WatchGuard System Manager GuÃƒÂ-a Del Usuario

®
WatchGuard System Manager

Guía del Usuario
Fireware® v8.3
Fireware® Pro v8.3
Aviso a los Usuarios
La información en esta guía está sujeta a cambios sin advertencia previa. Compañías, nombres y datos usados
en ejemplos aquí son ficticios a menos que se advierta lo contrario. Ninguna parte de esta guía puede ser
reproducida o transmitida por cualquier forma o medio, electrónico o mecánico, para cualquier propósito, sin la
autorización expresa de WatchGuard Technologies, Inc.
Copyright, Marca Registrada e Información de Patente
Copyright© 1998 - 2006 WatchGuard Technologies, Inc. Todos los derechos reservados
Información completa acerca de derechos de autor, marcas

registradas, patentes y licencias puede encontrarse en el
apéndice de esta Guía del Usuario.
Todas las marcas registradas y nombres comerciales aquí mencionados, si las hay, son propiedad de sus respec-
tivos dueños.
Management Software: 8.3

Appliance Software: Fireware® 8.3 and Fireware Pro 8.3
Documento Versión: 8.3-352-2671-0011
DIRECCIÓN: SOBRE WATCHGUARD

505 Fifth Avenue South WatchGuard es un proveedor líder de soluciones de seguridad para redes para empresas
Suite 500 pequeñas y medianas de todo el mundo, que provee productos integrados y servicios que
Seattle, WA 98104
Estados Unidos son, al mismo tiempo, robustos y fáciles de adquirir, instalar y administrar. La familia de
appliances de seguridad expansibles e integrada Firebox X de la compañía está diseñada
SOPORTE: para ser completamente actualizable en la medida en que la organización crece y para
www.watchguard.com/support
support@watchguard.com proveer la mejor combinación de desempeño, interfaz intuitiva y valor de de la industria
E.E. U.U. y Canadá +877.232.3531 de la seguridad. La arquitectura WatchGuard Intelligent Layered Security protege efecti-
Otros países +1.206.613.0456 va y eficientemente contra amenazas emergentes y provee la flexibilidad para integrar
VENTAS: seguridad funcional adicional y servicios ofrecidos por WatchGuard. Cada producto
E.E.U.U y Canadá +1.800.734.9905 WatchGuard viene con un servicio de suscripción inicial a LiveSecurity Service para ayu-
Otros países +1.206.521.8340 dar a los clientes a estar al tope del panorama de la seguridad con alertas de vulnerabili-
dad, actualizaciones de software, instrucciones de expertos en seguridad y cuidado supe-
rior del cliente. Para mayor información, por favor llame por teléfono al (206) 521-8340
o visite www.watchguard.com.
II
ii WFS a Firewere
Contenidos
CAPÍTULO 1 Introducción ................................................................................................... 1

Acerca de Fireware y Fireware Pro ............................................................................. 1
Funciones y herramientas del Fireware ..................................................................... 2
WatchGuard System Manager (WSM) Interfaz del Usuario ..................................... 4
Acerca de la barra de herramientas de WatchGuard ...................................................... 4
Acerca de la ventana del WatchGuard System Manager ............................................. 4
Estado del dispositivo ................................................................................................. 5
Estado de la conexión ................................................................................................. 6
CAPÍTULO 2 Comenzando ................................................................................................... 9
Instalando WatchGuard System Manager ................................................................ 9
Requisitos para la instalación .................................................................................... 9
Obteniendo información de la red ............................................................................. 10
Seleccionando un modo de configuración del firewall ............................................... 11
Seleccionando dónde instalar el software del servidor .............................................. 13
Configurando la estación de administración .............................................................. 13
Respaldando su configuración previa ........................................................................ 14
Asistente de configuración rápida ............................................................................ 14
Asistente Web de Quick Setup para Firebox X Core y Peak e-Series .......................... 15
Asistente de configuración rápida ............................................................................. 16
Poniendo en operación el Firebox ............................................................................. 16
Iniciando el WatchGuard System Manager .............................................................. 17
Conectándose con un Firebox ................................................................................... 17
Desconectándose de un Firebox ............................................................................... 18
Iniciando aplicaciones de seguridad ......................................................................... 18
Después de instalarlo ............................................................................................... 19
Personalizando su política de seguridad ...................................................................... 19
Características del LiveSecurity Service .................................................................... 19
Actualizando a una nueva versión de Fireware ....................................................... 20
Tópicos de instalación ............................................................................................... 20
Guía del Usuario iii

Instalando WatchGuard Servers en computadoras de escritorio con firewalls ............. 20
Añadiendo redes secundarias a su configuración ...................................................... 21
Soporte de IP dinámico en la interfaz externa ........................................................... 21
Ingresando direcciones IP ......................................................................................... 22
Instalando los cables del Firebox ............................................................................... 22
CAPÍTULO 3 Servicio y Asistencia Técnica .................................................................... 23

Soluciones LiveSecurity Service ............................................................................... 23
Comunicaciones de LiveSecurity Service ................................................................ 24
Activando LiveSecurity Service .................................................................................. 25
Herramientas de auto-ayuda de LiveSecurity Service ............................................. 25
Foro de usuarios de WatchGuard ............................................................................. 26
Ayuda en línea ............................................................................................................ 27
Iniciandola ayuda en línea de WatchGuard ................................................................. 27
Buscando información ................................................................................................ 27
Copiando el sistema de ayuda en línea a más computadoras ..................................... 27
Documentación del producto ..................................................................................... 28
Asistencia técnica ....................................................................................................... 28
Asistencia técnica de LiveSecurity Service ................................................................. 28
LiveSecurity Gold ....................................................................................................... 29
Servicio de instalación de Firebox .............................................................................. 29
Servicio de instalación de VPN ................................................................................... 29
Entrenamiento y certificación .................................................................................... 29
CAPÍTULO 4 Monitoreando el estado del Firebox ......................................................... 31
Iniciando el Firebox System Manager ........................................................................ 31
Conectándose a un Firebox ....................................................................................... 31
Abriendo el Firebox System Manager ......................................................................... 32
Menús y barras de herramientas del Firebox System Manager .............................. 32
Estableciendo el intervalo de refresco y pausa de la pantalla .................................... 34
Viendo el estado básico de Firebox y de la red ........................................................... 34
Usando la pantalla de tráfico de seguridad ............................................................... 35
Monitoreando la información de estado ..................................................................... 35
Configurando el centro de la interfaz ....................................................................... 36
Monitoreando tráfico, almacenamiento y estado ....................................................... 36
Estado del Firebox y del túnel VPN ............................................................................. 36
Monitoreando el tráfico de Firebox ........................................................................... 38
Estableciendo el máximo número de mensajes en el log ............................................ 38
Usando colores para sus mensajes de log .................................................................. 39
Copiando mensajes de log .......................................................................................... 39
Aprendiendo más acerca del log de mensajes de tráfico ............................................ 40
Limpiando el Caché del ARP ..................................................................................... 40
Usando la consola de desempeño ........................................................................... 40
Tipos de indicadores .................................................................................................. 40
Definiendo indicadores ................................................................................................ 40
iv WatchGuard System Manager

Viendo los gráficos de desempeño ............................................................................ 43
Trabajando con más de un gráfico de consola de desempeño ................................... 44
Viendo el uso del ancho de banda ............................................................................ 45
Viendo el número de conexiones por política ........................................................... 46
Viendo información acerca del estado de Firebox .................................................. 48
Informe de estado ...................................................................................................... 48
Lista de autenticación ................................................................................................ 49
Sitios bloqueados ....................................................................................................... 50
Servicios de seguridad ............................................................................................... 51
Usando HostWatch ..................................................................................................... 53
La ventana de HostWatch .......................................................................................... 53
Controlando la ventana de HostWatch ....................................................................... 54
Cambiando las propiedades de la vista de HostWatch ............................................... 55
Agregando un sitio bloqueado desde HostWatch ...................................................... 55
Pausando la pantalla de HostWatch ...........................................................................56
CAPÍTULO 5 Administración básica del Firebox ........................................................... 57
Trabajando con licencias .......................................................................................... 57
Activando una nueva característica ............................................................................ 57
Adicionando licencias ................................................................................................. 59
Eliminando una licencia ............................................................................................. 59
Viendo las funciones activas ...................................................................................... 60
Viendo las propiedades de una licencia ..................................................................... 61
Descargando una clave de licencia ........................................................................... 61
Estableciendo servidores NTP ................................................................................... 61
Estableciendo un nombre amigable y el Huso Horario ........................................... 62
Trabajando con SNMP .............................................................................................. 62
Permitiendo “polls” SNMP ....................................................................................... 63
Permitiendo “traps” SNMP ...................................................................................... 63
Usando MIBs ............................................................................................................. 64
Cambiando las passphrases de Firebox ................................................................... 64
Recuperando un Firebox ........................................................................................... 65
Reseteando un dispositivo Firebox X e-Series ............................................................ 65
Reseteando un Firebox X Core o Peak (no e-Series) ................................................... 65
Reseteando un Firebox usando fbxinstall .................................................................. 66
CAPÍTULO 6 Estableciendo la configuración básica
Abriendo un archivo de configuración ....................................................................... 69
Abriendo un archivo de configuración operativo ......................................................... 69
Abriendo un archivo local de configuración ............................................................... 71
Haciendo un nuevo archivo de configuración ............................................................. 71
Guardando un archivo de configuración ................................................................. 71
Guardando una configuración en el Firebox ............................................................... 72
Guardando una configuración en un disco duro local ................................................ 72
Acerca de las imágenes de respaldo de Firebox ..................................................... 72
Guía del Usuario v

Creando una imagen de respaldo del Firebox .......................................................... 72
Restaurando una imagen de respaldo de Firebox .................................................... 73
Trabajando con alias ................................................................................................. 73
Creando un alias ...................................................................................................... 74
Usando parámetros globales .................................................................................. 75
VPN .......................................................................................................................... 75
Manejo de errores ICMP .......................................................................................... 76
Chequeando el TCP SYN .......................................................................................... 76
Ajuste del máximo tamaño de segmento de TCP ...................................................... 77
Parámetros de autenticación ................................................................................... 77
Creando cronogramas ............................................................................................. 77
Administrando un Firebox desde una localización remota .................................... 78
CAPÍTULO 7 Registro de eventos y notificación ......................................................... 81
Configurando el Log Server ..................................................................................... 82
Cambiando la clave de encriptación del Log Server ................................................. 82
Configurando Firebox para un Log Server designado ............................................ 83
Agregando un Log Server a un Firebox .................................................................... 83
Estableciendo la prioridad del Log Server ................................................................ 84
Activando el registro de eventos syslog ................................................................... 84
Permitiendo diagnósticos avanzados ....................................................................... 85
Estableciendo las preferencias globales del registro
de eventos y notificaciones ...................................................................................... 86
Tamaño del archivo de registro de eventos y frecuencia de rotación ........................ 87
Estableciendo cuándo reiniciar los archivos de registro de eventos .......................... 87
Estableciendo un cronograma de informes automáticos .......................................... 88
Controlando la notificación ....................................................................................... 89
Iniciando y deteniendo el Log Server ....................................................................... 89
Acerca de los mensajes de log ................................................................................ 89
Tipos de mensajes .................................................................................................... 90
Nombres de los archivos de registro de eventos y localización ........................... 90
Iniciando el LogViewer ............................................................................................. 91
Configuración del LogViewer .................................................................................... 92
Usando el LogViewer ............................................................................................... 93
Creando una regla de búsqueda ............................................................................. 93
Buscando en el LogViewer ...................................................................................... 94
Viendo el archivo de registro de eventos vigente en el LogViewer ........................... 94
Copiando datos del LogViewer ................................................................................. 94
Consolidando archivos de registro de eventos .......................................................... 95
Actualizando archivos de registro de eventos .wgl al formato .xml ........................... 95
CAPÍTULO 8 Preparando y configurando la red ......................................................... 97
Cambiando la dirección IP de la interfaz del Firebox ............................................. 98
Configurando la interfaz externa ............................................................................ 100
Acerca del soporte de WAN múltiple ..................................................................... 102
vi WatchGuard System Manager

Acerca del multi-WAN ordenado enround robin ......................................................... 102
Acerca de WAN Failover ........................................................................................... 103
Acerca del multi-WAN con tabla de enrutamiento ...................................................... 103
Configurando el soporte de WAN múltiple ................................................................. 104
Agregando redes secundarias .................................................................................. 105
Agregando direcciones de servidores WINS y DNS ................................................. 107
Configurando DNS dinámicas ................................................................................... 108
Configurando enrutamientos ................................................................................... 110
Agregando un enrutamiento de red ........................................................................... 110
Agregando un enrutamiento de host ......................................................................... 110
Estableciendo la los parámetros Speed y Duplex de la interfase Firebox ............ 111
Configurando Hosts relacionados ............................................................................ 111
CAPÍTULO 9 Trabajando con Firewall NAT ................................................................... 113
Usando NAT dinámica ............................................................................................... 114
Agregando entradas NAT dinámica al firewall .......................................................... 114
Reordenando entradas NAT dinámica ...................................................................... 115
Entradas NAT dinámica basadas en políticas ........................................................... 115
Usando 1-to-1 NAT ...................................................................................................... 116
Definiendo una regla 1-to-1 NAT .............................................................................. 117
Configurando el firewall 1-to-1 NAT .......................................................................... 118
Configurando 1-to-1 NAT basadas en políticas .......................................................... 118
Configurando NAT dinámica basadas en políticas ...................................................... 119
Configurado NAT estática para una política ............................................................ 119
CAPÍTULO 10 Implementando autenticación .............................................................. 121
Cómo funciona la autenticación de usuario ........................................................... 121
Usando autenticación desde la red externa .............................................................. 122
Usando autenticación a través de un Gateway Firebox hacia otro Firebox ................ 122
Tipos de servidores de autenticación ...................................................................... 123
Usando un servidor de autenticación de respaldo .................................................... 123
Configurando el Firebox como un servidor de autenticación ................................ 123
Acerca de la autenticación Firebox ........................................................................... 123
Configurando el Firebox como un servidor de autenticación ..................................... 125
Usando una cuenta de usuario local para autenticación
de Firewall, PPTP y MUVPN ....................................................................................... 126
Configurando el servidor de autenticación RADIUS .............................................. 127
Configurando la autenticación SecurID .................................................................. 128
Configurando la autenticación LDAP ....................................................................... 129
Configurando la autenticación por Directorio Activo .............................................. 131
Configurando una política con autenticación de usuario ..................................... 132
CAPÍTULO 11 Firewall: Detección y Prevención de Intrusiones ............................... 135
Usando la opciones por defecto de manejo de paquetes ..................................... 135
Ataques “spoofing” .................................................................................................. 136
Guía del Usuario vii

Ataques sobre los caminos de las fuentes IP ........................................................ 136
Ataques del tipo Ping de la Muerte (Ping of death) .................................................. 136
Ataques de espacio a puertos y direcciones ..................................................................137
Ataques de saturación Flood .................................................................................. 137
Paquetes no manipulados ....................................................................................... 137
Ataques de Denegación de Servicio DDoS ............................................................. 137
Sitio bloqueados ................................................................................................... 138
Bloqueando un sitio en forma permanentemente .................................................. 138
Para bloquear sitios de spyware .............................................................................. 139
Cómo usar una lista externa de sitios bloqueados .................................................. 140
Cómo crear excepciones a la lista de sitios bloqueados .......................................... 140
Configurando los parámetros de logging y notificación ............................................ 140
Bloquear temporariamente sitios ........................................................................... 141
Bloqueo de Puertos ................................................................................................. 142
Bloqueando puertos en forma permanentemente ................................................. 143
Bloqueo automático de direcciones IP
que intenten usar puertos bloqueados .................................................................... 143
Configurando notificaciones para los puertos bloqueados ........................................ 143
CAPÍTULO 12 Configuración de Políticas ................................................................... 145
Creando políticas para su red ................................................................................. 145
Agregando políticas .................................................................................................. 146
Cambiando la vista del Policy Manager ................................................................... 146
Agregando una política ............................................................................................ 147
Cómo hacer una Plantilla Personal de políticas ...................................................... 148
Agregando más de una política del mismo tipo ...................................................... 150
Borrando una política .............................................................................................. 150
Configuración de las propiedades de una política ................................................ 150
Configurando una acción proxy ............................................................................... 151
Cómo fijar las propiedades de logging ..................................................................... 152
Configurando NAT estática ..................................................................................... 153
Estableciendo propiedades avanzadas ................................................................... 153
Fijando la política de precedencia .......................................................................... 157
Usando orden automático ...................................................................................... 157
Fijar la precedencia en forma manual .................................................................... 159
CAPÍTULO 13 Configurando políticas de Proxy .......................................................... 161
Definiendo reglas .................................................................................................... 161
Agregando conjuntos de reglas ............................................................................... 162
Usando la vista de reglas avanzadas ...................................................................... 163
Personalizando el registro y las notificaciones para las reglas Proxy .................. 164
Cómo configurar mensajes de log y notificaciones
para una política de proxy ............................................................................................... 164
Configuración de mensajes de log
y alarmas para una regla proxy .............................................................................. 164
Cómo usar caja de diálogo para las alarmas,
mensajes de log y notificaciones ..................................................................................... 164
viii WatchGuard System Manager

Configuración de la SMTP Proxy ............................................................................... 166
Configuración de los parámetros generales ............................................................... 167
Cómo configurar parámetros ESMTP ........................................................................ 168
Configurando reglas de autenticación ....................................................................... 169
Definiendo las reglas de tipo de contenido ............................................................... 170
Definiendo reglas para nombres de archivos ............................................................ 170
Configurando las reglas de “Mail From“y ”Mail To” ................................................... 170
Definición de reglas de encabezado ......................................................................... 170
Definiendo las respuestas del antivirus .................................................................... 170
Cambiando el mensaje de denegación ..................................................................... 171
Configurando el IPS (Intrusion Prevention System) para SMTP .................................. 171
Configurando spamBlocker ....................................................................................... 171
Configurando alarmas de proxy y antivirus en el SMTP ............................................. 171
Configurando el Proxy FTP ........................................................................................ 172
Configurando los parámetros generales .................................................................... 172
Definiendo reglas para comandos FTP ..................................................................... 173
Fijando reglas de descarga para FTP ........................................................................ 173
Fijando reglas de subida de archivos por FTP ........................................................... 173
Habilitandi Intrusion Prevention para FTP ................................................................. 173
Configurando alarmas de proxy para FTP ................................................................. 174
Configurando la Proxy HTTP ..................................................................................... 174
Configurando los parámetros para solicitudes HTTP ................................................. 174
Configurando los seteos generales para las solicitudes HTTP ................................... 175
Fijando los campos de requerimientos HTTP de encabezado ..................................... 175
Fijando tipos de contenidos para respuestas HTTP ................................................... 176
Fijando cookies para respuestas HTTP ..................................................................... 177
Fijando tipos de contenidos para el cuerpo del HTTP .............................................. 177
Definiendo respuestas antivirus para HTTP .............................................................. 177
Cambiando el mensaje de denegación ...................................................................... 177
Habilitando prevención de intrusiones para HTTP ..................................................... 179
Definiendo alarmas de proxy y antivirus para HTTP .................................................. 179
Configurando Proxy DNS .......................................................................................... 179
Configurando los parámetros generales para una acción proxy DNS ........................ 180
Configurando OPcodes DNS ..................................................................................... 180
Configurando tipos de query DNS .............................................................................. 181
Configurando nombres de query DNS ....................................................................... 182
Habilitando intrusion prevention para DNS ............................................................... 182
Configurando alarmas de proxy para DNS ................................................................. 182
Configurando el TCP Proxy ....................................................................................... 182
Configurando los parámetros generales para la proxy TCP ....................................... 182
Habilitando la prevención de intrusiones para TCP ................................................... 183
CAPÍTULO 14 Generando informes de actividad de la red ....................................... 185
Creando y editando informes ................................................................................... 185
Comenzando con los informes históricos .................................................................. 186
Iniciando un nuevo informe ...................................................................................... 187
Editando un informe ya existente .............................................................................. 187
Guía del Usuario ix

Borrando un informe .............................................................................................. 187
Viendo la lista de informes ..................................................................................... 187
Generando un archivo de respaldo de los archivos de definiciones ........................ 187
Fijando las propiedades de los informes ................................................................187
Especificar un intervalo de tiempo entre informes .................................................. 187
Especificando secciones de informes ......................................................................188
Consolidando secciones de un informe ................................................................... 189
Configurando las propiedades de un informe .......................................................... 190
Cómo ver las relaciones de las interfaces de red .................................................... 190
Exportando informes .............................................................................................. 190
Exportando informes en formato HTML .................................................................. 191
Exportando informes al formato NetIQ .................................................................... 191
Utikizando filtros en los informes .......................................................................... 191
Creando un nuevo filtro de informes ...................................................................... 192
Editando filtros de informes ..................................................................................... 192
Borrando filtros de informes .................................................................................. 193
Aplicando un filtro de informes ............................................................................... 193
Generando informes ................................................................................................193
Secciones del informe y secciones consolidadas ................................................ 193
Secciones de informes ........................................................................................... 193
Secciones consolidadas ......................................................................................... 196
CAPÍTULO 15 Configuración y administración del Management Server ............. 197
Passphrasses del WatchGuard Management Server ........................................... 197
Configurando el Management Server ................................................................... 199
Cambiando la configuración de Management Server ......................................... 200
Agregando o eliminando una licencia de Management Server ................................ 200
Registrando mensajes de log de diagnóstico para el Management Server .............. 201
Configurando la Certificate Authority .................................................................... 201
Configurando las propiedades del certificado CA .................................................... 201
Configurando las propiedades de los certificados del cliente ................................. 202
Configurando las propiedades de la Lista de Revocación de Certificados (CRL) ..... 203
Registrando mensajes de eventos de diagnóstico
para el servicio Certificate Authority ........................................................................ 204
Respaldando y restaurando la configuración del Management Server ............. 204
Mudando el WatchGuard Management Server a una nueva computadora ....... 205
CAPÍTULO 16 Usando el Management Server .......................................................... 207
Conectándose a un Management Server .............................................................. 207
Administrando dispositivos con el Management Server ..................................... 208
Configurando un Firebox X Core o X Peak corriendo
Fireware como Cliente Administrado ...................................................................... 208
Configurando un Firebox III or Firebox X Core corriendo
WFS como Cliente Administrado ............................................................................. 210
Configurando un Firebox X Edge como Cliente Administrado .................................... 211
x WatchGuard System Manager

Configurando un Firebox SOHO 6 como un Managed Client ..................................... 212
Agregando dispositivos al Management Server ..................................................... 216
Usando la página de administración de dispositivos ............................................ 216
Viendo la página de administración de Firebox ......................................................... 218
Configurando las propiedades de administración de Firebox .................................... 218
Actualizando el dispositivo ......................................................................................... 219
Agregando un recurso VPN ....................................................................................... 219
Iniciando las herramientas Firebox ........................................................................... 220
Agregando un túnel VPN al Firebox ........................................................................... 211
Monitoreando VPNs .................................................................................................. 220
CAPÍTULO 17 Administrando certificados y Autoridad de Certificación ................. 221
Criptografía de clave pública y certificados digitales ............................................. 221
PKI en un VPN de WatchGuard ................................................................................. 222
MUVPN y certificados ................................................................................................. 222
Administrando Autoridad de Certificación ........................................................................ 222
Administrando certificados con el CA Manager ......................................................... 223
CAPÍTULO 18 Introducción a VPNs .......................................................................... 225

Protocolos de tunelamiento ....................................................................................... 226
IPSec ......................................................................................................................... 226
PPTP ......................................................................................................................... 226
Encriptación .............................................................................................................. 226
Selección de un método de encriptación e integridad de datos ................................. 227
Autenticación ............................................................................................................ 227
Autenticación extendida ............................................................................................ 227
Selección de un método de autenticación ................................................................. 227
Direccionamiento IP ................................................................................................... 228
Internet Key Exchange ............................................................................................... 228
Network Address Traslation y VPNs .......................................................................... 229
Control de acceso ....................................................................................................... 229
Topología de la red ..................................................................................................... 229
Redes en malla (meshed) ......................................................................................... 229
Redes Hub-and-spoke ............................................................................................... 230
Métodos de tunelamiento ......................................................................................... 231
Soluciones VPN de WatchGuard ............................................................................... 232
Remote User VPN con PPTP ....................................................................................... 232
Mobile User VPN 232 ................................................................................................. 232
Branch Office Virtual Private Network (BOVPN) .......................................................... 233
Escenarios de VPN ..................................................................................................... 234
Compañias grandes con sucursales: WatchGuard System Manager .......................... 234
Compañias pequeñas con teleconmutadores: MUVPN ............................................. 235
Compañías pequeñas con empleados remotos: MUVPN
con autenticación extendida ...................................................................................... 235
Guía del Usuario xi

CAPÍTULO 19 Configuración de túneles VPN administrados ................................. 237
Configurando un Firebox como Cliente Administrativo ......................................... 237
Incorporación de plantillas de políticas ................................................................ 237
Obteniendo las plantillas actuales de un dispositivo .............................................. 238
Cree una nueva plantilla de política ....................................................................... 238
Agregando recursos a una plantilla de política ........................................................ 239
Agregando las plantillas de seguridad ................................................................. 239
Creando túneles entre dispositivos ....................................................................... 240
Usando el procedimiento arrastrar y soltar .............................................................. 240
Usando el asistente Add VPN sin arrastrar y soltar ................................................ 240
Editando un túnel ................................................................................................... 241
Eliminando túneles y dispositivos .......................................................................... 241
Eliminando un túnel ................................................................................................ 241
Eliminando un dispositivo ...................................................................................... 241
CAPÍTULO 20 Configuración de BOVPN con IPSec manual .................................... 243
Antes de empezar .................................................................................................... 243
Configurando un Gateway ....................................................................................... 243
Agregando un gateway ........................................................................................... 243
Editando y eliminado gateways .............................................................................. 246
Creando un túnel manual ...................................................................................... 246
Editando y borrando un túnel ................................................................................. 249
Haciendo una política de túnel ............................................................................... 250
Configuración NAT dinámica a través de un túnel BOVPN ................................... 250
CAPÍTULO 21 Administrando Firebox X Edge y Firebox SOHO ............................... 253
Trabajando con dispositivos sobre un Management Server ............................... 254
Preparando un Firebox X Edge nuevo o configuración
de fábrica para administración ................................................................................ 254
Preparando un Firebox X Edge instalado para administración ................................. 255
Preparando un Firebox SOHO 6 para administración .............................................. 256
Agregando dispositivos Firebox X Edge y SOHO 6 a un Management Server .......... 257
Planificando las actualizaciones de fi rmware de Firebox X Edge ........................... 259
Visualizando y eliminando actualizaciones de firmware .......................................... 261
Usando la página de administración de Firebox X Edge ..................................... 261
Visualizando la página de administración del Firebox X Edge ................................. 261
Configurando las propiedades de administración del Firebox X Edge ..................... 262
Actualizando el dispositivo ..................................................................................... 263
Agregando un recurso VPN ..................................................................................... 263
Iniciando las herramientas de Firebox X Edge ........................................................ 264
Agregando un túnel VPN al Firebox X Edge ............................................................. 264
Usando la sección de políticas del Firebox X Edge .................................................. 265
Usando la página de administración del Firebox SOHO 6 .................................. 265
Visualizando la página de administración del SOHO 6 ........................................... 265
Configurando las propiedades de administración del Firebox SOHO 6 ................... 266
xii WatchGuard System Manager

Actualizando el dispositivo ......................................................................................... 266
Agregando un recurso VPN ....................................................................................... 267
Iniciando las herramientas del Firebox SOHO 6 ......................................................... 267
Agregando un túnel VPN a SOHO 6 ........................................................................... 268
Creando y aplicando Edge Configuration Templates .............................................. 268
Agregando una política predefinida con el asistente Add Policy ................................ 269
Agregando una política personalizada con el asistente Add Policy ............................ 270
Clonando una Edge Configuration Template ............................................................. 271
Aplicando un Edge Configuration Template a los dispositivos ............................... 271
Administrando los parámetros de red del Firebox X Edge ..................................... 273
Usando alias ............................................................................................................... 275
Nombramiento del alias en el Management Server .................................................. 276
Definiendo alias en el Firebox X Edge ....................................................................... 277
CAPÍTULO 22 Configurando RUVPN con PPTP ........................................................... 279
Lista de chequeo de la configuración ...................................................................... 279
Niveles de encriptación ............................................................................................. 279
Configurando los servidores WINS y DNS ............................................................... 280
Activando RUVPN con PPTP ..................................................................................... 281
Activando la autenticación extendida ........................................................................ 281
Agregando direcciones IP para las sesiones RUVPN ............................................. 281
Agregando nuevos usuarios al PPTP_Users Authentication Group ...................... 282
Configurando políticas para permitir tráfico proveniente de RUVPN .................... 283
Por política individual ............................................................................................... 283
Usando la política “Any” (cualquiera) .......................................................................... 284
Preparando las computadoras de los usuarios ....................................................... 284
Instalando MSDUN y los ServicePacks ....................................................................... 285
Creando y conectando un PPTP RUVPN bajo Windows XP .................................... 285
Creando y conectando un PPTP RUVPN bajo Windows 2000 ............................... 286
Corriendo RUVPN y accediendo a Internet ................................................................ 286
Haciendo conexiones salientes PPTP desde atrás de un Firebox .............................. 287
CAPÍTULO 23 Controlando el acceso a sitios Web con WebBlocker ..................... 289
Instalando la licencias de software ......................................................................... 289
Comenzando con WebBlocker ................................................................................. 290
Automatizando las descargas de la base de datos de WebBlocker ........................... 291
Activando el WebBlocker .......................................................................................... 291
Configurando el WebBlocker .................................................................................... 293
Agregando nuevos servidores ................................................................................... 294
Seleccionando categorías a bloquear ........................................................................ 294
Definiendo excepciones de WebBlocker ................................................................... 295
Peogramando una Acción del WebBlocker ................................................................ 296
Estableciendo un cronograma de WebBlocker Action ........................................... 297
Guía del Usuario xiii

CAPÍTULO 24 Configurando el spamBlocker ............................................................ 299
Acerca del spamBlocker ......................................................................................... 299
Acciones del spamBlocker ..................................................................................... 299
Marcas del spamBlocker ........................................................................................ 300
Categorías del spamBlocker ................................................................................... 300
Instalando la licencia del software ......................................................................... 300
Activando el spamBlocker ...................................................................................... 301
Configurando el spamBlocker ................................................................................ 303
Agregando excepciones al spamBlocker ................................................................. 304
Creando reglas para el correo masivo o sospechoso en los clientes de E-mail ...304
Enviando spam o correo masivo a una carpeta especial del Outlook .................... 304
Informando Falsos Positivos y Falsos Negativos .................................................. 305
Monitoreando la actividad del spamBlocker ........................................................ 305
Personalizando spamBlocker usando Multiple Proxies ....................................... 306
CAPÍTULO 25 Usando servicios de seguridad basados en firmas ....................... 307
Instalando las licencias del software .................................................................... 308
Acerca del Gateway AntiVirus ................................................................................ 308
Activando el Gateway AntiVirus ............................................................................... 309
Configurando el Gateway AntiVirus ........................................................................ 310
Creando alarmas o entradas en el registro de eventos para respuestas
del antivirus ............................................................................................................. 311
Configurando los parámetros del motor GAV ........................................................... 311
Configurando el servidor de firmas del GAV ............................................................ 311
Usando el Gateway AntiVirus con más de un proxy ................................................ 312
Desbloqueando un adjunto bloqueado por el Gateway AntiVirus ............................ 312
Obteniendo el estado del Gateway AntiVirus y su actualización .......................... 313
Viendo el estado del servicio .................................................................................. 313
Actualizando las firmas del GAV o el motor de GAV manualmente ......................... 314
Actualizando el software antivirus ........................................................................... 314
Activando la prevención de intrusiones (IPS) ....................................................... 314
Configurando la prevención de intrusiones ........................................................... 316
Configurando la prevención de intrusiones para HTTP o TCP .................................. 316
Configurando la prevención de intrusiones para FTP, SMTP, o DNS ....................... 319
Configurando el servidor de firmas .......................................................................... 320
Configurando las excepciones de firmas ................................................................ 320
Copiando los parámetros de IPS a otras políticas .................................................... 320
Obteniendo el estado de la prevención de intrusiones y su actualización ......... 321
Viendo el estado del servicio .................................................................................. 321
Actualizando las firmas manualmente .................................................................... 322
CAPÍTULO 26 Configuración Avnzadas de la Red ..................................................... 323
Creando acciones QoS ........................................................................................... 323
Aplicando acciones QoS a las políticas ................................................................... 324
xiv WatchGuard System Manager

Usando QoS en un ambiente de múltiple WAN ......................................................... 324
Enrutamiento dinámico ............................................................................................ 326
Usando RIP ................................................................................................................. 326
RIP Versión 1 ............................................................................................................ 326
RIP Versión 2 ............................................................................................................ 330
Usando OSPF .............................................................................................................. 332
Configuración del demonio OSPF .............................................................................. 332
Configurando Fireware Pro para usar OSPF .............................................................. 335
Usando BGP ............................................................................................................... 337
CAPÍTULO 27 Alta disponibilidad .................................................................................. 343

Requisitos de alta disponibilidad (HA) ..................................................................... 343
Seleccionando un Firebox primario de alta disponibilidad ................................... 344
Configurando HA para dispositivos Firebox X e-Series .......................................... 344
Configurando el Firebox secundario de alta disponibilidad ....................................... 345
Activando la alta disponibilidad ................................................................................ 345
Configurando HA para dispositivos Firebox X (no e-Series) ................................... 346
Controlando manualmente la alta disponibilidad .................................................. 346
Respaldando una configuración HA .......................................................................... 348
Actualizando el software en una configuración HA ................................................ 348
Usando HA con servicios de seguridad basados en firmas .................................. 348
Usando HA con sesiones Proxy ................................................................................ 348
APÉNDICE A Derechos de Autor y Licencias ............................................................... 349
Licencias ..................................................................................................................... 355
Licencia SSL .............................................................................................................. 355
Licencia Software Apache, Versión 2.0, Enero 2004 ............................................. 355
Licencia PCRE ............................................................................................................. 359
Licencia pública general reducida de GNU .............................................................. 360
Licencia Pública General de GNU ............................................................................ 365
Licencia Sleepycat ..................................................................................................... 368
Licencia Sourcefire .................................................................................................... 369
Licencia del Parser Expat-MIT HTML ........................................................................ 373
Licencia de Software Curl MIT-X ............................................................................... 373
APÉNDICE B Localización de los archivos de WatchGuard ...................................... 375
Localización de los archivos por defecto ................................................................. 376
APÉNDICE C Tipos de políticas ....................................................................................... 379
Políticas por Filtro de Paquetes ............................................................................... 379
Any ........................................................................................................................... 379
AOL ........................................................................................................................... 380
archie ........................................................................................................................ 380
Guía del Usuario xv

auth ........................................................................................................................ 380
BGP ........................................................................................................................ 380
Citrix ....................................................................................................................... 380
Clarent-gateway ....................................................................................................... 381
Clarent-command .................................................................................................. 381
CU-SeeMe ............................................................................................................... 382
DHCP-Server o DHCP-Client .................................................................................... 382
DNS ....................................................................................................................... 382
Entrust .................................................................................................................... 382
finger ...................................................................................................................... 382
FTP ........................................................................................................................ 383
Gopher ................................................................................................................... 383
GRE ....................................................................................................................... 383
HTTP ...................................................................................................................... 383
HTTPS .................................................................................................................... 384
HBCI ....................................................................................................................... 384
IDENT .................................................................................................................... 384
IGMP ...................................................................................................................... 384
IKE ......................................................................................................................... 385
IMAP ...................................................................................................................... 385
IPSec ..................................................................................................................... 385
IRC ........................................................................................................................ 385
Intel Video Phone .................................................................................................... 385
Kerberos v 4 y Kerberos v 5 ................................................................................... 386
L2TP ...................................................................................................................... 386
LDAP ...................................................................................................................... 386
LDAP-SSL ............................................................................................................... 386
Lotus Notes ........................................................................................................... 386
MSSQL-Monitor ...................................................................................................... 387
MSSQL-Server ........................................................................................................ 387
MS Win Media ....................................................................................................... 387
NetMeeting ............................................................................................................ 387
NFS ....................................................................................................................... 387
NNTP ..................................................................................................................... 388
NTP ....................................................................................................................... 388
OSPF ...................................................................................................................... 388
pcAnywhere ........................................................................................................... 388
ping ....................................................................................................................... 388
POP2 y POP3 ......................................................................................................... 389
PPTP ...................................................................................................................... 389
RADIUS y RADIUS-RFC ............................................................................................ 389
RADIUS-Accounting y RADIUS-ACCT-RFC .................................................................. 389
RDP ....................................................................................................................... 390
RIP ......................................................................................................................... 390
RSH ....................................................................................................................... 390
RealPlayer G2 ........................................................................................................ 390
Rlogin .................................................................................................................... 390
SecurID .................................................................................................................. 391
xvi WatchGuard System Manager

SMB (Windows Networking) ...................................................................................... 391
SMTP ....................................................................................................................... 391
SNMP ....................................................................................................................... 391
SNMP-Trap ............................................................................................................... 392
SQL*Net ................................................................................................................... 392
SQL-Server ............................................................................................................... 392
ssh .......................................................................................................................... 392
Sun RPC ................................................................................................................... 392
syslog ....................................................................................................................... 393
TACACS .................................................................................................................... 393
TACACS+ .................................................................................................................. 393
TCP .......................................................................................................................... 394
TCP-UDP ................................................................................................................... 394
UDP .......................................................................................................................... 394
telnet ....................................................................................................................... 394
Timbuktu .................................................................................................................. 394
Time ......................................................................................................................... 394
traceroute ................................................................................................................ 395
UUCP ........................................................................................................................ 395
WAIS ........................................................................................................................ 395
WinFrame ................................................................................................................. 395
WG-Auth ................................................................................................................... 396
WG-Firebox-Mgmt ..................................................................................................... 396
WG-Logging .............................................................................................................. 396
WG-Mgmt-Server ...................................................................................................... 396
WG-SmallOffice-Mgmt ............................................................................................... 396
WG-WebBlocker ........................................................................................................ 396
WHOIS ...................................................................................................................... 397
X11 .......................................................................................................................... 397
Yahoo Messenger ..................................................................................................... 397
Políticas controladas por Proxies .............................................................................. 397
DNS .......................................................................................................................... 397
FTP ........................................................................................................................... 398
HTTP ........................................................................................................................ 398
SMTP ....................................................................................................................... 398
TCP Proxy ................................................................................................................. 398
Guía del Usuario xvii

xviii WatchGuard System Manager
CAPÍTULO 1 Introducción
WatchGuard® System Manager (WSM) le brinda una forma fácil y eficiente de administrar la seguridad de su
red.
Con una computadora actuando como estación de administración, se puede mostrar, administrar y monito-
rear cada dispositivo Firebox® de su red.
WSM soporta ambientes integrados. Es posible administrar los diferentes modelos de dispositivos Firebox
que usan las distintas versiones de software appliances. Es también posible centralizar la administración de
los dispositivos Firebox X Edge.
WSM tiene tres servidores que ejecutan las funciones administrativas del Firebox:
Management Server
El Management Server opera en una computadora con Windows. Con este servidor, es posible mani-
pular todos los dispositivos de firewall y crear túneles VPN (Virtual Private Network – red privada vir-
tual) usando una simple función “arrastrar y soltar” del mouse. Las funciones básicas del Management
Server son:
- Administración centralizada de las configuraciones de túneles VPN
- Ser Autiridad de Certificación para distribuir certificados para túneles de Internet Protocol Security
(IPSec)
- Traducción de protocolo para el soporte de los productos WatchGuard SOHO y Firebox X Edge
Log Server
El Log Server recolecta mensajes de log de cada WatchGuard Firebox. Los mensajes de log se encrip-
tan cuando se envían al Log Server. El formato de los mensajes de log es XML (texto plano). La infor-
mación recabada de los dispositivos de firewall incluye los mensajes de log de tráfico, mensajes de log
de eventos, alarmas, y mensajes de diagnóstico.
WebBlocker Server
El WebBlocker Server opera con la proxy HTTP del Firebox para denegarle acceso a usuarios a catego-
rías específicas de sitios web. El administrador establece las categorías de los sitios web permitidos o
bloqueados durante la configuración del Firebox.
Acerca de Fireware y Fireware Pro

WatchGuard® Fireware® es la última generación en software de appliances de seguridad disponible a través
de WatchGuard. El software de appliances es una aplicación que se mantiene en la memoria de su hardware
Guía del Usuario 1

Características y herramientas Fireware
de firewall. El Firebox® usa un archivo de configuración para operar el software de appliance.

La política de seguridad de su organización es un conjunto de reglas que define cómo protege su red de
computadoras y la información que pasa a través de ella. El software de appliance Fireware tiene caracte-
rísticas avanzadas para administrar políticas de seguridad para la mayoría de las redes complejas.
Hay dos versiones de Fireware disponibles para los clientes de WatchGuard®:
• Fi re ware® — Éste es el software de appliance por defecto en los dispo s i t i vos Firebox X Core e-Se ri e s.
• Fireware® Pro — Éste es el software de appliance por defecto en los dispositivos Firebox X Peak
e- Series. Si posee un Firebox X Core, puede comprar una actualización a Fireware Pro. Este software
de appliance tiene las siguientes características avanzadas para redes más complejas:
- Alta disponibilidad.
- Opciones de red avanzadas que incluyen QoS (Quality Of Service – calidad de servicio) y enruta-
miento dinámico.
El WatchGuard System Manager también incluye las herramientas de software necesarias para configurar y
administrar un dispositivo Firebox X que usa el software de appliance WFS. É s te es el software de appli-
ance por defecto que se incluía con los modelos anteriores de Firebox X Core y Peak. Para mayor informa-
ción acerca del software de appliance WFS, vea la Guía de Configuración del WFS.
Luego que se coloca un Firebox bajo la administración del WSM, identifica automáticamente el software
de appliance que usa el Firebox. Si selecciona el Firebox y entonces hace click sobre un ícono de la barra
de herramientas, se incia la herramienta de administración correcta. Estas herramientas incluyen:
• Firebox System Manager
• Policy Manager
• HostWatch
Por ejemplo, si agrega un Firebox X700 operando con el software de appliance WFS a la pestaña Devices
de WFS y luego clica el icono de Policy Manager en la barra de herramientas de WSM, se iniciará automáti-
camente el Policy Manager de WFS. Si agrega un Firebox X700 operando con el software de appliance
Fireware y hace click sobre el ícono Policy Manager, se iniciará el Policy Manager de Fireware.
Funciones y herramientas Fireware

WatchGuard® Fire wa re® y Fireware Pro incluyen muchas ca racte r í s t i cas para mejorar la seguridad de su red.
Policy Manager para Fireware

El Policy Manager le ofrece una interfaz de usuario para las tareas de configuración básica del firewall.
Policy Manager incluye un conjunto completo de filtros de paquetes y proxies pre-configurados. Por ejem-
plo, para aplicar un filtro de paquete para todo el tráfico de Telnet, se debe agregar un filtro de paquete
Telnet. Es posible hacer un filtro de paquete personalizado, para lo cual deberá establecer los puertos, pro-
tocolos y demás parámetros. La configuración cuidadosa de las opciones IPS puede detener ataques tales
como SYN Flood, spoofing, y sondeos del espacio de puertos o del espacio de direcciones.
Firebox System Manager

Firebox® System Manager le ofrece una interfaz para monitorear todos los componentes de su Firebox.
Desde el Firebox System Manager, puede monitorear las condiciones actuales del Firebox o conectarse
directamente para obtener una actualización de su configuración.
Network Address Translation

La traducción de direcciones de red o Network Address Translation (NAT) es un término utilizado para
referirse a uno o más métodos de traducción de direcciones IP y de puertos. Los administradores de redes
2 WatchGuard System Manager

Funciones y herramientas Fireware
usan frecuentemente NAT para incrementar el número de computadoras que pueden operar con sólo una
dirección IP pública. NAT también oculta las direcciones IP privadas de las computadoras de su red.
Multi-WAN
Fireware le permite configurar un máximo de cuatro interfaz Firebox como externas, o interfaz WAN. Puede
controlar el flujo de tráfico a través de más de una interfase WAN para compartir el volumen del tráfico
saliente.
Firebox y los servidores de autenticación de terceros

WatchGuard® System Manager con Fireware soporta cinco protocolos de autenticación diferentes: Firebox,
RADIUS, SecurID, LDAP y Active Directory.
Detección y prevención de intrusiones basada en firmas

Un único conjunto de cualidades para un cierto virus o ataque es conocido como su firma. Cuando un
nuevo ataque de intrusión se identifica, las cualidades que hacen único ese virus o ataque se identifican y se
registran y una nueva firma se puede crear y distribuir. WatchGuard Gateway Antivirus e Intrusion
Prevention Service usan esas firmas para encontrar virus y detectar ataques de intrusos. Los suscriptores a
este servicio pueden establecer un cronograma automático o manual de actualización de conjuntos de fir-
mas. El Intrusion Prevention Service opera con toda la proxies de WatchGuard. Gateway AntiVirus opera con
los proxies SMTP y HTTP.
Creación y manejo de VPN

La tecnología Fireware facilita la configuración, administración y monitoreo de muchos túneles IPSec VPN
con sucursales y usuarios finales.
Características de redes avanzadas

La característica QoS en Fireware Pro le permite establecer restricciones por prioridades y de ancho de
banda para cada política. Firebox puede también utilizar los protocolos de enrutamiento dinámico RIP, OSPF
y BGP. Estos protocolos pueden disminuir el mantenimiento de la red y brindar enrutamiento redundante.
Nota
Tanto QoS como los protocolos OSPF y BGP son soportados únicamente por Fireware® Pro.
El protocolo RIP lo soportan tanto Fireware como Fireware Pro.
Control de tráfico de Web

La función WebBlocker usa la HTTP Proxy para aplicar un filtro al tráfico de web. Usted puede establecer las
horas del día en que los usuarios pueden acceder a diferentes tipos de contenidos en la web. También
puede establecer las categorías de sitios web en que los usuarios no podrán navegar.
Alta disponibilidad
La función High Availability (alta disponibilidad) provee failover dinámico para las conexiones de firewall.
Con High Availability se puede tener operando un Firebox en modo standby (en espera), mientras que otro
Firebox continúa operando. El Firebox que está en standby automáticamente se hace cargo de las operacio-
nes de firewall si el Firebox primario no es capaz de conectarse a Internet.
Nota
High Availability es soportada sólo por Fireware® Pro.
Guía del Usuario 3

WatchGuard System Manager (WSM) Interfaz del Usuario
Los componentes básicos de la interfaz del usuario del WatchGuard® System Manager son la barra de
herramientas de WatchGuard y la ventana del WatchGuard System Manager. Esta sección brinda informa-
ción básica acerca de la interfaz del usuario. Para más información diríjase a los capítulos siguientes.
Acerca de la barra de herramientas de WatchGuard

Debe usar la barra de herramientas de WatchGuard para arrancar, detener y configurar estos servidores:
• Management Server
• Log Server
• WebBlocker Server
La barra de herramientas de WatchGuard es una de las que se encuentra en la parte de abajo de la panta-
lla de su computadora. Si no tiene instalado ningún software de servidor de WatchGuard en su estación de
administración, no verá la barra de herramientas de WatchGuard.
De izquierda a derecha, los íconos de la barra de herramientas administran estos servidores:

• Log Server — Este servidor recolecta mensajes de log, de eventos, alarmas y de diagnóstico para
Firebox® X Edge, FSM, y de dispositivos basados en Fireware® en formato XML (texto plano). Para
información sobre el Log Server, vea el capítulo “Registro de eventos y notificación” en esta guía.
• Management Server — El Management Server opera en una computadora Windows. Para migrar
un servidor DVCP desde un Firebox a su computadora, vea la Guía de Migración.
• WebBlocker Server — Este servidor opera con la HTTP proxy del Firebox para limitar el acceso a cier-
tos
sitios a los usuarios. Para información acerca del WebBlocker, vea el capítulo “Controlando el acceso a
sitios Web con WebBlocker”.
Acerca de la ventana del WatchGuard System Manager

La ventana de WatchGuard® System Manager tiene dos pestañas que puede usar para monitorear y mane-
jar su red:
La ventana de WatchGuard® System Manager tiene dos pestañas en la parte superior de la pantalla:
Device Status
Esta pestaña muestra el estado del dispositivo conectado al WatchGuard System Manager. La infor-
mación que aparece incluye el estado, la dirección IP y la dirección MAC para cada interfase Ethernet
y los certificados instalados. También incluye el estado de todos los túneles VPN que están configu-
rados en el System Manager.
Los dispositivos que aparecen en esta pestaña están conectados directamente al WatchGuard
System Manager.

Device Management
Esta pestaña muestra una hoja de navegación y una hoja de información. La hoja de navegación
muestra los WatchGuard Management Servers conectados y sus dispositivos, VPNs administradas y las
configuraciones del administrador Firebox® X Edge. La hoja de información muestra más información
para cualquier ítem que seleccione en la misma.
La pestaña de Device Management muestra los servidores de administración conectados directa-
mente al Watchguard System Manager y los dispositivos conectados a esos servidores. Un dispositivo
administrado por el Management Server puede aparecer en la pestaña de Device Status sólo si está
también conectado directamente al Watchguard System Manager.
La ventana del WatchGuard System Manager tiene menús e íconos que puede utilizar para iniciar otras
herramientas.
Estado del dispositivo

La información acerca de un dispositivo conectado aparecerá en la pestaña Device Status de WatchGuard®
System Manager.
Firebox Status (estado de Firebox)

La información expandida sobre un Firebox incluye la dirección IP y la máscara de subred de cada interfaz
Firebox. La información expandida para una interfaz incluye:
Guía del Usuario 5

• Dirección IP y máscara de red de gateway por defecto (sólo para interfaces externas).
• Dirección MAC (Media Access Control – control de acceso al medio) de la interfaz.

• Número de paquetes enviados y recibidos en cada interfaz desde el último reinicio del Firebox.
Branch Office VPN Tunnels (Túneles VPN con sucursales)

Debajo del Firebox Status hay una sección sobre túneles con red privada virtual en sucursales (BOVPN).
Hay dos tipos de túneles IPSec BOVPN: túneles VPN construidos manualmente usando el Policy Manager y
túneles VPN construidos usando el Management Server.
Una entrada expandida para un túnel BOVPN muestra esta información:
• El nombre del túnel, la dirección IP del dispositivo IPSec de destino y el tipo de túnel. Si el túnel
está manejado por el Management Server, la dirección IP refiere a la dirección remota de red com-
pleta.
• El volumen de datos enviados y recibidos en el túnel en bytes y paquetes.
• El tiempo antes de que expire la clave y cuándo es creado el túnel nuevamente. Esto aparece como
un tiempo límite o como el número de bytes. Si usa el Management Server para configurar que un
túnel expire por límites de tiempo y volumen, aparecen los dos valores.
• Capas de autenticación y encriptación establecidas para cada túnel.
• Políticas de enrutamiento para el túnel.
Mobile User VPN Tunnels (Túneles VPN con usuarios móviles)

Después de la entrada correspondiente a los túneles VPN de sucursales hay una entrada para los túneles
VPN para usuarios móviles (Mobile User). Esta entrada muestra la misma información que la correspon-
diente a los túneles BOVPN. Incluye el nombre del túnel, la dirección IP de destino y el tipo de túnel.
También aparece información de paquetes, la fecha de expiración de la clave y datos de autenticación y
encriptación.
PPTP User VPN Tunnel (Túneles PPTP VPN)

Para los túneles PPTP RUVPN, WatchGuard System Manager muestra sólo la cantidad de paquetes envia-
dos y recibidos. El volumen de bytes y el volumen total de bytes no se aplican a los túneles PPTP.
Estado de la conexión
El árbol de vistas de cada dispositivo muestra uno de los cuatro estados posibles. Las descripciones de los
estados son las siguientes:
Sin signo de admiración e ícono gris
El dispositivo está siendo contactado por primera vez o aún no ha sido contactado.
Ícono normal
Operación normal. El dispositivo está enviando datos exitosamente al WatchGuard System Manager.

Signo de interrogación amarillo

El dispositivo tiene direccionamiento IP dinámico y aún no ha contactado al Management Server.
Signo de admiración rojo e ícono gris
WatchGuard System Manager no puede establecer una conexión de red con el dispositivo en este
momento.
Guía del Usuario 7


CAPÍTULO 2 Comenzando
Históricamente, las organizaciones usaban muchas herramientas, sistemas y personal para controlar la segu-
ridad de sus redes. Diferentes sistemas de computación controlaban accesos, autenticación, redes privadas
virtuales y control de red. Estos sistemas costosos no son fáciles de usar juntos o de mantener actualizados.
WatchGuard® System Manager (WSM) provee una solución integrada para manejar su red y controlar los
problemas de seguridad. Este capítulo le dirá cómo instalar WatchGuard System Manager en su red.
Instalando WatchGuard System Manager

WatchGuard® System Manager (WSM) incluye un software firewall de appliance y software de manejo. Usa
el software WSM para configurar y monitorear el Firebox®.
Para instalar el software WatchGuard System Manager, se debe:
• Recabar información y direcciones de la red.
• Seleccionar un modo de configuración de la red.
• Seleccionar la instalación del Management Server, Log Server y WebBlocker Server en la misma com-
putadora como su software de administración, o en otra computadora diferente.
• Configurar la estación de administración.
• Usar un Quick Setup Wi z a rd (asiste nte de configuración rápida) para hacer un archivo de co n f i g u ración
básica.
• Poner el Firebox en operación en su red.
Nota
Este capítulo da la información por defecto para un Firebox con una configuración de tres interfaz. Si su
Firebox tiene más de tres interfaz, use las herramientas de configuración y procedimientos del capítulo
“Preparando y configurando la red”.
Requisitos para la instalación

Antes de instalar el WatchGuard System Manager, asegúrese de tener los siguientes ítems:
• El dispositivo de seguridad WatchGuard Firebox
• Un cable serial (azul)
Guía del Usuario 9

• Tres cables Ethernet cruzados (rojo)

• Tres cables Ethernet directos (verde)
• Cable de alimentación
• Clave de licencia de LiveSecurity Service
Obteniendo información de la red

Claves de licencias
Obtenga sus claves de licencias certificadas. Su WatchGuard Firebox viene con una clave de licencia
LiveSecurity que activa las funciones de su Firebox.
Usted obtendra las claves de licencias de cualquier producto opcional al comprarlo.
Direcciones de red
Le recomendamos hacer dos tablas cuando configure su Firebox. Use la primera para sus direcciones IP de
red antes de poner operativo al Firebox.
WatchGuard usa notación de barras oblícuas para mostrar la máscara de subred.
Direcciones IP de la red sin el Firebox
Red de área extendida

(Wide Area Network) _____._____._____._____ / ____
Puerta de enlace
por defecto _____._____._____._____
Red de área local

(Local Area Network) _____._____._____._____ / ____
Red secundaria
(si se aplica) _____._____._____._____ / ____
Servidor(es) Público(s)
(si se aplica) _____._____._____._____
_____._____._____._____
_____._____._____._____
Use la segunda tabla para las direcciones IP de su red después de poner operativo al Firebox.
External interface
Conecta a la red externa (usualmente Internet) que no es confiable (not trusted).
Trusted interface
Conecta a una red privada LAN (local area network) o una red interna que desea asegurar.
Optional interface(s)
Normalmente conecta a al área DMZ(desmilitarizada) o al área mixta confiable de su red. El número
de interfaces opcionales en su Firebox cambia de acuerdo al modelo que usted compra. Use opcio-
nales para crear zonas de la red con diferentes niveles de acceso.

Direcciones IP de la red con el Firebox

Puerta de enlace
por defecto _____._____._____._____
Red externa _____._____._____._____ / ____
Red trusted _____._____._____._____ / ____
Red opcional _____._____._____._____ / ____
Red secundaria
(si se aplica) _____._____._____._____ / ____
Seleccionando un modo de configuración del firewall

Usted debe decidir cómo instalar el Firebox en su red antes de instalar el WatchGuard System Manager. La
forma en que usted instale el Firebox controla la configuración de la interfaz. Para instalar el Firebox en su
red, seleccione el modo de configuración — ruteado (routed) o drop-in— que se adapte a las necesidades
de su red actual.
Muchas redes operan mejor con una configuración ruteada, pero recomendamos el modo drop-in si:
• Ya tiene asignado un gran número de direcciones IP estáticas
• No puede configurar las computadoras en sus redes confiable y opcional que tienen direcciones IP
públicas con direcciones IP privadas
La tabla, a continuación, muestra tres condiciones que pueden ayudarlo a seleccionar un modo de configu-
ración del firewall.
Configuración Enrutada Configuración Drop-in
Todas las interfaces del Firebox están

Todas las interfaces del Firebox están en diferentes en la misma red y tienen la misma
redes.
dirección IP.
Las interfaces confiables y opcional deben estar en Las computadoras de las interfaces
diferentes redes. Cada interfase tiene una dirección IP confiables u opcional pueden tener
en su red. direcciones IP públicas.
Las máquinas que tienen acceso
Usa NAT (network address translation) estática para
realizar el mapa de direcciones públicas a privadas público tienen direcciones IP públicas.
Por lo tanto, no se precisa NAT estáti-
detrás de las interfaces confiables u opcional. ca.
Configuración ruteada
Use la configuración ruteada cuando tenga un pequeño número de direcciones IP públicas o cuando su
Firebox obtenga sus direcciones IP externas con PPPoE (point-to-point protocol over Ethernet – protocolo
punto a punto sobre Ethernet) o con DHCP (dynamic host configuration protocol – protocolo de configura-
ción de host dinámica).
Guía del Usuario 11

En una configuración ruteada, instale el Firebox con diferentes subredes en cada una de sus interfaces. El
servidor público detrás del Firebox puede usar direcciones IP privadas. Firebox usa NAT para rutear tráfico
proveniente de la red externa hacia los servidores públicos.
Los requerimientos para una configuración ruteada son:

• Todas las interfaces del Firebox pueden ser configuradas en subredes diferentes. La configuración
mínima incluye a las interfaces externa y trusted. Puede también configurar una o más interfaces
opcionales.
• Todas las computadoras co n e ctadas a las interfaces confiables y opcional deben tener una dirección IP
desde la red. Por ejemplo, una computadora en una interfaz confiable en la figura anterior puede tener
una dirección IP 10.10.10.200, pero no 192.168.10.200, la cual está en la interfaz opcional.
Configuración drop-in
En una configuración drop-in, Firebox se configura con la misma dirección IP en todas las interfaces. El
modo de configuración drop-in distribuye el rango de direcciones lógicas de la red a través de las interfa-
ces Firebox. Puede poner al Firebox entre el router y la LAN y no tiene que cambiar la configuración de
ninguna de las computadoras locales. Esta configuración es conocida como “drop-in” porque Firebox es
“dropped in” (invitado informal) dentro de la red.
En el modo drop-in:
• Debe asignar la misma dirección IP primaria a todas las interfaces de su Firebox (externa, confiable y
opcional).
• Puede asignar redes secundarias en cualquier interfaz.
• Puede mantener la misma dirección IP y gateways para hosts de sus redes confiables y opcional,
y agregar una dirección de red secundaria a la interfaz Firebox para que éste pueda enviar
correctamente tráfico a los hosts en esas redes.

Los servidores públicos detrás del Firebox pueden continuar usando direcciones IP públicas. Firebox no usa
traducción de direcciones de red (NAT) para rutear tráfico desde fuera de su red hacia sus servidores públi-
cos.
Las propiedades de una configuración drop-in son:

• Debe tener una dirección IP estática externa para asignar al Firebox.
• Usa una red lógica para todas las interfaces.
• El modo drop-in no soporta multi-WAN en configuración round robin o backup. Para más información
acerca de estas opciones, vea el capítulo “Preparando y configurando la red”.
Algunas veces es necesario limpiar el caché ARP para cada computadora en la red confiable, pero esto no es
común.
Seleccionando dónde instalar el software del servidor

Durante la instalación, puede instalar la estación de administración y tres componentes del servidor
WatchGuard System Manager en la misma computadora. También puede usar el mismo procedimiento para
instalar componentes del Log Server y del WebBlocker Server en otras computadoras para distribuir la carga
entre los servidores o proveer redundancia. El Management Server no opera correctamente en una compu-
tadora que no tenga también instalado el software de WSM. Para decidir dónde instalar el software de servi-
dor, debe examinar la capacidad de su estación de administración y seleccionar el método de instalación
que se adapte a sus necesidades.
Si instala Management Server, Log Server, o WebBlocker Server en una computadora con un firewall activo
de escritorio diferente del Firewall Windows , debe abrir los puertos necesarios para que los servidores se
conecten a través del firewall. Los usuarios del Firewall Windows no tienen que cambiar la configuración de
su firewall de computadora de escritorio, porque el programa de instalación abre los puertos necesarios
para atravesar el Firewall de Windows , automáticamente. Vea “Instalando WatchGuard Servers en computa-
doras de escritorio con firewalls” en este capítulo, para más información.
Configurando la estación de administración

Usted instala el software de WatchGuard System Manager (WSM) en su estación de administración. Este
software muestra el tráfico que pasa a través del firewall. WatchGuard System Manager también muestra el
estado de la conexión y los túneles. El WatchGuard Log Server registra la información que recibe del Firebox.
Puede acceder a estos datos usando herramientas de la estación de administración.
Seleccione una computadora en su red para actuar como estación de administración e instale el software de

Asistente de configuración rápida
administración. Para instalar el software del WatchGuard System Manager en su estación de administra-
ción basada en Windows, debe tener privilegios administrativos. Luego de la instalación, puede operar con
los privilegios de Power User bajo Windows XP o Windows 2003.
Puede descargar la más actualizada versión del software de WatchGuard System Manager, en cualquier
momento, desde https://www.watchguard.com/archive/softwarecenter.asp. Debe hacer “log in” con su
nombre de usuario y clave de LiveSecurity. Si es un nuevo usuario, cree un perfil de usuario y active su pro-
ducto en http://www.watchguard.com/activate antes de intentar descargar el software de WSM.
1 Descargue la última versión del software WatchGuard System Manager. Debe también descargar
e instalar la última versión del software de appliance Fireware® para su estación de administra
ción. Use este software con el Asistente Web Quick Setup para crear un archivo de configuración bási-
ca para su Firebox.
Asegúrese escribir el nombre y el camino a la carpeta (path) de los archivos cuando los guarda en el disco rígido.
2 Abra el archivo y use las instrucciones de instalación.
El programa de inicialización (Setup) incluye una pantalla en la cual puede seleccionar los componentes del software
o las actualizaciones a instalar. Es necesaria una licencia diferente cuando insta la algunos componentes del software.
Nota
Si su estación de administración está operando con una barra de herramientas Windows, algunos
usuarios encuentran necesario cerrar y volver a abrir la barra de herramientas para ver los nuevos
componentes instalados para el WatchGuard Management System.
Niveles de encriptación de software

El software de administración está disponible en dos niveles de encriptación.
Base (básica)
Soporta encriptación de 40-bit para túneles PPTP RUVPN. No puede crear un túnel IPSec VPN con
este nivel de encriptación.
Fuerte (strong)
Soporta encriptación de 40-bit y 128-bit para PPTP RUVPN. También soporta 56-bit y 168-bit DES, y
128-bit, 192-bit y 256-bit AES.
Para usar red privada virtual con IPSec debe descargar el software de encriptación fuerte.
Los límites de exportación fuertes se aplican al software de encriptación fuerte. Es posible que no esté dis-
ponible para descarga.
Respaldando su configuración previa

Si tiene una versión anterior de WatchGuard System Manager, haga una copia de respaldo de la configura-
ción de sus políticas de seguridad antes de instalar un a nueva versión. Para crear una copia de respaldo
de su configuración, vea la Guía de Actualización (Upgrade Guide).

Puede usar el Asistente Quick Setup para crear una configuración básica para su Firebox X. Firebox usa
este archivo de configuración básica cuando se inicia por primera vez. Esto le permite operar como un
firewall básico. Puede usar el mismo procedimiento toda vez que desee resetear Firebox a una nueva con-
figuración básica, para recuperar o por otras razones.

Asistente Web Quick Setup para de Firebox X Core y Peak e-Series

Cuando compre un dispositivo Firebox X Core o Peak e-Series, puede usar el nuevo Asistente Web Quick
Setup (Asistente Web de configuración rápida) para configurar su Firebox. Si ya configuró un Firebox X Core
o X Peak con anterioridad, es importante que entienda que el Web Quick Setup Wizard opera en forma dife-
rente al Asistente Quick Setup que se incluía con los modelos anteriores del hardware Firebox X. Con los dis-
positivos anteriores Firebox X Core y Peak, el Asistente Quick Setup usaba un descubridor de dispositivos
para encontrar al Firebox en la red para configurarlo. Con Firebox X Core y Peak e-Series y el Asistente Web
Quick Setup , debe hacer una conexión directa de la interfaz al Firebox y usar un navegador de web para
arrancar el asistente. Firebox usa DHCP de su interfase Eth1 Ethernet para asignar una nueva dirección IP a
su estación de administración para usarla durante la configuración.
Antes de iniciar el Asistente Web Quick Setup , asegúrese de tener:
• Registrado su Firebox en el LiveSecurity Service
• Guardada una copia de su clave “Feature Key” de Firebox en un archivo de texto en su estación de
administración
• Descargados los software WSM y Fireware® desde la página web de LiveSecurity Service en su esta-
ción de administración
• Instalado el ejecutable de Fireware en su estación de administración
• Configurada su estación de administración para aceptar automáticamente una dirección IP (a través
de DHCP)
Usando el Asistente Web Quick Setup

1 Conecte el cable rojo cruzado de Ethernet que se incluye en su Firebox entre el puerto Ethernet de su
estación de administración y el puerto Eth1 en su Firebox.
2 Enchufe el cable de alimentación de electricidad a la entrada de alimentación de su Firebox y a la
fuente de alimentación eléctrica.
3 En el frente del Firebox X, presione el botón de la flecha hacia arriba mientras enciende el Firebox.
El Fi re box X boo tea en modo seguro (Sa fe Mode). Puede libe rar el botón de la flecha hacia arriba cuando
vea el mensaje “Invoking Recovery”.
4 Asegúrese de que su estación de administración esté configurada para aceptar direcciones IP asignadas
por DHCP.
Por ejemplo, si su estación de administración usa Windows XP:
Desde el menú de Inicio de Windows, seleccione Todos los programas > Panel de control >
Conexiones de red > Conexión de área local. Haga click en Propiedades. Seleccione Protocolo
Internet (TCP/IP) y haga click en Propiedades.
Asegúrese de que esté seleccionado Obtener una dirección IP automáticamente.
5 Abra un navegador web y escrba: http://10.0.1.1:8080/
Esto abre una conexión HTTP entre su estación de administración y el dispositivo Firebox X e-Series. El Web Quick
Setup Wizard arranca automáticamente.
Luego de que el Firebox esté configurado con esta configuración básica, puede usar Policy Manager para
expandirla o cambiarla.
Usando el Asistente Web Quick Setup para recuperación

Puede usar el Asistente Web Quick Setup cuando configure por primera vez su dispositivo Firebox X e-
Series. También puede usar Web Quick Setup Wizard si desea reestablecer un Firebox con una nueva confi-
guración en caso que haya olvidado la contraseña o que esté desplegando Firebox en una nueva red.
Si usa el Asistente Web Quick Setup para recuperación y ha comprado una actualización del modelo de
hardware del Firebox, debe asegurarse de que la “Feature Key”que ponga en el Asistente sea la que recibió
con la actualización del modelo.

Poniendo en operación a Firebox
Solucionando problemas con el Asistente Web Quick Setup

Si el Asistente Web Quick Setup no puede instalar el software de appliance Fireware en los Firebox, el asis-
tente espera seis minutos hasta informar que ha agotado el tiempo de espera. Aquí se enumeren algunas
cosas a verificar si tiene problemas con el Asistente:
• Es posible que el archivo del software de aplicación Fireware que descargó de la página de
LiveSecurity esté corrupto. Si la imagen del software está corrupta, algunas veces se ve un mensaje
en la interfaz LCD: “File Truncate Error” (error de truncamiento de archivo) Descargue nuevamente
el software e intente con el Asistente una vez más.
• Si usa Internet Explorer 6, limpie el archivo de caché de su navegador web e intente nuevamente.
Para limpiar el caché, desde la barra de herramientas de Internet Explorer seleccione
Herramientas> Opciones de Internet > Eliminar archivos.

Si usa un modelo antiguo de Firebox X Core o Peak (no un e-Series Firebox), entonces debe usar el
Asistente Quick Setup que corre como una aplicación Windows para hacer un archivo de configuración
básica. Firebox usa este archivo cuando arranca por primera vez. Éste le permite a operar como un firewall
básico.
Después de configurar el Firebox con esta configuración básica, puede usar Policy Manager para expandir-
la o cambiarla.
Quick Setup Wizard usa un procedimiento de descubrimiento de dispositivos para encontrar el modelo de
Firebox X que está configurando. Este procedimiento usa comunicación UDP. El software de firewall, inclu-
so el firewall de Microsoft Windows XP SP2, puede causar problemas con el detector de dispositivos.
Puede arrancar Quick Setup Wizard desde el escritorio de Windows o desde el WatchGuard System
Manager. Desde el escritorio, seleccione Inicio > Todos los programas > WatchGuard System Manager
8.3 > Quick Setup Wizard. Desde el System Manager, seleccione Tools > Quick Setup Wizard.
Nota
En el Quick Setup Wizard, debe establecer una passphrase (frase clave) de estado y configuración para
Firebox. Cuando esté listo para configurar un Log Server para recolectar mensajes de eventos del Firebox,
use la passphrase de estado que estableció en el Quick Setup Wizard como su clave de encriptación de
log. Después de configurar el Log Server, puede cambiar su clave de encriptación de log, si así lo desea.
Para más información, vea el capítulo “Registro de eventos y notificación”.
Poniendo en operación el Firebox

Cuando finalice el Asistente Quick Setup , también habrá completado la instalación de su Firebox®.
Puede usar el Firebox como un firewall básico que permita el tráfico saliente TCP, DNS y ping.
Complete estos pasos para poner el Firebox en operación en su red:
• Ponga el Firebox en su ubicación física permanente.
• En el WatchGuard® System Manager, use File > Connect To Device para conectar la estación de
administración al Firebox.
• Si usa una configuración ruteada, cambie la puerta de enlace por defecto en toda las computadoras
que conecete a las direcciones IP confiable del Firebox.
Inicialice el Management Server. Vea el capítulo “Configuración y administración del Management
Server” de esta Guía.
• Configure el Log Server para comenzar a registrar mensajes de log. Vea el capítulo “Registro de even-
tos y notificación” en esta Guía.
• Inicialice el WebBlocker Server. Vea el capítulo “Controlando el acceso a sitios Web con WebBlocker”
en esta Guía.
• Abra el Policy Manager para cambiar la configuración.

Iniciando el WatchGuard System Manager
Nota
Si instala el Management Server, Log Server o WebBlocker Server en una computadora con un firewall activo
de escritorio diferente de Windows , debe abrir los puertos necesarios para que los servidores se conecten a
través del firewall. Los usuarios del Firewall de Windows no tienen que cambiar su configuración Vea la sec-
ción “Instalando WatchGuard Servers en computadoras de escritorio con firewalls”, en este mismo capítulo,
para más información.

Esta sección provee procedimientos básicos para comenzar a usar el WatchGuard System Manager. También
describe la información que ve en la pantalla cuando conecta por primera vez al Firebox.
Desde el Escritorio de Windows, seleccione Inicio > Todos los programas > WatchGuard System Manager
8.3 >WatchGuard System Manager.
Para información básica sobre el WatchGuard System Manager, vea la sección “WatchGuard System Manager
(WSM), Interfaz del Usuario” en el capítulo 1. Puede tener acceso a todas las funcionalidades del WatchGuard
System Manager a través de esta ventana principal, tal como se describe a lo largo de este manual.
Conectándose con un Firebox

1 Seleccione File > Connect to > Device.
ó
haga clicK derecho sobre la Device Status y seleccione Connect to > Device.
ó
haga click en el icono Connect to Device de la barra de herramientas de WatchGuard®
System Manager. El ícono se muestra a la izquierda.

Aparece la caja de diálogo Connect to Device.
2 Desde la lista desplegable de Firebox, seleccione un Firebox® por su dirección IP o por el nombre
del host.
Puede también teclear la dirección IP o el nombre del host. Cuando introduzca una dirección IP, teclee todos los
números y los puntos. No use la tecla TAB o las flechas.
3 Teclee la passphrase de estado de Firebox (sólo lectura).
Se utiliza la passphrase de estado para monitorear el tráfico y las condiciones de Firebox. Deberá teclear la passphra
se de configuración cuando grabe una nueva configuración en el Firebox.
4 Si es nece s a ri o, cambie el valor en el ca m po Timeout ( t i e m pode espe ra agotado). Este valor establece el
t i e m po (en segundos) que la estación de administración espe ra la rece pción de datos enviados por el
Fire box, antes de enviar un mensaje que muestre que no puede obtener datos desde el dispo s i t i vo.
Si tiene una red lenta o una conexión Internet al dispositivo, debe incrementar el valor del tiempo de espera.
Disminuyendo el valor disminuirá el tiempo que deberá esperar por un mensaje de time-out cuando se intenta
conectar a un Firebox que no está disponible.
5 Haga click en Login.
Firebox aparece en la ventana del WatchGuard System Manager.
Desconectándose de un Firebox
Para desconectar, haga click en el botón derecho sobre la primera línea de información del
Firebox para desconectar y seleccione File > Disconnect. O seleccione el Firebox y enton-
ces haga click sobre el ícono Disconnect que se muestra a la izquierda.
Arrancando aplicaciones de seguridad

Pueden arrancar estas herramientas desde el WatchGuard® System Manager usando los iconos de la barra
de tareas y desde las opciones del menú:
Policy Manager
Policy Manager le permite instalar, configurar y personalizar una política de seguridad de red. Para
configurar o personalizar la política de seguridad de un Firebox® X Edge o Firebox SOHO, debe usar
la interfaz de usuario web para conectarse al dispositivo.
Firebox System Manager
WatchGuard Firebox System Manager le permite arrancar varias herramientas de seguridad diferen-
tes en una interfaz fácil de usar. También puede usar Firebox System Manager para monitorear tráfi-
co que pasa por el firewall en tiempo real. Para información acerca del uso del Firebox System
Manager, vea el capítulo “Monitoreando el estado de Firebox”.
HostWatch
HostWatch muestra las conexiones que at raviesan un Fi re box desde la red tru s ted hacia la red exte r-
na. Mu e s t ra las co n exiones actuales, o puede mostrar co n exiones ante ri o res a partir de un archivo log.
Para info rmación acerca del uso del Ho s t Watch, vea el capítulo “Mo n i to reando el estado de Fi re box”.

Después de instalarlo
Log Viewer
Log Viewer muestra una vista estática de un archivo de log. Le permite:
- Aplicar un filtro por tipo de datos
- Buscar por palabras y campos
- Imprimir y grabar en un archivo
Para más información acerca del uso del Log Viewer, vea el capítulo “Registro de eventos y notifica-
ción”, en esta Guía.
Historical Reports
Estos informes en HTML dan datos para usar cuando se monitorea o se corrigen errores en la red. Los
datos pueden incluir:
- Tipo de sesión
- Hosts más activos
- Servicios más usados
- URLs
Para más información acerca del uso de Historical Reports, vea el capítulo “Generando informes de
actividad de la red”, en esta Guía.
Después de instalarlo
Usted ha instalado, configurado y puesto en operación satisfactoriamente su nuevo WatchGuard® System
Manager en su red. Aquí podrá encontrar algunos procedimientos básicos y más información para tener en
cuenta.
Personalizando su política de seguridad

Su política de seguridad controla quién puede entrar en su red, dónde puede ir, y quién puede salir.
El archivo de configuración de su Firebox® hace la política de seguridad.
El archivo de configuración que hizo con el Asistente Quick Setup es sólo una configuración básica. Puede
hacer un archivo de configuración que ajuste su política de seguridad a sus requerimientos. Para hacer esto,
agregue políticas filtradas y de proxy para establecer qué permite entrar y salir de su red. Cada política
puede tener un efecto en su red. Las políticas que aumentan la seguridad de su red pueden disminuir el
acceso a la misma. Las políticas que aumentan el acceso a su red pueden disminuir la seguridad de ésta.
Cuando selecciona estas políticas, debe seleccionar un rango de políticas balanceadas basado en su organi-
zación y en el equipamiento de computación que quiera proteger. Para una instalación nueva, recomenda-
mos que use sólo políticas de filtros empaquetadas hasta que todos sus sistemas operen correctamente.
Cuando sea necesario, podrá adicionar las políticas de proxy.
Características del LiveSecurity Service

Su Firebox incluye una suscripción a LiveSecurity® Service. Su suscripción:
• Asegura que usted tenga la más nueva protección de red con las más recientes actualizaciones
• Aporta soluciones a sus problemas con recursos completos de soporte técnico
• Previene interrupciones del servicio con mensajes y ayudas de configuración para los más recientes
problemas de seguridad
• Le ayuda a entender más acerca de seguridad de redes a través de recursos de entrenamiento
• Extiende la seguridad de su red con software y otras características
• Extiende la garantía de su hardware con reemplazo avanzado

Actualizando a una nueva versión de Fireware
Actualizando a una nueva versión de Fireware

Ocasionalmente, nuevas versiones del WatchGuard System Manager (WSM) y del software de appliance
Fireware® se hacen disponibles para los usuarios de Firebox® con suscripciones activas a LiveSecurity. Para
actualizar desde una versión de WSM 8.x con Fireware a una nueva versión de WSM 8.x con Fireware:
1 Haga copia de respaldo de su archivo de configuración del Firebox actual y de los archivos de confi-
guración actuales del Management Server.
Para más información acerca de cómo crear una imagen de respaldo de su configuración de Firebox, vea “Acerca de
las imágenes de respaldo de Firebox” en el capítulo 6.
Para respaldar la configuración de su Management Server, use el Asistente Management Server Backup and Restore
(asistente de respaldo y recuperación del Management Server). Para más información acerca de este Asistente, vea el
capítulo “Configuración y administración del Management Server”.
2 Use “Agregar o quitar programas” de Windows para desinstalar su instalación de WatchGuard
Fireware existente.
No es necesario eliminar la instalación del WSM.
3 Inicie el o los archivos que descargó de la página web de LiveSecurity y use el procedimiento
de pantalla.
4 Para grabar la actualización a la appliance, use Policy Manager para abrir el archivo de configura-
ción de Firebox X Core o Firebox X Peak y use las instrucciones en pantalla para convertir el archivo
de configuración a la nueva versión y grábela en el Firebox.
Si no ve instrucciones en pantalla o tiene problemas con este procedimiento, abra el Policy Manager
y seleccione File > Upgrade. Despliegue su directorio de instalación o C:\Program Files\Common
Files\WatchGuard\resources\Fireware y seleccione el archivo WGU. Haga click en OK.
El procedimiento de actualización automáticamente vuelve a iniciar el Firebox.
Tópicos de instalación
Esta sección ofrece información adicional acerca de cómo configurar su Firebox®.
Instalando WatchGuard Servers en computadoras de escritorio con firewalls

Los firewalls de escritorio pueden bloquear los puertos necesarios para que los componentes del servidor
de WatchGuard® puedan operar. Antes de instalar Management Server, Log Server, o WebBlocker Server en
una computadora con un firewall de escritorio activo, debe necesariamente abrir los puertos necesarios en
el firewall de escritorio. Los usuarios del Firewall de Windows no precisan cambiar su configuración ya que
el programa de instalación abre los puertos necesarios automáticamente.
Esta tabla muestra los puertos que deberá abrir en un firewall de escritorio.
Tipo de servidor / Software de appliance Protocolo / Puerto
Management Server TCP 4109, TCP 4110, TCP 4112, TCP 4113
Log Server
con software de appliance Fireware® TCP 4115
con software de appliance WFS TCP 4107
WebBlocker Server TCP 5003, UDP 5003

Adicionando redes secundarias a su configuración

Una red secundaria es una red diferente que conecta una interfaz Firebox con un switch o un hub.
Cuando agrega una red secundaria, está inscribiendo una segunda dirección IP en la interfaz Firebox.
Entonces está haciendo (o agregando) un alias de IP a la interfaz de red. Esta dirección de red secundaria
que Usted establece es la puerta de enlace por defecto para todas las computadoras de la red secundaria. La
red secundaria también le dice a Firebox que hay un red más en la interfaz Firebox.
Para agregar una red secundaria, realice un de estos procedimientos:
Usando un Asistente Quick Setup durante la instalación

Si configura Firebox en modo drop-in, puede entrar una dirección IP para la red secundaria en el Asistente
Web Quick Setup . Ésta es la puerta de enlace por defecto para su red secundaria privada.
Agregando una red secundaria después de completar la instalación de Firebox

Si configura Firebox en modo ruteado, o en cualquier momento luego de usar un Asistente Quick Setup ,
puede usar Policy Manager para agregar redes secundarias a una interfaz. Para información acerca de cómo
usar Policy Manager, vea el capítulo “Configurando Políticas” en esta Guía.
Soporte de IP dinámico en la interfaz externa

Si usa direcciones IP dinámicas, debe configurar su Firebox en modo ruteado cuando use un
Asistente Quick Setup .
Si selecciona DHCP, el Firebox le dice a un servidor DHCP controlado por su proveedor de servicios de
Internet (ISP) que le asigne al Firebox su dirección IP, su puerta de enlace y su máscara de red. Este servidor
puede también asignar información del servidor DNS para su Firebox. Si no le provee esa información, debe
agregarla manualmente a su configuración.
De ser necesario, puede cambiar la dirección IP que su ISP le asigna.
Puede también usar PPPoE. Como con DHCP, Firebox hace una conexión al servidor PPPoE con protocolo
PPPoE de su ISP. Esta conexión configura automáticamente su dirección IP, su puerta de enlace y su máscara
de red. Si usa PPPoE en la interfase externa, debe tener el nombre de uuario y la clave PPP cuando configura
su red. Si su ISP le da un nombre de dominio para usar, teclee su nombre de usuario en el formato “usua-
rio@dominio” cuando use un Asistente Quick Setup .
Una dirección IP estática es necesaria para que el Firebox use algunas funciones. Cuando configure Firebox
para recibir direcciones IP dinámicas, éste no podrá usar estas funciones:

• Alta Disponibilidad (no disponible en Firebox 500)

• Modo drop-in
• NAT 1 a 1
• MUVPN
• RUVPN con PPTP
Nota
Si su ISP usa una conexión PPPoE para asignar una dirección IP estática, Firebox le permite
habilitar MUVPN y RUVPN con PPTP porque la dirección IP es estática.
Los alias externos y NAT 1a1 NAT no están disponibles cuando Firebox es un cliente PPPoE.
Ingresando direcciones IP
Cuando ingresa direcciones IP en las cajas de diálogo de Asistente Quick Setup o de WSM, escriba los dígi-
tos y los puntos en la secuencia correcta. No use la tecla TAB, las flechas, la barra espaciadora o el mouse
para ubicar al cursor entre los puntos. Por ejemplo, si teclea la dirección IP 172.16.1.10, no escriba un espa-
cio después de “16.” No intente poner el cursor después del punto siguiente para escribir “1.” Escriba un
punto directamente después de “16,” y luego escriba “1.10.” Presione la barra oblícua (/) para moverse
hacia la próxima máscara de red.
Acerca de la notación con barra oblícua

Use la notación con barra oblícua para ingresar máscaras de red. En la notación con barra, el número
muestra cuántos bits de la dirección IP identifican la red en la que está el host. Una máscara de red de
255.255.255.0 tiene un equivalencia en la notación de barra de 8+8+8=24. Por ejemplo, una dirección IP
192.168.42.23/24 es equivalente a la dirección IP 192.168.42.23 con una máscara de red de 255.255.255.0.
Esta tabla muestra las máscara de red y sus equivalentes en la notación con barra:
Máscara de red Equivalente con barra

255.0.0.0 /8
255.255.0.0 /16
255.255.255.0 /24
255.255.255.128 /25
255.255.255.192 /26
255.255.255.224 /27
255.255.255.240 /28
255.255.255.248 /29
255.255.255.252 /30
Instalando los cables del Firebox

Conecte el cable de alimentación a la ent rada de alimentación de Fire box y a la fuente de energía eléct ri ca .
Recomendamos usar un cable Ethernet directo (verde) para conectar su estación de administración a un
hub o switch. Use otro cable Ethernet directo (verde) para conectar su Firebox al mismo hub o switch.
Puede usar un cable rojo cruzado para conectar la interfaz confiable del Firebox al puerto Ethernet de la
estación de administración.

CAPÍTULO 3 Servicio y Asistencia Técnica
Ninguna solución de seguridad para Internet está completa sin actualizaciones regulares e información de
seguridad. Nuevas amenazas aparecen cada día — desde un nuevo hacker al más reciente defecto detecta-
do en un sistema operativo — y cada uno puede causar daño a su sistema de red. LiveSecurity® Service le
envía soluciones de seguridad directamente para mantener su sistema de seguridad en las mejores condi-
ciones. En la página web de WatchGuard® se dispone de entrenamiento y soporte técnico para ayudarlo a
aprender más acerca de la seguridad de redes y de sus productos WatchGuard.
Soluciones LiveSecurity Service

La cantidad de nuevos problemas de seguridad y el volumen de información acerca de la seguridad de
redes continúa aumentando. Sabemos que un firewall es sólo el primer componente en una solución com-
pleta de seguridad. El equipo de respuesta rápida de WatchGuard® Rapid Response Team es un grupo dedi-
cado de personal de seguridad de redes que puede ayudarlo a controlar su problema de demasiada infor-
mación de seguridad. Ellos monitorean los sitios de seguridad de Internet para identificar nuevos problemas
de seguridad.
Respuestas a las amenazas, alertas, y asesoramiento experto

Luego que una nueva amenaza es identificada, el WatchGuard Rapid Response Team le envía un e-mail para
contarle acerca del problema. Cada mensaje brinda información completa acerca del tipo de problema de
seguridad y del procedimiento que debe usar para asegurarse que su red está a salvo del ataque.
Actualizaciones de software fáciles

LiveSecurity® Service le hace economizar tiempo pues recibe un e-mail cuando liberamos una nueva ver-
sión del software del WatchGuard System Manager. Asistentes de instalación, notas de la versión y un víncu-
lo a la actualización del software hechos para una instalación rápida y fácil. Estas actualizaciones continuas
aseguran que no tenga que utilizar su tiempo para buscar nuevo software.
Acceso a la asistencia técnica y al entrenamiento

Puede enco nt rar información ace rca de sus prod u ctos WatchGuard rápidamente con nuestros muchos recur-
sos en línea. Puede hablar direct a m e nte con el personal de asistencia técnica de WatchGu a rd. Use nuestro
entrenamiento en línea para aprender más ace rca del softwa re del Watc h Gu a rd Sys tem Ma n a g e r, Fire box®, y
de seguridad de redes, o busque un Ce nt ro de Entrenamiento Watc h Gu a rd Certificado en su área.

Comunicaciones de LiveSecurity Service
Comunicaciones de LiveSecurity Service

El WatchGuard® Rapid Response Team regularmente envía mensajes e información de software directa-
mente al escritorio de su computadora por e-mail. Dividimos los mensajes en categorías para ayudarlo a
identificar y usar la información inmediatamente.
Alerta de información
Los alertas de información le ofrecen una visión rápida de la información más reciente y de las ame-
nazas a la seguridad de Internet. El WatchGuard Rapid Response Team frecuentemente recomienda
que realice un cambio en su política de seguridad para protegerse contra las nuevas amenazas.
Cuando es necesario, el alerta de información incluye instrucciones acerca del procedimiento.
Respuesta a las amenazas
Si una nueva amenaza a la seguridad lo hace necesario, el WatchGuard Rapid Response Team trans-
mite una actualización de software para su Firebox®. La respuesta a amenazas incluye información
acerca de la amenaza a la seguridad e instrucciones sobre cómo descargar la actualización de soft-
ware e instalarla en su Firebox y en su estación de administración.
Actualización de software
Cuando es necesario, WatchGuard actualiza el software de WatchGuard System Manager. La actuali-
zación del producto puede incluir nuevas características y parches. Cuando liberamos una actualiza-
ción de software, usted recibe un e-mail con instrucciones sobre cómo descargar e instalar su actua-
lización.
Editorial
Cada semana, el personal jerárquico de seguridad de red se une del WatchGuard Rapid Response
Team para escribir acerca de la seguridad de red. Este abastecimiento continuo de información
puede ayudar a su red a estar segura y a salvo.
Fundamentos
El WatchGuard Rapid Response Team también escribe información especialmente para los adminis-
tradores de seguridad, empleados y otro personal que es nuevo en esta tecnología.
Loopback
Al fin de cada mes LiveSecurity® Service le envía un e-mail con un sumario de la información envia-
da ese mes.
Flash de asistencia
Estos mensajes de entrenamiento pueden ayudarlo a operar el WatchGuard System Manager. Hay un
recurso para cada recurso en línea:
- Ayuda en línea
- FAQs (preguntas frecuentes)
- Páginas de asuntos conocidos en la página web de asistencia técnica
Alerta de virus
WatchGuard se ha unido al vendor de antivirus McAfee para darle a usted la información más actua-
lizada acerca de los virus de computadoras. Cada semana, le enviamos un mensaje con un sumario
del tráfico de virus en Internet. Cuando un hacker libera un virus peligroso en Internet, enviamos un
alerta especial de virus para ayudarlo a proteger su red.
Lo nuevo de WatchGuard
Cuando WatchGuard libera un nuevo producto, los primeros en saberlo son ustedes, nuestros clien-
tes. Puede aprender acerca de las nuevas características y servicios, actualización de productos, libe-
ración de hardware, y promociones.

Herramientas de Auto-Ayuda de LiveSecurity Service
Activando LiveSecurity Service
Puede activar LiveSecurity® Service a través de la sección de activación de la página web de LiveSecurity.
Hay información acerca de cómo realizar la activación y correr el Asistente Quick Setup en la Quick Start
Guide y en el capítulo “Comenzando” de este libro.
Nota
Para activar LiveSecurity Service, debe habilitar JavaScript en su navegador.
Para activar LiveSecurity Service a través de Internet:

1 Asegúrese de tener el número de serie de su Firebox®. Es necesario durante el procedimiento de
activación de LiveSecurity.
- Puede encontrar el número de serie del Firebox en una etiqueta en la parte posterior de Firebox
debajo del Universal Product Code (UPC) -código universal del producto-, o en una etiqueta en la
parte de abajo del Firebox.
- El número de la clave de licencia está en el certificado WatchGuard LiveSecurity License Key .
Asegúrese ingresar toda la clave de licencia toda en letras mayúsculas e incluir los guiones.
2 Use su navegador para ir a:
www.watchguard.com/account/register.asp
Aparece la página Account.
3 Complete la página de activación de LiveSecurity Activation. Use la tecla TAB o el mouse para mover
se entre los campos de la página.
Debe completar todos los campos para activarlo correctamente. Esta información ayuda a WatchGuard a enviar su
información y las actualizaciones de software que son aplicables a sus productos.
4 Asegúrese que su dirección de e-mail sea correcta. Su LiveSecurity le enviará a esta dirección e-mails
acerca de las actualizaciones del producto disponibles y de respuestas a amenzas a esta dirección. Luego
de completar este procedimiento, recibirá un e-mail que le dirá que activó su LiveSecurity Service satis-
factoriamente.
5 Haga click en Register.
Herramientas de Auto-Ayuda de LiveSecurity Service

Las herramientas de auto-ayuda en línea (Online Self Help Tools) le permiten obtener el mejor desempeño
de sus productos WatchGuard®.
Nota
Debe activar LiveSecurity® Service antes de poder acceder a los recursos en línea.
Respuesta instantánea
Las respuestas instantáneas son una herramienta de ayuda guiada diseñada para darle soluciones a
las consultas sobre el producto muy rápidamente. Ésta herramienta le hace preguntas y entonces le
da la mejor solución basada en las respuestas que usted da.
FAQs básicas
Las FAQs básicas (preguntas frecuentes) le dan información general acerca de Firebox® y del software
de WatchGuard System Manager. Están escritas para el cliente que es nuevo en seguridad de redes y
en los productos WatchGuard.

Foro de usuarios de WatchGuard
Advanced FAQs
Las FAQs avanzadas (preguntas frecuentes) le dan información importante acerca de las opciones de
configuración y la operación de sistemas o productos. Éstas se agregan a la información que puede
encontrar en esta Guía del Usuario y en el sistema de ayuda en línea.
Fireware® “How To”’s
La documentación Fireware How To (cómo hacer) le ayuda a encontrar rápidamente procedimientos
para tareas específicas de configuración del software de appliance Fireware.
Known Issues
La herramienta Known Issues (asuntos conocidos) monitorea problemas de los productos
WatchGuard y actualizaciones de software.
El equipo de asistencia técnica de WatchGuard opera una página web donde los clientes pueden
ayudarse entre sí con los productos WatchGuard. Asistencia Técnica monitorea este foro para asegu-
rarse que usted obtenga información precisa.
Entrenamiento en línea
Navegue en la sección de entrenamiento en línea para aprender más acerca de la seguridad de
redes y sobre los productos WatchGuard. Puede leer materiales de entrenamiento y obtener una cer-
tificación en los productos WatchGuard. El entrenamiento incluye vínculos a un amplio rango de
documentos y páginas web acerca de la seguridad en redes. El entrenamiento está dividido en par-
tes, las cuales le permiten usar sólo los materiales que usted cree que necesita. Para aprender más
acerca del entrenamiento en línea, navegue en:
www.watchguard.com/training/courses_online.asp
Aprender acerca de
Aprender acerca de (learn about) es una lista de todos los recursos disponibles para un producto o
función específicos. Es un mapa del sitio para dicha función.
Documentación del producto
La página web de WatchGuard tiene una copia de la guía de usuario de cada producto, incluyendo
guías de usuario de versiones de software que ya no tienen más soporte. Las guías de usuario están
en formato .pdf.
Recursos generales de Firebox X Edge y Firebox SOHO
Esta sección de la página web muestra información básica y vínculos para los clientes de Firebox X
Edge y Firebox SOHO. Puede ayudarlo a instalar y usar hardware Firebox X Edge y SOHO.
Para obtener acceso a las herramientas de auto-ayuda de LiveSecurity Service:
1 Inicie su navegador de web. En la barra de dirección, teclee:
http://www.watchguard.com/support
2 Haga click en Self Help Tools.
Debe ingresar con su usuario y clave.
3 Haga click en su selección.

El foro de usuarios WatchGuard® Users Forum es un grupo en línea. Permite a los usuarios de los produc-
tos WatchGuard intercambiar información acerca del producto relativa a:
• Configuración
• Conexión entre productos WatchGuard y aquellos de otras compañías
• Políticas de red

Ayuda en línea
Este foro tiene dferentes categorías que puede usar para buscar información. El equipo asistencia técnica
controla el foro durante las horas normales de trabajo. No obtendrá ayuda especial del equipo de asistencia
técnica cuando use el foro. Para entrar en contacto directamente con la asistencia técnica desde la web,
ingrese a su cuenta de LiveSecurity. Haga click en el vínculo Incidents para enviar un incidente a asistencia
técnica.
Usando el foro de usuario de WatchGuard

Para usar el foro de usuarios de WatchGuard primero debe crear una cuenta. Navegue en
http://www.watchguard.com/forum para ver instrucciones.
Ayuda en línea
La ayuda en línea de WatchGuard® es un sistema web que puede operar en la mayoría de los sistemas ope-
rativos de computadora. Liberamos cada versión de los productos de software con un sistema de ayuda
completo en línea.
Una versión estática de la ayuda se instala automáticamente con el software del WatchGuard System
Manager. Puede encontrarla en un subdirectorio de la carpeta de instalación con el nombre Help.
Iniciando la ayuda en línea de WatchGuard

Para arrancar el sistema de ayuda en línea desde el software del WatchGuard System Manager, presione F1.
Su navegador se abre y la página de ayuda en línea aparece. La página tiene información acerca de la carac-
terística que está usted usando.
Buscando información
Hay tres métodos para buscar información en el sistema de ayuda en línea de WatchGuard:
Contenidos
La solapa Contents muestra una lista de categorías en el sistema de ayuda. Haga doble clic en un libro
para expandir una categoría. Haga clic en un título de página para ver los contenidos de esa categoría.
Índice
El índice (index) muestra una lista de las palabras que están en el sistema de ayuda. Teclee la palabra y
la lista automáticamente se dirige a aquellas palabras que comienzan con las letras tecleadas. Haga
clic en una página para ver los contenidos.
Búsqueda
La función búsqueda (search) es una búsqueda de texto completo del sistema de ayuda. Teclee una
palabra y presione ENTER. Una lista muestra las categorías que contienen esa palabra. La función de
búsqueda no opera con los operadores AND, OR, ni NOT.
Copiando el sistema de ayuda en línea a más computadoras

Puede copiar la ayuda en línea de WatchGuard desde la estación de administración a una segunda compu-
tadora. Cuando haga eso, copie la carpeta completa de la ayuda en línea desde el directorio de instalación
de WatchGuard en la estación de administración. Debe incluir todos los subdirectorios.
Requerimientos de software
• Internet Explorer 4.0 o una versión posterior
• Netscape Navigator 4.7 o una versión posterior
Sistemas operativos
• Windows NT 4.0, Windows 2000, o Windows XP
• Sun Solaris
• Linux


Copiamos todas las guías de usuario en la página web en:
http://www.watchguard.com/help/documentation.
Asistencia técnica
Su suscripción al servicio LiveSecurity® incluye asistencia técnica para el software WatchGuard® System
Manager y el hardware Firebox®. Para aprender más acerca de WatchGuard Technical Support, navegue la
página web de WatchGuard, en:
Nota
Debe activar el servicio LiveSecurity antes de obtener asistencia técnica.
Asistencia técnica de LiveSecurity Service

Todos los nuevos productos Firebox incluyen el servicio de asistencia técnica WatchGuard LiveSecurity
Technical Support Service. Puede hablar con un miembro del equipo de WatchGuard Technical Support
cuando tenga un problema con la instalación, manejo o configuración de su Firebox.
Horario
WatchGuard LiveSecurity Technical Support opera de 6:00 AM a 6:00 PM en su huso horario local, de
Lunes a Viernes.
Número telefónico
877.232.3531 (seleccione la opción #2) en Estados Unidos y Canadá
+1.206.613.0456 en los demás países
Página web
Tiempo de respuesta del servicio
Intentamos tener un tiempo de respuesta máximo de cuatro horas.
También están disponibles las actualizaciones Single Incident Priority Response Upgrade (SIPRU) y Single
Incident After Hours Upgrade (SIAU). Para mayores datos acerca de estas actualizaciones, diríjase a la pági-
na web de WatchGuard, en:

Entrenamiento y certificación
LiveSecurity Gold
WatchGuard Gold LiveSecurity Technical Support se agrega a su servicio LiveSecurity estándar.
Recomendamos obtener esta actualización si usa Internet o túneles VPN en la mayor parte de su trabajo.
Con WatchGuard Gold LiveSecurity Technical Support Usted obtiene:
• Asistencia técnica 24 horas al día, los siete días de la semana, incluyendo feriados.
• El equipo de Asistencia Técnica opera el centro de soporte desde las 7 PM del Domingo a las 7 PM del
Viernes (hora del Pacífico de los EE.UU.). Para asistencia durante el fin de semana por problemas críti-
cos, use el sistema de llamadas on-call paging.
• Intentamos tener un tiempo de respuesta máximo de una hora.
• Para crear un incidentes de soporte, llame a WatchGuard LiveSecurity Technical Support. Un represen-
tante de atención al cliente (Customer Care) registra el problema y le da un número de incidente. Un
técnico de Priority Support (asistencia prioritaria) lo llama tan pronto como sea posible. Si tiene un
problema crítico cuando el centro de soporte no está abierto, use el número de teléfono de
LiveSecurity Technical Support para conectarse con un técnico.
Puede también enviar un incidente a través de la página web, en:
http://www.watchguard.com/support/incidents/newincident.asp.
Servicio de instalación de Firebox

WatchGuard Remote Firebox Installation Service (servicio de instalación remota) le ayuda a instalar y confi-
gurar su Firebox. Puede programar un tiempo de dos horas con uno de los equipos de asistencia técnica de
WatchGuard. Durante ese tiempo, los técnicos le ayudarán a:
• Hacer un análisis de su red y de su política de seguridad
• Instalar el software WatchGuard System Manager y el hardware Firebox
• Ajustar su configuración a la política de seguridad de su compañía
Este servicio no incluye instalación VPN.
Servicio de instalación de VPN

El servicio de instalación VPN remota de WatchGuard le ayuda con una instalación VPN completa. Puede
programar un tiempo de dos horas con uno de los equipos de asistencia técnica de WatchGuard. Durante
ese tiempo, los técnicos le ayudarán a:
• Hacer un análisis de su política VPN
• Configurar sus túneles VPN
• Probar su configuración VPN
Puede usar este servicio después de instalar y configurar correctamente sus dipositivos Firebox.
El entre n a m i e nto en los prod u ctos WatchGuard® está disponible en línea para ay u d a rlo a aprender más ace r-
ca de la seguridad de red y de los prod u ctos Watc h Gu a rd. Puede enco nt rar mate riales de entre n a m i e nto en la
página web de Asistencia Técnica y prepararse para un examen de certificación. Los mate riales de entrena-
miento incluyen vínculos a libros y a páginas web con más info rmación ace rca de la seguridad de red.
El entrenamiento en los productos WatchGuard está también disponible cerca suyo a través de un amplio
grupo de WatchGuard Certified Training Partners, WCTPs (socios de entrenamiento certificados). Los socios
de entrenamiento ofrecen capacitación usando materiales certificados de entrenamiento y con el hardware
WatchGuard. Puede instalar y configurar los productos con un instructor avanzado y un administrador de
sistema para ayudarlo a aprender. Para encontrar un socio de entrenamiento, vaya a
http://www.watchguard.com/training/partners_locate.asp


CAPÍTULO 4 Monitoreando el Estado del Firebox
WatchGuard® Firebox® System Manager (FSM) le brinda una interfase para monitorear todos los componen-
tes de un Firebox y el trabajo que hacen. Desde el FSM, puede monitorear las condiciones actuales del
Firebox, o conectarse directamente al Firebox para actualizar su configuración. Puede ver:
• El estado de las interfaces del Firebox y el tráfico que corre a través de las mismas
• El estado de los túneles VPN y la administración de certificados
• Gráficos en tiempo real del ancho de banda usado por el Firebox o de las conexiones en puertos
específicos
• El estado de cualquier otro servicio de seguridad que usa en su Firebox
Iniciando el Firebox System Manager

Antes de comenzar a usar el Firebox® System Manager, debe conectarse a un Firebox.
Conectándose a un Firebox
1 Desde el WatchGuard System Manager, haga click en el icono Connect to Device.
O, puede seleccionar File > Connect To Device.
La caja de diálogo Connect to Firebox aparece.
2 Desde la lista desplegable Name/IP Address, seleccione un Firebox.

Puede también teclear la dirección IP o el nombre del Firebox.

Menús y barras de herramientas del Firebox System Manager
3 En la caja de Passphrase, teclee la passphrase de estado de Firebox (sólo lectura).

4 Haga click en Login.
El Firebox aparece en la ventana de WatchGuard System Manager
Abriendo el Firebox System Manager

1 Desde el WatchGuard System Manager, seleccione la pestañã Device Status.
2 Seleccione el Firebox para examinarlo con Firebox System Manager.
3 Haga click en el ícono Firebox System Manager.
Firebox System Manager aparece. Entonces, conéctelo al Firebox para obtener información acerca del estado
y configuración.
Menús y Barras de Herramientas del Firebox System Manager

Los comandos del Firebox® System Manager (FSM) están en los menús de la parte superior de la ventana.
Las tareas más comunes también están disponibles como botones en la barra de herramientas. Las tablas
que siguen le informan las funciones de los menús y de los botones de la barra de herramientas.

Menús y Barra de Herramientas del Firebox System Manager
Menús deFirebox System Manager

Menú Comando Función
File Settings Cambia la forma en que Firebox System Manager
muestra la información de estado en pantalla.
Disconnect Mantiene abierto Firebox System Manager, pero
detiene la conexión al Firebox monitoreado
Reset Detiene los componentes del sistema operativo
en el Firebox y vuelve a iniciarlos (soft reboot)
Reboot Inicia nuevamente el Firebox actual.
Shutdown Apaga el Firebox.
Close Cierra la ventana del Firebox System Manager
VIew Certificates Lista los certificados en el Firebox.
Licenses Lista las licencias actuales en el Firebox.
Communication Log Abre el registro de eventos de comunicación, el cual
contiene información tal como el éxito o fracaso de
logins, handshakes, y demás eventos. Son conexiones
entre el Firebox y el Firebox System Manager
Tools Policy Manager Abre el Policy Manager con la configuración del

Firebox seleccionado.
HostWatch Abre HostWatch conectado al Firebox actual.
Performance Console Abre la Consola de Desempeño que muestra gráficos
de aspectos del desempeño del Firebox.
Synchronize Time Sincroniza la hora del Firebox con la del sistema.
Clear ARP Cache Vacía el caché ARP del Firebox seleccionado.
Clear Alarm Vacía la lista de alarmas en el Firebox seleccionado.
High Availability Configura la opción de Alta Disponibilidad.
Change Passphrases Cambia las passphrases de estado y configuración.
Help Firebox System

Manager Help Abre los archivos de ayuda en línea para esta
aplicación.
About Muestra la versión y la información de derecho de autor.
Barra de Herramientas de Firebox System Manager

Icono Función
Inicia nuevamente el despliegue. Este icono aparece
sólo cuando no está conectado a un Firebox.
Detiene el despliegue. Este icono aparece sólo cuando
está conectado a un Firebox.
Muestra la administración y los certificados VPN
guardados en el Firebox.
Muestra las licencias registradas e instaladas para este
Firebox.
Inicia el Policy Manager. Use Policy Manager para hacer
o cambiar un archivo de configuración.
Inicia HostWatch que muestra las conexiones para este
Firebox.

Viendo el Estado Básico de Firebox y de la Red
Icono Función
Inicia la Performance Console en la cual puede confi-
gurar los gráficos que muestran el estado de Firebox.
Inicia la caja de diálogo Communication Log para
mostrar las conexiones entre Firebox System Manager y
el Firebox.
Estableciendo el intervalo de refresco y pausa de la pantalla

Todas las Pestañas en Firebox System Manager tienen, en la parte inferior de la pantalla, una lista desple-
gable para establecer el intervalo de refresco, y un botón de Pause para detener el despliegue:
Refresh Interval
El re f resh inte rval (intervalo de refresco) es el inte rvalo entre consultas; el tiempo entre dos sucesivas
renovaciones de la pantalla. Puede cambiar ese intervalo (en segundos) en que Fire box System
Manager toma información de Fire box y envía actualizaciones a la inte rfase del usuari o.
De be balancear cuán frecuentemente re c i be la info rmación y cuánta se almacena en el Fi re box.
Asegúrese de examinar el inte rvalo de refresco en cadape s t a ñ a . Cuando una pestaña re c i be nueva
info rmación para ser desplegada, aparecerá el mensaje “Refreshing. . .”a dyace nte a la lista desplegable
Refresh Inte rval. Un inte rvalo más co rto ofre ce un despliegue más pre c i s o, pe ro crea más almace n a-
miento en el Fire box. Desde Fire box System Ma n a g e r, use la lista desplegable Re f resh Interval para
seleccionar un nuevo lapso de refresco de las ventanas. Puede seleccionar 5 segundos, 10 segundos,
30 segundos, 60 segundos, 2 minutos ó 5 minuto s. Puede también teclear un valor particular en esta
ca j a .
Pause/Continue
Puede hacer click en el botón Pause para detener temporalmente el refresco de esta ventana por
parte del Firebox System Manager. Después de hacer click en el botón Pause, este botón cambia al
botón Continue. Haga click en Continue para continuar refrescando la ventana.

La pestaña Front Panel de Firebox® System Manager muestra información básica acerca de su Firebox, su
red, y el tráfico de su red.

Usando la pantalla de Tráfico de Seguridad

Firebox System Manager inicialmente tiene un grupo de luces indicadoras para mostrar la dirección y el
volumen del tráfico entre las interfaces Firebox. El despiegue puede ser un triángulo (abajo a la izquierda) o
una estrella (abajo al centro y a la derecha).
Despliegue en triángulo
Si un Firebox tiene sólo tres interfaces configuradas, cada vértice del triángulo es una de ellas. Si un
Firebox tiene más de tres interfaces, cada vértice del triángulo representa un tipo de interfaz. Por
ejemplo, si tiene seis interfaces configuradas con una externa, una confiable, y cuatro interfaces opcio-
nales, el vértice “All-Optional” del triángulo representa a las cuatro interfaces opcionales.
Despliegue en estrella
El despliegue en estrella muestra todo el tráfico de entrada y salida de la interfaz central. Una flecha
que se mueve de la interfaz central a una interfase nodo muestra que el Firebox está pasando tráfico.
El tráfico proviene a través de la interfaz central y sale a través de la interfaz nodo. Por ejemplo, si
eth1está en el centro y eth2 está en un nodo, una flecha verde muestra que el tráfico fluye de eth1 a
eth2. Se muestran dos estrellas, — una para un Firebox X Core con 6 interfaces y otra para un Firebox
X Peak con 10 interfaces.
Para cambiar el despliegue, presione el botón derecho y seleccione Triangle Mode (triángulo) o Star Mode
(estrella).
Monitoreando la información de estado

Los puntos de la estrella y el triángulo muestran el tráfico que fluye a través de las interfaces. Un punto
verde muestra el tráfico que es permitido hacia la interfaz. Un punto rojo muestra el tráfico que está siendo
denegado o que la interfaz está denegando algún tráfico y permitiendo otro. Cada punto muestra conexio-
nes entrantes y salientes con diferentes flechas. Cuando el tráfico fluye entre dos interfaces, las flechas se
encienden en la dirección del tráfico.
En la figura estrella, el lugar donde los puntos llegan juntos puede mostar una o dos condiciones:
• Rojo (denegar)—El Firebox deniega una conexión en esa interfaz.
• Verde (permitir)—Hay tráfico entre esta interfaz y una interfaz diferente (pero no el centro) de la
estrella. Cuando hay tráfico entre esta interfaz y el centro, el punto entre estas interfaces se muestra
con flechas verdes.
En el triángulo, el tráfico de la red se muestra en los vértices . Los puntos muestran sólo la condición de per-
mitido o denegado. Existe una excepción, y es cuando hay una gran cantidad de tráfico de VPN ”tunnel
switching”. El tráfico de “tunnel switching” se refiere a paquetes que son enviados a través de una VPN hacia
un Firebox configurado como puerta de enlace por defecto para la red VPN. En este caso, el indicador de
nivel de tráfico de Firebox System Manager puede mostrar tráfico muy alto, pero no verá luces verdes a
medida que aumente el tráfico “tunnel switching” de la misma interfaz.

Configurando el centro de la interfaz

Si puede usar la figura estrella, puede personalizar la interfaz que aparece en su centro. Haga click en el
nombre de la interfaz o en su punto. La interfaz entonces se mueve al centro de la estrella. Todas las otras
interfasz se mueven en el sentido de las agujas del reloj. Si mueve una interfaz al centro de la estrella,
puede ver todo el tráfico entre esa interfaz y todas las otras interfaces. El despliegue por defecto muestra
la interfaz externa en el centro.
Monitoreando tráfico, almacenamiento, y estado

Debajo del Security Traffic Display están los indicadores de volumen de tráfico, alimentación de proce-
sador, e información básica de estado (Detalle).
Las dos barras gráficas muestran el volumen de tráfico y la capacidad del Firebox.
Estado del Firebox y del túnel VPN

La sección en Firebox System Manager en el costado derecho del panel frontal muestra:
• Estado del Firebox
• Certificados
• Túneles VPN de sucursales
• Usuarios móviles y túneles PPTP VPN
• Virus, intrusiones, mensajes e-mail spam encontrados
Estado del Firebox

En la sección Firebox Status, expanda las entradas para ver:
• Estado de la fincion High Availability. Cuando tiene una configuración co rrecta y está dispo n i -
ble apare ce la dirección IP del Fi re box en espe ra. Si High Ava i l a b i l i ty está instalada, pe ro no hay co n e-
xión a la red para el Fire box secundari o, aparece un mensaje “ Not Responding” (no responde).
• La dirección IP de cada interfaz Firebox y el modo de configuración de la interfaz externa.
• Estado del certificado CA (root) y del certificado IPSec (cliente).
Si expande una vez más las entradas en la ventana principal del Firebox System Manager, puede ver:
• Dirección IP y máscara de red de cada interfaz configurada
• La dirección Media Access Control (MAC) de cada interfaz
• Número de paquetes que son enviados y recibidos desde el último reinicio del Firebox
• Fecha y hora de finalización de los certificados CA e IPS

• CA fingerprint
• Estado del enlace físico (un ícono de interfaz o enlace en colores significa que están configurados
una interfaz o un enlace, y un icono oscuro indica que la interfaz o el enlace están caídos)
Túneles VPN de sucursales

Debajo de la sección Firebox Status hay una sección sobre túneles BOVPN. Hay dos tipos de túneles IPSec
BOVPN: túneles que usted crea manualmente y túneles que usted crea con el Management Server.
Túneles VPN para usuarios móviles

Cuando los túneles VPN de sucursales son entradas de túneles VPN para usuarios móviles, la entrada mues-
tra información similar a la de BOVPN.
Túneles VPN para usuarios PPTP

Para túneles VPN para usuarios PPTP, Firebox System Manager muestra el nombre de usuario y la cantidad
de paquetes enviados y recibidos.
Servicios de seguridad
Bajo Security Services, Firebox System Manager incluye el número de virus encontrados, el número de intru-
siones, y el número de mensajes de spam que son bloqueados y efectivamente puestos en cuarentena
desde el último reinicio.
Expandiendo y cerrando vistas en árbol

Para expandir una parte de la pantalla, haga click en el signo más (+) adyacente a la entrada, o haga doble
click en el nombre de la entrada. Para cerrar una parte, haga click en el signo menos (–) adyacente a la entra-
da. Cuando no se muestran signos más o menos, no hay más información disponible.

Monitoreando el tráfico del Firebox
Monitoreando el tráfico del Firebox

Para ver los mensajes de log de Firebox® l , haga click en la pestaña Traffic Monitor (Monitor de Tráfico).
Estableciendo el máximo número de mensajes en el log
Puede cambiar el número máximo de mensajes de log que puede mantener y ver en el monitor de Tráfico.
Cuando llegue al máximo, un nuevo mensaje de log reemplazará la primera entrada. Si tiene un procesa-
dor lento o una cantidad pequeña de memoria RAM, un valor alto en este campo puede volver lento su
sistema de administración. Si necesita examinar un gran volumen de mensajes de log, le recomendamos
usar el Log Viewer, tal como se describe en la sección ”Iniciando el LogViewer”, en el capítulo 7.
1 Desde el Firebox System Manager, seleccione File > Settings.
Aparecerá el cuadro de diálogo Settings.
2 Desde la lista desplegable Maximum Log Messages, seleccione el número de mensajes de log que
desea que aparezcan en el Monitor de Tráfico. Haga click en OK.
El valor que usted teclea da el número de mensajes de log en miles.

Monitoreando el tráfico de Firebox
Usando colores para sus mensajes del log

En el monitor de tráfico, puede puede hacer que los mensajes aparezcan con diferentes colores. Cada color
puede hacer referencia al tipo de información que muestra.
1 Desde Firebox System Manager, seleccione File > Settings. Haga click en la pestaña Traffic Monitor.
2 Para desact i var o activar el despliegue en colores, tilde o destilde la casilla de verificación Show Logs
in Color.
3 En las pestañas Alarm, Traffic Allowed, Traffic Denied, Event, o Debug, haga click en el campo que aparece
en un color.
El campo Text Color en el lado derecho de las solapas muestra el color que se está usando en ese campo.
4 Para cambiar el color, haga clic en el control de color adyacente a Text Color. Seleccione un color.
Haga click en OK para cerrar el cuadro de diálodo de control de color. Haga clic en OK una vez más para
cerrar el cuadro de diálogo Settings.
La información en este campo aparece con el nuevo color en el Traffic Monitor. En la parte inferior del cuadro de diálogo
Traffic Monitor aparecerá una muestra de cómo se verá.
5 Puede también seleccionar un color de fondo para el monitor de tráfico. Haga click en la flecha de con-
trol de color adyacente a Background Color. Seleccione un color. Haga click en OK para cerrar el cuadro
de diálogo de control de color. Haga click otra vez en OK para cerrar el cuadro de diálogo Settings.
Puede cancelar los cambios ralizados en este cuadro de diálogo. Para ello, haga click en Restore Defaults.
Copiando mensajes del log

Para hacer una copia de un mensaje de log y pegarlo en una aplicaicón diferente del software, haga click
derecho sobre el mensaje y seleccione Copy Selection. Si selecciona Copy All, el Firebox System Manager
copia todos los mensajes de log . Abra la otra herramienta y pegue el o los mensajes.
Para copiar más de uno, pero no todos los mensajes, use Log Viewer para abrir el archivo de log, y allí use la
función de copia de Log Viewer, como se describe en el capítulo “Registro de eventos y notificación”.

Limpiando el Caché del ARP
Aprendiendo más acerca del log de mensajes de tráfico

Para aprender más acerca de un mensaje de log de tráfico, puede:
Copiar la dirección IP de origen o de destino
Haga una copia de la dirección IP de origen o de destino de un mensaje de log de tráfico , y péguela
en una aplicación del software diferente. Para copiar la dirección IP de origen, haga clic derecho
sobre el mensaje y seleccione Source IP Address > Copy Source IP Address. Para copiar la direc-
ción IP de destino, haga click derecho sobre el mensaje y seleccione Destination IP Address > Copy
Destination IP Address.
Hacer ping al origen o al destino
Para hacer ping a la dirección IP de origen o destino del mensaje de log de tráficoi, haga lo siguien-
te: haga click derecho sobre el mensaje y seleccione Source IP Address > Ping o Destination IP
Address > Ping. Una ventana desplegable le mostrará los resultados.
Trazar la ruta al origen o al destino
Para usar un comando traceroute (trazado de la ruta) a la dirección IP de origen o destino de un
mensaje de log de tráfico, haga lo siguiente: haga clic derecho sobre el mensaje y seleccione Source
IP Address > Trace Route o Destination IP Address > Trace Route. Una ventana desplegable le
muestra los resultados del comando traceroute.
Bloquear temporalmente la dirección IP de origen o de destino
Para bloquear temporalmente todo el tráfico de una dirección IP de origen o de destino de un men-
saje de log de tráfico, haga lo siguiente: haga click derecho sobre el mensaje, seleccione Source IP
Address > Block: [dirección IP] o Destination IP Address > Block: [dirección IP]. La cantidad de tiem-
po que una dirección IP permanece terporalmente bloqueada por este comando se establece en el
Policy Manager. Para usar este comando debe usar la contraseña de configuración.
Limpiando el Caché del ARP

El caché ARP (Address Resolution Protocol) de Firebox® mantiene las direcciones de hardware (conocidas
como direcciones MAC) de los hosts de TCP/IP. Antes de iniciar un requerimiento ARP, el sistema se asegu-
ra que en el caché haya una dirección de hardware. Debe borrar el caché ARP en el Firebox después de la
instalación cuando su red tenga una configuración drop-in.
1 Desde el Firebox System Manager, seleccione Tools > Clear ARP Cache.
2 Teclee la passphrase de configuración de Firebox. Haga click en OK.
Esto limpia las entradas del caché.
Cuando un Firebox está en modo drop-in, este procedimiento borra sólo el contenido de la tabla ARP y no
la tabla MAC. Las entradas MAC más viejas son eliminadas si la tabla tiene más de 2000 entradas. Si quiere
borrar la tabla MAC, debe reiniciar el Firebox.
Usando la Consola de Desempeño

La Performance Console (consola de desempeño) es un utilitario del Firebox® que puede usar para hacer
gráficos que muestren cómo están operando las diferentes partes del Firebox. Para obtener esa informa-
ción, defina los indicadores que identifican la información usada para hacer el gráfico.
Tipos de indicadores
Puede monitorear estos tipos de indicadores de desempeño:

System Information
Muestra cómo se está usando la CPU.
Interfaces
Monitorea y reporta los eventos de las interfases seleccionadas. Por ejemplo, puede establecer un
indicador que monitoree el número de paquetes que recibe una interfaz específica.
Policies
Monitorea y reporta los eventos de las políticas seleccionadas. Por ejemplo, puede establecer un indi-
cador que monitoree el número de paquetes que examina una política específica.
VPN Peers
Monitorea y reporta los eventos de las políticas VPN seleccionadas.
Tunnels
Monitorea y reporta los eventos de los túneles VPN seleccionados.
Definiendo indicadores
Para identificar un indicador para cualesquiera de las categorías:
1 Desde Firebox System Manager, seleccione el ícono Performance Console. O, seleccione
Tools > Performance Console.
Aparece la ventana Add Chart.

2 Desde la ventana Add Chart , expanda una de las categorías de counter que aparecen bajo Available
Counters (indicadores disponibles).
Haga click en el signo + adyacente al nombre de la categoría para ver los indicadoers que puede usar en esa categoría.
Cuando haga click en un indicador, los campos de Counter Configuration se refrescan automáticamente, respecto al indi-
cador que haya seleccionado.
3 Desde la ventana Chart Window, en la lista desplegable, seleccione New Window si quiere que el
gráfico aparezca en una nueva ventana. O seleccione el nombre de una ventana abierta para agregar el
gráfico a una ventana que ya está abierta.
4 En la lita desplegable Poll Interval (intervalo entre consultas), seleccione un intervalo de tiempo entre
cinco segundos y una hora.
Esta es la frecuencia con la que la consola de desempeño chequea si hay información actualizada proveniente del
Firebox.
5 Agregue información de configuración que se aplique al indicador especificado. Estos campos apare-
cen automáticamente cuando selecciona indicadores específicos.
- Type — (tipo) use la lista desplegable para seleccionar el tipo de gráfico a crear.
- Interface — (interfaz) use la lista desplegable para seleccionar la interfaz de la cual graficar los
datos.
- Policy — (política) use la lista desplegable para seleccionar la polítca de la configuración de
Firebox para graficar los datos. Si selecciona un Policy counter, debe actualizar la lista de políticas
que aparece en la consola de desempeño cuando haga click en el botón Refresh Policy List.
- Peer IP — use la lista desplegable para seleccionar la dirección IP de un VPN endpoint para
graficar sus datos. Si selecciona un indicador de pares VPN P, debe actualizar la lista de políticas
que aparece en la consola de desempeño cuando hace click en el botón Refresh Peer IP List.
- Tunnel ID — use la lista desplegable para seleccionar el nombre de un túnel VPN del cual graficar
los datos. Si selecciona un Tunnels counter, debe actualizar la lista de políticas que aparece en la
consola de desempeño cuando haga click en el botón Refresh Tunnel ID List. Si no conoce la
tunnel ID para su túnel VPN, chequee la pestaña Firebox System Manager Front Panel.
6 Seleccione la casilla de verificación Save Chart Data to File para grabar los datos recolectados por la
consola de desempeño en un archivo de datos XML o en un archivo de datos separados por comas.
Por ejemplo, puede abrir un archivo de datos XML en Microsoft Excel para ver los valores registrados para cada intervalo
de consulta. Puede usar otras herramientas para combinar datos de más de un gráfico.

7 Haga click en Create Chart para desplegar un gráfico en tiempo real de este indicador
Nota
Es te gráfico de desempeño muestra el uso de la CPU. Puede crear gráficos de otras funciones
del mismo modo.
Viendo los gráficos de desempeño

Los gráficos se muestran en una ventana de gráficos en tiempo real. Puede ver un gráfico en cada ventana o
varios en una sola ventana. Los gráficos se escalan automáticamente para acomodarse a los datos.
Haga click en Stop Monitoring (detener monitoreo) para detener la toma de datos de este indicador por
parte de la Consola de Desempeño. Puede detener el monitoreo para grabar recursos y volver a iniciarlo en
cualquier momento.
Haga click en Close para cerrar la ventana de gráficos.

Trabajando con más de un gráfico de consola de desempeño

La ventana principal de la Performance Console muestra una tabla con todos los indicadores de desem-
peño configurados y activos. Desde esta ventana, puede agregar un nuevo gráfico o cambiar los intervalos
de consulta de los indicadores configurados.
Agregando un nuevo gráfico

Para agregar un nuevo gráfico, haga click en el botón + en la barra de herramientas de la Consola de
Desempeño o seleccione File > Add Chart.
Cambiando el intervalo de consulta

Para cambiar el intervalo de consultas esporadicas o “polls” en una consola de desempeño, seleccione el
nombre del gráfico de la lista. Use la lista desplegable “polling interval” en la barra de herramientas de
Performance Console para cambiar la frecuencia de las consultas.
Eliminando un gráfico
Para eliminar un gráfico, seleccione el nombre del gráfico de la lista y use el botón X en la barra de herra-
mientas de la Performance Console, o seleccione File > Delete Chart.

Viendo el uso del Ancho de Banda
Viendo el uso del Ancho de Banda
Seleccione la pestaña Bandwidth Meter (medidor de ancho de banda) para ver el ancho de banda en tiem-
po real para todas las interfaces Firebox®. El eje Y (vertical) muestra el número de conexiones. El eje X (hori-
zontal) muestra el tiempo. Si hace click en cualquier lugar del gráfico, puede obtener información más deta-
llada en una ventana desplegable acerca del uso del ancho de banda en ese momento.
Para cambiar la forma en que aparece el ancho de banda:

1 Desde el Fi re box Sys tem Manager, seleccione File >Se t t i n g s. haga click en la pestaña Ba n dwidth Me ter.
2 Haga uno o más de los pasos de las secciones de abajo.
Cambiando la escala de despliegue del ancho de banda

Puede cambiar la escala de la pestaña de Bandwidth Meter. Use la lista desplegable Graph Scale para
seleccionar el valor que mejor se adapte a la velocidad de su red. Puede también establecer una escala per-
sonalizada. Escriba el valor en kilobytes por segundo en el cuadro de texto Custom Scale.

Viendo el Número de Conexiones por Política
Agregando y quitando líneas en el despliegue del ancho de banda

• Para agregar una línea a la pestaña Bandwidth Meter, selecione la interfaz desde la lista Hide en la
sección Color Settings. Use el control Text Color para seleccionar un color para la línea. Haga click en
Add. El nombre de la interfaz aparece en la lista Show con el color que eligió.
• Para quitar una línea de la solapa Bandwidth Meter, seleccione la interfase de la lista Show en la
sección Color Settings. Haga click en Remove. El nombre de la interfaz aparece en la lista Hide.
Cambiando colores en el despliegue del ancho de banda

Puede cambiar también los colores de despliegue de la pestaña Bandwidth Meter. Use las casillas de
control de color Background y Grid Line para seleccionar un nuevo color.
Cambiando la forma en que aparecen las interfaces en el despliegue del ancho de banda
Una opción es cambiar la forma en que aparecen los nombres de las interfaces en el lado izquierdo de la
pestaña Bandwidth Meter. Los nombres pueden aparecer como una lista. La solapa puede mostrar tam-
bién el nombre de una interfaz junto a la línea que la identifica. Use el texto Show the interface como
una lista desplegable para seleccionar List o Tags.

Seleccione la pestaña Service Watch (visualizador de servicio) del Firebox® System Manager para ver un
gráfico de las políticas que están configuradas en Policy Manager para un Firebox. El eje Y (vertical) mues-
tra el número de conexiones. El eje X (horizontal) muestra el tiempo. Si hace click en cualquier lugar del
gráfico, puede obtener información más detallada en una ventana desplegable acerca de la política usada
en este punto en el tiempo.
1 Para cambiar la forma en que estas políticas aparecen, seleccione File > Settings. y haga click en la
pestaña Service Watch.

2 Haga uno o más de los pasos en las secciones siguientes.
Cambiando la escala de la pantalla de políticas

Puede cambiar la escala de la pestaña Service Watch. Use la lista desplegable Graph Scale para seleccionar
el valor que mejor se adapte al volumen de tráfico de su red. Puede también establecer una escala persona-
lizada. Escriba el número de conexiones en el cuadro de texto Custom Scale.
Agregando y quitando líneas en el despliegue de las políticas

• Para agregar una línea en la pestaña Service Watch, seleccione la política desde la lista Hide en la
sección Color Settings . Use el control Text Color para seleccionar un color para la línea.
Haga click en Add. El nombre de la interfaz aparece en la lista Show con el color seleccionado.
• Para eliminar una línea de la pestaña Service Watch, seleccione la política de la lista Show en la
sección Color Settings. Haga click en Remove. El nombre de la interfaz aparece en la lista Hide.
Cambiando colores en el despliegue de las políticas

Puede cambiar los colores de despliegue de la solapa Service Watch. Use las casillas de control de color
Background y Grid Line para seleccionar un nuevo color.
Cambiando la forma en que aparecen los nombres de las políticas en el despliegue de las políticas
Puede cambiar la forma en que aparecen los nombres de las políticas en la parte izquierda de la pestaña
Service Watch. Los nombres pueden mostrarse como una lista. La pestaña puede mostrar también el nom-
bre de una interfaz junto a la línea que la identifica. Use la lista desplegable Show the policy labels as para
seleccionar List o Tags.
Mostrando conexiones por política o regla

La pestaña Service Watch puede mostrar el número de conexiones por política o regla. Si lo muestra por
política, podrá ver más de una regla en una línea. Use la lista desplegable Show connections by para selec-
cionar las características a desplegar.

Viendo Información Acerca del Estado del Firebox

Hay cuatro pestañas que dicen acerca del estado de Firebox® y su configuración: Status Report (informe
de estado), Authentication List (lista de autenticación), Blocked Sites (sitios bloqueados), y Security
Services (servicios de seguridad).
Informe de estado
La pestaña Status Report le da estadísticas acerca del tráfico y el desempeño del Firebox .
El Firebox Status Report contiene esta información:

Uptime and version information
El uptime de Firebox, la versión de software de WatchGuard® Firebox System , el modelo de Firebox,
y la versión de software de appliance. Hay también una lista del estado y la versión de los compo-
nentes del producto en el Firebox.
Log Servers
La dirección IP de todos los Log Servers configurados.
Logging options
Opciones de mensajes de log que están configuradas con el Quick Setup Wizard o el Policy
Manager.
Memory and load average
Estadísticas sobre el uso de la memoria (mostrada en bytes de memoria) y almacenamiento prome-
dio del Firebox.
El almacenamiento promedio tiene tres valores que típicamente muestran un promedio del último
minuto, de los últimos 5 y 15 minutos. Valores mayores que 1.00 (100%) indican que alguna amena-
za está en cola hasta que los recursos estén disponibles. (Un sistema cuyo almacenamiento excede
1.00 no significa que el sistema esté sobrealimentado.)

Viendo Información Acerca del Estado de Firebox
Processes
La ID del proceso, el nombre del proceso y el estado del proceso.
Network configuration
Información acerca de las tarjetas de red en el Firebox: el nombre de la interfaz, sus direcciones de
hardware y software y su máscara de red. El despliegue también incluye información de ruteo local y
alias de IP.
Blocked Sites list
Los sitios actualmente bloqueados en forma manual y cualquier excepción actual. Las entradas de los
sitios temporalmente bloqueados aparecen permanentemente en la pestaña Blocked Sites.
Interfaces
Cada interfaz Firebox aparece en esta sección junto con información acerca de qué tipo de interfaz
está configurada (externa, trusted, u opcional), su estado y el recuento de paquetes.
Routes
La tabla de ruteo de núcleo del Firebox . Use estas rutas para encontrar cuál de las interfaces Firebox
se usa para cada dirección de destino.
Las rutas dinámicas que han sido aceptadas por el demonio de ruteo dinámico también aparece aquí.
ARP table
La tabla ARP en el Firebox. La tabla ARP es utilzada para comparar direcciones IP con direcciones de
hardware cuando un appliance está en el modo drop-in, usa los contenidos de la tabla ARP sólo para
conectividad alternativa sobre redes secundarias en las interfaces.
Dynamic Routing
Esto muestra los componentes de ruteo dinámico que están en uso en el Firebox, si los hay.
Refresh interval
Esta es la tasa con la cual se despliegan las actualizaciones de la información.
Support
Haga clic en Support para abrir el cuadro de diálogo Support Logs. Aquí es donde se establece el
lugar donde guardar el archivo de log de diagnóstico. Se graba el log de soporte en formato tarzippe-
ado (*.tgz). Cree este archivo para solucionar problemas cuando se lo solicite su representante de
soporte.
Lista de autenticación
La solapa Authentication List del Firebox System Manager da información acerca de todas las personas
que están autenticadas para el Firebox. Hay cuatro columnas para mostrarle información acerca de cada
usuario autenticado:
User
El nombre que el usuario da cuando se autentica.
Type
El tipo de usuario que se autentica: Firewall, MUVPN o PPTP.
IP Address
La dirección IP interna que está siendo utilizada por el usuario. Para usuarios MUVPN y PPTP, la direc-
ción IP que se muestra aquí es la dirección IP asignada a ellos por el Firebox.

From Address
La dirección IP de la computadora desde la que el usuario se autentica. Para usuarios MUVPN y PPTP,
la dirección IP que se muestra aquí es la dirección IP de la computadora que usan para conectarse al
Firebox. Para usuarios de Firewall, las direcciones IP y From son las mismas.
Puede hacer click en los encabezados de las columnas para ordenar a los usuarios. Puede también quitar
un usuario autenticado de la lista. Para hacer esto, haca click derecho sobre el nombre del usuario y enton-
ces detenga su sesión autenticada.
Sitios bloqueados
La pestaña Blocked Sites List del Firebox System Manager muestra las direcciones IP de todas las direc-
ciones IP externas que están bloqueadas temporalmente. Muchos eventos pueden causar que Firebox
agregue una dirección IP a la pestaña Blocked Sites: un sondeo de espacio en el puerto (port space
probe), un ataque spoofing, un sondeo de espacios de direcciones, o un evento configurado por Usted.
Junto a cada dirección IP está la hora en la que salió de la pestaña Blocked Sites. Puede usar el cuadro de
diálogo Blocked Sites en el Policy Manager para ajustar la cantidad de tiempo que una dirección IP per-
manece en la lista.
Agregando y quitando sitios

Add le permite agregar temporariamente un sitio a la lista de sitios bloqueados. Haga clic en
Change Expiration para modificar el momento en el cual este sitio será quitado de la lista.
Delete quita el sitio de la lista de sitios bloqueados.

Puede quitar un sitio de la lista sólo si abre el Firebox con la passphrase de configuración.
Servicios de seguridad
La pestaña de Security Services incluye información acerca de los servicios Gateway AntiVirus e Intrusion
Prevention (prevención de intrusiones).

Viendo Información Acerca del Estado de Firebox
Gateway AntiVirus
Esta área del cuadro de diálogo da información acerca de la función Gateway AntiVirus.
Actividad desde el último inicio (activity since last restart)
- Files scanned: Número de archivos analizados en busca de virus desde el último inicio del
Firebox.
- Viruses found: Número de virus encontrados en los archivos analizados desde el último inicio
del Firebox.
- Viruses cleaned: Número de archivos infectados borrados desde el último inicio del Firebox.
Firmas (Signatures)
- Installed version: número de versión de las firmas instaladas.
- Last update: fecha de la última actualización de firmas.
- Version available: si está disponible una nueva versión de las firmas.
- Server URL: URL a la que el Firebox va a ver si existen actualizaciones disponibles y URL desde
donde se descarga la actualización.
- History: haga click para mostrar una lista de todas las actualizaciones de firmas.
- Update: haga click en este botón para actualizar sus firmas de virus. Este botón se activa sólo si
está dsponible una nueva versión de las firmas de virus.
Motor (Engine)
- Installed version: número de versión del motor instalado.
- Last update: fecha de la última actualización del motor.
- Version available: Si está disponible una nueva versión del motor.
- Server URL: URL a la que el Firebox va a ver si existen actualizaciones disponibles y la URL desde
- History: haga click para mostrar una lista de todas las actualizaciones del motor.
- Update: haga click para actualizar su motor antivirus. Este botón se activa sólo si está disponible
una nueva versión del motor.
Intrusion Prevention Service

Esta área del cuadro de diálogo da información acerca de la función Signature-Based Intrusion Prevention
Service (sistema de prevensión de intrusiones basado en firmas).
Actividad desde el último arranque (activity since last restart)
- Scans performed: número de archivos analizados en busca de virus desde el último inicio del
Firebox.
- Intrusions detected: número de virus encontrados en los archivos analizados desde el último
inicio del Firebox.
- Intrusions prevented: número de archivos infectados borrados desde el último inicio de
Firebox.
Firmas (Signatures)
- Installed version: número de versión de las firmas instaladas.
- Last update: fecha de la última actualización de firmas.
- Version available: si está disponible una nueva versión de las firmas.
- Server URL: URL a la que el Firebox va a ver si existen actualizaciones disponibles y la URL desde
- History: haga click para mostrar una lista de todas las actualizaciones de firmas.
- Update: haga click en este botón para actualizar sus firmas de prevención de intrusiones. Este
botón se activa sólo si está disponible una nueva versión de las firmas de prevensión de
intrusiones.

Usando HostWatch
- Show: haga click en este botón para descargar y mostrar una lista de todas las firmas actuales del
IPS (sistema de prevención de intrusiones). Después de descargar las firmas, puede buscar firmas
por signature ID.
spamBlocker
Actividad desde el último inicio (activity since last restart)
- Número de mensajes identificados como no spam, spam, bulk, o e-mail sospechoso.
- Número de mensajes bloqueados y marcados.
- Número de mensajes bloqueados o permitidos debido a la lista de excepciones del spamBlocker
que usted creó (las excepciones que usted. crea para denegar sitios adicionales algunas veces son
conocidas como una “lista negra” o -blacklist-; las excepciones que Ud. crea para permitir sitios
adicionales son a veces conocidas como lista blanca -whitelist).
Usando HostWatch
HostWatch es una interfaz gráfica de usuario que muestra las conexiones de red entre la red confiable y
externa. HostWatch también da información acerca de usuarios, conexiones y traducción de direcciones de
red (NAT).
La línea que conecta el host de origen y el host de destino usa un color que muestra el tipo de conexión.
Puede cambiar estos colores . Los colores por defecto son:
• Red — (rojo) Firebox® deniega la conexión.
• Blue — (azul) la conexión usa una proxy.
• Green — (verde) Firebox usa NAT para la conexión.
• Black — (negro) conexión normal (la conexión fue aceptada y no usa una proxy ni NAT).
Los íconos que muestran el tipo de servicio aparecen junto a las entradas del servidor de HTTP, Telnet, SMTP
y FTP.
La resolución del servidor de nombres de dominio (DNS) no ocurre inmediatamente que usted inicia
HostWatch. Cuando se configura HostWatch para la resolución DNS, reemplaza las direcciones IP con los
nombres de host o de usuario. Si Firebox no puede identificar el nombre de host o de usuario, la dirección
IP permanece en la ventana de HostWatch.
Si usa resolución DNS con HostWatch, la estación de administración puede enviar un gran número de
paquetes de NetBIOS (UDP 137) a través del Firebox. El único método para parar esto es desconectar
NetBIOS sobre TCP/IP en Windows.
Para iniciar HostWatch, haga click en el ícono de HostWatch en el Firebox System Manager. O selec-
cione Tools > HostWatch.
La ventana de HostWatch
La parte superior de la ventana de HostWatch tiene dos lados. Puede configurar la interfaz en el lado
izquierdo. El lado derecho muestra todas las otras interfaces. HostWatch muestra las conexiones hacia y
desde la interfaz configurada en el lado izquierdo. Para seleccionar una interfaz, haga click derecho en el
nombre actual de la interfaz. Seleccione la nueva interfaz.
Haga doble click en un item en uno de los lados para obtener el cuadro de diálogo Connections For (cone-
xiones para) para las conexiones que involucra ese item. El cuadro de diálogo muestra información acerca
de la conexión e incluye las direcciones IP, número de puerto, hora, tipo de conexión y dirección.

Usando HostWatch
Mientras la parte superior de la ventana muestra sólo las conexiones hacia o desde la interfaz selecciona-
da, la parte de abajo de la ventana de HostWatch muestra todas las conexiones hacia y desde todas las
interfaces. La información se muestra en una tabla con los puertos y la hora en que la conexión fue creada.
Controlando la ventana de HostWatch

Puede cambiar la ventana de HostWatch para mostar sólo los ítems necesarios. Puede usar esta caracterís-
tica para monitorear hosts, puertos o usuarios específicos.
1 Desde HostWatch, seleccione View > Filter.

Usando HostWatch
2 Haga click en la pestaña para monitorear: Policy List (lista de políticas), External Hosts (hosts externos),
Other Hosts (otros hosts), Ports (puertos), o Authenticated Users (usuarios autenticados).
3 En la pestaña de cada ítem que no desee ver, borre la casilla de verificación en el cuadro de diálogo.
4 En la pestaña de cada ítem que no desee ver, tipee la dirección IP, número de puerto, o nombre de
usuario a monitorear. Haga clic ken Add. Haga esto para cada ítem que desee que HostWatch monitoree.
5 Haga click en OK.
Cambiando las propiedades de la vista de HostWatch

Puede cambiar la forma en que HostWatch muestra la información. Por ejemplo, HostWatch puede mostrar
nombres de host como una alternativa a las direcciones.
1 Desde HostWatch, seleccione View > Settings.
2 Use la pestaña Display para cambiar la forma en que los hosts aparecen en la ventana HostWatch.
3 Use la pestaña Line Color para cambiar los colores de las líneas entre las conexiones NAT, proxy, blocked
y normal.
4 Haga click en OK para cerrar el cuadro de diálogo Settings.
Agregando un sitio bloqueado desde HostWatch

Para agregar una dirección IP a la lista de sitios bloqueados desde HostWatch, haga click derecho sobre la
conexión y use la ventana desplegable para seleccionar la dirección IP de dicha conexión agregar a lista de
sitios bloqueados. Debe establecer el tiempo durante el cual la dirección IP estará bloqueada y dar la pass-
phrase de configuración.

Usando HostWatch
Pausando la pantalla de HostWatch

Puede usar los íconos Pause y Continue en la barra de herramientas para detener momentáneamente y
luego volver a iniciar la pantalla. O, use File > Pause y File > Continue.

CAPÍTULO 5 Administración Básica del Firebox
Para operar correctamente, su Firebox® debe tener la información necesaria para aplicar su política de segu-
ridad al tráfico que fluye a través de su red. El Policy Manager le brinda una interfaz de usuario para configu-
rar los parámetros básicos del Firebox además de su política de seguridad. Este capítulo le muestra como:
• Agregar, eliminar y ver licencias
• Preparar Firebox para usar un servidor NTP
• Establecer el huso horario de Firebox
• Configurar Firebox para SNMP
• Cambiar passphrases de Firebox
• Dar un nombre a Firebox para identificarlo fácilmente (en lugar de una dirección IP)
• Recuperar un Firebox
Trabajando con Licencias
Usted incrementa la funcionalidad de su Firebox® cuando compra una opción y agrega la clave de licencia
al archivo de configuración. Cuando obtenga una nueva clave, asegúrese utilizar las instrucciones que vie-
nen con ella para activar la nueva característica en el sitio web de LiveSecurity y agregue una nueva Feature
Key a su Firebox.
Activando una nueva función

Antes de activar una nueva función, usted debe tener una clave de licencia certificada de WatchGuard® que
no esté registrada aún en el sitio web de LiveSecurity. Esta clave de licencia viene en un certificado escrito
en papel o en su recibo de compra en línea (si lo compró en una tienda en línea de WatchGuard ).
1 Abra un navegador de web y conéctese a https://www.watchguard.com/activate.
2 Si no se ha conectado con anterioridad a LiveSecurity, será redireccionado a la página de Log In de
LiveSecurity.
Escriba su nombre de usuario de LiveSecurity y su passphrase.

3 Debajo de Options (opciones), seleccione Upgrades, Renewals, Services (actualizaciones,

renovaciones, servicios). Haga click en Continue.
Aparece la página Activate Upgrades, Add-Ons, or Renewals (activar actualizaciones, adiciones o renovaciones).
4 Escriba la clave de licencia del producto tal cual aparece en su certificado impreso, incluyendo los
guiones.
5 Haga click en Continue.
Aparece la página Choose Product to Upgrade (escoger el producto a actualizar).
6 De la lista desplegable, seleccione el Firebox al que desea aplicar la actualización o renovación. Si

agregó un nombre de Firebox cuando registró su Firebox, ese nombre aparecerá en esta lista. Después
de seleccionar el Firebox, haga click en Activate.
7 Aparecerá la página Retrieve Feature Key (recuperar la clave "Feature Key"). Desde el menú de Inicio de
Windows, abra el Block de Notas o cualquier aplicación en la cual pueda guardar texto. Copie la clave
"Feature Key" completa dede esta página hacia el archivo de texto y grábelo en su computadora. Haga
click en Finish.

Agregando licencias
1 Desde el Policy Manager, seleccione Setup > Licensed Features.
Aparecerá el cuadro de diálogo Firebox License Keys. Este cuadro de diálogo muestra las licencias que están disponibles.
2 Haga click en Add.

Aparecerá el cuadro de diálogo Add Firebox License Key. Recomendamos que elimine la Feature Key anterior antes de
agregar la nueva.
3 Haga click en Import y encuentre el archivo de la Feature Key o pegue el contenido de su archivo de
Feature Key en el cuadro de diálogo.
4 Haga click en OK dos veces.
A esta altura, las funciones ya estarán disponibles en la estación de administración. En algunos casos, aparecerán nuevos
cuadros de diálogo y comandos del menú para configurar una función en el Policy Manager.
5 Guarde la configuración en el Firebox.
La función no operará en el Firebox hasta que no grabe el archivo de configuración en el Firebox.
Eliminando una licencia

1 Desde el Policy Manager, seleccione Setup > Licensed Features.
Aparece el cuadro de diálogo Firebox License Keys.

2 Expanda Licenses, seleccione la license ID que quiere eliminar y haga click en Remove.
3 Haga click en OK.

4 Grabe la configuración en el Firebox.
Viendo las funciones activas

Para ver una lista de todas las funciones con licencias, seleccione la clave de licencia y haga click en Active
Features. El cuadro de diálogo Active Features muestra cada función junto con su capacidad y fecha de
expiración.

Estableciendo Servidores NTP
Viendo las propiedades de una licencia

Para ver las propiedades de una licencia, seleccione la clave de licencia y haga click en Properties. El cuadro
de diálogo License Properties muestra el número de serie del Firebox al cual se aplica esta licencia, junto
con su ID y nombre, el modelo de Firebox y el número de versión y las características de Firebox disponibles.
Descargando una clave de licencia

Si su archivo de licencia no está actualizado, puede descargar una copia de cualquier archivo de licencia del
Firebox a su estación de administración. Para descargar las claves de licencias de un Firebox, seleccione la
clave de licencia y haga click en Download. Aparecerá un cuadro de diálogo para que teclee la passphrase
de estado del Firebox.
Estableciendo Servidores NTP
El Network Time Protocol (NTP) -protocolo de tiempo de red- sincroniza los relojes de las computadoras de
una red. El Firebox® puede sincronizar su reloj con un servidor NTP en Internet.
1 Desde el Policy Manager, seleccione Setup > NTP.
Aparecerá el cuadro de diálogo NTP Setting.
2 Seleccione la casilla de verificación Enable NTP.

3 En el cuadro bajo la lista NTP Server Names/IPs, escriba la dirección IP de los servidores NTP que desea
usar. Haga click en Add.
Firebox puede usar hasta tres servidores NTP.

Estableciendo un Nombre Amigable y el Huso Horario
4 Haga click en OK.
Estableciendo un Nombre Amigable y el Huso Horario
Puede dar al Firebox® un nombre especial para usar en sus archivos de log y reportes. Si no realiza este
procedimiento, los archivos de log y los reportes usan la dirección IP de la interfaz externa del Firebox.
Muchos clientes usan un Fully Qualified Domain Name (nombre de dominio completamente calificado) si
registran ese nombre en el sistema DNS. Usted debe dar al Firebox un nombre especial si usa el
Management Server para configurar túneles VPN y certificados con el Firebox.
El huso horario del Firebox time zone controla la fecha y la hora que aparece en el archivo de log y en
herramientas tales como LogViewer, Historical Reports, y WebBlocker. Utilice el huso horario correspon-
diente a la localización física de su Firebox. Establecer este huso horario permite que la hora aparezca
correctamente en los mensajes de log. La hora de sistema del Firebox se establece por defecto en la hora
según el meridiano de Greenwich.
1 Desde el Policy Manager, haga click en Setup > System.
Aparecerá el cuadro de diálogo Device Configuration.
2 En el cuadro de texto Name, escriba el nombre especial que desea darle al Firebox. Haga click en OK.
Una notificación emergente le dirá si usa caracteres que no son permitidos.
3 En los campos Location (localización) y Contact (contacto), escriba cualquier información que pueda
ser de ayuda para identificar y mantener el Firebox.
4 Desde la lista desplegable Time zone, seleccione el huso horario que desee. Haga click en OK.
Trabajando con SNMP
El protocolo Simple Network Management Protocol (SNMP) es un conjunto de herramientas para monito-
rear y administrar redes. SNMP usa bases de administración de información (MIBs) que dan información de
configuración para los dispositivos que el sevidor SNMP administra o monitorea. Con el software de
appliance Fireware®, el Firebox® soporta SNMPv1 y SNMPv2c.
Puede configurar el Firebox para aceptar "polls" o consultas periódicas SNMP desde un servidor SNMP.
Puede también configurar Firebox para enviar "traps" o trampas a un servidor SNMP.

Trabajando con SNMP
Permitiendo "polls" SNMP

1 Desde el Policy Manager, seleccione Setup > SNMP.
2 Teclee el Community String (cadena de caracteres de la comunidad) que Firebox debe usar cuando se
conecte el servidor SNMP. Haga click en OK.
El "community string" permite el acceso a las estadísticas de un dispositivo. Opera como un SSID inalámbrico o ID de
grupo. Este community string debe ser incluido en todo requerimiento SNMP. Si el community string es correcto, el disposi-
tivo da la información requerida. Si el community string no es correcto, el dispositivo descarta el requerimiento y no res-
ponde.
3 Haga click en OK. Grabe la configuración en el Firebox.
El Firebox puede ahora recibir SNMP polls.
Permitiendo "traps" SNMP

Una trampa o "trap" SNMP es la notificación de un eve nto que el Fire box envía al SNMP Management System.
La trap ident i f i ca cuándo una condición oc u rre, tal como un valor que está por encima del predefinido.
Para permitir al Firebox enviar SNMP traps:
1 Desde el Policy Manager, seleccione Setup > SNMP.
2 En el cuadro de diálogo SNMP Settings, seleccione la casilla de verificación Enable SNMP Trap.
3 En el cuadro bajo la lista SNMP Management Stations, escriba la dirección IP del servidor SNMP. Haga
click en Add.
4 Escriba el Community String que el Firebox debe usar cuando se conecte al servidor SNMP. Haga click
en OK.
El community string es como un user ID o password que pe rm i te el acceso a las estadísticas de un dispo s i t i vo. Es te
community string debe ser incluido en todos los requerimientos SNMP. Si el co m m u n i ty string es correcto, el dispo s i t i vo da
la info rmación requerida. Si el community string no es corre cto, el dispo s i t i vo desca rta el re q u e ri m i e nto y no responde.
5 Agregue una política SNMP al Firebox. Para hacer esto, desde el Policy Manager, seleccione Edit > Add
Policy (o haga click en el ícono “+”), expanda Packet Filters, seleccione SNMP y haga click en Add.
Aparecerá el cuadro de diálogo New Policy Properties.
6 Debajo del recuadro From, haga click en Add. Desde el cuadro de diálogo Add Address que aparece,
haga click en Add Other.
Aparecerá el cuadro de diálogo Add Member.
7 Desde la lista desplegable Choose Type seleccione Host IP. En el campo Value, teclee la direción IP de
su computadora servidor de SNMP.
8 Haga click en OK dos veces para regresar a la pestaña Policy de la nueva política.
9 Debajo del recuadro To, haga click en Add.

Cambiando las Passphrases de Firebox
10 Desde el cuadro de diálogo Add Address que aparece bajo Available Members, seleccione Firebox.
Haga click en Add.
11 Haga click en OK, OK y Close. Grabe la configuración en el Firebox.
Puede hacer que Firebox envíe una trap a cualquier política en el Policy Manager. Edite la política a la que
le enviará una trap. Para hacer esto, haga doble click en el ícono de la política, que se muestra en el Policy
Manager, para editar la configuración. Desde el cuadro de diálogo Edit Policy Properties, seleccione la
pestaña Properties. Haga click en Logging y seleccione la casilla de verificación Send SNMP Trap.
Usando MIBs
WatchGuard® System Manager con el software de appliance Fireware® soporta dos tipos de "Management
Information Bases" (MIBs):
• Se usan MIBs públicas en el producto Fireware y se copian en su estación de administración
WatchGuard cuando se instala Fireware. Estas MIBs incluyen estándares IETF y MIB2.
• Las MIBs privadas son creadas por WatchGuard para proveer información básica de monitoreo para
componentes específicos del Firebox, incluyendo la utilización de CPU y memoria y métricas de
interfaz e IPSec.
Cuando instala WatchGuard System Manager, los MIBs se instalan en
Mis Documentos\My WatchGuard\Shared WatchGuard\SNMP.
Firebox soporta estos objectos MIBs de sólo lectura:
- RFC1155-SMI
- SNMPv2-SMI
- RFC1213-MIB
- RAPID-MIB
- RAPID-SYSTEM-CONFIG-MIB
Cambiando las Passphrases de Firebox
Un Firebox® usa dos passphrases:

• Status passphrase (de estado)
Esta password o passphrase de sólo lectura permite el acceso al Firebox
• Configuration passphrase (de configuración)
La password o passphrase de lectura y escritura permite a un administrador el acceso completo al
Firebox.
Para crear una passphrase segura, recomendamos que:
• Use una selección de caracteres en mayúsculas y minúsculas, números y caracteres especiales (por
ejemplo, Im4e@tiN9).
• No use una palabra de los diccionarios estándar, aunque la use en en una secuencia diferente o en
un idioma distinto. Haga un nuevo acrónimo que sólo usted conozca.
• No use un nombre. Es fácil para un atacante encontrar un nombre de negocios, familiar o el de una
persona famosa.
Una medida adicional de seguridad es cambiar las passphrases de Firebox a intervalos regulares. Para
hacer esto, debe tener la passphrase de configuración.
1 Desde el Policy Manager, abra el archivo de configuración en el Firebox.

Recuperando un Firebox
2 Haga click en File > Change Passphrases.

Aparecerá el cuadro de diálogo Open Firebox.
3 Desde la lista desplegable Firebox, seleccione un Firebox o escriba la dirección IP o el nombre del
Firebox. Escriba la passphrase de configuration (de lectura y escritura) de Firebox. Haga click en OK.
Aparecerá el cuadro de diálogo Change Passphrases.
4 Escriba y confirme las nuevas passphrases de estado (de sólo lectura) y de configuración (de lectura y
escritura). La passphrase de estado debe ser diferente de la passphrase de configuración.
5 Haga click en OK.
La nueva imagen flash y las nuevas passphrases se graban en el Firebox. El Firebox se reinicia automáticamente.
Si desea resetear un Firebox® a sus parámetros de fábrica o resetear un Firebox con una configuración com-
pletamente nueva, puede usar el procedimiento de recuperación de Firebox. El procedimiento usado para
recuperar un dispositivo Firebox X Core o Peak e-Series es diferente del de recuperación de un modelo ante-
rior de Firebox X Core o Peak. Asegúrese de usar el procedimiento correcto para su Firebox.
Reseteando un dispositivo Firebox X e-Series

Para poner una nueva configuración en un dispositivo Firebox X Core o Peak e-Series, use el Asistente Web
Quick Setup. Vea el capítulo“Comenzando” para más información sobre este Asistente.
Reseteando un Firebox X Core o Peak (que no sea e-Series)

Cuando resetee un modelo anterior de Firebox X Core o Peak, reemplace la imagen existente en el Firebox
por una nueva imagen. Puede usar el Quick Setup Wizard para resetear un Firebox por una configuración
completamente nueva. Este es el modo más simple para resetear un Firebox y el procedimiento usado más
comúnmente.
Hay momentos, sin embargo, en que no se puede usar el Quick Setup Wizard para resetear un Firebox.
Cuando use el Asistente Quick Setup, ha de ser posible establecer una conexión de red al Firebox desde su
estación de administración y “descubrir” al Firebox en la red. Si esto no es posible, debe usar el procedimien-
to de reseteo manual descripto en esta guía.
Debe tener una clave Feature Key vigente de Firebox antes de comenzar este procedimiento.

Para resetear manualmente el Firebox:

1 Apague el Firebox. En el frente del Firebox, encuentre y presione la flecha que mira hacia arriba.
2 Mantega apretado el botón de la flecha hacia arriba mientras enciende el Firebox, y continúe apretado
el botón hasta que la pantalla LCD muestre que el Firebox está corriendo en modo System B o Safe.
Cuando el Firebox está corriendo en modo System B, lo está haciendo en el modo estándar de fábrica. En este caso, la
interfaz confiable del Firebox se establece en 10.0.1.1.
3 Conecte un cable de red Ethernet cruzado entre su estación de administración WatchGuard y la inter-
faz confiable del Firebox.
La interfaz confiable se etiqueta interface 1 en el Firebox.
4 Cambie la dirección IP en su estación de administración a 10.0.1.2 (u otra dirección IP desde la cual se
pueda conectar a la interfaz confiable del Firebox en 10.0.1.1).
Es buena idea hacer ping hacia la interfaz confiable desde su estación de administración para asegurarse de que tiene
una conexión de red en operación.
5 Abra el Policy Manager. Puede abrirla en un archivo de configuración existente o crear uno nuevo
usando las opciones disponibles en el menú desplegable File.
6 Seleccione Setup > Licenses Features. Haga click en Add y pegue una copia de su clave Feature Key
en el cuadro de texto, si fuere necesario.
7 Cuando esté listo, seleccione File > Save > To Firebox. Grabe su configuración en el Firebox de la
dirección IP 10.0.1.1, con la passphrase administrativa “admin”.
8 Después de reestableblecer Firebox con esta nueva configuración, es buena idea cambiar las pass-
phrases del Firebox. Seleccione File > Change Passphrases para establecer las nuevas passphrases.
9 Ahora puede poner el Firebox de nuevo en su red y conectarse con él usando la dirección IP y las
passphrases que usted estableció en su nueva configuración.
Si no cambia la dirección IP o las passphrases, puede conectarse a la dirección IP confiable 10.0.1.1 con la passphrase
“admin”.
Reestableciendo un Firebox usando fbxinstall

Si el Asistente Quick Setup y el reseteo manual no corrigen el problema, puede resetear el Firebox a sus
parámetros de fábrica con el utilitario de línea de comandos fbxinstall. Este procedimiento pone un nuevo
filesystem (sistema de archivos) y sistema operativo en el disco flash del Firebox y es necesario si su disco
flash se corrompe. Antes de comenzar, asegúrese de tener Fireware® instalado en su estación de adminis-
tración.

Para usar fbxinstall:

1 Conecte un cable serial entre el Firebox y su estación de administración.
Si tiene más de un puerto COM, anote qué puerto usa.
2 Abra un command prompt (línea de comandos).
3 Escriba fbxinstall <temporary eth0 IP address>.
La dirección IP virtual que escriba aquí debe ser cualquier dirección IP sin utilizar, de la misma red de la computadora que
usted ha conectado al Firebox con el cable serial. Por ejemplo, si su dirección IP es 172.168.1.35, escriba:
fbxinstall 172.168.1.35. Esta dirección IP se usa para conextarse al Firebox y completar el proceso de reseteo pero, en reali-
dad, no estará asignada al Firebox.
4 Cuando se completa el proceso fbxinstall, inicie el Asistente Quick Setup para establecer una nueva con-
figuración en su Firebox.


CAPÍTULO 6 Estableciendo la Configuración Básica
Después de que su Firebox® esté instalado en su red y opere con el archivo de configuración básica, puede
comenzar a agregar parámetros de configuración personalizados para adecuarlos a los requerimientos de
su organización. Este capítulo muestra cómo hacer algunas tareas de configuración básica y mantenimiento.
Algunas de estas tareas las completará tantas veces como trabaje con su Firebox. Otras las deberá hacer sólo
una vez.
Estas tareas de configuración básica incluyen:
• Abrir un archivo de configuración en una computadora local o desde el Firebox
• Grabar un archivo de configuración en una computadora local o en el Firebox
• Crear y restaurar una imagen de respaldo del Firebox
• Usar alias
• Configurar los parámetros globales del Firebox
• Establecer cronogramas básicos para usar posteriormente en sus políticas
• Administar su Firebox desde una localización remota
Abriendo un Archivo de Configuración
El Policy Manager de Fireware® o Fireware Pro es una herramienta de software que le permite hacer, cam-
biar y guardar archivos de configuración. Un archivo de configuración, con la extensión .xml, incluye todos
los datos de configuración, opciones, direcciones IP y otra información que configura la política de seguri-
dad de su Firebox®. Cuando use Policy Manager, verá una version fácil de examinar y cambiar de su archivo
de configuración.
Cuando trabaje con Policy Manager, usted puede:
• Abrir el archivo de configuración vigente en su Firebox
• Abrir un archivo de configuración guardado en su disco duro local
• Hacer un nuevo archivo de configuración
Abriendo un archivo de configuración operativo

Una tarea común para un administrador de red es hacer un cambio en su actual política de seguridad. Por
ejemplo, su negocio compra una nueva aplicación de software y usted debe abrir un puerto y un protocolo
hacia un servidor en la sede del vendor. Para esta tarea, debe cambiar su archivo de configuración con Policy
Manager.

Abriendo un Archivo de Configuración
Usando WatchGuard System Manager

1 Desde el escritorio de Windows, haga click en Inicio > Todos los programas > WatchGuard System
Manager 8.3 > WatchGuard System Manager.
WatchGuard® System Manager 8.3 es el nombre preestablecido de la carpeta de los íconos del menú de Inicio. Puede
cambiar el nombre de esta carpeta durante la instalación.
2 Desde el WatchGuard System Manager, seleccione File > Connect To Device.
O
haga click en el ícono Connect to Device de la barra de herramientas de WatchGuard System Manager.
Aparecerárá el cuadro de diálogo Connect to Firebox.
3 Use la lista desplegable para seleccionar su Firebox o escriba su dirección IP confiable. Escriba la pass-
phrase de estado. Haga click en OK.
Aparecerá el dispositivo en la pestaña WatchGuard System Manager Device Status.
4 Seleccione el Firebox en la pestaña Device Status. Luego, seleccione Tools > Policy Manager.
O,
haga click en el ícono Policy Manager en la barra de herramientas de WatchGuard System Manager. Se abrirá
el Policy Manager y pondrá el archivo de configuración en uso en el Firebox seleccionado.
Usando Policy Manager

1 Desde Policy Manager, haga click en File > Open > Firebox.
Aparecerá el cuadro de diálogo Open Firebox.
Si aparece un mensaje de error que le dice que no se puede conectar, intente nuevamente.
2 Desde la lista desplegable Firebox Address or Name, seleccione un Firebox.

Puede también teclear la dirección IP o el nombre del host.
3 En el cuadro de texto Passphrase, escriba la passphrase de estado (sólo lectura) del Firebox.
Use aquí la passphrase de estado. Debe usar la passphrase de configuración para guardar la nueva configuración en el
Firebox.
4 Haga click en OK.
El Policy Manager abrirá al archivo de configuración y mostrará los parámetros establecidos.
Si no puede abrir Policy Manager, intente estos pasos:

• Si el cuadro de diálogo Connect to Firebox re g resa inmediatamente después ingresar la passphrase,
asegúrese de que la tecla Bloqueo de Mayúsculas (Caps Lock ó Bloq Mayús) esté desactivada y de
que tecleó la passphrase correctamente. Recuerde que la passphrase es sensible a mayúsculas y
minúsculas.

Guardando un Archivo de Configuración
• Si el cuadro de diálogo Connect to Firebox agota el tiempo de espera, asegúrese de que tiene una
conexión entre la interfaz confiable y su computadora. Asegúrese que haya tecleado la dirección IP
correcta para la interfaz confiable del Firebox. También asegúrese que la dirección IP de su computa-
dora esté en la misma red que la interfaz confiable del Firebox.
Abriendo un archivo local de configuración

Algunos administradores de red piensan que es útil guardar más de una versión de un archivo de configura-
ción del Firebox. Por ejemplo, si tiene una nueva política de seguridad para usar, recomendamos que prime-
ro guarde el viejo archivo de configuración en un disco duro local. Entonces, si no desea la nueva configura-
ción, puede restaurar la vieja versión. Puede abrir los archivos de configuración que estén en cualquier disco
de la red al cual su estación de administración pueda conectarse.
1 Desde WatchGuard System Manager, seleccione Tools > Policy Manager (o haga click en el ícono del
Policy Manager).
2 Seleccione File > Open > Configuration File.
O
haga click en el ícono Open File de la barra de herramientas de Policy Manager. Aparecerá una caja de diálogo
estándar de Windows de abrir archivo .
3 Use el cuadro de diálogo O pe n p a ra buscar y seleccionar el archivo de configuración. Haga click en Open.
El Policy Manager abrirá el archivo de configuración y mostrará los parámetros establecidos.
Haciendo un nuevo archivo de configuración

El Asistente Quick Setup hace un archivo de configuración básica para su Firebox. Recomendamos que lo
use como base para cada uno de sus archivos de configuración. Sin embargo, puede también usar el Policy
Manager para hacer un nuevo archivo de configuración con sólo las propiedades de configuración preesta-
blecidas.
1 Desde WatchGuard System Manager, seleccione Tools > Policy Manager (o haga click en el ícono Policy
Manager).
2 Desde Policy Manager, seleccione File > New.
Aparecerá el cuadro de diálogo Select Firebox Model and Name.
3 Use la lista desplegable Model para seleccionar su modelo de Firebox. Dado que hay grupos de funcio-
nes que son únicas para cada modelo, seleccione el que corresponda con su dispositivo de hardware.
4 Escriba un nombre para que el Firebox aparezca con el nombre de su archivo de configuración.
5 Haga click en OK.
El Policy Manager hará una nueva configuración con el nombre de archivo <nombre>.xml, donde <nombre> es aquél que
usted le dio al Firebox.
Guardando un Archivo de Configuración

Luego de hacer un nuevo archivo de configuración o de cambiar el archivo de configuración actual, puede
guardarlo directamente en el Firebox®. También puede guardarlo en un disco duro local.

Acerca de las Imágenes de Respaldo del Firebox
Guardando una configuración en el Firebox

1 Desde el Policy Manager, haga click en File > Save > To Firebox.
Aparecerá el cuadro de diálogo Save to Firebox.
2 Desde la lista desplegable Firebox Address or Name, escriba una dirección IP o un nombre, o seleccio-
ne un Firebox. Si usa un nombre de Firebox, éste debe resolverse a través de DNS.
Cuando escriba una dirección IP, escriba todos los números y puntos. No use las teclas TAB o las flechas de desplazamien-
to del cursor.
3 Escriba la passphrase de configuración de Firebox. Debe usar la passphrase de configuración para
guardar un archivo en el Firebox.
4 Haga click en OK.
Guardando una configuración en un disco duro local

1 Desde el Policy Manager, haga click en File > Save > As File.
Puede también usar CTRL-S. Aparecerá el cuadro de diálogo guardar archivo estándar de Windows.
2 Escriba el nombre del archivo.
El procedimiento por defecto es guardar el archivo en el directorio de WatchGuard®. Puede también navegar hacia cual-
quier carpeta a la cual pueda conectarse desde su estación de administración. Para mayor seguridad, recomendamos
que guarde los archivos en una carpeta segura sin acceso a otros usuarios.
3 Haga click en Guardar.
El archivo de configuración se guarda en el disco duro local.
Acerca de las Imágenes de Respaldo del Firebox
Una imagen de respaldo del Firebox es una copia encriptada y grabada de la imagen de su disco flash.
Incluye el software de appliance del Firebox, el archivo de configuración, licencias y certificados. Puede
guardar una imagen de respaldo en su estación de administración o en un directorio de su red.
Recomendamos que haga regularmente copia de respaldo de sus archivos de imagen de Firebox. También
recomendamos que cree una imagen de respaldo del Firebox antes de realizar cambios significativos en la
configuracion de su Firebox o de atualizar su Firebox o su software de appliance.
Creando una imagen de respaldo del Firebox

1 Desde Policy Manager, seleccione File > Backup.

Trabajando con Alias
2 Escriba la passphrase de configuración de su Firebox.

Aparecerá el cuadro de diálogo Backup.
3 Escriba y confirme una clave de encriptación.

Esta clave se usa para encriptar el archivo de respaldo. Si pierde u olvida esta clave de encriptación, no le será posible res-
taurar el archivo de respaldo.
4 Seleccione el directorio en el cual guardará el archivo de respaldo. Haga click en OK.
La ubicación por defecto del archivo de respaldo con extensión “.fxi” es C:\Documents and Settings\All Users\Shared
WatchGuard\backups\<dirección IP de Firebox> - <fecha>.fxi.
Restaurando una imagen de respaldo del Firebox

1 Desde el Policy Manager, seleccione File > Restore.
2 Escriba la passphrase de configuración para su Firebox. Haga click en OK.
3 Escriba la clave de encriptación que usa cuando crea la imagen de respaldo.
Firebox restaurará la imagen de respaldo y se reiniciará. Usará la imagen de respaldo en el reinicio. Espere dos minutos
antes de conectarse al Firebox nuevamente.
Si no puede restaurar con éxito su imagen del Firebox, puede resetearlo con el procedimiento que se mues-
tra en “Recuperando un Firebox” en el capítulo 5.

Un alias es un método abreviado que identifica un grupo de hosts, redes o interfaces. Cuando usa un alias,
es fácil crear una política de seguridad porque Firebox® le permite usar alias cuando usted crea políticas.
Estos son algunos de los alias preestablecidos incluídos en Policy Manager que usted puede usar:
Any-Trusted
Este es un alias para todas las interfaces del Firebox configuradas como “confiables” (como se definie-
ron en el Policy Manager; seleccione Network > Configuration) y cualquier red puede tener acceso a
través de estas interfaces.
Any-External
Este es un alias para todas las interfaces Firebox configuradas como “externas” (como se definieron en
el Policy Manager; seleccione Network > Configuration) y cualquier red puede tener acceso a través
de estas interfaces.
Any-Optional
Estos son alias para todas las interfaces Firebox configuradas como “opcionales” (como se definieron
en el Policy Manager; seleccione Network > Configuration) y cualquier red puede tener acceso a tra-
vés de estas interfaces.

Los nombres de alias son diferentes de los nombres de usuario o grupo usados en autenticación de usua-
rios. Con la autenticación de usuarios, puede monitorear una conexión con un nombre y no como una
dirección IP. La persona se autentica con un nombre de usuario y una clave para acceder a los protocolos
de Internet. Para mayor información acerca de la autenticación de usuarios, vea “Cómo trabaja la autentica-
ción de usuario”, en el capítulo 10.
Creando un alias
1 Desde el Policy Manager, seleccione Setup > Alias.
Aparecerá el cuadro de diálogo Alias.

Aparecerá el cuadro de diálogo Add Alias.
3 En el cuadro de texto Alias Name, escriba un nombre único para identificar el alias.
Este nombre aparecerá en las listas cuando usted configure una política de seguridad.
4 Haga click en Add para agregar una dirección IP de host, una dirección IP de red, un rango de host o
un alias a la lista de miembros alias.
El miembro aparecerá en la lista de miembros alias.
5 Haga click en OK dos veces.

Usando Parámetros Globales

En Policy Manager puede seleccionar parámetros que controlen las acciones de muchas funciones del
Firebox®. Usted puede establecer parámetros básicos para:
• IPSec VPN
• Manipulación de errores ICMP
• Chequeo TCP SYN
• Ajuste de máximo tamaño de TCP
• Tiempo de espera de autenticación (idle time-out)
1 Desde el Policy Manager, seleccione Setup > Global Settings.
Aparecerá el cuadro de diálogo Global Settings.
2 Configure las difere ntes categorías de los parámetros globales como se muestra en las secciones de abajo.
VPN
Los parámetros globales de VPN son:
Ignore DF for IPSec
Ignora la configuración del bit Don’t Fragment (no fragmente) en el encabezado IP. Si lo establece en
ignorar, el Firebox quiebra el marco en partes que puedan ajustarse a un paquete IPSec con encabeza-
do ESP o AH.
IPSec pass-through
Si un usuario debe hacer conexiones IPSec hacia un Firebox desde atrás de otro Firebox, debe dejar en
blanco la casilla de verificación IPSec Pass-through para habilitar la función IPSec pass-through
(pasar a través de IPSec). Por ejemplo, si empleados móviles están en el local de un cliente con un
Firebox, deben poder hacer conexiones IPSec a su red usando IPSec. Para que el Firebox local permita
correctamente la conexión IPSec, usted debe también agregar una política IPSec al Policy Manager.

Enable TOS for IPSec

Los bits Type of Service (TOS) -tipo de servicio- son un conjunto de marcas de cuatro bits en el enca-
bezado IP, que pueden decir al dispositivo de enrutamiento si le dan más o menos prioridad a un
datagrama IP sobre otro. Fireware® le da la opción de permitir a los túneles IPSec pasar paquetes
TOS marcados (flagged). Algunos ISPs eliminan todos los paquetes que tienen conjuntos de señales
TOS.
Si usted no selecciona la casilla de verificación Enable TOS for IPSec, ninguno de los paquetes IPSec
tendrá conjuntos de bits TOS. Si los bits TOS fueron establecidos con anterioridad, cuando Fireware
encapsule el paquete en un encabezado IPSec, se borrarán los bits TOS.
Cuando está seleccionada la casilla de verificación Enable TOS for IPSec, si el paquete original tiene
un conjunto de bits TOS, Fireware mantiene el conjunto de bits TOS cuando encapsula el paquete en
un encabezado IPSec . Si el paquete original no tiene el conjunto de bits TOS, Fireware no establece
bits TOS cuando encapsula el paquete en un encabezado IPSec.
Manejo de errores ICMP

El Internet Control Message Protocol (ICMP) controla errores durante las conexiones. Se usa para dos tipos
de operaciones:
• Informar a los hosts de clientes acerca de situaciones de error.
• Sondear una red para encontrar características generales de la misma.
El Firebox envía un mensaje de error ICMP cada vez que ocurre un evento que cumple con uno de los
parámetros que usted seleccione. Si deniega estos mensajes ICMP, puede incrementar la seguridad porque
prevendrá sondeos en la red, pero también puede ocasionar demoras por agotamiento del tiempo de
espera para conexiones incompletas y causar problemas a aplicaciones. Los parámetros globales del
manejo de errores ICMP y sus descripciones son:
Fragmentation Req (PMTU)
El datagrama IP debe ser fragmentado, pero esto se evita pues se activó el bit Don’t Fragment en el
encabezado IP.
Time Exceeded
El datagrama fue eliminado porque el campo Time to Live (tiempo de vida) expiró.
Network Unreachable
El datagrama no pudo alcanzar la red.
Host Unreachable
El datagrama no pudo alcanzar el host.
Port Unreachable
El datagrama no pudo alcanzar el puerto.
Protocol Unreachable
La parte de protocolo del datagrama no pudo ser enviada.
Chequeando el TCP SYN

El parámetro global para chequear TCP SYN es:
Enable TCP SYN checking
Esta función asegura que se realice el “handshake”TCP de tres vías antes de que el Firebox permita
una conexión de datos.

Creando Cronogramas
Ajuste del tamaño máximo de segmento TCP

El segmento TCP puede establecerse en un tamaño específico para una conxión que deba tener más de tres
capas superpuestas TCP/IP (como PPPoE, ESP, AH, etcétera). Si este tamaño no se configura correctamente,
los usuarios no podrán obtener acceso a algunas páginas web. Los parámetros globales de ajuste de tama-
ño máximo del segmento TCP son:
Auto Adjustment
El Firebox examina todas las negociaciones de tamaños máximos de segmento (Maximum Segment
Size, o MSS) y cambia el valor MSS a uno aplicable.
No Adjustment
El Firebox no cambia el MSS.
Limit to
Usted establece un límite del tamaño de ajuste.
Parámetros de autenticación
El parámetro global de autenticación es:
Idle Timeout
Establece el tiempo de espera de autenticación en minutos. Una sesión de usuario autenticado finaliza
automáticamente si el usuario no realiza una conexión usando autenticación antes de que el tiempo
de espera sea alcanzado.
Creando Cronogramas
Puede usar “schedules” (cronogramas) para automatizar algunas acciones del Firebox®, tales como las tareas
del WebBlocker. Puede crear un cronograma para todos los días de la semana o crear uno diferente para
cada día de la semana. Puede entonces usar estas planificaciones horarias en las políticas creadas. Para infor-
mación acerca de cómo usar cronogramas en políticas, vea el capítulo “Configurando Políticas” .
1 Desde el Policy Manager, seleccione Setup > Actions > Schedules.
Aparecerá el cuadro de diálogo Schedules.

Administrando un Firebox Desde una Localización Remota

Aparecerá el cuadro de diálogo New Schedule.
3 Escriba un nombre de cronograma y una descripción. El nombre del cronograma aparecerá en el

cuadro de diálogo Schedule. Asegúrese de que el nombre sea fácil de recordar.
4 De la lista desplegable Mode, seleccione el incremento de tiempo para el cronograma: una hora, 30
minutos, o 15 minutos.
El gráfico de la izquierda del cuadro de diálogo New Schedule muestra su entrada en la lista desplegable.
5 El gráfico en el cuadro de diálogo muestra los días de la semana sobre el eje X (horizontal) y los incre-
mentos de día en le eje Y (vertical). Haga click en los cuadros del gráfico para cambiarlos entre horas
operativas (cuando la política se activa) y horas no operativas (cuando la política no tiene efecto).
6 Haga click en OK para cerrar el cuadro de diálogo New Schedule. Haga click en Close para cerrar el
cuadro de diálogo Schedules.
Para editar un cronograma, seleccione su nombre el cuadro de diálogo Schedule y haga click en Edit.
Para crer un nuevo cronograma a partir de uno existente, seleccione el nombre del mismo y haga click en
Clone.
Cuando configure un Firebox® con el Asistente Quick Setup, automáticamente se crea una política que le
permite conectarse y administrar el Firebox desde cualquier computadora en las red confiable o en la
opcional. Si desea administrar el Firebox desde un sitio remoto (cualquier lugar externo al Firebox), debe
cambiar su configuración para permitir conexiones administrativas desde su ubicación remota.
La política que controla conexiones administrativas hacia el Firebox se denomina WatchGuard® en el
Policy Manager. Esta política controla el acceso al Firebox en estos cuatro puertos TCP : 4103, 4105, 4117,
4118. Cuando habilita conexiones en la política WatchGuard, debe admitir conexiones a cada uno de esos
cuatro puertos.
Antes de cambiar una política para admitir conexiones al Firebox desde una computadora externa a su
red, es buena idea considerar:
• Usar la autenticación de usuario para restringir conexiones al Firebox.

• Es una buena idea restringir el acceso desde la red externa al menor número de computadoras que
sea posible. Por ejemplo, es más seguro permitir conexiones desde una única computadora que si se
permiten conexiones desde el alias “Any-External” (cualquiera-externas).
1 Desde Policy Manager, haga doble click sobre la política WatchGuard.
Puede también hacer click derecho sobre la política WatchGuard y seleccionar Edit. Aparecerá el cuadro de diálogo Edit
Policy Properties.
2 Debajo de la lista From, haga click en Add.
3 Para introducir la dirección IP de la computadora externa que se conecta al Firebox, haga click en Add
Other. Asegúrese que Host IP es el tipo seleccionado, y escriba la dirección IP.
Para agregar un nombre de usuario, haga click en Add User. Seleccione el tipo de usuario y el método de
autenticación que él usa. Desde la lista desplegable User/Group, seleccione User y escriba el nombre
del usuario que se conectará al Firebox.
4 Haga click en OK.


CAPÍTULO 7 Registro de Eventos y Notificación
Un evento es una actividad que ocurre en el Firebox®. Por ejemplo, denegar paso a través del Firebox a un
paquete es un evento. Hacer “logging” es registrar estos eventos en un log host (host de registro de even-
tos). Una notificación es un mensaje enviado al administrador por el Firebox cuando ocurre un evento que
constituya una posible amenaza a la seguridad. La notificación puede ser un e-mail, una ventana desplega-
ble o un envío por medio de una “trampa” SMTP.
Por ejemplo, WatchGuard® recomienda que configure el manejo de paquetes por defecto para enviar una
notificación cuando Firebox encuentra un “port space probe” (sondeo del espacio de puertos). Cuando esto
ocurre, el log host envía una notificación al administrador de seguridad de la red acerca de los paquetes
rechazados. El administrador de seguridad de la red puede examinar los archivos de log (registro de even-
tos) y tomar decisiones acerca de cómo aumentar la seguridad de la red de la organización. Algunos posi-
bles cambios son:
• Bloquear los puertos usados por el sondeo
• Bloquear la dirección IP que está enviando los paquetes
• Denunciar el hecho al ISP a través del cual los paquetes han sido enviados
El registro de eventos (o logging) y la notificación son importantes para una buena política de seguridad de
la red. Juntos, posibilitan el monitoreo de la seguridad de su red, identificando ataques y atacantes y brin-
dando seguridad contra amenazas y retos.
Puede instalar el Log Server en la computadora que esté usando como estación de administración. O puede
instalar el software del Log Server en una computadora diferente, utilizando el programa de instalación de
WatchGuard System Manager y seleccionando sólo instalar el componente Log Server. Puede también agre-
gar Log Servers adicionales como respaldo.
Nota
Si instala Management Server, Log Server o WebBlocker Server en una computadora con un firewall
distinto del de Windows, debe abrir los puertos necesarios para que se conecten los servidores a tra-
vés del firewall. Los usuarios del Firewall de Windows no tienen que modificar sus configuraciones. Vea
“Instalando WatchGuard Servers en computadoras de escritorio con firewalls”, en el capítulo 1, para
más información.

Configurando el Log Server
Configurando el Log Server

El Log Server recolecta logs desde cada WatchGuard® Firebox® administrado por WSM.
1 En la computadora que tiene el software de Log Server instalado, seleccione el ícono de Log Server de
la barra de herramientas de WatchGuard.
Si no aparece la barra de herramientas de WatchGuard, haga click derecho en el área de notificación y seleccione Barras
de herramientas > WatchGuard.
Aparecerá el cuadro de diálogo WatchGuard Log Server Configuration.
2 Escriba la clave de encriptación para usar en una conexión segura entre Firebox y los Log Servers. Las
claves de encriptación de Log Server tienen ocho caracteres como mínimo.
3 Confirme la clave de encriptación.
4 Seleccione un directorio para mantener todos los archivos de log, de informes y de definición de infor-
mes. Recomendamos usar la ubicación predeterminada.
5 Haga click en OK.
6 Haga click en Inicio > Panel de Control. Vaya a Power Options (Opciones de Energía). Seleccione la
pestaña Hibernar y desactive la hibernación. Esto es para evitar que el Log Server se cierre cuando la
computadora hiberne.
7 Asegúrese de que el Log Server y el Firebox estén sincronizados en la misma hora en el sistema. Para
información sobre cómo establecer la hora del sistema, vea el capítulo 5,“Administración básica del
Firebox”.
Cambiando la clave de encriptación del Log Server

Para cambiar la clave de encriptación en el Log Server:
1 Haga click derecho sobre el ícono Log Server de la barra de herramientas de WatchGuard y seleccione
Status/Configuration.
2 Seleccione File > Set Log Encryption Key.

Configurando el Firebox para un Log Server Designado
3 Escriba la nueva clave de encriptación de log dos veces.

4 En el Policy Manager, seleccione Logging y escriba la nueva clave de encriptación de log.
5 Haga click en OK.
6 Realice el mismo procedimiento en el Firebox.

Se recomienda tener como mínimo un Log Server para usar el WatchGuard System Manager. Puede selec-
cionar otro Log Server y uno o más Log Servers de respaldo.
1 Desde el Policy Manager, seleccione Setup > Logging.
Aparecerá el cuadro de diálogo Logging Setup.
2 Seleccione el o los Log Servers que desee usar. Haga click en la casilla de verificación Send log
messages to the Log Servers at these IP addresses.
Agregando un Log Server a un Firebox

1 Desde Policy Manager, seleccione Setup > Logging.

2 Haga click en Configure. Haga click en Add.

Aparecerá el cuadro de diálogo Add Event Processor.
3 En la casilla Log Server Address, escriba la dirección IP del Log Server que desee usar.
4 En las casillas Encryption Key y Confirm, escriba la clave de encriptación del Log Server. El rango per-
mitido para la clave de encriptación es de 8 a 32 caracteres. Puede usar todos los caracteres excepto
espacios y barras (/ ó \).
5 Haga click en OK. Haga click en OK para cerrar el cuadro de diálogo Configure Log Servers. Haga click
en OK para cerrar el cuadro de diálogo Logging Setup.
6 Guarde los cambios en el Firebox para comenzar el registro de eventos.
Puede verificar que el Firebox esté registrando eventos correctamente. Desde WSM, selecccione Tools >
Firebox System Manager. En la sección Detail a la izquierda, próxima a Log Server, debe ver la dirección
IP del log host.
Estableciendo la prioridad del Log Server

Si el Firebox no puede conectarse al Log Server con la prioridad más alta, se conecta al Log Server siguien-
te en la lista de prioridades. Si el Firebox examina cada Log Server de la lista y no se puede conectar, vuel-
ve a intentar conectarse al primer Log Server de la lista. Puede crear una lista de prioridades para Log
Servers.
2 Haga click en Configure.
Aparecerá el cuadro de diálogo Configure Log Servers.
3 Seleccione un Log Server de la lista en el cuadro de diálogo Configure Log Servers. Use los botones
Up y Down para cambiar el orden.
Activando el registro de eventos syslog

Syslog es una interfaz de log desarrollada por UNIX pero también utilizada por varios otros sistemas ope-
rativos. Puede configurar el Firebox para enviar información de log a un servidor syslog. Un Firebox puede
enviar mensajes de log a un Log Server y a un servidor syslog, al mismo tiempo, o enviar mensajes de log a
uno o al otro. Los mensajes de log de Syslog no están encriptados. Recomendamos que no seleccione un
host en la interfaz externa.
2 Seleccione la casilla de verificación Send Log Messages to the Syslog server at this IP address.
3 En el cuadro de direcciones, escriba la dirección IP del syslog server.
4 Haga click en Configure.
Aparecerá el cuadro de diálogo Configure Syslog.

5 Para cada tipo de mensaje de log, seleccione la “syslog facility” a la cual lo quiere asignar. Para informa-
ción sobre tipos de mensajes de log, vea “Tipos de mensajes” en este mismo capítulo.
La “syslog facility” se refiere a uno de los campos del paquete syslog y al archivo al que syslog lo está enviando. Puede usar
Local0 para los mensajes de alta prioridad de syslog, tales como las alarmas. Puede usar Local1- Local7 para asignar priori-
dades para otros tipos de mensajes de log (los números menores tienen mayor prioridad). Vea la documentación de su
syslog para más información acerca de las “logging facilities”.
6 Haga click en OK. Haga click en OK para cerrar el cuadro de diálogo Logging Setup.
7 Guarde sus cambios en el Firebox.
Permitiendo diagnósticos avanzados

Puede seleccionar el nivel de diagnóstico de logging para escribir en su archivo log o para el Monitor de
Tráfico. No recomendamos establecer el nivel de logging en su punto máximo a menos que se lo indique un
representante del soporte técnico para resolver un problema. Puede causar que el archivo de log se llene
muy rápidamente. También puede ocasionar un alto almacenamiento en el Firebox.

Estableciendo las Preferencias Globales del Registro de Eventos y Notificaciones
2 Haga click en Advanced Diagnostics.

Aparecerá el cuadro de diálogo Advanced Diagnostics.
3 Seleccione una categoría de la lista de categorías.

La descripción de la categoría aparecerá en el cuadro Description.
4 Use el control deslizante debajo de Settings para establecer el nivel de información que un log de
cada categoría incluirá en su mensaje de log. Cuando se establezca el nivel más bajo, los mensajes de
diagnóstico para esa categoría se eliminarán. Cuando se elige el nivel más alto, puede establecer el
nivel de detalle para los mensajes de log de diagnóstico.
5 Para mostrar mensajes de diagnóstico en el Monitor de Tráfico, seleccione la casilla de verificación
Display diagnostic messages in Traffic Monitor. Esto puede ser útil para diagnosticar rápidamente
un problema.
6 Para hacer que el Firebox recolecte un registro de un rastreo de paquetes IKE, seleccione la casilla de
verificación Enable IKE packet tracing to Firebox internal storage. Para ver la información de rastreo
de paquetes que el Firebox recolecta, inicie Firebox System Manager y haga click en la pestaña Status.
Haga click en Support para hacer que Firebox System Manager tome la información de rastreo de
paquetes del Firebox.
7 Recuerde desactivar los logs de diagnósticos cuando termine.
Estableciendo las Preferencias Globales del Registro de Eventos y

Notificaciones
Para ver el estado y configuración del Log Server, haga click en el ícono del Log Server en la barra de
herramientas de WatchGuard® y seleccione Status/Configuration. Aparecerá la información de estado y
configuración. Hay tres áreas de control:
Log Files tab
La pestaña de archivo de log permite establecer las opciones de balance de su archivo de log.

Reports tab
La pestaña de informes permite programar informes regulares de las entradas de log.
Notification tab
La pestaña de notificación permite configurar la notificación por e-mail.
Juntos, estos controles establecen la configuración general para eventos y notificaciones.
Tamaño del archivo de registro de eventos y frecuencia de rotación

Puede también controlar el reinicio del log (log rollover) por tamaño o por tiempo. Cuando este rollover o
rotación ocurra, el Log Server cerrará el archivo de log vigente y abrirá uno nuevo. El archivo de log cerrado
puede ser utilizado para informes. Copie o mueva este archivo a otra ubicación para guardarlo.
Para encontrar el mejor tamaño al llegar al cual el log debe cerrarse y abrirse otro, en su empresa, debe pres-
tar atención al:
• Espacio de almacenamiento disponible
• Número de días que desea tener disponibles
• El mejor tamaño para mantener, abrir y ver
• Número de tipos de eventos que se registran
Por ejemplo, una empresa pequeña puede tener 10.000 entradas en dos semanas, mientras que una
grande, con muchas políticas habilitadas, puede fácilmente tener 100.000 entradas por día.
• Tráfico en el Firebox®
• Número de informes a crear
Para crear un informe semanal, es necesario tener datos de ocho o más días. Estos datos pueden
encontrarse en más de un archivo de log, si los archivos de log están en la misma ubicación.
Es bueno monitorear los nuevos archivos de log y ajustar la configuración a lo necesario.
Estableciendo cuándo reiniciar los archivos de registro de eventos

Puede controlar cuándo los archivos de log deben rotar desde la pestaña Log Files de la configuración de la
interfaz de Log Server. También puede iniciar manualmente la rotación del archivo de log actual. Para hacer
esto, seleccione File > Roll current log file en la ventana Status/Configuration.
1 Para establecer cuándo cambiar el archivo de log, haga click en la pestaña Log Files.
2 Para rotar el archivo de log cada cierto intervalo de tiempo, seleccione la casilla de verificación Roll Log
Files By Time Interval. Establezca el intervalo de tiempo. De la lista desplegable Next Log Roll is
Scheduled For, seleccione una fecha en que el archivo de log debe reiniciarse.
3 Para reiniciar el archivo de log en base a su tamaño, seleccione la casilla de verificación Roll Log Files By
File Size. Escriba o seleccione el tamaño máximo que el archivo de log tendrá, antes de reiniciarse, o uti-
lice el control de rotación (spin) para establecer ese número.

4 Haga click en Save Changes o en Close.

La interfaz de Log Server se cierra y guarda sus entradas. La nueva configuración se inicia inmediatamente.
El Log Server se reinicia automáticamente.
Estableciendo un cronograma de informes automáticos

Si ha creado informes de actividad de la red usando Historical Reports (informes históricos), puede esta-
blecer un cronograma para que el componente de Log Server automatice dichos informes. Primero debe
crear un informe en Historical Reports, de lo contrario éste no aparecerá en la interfaz de Log Server.
1 Haga click en la pestaña Reports.
2 Use los botones radiales para establecer un intervalo de tiempo para los informes: diario (daily), sema-
nal (weekly), primer día del mes (first day of the month) o personalizado en una fecha determinada
(custom).
3 De la lista desplegable Next Scheduled Report, seleccione una fecha y hora para el próximo informe
programado.

Acerca de los Mensajes de Log
Controlando la notificación
Puede configurar el Firebox para enviar un mensaje por e-mail cuando ocurra un evento específico. Use la
pestaña Notification para configurar la dirección de e-mail de destino.
1 Haga click en la pestaña Notification.
2 Escriba la dirección de correo electrónico y el host de mail para los mensajes de notificación por e-mail.
Los mensajes de notificación por e-mail tienen el formato:
nombre_del_firebox@[firebox_dirección_ip]. Asegúrese de que el servidor SMTP pueda manejar este formato.
Considere modificar los valores preestablecidos. Si el logging host no resuelve un FQDN y el servidor MX que lo recibe no
realiza búsquedas revertidas, el e-mail puede ser descartado.
Iniciando y deteniendo el Log Server

Puede detener e iniciar el Log Server manualmente:
Para iniciar el Log Server, haga click derecho en el ícono de Log Server en la barra de herramientas y selec-
cione Start Service.
Para detener el Log Server, haga click derecho en el ícono de Log Server en la barra de herramientas y selec-
cione Stop Service.
Acerca de los Mensajes de Log

El WatchGuard® System Manager incluye herramientas de mensajes de log fuertes y flexibles. Una caracterís-
tica importante de una buena política de seguridad de red es registrar los mensajes de sus sistemas de
seguridad, examinar esos registros frecuentemente y mantenerlos en un archivo. Puede usar registros para
monitorear la seguridad y la actividad de su red, identificar cualquier riesgo y evitarlo.
WatchGuard® Firebox X Core y Firebox X Peak envian mensages de registro de eventos a un sistema de
administración de registro de eventos compartido llamado Log Server. También pueden enviar esos mensa-
jes de log a un servidor syslog o mantener logs localmente en el Firebox. Usted puede también elegir enviar
logs a cualquiera o a ambas ubicaciones.
Puede usar Firebox System Manager para mensajes de log en la pestaña Traffic Monitor. Para más informa-
ción, vea el capítulo 4,“Monitoreando el estado del Firebox”. Puede también examinar mensajes de log con
LogViewer. Los mensajes de log se mantinen en un archivo XML con extensión .wgl.xml en el directorio
WatchGuard del log server. Para aprender más acerca del formato de los mensajes delog, vea el capítulo “Log
Messages” en la Guía de Referencia.

Tipos de Mensajes
Tipos de Mensajes
El Firebox® envía cuatro tipos de mensajes de log. El tipo aparecerá en el texto del mesaje. Los cuatro tipos
de mensajes de log son:
• Traffic (tráfico)
• Alarm (alarma)
• Event (evento)
• Diagnostic (diagnóstico)
“Traffic log messages”

El Firebox envía mensajes de log de tráfico cuando se aplican filtros de paquetes y reglas de proxy al tráfi-
co que fluye a través del Firebox.
“Alarm log messages”

Los mensajes de log de alarma se envían cuando ocurre un evento que provoca que el Firebox ejecute un
comando. Cuando se cumplen las condiciones de la alarma, Firebox envía un mensaje de log de alarma al
Traffic Monitor y al Log Server y realiza la acción especificada.
Puede establecer algunos mensajes de log de alarma. Por ejemplo, puede usar el Policy Manager para con-
figurar que una alarma ocurra cuando se alcance un determinado valor o se supere un umbral. Otros men-
sajes de log de alarma los establece el software de appliance y usted no puede cambiar sus valores. Por
ejemplo, el Firebox envía un mensaje de log de alarma cuando falla una conexión de red en una de las
interfaces de Firebox o cuando ocurre un ataque de denegación de servicio. Para más información acerca
de los mensajes de log de alarma, vea la Guía de Referencia.
Hay ocho categorías de mensajes de log de alarma: System (sistema), IPS (proveedor de servicios de inter-
net), AV (antivirus) , Policy (política), Proxy, Counter (contador o indicador), Denial of Service (denegación
de servicio) y Traffic (tráfico). Firebox no envía más de 10 alarmas en 15 minutos para las mismas condicio-
nes.
“Event log messages”

Firebox envía un mensajes de log de evento a causa de la actividad del usuario. Las acciones que pueden
causar que Firebox envíe un mensaje de log de evento incluyen:
• Que el Firebox se inicie y se apague
• Autenticación ante el Firebox y la VPN
• Un proceso se inicia y se cierra
• Problemas en los componentes de hardware del Firebox
• Cualquier tarea realizada por el administrador del Firebox
“Diagnostic log messages”

Los mensajes de log de diagnóstico incluyen información que puede usarse como ayuda para resolver
problemas. Hay 27 componentes diferentes del producto que pueden enviar mensajes de log de diagnós-
tico. Puede seleccionar que los mensajes de log de diagnóstico aparecezcan en el Traffic Monitor, como se
describe en “Permitiendo diagnósticos avanzados” en este capítulo.
Nombres de los Archivos de Registro de Eventos y Localización

El Firebox® envía los mensajes de log a un Log Server primario o de respaldo. La ubicación por defecto del
archivo de log es Mis Documentos > My WatchGuard > Shared WatchGuard > logs.
El nombre del archivo de log será:

Iniciando el LogViewer
• Si el Firebox tiene un nombre, el formato del nombre del archivo de log es Nombre de
Firebox- fecha.wgl.xml.
• Si el Firebox no tiene nombre, el nombre del archivo de log es FireboxIP-fecha.wgl.xml.
Iniciando el LogViewer
LogViewer es la herramienta de WatchGuard® System Manager que usted utiliza para ver los datos del archi-
vo de log. Puede mostrar datos de log página por página o buscar y mostrar por palabra clave o por campos
de log específicos.
1 Desde WatchGuard System Manager, seleccione Tools > Logs > LogViewer.
o
Haga click en el ícono LogViewer en la barra de herramientas de WatchGuard System Manager. El
ícono se muestra a la izquierda.
2 Desde LogViewer, seleccione File > Open.

o
haga click en el ícono Open File de la barra de herramientas LogViewer. El ícono se muestra a la
izquierda.
La ubicación por defecto de los logs es Mis Documentos > My WatchGuard > Shared Watchguard > logs.
3 Navegue para encontrar el archivo de log y haga click en Open.
LogViewer muestra el archivo de log que usted seleccionó. Una muestra aparece abajo.

Configuración del LogViewer
Configuración del LogViewer

Puede ajustar el contenido y el formato de la ventana del LogViewer.
1 Desde LogViewer, seleccione View > Settings.
Aparecerá el cuadro de diálogo Settings.
El cuadro de diálogo Settings tiene cinco pestañas, cada una con los mismos campos. Estas pestañas se
usan para establecer las propiedades para los cuatro tipos de mensajes que aparecerán en los archivos de
log: Alarmas, Tráfico, Eventos y Diagnóstico.
Show Logs in Color
Puede establecer que el mensaje aparezca en diferentes colores, según el tipo de mensaje de log. Si
el color no está habilitado, los mensajes de log aparecerán como texto blanco sobre fondo negro.
Show Columns
Para cada tipo de mensaje, puede seleccionar cuáles columnas mostrar en la ventana del LogViewer.
Seleccione la casilla de verificación junto a cada campo para hacerlo aparecer.
Text Color
Haga click en Text Color para establecer el color para cada tipo de mensaje de log.
Background Color
Puede establecer el color de fodo. Si el fondo y el texto son del mismo color, no podrá ver el texto.
Reset Defaults
Haga click para establecer el formato de los mensajes de log a los colores predeterminados.
Sample
Exhibe una muestra de mensaje de log con los cambios en su formato.
Show logs
Esta casilla de verificación está en cada pestaña. Si se la selecciona en una pestaña, los mensajes
para ese tipo de log se incuyen en la pantalla del LogViewer. Para eliminar un tipo de mensaje de log
de la pantalla, deje en blanco la casilla de verificación en la pestaña que corresponda a ese tipo de
log.

Usando el LogViewer
Usando el LogViewer
Creando una regla de búsqueda

Puede crear reglas de búsqueda a través de los datos que se exhiben en el LogViewer.
1 Seleccione Edit > Find (o haga click en el ícono que tiene una lupa).
Aparecerá el cuadro de diálogo Find.
2 Use la lista desplegable Log Type para seleccionar el tipo de mensaje de log al que se aplica esa regla de
búsqueda. Puede seleccionar: Traffic (tráfico ) , Eve nt (eve nto), Alarm (alarma), Debug (depurar) o All (todos).
3 Haga click en el encabezado de columna Field y seleccione Add.
Aparecerá el cuadro de diálogo Add Search Rule.
4 En la lista desplegable Choose Field, seleccione el campo a buscar.

5 En el cuadro de texto Enter Value, escriba el texto o el valor a buscar.
6 Si el texto que escriba en el cuadro de texto Enter Value es sensible a mayúsculas y minúsculas,
seleccione la casilla de verificación Match Case. Para encontrar sólo entradas que se correspondan presisa-
mente con el valor, seleccione la casilla de verificación Match exact string only.
7 Haga click en OK.

Usando el LogViewer
Buscando en el LogViewer
Después de establecer una regla de búsqueda, puede usarla para buscar en los datos que se muestran en
el LogViewer.
1 Use la lista desplegable Log Type para seleccionar el tipo de mensaje de log que aparecerá en la ventana.
2 Use la lista desplegable Display Results para seleccionar el método para exhibir los resultados de la
búsqueda. Las opciones son:
- Highlight in main window (resaltar en la ventana principal) — La ventana de LogViewer muestra el
mismo conjunto de mensajes de log, pero cambia el color de aquéllos que cumplen con los crite-
rios. Use la tecla F3 para moverse entre las entradas especificadas.
- Main window (ventana principal) — sólo los mensajes de log que satisfacen los criterios de la bús-
queda aparecerán en la ventana primaria de LogViewer.
- New window (nueva ventana )- se abre una nueva ventana para mostrar los mensajes de log que
cumplan con los criterios de búsqueda.
3 Seleccione entre las opciones:
- Match any (cumple cualquiera)— exhibe los mensajes de log que cumplen con cualquier criterio de
búsqueda.
- Match all (cumple todos) — exhibe sólo los mensajes de log que cumplen con todos los criterios de
búsqueda.
4 Haga click en OK para comenzar la búsqueda.
Viendo el archivo de registro de eventos vigente en el LogViewer

Puede abrir el archivo de log vigente en LogViewer para examinar los logs a medida que son escritos al
archivo de log. LogViewer actualiza automáticamente su pantalla con nuevos mensajes de log a intervalos
de 15 segundos. Si tiene abierta una ventana de búsqueda de LogViewer con el archivo de log actual, tam-
bién se actualiza cada 15 segundos.
Copiando datos del LogViewer

Puede copiar datos del archivo de log desde el LogViewer a otra herramienta. Use copy para mover men-
sajes de log específicos a otra herramienta.
1 Seleccione el mensaje de log a copiar.
Use la tecla de mayúsculas para seleccionar un grupo de entradas. Use la tecla Ctrl para seleccionar más de una entrada.
2 Seleccione Edit > Copy.
3 Pegue los datos en cualquier editor de textos.

Usando el LogViewer
Consolidando archivos de registro de eventos

Puede juntar dos o más archivos de log en uno solo. Puede entonces usar ese archivo en Historical Reports,
LogViewer o en cualquier otra herramienta para examinar datos de log para un extenso intervalo de tiempo.
Para combinar más de un archivo de log en un solo archivo:
• Los archivos de log deben ser del mismo Firebox
• Los mensajes de log en los archivos deben estar ordenados por fecha y hora
• Los archivos de log deben haber sido creados con el mismo software de appliance. No podrá combinar
un archivo de log creado con un software de appliance WFS con un archivo de log creado con el soft-
ware de appliance Fireware®, aunque sean del mismo Firebox.
Haga click derecho en el ícono Log Server de su barra de herramientas de Windows y seleccione Merge Log
Files. O, desde la interfaz Status/Configuration de Log Server:
1 Haga click en File > Merge log files.
Aparecerá el cuadro de diálogo Merge Logfiles.
2 Haga click en Browse para encontrar los archivos a combinar.

3 Haga click en Merge.
Los archivos de log son puestos juntos y guardados en un nuevo archivo en el directorio específico.
Actualizando archivos de registro de eventos .wgl al formato .xml

Cuando migra desde una versión del WatchGuard System Manager a WSM 8.3 puede convertir archivos de
log del formato.wgl al .xml. Esto es también útil para administrar una red mixta con diferentes versiones de
WSM. Luego de convertir, puede usar su WSM 8.3 LogViewer o las herramientas de informes en los archivos
de log creados con WatchGuard Management System 7.3 o anteriores.
Para ayudarlo a entender la nueva estructura de log o para integrar logs en formato .xml a aplicaciones de
terceros, vea el siguiente Advanced FAQ (preguntas frecuentes avanzadas). Brinda un esquema XML y
Document Type Definition (DTD) -definición de tipo de documento- para los nuevos archivos de log de
WatchGuard:
https://www.watchguard.com/support/AdvancedFaqs/wsm8_xmlschema.asp
Cuando usted convierte un archivo de log de .wgl a .xml:
El archivo XML es normalmente más pequeño que el archivo .wgl.
Si abre el nuevo archivo XML en un editor XML, puede ver algunas entradas duplicadas. Esto se debe a la
forma en que Historical Reports hace los informes en WSM 7.3 o anterior. No causa problemas en LogViewer
o en Historical Reports para WSM 8.3.

Usando el LogViewer
Para convertir un archivo de log de .wgl a .xml:

1 Haga click derecho en el ícono Log Server del área de notificación del escritorio de Windows y
seleccione Merge Log Files.
Aparecerá el cuadro de diálogo Merge Logfiles. Este cuadro de diálogo controla combinaciones y también actualizacio-
nes de los archivos de log.
2 Haga click en B rowse para enco nt rar la ubicación del logfile.wgl (archivo de log con extensión .wgl) a
convertir a XML. Si selecciona más de un archivo de log de una vez, el utilitario convierte todos los
archivos que seleccionó y los pone todos juntos en un solo archivo. El nuevo arc h i vo tiene formato .xml.
3 Haga click en Merge.
El utilitario convierte al archivo de log y lo guarda en la carpeta especificada.

CAPÍTULO 8 Preparando y Configurando la Red
Cuando instala Firebox® en su red y completa el Asistente Quick Setup , obtiene un archivo de configuración
básica. Utilice luego Policy Manager para crear un nuevo archivo de configuración o cambiar el archivo crea-
do por el Asistente Quick Setup.
Si es novato en seguridad de redes, le recomendamos que lleve a cabo todos los procedimientos de este
capítulo para asegurarse de haber configurado todos los componentes de su red. En este capítulo, aprende-
rá cómo usar Policy Manager para:
• Configurar las interfaces de Firebox
• Configurar el soporte Multi-WAN
• Agregar una red secundaria
• Agregar información de servidores DNS y WINS
• Configurar DNS dinámica
• Configurar ruteos de red y hosts
• Establecer la velocidad y el duplex de la interfase Firebox
• Configurar hosts relacionados
Puede usar también Policy Manager para configurar hasta cuatro interfaces del Firebox como externas, o
como interfaces de red de amplio alcance WAN - wide area network. Puede controlar el flujo del tráfico a tra-
vés de múltiples interfaces WAN para compartir la carga de tráfico saliente.

Cambiando la Dirección IP de la Interfaz del Firebox

1 Desde Policy Manager, seleccione Network > Configuration.
Aparece el cuadro de diálogo Network Configuration.
2 Seleccione la interfaz que quiera configurar. Haga Click en Configure.

Aparece el cuadro de diálogo Interface Settings.
3 (Opcional) Teclee una descripción de la interfaz en el campo Interface Description.
4 Puede cambiar el tipo de interfaz desde el menú desplegable Interface Type.

5 Puede cambiar la dirección IP de la interfaz. Teclee la dirección IP en notación de barra oblícua.

Cuando ingresa una dirección IP, teclee todos los números y puntos. No utilice la tecla TAB ni los cursores.
6 Si está configurando una interfaz opcional o confiable, seleccione Disable DHCP, DHCP Server, o DHCP
Relay.
Vea “Configurando el Firebox como un servidor DHCP” para la opción DHCP server, y vea “Configurando un DHCP relay” en
la página 99 para la opción DHCP relay. Si está configurando una interfase externa, vea “Configurando la interfase externa”
en la página 100.
7 Haga clic en OK.
Configurando el Firebox como un servidor DHCP

Dynamic Host Configuration Protocol (DHCP) es un protocolo de Internet que facilita el control de una red
grande. Una computadora configurada como servidor DHCP brinda automáticamente direcciones IP a las
computadoras de su red. Usted configura el rango de direcciones. Puede configurar el Firebox® como un ser-
vidor DHCP para redes bajo el Firebox.
Si tiene un servidor DHCP configurado, le recomendamos que continúe utilizando ese servidor para DHCP.
1 Seleccione Network > Configuration.
2 Seleccione una interfaz confiable u opcional.
3 Haga click en Configure y seleccione DHCP Server.
4 Para agregar un rango de direcciones IP, haga clic en Add y teclee la primera y última dirección IP.
Puede configurar un máximo de 6 rangos de direcciones.
5 Utilice los cursores para cambiar el Default Lease Time.
Este es el intervalo de tiempo que un cliente DHCP puede usar una dirección IP que recibe del servidor DHCP. Cuando el
tiempo se acerca al límite, el cliente envía datos al servidor DHCP para recibir una nueva dirección..
Configurando un DHCP relay

Un método para obtener direcciones IP para las computadoras de una red confiable u opcional de Firebox
es usar un servidor DHCP en una red diferente. El Firebox puede enviar una llamada DHCP a un servidor
DHCP localizado en un lugar diferente del cliente DHCP. Cuando el Firebox recibe la respuesta, la envía a las
computadoras de la red confiable u opcional del Firebox.
2 Seleccione la interfase trusted u opcional.
3 Haga click en Configure y en DHCP Relay.
4 Teclee la dirección IP del servidor DHCP en el campo relacionado. Asegúrese agregar una ruta al servidor
DHCP, si fuera necesario.

Cambiando la Dirección IP de la Interfaz del Firebox WatchGuard
5 Haga click en OK. Debe reiniciar el Firebox para completar el cambio.
Configurando la interfaz externa

Firebox puede obtener una dirección IP dinámica para la interfaz externa mediante el Protocolo de
Configuración de Host Dinámico (DHCP) o el Protocolo Punto-a-Punto sobre Ethernet (PPPoE). Con DHCP,
el Firebox utiliza un servidor DHCP que es controlado por su Proveedor del Servicios de Internet (Internet
Server Provider - ISP) para obtener la dirección IP, la puerta de enlace (gateway)y la máscara de red. Con
PPPoE, el Firebox arma una conexión de protocolo PPPoE con el servidor PPPoE de su ISP. Fireware® sopor-
ta PPPoE no numerado y estático.
Nota
Si configura más de una interfaz como externa, sólo la de menor orden podrá servir como un
gateway IKE o punto final de túnel IPSec. Si la interfaz está caída, ningún túnel IPSec desde o hacia el
Firebox operará.
Utilizando una dirección IP estática

1 Desde el cuadro de diálogo Interface Settings, seleccione Static.
2 Teclee la dirección IP de la puerta de enlace predeterminada.
3 Haga clic en OK.
Utilizando PPPoE
Algunos ISPs asignan sus direcciones IP a través del Protocolo Punto-a-Punto sobre Ethernet (Point-to-
Point Protocol over Ethernet - PPPoE). PPPoE expande una conexión dial-up estándar para agregar algunas
caracterísitcas de Ethernet y PPP. Este sistema permite al ISP utilizar facturación, autenticación y sistemas
de seguridad de su infraestructura dial-up con productos como DSL y cable modem.
Si su ISP utiliza PPPoE, debe ingresar la información de PPPoE en su Firebox antes de que éste pueda
enviar tráfico a través de la interfaz externa.
1 Desde el cuadro de diálogo Interface Settings, seleccione PPPoE.
2 Seleccione una de las dos opciones:
- Obtener una dirección IP automáticamente
- Utilicezar unaa dirección IP otorgada por su Internet Service Provider - ISP
3 Si selecciona Use IP Address, ingrese la dirección IP en el cuadro de texto a la derecha.
4 Teclee User Name y Password. Debe teclear la contraseña dos veces.
Frecuentemente, los ISPs utilizan el formato de direcciones de e-mail para los nombres de usuario, como
minombre@dominioisp.net.

5 Haga click en Property para configurar los parámetros de PPPoE.

Aparece el cuadro de diálogo de parámetros de PPPoE g. Su ISP puede decirle si es necesario cambiar los valores de tiem-
po de espera (time-out) o LCP.
6 Utilice los botones radiales para seleccionar cuándo el Firebox se conecta con el servidor PPPoE.
- Always On — ( s i e m p re conectado) Fire box mantiene una co n exión PPPoE constante. No es necesa-
rio que el tráfico de la red vaya a través de la interfaz externa.
- Dial-on-Demand — (conexión ante demanda) Firebox se conecta al servidor PPPoE sólo cuando
recibe una llamada para enviar tráfico a una dirección IP de la interfaz externa. Si su ISP reinicia la
conexión regularmente, seleccione Dial-on-Demand. Si no elige Dial-on-Demand, debe reiniciar
manualmente el Firebox cada vez que se reestablezca la conexión.
7 En el campo PPPoE Initialization Retry Interval, utilice los cursores para seleccionar el número de
segundos que PPPoE trata de inicializar antes de llegar al time out.
8 En el campo LCP echo failure, utilice los cursores para seleccionar el número de llamadas LCP fallidas
permitidas antes de que la conexión PPPoE sea considerada inactiva y se cierre.
9 En el campo LCP echo timeout, utilice los cursores para seleccionar el intervalo de tiempo, en segundos,
en que debe ser recibida la respuesta cada vez que se agota el tiempo de espera (time-out).
10 (Opcional) En el campo Service Name, teclee un nombre para el servicio PPPoE. Este es un nombre de
ISP o una clase de servicio que es configurado en el servidor PPPoE. Usualmente, esta opción no es utili-
zada. Utilice este campo sólo si hay más de un concetrador de acceso o si sabe que debe utilizar un
nombre de servicio específico.
11 (Opcional) En el campo Access Concentrator Name, ingrese el nombre de un concentrador de acceso a
PPPoE, también conocido como un servidor PPPoE. Usualmente, esta opción no es utilizada. Utilícela sólo
si sabe que hay más de un concentrador de acceso.
Utilizando DHCP
1 Desde el cuadro de diálogo Interface Settings, seleccione DHCP.
2 Si su servidor DHCP lo hace utilizar un identificador opcional en su intercambio DHCP, teclee este identi-
ficador en el cuadro de texto Host Name.

Acerca del Soporte de WAN Múltiple
3 Bajo Host IP, seleccione Obtain an IP address automatically si desea que DHCP asigne una dirección
IP al Firebox. Si desea asignar manualmente una dirección IP y usar DHCP sólo para otorgar esa direc-
ción asignada al Firebox, seleccione Use IP address e ingrese la dirección IP en el campo adyacente.
4 Las direcciones IP asignadas por un servidor DHCP tienen “lease time” de un día, lo que significa que la
dirección es válida sólo por un día. Si desea cambiar el leasing time, seleccione la casilla de verificación
Specify Leasing Time y luego elija el valor en los campos bajo la casilla de verificación.
El software de appliance Fireware® le brinda la opción de configurar múltiples interfaces externas (hasta
cuatro), cada una en una subred diferente. Esto le permite conectar el Firebox® a más de un Proveedor de
Servicio de Internet (Internet Service Provider - ISP). Tan pronto como configure una segunda interfaz
externa, el soporte WAN múltiple es habilitado como WAN múltiple configurado en round robin, por
defecto. Hay tres opciones para controlar que interfaz utilizar para paquetes salientes.
Note que:
• Si tiene una política configurada con un alias de interfaz externa individual en su configuración,
debe cambiar la configuración para utilizar el alias “Any-External”.
• Si utiliza la característica WAN múltiple, mapee el Fully Qualified Domain Name de su compañía a la
dirección IP de la interfaz externa de menor orden. Si agrega un Firebox WAN múltiple a su configu-
ración de Management Server, debe agregar el Firebox utilizando la interfaz externa de menor
orden para identificarlo.
• No puede utilizar NAT 1-a-1 en una configuración WAN múltiple. Si posee un servidor SMTP público
tras su Firebox, debe configurar una regla de NAT estática para permitir acceso a su servidor público
SMTP de e-mail. Luego, puede configurar múltiples registros MX, uno para cada interfase externa de
Firebox.
• Si tiene una configuración WAN múltiple, no puede utilizar la opción Set Source IP de NAT dinámico
basado en políticas. Utilice la opción Set Source IP sólo cuando su Firebox utilice una única interfaz
externa.
• El soporte WAN múltiple, no es aplicable para usuarios de tráfico VPN de sucursal o móviles. Los
usuario de tráfico VPN de sucursal o mòviles siempre utilizan la primera interfase externa configura-
da para el Firebox. RUVPN con PPTP opera correctamente en una configuración WAN múltiple.
• La característica WAN múltiple no es soportada en el modo drop-in.
Acerca del multi-WAN ordenado en round robin

Si selecciona una configuración “round robin”, puede compartir la carga de tráfico saliente a través de
interfases externas como sigue:
• El primer host, con dirección IP x.x.x.x, envía una llamada HTTP a Internet. Los paquetes en esta
sesión son enviados a través de la interfaz externa cuyo número sea menor.
• El segundo host, con dirección IP y.y.y.y, envía una llamada HTTP a Internet. Los paquetes en esta
sesión son enviados a través de la interfaz externa cuyo número sea el segundo mayor.
• El tercer host, con dirección IP z.z.z.z, envía una llamada HTTP a Internet. Los paquetes en esta sesión
son enviados a través de la interfaz externa cuyo número sea el menor (si hay sólo dos interfases
configuradas) o la interfase externa cuyo número sea el tercero más grande.
• Mientras que cada host inicia una conexión, Firebox rota a través de las interfaces externas utilizan-
do el patrón explicado arriba.

Nota
Si utiliza WAN múltiple ordenado en round-robin, es posible configurar round-robin DNS con su prove-
edor de DNS para realizar un balance de carga a través de más de una interfaz externa.
Acerca de WAN Failover

Esta opción, del mismo modo, sólo se utiliza en tráfico saliente. Si selecciona esta opción, la interfaz externa
configurada con el menor número en su lista se torna la interfaz externa primaria. Todas las demás interfa-
ces externas son interfaces externas de respaldo. Firebox envía todo el tráfico saliente a través de la interfaz
externa primaria. Si la interface externa primaria no se encuentra activa, Firebox envía el tráfico a la primer
interfaz de respaldo.
Firebox monitorea el estado de la interfaz externa primaria mediante dos procedimientos. Verifica el estado
del vínculo físico con la interfaz. Además realiza pings a la dirección IP o al nombre de dominio de un host
externo que configura para cada interfaz, cada 20 segundos. Si tres pings a este host fallan, Firebox pasa a la
siguiente interfazexterna configurada.
Cuando Firebox detecta que la interfase externa primaria está nuevamente activa, automáticamente
comienza a enviarle nuevas conexiones.
Nota
Si usa multi-WAN en modo WAN failover (paso a red redundante ante falla), puede usar DNS dinámico
para actualizar su registro DNS cada vez que falla la conectividad de su red. Esto brinda redundancia de
entrada para su red cuando ocurra un failover.
Acerca del multi-WAN con tabla de enrutamiento

Cuando selecciona la opción de tabla de enrutamiento para la configuración de WAN múltiple, Firebox utili-
za las rutas de su tabla de enrutamiento interna para enviar paquetes a través de la interfaz externa correc-
ta. Puede configurar rutas de red o host en Policy Manager y Firebox examinará estas rutas para ver si los
paquetes serán enviados a una interfaz específica. Si Firebox no encuentra una ruta específica, entonces
Firebox utiliza la primera ruta por defecto de su tabla de enrutamiento. Si Firebox está configurado para uti-
lizar enrutamiento dinámico, envía tráfico basado en la información dinámica registrada en su tabla de enru-
tamiento. Para ver la tabla de enrutamiento en el Firebox, conáctese al Firebox System Manager y seleccione
la pestaña Status.

Configurando el soporte de WAN múltiple

2 Seleccione la interfaz para configurarla como externa y haga click en Configure. Seleccione External
desde el menú desplegable Interface Type para activar el cuadro de diálogo. Teclee un nombre de
interfaz y una descripción.
Debe tener un mínimo de dos interfaces externas de red configuradas antes de poder ver y configurar las opciones de
WAN múltiple.

Agregando Redes Secundarias
3 Teclee la dirección IP y la puerta de enlace predeterminada para la interfaz. Haga click en OK.
Cuando teclea una dirección IP, tipee todos los números y puntos. No utilice la tecla TAB ni los cursores.Luego de configurar
una segunda interfaz externa, las opciones de configuración de WAN múltiple aparecen en el cuadro de diálogo de
Network Configuration.
4 Seleccione el procedimiento que desea utilizar para controlar el tráfico a través de las múltiples
interfaces externas.
Estos tres procedimientos están descriptos arriba.
5 En el cuadro de diálogo WAN Ping Address, haga doble click en la columna Ping Address para agregar
una dirección IP o un nombre de dominio para cada interfaz externa. Le recomendamos que utilice la
dirección IP de una computadora externa a su organización.
Cuando una interfaz externa se encuentra activa, Firebox hace ping a las direcciones IP y nombres de dominio que ingresa
aquí, cada 20 segundos, para ver si la interfaz se encuentra operando correctamente. Si no hay respuesta luego de tres
pings, el Firebox comienza a utilizar las interfaces externas configuradas subsecuentemente. Luego comienza a hacer ping
a la dirección de WAN que usted configuró para esa interfaz para verificar la conectividad.
6 Haga click en OK. Guarde los cambios que realice en su Firebox.

Una red secundaria es una red que comparte una de las redes físicas con una de las interfaces del Firebox®.
Cuando agrega una red secundaria, usted hace (o agrega) un alias de IP a la interfaz. Este alias de IP es la
puerta de enlace predeterminada para todas las computadoras en la red secundaria. La red secundaria le

dice a Firebox que hay una red más en la interfaz del Firebox.
Si su Firebox está configurado con una dirección IP estática, puede agregar una dirección IP en la misma
subred de su interfaz externa primaria como una red secundaria. Puede entonces configurar NAT estático
para más de un tipo de servidor. Por ejemplo, configure una red secundaria externa con una segunda
dirección IP pública si tiene dos servidores SMTP públicos y desea configurar una regla NAT estática para
cada uno.
Para usar Policy Manager para configurar una red secundaria:

2 Seleccione la interfaz para la red secundaria y haga click en Configure.
Aparece el cuadro de diálogo Interface Settings.

Agregando Direcciones de Servidores WINS y DNS
3 Haga click en Secondary Addresses and Networks.

Aparece el cuadro de diálogo Secondary Networks.
4 Haga click en Add. Teclee una dirección IP no asignada de la red secundaria.

Cuando teclee direcciones IP, teclee todos los números y puntos. No utilice la tecla TAB ni los cursores.
5 Haga click en OK. Haga click en OK nuevamente.
Nota
Tenga cuidado de agregar las direcciones de la red secundaria correctamente. Le recomendamos no
crear una subred como una red secundaria en una interfaz que sea componente de una red mayor, en
una interfaz diferente. Si hace esto, puede ocurrir spoofing y la red puede no operar correctamente.
Agregando Direcciones de Servidores WINS y DNS
Un número de funciones del Firebox® deben tener compartidas las direcciones IP de los servidores
Windows Internet Name Server (WINS) y Domain Name System (DNS). Estas funciones incluyen DHCP y
Remote User VPN. El acceso a estos servidores debe estar permitido desde la interfaz confiable de Firebox.
Esta información es utilizada para dos propósitos:
• Firebox utiliza el servidor DNS mostrado aquí para resolver nombres de direcciones IP para IPSec VPNs
y para que el spamBlocker, y las finciones GAV e IPS operen correctamente.
• Las entradas WINS y DNS son usadas por los clientes DHCP en las redes confiables u opcional, usuarios
MUVPN, y usuarios PPTP RUVPN para resolver entradas DNS.

Configurando DNS Dinámicas
Asegúrese de utilizar sólo un servidor WINS y DNS para DHCP y RUVPN. Esto le ayuda a asegurarse de no
crear políticas con propiedades de configuración que no permitan a los usuarios conectarse al servidor
DNS.
1 Desde Policy Manager, seleccione Network > Configuration. Haga click en la pestaña WINS/DNS.
Aparece la información en la petaña WINS/DNS.
2 Teclee las direcciones primaria y secundaria para los servidores WINS y DNS. Puede además teclear un
sufijo de dominio en el cuadro de texto Domain Name para que un cliente DHCP utilice con nombres
no calificados tales como “kunstler_mail”.

Puede registrar la dirección IP externa del Firebox® con un servicio dinámico de Servidor de Nombres de
Dominio (dynamic Domain Name Server - DNS). Un servicio de Dynamic DNS (DNS dinámico) asegura que
las direcciones IP adjuntas a su nombre de dominio cambien cuando su ISP le otorgue a su Firebox una
nueva dirección IP. El Firebox soporta un proveedor de DNS dinámica: DynDNS. Para más información de
DNS dinámica, acceda al sitio web DynDNS:
http://www.dyndns.com
Nota
WatchGuard® no está afiliado a DynDNS.
Creando una cuenta DynDNS

Para configurar su cuenta, vaya al siguiente sitio web:
http://www.dyndns.com
Utilice las instrucciones en el sitio web de DynDNS para activar su cuenta. Debe realizar esto antes de con-
figurar su Firebox para utilizar DNS dinámica.

Configurando Firebox para Dynamic DNS

1 Desde Policy Manager, seleccione Network > Configuration. Haga click en la pestaña Dynamic DNS.
Aparece la información de la pesaña Dynamic DNS.
2 Seleccione la interfaz externa que desea configurar para Dynamic DNS y haga click en Configure.
Aparece el cuadro de diálogo Per Interface Dynamic DNS.
3 Para habilitar el DNS dinámica, seleccione la casilla de verificación Enable Dynamic DNS.
4 Teclee el nombre de usuario, contraseña y nombre de dominio utilizado para configurar su cuenta de
DNS dinámico.
5 En el menú desplegable Service Type, seleccione el sistema a utilizar para esta actualización:
- dyndns envía actualizaciones para un nombre de host de DNS dinámica.
- statdns envía actualizaciones para un nombre de host de DNS estática.
- custom envía actualizaciones para un nombre de host de DNS personalizada.
Para más información en cada opción, vea http://www.dyndns.com/services/.
6 En el campo Options, puede teclear cualesquiera de las opciones mostradas abajo. Debe teclear un
caracter “&” antes y después de cada opción que agregue. Si agrega más de una opción, debe separar las
opciones con el caracter “&”. Por ejemplo: &backmx=NO&wildcard=ON&
mx=mailexchanger
backmx=YES|NO
wildcard=ON|OFF|NOCHG
offline=YES|NO

Configurando Enrutamientos
Para más información sobre opciones, vea:

http://www.dyndns.com/developers/specs/syntax.html
7 Ut i l i ce los cursores para elegir un inte rvalo de tiempo, en días, p a ra forzar una actualización de la
dirección IP.
Configurando Enrutamientos
Una ruta o enrutamiento (route) es una secuencia de dispositivos a través de los cuales el tráfico de la red
debe ir para llegar desde su fuente hasta su destino. Un router es un dispositivo en una ruta que encuen-
tra el siguiente punto de la red a través del cual enviar el tráfico hacia su destino. Cada router está conec-
tado a un mínimo de dos redes. Un paquete puede ir a través de un número de puntos de la red con rou-
ters antes de llegar a destino.
El Firebox® le permite crear enrutamientos estáticos para enviar tráfico desde sus interfaces hasta un rou-
ter. El router puede enviar el tráfico al destino correcto desde la ruta especificada. Si no agrega un enruta-
miento a una red remota, todo el tráfico a esa red es enviado a puerta de enlace predeterminada de el
Firebox.
El WatchGuard® Users Forum es también una buena fuente de datos acerca de enrutamiento de redes y
routers. Utilice su servicio LiveSecurity para encontrar más información.
Agregando un enrutamiento de red

Agregue un enrutamiento de red si tiene una red completa bajo un router en su red local. Teclee la direc-
ción IP de la red, con notación de barra oblícua.
1 Desde Policy Manager, seleccione Network > Routes.
Aparece el cuadro de diálogo Setup Routes.
Aparece el cuadro de diálogo Add Route.
3 Seleccione Network IP del menú desplegable.

4 En el cuadro de texto Route To, teclee la dirección de la red. Utilice notación de barra slash.
Por ejemplo, teclee 10.10.1.0/24. Una red /24 siempre tiene un cero para el último octeto.
5 En el cuadro de texto Gateway, teclee la dirección IP del router.
Asegúrese de ingresar una dirección IP que se encuentra en una de las mismas redes que el Firebox.
6 Haga click en OK para cerrar el cuadro de diálogo Add Route.
El cuadro de diálogo Setup Routes muestra el enrutamiento de red configurado.
7 Haga click en OK nuevamente para cerrar el cuadro de diálogo Setup Routes.
Agregando un enrutamiento de host

Agregue un enrutamiento de host si hay sólo un host bajo el router o si quiere que el tráfico sólo vaya a
un host. Teclee la dirección IP del host especificado, sin la notación de barras oblícua.
1 Desde Policy Manager, seleccione Network > Routes.
Aparece el cuadro de diálogo Setup Routes.

Estableciendo los Parámetros Speed y Duplex de la Interfaz Firebox

Aparece el cuadro de diálogo Add Route.
3 Seleccione Host IP del menú desplegable.
4 En el cuadro de texto Route To, teclee la dirección IP del host.
5 En el cuadro de texto Gateway, teclee la dirección IP del router.
Asegúrese de ingresar una dirección IP que se encuentre en una de las mismas redes que el Firebox.
6 Haga click en OK para cerrar el cuadro de diálogo Add Route.
El cuadro de diálogo Setup Routes muestra el enrutamiento de host configurado.
7 Haga click en OK nuevamente para cerrar el cuadro de diálogo Setup Routes.
Estableciendo los Parámetros Speed y Duplex de la Interfaz Firebox

Puede configurar los parámetros speed y duplex de la interfaz Firebox® hacia configuración automática o
manual. Le recomendamos que establezca los parámetros speed y duplex para corresponder al dispositivo
al que el Firebox se conecta. Utilice la opción de configuración manual cuando deba corregir los parámetros
automáticos de la interfaz Firebox para operar con otros dispositivos en su red.
1 Seleccione Network > Configuration. Haga clic en la interfase que quiera configurar, y luego haga clic
en Configure.
2 Haga click en Advanced Settings.
Aparece el cuadro de diálogo Advanced Settings.
3 Desde el control del valor MTU, seleccione el tamaño máximo de paquete, en bytes, que puede ser
enviado a través de la interfaz.
Si utiliza PPPoE, debe cambiar este valor a 1492, o al MRU soportado por su ISP. Si no utiliza PPPoE, no le recomendamos
que cambie el valor MTU.
4 Desde el menú desplegable Link Speed, seleccione Auto Negotiate si desea que Firebox seleccione la
mejor velocidad de red. Puede, además, seleccionar una de las velocidades half-duplex o full-duplex que
sepa que es compatible con su equipamiento.
5 Haga click en OK para cerrar el cuadro de diálogo Advanced Settings. Haga clic en OK nuevamente
para cerrar el caudro de diálogo Network Configuration.
Configurando Hosts Relacionados

En una configuración drop-in, el Firebox® está configurado con al misma dirección IP en cada interfaz. El
modo de configuración drop-in distribuye el rango de direcciones de red a través de las interfaces del
Firebox. Los hosts relacionados son, a veces, requeridos cuando tiene configurado su Firebox en modo drop-
in y el mapeo de host automático no se encuentra funcionando correctamente. Esto ocurre, a veces, debido
a interferencia cuando el Firebox está tratando de descubrir dispositivos en una interfaz. Cuando esto ocu-
rre, apague el mapeo de host automático y agregue entradas de host relacionados para computadoras que
comparten una dirección de red con Firebox. Esto crea una relación de enrutamiento estático entre las
dirección IP de host relacionados y la interfaz designada para esa dirección IP. Cuando hay problemas con el
mapeo de host dinámico o automático, debe usar entradas de host relacionadas.

Configurando Hosts Relacionados

2 Haga click en Properties.
Aparece el cuadro de diálogo Drop-In Mode Properties.
3 Desabilite el mapeo de host automático en cualquier interfaz donde no esté funcionando

correctamente.
4 Haga click en Add. Teclee la dirección IP de la computadora para la cual desea armar un enrutamiento
estático desde el Firebox.
5 Haga click en la columna Interface Name para selección la interfaz a la cual el host relacionado está
conectado.
6 Luego de que haya agregado todas las entradas de host relacionados, haga click en OK. Guarde la
configuración en el Firebox.

CAPÍTULO 9 Trabajando con Firewall NAT
La traducción de direcciones de red, o Network Address Translation (NAT) fue primeramente desarrollada
como una solución para organizaciones que no podían conseguir suficientes números IP de red registrados
de los Internet Address Registrars (registradores de direcciones de Internet) para sus población en aumento
de hosts y redes.
NAT se usa, genéricamente, para describir cualquiera de las varias formas de las direcciones IP y de las tra-
ducciones de puertos. En su nivel más básico, NAT cambia la dirección IP de un paquete de un valor a otro
diferente. El propósito primario de NAT es no incrementar el número de computadoras que pueden operar
fuera de una única dirección IP públicamente ruteable, y ocultar las direcciones IP privadas de los hosts en
su LAN.
Hay diferentes formas de usar NAT. WatchGuard® System Manager soporta tres formas diferentes de NAT.
NAT dinámica
NAT dinámica es también conocida como IP enmascarado. El Firebox® puede aplicar su dirección IP
pública a los paquetes salientes para todas las conexiones o para servicios específicos. Esto oculta la
dirección IP real de la computadora que originó el paquete desde la red externa. NAT dinámica es
generalmente usada para ocultar las direcciones IP de los hosts internos cuando obtienen acceso a
servicios públicos.
1-to-1 NAT
1-to-1 NAT protege los hosts detrás de su red opcional o su red confiable para direcciones IP externas.
Este tipo de NAT es usada para brindar acceso a las computadoras externas a sus servidores públicos
internos.
NAT estática para una política
También conocida como reenvío de puerto (port forwarding), Usted configura la NAT estática cuando
configura políticas, según se describe en el capítulo “Configurando políticas”. NAT estática es una NAT
de puerto a host. Un host envía un paquete desde la red externa a un puerto en una interfaz externa.
NAT estática cambia esta dirección IP a una dirección IP y un puerto detrás del firewall.
Es posible que, en su configuración, use más de un tipo de NAT. Puede aplicar NAT como un parámetro
general del firewall, o como un parámetro de una política. Note que los parámetros de firewall NAT no se
aplican a políticas BOVPN o MUVPN.

Usando NAT Dinámica

NAT dinámica es el tipo de NAT usada más frecuentemente. Cambia la dirección IP de origen de una cone-
xión de salida hacia la dirección pública del Firebox®. Fuera del Firebox, usted verá sólo la dirección IP del
Firebox en los paquetes salientes.
Muchas computadoras pueden conectarse a Internet desde una dirección IP pública. NAT dinámica ofrece
más seguridad para los hosts internos que usan Internet, puesto que oculta las direcciones IP de los hosts
de su red. Con NAT dinámica, todas las conexiones deben comenzar detrás del Firebox. Los hosts malicio-
sos no pueden establecer conexiones a computadoras detrás del Firebox cuando éste está configurado
para NAT dinámica.
En muchas redes, la política de seguridad recomendada es aplicar NAT a todos los paquetes salientes. Con
Fireware®, NAT dinámica está habilitada por defecto en el cuadro de diálogo Network > NAT. También
está habilitada por defecto en cada política que usted crea. Puede cambiar la configuración del firewall
por NAT dinámica en sus políticas individuales.
Agregando entradas de NAT dinámica al firewall
La configuración preestablecida de NAT dinámica permite NAT dinámica de todas la direcciones IP priva-
das hacia la red externa. Las entradas por defecto son:
• 192.168.0.0/16 - Any-External
• 172.16.0.0/12 - Any-External
• 10.0.0.0/8 - Any-External
Estas tres direcciones de red son las redes privadas reservadas por la Internet Engineering Task Force (IETF)
y usualmente se usan para las direcciones IP de LANs. Para habilitar NAT dinámica para otras direcciones IP
privadas que no sean ésas, debe agregar entradas para ellas. Firebox aplica reglas de NAT dinámica en la
secuencia en que aparecen en la lista NAT dinámica Entries. Recomendamos que ponga las reglas en una
secuencia que corresponda al volumen de tráfico al que se aplican las reglas.
1 Desde el Policy Manager, seleccione Network > NAT.
Aparecerá el cuadro de diálogo NAT Setup.

2 En la pestaña Dynamic NAT del cuadro de diálogo NAT Setup, haga click en Add.
Aparecerá el cuadro de diálogo Add Dynamic NAT.
3 Use la lista desplegable From para seleccionar el origen de los paquetes salientes.
Por ejemplo, use el alias de host Trusted para habilitar NAT desde toda la red confiable. Para más información sobre los alias
“built-in” de Firebox, vea la sección “Trabajando con Alias”, en el capítulo 6.
4 Use la lista desplegable To para seleccionar el destino de los paquetes salientes.
5 Para agregar un host o una dirección IP de red, haga click en el botón Add Device que se muestra a
la derecha. Use la lista desplegable para seleccionar el tipo de dirección. Escriba la dirección IP o el
rango. Debe teclear una dirección de red en notación de barra oblícua.
Cuando teclee una dirección IP, teclee todos los números y puntos. No use la tecla TAB o las flechas.
6 Haga click en OK.
La nueva entrada aparecerá en la lista Dynamic NAT Entries.
Reordenando entradas de NAT dinámica

Para cambiar la secuencia de las entradas de NAT dinámica, seleccione la entrada a cambiar. Haga click en
Up (arriba) o Down (abajo). No puede cambiar una entrada de NAT dinámica. Si es necesario un cambio,
debe eliminar la entrada con Remove. Use Add para entrarla nuevamente.
Entradas de NAT dinámica basadas en políticas

Con este tipo de NAT, el Firebox usa la dirección IP primaria de las interfaces salientes para los paquetes
salientes para esta política. Cada política tiene habilitada NAT dinámica por defecto, la cual usa la tabla glo-
bal de NAT dinámica. Puede deshabilitar NAT dinámica patra todo el tráfico en una política.
Deshabilitando NAT dinámica basada en políticas

1 Desde el Policy Manager, haga click derecho sobre una política y seleccione Edit.
Aparecerá la ventana Edit Policy Properties.
2 Haga click en la pestaña Advanced.
3 Borre la casilla de verificación NAT dinámica para desconectar NAT del tráfico que controla esta política.

Usando 1-to-1 NAT
4 Haga click en OK. Guarde los cambios en el Firebox.
Usando 1-to-1 NAT

Cuando habilita 1-to-1 NAT (NAT 1-a-1), Firebox® cambia y rutea todos los paquetes entrantes y salientes
enviados por un rango de direcciones a otro rango diferente de direcciones. Puede configurar hasta 64
direcciones diferentes 1-to-1 NAT. Esto le permite configurar una regla 1-to-1 NAT para una única red /26 ,
o un total de 64 direcciones IP entre todas las reglas 1-to-1 NAT. Una regla 1-to-1 NAT siempre tiene priori-
dad sobre una NAT dinámica.
1-to-1 NAT es usada frecuentemente cuando hay un grupo de servidores internos con direcciones IP priva-
das que deben ser hechas públicas. Puede usar 1-to-1 NAT para mapear direcciones IP públicas a los servi-
dores internos. No tiene que cambiar las direcciones IP de sus servidores internos. Cuando tiene un grupo
de servidores similares (por ejemplo, un grupo de servidores de e-mail), 1-to-1 NAT es más fácil de configu-
rar que NAT estática para el mismo grupo de servidores.
Para entender cómo configurar 1-to-1 NAT, damos este ejemplo:
La compañía ABC tiene un grupo de cinco direcciones privadas de servidores de e-mail detrás de la inter-
faz confiable de su Firebox X Peak. Estas direcciones son:
10.1.1.1
10.1.1.2
10.1.1.3
10.1.1.4
10.1.1.5
La compañía ABC selecciona cinco direcciones IP públicas de las mismas direcciones de red que las inter-
faces externas de sus Firebox y crea registros DNS para los servidores de e-mail para resolverlo. Estas direc-
ciones son:
50.1.1.1

Usando 1-to-1 NAT
50.1.1.2
50.1.1.3
50.1.1.4
50.1.1.5
La compañía ABC configura una regla 1-to-1 NAT para sus servidores de e-mail. La regla 1-to-1 NAT constru-
ye una relación estática y bidireccional entre los correspondientes pares de direcciones IP. La relación es
ésta:
10.1.1.1 <—> 50.1.1.1
10.1.1.2 <—> 50.1.1.2
10.1.1.3 <—> 50.1.1.3
10.1.1.4 <—> 50.1.1.4
10.1.1.5 <—> 50.1.1.5
Cuando se aplica la regla 1-to-1 NAT, Firebox crea el ruteo bidireccional y la relación NAT entre el pool de
direcciones IP privadas y el pool de direcciones públicas.
Definiendo una regla 1-to-1 NAT

En cada política 1-to-1 NAT puede configurar un host, un rango de hosts, o una subred. Debe también confi-
gurar:
Interface
El nombre de la interfaz Ethernet de Firebox® en la cual se aplica 1-to-1 NAT. Firebox aplicará 1-to-1
NAT a paquetes desde y hacia la interfaz. En nuestro ejemplo antes mencionado, la regla se aplica a la
interfaz externa.
NAT base
Cuando configure una política 1-to1 NAT, configure la política con un rango de direcciones IP “from”
(desde) y “to”(hacia). La NAT base es la primera dirección IP disponible en el rango “to” de direcciones.
La dirección IP NAT base es la dirección a la que cambia la dirección IP real base cuando se aplica 1-to-
1 NAT. En nuestro ejemplo, la NAT base es 50.1.1.1.
Real base
Cuando configure una política 1-to-1 NAT, configure la política con un rango de direcciones IP “from”
(desde) y “to”(hacia). La Real base es la primera dirección IP disponible en el rango “from” de direccio-
nes. Es la dirección IP asignada a la interfaz física Ethernet de la computadora a la cual aplicará la polí-
tica 1-to-1 NAT. Cuando los paquetes provenientes de una computadora con una dirección real base
pasan a través de la interfaz especificada, se aplica la acción 1-to-1. En nuestro ejemplo, la Real base es
10.1.1.1.
Number of hosts to NAT (sólo para rangos)
Es el número de direcciones IP en un rango para el cual se aplica la regla 1-to-1 NAT. La primera direc-
ción IP real base se traduce a la primera dirección IP NAT base cuando se aplica 1-to-1 NAT. La segunda
dirección IP real base en el rango se traduce a la segunda dirección IP NAT base IP cuando se aplica 1-
to-1 NAT. Esto se repite hasta que se alcanza el “Number of hosts to NAT”. En nuestro ejemplo, el núme-
ro de hosts en los que se aplica NAT es cinco.
Puede también usar 1-to-1 NAT para resolver el problema cuando debe crear un túnel VPN entre dos redes
que usan la misma dirección de red privada. Cuando crea un túnel VPN, las redes en cada extremo del túnel
VPN deben tener diferentes rangos de direcciones de red. Si el rango de red en la red remota es el mismo de
la red local, puede configurar ambas puertas de enlace para usar 1-to-1 NAT. Entonces, puede crear el túnel
VPN y no cambiar la dirección IP de uno de los extremos del túnel. La 1-to-1 NAT para un túnel VPN está

Usando 1-to-1 NAT
configurada cuando usted configura el tunel VPN y no en el cuadro de diálogo Network > NAT.
Configurando el firewall 1-to-1 NAT

1 Desde el Policy Manager, haga click en Network > NAT. Haga click en la pestaña 1-to-1 NAT.
Aparecerá el cuadro de diálogo 1-1 Mapping.
3 En la lista desplegable Map Type, seleccione Single IP, IP range o IP subnet si desea mapear a un
host, a un rango de hosts, o a una subred.
4 En el cuadro de texto NAT base, escriba la dirección para que el rango NAT lo vea externamente.
5 Complete toda la información. Haga click en OK.
6 Repita los pasos 2 a 4 para cada entrada 1-to-1 NAT. Cuando haya terminado, haga click en OK para
cerrar el cuadro de diálogo NAT Setup. Guarde los cambios en el Firebox.
Después de configurar una regla global 1-to-1 NAT, debe configurar las direcciones IP basadas en NAT en
las políticas apropiadas. En el ejemplo dado más arriba, se debería configurar la política SMTP para permi-
tir tráfico SMTP desde Any hacia 50.1.1.1-50.1.1.5.
Configurando 1-to-1 NAT basada en políticas

Con este tipo de NAT, Firebox usa rangos IP privados y públicos que usted puede establecer cuando confi-
gura 1-to-1 NAT global, pero las reglas son aplicadas a una política individual.1-to-1 NAT está habilitada en
la configuración predeterminada de cada política. Si el tráfico cumple ambas políticas, la 1-to-1 NAT y la
NAT dinámica, la 1-to-1 NAT tiene prioridad. 1-to-1 NAT no deshabilitará NAT dinámica para la política.
Deshabilitando 1-to-1 NAT basada en políticas

2 Aparecerá la ventana Edit Policy Properties.
4 Borre la casilla de verificación 1-to-1 NAT para desconectar NAT del tráfico que controla esta política.
5 Haga click en OK. Guarde los cambios en el Firebox.

Configurando NAT Estática para una Política
Configurando NAT dinámica basada en políticas

Con este tipo de NAT, Firebox mapea direcciones IP privadas a direcciones IP públicas. Se habilita NAT diná-
mica en la configuración predeterminada de cada política. Seleccione Use Network NAT Settings si desea
usar el conjunto de reglas de NAT dinámica para el Firebox. Seleccione All traffic in this policy si desea apli-
car NAT a todo el tráfico en esta política. Si el tráfico coincide con las políticas 1-to-1 NAT y NAT dinámica, la
1-to-1 NAT tiene preferencia. La 1-to-1 NAT no deshabilitará NAT dinámica para la política.
Tiene también la opción de establecer una dirección IP NAT dinámica de origen para una política “any” (cual-
quiera) que use NAT dinámica. Esto asegura que cualquier tráfico que use esta política muestre una direc-
ción específica dentro del rango de direcciones IP públicas o externas como origen. Debe hacer esto a
menudo para forzar que el tráfico SMTP saliente muestre la dirección del registro MX de su dominio cuando
la dirección IP en la interfaz externa de Firebox no sea la misma que la de su registro MX.
Las reglas de 1-to-1 NAT tienen mayor prioridad que las reglas de NAT dinámica.
Nota
Si usa multi-WAN, no puede usar la opción Set Source IP. Utilice esta opción sólo cuando su Firebox
ustilice una única interfaz externa.
Deshabilitando NAT dinámica basada en políticas

2 Aparecerá la ventana Edit Policy Properties .
4 Borre la casilla de verificación NAT dinámica para desconectar NAT del tráfico que controla esta política.
La NAT estática, también conocida como “port forwarding” (reenvío de puerto), es una NAT de puerto a host.
Un host envía un paquete desde la red externa a un puerto en una interfaz externa. La NAT estática cambia
esta dirección IP a una dirección IP y puerto detrás del firewall. Si un software de aplicación usa más de un
puerto y los puertos se seleccionan dinámicamente, debe usar 1-to-1 NAT o chequear si hay una proxy en el
Firebox® para administrar esta clase de tráfico.
Cuando use NAT estática, use una dirección IP externa de su Firebox en lugar de la dirección IP de un servi-
dor público. Puede hacer esto si usted porque así lo prefiera o porque su servidor público no tenga una
dirección IP pública. Por ejemplo, puede poner su servidor SMTP de e-mail detrás del Firebox con una direc-
ción IP privada y configurar static NAT en su política SMTP. El Firebox recibirá conexiones en el puerto 25 y
asegurará que cualquier tráfico SMTP sea enviado al servidor SMTP real que haya detrás suyo.
Debido a cómo trabaja NAT estática, está disponible sólo para políticas que usan un puerto TCP o UDP espe-
cífico. Una política que tenga otro protocolo no puede usar NAT estática entrante. Si tiene una política que
usa un protocolo que no sea TCP o UDP, el botón NAT en el cuadro de diálogo Properties de esa política
estará deshabilitado. Tampoco podrá usar NAT estática con una política Any.
1 Haga doble click en un ícono de política en Policies Arena.
2 Desde la lista desplegable Connections are, seleccione Allowed.
Para usar NAT estática, la política debe permitir tráfico entrante.
3 Debajo de la lista To, haga click en Add.
Aparecerá el cuadro de diálogo Add Address.

4 Haga click en NAT.

Aparecerá el cuadro de diálogo Add Static NAT.
5 Desde la lista desplegable External IP Address, seleccione la dirección IP pública para usar para este
servicio.
6 Escriba la dirección IP interna.
La dirección IP interna es la de destino en la red confiable o la red opcional.
7 Si es necesario, seleccione la casilla de verificación Set internal port to different port than this
policy. Esto permite la traducción de direcciones de puerto (port address translation - PAT).
En general, no use esta característica. Porque permite que usted cambie el destino del paquete no sólo a un host interno
específico sino también a un puerto diferente. Si selecciona esta casilla de verificación, escriba el número de puerto dife-
rente o use los botones de flecha en la casilla Internal Port.
8 Haga click en OK para cerrar el cuadro de diálogo Add Static NAT.
Aparecerá la ruta estática NAT en la lista Members and Addresses.
9 Haga click en OK para cerrar el cuadro de diálogo Add Address. Haga click en OK para cerrar el cuadro
de diálogo Properties del servicio.

CAPÍTULO 10 Implementando la Autenticación
La Autenticación de Usuarios le permite a ciertos Nombres de Usuario estar asociados a determinadas

conexiones a través del dispositivo Firebox. Cuando se utiliza “Autenticación de usuarios”, el Administrador
del Firebox podrá ver los nombres de los usuarios y sus direcciones IP, si monitorea las conexiones realizadas
a través del dispositivo. Sin autenticación, sólo podrá ver las direcciones IP de dichas conexiones.
Además, usando Autenticación, un usuario podrá loguearse a la red desde cualquier computadora, pero sólo
podrá acceder a la información autorizada para su acceso. Todas las conexiones que un usuario inicie desde
una misma dirección IP, también trasmiten un “nombre de sesión” mientras el usuario permanece autentica-
do.
Su Firebox le permite crear políticas que incluyen grupos y nombres de usuarios. Como resultado, dichas
políticas se aplican a cualquier computadora a la que una persona se loguee.
Monitoree por “Nombre de Usuario”:
• Si utiliza el Protocolo Dynamc Host Configuration (DHCP). DHCP puede causar que la dirección IP de
una PC cambie.
• Si muchos usuarios diferentes pueden usar la misma dirección IP en un mismo día, como ocurre en
entornos universitarios o laboratorios.
En esos casos, la autenticación le dará mayor cantidad de información acerca de las acciones de los emplea-
dos y usuarios.
Cómo Funciona la Autenticación de Usuario

En el dispositivo opera un servidor HTTPS para aceptar los pedidos de Autenticación. Para autenticarse, el
usuario debe conectarse a la página de autenticación del Firebox. Dicha dirección es:
https://dirección IP de la interfaz de Firebox: 4100/
ó
https://nombre del host del Firebox: 4100
Allí aparecerá un formulario web de autenticación. Cada usuario deberá escribir su Nombre y Clave. El
Firebox envía este nombre y clave al servidor de autenticación usando PAP (Protocolo de Autenticación de
Claves). Cuando el usuario está debidamente autenticado, se le permite acceder a los recursos de red previa-
mente permitidos. El usuario puede quedar autenticado por un tiempo limitado luego de cerrar su última
conexión autenticada. Dicho tiempo de permanencia es fijado por el Administrador desde Policy Manager
> Setup > Global Settings.
Para cerrar una sesión autenticada, antes de que se cierre pos si misma, el usuario debe clickear Logout en
la página web de Autenticación. Si dicha página se cierra, el usuario deberá abrirla nuevamente para poder

Como Funciona la Autenticación de Usuario
desconectarse. Si el Administrador desea impedir que un usuario se autentique, deberá desactivar la cuen-
ta de dicho usuario en el servidor de autenticación.
Usando autenticación desde la red externa
La primera función de la herramienta de autenticación es autenticar el tráfico saliente. Sin embargo, tam-
bién puede ser usada para restringir el tráfico entrante. Si usted posee una cuenta en el Firebox, siempre
podrá usar la autenticación externa. Por ejemplo, podrá escribir esta dirección en su navegador:
https://dirección IP de la interfaz externa del Firebox: 4100/
Luego de autenticarse, podrá usar las políticas que ya fueron configuradas por usted en el Firebox.
Utilice este procedimiento para permitir a un usuario remoto autenticarse desde una red externa. Esto
habilitará a la persona a usar diversos recursos a través del Firebox.
1 Desde el “Policy Manager”, haga doble click en el ícono de políticas de WatchGuard Autenticación.
Estas reglas aparecerán luego de que usted sume al usuario, o al grupo, a la configuración de políticas.
Si usted edita una política ya configurada, verá un aviso de “advertencia”.
2 Haga click en la pestaña de Policys.
3 Desde el “WG-Auth connections are...” elija Allowed.
4 Desde la caja de From, haga click en Ad d. Seleccione Any desde la lista y haga click en Add. Luego en OK.
5 Bajo la opción To haga click en Add. Seleccione luego Firebox de la lista y haga click en Add. Haga click
en OK.
Utilizando autenticación a través de un gateway Firebox hacia otro Firebox

Para poder enviar un pedido de autenticación a través de un gateway del Firebox hacia otro dispositivo
Firebox, deberá agregar una política que permita la autenticación de tráfico en el gateway Firebox. Para
esto use, en el gateway del Firebox, el Policy Manager para agregar la política WatchGuard Authentication.
Dicha política controla el tráfico en el puerto TCP 4100. Configure la política para permitir tráfico hacia la
dirección IP del Firebox de destino.

Configurando el Firebox como un Servidor de Autentificación
Tipos de servidores de Autentificación

Con Fireware®, hay cinco métodos de autentificación:
• Firebox
• RADIUS
• SecurID
• LDAP
• Active Directory
Podrá configurar uno, o más, t i pos de aute nt i cación de servidores para el Fire box. La aute nt i cación para dife-
re ntes tipos de servidores es prácticamente la misma que para el usuari o. Para el Administrador la diferencia
consiste en que la base de datos de usuarios puede estar en el Fi re box o en un servidor dedicado a
Autenticación.
Cuando se utiliza un servidor de autenticación, deberá configurarlo siguiendo las instrucciones de su fabri can-
te. De berá instalar el servidor con acceso al Firebox y ponerlo “detrás” del dispositivo por razones de seguridad.
Utilizando un Servidor de Autenticación de respaldo

Podrá configurar un Servidor de autenticación de respaldo, con diversos sistemas de autenticación de terce-
ras partes. Si su Firebox no puede conectarse al servidor srimario de autenticación (luego de tres intentos),
se conectará al Servidor de autenticación respaldo. Si tampoco puede conectarse, esperará diez minutos y
volverá a intentar con el servidor primario. Este ciclo continuará hasta que el Firebox se conecte con algún
servidor de autentificación.
Configurando el Firebox como un Servidor de Autentificación

Si no se utiliza un servidor de autenticación de otro proveedor, podrá recurrir al Firebox para cumplir dicha
función. Este procedimiento divide a su empresa en grupos y usuarios. El grupo al que usted asignará a cada
persona estará determinado por las tareas que podrá hacer y el tipo de información a la que accederá. Por
ejemplo, podrá tener un grupo de contaduría, uno de marketing y otro de investigación y desarrollo.
Además, podrá habilitar un grupo de “empleados nuevos”, que tendrán un acceso especialmente controlado
a Internet.
En un grupo, usted fijará el procedimiento de autenticación para los usuarios, el tipo de sistemas y la infor-
mación a la que dicho grupo accederá. Un usuario puede ser una red o una computadora. Si su compañía
cambia, podrá agregar -o borrar- usuarios o sistemas de los grupos establecidos.
Utilice el Policy Manager para:
• Agregar, cambiar o borrar grupos en la configuración.
• Agregar o cambiar usuarios a un grupo.
Acerca de la autenticación del Firebox

Podrá configurar el Firebox para autenticar usuarios, usando tres tipos de autenticación:
• Autenticación de Firewall
• Conexiones PPTP
• Conexiones MUVPN
Cuando la autenticación sea exitosa, el Firebox hace un mapeo de estos ítems:

• Nombre de usuario
• Grupo (o grupos) de usuarios del Firebox del cual éste es miembro
• Dirección IP de la PC del usuario al momento de la autentificación
• La dirección IP virtual de la computadora del usuario, si éste está conectado por medio de una RUVPN.

Configurando el Firebox como un Servidor de Autenticación
Autenticación de Firewall
Para crear una cuenta de usuario Firebox, desde el Policy Manager seleccione Setup > Authentication
Servers. Luego de creada, podrá armar un grupo en el Firebox y colocar al usuario en dicho grupo. Luego,
genere una política que permita tráfico sólo desde, o hacia, una lista de usuarios del Firebox o a una lista
de grupos del Firebox. Dicha política se aplica solamente si un paquete proviene, o va, a la dirección IP
autentificada del usuario.
Un usuario se autentifica con una conexión HTTPs al Firebox, usando el puerto 4100, tipeando:
https://dirección IP de la interfaz del Firrebox:4100/
Si el nombre de usuario y la clave son válidos, el usuario será autenticado. Cuando un usuario es autentica-
do, las credenciales y la dirección IP de su computadora son empleadas para determinar que política se
aplica al tráfico que origina, o se dirige, a su PC.
Conexiones PPTP
Para configurar el Firebox para que sea huésped de sesiones PPTV VPN, selecciones VPN > Remote Users
y haga click en la pestaña PPTP. Si no tilda la opción Use RADIUS Authentication to authenticate remo-
te users, el Firebox autenticará la sesión PPTP. El dispositivo chequeará que el nombre y la clave que el
usuario coloca en la conexión VPN, coincidan con el nombre y la clave almacenados en la base de datos de
usuarios del Firebox. Si las credenciales proporcionadas coinciden con una cuenta del Firebox, el usuario
será autenticado y podrá mantener una sesión PPTP.
Luego, cree una política que permita el tráfico solamente desde, o hacia, una lista de nombre de usuarios
del Firebox, o una lista de grupos. El Firebox no chequeará esta política a menos que el tráfico provenga o
vaya a la dirección IP virtual autenticada.
El usuario realiza la conexión PPTP usando dicha función del Sistema Operativo de su computadora. Como
el Firebox permite la conexión PPTP desde cualquier usuario Firebox que proporcione las credenciales
correctas, es importante que usted haga una política para las sesiones PPTP, que incluya solamente a los
usuarios a los que quiera permitirles enviar tráfico sobre una sesión PPTP. O bien coloque a dichos usua-
rios en un grupo Firebox y cree una política que permita tráfico sólo dentro de dicho grupo.
El Firebox ya tiene pre-configurado un grupo para esta función, denominado “PPTP-Users”.
Conexiones MUVPN
Puede configurar el Firebox para recibir sesiones VPN de usuario móviles, (MUVPN) en sesiones IPSec. Para
hacerlo seleccione VPN > Remote Users y cliquee sobre la lengüeta Mobile User VPN. Podrá armar gru-
pos MUVPN, utilizando el Wizzard Add Mobile User VPN. Cuando éste ayudante termine, el Policy Manager
hará dos cosas:
• Preparará un Perfil de Configuración de Clientes (un archivo .wgx) y lo colocará en la estación de tra-
bajo de la computadora que crea la cuenta MUVPN. El usuario deberá contar con este archivo .wgx
para poder configurar la computadora cliente MUVPN.
• Automáticamente agregará una política “Any” a la pestaña Mobile User VPN que permite el paso
del tráfico desde, y hacia un usuario MUVPN autenticado.
Cuando la PC del usuario esté bien configurada, se podrá establecer una conexión MUVPN. Si el nombre y
clave elegidos por el usuario en el cuadro de diálogo de la autenticación MUVPN se corresponde con una
entrada similar en la base de datos del Firebox, y si dicho usuario pertenece al grupo MUVPN creado,
entonces la sesión será autentificada.
El Policy Manager crea automáticamente una política que permite cualquier tráfico desde el usuario
autenticado. Para restringir los puertos a los que puede acceder un cliente MUVPN, borre la política “Any” y
agregue nuevas políticas que incluyan esos puertos en la pestaña Mobile User VPN. Para agregar políti-
cas, consulte el apartado “Agregando Políticas”.

Configurando el Firebox como un servidor de autenticación

1 Desde el Policy Manager, selecciones Setup > Authentication Servers.
Aparecerá la caja diálogo Authentization Serversde . La configuración por defecto permite al Firebox cumplir la función de
Servidor de autenticación.
2 Para agregar un nuevo grupo de usuarios, haga click Add, bajo la lista de User Groups.
Aparecerá la caja de diálogo Add Firebox Group.
3 Escriba el Nombre de Grupo que usted desee y haga click en OK.

4 Para agregar un nuevo usuario, haga click Add bajo la lista de Users.
Aparecerá la caja de dialogo Stup Firebox User.
5 Escriba el Nombre y la passpharase que quiere que la persona utilice para autenticarse con el
Firebox.
Cuando la passphrase esté seteada, ya no será visible como texto común. Si la pierde deberá elegirse una nueva .
6 Para agregar un usuario a un grupo, seleccione el nombre del grupo desde la lista Available. Haga click
sobre la doble flecha que apunta a la izquierda para mover el nombre a la lista de Members.
También puede hacer doble click sobre el Nombre del Grupo.
7 Agregue el usuario al grupo de Usuarios PPTP, si quiere usar este grupo en un servicio.
8 Luego de agregar el usuario a los grupos elegidos, haga click en OK.
El usuario será agregado a la lista. Y podrá agregar más usuarios.
9 Para cerrar el cuadro de diálogo Setup Firebox User, haga click en OK.
Aparecerá la lengüeta de Usuarios del Firebox, con una lista de los nuevos usuarios
10 Con los usuarios y grupos ya agregados, haga click en OK. Desde ese momento podrá utilizar los
usuarios y grupos para configurar las políticas y la autenticación.
Usando una cuenta de usuario local para autenticación de Firewall, PPTP y MUVPN
Cualquier usuario puede autentificarse como usuario de Firewall, PPTP o MUVPN y abrir un túnel PPTP o
MUVPN, si estos están permitidos en el dispositivo. Sin embargo, luego de que una autenticación o un
túnel han sido establecidos en forma exitosa, dicho usuario podrá enviar tráfico a través del túnel VPN
solamente si esos paquetes están permitidos por una política en el Firebox. Por ejemplo, un usuario que
sólo pueda enviar tráfico MUVPN, podrá usar un túnel MUVPN, pero no un túnel PPTP, ni siquiera aunque
el usuario pueda autentificarse y establecerlo.
1 Habilite y configure el sistema para autentificaciones de usuarios de Firewall, MUVPN y PPTP para usar
cuentas locales.
2 Cree políticas apropiadas para estos tipos de autenticación.
3 Asocie una cuenta de usuario a cada grupo de autenticación (Usuarios -FW; Usuarios-PPTP, Usuarios-
MUVPN). También cree una cuenta que no pertenezca a ningún grupo.
4 Establezca la configuración en el Firebox.
5 Use un navegador, un cliente PPTP y un cliente MUVPN para autenticarse con el Firebox con cada una
de estas cuentas.

Configurando el Servidor de Autenticación RADIUS
Configurando el Servidor de Autenticación RADIUS

El servicio de autenticación remota por Dial-In (RADIUS) autentifica a usuarios locales en la red de una com-
pañía. RADIUS es un sistema cliente/servidor, que mantiene la información de autenticación de los usuarios,
los servidores de acceso remoto, los gateways VPN y otros recursos, en una base de datos centralizada. Los
mensajes de autenticación desde, y hacia, el Servidor RADIUS siempre llevan una “llave” de autenticación.
Esta llave de autenticación (“secreto compartido”) debe ser la misma en el cliente RADIUS y en el Servidor.
Sin dicha llave, los hackers no podrán llegar hasta los mensajes de autenticación. Note que el RADIUS envía
una llave, y no una clave, durante la autenticación. Para la autenticación de web y MUVPN, RADIUS sólo
soporta autenticación PAP (y no CHAP). Para autenticación con PPTP, RADIUS solamente soporta MSCHAPv2.
Para usar la autenticación de Servidor RADIUS con un Firebox®, deberá :
• Agregar dirección IP del Firebox al servidor RADIUS, tal como se describe en la documentación de
RADIUS.
• Habilitar y especificar el Servidor RADIUS en la configuración del Firebox.
• Agregar nombres de usuarios y grupos RADIUS en las políticas del Policy Manager.
Para permitir la autenticación de Servidor RADIUS:
1 Desde el Policy Manager seleccione Setup > Authentications Servers. Haga Click en la pestaña
RADIUS Server
Aparecerá la configuración del RADIUS).
2 En la caja IP Address, escriba la dirección IP del servidor RADIUS.

3 Compruebe que en la caja Port, aparezca el número de puerto que el RADIUS utiliza para la aute nticación
El defecto es 1812. Sistemas antiguos de RADIUS pueden tener el 1645.
4 En la caja Secret, escriba el “secreto compartido” entre el Firebox y el servidor RADIUS.
Este “Secreto compartido” es sensible a mayúsculas y minúsculas y debe ser exactamente igual en ambos Servidores.
5 Para establecer el tiempo de Time-out, use el control Timeout para setear el tiempo que desee.
(Esto determina cuánto tiempo esperará el Firebox por una respuesta del servidor de autenticación antes de reintentar la
conexión).

Configurando la Autenticación SecurID
6 Para establecer cuantos intentos de conexión realizará el Firebox, Retry para elegir el número.
(Este es el número de veces que el Firebox intenta conectarse al Servidor de autenticación -empleando el Timeout antes
especificado- previamente a e informar que hay una conexión fallida).
7 Para setear los atributos del gru po, u t i l i ce el co nt rol Group Attribute para establecer el valor que desee
(El valor del atributo de grupos se usa para establecer que atributo lleva el Grupo de Usuarios de Información. Cuando el
RADIUS envía un mensaje al Firebox, diciendo que un usuario está autenticado, también envía una cadena de informa-
ción de grupo de usuario; por ejemplo “grupodemkt” o “grupo_contabilidad”. Esta información se usa para el control de
acceso.
8 Para agregar un Servidor RADIUS de backup, tilde la casilla Specify Ba c kup RADIUS Se rver. Al hacerlo,
tipee la dirección IP y el puerto del Servidor de backup. El “Secreto compartido” debe ser el mismo en
el Servidor RADIUS principal y en el de Backup.
9 Haga click en OK.
Configurando la Autenticación SecurID

Para usar autenticación SecurID, deberá configurar el RADIUS y el Servidor ACE en forma correcta. Los
usuarios deberán también contar con un token y un PIN (Personal Identification Number) aprobado. Vea
las instrucciones SecurID para más información.
Nota
No utilice RADIUS Steel Belted con SecurID. Utilice aplicaciones de software RADIUS con
software de SecurID de RSA.
1 Desde el Policy Manager seleccione Setup > Authentication Servers. Click en la lengüeta SecurID
Server.
2 En la caja de diálogo IP Address, tipee la dirección IP del Servidor SecurID.

Configurando Autenticación LDAP
3 En la caja Port use el control para seleccionar el número de puerto para usar la autenticación SecurID.
El default es 1812.
4 En la caja Secret tipee el “Secreto compartido” entre el Firebox y el Servidor SecurID.
Este “Secreto compartido” es sensible a mayúsculas y minúsculas y debe ser el mismo entre el Servidor SecurID y el Firebox.
5 En la caja Timeout, use el control para elegir el timeout que usted desee.
Este control fija cuanto tiempo el Firebox espera una respuesta desde el Servidor de autenticación antes de intentar una
nueva conexión.
6 Para setear cuantos intentos de conexión realiza el Firebox, utilice Retry.
Es el número de veces que el Firebox intenta volver a conectar con el Servidor de autenticación –usando el timeout presta-
blecido- antes de informar que hay una conexión fallida.
7 Seleccione los atributos del grupo. Recomendamos no cambiar este valor.
Los atributos de grupo se usan para fijar que atributo transporta el grupo de información de usuario. Cuando un Servidor
SecurID envía un mensaje, diciendo que un usuario está autentificado, también envía una cadena de datos de “grupo de
usuarios”; por ejemplo “mktGroup”. Esta información se usa para el control de acceso
8 Tipee la dirección IP y el puerto del Servidor de backup del SecurID. El “Secreto compartido” debe ser el
mismo entre ambos.
9 Haga click en OK.
Configurando Autenticación LDAP

Usted puede usar el sistema de autenticación LDAP (Lightweight Directory Access Protocol) para autentica-
ción de usuarios con el Firebox. LDAP es un protocolo de estándar abierto usado para dar servicios de direc-
torio en línea. Opera con protocolos de Internet como TCP. Puede usar LDAP para acceder a Servidores de
directorio “stand-alone”, o a directorios X.500.
1 Desde el Policy Manager, seleccione Setup> Authentication Servers. Seleccione la lengüeta LDAP.
2 Tilde el cuadro Enable LDAP Sever.

Servidores WatchGuard
3 En la caja IP Address tipee la dirección IP del Servidor LDAP primario para que el Firebox pueda
hacer las solicitudes de autenticación.
El LDAP debe estar ubicado sobre cualquier interfase del Firebox o disponible a través de un túnel VPN.
4 Desde el menú descolgable “Port” seleccione el número de puerto TCP que usará el Firebox al
conectarse al Servidor LDAP. El estandar es 389.
No soporta conexión SSL en el puerto 636.
5 Tipee el Search Base. El formato estándar para este búsqueda es: ou=organizational unit,dc=first
part of distinguished server name,dc=any part of the distinguished server name que aparece luego del
punto.
Por ejemplo, si las cuentas de usuario están en OU, deberá referirlas como “cuentas” y si su nombre de
dominio es xxx.com, su search base será:
”ou=cuentas,dc=xxx,dc=com”
Usted fija la “search base” para poner un límite en los directorios del Servidor de autenticación en los cuales el Firebox
busca una coincidencia con la base de autenticación.
6 Tipee el Group String
Este atributo se usa para manejar información del grupo en el Servidor LDAP. En muchos Servidores de este tipo, la cade-
na default es “uniqueMember” en otros servidores es “member”.
7 Si es necesario, cambie el valor de Time-out. Esto fija cuanto tiempo esperará el Firebox por una res
puesta del Servidor de autenticación.
8 Agregue información del servidor LDAP de backup, si lo tiene.
9 Para configurar usuarios MUVPN, que obtengan información de configuración desde un Servidor LDAP,
puede cambiar su esquema de directorio y usar los seteos disponibles a través de Optional Settings.
Podrá introducir información de clientes MUVPN si las propiedades de usuario de su Servidor LDAP
incluyen la dirección IP, submáscaras de red, Servidor DNS y WINS. En esos casos podrá mapear estos
campos a los campos que aparecen en Optional Settings. Cuando el usuario MUVPN comienza un
túnel VPN a través del Firebox, el equipo emplea esos valores usando la información contenida en el
Servidor LDAP, en las propiedades de usuario del LDAP.
IP Attribute String
Escriba el nombre del usuario LDAP y sus propiedades en el campo que contiene las direcciones IP
asignadas.
Netmask Attibute String
Escriba el nombre de usuario LDAP y sus propiedades en el campo de máscara de subred asignada.
DNS Attribute String
Escriba el nombre de usuario LDAP y sus propiedades en el campo que contiene la dirección IP del
Servidor DNS.
WINS Attribute String
Escriba el nombre de usuario LDAP y sus propiedades en el campo que contiene la dirección IP del
Servidor WINS
Lease time Attribute String
Escriba el nombre de usuario LDAP y sus propiedades en el campo que contiene el total del tiempo
permitido para una sesión de conexión MUVPN.
Idle Timeout Attibute String
Escriba el nombre de usuario LDAP y sus propiedades en el campo que contengan el tiempo de
time-out asignado.

Configurando la Autenticación por Directorio Activo
Configurando la Autenticación por Directorio Activo

Puede usar autenticación de Directorio Activo (Active Directory) para autentificar a sus usuarios en el
Firebox. Deberá configurar el Firebox y también el Servidor de Directorio Activo.
1 Desde el Policy Manager, seleccione Setup > Authentication Servers. Seleccione la pestaña Active
Directory.
2 Tile la caja Enable Active Directory Server.

3 Tipee la dirección IP primaria del Servidor Active Directory.
El Servidor Active Directory debe estar conectado a cualquier interfase del Firebox o disponible a través de un túnel VPN.
4 Seleccione el número de puerto TCP que el Firebox usará en su conexión con el Servidor Active
Directory. El default es 389.
Si su Servidor Active Directory pertenece a un Servidor de marca conocida, puede ser útil cambiar el default. Para más
información vea https://www.watchguard.com/support/Fireware_HowTo/HowTo_UseGlobalCatalogPort.pdf.
5 Tipee el Search Base. El formato estándar para un search base es: ou=organizational unit,dc=first part of
distiguished server name,dc=any part of the distinguished server mane appearing after the dot.
Por ejemplo, si la cuenta de usuario está en una OU (organizational unit), usted se referirá a las “cuentas”
y su nombre de dominio es HQ_main.com, su search base será:“ou=accounts,dc=HQ_mail,dc=com”.
Se fija una search base para poner límites en los directorios del Servidor de autenticación entre los que
el Firebox busca para encontrar una coincidencia.
6 Tipee la Group String
Este es un atributo de cadena que se usa para mantener información en el Servidor de Active Directory. Si no cambió el
esquema de Active Directory, la cadena de grupo siempre es “memberOf””.
7 Si es necesario, cambie el valor de time-out.
El tiempo que el Firebox espera una respuesta desde el Servidor de autenticación).
8 Agregue información para el Servidor de Active Directory de backup, si cuenta con uno.
9 Para configurar los usuarios MUVPN, de manera de que obtengan información de configuración desde el
Servidor Active Directory, deberá cambiar su esquema de directorio y utilizar los seteos disponibles a tra-

Configurando una Política con Autenticación de Usuario
vés de la opción Optional Settings. Podrá entrar información del cliente MUVPN en el cuadro de pro-
piedades de usuarios de su Servidor Active Directory, que incluye las direcciones IP, submáscaras de
red y/o servidores DNS y WINS. Luego podrá mapear estos campos a los campos que aparecen en el
Optional Settings. Cuando un usuario MUVPN comience un túnel VPN a través del Firebox, el Firebox
fija las direcciones IP, las submáscaras de red y los Servidores de DNS y WINS para el usuario, aprove-
chando la información que aparece en las propiedades de usuario del Active Directory.
IP Attribute String
Tipee el nombre de los campos de propiedades de usuario de Active Directory que contienen la
dirección IP asignada.
Netmask Attibute String
Tipee el nombre de los campos de propiedades de usuario de Active Directory que contienen la
máscara de subred asignada.
DNS Attribute String
Tipee el nombre de los campos de propiedades de usuario de Active Directory que contengan las
direcciones IP del Servidor DNS.
WINS Attribute String
Tipee el nombre de los campos de propiedades de usuario de Active Directory que contengan la
dirección IP del Servidor WINS.
Lease Time Attribute String
Tipee el nombre de los campos de propiedades de usuario de Active Directory que contengan el
tiempo permitido de leasing.
Idle Timeout Attibute String
Tipee el nombre de los campos de propiedades de usuario de Active Directory que contenga el
tiempo de espera inactivo asignado para el time-out.

Cuando configura el Firebox para usar un Servidor de autenticación, podrá comenzar a utilizar nombres de
usuario al crear políticas y política en el Policy Manager. Por ejemplo, puede poner límites a todas las políti-
cas, de manera de que las conexiones sean permitidas sólo para usuarios autentificados. Para hacer esto:
1 Cree un grupo en su Servidor de terceras partes que contenga todas las cuentas de usuarios.
2 En el Policy Manager, agregue una política de salida. Bajo el campo From cliquee en Add y luego en
Add User.
Aparecerá un cuadro de diálogo.
3 Desde la lista despegable de Choose Type seleccione Autenticación de Firewall, MUVPN o PPTP.
4 Desde la lista desplegable Auth Se rver seleccione el tipo de Se rvidor de autenticación que va a utilizar.
5 Desde User/Group seleccione User o Group.
6 Tipee el nombre de Usuario o Grupo creado en el Servidor de autenticación. Cliquee OK.

7 Configure el campo From con todas las políticas y políticas en el Policy Manager de la misma manera.
8 Tras sumar un usuario o grupo a una política, el WatchGuard System Manager, automáticamente agrega
una política WatchGuard de Autenticación a la configuración del dispositivo. Utilice esta política para
controlar el acceso a la página web de autenticación.


CAPÍTULO 11 Firewall: Detección y Prevención de
Intrusiones
Su dispositivo WatchGuard® Fireware® y las políticas que son generadas usando el Policy Manager le permi-
ten tener un estricto control sobre el acceso a su red. Y una política estricta ayuda a mantener a los hackers
alejados de sus redes. Pero hay otros tipos de ataques que ni siquiera una política cuidadosa puede comba-
tir. Sin embargo, una ajustada configuración de las opciones de manejo de paquetes en su Firebox puede
detener ataques tales como “SYN flood” (saturación), ataques Spoofing y las pruebas y testeos lanzados por
hackers, buscando puertos abiertos o direcciones de su red.
Regularmente, con su configuración por defecto, un firewall examina el destino y el origen de cada paquete
que recibe. El dispositivo “mira” la dirección IP y los puertos, y monitorea los paquetes buscando patrones
que demuestren que la red está en riesgo. Si aparece algún indicio extraño, usted podrá configurar su
Firebox para bloquear automáticamente cualquier posible ataque. Este método proactivo de detección de
intrusiones ayuda a mantener a los atacantes lejos de su red. Además, es posible adquirir una actualización
para el Firebox que le permita usar prevención de intrusos basada en firmas digitales. Para obtener más
información sobre esto, vea los capítulos correspondientes en este manual.
Usando las Opciones por Defecto para Manejo de Paquetes

El Firewall examina la fuente y el destino de cada paquete que recibe. Revisa también la dirección IP y el
número de puerto. El dispositivo, además, monitorea el comportamiento de los paquetes buscando patro-
nes que muestren que su red puede estar en riesgo.
El manejo de paquetes por defecto opera así:
• Rechaza un paquete que pueda constituir un riesgo a la seguridad, incluyendo aquellos que puedan
ser parte de un esquema de spoofing o un ataque SYN de “saturación”.
• Puede bloquear en forma automática todo el tráfico que provenga desde, o vaya hacia, una determi-
nada dirección IP.
• Agrega eventos al archivo de log.
• Lanza una trampa SNMP al servidor de administración SNMP.
• Envía una notificación sobre los posibles riesgos de seguridad.
Usted podrá configurara todas las opciones de manejo por defecto de paquetes recurriendo a la la caja de
diálogo Default Packet Handling.
1 Desde el Policy Manager seleccione Setup > Intrusión Prevention > Default Packet Handling.
ó
Haga click en el ícono de manejo de paquetes de la barra de tareas del Policy Manager.
Aparecerá la caja de diálogo Default Packet Handling.

2 Tilde la opción correcta para el patrón de tráfico que desea prevenir, tal como está explicado en la
sección siguiente. La configuración por defecto envía un mensaje al archivo de eventos (Log) cuando
uno de estos eventos ocurre. Para configurar una trampa SNMP o para las notificaciones del sistema de
manejo de paquetes haga click en Logging.
Ataques “spoofing”
Una opción que usan los atacantes para ganar acceso a las redes es falsificar una “identidad electrónica”.
Con este procedimiento de “Spoofing IP”, el atacante envía un paquete TCP/IP que usa una dirección IP
diferentes de la del host que la envía originalmente.
Con el sistema “IP Spoofing” habilitado, su Firebox realiza chequeos para asegurarse de que la fuente de la
dirección IP del paquete analizado pertenezca a la red correspondiente.
Para protegerse de ataques Spoofing, tilde la opción Drop Spoofing Attacks en la caja de diálogo de
Default Packet Handling.
Ataques sobre los caminos de las fuentes IP

Los hackers usan ataques sobre los caminos de las fuentes IP para enviar un paquete IP de manera de
encontrar la ruta que sigue el paquete para moverse a través de las redes. El at a cante podrá entonces ver la
respuesta a dichos paquetes y obtener info rmación sobre el sistema ope rativo de los equipos y redes a las
que está hostigando.
Para protegerse contra este tipo de agresiones, tilde la opción Drop IP Source Route, desde la caja de diá-
logo de Default Packet Handling.
Ataques del tipo “Ping de la muerte” (“Ping of death”)

“Ping of death” es un ataque DoS o de “denegación de servicios”. Los causan los hackers al enviar un
paquete IP cuyo tamaño exede los 65.535 bytes permitidos por el protocolo IP. Esto provoca que algunos
sistemas operativos se cuelguen o se reinicien.
Para proteger su red de este tipo de ataques, el Firebox tiene la opción Drop Ping of Death siempre fun-
cionando. Es una opción que no puede desactivarse.

Ataques al espacio de puertos y direcciones

Los atacantes usan diversos trucos para obtener información sobre redes y los Servidores. Los sondeos del
espacio de puertos tratan de determinar qué servicios usa un servidor o un host, y revisan la red buscando
qué servidores la integran.
Para protegerse contra este tipo de ataques, tilde Block Port Space Probes y Block Address Space Probes
desde la caja de diálogo Default Packet Handling. Luego podrá usar las flechas y elegir un número máximo
de sondeos de direcciones y de puertos IP para cada fuente de dirección IP.
Ataques de saturación “Flood”

En este tipo de agresión, los atacantes direccionan un gran volumen de tráfico hacia un sistema, de manera
de que éste no puede examinar, ni permitir tráfico de red. Por ejemplo, un ataque “de saturación” ICMP, se
verifica cuando la red recibe tantos comandos ping ICMP que agota todos sus recursos enviando las res-
puestas. Su dispositivo Firebox le permite protegerse contra los siguientes tipos de ataques de saturación:
• Ataques de saturación IPSec.
• Ataques de saturación IKE.
• Ataques de saturación ICMP.
• Ataques de saturación SYN
• Ataques de saturación UDP.
A los ataques de saturación también se los conoce como ataques de Denegación de Servicio (Denial of
Service – DoS). Podrá usar la caja de diálogo Default Packet Handling para configurar su Firebox de mane-
ra de evitar esos ataques. Tilde las opciones de ataques que desea prevenir. Y emplee las flechas para selec-
cionar el número máximo de paquetes que serán permitidos por segundo.
Sobre la configuración para ataques de saturación SYN

Para los ataques de saturación del tipo SYN, podrá fijar el límite a partir del cual el Firebox dará el aviso de
que hay un posible ataque SYN en curso. Sin embargo, no se desecharán paquetes si no se supera dicho
límite. Lo que ocurrirá es que, a una tasa del doble de dicho límite, todos los paquetes SYN será rechazados.
En el umbral intermedio entre el límite por usted fijado y el doble de dicho límite ocurrirá lo siguiente: si dos
paquetes llegan casi en simultáneo y comparten la src_IP, dst_IP y el total_length, entonces serán desecha-
dos. De otra manera, el 25% de los nuevos paquetes recibidos serán desechados.
Por ejemplo, suponga que el límite fijado es de 18 paquetes por segundo. Cuando su sistema los reciba, el
Firebox advertirá que es posible que haya un ataque SYN de saturación en progreso, pero no rebotará nin-
gún paquete. Si recibe 20 paquetes por segundo, el Firebox rechazará el 25% de los paquetes (5 paquetes).
Pero, si se reciben 36 o más paquetes, los últimos 18 o más serán desechados.
Paquetes sin “manejo” (unhandled)

Un paquete “unhandled” es un paquete que no se encuadra dentro de las reglas creadas en el Policy
Manager. El Firebox siempre deniega dicho paquete, pero es posible, además, seleccionar una función para
bloquear automáticamente la fuente. Esto agrega la dirección IP que envía dicho paquete a una lista tempo-
raria de Sitios Bloqueados. También es posible enviar un reseteo TCP o un mensaje de error ICMP al cliente
cuando un paquete “unhandled” es recibido por el Firebox.
Ataques distribuidos de Denegación de Servicios (DDoS)

Los ataques distribuidos de denegación de servicios (DDoS) son prácticamente similares a los ataques de
saturación. En un DDoS, los comandos ping ICMP provienen de muchas computadoras. Usted podrá usar la
caja de diálogo Default Packet Handling para configurar el Firebox de manera de protegerse contra ata-
ques DDoS. Utilice las flechas para fijar el máximo permitido de número de conexiones que sus servidores y
clientes podrán recibir por segundo.

Sitios Bloqueados
Sitios Bloqueados
La función Sitios Bloqueados ayuda a prevenir el tráfico proveniente de sistemas que usted ya sabe que
son riesgosos para la red. Luego de que identifique la fuente el tráfico sospechoso, podrá bloquear todas
las conexiones desde dicha IP. También podrá configurar el Firebox para enviar un mensaje al archivo de
Logs cada vez que dicha fuente intente conectarse a su red. Luego podrá revisar ese archivo y ver los servi-
cios que son usados para los ataques.
Un sitio bloqueado es una dirección IP que ya no podrá establecer una conexión a través de su Firebox. Si
un paquete proviene desde un sistema bloqueado no pasará a través del dispositivo.
Es posible usar dos tipos diferente de bloqueos de direcciones IP:
• Sitios permanentemente bloqueados — colocándolos en la configuración, en forma manual. A esto
se los conoce como una “lista de sitios bloqueados”.
• Sitios auto-bloqueados — Son direcciones de IP que el Firebox agrega o saca de una lista tempo-
ral de sitios bloqueados. El Firebox usa las reglas de manejo de paquetes que son específicas para
cada servicio. Por ejemplo, usted puede configurar al Firebox para bloquear direcciones IP que inten-
tan conectarse a un puerto bloqueado. Estas direcciones serán, entonces, bloqueadas por un tiempo
especificado. A esto se lo conoce como Lista de Sitios Bloqueados Temporariamente.
Es posible usar una lista de sitios temporariamente bloqueados con los mensajes logueados, de manera
de poder tomar decisiones eficientes al elegir qué direcciones IP deberá bloquear en forma permanente.
Bloqueando un sitio en forma permanente

Desde el Policy Manager se puede bloquear en forma permanente un equipo que usted sepa que consti-
tuye un riesgo. Por ejemplo, una computadora de alguna Universidad, que suele ser usada por hackers, es
una típica opción para bloquear.
1 Desde el Policy Manager seleccione Setup > Intrusión Prevention > Blocked Sites.
Aparecerá la caja de Blocked Sites Configuration.

Aparecerá una nueva caja de diálogo.

Sitios Bloqueados
3 Busque en la lista desplegable Choose Type, y elija un tipo de miembro entre Host IP, Network IP o
Host Range.
4 Elija el valor del miembro.
El tipo de miembro muestra si se trata de una dirección o un rango de direcciones IP. Cuando usted escriba una IP, tipee
todos los números y puntos No use la tecla de Tab o las flechas.
5 Haga click en OK.
El nuevo sitio aparecerá en la lista de sitios bloqueados.
Para bloquear sitios de spyware

Con el Firebox podrá bloquear la acción del spywares, si configura categorías de sitios con spyware que
deban ser bloqueadas.
1 En la caja de diálogo Blocked Sites, tilde la opción Enable Antispyware Blocklist blocking.
2 Por defecto, el Firebox bloquea todas las categorías de spyware cuando usted selecciona la opción
anterior. Para elegir cuales categorías de spyware bloquear, haga clic en Configure.
Aparecerá la caja de diálogo Antispyware Blocklist Categories.
3 Seleccione o deje vacías las siguientes opciones para permitir o no para estas categorías. Para
habilitar o deshabilitar todas simultáneamente tilde la casilla de verificación All Spyware Categories:
Adware
Una aplicación de software en la que aparecen banners de publlicidad mientras el programa trabaja. A
veces incluye código que graba la información personal de un usuario y la envía a desconocidos sin su
autorización ni conocimiento.
Dialer
Es un software que puede “tomar” el modem del usuario, llamar a diversos números preconfigurados y
acceder a sitios web inapropiados.
Downloader
Es un programa que obtiene e instala archivos. La mayoría obtiene dichos archivos desde un sitio web
o FTP determinado.
Hijacker
Es un tipo de malware que cambia los seteos preconfigurados del programa navegador y redirige a
quien lo usa a sitios no deseados.
Trackware
Cualquier software que usa la conexión de la PC para enviar información personal sin permiso del
usuario.

Sitios Bloqueados
Cómo usar una lista externa de sitios bloqueados

Se puede almacenar almacenar una lista de sitios bloqueados en un archivo externo. Este archivo debe ser
un “.TXT”. Para sumar un archivo externo a la lista de sitios bloqueados haga lo siguiente:
1 En la caja de diálogo de Blocker Sites Configuration, seleccione Import.
2 Busque el archivo y haga doble click o seleccione Open.
Los sitios de dicho archivo aparecerán en la lista de sitios bloqueados.
Cómo crear excepciones a la lista de sitios bloqueados

Un host que figure como excepción en la lista de sitios bloqueados no aparecerá en lamisma. Las reglas
automáticas no se aplican a dicho host.
1 Desde el Policy Manager seleccione Setup > Intrusión Prevention > Blocked Sites.
2 Haga click en la pestaña Blocked Sites Exceptions. Hga click en Add.
3 Use el listado desplegable del Choose Type y seleccione un tipo de miembro. Estas selecciones son
Host IP, Network IP, o Host Range.
4 Escriba el valor del miembro.
El tipo de miembro muestra si se trata de una dirección o de un rango de direcciones IP. Cuando usted escriba una IP,
tipee todos los números y puntos No use las tecla tab ni las flechas.
5 Seleccione OK.
Configurando los parámetros de log y notificación

Usted puede configurar el Firebox para que marque una entrada en el archivo del log cuando un Servidor
trata de usar un sitio bloqueado. También podrá setear la notificación cuando el host intenta obtener
acceso a un sitio bloqueado.
1 Desde la caja de diálogo Blocked Sites, elija Logging.

Aparecerá la caja de diálogo de Logging and Notification.
2 Fije los parámetros y las notificaciones para que cumplan sus políticas de seguridad:
Enter it in the Log
Cuando usted tilda esta opción, el Firebox envía un mensaje al log cada vez que se deniegue el acce-
so a un paquete por haber sido bloqueado por su configuración de puertos. La configuración por
defecto de todos los servicios del Firebox es enviar un mensaje al log cuando deniega el acceso a un
paquete.

Sitios Bloqueados
Send SNMP tramp

Cuando usted tilda esta opción el Firebox envía un evento de notificación al sistema de manejo del
SNMP. El filtro de SNMP captura y analiza el tráfico y constata que se ajuste a los valores permitidos.
Send notification
Cuando usted tilda esta opción, el Firebox envía una notificación cada vez que un paquete es rechaza-
do por la configuración de puertos bloqueados. Es posible configurar el Firebox para que realice una
de las siguientes acciones.
- E-mail: el Firebox envía un e-mail cuando ocurre el evento. Escriba la dirección de notificación en
la pestaña Notification de la interfaz del Servidor de Logs.
- Ventana Pop-up: el Firebox hace que aparezca una caja de diálogo en la estación de trabajo en la
que el evento ocurre.
Configurando el intervalo de lanzamiento y la cuenta de repetición
Usted podrá determinar el momento de las notificaciones, junto con la cuenta de repeticiones. Hágalo así:
Intervalo de Lanzamiento (Launch Interval)

Es el tiempo mínimo en minutos entre las diferentes notificaciones. Este parámetro previene el exceso
de notificaciones en un tiempo demasiado corto, para el mismo evento.
Cuenta de repeticiones (Repeat Count)

Esta cuenta registra cuán frecuentemente ocurre un evento. Cuando dicha cuenta llega a un valor
determinado, comienza a actuar un notificador especial. Este notificador marca una entrada especial
de repetición en el Log de eventos. Las notificaciones comienzan nuevamente luego de un número
determinado de eventos ya prestablecido.
Veamos un ejemplo de cómo se usan estos valores. Se configuran de la siguiente manera:

• Intervalo de lanzamiento = 5 minutos.
• Cuenta de repetición = 4
Un sondeo del espacio de puertos comienza a las 10:00 AM, y continúa cada minuto. Esto da inicio al siste-
ma de logueo y de notificación. Estos serán los tiempos y las acciones que ocurrirán:
1 10:00 Inicio del sondeo del espacio de puertos (primer evento)

2 10:01 Se lanza el primer evento de notificación (evento uno)
3 10:06 Segundo evento de notificación (reporta cinco eventos)
4 10:11 Tercer evento de notificación (informa cinco eventos)
5 10:16 Cuarto evento de notificación (informa cinco eventos)
El tiempo de lanzamiento de eventos controla el tiempo de intervalo de los eventos 1,2,3,4 y 5. Éste fue con-
figurado para actuar en 5 minutos. Multiplique la cantidad de repeticiones por el intervalo de lanzamiento.
Éste es el intervalo de tiempo en el que el evento debe continuar para iniciar el repetidor de notificaciones.
Bloquear temporariamente sitios con configuración de reglas

Podrá configurar las políticas y reglas para bloquear los sitios que intentan usar un servicio denegado.
1 Desde el Policy Manager, haga doble click en el icono de Políticas.
Aparecerá la caja de diálogo Properties.
2 En la pestaña Policy.
3 En la pestaña Properties tilde la opción Automatically block sites that attempt to connect.
Asegurese de configurar la lista desplegable Conection Are Denied.

Bloqueo de Puertos
Bloqueo de Puertos
Se puede bloquear los puertos que usted sabe que pueden ser usados para atacar su red. Esto bloqueará
determinados servicios de red externos. Cuando usted cierra un puerto, esta acción toma la prioridad por
sobre cualquier otra configuración previa de servicios.
Usted puede bloquear un puerto porque:
• Hacerlo puede proteger los servicios más sensibles. Esta opción le ayuda a protegerse
de posibles errores en el proceso de configuración del Firebox.
• Los sondeos maliciosos contra servicios sensibles pueden ser registrados especialmente en el archi-
vo de log de eventos.
Con su configuración por default, el Firebox ya bloquea determinados puertos. Esto le facilita una
básica que, usualmente, no necesita ser cambiada. Bloquea los paquetes TCP y UDP para los siguientes
puertos.
X Windows System (puertos 6000-6005)
La conexión del cliente a X Windows System (o X-Windows) no está encriptada y es peligrosa en
Internet.
X Font Server (puerto 7100)
Muchas versiones de X-Windows operan X Font Servers. Los X Font Servers operan como “superu-
suario” en algunos servidores.
NFS (puerto 2049)
El NFS es usualmente usado como servicio TCP/IP, cuando muchos usuarios emplean los mismos
archivos en una red. Pero las nuevas versiones presentan importantes problemas de autenticación y
seguridad. Proporcionar servicios NFS sobre Internet puede ser muy peligroso.
Nota
El mapeador de puertos frecuentemente usa el puerto 2049 para NFS. Si usted usa NFS, asegúrese de
que este emplee el puerto 2049 en todos sus sistemas.
rlogin, rsh, rcp (puertos 513, 514)

Estos servicios le dan acceso remoto a otras computadoras. Son un riesgo de seguridad y muchos
ataques aprovechan estos servicios.
RPC portmappers (puerto 111)
El Servicio RPC usa el puerto 111 para encontrar qué puertos usa un servidor determinado. El
Servicio RPC es muy fácil de atacar desde Internet.
Puerto 8000
Muchos fabricantes usan este puerto que suele presentar variados problemas de seguridad.
Puerto 1
El servicio TCPmux usa el puerto 1, pero no frecuentemente. Usted podrá bloquearlo para complicar
el trabajo de las herramientas que examinan puertos.
Puerto 0
Este puerto siempre está bloqueado por el Firebox. No podrá añadirlo a la lista de puertos bloquea-
dos ni podrá permitir tráfico a través del puerto O de su Firebox.
Nota
Si usted necesita permitir tráfico por ciertos puertos, debido al tipo de aplicativos que usa, le recomen-
damos permitirlo únicamente a través de un túnel IPSec o VPN, o que tenga acceso a través del puerto
que usa SSH, para mayor seguridad.

Bloqueo de Puertos
Evitando problemas con puertos bloqueados

Es posible tener algún inconveniente a causa de los puertos bloqueados. Deberá ser muy cuidadoso si blo-
quea números de puertos mayores que 1023. Hay muchos clientes que usan esa gama de números de puer-
to.
Bloqueando puertos en forma permanente

1 Desde el Policy Manager, seleccione Setup > Intrusión Prevention > Blocked Ports.
Aparecerá la caja de diálogo Blocked Ports.
2 Tipee el número de puerto. Haga click en Add.
Aparecerá el número de puerto bloqueado.
Bloqueo automático de direcciones IP que intentan usar puertos bloqueados

Es posible configurar el Firebox para bloquear en forma automática un servidor externo que intente ganar
acceso a un puerto bloqueado. En la caja de dialogo de Blocked Ports, tilde la opción Automatically Block
sites that try to use blocked ports.
Configurando log y notificaciones para los puertos bloqueados

El usuario podrá configurar su Firebox para que realice una entrada en el archivo de eventos cuando un ser-
vidor intente acceder a un puerto bloqueado. También podrá configurara notificaciones o setear el dispositi-
vo para que envíe una trampa SNMP hacia un administrador SNMP cuando un servidor intente obtener
acceso a un puerto blockeado.
Para configurar este log y los parámetros de notificación de puertos bloqueados, utilice el mismo procedi-
miento que el usado para sitios bloqueados, como se describió en la sección “Seteos de log y parámetros de
notificación”.

Bloqueo de Puertos

CAPÍTULO 12 Configuración de Políticas
Desde el Policy Manager se puede acceder a dos categorías de “Políticas”: filtro de paquetes y proxies.
Un filtro de paquetes examina cada encabezado de un paquete IP y es la función más básica de un firewall.
Sirve para controlar el tráfico de red que fluye desde y hacia el Firebox. Si el encabezamiento de un paquete
es legítimo, entonces el Firebox permitirá la circulación de dicho paquete. Pero si no lo es, será rechazado.
Además, puede guardar este incidente en un archivo especial de log o enviar un mensaje de error a la fuen-
te de dicho paquete.
Una proxy usa el mismo procedimiento para examinar el encabezado de los paquetes pero, además, analiza
el contenido de los mismos. Si dicho contenido no se adecua a los criterios fijados por el Administrador, se
denegará el acceso. Una proxy opera en el nivel de las aplicaciones, mientras que un filtro de paquetes tra-
baja en los niveles de red y de protocolos de transporte. Cuando se activa una proxy, el Firebox hace lo
siguiente:
• Elimina todos los datos de la red.
• Examina los contenidos para determinar su tipo y si cumplen con la norma RFC.
• Agrega los datos de red nuevamente.
• Envía el paquete a su destino.
Una proxy requiere más recursos y ancho de banda que un filtro de paquetes, pero puede buscar conteni-
dos dañinos, mientras que el filtro no.
En esta guía nos referiremos a los filtros de paquetes y a las proxies conjuntamente como “políticas”. A
menos que se diga en forma específica, los procedimientos comentados se refieren a ambos.
El Policy Manager muestra cada filtro de paquetes y proxy como un ícono. El tráfico será permitido o dene-
gado y usted podrá configurar los puertos, protocolos y otros parámetros específicos.
Watchguard Fireware incluye varios paquetes de filtros y proxies pre-configurados. Por ejemplo, si usted
desea un filtro para el tráfico Telnet, simplemente agregue la regla “Telnet”. Además, también podrá armar fil-
tros de paquetes personalizados para ciertos puertos y/o protocolos.
Creando Políticas para su Red

La política de seguridad de su organización es un conjunto de reglas que definen cómo se protegerá su red
y qué información entrará o no. Su Firebox rechazará todos los paquetes que no sean especialmente apro-
bados. Esta política de seguridad lo ayudará a proteger su red de:

Agregando Políticas
• Ataques que usen nuevos o diferentes protocolos IP.

• Aplicaciones desconocidas.
Cuando configure el Firebox por medio del Asistente Quick Setup, podrá configurar solamente políticas
básicas (clientes DNS, FTP y proxy de salida TCP) y las direcciones IP de interfaz. Si usted tiene otras aplica-
ciones y tráfico de red que deben ser examinados deberá:
• Configurar políticas en el Firebox para dejar pasar el tipo de tráfico que haga falta.
• Fijar cuales son los hosts aprobados y las propiedades de cada política.
• Balancear los requerimientos para proteger la red versus las necesidades de sus usuarios para
obtener acceso a los recursos externos.
Recomendamos que al configurar el Firebox fije límites en los accesos de salida.
Podrá agregar políticas por medio del Policy Manager. Éste muestra íconos o una lista para identificar las
políticas ya configuradas en el Firebox. Para cada política podrá:
• Fijar cuáles son las fuentes y destinos de tráfico permitidos.
• Fijar las reglas de filtrado.
• Habilitar y deshabilitar políticas.
• Configurar propiedades como Calidad de Servicio (QoS), NAT, logging, etc.
Cambiando la vista del Policy Manager

El Policy Manager admite dos “vistas”: Íconos grandes y Detalles. La primera muestra cada política como un
ícono. Para cambiar la vista a “Íconos Grandes”, selecciones “Large Icons” desde el menu View.
Vista de Íconos Grandes

Para cambiar a la vista de Detalles, selecciones Details desde el menu Views. En esta vista, cada política apa-
recerá como una fila. Podrá ver información de la configuración, incluyendo fuente, destino y parámetros de
logging y notificación.
Vista de Detalles
Agregando una Política

Puede recurrir al Policy Manager para agregar un filtro de paquetes o una proxy a la configuración. Para
agregar políticas:
1 Desde el Policy Manager, haga click sobre el signo (+) en la barra de tareas.
También puede elegir Edit > Add policies y aparecerá la caja de diálogo.
2 Haga click en el signo (+) de la carpetas Packet Filters o Proxies para expandirlas.
Aparecerá una lista de filtros de paquetes o proxies.
3 Haga click en el nombre de la política a agregar.

Cuando seleccione una política, aparecerá el ícono de políticas en el área bajo los botones New, Edit y Remove. Además la
caja “Details” mostrará la información básica de dicha política.

4 Haga click en Add

Aparecerá una nueva caja de diálogo de las propiedades.
5 Aquí podrá cambiar el nombre de la “política”, Esta información aparecerá en la vista “Details” del Policy
Manager. Para cambiar el nombre, escriba uno en la caja de diálogo Name.
6 Haga click en OK para cerrar la caja de diálogo.
Podrá agregar una o más políticas mientras la caja esté abierta.
7 Haga click en Close.
La nueva política aparecerá en el Policy Manager. Podrá ahora fijar las propiedades de dichas políticas tal como se mues-
tra en el apartado “Configuración de propiedades de Políticas”.
Cómo hacer una Plantilla Personal de políticas

El Policy Manager incluye muchas plantillas preconfiguradas de filtros de paquetes. Pero usted también
puede hacer sus propias plantillas. Una plantilla incluye los puertos y protocolos característicos de cierto
tráfico de red. Puede ser necesario hacer una plantilla a medida, si –por ejemplo- utiliza ciertos aplicativos
por detrás del Firewall.
1 En el Policy manager, haga click en (+) sobre la barra de tareas.
Podrá también acceder seleccionado Edit > Add policies y se abrirá la caja de diálogo Add Policies.

2 Haga click en New.

Aparecerá la caja de diálogo New Policy Template.
3 En la caja de diálogo Name, escriba el nombre de la plantilla de la política.

Este nombre deberá ser distinto de los demás nombres de reglas listados en la caja de diálogo Add Policy. El nombre apa-
recerá en el Policy Manager como tipo de política. Esto le ayudará a encontrar la política cuando quiera cambiarla o elimi-
narla.
4 En la caja de texto Description escriba una breve descripción de la nueva política.
Esto aparecerá detallado en la sección Details, cuando haga click sobre el nombre de la política en la lista User Filters.
5 Elija el tipo de política Packet Filter ó Proxy.
La opción Proxy le habilita estas opciones:
- DNS
- FTP
- HTTP
- TCP
- SMTP
6 Para agregar protocolos a esta política, haga click sobre Add.

Aparecerá la caja de diálogo de Add Protocol.
7 Desde el menú desplegable Type, seleccione Single Port o Port Range.

8 Desde el menú desplegable Protocol, seleccione el protocolo de la nueva política. Para más información
sobre protocolos de red, consulte la Guía de Referencia en el sistema de ayuda en línea. Cuando elija
Single Port podrá seleccionar:
- TCP
- UDP
- GRE
- AH
- ESP
- ICMP
- IGMP

Configuración de las Propiedades de una Política
- OSPF
- IP
- Any
Cuando seleccione Port Range, podrá elegir TCP o UDP.
9 Desde la lista desplegable Server Port, elija el puerto al que se aplicará esta nueva política. Si selec-
ciona Port Range, seleccione el puerto del servidor de partida y el de llegada.
10 Haga click en OK.
El Policy Manager agregará los valores en la caja de diálogo New Policy Template. Asegúrese de que el nombre, la infor-
mación y la configuración de esta política sean correctas. Si es necesario, haga click en Add para configurar más puertos
para esta política. Repita el procedimiento hasta que termine con todos los puertos de la política.
Aparecerá la caja de diálogo de Add Policy, con la política recién configurada en la carpeta Custom.
Agregando más de una política del mismo tipo

Si su política de seguridad lo permite, podrá agregar la misma política más de una vez. Por ejemplo, podrá
configurar un límite en el acceso a la web para la mayor parte de los usuarios, mientras permite un acceso
completo a los directivos. Para hacerlo podrá agregar dos políticas diferentes, con diferentes propiedades,
para el tráfico saliente:
1 Agregue la primera política.
2 Cambie el nombre de la política para darle la funcionalidad en su política de seguridad y agregar la
información necesaria
En este ejemplo, la llamaremos “acceso_web_restringido”.
3 Haga click en OK. Aparecerá la caja de diálogo Properties. Fije las propiedades deseadas como se
muestra en el apartado “Configurando las propiedades de las reglas”.
4 Agregue la segunda política.
5 Haga click en OK. Aparecerá la caja de diálogo de Propiedades. Fije las propiedades.
Borrando una política

Cuando su política de seguridad se modifique, deberá eliminar una o más políticas. Para hacerlo, debe
borrarla primero desde el Policy Manager. Luego debe guardar la nueva configuración en el Firebox.
1 Desde el Policy Manager, haga click en la política.
2 Desde el Policy Manager, haga click sobre el botón X de la barra de tareas.
Podrá llegar también desde Edit > Delete Policy.
3 Cuando le pida confirmación, haga click en Yes.
4 Guarde la configuración en el Firebox y reinícielo. Seleccione File > Save > To Firebox.
Escriba la passphrase de configuración. Tilde la opción Save to Firebox. Haga click en Save.
Si usted agregó una política y desea luego cambiar sus propiedades, haga doble click en el ícono de
Políticas para abrir la caja de diálogo Edit Policy Properties.

Configurando reglas de acceso, fuentes y destinos

Podrá usar la pestaña “Policy” para configurar las reglas de acceso para una política determinada.
La pestaña “Policy” muestra:
• Si el tráfico que usa esta política se permite o se deniega.
• Quién usa esta política para iniciar una conexión con usuarios, servidores o redes alcanzables a través
del Firebox®.
• Los destinos del tráfico para esta política.
Desde la lista From, podrá agregar las computadoras y las redes que pueden enviar o no tráfico de red cum-
pliendo con dicha política. En la lista To se podrá agregar computadoras y redes a las que el tráfico que sale
del Firebox podrá dirigirse si cumple con todas las especificaciones de la política. Por ejemplo, puede confi-
gurar un filtro para paquetes ping, de manera de permitir tráfico ping desde todas las computadoras de una
red externa, a un único servidor web en su red opcional. Para más información sobre los alias que aparecen
como opciones en las listas From y To, vea la sección “Trabajando con alias”.
Podrá usar estas opciones para configurar cómo manejar el tráfico.
Permitido (Allowed)
El Firebox permite el tráfico que usa esta política, si obedece todas las reglas configuradas.
Denegado (Denied)
El Firebox denegará el tráfico que se ajuste con esta política. Usted podrá configurar que se marque
una entrada en el archivo de log, cuando una computadora intenta usar esta política. También puede
agregar en forma automática una computadora, o red, que intente hacer una conexión con esta políti-
ca hacia un sitio integrante de la lista de sitios bloqueados (configurados en la pestaña Properties).
Denegado (con envío de reseteo) (Denied (send reset))
El Firebox deniega todo el tráfico que se ajusta con esta política. Puede también agregar automática-
mente una computadora o red que intente comenzar una conexión con esta política hacia alguno de
la lista de sitios bloqueados (configurados en la pestaña Properties). El Firebox además, envía un
paquete de reseteo (RST) que le avisa al cliente que la sesión se deniega y se cierra.
1 Desde la pestaña Policy, configure qué conexión estará permitida, denegada o denegada con reseteo.

2 Para agregar miembros a esta política, haga click en Add en el campo From o To de la lista de
miembros.
3 Use la caja de diálogo Add Address para agregar una red, direcciones IP o usuarios específicos a una
política. Haga click en Add User o en Add Other.
Podrá seleccionar un ítem desde la ventana Available Members y hacer click en Add, o hacer doble
click en un ítem de esta ventana. La lista de miembros disponibles contiene los alias que usted agregó
y los ya preconfigurados por el Policy Manager.
4 Si usted selecciona Add Other, desde la lista desplegable Choose Type, elija el rango de host, la direc-
ción IP del host o la dirección IP de la red que desea agregar. En la caja de opciones Value escriba la
dirección de red correcta, el rango o las direcciones IP que desee. Luego haga click en OK.
Aparecen los miembros o las direcciones elegidas en las listas Selected Members y Addresses.
5 Si selecciona Add User, elija el tipo de usuarios o grupos, elija el servidor de autenticación y si quiere
agregar un usuario o un grupo.
Repita el proceso para agregar otras direcciones y miembros. Su política podrá tener más de un objeto
en el campo de From o de To.
6 Haga click en OK.
Configurando una acción de Proxy

Si se crea una política de proxy, podrá usa la pestaña Properties de la caja de diálogo Policy Properties
para configurar la acción de proxy deseada. Para más información vea el capítulo de este manual
“Configurando Políticas de Proxy”.
Este campo estará grisado (deshabilitado) si usted crea una política de filtro de paquetes.

Cómo fijar las propiedades de logging

Use la pestaña Properties, de la caja de diálogo Policy properties, para configurar las propiedades de log-
ging para una política. Es posible hacer que el Firebox grabe un mensaje de log cuando una política denie-
gue el acceso de un paquete. También podrá generar una notificación cuando un paquete sea permitido o
denegado.
1 En la pestaña Properties, haga click en Logging.
Aparece la caja de diálogo Logging and Notification.
2 Fije los parámetros y la notificación
Enter it in the log

Cuando usted habilita esta opción, el Firebox envía un mensaje de log si encuentra tráfico del tipo
seleccionado en la lista Category. La resolución de dominios de nombre del Firebox puede demorar el
tiempo en que el Firebox envía el mensaje al archivo del log. La configuración por defecto de todas las
políticas es enviar un mensaje de Log cuando se deniega la acción de un paquete.
Send SNMP Trap
Cuando usted habilita esta opción, el Firebox envía una notificación al sistema de administración del
SNMP. La trampa identifica la ocurrencia de determinada condición, como un incidente que haya
superado un umbral predeterminado.
Send Notification
Cuando se habilita esta opción, el Firebox envía una notificación si identifica tráfico del tipo seleccio-
nado en la lista Category. Usted podrá fijar los parámetros de notificación en el servidor de Logging.
Para más información sobre esto, vea el capítulo Registro de Eventos y Notificación. También podrá
configurar el Firebox para que realice una de las siguientes acciones:
- E.mail: el Firebox envía un correo electrónico cuando ocurre determinado evento. Fije la dirección
de e-mail en la pestaña Notification en la interfaz de usuario del Log Server.
- Ventana emergente: el Firebox puede hacer aparecer una caja de diálogo en la estación de admi-
nistración cuando ocurre determinado evento.
Usted puede controlar el momento de la notificación junto con el contador de repeticiones
(Repeat Count). Para información sobre cómo usar las configuraciones del “Launch Interval” y el
“Repeat Count”, vea la próxima sección del manual.
Configurando el “Launch Interval” y el “Repeat Count”

Usted podrá controlar el momento de la notificación junto con el contador de repeticiones recurriendo a
estos parámetros:

Launch Interval
Es el tiempo mínimo, en minutos, entre diferentes notificaciones. Sirve para evitar notificaciones
múltiples sobre eventos similares que se verifiquen en un corto período de tiempo para el mismo
evento.
Repeat Count
Este contador registra la frecuencia con la que ocurre un evento. Cuando ésta llega al valor seleccio-
nado, se inicia un notificador especial de repeticiones. El notificador marca entradas repetidas de
ciertos eventos. La notificación comienza nuevamente luego de cierto número de eventos.
He aquí un ejemplo de cómo usar estos dos valores. Los valores están configurados como:
• Intervalo de lanzamiento = 5 minutos
• Contador de repeticiones = 4
Si lanzan contra el Firebox un sondeo del espacio de puertos a partir de las 10:00, que se repite una vez
por minuto, se disparará el mecanismo de logging y notificaciones. Lo que ocurriría es lo siguiente:
1 10:00 Registro del primer intento de sondeo del espacio de puertos (primer evento)
2 10:01 Se activa el sistema de notificación (1 evento)
3 10:06 Segunda notificación (informa de 5 eventos)
4 10:11 Tercera notificación (informa 5 eventos)
5 10:16 Cuarta notificación (informa 5 eventos)
Los intervalos de lanzamiento controlan los intervalos de tiempo entre los eventos a), b), c), d) y e). Éste fue
configurado en intervalos de 5 minutos. Multiplique el conteo de repetición por el intervalo de lanzamien-
to. Ése será el intervalo de tiempo durante el cual un evento deberá continuar para iniciar el notificador de
repeticiones.
Si la política configurada es una proxy, aparecerá la lista desplegable Proxy con los íconos View/Edit Proxy
y Clone Proxy. Para más información sobre cómo usar estas opciones vea el capítulo “Configurando las
políticas de proxies” de este manual.
Nota
Una política puede o bien permitir o bien denegar tráfico, pero no ambas cosas. Si usted desea que
su Firebox envíe mensajes de logging para ambas situaciones, tráfico permitido y denegado, deberá
configurar diferentes políticas para cada situación.
Configurando NAT estática

NAT estática también es conocida como “forwardeo” de puertos. NAT estática es una NAT puerto-a-host. Un
host envía un paquete desde una red externa a una dirección y puerto especificado y público. La NAT está-
tica cambia esta dirección a una dirección y puerto ubicados por detrás del firewall. Para más información
sobre NAT, consulte el capítulo correspondiente en este manual.
A causa de cómo opera NAT estática, es un recurso que sólo está disponible para políticas que usan un
puerto especificado, que incluyen TCP y UDP. Una política que use un protocolo diferente, no podrá usar
NAT estática entrante. El botón NAT en la caja de diálogo Properties de esta política no funcionará. Por
otra parte, usted tampoco podrá usar NAT estática con una política “Any”.
Para ayudar a combatir el spam, muchos servidores que reciben correos electrónicos hacen una búsqueda
inversa de las direcciones IP de donde proviene el correo. El servidor de recepción hace esto para compro-
bar que el servidor de envío sea un servidor de mail autorizado para dicho dominio.

Por todo esto, recomendamos que usted utilice una dirección IP externa al Firebox como registro MX de su
dominio. Un registro MX (Mail Exchange) es un tipo de registro DNS que establece cómo serán ruteados los
e-mails a través de Internet. El registro MX le muestra a los servidores cómo enviar un e-mail y a que servi-
dor de correo enviarlo primero según diversas prioridades.
Usualmente, las conexiones que comienzan desde una red segura y salen a Internet, muestran las direccio-
nes IP externas del Firebox como la “fuente” de los paquetes IP. Si la dirección IP externa de su Firebox no es
su dominio MX registrado, algunos servidores remotos rechazan el mail enviado. Toman esta acción porque
la sesión SMTP no les muestra su registro MX DNS como la fuente de las direcciones IP de la conexión. Si su
Firebox no usa el registro MX de sus direcciones IP como la interfaz externa de sus direcciones IP, aun podrá
recurrir a mapeos NAT 1-a-1, para hacer que el correo saliente muestre las direcciones IP correctas. Vea más
información sobre NAT 1-a-1 en el capítulo “Trabajando con Firewall NAT”.
1 Desde el Policy Manager, haga doble click en el ícono de la política.
2 Desde la lista desplegable Connections are, seleccione Allowed.

Para usar NAT estático la política debe dejar pasar el tráfico entrante.
3 Debajo de la lista To, haga click en Add.
Aparecerá la caja de diálogo Add Address.
4 Haga click en NAT.
Aparecerá la caja de diálogo Add Static NAT.
5 En la lista desplegable External IP Address, seleccione las direcciones “Public” para utilizar esta política.
6 Escriba las direcciones IP internas.
Estas son las de destino de la red confiable.
7 De ser necesario, elija Set internal port to different port than service.
Usualmente, esto no se utiliza. Le permite al Administrador cambiar el destino del paquete, no sólo a un host especificado
interno, sino también a un puerto diferente. Si usted selecciona esta opción, escriba un número de puerto distinto, o use
los botones con las flechas de la caja Internal Port.
8 Haga click en OK para cerrar la caja de diálogo Add Static NAT.
Aparecerá la ruta de la NAT estática en la lista Members and Addresses.
9 Haga click en OK para cerrar la caja de diálogo Add Address. Haga click en OK para cerrar la caja de
diálogo Properties de la política.
Nota
Algunas organizaciones tienen más de un servidor que usa el mismo protocolo (por ejemplo dos ser-
vidores SMTP) y desean utilizar NAT estática para cada servidor. Usted puede hacer esto si su Firebox
está configurado en modo ruteado y si usted tiene más de una dirección IP pública para dar a su
Firebox. Configure dos políticas en el Policy Manager. La primera establece la NAT estática entre la
dirección IP primaria externa del Firebox y su primer servidor. La segunda política fija la NAT estática
entre la dirección IP secundaria de la interfaz externa de su Firebox y su segundo servidor.

Estableciendo propiedades avanzadas

Podrá usar la pestaña Advanced de la caja de diálogo Edit Policy Properties para fijar el cronograma de
una política, implementar la configuración de Calidad de Servicio (QoS), aplicar reglas NAT, configurar el
manejo de errores ICMP para dicha política y fijar un tiempo de espera o time-out personalizado.
Para fijar un cronograma

Podrá fijar un cronograma de operación para esta política. Para eso, puede recurrir a las plantillas de cro-
nogramas desde la lista desplegable de la opción Schedule, o podrá crear su propio cronograma persona-
lizado. Para más información vea el capítulo “Estableciendo la configuración básica”, en este manual.
Observe que los cronogramas pueden ser compartidos por una o más políticas.
Aplicar una acción de calidad de servicio (QoS)

Si su Firebox cuenta con el Fireware Pro, podrá asignar calidad de servicio (QoS) a las acciones de las políti-
cas. Use para eso el botón de la derecha para crear una nueva acción QoS. Luego de creada, ésta aparecerá
en la lista desplegable de QoS. Para más información vea la sección “Creando Acciones QoS” del capítulo
26.
Observe que las acciones pueden ser compartida por una o más políticas.
Aplicar reglas NAT

Podrá aplicar reglas de Network Address Translation (NAT) a una política:
1-a-1 NAT
Con este tipo de NAT, el Firebox utiliza rangos de IP privadas y públicas fijadas por el Administrador,
como se describe en “Usando 1-to-1 NAT”.
NAT dinámica
Con este tipo de NAT, el Firebox mapea direcciones IP privadas a direcciones IP públicas. Seleccione
Use Network NAT Settings, si desea usar el conjunto de reglas de NAT dinámica para el Firebox.
Seleccione All Traffic in this policy si prefiere aplicar NAT a todo el tráfico de esta política.

Fijando la Política de Precedencia
También tendrá la opción de fijar un NAT dinámico a una dirección IP origen para cualquier política que use
NAT dinámica. Esto le asegura que cualquier tráfico que use esta política muestre como origen una direc-
ción especificada de su rango de direcciones IP externas o públicas. Esto sirve para forzar al tráfico saliente
SMTP de manera de que muestre el registro de su dominio MX cuando las direcciones IP de la interfaz exter-
na del Firebox no sean las mismas que sus direcciones IP MX.
Las reglas 1-a-1 NAT tienen precedencia sobre las reglas de NAT dinámica.
Nota
Si utiliza multi-WAN, no podrá elegir la opción Set Source IP. Use esta posibilidad sólo cuando su
Firebox utilice una única interfaz externa.
Configurando el manejo de errores ICMP

Podrá fijar las opciones de manejo de errores ICMP asociados con esta política. Desde la lista desplegable
elija:
Use Global Settings
Utilice la configuración de manejo de errores ICMP globales para el Firebox. Para más información vea
“Manejo de errores ICMP” en el capítulo 6.
Specify Setting
Configure un parámetro que desplace a la configuración global. Haga click en ICMP Setting. En la caja
de diálogo ICMP Error Handling Settings, seleccione las opciones que desee. Para más información
sobre estas opciones, vea “Manejo de errores ICMP” en el capítulo 6.
Fijando un tiempo personalizado de timeout

Para fijar un tiempo personalizado de timeout, haga click en Specify Custom Idle Timeout y haga click en
las flechas correspondientes para elegir el número de segundos antes de un timeout. Este seteo específico
predomina por sobre el tiempo de inactividad de timeout configurado para la política.
La precedencia es la secuencia en la cual el Firebox examina el tráfico de red y aplica una regla de política. El
Firebox rutea el tráfico siguiendo las reglas hasta encontrar la primera política que coincida con el tráfico en
cuestión. El Policy Manager del Fireware, ordena automáticamente las políticas; desde la más detallada hasta
la más general. Pero usted podrá también fijar manualmente su propia precedencia.
Usando orden automático

El Policy Manager del Fireware, en forma automática, configura el orden de las políticas desde la más deta-
llada hasta la más general. Cada vez que se agrega una nueva política, el Policy Manager del Fireware, com-

para la nueva regla con todas las reglas existentes en el archivo de configuración.
Para fijar precedencias, el Policy Manager recurre a los siguiente criterios:
1 Protocolos establecidos para el tipo de política
2 Reglas de tráfico del campo To
3 Reglas de tráfico del campo From
4 Acción del Firewall.
5 Cronograma.
6 Orden alfanumérico basado en el tipo de política
7 Orden alfanumérico basado en el nombre de la política
Comparando el tipo de política

El Policy Manager usa estos criterios en orden para comparar dos políticas, hasta que encuentra que
ambas son iguales o que una es más detallada que la otra:
1 Una política Any, siempre tiene la precedencia más baja. Para más información sobre las políticas Any,
vea “Any” en la página correspondiente.
2 Chequea el número de los protocolos TCP 0 (any) o UDP 0 (any). La política con el número más bajo
tiene la precedencia más alta.
3 Chequea el número de puertos individuales para los protocolos TCP y UDP. La política con el número
más pequeño tiene precedencia.
4 Cuenta el número de puertos únicos para los protocolos TCP y UDP. La política con el número más
pequeño tiene precedencia.
5 Analiza los protocolos basados en su valor de IP. La política con el resultado mayor tiene precedencia.
Si el Policy Manager no puede fijar una precedencia cuando compara tipos de políticas, examinará las
reglas de tráfico.
Comparando las reglas de tráfico

El Policy Manager usa estos criterios en orden para comparar las reglas más generales de tráfico de una
política con las reglas más generales de tráfico de una segunda política. Le asigna una mayor precedencia
a la política con las reglas de tráfico más detalladas. La lista de reglas de tráfico más detalladas por sobre
las generales es la siguiente:
1 Direcciones de host
2 Rango de direcciones IP (más pequeñas que la subred con la cual se compara)
3 Subred
4 Rango de las direcciones IP (más grande que la subred con la cual se compara)
5 Autenticación de usuario
6 Autenticación de grupo
7 Interfaz Firebox
8 Any-external, Any-trusted, Any-optional
9 Any (cualquiera).
Por ejemplo, para comparar estas dos políticas:
http-1
De: Confiable, User1
http-2
De:10.0.0.1, Any-Trusted
“Trusted” es la entrada más general para http-1,“Any-trusted” es la entrada más general para http-2. Como
“trusted” está dentro de “Any-trusted”, http-1 es la regla de tráfico más detallada. Esto es así, a pesar de que
http-2 incluya una dirección IP. Esto se verifica porque el Policy Manager usa estos criterios en secuencia
para comparar las reglas más generales de una política con las reglas más generales de una segunda polí-
tica.

Si el Policy Manager no puede fijar la precedencia cuando compara las reglas de tráfico, examina las accio-
nes de firewall.
Comparando las acciones de firewall

El Policy Manager compara las acciones del firewall de dos políticas para fijar la precedencia. Las acciones de
precedencia de firewall van desde las más altas hasta las más bajas:
1 Denegación o denegación (envía reseteo)
2 Proxies permitidas
3 Filtros permitidos
Si el Policy Manager no puede fijar las precedencias cuando compara las acciones del firewall, examina los
cronogramas.
Comparando cronogramas
El Policy Manager compara los cronogramas de dos políticas para fijar la precedencia. Ésta se fija desde la
más alta hacia la más baja:
1 Siempre deshabilitada
2 A veces habilitada
3 Siempre habilitada
Si el Policy Manager no puede fijar las precedencias cuando compara los cronogramas, analiza los nombres
de políticas.
Comparando tipos y nombres

Si las políticas comparadas no se ordenan por los principios anteriores, el Policy Manager las ordena en
orden alfanumérico. Primero recurre al tipo de política, luego usa el nombre de la política. Como no hay dos
políticas que puedan compartir el tipo y nombre, éste es el criterio final para sentar precedencia.
Fijar la precedencia en forma manual

Para cambiar el modo de elección de automático a manual seleccione View > Auto-order mode, para que
el tilde desaparezca. Se le pedirá confirmar esta elección.
Para cambiar el orden de estas políticas:
• Seleccione la política cuyo orden desee cambiar. Haga click en las flechas arriba o abajo en la barra de
tareas del Policy Manager.
o
• Seleccione la política cuyo orden desea cambiar y arrástrela a su nueva ubicación.


CAPÍTULO 13 Configurando Políticas de Proxy
Los filtros de proxy cumplen más funciones que los filtros de paquetes. Una proxy examina los contenidos
de un paquete y no únicamente su encabezado. Por esto, la proxy es capaz de encontrar contenidos prohibi-
dos, escondidos o embebidos en una transferencia de datos. Por ejemplo, una proxy SMTP examinará todos
los paquetes SMTP que lleguen por e-mail al sistema, para buscar contenidos prohibidos como, un progra-
ma ejecutable o un archivo con scripts. Los atacantes usan frecuentemente este tipo de métodos para
enviar virus. Una proxy SMTP “sabe” que dichos contenidos no están permitidos, mientras que un filtro de
paquetes no es capaz de detectar contenido no autorizado durante la transferencia de datos.
Las proxies de WatchGuard® también detectan anomalías en los protocolos de las aplicaciones y detienen
paquetes que no están correctamente configurados. Si un paquete SMTP no está bien “armado” o contiene
algo no esperado, no podrá atravesar su Firebox®.
Las políticas de proxy operan en los niveles de las aplicaciones, redes y de protocolos de transporte. En cam-
bio, las políticas de paquetes de filtro operan sólo sobre la red y sobre los protocolos de transporte. En otras
palabras, una proxy “toma” cada paquete, remueve la capa de red y examina su contenido. Luego, le devuel-
ve esa información y lo despacha a su destino final, dentro de una red segura y hacia otras redes opcionales.
Esto, para un volumen dado de tráfico de red, agrega más trabajo al Firewall. Pero la proxy utiliza métodos
de seguridad a los que un filtro de paquetes no puede recurrir para capturar paquetes peligrosos.
Definiendo Reglas
Un conjunto de reglas es un grupo de reglas basado en una característica de la proxy. Cuando se configura
una proxy, se pueden definir diversos conjuntos de reglas para esa proxy en la opción Categories. Los con-
juntos de reglas cambian cuando usted cambia la acción de una proxy desde la ficha Properties, en la ven-
tana de configuración de proxies.
Una proxy puede tener más de una acción de proxy asociada. Por ejemplo podrá usar un grupo de reglas
para los paquetes enviados a un servidor de correo protegido por el Firebox pero, además, podrá definir un
grupo de reglas diferentes para ser aplicadas a los mensajes de e-mail enviados a Internet a través del fire-
wall. También podrá usar las acciones de una proxy ya existente o clonar una acción de proxy actual y cam-
biarla para generar una nueva acción de proxy.
Una regla incluye diversos tipos de contenidos, patrones o expresiones y también la acción que el Firebox
realizará al constatar que el contenido de un paquete coincide con alguna de las reglas. Éstas además con-
tienen configuraciones relacionadas con el momento en que el Firebox envía alarmas o incluye eventos en
su archivo de Logs (registros).
Para la mayor parte de las características de una Proxy, el Firebox ya tiene un conjunto de reglas preinstala-

Definiendo Reglas
das. Pero usted podrá editar esas reglas de un conjunto y cambiar las acciones. También podrá agregar sus
propias reglas.
Los campos usados para las definiciones de reglas parecen similares para cada categoría de “conjuntos de
reglas”. Abajo se ve una “vista simple”. También puede seleccionar Change View para tener una “vista avan-
zada”.
Use la vista avanzada para mejorar la función de coincidencias de una proxy. Desde la vista avanzada
podrá configurar coincidencias exactas y expresiones regulares compatibles con Perl. En la vista simple
podrá configurar comodines de patrones que coincidan con expresiones regulares simples.
Agregando conjuntos de reglas

Desde la vista simple, siga estos pasos para agregar nuevas reglas:
1 En la caja de diálogo Pattern escriba un patrón que use reglas simples de expresión sintáctica.
El comodín para cero o más de un carácter es “*”.
El comodín para un carácter es “?”.
Aparecerá una nueva regla en la caja de reglas.
3 En la sección Actions to take, del menú desplegable If matched, se fija la acción a cumplir si el conte-
nido de un paquete coincide con una de las reglas del listado. La lista desplegable de None matched fija
las acciones a seguir si el contenido de un paquete no coincide con una regla de la lista. Debajo se ofrece
una lista de todas las acciones posibles. Las acciones Strip y Lock se aplican sólo a prevención de intrusio-
nes basadas en firmas.
Allow
Permite la conexión.
Deny
Deniega un pedido específico pero mantiene -si es posible- la conexión.
Drop
Deniega el pedido y además corta la conexión.
Block
Deniega el pedido, corta la conexión y agrega el host de la fuente al listado de sitios bloqueados.
Para más información sobre esto, vea el capítulo “Configuración de Sitios Bloqueados”, en el capítulo
correspondiente.
Strip
Remueve el adjunto de un paquete y lo descarta. Las otras partes del paquete son enviadas a través del
Firebox hacia su destino.

Definiendo Reglas
Lock
Traba un adjunto y lo modifica de manera tal que el usuario no podrá abrirlo. Solo el Administrador
podrá destrabar el archivo.
3 Una alarma es un mecanismo que le advierte al usuario cuando una regla de proxy se aplica al tráfico de
red. Elija la opción Alarm para configurar una alarma para este evento. Para fijar las opciones de alarma,
seleccione Proxy Alarm desde la lista Categories, en el lado izquierdo de la ventana de configuración del
proxy. Usted podrá enviar una trampa SNMP, un e-mail o hacer que aparezca una ventana emergente.
4 Elija la opción Log para que se inscriba un evento en el archivo de registro de eventos.
Usando la vista de reglas avanzadas

Para ver una vista detallada de las reglas actuales, haga click sobre Change View. La vista avanzada muestra
la acción determinada para cada regla. También tiene botones que le servirán para editarla, clonarla (use
una regla existente y clónela para comenzar una nueva), borrar o resetear reglas. Para regresar a la vista sim-
ple, haga click sobre Chage View nuevamente. No podrá volver a la vista simple si las reglas habilitadas tie-
nen diferentes acciones, alarmas o configuraciones de eventos. En ese caso deberá usar vista avanzada.
Cómo cambiar la precedencia de las reglas

El Firebox usa las siguientes pautas para aplicar las reglas:
• Sigue las reglas en orden, desde arriba hacia abajo de la ventana.
• Cuanto un ítem filtrado coincide con una regla, el Firebox ejecuta la acción relacionada.
• El contenido puede coincidir con una o más de estas reglas o con la regla por defecto, pero sólo se
aplica la primera.
• El Firebox usa la regla por defecto si no se aplica ninguna otra. Ésta siempre es la última que el disposi-
tivo aplica a los contenidos.
Para cambiar la secuencia de reglas, deberá usar la vista avanzada:

1 Haga click en Change View para acceder a la Vista Avanzada de las reglas ya creadas.

Personalizando el registro y las notificaciones para las reglas Proxy
2 Seleccione una y muévala hacia arriba o abajo en la lista. Haga click en los botones de Up o Down para
mover la regla.

Una alarma, un mensaje de registro o una notificación es un mecanismo que le avisa al Administrador de
red sobre cualquier tráfico que no coincida con el tráfico permitido. Por ejemplo, si el tráfico supera cierto
límite, usted podrá configurar que el Firebox le avise por medio de un e-mail. Es posible configurar alar-
mas, mensajes de log y las propiedades de la notificación para cada filtro de paquetes y para cada política
de proxy. También podrá configurar alarmas y propiedades de mensajes de registro para una regla de
proxy.
Cómo configurar mensajes de log y notificaciones para una política de proxy

1 Haciendo doble click en el ícono de políticas se abrirá la caja de diálogo de Policy Properties.
2 Haga click en la pestaña de Properties. Haga click en Logging.
Aparecerá la caja de diálogo Logging and Notification
3 Fije los parámetros que desee para cumplir con sus requisitos de seguridad.
Configuración de mensajes de log y alarmas para una regla de proxy

1 Haga doble click en el ícono de políticas para abrir la caja de diálogo Policy Properties.
2 Haga click en la pestaña de Properties. Desde la lista desplegable Proxy seleccione la acción de
proxy que desee ejecutar.
3 Elija Proxy Alarms desde la lista Category. Para más información sobre estos parámetros vea la
siguiente acción.
Tendrá más opciones de mensajes de log y notificaciones si cuenta con el servicio de prevención de intrusiones basado
en firmas. Estas opciones se repasan en el Capítulo “Usando Servicios de Seguridad basados en Firmas”.
Cómo usar cajas de diálogo para alarmas, mensajes de log y notificaciones

Las cajas de diálogo de alarmas, mensajes de log y notificaciones en las definiciones de proxy tienen
todos, o casi todos, estos campos:

Enter it in the log

Cuando usted elige esta opción, el Firebox envía un mensaje de log de tráfico al servidor de Log cada
vez que ocurra un evento de este tipo. La configuración por defecto de todas las políticas del Firebox
es registrar una entrada de log cada vez que se deniega un paquete.
Send SNMP trap
Cuando usted elige esta opción, el Firebox envía una notificación de evento al sistema de administra-
ción SNMP. La trampa SNMP muestra cuando el tráfico coincide con una condición, como por ejemplo
una propiedad cuyo valor ha sido superado. Nótese que la sección de unión en la trampa SNMP estará
vacía si ésta funciona cuando el SNMP comienza o se detiene. Por ejemplo, durante un reseteo, un ini-
cio o un failover.
Send Notification
Cuando usted elige esta opción, el servidor de Log envía una notificación cada vez que este evento se
verifique. Podrá configurar el servidor de log para que realice una de las siguientes acciones:
- E-mail: el servidor de log envía un e-mail cuando ocurre un evento. Fije la dirección del mail en la
pestaña Notification en la pantalla de usuario del servidor de log.
- Ventana emergente: Cada vez que suceda dicho evento, el servidor de log generará una caja de
diálogo en la estación de control.
Fijando el intervalo de lanzamientos y la cuenta de repetición

Podrá controlar los tiempos de notificación junto con la cuenta de repeticiones de la siguiente manera:
Launch interval
El mínimo tiempo (en minutos) entre diferentes notificaciones. Este parámetro previene que un even-
to similar genere una nueva notificación en un corto período de tiempo.
Repeat Count
Este valor registra cuán frecuentemente ocurre un evento. Cuando se alcanza un valor especificado, se
inicia un notificador especial de repeticiones. Éste genera un mensaje de repeticiones de log sobre esa
notificación específica. La notificación comienza nuevamente luego de este número de eventos.
A continuación, un ejemplo de cómo utilizar estos valores:
• Intervalo de lanzamiento = 5 minutos
• Cuenta de repeticiones = 4
Supongamos que a las 10:00 AM comienza a registrarse un intento externo de testeo de puertos, que se
repite cada minuto. Esto disparará los mecanismos de log y notificación. Aquí mostramos los tiempos y las
acciones que ocurrirán:
1 10:00 Se registra el intento de sondeo del espacio de puertos. (primer evento).
2 10:01 Se lanza la primera notificación (un evento)
3 10:06 Comienza la segunda notificación (informa de 5 eventos).
4 10:11 Comienza la tercera notificación (reporta 5 eventos)
5 10:16 Comienza la cuarta notificación (reporta 5 eventos).
Los intervalos de lanzamiento controlan los intervalos de tiempo entre los eventos 1, 2, 3, 4 y 5. Esto fue con-
figurado con un valor de 5 minutos. Multiplique la cuenta de repeticiones por el intervalo de lanzamiento y
tendrá el intervalo de tiempo por el cual deberá seguir un evento para disparar el notificador de repeticio-
nes.

Configuración de la Proxy SMTP

Usted podrá usar la proxy SMTP para controlar mensajes de correo electrónico y el contenido de los mis-
mos. La proxy revisará los mensajes SMTP buscando un número de parámetros a filtrar y los comparará
con las reglas fijadas en la configuración de la proxy. Así se configura la proxy SMTP:
1 Agregue la proxy SMTP al Policy Manager. Para saber cómo hacerlo vea “Agregando Políticas”, en la
página correspondiente.
2 Haga doble click en el ícono SMTP y seleccione la pestaña Properties.
Aparecerá la caja de diálogo Edit Policy Properties y mostrará información sobre los seteos generales.
3 En la lista desplegable Proxy, seleccione si desea configurar los SMTP entrantes o salientes
Puede también clonar una acción de proxy y editarla para crear una nueva acción.
4 Haga click en el ícono View/Edit Proxy.

Configuración de parámetros generales

Podrá usar los campos General Settings para configurar parámetros básicos de la proxy SMTP, como el
tiempo de inactividad y los límites de mensajes.
Idle timeout (o tiempo de espera)

Puede fijar el período de tiempo en el cual una conexión SMTP entrante puede estar inactiva antes de
que expire el tiempo asignado. El valor preestablecido es de 600 segundos (10 minutos). Si no desea
tener tiempo límite, destilde la opción Set the timeout to.
Maximum e-mail recipients
Si elige la opción Set the maximum e-mail recipients to, podrá fijar la máxima cantidad de destina-
tarios que un mismo mensaje puede llegar a tener. El Firebox los cuenta y permite que llegue al núme-
ro especificado. Luego corta los siguientes. Por ejemplo, si usted usa la cantidad por defecto 50 y hay
un mensaje para 52 direcciones, se enviarán las primeras 50, mientras que las últimas 2 no recibirán su
copia de dicho e-mail. Una lista de distribución aparece como una única dirección SMTP (por ejemplo
support@watchguard.com). El Firebox la cuenta como una única dirección.
Es posible usar esta característica para disminuir el spam, ya que éste, usualmente, incluye una larga
lista de receptores. Sea cuidadoso con esta opción ya que es fácil denegar la salida de correos legíti-
mos.
Maximum address length
Tildando la opción Set the maximum address length to es posible fijar una longitud máxima para
una dirección de correo.
Maximum e-mail size
Tildando la opción Set the maximum e-mail size to es posible fijar la longitud máxima de un mensa-
je entrante SMTP. La mayor parte del correo se envía como texto ASCII. Las excepciones son MIME
binarios y 8-bit MIME. El contenido de esta última (por ejemplo los adjuntos MIME) se codifican con

algoritmos estándares (en base 64 o quote-printable encoding) para permitir que sean enviados a
través de sistemas de correo de 7 bits. La codificación puede incrementar la longitud de un archivo
en hasta un tercio. Así, para permitir mensajes de hasta 1000 bytes, deberá fijar el valor de este
campo en 1334 bytes, para asegurarse que dicho mail realmente pueda atravesar el firewall. El valor
de fábrica es de 3.000.000 bytes (tres millones de bytes).
Maximum e-mail line length
Tildando el valor Maximum e-mail line length, podrá fijar la longitud máxima de las líneas de un
mensaje SMTP. Líneas muy largas pueden generar un “buffer overflow” en algunos sistemas de
correo. La mayor parte de los clientes de correo y los sistemas envían líneas cortas, pero algunos sis-
temas de correo basados en web generan líneas muy largas. El valor por defecto es 1024.
Hide E-mail Server

Seleccione las cajas de diálogo Message ID y Server Replies para reemplazar los límites MIME y los
avisos de recepción de mensajes de e-mail. Éstos suelen ser usados por los hackers para identificar la
marca del fabricante del servidor de SMTP y la versión del mismo.
Si usted tiene un servidor de e-mail y usa la acción proxy con SMTP entrante, podrá hacer que la
proxy SMTP cambie el dominio mostrado por su servidor SMTP por otro, elegido por usted. Para
hacerlo, tilde Rewrite Banner Domain y escriba el nombre del dominio que prefiera que aparezca
en la caja de diálogo. Para que se cumpla esta condición también deberá tildar la opción Server
Replies.
Si se usa la acción de proxy SMTP saliente podrá hacer que la proxy SMTP reemplace el dominio
mostrado en el saludo HELO o EHLO. Un saludo HELO o EHLO es la primera parte de una transacción
SMTP y ocurre cuando el servidor de e-mail se presenta a sí mismo ante un servidor de recepción de
correo. Para hacer esto, tilde Rewrite HELO Domain y tipee el nombre de dominio que desea usar
en la acción HELO o EHLO en la caja de diálogo.
Send a log message
Seleccione Send a log message para enviar un mensaje de log por cada conexión requerida a tra-
vés del SMTP. Para que los Historical Reports (informes históricos) puedan crear informes precisos
sobre tráfico SMTP, deberá tildar esta opción.
Greeting rules
La proxy examina las respuestas iniciales de HELO/EHLO durante una sesión de inicialización de
SMTP. La regla por defecto para la acción proxy del SMTP entrante se asegura de que no puedan
pasar paquetes de salutación demasiado largos o que incluyan caracteres incorrectos o inesperados.
Cómo configurar parámetros ESMTP

Podrá usar los campos ESMTP Settings para fijar filtros para contenidos ESMTP. Aunque SMTP es amplia-
mente aceptado y utilizado, algunas partes de la comunidad de Internet han considerado necesario exten-

der el SMTP para disponer de una mayor funcionalidad. El ESMTP ofrece un método para extender funcio-
nalmente el SMTP, y para que los clientes que soportan se reconozcan entre si.
1 Desde la sección Categories, seleccione ESMTP Settings.
Allow BDAT/CHUNKING
Selecciónelo para permitir BDAT/CHUNKING. Esto permite que los mensajes largos sean enviados más
fácilmente a través de una conexión SMTP.
Allow ETRN (Remote Message Queue Starting)
Ésta es una extensión del SMTP que permite que un cliente SMTP y un servidor interactúen para
comenzar a intercambiar colas de mensajes para un host dado.
Allow 8-bit MIME
Selecciónelo para permitir 8-bit MIME, si el cliente y el host soportan esta extensión. La extensión 8-bit
MIME le permite a un cliente y a un host intercambiar mensajes de texto hechos con octetos que no
pertenecen al rango US-ASCII (Hex 00-7f, ó 7-bit ASCII) y que usan SMTP.
Allow Binary MIME
Selecciónelo para permitir extensiones Binary MIME, si quien envía y quien recibe lo aceptan. El MIME
binario previene el incremento de codificados base 64 y la codificación “quoted-printable” de objetos
binarios enviados que usan el formato de mensajes MIME con el SMTP. No recomendamos que selec-
cione esta opción ya que puede ser un riesgo de seguridad.
Configurando reglas de autenticación

Este conjunto de reglas permite un número de tipos de autenticación ESMTP. La regla por defecto niega
todo los otros tipos de autenticación. El RFC que define la extensión de la autenticación SMTP es el RFC
2554.
1 Desde la sección Categories, seleccione Authentication.

2 Siga los pasos usados para crear reglas. Para más información vea “Definiendo reglas” en la página
correspondiente.

Definiendo reglas de tipo de contenido

Podrá usar un conjunto de reglas para la acción de SMTP entrante para fijar valores de filtro de contenidos
de SMTP entrante. Utilice el conjunto de reglas para la acción de la proxy SMTP saliente para fijar valores
de filtrado de contenidos SMTP salientes.
1 Desde la sección Categories seleccione Content Types.
2 Siga los pasos usados para crear reglas. Para más información vea “Definiendo conjuntos de reglas” en
la página correspondiente.
Definiendo reglas para nombres de archivos

Use el conjunto de reglas para la acción de proxy SMTP entrante para poner límites en los nombres de
adjuntos de e-mail entrantes. Podrá usar el conjunto de reglas para la acción de proxy de SMTP saliente
para poner límites en los nombres de los adjuntos de correo saliente.
1 Desde la sección Categories, seleccione Filenames.
2 Siga los pasos usuales para crear reglas. Para más información vea “Definiendo reglas”, en la página
correspondiente.
Configurando las reglas de “Mail from” y “Mail to”

El conjunto de reglas Mail From puede poner límites a los e-mails para permitir enviar mensajes a la red
sólo desde determinados usuarios. La configuración de fábrica es permitir el envío desde todos los usua-
rios.
El conjunto de reglas Mail to puede poner límites en el correo para permitir la salida sólo a destinatarios
especificados. La configuración por defecto permite enviar e-mails a todos los destinatarios posibles en su
red. En una acción de proxy de SMTP entrante podrá usar el conjunto de reglas Mail To para prevenir que
sus usuarios aprovechen su servidor de e-mail para hacer reenvío de correos. Para eso, asegúrese de que
todos los dominios de su servidor de e-mail acepten correos en la lista de reglas. Luego asegúrese de que
la opción Action to take if None Matched esté en Deny. Cualquier e-mail con una dirección que no coin-
cida con la lista de dominios permitidos será denegado.
También podrá usar la opción Rewrite As incluida en esta configuración de reglas en la caja de diálogo
para hacer que el Firebox cambie los componentes “From” y “To” de correo a valores distintos. Esta opción
también es conocida como “Enmascaramiento SMTP”.
1 Desde la sección Categories seleccione Mail From o Mail To.
2 Sigas los pasos usados para crear reglas. Para más información vea “Definiendo Reglas” en la página
correspondiente.
Definición de reglas de encabezado

Los conjuntos de reglas sobre encabezados le permiten fijar valores para filtrar encabezados SMTP entran-
tes o salientes.
1 Desde la sección Categories, seleccione Headers.
2 Siga los pasos usados para crear reglas. Para más información vea “Definiendo Reglas” en la página
correspondiente.
Definiendo las respuestas antivirus

Los campos de esta caja de diálogo fijan las acciones a tomar si se encuentra un virus en un mensaje de e-
mail. También fijan las acciones a realizar cuando el adjunto de un correo es demasiado grande o cuando
el Firebox no puede analizarlo.
Aunque podrá usar las pantallas de definiciones de proxy para activar y configurar el Gateway Antivirus, es
más fácil utilizar el menú Tasks desde el Policy Manager. Para más información sobre cómo hacerlo o para
usar las opciones de antivirus en las definiciones de proxy, vea el capítulo “Usando Servicios de Seguridad
Basados en Firmas”.

Cambiando el mensaje de denegación

El Firebox tiene un mensaje de denegación configurado por defecto que reemplaza el contenido no desea-
do. Usted podrá cambiar dicho mensaje por otro. Puede escribirlo usando HTML estándar. La primera línea
del mensaje de denegación es una sección del encabezado HTTP. Debe haber una línea vacía entre la prime-
ra línea y el cuerpo del mensaje.
1 Desde la sección Categories, seleccione Deny Message.
2 Escriba el mensaje de denegación en la caja de diálogo correspondiente. Puede usar estas variables:
%(reason)%
Explica la causa por la cual el Firebox deniega el contenido.
%(type)%
Explica el tipo de contenido denegado.
%(filename)%
Explica el nombre del archivo denegado.
%(virus)%
Muestra el nombre o el estado de un virus (sólo para los usuarios del Gateway Antivirus).
%(action)%
Coloca el nombre de la acción tomada: extraído, cerrado, etc.
%(recovery)%
Permite configurar el texto para rellenar la siguiente frase:“Your network administrator %(recovery)%
this attachment”.
Configurando el IPS (Intrusion Prevention System o Sistema de Prevención de Intrusiones)

para SMTP
Los hackers usan muchos métodos para atacar computadoras en Internet. La función de estos ataques es
causar daños a su red, obtener información sensible o usar sus sistemas para lanzar ataques a otras redes. A
estos ataques se los conoce como intrusiones.
Aunque podrá usar las pantallas de definición de proxies para activar y configurar IPS, es más simple usar el
menú Tasks desde el Policy Manager. Para más información sobre como hacerlo o sobre como usar las pan-
tallas IPS en las definiciones de proxy, vea el capítulo “Usando Servicios de Seguridad Basados en Firmas”.
Configurando spamBlocker
El correo electrónico no solicitado, también conocido como “spam”, suele llegar a las casillas en cantidades
sorprendentes. Un alto volumen de spam disminuye el ancho de banda disponible, afecta la productividad
de los empleados y desperdicia recursos de red. La opción WatchGuard® spamBlocker™ aumenta sus posibi-
lidades de frenar el spam antes de que éste penetre en su red.
Aunque es posible usar las pantallas de definiciones de proxy para activar y configurar el spamBlocker, es
más simple usar el menú Tasks desde el Policy Manager para hacerlo. Para más información sobre cómo
hacerlo o sobre cómo usar las pantallas spamBlocker en las definiciones de proxy, vea el capítulo “Usando
spamBlocker”.
Configurando alarmas de proxy y antivirus en el SMTP

Podrá fijar las acciones a seguir por el Firebox cuando ocurra una alarma de eventos de proxy o de antivirus
(AV).
1 Desde la sección Categories seleccione Proxy and AV Alarms.

Configurando el Proxy FTP
2 Para más información sobre los campos de Proxy/AV alarm Configuration vea “Usando caja de diálo-
go para alarmas, mensajes de log y notificaciones”.
File Transfer Protocol, o Protocolo de Transferencia de Archivos (FTP), es el protocolo que se utiliza para
mover archivos en la Internet. Como SMTP y HTTP, el FTP recurre a los protocolos TCP/IP para permitir la
transferencia de datos. Usualmente se utiliza FTP tanto para descargar archivos como para subirlos a un
servidor en la red.
1 Agregue la proxy FTP al Policy Manager. Para aprender cómo agregar políticas en el Policy Manager
vea “Agregando Políticas”, en la página correspondiente.
2 Haga doble click en el ícono FTP y luego seleccione la pestaña Policy.
3 Seleccione Allowed desde el menú desplegable FTP proxy connections are.
4 Seleccione la pestaña Properties.
5 En el menú desplegable Proxy, elija configurar las acciones de proxy para los clientes y servidores
FTP.
Configurando los parámetros generales

Podrá usar los campos en General para configurar los parámetros básicos del FTP, incluyendo la longitud
maxima del nombre de usuario.
1 Desde la sección Categories, seleccione General.
2 Para fijar límites a los parámetros FTP, tilde las opciones aplicables. Estos parámetros ayudan a proteger
su red de ataques de buffer overflow. Si usted fija una opción en 0 bytes, el Firebox no usará ese pará-
metro. Utilice las flechas para fijar los límites:
Maximum user name length
Fija la longitud maxima para nombre de usuarios en sitios FTP.
Maximum password length
Fija la longitud máxima posible de una clave usada para loguearse al sitio FTP.

Maximum file name length

Fija la longitud máxima del nombre de archivos para subir o descargar.
Maximum command line length
Establece la máxima extensión para líneas de comando usadas en sitios FTP.
3 Para cada parámetro, podrá elegir o no la opción Auto-block. Si alguien trata de conectarse a un sitio
FTP y excede un límite cuya casilla de verificación Auto-block esté tildada, la computadora que envió
ese comando será agregada a una lista de sitios bloqueados temporalmente.
4 Para crear un mensaje de log por cada transacción, seleccione la opción, Send a log message with
summary Information for each transactions.
Definiendo reglas para comandos FTP

El FTP tiene una cantidad de comandos para el manejo de archivos. Usted podrá escribir reglas para ponerle
límites a algunos comandos FTP. Use la acción de proxy FTP-Server para poner límites a los comandos que
podrán ser usados en el servidor FTP protegido por su Firebox. Use una acción de proxy FTP-Server para
poner límites a los comandos que los usuarios protegidos por su Firebox podrán usar cuando se conecten a
un FTP externo. La configuración de fábrica de los clientes FTP es permitir todos los comandos FTP.
1 Desde la sección Categories, elija Commands.
2 Siga los pasos para crear reglas. Para más información, vea “Definiendo Reglas”, en la página correspon-
diente.
Fijando reglas de descarga de archivos para el FTP

Las reglas de descarga controlan los nombres de archivos, extensiones o direcciones URL que los usuarios
pueden usar en un FTP para descargas. Use la acción de proxy FTP-Server para controlar las reglas de des-
carga en un servidor FTP protegido por el Firebox. Use la acción de proxy FTP-Server para fijar las reglas de
descarga para los usuarios protegidos por el Firebox que se conectan a un servidor FTP externo. Para agre-
gar conjuntos de reglas de descarga:
1 Desde la sección Categories, seleccione Download.
diente.
Fijando reglas de subida de archivos por FTP

Los conjuntos de reglas de subida de archivos controlan los nombres de archivos, extensiones o direcciones
URL que los usuarios pueden usar en un FTP para subidas. Use la acción de proxy FTP-Server para controlar
las reglas de subida de archivos en un servidor FTP protegido por el Firebox. Use la acción de proxy FTP-
Server para fijar las reglas de subida para sus usuarios protegidos por el Firebox que se conectan a un servi-
dor FTP externo. Para agregar conjuntos de reglas de subida:
1 Desde la sección Categories, seleccione Upload.
diente.
Habilitando Intrusion Prevention para FTP

Aunque podrá usar las pantallas de definiciones de proxy para activar y configurar el IPS, es más simple usar
el menú Tasks desde el Policy Manager. Para más información sobre cómo hacerlo, o para usar las pantallas
del servicio IPS en la definición de la proxy, vea el capítulo “Usando Servicios de Seguridad Basada en
Firmas”.

Configurando la Proxy HTTP
Configurando alarmas de proxy para FTP

Una alarma es un mecanismo que le avisa a un Administrador de redes cuando determinado tráfico de red
coincide con criterios de tráfico sospechosos o de contenidos no permitidos. Cuando ocurre un evento de
alarma, el Firebox cumple con la acción que usted configura. Por ejemplo, podrá fijar un límite para largos
de los archivos. Si el archivo en cuestión excede el límite, el Firebox enviará un mensaje de log al servidor
indicado.
1 Desde la sección Categories, seleccione Proxy Alarm.
2 Para más información sobre estos campos, en la sección Proxy Alarm Configuration, “Usando cajas
de diálogo para alarmas, mensajes de log y notificaciones”.
La proxy HTTP es un filtro de contenido de alta performance. Examina el tráfico web buscando identificar
contenido sospechoso que puede ser un virus, un spyware u otro tipo de intrusión. También puede prote-
ger su servidor web de ataques de una red externa. Podrá configurar la proxy HTTP de la siguiente mane-
ra:
• Permitir sólo contenido que coincida con los requerimientos RFC de clientes y servidor web.
• Seleccionar qué tipos de contenidos MIME el Firebox permitirá entrar a su red.
• Bloquear código Java, ActiveX y similares.
• Examinar el encabezado del HTTP para comprobar que no provenga de una fuente sospechosa.
1 Agregue la proxy HTTP al Policy Manager. Para aprender cómo hacerlo, vea “Agregando Políticas”.
3 En el menú desplegable Proxy, elija configurar las acciones HTTP-Client o HTTP-Server. Use la
acción HTTP-Server (o una acción de proxy entrante que usted haya creado basándose en la HTTP-
Server) para proteger un servidor web. Use HTTP-Client o una acción de proxy saliente para filtrar soli-
citudes HTTP de usuarios ubicados detrás del Firebox.
También puede clonar una acción de proxy para crear una nueva acción de proxy.
Configurando los parámetros para solicitudes HTTP

Podrá también configurar la configuración general para los pedidos HTTP. Podrá también ver y editar los
conjuntos de reglas referidos a requerimientos HTTP incluidos en la acción del proxy. Para acceder a estas
opciones, haga click en HTTP Request en la lista de Categories sobre la izquierda de las configuración de
la proxy.

Configurando los seteos generales para las solicitudes HTTP

Podrá usar los campos General Settings para configurar parámetros básicos de HTTP relacionados con la
longitud de las URL y con el tiempo de espera.
Ver Identación
Controla cuánto tiempo debe esperar la proxy para que el cliente web haga una solicitud de algo
desde un servidor externo, luego de que éste inicie una conexión TCP/IP, o luego de un requerimiento
anterior, si es que lo hubo, para esa misma conexión. Si se supera el valor fijado, la proxy HTTP cierra la
conexión. El valor establecido de fábrica es de 600 segundos.
URL Length
Fija la longitud máxima del camino de la URL. Esto no incluirá el “http://” o el nombre del host. El con-
trol de longitud máxima de la URL puede ayudar a prevenir ataques de buffer overflow.
Range Request
Los requerimientos de rango permiten que un cliente requiera subgrupos de los bytes de un recurso
web en lugar del contenido completo. Por ejemplo, esto es útil cuando usted desea sólo algunas par-
tes de un gran archivo de Adobe. Podrá seleccionar un rango de requerimientos para prevenir la des-
carga de páginas innecesarias. Pero si usted permite requerimientos de rango a través del Firebox y
descarga un archivo infectado por un virus cuya “firma” esté dividida entre dos páginas, el software
antivirus no podrá detectarlo. Permitir requerimientos de rango puede hacer que las descargas ocu-
rran de modo más rápido, pero no más seguro.
Send a log message with summary information for each transaction

Crea un mensaje de log del tráfico para cada transacción. Esta opción crea un muy extenso archivo de
registros. Sin embargo es una opción muy útil, ya que dicha información es muy importante si su fire-
wall es atacado. Si usted no tilda esta opción no podrá ver información detallada sobre las conexiones
de proxy HTTP en los Historical Reports (informes históricos).
Fijando métodos de solicitud HTTP

La mayor parte de las solicitudes a los navegadores HTTP caen en una de dos categorías: operaciones GET y
POST. Los navegadores usualmente requieren operaciones GET para descargar objetos, como gráficos, datos

HTML o Flash. Es usual que una PC cliente solicite más de un GET para cada página, ya que las páginas web
contienen muchos elementos distintos. Estos elementos se colocan juntos para hacer que una página se
forme como tal en la pantalla del usuario final.
Los navegadores usualmente recurren a operaciones POST para enviar datos a un sitio web. Muchas pági-
nas necesitan información del usuario final como domicilios, direcciones de correo y nombres. Si deshabili-
ta el comando POST, el Firebox denegará todas las operaciones POST realizadas hacia un servidor web
externo a su red. Esta opción puede prevenir que sus usuarios envíen información a una web ubicado en
la red externa.
La proxy HTTP soporta métodos de requerimiento tales como HEAD, GET, POST, OPTIONS, PUT y DELETE. Si
configura una regla para permitir otros métodos de requerimiento obtendrá un mensaje de error con el
texto “Method unsupported”.
1 Desde la sección Categories, seleccione Request Methods.
2 Siga los pasos usuales para crear reglas. Para más información vea la sección “Definiendo reglas”.
Fijando requerimientos HTTP en caminos URL

Podrá usar reglas para determinar URLs de manera de filtrar contenidos de ciertos hosts, o caminos u otros
componentes de la cadena que forma una URL. Aquí hay algunos ejemplos de cómo bloquear contenidos
usando esta opción:
• Para bloquear todas las páginas que tengan el dominio www.test.com, escriba lo siguiente:
www.test.com*
• Para bloquear todas las direcciones que contengan la palabra “sex” en todos los sitios: *sex*
• Para bloquear direcciones que finalicen en “*.test”, de todos los sitios: *.test
Nota
Usualmente, si filtra URLs con el conjunto de reglas de requerimientos para direcciones URL, deberá
configurar un patrón complejo que utilice expresiones regulares completas de sintaxis y la vista avan-
zada del conjunto de reglas. Es más simple y da mejores resultados usar filtros basados en el encabeza-
miento o en el tipo de contenido, en lugar de filtrar por caminos de URL.
1 Desde la sección Categories, seleccione URL paths.

2 Siga los pasos para crear reglas. Para más información, vea la sección “Definiendo reglas”.
Fijando los campos de requerimientos HTTP de encabezado

Este conjunto de reglas ofrece filtro de contenidos para todo el encabezado de HTTP. Por defecto, el
Firebox usa coincidencias exactas con las reglas para sacar los encabezados Via y From y permitir los
demás encabezados. Este conjunto de reglas se chequea contra el encabezados completo, no sólo contra
el nombre. Así, para hacer coincidir todos los valores de un encabezados escriba lo siguiente:“[header
name]:*”. Para hacer coincidir sólo algunas variables del encabezamiento remplace el asterisco (*) comodín
con algún patrón. Si éste no comienza con el asterisco (*) incluya un espacio entre el punto y el patrón
cuando escriba en la caja de texto Pattern. Por ejemplo, escriba [header name]: [pattern]; pero no [header
name]:[pattern].
Note que la regla por defecto no quita el encabezado de referencia, pero incluye una regla deshabilitada
para sacar el encabezado. Para habilitar esta acción, seleccione Change View. Algunos navegadores y apli-
cativos requieren del encabezado de referencia para poder funcionar correctamente.
1 Desde la sección Categories, seleccione Header Fields.


Fijando los requerimiento de autenticación HTTP

Esta regla fija los criterios para filtro de contenidos de los campos de autenticación de los requerimientos de
encabezamiento. Cuando un servidor web inicia un desafío “WWW-Authenticate”, envía información sobre
qué métodos de autenticación se pueden usar. La proxy pone límites a los tipos de autenticación enviadas
en este requerimiento. Sólo utiliza los métodos de autenticación que el servidor web acepta. En su configu-
ración original, el Firebox permite autenticación del tipo Basic, Digest, NTLM y Passport 1.4 y elimina todas
las otras autenticaciones.
1 Desde la sección Categories, seleccione Authorization.
Configurando los parámetros generales para las respuestas HTTP

Podrá utilizar los campos de General Settings para configurar parámetros básicos de HTTP, como el tiempo
de espera y los límites para longitud de línea y longitud total. Si usted fija en una opción el valor 0 bytes, el
Firebox no chequeará dicho parámetro.
Desde la sección Categories, seleccione General Settings.
Para fijar límite a los parámetros HTTP, tilde las opciones que apliquen. Use las flechas para fijar los límites.
Idle timeout
Controla cuánto tiempo la proxy HTTP del Firebox espera para que el servidor web le envíe la página.
El valor por defecto es de 600 segundos.
Maximum line length
Cont rola la longitud maxima pe rmitida de una línea de ca ra cte res en los enca bezados de respuesta
HTTP. Use esta ca racterística para proteger a sus computadoras de ataques de buffer overflow.
Maximum total length
Controla la longitud máxima permitida de un encabezado de respuesta HTTP. Si la longitud total es
mayor que el límite fijado, la respuesta HTTP es denegada. El valor por defecto es 0 (sin límites).
Fijando los campos de los encabezados de las respuestas HTTP

Esta opción controla cuáles campos de encabezado de respuestas HTTP permite el Firebox. El RFC 2616
incluye muchos de los encabezados de respuestas que son permitidos en la configuración por defecto. Para
más información vea: http://www.ietf.org/rfc/rfc2616.txt
1 Desde la sección Categories, seleccione Header Fields.
Fijando tipos de contenido para las respuestas HTTP

Cuando un servidor web envía tráfico HTTP, usualmente le agrega a la respuesta un tipo MIME. El encabeza-
dos HTTP en el envío de datos contiene dicho MIME. Se le agrega antes de que se envíen los datos.
Este conjunto de reglas fija una directiva para buscar por tipos de contenido (MIME) en los encabezados de
respuestas HTTP. Por defecto, el Firebox permite algunos tipos de contendidos seguros y deniega el acceso a
los contenidos MIME que no tengan un tipo de contenido especificado. Algunos servidores web proporcio-
nan tipos MIME incorrectos para vulnerar estas reglas de contenido.
1 Desde la sección Categories, seleccione Content Types.
2 Siga los pasos para crear conjuntos de reglas. Para más información, vea la sección “Definiendo reglas”.
Fijando cookies para respuestas HTTP

Las cookies HTTP son pequeños archivos de texto alfanumérico que los servidores web colocan en los nave-
gadores. Las cookies monitorean la página en la que un cliente web se ubica para permitir que el servidor
web envíe más páginas en la secuencia correcta. Los servidores web también usan cookies para recolectar

información sobre los usuarios y, finalmente, otros sitios recurren a ellos para tareas de autenticación y
otras funciones similares legítimas y no logran operar correctamente sin su presencia.
Este conjunto de reglas le da a usted el control de las cookies en las respuestas de HTTP. Podrá configurar
reglas para extraer las cookies basándose en sus requerimientos de red. La regla por defecto para las
acciones HTTP-Server y HTTP-Client es permitir todas las cookies.
El conjunto de reglas Cookies busca paquetes basados en un dominio asociado con la cookie. El dominio
puede ser el especificado en la cookie. Si no hay un dominio en la misma, la proxy usa el nombre del host
del primer requerimiento. Así, para bloquear todas las cookies de un sitio como nosy-adware-site-com,
agregue una regla como la siguiente:“*.nosy-adware-site.com”.
1 Desde la sección Categories, en el lado izquierdo, seleccione Cookies.
Fijando los tipos de contenidos para el cuerpo del HTTP

Este conjunto de reglas le ofrece control extendido de todo el contenido de una respuesta HTTP. El Firebox
está configurado para rechazar applets de Java, archivos ZIP y archivos DLL, CAB y EXE de Windows. La
acción proxy por defecto para los requerimientos HTTP salientes (HTTP-client) permite respuestas de todo
el resto de contenidos. Le recomendamos examinar el tipo de archivos que se utilizan en su organización y
permita el paso sólo a aquellos tipos de archivos necesarios para su red.
1 Desde la sección Categories, seleccione Body Content Types.
Definiendo respuestas antivirus para HTTP

Los campos en esta caja de diálogo fijan las acciones a seguir si se encuentra un virus en un mensaje de
e-mail. Y también las fija para cuando un correo contiene un adjunto tan grande que no puede ser revisa-
do por el Firebox.
Aunque puede usar las pantallas de las definiciones de proxy para activar y configurar el Gateway
Antivirus, es más simple usar el menú Tasks en el Policy Manager para hacerlo. Para más información, o
para usar las pantallas antivirus en las definiciones de proxy, vea el capítulo “Usando Servicios de
Seguridad Basados en Firmas”.
Cambiando el mensaje de denegación

El Firebox trae de fábrica un mensaje de denegación que remplaza el contenido denegado. Podrá cambiar
este mensaje por otro, creado por usted. Podrá también personalizarlo usando HTML estándar. La primera
línea del mensaje de denegación es un componente del encabezamiento HTTP. Y debe haber una línea
vacía entre la primera línea y el cuerpo del mensaje.
1 Desde la sección Categories, seleccione Deny Message.

Configurando los Proxy DNS
2 Escriba el mensaje de denegación en la caja de diálogo. Puede usar las siguientes variables:
%(transaction)%
Coloca “Request” o “Response” para mostrar qué lado de la transacción causó que el paquete fuera
denegado.
%(reason)%
Explica la razón por la cual el Firebox deniega contenidos.
%(method)%
Coloca el método requerido de la respuesta denegada.
%(url-host)%
Coloca el nombre del Servidor de la URL denegada. Si no hay nombre, se ofrecen las direcciones IP.
%(url-path)%
Incluye el camino que compone la URL denegada.
Habilitando prevención de intrusiones para HTTP

Aunque es posible usar las pantallas de definiciones de proxy para activar y configurar los servicios IPS, es
más fácil recurrir al menú Tasks del Policy Manager para hacerlo. Para más información o para usar las pan-
tallas de IPS en la definición de la proxy, vea el capítulo “Usando Servicios de Seguridad Basados en Firmas”.
Definiendo alarmas de proxy y antivirus para HTTP

Use estos parámetros para fijar criterios para un evento de notificación
1 Desde la sección Categories, seleccione Proxy and AV Alarms.
2 Siga los pasos ya comentados en la sección “Usando cajas de diálogo de para alarmas, mensajes de log y
notificaciones”.
Por medio del Domain Name System o DNS (Sistema de nombres de Dominios), usted podrá acceder a una
dirección web con un nombre fácil de recordar, del estilo “.com”. Los DNS encuentran el nombre de dominio
(por ejemplo WatchGuard.com) y lo transforman en direcciones IP. Las proxy DNS protegen a sus servidores
DNS de ataques del tipo TSIG, NXT y otros similares. Para agregar la proxy DNS a la configuración de su
Firebox:
1 Agregue la proxy DNS al Policy Manager. Para saber cómo agregar políticas en el Policy Manager, vea el
apartado “Agregando Políticas”.
2 Haga doble click en el ícono DNS y luego seleccione la pestaña Policy.
3 Seleccione Allowed desde el menú desplegable DNS proxy connections are.
5 En el menú desplegable de la Proxy elija configurar la acción proxy DNS entrante y saliente.
6 Haga click en el ícono View/Edit Proxy
También puede clonar una acción proxy existente y asi crear una nueva.

Configurando los parámetros generales para una acción proxy DNS

Los parámetros generales de una proxy DNS incluyen dos protocolos de reglas de detección de anomalías.
Not of class Internet

Seleccione la acción a realizar cuando la proxy examina el tráfico DNS que no pertenece a la clase de
Internet (IN). La acción por defecto es denegar ese tráfico. Le recomendamos que no cambie esta
acción. Tilde la opción Alarm para generar una alarma por este evento. Y lo mismo con Log, para
insertar un evento en el registro de eventos.
Badly formatted query
Seleccione esta acción cuando la proxy examina tráfico DNS que no tenga el formato correcto. Tilde
la opción Alarm para generar una alarma para este evento. Y lo mismo con Log Check Box, para
insertar un evento en el registro de eventos.
Send a log message with summary informations for each transaction
Tilde esta opción para insertar un evento en el registro de eventos por cada conexión DNS requeri-
da. Observe que esto creará un gran número de mensajes de eventos y de tráfico.
Configurando OPcodes de DNS

Los OPcodes de DNS son comandos dados al servidor de DNS que le solicitan cumplir con alguna acción
como, por ejemplo, una búsqueda (Query) una búsqueda inversa (IQuery) o un pedido del estado de un
servidor (STATUS). Usted podrá permitir, denegar, excluir o bloquear OPcodes específicos.
1 Desde la sección Categories seleccione OPcodes.
2 Para las reglas listadas, tilde la opción Enabled para habilitar una regla. Destíldela para deshabilitarla.
Nota
Si usted usa Active Directory, y su configuración de Active Directory requiere actualizaciones dinámi-
cas, deberá permitir DNS OPcodes en las acciones de sus reglas proxy de DNS entrante. Esto es un ries-
go a la seguridad, pero puede ser imprescindible para que el directorio activo opere en forma correcta.
Agregando una nueva regla OPcodes

Se abrirá la caja de diálogo New OPCodes Rule.

2 Tipee el nombre de la regla

El nombre no puede tener más de 31 caracteres)
3 Los OPCodes DNS tienen un valor que es un número entero. Use las flechas para fijarlo.
Para más información sobre los valores enteros de los OPCodes vea el RFC 1035.
4 Fije una acción para la regla y configúrela para enviar una alarma o inscribir un evento en el registro de
eventos. Para más información vea la sección “Agregando reglas”.
Configurando tipos de query DNS

Una query DNS puede configurar un registro de recurso por tipo (como los registros CNAME o TXT), o bien
un tipo personalizado de operación de query (como una “AXFR Full zone transfer”). Usted puede permitir,
denegar, excluir o bloquear tipos específicos de queries.
1 Desde la sección Categories, seleccione Query Types.
2 Para habilitar una regla, seleccione la caja de verificación Enabled adyacente a la acción y el nombre de
la regla.
Añadiendo una nueva regla de tipos de queries

1 Para agregar una nueva regla de tipos de queries, haga click en Add.
Aparecerá la caja de diálogo New Query Types Rule
2 Escriba un nombre para la regla
Las reglas no pueden tener más de 31 caracteres.
3 Los tipos de queries DNS tienen un valor de registro del recurso (Resource Record, o RR). Use las flechas
para establecerlo.
Para más información sobre los valores de tipos de queries DNS, ver RFC 1035.
4 Establezca una acción para la regla y configure el envío de una alarma, o bien ingrese el evento en el
archivo de log. Para más información, ver “Definiendo reglas”.

Configurando la Proxy TCP
Configurando nombres de query DNS

Un nombre de query DNS es un nombre de dominio DNS específico, mostrado como un nombre de domi-
nio totalmente calificado o Fully Qualifield Domain Name (FQDN).
1 Desde la sección Categories, seleccione Query Names.
2 Para agregar más nombres, siga los pasos usuales para crear reglas. Para más información, vea
“Definiendo Reglas”.
Habilitando Intrusion Prevention para DNS

Aunque puede usar las pantallas de definiciones proxy para activar y configurar IPS, es más simple usar el
menú Tasks del Policy Manager para hacerlo. Para más información sobre esto, lea el capítulo “Usando
Servicios de Seguridad Basados en Firmas”.
Configurando alarmas de proxy DNS

Utilice estos parámetros para fijar criterios para un evento de notificación:
1 Desde la sección Categories, seleccione Proxy Alarm.
2 Siga el procedimiento indicado en “Cómo usar cajas de diálogo para alarmas, mensajes de log
y notificaciónes”.
Transmission Control Protocol (TCP) es el protocolo primario de las redes TCP/IP. El protocolo IP controla
los paquetes mientras que el TCP habilita al host a comenzar las conexiones y a enviar y recibir datos. Una
proxy TCP monitorea la negociación TCP para controlar si la sesión es legítima.
Configurando los parámetros generales para la proxy TCP

HTTP proxy action
Seleccione la acción de proxy HTTP para usar las conexiones TCP. La proxy TCP aplica el conjunto de
reglas de proxy HTTP para todo el tráfico identificado como HTTP.

Send a log message with summary information for each transaction

Tilde esta opción para grabar un evento en el registro para todos los requerimientos TCP. Esta opción
creará un gran número de mensajes de eventos y de tráfico.
Habilitando la prevención de intrusiones para TCP

Aunque puede usar las pantallas de definiciones de proxy para activar y configurar el IPS, es más simple
hacerlo desde el menú Tasks del Policy Manager. Para más información sobre esto, vea el capítulo “Usando
servicios de Seguridad Basados en Firmas”.


CAPÍTULO 14 Generando informes sobre la Actividad
de la Red
Los informes históricos (Historical Reports) son una herramienta que crea sumarios e informes a partir de los
archivos de registros (logs) del dispositivo Firebox. El responsable de la red podrá utilizar dichos informes
para aprender y para hacer más eficiente el uso de Internet en la organización. También podrá medir el
recurso “ancho de banda” y constatar qué usuarios y cuáles aplicaciones demandan más recursos de red. Los
informes históricos se generan utilizando la información almacenada en el archivo de registros grabados en
el “Servidor de registros” (Log Server) de WatchGuard®.
Con las características avanzadas de la herramienta “Informes Históricos” es posible:
• Fijar un período de tiempo específico para generar un informe.
• Personalizar los informes usando filtros de datos.
• Consolidar diversos archivos de registros y crear un único informe sobre un grupo de Fireboxes.
• Mostrar los datos del informe en diferentes formatos.
Creando y Editando Informes

Cuando prepare informes periódicos, podrá configurar un grupo de parámetros utilizado para generarlos en
fechas previstas con anticipación. Esta sección le mostrará cómo crear, editar y borrar informes y cómo
generar un archivo de respaldo (backup) de la configuración de los mismos.
Comenzando con los informes históricos

Desde la pestaña Device Status, haga click en el icono Historical Reports.

Creando y Editando Informes
Iniciando un nuevo informe

1 Desde Informes Históricos, haga click en Add.
Se abrirá la caja de diálogo Properties.
2 Escriba el nombre del informe.

Aparecerá el nombre en Historical Reports y en el nombre del archivo resultante.
3 Utilice la caja de diálogo Log Directory para establecer la ubicación de los archivos de log.
La ubicación por defecto es: MyDocuments\MyWatchGuard\SharedWatchGuard\Logs.
4 Use la caja de diálogo Output Directory para establecer la ubicación de los archivos generados.
La ubicación por defecto de los archivos resultantes es:
MyDocuments\MyWatchGuard\SharedWatchGuard\reports
5 Para seleccionar el tipo de archivo a generar, seleccione HTML Report o NetIQ Export.
Para más información sobre estos tipos de archivos, vea la sección “Exportando informes”.
6 Seleccione el filtro.
Para más información sobre los tipos de filtros, vea la sección “Usando filtros para informes”.
7 Para poder ver la primera página del informe cuando sea generado en HTML, tilde la opción Execute
Browser Upon Completion.
8 Haga click en la pestaña Firebox.

Fijando las Propiedades de los Informes
9 Escriba la dirección IP o el nombre de host del Firebox. Haga click en Add.

Cuando escriba la direcciones IP coloque tanto los números como los puntos. No use la tecla TAB ni las flechas. Cuando
genere un informe con secciones consolidadas, deberá utilizar solamente WFS Fireboxes, o bien Fireboxes que empleen
Fireware. Si consolida en un único informe datos de dos Firebox de versiones diferentes, los resultados no serán correctos.
10 Use las otras pestañas para fijar otras preferencias. Encontrará información adicional sobre esto en las
secciones siguientes.
11 Complete la configuración y haga click en OK.
El nombre del informe aparecerá en la lista de informes.
Editando un informe ya existente

Es posible cambiar la descripción de un informe.
1 Desde Historical Reports, elija el informe que desea cambiar. Haga click en Edit.
Se abrirá la caja de diálogo Properties.
2 Cambie la definición del informe
Para ver la función de un ítem, haga click sobre éste con el botón derecho del mouse. Luego haga click en “What´s This?”.
Borrando un informe
Podrá borrar un informe de la lista de informes disponibles.
Desde Historical Reports, seleccione el informe que desea anular. Haga click en Remove. Esto eliminará el
archivo <nombre_informe>.rep del directorio report-defs.
Viendo la lista de informes

Para ver todos los informes disponibles, haga click en Reports Page. Aparecerán los informes disponibles en
su navegador. Podrá recorrer la lista de informes preparados.
Generando un archivo de respaldo de los archivos de definiciones

Los archivos de definición de cada informe contienen las configuraciones particulares de los informes que
usted ha ido creando. Es una buena idea organizar en forma regular y frecuente archivos de respaldo para
estas definiciones. Esto podrá ahorrarle tiempo si -en algún momento- necesita mudar el servidor de regis-
tros a otra computadora.
Para crear un archivo de respaldo de sus definiciones copie el contenido de la carpeta \Documents and
Settings\WatchGuard\report-defs a un archivo y manténgalo en un lugar seguro.
Podrá usar la caja de diálogo Report Properties para configurar muchas características de los informes. Para
acceder a esta caja de diálogo puede:
• Seleccionar un informe entre los Informes Históricos y hacer click en Edit.
o
• En Historical Reports, haga click en Add.
Especificar un intervalo de tiempo para los informes

Cuando genera un informe, éste incluye todos los datos de los archivos de registro, a menos que se cambie
el intervalo de tiempo. Desde la caja de diálogo Time Filters, use el menú desplegable para elegir un inter-
valo de tiempo. Por ejemplo,“ayer” u “hoy”. También podrá configurar en forma manual el tiempo de inicio y
finalización. Así, el informe final sólo abarcará el tiempo especificado por usted.

1 En la caja de diálogo Report Properties, haga click en la pestaña Time Filters.

2 Seleccione el huso horario que prefiere para su informe: Local time o GTM.
3 Desde el menú desplegable Time Span, elija el intervalo de tiempo que prefiere.
4 Si no selecciona Specify Time Filters, en el menú desplegable Time Span, haga click en OK.
Si seleccionó Specify Time Filters, haga click en Start y en End, en el menú desplegable y elija un
tiempo de inicio y de finalización. Haga click en OK.
Especificando secciones de informes

Podrá elegir la información que se mostrará en los informes utilizando la pestaña Sections, en la caja de
diálogo Report Properties.
1 Desde Historical Reports haga click en la pestaña Sections.
2 Tilde las secciones que desea incluir en su informe
Para ver el contenido de cada sección refiérase a “Secciones de un Informe y Secciones Consolidadas”.
3 (Opcional) Para incluir los nombres de autenticación de las direcciones IP de los usuarios autenticados
del Firebox, tilde Authentication Resolution on IP Addresses.
Deberá tener habilitada la autenticación de usuarios para crear este tipo de informes, además de la resolución de las
direcciones IP y de los nombres de usuario. En estos casos, la creación del informe tomará más tiempo.

4 (Opcional). Para incluir los nombres DNS de las direcciones IP seleccionadas, tilde la opción DNS
Resolution on IP Addresses.
Se incluirá esta información sólo para las direcciones IP para las cuales la información DNS pueda ser resuelta por el
Firebox.
Consolidando secciones de un informe

Desde la pestaña Sections, podrá seleccionar qué tipo de información incluir en un informe. Puede elegir:
• Una vista vertical sobre los datos para cada grupo de Fireboxes.
• Una vista horizontal, o acumulativa, consolidando un grupo de dispositivos Firebox.
Para consolidar secciones de informes:
1 En la caja de diálogo Report Properties elija la pestaña Consolidated Sections.
La pestaña muestra una lista de secciones de informes que podrá consolidar. Para ver notas breves sobre los contenidos de
estas secciones, mire “Secciones de un Informe y Secciones Consolidadas” al final de este capítulo.
2 Tilde las opciones de las secciones que desea incluir en el informe. Y destilde las que no quiera incluir.
3 Haga click en OK.

Exportando Informes
Configurando las propiedades de un informe

Los informes pueden tener secciones de “Resumen” (Summary) y de “Detalles” (Detail). Podrá controlar
cómo se muestra cada sección en forma independiente, de manera de presentar la información en forma
clara y priorizando lo que para usted es realmente importante. Una sección “Resumen” de un informe com-
prende textos y gráficos que muestran información predefinida por el usuario.
Para fijar las propiedades de un informe:
1 Desde la caja de diálogo Report Properties, seleccione la pestaña Preferences.
2 Escriba el número de puntos de datos (ítems) que desea graficar en el informe.
Por ejemplo, si cuenta con 45 hosts, grafique los 10 principales y denomine al resto como “Otros”. La cantidad por defecto
es 10.
3 Complete el número de ítems a graficar en la tabla.
El número por defecto es 100.
4 Seleccione el tipo de gráfico que prefiere para el informe.
5 Seleccione cómo desea ordenar el Resumen: por ancho de banda o por conexiones.
6 Complete el número de entradas a mostrar en cada página de las secciones de Detalle.
El número por defecto es 1000 entradas.
7 Haga click en OK.
Cómo ver las relaciones de las interfaces de red

En la pestaña Inbound Traffic, podrá ver todas las relaciones de interfaces posibles que el Firebox consi-
dera “entrantes”. Por ejemplo, el tráfico que proviene de redes opcionales hacia la red segura se considera
“tráfico entrante”. Si usted quiere excluir una relación de esta lista, selecciónela y haga click en Remove.
También podrá agregar su propio sistema de relaciones entre orígenes y destinos a este listado. Haga click
en Add y escriba el nuevo par “origen-destino” que desee fijar como entrante.
Exportando Informes
Podrá exportar un informe en dos formatos: HTML y NetIQ. Los mismos se encuentran en
MyDocuments\MyWatchGuard\Shared WatchGuard\reports\<archivo exportado>. En el directorio reports,
se ubicarán los subdirectorios con el nombre y la fecha de cada informe.

Utilizando Filtros en los Informes
Exportando informes en formato HTML

Si usted selecciona HTML Report, desde la pestaña Setup, en la caja de diálogo Report Properties, el infor-
me se generará en HTML. Podrá acceder a cada sección del informe por medio de un menú JavaScript. Para
esto, deberá tener habilitada en su navegador la opción JavaScript. La siguiente pantalla demuestra cómo se
ve un informe.
Exportando informes al formato NetIQ

NetIQ ofrece soluciones de administración de sistemas y de seguridad, e incluye informes completos acerca
de cómo una organización está utilizando los recursos de Internet. Pero analiza los datos en forma diferente
a como lo hace el sistema de Informes Históricos de WatchGuard. Para calcular los datos de uso de Internet,
los informes históricos contabilizan el número de transacciones de protocolo, mientras que NetIQ calcula el
número de pedidos de URL.
Nota
El sistema de registros de la proxy HTTP de WatchGuard debe estar habilitado para poder proporcio-
nar al NetIQ la información necesaria.
Podrá encontrar los informes en MyDocuments\MyWatchGuard\Shared WatchGuard\reports.
Un informe incluye datos completos de los archivos de registro, a menos que el usuario recurra a filtros
específicos. Podrá usar un filtro de informes para mostrar solamente datos sobre uno o más servicios, o
sobre uno o varios usuarios, o sobre uno o varios hosts. El filtro puede tener dos formas:
Include
Sirve para hacer un informe que incluya registros especificados en las propiedades oportunamente
fijadas desde la pestaña User Report Filters o en Host o en Service.

Exclude
Sirve para generar informes que no incluyan registros especificados en las propiedades oportuna-
mente fijadas desde las pestaña User Report Filters o en Host o en Service.
Podrá establecer un filtro que Incluya o Excluya datos en un informe, con estas tres propiedades:
Host
La direcciones IP del Host.
Port
El nombre del servicio o el número de puerto.
User
El nombre del usuario autenticado.
Creando un nuevo filtro de informes

Utilice Informes Históricos (Historical Reports) para crear un nuevo filtro de informes. Podrá encontrar los
filtros en el directorio de instalación del WatchGuard, ubicados en el subdirectorio report-defs, con la
extensión de archivo *.ftr.
1 Desde Historical Reports, haga click en Filters.
2 Escriba el nombre del filtro. Este nombre aparecerá en la lista desplegable Filter, de la pestaña
Properties Setup.
3 Seleccione el nombre del filtro.
Por ejemplo, si usted tiene 45 hosts, grafique los 10 principales y resuma los demás en “Others”. Para una descripción de
Include y Exclude, vea más arriba.
4 Complete las pestañas de Filter.
Para ver la función de cada uno de los ítems haga click con el botón derecho del mouse y vea “What´s this?”.
5 Cuando finalice, haga click en OK.
Aparecerá el nombre del nuevo filtro en la lista de filtros. El archivo NombreDelFiltro.ftr se encontrará en la carpeta My
Documents\My WatchGuard\Shared WatchGuard\report-defs.
Editando filtros de informes

También podrá cambiar las propiedades de un filtro. Desde la caja de diálogo Filters en Historical Reports
(Informes Históricos):
1 Seleccione el filtro a modificar. Haga click en Edit.
Aparecerá la caja de diálogo Report Filter.
2 Cambie las propiedades del filtro.
Para ver la función de cada propiedad, use el botón derecho del mouse y haga click en “What´s this?”.

Generando Informes
Borrando un filtro de informes

Para borrar un filtro de la lista, selecciónelo y haga click en Delete. Esto eliminará el archivo *.ftr del
directorio \report-defs.
Aplicando un filtro de informes

Cada informe puede usar solamente un filtro. Para aplicar un filtro, abra las propiedades del informe.
1 Desde Historical Reports (Informes Históricos), seleccione el informe al que aplicará el filtro.
Haga click en Edit.
2 Use el menú desplegable Filter para elegir un filtro.
Sólo si ha configurado un filtro en la caja de diálogo Filters, éste aparecerá en el menú desplegable. Para más información
vea “Creando un nuevo filtro de informes”.
3 Haga click en OK.
Guarde el nuevo informe en el archivo “NombreInforme.rep” en el directorio report-defs. Cuando genere el informe, se apli-
cará el filtro.
Generando Informes
Podrá crear uno o más informes por medio de Historical Reports (Informes Históricos).
1 Desde Historical Reports tilde las opciones que desea para cada informe.
2 Haga click en Run.
Nota
Si no está tildada la opción Send a log message with summary information for each transaction
en la proxy HTTP, no verá información detallada sobre las conexiones de proxy HTTP en sus informes.
Secciones del Informe y Secciones Consolidadas

Podrá usar los Informes Históricos para crear informes con una o más secciones. Cada sección incluye un
tipo diferente de información o de tráfico de red. Podrá agrupar diversas secciones para crear un resumen.
Podrá entonces crear un informe en el registro de eventos de mensajes de un grupo de dispositivos Firebox.
Secciones de informes
Hay dos tipos básicos de secciones de informes:
• Summary (Resumen) – Las secciones en las que se ordenan datos por conexiones o por ancho de
banda.
• Detailed (Detallada) – Las secciones que muestran todo el tráfico o los eventos, sin sumarios gráficos
ni rangos.
Abajo mostramos una lista de los posibles tipos diferentes de secciones de un informe y también las seccio-
nes consolidadas:
Firebox Statistics
Un resumen de estadísticas de uno o más archivos de registros de un Firebox.
Authentication Detail
Una lista de usuarios autenticados por secuencia temporal de conexiones. Las cajas de texto son:
- Usuarios autenticados
- Host

- Hora y fecha de comienzo de la sesión de autenticación.

- Hora de finalización de la sesión autenticada
- Extensión de la sesión
Time Summary – Packet Filtered
Una tabla y un gráfico opcional de todas las conexiones aceptadas, divididos por intervalos fijados
por el usuario y ordenadas secuencialmente. El intervalo por defecto es un día, pero puede elegirse
otro intervalo.
Host Summary – Packet Filtered
Una tabla y un gráfico opcional de los hosts internos y externos que enviaron paquetes filtrados de
tráfico a través del Firebox. Los hosts son mostrados ordenados por su volumen en bytes o por
número de conexiones.
Service Summary
Una tabla y un gráfico opcional del tráfico de cada servicio, mostrados en orden según la cantidad
de conexiones.
Session Summary – Packet Filtered
Una tabla y un gráfico opcional de las sesiones más frecuentes, entrantes y salientes. Las sesiones
son ordenadas según su volumen en bytes o por número de conexiones. El formato de la sesión es:
cliente > Servidor: Servicio. Historical Reports intenta buscar en una tabla el nombre del servicio a
partir del número de puerto. Si esto no funciona, Historical Reports mostrará el número de puerto.
Time Summary – Proxied Traffic
Una tabla y un gráfico opcional de todas las conexiones aceptadas, divididas por intervalos definidos
por el usuario y ordenadas secuencialmente. El tiempo por defecto es un día, pero puede ser reem-
plazado por otro.
Host Summary – Proxied Traffic
Una tabla y un gráfico opcional de los hosts internos y externos que envían tráfico con una proxy a
través del Firebox. Los hosts se muestran en orden por volumen de bytes o por número de conexio-
nes.
Proxy Summary
Las proxies, en orden por ancho de banda o cantidad de conexiones.
Session Summary – Proxied Traffic

Una tabla y un gráfico opcional de las sesiones entrantes y salientes más frecuentes. Las sesiones
muestran en orden por volumen de bytes o por el número de conexiones. El formato de la sesión es
cliente -> Servidor: Servicio. El servicio se muestra en mayúsculas.
HTTP Summary
Tablas y un gráfico opcional de los dominios y hosts externos más frecuentes a los que los usuarios
se conectan por medio de la HTTP proxy. El dominio y los hosts se muestran ordenados por la canti-
dad de bytes o el número de conexiones.
HTTP Detail
Tablas para el tráfico HTTP entrante y saliente por orden temporal. Los campos son Fecha, Hora,
Cliente, URL requerido y cantidad de bytes transferidos.
SMTP Summary
Una tabla y un gráfico opcional de las direcciones de e-mail entrantes y salientes más frecuentes
ordenadas por cantidad de bytes o por número de conexiones.
SMTP Detail
Una tabla del tráfico proxy de SMTP entrante y saliente, en orden temporal. Los campos son Fecha,
Hora, Remitente(s), Destinatarios y cantidad de bytes transferidos.

FTP Detail
Tablas para el entrante y saliente de FTP, en orden temporal. Los campos son Fecha, Hora, Cliente,
Servidor, solicitud de FTP y ancho de banda.
Denied Outgoing Packet Detail
Una lista de los paquetes salientes denegados, en orden temporal. Los campos son Fecha, Hora, Tipo,
Cliente, Puerto del Cliente, Servidor, Puerto del Servidor, Protocolo y Duración.
Denied Incoming Packet Detail
Una lista de los paquetes entrantes denegados, en orden temporal. Los campos son Fecha, Hora, Tipo,
Cliente, Puerto del cliente, Servidor, Puerto del Servidor, Protocolo y Duración.
Denied Packet Summary
En esta sección hay diversas tablas. Cada una muestra los datos del host que denegó paquetes. Los
datos tienen la hora de su primer y último intento, el tipo, el servidor, el puerto, el protocolo y el núme-
ro de intentos. Si hay un único intento, este último campo no contendrá datos.
Denied Service Detail
Una lista de eventos en los cuales al usuario se le ha denegado el uso de un servicio. Esta lista incluye
peticiones entrantes y salientes.
WebBlocker Detail
Una lista de las URLs denegadas por el WebBlocker, en orden temporal. Los campos son Fecha, Hora,
Usuario, Sitio Web, Tipo y Categoría.
Denied Authentication Detail
Una lista de las autenticaciones denegadas, en orden temporal. Los campos son Fecha, Hora, Host y
Usuario.
IPS Blocked Sites
Una lista de los sitios bloqueados por el IPS.
Alarms
Disponible sólo para usuarios de Fireware, este informe muestra todas las alarmas de los dispositivos y
el problema descubierto con cada una de ellas.
AV Summary
Un resumen del Gateway Antivirus relacionadas con las acciones de correo. Los campos incluyen
Remitente, detalles del virus, si éste fue limpiado y el tamaño del adjunto del correo. Esta sección sólo
está disponible para los usuarios de Fireware que además estén suscriptos al servicio Antivirus.
AV Detail
Una lista de orígenes, remitentes y detalles de virus relacionados con las acciones del Gateway
Antivirus para correo electrónico. Esta sección sólo estará disponible para los usuarios de Fireware que
estén suscriptos al servicio Antivirus.
IPS Summary
Un resumen de las acciones tomadas por el sistema de prevención de intrusiones IPS, que muestra el
porcentaje de tipo de tráfico, la dirección IP de origen y las categorías de firmas. Esta sección sólo esta-
rá disponible para usuarios de Fireware que estén suscriptos al servicio IPS.
IPS Detail
Una lista de todas las acciones tomadas por el IPS, incluyendo origen, protocolos y detalles de las fir-
mas. Esta sección sólo estará disponible para los usuarios de Fireware que estén suscriptos al servicio
IPS.

Secciones consolidadas
Network Statistics
Un resumen de las estadísticas de uno o más archivos de log, para todos los Fireboxes que están
siendo monitoreados.
Time Summary – Packet Filtered
Una tabla y una gráfico opcional de todas las conexiones aceptadas, divididas por intervalos de
tiempos definidos por el usuario y por orden temporal. El intervalo temporal por defecto es un día,
pero usted puede seleccionar otro.
Host Summary – Packet Filtered
Una tabla y un gráfico opcional de los hosts internos y externos que enviaron tráfico de paquetes fil-
trado a través del Firebox. Los hosts se muestran ordenados por volumen de bytes o por número de
conexiones.
Service Summary
Una tabla y un gráfico opcional del total de tráfico de todos los servicios, ordenado de acuerdo a la
cantidad de conexiones.
Session Summary – Packet Filtered
Una tabla y un gráfico opcional de las sesiones más frecuentes entrantes y salientes. Las sesiones se
muestran ordenadas por volumen de bytes o por número de conexiones. El formato de la sesión es:
cliente -> servidor : Servicio. Historical Reports intenta buscar el puerto del servidor en una tabla
para mostrar el nombre del servicio. Si no lo encuentra, exhibirá el número de puerto.
Time Summary – Proxied Traffic
Una tabla y un gráfico opcional de todas las conexiones aceptadas, divididas por un intervalo tem-
poral definido por el usuario y ordenadas por orden temporal. El intervalo por defecto es un día,
pero usted puede elegir otro diferente.
Host Summary – Proxied Traffic
Una tabla y un gráfico opcional de los hosts internos y externos que envían tráfico con una proxy, a
través del Firebox. Los hosts se muestran en orden según el volumen de bytes o por número de
conexiones.
Proxy Summary
Las proxies ordenadas por ancho de banda o por conexiones.
Session Summary – Proxied Traffic
Una tabla y un gráfico opcional de las más frecuentes sesiones entrantes y salientes. Las sesiones se
muestran ordenadas por volumen de bytes o por número de conexiones. El formato de la sesión es:
cliente -> servidor: Servicio. El servicio se muestra en letras mayúsculas.
HTTP Summary
Tablas y un gráfico opcional, de los dominios externos y hosts más frecuentes a los que los usuarios
se conectan a través de la HTTP proxy. Los dominios y los hosts se muestran ordenados por cantidad
de bytes o por número de conexiones.

CAPÍTULO 15 Configuración y Administración del
Management Server
El WatchGuard® Management Server administra los túneles VPN de una empresa distribuida, desde una
interfaz de administración fácil de usar. El Management Server también le permitirá administrar centraliza-
damente múltiples dispositivos Firebox® X Edge. Luego de haber completado los procedimientos de confi-
guración descriptos en este capítulo, usted puede usar el WatchGuard® Management Server para configurar
y administrar un dispositivo Firebox conectado al Management Server. Puede abrir las herramientas correc-
tas desde la página de dispositivo del Management Server para administrar equipos Firebox X Core, Firebox
X Peak, Firebox III, Firebox X Edge y SOHO 6. Para más información, vea el capítulo subsiguiente.
Usted puede usar el WatchGuard® Management Server para configurar y administrar múltiples dispositivos
Firebox X Edge. Para más información, vea el capítulo “Administrando Firebox X Edge y Firebox SOHO”.
Usted puede instalar el Management Server en su estación de administración durante la instalación. O bien
puede usar el mismo procedimiento de instalación para instalar el Management Server en una computado-
ra diferente que use sistema operativo Windows. Recomendamos instalar el software del Management
Server en una computadora con una dirección IP estática, que esté detrás de un Firebox con una dirección
IP estática externa. De otro modo, el Management Server podría no operar correctamente.
Passphrasses del WatchGuard Management Server
El WatchGuard® Management Server utiliza una cantidad de contraseñas para proteger información sensi-
ble en su disco rígido y para asegurar los datos con sistemas clientes. Luego de instalar el software
WatchGuard Management Server, debe usar el Asistente de Configuración para configurar el Management
Server. Este Asistente le pedirá estas passphrases:
• Clave maestra de encripción
• Passphrase del Management Server
La passphrase del Management Server y otras passphrases creadas automáticamente se guardan en un
archivo de passphrases.
Clave maestra de encripción

La primera passphrase que debe establecerse en el Asistente de Configuración es la clave maestra de
encripción. Esta passphrase protege todas las passphrases en el archivo de passphrases.
La clave maestra de encripción se usa para encriptar todas las otras passphrases que estén en el disco rígido

Passphrasses del WatchGuard Management Server
del Management Server. Esto previene que una persona con acceso al disco rígido o sus contenidos archi-
vados pueda obtener las passphrases y usarlas para acceder a otros datos sensibles del disco rígido.
Seleccione y asegure cuidadosamente la clave maestra de encripción. Asegúrese de que la clave maestra
de encripción y la passphrase del Management Server no sean la misma.
Usted tendrá que usar la clave maestra de encripción cuando:
• Migre los datos del Management Server hacia un nuevo sistema
• Restaure un archivo de clave maestra perdido o corrupto
• Cambie la clave maestra de encripción
La clave maestra de encripción no se usa frecuentemente. Le recomendamos escribirla y guardarla en una
ubicación segura.
Passphrase del Management Server

La segunda passphrase que le pedirá el Asistente de Configuración es la passphrase del Management
Server. Esta passphrase será usada frecuentemente por el administrador. Usted utilizará esta passphrase
para conectar el Management Server en el WatchGuard System Manager.
Contraseñas y archivos de claves

La passphrase del Management Server y todas las passphrases creadas automáticamente se guardan en
un archivo de passphrases. Los datos de passphrases en este archivo están protegidos por la clave maestra
de encripción. La clave maestra de encripción no se guarda en el disco rígido. Una clave de encripción es
creada a partir de la clave maestra de encripción.
Las ubicaciones por defecto para el archivo de contraseñas y la clave de encripción son:
• C:\Documents and Settings\WatchGuard\wgauth\wgauth.ini
• C:\Documents and Settings\WatchGuard\wgauth\wgauth.key
Note que estos archivos son usados por el software del Management Server y no deben ser modificados
directamente por un administrador.
Utilidad Microsoft SysKey

El archivo de contraseñas está protegido por la clave maestra. Esta clave está protegida por una clave de
encripción, la cual a su vez está protegida por la clave de sistema de Windows.
Los sistemas operativos Windows usan una clave de sistema para proteger la llamada base de datos
Security Accounts Management (SAM). Ésta es una base de datos de las cuentas y contraseñas de
Windows en la computadora. Por defecto, los datos de la clave del sistema están escondidos en el registro.
El sistema está protegido y la clave del sistema se crea desde el registro durante el proceso de arranque. Si
usted quiere un sistema más seguro, puede eliminar los datos de la clave del sistema del registro para que
este dato sensible no esté en absoluto en el sistema.
Se puede usar la utilidad SysKey para:
• Transferir la clave de sistema hacia un disquete.
• Hacer que el administrador escriba una contraseña en el arranque.
• Transferir la clave del sistema desde un disquete hacia el sistema.
Si usted transfiere la clave de inicio a un disquete, dicho disquete debe insertarse en la unidad de disco
correspondiente para que el sistema arranque. Si usted hace que el administrador escriba una contraseña
de arranque, el administrador deberá escribir la contraseña cada vez que el sistema arranque.
Para configurar las opciones SysKey, haga click en Start > Run, escriba syskey, y haga click en OK.

Configurando el Management Server
Configurando el Management Server
El Asistente Management Server Setup crea un nuevo Management Server en su estación de trabajo. Si
usted usó versiones previas de WatchGuard® System Manager y VPN Manager, también puede usar el
Asistente para migrar un servidor DVCP instalado en el Firebox® hacia un nuevo Management Server en una
estación de trabajo. Para sacar un Management Server de un Firebox, vea la Guía de Migración de WFS hacia
Fireware.
Recomendamos que instale el software del Management Server en una computadora con una dirección IP
dinámica que esté detrás de un Firebox con una dirección IP estática externa. De lo contrario, el
Management Server podría no operar correctamente.
Este procedimiento muestra los pasos que debe seguir para configurar exitosamente un nuevo
Management Server. Utilice este procedimiento si no tiene en este momento un Management Server.
1 Haga click derecho en el ícono del Management Server en la barra de herramientas de WatchGuard ubi-
cada en la barra de tareas de Windows.
Usted no verá este ícono si no tiene instalado el Management Server.
2 Seleccione Start Service.

3 Se iniciará el Asistente Management Server Setup. Haga click en Next.
4 Hace falta una clave maestra de encripción para controlar el acceso a la estación de administración de
WatchGuard. Escriba una passphrase que tenga al menos ocho caracteres y luego escríbala de nuevo
para confirmarla. Haga click en Next.
Asegúrese de guardar esta passphrase en un lugar seguro.
5 Escriba la passphrase del Management Server que usará cuando configure y monitoree el WatchGuard
Management Server. Use una passphrase que tenga un mínimo de ocho caracteres y luego escríbala de
nuevo para confirmarla. Haga click en Next.
6 Escriba la dirección IP y las passphrases para el gateway de su Firebox. El gateway de su Firebox protege
el Management Server de la Internet. Cuando usted añade una dirección IP, el Asistente hace tres cosas:
- El Asistente usa esta dirección IP para configurar el gateway de su Firebox y permitir conexiones al
Management Server. Si usted no escribe una dirección IP aquí, debe configurar cualquier firewall
entre el Management Server y la Internet para permitir conexiones hacia el Management Server
sobre los puertos TCP 4110, 4112 y 4113.
- Si usted tiene una versión anterior del WatchGuard System Manager y un Firebox configurado
como Servidor DVCP, el Asistente obtiene la información del servidor DVCP del gateway de su
Firebox y transfiere esos parámetros hacia su Management Server. Ver la Guía de Migración para
más información.
- El Asistente establece la dirección IP para la Lista de Revocación de Certificados (Certificate
Revocation List). Los dispositivos que usted añada como clientes administrados usarán esta direc-
ción IP para conectarse al Management Server. Esta dirección IP debe ser la dirección IP pública
que su Management Server muestra hacia Internet. Si usted no escribe una dirección IP aquí, el
asistente utilizará la dirección IP vigente en la computadora de su Management Server para la
dirección IP de la CRL. Si ésta no es la dirección IP que sus computadoras muestran hacia Internet,
porque su computadora está detrás de un dispositivo que tiene Network Address Translation
(NAT), usted debe editar la CRL y escribir la dirección IP pública usada por su Management Server.
Para más información, vea “Cambiando la configuración del Management Server”.
7 Escriba la clave de licencia para el Management Server. Haga click en Next.
Para más información sobre las claves de licencia del Management Server, vea este FAQ avanzado:
https://www.watchguard.com/support/AdvancedFaqs/wsm8_srvrkey.asp
8 Escriba el nombre de su organización. Haga click en Next.
Este nombre es usado por la Autoridad de Certificación en el Management Server.

Cambiando la Configuración del Management Server
9 Aparecerá una pantalla informativa que muestra la información sobre sus servidores.
Haga click en Next.
El Asistente configurará el servidor.
10 Haga click en Finish.
Nota
Cuando una interfaz cuya dirección IP esté sujeta al Management Server se desconecte y luego se rei-
nicie, recomendamos reiniciar también el Management Server.
Cambiando la Configuración del Management Server
El Asistente Management Server Setup configura su Management Server. Usualmente no es necesario

cambiar las propiedades de la configuración de su Management Server luego de usar el Asistente. Pero si
usted debe cambiar la configuración del Management Server, puede acceder a las propiedades de confi-
guración en el Management Server mismo.
Desde la computadora configurada como Management Server, haga click derecho en el ícono del
Management Server en la barra de tareas de WatchGuard® y seleccione Configure. Aparecerá la caja de
diálogo Management Server Configuration.
Agregando o eliminando una licencia de Management Server

Para añadir una licencia de Management Server, haga click en la pestaña Management. Escriba o pegue la
clave de licencia del Management Server en el campo, y haga click en Add.

Configurando la Certificate Authority
Para eliminar una licencia de Management Server, haga click en la pestaña Management. Seleccione la
licencia a eliminar, y haga click en Remove.
Haga click en OK cuando complete la configuración.
Para más información sobre las claves de licencia del Management Server, vea este FAQ avanzado:
https://www.watchguard.com/support/AdvancedFaqs/wsm8_srvrkey.asp
Registrando mensajes de log de diagnóstico para el Management Server

Para hacer que el Management Server envíe mensaje de log de diagnóstico hacia el Visor de Sucesos de
Windows, haga click en la pestaña de Management. Seleccione la casilla de verificación Debug VPN
Management Service log messages.
Para ver el log de los mensajes de diagnóstico, abra el Visor de Sucesos de Windows. Desde el escritorio de
Windows, seleccione Inicio > Ejecutar. Escriba eventvwr. Mire la sección Aplicación del Visor de Sucesos
para ver el log de mensajes.
Usted puede configurar la Certificate Authority (CA), o Autoridad de Certificación, en el WatchGuard

Management Server. Use la Autoridad de Certificación para:
• Configurar las propiedades del certificado de la CA
• Configurar las propiedades del certificado del cliente
• Configurar las propiedades para la Lista de Revocación de Certificados (Certificate Revocation List o
CRL).
• Escribir hacia el Visor de Sucesos de Windows mensajes de diagnóstico sobre el servicio CA.
Configurando las propiedades del certificado CA

Usualmente, los administradores no cambian las propiedades del certificado de la CA. Si usted debe cambiar
estos parámetros:
1 Desde la computadora configurada como Management Server, haga click derecho en el icono del
Management Server que está en la barra de tarea de WatchGuard y seleccione Configure.

2 Haga click en la pestaña Certificates.
3 En la caja de texto Common Name, escriba el nombre que quiere que aparezca en el certificado de la
CA.
4 En la caja de texto Organization, escriba un nombre de organización para el certificado de la CA.
5 En la caja de texto Certificate Lifetime, escriba la cantidad de días luego de la cual el certificado de la
CA expirará.
Un período más largo de duración de un certificado puede dar a un atacante más tiempo para atacar.
6 Desde la lista desplegable Key Bits, seleccione cuán fuertemente se aplicará el certificado.
Cuanto más alto sea el número establecido en la configuración Key Bits, más fuerte será la criptografía que proteja la
clave.
7 Haga click en OK cuando complete la configuración.
Configurando las propiedades de los certificados del cliente

1 Desde la computadora definida como Management Server, haga click derecho en el ícono del
Management Server que está en la barra de tareas de WatchGuard y seleccione Configure.

3 En la caja de texto Certificate Lifetime, escriba la cantidad de días luego de la cual el certificado del
cliente expirará.
Un período más largo de duración de un certificado puede dar a un atacante más tiempo para atacar.
4 Desde la lista desplegable Key Bits, seleccione cuán fuertemente se aplicará el certificado.
Cuando más alto sea el número establecido en la configuración Key Bits, más fuerte será la criptografía que proteja la
clave.
Configurando las propiedades de la Lista de Revocación de Certificados (CRL)

1 Desde la computadora configurada como Management Server, haga click derecho en el ícono del
Management Server que está en la barra de tareas de WatchGuard y seleccione Configure.

Respaldando y restaurando la configuración del Management Server
3 Escriba la Distribution IP Address para la Certificate Revocation List (CRL).

Por defecto, ésta es la dirección del gateway del Firebox. Es también la dirección IP que usan los clientes remotamente
administrados del Firebox para conectarse al Management Server. Si la dirección IP externa de su Firebox cambia, usted
debe cambiar también este valor.
4 Es c riba el Pu b l i cation Inte rval o intervalo de publicación para la CRL, escrito en horas. Este es el pe r í o -
do luego del cual la CRL será publicada automáticamente.
El parámetro por defecto es cero (0), lo que significa que la CRL se publicará cada 720 horas (30 días). La CRL también se
actualiza luego de que un certificado sea revocado.
Registrando mensajes de log de diagnóstico para el servicio Certificate Authority

Para hacer que el Management Server envíe mensajes de log de diagnóstico hacia el Visor de Sucesos de
Windows, haga click en la pestaña Certificates. Seleccione la caja de verificación Debug CA Service log
messages. Para ver los mensajes en el log, abra el Visor de Sucesos de Windows.
Respaldando y Restaurando la Configuración del Management Server
El Management Server contiene la información de configuración para todos los Firebox® X Edge y túneles
VPN administrados. Es una buena idea crear archivos de respaldo regulares y frecuentes del Management
Server y mantenerlos en un lugar seguro. Usted puede usar este archivo de respaldo para recuperar el
Management Server en caso de falla del hardware. También puede usar este archivo de respaldo si desea
trasladar el Management Server hacia una nueva computadora. Para usar el archivo de respaldo una vez
que ha sido creado, debe conocer la clave maestra de encripción. La clave maestra de encripción es esta-
blecida cuando usted configura por primera vez el Management Server.

Mudando el WatchGuard Management Server a una Nueva Computadora
1 Desde la barra de tareas de Windows, haga click derecho en el ícono Management Server y seleccione
Stop Service.
2 Desde la barra de tareas de Windows, haga click derecho en el ícono Management Server y seleccione
Backup/Restore.
Dará comienzo el Asistente Management Server Backup/Restore. Use las instrucciones en pantalla para crear un archivo de
respaldo o restaurar una configuración de Management desde un archivo de respaldo.
3 Cuando el procedimiento esté completo, haga click derecho en el ícono Management Server de la barra
de tareas de su Windows y seleccione Start Service.
Para transferir el Management Server hacia una nueva computadora, usted debe conocer la clave maestra
de encripción. También debe asegurarse de dar al nuevo Management Server la misma dirección IP que
tenía el anterior.
1 Use el Asistente Management Server Backup/Restore para:
- Crear un archivo de respaldo de su configuración actual del Management Server.
- Instalar el software del Management Server sobre un nuevo Management Server.
- Usar el archivo de instalación del WatchGuard® System Manager e instalar el software del
Management Server.
2 Ejecute el Asistente Restore y seleccione el archivo respaldado.
3 Desde la barra de tareas de Windows, haga click derecho sobre el ícono del Management Server y
seleccione Start Service.


CAPÍTULO 16 Usando el Management Server
Luego de haber configurado el Management Server, usted puede usarlo para administrar túneles VPN y múl-
tiples dispositivos Firebox®.
También puede utilizar el Management Server para administrar y configurar dispositivos Firebox X Edge.
Para más información, vea el capítulo “Administrando Firebox X Edge y Firebox SOHO”.
Conectándose a un Management Server
1 Seleccione File > Connect to Server.

o
Haga click derecho en la ventana del Watchguard® System Manager y seleccione Connect to > Server.
o
Haga click en el ícono Connect to Server sobre la barra de tareas del WatchGuard System
Manager. El ícono se muestra a la izquierda.
2 Desde la lista desplegable del Management Server, seleccione un servidor por su nombre de host o
dirección IP.
También puede escribir la dirección IP o el nombre de host si es necesario.
Cuando escriba una dirección IP, escriba todos los números y los puntos. No use las teclas TAB o las flechas.
3 Escriba la passphrase para el Management Server.

Administrando Dispositivos con el Management Server
4 Si es necesario, cambie el valor en el campo Timeout. Este valor establece el tiempo (en segundos) que
el Watchguard System Manager “escucha” si vienen datos desde el Management Server, antes de enviar
un mensaje de que no puede conectarse.
Si usted tiene una red o conexión a Internet lenta hacia el dispositivo, puede incrementar el valor de
time-out, o tiempo de espera. Si disminuye este valor, disminuirá el tiempo que deberá esperar la llega-
da de un mensaje de time-out cuando trate de conectarse con un Management Server que no esté
disponible.
5 Si usted está usando el servidor sólo para monitorear tráfico, seleccione la casilla de verificación
Monitoring Only. No seleccione esta casilla de verificación si debe configurar el servidor o sus disposi-
tivos administrados.
6 Haga click en OK.
El servidor aparecerá en la ventana del WatchGuard System Manager.
Nota
En algunas versiones previas de productos de seguridad WatchGuard, el WatchGuard System
Management Server se llamaba servidor DVCP.
Desconectándose de un servidor
Para desconectarse, haga click en el nombre del Management Server y seleccione File >
Disconnect. O bien seleccione el Management Server en la vista del árbol y luego haga click
en el ícono Disconnect que se muestra a la izquierda.

Para administrar un Firebox con el Management Server usted debe:
• Asegurarse de que el Firebox permita todas las conexiones de administración desde el Management
Server.
• Habilitar manualmente el Firebox como cliente administrado (managed client) para cualquier
Firebox que tenga una dirección IP externa dinámica.
• Añadir el Firebox a la configuración del Management Server.
Las instrucciones que usted utilizará para habilitar un Firebox como cliente Firebox administrado serán
diferentes si usa diferentes appliances de software para Firebox o un modelo distinto de Firebox. Dichas
instrucciones pueden también diferir si el cliente administrado Firebox tiene una dirección IP dinámica.
Cuando mire las secciones que siguen, asegúrese de hallar la información adecuada para la configuración
de su Firebox.
Configurando un Firebox X Core o X Peak corriendo Fireware como un Managed Client

1 Abra el Policy Manager para el Firebox que quiere habilitar como cliente administrado (managed
client).
2 Haga doble click en la política WatchGuard para abrirla y editarla.
Aparecerá la caja de diálogo Edit Policy Properties para la política WatchGuard.
3 Asegúrese de que la lista desplegable WatchGuard-Firebox-Mgmt connections are esté configurada
en Allowed.
4 Debajo de la caja de diálogo From, haga click en Add. Haga click en Add Other.
5 Asegúrese de que la lista desplegable Choose Type esté puesta en Host IP Address. En el campo
Value, escriba la dirección IP de la interfaz externa del gateway del Firebox que protege al
Management Server de la Internet.
Si usted no tiene un gateway en el Firebox que proteja al Management Server de la Internet, escriba la dirección IP está-
tica de su Management Server.


7 Asegúrese de que la caja de diálogo To incluya una entrada Firebox o bien Any.
Nota
Si el Firebox que usted quiere administrar tiene una dirección IP estática sobre su interfaz externa, puede
detenerse aquí. Guarde la configuración para este Firebox. Ahora puede añadir el dispositivo a su confi-
guración del Management Server; el Management Server automáticamente se conectará a la dirección
IP estática y configurará al Firebox como Firebox cliente administrado.
Si el Firebox que usted quiere administrar tiene una dirección IP dinámica, vaya al paso 8.
8 Desde el Policy Manager, seleccione VPN > Managed Client.

Aparecerá la caja de diálogo Managed Client Setup
9 Para configurar un Firebox como un dispositivo administrado, seleccione la caja de verificación Enable
this Firebox as a Managed Client.
10 En la caja Client Name, escriba el nombre que quiere darle al Firebox cuando lo añada a la configuración
del Management Server.
Este nombre es sensible a mayúsculas y minúsculas y debe coincidir con el nombre que usted use cuando añada el dispo-
sitivo a la configuración del Management Server.
11 Para permitir al cliente administrado enviar mensajes al Log Server, seleccione la casilla de verificación
Enable diagnostic logs (recomendamos usar esta opción sólo para localizar y solucionar problemas).
12 En la caja para la dirección IP del Management Server, escriba la dirección IP del Management Server si
éste tiene una dirección IP pública.
El Firebox que protege el Management Server automáticamente monitorea todos los puertos usados por el Management
Server y reenviará cualquier conexión sobre estos puertos hacia el Management Server configurado. El Firebox que prote-
ge al Management Server está configurado para hacer esto cuando usted corra el Asistente Management Server Setup.
Si usted no usa el Asistente Management Server Setup en el Management Server o si usted salteó el paso “Gateway
Firebox” en el Asistente, configure el gateway del Firebox para reenviar los puertos TCP 4110, 4112 y 4113 hacia la dirección
IP privada del Management Server.
13 En la caja Shared Secret, escriba un secreto compartido. Escríbalo de nuevo para confirmarlo.
El secreto compartido que escriba aquí debe coincidir con el que escriba cuando añada el Firebox a la configuración del
Management Server.

14 Haga click en el botón Import e importe el archivo CA-Admin.pem como su certificado.

Cuando salve la configuración al Firebox, el Firebox quedará habilitado como cliente administrado. El Firebox que es
cliente administrado tratará de conectarse a la dirección IP del Management Server sobre el puerto TCP 4110. Las cone-
xiones de administración son permitidas desde el Management Server hacia este Firebox cliente administrado.
Configurando un Firebox III or Firebox X Core corriendo WFS como un Managed Client
1 Abra el Policy Manager para el Firebox que quiera habilitar como cliente administrado.
2 Haga doble click en el servicio WatchGuard para abrirlo para editarlo.
Aparecerá la caja de diálogo Edit Service Properties para la política WatchGuard.
3 En la pestaña Incoming, asegúrese de que las conexiones WatchGuard entrantes estén configuradas
como Enabled and Allowed.
4 Debajo de la caja de diálogo From, haga click en Add. Haga click en Add Other.
5 Asegúrese de que la lista desplegable Choose Type esté puesta en Host IP Address. En el campo
Value, escriba la dirección IP de la interfaz externa del gateway del Firebox que protege al
Management Server de la Internet.
Si usted no tiene un gateway en el Firebox que proteja al Management Server de la Internet, escriba la dirección IP está-
tica de su Management Server.
7 Asegúrese de que la caja de diálogo To incluya una entrada Firebox o bien Any.
Nota
Si el Firebox que usted quiere administrar tiene una dirección IP estática sobre su interfaz externa,
puede detenerse aquí. Guarde la configuración para este Firebox. Ahora puede añadir el dispositivo a
su configuración del Management Server, el Management Server automáticamente se conectará a la
dirección IP estática y configurará al Firebox como Firebox cliente administrado.
Si el Firebox que usted quiere administrar tiene una dirección IP dinámica, vaya al paso 8.
8 Desde el Policy Manager, seleccione Network > DVCP Client.

9 Seleccione la caja de verificación Enable this Firebox as a DVCP Client.
10 En el campo Firebox Name, ponga el nombre del Firebox.
El nombre del Firebox es sensible a mayúsculas y minúsculas. El nombre que escriba aquí debe coincidir con el que
usted use cuando añada este Firebox a la configuración del Management Server.
11 Para enviar mensajes de log al cliente administrado, seleccione la caja de verificación Enable debug
log messages for the DVCP Client (WatchGuard recomienda usar esta opción sólo para localizar y
solucionar problemas).
12 Haga click en Add para añadir el Management Server al cual se conecta el Firebox. En la caja de
dirección DVCP Server, escriba la dirección IP del Management Server si éste tiene una dirección IP
pública. O bien, escriba la dirección IP pública del Firebox que protege al Management Server. Escriba
el Shared Secret a utilizar en la conexión al Firebox. El secreto compartido que escriba aquí debe coin-

cidir con el que escribió cuando añadió este dispositivo a la configuración del Management Server.
Un Firebox puede ser cliente de sólo un Management Server.
El Firebox que protege el Management Server monitorea automáticamente todos los puertos usados por el Management
Server y reenviará cualquier conexión sobre estos puertos hacia el Management Server configurado. El Firebox que prote-
ge al Management Server está configurado para hacer esto cuando usted corra el Asistente Management Server Setup.
Si usted no usa el Asistente Management Server Setup en el Management Server o si usted salteó el paso “Gateway
Firebox” en el Asistente, configure el gateway del Firebox para reenviar los puertos TCP 4110, 4112 y 4113 hacia la dirección
IP privada del Management Server.
Cuando guarde la configuración al Firebox, el Firebox quedará habilitado como cliente administrado. El Firebox que es
cliente administrado tratará de conectarse a la dirección IP del Management Server sobre el puerto TCP 4110. Las conexio-
nes de administración estarán permitidas desde el Management Server hacia este Firebox cliente administrado.
Configurando un Firebox X Edge como un Cliente Administrado

1 Para conectarse a la página de estado del sistema del Firebox X Edge, escriba https:// en la barra de
direcciones del navegador, y la dirección IP de la interfaz Edge confiable.
El URL por defecto es: https://192.168.111.1
2 Desde la barra de navegación, seleccione Administration > WSM Access.
Aparecerá la página WatchGuard Management Access.
3 Seleccione la caja de verificación Enable remote management.

4 Desde la lista desplegable Management Type, seleccione WatchGuard System Manager.
5 Para poner el Firebox X Edge bajo el control de la administración centralizada WatchGuard System
Manager del Edge, haga click en la casilla de verificación Use Centralized Management. No use la casilla
de verificación Use Centralized Management si usted está usando el WatchGuard System Manager sólo
para administrar túneles VPN.
Cuando el Firebox X Edge está bajo administración centralizada, el acceso a las páginas de configuración del Firebox X
Edge queda configurado como de sólo lectura. La única excepción es el acceso a la página de configuración del WSM. Si
usted deshabilita la función de administración remota, tendrá nuevamente acceso para lectura y escritura a las páginas de
configuración del Firebox X Edge.
6 Escriba una passphrase de estado (status passphrase) para su Firebox X Edge y luego escríbala de nuevo
para confirmarla en los campos correctos.
7 Escriba una passphrase de configuración (configuration passphrase) para su Firebox X Edge y luego
escríbala de nuevo para confirmarla en los campos correctos.
Estas passphrases deben coincidir con las que usted usó cuando añadió el dispositivo al Management Server, de lo contra-
rio la conexión fallará.

Nota
Si el Firebox X Edge que usted quiere administrar tiene una dirección IP estática sobre su interfaz
externa, puede detenerse aquí. Guarde la configuración para este Firebox. Ahora puede añadir el dispo-
sitivo a su configuración del Management Server. Cuando usted añada este Edge a la configuración del
Management Server, éste se conectará automáticamente a la dirección IP estática y configurará al Edge
como Firebox cliente administrado.
Si el Edge que usted quiere administrar tiene una dirección IP dinámica, vaya al paso 8.
8 En la caja de texto Management Server Address, escriba la dirección IP del Management Server si
éste tiene una dirección IP pública. Si el Management Server tiene una dirección IP privada, escriba la
dirección IP del Firebox que protege al Management Server.
El Firebox que protege al Management Server monitorea automáticamente todos los puertos usados por el
Management Server y reenviará cualquier conexión sobre esos puertos hacia el Management Server configurado. No es
necesaria ninguna configuración especial para que esto ocurra.
9 Escriba el Client Name (nombre de cliente) que dará a su Edge para identificarlo en la configuración
del Management Server.
Este nombre es sensible a mayúsculas y minúsculas y debe coincidir con el nombre que usted usó para el Edge cuando
lo añadió a la configuración del Management Server.
10 Escriba la Shared Key, o clave compartida.
La clave compartida se usa para encriptar la conexión entre el Management Server y el Firebox X Edge. Esta clave com-
partida debe ser la misma sobre el Edge y sobre el Management Server. La clave compartida debe proveérsela la persona
que administra el Management Server.
11 Haga click en Submit para guardar esta configuración en el Firebox X Edge.
Cuando usted guarde la configuración en el Edge, éste quedará habilitado como cliente administrado. El cliente Firebox
tratará de conectarse a la dirección IP del Management Server. Estarán permitidas las conexiones de administración
desde el Management Server hacia este cliente administrado Firebox.
Configurando un Firebox SOHO 6 como un Managed Client

1 Inicie su navegador. Escriba la dirección IP del SOHO 6.
2 Si el SOHO 6 debe tener un login y passphrase, escríbalos.
3 Debajo de Administration, haga click en VPN Manager Access.
Aparecerá la página VPN Manager Access.
4 En el panel de navegación izquierdo debajo de VPN, haga click en Managed VPN. Seleccione la casilla
de verificación Enable VPN Manager Access.
5 Escriba la passphrase de estado (status passphrase) para el VPN Manager Access. Escríbala de nuevo
para confirmarla.
6 Escriba la passphrase de configuración (configuration passphrase) para el VPN Manager Access. Escriba
la passphrase de configuración de nuevo para confirmarla.

Agregando Dispositivos al Management Server
Nota
Si el Firebox SOHO que usted quiere administrar tiene una dirección IP estática sobre su interfaz externa,
puede detenerse aquí. Haga click en Submit para guardar la configuración para este SOHO. Ahora puede
añadir el dispositivo a su configuración del Management Server. Cuando usted añada este SOHO a la
configuración del Management Server, éste automáticamente se conectará a la dirección IP estática y
configurará al SOHO como Firebox cliente administrado.
Si el SOHO que usted quiere administrar tiene una dirección IP dinámica, vaya al paso 8.
7 Seleccione la casilla de verificación Enable Managed VPN.

8 Desde la lista desplegable Configuration Mode, seleccione SOHO.
9 En la caja de texto DVCP Server Address, escriba la dirección IP del Management Server si éste tiene
una dirección IP pública. Si el Management Server tiene una dirección IP privada, escriba la dirección IP
del Firebox que protege al Management Server.
El Firebox que protege al Management Server monitorea automáticamente todos los puertos usados por el Management
Server y reenviará cualquier conexión sobre esos puertos hacia el Management Server configurado. No es necesaria ningu-
na configuración especial para que esto ocurra.
10 En la caja Client Name, escriba el nombre que quiere darle al SOHO.
Este nombre es sensible a mayúsculas y minúsculas y debe coincidir con el nombre que usted usó cuando añadió el dispo-
sitivo a la configuración del Management Server.
11 Escriba la Shared Key, o clave compartida.
La clave compartida se usa para encriptar la conexión entre el Management Server y el Firebox SOHO. Esta clave comparti-
da debe ser la misma sobre el SOHO y sobre el Management Server. La clave compartida debe proveérsela la persona que
administra el Management Server.
11 Haga click en Submit.
Cuando usted guarde la configuración en el Firebox SOHO, éste quedará habilitado como cliente administrado. El cliente
SOHO tratará de conectarse a la dirección IP del Management Server. Estarán permitidas las conexiones de administración
desde el Management Server hacia este cliente administrado SOHO.
Se puede usar el Management Server para configurar y administrar túneles VPN entre equipos Firebox®,
incluyendo equipos Firebox III y Firebox X Core que usen la appliance de software WFS, equipos Firebox X
que usen la appliance de software Fireware®, equipos Firebox X Edge y equipos Firebox SOHO.
Un equipo con una dirección IP dinámica debe asimismo ser configurado como cliente administrado desde
el Policy Manager de dicho dispositivo. Ver las instrucciones en la sección anterior.
Si su equipo tiene múltiples interfaces externas, no modifique la configuración de la interfaz luego de añadir
el dispositivo al Management Server.
Nota
Con el Management Server también se pueden desplegar, administrar y monitorear dispositivos Firebox
X Edge. Vea el capítulo “Administrando Firebox X Edge y Firebox SOHO”.
1 En el WatchGuard® System Manager, conéctese con el Management Server.

Seleccione File > Connect to Server, o seleccione la pestaña Device Status.
O,
haga click derecho en cualquier lugar de la ventaja y seleccione Connect to > Server.
2 Escriba o seleccione la dirección IP del Management Server, escriba la passphrase y haga click en Login.
3 Haga click en la pestaña Device Management.

4 Seleccione el Management Server de la lista de la izquierda de la ventana.

Aparecerá la página del Management Server.
5 Expanda la carpeta Devices.

Todos los dispositivos administrados por este Management Server serán mostrados aquí.
6 Seleccione Edit > Insert Device, o haga click derecho en el marco izquierdo de esta ventana y
seleccione Insert Device.
Se iniciará el Asistente Add Device.
7 Haga click en Next para ver la primera pantalla de configuración.

8 En la caja de texto Display Name, escriba un nombre para el dispositivo.
Este nombre no puede incluir espacios ni puntos.
9 Desde la lista desplegable Device Type, seleccione el modelo de Firebox que quiere añadir a la
configuración del Management Server.

10 En la caja de texto Hostname/IP Address, escriba la dirección IP estática o nombre de host del Firebox.
Para dispositivos que usen dirección IP dinámica, escriba el nombre de cliente del servicio Dynamic DNS.
Si el dispositivo tiene una dirección IP dinámica pero no usa el servicio Dynamic DNS, escriba un nombre único para el dis-
positivo. El nombre que escriba aquí deberá coincidir con el nombre que ingresó en el Policy Manager para dicho dispositi-
vo (si el dispositivo es un Firebox III, Firebox X Core o X Peak). Si el dispositivo es un Firebox X Edge o SOHO, este nombre
debe coincidir con el que le dio al dispositivo cuando lo habilitó como cliente administrado con el administrador de confi-
guración web.
11 Escriba la passphrase de estado (status passphrase). Esta es la passphrase (de sólo lectura) para el
Firebox que usted está añadiendo al Management Server.
12 Escriba la passphrase de configuración (configuration passphrase). Esta es la passphrase (de lectura y
escritura) para el Firebox que usted está añadiendo al Management Server.
13 Si el Firebox usa una dirección IP dinámica, escriba el secreto compartido. El secreto compartido que
usted escriba aquí debe coincidir con el que escribió en la configuración del dispositivo cuando lo habili-
tó como cliente administrado.
14 Haga click en Next.
Aparecerá la pantalla Configure WINS and DNS.
15 Escriba las direcciones primaria y secundaria para los servidores WINS y DNS que utilice este dispositivo,
si existen.
16 Escriba el nombre de dominio para este dispositivo, si existe. Haga click en Next.
Aparecerá la pantalla Provide Contact Information.

Usando la Página de Administración de Dispositivos
17 Puede seleccionar un registro de contactos existente para este dispositivo, o hacer click en Add para
añadir un nuevo registro de contactos para este dispositivo. Puede también borrar un registro de con-
tactos existente: selecciónelo y haga click en Delete.
18 Haga click en Next. Aparecerá la pantalla Configure the Device. Si el dispositivo ya está administrado
por otro servidor, o está configurado o administrado por este servidor, aparecerá una caja de diálogo
de advertencia. Haga click en Yes para continuar.
19 Haga click en Close para cerrar el Asistente Add Device.
Luego de añadir un Firebox con una dirección IP dinámica, hay que reiniciar dicho Firebox para que pueda conectarse al
Management Server y adquirir su configuración.
Nota
Si el tráfico es muy pesado, el Asistente Add Device no podrá conectarse, debido al SSL timeout.
Intente de nuevo cuando el sistema esté menos cargado.
Cuando se añade un Firebox® a un Management Server, se puede usar la información y los campos de la
pestaña Device Management para configurar los parámetros del dispositivo. Para más información sobre
cómo añadir un dispositivo al Management Server, vea “Agregando dispositivos al Management Server”.
Viendo la página de administración de Firebox

1 Expanda Devices en la pestaña Device Management del WatchGuard® System Manager.
Aparecerá una lista de dispositivos administrados.

2 Seleccione un Firebox. Aparecerá la página de administración para el dispositivo.
Nota
La página de administración de un dispositivo Firebox X Edge le permite acceder a diferentes herramien-
tas y configurar más opciones. Para información sobre la administración de un Firebox X Edge, ver el
capítulo “Administrando Firebox X Edge y Firebox SOHO”.

Configurando las propiedades de administración de Firebox

1 Sobre la página de administración del Firebox, haga click en Configure.
Aparecerá la caja de diálogo Device Properties.
2 Configure las propiedades de administración para este dispositivo.
Actualizando el dispositivo
1 Sobre la página de administración del Firebox, haga click en Update Device.
Aparecerá la caja de diálogo Update Device.
2 Use esta caja de diálogo para obtener las políticas del dispositivo, para establecer la configuración del
Management Server del dispositivo y para marcar la casilla “expire lease”.
3 Haga click en OK.

Agregando un recurso VPN

Un recurso VPN es una dirección IP o una dirección de red seguros a los que los usuarios de una VPN pue-
den conectarse.
1 En la pestaña Device Management, encuentre la sección VPN Resources.
3 Use los botones apropiados para añadir, editar o eliminar recursos VPN.
4 Haga click en OK.
Aparecerá el nuevo recurso VPN en la lista.
Iniciando las herramientas del Firebox

La pestaña Device Management le permite iniciar cuatro herramientas para la configuración y el monitoreo
de su Firebox:
• Policy Manager
• Firebox System Manager
• HostWatch
• Ping
Para iniciar estas herramientas, haga click en el vínculo de la herramienta en la sección Tools de la página de
administración del Firebox.

Monitoreando VPNs
Agregando un túnel VPN al Firebox

La sección sobre túneles en la página de administración del Firebox muestra todos los túneles para los
cuales el dispositivo es un punto de llegada. También se puede añadir un túnel VPN en esta sección.
1 En la página de administración del Firebox, encuentre la sección VPN Tunnels.
2 Haga click en Add para añadir un nuevo túnel VPN.

Se iniciará el Asistente Add VPN. Haga lo que éste le vaya pidiendo para configurar la VPN.
Monitoreando VPNs
Las VPN configuradas manualmente se muestran en la pestaña Device Status de cada Firebox®. Las VPNs
administradas que se crean automáticamente en el Management Server aparecerán en la pestaña Device
Management.
Las políticas de VPN que usted cree manualmente con el Policy Manager no se muestran en la pestaña
Device Management.

CAPÍTULO 17 Administrando certificados y Autoridad
de Certificación
Cuando uno crea un túnel VPN, puede elegir dos tipos de autenticación para dicho túnel: secretos comparti-
dos o certificados. Los secretos compartidos son un método de autenticación usado para establecer con-
fianza entre las computadoras de una VPN. Un secreto compartido se usa con una passphrase, o frase clave.
Los certificados usualmente dan más seguridad que los secretos compartidos durante el proceso de autenti-
cación.
Un certificado es un documento electrónico que contiene una clave pública. Una Autoridad de Certificación,
o Certificate Autority (CA) es un tercero confiable que otorga certificados a sus clientes. En el WatchGuard®
System Manager, la estación de trabajo configurada como Management Server también opera como CA. La
CA puede dar certificados a los Firebox® que son clientes administrados cuando contactan al Management
Server para recibir actualizaciones de configuración.
Las Autoridades de Certificación son un componente de un sistema de creación de claves, administración de
claves y certificación cuyo nombre es Infraestructura de Clave Pública, o Public Key Infrastructure (PKI). La
PKI provee servicios de directorio y certificado que pueden crear, proveer, conservar y, si es necesario, revo-
car los certificados.
Criptografía de Clave Pública y Certificados Digitales
La criptografía de clave pública es un componente central de una PKI. Este sistema criptográfico incluye dos
claves relacionadas matemáticamente, conocidas como un par asimétrico de claves. El usuario mantiene
secreta una clave, la clave privada. Y puede revelar la otra clave, conocida como clave pública, a otros usua-
rios.
Las claves en el par de claves van juntas. Sólo el dueño de la clave privada puede desencriptar datos encrip-
tados con la clave pública. Cualquier persona con la clave pública puede desencriptar datos encriptados con
la clave privada. Los certificados se usan para garantizar que las claves públicas sean válidas. Para asegurarse
de que un certificado sea legítimo, uno puede obtener la clave pública de la CA. Se puede computar la firma
digital del certificado y compararla con la firma digital en el certificado mismo. Si las firmas coinciden, la
clave es legítima.
Los certificados tienen un período de validez establecido cuando son creados. Pero ocasionalmente se los
revoca antes de la fecha y hora de expiración establecidas. La CA conserva una lista actualizada online de los
certificados revocados. Esta lista es la Lista de Revocación de Certificados, o Certificate Revocation List (CRL).

PKI en un VPN de WatchGuard
PKI en un VPN de WatchGuard

Para autenticar túneles VPN con certificados, primero debe configurar un Management Server. Cuando
usted configura el Management Server, se activa automáticamente la CA. Cada cliente administrado
Firebox® se conecta al Management Server y recibe un certificado de la CA. Cuando se crea un túnel VPN
entre dos clientes administrados, los clientes usan los certificados para autenticar el túnel. Esto ocurre sola-
mente si cada uno de los dos clientes administrados Firebox está configurado para usar autenticación por
certificados.
MUVPN y certificados
Como los clientes que son usuarios móviles de la VPN (MUVPN) no son clientes del Management Server,
ellos se autentican ante el Firebox. Use el Asistente MUVPN desde el Policy Manager para contactar la CA y
crear un certificado para el cliente MUVPN. El Policy Manager creará un paquete que incluye este certifica-
do y otros dos archivos.
El administrador del Firebox dará a cada usuario MUVPN el paquete de archivos. Estos archivos juntos
constituyen el perfil MUVPN del usuario final. Los usuarios que se autentiquen con claves compartidas
recibirán un archivo .wgx. Los usuarios que se autentiquen con certificados recibirán un archivo .wgx, más
un archivo .p12 (el cual es el certificado del cliente) y un archivo cacert.pem (que contiene el certificado
raíz).
El usuario MUVPN que se autentique con certificados abrirá entonces el archivo .wgx. Los certificados raíz
y de cliente contenidos en los archivos cacert.pem y .p12 serán cargados automáticamente.
Para más información sobre MUVPN, ver la Guía del Administrador MUVPN.
Administrando la Autoridad de Certificación

Se pueden controlar diferentes parámetros de la Autoridad de Certificación con el CA Manager, que está
basado en la Web.
1 Desde el WatchGuard® System Manager, conéctese al Management Server.
Debe escribir la passphrase de configuración para conectarse.
2 Haga click en la pestaña Device Management para el Management Server.
3 Debajo del menú Tools, seleccione CA Manager.
o
Haga click en el ícono del CA Manager en la barra de tareas del WatchGuard System
Manager. Este ícono se muestra a la izquierda.
Aparecerá el menú con las páginas de opciones para la Certificate Authority.
4 Desde el menú, seleccione la página correcta:

Certificate Authority CA Certificate
Imprime en pantalla una copia del certificado de la CA (raíz). Usted puede guardarla manualmente
en el cliente.

Management Server CA Certificate

Imprime en pantalla una copia del certificado de la Management Server CA. Usted puede guardarla
manualmente en el cliente. Se puede usar esta opción para acceder desde el cliente a la página web
de autenticación.
Generate a New Certificate
Escriba un nombre común, una unidad organizacional, la contraseña y el período de validez del
certificado para hacer uno nuevo.
- Para usuarios MUVPN, el nombre común debe estar de acuerdo con el nombre de usuario del
usuario remoto.
- Para usuarios del Firebox®, el nombre común debe estar de acuerdo con la información que lo
identifica en el Firebox (normalmente, su dirección IP).
- Para un certificado genérico, el nombre común es el nombre del usuario.
Nota
Escriba la unidad organizacional solamente si está haciendo certificados para usuarios MUVPN. No lo
haga para otro tipo de túneles VPN. El nombre de la unidad debe aparecer en este formato:
GW:<vpn nombre del gateway>
donde <vpn nombre del gateway> es el valor de config.watchguard.id en el archivo de configuración del
gateway del Firebox.
Find and Manage Certificates

Ponga el número de serie, nombre común o unidad organizacional del certificado para encontrarlo en
la base de datos. Asimismo, como alternativa para certificados especiales, puede asegurarse de que
sólo sean encontrados los certificados activos, revocados o expirados. Los resultados de la búsqueda
aparecerán en la página List Certificates.
List and Manage Certificates
Vea la lista de certificados que hay en la base de datos. Seleccione los certificados que deben ser
publicados, revocados, vueltos a poner o eliminados. Para información sobre cómo administrar certifi-
cados, vea la sección que sigue.
Upload Certificate Request
Use esta página para firmar una solicitud de certificado desde un dispositivo diferente. Escriba el nom-
bre común y la unidad organizacional en el Asunto y haga click en Browse para encontrar el archivo
de CSR (Certificate Signing Request, o solicitud de firma de certificado).
Publish a Certificate Revocation List (CRL)
Haga que la CA publique la CRL para todos los clientes con certificados vigentes. Un cliente adminis-
trado Firebox no puede crear un túnel VPN si utiliza para autenticarse un certificado que esté en la
CRL.
Administrando certificados con el CA Manager

Utilice la página List and Manage Certificates para publicar, revocar, volver a poner o eliminar certificados:
1 Desde la página List and Manage Certificates, seleccione el número de serie o el certificado a modificar.
2 Desde la lista desplegable Choose Action, seleccione una de las alternativas, y luego seleccione GO:
Revoke Checked
Revoca un certificado. Los clientes administrados Firebox no verán que fue revocado hasta que la CRL
sea publicada.
Reinstate Checked
Pone de nuevo un certificado que antes había sido revocado.
Destroy Checked
Elimina un certificado.


CAPÍTULO 18 Introducción a las VPNs
Internet es una red pública. Sobre este sistema de computadoras y redes, uno de los equipos puede obtener
información de los otros. Es posible que una persona lea paquetes de datos no seguros que usted envía
sobre Internet. Para enviar datos seguros entre oficinas, redes y usuarios, usted debe usar la seguridad más
poderosa.

Protocolos de Tunelamiento
Las redes privadas virtuales (VPNs, Virtual Private Networks) usan tecnología de encriptación para minimi-
zar los riesgos de seguridad y para asegurar la información privada sobre la Internet pública. Permiten que
los datos fluyan de manera segura a través de Internet entre dos redes. Los túneles VPN pueden asegurar
conexiones entre un host y una red. Las redes y los hosts en los endpoints de una VPN pueden ser las ofici-
nas centrales corporativas, las sucursales y usuarios remotos.
Los túneles VPN usan autenticación, que examina tanto al que envía como al que recibe. Si la información
de autenticación es correcta, los datos se desencriptan. Sólo el que envía el mensaje y el que lo recibe pue-
den leerlo con claridad.
Para más información sobre tecnología VPN, puede consultar en:
http://www.watchguard.com/support.
El sitio web de soporte de WatchGuard® contiene enlaces a documentación, FAQs básicos y avanzados y al
WatchGuard User Forum. Usted debe hacer un log in al sitio web de Soporte Técnico para utilizar algunas
de sus características.
Los túneles permiten a los usuarios enviar datos en paquetes seguros sobre una red no segura, en general,
Internet. Un túnel es un grupo de protocolos de seguridad, algoritmos de encriptación y reglas. El túnel
utiliza esta informacón para enviar tráfico seguro desde un endpoint al otro. Permite a los usuarios conec-
tarse a recursos y computadoras de otras redes.
Los protocolos de tunelamiento proveen la infraestructura y definen cómo se dará la transmisión de datos
sobre el túnel. Los dos protocolos de tunelamiento que soporta WatchGuard® System Manager son
Internet Protocol Security (IPSec) y Point-to-Point-Tunneling Protocol (PPTP). WatchGuard también soporta
SSL VPN con su línea de productos WatchGuard SSL VPN Firebox.
IPSec
Usted utilizará el protocolo IPSec para examinar paquetes IP y asegurarse de que están autenticados. IPSec
incluye características de seguridad como una autenticación muy poderosa, para proteger la privacidad de
la información que se transmite sobre Internet. IPSec es un estándar que trabaja con muchos sistemas de
diferentes fabricantes.
Incluye dos protoclos que protegen la integridad y la confidencialidad de los datos. El protocolo AH
(Authentication Header) es la solución para la integridad de los datos, mientras que el ESP (Encapsulated
Security Payload) provee tanto integridad como confidencialidad.
PPTP
Point to Point Tunneling Protocol (PPTP) es un estándar para seguridad VPN que puede ser usado por
muchos sistemas de diferentes fabricantes. Permite túneles para redes corporativas y hacia otros sistemas
habilitados para este protocolo (PPTP-enabled). No es tan seguro como IPSec y no puede asegurar dos
redes. Sólo asegura una dirección IP con otra dirección IP o con una red. PPTP provee una alternativa de
túnel económica para una red corporativa, más fácil de usar que IPSec.
Encriptación
Sobre una red que no es segura, los hackers pueden encontrar paquetes transmitidos de manera muy sen-
cilla. Los túneles VPN utilizan la encriptación para mantener los datos seguros.

La longitud de la clave de encriptación, junto con el algoritmo utilizado, definen el poder de la encriptación
para la VPN. Una clave más larga provee una mejor encriptación y más seguridad. El nivel de encriptación se
define para ofrecer el desempeño y la seguridad necesarios para la organización. Cuanto más poderosa es la
encriptación, en general se obtiene un nivel más alto de seguridad, pero puede tener efectos negativos
sobre el desempeño.
La encriptación básica permite un nivel de seguridad suficiente con buen desempeño para túneles que no
transmiten datos sensibles. Para las conexiones administrativas y aquellas en las que la privacidad es muy
importante, recomendamos alguna solución más poderosa.
El host o el dispostivo IPSec que envía un paquete a través de un túnel encripta el paquete. El destinatario,
en el otro extremo del túnel, lo desencripta. Los dos endpoints deben concordar sobre todos los parámetros
del túnel. Esto incluye los algoritmos de encriptación y autenticación, los hosts o redes autorizados a enviar
datos a través del túnel y el período de tiempo para calcular una nueva clave, entre otros.
Selección de un método de encriptación e integridad de datos

A la hora de elegir un algoritmo de encriptación e integridad de datos hay que pensar en seguridad y en
desempeño. Recomendamos Advanced Encryption Standard (AES), el tipo de encriptación más fuerte, para
datos sensibles. Fireware® utiliza AES 256 como algoritmo de encriptación por defecto para IPSec.
La integridad de los datos asegura que los datos que un endpoint de VPN recibe no han cambiado desde
que se enviaron. Ofrecemos soporte a dos tipos de autenticación. El primero es 128-bit Message Digest 5
(MD5-HMAC), mientras que el segundo es 160-bit Secure Hash Algorithm (SHA1-HMAC).
Autenticación
Una parte importante de la seguridad para una VPN es asegurarse de que quien envía y quien recibe están
autenticados. Existen dos métodos: autenticación por passphrases (también llamada “secreto compartido”) y
los certificados digitales. Un secreto compartido es una passphrase que es igual para ambos extremos del
túnel.
Los certificados digitales utilizan criptografía de clave pública para identificar y autenticar los gateways
extremos. Puede usar certificados para autenticación para cualquier túnel VPN que usted cree con su
WatchGuard Management Server. Para más información sobre certificados, vea el capítulo “Administración
de Certificados y Autoridad de Certificación”.
Autenticación extendida
La autenticación para un usuario remoto puede puede darse a partir de una base de datos que se guarda
sobre el Firebox® o por un servidor de autenticación externo. Un ejemplo de esto último es Remote
Authentication Dial-In User Service (RADIUS). Un servidor de autenticación es una solución de terceras par-
tes segura que autentica otros sistemas sobre una red. Con Mobile User VPN (MUVPN, VPN para usuarios
móviles), que utiliza el protocolo de tunelamiento IPSec tunneling protocol, el usuario remoto debe tipear
un nombre de usuario y una contraseña cada vez que se inicia una VPN.
Selección de un método de autenticación

Uno de los aspectos fundamentales de una VPN es su método de autenticación de usuarios. Cuando usted
usa secretos compartidos, debe asegurarse de que:
• Los usuarios elijan contraseñas poderosas.
• Las contraseñas se cambien con frecuencia.
Cuando usted utiliza Remote User VPN (RUVPN, VPN para usuarios remotos), que emplea el protocolo de
tunelamiento PPTP, o MUVPN, es muy importante definir contraseñas poderosas. Cuando usted pone la

Direccionamiento IP
seguridad de los endpoints de una VPN en riesgo, puede poner en riesgo la seguridad de toda la red. Si,
por ejemplo, una persona roba una laptop y descubre la contraseña, tiene acceso directo a la red.
Los certificados digitales son registros electrónicos que identifican al usuario. Para más información sobre
certificados, vea el capítulo “Administración de Certificados y Autoridad de Certificación”. La autoridad de
certificación (CA, Certificate Authority), es una tercera parte segura que administra los certificados. En
WatchGuard® System Manager, usted puede configurar un Firebox para que opere como CA. Este tipo de
autenticación puede ser más segura que la de secretos compartidos.
Direccionamiento IP
El uso correcto de la dirección IP es importante cuando se hace un túnel VPN. Lo mejor es si las direcciones
IP privadas de las computadoras en uno de los lados del túnel son diferentes a las del otro lado. Si usted
tiene sucursales, utilice subredes en cada locación que sean diferentes de la red primaria de la oficina. Si es
posible, utilice subredes que sean casi iguales a la subred del Firebox® cuando configure una sucursal.
Por ejemplo, si la red Firebox primaria utiliza 192.168.100.0/24, use 192.168.101.0/24, 192.168.102.0/24 y
similares para la sucursal. Esto previene nuevos problemas en caso de que usted expanda su red y lo
ayuda a recordar la dirección IP de sus sucursales.
Para túneles MUVPN y RUVPN, Firebox brinda a cada usuario remoto una dirección de IP virtual. El método
más sencillo es obtener una IP virtual que provenga de la red primaria pero que no esté en uso por ningu-
na otra computadora. Usted no puede usar la misma dirección de IP virtual para usuarios remotos RUVPN
y MUVPN. Tampoco puede emplear una dirección de IP virtual que pueda estar sobre una computadora en
una ubicación diferente a la de la red primaria.
Si su red primaria no tiene la suficiente cantidad de direcciones IP para hacer esto, el procedimiento más
seguro es instalar una red secundaria “placeholder”. Seleccione un rango de direcciones para ésta y utilice
una dirección IP de ese rango para la dirección de IP virtual. Si ya está utilizando un rango de dirección de
IP privada en su red primaria, también puede expandir el rango de la red. Por ejemplo, usted puede cam-
biar de una red de clase C 192.168.100.0/24 a una red de clase B de 192.168.0.0/16.
Esto le permite seleccionar entre un rango de direcciones. Aquí no existen interferencias de estas direccio-
nes con la dirección real del host en uso detrás del Firebox. Si usted utiliza este procedimiento para direc-
ciones de IP virtuales para RUVPN, debe configurar la computadora cliente para usar el gateway por defec-
to en la red remota, o debe agregar manualmente las rutas luego de que el túnel VPN esté conectado. Esto
no es necesario para la computadora cliente de MUVPN.
Internet Key Exchange (IKE)
A medida que el número de túneles VPN de su red se incrementa, se vuelve más dificultoso manejar el
gran número de claves de sesión que son utilizadas. Estas claves deben ser reemplazadas con frecuencia
para obtener una seguridad más poderosa.
Internet Key Exchange (IKE) es el protocolo de manejo de claves de que usa IPSec. IKE automatiza el proce-
dimiento para negociar y reemplazar claves. Internet Security Association and Key Management Protocol
(ISAKMP) es, por su parte, un protocolo criptográfico que es la base del protocolo de intercambio de claves
IKE. Éste utiliza un procedimiento de dos fases para crear un túnel IPSec. Durante la primera fase, dos gate-
ways crean un canal autenticado y seguro para el tráfico VPN. La fase 2 incluye un intercambio de claves
para encontrar cómo encriptar los datos entre los dos.

Network Address Translation y VPNs
Diffie-Hellman es un algoritmo que usa IKE para generar las claves necesarias para la encriptación de datos.
Los grupos Diffie-Hellman son colecciones de parámetros que permiten dos pares de intercambio de siste-
mas y acuerdo sobre la clave de sesión. El grupo 1 es de 768-bit y el grupo 2 de 1024-bit. El segundo es más
seguro que el primero, pero usa más tiempo de procesador para generar las claves.
Network Address Translation y VPNs
Con Network Address Translation (NAT, traducción de direcciones de red), las direcciones de fuente y de des-
tino de paquetes IP son cambiadas al tiempo que van desde el router al firewall. Si usted usa NAT entre dos
gateways VPN, debe usar ESP (y no AH) como protocolo de autenticación al momento de crear los túneles
VPN entre los dispositivos. Si usted envía tráfico IPSec o PPTP a través de un Firebox® (IPSec o PPTP de paso),
Firebox puede usar NAT 1-a-1 para enviarlo.
Control de Acceso
Los túneles VPN permiten a los usuarios tener acceso a los recursos de su red de computadoras. Piense qué
tipo de recursos son necesarios para cada tipo de usuario. Por ejemplo, usted puede permitir a un grupo de
empleados contratados tener acceso sólo a una red y a su personal de ventas acceder a todas las redes. Los
tipos de VPN diferentes también pueden definirse a partir de su nivel de confianza. Las VPNs de sucursales
(BOVPNS, Branch Office VNPs) tienen un dispositivo firewall en los dos extremos del túnel, por lo que son
más seguras que MUVPN y RUVPN, que sólo tienen protección en uno de los extremos.
Topología de la Red
Usted puede setear la VPN para dar soporte a configuraciones en malla (meshed) o hub-and-spoke. La topo-
logía que usted seleccione define los tipos y números de conexiones que podrán ocurrir, así como el flujo de
datos y de tráfico.
Redes en malla (meshed)

En una topología “fully meshed”, todos los servidores están conectados en conjunto para hacer una web.
Cada dispositivo está a sólo un paso de otra unidad VPN. El tráfico puede ir entre cada unidad de la VPN, de
ser necesario.
Full Meshed Network

Topología de la Red
Esta topología es la más resistente a errores. Si una unidad de VPN deja de funcionar, sólo la conexión a la
red de esa unidad cae. Pero también es la topología más difícil de configurar. Cada unidad de VPN debe
tener un túnel VPN configurado con cada una de las otras unidades. Esto puede generar problemas posi-
bles de ruteo si no se hace con cuidado.
El conflicto más grande que puede tener con las redes fully meshed es de control. Como cada unidad
debe conectarse con cada otra, el número de túneles necesario se hace rápidamente muy grande, ya que
es igual al cuadrado de número de dispositivos:
[(número de dispositivos) x (número de dispositivos)] -1 ÷ 2 = número de túneles]
Cuando todas las unidades VPN son dispositivos WatchGuard®, WatchGuard System Manager puede hacer
que la configuración sea más fácil. El Management Server contiene toda la información para todos los
túneles. Con WatchGuard System Manager, usted puede hacer un túnel VPN entre dos dispositivos en tres
pasos utilizando un método de arrastrar y soltar.
Puede monitorear la seguridad del sistema completo desde más de una locación, cada una con un
Firebox®. Las compañías grandes usan esta configuración con las sucursales importantes, en cada una de
las cuales se instala un Firebox de alta más alta capacidad. Las oficinas pequeñas y los usurarios remotos
se conectan con dispositivos MUVPN, RUVPN, Firebox X Edge o SOHO 6.
Las redes que no tienen una topología de malla completa tienen sólo los túneles entre los dispositivos
que se hablan, tal como muestra la figura debajo. Por lo tanto, el flujo a través de la red es mejor que en la
topología fully meshed, o de malla completa. Los límites en todas las redes de malla son:
- El número de túneles VPN que el CPU del firewall puede operar.

- El número de túneles VPN permitido por la licencia VPN de la unidad.
Red de Malla Parcial (o partially meshed)
Redes hub-and-spoke
En una configuración hub-and-spoke, todos los túneles VPN terminan en un firewall. Las compañías más
pequeñas la usan con frecuencia con un Firebox primario. Muchos usuarios remotos distribuidos se conec-
tan con dispositivos MUVPN, RUVPN, Firebox X Edge o SOHO 6 a esta configuración. Cada dispositivo
remoto o usuario remoto hace un túnel VPN sólo con el Firebox primario.
En una configuración hub-and-spoke simple, cada ubicación remota puede enviar y recibir datos sólo a
través del túnel VPN a la red detrás del Firebox primario. Un túnel VPN al Firebox primario también puede
ser configurado para enviar y recibir datos de ubicaciones de VPN remotas diferentes (switching en túnel).

Métodos de Tunelamiento
La intensidad del tráfico en hub-and-spoke puede ser alta si el Firebox primario envía paquetes desde una
ubicación remota a otra. Pero puede ser baja en un esquema simple, en el que las ubicaciones remotas pue-
dan enviar datos sólo a través de un túnel VPN a una ubicación de hub primaria.
El Firebox primario es el único punto en el que todos los túneles VPN pueden fallar, por lo que esto también
puede ser un problema. Si cae, usted no podrá conectar ningún túnel VPN a las locaciones remotas.
El flujo a través de un sistema hub-and-spoke simple es mucho más claro que a través de un sistema en
malla. Usted puede controlar el número de túneles mejor, según la suma que sigue:
[(número de dispositivos) – 1 = número de túneles]
Si es necesario tener más capacidad de comunicación, expanda la locación del hub. Pero como todo el tráfi-
co pasa por el hub, es necesario tener más ancho de banda para la instalación.
Red Hub-and-Spoke
Métodos de Tunelamiento
El tunelamiento dividido (split) se da cuando un usuario remoto o un endpoint tiene acceso a Internet en la
misma computadora en la que reside la conexión VPN. Este usuario, sin embargo, no pone el tráfico de
Internet en el túnel. El usuario remoto navega directamente a través del ISP. Esto hace que el sistema se
vuelva vulnerable, porque el tráfico de Internet no se filtra ni se encripta.
Esta peligrosa configuración es menos vulnerable cuando todo el tráfico de Internet del usuario remoto se
pasa a través de un túnel VPN al Firebox®. Desde el Firebox, el tráfico es enviado luego a Internet (switching
en túnel). Con esta configuración, el Firebox examina todo el tráfico y provee una mejor seguridad.
Cuando usted usa el switching en túnel, debe incluirse una política de NAT dinámica para el tráfico saliente
desde la red remota. Esto permite que los usuarios remotos naveguen por Internet al tiempo que envían
todo el tráfico al Firebox.
El tunelado dividido reduce el nivel de seguridad, pero incrementa el desempeño. Si usted utiliza este méto-
do, los usuarios remotos deben tener firewalls personales para las computadoras que están detrás del end-
point de la VPN.

Soluciones VPN de WatchGuard
WatchGuard® System Manager incluye estas herramientas de software para crear túneles:
• Remote User VPN (RUVPN) con PPTP
• Mobile User VPN (MUVPN) con IPSec
• Branch Office VPN (BOVPN) con IPSec, que usa Policy Manager para configurar manualmente las
definiciones del túnel
• Branch Office VPN (BOVPN) con IPSec, que usa WatchGuard System Manager para configurar auto-
máticamente las definiciones del túnel.
WatchGuard incorpora diferentes tipos de encripción para las distintas opciones de túneles VPN que se
pueden crear. BOVPN permite Data Encryption Service (DES) con una clave de encripción de 56-bit para
encripción básica, 112-bit para moderada y 168-bit (3DES) para potente. También utiliza Advanced
Encryption Standard (AES), un método de encripción de datos en bloque, con alternativas a 128-bit, 192-
bit o 256-bit.
WatchGuard también tiene una línea de productos SSL VPN Firebox por separado. Usted puede encontrar
más información en el sitio web público de WatchGuard: http://www.watchguard.com/products/fb-ssl.asp.
Remote User VPN con PPTP

Remote User VPN permite a los usuarios móviles o remotos conectarse a la red Firebox® con PPTP. RUVPN
con PPTP habilita claves RC4 40-bit o 128-bit.
El paquete WatchGuard System Manager básico incluye RUVPN con PPTP. Soporta 50 usuarios y todos los
niveles de encripción. Para información sobre cómo crear túneles RUVPN con PPTP, vea el capítulo
“Configuración de RUVPN con PPTP”.
Mobile User VPN

Nota
Para información sobre cómo configurar y usar MUVPN, vea la Guía del Administrador de MUVPN
Mobile User VPN es un componente de software opcional disponible para todos los modelos de Firebox.
Los usuarios remotos son empleados móviles que necesitan tener acceso a la red corporativa. MUVPN crea
un túnel IPSec entre un host remoto que no es seguro y su red corporativa. Los usuarios remotos se conec-
tan a Internet con un servicio de banda ancha o de dial up estándar y luego usan el software MUVPN para
establecer una conexión segura a la red o las redes protegidas por el Firebox. Con MUVPN, sólo se necesita
un Firebox para crear el túnel.
MUVPN utiliza IPSec con DES o 3DES para encriptar el tráfico entrante y MD5 o SHA-1 para autenticar los
paquetes de datos. Usted configura una política de seguridad y la extiende a cada usuario remoto a través
del software MUVPN. La política de seguridad es un archivo encriptado con la extensión .wgx. Cuando se
instala el software en las computadoras de los usuarios remotos, ellos puede conectarse de manera segura
a la red corporativa. Los usuarios MUVPN pueden cambiar sus políticas de seguridad, o usted puede darles
políticas de sólo lectura (read-only).

Branch Office Virtual Private Network (BOVPN)

Muchas compañías tienen oficinas en más de una locación. Éstas utilizan, frecuentemente, datos de otras
ubicaciones, o tienen acceso a bases de datos compartidas. Como las sucursales suelen manejar datos cor-
porativos sensibles, los intercambios de información deben ser seguros. Cuando usted utiliza WatchGuard
Branch Office VPN, puede conectar dos o más ubicaciones a través de Internet sin perder seguridad.
WatchGuard BOVPN provee un túnel encriptado entre dos redes o entre un Firebox y un dispositivo que
cumpla con IPSec. Usted puede emplear WatchGuard System Manager o Policy Manager para configurar
BOVPN. WatchGuard permite autenticación basada en certificados para túneles BOVPN. Cuando usted utiliza
este tipo de autenticación en BOVPN, los dos endpoints de la VPN deben ser Fireboxes WatchGuard. Usted
no puede utilizar la autenticación basada en certificados para BOVPN con dispositivos SOHO 6 ni Firebox X
Edge. Para usar esta funcionalidad, debe configurar un Management Server y una autoridad de certificación.
Para más información, vea “Configuración de túneles VPN administrados”. Para instrucciones sobre cómo usar
el Policy Manager para configurar manualmente un túnel BOVPN, vea “Configuración de BOVPN con IPSec
manual”.
BOVNP con Policy Manager

Cuando usted arma un túnel con Policy Manager, el Firebox usa IPSEC para crear túneles encriptados con un
dispositivos de seguridad diferente que sea compatible con IPSec. Uno de los dos endpoints debe tener una
dirección de IP estática pública.
Utilice BOVPN con Policy Manager si:
• Usted arma túneles entre un Firebox y una unidad compatible con IPSec que no sea de WatchGuard.
• Tiene diferentes políticas de ruteo para túneles distintos.
• No todos los tipos de tráfico van a través del túnel.
BOVPN con IPSec está disponible con el nivel de encripción moderada de DES (56-bit) o con la más podero-
sa de 3DES (168-bit). También soporta AES a los niveles de 128-bit, 192-bit y 256-bit, siendo este último el
más seguro.
Usted puede crear diferentes túneles VPN para distintos tipos de tráfico en su red. Por ejemplo, puede utili-
zar un túnel VPN con encripción DES para el tráfico de su equipo de ventas, mientras que, al mismo tiempo,
define un túnel VPN con la encripción 3DES más poderosa para los datos provenientes del departamento de
finanzas.
BOVPN con IPSec manual
BOVNP con WatchGuard System Manager

Con WatchGuard System Manager, usted puede armar túneles IPSec completamente autenticados y encrip-
tados arrastrando y soltando o con una interfaz de menú. WatchGuard System Manager usa el Management
Server para transmitir de manera segura la información de configuración de una VPN IPSec entre dos dispo-
sitivos Firebox. Cuando usted emplea el Management Server, define cada parámetro de configuración en la
VPN. El Management Server conserva la información.
Use BOVPN con WatchGuard System Manager si:

Escenarios de VPN
• Construye túneles entre dos o más dispositivos Firebox.

• Define diferentes políticas de ruteo para túneles distintos.
• Las unidades clientes tienen una dirección IP pública dinámica o estática.
• Tiene un gran número de túneles para hacer.
Con WatchGuard System Manager usted puede configurar, administrar y monitorear todos los dispositivos
de WatchGuard de la compañía. Es posible configurar túneles VPN entre dos dispositivos remotos de
manera sencilla, utilizando las definiciones por defecto que WSM le ofrece. No tiene que tener conocimien-
tos sobre la seguridad de Internet de las sucursales ni de los usuarios remotos. Los dispositivos remotos se
conectan al Management Server y WSM hace todo el trabajo. Si usted usa certificados para autenticación
de túnel, puede configurar el Management Server como autoridad de certificación para crear los certifica-
dos de manera automática.
Escenarios de VPN
Esta sección muestra tres diferentes tipos de compañías y las soluciones VPN que mejor calzan para
cada una.
Compañías grandes con sucursales: WatchGuard System Manager
Compañía grande con VPNs a sucursales.
Gallatin Corporation tiene una oficina central con unos 300 usuarios en Los Angeles y sucursales con otros
100 usuarios en cada una en Sacramento, San Diego e Irvine. Todas las locaciones poseen acceso de alta
velocidad a Internet y los empleados de todas ellas deben tener conexiones seguras a todas las demás.
Esta compañía usa WatchGuard Firebox® en cada locación y WatchGuard® System Manager para conectar
a cada una de ellas con todas las demás. Cada oficina se conecta a todas las otras. Todos los usuarios de
cada oficina tienen acceso a los registros compartidos ubicados en cualquier locación. El Management

Escenarios de VPN
Server está detrás del Firebox en la oficina primaria, mientras que los Fireboxes en las sucursales son
Managed Firebox Clients. Cuando se detiene un servicio del ISP de Gallatin, esto hace que el Firebox en la
oficina central no esté disponible. Pero los túneles en las otras locaciones permanecen activos.
Compañías pequeñas con teletrabajadores: MUVPN

River Rock Press es una editorial pequeña en un mercado especializado. Tiene una oficina con seis emplea-
dos en Portland, Oregon y cinco editores en otras locaciones. La oficina central usa un Firebox X Edge como
firewall y gateway VPN. Los cinco editores emplean un cliente MUVPN para establecer conexiones seguras
con el Centro de Información en Portland. Los editores pueden intercambiar información de manera segura
siempre que sus computadoras estén conectadas a Internet.
Empresa pequeña con teletrabajadores que utiliza MUVPN
Compañías pequeñas con empleados remotos: MUVPN con autenticación extendida

BizMentors, Inc. tiene 35 capacitadores que dan clases sobre tópicos de negocios en las oficinas de las com-
pañías clientes. Los 75 vendedores de BizMentors deben tener acceso a la información actualizada sobre las
agendas de los capacitadores para evitar conflictos horarios.
Una base de datos ubicada en el centro de datos de BizMentors mantiene esta información al instante. El
data center usa un Firebox y cada vendedor utiliza un cliente MUVPN para para obtener acceso a la base de
datos de inventario y precios. Para autenticar a todos los usuarios remotos, BizMentors utiliza un servidor de
autenticación RADIUS.
En general, debe ingresarse un nombre de usuario y una contraseña tanto en el Firebox como en el servidor
de autenticación. Pero cuando se usa la autenticación extendida, todos los nombres de usuario y todas las
contraseñas son enviadas al servidor de autenticación, por lo que no es necesario ponerlas en el Firebox.
Todos los vendedores pueden loguearse en la red corporativa con la contraseña y el nombre de usuario que
utilizan a menudo cuando están dentro de la red. El Firebox manda esos datos al servidor de autenticación y
éste efectiviza la autenticación de las credenciales del usuario de la VPN.

Escenarios de VPN
Compañía pequeña que utiliza autenticación extendida

CAPÍTULO 19 Configuración de Túneles VPN
Administrados
WatchGuard® System Manager provee velocidad y confiabilidad cuando se crean túneles VPN IPSec en un
procedimiento de arrastrar y soltar, un asistente automatizado, y el uso de esquemas predefinidos. Usted
puede hacer, en minutos, túneles IPSec que utilicen autenticación y encriptación. Es posible asegurarse de
que esos túneles operen con otros túneles y políticas de seguridad. Desde una misma interfaz, usted puede
controlar y monitorear los túneles VPN. WatchGuard System Manager también le permite administrar de
manera segura dispositivos Firebox® X Edge desde una ubicación remota. Para más información, vea el capí-
tulo “Administración de Firebox X Edge y Firebox SOHO6”.
Pasos para crear una VPN

• Configure WatchGuard Management Server y Certificate Authority (CA).
• Agregue dispositivos Firebox, Firebox X Edge o SOHO al Management Server.
• (Sólo para dispostivos dinámicos) Configure el Firebox como cliente administrado (managed client).
• Construya plantillas de políticas para configurar qué redes pueden conectarse a través de los túneles
VPN.
• Cree plantillas de seguridad para definir el tipo de encriptación y autenticación.
• Construya túneles entre los dispositivos.
Configuración del Firebox como Cliente Administrado

Para permitir a WatchGuard® System Manager administrar un Firebox®, un Edge o un SOHO con dirección
de IP dinámica, usted debe habilitarlos como clientes Firebox administrados. Para obtener instrucciones
sobre cómo habilitar un Firebox en esa modalidad, diríjase al Capítulo 16,“Usando el Management Server”.
Incorporación de Plantillas de Políticas
Para una VPN, usted puede configurar (y poner límites a) las redes que tendrán acceso a través del túnel.
Puede hacer una VPN entre hosts o entre redes. Para configurar las redes que estarán disponibles para un
dispositivo VPN dado, debe crear plantillas de políticas. Por defecto, WatchGuard® System Manager (WSM)
agrega y aplica una plantilla de política de red que brinda acceso a la red detrás del dispositivo VPN, si ésta
tiene una dirección de IP estática.

Incorporación de Plantillas de Políticas
Obteniendo las plantillas actuales del dispositivo

Antes de agregar más plantillas de políticas, obtenga las que están actualmente en el dispositivo. Esto es
lo más importante para dispositivos dinámicos, porque el Firebox® agrega automáticamente una plantilla
de políticas de red para los estáticos. Antes de actualizar un dispositivo, asegúrese de que está configura-
do como un cliente Firebox administrado.
1 En WatchGuard System Manager, sobre la pestaña Device Management, elija un cliente administrado,
y luego haga click en Edit > Update Device.
Aparecerá la caja de diálogo Update Device.
2 Seleccione la caja de chequeo Download Trusted and Optional Network Policies.

3 Haga click en OK.
Cree una nueva plantilla de política

Para crear una plantilla de política, en la pestaña Device Management:
1 Seleccione el dispositivo para el cual desea configurar la plantilla de política.
2 Haga click en el botón derecho y seleccione Insert VPN Resource, o haga click en el
ícono Insert VPN Resource.
Aparecerá la caja de diálogo VPN Resource para ese dispositivo.
3 En la caja Policy Name, escriba el nombre de política que desee.

Agregando Plantillas de Seguridad
4 Agrege, edite o borre los recursos de la política del túnel. Haga click en Add para agregar una dirección
IP o una dirección de red a la política del túnel. Haga click en Edit para editar un recurso que haya selec-
cionado de la lista. Elija un recurso de la lista Resources y haga click en Remove para borrar el recurso.
5 Haga click en OK.
La plantilla de política se ha configurado y está disponible en el área de configuración de la VPN.
Agregando recursos a una plantilla de política

1 En la caja de diálogo VPN Resource, haga click en Add.
Aparecerá la caja de diálogo Resource.
2 De la lista desplegable Allow to/from, seleccione el tipo de recurso y luego escriba la dirección de IP o la
dirección de red en la caja adyacente.
3 Haga click en OK.
Agregando Plantillas de Seguridad
Una plantilla de seguridad provee el tipo de encripción y de autenticación para un túnel. Se proveen planti-
llas de seguridad por defecto para los tipos de encripción disponibles. Usted puede, por otra parte, crear
nuevas plantillas. Las plantillas de seguridad facilitan la configuración del tipo de encripción y de autentica-
ción con el túnel desde el asistente Configuration.
Para crear una plantilla de política, en la pestaña Device Management:
1 Haga click con el botón derecho en la ventana y seleccione Insert Security Template, o haga
click en el ícono Insert Security Template (que se muestra a la izquierda).
Aparecerá la caja de diálogo Security Template.
2 En la caja Template Name, escriba el nombre de plantilla que desee usar. De las listas desplegables
Authentication y Encryption, seleccione el método de autenticación y el método de encripción.

Creando Túneles Entre Dispositivos
3 Para definir la fecha final de una clave, elija la casilla de verificación Force key expiration y luego
seleccione los kilobytes o las horas hasta la expiración.
Si usted coloca dos valores, la clave se frena ante el evento que suceda primero.
La plantilla de seguridad ya está configurada. Usted puede elegirla en el asistente VPN cuando cree un túnel VPN con
este dispositivo.
4 Haga click en OK.
Creando Túneles Entre Dispositivos
Es posible configurar un túnel con un procedimiento de arrastrar y soltar o con el asistente Add VPN.
Usando el procedimiento arrastrar y soltar

Los Firebox dinámicos y los dispositivos Firebox® X Edge o SOHO necesitan redes configuradas antes de
que se pueda usar este procedimiento. También debe tener las políticas para cualquier nuevo dispositivo
dinámico antes de configurar los túneles por arrastrar y soltar (utilice el procedimiento “Obtenga las plan-
tillas actuales del dispositivo” para hacer esto).
En la pestaña Device Management:
1 Sobre uno de los endpoints del túnel, haga click en el nombre del dispositivo. Arrastre y suelte el nom-
bre del dispositivo en el otro endpoint del túnel.
Se iniciará el asistente Add VPN.
3 Las pantallas de los dispositivos de gateways mostrarán los dispositivos de los dos endpoints seleccio-
nados por el arrastrar y soltar y las plantillas de políticas que usa el túnel. Si los endpoints no están visi-
bles, selecciónelos en esa pantalla.
4 De la lista desplegable, seleccione una plantilla de política para cada dispositivo.
Esta plantilla de política configura los recursos disponibles a través del túnel, que pueden ser una red o un host.
La lista desplegable muestra las plantillas de política que usted agregó al WatchGuard System Manager. Si un dispositivo
de endpoint de una VPN tiene una dirección de IP estática, el Management Server creará automáticamente una plantilla
de política por defecto para el dispositivo que incluye todas las redes confiables. Cuando la red confiable (trusted) detrás
del dispositivo tiene muchas redes secundarias o ruteadas configuradas, algunos usuarios prefieren crear una plantilla
personalizada para restringir los recursos disponibles a través del túnel VPN.
El asistente muestra la caja de diálogo Security Policy.
6 Seleccione la plantilla de seguridad aplicable al tipo de seguridad y al tipo de autenticación que se
usarán para este túnel.
La lista muestra las plantillas que usted agregó al Management Server.
El Asistente muestra la configuración.
8 Seleccione la caja de verificación Restart devices now to download VPN configuration. Haga click en
Finish para iniciar de nuevo los dispositivos y desplegar el túnel VPN.
Usando el asistente Add VPN sin arrastrar y soltar

Para utilizar el asistente ADD VPN para crear túneles:
1 En la pestaña Device Management, seleccione Edit > Create a new VPN o haga click en el
ícono Create New VPN.
Esto arranca el asistente VPN Wizard.

Editando un Túnel

El asistente muestra dos listas, cada una de las cuales exhibe todos los dispositivos registrados en el Management Server.
3 Seleccione un dispositivo de cada lista para que sean los endpoints del túnel que está haciendo.
4 Seleccione las plantillas de políticas para el extremo del túnel de cada dispositivo.
La lista muestra las plantillas agregadas en el Management Server.
El asistente muestra la caja de diálogo Security Template.
6 Seleccione la plantilla de seguridad aplicable para esta VPN y haga click en Next.
El asistente muestra la configuración.
7 Seleccione la caja de chequeo Restart devices now to download VPN configuration. Haga click en
Finish para iniciar nuevamente los dispositivos y desplegar el túnel VPN.
Editando un Túnel
Usted puede ver todos sus túneles en la pestaña Device Management del WatchGuard® System Manager
(WSM). WSM le permite cambiar el nombre del túnel, la plantilla de seguridad, los endpoints y la política que
utiliza.
1 En la pestaña Device Management, expanda el árbol para ver el dispositivo a cambiar y su política.
2 Seleccione el túnel que desea cambiar.
3 Haga click en el botón derecho del mouse y seleccione Properties.
Aparecerá la caja de diálogo Tunnel Properties.
4 Haga los cambios que desee en el túnel.
5 Haga click en OK para salvar los cambios.
Cuando el túnel sea renegociado, se aplicarán los cambios.
Eliminando Túneles y Dispositivos

Para eliminar un dispositivo del WatchGuard® System Manager (WSM), es necesario eliminar primero los
túneles para los cuales ese dispositivo es un endpoint.
Eliminando un túnel
1 En el WSM, haga click en la pestaña Device Management.
2 Expanda la carpeta Managed VPNs para ver el túnel que desea eliminar.
3 Haga click con el botón derecho en el túnel.
4 Seleccione Remove. Haga click en Yes para confirmar.
5 Es posible que necesite reiniciar los dispositivos que usan el túnel que quiere eliminar. Haga click en Yes.
Eliminando un dispositivo
1 Desde el System Manager, haga click en la pestaña Device Status o Device Management.
Aparecerá la pestaña Device Status (a la izquierda, en la figura que está debajo) o la pestaña Device Management (a la
derecha).

Eliminando Túneles y Dispositivos
2 Si usted utiliza la pestaña Device Management, expanda la carpeta Devices para ver el dispositivo
a eliminar.
3 Haga click con el botón derecho del mouse sobre el dispositivo.
4 Seleccione Remove. Haga click en Yes.

CAPÍTULO 20 Configuración de BOVPN con IPSec
Manual
Utilice VPN para sucursales (BOVPN, Branch Office VPN) con IPSec manual para hacer túneles encriptados
entre un Firebox® y un dispositivo de seguridad compatible con IPSec. Este dispositivo puede proteger una
sucursal u otra locación remota. BOVPN con IPSec manual puede utilizar diferentes métodos de encripta-
ción: DES (56-bit), 3DES (168-bit), AES 128, AES 192 y AES 256.
Antes de Empezar
Usted debe contar con esta información para utilizar BOVPN con IPSec manual:
• Política de endpoints — Direcciones IP de hosts o redes que son accesibles en el túnel.
• Método de encriptación — Los dos extremos del túnel deben utilizar el mismo método.
• Método de autenticación — Los dos extremos del túnel deben utilizar el mismo método.
Configurando un Gateway
Un gateway es un punto de conexión para uno o más túneles. El método de conexión que usa el gateway
para hacer un túnel es el que se debe usar en el otro extremo del mismo. Un ejemplo es el ISAKMP (Internet
Security Association and Key Management Protocol).
Agregando un gateway
Para iniciar la negociación de túnel IPSec, un par debe conectarse al otro. Usted puede usar una dirección IP
o un nombre DNS para conectar los pares. Si uno de ellos tiene una dirección IP dinámica, seleccione Any
para la dirección de IP del gateway remoto.

Para configurar esto, defina el tipo de identificador (ID) del gateway remoto como Domain Name o User
Domain Name. Defina el nombre del par como el nombre de dominio completamente calificado.
Asegúrese de que el Firebox® esté configurado con servidores DNS que puedan resolver el nombre de
dominio.
1 En el Policy Manager, haga click en VPN > Branch Office Gateways.
Aparecerá la caja de diálogo Gateways.
2 Para agregar un gateway, haga click en Add.

Aparecerá la caja de diálogo New Gateway.
3 En la caja de texto Gateway Name, escriba el nombre del gateway.

Este nombre identifica al gateway sólo en el Policy Manager para este Firebox.
4 En la lista desplegable Gateway IP, seleccione IP Address o Any.
Si la dirección del gateway remoto es una dirección de IP estática, escríbala en la caja de dirección adyacente. Si el end-
point remoto de la VPN tiene una dirección de IP dinámica, seleccione Any.
5 En la lista desplegable Remote Gateway Settings ID Type, seleccione IP Address, Domain Name,
User Domain Name, o X.500 Name.
Si el endpoint remoto de la VPN usa DHCP o PPPoE para obtener su dirección de IP externa, setee el tipo de ID del gate-
way remoto como Domain Name. Defina el campo “peer name” como el nombre de dominio completamente calificado
del endpoint remoto de la VPN.
Firebox usa la dirección de IP y el nombre de dominio para encontrar el endpoint de la VPN. Asegúrese de que el servi-
dor DNS utilizado por el Firebox pueda identificar dicho nombre.

6 Configure los Local Settings. En la lista desplegable ID Type local, seleccione IP address, Domain Name,
o User Domain Name. Si usted elige IP address, puede optar por una dirección de IP de la lista desple-
gable adyacente. Todas las direcciones de IP de interfaz del Firebox configuradas aparecen allí.
7 Haga click en Pre-Shared Key o en Firebox Certificate para identificar el procedimiento de autentica-
ción a utilizar. Si usted elige Pre-Shared Key, escriba la clave compartida.
Debe utilizar la misma clave compartida en el dispositivo remoto. Ésta sólo debe utilizar caracteres ASCII estándares.
Nota
Usted debe iniciar Certificate Authority si ha seleccionado autenticación basada en certificados. Para
información sobre este tema, vea el capítulo sobre Certificate Authority en este manual. Además, si uti-
liza certificados, debe utilizar WatchGuard® Log Server para mensajes de log. No damos soporte a cer-
tificados de terceras partes.
8 Usted puede usar las definiciones por defecto Phase 1 o puede cambiarlas. Si decide utilizar las que
vienen por defecto, vaya al paso 19.
Phase 1 se refiere a la fase inicial de la negociación IKE. Contiene información sobre autenticación, negociación de sesión y
cambio de clave.
9 De la lista desplegable Authentication, seleccione SHA1 o MD5 como el tipo de autenticación.
10 De la lista desplegable Encryption, seleccione, None, DES o 3DES como el tipo de encriptación.
11 De la lista desplegable Mode, seleccione Main o Aggressive.
El modo Main no identifica los endpoints de la VPN durante la negociación y es más seguro que el modo Aggressive. El
modo Main también soporta propiedades Diffie-Hellman del grupo 2. El modo Main es más lento que el Agressive, debido
a que debe enviar más mensajes entre los endpoints.
12 Si usted desea modificar las definiciones de grupo de propiedades Diffie-Hellman y otras definiciones
avanzadas de Phase 1, haga click en Advanced.
Aparecerá la caja de diálogo Phase 1 Advanced Settings.
13 Para cambiar la “vida” de la asociación de seguridad (SA Life), escriba un número en el campo SA Life y
seleccione Hour o Minute de la lista desplegable.
14 De la lista desplegable Key Group, seleccione el grupo Diffie-Hellman que desee. WatchGuard soporta
los grupos 1 y 2.
Los grupos Diffie-Hellman son conjuntos de propiedades usadas para negociar claves secretas de manera segura a través
de un medio público. El Grupo 2 es más seguro que el 1, pero utiliza más tiempo para generar las claves.
15 Si desea utilizar dispositivos NAT a través del túnel, seleccione la casilla de verificación NAT Traversal.
Para definir el tiempo que debe estar vigente (Keep-alive interval), escriba la cantidad de segundos o
use el control de valor para elegir el número de segundos que necesite.
NAT Traversal o encapsulamiento UDP permite al tráfico llegar a los destinos correctos. Debe habilitarse cuando se desea
construir un túnel BOVPN entre el Firebox y otro dispositivo que esté detrás del dispositivo NAT.
16 Para tener un Firebox que envíe mensajes a su par IKE para mantener el túnel VPN abierto, elija la casilla
de verificación IKE Keep-alive. Para definir un intervalo de mensaje (Message Interval), escriba el
número de segudos o use el control de valor para elegir el número de segundos que necesite.
17 Para definir el número máximo de veces que el Firebox debe intentar enviar un mensaje IKE keep-alive
antes de intentar negociar la Phase 1 nuevamente, escriba el número que desee en la caja Max failures.

Haciendo un Túnel Manual
18 Cuando complete la configuración avanzada, haga click en OK.

19 Haga click en OK para guardar el gateway.
20 Haga click en Close para cerrar la caja de diálogo Gateways.
Editando y eliminando gateways

Para cambiar un gateway, seleccione VPN > Branch Office Gateways. O haga click con el botón derecho
del mouse sobre el ícono del túnel en la pestaña BOVPN de Policy Manager, y luego elija Gateway
Property.
1 Seleccione el gateway que desee y haga click en Edit.
Aparecerá la caja de diálogo Edit Gateway.
2 Haga los cambios y haga click en OK.
Para borrar un gateway, selecciónelo y haga click en Remove.
Use este método para configurar un túnel manual que utilice un gateway con el tipo de negociación de
claves ISAKMP (Internet Security Association and Key Management Protocol). ISAKMP es un protocolo que
autentica el tráfico de red entre dos dispositivos. Este procedimiento abarca la información sobre cómo los
dispositivos controlan la seguridad, lo que incluye la encriptación. También tiene la información usada
para hacer las claves utilizadas para convertir los datos encriptados a texto.
1 Desde el Policy Manager, seleccione VPN > Branch Office Tunnels.
Aparecerá la caja de diálogo Branch Office IPSec Tunnels.


Aparecerá la caja de diálogo New Tunnel.
3 En la caja Tunnel Name, tipee el nombre de túnel que desee.

4 De la lista desplegable Gateway, seleccione un gateway remoto para conectarse con este túnel. Los
gateways que agregó a su configuración aparecen en esta lista desplegable. Para editar un gateway,
seleccione su nombre y haga click en el botón Edit. Para crear un gateway nuevo, haga click en el botón
New.
Edit New
5 De la lista desplegable Proposal, seleccione la propuesta IKE Phase 2 para su túnel. La lista contiene
propuestas de seguridad de fase 2 predefinidas. Si usted quiere usar la propuesta por defecto y no crear
ni editar ninguna, vaya al paso 14. Usted puede editar cualquier propuesta de Phase 2 que haya creado,
pero no es posible editar las predefinidas. Debe agregar una nueva. Para editar una propuesta de Phase
2 que usted haya creado, seleccione su nombre y haga click en el botón Edit. Para crear una nueva, haga
click en el botón New.
Aparecerá la caja de diálogo Phase2 Proposal.
6 Escriba el nombre de la nueva propuesta.

7 De la lista desplegable Type, seleccione ESP o AH como el método de propuesta.

ESP es autenticación con encriptación. AH es sólo autenticación. La autenticación ESP tampoco incluye el encabezamien-
to IP, mientras que AH sí lo hace. El uso de AH es poco común.
8 De la lista desplegable Authenticat i o n, seleccione SHA1, MD5 o No n e como método de aute nticación.
9 (Sólo para ESP) De la lista desplegable Encryption seleccione el método de encriptación.
Las opciones son DES, 3DES y AES 128, 192, o 256 bit, que aparecen en la lista ordenadas desde la más simple y menos
segura hasta la más compleja y más segura.
10 Puede crear una clave de expiración luego de una cantidad de tiempo o de tráfico. Para habilitarla, elija
la caja de chequeo Force Key Expiration.
11 Ingrese la cantidad de tiempo y el número de bytes luego del cual desea que la clave expire.
12 Haga click en OK para cerrar la caja de diálogo Phase2 Proposal.
13 Seleccione la caja de chequeo PFS para habilitar Perfect Forward Secrecy (PFS). Si lo hace, elija el grupo
Diffie-Hellman.
Perfect Forward Secrecy ofrece más protección para las claves creadas en una sesión. Las claves hechas con PFS no se
crean a partir de una clave previa. Si una clave previa queda comprometida durante una sesión, su nueva clave de sesión
será segura. El grupo 1 de Diffie- Hellman usa un grupo de 768-bit para crear el cambio de clave nueva, mientras que el
grupo 2 utiliza un grupo de 1024-bit.
14 Haga click en Advanced para configurar las definiciones avanzadas. Use la caja de diálogo Phase2
Advanced Settings para configurar el túnel para usar política Any o para escribir la dirección. Haga
click en OK cuando termine.
Si no se selecciona “Use Any for Service”, se crea una asociación de seguridad (SA) para cada conjunto de pares de proto-
colos de puerto definidos en cada política utilizada. Esto crea un túnel VPN diferente para cada política. Si no se seleccio-
na “Use Any for Address”, se crea una SA (Security Association) basada en las rutas del túnel (los pares remoto-local).

15 En el bloque Addresses de la caja de diálogo New Tunnel, haga click en Add para agregar el par de
direcciones que usa el túnel.
Aparecerá la caja de diálogo Local-Remote Pair Settings.
16 De la lista desplegable Local, seleccione la dirección local que desee.

También se puede hacer click sobre el botón adyacente a la lista desplegable Local para usar una dirección de IP, una direc-
ción de red o un rango de direcciones IP.
17 En la caja Remote, escriba la dirección de la red remota. Haga click en el botón adyacente a la caja
Remote para abrir la caja de diálogo Add Address.
18 De la lista desplegable Choose Type, seleccione el tipo de dirección que quiere usar. Elija Host IP (una
dirección IP), Network IP (una dirección IP de red con la máscara en notación de barra oblícua) o Host
Range (un rango de direcciones IP).
19 En la caja de texto Value, tipee una dirección IP o una dirección de red.
Se cerrará el cuadro de diálogo Add Address.
21 De la lista desplegable Direction, seleccione la dirección para el túnel. Ésta decide cuál de los endpoints
del túnel VPN puede iniciar una conexión de VPN a través del túnel.
22 Usted puede hablitar NAT para el túnel. Seleccione la casilla de verificación 1:1 NAT o la DNAT.
Las opciones que usted puede elegir para NAT son diferentes para distintos tipos de dirección y para las distintas direccio-
nes de túnel. Para NAT 1:1, tipee la dirección a cambiar con NAT en el campo. También está disponible a través de la VPN
NAT dinámica. Debe definir un túnel unidireccional de LAN1 a LAN2 en el cual usted desea que todos los servidores en
LAN1 se conecten a los servidores de LAN2, pero que aparezcan como una sola dirección en LAN 2. Para información sobre
cómo hacer esto, vea “Configurando NAT dinámica saliente a través de un túnel BOVPN”.
23 Luego de configurar el par, haga click en OK.
24 Cuando complete la configuración del túnel, haga click en OK.
Editando y borrando un túnel

Para cambiar un túnel, seleccione VPN > Branch Office Tunnels. O haga doble click con el botón derecho
del mouse en la pestaña Branch Office VPN de Policy Manager y elija Tunnel Property.
1 Seleccione el túnel y haga click en Edit.
Aparecerá la caja de diálogo Edit Tunnel.

Creando una Política de Túnel
2 Haga los cambios y haga click en OK.

Para borrar un túnel desde la caja de diálogo Branch Office IPSec Tunnels, elija el túnel y haga click
en Remove.
Creando una Política de Túnel

Las políticas de túnel son conjuntos de reglas que aplican a las conexiones de túnel.
Por defecto, la política “Any” se genera cuando se crea un túnel VPN. Esta política permite que todo el tráfi-
co use ese túnel. Es posible borrar esta política. Por lo tanto, usted puede crear una política VPN personali-
zada para permitir puertos especificos o utilizar una proxy.
1 Desde Policy Manager, haga click en la pestaña Branch Office VPN.
2 Del menú Show, seleccione el túnel al cual quiere agregarle políticas.
3 Haga click con el botón derecho del mouse en Policy Manager y elija Add Policy.
Si usted no tiene seleccionado un túnel BOVPN desde el menú Show, aparecerá una caja de diálogo con un prompt para
que pueda elegirlo. Elija el túnel y haga click en OK.
4 Configure las políticas. Para más información, vea “Creando políticas para su red”.
La información de dirección para políticas BOVPN es diferente de las políticas de Firebox estándares. Configure las direc-
ciones con la caja de diálogo Local-Remote Pairs.
Permita conexiones VPN para políticas específicas

Para permitir que el tráfico pase por las conexiones VPN sólo para políticas específicas, agregue y configu-
re cada política. Puede ser necesario borrar la política “Any” para crear las restricciones necesarias.
Configurando NAT Dinámica Saliente a Través de un Túnel BOVPN
Usted puede usar NAT dinámica a través de túneles BOVPN. NAT dinámica actúa como NAT unidireccional
y mantiene el túnel VPN abierto sólo en una dirección. Esto puede ser útil cuando usted crea una BOVPN
hacia un sitio remoto donde todo el tráfico VPN viene de una dirección IP pública.
Por ejemplo, suponga que necesita crear un túnel BOVPN para un asociado de negocios, por lo que puede
acceder al servidor de bases de datos de éste, pero usted no desea que esa compañía acceda, a su vez, a
ninguno de sus recursos. Su asociado de negocios quiere permitirle el acceso, pero sólo desde una direc-
ción de IP simple para poder monitorear la conexión.
Usted debe tener la dirección IP externa y la dirección de red confiable para cada endpoint de la VPN para
completar ese procedimiento.
1 Desde el Policy Manager de su sitio, elija VPN > Branch Office Tunnels. Seleccione Add para agregar
un nuevo túnel BOVPN.
2 Déle un nombre a ese túnel.
3 Seleccione el ícono New Phase 2 Proposal (el botón más a la derecha en el campo Gateway).
Aparecerá la caja de diálogo New Gateway.
4 Cree un nuevo gateway, según como se describió al principio del paso 3 de “Agregando un gateway”.
5 Haga click en OK para regresar a la caja de diálogo New Tunnel.
6 Haga click en Advanced. Limpie todas las casillas de verificación. Haga click en OK.
Si usted no cambia estos parámetros en Phase 2 Advanced Settings, su túnel BOVPN no negociará correctamente. Sin
este cambio, el segundo endpoint de la VPN buscará la red confiable del primer endpoint, en lugar de su intefaz externa
luego de que usted habilitara NAT dinámica.

7 Haga click en Add para agregar una política de túnel. Use el procedimiento que comienza con “De la lista
desplegable Local”, descripto anteriormente. Asegúrese de elegir la caja de chequeo DNAT.
8 Haga click en OK. Guarde estos cambios en el Firebox®.
9 Desde Policy Manager en el sitio remoto, elija VPN > Branch Office Tunnels. Seleccione Add para
agregar un nuevo túnel BOVPN.
10 Repita los pasos 2 a 8 en el sitio remoto, pero no seleccione la caja de chequeo DNAT.
Cuando el Firebox en el sitio remoto se reinicie, los dos dispositivos Firebox negociarán un túnel VPN. Su
Firebox aplicará NAT dinámica para todo el tráfico destinado a la red confiable en el sitio remoto. Cuando
este tráfico alcance el sitio remoto, llegará como tráfico originado en su interfaz externa.


CAPÍTULO 21 Administrando Firebox X Edge y
Firebox SOHO
WatchGuard® System Manager incluye un número de características, especialmente para la administración

del dispositivo Firebox® X Edge. Usted puede administrar fácilmente muchos dispositivos Firebox X Edge,
hacer cambios a las políticas de seguridad para más de un dispositivo Firebox X Edge al mismo tiempo y
aún así poseer control individual sobre la configuración de cada dispositivo Firebox X Edge. Con
Management Server, usted puede:
• Crear plantillas de configuración de Edge (Edge Configuration Templates) para un grupo de dispositi-
vos Firebox X Edge. Cree una plantilla de configuración en el Management Server e instálela sobre
muchos dispositivos Firebox X Edge. Para hacerlo, seleccione una Edge Configuration Template de la
lista, o arrastre los dispositivos Firebox X Edge sobre la plantilla. Si usted realiza un cambio a la política,
ésta automáticamente se actualiza en todos los dispositivos Firebox X Edge suscriptos.
• Administrar los parámetros de la red para un grupo de dispositivos Firebox X Edge, todo desde
WatchGuard System Manager.
• Configurar dispositivos Firebox X Edge por defecto con el asistente Quick Setup Wizard y prepararlos
para la administración con Management Server. Puede luego importar los dispositivos al Management
Server en un solo paso.
• Ver los parámetros para más de un dispositivo Firebox X Edge en un diseño simple y cambiarlos con
facilidad.
• Ver todos los túneles VPN para un Firebox X Edge.
• Administrar las actualizaciones de firmware de Firebox X Edge. Pueden programarse e instalarse las
actualizaciones de firmware con el Management Server.
También es posible administrar dispositivos SOHO 6 y SOHO 5 desde WatchGuard System Manager. No
puede crear plantillas de configuración para el Firebox SOHO ni editar la configuración de red con
WatchGuard System Manager. Sí puede:
• Ver los parámetros para un grupo de dispositivos Firebox SOHO en un diseño simple.
• Ver todos los túneles VPN para un Firebox SOHO.
Nota
Este capítulo describe cómo usar WatchGuard System Manager para administrar dispositivos
Firebox X Edge. Para información detallada sobre la configuración del Firebox X, vea Guía del
Usuario de Firebox X.

Trabajando con Dispositivos Sobre un Management Server
Usted puede utilizar WatchGuard® System Manager con un WatchGuard Management Server para confi-
gurar y administrar muchos dispositivos Firebox® X Edge y para administrar muchos dispositivos Firebox
SOHO.
Cada Firebox X Edge y SOHO debe ser configurado para su administración por el Management Server.
Entonces, usted debe insertar (Insert) o importar (Import) los dispositivos al Management Server.
Usted puede Importar uno o más dispositivos Firebox X Edge que ya hayan sido configurados con el Quick
Setup Wizard dentro del Management Server. Éste es el procedimiento más rápido para agregar un grupo
de dispositivos Firebox X Edge al Management Server.
También puede Insertar un dispositivo Firebox X Edge que ya haya sido configurado o instalado usando el
Asistente Add Device. Debe configurar valores para identificar el dispositivo para el Management Server.
Es posible insertar sólo un dispositivo por vez.
• Para un dispositivo Firebox X Edge nuevo que tenga la configuración por defecto de fábrica, configú-
relo con el procedimiento “Preparando un Firebox X Edge nuevo o con configuración de fábrica para
administración” y luego importe el dispositivo con el procedimiento “Importando dispositivos
Firebox X Edge a un Management Server”.
• Para un Firebox X Edge que ya está instalado, configure el dispositivo para administración con el pro-
cedimiento “Preparando un Firebox X Edge instalado para administración” e inserte el dispositivo en
el Management Server usando el procedimiento “Agregando dispositivos Firebox X Edge y SOHO 6 a
un Management Server”.
Luego de configurar un Firebox X Edge para ser administrado por un Management Server, debe reiniciarlo
a su configuración de fábrica, para llevarlo a su estado original.
Nota
El Management Server se conecta a los dispositivos Firebox X Edge administrados sobre el puerto
TCP 4109. Asegúrese de tener una política que permita el tráfico desde dispositivos Edge administra-
dos sobre el puerto TCP 4109 en el gateway del Firebox, u otro firewall que proteja al Management
Server de Internet.
Preparando un Firebox X Edge nuevo o con configuración de fábrica para administración

Para preparar un Firebox X Edge nuevo o con configuración de fábrica para la administración con
Management Server, usted debe poder conectarlo físicamente a una interfaz Ethernet en su computadora.
Para preparar el Firebox X Edge:
1 Inicie WatchGuard System Manager y seleccione Tools > Quick Setup Wizard.
Arranca el Quick Setup Wizard.
2 Lea la página de bienvenida y haga click en Next.
3 Seleccione Firebox X Edge como tipo de Firebox y haga click en Next.
4 Conecte la interfaz de red de su computadora a cualquier puerto LAN en el Firebox X Edge y haga click
en Next.
Use uno de los cables verdes de Ethernet incluidos con Firebox X Edge (si no hay cables verdes, pruebe
con el cable rojo). Busque a la derecha del panel frontal del Edge, donde hay un número correspon-
diente al número de puerto Ethernet al que usted conectó el cable en la parte trasera del Edge. Si se
enciende la luz, es porque hay una buena conexión física. Si se mantiene apagada, utilice un cable dife-
rente. Es posible que el cable esté mal o que sea un cable cruzado. En general, se requiere un cable de
Ethernet plano, pero lo importante es que usted vea que la luz se encienda.
5 Use las instrucciones en las subsecuentes páginas del asistente para iniciar Firebox X Edge en modo
seguro (Safe Mode).
6 Use las instrucciones en la página del Asistente y haga click en Next.

7 Use las instrucciones de las páginas Wait for the Firebox y The Wizard found this Firebox. Haga click
en Next luego de cada página.
8 Acepte el acuerdo de licencia (License Agreement) y haga click en Next.
9 Configure la interfaz externa (WAN 1) en el Firebox X Edge. Seleccione DHCP, PPPoE o Static IP
addressing y haga click en Next (para información detallada sobre cómo configurar las interfaces Edge,
vea la Guía del Usuario de Firebox X Edge).
10 Haga click en Next luego de configurar la interfaz.
11 Configure la interfaz interna de Edge y haga click en Next.
12 Cree una passphrase de estado y una passphrase de configuración para su Edge y haga click en Next.
Debe escribir cada passphrase dos veces. Ésta es la passphrase utilizada por el WatchGuard System Manager para conectar
y configurar el dispositivo.
13 Escriba un nombre de usuario y una passphrase para el dispositivo y haga click en Next.
Debe escribir la passphrase dos veces. Este es el nombre de usuario y la passphrase que usted puede usar para conectar y
configurar el dispositivo con un navegador web.
14 Seleccione los parámetros de zona horaria y haga click en Next.
15 Configure los parámetros de Management Server. Escriba la dirección de IP del gateway del Firebox que
protege el Management Server, el nombre para identificar al Firebox en la interfaz del Management
Server y la clave compartida. Haga click en Next.
La clave compartida es usada por el Management Server para crear túneles VPN entre Fireboxes. No tiene que recordar
esta clave.
16 Revise la configuración del Edge y haga click en Next.
17 Para configurar otro Edge, seleccione la casilla de verificación. Haga click en Finish.
Si usted elige esta casilla de verificación, el Asistente Quick Setup llena los campos con los mismos valo-
res que hay en esta configuración, de forma que usted pueda configurar con facilidad dispositivos Edge
similares.
Importando dispositivos Firebox X Edge a un Management Server

Los dispositivos Firebox X Edge configurados con el Asistente Quick Setup pueden ser importados a un
Management Server.
1 Inicie WatchGuard System Manager y conecte el Management Server para el cual configuró los dispositi-
vos Edge.
2 Seleccione File > Import Device.
Aparecerá la caja de diálogo Import Device.
3 Seleccione las casillas de verificación frente a cada Edge que desee importar. Haga click en Import.
Los dispositivos Firebox X Edge son importados al Management Server y aparecen en la carpeta Imported
Devices folder del Management Server.
Preparando un Firebox X Edge instalado para administración

1 Inicie su navegador Web. Escriba la dirección de IP del Firebox X Edge.
2 Escriba un nombre de usuario y una passphrase para iniciar la sesión en el Edge, si es solicitado.

3 Haga click en Administration. Haga click en WSM Access.

Aparecerá la página WatchGuard Management.
4 Seleccione la casilla de verificación Enable Remote Management.

5 De la lista desplegable Management Type, seleccione WatchGuard Management System.
6 Escriba la passphrase de estado para WatchGuard Management. Vuelva a escribirla para confirmarla.
Ésta es la passphrase que ha creado y que WatchGuard Management Server usa para conectarse con este dispositivo en
el modo de sólo lectura.
7 Escriba la passphrase de configuración para WatchGuard Management. Vuelva a escribirla para
confirmarla.
Ésta es la passphrase que ha creado y que WatchGuard Management Server usa para configurar este dispositivo.
8 (Opcional, pero recomendado) Escriba la dirección del Management Server. Esta es la dirección IP
pública del Firebox del cual el Management Server está detrás.
Si no escribe la dirección del Management Server, la conexión entre el Firebox X Edge y el Management Server puede
iniciarse desde el Management Server.
9 (Opcional) Escriba el nombre de cliente.
Éste es el nombre que el Management Server usa para i

Idioma

¡Te damos la bienvenida a Scribd!

WatchGuard System Manager GuÃƒÂ-a Del Usuario

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Descripción:

Copyright:

Formatos disponibles

WatchGuard System Manager GuÃƒÂ-a Del Usuario

Título original:

Cargado por

Descripción:

Copyright:

Formatos disponibles

Títulos relacionados

®

WatchGuard System Manager

Copyright, Marca Registrada e Información de Patente

Información completa acerca de derechos de autor, marcas

Management Software: 8.3

DIRECCIÓN: SOBRE WATCHGUARD

CAPÍTULO 1 Introducción ................................................................................................... 1

Guía del Usuario iii

CAPÍTULO 3 Servicio y Asistencia Técnica .................................................................... 23

iv WatchGuard System Manager

Guía del Usuario v

vi WatchGuard System Manager

Guía del Usuario vii

viii WatchGuard System Manager

Guía del Usuario ix

x WatchGuard System Manager

CAPÍTULO 18 Introducción a VPNs .......................................................................... 225

Guía del Usuario xi

xii WatchGuard System Manager

Guía del Usuario xiii

xiv WatchGuard System Manager

CAPÍTULO 27 Alta disponibilidad .................................................................................. 343

Guía del Usuario xv

xvi WatchGuard System Manager

Guía del Usuario xvii

Acerca de Fireware y Fireware Pro

Guía del Usuario 1

de firewall. El Firebox® usa un archivo de configuración para operar el software de appliance.

Funciones y herramientas Fireware

Policy Manager para Fireware

Firebox System Manager

Network Address Translation

2 WatchGuard System Manager

Firebox y los servidores de autenticación de terceros

Detección y prevención de intrusiones basada en firmas

Creación y manejo de VPN

Características de redes avanzadas

Control de tráfico de Web

Guía del Usuario 3

WatchGuard System Manager (WSM) Interfaz del Usuario

Acerca de la barra de herramientas de WatchGuard

De izquierda a derecha, los íconos de la barra de herramientas administran estos servidores:

Acerca de la ventana del WatchGuard System Manager

4 WatchGuard System Manager

Estado del dispositivo

Firebox Status (estado de Firebox)

Guía del Usuario 5

• Dirección MAC (Media Access Control – control de acceso al medio) de la interfaz.

Branch Office VPN Tunnels (Túneles VPN con sucursales)

Mobile User VPN Tunnels (Túneles VPN con usuarios móviles)

PPTP User VPN Tunnel (Túneles PPTP VPN)

6 WatchGuard System Manager

Signo de interrogación amarillo

Guía del Usuario 7

8 WatchGuard System Manager

Instalando WatchGuard System Manager

Requisitos para la instalación

Red externa ___._._._ / __

Red trusted ___._._._ / __

Red opcional ___._._._ / __