarán sujetos a los tér-
minos comerciales estándares, solamente como se expresa en este Acuerdo; y sólo con “Derechos Limitados” y
“Derechos Restringidos”, como se define en las regulaciones federales si los términos comerciales parecieran no
aplicar.
13 Misceláneas. El Acuerdo representa un acuerdo completo, concerniente a esta materia. Si alguna previsión de
este Acuerdo fuera inaplicable, será reformada sólo en lo necesario para hacerla aplicable. Este acuerdo se regirá
por las previsiones legales de Maryland (excepto cuando la ley aplicable prevea otra cosa), excluyendo estas previ-
siones para conflicto entre leyes. Cualquier litigio relacionado con este Acuerdo estará sujeto a las Cortes del
estado y Federales de Greenbelt, Maryland, y la parte perdedora será responsable por las costas, incluyendo, sin
limitación, las costas de la corte y los honorarios razonables de los abogados y gastos. Usted aquí se somete a la
jurisdicción y ubicación de esas cortes. La aplicación de la Convención de las Naciones Unidas para los Contratos
de Venta Internacional de Bienes está expresamente excluida. Cualquier ley y regulación que prevea que el len-
guaje de un contrato deba ser interpretado en contra de quien lo redacta no se aplicará en este Acuerdo. Las
referencias a encabezados y secciones son usadas para referencia y no deben ser usadas para definir, limitar o
describir cada sección.
CUESTIÓN A - Acuerdo de Licencia de las Reglas Certificadas VRT
Los contenidos de este archivo están sujetos al Acuerdo de Licencia 1.1 (el “Acuerdo”). Usted no puede usar este
archivo excepto de acuerdo con el Acuerdo. Usted puede obtener una copia del Acuerdo aquí. El Software es dis-
tribuido bajo el Acuerdo “TAL CUAL”, SIN GARANTÍA DE NINGÚN TIPO, tanto expresa como implícita. Vea el
Acuerdo para el lenguaje específico que rige los derechos y limitaciones bajo el mismo. El desarrollador de las
Reglas Certificadas VRT es Sourcefire, Inc. una Corporación de Delaware.
Nota
Todas las otras marcas comerciales o nombres comerciales mencionados aquí son propiedad de sus
respectivos dueños.
Este apéndice da la ubicación donde el software WatchGuard® System Manager guarda los archivos comu-
nes de datos. Dado que es posible configurar el sistema operativo Windows para poner estos directorios en
discos diferentes, usted debe conocer la ubicación correcta de estos archivos en base a la configuración de
Windows en su computadora.
También se puede configurar que los archivos de registro de actividades (log) se guarden en un directorio
diferente del de los archivos de instalación. Si cambia la ubicación por defecto de los archivos log, estas ubi-
caciones por defecto no se aplicarán.
Si usted está usando una versión del sistema operativo que no esté en inglés, debe traducir los nombres de
directorios (por ejemplo “Documents and Settings” o “Program Files”) para que coincidan con el lenguaje de
sistema operativo que utilice.
Tipo de archivo Ubicación
Datos creados por el usuario My Documents\My WatchGuard
(los datos creados por el usuario incluyen archivos como los archivos de
configuración de Firebox, archivos de licencias y certificados. En muchos
casos, el software WSM crea una subcarpeta en la carpeta My
WatchGuard para guardar estos archivos)
Datos creados por el usuario C:\Documents and Settings\All Users\Shared WatchGuard
(compartidos)
Archivos de configuración del
My Documents\My WatchGuard\configs
Firebox®
Archivos de log del Firebox C:\Documents and Settings\WatchGuard\logs
Informes Históricos
Operación Tipo de Archivo Ubicación por Defecto
Este capítulo brinda una lista de políticas predefinidas incluidas con el software Fireware®, sus protocolos y
sus puertos. También da información especial sobre circunstancias que podrían tener un efecto sobre la
seguridad de algunas políticas.
En este capítulo, las políticas se dividen en dos grupos: políticas controladas por un filtro de paquetes y polí-
ticas controladas por una proxy.
Las políticas por filtro de paquetes examinan los encabezados de la fuente y el destino de cada paquete. Los
paquetes son permitidos o denegados en función de que esos encabezados parezcan provenir desde y
vayan hacia direcciones confiables.
Any
Utilice la política Any solamente para permitir todo el tráfico entre dos redes o direcciones IP especificadas.
Una política Any abre un “agujero” a través del Firebox®, y permite a todo el tráfico fluir libremente entre los
hosts especificados. Recomendamos usar la política Any solamente para el tráfico a través de una VPN.
La política Any es diferente de otras políticas. Por ejemplo, si usted permite FTP solamente hacia un host
especificado, todas las otras sesiones FTP hacia otros hosts serán denegadas por esas otras políticas (a
menos que haya también configurado otras políticas FTP). La política Any no produce una denegación de
este tipo, como lo hacen las otras.
Asimismo, no se puede usar la política Any a menos que se usen en las listas From (desde) o To (hacia)
direcciones IP, direcciones de red, alias de host, nombres de grupos o nombres de usuarios. De lo contrario, la
política Any no operará.
Características
• Protocolo(s) de Internet: cualquiera
• Número(s) de puerto: cualquiera
AOL
El protocolo propietario de America Online permite acceder a AOL a través de una red TCP/IP. El cliente
AOL debe estar especialmente configurado para usar TCP/IP y no un módem.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 5190
archie
archie es un protocolo de búsqueda usado para encontrar archivos sobre servidores FTP. Recomendamos
usar las interfaces web disponibles para archie. Una lista actualizada de servidores archie está disponible
por FTP anónimo en:
ftp://microlib.cc.utexas.edu/microlib/mac/info/archie-servers.txt
Los host externos podrían estar sujetos a “spoofing”, o suplantación de identidad. El Firebox no puede ase-
gurar que dichos paquetes fueron enviados desde la ubicación correcta. Se puede configurar el Firebox
para añadir la dirección IP de origen a la lista de sitios bloqueados cuando una conexión archie entrante
sea denegada. Puede usar todas las opciones de log usuales con archie.
Características
• Protocolo(s) de Internet: UDP
• Número(s) de puerto: 1525
auth
El Protocolo de Autenticación de Servidores AUTH tiene un nuevo nombre. Ahora se llama Identification
Protocol (IDENT). Refiérase a IDENT para mayor información sobre esta política.
BGP
Border Gateway Protocol (BGP) es el protocolo de enrutamiento utilizado en la mayor parte de Internet. Es
un protocolo altamente configurable, que puede añadir redundancia a los vínculos hacia y desde la
Internet en las LANs. Le recomendamos usar este servicio solamente si tiene habilitado y configurado BGP
en los procesos de enrutamiento dinámico en la configuración Fireware®.
Características
• Protocolo(s) de Internet: TCP o UDP
• Número(s) de puerto: 179
Citrix
Citrix, o Independent Computing Architecture (ICA), es un protocolo de aplicaciones usado por las aplica-
ciones de software de Citrix, como Winframe y Metaframe Presentation Server (MPS). Winframe da acceso
a una computadora Windows desde diferentes tipos de clientes que usen el puerto TCP 1494. Citrix MPS
3.0 usa ICA con Session Reliability sobre TCP en el puerto 2598. Si usted usa Citrix MPS, debe añadir una
política personalizada para el puerto TCP 2598. Si añade la política Citrix, puede poner en riesgo la seguri-
dad de su red, porque permite acceso remoto sin autenticación a las computadoras a través del firewall. La
amenaza a un servidor Winframe o MPS incluye posibles ataques de denegación de servicio.
Recomendamos que utilice opciones VPN para dar mayor seguridad a las conexiones ICA. Puede usar
todas las opciones usuales de log con WinFrame.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 1494
Clarent-gateway
Clarent Corporation provee tecnología de telefonía IP para los principales operadores y proveedores de ser-
vicios. Los productos Clarent permiten voz sobre IP entre gateways Clarent a lo largo de Internet. Esta políti-
ca brinda soporte a los productos Clarent v3.0 y posteriores.
Los productos Clarent usan dos conjuntos de puertos, uno para comunicaciones de gateway a gateway
(puertos UDP 4040,4045 y 5010) y otro para comunicaciones entre un gateway y un centro de comandos de
comunicaciones (Puertos UDP 5001 y 5002).
Use la política de comandos Clarent para las comunicaciones entre un gateway y un centro de comandos de
comunicaciones.
Permita las conexiones entrantes solamente desde gateways externos especificados hacia su gateway o
centro de comandos.
Clarent también da soporte para usar PCAnywhere en la administración. Refiérase a las notas sobre la políti-
ca PCAnywhere para más información.
La política para gateways de Clarent podría poner en riesgo su red, porque permite el tráfico dentro del fire-
wall basándose solamente en la dirección IP. Este no es un método confiable de autenticación. Además, su
servidor Clarent podría recibir ataques de denegación de servicio en esta configuración. Cuando sea posible,
recomendamos que utilice opciones VPN para dar más seguridad a las conexiones de gateway Clarent.
Características
• Protocolo(s) de Internet: UDP
• Número(s) de puerto: 4040, 4045, 5010
Clarent-command
Clarent Corporation provee tecnología de telefonía IP para los principales operadores y proveedores de ser-
vicios. Los productos Clarent permiten voz sobre IP entre gateways Clarent a lo largo de Internet. Esta políti-
ca brinda soporte a los productos Clarent v3.0 y posteriores.
Los productos Clarent usan dos conjuntos de puertos, uno para comunicaciones de gateway a gateway
(puertos UDP 4040,4045 y 5010) y otro para comunicaciones entre un gateway y un centro de comandos de
comunicaciones (Puertos UDP 5001 y 5002).
Permita las conexiones entrantes solamente desde gateways externos especificados hacia su gateway o
centro de comandos.
Clarent también da soporte para usar PCAnywhere en la administración. Refiérase a las notas sobre la políti-
ca PCAnywhere para más información.
La política para comandos de Clarent podría poner en riesgo su red, porque permite el tráfico dentro del
firewall basándose solamente en la dirección IP. Este no es un método confiable de autenticación. Además,
su servidor Clarent podría recibir ataques de denegación de servicio en esta configuración. Cuando sea posi-
ble, recomendamos que utilice opciones VPN para dar más seguridad a las conexiones de comandos
Clarent.
Características
• Protocolo(s) de Internet: UDP
• Número(s) de puerto: 5001, 5002
CU-SeeMe
CU-SeeMe es una aplicación de software utilizada para hacer videoconferencias por Internet. Para que
CU-SeeMe opere a través del Firebox, debe asegurarse de que no se trate de una red que utilice NAT diná-
mico saliente. Configure la política CU-SeeMe para acceso entrante y saliente.
El protocolo CU-SeeMe hace que usted configure esta política para entrante y saliente. La política
CU-SeeMe usa los puertos correctos para permitir el uso de las versiones de CU-SeeMe 2.X y 3.X. La versión
de CU-SeeMe 2.X opera sobre el puerto UDP 7648. La versión 3.X opera sobre el puerto UDP 7648, UDP
24032 (para conferencias H.323) y TCP 7648 (para directorios de videoconferencia).
Características
• Protocolo(s) de Internet: TCP o UDP
• Número(s) de puerto: UDP 7648, UDP 24032, TCP 7648
DHCP-Server o DHCP-Client
Dynamic Host Configuration Protocol (DHCP) brinda una manera de alocar direcciones IP dinámicas a los
dispositivos de una red.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto DHCP Servidor: 68
• Número(s) de puerto DHCP Cliente: 67
DNS
Domain Name Service (DNS) hace coincidir nombres de host con direcciones IP. Una política DNS es habili-
tada por defecto en la configuración. La política DNS permite el tráfico UDP DNS, así como que se produz-
can transferencias del modo que haya sido especificado. Todas las opciones usuales de log pueden usarse
con DNS.
Características
• Protocolo(s) de Internet: Multi TCP (para transferencias en la zona servidor-servidor)
y UDP (para lookups cliente-servidor)
• Número(s) de puerto: TCP 53 y UDP 53
Entrust
El protocolo de distribución de aplicaciones Entrust Authority Public Key pasa claves públicas hacia terce-
ros, que son organizaciones confiables, para su verificación.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 709, 710
finger
finger es un protocolo de aplicaciones usado para obtener información sobre los usuarios de un host
determinado. Es sencillo para un hacker usar esta información en contra suya. Nosotros no recomendamos
poner servidores finger en la interfaz confiable.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 79
FTP
File Transfer Protocol (FTP) se usa para transferir archivos a lo largo de Internet. Un filtro de paquetes FTP no
aplicará la regla de la proxy FTP a cualquier tráfico. Para el tráfico de la proxy FTP, use la política FTP proxy.
Recomendamos que el tráfico FTP entrante sólo sea permitido para servidores públicos de FTP localizados
detrás del Firebox.
Los hosts externos pueden ser “spoofed”, es decir, están sujetos a usurpaciones de identidad. WatchGuard no
puede verificar que estos paquetes fueron realmente enviados desde la ubicación correcta. Usted puede
configurar el Firebox para añadir la dirección IP de origen a la lista de sitios bloqueados cuando una cone-
xión FTP entrante sea denegada. El filtro de paquetes y la política proxy incluidos en el WatchGuard Policy
Manager se hace cargo del canal de datos para las sesiones de FTP activas y pasivas. Todas las opciones
usuales de log pueden usarse con FTP.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: FTP usa dos puertos: TCP 20 para controlar conexiones y TCP 21 para transferir
datos. TCP 21 puede ser una conexión entrante o saliente, dependiendo de cómo esté configurado el
cliente. Si es entrante, 21 es el puerto origen y el puerto de destino es al azar.
Gopher
Gopher es un protocolo de recuperación de datos desarrollado en la universidad de Minnesota. No es usado
con mucha frecuencia, dado que la mayoría de los usarios utiliza HTML.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 70, pero los servidores pueden configurarse para usar otros puertos.
GRE
Generic Routing Encapsulation Protocol (GRE) se usa junto con Point-to-Point Tunneling Protocol (PPTP)
para crear redes privadas virtuales (VPN) entre clientes o entre clientes y servidores.
Características
• Protocolo(s) de Internet: GRE
• Número(s) de puerto: 47
HTTP
Un filtro de paquetes HTTP no aplicará a cualquier tráfico la regla de la proxy HTTP configurada. Para el tráfi-
co HTTP, utilice la política proxy HTTP. Recomendamos que el tráfico HTTP entrante sólo esté permitido para
servidores públicos HTTP localizados detrás del Firebox.
Los host externos podrían estar sujetos a “spoofing”, o suplantación de identidad. El Firebox no puede ase-
gurar que dichos paquetes fueron enviados desde la ubicación correcta. Se puede configurar el Firebox para
añadir la dirección IP de origen a la lista de sitios bloqueados cuando una conexión HTTP entrante sea
denegada. Puede usar todas las opciones de log usuales con HTTP.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 80
HTTPS
HTTPS es una versión segura y encriptada del protocolo HTTP. El cliente y el servidor web establecen una
sesión encriptada sobre el puerto TCP 443. Como esta sesión está encriptada, la proxy no puede examinar
los contenidos del paquete usando una proxy. Esta política utiliza un filtro de paquetes para examinar la
conexión.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 443
HBCI
Home Banking Computer Interface (HBCI) es un estándar creado para clientes de bancos y fabricantes de
productos bancarios.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 3000
IDENT
Identification Protocol (IDENT) es un protocolo usado para hacer corresponder conexiones TCP con un
nombre de usuario. Se usa con mayor frecuencia en grandes servidores SMTP y FTP. Se utiliza para logs,
pero no se puede confiar en la información que brinda, porque los atacantes pueden modificar sus servi-
dores para hacerles enviar información incorrecta. IDENT utiliza información falsa para esconder la infor-
mación interna del usuario.
Cuando use SMTP con NAT estática entrante, debe añadir IDENT a su Policy Manager. Configure IDENT
para permitir el tráfico hacia el Firebox. Esto permite a los mensajes de correo fluir desde atrás del Firebox
hacia los muchos servidores SMTP que hay en Internet que usan IDENT para identificar las identidades de
otros servidores de correo, y permite a dichos servidores contestar mensajes a sus remitentes a través del
Firebox.
Si usted no está usando NAT dinámica, habilite IDENT para las direcciones IP de su servidor de correo elec-
trónico.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 113
IGMP
Internet Group Management Protocol (IGMP) es el estándar para IP multicasting en Internet. Se usa para
controlar membresías de hosts en grupos multicast sobre una única red.
Características
• Protocolo(s) de Internet: IGMP
IKE
Internet Key Exchange Protocol es un protocolo estándar para administración de claves.
Características
• Protocolo(s) de Internet: UDP
• Número(s) de puerto: 4500 y 500. UDP 4500 se usa sólo para NAT traversal.
IMAP
Internet Mail Access Protocol (IMAP) es un protocolo a nivel de aplicaciones para obtener mensajes de
correo electrónico o foros que están en un servidor de correo remoto, como si esos mensajes fueran locales.
Se puede acceder al correo almacenado en un servidor IMAP desde muchas ubicaciones (por ejemplo, el
hogar, el trabajo o la laptop) sin cambiar de lugar los mensajes.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 143
IPSec
Internet Protocol Security (IPSec) es un marco para un conjunto de protocolos de seguridad a nivel de la red
o del paquete en las comunicaciones de red. Es un protocolo de tunelamiento VPN con encripción.
Características
• Protocolo(s) de Internet: UDP, Encapsulated Security Payload (ESP)y Authentication Header (AH)
• Número(s) de puerto: UDP 500 y UDP 4500.
IRC
Internet Relay Chat (IRC) es un sistema para chatear en Internet. Para usar IRC, hay que tener un cliente IRC y
acceso a Internet. El cliente IRC es una aplicación de software en su computadora que envía y recibe mensa-
jes hacia y desde un servidor IRC. El servidor IRC asegura que todos los mensajes sean enviados a todos los
usuarios de la sesión de chat.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 6667
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 1720, 522
Kerberos v 4 y Kerberos v 5
El protocolo de autenticación Kerberos es un sistema de autenticación desarrollado por el Massachusetts
Institute of Technology (MIT). Kerberos permite que dos computadoras intercambien información privada
a lo largo de una red abierta, usando autenticación para la seguridad.
Características
• Protocolo(s) de Internet: TCP y UDP
• Número(s) de puerto Kerberos v4: UDP 750
• Número(s) de puerto Kerberos v5: TCP 88 y UDP 88
L2TP
Layer 2 Tunneling Protocol (L2TP) es una extensión del protocolo PPP que habilita a los ISPs a operar redes
privadas virtuales.
Características
• Protocolo(s) de Internet: UDP
• Número(s) de puerto: 1701
LDAP
Lightweight Directory Access Protocol (LDAP) es un protocolo de estándar abierto para usar servicios de
directorio en línea. Este protocolo opera con los protocolos de transferencia de Internet, como TCP. Puede
usarse LDAP para obtener acceso a servidores autónomos de directorios o directorios X.500.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 389
LDAP-SSL
Lightweight Directory Access Protocol sobre TLS/SSL (LDAP-SSL) se usa con Windows 2000 para brindar
mayor seguridad cuando se accede al Directorio Activo.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 636
Lotus Notes
Lotus Notes es una plataforma Cliente/Servidor para conferencias, bases de datos y correo electrónico.
También se utiliza para crear y usar documentos. Esta política habilita el protocolo propietario Lotus Notes.
Dado que este protocolo usa encapsulación y tunelamiento y da acceso a datos internos, no recomenda-
mos la política Lotus Notes para direcciones que estén fuera de la red confiable.
Características
• Protocolo(s) de Internet: TCP o UDP
• Número(s) de puerto: TCP 1352, UDP 1352
MSSQL-Monitor
Microsoft SQL Monitor se usa para monitorear bases de datos Microsoft SQL.
Características
• Protocolo(s) de Internet: TCP o UDP
• Número(s) de puerto: TCP 1434, UDP 1434
MSSQL-Server
Microsoft SQL Server se usa generalmente para hacer conexiones remotas hacia una base de datos
Microsoft SQL.
Características
• Protocolo(s) de Internet: TCP o UDP
• Número(s) de puerto: TCP 1433, UDP 1433
MS Win Media
Microsoft Windows Media Server es un protocolo propietario desarrollado por Microsoft para proveer con-
tenido multimedia “unicast”. Permite conexiones bidireccionales que habilitan al usuario a adelantar, retroce-
der o pausar la ejecución de esos contenidos.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 1755, 80
NetMeeting
NetMeeting es un producto desarrollado por Microsoft Corporation que permite la teleconferencia grupal
en Internet. Está incluido en el navegador web Microsoft Internet Explorer. Esta política se basa en el proto-
colo H.323 y no filtra contenidos peligrosos. No soporta QoS ni protocolo rsvp, y no soporta NAT.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 1720
NFS
El protocolo Network File System (NFS) es una aplicación de software cliente-servidor creada por Sun
Microsystems para permitir a todos los usuarios de la red el acceso a archivos compartidos guardados en
computadoras de tipos diferentes.
Características
• Protocolo(s) de Internet: TCP o UDP
• Número(s) de puerto: TCP 2049, UDP 2049
NNTP
Network News Transfer Protocol (NNTP) se usa para transmitir artículos de noticias de Usenet.
El mejor procedimiento para usar NNTP es configurar hosts internos a servidores internos de noticias, y
hosts externos a news feeds. En la mayoría de las condiciones, NNTP debe habilitarse en ambas direccio-
nes. Si usted opera un news feed público, debe permitir conexiones NNTP desde todos los hosts externos.
WatchGuard no puede asegurar que estos paquetes fueron enviados desde la ubicación correcta.
Se puede configurar el Firebox para añadir la dirección IP de origen a la lista de sitios bloqueados cuando
una conexión NNTP entrante sea denegada. Puede usar todas las opciones de log usuales con NNTP.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 119
NTP
Network Time Protocol (NTP) es un protocolo construido sobre TCP/IP que controla el cronometraje local.
Sincroniza los relojes de la computadora con otros relojes en Internet.
Características
• Protocolo(s) de Internet: TCP y UDP
• Número(s) de puerto: TCP 123 y UDP 123
OSPF
Open Shortest Path First (OSPF) es un protocolo de enrutamiento desarrollado para redes IP basadas en el
algoritmo “link-state”. OSPF está reemplazando rápidamente el uso de RIP en Internet, porque brinda
actualizaciones más pequeñas y frecuentes de las tablas de enrutamiento y hace a las redes más estables.
Características
• Protocolo(s) de Internet: OSPF
• Número(s) de puerto: 89
pcAnywhere
pcAnywhere es una aplicación de software usada para obtener acceso remoto a computadoras Windows.
Para habilitar este protocolo, añada la política pcAnywhere. Luego, permita el acceso desde los hosts de
Internet que deban acceder a los servidores internos de pcAnywhere y hacia los servidores pcAnywhere.
pcAnywhere no es una política muy segura y puede poner la red en riesgo, porque permite el paso de trá-
fico a través del firewall sin autenticación. Además, su servidor pcAnywhere puede recibir ataques de
denegación de servicio. Recomendamos usar opciones VPN para brindar mayor seguridad.
Características
• Protocolo(s) de Internet: TCP y UDP
• Número(s) de puerto: UDP 22, UDP 5632, TCP 5631, TCP 65301
ping
Se puede usar ping para confirmar si un host puede ser hallado y está operando en la red. Para encontrar
paquetes traceroute basados en DOS o Windows, configure una política ping.
El ping saliente es una buena herramienta para solucionar problemas. No recomendamos habilitar cone-
xiones de ping entrantes en su red confiable.
Características
• Protocolo(s) de Internet: ICMP
• Número(s) de puerto: 1
POP2 y POP3
POP2 y POP3 (Post Office Protocol) son protocolos de transporte de correo electrónico, generalmente utili-
zados para obtener el e-mail de un usuario desde un servidor POP.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 109 (POP2) y 110 (POP3)
PPTP
PPTP es un protocolo de tunelamiento VPN con encripción. Utiliza el puerto TCP (para negociación y auten-
ticación de una conexión VPN) y un protocolo IP (para transferencia de datos) para conectar los dos pares en
una VPN. Configure la política PPTP para permitir el acceso desde hosts de Internet hacia un servidor interno
de red PPTP. PPTP no puede obtener acceso hacia NAT estáticas de hosts porque NAT no puede reenviar
protocolos IP. Dado que esta política habilita un túnel hacia el servidor PPTP y el Firebox no puede examinar
paquetes en un túnel, la utilización de esta política debe estar controlada. Asegúrese de usar la versión más
reciente de PPTP.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 1723
RADIUS y RADIUS-RFC
Remote Authentication Dial-In User Service (RADIUS) provee un acceso seguro a los usuarios remotos a las
redes corporativas. RADIUS es un sistema cliente-servidor que guarda la información de autenticación de los
usuarios, servidores de acceso remoto y gateways VPN en una base de datos central de usuarios, que está
disponible para todos los servidores.
La autenticación ante la red se produce desde una sola ubicación. RADIUS usa una clave de autenticación
que identifica una solicitud de autenticación ante el cliente RADIUS.
En RFC 2865, el puerto del servidor usado por RADIUS cambia desde el puerto 1645 hacia el 1812.
Asegúrese de seleccionar la política que coincida con su implementación.
Características
• Protocolo(s) de Internet: TCP y UDP
• Número(s) de puerto de política RADIUS: UDP 1645
• Número(s) de puerto de política RADIUS-RFC: UDP 1812
RADIUS-Accounting y RADIUS-ACCT-RFC
La política Remote Authentication Dial-In User Service (RADIUS) Accounting provee a los administradores de
redes información sobre cuentas que utilizan autenticación RADIUS. RADIUS es un sistema cliente-servidor
que guarda la información de autenticación de los usuarios, servidores de acceso remoto y gateways VPN en
una base de datos central de usuarios, disponible para todos los servidores. Asimismo, el servidor RADIUS es
notificado cuando la sesión autenticada comienza y se detiene. Esta información puede ser útil para la admi-
nistración de cuentas.
En RFC 2866, el puerto del servidor usado por RADIUS cambia desde el puerto 1646 hacia el 1813.
Asegúrese de seleccionar la política que coincida con su implementación.
Características
• Protocolo(s) de Internet: TCP y UDP
• Número(s) de puerto de política RADIUS: UDP 1646
• Número(s) de puerto de política RADIUS-RFC: UDP 1813
RDP
Microsoft Remote Desktop Protocol (RDP) provee visualización remota y capacidad de ingresar datos
sobre conexiones de red para aplicaciones de software Windows que operen en un servidor.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 3389
RIP
Routing Information Protocol (RIP) es un protocolo “link state” desarrollado en los primeros años del ruteo.
Sus limitaciones lo hacen inapropiado para su uso en Internet, pero puede ser útil en redes pequeñas.
Recomendamos que use este servicio solamente si tiene habilitados los procesos de enrutamiento diná-
mico RIP en su configuración de Fireware.
Características
• Protocolo(s) de Internet: UDP
• Número(s) de puerto: 520
RSH
Remote Shell (RSH) se usa para acceder a la línea de comandos de una computadora host remota. Como
no está encriptado, no recomendamos que permita RSH entrante a través del Firebox sin usar una VPN.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 514
RealPlayer G2
Protocolo de “streaming” de medios v7 y v8.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 554, 80
Rlogin
Remote login (RLogin) es un comando UNIX que permite a un usuario aprobado loggearse en otra com-
putadora UNIX de la red. Luego del login, el usuario puede hacer todas las operaciones que el host haya
aprobado, como leer, editar o borrar archivos. Dado que no usa encripción, recomendamos no permitir
RLogin entrante a través del Firebox.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 513
SecurID
RSA SecurID Two-Factor Authentication da mayor seguridad en el procedimiento de autenticación del usua-
rio. Creado por Security Dynamics Technologies, Inc., utiliza tokens SecurID para generar códigos y software
ACE/Server para corroborar los códigos.
Características
• Protocolo(s) de Internet: TCP y UDP
• Número(s) de puerto: TCP 5510, UDP 5500
Nota
SMB a través del Firebox no es seguro y no lo recomendamos, a menos que lo use mediante una cone-
xión VPN. Estos parámetros de configuración deben usarse sólo si no hay otra alternativa, y la configu-
ración de esta política debe especificar los hosts internos y externos.
Características
• Protocolo(s) de Internet: TCP y UDP
• Número(s) de puerto: UDP 137, UDP 138, TCP 139, TCP 445, UDP 445
SMTP
La política de filtrado de paquetes SMTP permite el tráfico SMTP (e-mail) sin usar la proxy SMTP.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 25
SNMP
Simple Network Management Protocol (SNMP) se usa para configurar y recolectar información sobre com-
putadoras remotas. Esto puede ser peligroso. Muchos ataques de Internet usan SNMP. Dado que SNMP
puede producir cambios en una red si es habilitado, revise cuidadosamente las alternativas y guarde logs
para todas las conexiones de este tipo.
Características
• Protocolo(s) de Internet: UDP
• Número(s) de puerto: 161
SNMP-Trap
Las Simple Network Management Protocol (SNMP) traps son mensajes de notificación que un agente
SNTP (por ejemplo, un router) envía a una estación de administración de la red. Estos mensajes usualmen-
te informan que un evento importante debe ser examinado.
Características
• Protocolo(s) de Internet: UDP
• Número(s) de puerto: 162
SQL*Net
Oracle usa un puerto para su software sql*net. Por defecto, este puerto es el 1526/tcp ó el 1521/tcp. O
bien, edite el archivo tnsnames.ora para cambiar el puerto. Para permitir sql*net a través del Firebox, confi-
gure una política para el puerto que use su sql*net, con un protocolo de tcp, y un puerto cliente de “igno-
rar”. Luego configure el acceso entrante desde los hosts externos permitidos hacia el servidor de sql*net.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 1521, 1526
SQL-Server
La política SQL-Server se usa para dar acceso al software Sybase Central y SQL Advantage.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 10000
ssh
Secure Shell (ssh) es un protocolo libre de aplicaciones que permite el login remoto, control de comandos
y movimiento de archivos entre computadoras. Da conexiones con autenticación fuerte y segura (encrip-
tada). Recomendamos el uso de ssh porque es más seguro que otros protocolos más vulnerables, como
telnet, rssh y rlogin.
Hay versiones UNIX disponibles desde www.ssh.com, y se puede encontrar información acerca de versio-
nes para Windows en F-Secure (http://www.f-secure.com).
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 22
Sun RPC
Sun Remote Procedure Call (Sun RPC) fue desarrollado por Sun Microsystems para conexiones entre clien-
tes y servidores en el sistema de archivos de redes Sun.
Características
• Protocolo(s) de Internet: TCP y UDP
• Número(s) de puerto: TCP 111, UDP 111
syslog
syslog es una política usada para registrar eventos del sistema operativo sobre hosts UNIX. Syslog general-
mente está habilitado en el firewall para recolectar datos desde un host que está fuera del mismo.
El puerto syslog está bloqueado en la configuración por defecto del Firebox. Para permitir que un log host
recolecte logs de más de un Firebox:
• Elimine el puerto 514 de la lista de Sitios Bloqueados
• Añada la política WatchGuard Logging al Policy Manager
Nota
Usualmente no es seguro permitir el tráfico syslog a través del Firebox. Es posible para los hackers
rellenar syslogs con entradas de log. Si el syslog está lleno, es más difícil ver un ataque. Además, el
disco frecuentemente se llena y el ataque no es registrado.
Características
• Protocolo(s) de Internet: UDP
• Número(s) de puerto: 514
TACACS
La autenticación de usuario TACACS es un sistema que utiliza las cuentas de los usuarios para autenticarlos
en un pool de módems por discado. Esto elimina la necesidad de mantener copias de las cuentas en un sis-
tema UNIX. TACACS no soporta TACACS+ ni RADIUS.
Características
• Protocolo(s) de Internet: UDP
• Número(s) de puerto: 49
TACACS+
La autenticación de usuario TACACS es un sistema que utiliza las cuentas de los usuarios para autenticarlos
en un pool de módems por discado. Esto elimina la necesidad de mantener copias de las cuentas en un sis-
tema UNIX. TACACS+ soporta RADIUS.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 49
TCP
Esta política actúa como política por defecto de todas las conexiones TCP, y las otras políticas la anulan. Las
conexiones TCP que no coincidan con políticas especificadas en el Policy Manager no se completarán, a
menos que TCP-UDP, TCP o la proxy TCP también estén configuradas en el Policy Manager. Esta política no
habilita FTP, el cual sólo opera con una política FTP.
TCP-UDP
Esta política actúa como política por defecto de todas las conexiones TCP y UDP, y las otras políticas la
anulan. Las conexiones que no coincidan con políticas especificadas en el Policy Manager no se completa-
rán, a menos que TCP-UDP, TCP y UDP o la proxy TCP también estén configuradas en el Policy Manager.
Esta política no habilita FTP en modo activo, el cual sólo opera con una política FTP.
UDP
Esta política actúa como política por defecto de todas las conexiones UDP, y las otras políticas la anulan.
Las conexiones UDP que no coincidan con políticas especificadas en el Policy Manager no se completarán,
a menos que UDP, TCP-UDP, o la proxy TCP también estén configuradas en el Policy Manager.
telnet
La política telnet se usa para loggearse en una computadora remota. Es casi lo mismo que un acceso por
discado, pero la conexión se establece mediante una red.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 23
Timbuktu
Timbuktu Pro es un software de control remoto y transferencia de archivos, usado para acceder a compu-
tadoras Windows. El protocolo utiliza el puerto TCP 1417 y el puerto UDP 407. Si añade la política
Timbuktu permitirá el acceso entrante desde los hosts de Internet que deben acceder a los servidores
internos de Timbuktu, y hacia los servidores internos de Timbuktu.
Timbuktu no es una aplicación de software muy segura y puede poner la red en riesgo. Permite el tráfico
dentro del firewall sin autenticación. Además, el servidor de Timbuktu puede recibir ataques de denega-
ción de servicio. Recomendamos usar opciones VPN para mayor seguridad.
Características
• Protocolo(s) de Internet: TCP, UDP
• Número(s) de puerto: UDP 407, TCP 1417
Time
La política Time es casi lo mismo que NTP. Se usa para sincronizar relojes entre los hosts de una red. Time
es generalmente menos precisa y eficiente que NTP en una WAN. Recomendamos usar NTP.
Características
• Protocolo(s) de Internet: TCP, UDP
• Número(s) de puerto: TCP 37, UDP 37
traceroute
traceroute es una aplicación de software que crea mapas de redes. Se usa para solucionar problemas de red,
solucionar problemas de ruteo en la red, y encontrar el proveedor de servicio de Internet de un sitio. La polí-
tica WatchGuard traceroute controla solamente el traceroute de estilo UDP basado en UNIX. Para un filtro de
paquetes traceroute basado en Windows, use la política ping (ver “ping”).
traceroute usa paquetes ICMP y UDP para crear caminos a lo largo de las redes. Usa el campo UDP TTL para
reenviar los paquetes desde cada router y computadora entre una fuente y un destino. Si usted permite
traceroute entrante en una red, esto puede permitir a un hacker crear un mapa de su red privada. Pero el tra-
ceroute saliente es bueno para solucionar problemas.
Características
• Protocolo(s) de Internet: UDP
• Número(s) de puerto: 33401-65535
UUCP
Unix-to-Unix Copy (UUCP) es una herramienta y protocolo de Unix que permite a una computadora enviar
archivos hacia otra computadora. Esta herramienta no se usa frecuentemente, ya que los usuarios más a
menudo utilizan FTP, SMTP y NNTP para transferir archivos.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 540
WAIS
Wide Area Information Services (WAIS) es un protocolo que se puede usar para encontrar documentos en
Internet. WAIS fue desarrollado en primer lugar por Thinking Machines Incorporated. Algunos sitios web
usan WAIS para encontrar índices buscables, pero no frecuentemente.
WAIS está creado sobre el protocolo de búsqueda ANSI Z39.50, la las palabras Z39.50 y WAIS se refieren a la
misma tecnología.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 210, pero los servidores pueden estar (y frecuentemente lo están) configurados
en otros puertos, como en los puertos HTTP.
WinFrame
Citrix ICA es un protocolo usado por Citrix para sus aplicaciones de software, e incluye el producto
Winframe. Winframe da acceso a Windows desde diferentes tipos de clientes. Citrix usa el puerto TCP 1494
para su protocolo ICA. Citrix MPS 3.0 usa Session Reliability por defecto. Esto cambia el protocolo ICA para
usar el puerto TCP 2598. Si usted usa Citrix MPS, debe añadir una política para el puerto TCP 2598.
Una política WinFrame podría poner su red en riesgo porque permite el tráfico a través del firewall sin
autenticación. Además, su servidor Winframe puede recibir ataques de denegación de servicio.
Recomendamos usar opciones VPN para dar mayor seguridad a las conexiones ICA. Puede usar todas las
usuales opciones de log con WinFrame.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 1494
WG-Auth
La política WatchGuard® Authentication permite a los usuarios autenticarse ante el Firebox.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 4100
WG-Firebox-Mgmt
La política WatchGuard Firebox Management permite monitorear y configurar las conexiones que deben
hacerse en el Firebox. Recomendamos que permita esta política sólo en la estación de administración. La
política usualmente se establece en la interfaz confiable.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 4103, 4105, 4117, 4118
WG-Logging
La política WatchGuard Logging es necesaria solamente si un segundo Firebox debe acceder a un log host
en la interfaz confiable de un Firebox. Si sólo hay un Firebox, esta política no es necesaria.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 4107, 4115
WG-Mgmt-Server
Cuando se usa el asistente WatchGuard Management Server Setup para configurar un Management
Server, el asistente automáticamente añade esta política al gateway del Firebox. Ésta controla las conexio-
nes entrantes hacia el Management Server.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 4110, 4112, 4113
WG-SmallOffice-Mgmt
La política WatchGuard Small Office Management le permite hacer una conexión segura hacia Fireboxes
SOHO y Edge desde el WatchGuard System Manager.
Características
Protocolo(s) de Internet: TCP
Número(s) de puerto: TCP 4109
WG-WebBlocker
La política WatchGuard WebBlocker™ permite conexiones con el servidor WebBlocker.
Características
• Protocolo(s) de Internet: TCP, UDP
• Número(s) de puerto: TCP 5003, UDP 5003
WHOIS
El protocolo WHOIS da información sobre el administrador de sitios web y redes. Se usa frecuentemente
para encontrar al administrador de un web site diferente.
Para filtrar el tráfico WHOIS, añada la política WHOIS que permita conexiones al servidor WHOIS (como por
ejemplo rs.internic.net).
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: TCP 43
X11
El X Windows System Protocol tiene componentes que se usan para crear escritorios gráficos, que incluyen
ventanas, colores, pantallas y visualizaciones. X11 también provee un flujo de eventos que muestran la inte-
racción entre el usuario y un dispositivo de entrada de la computadora (como un mouse, un teclado, etc.).
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: TCP 6000-6063
Yahoo Messenger
El protocolo Yahoo Messenger es una herramienta para mensajería instantánea.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 5050, 80
Esta sección revisa las políticas de proxy, o “proxied policies”, provistas por el WatchGuard® Firebox® System.
Una política de proxy abre paquetes, separa tipos de datos prohibidos en el contenido del paquete, y rea-
grupa los paquetes nuevamente usando los encabezados de fuente y destino de la proxy.
Las proxies se configuran y activan del mismo modo en que son añadidas las políticas de filtrado de paque-
tes.
DNS
Domain Name Service (DNS) hace coincidir nombres de host con direcciones IP. La política proxy DNS exa-
mina los contenidos de los paquetes DNS para ayudar a proteger de los hackers sus servidores DNS. Pone
límites al tipo de operaciones permitidas en una query DNS y puede buscar patrones específicos en nom-
bres de queries.
Características
• Protocolo(s) de Internet: TCP y UDP
• Número(s) de puerto: TCP 53 y UDP 53
FTP
FTP es File Transfer Protocol. FTP se usa para transferir archivos por Internet.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 20 (canal de comandos), 21 (canal de datos)
HTTP
HTTP es el Hypertext Transfer Protocol usado por la World Wide Web para mover información por Internet.
Nota
La política WatchGuard “HTTP Proxy” no es lo mismo que una proxy HTTP de caché. Una proxy HTTP
de caché controla el caché de datos Web. Si usted usa una proxy externa de caché, debe habilitar
(añadiendo políticas) cualquier política saliente que sea necesaria para su organización. Si no lo
hace, las conexiones TCP no operarán correctamente.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 80 (pero los servidores pueden operar sobre cualquier puerto, una alternativa
común es 8080, y las conexiones Secure Socket Layer (SSL) funcionan habitualmente con el puerto
443.
SMTP
Simple Mail Transfer Protocol (SMTP) es el protocolo estándar de Internet para transmitir y recibir e-mail.
Usualmente, los servidores SMTP son servidores públicos.
Usted debe añadir una política auth al Policy Manager cuando utilice una NAT estática entrante con SMTP
(ver “Auth”). Configure auth para permitir auth entrante al Firebox. Esto habilita a los mensajes salientes
fluir libremente desde atrás del Firebox hacia los múltiples servidores SMTP que hay en Internet y usan
auth. Y permite a estos servidores reenviar mensajes a través del Firebox hacia los remitentes.
Se recomienda hacer logs del SMTP entrante, pero esto puede causar una gran cantidad de logs. Para un
usar la proxy SMTP pero sí hacer funcionar correctamente SMTP, cree una nueva política en el Policy
Manager que use el protocolo TCP y el puerto 25.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 25
TCP Proxy
La política de proxy TCP da opciones de configuración para HTTP sobre el puerto 80 y añade una regla que
permite las conexiones TCP desde las redes detrás del Firebox hacia redes externas al Firebox por defecto. La
regla de proxy TCP asegura que todo el tráfico HTTP desde atrás del Firebox sobre todos los puertos está
siendo reemplazado por las reglas de proxy HTTP.
Recomendamos que permita HTTP solamente hacia cualquier servidor público HTTP mantenido detrás del
Firebox. Los hosts externos pueden ser sujetos a “spoofing”, o suplantación de identidad. WatchGuard no
puede asegurar que estos paquetes fueron enviados desde la ubicación correcta.
Configure WatchGuard para añadir la dirección de IP de la fuente a la lista de Sitios Bloqueados cuando una
conexión HTTP hacia un host detrás de su Firebox sea denegada. Configure los parámetros y tipos MIME del
mismo modo en que lo hizo para la proxy HTTP.
O
N Online, Ayuda 27
NAT online, servicios de soporte