manuale 9.1 es

1 Introducción

Claridad Perfección Seguridad

Manual gateprotect Instalación, Administración & Ejemplos de Instrumentos UTM de Próxima Generación & Instrumentos Virtuales Desde junio 2012

2 Introducción


1 Introduccion ............................................................................................................................ 9

1.1 żA quién está dirigido este manual? .................................................................................................... 9

1.2 Apuntes generales sobre este manual ................................................................................................. 9

1.3 Símbolos utilizados y sugerencias......................................................................................................... 9

1.4 Protección y seguridad de los antecedentes ...................................................................................... 10

2 Instalacion ............................................................................................................................. 11

2.1 Instalación del Servidor de Firewall .................................................................................................... 11 2.1.1 Instalación de dispositivos ........................................................................................................... 11 2.1.2 Instalación del Firewall con VMware ............................................................................................ 11 2.1.3 Interfase Serial ............................................................................................................................ 13

2.2 Primera configuración del Servidor de Firewall usando el Cliente de Administración ................... 13 2.2.1 Iniciando el Asistente de Configuración ....................................................................................... 13 2.2.2 Primera configuración en modo rápido ....................................................................................... 14 2.2.3 Asistente de configuración de Internet ........................................................................................ 14 2.2.4 Falla-caída (Conexión-de respaldo) .............................................................................................. 16 2.2.5 Continuando la Configuración del Asistente ................................................................................ 17 2.2.6 Primera configuración en Modo Normal ...................................................................................... 17

2.3 Cambios de configuración .................................................................................................................. 18

2.4 Licencia ................................................................................................................................................ 18

3 Uso del cliente de administracion ...................................................................................... 19

3.1 Programa interfase y controles .......................................................................................................... 19

3.2 Menú del Cliente de Administración .................................................................................................. 20 3.2.1 Menu: Archivo ............................................................................................................................ 20 3.2.2 Menu: Opciones ......................................................................................................................... 21 3.2.3 Menú: Seguridad ........................................................................................................................ 22 3.2.4 Menú: Funciones VPN ................................................................................................................. 22 3.2.5 Menu: Red .................................................................................................................................. 23 3.2.6 Menu: Ventana ........................................................................................................................... 23 3.2.7 Menu: Información ..................................................................................................................... 23

3.3 La Configuración de Escritorio ........................................................................................................... 24 3.3.1 Zoom a la interfase de configuración .......................................................................................... 24 3.3.2 Capa .......................................................................................................................................... 25 3.3.3 Barra de herramientas ................................................................................................................. 25 3.3.4 Servicios Activos ......................................................................................................................... 27 3.3.5 Mayor información ..................................................................................................................... 27 3.3.6 Búsqueda ................................................................................................................................... 27 3.3.7 Barra de estado .......................................................................................................................... 28

3.4 Reportes ............................................................................................................................................... 28

3.5 Acceso denegado ................................................................................................................................ 29

3.6 Estadísticas ........................................................................................................................................... 29 3.6.1 Posibilidades de Filtro .................................................................................................................. 30 3.6.2 Páginas de Internet - Destacadas ................................................................................................. 30 3.6.3 URL bloqueados – Destacados ..................................................................................................... 30 3.6.4 Destacados - servicios ................................................................................................................. 30 3.6.5 Destacados – IDS/IPS ................................................................................................................... 30 3.6.6 Usuarios - Destacados ................................................................................................................. 31

3 Introducción


3.6.7 Usuarios - Tráfico ........................................................................................................................ 31 3.6.8 Defensa – Visión general ............................................................................................................. 31 3.6.9 Defensa - defensa ....................................................................................................................... 31 3.6.10 Tráfico – Toda la información ...................................................................................................... 31 3.6.11 Tráfico - Internet ......................................................................................................................... 31 3.6.12 Tráfico – Correos electrónicos ..................................................................................................... 31

3.7 Firewall ................................................................................................................................................ 32 3.7.1 Firewall - Seguridad .................................................................................................................... 32 3.7.2 Firewall - Fecha ........................................................................................................................... 33

3.8 Interfaces ............................................................................................................................................. 33 3.8.1 Interfases de redes ...................................................................................................................... 34 3.8.2 VLAN .......................................................................................................................................... 34 3.8.3 Bridge (Bridge) ............................................................................................................................ 35 3.8.4 Interface-VPN-SSL ....................................................................................................................... 35

3.9 Instalaciones de Internet ..................................................................................................................... 36 3.9.1 Instalaciones generales de Internet .............................................................................................. 36 3.9.2 Período de tiempo para conexiones de Internet ........................................................................... 36 3.9.3 Instalaciones de DNS en las instalaciones de Internet ................................................................... 37 3.9.4 Cuentas DNS Dinámico ............................................................................................................... 37

3.10 Servidor DHCP ..................................................................................................................................... 38 3.10.1 Servidor DHCP ............................................................................................................................ 39 3.10.2 DHCP Relé .................................................................................................................................. 39

3.11 Respaldo automático .......................................................................................................................... 39

3.12 Instalaciones de Routing ..................................................................................................................... 40 3.12.1 Routes Estáticos .......................................................................................................................... 41 3.12.2 Protocolos-routing ...................................................................................................................... 42

4 Proxies ................................................................................................................................... 55

4.1 Introducción ........................................................................................................................................ 55

4.2 Proxy HTTP ........................................................................................................................................... 55 4.2.1 Modo Transparente .................................................................................................................... 55 4.2.2 Modo normal sin autenticación ................................................................................................... 55 4.2.3 Modo normal sin autenticación ................................................................................................... 56 4.2.4 Configuración del caché ............................................................................................................. 56

4.3 Proxy HTTPS ......................................................................................................................................... 56

4.4 Proxy FTP .............................................................................................................................................. 57

4.5 Proxy SMTP .......................................................................................................................................... 57

4.6 Proxy POP3 ........................................................................................................................................... 57

4.7 Proxy VoIP ............................................................................................................................................ 58 4.7.1 Instalaciones Generales ............................................................................................................... 58 4.7.2 Proxy SIP ..................................................................................................................................... 58

5 Autenticación de usuario .................................................................................................... 59

5.1 Respaldo técnico y preparación .......................................................................................................... 59 5.1.1 Objetivo de la Autenticación de Usuario ...................................................................................... 59 5.1.2 Respaldo técnico y preparaciones ................................................................................................ 59

4 Introducción


5.2 Inicio de sesión .................................................................................................................................... 61 5.2.1 Inicio de sesión usando un buscador de red................................................................................. 61 5.2.2 Iniciar sesión utilizando Cliente de Autenticación de Usuario (Cliente-UA) .................................... 61 5.2.3 Inicio de sesión usando Single Sign On ........................................................................................ 62

5.3 Usuarios ............................................................................................................................................... 64

5.4 Ejemplos ............................................................................................................................................... 64 5.4.1 Dominio Windows ...................................................................................................................... 64 5.4.2 Servidor terminal ........................................................................................................................ 65

6 URL Filtro de contenido ....................................................................................................... 66

6.1 Filtro URL ............................................................................................................................................. 66

6.2 Filtro de Contenido ............................................................................................................................. 67 6.2.1 Alternando el Filtro de Contenido encendido y apagado ............................................................. 67

6.3 Configure el URL y el Filtro de Contenido ......................................................................................... 67 6.3.1 Configuración usando el URL / dialogo Filtro de Contenido ......................................................... 67 6.3.2 Agregar URLs usando el Cliente de administración o Estadísticas de Cliente ................................. 69

7 LAN-Accounting .................................................................................................................... 70

7.1 Introducción al LAN-Accounting ........................................................................................................ 70

7.2 Configuración del LAN-Accounting .................................................................................................... 70 7.2.1 70 7.2.2 70

7.3 70

8 Traffic shaping & Quality of Services (QOS) ..................................................................... 71

8.1 Introducción ........................................................................................................................................ 71 8.1.1 Objetivo ...................................................................................................................................... 71 8.1.2 Respaldo técnico ......................................................................................................................... 71

8.2 Instalando Traffic Shaping .................................................................................................................. 72

8.3 Instalaciones para Quality of Service .................................................................................................. 73

9 Nivel de aplicacion ............................................................................................................... 74

10 Certificados ........................................................................................................................... 75

10.1 Introducción ........................................................................................................................................ 75

10.2 Certificados .......................................................................................................................................... 75

10.3 Plantillas ............................................................................................................................................... 78

10.4 OCSP / CRL ............................................................................................................................................ 79

10.5 Reportes para certificados .................................................................................................................. 80

11 Virtual Private Networks (VPN) .......................................................................................... 81

11.1 Introducción ........................................................................................................................................ 81

11.2 Conexiones PPTP ................................................................................................................................. 82 11.2.1 Instalación de conexión manual de PPTP Cliente-a-Servidor ......................................................... 82

5 Introducción


11.3 Conexiones IPSec ................................................................................................................................. 83 11.3.1 Instalación manual de una conexión IPSec ................................................................................... 83 11.3.2 L2TP / XAUTH ............................................................................................................................. 85

11.4 VPN sobre SSL ...................................................................................................................................... 88

11.5 VPN sobre SSL sin salida pretederminada .......................................................................................... 90

11.6 El Cliente VPN gateprotect ................................................................................................................. 91 11.6.1 La creación automatica de una conexión de VPN usando un archivo de configuración. ................ 91 11.6.2 Creación manual o edición de una conexión VPN ........................................................................ 91

12 High Availability ................................................................................................................... 93

12.1 Functionamiento ................................................................................................................................. 93

12.2 Tiempos de caída durante falla .......................................................................................................... 93

12.3 Configuración ...................................................................................................................................... 93 12.3.1 Direcciones IP de la red de interfases ........................................................................................... 94 12.3.2 Conectando los firewalls via vínculos dedicados .......................................................................... 94 12.3.3 Activar el High Availability ........................................................................................................... 94

12.4 Editar las instalaciones de High Availability ...................................................................................... 96

12.5 Desactivar High Availability ................................................................................................................ 96

12.6 Cambio de roles ................................................................................................................................... 96

12.7 Comisionar un firewall tras falla ........................................................................................................ 96

12.8 Reestablecer respaldo o Actualización de software .......................................................................... 96

12.9 Mensajes de Reportes ......................................................................................................................... 97

13 Intrusion Detection and Prevention System (IDS/IPS) .................................................... 98

13.1 Configuración de Perfiles IDS/IPS ....................................................................................................... 98

13.2 Configuración de Red IDS/IPS Interna/Externa .................................................................................. 99

13.3 Configuración de Restricciones IDS/IPS .............................................................................................. 99

13.4 Activación del Intrusion Detection and Prevention System ............................................................ 100

13.5 Las reglas IDS e IPS pueden ser extendidas con reglas predeterminadas. ...................................... 100

13.6 Actualización de patrones IDS/IPS .................................................................................................... 100

14 Reporte ................................................................................................................................ 102

14.1 General .............................................................................................................................................. 102

14.2 Particiones ......................................................................................................................................... 102

14.3 Exportación de Syslog ....................................................................................................................... 103

14.4 SNMP .................................................................................................................................................. 103

15 Monitoreo ............................................................................................................................ 105

15.1 Introducción ...................................................................................................................................... 105

15.2 Componentes exhibidos en monitoreo ............................................................................................ 106

6 Introducción


16 Anti-Spam / Filtro de correo ............................................................................................. 107

16.1 Filtro de correo .................................................................................................................................. 107

16.2 Anti-Spam .......................................................................................................................................... 107

16.3 Marcar como Spam ............................................................................................................................ 108

17 Protección de Virus ............................................................................................................ 109

17.1 Introducción ...................................................................................................................................... 109

17.2 Licencia .............................................................................................................................................. 109

17.3 Instalaciones ...................................................................................................................................... 109 17.3.1 Instalaciones de antivirus: General ............................................................................................. 109 17.3.2 Escaner ..................................................................................................................................... 110 17.3.3 Lista blanca ............................................................................................................................... 110 17.3.4 Actualizaciones ......................................................................................................................... 111

18 Actualizaciones ................................................................................................................... 112

18.1 Introducción ...................................................................................................................................... 112

18.2 Actualizaciones .................................................................................................................................. 113

18.3 Descargue actualizaciones automáticamente ................................................................................. 114

18.4 Actualizaciones de descarga manuales ............................................................................................ 114

18.5 Actualización de instalaciones .......................................................................................................... 114

18.6 Instalación de actualizaciones desde el dispositivo de almacenamiento local .............................. 114

18.7 Interacción de actualización ............................................................................................................. 114

19 Ejemplos ............................................................................................................................... 115

19.1 Introducción ...................................................................................................................................... 115

19.2 Instalación de la conexión de Internet con dirección IP fija ........................................................... 116 19.2.1 Instalación de una linea dedicada con dirección de IP fija usando un router ............................... 116 19.2.2 Instalando una conexión DSL con dirección IP fija ...................................................................... 117 19.2.3 18.2.3 Instalación de un cable de conexión con dirección IP DHCP ............................................ 117

19.3 Demilitarized zone (DMZ) ................................................................................................................. 117 19.3.1 Puerto simple para reenvío ........................................................................................................ 117 19.3.2 Reenvío de puerto con rerouting de puerto ............................................................................... 118 19.3.3 DMZ por fuente IP .................................................................................................................... 119

19.4 Ejemplos para autenticación de usuario .......................................................................................... 121 19.4.1 Dominio Windows .................................................................................................................... 121 19.4.2 Servidor terminal ...................................................................................................................... 121

20 Estadisticas .......................................................................................................................... 122

20.1 Uso de Estadísticas de Cliente/Estadísticas ....................................................................................... 122 20.1.1 Barra de herramientas ............................................................................................................... 122 20.1.2 Posibilidades de filtro ................................................................................................................ 122 20.1.3 Estadísticas ............................................................................................................................... 122

7 Introducción


© 2012 gateprotect Aktiengesellschaft Alemania. Todos los derechos reservados.

gateprotect Aktiengesellschaft Alemania

Valentinskamp 24 - 20354 Hamburgo /Alemania

Ninguna parte de este documento puede ser duplicado o compartido con terceras partes sin la expresa autorización escrita de

gateprotect AG Alemania. Esto aplica a cualquier manera o método electrónico mecánico.

Los dibujos e información contenidas en este documento pueden ser cambiadas sin notificación previa. No aceptamos garantía por

la fidelidad del contenido de este manual.

Los nombres e información usados como ejemplos no son reales, a menos que sea establecido de esa manera.

Todos los productos, marcas y nombres son de propiedad del fabricante correspondiente.

8 Introducción


PREFACIO

Gracias por escoger un producto de gateprotect.

Siempre buscamos mejorar nuestros productos para nuestros clientes. Si detecta fallas o tiene sugerencias para

mejorar, por favor contáctese con nosotros.

Si tiene mayores consultas sobre gateprotect u otros productos, por favor contacte a su distribuidor responsable /

o contáctenos directamente a:

gateprotect Aktiengesellschaft Germany

Valentinskamp 24

20354 Hamburgo

Alemania

Nos puede ubicar en:

Teléfono : 01805 428 377 (12 Cent/min)

Fax : 01805 428 332 (12 Cent/min)

Actualizaciones de seguridad y otra información:

http://www.gateprotect.com

Ahi encontrará mygateprotect, que ofrece respuestas útiles, información de respaldo importante y sugerencias para

uso diario.

9 Introducción


1 INTRODUCCION

Con el Firewall gateprotect se ha elegido un sistema de seguridad con los últimos requisitos de seguridad y muy

fácil de operar usando una interface gráfica.

1.1 ¿A quién está dirigido este manual?

Este manual está dirigido a administradores de sistemas que instalan y configuran el sistema de Firewall gateprotect.

Conocimiento especializado es requerido en las siguientes áreas para comprender las funciones, instalaciones y

procesos:

Conocimiento general en tecnología de redes y protocolos de redes

Administración y configuración del Sistema Operativo de Windows

Sistema de usuario y derechos de administración

1.2 Apuntes generales sobre este manual

Este manual está organizado de la siguiente manera:

Capitulo introductorio con apuntes generales sobre el producto y usando la documentación de producto.

Requerimientos del sistema, instalación del servidor de Firewall y de la Cliente de administración del Firewall.

Uso del Firewall con la Cliente de administración y configuración del Servidor de Firewall

Descripción técnica de los componentes del Firewall y sus instalaciones (Proxy, Autenticación de Usuario, URL &

Filtro de Contenido, Tráfico, Nivel de Implementación, VPN, Alta Disponibilidad, Detector de Intrusos, Informes,

Antispam y Antivirus).

Descripción de las Estadísticas del Cliente como software de información propia

Casos típicos

1.3 Símbolos utilizados y sugerencias

NOTA

ESTE SÍMBOLO DESTACA INFORMACIÓN IMPORTANTE Y DE UTILIDAD.

ATENCIÓN

ESTE SÍMBOLO MUESTRA QUE SE DEBE PONER ATENCIÓN.

EJEMPLO ESTE SÍMBOLO INDICA UN EJEMPLO EXPLICATORIO. VALORES Y NUMEROS (A MENOS QUE SEA EXPLICADO DE OTRA MANERA) SON USADOS COMO EJEMPLOS Y PUEDEN SER

DIFERENTES RESPECTO DE LOS VALORES ACTUALES.

Símbolos adicionales son usados en el texto para destacar algunas características o para indicar elementos que están

operando.

Títulos de diálogos, opciones o botones están destacados en rojo.

Textos, teclado o instrucciones de información, están indicados en el texto por un t i p o de c o l o r d i f e r e n t e .

10 Introducción


1.4 Protección y seguridad de los antecedentes

Bajo algunas circunstancias, los antecedentes personales pueden ser procesados y usados por el Firewall gatepro-

tect. En Alemania, la Ley Federal de Protección de la Información (BDSG), entre otros, aplica al procesamiento y uso

de dichos antecedentes personales. Por favor lea en detalle las leyes locales de otros países.

La protección de los antecedentes protege a los individuos cosa que sus derechos personales no sean afectados por

la exposición de sus antecedentes personales. Más aún, la protección de antecedentes blinda los antecedentes de

mal uso en todas las fases del proceso.

11 Introducción


2 INSTALACION

El firewall consiste de dos partes. El Servidor Firewall y el Cliente para operar el mismo. En este capítulo, describimos

los pasos necesarios para instalar estos componentes y la instalación asociada de los distintos componentes del

sistema.

2.1 Instalación del Servidor de Firewall

La actualización a la siguiente version más avanzada o volver a guarder las fallas de fábrica son las únicas razones

para reinstalar el Firewall. Un CD de instalación es sólo necesario si se compró un aparato virtual.

2.1.1 Instalación de dispositivos

Un dispositivo gateprotect se instala con un dispositivo-instalador-firewall-USB. Para crear este dispositivo-USB, se

debe bajar la correspondiente version del instalador del firewall desde el sitio web www.gateprotect.com.

Se requiere un dispositivo-USB con una capacidad de más de 1GB. La mayoría de los dispositivos-USB en venta

debiera funcionar. Una lista de dispositivos-USB probado puede ser encontrada en www.gateprotect.com.

Conecte el dispositivo-USB a su Windows-PC y haga funcionar el instalador-USB.

ATENCIÓN

TODA LA INFORMACIÓN EN EL DISPOSITIVO SE PERDERÁ. UN ASISTENTE-DE INSTALACIÓN LE INDICARÁ CÓMO HACER LA CONFIGURACIÓN.

Especificaciones

También se puede crear un dispositivo-auto-instalación-USB.

Si se selecciona un archivo de respaldo de un firewall en el asistente-USB-instalación, este respaldo será integrado

en el dispositivo-USB-instalación.

ATENCIÓN

ESTE DISPOSITIVO-USB INSTALARÁ UN FIREWALL SI ES REINICIADO DESDE EL DISPOSITIVO. NO DEJE EL DISPOSITIVO ENCHUFADO EN NINGÚN OTRO PC MIENTRAS SE ESTÉ

REINICIANDO.

LA INSTALACIÓN DE FIREWALL SE INICIARÁ EN CUANTO LA APLICACIÓN SE REINICIE DESDE EL DISPOSITIVO. (EN ALGUNOS CASOS DEBE SER ACTIVADO EN BIOS.)

Mientras use el dispositivo en instalación-USB Estándar, existirá un proceso de guía que le llevará a la instalación del

CD en la consola.

Vea 2.1.2.

Usando un dispositivo-auto-instalador-USB, la instalación se ralizará automáticamente. El dispositivo emitirá un

sonido tipo “bip”, cuándo el proceso haya concluido. Desenchufe el Dispositivo-USB y reinicie el aparato.

2.1.2 Instalación del Firewall con VMware

Con VMware (Estación de trabajo, Servidor-ESX) es possible montar la imagen ISO que se utilize para quemar el CD.

Se puede proceder de manera normal con la instalación.

Requisitos del hardware para la máquina virtual:

HDD: 20 GB

RAM: 512 MB

Estos requerimientos deben ser adaptados al objetivo que se espera lograr y al número de usuarios.

Paso 1

Inserte el CD-Instalación en el CD-drive del VMware-PC e inicie la máquina virtual.

NOTA

SI EL CD NO ES IDENTIFICADO CORRECTAMENTE, LA APLICACIÓN BIOS DEBE SER CAMBIADA ANTES DE INSTALAR.

12 Introducción


Paso 2

Un sistema operativo UNIX es iniciado entonces por el CD. Espere hasta que el programa de instalación abra la

ventana de inicio y siga las instrucciones en la pantalla.

NOTA

EL PROGRAMA DE INSTALACION DEL SERVIDOR DE FIREWALL NO RESISTE LA OPERACION DE UN MOUSE. USE LAS TECLAS CON LAS FLECHAS PARA NAVEGAR AL INTERIOR DE LOS

MENU Y LA BARRA DE ESPACIO PARA NAVEGAR ENTRE LOS MENU. LAS OPCIONES SELECCIONADAS O ACTIVAS SON DESTACADAS EN ROJO O SE USA UN TEXTO EN COLOR ROJO.

Paso 3

Una vez que las condiciones de licencia son aceptada, se inicia el reconocimiento automático del hardware.

Paso 4

Seleccione el tipo de instalación

A. Nueva instalación B. Instalación de un respaldo

Si desea agregar la configuración de respaldo de un Firewall anterior en vez de una instalación nueva, proceda

como sigue:

NOTA

EL RESPALDO DEBE ESTAR EN UN DISCO O MEMORIA USB, QUE PUEDA SER AUTOMÁTICAMENTE DETECTADO POR EL SERVIDOR. TAMBIÉN SE PUEDE SALTAR EL RESPALDO EN

ESTE MOMENTO Y OPERARLO DESPUÉS DE LA INSTALACIÓN VÍA EL ADMINISTRADOR DE CLIENTE. MÁS INFORMACIÓN EN EL CAPITULO 3.2.1 MENU: ARCHIVO-CREACIÓN DE

RESPALDO.

Paso 5

Selección de Disco duro

En la ventana de selección de disco duro se podra determinar si la instalación debe realizarse en el disco duro o en dos discos

duros.

NOTA

SI SE US UNA MÁQUINA VIRTUAL, USE SOLO UN DISCO DURO VIRTUAL.

Paso 6

Instalando los dispositivos de red

Se debe asignar a cada tarjeta de red su propia dirección de IP y una máscara de subred asociada. Para cada tarjeta

de red ingrese la dirección de IP en el primer campo y la correspondiente máscara de subred en el segundo campo,

e.j. 1 9 2 . 1 6 8 . 1 . 1 / 2 5 5 . 25 5 . 2 5 5 . 0 para una red clase C. DHCP no puede ser seleccionada en la instalación.

Nota

Si no se ingresa una dirección de IP, la tarjeta será automáticamente desactivada. Los campos se llenan con valores

establecidos al ingresar “F12”.

Paso 7

Ingreso de clave

Ingrese una clave válida en los campos Clave y Confirmar.

ATENCIÓN

LA CLAVE DEBE TENER POR LO MENOS 6 CARACTERES Y NO PUEDE INCLUIR LETRAS, NUMEROS Y SIMBOLOS. ESTA CLAVE SE CODIFICA Y NO PUEDE SER USADA PARA CONECTARSE-

AUTOMATICAMENTE AL SERVIDOR DE FIREWALL SIN EL SOPORTE DE GATEPROTECT. SE PUEDE ACCEDER AL SERVIDOR DE FIREWALL VÍA EL ADMINISTRADOR DE CLIENTE Y EN

TERMINOS GENERALES NO SE REQUIERE DEL INGRESO-DIRECTO.

La instalación real se inicia en el próximo paso.

Paso 8

Progeso de instalación

Si el proceso de instalación ha sido exitoso, la notificación Exitoso! Deberá aparecer al costado de cada paso de

instalación. Después de la exitosa instalación, remueva el CD del equipo y oprima la tecla Retorno para terminar y

reiniciar el Servidor de Firewall.

Espere hasta que el computador se haya reiniciado completamente.

El Servidor de Firewall está ahora listo para ser usado.

13 Introducción


2.1.3 Interfase Serial

La interface serial hace posible instalar el Firewall sin un monitor ni teclado adicional. Necesita un cable RS232 o

RJ45, para conectarse al Puerto serial de los aparatos con el Puerto serial en el PC. Se debe iniciar un Programa-

Terminal (e.j. Putty o Hyperterm) con los siguientes parámetros:

Velocidad: 9600

Bits de datos: 8

Paridad: ninguno

Bits de parada: 1

Control de flujo: ninguno

Conecte las interfases seriales, enchufe el dispositivo-USB al aparato y reinicie el firewall. Después de algunos

segundos, el diálogo-instalación aparecerá en el diálogo del programa terminal. Entonces se puede usar el teclado

para hacer las instalaciones.

Instalación del Firewall - Cliente de Administración.

La Cliente de Administración está en el CD (Menu-Autoinicio) o en el Internet en: www.gateprotect.com.

La instalación se inicia automáticamente tras iniciar el archivo.

2.2 Primera configuración del Servidor de Firewall usando el Cliente de Administración

Tras la instalación del Servidor de Firewall y del Cliente de Administración, primero realice una configuración inicial.

El Cliente de Administración permite operar el Servidor de Firewall en modo rápido o en modo normal.

2.2.1 Iniciando el Asistente de Configuración

Paso 1

Inicie el Cliente de Administración pulsando dos veces en el símbolo en el escritorio o pulsando Inicio > Programas

> gateprotect Cliente de Administración > gateprotect Cliente de administración.

Paso 2

Se exhibe la ventana inicial de la Configuración de Asistente.

Conecte el Cliente de Administración al Servidor de Firewall. Para hacer ésto, marque el cuadro Buscar Firewall y

pulse Próximo>>.

La Configuración de Asistente primero busca el Servidor de Firewall en la red del computador en la que el Cliente de

Administración fue instalado, automáticamente busca los primeros (xxx.xxx.xxx.254). Si la Configuración de

Asistente encuentra el Servidor de Firewall en una de las dos direcciones, se salta al siguiente punto 3 y sigue

directo con la primera configuración rápida (Cap. 2.3.2 Primera configuración en modo rápido) o modo normal

(Cap. 2.3.6 Primera configuración en modo normal).

Si la Configuración de Asistente no encuentra el Servidor de Firewall en ninguna de las dos direcciones, se debe

ingresar manualmente la dirección del Servidor de Firewall como se describe en el punto 3.

Paso 3

El diálogo de inscripción está abierto para crear una conexión manual.

Pulse Agregar.

a.) El diálogo para la dirección de IP para el Servidor de Firewall está abierto.

b.) Ingrese el nombre y dirección del Servidor de Firewall en los campos correspondientes. Deje el Puerto sin

modificar (Puerto 3436) y pulse Aceptar.

c.) El diálogo de inscripción se exhibe nuevamente.

14 Introducción


Ingrese los valores adecuados para acceder al Servidor de Firewall en los campos de nombre de usuario y clave. y

pulse Inscribir.

NOTA

PARA UNA NUEVA CONFIGURACIÓN DEL SERVIDOR DE FIREWALL, EL NOMBRE DE USUARIO Y LA CLAVE SIEMPRE ES ADMIN. SE DEBE CAMBIAR ESTA LO ANTES POSIBLE. SI SE HA

INSTALADO EL SERVIDOR DE FIREWALL COMO RESPALDO, USE SU NOMBRE DE USUARIO Y CLAVE ASOCIADA PARA ESTE RESPALDO. .

La conexión al Servidor de Firewall está establecida y la Configuración de Asistente continúa con la selección en

modo configuración.

2.2.2 Primera configuración en modo rápido

Más ajustes a las instalaciones después de realizar la primera configuración usando el Cliente de Administración.

Paso 1

Seleccione la opción rápida.

Paso 2

Se exhibe la ventana dialogo para seleccionar las funciones deseadas.

Seleccione las opciones deseadas (como se explica en la ventana diálogo) marcando las opciones relevantes.

La configuración continúa con la Configuración de Asistente de Internet en el punto 2.3.3.

2.2.3 Asistente de configuración de Internet

La ventana del diálogo para seleccionar el tipo de conexión que se encuentra abierta. El Servidor de Firewall

gateprotect apoya discando-hacia el Internet vía modem o Router ISDN, DSL. Dependiendo de qué conexión de

Internet se use, por favor siga los pasos de configuración explicados en el próximo capítulo.

2.2.3.1 Instalando una conexión ISDN

Paso 1

Seleccione la opción ISDN Conexión de Discado en la ventana de diálogo abierta para seleccionar el tipo de

conexión.

Paso 2

Una lista de hardware se exhibe en la ventana de diálogo siguiente. Seleccione una de las tarjetas de ISDN de la

lista.

Paso 3

Ahora ingrese un número de discado para su acceso de Internet. El campo de prefijo solo debe activarse en caso de

estar instalando el acceso a Internet vía un sistema de teléfono. Ingrese el número en el campo del prefijo que se

requiere para una línea de intercambio. Ingrese la información del código y número en los campos

correspondientes.

Paso 4

Ingrese la información de acceso de su conexión de Internet ISDN entregada por su proveedor de servicio de

Internet.

Paso 5

Ingrese la información de discado de su conexión ISDN. Si no existe seguridad respecto de cuál usar, lea la

información que aparece en su conexión de ISDN o en su sistema de teléfono.

Paso 6

Ingrese la información para su conexión de Internet. Si está usando un servidor DNS interno, ingrese aquí la

dirección de IP del servidor o use las aplicaciones estándares.

Paso 7

Con el control de respaldo definido para tolerancia a fallas (Internet)

15 Introducción


Si este control actúa como control maestro, al mismo tiempo, es definido como un control de respaldo que puede

ser cambiado de ser requerido, se necesita especificar 1-2 servidores externos. Aquí se deben especificar dos

direcciones de IP, que de ser posible, deben ser alimentadas por dos proveedores diferentes. Como los ping son

regularmente enviados al servidor externo para revisar la disponibilidad de la conexión de Internet, se debe revisar

antes si esto permite el ping. El Servidor de Firewall entonces revisa si estos servidores aún están disponibles y si

existe una conexión.

NOTA

PARA LA CONEXIONES DE ISDN CON UN INTERVALO DEFINIDO, NO SE DEBE INGRESAR UN TEST DE SERVIDOR. ESO INVALIDARÍA LA APLICACIÓN DE INTERVALO.

Seleccione las correspondientes opciones o ingrese la información de los campos correspondientes y pulse Si-

guiente>>.

Paso 8

Ingrese a la conexión de ISDN un nombre claro y con significado ISDN, e.j. "Conexión de Internet por ISDN".

Ingrese el nombre en el campo adecuado y pulse "Terminado". Su conexión de Internet está instalada. Si se usa

solo esta conexión de Internet vía ISDN se pueden saltar los próximos pasos y continuar con el Asistente de

Configuración.

2.2.3.2 Instalando una conexión PPPoE

Se deben seguir los siguientes pasos si se se conectan las tarjetas de red directo a un modem DSL. Si está usando un

router DSL para su conexión de Internet, salte este paso y continúe con la siguiente acción Chap. 2.2.3.3 –

Conexión Router.

Paso 1

Seleccione opción Conexión PPPoE en la ventana de diálogo.

Paso 2

Una lista de las tarjetas de red instaladas se exhibe en la siguiente ventana de dialogo. Seleccione la tarjeta de red

que está conectada al modem DSL.

Paso 3

Ingrese la información de acceso para su conexión de Internet ADSL entregada por su proveedor de servicio de

Internet.

Paso 4

Ingrese las especificaciones de discado para la conexión ADSL. Si existe incertidumbre respecto de cuál usar, lea la

información contenida en su modem ADSL o conexión de Internet ADSL.

Seleccione las opciones correspondientes o ingrese la información en el campo correspondiente.

Paso 5

Ingrese las especificaciones para la conexión de Internet. Si usa un servidor interno DNS, ingrese aquí la dirección de

IP del servidor o use las especificaciones estándar.

Con control de respaldo definido para falla-caída (Internet)

Si este control actúa como control maestro y, al mismo tiempo, es definido como control de respaldo que puede ser

modificado para tales efectos si fuera necesario, se requiere especificar 1-2 servidores externos. Se deben especificar

dos direcciones de IP aquí, que deben ser administradas, si es posible, por dos proveedores distintos. Como los ping

son regularmente enviados a servidores externos para revisar la disponibilidad de la conexión de Internet, se debe

revisar de manera anticipada si éstos permiten hacer ping. El Servidor de Firewall entonces confirma si estos

servidores aún están disponibles y si existe conexión.

Seleccione las opciones correspondientes o ingrese la información en los campos correspondientes.

16 Introducción


Paso 6

Ingrese un nombre claro y con significado para la conexión ADSL, e.j. "Internet con conexión de modem ADSL". Su

conexión al Internet ya está instalada.

Si se usa solo esta conexión de Internet via ADSL se pueden saltar los próximos pasos y continuar con el Asistente de

Configuración.

2.2.3.3 Instalando una conexión de Router

Solo se deben seguir los próximos pasos si se conecta al Firewall externo vía un router, e.j. un router ADSL al

Internet. Si se usa un modem ADSL para la conexión de Internet, por favor lea la sección anterior sobre Instalación

de una conexión de ADSL.

Paso 1

Seleccione la opción Conexión Router en la ventana de diálogo para seleccionar un tipo de conexión.

Paso 2

Una lista de las tarjetas de red instaladas se exhibe en la próxima ventana de dialogo.

Seleccione la tarjeta de red que está conectada al Router.

Paso 3

Ingrese las instalaciones extendidas para la conexión de Internet. Si usa un servidor DNS interno, ingrese aquí la

dirección de IP del servidor o use las instalaciones estándar.

Con un control de respaldo definido para falla-caída (Internet)

Si este control debe actuar como control maestro y, al mismo tiempo, es definido como un control de respaldo que

puede ser alternado si es necesario, se necesita especificar servidor externo 1-2. Se deben especificar aquí dos

direcciones de IP, que deben ser administradas por proveedores diferentes si es posible. Como los ping son

regularmente enviados a servidores externos para revisar la disponibilidad de la conexión de Internet, se debe revisar

anticipadamente si esto permite hacer ping. El Servidor de Firewall entonces revisa si estos servidores aún están

disponibles y si existe una conexión.

Paso 4

Ingrese un nombre claro y con significado para esta conexión de Router, e.j. "Conexión de Internet via router de la

compańía". Ingrese el nombre en el campo adecuado y pulse Finalizado. Su conexión de Internet está ahora

instalada.

2.2.4 Falla-caída (Conexión-de respaldo)

Si ya se configuró una conexión de Internet y desea configurar otra conexión, es posible configurarla como una

conexión de respaldo. La conexión de respaldo es seleccionada si la conexión principal está cancelada. En cuanto la

nueva conexión se encuentre en funcionamiento, el firewall volverá a esa conexión.

Nota

En este caso, una dirección de IP (servidor externo) debe ser ingresada en la conexión principal. (Instrucciones para

configurar un servidor externo están explicadas en las secciones de los distintos tipos de conexiones-(ISDN, ADSL,

Router).

17 Introducción


2.2.5 Continuando la Configuración del Asistente

Paso 1

Ingrese una clave para el Cliente de Administración en la próxima ventana de diálogo del Configurador de

Asistente. La clave debe contener a lo menos 6 caracteres y puede incluir letras, números y símbolos. Ingrese la

clave en el campo Clave nueva. Confirme esta clave ingresándola en el campo Confirmación de clave.

Paso 2

Ingrese las funciones para programar la fecha y tiempo del Servidor de Firewall. Seleccione la hora actual de la zona

de tiempo dónde se encuentra o especifique si el tiempo del servidor será regularmente ajustado por un servidor

programado desde Internet.

Paso 3

Toda la información necesaria ya se encuentra ingresada y el Asistente de Configuración puede ser cerrado.

Paso 4

Si ya se cuenta con un número de licencia válido para el Servidor de Firewall gateprotect, el Filtro de Contenido de

gateprotect o el antivirus gateprotect, se puede ahora activar esta licencia (s) directamente si aún no se ha realizado

la operación. No obstante, también se puede seleccionar la opción de activar más tarde. Información adicional se

puede encontrar en el capítulo sobre administración de licencia y licencia del Servidor de Firewall gateprotect

Capítulo 2.5 "Licencia".

La configuración se ha completado. La información de configuración es ahora trasladada al Firewall y el Cliente de

Administración gateprotect para la configuración de interfase.

2.2.6 Primera configuración en Modo Normal

Si ya se ha realizado la primera configuración en modo rápido, se puede saltar el próximo capítulo.

Paso 1

Seleccione la opción normal.

Paso 2

Ingrese una clave para el Cliente de Administración en la siguiente ventana de diálogo del Configurador de

Asistente. La clave debe tener a lo menos 6 caracteres y puede incluir letras, números y símbolos.

Paso 3

Ingrese las funciones para la programación de la fecha y hora del Servidor de Firewall. Seleccione la hora actual de

la zona de tiempo y especifique si la hora del servidor será programada para ser ajustada desde el servidor de

Internet.

NOTA

NO ES POSIBLE ACTIVAR EL SERVICIO NTP EN ESTE MOMENTO, POR CUANTO LA CONEXION DE INTERNET HA SIDO INSTALADA EN MODO NORMAL. ACTIVE ESTA OPCION EN EL

CLIENTE DE ADMINISTRACIÓN EN OTRO MOMENTO, UNA VEZ QUE SE HAYA INSTALADO UNA CONEXION DE INTERNET, POR CUANTO NO SE HA INSTALADO NINGUNA CONEXIÓN

EN MODO NORMAL. ACTIVE ESTA OPCIÓN EN EL CLIENTE DE ADMINISTRACIÓN EN OTRO MOMENTO, UNA VEZ QUE SE HAYA INSTALADO UNA CONEXIÓN DE INTERNET.

Paso 4

Toda la información necesaria se encuentra ingresada y el Asistente de Configuración puede ser cerrado.

Paso 5

Si cuenta con un número de licencia válido para el Servidor de Firewall gateprotect, el Filtro de Contenido de

gateprotect o el Antivirus gateprotect, se puede activar ahora la licencia(s) de manera directa si esto aún no se ha

realizado. No obstante, también se puede activar en otro momento. Se encontrará información en la administración

de licencia y licencia en el capítulo sobre Servidor de Firewall Capítulo 2.5 "Licencia".

18 Introducción


La configuración se ha completado. Los antecedentes de configuración son transferidos ahora al Firewall y al Cliente

de Administración gateprotect a la interfase de configuración.

2.3 Cambios de configuración

Si desea ajustar el Servidor de Configuración a sus requerimientos individuales, encontrará mayor información en los

temas relevantes y posibilidades de instalación en los siguientes capítulos.

2.4 Licencia

ATENCIÓN

EL FIREWALL FUNCIONA DURANTE 45 DIAS COMO VERSION DE PRUEBA TRAS LA INSTALACIÓN DEL SERVIDOR. ESTO SE PODRA OBSERVAR CUANDO SE INSCRIBA PARA COMENZAR EL

CLIENTE DE ADMINISTRACION. CUANDO ESTE PERIODO HAYA CONCLUIDO, EL FIREWALL PERMANECE ACTIVO CON LA CONFIGURACIÓN, PERO NO SE PUEDEN REALIZAR

MODIFICACIONES Y EL PROTOCOLO HTTP ES BLOQUEADO.

La licencia es administrada por “asistente para licencias”, ubicado en la pestańa Info del menú.

La licencia opera con un archivo .gplf de información formateada.

Se puede cargar este archivo al firewall, todos los antecedentes sobre la licencia y licenciado son automaticmente

agregados en el firewall.

19 Introducción


3 USO DEL CLIENTE DE ADMINISTRACION

Se pueden administrar todas las funciones del Servidor de Firewall gateprotect usando el Cliente de Administración.

Este capítulo explica cómo usar este programa, qué posibilidades ofrece el Cliente de Administración y cómo se

pueden realizar configuraciones básicas de instalación.

3.1 Programa interfase y controles

Cuándo el programa se inicia se encontrará el escritorio de configuración. Esta es la interfase de administración

central, con la cual se pueden realizar todos los ajustes necesarios a las funciones de instalación del Firewall.

20 Introducción


3.2 Menú del Cliente de Administración

3.2.1 Menu: Archivo

En el menu Archivo se encontrarán las opciones normales del Windows para abrir, guardar, imprimir y finalizar el

programa. Adicionalmente, existen funciones para crear y subir respaldos del Servidor de Firewall.

Opción Función

Nueva Crea una nueva configuración de Firewall.

Abrir... Abre una configuración de Firewall existente directamente conectada desde un Fi-

rewall o desde un archivo de configuración guardado.

Guardar Guarda la actual configuración de Firewall directamente a un Firewall conectado.

Guardar como... Guarda la configuración del Firewall actual directo a un Firewall conectado o en un

archivo de configuración en el computador o en la red.

Imprimir... Envía a imprimir la configuración actual, las estadísticas o su monitoreo hacia una

impresora conectada.

Crear Respaldo Crea un respaldo de la configuración de Firewall en un medio de almacenaje. Use

esta función, por ejemplo para recargar una configuración después de una nueva

instalación, o para transferir una configuración a un segundo Firewall (secundario)

para una solución de alta disponibilidad.

Importar Respaldo Carga la configuración de Firewall desde un archivo de respaldo y luego la activa.

Respaldo Automatico Configura automáticamente la función de Respaldo ・Cap. 3.11 Respaldos

Automáticos

Reinicio de la

configuración del

asistente

Inicia el Asistente de Configuración en modo rápido o modo normal, para crear

una configuración básica ・Chap. 2.3 Primera configuración del Servidor de

Firewall usando el Cliente de Administración

Activar Transfiere una configuración al Servidor de Firewall sin cerrar primero el Cliente de

Administración .

Idioma Cambia el idioma del Cliente de Administración

Salir... Cierre el Cliente de Administración de gateprotect tras exhibir varias opciones para

cerrar el programa en una ventana de diálogo y confirme que se desea salir.

21 Introducción


3.2.2 Menu: Opciones

Se pueden configurar las funciones del Servidor y del Cliente de Administración usando el menú Opciones.

Opción Función

Firewall Ajusta las funciones generales del servidor a sus necesidades, e.j. red o nombre de

administrador, tarjetas de red, funciones de seguridad para la administración o

funciones de fecha y hora.

Centro de Comando Ajusta y crea certificados del Centro de Comando

Interfases Configura las interfaces de la red, Interfases V-LANs, Bridges e Interfases VPN-SSL

Routing Administración de protocolos de ruteo

Administración de usuario Administra a los usuarios y sus derechos específicos sobre el Firewall

Internet Administra las conexiones de Internet y cambia las instalaciones globales de DNS o

funciones para un DNS dinámico

Proxy Activa y configura las funciones para el HTTP y VolP Proxy para el Servidor de Fi-

rewall ・Cap. 4 Proxies.

Tráfico-Ordenamiento Configura las funciones para el Ordenamiento del Tráfico y Calidad de Servicios・Cap. 7 Ordenamiento de Tráfico & Calidad de Servicios.

Alta disponibilidad Define instalaciones para varios Servidores de Firewall que operan como solución

de alta disponibilidad ・Cap. 11 Alta Disponibilidad.

DHCP Configuración de un Servidor DHCP y Relé.

Reportando Administra las funciones de reportes , e.j. las opciones de recepción para la notifi-

cación de correos electrónicos y las funciones para las particiones ・Cap. 13 Re-

portando

Autenticación de usuario Configura las opciones para la autenticación del Usuario y registro al HTTP Proxy

・Cap. 5 Autenticación del Usuario

Actualizaciones Administración de la actualización del Firewall

22 Introducción


3.2.3 Menú: Seguridad

Se puede usar este menú para administrar las distintas funciones de seguridad del Servidor de Firewall.

Opción Función

URL-/filtro de

Contenido...

Activa y configura las funciones del URL y Filtro de Contenido ・

Cap. 6 URL- y Contenido-Filtro.

Anti-Spam / Filtro de

Correo

Crea listas blancas y negras para los filtros de spam y ajusta el nivel de sensibilidad ・Cap. 15 Anti-Spam/Filtro de correo

Anti-Virus

Activa y administra las funciones para el escaner de Antivirus ・

Cap. 16 Protección de Virus

IDS / IPS

Administra las funciones para Detectar Instrusos y para el Sistema de Prevención

Cap. 12 Detector y Prevención

Certificado Abre el certificado de administración para Autoridades Certificadas, Requerimientos

y Certificados de Administración

Lista-DMZ Muestra los objetos DMZ

Acceso denegado… Muestra una lista de accesos rechazados y permite emitir o rechazar estas conexiones

3.2.4 Menú: Funciones VPN

Se pueden administrar las funciones de las conexiones VPN al Servidor de Firewall usando este menu.

Opción Función

PPTP Activa las funciones PPTP para el Servidor de Firewall ・Cap. Conexiones 10.2 PPTP.

IPSec

Activa las funciones IPSec y administra las conexiones IPSec ・

Cap. 10.3 Conexiones-IPSec.

VPN-SSL

Activa conexiones VPN-SSL y administra las características VPN-SSL y Clien ・Cap.

10.4 VPN sobre SSL.

VPN Asistente

Crea una nueva conexión VPN e instala todas las confiiguraciones necesarias para

dicha conexión VPN.

23 Introducción


3.2.5 Menu: Red

Este menu contiene herramientas, que apoyan su configuración, para pruebas de redes o en la solución de

problemas y búsqueda de errores.

Opción Función

Ping

Emita un comando PING a un servidor / computador en red o en Internet. Se-

leccione como una opción si el comando PING debe ser emitido desde un compu-

tador local o desde el Servidor de Firewall.

Traceroute

Emita un comando de TRACEROUTE hacia un computador / servidor en la red o

Internet.

Pregunta nombre ser-

vidor

Preguntas de información sobre una dirección con el nombre del servidor.

Análisis del bloqueo de la

Red Realiza una revision de un URL o sitio web usando el URL y Filtro de Contenido ・Cap. 6 URL- y Filtro-Contenido.

3.2.6 Menu: Ventana

Interactúa entre las diferentes ventanas del Clientes de Administración

Opción Función

Escritorio

Cambia la Configuración de Escritorio para la administración de la red y

funciones del Firewall.

Reportes

Cambia a la vista del reporte con actualizadas notificaciones de sistema y de

seguridad.

Estadísticas

Las Estadísticas muestran estadísticas sobre usuarios de carácter general y de

relevancia de seguridad, objetos de red y del Servidor de Firewall.

Monitoreo

Entrega información actualizada sobre hardware y sistemas de proceso del

Servidor de Firewall.

3.2.7 Menu: Información

Ofrece al usuario la ayuda estándar de Windows y funciones de soporte.

Opción Función-

Manual de usuario Abre este manual

Licencia gateprotect Abre esta ventana de dialogo de licencia para licenciar el Firewall y los

productos UTM

Muestra términos de licencia Exhibe las condiciones de la licencia en formato de documento PDF.

Sobre Provee información sobre el Cliente de Administración.

24 Introducción


3.3 La Configuración de Escritorio

La interfase del usuario muestra la principal area de trabajo del Firewall gateprotect. Usando la configuración

escritorio; siempre se debe tener una vista completa de toda la red.

Todos los objetos conectados a la red (computadores, servidores, grupos de computación, usuarios VPN, etc.) son

exhibidos con sus conexiones asociadas.

Objetos nuevos pueden ser agregados en cualquier momento con "Drag & Drop".

Se pueden crear reglas para conexión pulsando simplemente en las intersecciones de las líneas de conexión.

Objetos individuales pueden ser agrupados usando "drag and drop" y configurados de manera conjunta.

Si se arrastra un objeto hacia otro, se consultará si se desea crear un grupo de los dos objetos individuales.

Varios objetos y puntos pueden ser seleccionados simultáneamente pulsando en un lugar vacío en el escritorio y

definiendo el rango deseado con el mouse. Objetos individuales y puntos pueden ser agregados a / removidos de la

selección usando Ctrl+ botón izquierdo en el mouse.

Ctrl + A selecciona todos los objetos y puntos en el escritorio.

Si es necesario, las líneas de conexión pueden ser resaltadas varias veces para un mayor resultado. Pulse dos veces

en la línea para crear un nuevo punto de resalto en esta posición. La regla y los puntos resaltados pueden ser

movidos libremente en el escritorio.

Los puntos finales de una línea “se adhieren a” los objetos respectivos, no obstante pueden ser libremente movidos

hacia los costados.

Pulsar dos veces en un punto resaltado (excepto los puntos finales) lo elimina.

3.3.1 Zoom a la interfase de configuración

El escritorio tiene una function de zoom. Esto apoyado por una miniatura (ubicada en el costado inferior derecho

de la ventana Ver). El escritorio puede ser reducido a un area de entre 30% y 100%. Si el escritorio completo no

está visible, el rango visible se exhibe en un rectángulo azul en miniatura. La miniatura puede ser usada para

navegación (cuándo partes del escritorio no están visible).

25 Introducción


3.3.2 Capa

El escritorio tiene varias capas definidas como estándar y varios usuarios. La

capa estándar, llamada la capa base, puede ser reetiquetada pero no

eliminada. Es siempre la primera en la lista.

Las capas definidas para el usuario pueden ocultarse. Esto oculta los objetos

en las respectivas capas y todas sus líneas asociadas. El órden de las capas

definidas como usuarios puede ser modificadas en cualquier momento. Las

capas definidas como usuarios pueden ser eliminadas. Sus objetos migran

hacia la capa base.

Los Objetos pueden ser movidos libremente en todas las capas. Las

excepciones son los objetos de INternet. Ellos están siempre en la capa base.

Los Objetos en una capa “inferior” son desplegados al final en el escritorio y

cruzados con objetos de una capa “superior”.

3.3.3 Barra de herramientas

Para crear un objeto en la configuración del escritorio, pulse el objeto deseado en la barra de herramientas, man-

tenga el botón del mouse apretado y arrastre el objeto hacia la configuración de escritorio. Dependiendo del tipo de

objeto, una ventana se abre automáticamente para ingresar la información para el objeto.

Para eliminar un objeto de la configuración de escritorio, pulse el objeto con el botón derecho del mouse y seleccine

el item “Delete” en el menú.

Símbolo Función

Herramienta de selección

Todas las acciones pueden ser desarrolladas en el Escritorio de Configuración con la

herramienta de selección. Se pueden agregar símbolos, mover objetos o seleccionar ciertas

funciones.

Herramienta de Conexión

Se pueden conectar los símbolos entre ellos en la configuración de escritorio usando la

herramienta de conexión. Primero pulse el símbolo de la herramienta de conexión, luego el

primer símbolo y luego en el segundo. Los dos símbolos son connectados entre sí y el editor de

reglas se abre automáticamente para determinar las reglas de conexión.

26 Introducción


Símbolo Función

Internet

Pulsando dos veces en el objeto se puede configurar su conexión de Internet.

Equipos

Arrastre una pieza (computador, servidor, impresora de red, laptop o teléfono IP) hacia el

Escritorio de Configuración e ingrese características adicionales de los objetos en la ventana

diálogo.

Naturalmente, se puede reparar una pieza del equipo eligiendo el típo de objeto usando uno

de los botones en las características de la ventana diálogo de objeto..

Grupo

El objetivo de un grupo de computadoes es una configuración clara y simple. Varios

computadores en un departamento pueden ser configurados al mismo tiempo. Cada

computador recibe todos los derechos que su grupo posee.

Arrastre un grupo al Escritorio de Configuración, ingrese características adicionales para el

grupo en la ventana diálogo y cree nuevos objetos al interior de este grupo.

Arrastre objetos individuales que ya se encuentran en el Escritorio de Configuración hacia el

símbolo del grupo con el mouse para asignar este objeto específico a este grupo.

Un grupo de computadores contiene computadores individuales, los que son manualmente

agregados o directamente aceptados en este grupo desde el Escritorio de Configuración.

Grupo

Para un grupo de red, seleccione una tarjeta de red del Servidor de Firewall y todos los

computadores conectados entonces pertenecerán a este grupo.

El modo Rango-IP permite configurar una dirección de inicio y término. Si el servicio DHCP es

configurado por esta interface, también es posible elegir este rango.

Computador VPN y servidor VPN

Arrastre un computador VPN hacia el escritorio, especifique funciones de instalación para

computadores VPN en la ventana de apertura de diálogo y cree una nueva conexión VPN. Más

información en objetos VPN y su instalación en Cap. 10 Virtual Private Networks (VPN)

Grupo VPN

Arrastre un grupo VPN al escritorio, especifique funciones generales para el grupo VPN en la

ventana de diálogo y agregue el existente usuario VPN a este grupo VPN.

Más información en grupos VPN y su instalación en Cap. 10 Virtual Private Networks (VPN)

Usuario-VPN

El usuario-VPN puede registrarse via L2TP o XAUTH.

27 Introducción


Símbolo Función

Objeto-DMZ

Tras agregar un Objeto-DMZ en la configuración de escritorio, el Asistente-DMZ se inicia

automáticamente y guía hacia todos los pasos necesarios para la configuración.

Usuarios

Arrastre un usuario hacia el escritorio e ingrese característicias de usuario adicionales en la ven-

tana diálogo.

Más información sobre usuarios y su instalación en Cap. 5 Autenticación de usuario.

Grupos usuarios

Arrastre un grupo usuario hacia el escritorio, ingrese mayores funciones para el grupo en la

ventana de diálogo y agregue usuarios existentes a este grupo usuario.

Más información sobre usuarios y sus instalaciones en Cap. 5 Autenticación de usuario.

Objetos de Notas pueden ser simplemente arrastrados hacia el escritorio. El objeto Notas puede

ser usado para apuntes sobre el escritorio y es guardado junto con la configuración como

cualquier otro objeto.

Los objetos de Regiones es un asistente para destacar grupos y áreas en color. Simplemente

arrastre el objeto hacia el escritorio, seleccione el color y grado de transparencia y asignele un

nombre. Ahora se puede correr el objeto hacia cualquier lugar y adaptar su tamańo.

3.3.4 Servicios Activos

En la ventana de Servicios Activos en el costado izquierdo del Escritorio de Configuración se encontrará una lista de

todos los servicios predefinidos o auto-definidos ingresados previamente a la red. Si se pulsan un servicio desde la

lista con el mouse, todos los objetos y líneas de conexión que incluyan este servicio, serán destacadas en color.

Todos los otros objetos y líneas de conexión permanecen en gris.

3.3.5 Mayor información

Si se pulsa un servicio en la lista, un objeto o un usuario en el Escritorio de Configuración, se verá información su-

plementaria en el servicio relevante, objeto o usuario en la siguiente ventana Mayor Información.

3.3.6 Búsqueda

En la ventana Búsqueda en el costado derecho del Escritorio de Configuración se podrán buscar computadores indi-

viduales, usuarios, grupos o conexiones.

Búsqueda de red

Se puede usar la búsqueda de red para buscar en computadores que aún no han sido incluidos como objetos inde-

pendientes o como parte de un grupo de computador. Para la búsqueda de computadores que ya están en el Escri-

torio de Configuración como objeto o parte de un grupo de computadores marque Exhibir Todo.

NOTA

POR FAVOR NOTE QUE UN COMPUTADOR SÓLO PUEDE SER ENCONTRADO SI ESTÁ EN LA RED Y ACCESIBLE.

28 Introducción


Si arrastra un computador con un mouse hacia un grupo existente en el Escritorio de Configuración, este

computador será automáticamente asignado con los derechos de este grupo.

Lista de usuario

La lista de usuario contiene todos los usuarios ingresados (esto concierne a los usuarios ya definidos, no los del

computador). Si se selecciona un usuario con el mouse, se verá en el escritorio el grupo al que este usuario ha sido

asignado.

Búsqueda de escritorio

Se puede hacer una búsqueda de escritorio para buscar entre todos los elementos ya configurados en toda la

Configuración de Escritorio. Los resultados de la búsqueda como se exhibe en una lista expandible clasificada por

grupo o tipo de objeto.

3.3.7 Barra de estado

La barra de estado al final del Cliente de Administración muestra más información:

Configuración actual

Tiempo del Servidor

Usuarios registrados

Dirección IP del servidor de firewall

Número de versión y descripción de versión del Cliente de Administración

Tipo de licencia

3.4 Reportes

El sistema de despliegue del Cliente de Administración y los reportes sobre detección de intrusos producido por el


1. Se puede acceder al reporte pulsando el símbolo reporte en la barra de herramientas o Reportes desde el menu

principal.

2. La ventana Reporte Actual muestra una lista de los últimos 30 reportes de sistema del Servidor de Firewall. Los

botones de Reportes de Actualización cargan la información actual desde el Servidor de Firewall hacia el

mostrario de reporte.

29 Introducción


3. La ventana de Reporte General contiene una lista de todos los reportes del sistema del Servidor de Firewall que

pueden ser filtrado a través de distintos criterios:

Por periodo con fecha y hora para inicio y término

Por el tipo y estatus del reporte

Por test-usuario definido

Número de reportes

4. La ventana del Reporte IDS / IPS nuestra el registro actual de información del Sistema de Detección de Intrusos y

Prevención.

3.5 Acceso denegado

Abra el diálogo desde el menu principal Seguridad, luego seleccione Acceso Denegado.

1. Primero actualice la lista pulsando en el botón Actualización.

La lista muestra todas las conexiones bloqueadas por el Servidor de Firewall. La flecha roja o verde en la columna

Servicio muestra si el orígen de la conexión está en la red interna (fleche verde) o en la red externa (flecha roja)

para cada conexión rechazada.

2. Si la lista se vuelve dificultosa para ser revisada por contener un alto número de conexiones rechazadas, se

puede crear un filtro que solo exhibe algunas conexiones rechazadas. Pulse en el botón Filtro de Despliegue

Filter para hacer esto.

Varias opciones de filtro son ahora desplegadas sobre la lista. Se pueden filtrar las conxiones bloqueadas por puerto

y protocolo, por origen o destino, o por período y límite de número de conexiones desplegadas. Las Entradas dobles

son compaginadas y desplegado el número de conexiones ignoradas.

3.6 Estadísticas

Para desplegar estadísticas se puede usar el área de estadísticas integradas en el Cliente de Administración o el ex-

terno, Cliente de Estadística instalado de manera separada. Ambos programas tienen el mismo rango de funciones.

No obstante, se puede conectar sólo una entidad a la del Cliente de Administración con el Servidor de Firewall, en

tanto que tantas entidades del Cliente de Estadísticas sean necesarias pueden ser conectadas simultáneamente al


30 Introducción


3.6.1 Posibilidades de Filtro

Se pueden filtrar estos resultados en la parte superior de la ventana de estadísticas dependiendo de la información

de estadísticas preparadas:

Escritorio: red completa, usuario o computador

Período: 6, 12 o 24 horas, 7 o 14 días, 1, 3 o 12 meses

Período auto-definido con datos de fecha y hora de inicio y término

Ventana de hora : cualquier hora del día con entradas de inicio y término

Acceso rechazado: ingreso o egreso

El botón de Actualización sube la información actual desde el Servidor de Firewall.

3.6.2 Páginas de Internet - Destacadas

Este diagrama muestra las páginas de Internet visitadas, ordenadas por la cantidad de información descargada. Si se

desea bloquear un URL, pulse el boton derecho en la barra y desde el menu de contexto seleccione la correspon-

diente categoría de lista negra para el URL

Pulse dos veces en la barra para transferir las estadísticas para el dominio relevante hacia la vista de Usuarios Desta-

cados.

(vea 3.6.6. – Listas de Destacados).

3.6.3 URL bloqueados – Destacados

Este diagram muestra los URLs bloqueados seleccionados por número de intentos de acceso. Si desea desbloquear

un URL, pulse el botón derecho sobre la barra correspondiente y seleccione la categoría de lista blanca

correspondeinte para este URL desde el menu. Pulse dos veces en la barra para transferir las estadísticas para el

dominio relevante a la Vista Destacada de Usuario. (vea 3.6.6. – Usuarios destacados).

3.6.4 Destacados - servicios

Este diagrama muestra el uso de servicios o protocolos seleccionados por cantidad de información. Pulsando dos

veces en la barra transferirá las estadísticas para el dominio relevante a la vista de Usuarios Destacados. (ver 3.6.6. –

Empleados Destacados).

3.6.5 Destacados – IDS/IPS

Este diagrma muestra los eventos registrados por el Sistema de detección y prevención de intrusos, seleccionado por

frecuencia. Si se requiere mayor información sobre un evento determinado, pulse en la barra correspondiente. Se

puede acceder a una fuente de información en la Internet desde el menu, que provee información adicional sobre el

evento relevante.

31 Introducción


3.6.6 Usuarios - Destacados

Este diagrama muestra cuáles usuarios han visitado cuáles sitios de la red, seleccionados por cantidad de

información.

3.6.7 Usuarios - Tráfico

Este diagrama muestra la cantidad de información transferida hacia y desde el Internet por los usuarios.

3.6.8 Defensa – Visión general

Este cuadro muestra una cantidad de estadísticas sobre accesos bloqueados, virus encontrado, eventos de Detección

de Intrusos y spam durante varios períodos.

3.6.9 Defensa - defensa

Este diagram muestra, dependiendo del periodo seleccionado, el número de potenciales ataques repelidos. Los ac-

cesos de entrada se muestran en rojo, los de salida en verde.

3.6.10 Tráfico – Toda la información

Este diagram entrega información sobre la cantidad de información (tráfico), que ha pasado por el Servidor de

Firewall en un período definido en todos los protocolos.

3.6.11 Tráfico - Internet

Este diagrama entrega la cantidad de información (tráfico), que ha pasado a través del Servidor de Firewall en un

período definido sólo en los protocolos de Internet.

3.6.12 Tráfico – Correos electrónicos

Muestra el tráfico de todos los correos electrónicos que han pasado por el Firewall en un período definido.

32 Introducción


3.7 Firewall

Se pueden ajustar las funciones y hacer cambios hacia o para el servidor usando este menu. Al menu de funciones

se accede a través de la opción Funciones de Servidor.

3.7.1 Firewall - Seguridad

Usando la barra de Seguridad en las Funciones de Servidor en la ventana de diálogo, se pueden cambiar las

instalaciones para acceder al Servidor de Firewall desde la red externa o el Internet y expecificar cómo el Servidor de

Firewall debe reaccionar a las consultas de ICMP (e.j. para un comando de PING).

NOTA

ESTAS FUNCIONES SOLAMENTE SE REFIEREN A ACCESO EXTERNO AL SERVIDOR DE FIREWALL. ACCESO DESDE LA RED INTERNA SIEMPRE ES POSIBLE.

En el área de Acceso especifique que y cómo se puede acceder al

Firewall desde una red externa.

Seleccione una de las opciones desde Denegado, sólo VPN o Permitido.

Opción Función

Denegado Sólo computadores desde la red interna pueden acceder al Servidor de Firewall

desde el Cliente de Administración, acceso externo está denegado.

Sólo VPN Las mismas funciones como Denegadas, pero el acceso también es posible al Servi-

dor de Firewall desde la red externa por VPN.

Permitido Acceso al servidor está permitido desde la red interna y externa.

ATENCIÓN !

LAS OPCIONES PERMITIDAS SIGNIFICAN UN RIESGO EN LA SEGURIDAD, POR CUANTO PERMITE A LOS ATACANTES TENER ACCESO AL FIREWALL. BAJO ALGUNAS CIRCUNSTANCIAS NO

DEBE SER USADO DE MANERA PERMANENTE.

Por razones de seguridad, el Servidor de Firewall puede ser instalado de esta manera, cosa que el Firewall no

responda a los commandos ICMP (PING).

Seleccione una de las opciones PING (ICMP) desde el área Denegado, o Permitido.

NOTA

EL BLOQUEO DE COMANDOS ICMP PUEDE INCREMENTAR LA SEGURIDAD DEL FIREWALL. PERO, AL MISMO TIEMPO, IMPIDE CUALQUIER BÚSQUEDA DE ERROR EN LA RED. SI SE

PRODUCE CUALQUIER ERROR EN LA RED, SE DEBE INSTALAR ESTA OPCION PARA PERMITIR UN ERROR DE BÚSQUEDA ANTES DE EJECUTAR.

33 Introducción


3.7.2 Firewall - Fecha

El Servidor de Firewall gateprotect trabaja con reglas tiempo-dependientes. Por esta razón se require instalaciones

correctas de fecha y hora. Se pueden configurar las funciones para usar un servidor de tiempo en la barra Fecha.

1. Seleccione una de las zonas de tiempo desde la lista Zonas de Tiempo.

2. Revise el sistema de tiempo del Servidor de Firewall en los campos de Fecha y Hora.

3. Si usa un servidor NTP, marque Activo en la sección de servidor NTP.

4. Se puede usar el tiempo del servidor o ingresar un servidor NTP propio a la lista.

a.) Pulse el botón Agregar para agregar un nuevo tiempo de servidor.

b.) Ingrese el nombre del tiempo de servidor en el campo de entrada.

5. Si desea que el tiempo del sistema del Servidor de Firewall este disponible en la red interna, marque Tiempo

disponible a red interna. El Servidor de Firewall entonces trabaja al mismo tiempo que la hora interna del

servidor.

3.8 Interfaces

El diálogo Interfaces puede ser encontrado en Opciones > Interfaces.

En el costado izquierdo hay un árbol que muestra tarjetas de red, VLANs, VPN-SSL-interfases y bridges. Tras

seleccionar una rama en el sitio izquierdo los detalles aparecerán en el costado derecho.

34 Introducción


3.8.1 Interfases de redes

Aquí se pueden modificar distintas funciones.

El estado de actividad de la interfase de la red puede ser modificado

La forma en que la interfase recibe la dirección de IP

Agregando direcciones virtuales de IP

Definiendo el MTU

Estableciendo el color para la configuración de escritorio

3.8.2 VLAN

VLAN (Virtual Local Area Network) es apoyado como está definido en IEEE 802.1Q. VLAN en una interfase física y es

tratado como una interfase-ethernet virtual con las mismas características como la física a la que se encuentra

adherida. Para usar VLANs en el firewall gateprotect se puede seleccionar la interfase VLAN en cada menu donde se

puede seleccionar una tarjeta de red de interfases o un bridge de interfaces. El nombre de una interface VLAN es

creado desde el nombre de la red de interface física y el VLAN-ID e.j. “eth3.1415”.„eth3“ es el nombre de la

interface física y „1415“ es el VLAN-ID.

VLAN puede ser creada de dos formas.

Se selecciona VLAN en el árbol en el costado izquierdo y aparece un botón Agregar. Al pulsar en este boton un

nuevo VLAN será creado. En el sitio derecho se puede definir la instalación de este VLAN.

Otra forma de hacerlo es arrastrando una tarjeta de Red o bridge de interface en las palabras Interfaces VLAN inter-

faces. En este caso, una nueva VLAN será creada usando esta interface.

35 Introducción


Se puede crear una VLAN en los siguientes casos:

Interfaces VLAN pueden ser creadas en interfaces VLAN.

Se puede crear una VLAN en una interface de red que ya es el puerto de una interface bridge.

Se puede crear una VLAN en una interface bridge que ya usa una interface VLAN como puerto.

Se pueden crear interfaces de VLAN en interfaces VPN-SSL.

Se puede crear un VLAN en una interface que es usado para sincronizar alta disponibilidad.

La configuración de las interfaces de VLAN es más o menos como la configuración de un interface de tarjeta de red.

Además, se debe instalar una ID única. Esta ID debe estar entre 1 y 4094.

NOTA

SE PUEDE USAR LA MISMA VLAN-ID EN INTERFASES FÍSICAS MÚLTIPLES PERO ESTO NO LAS CONECTARÁ AUTOMÁTICAMENTE!

Para conectar las VLAN entre sí se puede usar routing o bridging.

El uso de un bridge para conectar los VLAN integral a las interfaces de VLAN en un bridge como interfaces comunes

de Ethernet.

Para rutear una VLAN con otra se deben crear íconos de escritorio de las VLAN y conectarlas entre ellas.

3.8.3 Bridge (Bridge)

Próximas a las tarjetas de red físicas incluso las VLAN y las VPN-SSL, pueden ser puertos de un bridge.

Existen múltiples formas para crear un bridge.

Marque interface múltiple. En el costado derecho aparece un botón Crear Bridge. Si se han marcado interfaces que

no son posibles de ańadir a un bridge aparecerá un mensaje de advertencia.

Se pueden arrastrar y dejar caer las interfaces en la palabra Bridges en el costado izquierdo para crear un nuevo

bridge.

Se puede seleccionar un bridge en el árbol en el costado izquierdo y presionar el botón Agregar. Vea VLAN (3.8.2)

No se puede crear un bridge (bridge) en los siguientes casos:

Los bridges no pueden ser un Puerto de otro bridge.

No se puede crear un bridge en una interfase que es usada para sincronizar alta disponibilidad

Los bridges no pueden usar interfaces que ya están siendo usadas por otro bridge.

Los bridges no pueden ser creados en interfaces VLAN que son creadas en otro bridge.

Los bridges no pueden usar tarjetas de red de interfaces físicas cuyos interfaces VLAN son usadas en la config-

escritorio del Cliente de Administración.

No se puede usar una tarjeta de red y su VLAN en el mismo bridge.

No se puede crear un bridge en un interface que cuenta con una conexión del cliente de administración.

3.8.4 Interface-VPN-SSL

Para usar la interface VPN-SSL primero se debe crear un túnel VPN-SSL-bridge en funciones VPN > VPN-SSL.

En el diálogo de interfases sólo se puede ańadir este bridge de interfase VPN-SSL existente. Arrastre y deje caer en

un bridge de interfase o cree un nuevo bridge de interfase y use el VPN-SSL (esto aparece si existe uno) como un

puerto de su bridge.

36 Introducción


3.9 Instalaciones de Internet

Aquí se configura la conexión al Internet. Se pueden agregar varias conexiones y limitarlas con tiempo. Se puede

instalar una conexión de discado ISDN, una conexión ADSL o una conexión de router. Se debe seleccionar una

conexión router para todas las conexiones que usan una puerta de entrada. La forma de instalar los diferentes tipos

de conexiones se explica abajo. Se puede alcanzar el diálogo de Internet vía Opciones > Internet.

3.9.1 Instalaciones generales de Internet

La barra General es usada para agregar una nueva conexión a la lista de conexiones de Internet, eliminar las

conexiones que ya no son requeridas o editar las instalaciones de una conexión.

Balance de Carga (Conexión consecutive)

El balance de carga a través de varios objetos de Internet es el routing

avanzado basado en las diferentes conexiones de Internet.

Es posible crear diversos objetos de Internet en el escritorio usando

“arrastrar y soltar”. Para estos objetos de Internet se pueden crear distintas

reglas. El servicio para la regla correspondiente es enrutado en la vía de esta

conexión de Internet.

Es incluso posible arrastrar un objeto con varios objetos de Internet. En este caso, los servicios correspondientes son

distribuidos en ambas conexiones de Internet.

NOTA

SI SE REQUIERE EL USO DE UN PROXY, TODAS LAS CONEXIONES DE INTERNET SE CONECTAN AUTOMÁTICAMENTE AL OBJETO SELECCIONADO.

Paso 1

Para agregar una nueva conexión de Internet, pulse el botón Agregar.

Paso 2

La conexión de asistente de Internet se abre. Siga sus instrucciones hasta que la instalación de la nueva conexión se

haya completado. Ver capítulo 2.3.2 Primera configuraciónen Modo rápido.

Paso 3

Si se ha creado una nueva conexión de Internet, se puede asignar esto a un objeto de Internet usando “arrastrar y

soltar”.

3.9.2 Período de tiempo para conexiones de Internet

Para usar diferentes conexiones de Internet en momentos distintos, se pueden restringir usando tiempos.

Para definir períodos para su conexión de Internet, pulse en la

columna Período de la conexión correspondiente en la conexión

del diálogo Instalaciones de Internet.

37 Introducción


Al mantener presionado el botón izquierdo

del mouse y arrastrarlo simultáneamente

sobre el campo, se pueden destacar gris

(activo) o blanco (inactivo).

Más aún, se pueden instalar campos

individuales como activo o inactivo con el

mouse o la completa conexión usando los

botones Siempre encendido o Siempre

apagado.

NOTA

LA “NUBE DE INTERNET” MUESTRA CON “ENCENDIDO” O “APAGADO” SI SU CONEXIÓN DE INTERNET SE HA ESTABLECIDO, O SI EXISTE Y ESTA FISICAMENTE ACTIVA SU

CONEXIÓN DE ROUTER ENTRE EL FIREWALL Y EL ROUTER. AL PULSAR EN LA NUBE DE INTERNET SE PODRA VER EN LA CONFIGURACIÓN DE ESCRITORIO UBICADA EN EL COSTADO

INFERIOR IZQUIERDO QUE CONEXIÓN DE DIRECCIÓN DE IP TIENE LA CONEXIÓN-

3.9.3 Instalaciones de DNS en las instalaciones de Internet

Si se establece una conexión de Internet directa, el DNS global se determina por el router / vía de salida o como

regla por el proveedor. Si se usa otro servidor DNS, e.j. si opera su propio servidor DNS, se puede ingresar su

dirección en las instalaciones de DNS global del servidor de firewall.

Paso 1

Active el Buscador automático para un servidor DNS para usar el servidor DNS especificado por el router o el

proveedor.

Paso 2

Si usa un servidor tipo DNS, desactive el Buscador automático para un servidor DNS e ingrese la dirección IP de por

lo menos un servidor DNS en el campo correspondiente.

3.9.4 Cuentas DNS Dinámico

Para poder conectarse desde la red externa, e.j. por VPN al servidor de firewall, la dirección de IP del servidor debe

ser reconocida en el Internet. Usando el DNS dinámico, el servidor de firewall recibe una dirección fija, e.j.

suempresa.dyndns.org en el internet, incluso si no cuenta con una dirección de IP fija para una procedimiento de

discado de ISDN o DSL, por ejemplo.

NOTA

SE REQUIERE UNA CUENTA DYNDNS CONFIGURADA. MAYOR INFORMACIÓN EN DNS DINAMICO Y REGISTRO PARA EL PROCESO DE DNS DINÁMICO PUEDE SER ENCONTRADA

EN E.J. HTTP://WWW.DYNDNS.ORG.

Secuencia de operación para cuentas DynDNS múltiples:

Paso 1

Crear una o más cuentas DynDNS con el soporte de un proveedor DynDNS

(e.j. www.dyndns.org).

Paso 2

Instale una o más conexiones en el firewall.

Paso 3

Instale sus cuentas DynDNS en el firewall.

Para instalar el acceso a DNS dinámico, abra el dialogo Internet en el menú principal Opciones.

38 Introducción


Paso 4

Marque Activar cuenta usando esta cuenta.

Paso 5

Ingrese la información proporcionada tras el registro del DynDns

en los campos Tipo de servidor, Nombre del dominio, Nombre de

usuario y Clave.

Paso 6

Si usa subdominios de la cuenta, marque Habilitar wildcards y

seleccione la conexión de Internet deseada.

También se pueden asignar las cuentas de DynDNS en los

diálogos de instalación de las conexiones de Internet.

3.10 Servidor DHCP

El firewall gateprotect ofrece la habilidad de asignar una dirección de IP junto con otros parámetros de configura-

ción (como gateway, servidor DNS, servidor NTP …) usando un servidor DHCP.

Por otro lado, también es posible reenviar un servidor DHCP existente en otras redes para configurar la otra red

(DHCP Relé).

También se puede elegir entre dos modos de operación:

Servidor

Relé

39 Introducción


3.10.1 Servidor DHCP

Se puede seleccionar en qué interfase se puede operar el servidor.

Se puede definir un rango de dirección por interfase.

Direcciones fijas usando la dirección MAC puede ser

especificada por interfase.

Direcciones-Estática IP

El pool de Direcciones-IP asignadas de manera dinámica no debe

contener Dirección-IP estáticas. El pool debe ser adaptado para proveer

suficientes direcciones para asignaciones de direcciones-IP estáticas.

3.10.2 DHCP Relé

Se pueden seleccionar las direcciones de servidor al que los requisitos DHCP son reenviados.

Las interfases desde las cuáles los requerimientos DHCP deben ser reenviados además deben ser seleccionados

(selecciones múltiples son posibles).

3.11 Respaldo automático

Es posible configurar la creación de respaldos automáticos. Si el menu Archivo > Respaldo automático se

encontrará en la siguiente ventana.

Aquí se pueden configurar las instalaciones de servidor de

respaldo que está recibiendo. Se puede elegir si se usará FTP o

SCP para transferir el archivo.

ATENCIÓN SIN DECODIFICAR!!!

En las Instalaciones de Archivo, se puede ingresar el nombre para

el Archivo de Respaldo.

Si se define un número máximo de respaldos, un número se

adjuntará al nombre del archivo. Tras alcanzar el número

seleccionado de respaldos (predeterminado 20), el número se

repetirá y sobreescribirá el último respaldo.

Si se selecciona adjuntar al nombre del archivo, la fecha actual

crea un archivo incluyendo el nombre de un archivo y fecha. La

fecha nunca se repite, por eso los respaldos antiguos no serán

sobreescritos.

Sólo es posible seleccionar uno de los puntos.

En las instalaciones de intervalo de tiempo, es posible agregar un gancho para rear un respaldo cuando se salga del

Cliente de Administración. Este respaldo lleva el nombre del Administrador. También es posible hacer respaldos

programados.

40 Introducción


El botón Instalaciones de Prueba intenta enviar un archivo (llamado "archivo nombre_prueba ") al servidor de

respaldo ingresado. Si las instalaciones son correctas, aparecerá una ventana, con una respuesta positiva y se puede

suprimir el archivo de prueba desde el servidor de respaldo.

3.12 Instalaciones de Routing

Las instalaciones de routing se separan en dos grupos. La administración de rutas estáticas y la administración de

protocolos de routing como OSPF y RIP.

Las rutas estáticas afectan los firewalls y son interesantes para los Administradores de redes más pequeńas.

La administración de protocolos de routing son más adecuados para administrar redes mayores con grandes

estructuras WAN.

41 Introducción


3.12.1 Routes Estáticos

Standard-Routing

Se exhiben todos los cuadros de routing que contienen por lo menos un router. El cuadro con ID 254 es la tabla de

routing principal que contiene el router definido por el usuario. Debido a la importancia este router es mostrado al

inicio de la lista. El cuadro 255 contiene routes locales exclusivos para todas las interfases conocidas. Cuadros con

IDSs 1 a 63 para balancear la carga y para las conexiones de Internet. Los routers agregados al cuadro principal

también son escritos en este cuadro. Los cuadros 64 a 250 son reservados para los routers con direcciones de

fuentes (Política-Routing) y mostrado cuando se agrega un router con fuente dirección-IP.

La columna “dirección de destino” contiene la dirección-IP del destino del routing. “Protocolo” muestra quién

agregó el router. Routers con el Protocolo “kernel” o “boot” son agregadas por el sistema, routers definidos por los

usuarios son nombrados gpuser. La columna “Tipo” contiene el tipo de router, en la mayoría de los casos, esto de

“unidifusión”. “Puertas de ingreso” muestra la dirección-IP de la puerta de ingreso, si se hace roteo a paquetes

cuando el destino no es alcanzable por el vínculo. “Interfases” muestran la interfase del firewall a través de las cuál

salen los paquetes. Si se entra por una puerta de ingreso, debe ser accedida por la interfase a la cual se encuentra

conectado.

Cada cuadro de routing puede contener reglas-routing, que son parte de la política-routing. Las reglas-routing no

pueden ser agregadas de manera explícita, son creadas automáticamente si:

Un nuevo router con fuente IP ha sido agregado

Una nueva conexión-Internet ha sido agregada (Balance de carga)

42 Introducción


En la columna "Match" se escribe el criterio para redireccionar los paquetes-IP hacia otros cuadros.

Si un router es editable o agregable, un icono es la segunda columna que se mostrará.

Fuente (opcional): decide que solo paquetes de una determinada dirección de fuente son ruteados. Métrico: El

métrico muestra el “costo” del router y es interesante en combinación con los protocolos de routing.

NOTA

ESTAS INSTALACIONES NO SE REQUIEREN NORMALMENTE Y DEBEN SER USADAS BAJO ALGUNAS CIRCUNSTANCIAS.

3.12.2 Protocolos-routing

Introducción

Routing para protocolos de IP decide el reenvío de los paquetes IP, basados en sus direcciones de destino, en un

ordenador. Los paquetes routers pueden ser paquetes externos de otro ordenador, o paquetes generados de

manera local desde el mismo ordenador.

La manera más fácil es un cuadro de router de estática existente en el ordenador, el cuál decide sobre la base de la

dirección de destino, las interfases de salida para los paquetes. La configuración de un routing estático es típico para

redes más pequeńas porque en la mayoría de los casos hay sólo un ordenador actuando como router. (Cap. 3.12.1 Routes de Estáticas).

En redes más grandes es más diferente, complejo para administrar las configuraciones de rutas estáticas porque

cada ruta u ordenador debe ser configurado manualmente. Para tales redes con múltiples rutas, los routers han

compilado protocolos diferentes para un routing dinámico. Cada uno de estos protocolos hace posible que los

routers se comuniquen entre sí y publiquen diferencias en la topología de la red. El administrador de la red no tiene

que configurar cada aparato, porque la diferencia en la configuración se informa de manera autónoma.

El routing dinámico hace posible, reaccionar en caso de ciertos eventos con un cambio de configuración. Cuando el

enlace la Red troncal de un router se irrumple, el router puede informar a los otros router para buscar un router

diferente hacia el destino de acuerdo a los protocolos de routing.

"Información-Routing " es un router asignado por protocolos de routing.

43 Introducción


Claves de Autenticación (son para RIP y OSPF)

Aquí se pueden crear claves para la Autenticación-Digestiva-de Mensajes con OSPF y RIP. Las claves pueden ser edi-

tadas con un nombre, por ser encontradas fácilmente en los dialogos.

ATENCIÓN: EL NOMBRE TIENE ESPECIAL RELEVANCIA PARA OSPF, PORQUE EL NOMBRE ES TRANSMITIDO MIENTRAS SE AUTENTIZA Y PUEDE CORRESPONDER A LA CLAVE-ID DE

OTROS ROUTERS OSPF.

Las claves se ingresan en texto y tienen una extensión máxima de 16 caracteres.

Estas claves están disponibles para autenticación con md5

Agregando o editando claves

44 Introducción


Listas de filtros (son para todas las secciones de distribución de routing)

Crear nuevas listas de Filtros

Estas listas de filtros permiten filtrar la información de routing que fueron transferidas via RIP o OSPF. Debido a eso,

sólo información debidamente específicada puede ser reenviada o almacenada localmente.

NOTA

EL FILTRO DE LA INFORMACIÓN DE ROUTING NO ES NORMALMENTE REQUERIDA Y SOLO DEBE SER USADA BAJO CIERTAS CIRCUNSTANCIAS.

Una lista de filtro consiste en una o más reglas. Estas reglas permiten o rechazan el reenvío de la información

especifcada usando diversos criterios. Cada lista de filtro recibe un nombre con el cuál podrá ser referido

posteriormente.

Crear nuevas Reglas y agregarlas a las listas de Filtro existentes

El nombre define la lista de filtro, hacia la cuál la regla debe ser

agregada. Se puede elegir, si la regla debe permitir o denegar el

reenvío de la información de routing coincidente.

Criterio:

Interfase: Es la Interfase donde se envía la información de salida del

routing.

Destino: La dirección de destino de la información de routing.

Ruta de salida: La ruta de salida de la información de routing.

45 Introducción


3.12.2.1

3.12.2.2 Instalaciones RIP

Activo activa o desactiva el soporte RIP.

La Actualización del timer instala el intervalo (en segundos), en el cuál la información de routing debe ser enviada a

otro routers RIP en la red. Por defecto 30 segundos. Si se instala un valor alto, demora más en cambiar la

información de routing. Un valor menor aumenta el tráfico de la red.

La Validación de tiempo de espera instala el intervalo, después del cuál los routes RIP fueron inválidados. Si no se

recibe ningúna Actualización hasta que se alcance el tiempo de espera, el router es suprimido y otros routers RIP

fueron informados respecto de estas circunstancias. El intervalo de Validación de tiempo de espera debe ser más

largo que el intervalo de actualización.

El tiempo de espera para la Limpieza define en qué intervalo es suprimido un router inválido que fue recibido vía

RIP.

Eventos de depuración enciende la depuración de eventos RIP como la recepción de nueva información de routing.

Paquetes de depuración enciende la depuración de paquetes de RIP trasmitidos y recibidos. La información de

depuración puede ser encontrada en el reporte.

ATENCIÓN!

ESTA OPCIÓN SÓLO SE ACTIVA SI SE REQUIRE LA INFORMACIÓN PARA DEPURAR. DESACTIVE SI NO SE REQUIEREN.

Via neighbor, se puede ingresar explícitamente al router RIP, que no era accesible vía la IP de multi transmisión,

pero si tiene uno que no sea soporte para la IP de multi transmisión, se puede ingresar su dirección aquí.

46 Introducción


Creación de una lista de vecino, simple lista de IP

Lista RIP de interfase

El resumen de todas las interfases disponibles y sus actuales instalaciones.

Todas las interfases en el sistema que sean utilizables en RIP están en la lista aquí. No es posible/necesario agregar o

sumprimir interfases. Aquí se puede activar RIP en interfases que están en redes con otros routers RIP.

La columna Activar muestra si la interfase tiene el RIP activado o no. Si un interfase es usado por RIP, las

actualizaciones de RIP fueron transmitidas y recibidas usando esta interfase. Si una interfase está marcada como

Pasiva, solo recibe actualizaciones RIP y no las envía.

Horizonte dividido se necesita para prevenir los bucles de enrutamiento en redes más complejas.

La columna Auth. type muestra si las actualizaciones de RIP fueron transmitidas/recibidas usando autenticación y si

es así, cuál método de autenticación es utilizado.

Auth. key muestra la clave si se usa autenticación con texto plano. La utilización de la utenticación MD5, muestra el

nombre de la entrada en la lista Auth.

47 Introducción


Las interfases disponibles solo pueden ser editadas

Activar activa el interfase para RIP.

Pasivo enciende el modo pasivo (solo cuando se

recibe) y Horizonte dividido activa el lit horizon activa

la función de "Horizonte dividido” para prevenir los

bucles de enrutamiento.

En el el área de Autenticación, se puede seleccionar el

tipo de autenticación. Si se selecciona plaintext, se

debe ingresar una clave, usando el menu MD5, que

ofrece claves MD5 pre definidas (ver Auth keys).

Reenvío de información de ruteo (distribución del roteo)

La información de distribución de ruteo son las mismas en RIP, OSPF y en la distribución de ruta Estática, por lo que

el diálogo sólo se explica una vez.

Los sub items de distribución de routing definen el objetivo del reenvío; la fuente de contexto del item distribución

de ruteo.

Existen varias posibilidades para la distribución de ruteo:

RIP a RIP

RIP a OSPF

RIP a sistema local (estática)

OSPF a OSPF

OSPF a RIP

OSPF a sistema local (estática)

Sistema Local (estática) a RIP y a OSPF

ATENCIÓN!

LA DISTRIBUCIÓN DE RUTEO ES IMPORTANTE SÓLO SI SE DESEA FILTRAR EL REENVÍO DE LA INFORMACIÓN DE RUTEO! PARA HACER ESTO, SE NECESITAN LAS LISTAS DE FILTROS. SI NO

SE ESPECIFICAN LAS LISTAS DE FILTRO, TODA LA INFORMACIÓN DE RUTEO ES REENVIADA, QUE ES HABITUALMENTE EL CASO.

48 Introducción


Toda la distribución de ruteo tienen la misma interfase: para este ejemplo, se muestra RIP.

Los filtros previamente creados pueden ser agregados o suprimidos en esta interfase. Se pueden editar en la barra

Lista de Filtros.

Agregar nuevas listas

Este diálogo muestra todos los ingresos que fueron exhibidos en la lista.

49 Introducción


La interface equivale a agregar un diálogo pero sin casillas ni botones de elección.

Los detalles fueron desplegados solo para la lista seleccionada.

3.12.2.3 Instalaciones OSPF

La opción Activo activa el soporte OSPF.

El Router ID tiene que ser ingresado y debe ser único. No se debe ingresar una dirección de IP existente o válida.

Eventos de depuración se activa, eventos OSPF

(como la caída de un OSPF router) fueron

exhibidos en el reporte sobre depuración.

Si se activa Depuración LSA , detalles de paquetes

LSA (Link State Announcement) también fueron

exhibidos en el reporte sobre depuración.

Si Depuración NSSA es activado, detalles de

eventuales áreas de NSSA existentes fueron

exhibidas en un reporte de depuración.

Si Paquetes de Depuración es activado, detalles de todos los paquetes OSPF fueron exhibidos en el reporte sobre

depuración.

ATENCIÓN!

ACTIVE ESTAS OPCIONES SOLO SI SE REQUIERE DEPURAR Y DESACTIVELOS SI EL PROBLEMA ES SOLUCIONADO.

50 Introducción


Interfases OSPF, similar a interfases RIP

Todas las interfases en su sistema, que pueden ser usadas por OSPF, están listadas aquí. No es posible/necesario

agregar o suprimir interfases.

Pasivo indica si una interfase está en modo pasivo o no. Si está, sólo recibe paquetes OSPF y no los envía

Tipo Aut.muestra el modo de autenticación.

Clave Aut. Muestra la clave de modo de texto plano. Si se usa MD5, muestra el nombre de la entrada en la lista de

claves Aut.

Tipo de red muestra el tipo de interfase. En la mayoría de los casos, debe ser una transmisión.

Sólo es posible editar las interfases disponibles.

51 Introducción


Instalaciones de interfases OSPF

Barra General

Activar activa OSPF en esta interfase.

En el área Autenticación, se puede seleccionar

el tipo de autenticación como con RIP.

La casilla Pasivo se enciende en el modo pasivo

para que la información OSPF sólo sea recibida

y no transmitida.

Se pueden definir los Costos para esta

interfase. Mientras más altos los costos de

ruteo, menor debe ser el uso de esta

interfase. Estas instalaciones son solo

importantes en redes más complejas.

Intervalos muertos define el intervalo para los

tiempos de espera y los timers inactivos y tiene

que tener el mismo valor en todas las rutas

OSPF en la red.

Prioridad define la prioridad del router OSPF. El

router con la prioridad más alta se transforma

en el “router Designado”.

Intervalo Hello define el intervalo en el cual los paquetes de hola fueron enviados a otros routers. Esto informa a los

otros routers sobre la presencia de éste.

Intervalo de retransmisión define el intervalo en que la base de datos de ruteo y los paquetes LSR (Link State

Request) fueron retransmitidos si una transmisión anterior falló.

Retraso de transmisión define el retraso usado para enviar paquetes LSA para que información múltiple pueda ser

enviada en un paquete LSA.

Barra Tipo de Red

52 Introducción


Define el tipo de red de la interfase.

En la mayoría de los casos, es siempre

Transmisión.

Punto-a-punto y Punto-a-punto multiple son

solo usados en la configuración de redes muy

especiales.

Sin-transmisión puede tener sentido si los

paquetes de transmisión/multi transmisión

fueron reenviados en la red conectada.

En este caso, todos los router OSPF tienen

que ser ingresados en la lista Vecino, porque

pueden ser identificados automáticamente.

Areas OSPF

Las Áreas OSPF son unidades locales para agrupar o separar redes.

53 Introducción


Cada área OSPF tiene su propio y único ID que es representado como dirección de ID. Esta dirección de IP no debe

ser existente o válida. Un caso especial es el área con la ID 0.0.0.0, este es el área troncal. Cada área tiene que estar

directamente conectada a un área troncal. Si esto no es posible, una conexión directa al área troncal puede también

ser establecida usando un vínculo virtual.

Estas áreas pueden usar autenticación como interfases OSPF.

ATENCIÓN

LAS INSTALACIONES DE AUTENTICACIÓN DE LAS INTERFACES SON MÁS IMPORTANTE QUE LAS INSTALACIÓN DE LAS ÁREAS.

Tipos de áreas existentes:

Normal

NSSA

Stub

Agregue o edite las áreas

Barra General

ID es la ID del área que que puede ser ingresada como

dirección de IP.

Autenticaciónn es igual a las instalaciones de interfases

OSPF.

En Interfases Conectadas, se pueden ingresar las

interfases que deben pertenecer a esta área.

Se pueden resumir redes en Resúmenes (Superredes).

54 Introducción


Las redes exclusivas no fueron anunciadas hacia afuera, sino en el resumen.

Barra Tipo

Aquí se puede seleccionar el tipo de áreas.

Porque Vínculos virtuales solo son permitidos en áreas

normales, solo pueden ser ingresadas aquí.

NSSA y Areas de Stub pueden definir Costos

predeterminados que fueron asignados al

predeterminado LSA. Con NSSA, también se puede

definir el tipo de Traducción que define la traducción de

Tipo-7 a Tipo-5 LSA. Siempre: siempre será traducida.

Candidato: el router OSPF participa en la elección

automática para el traductor. Nunca: no será traducida.

Vínculo virtual

Dirección es la dirección de IP del router hacia el cual el

vínculo virtual debe ser establecido (este router también

tiene una conexión directa al área troncal). Un vínculo

virtual actúa como una interfase OSPF para ofrecer la

posibilidad de una conexión directa al área troncal.

55 Introducción


4 PROXIES

4.1 Introducción

Un proxy es un programa, que comunica entre un cliente (una aplicación, e.j. a buscador de web) y un servidor (e.j.

un servidor de web). En el caso más simple, un proxy simplemente reenvía la fecha. No obstante, un proxy

habitualmente llena varias funciones al mismo tiempo, por ejemplo caching (almacenamiento intermedio) o control

de acceso.

El firewall gateprotect ofrece diferentes proxies para diferentes servicios:

HTTP Proxy (protege de amenazas cuando se navega por Internet)

HTTPS Proxy (también permite escanear en la búsqueda de virus en páginas web registradas)

FTP Proxy (protege de amenazas cuando se transfiere información vía FTP)

SMTP Proxy (protege de amenazas cuando se envían y reciben correos electrónicos)

POP3 Proxy (protege de amenazas cuando se reciben correos)

VoIP Proxy (protege de amenazas cuando se usa comunicación oral en redes de IP)

NOTA

EN CONTRASTE CON VERSIONES ANTERIORES DEL FIREWALL, LA ACTIVACION DE UN PROXY PARA UNA CONEXIÓN YA NO IMPLICA NAT, SI EL PROXY OPERA EN MODO

TRANSPARENTE. SI DESEA USAR NAT, DEBE SER ACTIVADA DE MANERA SEPARADA.

4.2 Proxy HTTP

El servidor de firewall gateprotect usa el bien probado y extremadamente estable Squid proxy. Actúa como un

interfase para el Filtro de Contenido opcional y la solución de Antivirus. El proxy puede funcionar en modo

transparente o normal y ofrece una función ajustable de caching. El proxy HTTP es requerido para usar las

estadísticas de página web.

ATENCIÓN !

EL PROXY HTTP PROXY SÓLO PUEDE SER USADO COMO FILTRO DE SALIDA Y NUNCA DEBE SER USADO EN UN DMZ.

Se puede acceder a las instalaciones de HTTP proxy a través del Cliente de Administración Opciones > Proxy > HTTP

barra Proxy.

Para usar el HTTP proxy, se debe seleccionar uno de los siguientes modos:

4.2.1 Modo Transparente

En modo transparente, el servidor de firewall opera automáticamente todas las consultas que son hechas usando

puerto 80 (HTTP) a través de proxy. Los usuarios no tienen que hacer ninguna instalación adicional en el buscador

de la web.

4.2.2 Modo normal sin autenticación

En modo normal sin autenticación, el HTTP proxy del servidor de firewall tiene que estar explícitamente direccionado

hacia el puerto 10080. Todos los usuarios deben entrar este puerto especial en sus instalaciones de buscadores de

internet.

ATENCIÓN !

POR FAVOR NOTE QUE SÓLO LOS PAQUETES DE INFORMACIÓN HTTP SON RUTEADOS A TRAVÉS DE PROXY. SI UN PROGRAMA O UN ATACANTE INTENTA OPERAR OTROS

PROTOCOLOS A TRAVÉS DE ESTE PUERTO, ESTOS PAQUETES SERÁN BLOQUEADOS Y RECHAZADOS.

56 Introducción


4.2.3 Modo normal sin autenticación

Este modo require autenticación de usuario adicional. Aquí se puede escoger entre la autenticación de usuario local

de gateprotect local y la autenticación por un servidor de radio externo.

4.2.4 Configuración del caché

Se puede configurar el caché completo de acuerdo con sus necesidades.

Se puede ajustar el tamańo del caché (en MB) y los tamańos mínimos y máximos de los objetos.

4.3 Proxy HTTPS

Si el HTTPS proxy es activado en una línea de conexión, la conexión HTTPS (inscrita) es administrada por el proxy

transparente en el firewall. Esto significa que el usuario no tiene que hacer ningúna instalación proxy en su servidor

web.

El HTTPS proxy opera como "hombre en el medio"; esto significa que hace sus propias conexiones al buscador de

la web y al servidor de la web. Operando de esta manera, puede revisar contenidos, usar bloqueo de la web, filtro

de contenido y escanear en búsqueda de virus. Las instalaciones para esto fueron heredadas del HTTP proxy.

Sólo páginas que han sido firmadas por un CA

enlistado pueden ser visitadas a través de proxy

HTTPS. No obstante, es posible importar su propio

CA. Los certificados de CA más comunes para

revisar el servidor de la red son instalados; otros

pueden ser agregados (y además suprimidos) por

el administrador de firewall. El proxy HTTPS opera

con certificados de servidor de red “falsificados”

emitidos desde un CA propio en el firewall que es

provisto al buscador de la red.

Este CA debiera ser importado hacia el buscador

de la red. Para este objetivo, puede ser exportado

o reemplazado por un CA auto-creado.

Requerimientos del buscador de la red a nuevos

servidores de red serán inicialmente rechazados.

Todas las nuevas solicitudes fueron presentadas en

una lista desde la cual el administrador sólo tiene

que seleccionar la deseada.

Este requerimiento debe ser desbloqueado creando un certificado “falsificado” de servidor de red.

El periodo de validación de estos certificados pueden ser libremente seleccionados (predeterminación de 365 días).

Si el administrador de firewall no desea que sus usuarios se conecten a este servidor de red via HTTPS, el puede

agregar el dominio del servidor de red a una lista negra.

57 Introducción


Flujo de trabajo del Proxy HTTPS:

Paso 1

El buscador llama a una página https://. Una página en blanco sera desplegada, pero un requerimiento es enviado

por escrito al Cliente de Administración.

Paso 2

El Administrador abre el diálogo Proxy en el Cliente de Administración.

a. El autoriza la página. Un certificado de reemplazo es creado.

b. El no autoriza la página. La página permanece bloqueada.

Paso 3

El buscador llama a la página https:// nuevamente.

a. Recibe la página con un certificado “falsificado”.

b. No puede ver la página y nunca se hace un requerimiento al Cliente de Administración nuevamente.

NOTA

SI SE REQUIERE UNA PÁGINA CUYOS CERTIFICADOS NO HAN SIDO FIRMADOS PORT UNO DE LOS CAS SUSCRITOS, EL CA DEL CERTIFICADO TIENE QUE SER IMPORTADO HACIA EL

DIALOGO PROXY HTTPS POR ANTICIPADO. SI EL CERTIFICADO DE LA PÁGINA HTTPS ES AUTO-FIRMADA, ESTE CERTIFICADO DEBE SER IMPORTADO PREVIAMENTE HACIA EL

DIALOGO PROXY HTTPS COMO UN CA.

4.4 Proxy FTP

El programa frox, de fuente abierta, actúa como Proxy FTP en el servidor de firewall gateprotect. Este proxy actúa

como un interfase para la solución de antivirus y como soporte activo para FTP.

ATENCIÓN !

EL PROXY FTP SÓLO DEBE SER USADO COMO FILTRO DE SALIDA Y NUNCA SER USADO EN UN DMZ.

4.5 Proxy SMTP

El pimp de Proxy SMTP Proxy ha sido desarrollado por el AG de gateprotect. Actúa como una interface para la

solución de antivirus y para el filtro de correos no deseados. Es el único proxy que que se configure en el DMZ con

su propio servidor de correo.

4.6 Proxy POP3

El Proxy POP3 pimp también ha sido desarrollado por el AG de gateprotect. También actúa como una interfase para

la solución de antivirus y para el filtro de correos no deseados.

ATENCIÓN !

EL PROXY POP3 DEBE USARSE SÓLO COMO FILTRO DE SALIDA Y NUNCA EN UN DMZ.

58 Introducción


4.7 Proxy VoIP

Con el Proxy VoIP, se puede usar el servidor de firewall

gateprotect como proxy para el procolo SIP. Se encuentran las

instalaciones del Proxy VolP en el Cliente de Administración

vía la barra Opciones > Proxy > VoIP proxy.

4.7.1 Instalaciones Generales

El diálogo proporciona las siguientes opciones:

Opción Descripción

Red Interna Aquí se puede seleccionar la red local, para el uso de llamadas telefónicas, desde la lista

de redes disponibles.

Conexión de Inter-

net

Aquí se selecciona la conexión de Internet que el Servidor de Firewall usa para reenviar la

conexión VolP, desde la lista de redes disponibles.

NOTA

PARA PODER USAR EL PROXY VOLP, SE DEBE INGRESAR LA DIRECCIÓN DE IP DEL SERVIDOR DE FIREWALL GATEPROTECT CON PUERTO 5060 EN SUS APARATOS VOIP. MAYOR

INFORMACIÓN SOBRE DOCUMENTOS DEL EQUIPO VOLP ESTÁ DISPONIBLE.

4.7.2 Proxy SIP

En este diálogo, se puede activar el proxy VolP e instalar las siguientes opciones:

Opción Descripción

Proxy SIP Activo Si acepta esta casilla, el servidor de firewall actúa como Proxy VolP para el protocolo SIP y

puede ser direccionado en el puerto 5060.

Reenvíe

información a un

SIP externo

Si acepta esta casilla las informaciones en el protocolo SIP son reenviadas a un proxy SIP

externo. Ingrese la dirección de IP y el puerto del proxy SIP externo proxy en el campo

correspondiente.

59 Introducción


5 AUTENTICACIÓN DE USUARIO

5.1 Respaldo técnico y preparación

5.1.1 Objetivo de la Autenticación de Usuario

Usando la autenticación, las reglas de Firewall pueden ser instaladas no solo para computadores en red, sino para

usuarios individuales independientes del computador.

5.1.2 Respaldo técnico y preparaciones

La Autenticación de Usuario ofrece la habilidad para establecer reglar para usuarios individuales y de grupos. El

firewall opera un servidor de red que procesa exclusivamente el registro de usuarios que están validados por una

autenticación de dominio. La información de inicio de sesión es comparada en el firewall con una base de datos de

usuario local. En caso de error la autenticación de dominio adicionalmente revisa en búsqueda de un Active

Directory de Microsoft o servidor LDAP abierto usando el protocolo Kerberos. Si la autenticación es exitosa, la

dirección de IP desde donde provino la solicitud es asignada a las reglas de firewall del usuario. Usuarios inscritos en

la base de datos local del firewall pueden cambiar su clave usando el servidor de la red. La clave puede contener

hasta 248 caracteres. Claves más largas son aceptadas, pero serán reducidas automáticamente. Computadores

específicos como servidores de terminal o servidores para objetivos administrativos son excluidos de la autenticación

de servidor. Solicitudes de inicio de sesión desde estos computadores serán bloqueadas por el servidor de red y su

dominio de autenticación. Computadores específicos como un terminal de servidor para objetivos administrativos

pueden ser excluídas de la autenticación de usuario. Solicitudes de inicio de sesión desde estos computadores serán

bloqueadas por el servidor de red y el dominio de autenticación. El Proxy-HTTP puede ser cambiado a modo normal

para obligar a los usuarios en un servidor de terminal que inició la sesión. En este escenario la solicitud de permiso

es negociada por el Proxy-HTTP y el dominio de autenticación.

El Proxy-HTTP-Proxy puede ser enviado a modo onormal para forzar a los usuarios en un servidor termina a iniciar

sesión. En este escenario la solicitud de permiso es negociada por el Proyx-HTTP y el dominio de autenticación.

Inicio de sesión de usuarios locales

El firewall de gateprotect ofrece administración de usuario local para

empresas más pequeńassin administración central.

En la primera barra, Lista de usuario, se puede agregar, suprimir o editar a

usuarios de bases de datos locales. Se requerirá ingresar un nombre de

usuario y una clave.

Al marcar la casilla Cambiar clave en el próximo inicio de sesión el

usuario debe cambiar la clave en el próximo inicio de sesión. El usuario

sera guiado hacia la página de cambio de clave. El dominio de

autenticación solo acepta iniciar sesión después que la clave haya sido

exitosamente cambiada.

60 Introducción


Servidor de autenticación

En la sección inferior de la barra Opción > Autenticación usuario > Instalaciones se pueden ajustar las instalaciones

para el servidor de autenticación. La barra de instalaciones permite configurar un servidor de Active Directory de

Microsft o un servidor Open LDAP.

Para el servidor de Active Directory de Microsoft

ingrese la dirección de servidor, Puerto-LDAP,

nombre de usuario y clave del administrador (es

útil crear aquí un usuario dedicado) y el nombre

del dominio (e.j. empresa.local).

Para configurar una dirección de servidor de

Open LDAP abierto, Puerto y adicionalmente el

Usuario y Base-DN. La cuenta requiere permisos

de lectura.

Instalaciones generales

En las instalaciones generales se puede activar la autenticación de usuario. Aquí se instala el modo inicio de sesión y

la opción inicio de sesión. El modo inicio de sesión se establece según los métodos:

Instalaciones Descripción

Inicio de sesión simple Con inicio de sesión simple cada usuario puede conectarse simultáneamente desde

una dirección de IP.

El inicio de sesión simple

con separación de

sesiones

Separación de sesiones significa que sesiones anteriores anteriores son solo

desconectadas cuando un usuario se conecta desde una dirección de IP diferente.

En cada sesion sin separación de cliente en inicio de sesión simple, cada inicio de

sesión siguiente sera rechazada.

Inicio de sesión múltiple

(con advertencia en el

reporte)

Las advertencias son escritas en este reporte de modo inicio de sesión.

Inicio de sesión múltiple Sin inicio de sesión múltiple un usuario puede estar conectado simultáneamente

desde hasta 254 direcciones de IP diferentes.

Puerto de red de inicio

de sesión

En este punto, el Puerto-HTTPS también puede ser instalado para el inicio de sesión

de red. El puerto estándar 443 es preinstalado por HTTPS.

NOTA

CREEE UN "SUPERUSUARIO" LOCAL. ENTONCES SE PODRÁ ACCEDER A DERECHOS ADMINISTRATIVOS EN EL FIREWALL EN CADA WINDOWS PC. PARA DESBLOQUEARLOS, NO ES

NECESARIO DESCONECTARSE PERO SE ADQUIEREN DERECHOS SOBRE EL CLIENTE. (E.J. RDP).

61 Introducción


Grupos de Active Directory:

Si se usa un servidor de Active Directory Microsoft para autenticación, el firewall mostrará el Grupo-AD. Se pueden

usar de manera equivalente a los usuarios. El Active Directory administra los derechos de los usuarrios,

entendiéndose que los Usuarios-AD deben ser asignados para definir Grupos-AD. Sólo los Grupos-AD son

configurados con el firewall.

Instalaciones avanzadas

En la barra de instalaciones avanzadas los servicios Kerberos pueden ser activados y si se requieren los nombres de

dominio y dominio de firewalls pueden ser ajustados. Si se usa la clave Kerberos ésta puede ser importada aquí.

Finalmente se cuenta con la opción de desplegar una landing page cuando alguien que no cuenta con autorización

intenta acceder al Internet.

5.2 Inicio de sesión

Se puede iniciar sesión por diferentes vías:

Iniciar sesión usando un buscador de red

Iniciar sesión usando la Autenticación de Cliente

Iniciar session usando ingreso único

5.2.1 Inicio de sesión usando un buscador de red

Inicio de sesión usando un buscador es muy fácil.

Al inicio, se debe ingresar una dirección-IP del servidor-firewall en el campo-dirección del buscador, por ejemplo:

https://192.168.12.1 (en este ejemplo, se usa el 443 el puerto predefinido)

Después, es necesario ingresar nombre de usuario y clave. El inicio de sesión está completo después de pulsar

Conectar. De esta manera la posibilidad de conectarse funciona con cada buscador de red y es codificada con SSL.

La ventana que fue usada para conectarse debe permanecer abierta durante toda la sesión; de lo contrario su sesión

será cerrada automáticamente. Esto es necesario para seguridad cosa que el pc en que un usuario olvidó

desconectarse no esté disponible para cualquier usuario.

5.2.2 Iniciar sesión utilizando Cliente de Autenticación de Usuario (Cliente-UA)

Después de instalar el Cliente-UA, la dirección de IP del firewall, el

nombre de usuario y la clave correspodiente deben ser ingresadas.

Si la clave debe ser almacenada para futuros inicios de sesiones, la casilla

Recordar clave debe ser marcada.

62 Introducción


5.2.3 Inicio de sesión usando Single Sign On

Single Sign On (SSO) bajo el Firewall de gateprotect significa la conexión por una sola vez de un usuario de dominio

al Active Directory para la creación simultánea de las reglas del firewall.

Algunas condiciones deben ser cumplidas para implementar un Single Sign On en un ambiente de Active Directory

con el Firewall gateprotect.

Estos incluyen los siguientes pasos:

Creación de un usuario especial en el servidor de dominio (gpLogin)

Creación de una clave especial en el Servidor de Active Directory

Preparación del firewall

Instalación de la autenticación de cliente

Probar la configuración

Creando el usuario especial de "gpLogin"

Es absolutamente necesario crear un usuario especial en el Active Directory. El nombre de “principal” será asignado

a este usuario poteriormente. Este “principal” es entonces la clave actual usada para comunicarse con el firewall. El

usuario no necesita ningún permiso especial por cuanto es sólo usado como “Pivote” para el Principal.

El “principal” es precisamente la clave usada para comunicarse con el firewall. El usuario no necesita ningún

permiso especial por cuanto se usa solo como “pivote” para el Principal. Sólo basta crear el usuario como usuario

normal de dominio en el dominio. La clave debe tener 8 caracteres para seguridad.

Crear un usuario con nombre y apellido.

El nombre de inicio de sesión tiene que ser gpLogin. Es

importante que el nombre de usuario sea digitado con

L mayúscula.

Este usuario es creado como usuario de dominio

normal.

Es importante que la opción Use tipos de codificaciones

DES para esta cuenta sea activada.

Creando la clave principal

Una clave (principal) debe ser creada en el Servidor de

Active Directory e importada hacia el Cliente

gateprotect Client cosa que el computador cliente

pueda conectarse automáticamente al firewall después

de que se haya producido la conexión del usuario al

dominio de Windows.

El firewall necesita un “archivo clave” para esto. Se

necesita el programa Windows “ktpass.exe” para crear

el Principal y este archivo. Este programa está

contenido en el Microsoft Resource Kit.

La sintaxis para crear el archivo clave es:

k t p a s s - o u t k e y . f w - p r i n c g pL o g i n / x - s e r i e s@ t e s t c e n t e r . g a t e p r o t e c t . t e s t - pa s s h e l l o 1 -c r y p t o D E S - C B C - C R C - p t y p e K R B 5 _ N T _ P R IN C I P A L - m a p u s e r d o m a i n \ g pL o g i n

63 Introducción


Explicación de los PARAMETROS

out -> El nombre del archivo principal se establece aquí (Esto sera importado a un firewall después)

princ -> Username/HostnameoftheFirewall@CompleteDomainName

pase -> Clave del usuario

crypto -> Codificación de algorítmo (siempre quí DES-CBC-CRC)

ptype -> El tipo Principal (siempre aquí KRB5_NT_PRINCIPAL)

usuario de mapa -> Usuario al cual el Principal está asociado.

En este ejemplo, los parámetros aparecen así:

Usuario: gpLogin

Nombre de dominio del Firewall: series-x

Nombre Dominio Completo: testcenter.gateprotect.test

Clave del usuario: hello1

Preparación del Firewall

La autenticación de Kerberos puede ser ahora activado bajo Opciones > Autenticación de usuario > Ingreso Single

Sign On y el archivo clave creado previamente puede ser importado.

(Por favor ponga atención a las salidas en el reporte si la importación falla).

Preparación del cliente de Windows

Hay un directorio UAClientSSO en el medio de instalación gateprotect. Este contiene tres archivos. El primero es el

UAClientSSO.exe. Dos parámetros deben ser provistos cuando se inicie el programa. El primero es esl nombre de

dominio del firewall (bajo Instalaciones > Autenticación de usuario > Single Sign On) y la segunda es la dirección de

IP en el firewall.

EJEMPLO C:\PROGRAM FILES\GATEPROTECT\UACLIENTSSO.EXE X-SERIES 192.168.0.1 (PROBABLEMENTE CONSTITUYE EL ATAJO MÁS FÁCIL DE REALIZAR UTILIZANDO ESTOS PARÁMETROS)

El Segundo archivo es UAClientSSOSetup.exe.

Este programa instala el UAClientSSO.exe as c:\Program Files\gateprotect\UAClientSSO.exe.

Ambos parámetros deben también ser proporcionados aquí.

El tercer archivo es UAClientSSO.msi.

Esta es la rutina de instalación como un archivo MSI que puede ser distribuido a los computadores de manera

automática vía distribución de software (normas de grupo).

Ambos parámetros deben ser proporcionados aquí. No es posible pasar parámetros a archivo MSI.

NOTA

COPIE UACLIENTSSO.EXE A RED COMPARTIDA "NETLOGON" DEL SERVIDOR DE AD Y CONFIGURE UN INICIO DE CONEXIÓN DE RED.

EJEMPLO .INICIO ˇERROR! REFERENCIA DE HIPERVÍNCULO NO VÁLIDA.SERVIDOR>\NETLOGON\UACLIENTSSO.EXE <HOSTNAMEFIREWALL> <DIRECCIÓN IP DEL FIREWALL>

Resolviendo problemas

Si ha seguido los pasos, es momento de comprobar las instalaciones.

64 Introducción


Inicio de sesión desde un computador de dominio. Si todo funciona bien, debiera aparecer un ícono en la bandeja

del sistema, que muestra la conexión.

En caso de un error, revise todos los pasos de nuevo.

Pruebe la autenticación sin SSO usando la red de cliente.

Inicio Start UAClientSSO.exe con los parámetros desde lalínea de comando.

Reinicie el cliente Windows.

Revise el reporte de firewall.

Revise la diferencia horaria entre el control de dominio, el firewall y los clientes (el tiempo de Kerberos es muy

crítico; es útil usar ahorradores de tiempo). Si del todo no funciona: Elimine el usuario gpLogin y creelo nuevamente.

Después, cree el archivo clave de nuevo e impórtelo nuevamente.

5.3 Usuarios

Usuarios y Grupos-AD, al igual que los computadores, pueden ser asignados al escritorio como grupos de usuarios

individuales. Entonces se definen las normas para estos objetos, que son asignadas a los usuarios en tanto se

conectan.

Si un usuario se conecta desde un computador, que en sí tiene ciertas normas, el usuario está sujeto a las normas

de ese computador como a sus normas personales.

En los grupos de usuario en el escritorio se pueden elegir usuarios desde la lista de Firewall local o desde el Open

LDAP o del servidor de autenticación Servidor de Active Directory.

Además existe un Grupo especial de Usuarios por Predeterminación.

Ningún usuario puede ser agregado a este grupo. Compromete a todos los usuarios que puedan conectarse,

excepto los que no estén en el escritorio como usuarios individuales o miembros de los grupos usuarios. Si un grupo

pretederminado es instalado en el escritorio y tiene normas asignadas, cualquier usuario que se instale

posteriormente en el Servidor de Active Directory es automáticamente asignado al grupo usuario. Tras conectarse

este nuevo usuario es entonces automáticamente asignado a las normas establecidas. Esto elimina la necesidad de

contar con administración adicional para cada usuario.

5.4 Ejemplos

5.4.1 Dominio Windows

Si cuenta con un dominio Windows, puede conectar la autenticación de usuario al Controlador de Dominio de

Windows.

Ingrese la información de su controlador de dominio en la barra de Instalaciones del casillero de diálogo

Autenticación de Servidor. En la lista de usuario se verán todos los usuarios que están en este dominio. Entonces se

pueden arrastrar los íconos de usuario a la Configuración de Escritorio y asignarles reglas.

El usuario debe ahora llamar la dirección de IP del Firewall con "https" en su buscador y conectar. Si la conexión es

exitosa, las normas del usuario del Firewalls son aplicadas a la dirección de IP proporcionada.

Si el buscador de Window está cerrado la sesion cookie concluye y las reglas expiran.

65 Introducción


5.4.2 Servidor terminal

Si se usa un servidor terminal, esto se debe remover de la autenticación de usuario, por cuanto cuando un usuario

está conectado, todos los usuarios adicionales recibirán los mismos derechos que recibió el primer usuario.

Para remover el servidor terminal de la autenticación de usuario proceda como sigue:

Pulse dos veces en el símbolo servidor terminal en la configuración de escritorio.

Marque la casilla Excluir este objeto desde la autenticación de usuario.

Hay un Proxy HTTP no transparente para un servidor terminal. Ajuste el Proxy HTTP no transparente instalado para

este objetivo bajo Instalaciones > Instalaciones Proxy.

NOTA

PARA EL PROXY HTTP EL BUSCADOR DEBE TENER UNA DIRECCIÓN DE IP FIREWALL EN SU SUBRED Y PUERTO 10080. PARA EVITAR ERRORES DE DESCARGA, ESTA DIRECCIÓN DE

IP DEBE SER INGRESADA EN EL BUSCADOR “ECLUIR ESTA DIRECCIÓN DE IP DEL PROXY”.

Todos los usuarios que ahora se conectan al servidor terminal recibirán primero una notificación cuando abran el

buscador pidiendo el nombre de usuario y la clave. En cuanto hayan autenticado usando una autenticación de

usuario local, el Active Directory o el openLDAPA/Krb5, pueden usar el servidor de terminal navegando en el

Internet.

El usuario conectado puede navegar hasta que la última entidad de buscador esté cerrada. Cuando el buscador sea

reabierto, también deberán volver a conectarse nuevamente..

Usuarios conectados reciben su instalación de URL y Filtro de Contenido propio y son conectados a las estadísticas

individuales bajo sus nombres.

66 Introducción


6 URL FILTRO DE CONTENIDO

6.1 Filtro URL

La función del Filtro URL del Servidor de Firewall gateprotect consiste en revisar la dirección de Internet (URL, Uni-

form Resource Locator que contiene nombres de servidor, pasajes y nombres de archivos) recibidos en la informa-

ción de comunicación HTTP para términos permitidos y/o no permitidos de acuerdo a su clasificación en la lista

blanco y negro.

NOTA

LA INFORMACIÓN DE COMUNICACIÓN HTTP DE UNA CONEXIÓN PUEDE SOLO SER FILTRADA ADEMAS POR LISTAS DE URL SI EL USO DE PROXY HTTP ES ACTIVADO EN EDITOR DE

NORMAS PARA ESTA CONEXIÓN.

Si el URL de un sitio web contiene terminos que no están en una lista negra, el acceso a este sitio sera bloqueado. Si

ciertos terminos son removidos de la lista de bloqueo, éstos pueden ser agregados a una lista blanca.

EJEMPLOS HTTP://WWW.SERVERNAME.COM/SEX/INDEX.HTML EL TÉRMINO "SEXO" ESTÁ EN LA LISTA NEGRA. EL URL ENLISTADO ES POR TANTO BLOQUEADO. HTTP://WWW.SERVERNAME.COM/SUSSEX.HTML EL NOMBRE DEL SITIO WEB DEL CONDADO SUSSEX TAMBIÉN CONTIENE EL TÉRMINO "SEXO" Y PODRÁ POR TANTO TAMBIÉN SER BLOQUEADO. PARA PREVENIR ESTO, EL TERMINO

"SUSSEX" DEBE SER INGRESADO EN UNA LISTA BLANCA.

Durante la instalación de las listas negras de Cliente de administración distintas categorías para el filtro URL son

creadas por gateprotect. Estas catgorías predefinidas y listas pueden ser suplementadas en cualquier momento vía

Cliente de administración y cualquier término existente puede ser removido.

Alternando el Filtro URL Filter encendido y apagado

Activar o desactivar las categorías de Filtro URL usando las Normas de Editor:

Paso 1

Pulsar dos veces en una conexión en el Escritorio de Configuración.

Paso 2

Marcar en la barra URL / Filtro de Contenido en el casillero de diálogo Editor de Reglas.

Paso 3

En esta barra se puede alternar las categorías encendido y

apagado para el Filtro URL individual.

En la columna Filtro URL para cada categoría marque para

agregar la categoría a la lista negra o blanca.

Paso 4

Para editar las categorías individuals y listas URL, presione el

botón URL / Instalaciones de Contenidos de Filtro.

En el diálogo URL / Contenido de Filtro descrito más abajo, se

pueden ajustar las categorías y listas del Filtro URL de manera

individual.

67 Introducción


6.2 Filtro de Contenido

Si los sitios de red no cuentan con términos comprobables en los URLs, un solo Filtro URL, como está descrito en el

capítulo anterior, es insuficiente. Por tanto, como método de filtro adicional, el Servidor de Firewall gateprotect

permite filtrar información de comunicación HTTP usando el contenido de los sitios de red. Para este objetivo, un

Filtro de Contenido es integrado al Servidor de Firewall, que está basado en tecnologías de contenidos de Comm-

touch.

Similares a cada una de las máquinas en el Internet, Commtouch busca sitios web disponibles, los analiza y catego-

riza y agrupa el resultado en una base de datos.

NOTA

TODAS LAS FUNCIONES DEL FILTRO DE CONTENIDO SE DESACTIVARÁN AUTOMÁTICAMENTE UNA VEZ QUE LOS 30 DÍAS DE PRUEBA HAYAN CADUCADO. SI DESEA CONTINUAR

USANDO ESTAS FUNCIONES, SE REQUIERE LICENCIA ADICIONAL PARA EL FILTRO DE CONTENIDO. POR FAVOR CONTACTE NUESTRO DEPARTAMENTO DE VENTAS PARA MAYOR

INFORMACIÓN SOBRE LICENCIA DE TECNOLOGÍA DE FILTRO DE CONTENIDO EN EL SERVIDOR DE FIREWALL GATEPROTECT.

6.2.1 Alternando el Filtro de Contenido encendido y apagado

Activar o desactivar categorías de Filtro de Contenido Content usando Reglas del Editor:

Paso 1

Pulse dos veces en una conexión sobre la Configuración de Escritorio.

Paso 2

Pulse dos veces en la barra URL / Filtro de Contenido Filter en las Reglas del Editor.

Paso 3

En esta barra se pueden ajustar instalaciones generales para el

Filtro de Contenido.

Use la columna de Filtro de Contenido para activar o

desactivar las opciones que corresponden a las categorías

individuales.

Paso 4

Para editar las categorías existentes o las listas URL, pulse el

botón URL / Instalaciones de Contenido de Filtro

(cf. Cap. 6.3 Configure URL y Filtro de Contenido).

6.3 Configure el URL y el Filtro de Contenido

6.3.1 Configuración usando el URL / dialogo Filtro de Contenido

Se puede usar el casillero de diálogo URL / Filtro de Contenido para

editar, eliminar o agregar categorías

agregar o eliminar terminos en las listas blanco y negro

importar y exportar listas blanco y negro

68 Introducción


Se puede acceder a este diálogo desde Editor de Reglas como sigue:

Paso 1

Pulse en la barra URL / Filtro de Contenido en el Editor de Reglas.

Paso 2

Pulse el botón URL / Instalación de Filtros de Contenido para configurar las categorías existentes y listas URL.

El diálogo URL / Filtro de Contenido Filter se exhibe.

Instalación Descripción

Registros anónimos Marque esta casilla para no conectar nombres de usuarios conectados en la

interfase de la red. Esto desactiva las estadísticas para usuarios en administración

de usuarios. No obstante, las estadísticas en niveles de IP continúan.

Categorías Las Categorias entregan detalles de las categorías proporcionadas por gateprotect

y creadas y editadas personalmente. En cada caso, la categoría consiste en una

lista blanco y negro y una selección de grupos de contenido.

Filtro URL La sección de Filtro URL muestra todos los ingresos de las listas blanco y negro de

cada categoría seleccionada.

Negro Se pueden ingresar los términos propios en el casillero de texto Negro y agregué-

los a la lista negra pulsando la tecla +.

Blanco Puede ingresar sus términos propios en el casillero de texto Blanco y agreguélos a

la lista blanca pulsando la tecla +.

69 Introducción


Instalación Descripción

Filtro de Contenido Los grupos de Filtro de Contenido están proporcionados por Commtouch y no

pueden ser modificados.

Búsqueda de URL Si posee un URL específico que fue bloqueado, con este buscador se pueden

rápidamente encontrar los terminos en las listas de URL, que le llevarán a un

bloqueo.

6.3.2 Agregar URLs usando el Cliente de administración o Estadísticas de Cliente

Se pueden crear o editar su propias listas de URL en el dialogo URL / Contenido de Filtro, o directamente desde la

ventana Estadísticas de la Cliente de administración y Estadísticas de Cliente.

Paso 1

Pulse el boton-derecho en el ingreso adecuado para hacer esto.

Paso 2

Elija desde el menu la categoría a la cuál la entrada debe ser asignada.

70 Introducción


7 LAN-ACCOUNTING

7.1 Introducción al LAN-Accounting

LAN-Accounting es la recolección de datos de clients relacionados con el uso del servicio de la red. Generalmente

los datos recolectados contienen la duración y la cantidad de utilización de los servicios de red. Estos datos ayudan a

desarrollar sistemas para contabilizar y restringir los servicios prestados. El LAN-Accounting de gateprotect ofrece la

posibilidad de controlar el tiempo y tráfico dentro de la red de los usuarios. Se permite la configuración de los

perfiles en relación al tiempo y volúmen.

7.2 Configuración del LAN-Accounting

Para acceder al diálogo LAN-Accounting eliga Opciones en el menu principal y haga clic en LAN-Accounting.

7.2.1 Crear un perfil temporal

En el diálogo de configuración del perfil de tiempo, usted puede elegir el tipo de perfil, siendo cíclico o no cíclico. El

perfil cíclico define una cuota de tiempo en un cíclo periódico determinado (por ejemplo 6 horas al día). El perfil no

cíclico establece un marco definido de tiempo para que el usuario tenga acceso a los servicio de red.

7.2.2 Crear un perfil de volúmen

En el diálogo de configuración del perfil de volúmen también puede elegir el tipo de perfil para siendo cíclico o no

cíclico. El perfil cíclo define una cuota de volúmen en un cíclo periódico determinado (por ejemplo por día / semana

/ mes) y en el no cíclico puede establecer un valor fijo. Ambos tipos de perfil ofrecen la posibilidad de diferenciar

entre tráfico de carga y de descarga. Después de la configuración, los perfiles deben ser asignados a los usuarios.

7.3 Activar el LAN-Accounting

Las configuraciones de LAN-Accounting únicamente se activarán si el correspondiente estado de LAN-Accounting

están en activo. Para controlar el uso de los servicios de red con marcos de tiempo específico por día, usted puede

usar el editor de reglas.

71 Introducción


8 TRAFFIC SHAPING & QUALITY OF SERVICES (QOS)

8.1 Introducción

8.1.1 Objetivo

El objetivo de moldear el tráfico es para reservar el ancho de banda en las lines para servicios importantes o

usuarios preferidos, o contrariamente, para limitar el ancho de banda a determinados usuarios, computadores o

servicios. El Servidor de Firewall gateprotect ofrece dos métodos para archivar esto; el Traffic Shaping y Quality of

Services (QoS). Los dos métodos pueden ser usados de manera individual o de manera conjunta.

NOTA

EL TRAFFIC SHAPING ISTÁ SÓLO DISPONIBLE EN LA SERIES-X DEL SERVIDOR DE FIREWALL GATEPROTECT, LAS SERIES A- Y O-SERIES DE LOS SERVIDORES DE FIREWALL

GATEPROTECT SOLO OFRECEN QUALITY OF SERVICE.

8.1.2 Respaldo técnico

Traffic Shaping y Quality of Service son realizados usando diferentes pautas en el Linux Kernel. Así, los paquetes IP

son ordenados de acuerdo a ciertas reglas.

Sin Traffic Shaping y Quality of Service los paquetes son simplemente transferidos en la secuencia de su arrivo y

continúan su proceso en la línea (FIFO, first in first out).

Con Quality of Service, el Firewall gateprotect realiza el llamado Prio-Qdisc en todas las tarjetas de red y en los

túneles VPN para el tráfico de redes que ingresa y egresa. Un prerrequisito de Quality of Service son las aplicaciones

o aparatos, como el sistema de teléfono VolP, posición de campo TOS (Type of Service) en los paquetes de

información de IP.

El Servidor de Firewall entonces selecciona los paquetes de acuerdo al valor del campo TOS y por ende, a través de

especificaciones importantes hacia varios puntos con diferentes prioridades. Paquetes de información del punto con

la prioridad más alta son enviados inmediatamente. Paquetes de información con puntos con menor prioridad son

sólo enviados cuando todos los puntos con mayor prioridad están vacíos. Se puede configurar libremente con

paquetes de información tratados con la determinada prioridad.

El Servidor de Firewall gateprotect solo controla Traffic Shaping en las líneas hacia el Internet. Es un prerrequisito

que los anchos de banda de las líneas en la carga y descarga estén instaladas correctamente. Si la ancho de banda

está instalada muy lenta, Traffic Shaping detiene el uso más que el ancho de banda.

No obstante, si el ancho de banda está muy alto, la línea de capacidad actúa como un factor limitante y pasa por

sobre Traffic Shaping antes que pueda amarrar y regular.

El Traffic Shaping en el Servidor de Firewall gateprotect funciona de acuerdo con el modelo HTB model

(Hierarchical Token Bucket) con hasta dos niveles jerárquicos.

En el nivel superior se pueden especificar de manera separada bandas anchas mínimas o bandas anchas máximas

limitadas garantizadas para cargar y descargar objetos individuales en en escritorio de la Cliente de administración.

Si no se instalan ancho de bandas máximas, que son inferior que la entera capacidad de la línea, ancho de bandas

no utilizadas por otros objetos, incluso sobre la ancho de banda mínima garantizada, que a disposición para otros

objetos que puedan ser usados.

Bajo el nivel del objeto del ancho de banda asignada a un objeto puede ser pasada a diferentes servicios por el

método de nombre, e.j. un mínimo de ancho de banda puede ser garantizada para el servicio individual para el

objeto relevante, o los servicios son limitados por un ancho de banda máxima. Estos valores deben encontrarse

entre los márgenes de trabajo del ancho de banda configurada por el objeto. Todos los anchos de banda para

Traffic Shapping son especificadas en el Servidor de Firewall gateprotect en Kbit por segundo.

Si Traffic Shaping y Quality of Service son usadas al mismo tiempo, éste permanence en las tarjetas de red interna

en la intranet con el Prio-Qdisc. En contraste, el Quality of Service se comporta de acuerdo al modelo HTB en las

72 Introducción


líneas de interfases a las líneas de Internet. El Servidor de Firewall define su propia clase HTB en el nivel superior de

los paquetes de información con campos TOS establecidos de acuerdo a la configuración instalada. Entonces, un

mínimo y máximo de ancho de banda debe ser configurada para esta clase, cosa que el tráfico de red con campos

TOS configurados de manera diferente sea reenviado adecuadamente a su prioridad.

8.2 Instalando Traffic Shaping

Traffic Shaping está solo disponible en las Series-X y solo en el GPA 400. Se pueden configurar Traffic Shaping via

Instalaciones > Traffic Shaping en la barra Reglas.

Para usar Traffic Shaping primero marque el casillero Traffic Shaping activo.

Hay una barra para cada conexión de Internet (e.j. una conxión de router) con las correspondientes instalaciones de

Traffic Shaping para cada conexión. Se deberá detallar primero el rango correcto de carga y descarga para la línea

en Kbit/s. Estos valores se podrán encontrar por ejemplo en la información de su proveedor de servicios Internet.

Existe una línea para cada item en el escritorio y se pueden ingresar instalaciones para garantizar el rango máximo

de tráfico de Internet para este objeto en la carga y descarga. Si se marca la casilla el objeto es incluído en el Traffic

Shaping.

Cada línea puede ser expandida si se pulsa en la flecha anterior a la casilla. Entonces, líneas adicionales aparecen

bajo el objeto de servicios individuales permitidos para el objeto.

La primera línea en la ventana es reservada para el servicio de Firewall. Son manejadas juntas como un objeto sobre

el escritorio. Si se activa Traffic Shaping para el Servicio de Firewall, entonces se pueden especificar rangos para los

servicios individuales en el Firewall, para cada objeto en el escritorio. Puede ser por ejemplo un rango para la red de

tráfico, que es producida en el Firewall por un Proxy.

73 Introducción


8.3 Instalaciones para Quality of Service

Dependiendo de sus Aparatos, encontrará las Instalaciones para Quality of Service via Opciones > Traffic Shaping

bajo la barra QoS tab o via Opciones > Quality of Service.

Usando la tecla Agregar se pueden definir servicios nuevos, para los Quality of Service que deben ser instalados.

Ingrese el nombre y valor exadecimal de los campos TOS en los campos correspondientes, con la aplicación o

aparato para el servicio. Información relativa a esta documentación para su aplicación o dispositivo, o puede

consultar a su fabricante sobre este valor. Como administrador también puede grabar el tráfico de red producido

por la aplicación y remover el paquete de información correspondiente.

Con varios servicios ingresados, la ubicación de servicios en la ventana corresponde a su prioridad. El servicio

superior tiene la prioridad más alta. Cambie la prioridad pulsando un servicio y usando la tecla

Aumente Prioridad o Reduzca Prioridad.

Para usar Quality of Service para el servicio individual, marquee la casilla Activar QoS. Como opción adicional se

puede decidir si Quality of Service también puede ser aplicada al Túnel PPTP. Normalmente, no se requerirá esta

instalación y se puede dejar este campo desactivado.

NOTA

UNA OPCIÓN ACTIVADA QUALITY OF SERVICE EN PPTP-TUNNELS PONE UNA CARGA SUSTANCIAL EN EL SERVIDOR DE FIREWALL. CUANDO SE ESTABLECE Y CIERRA LA CONEXIÓN

PPTP, QUE PUEDE PROVOCAR RETRASOS EN EL ESTABLECIMIENTO DE LA CONEXIÓN DE INTERNET. SI SE DESEA USAR QUALITY OF SERVICE SIMULTANEAMENTE CON TRAFFIC

SHAPING, EL RANGO DE INFORMACIÓN EN LA TECLA REGLAS DEBE SER MAYOR QUE ZERO PARA ASEGURAR LA CALIDAD DE SERVICIO PARA LA CARGA Y DESCARGA.

74 Introducción


9 NIVEL DE APLICACION

La Open Source Project L7-Filter ha sido integrada a un Servidor de Firewall gateprotect como un Filtro de Nivel de

Aplicación. El Filtro Project L7 ha sido diseńado como iptables adicionales e indentifica los protocolos de la siguiente

red de los puestos usados:

HTTP

FTP

POP3

SMTP

DNS

El Filtro de Nivel de Aplicación analiza los protocolos antes mencionados y asegura que comandos externos crucen

el Filtro.

Se puede acceder a las instalaciones del Filtro de Nivel de Aplicación can acceso de Application Level Filter a través

de Reglas del Editor.

Pulse dos veces en una conexción en el Escritorio de Configuración.

Las Reglas de Editor comienzan.

Seleccione un servicio, para el cual desea activar o desactivar el Nivel de Aplicación y pulse en la lista del campo

Opciones Adicionales.

El siguiente diálogo Opciones Adicionales se

exhibe.

75 Introducción


10 CERTIFICADOS

10.1 Introducción

Para asegurar una conexión codificada, el firewall gateprotect usa certificados digitales como los que se encuentran

descritos en el estándar X.509. Esto afecta varias secciones: IPSec y VPN-SSL, la Autenticación de Usuario en el

firewall, el proxy HTTPS asi como las conexiones desde el Command center hacia los firewalls administrados.

Para administrar los certificados con este objetivo, el firewall gateprotect está equipado con una interfase de

administración. El firewall en sí actúa como autoridad de certificación. Para hacer esto, se requiere del denominado

certificado-CA. Para centralizar la administración de los certificados, se sugiere crear un certificado-CA en un

firewall central y usarlo para firmar cada certificado usado para la aplicación. Esto se llama cadena de certificación

single-staged.

Todos los certificados para aplicaciones deben ser firmados por el firewall central. Si se necesita un certificado para

otro cortafuengo (un outpost), se debe crear una solicitud. La solicitud debe estar firmada por el firewall central. La

solicitud aprobada que se creó debe ser importada por el firewall outpost para ser usada.

Si sus outposts pudieran tener la habilidad de crear certificados esencialmente para objetivos locales que sean

reconocidos como válidos para su entera organización, se pueden usar cadenas de certificación multi etapas. Para

alcanzar dicha cadena, se requiere de un certificado Root-CA en el firewall central con el cual se firma el certificado-

CA secundario. Se requiere crear solicitudes para estos certificados-CA secundarios en el firewall outpost. Tras

importar los certificados-CA firmados, los firewalls outpost por si mismos pueden firmar certificados para aplicacio.

Para exhibir estas conexiones de manera clara, el firewall gateprotect los exhibe un un esquema-árbol.

10.2 Certificados

Lista de certificados.

Los certificados en negrita son CA que pueden ser firmados por otros certificados.

No es posible tener más de un CA firmante y un firmante secundario CA además de los CA para el Command

Center y para el proxy HTTPS.

Si se crea un CA, es automáticamente el firmante. Se verá además la solicitud para el firmante. Se verá además la

solicitud creada por el firewall. Serán automáticamente eliminadas si se importa el correspondiente certificado

76 Introducción


firmado. Bajo la lista, se encontrarán botones para crear o eliminar certificados. Más aún, un botón para firmar

solicitudes, para importar/exportar, para suspender/devolver y para renovar certificados.

En la barra General hacia el costado derecho, se observa información general del certificado seleccionado. Esta

información puede ser buscada usando la casilla Buscar que se encuentra más abajo. En la casilla inferior Alcance,

se observa el objetivo para el cuál se puede usar un certificado, y, si aplica, dónde está siendo usado en el

momento. El nombre del certificado es siempre formateado de esta manera: "Nombre Comun [Número de Serie]".

Diálogo de Certificados - Detalles

En esta barra se encontrará más información sobre el certificado seleccionado.

Diálogo para eliminación

Esta lista muestra todos los certificados que son seleccionados o que se encuentran afectados por la acción de

eliminar. Se puede seleccionar una razón. No es posible eliminar un certificado que se encuentre en uso.

77 Introducción


Diálogo de Exportación

Es posible exportar certificados usando el formato PEM o el PKCS12. Si se usa PEM, solo se puede exportar la clave

pública.

El nombre del archivo de exportación debe ser

entregado. Si se usa PKC12, la clave para el

archivo PKCS12 y el archivo codificado con la

clave privada debe ser entregada también. En

ambos formatos toda la cadena de certificación

(clave pública) será exportada.

Diálogo de Importación

Es posible importar certificados en el mismo procedimiento que se puede usar para exportar.

El formato PEM solo importa claves públicas.

No obstante, importa toda la cadena de

certificación para no tener que importar CA y

certificados de manera separada. En el uso de

PKCS12, se necesita la clave para decodificar el

archivo. La clave principal codifica la clave

privada nuevamente en el firewall.

Reanudar diálogo

El certificado seleccionado se renueva. Para esto, el firewall crea

un certificado nuevo usando la misma clave privada e información.

78 Introducción


10.3 Plantillas

El uso de plantillas es una forma de simplicar el proceso de creación de certificados que utilizan la misma informa-

ción una y otra vez. Después que una plantilla haya sido creada, éste se puede usar para completar la información

en cada certificado de manera automática. Se pueden crear tantas plantillas sean requeridas y elegir una adecuada

en cada ocasión.

Las barras Plantillas se encuentran en el diálogo Certificados. Todas las plntillas están listadas aquí.

Agregar/Editar una Plantilla

79 Introducción


10.4 OCSP / CRL

En casos como la renuncia de un colaborador o la pérdida de una clave privada, el certificado correspondiente debe

ser bloqueado para garantizar la seguridad de la compańía. Esto ocurre en el certificado emitido por el firewall. La

eliminación del certificado en el firewall emisor siempre incluye la revocación del certificado. Para lograr que el esta-

tus de un certificado sea accesible para otros firewalls incluya siempre la revocación del certificado. Para que el esta-

tus de un certificado sea accesible a otros firewalls, el firewall gateprotect implementa dos mecanismos distintos.

Usando el Online Certificate Status Protocol (OCSP), el firewall remoto solicita el estatus del certificado desde el

firewall emisor en el momento que el certificado es requerido. Además, el firewall puede exponer listas revocatorias

(CRLs, Certificate Revocation Lists) en intervalos predefinidos, que pueden ser descargados por los firewalls remotos.

Ahora la aplicación solo debe revisar si el CRL actual y adecuado enlistó el certificado como bloqueado. VPN-SSL

solo sirve de soporte para el CRL.

Para usar el CRL y/o OCSP, el servicio en general debe ser activado una vez con las instalaciones necesarias

(particularmente el Puerto para requerimientos en linea). Mientras se crea o renueva un CA, se debe declarar si los

requerimientos CRLs y/o OCSP deben ser creados/firmados y bajo cuál dirección (URL) este servicio debe ser

ofrecido. Estas opciones fueron guardadas en los certificados para que las aplicaciones o firewalls remotos sepan

dónde verificar el estatus de un certificado.

Instalaciones de OCSP/CRL

80 Introducción


10.5 Reportes para certificados

Es posible recibir un correo para ser informado

respecto de cuándo recibir información, sobre

cuándo expirará un certificado o si éste ya ha

expirado.

Esto se puede configurar via Opciones >

Reporte.

81 Introducción


11 VIRTUAL PRIVATE NETWORKS (VPN)

11.1 Introducción

VPN – Virtual Private Network

VPNs son usadas para conectar varias ubicaciones a través de Internet con el nivel más alto de seguridad posible.

Usando conexiones codificadas significa que su equipo o el equipo externo también tiene acceso directo a su red

corporativa. Más aún, se puede conectar con otras sucursales o casa matriz de su empresa.

Con el Firewall gateprotect se pueden usar los tres protocolos más amplios de PPT, IPSec y SSL (OpenVPN) para una

conexión segura. Los siguientes tipos de conexiones se encuentran disponibles.

Conexión Cliente-a-Servidor (PPTP/IPSec/SSL)

Desde afuera se instala una conexión a la red corporativa a través de una conexión cliente-a-servidor.

La autenticación se hace utilizando un nombre de usuario/combinación de clave (PPTP) o con IPSec usando

certificados emitidos o los llamados PSK (preshared key). Adicionalmente, con SSL (Open VPN) con certificados.

ATENCIÓN !

SOFTWARE DE CLIENTE POR SEPARADO (E.J. GATEPROTECT VPN-CLIENT) SE REQUIERE PARA UNA CONEXIÓN IPSEC CLIENTE-A-SERVIDOR.

Conexión Servidor-a-Servidor (IPSec/SSL)

Con una conexión servidor-a-servidor se conectan dos ubicaciones usando un túnel codificado a una red virtual y se

puede intercambiar información por esta vía. Las dos ubicaciones pueden tener direcciónes fijas de IP.

Alternativamente, la conexión además sirve de soporte para los nombres de dominio DynDNS. También es posible

instalar conexiones IPSec entre dos direcciones dinámicas de IP usando DynDNS.

PPTP

El protocolo PPTP fue diseńado para el uso cliente-a-servidor. La seguridad del protocolo depende esencialmente de

la clave seleccionada (una clave es sólo considerada segura si consiste de a lo menos seis, o mejor aún ocho

caracteres e incluye caracteres especiales, números, mayúsculas y minúsculas.

Una conexión de PPTP es muy fácil de instalar, por cuanto el Cliente ya ha sido integrado en versions recientes de

Windows connection (2000/XP/VISTA/7).

IPSec

La cuenta IPSec posee un nivel de seguridad mayor que PPTP y además cumple con requerimientos más altos. Se

necesitan dos VPNIPSec servidores adecuados para una conexión IPSec servidor-a-cliente. Para una conexión cliente-

a-servidor, como se describe arriba, se requerirá un software separado para cliente. La configuración de la conexión

se encuentra descrita en las páginas siguientes.

El firewall gateprotect es capaz de crear y usar conexiones seguras usando el protocol IPSec. Este está basado en en

el modo de tunel ESP.

El intercambio clave puede ser alcanzado usando la version 1 del protocolo IKE o usando el reciente IKEv2,

selectivamente usando Claves Precompartidas o usando X.509 certificados sumisos. Usando IKEv1, es posible

autenticar usando XAUTH. El servidor de firewall es además capaz de alimentar el IPSec-secured L2TP.

SSL (OpenVPN)

Este tipo VPN ofrece una oportunidad rápida y segura para caputrar un Roadwarrior. La mayor ventaja de SSL

(OpenVPN) es el hecho que toda la información de tráfico opera a través de los puertos TCP o UDP y no se requiere

de protocolos especiales como con PPTP o IPSec.

82 Introducción


11.2 Conexiones PPTP

Es posible crear una conexión PPTP-VPN usando el Asistente VPN (VPN Settings > VPN Asistente). Porque esto es

auto-explicativo, este manual solo describe la conexión de manual de creación de un PPTP.

11.2.1 Instalación de conexión manual de PPTP Cliente-a-Servidor

Crear una conexión PPTP

Se requiere un cliente PPTP para poder usar una conexión PPTP (en Windows 2000/XP/VISTA/7 a PPTP el cliente ya

está integrado).

Para instalar una conexión PPTP, seleccione PPTP... desde el menú VPN Settings.

El siguiente diálogo aparece:

Marque la casilla Activo. Normalmente no se requiere ajustar las

direcciones de Cliente IP esto además aplica al Gateway. Si desea una

resolución de nombre de su dominio Active Directory, debe ingresar

aquí el servidor DNS (normalmente su servidor AD). Si está trabajando

con WINS, se puede además ingresar aquí el servidor. Ahora se puede

confirmar este dialgo con OK.

Crear usuarios PPTP

Este Firewall está preparado para aceptar el tunel PPTP y para producir las correspondientes reglas. En el próximo

paso se crearán cuentas de usuario PPTP para ser discadas por PPTP. Abra la administración de usuario.

Pulse en Administración de Usuario en el menu de Instalaciones.

Pulse en Agregar para crear un nuevo usuario.

Ingrese un nombre de usuario y opcionalmente una

descripción.

Asegúrse que no hayan espacios en blanco en el nombre de

usuario.

Seleccion la barra PPTP.

Marque la casilla Habilite al usuario para conexiones PPTP en

la barra PPTP

Asigne al usuario un Dirección IP, o deje el campo en blanco

para que una dirección de IP del pool de direcciones pueda

ser usada.

Ingrese la clave para conectarse a PPTP y pulse OK.

La instalación de la cuenta de usuario ha sido completada.

83 Introducción


Crear un objeto VPN (PPTP)

Arrastre un nuevo computador VPN

Desde la barra de herramientas a la Configuración de

Escritorio.

Ingrese una descriipción del nuevo objeto en el casillero de

diálogo.

Marque el casillero PPTP y seleccione un usuario desde el

casillero.

11.3 Conexiones IPSec

Es posible crear una conexión IPSec-VPn usarndo el VPN Asistente (VPN Settings > VPN Asistente). Porque esto es

auto-explicatorio, este manual solo describe la creación manual de una conexión IPSec.

11.3.1 Instalación manual de una conexión IPSec

Conexiones IPSec / Instalaciones globales

Este diálogo muestra todas las conexiones IPSec, separadas en conexiones de servidor-a-servidor y cliente-a-cliente

con información sobre autenticación y estatus de la conexión.

Opciones posibles

Habilitado

Permite encender y apagar completamente un IPSec.

Reiniciar IPSec

Reiniciar IPSec, lo que lleva al reinicio de todos los túneles.

Lista de botones con las siguientes acciones (de izquierda a derecha):

Activar/Desactivar conexiones individuales.

Reinicie las conexiones individuales (los túneles serán

cerrados; iniciará la configuración si se encuentra

debidamente configurada)

Agregar, remover, editar y exporter desde la conexión IPSec

seleccionada.

84 Introducción


Client-to-site- General

Nombre

Nombre-definido de usuario para la conexión.

Instalaciones de Interfase

Selección de la conexión interfase/Internet

para ser usada por el tunel IPSec.

Red Local

Red Local, que es accesible a través del túnel.

Instalaciones del cliente

L2TP activa el uso de IPSec/L2TP. De esta manera, la red local queda desactivada, porque el túnel IPSec es solo

usado para paquetes de L2TP y la información real es enviada por el túnel hacia el nivel L2TP. Si esto es

seleccionado, una confirmación aparece activando automáticamente el IKEv1, desactiva PFS e instala el Puerto y

restricciones de protocolo a UDP/1701 para mantener la compatibilidad a los clientes de Windows.

Sin L2TP, se puede ingresar una fuente virtual de dirección para el cliente bajo Dirección IP del computador del

cliente, lo que es requerido para el uso de cliente VPN gateprotect VPN.

Servidor-a-Servidor General

Nombre, Instalación de Interfase settings y red

local de acuerdo con las instalaciones de cliente-

a-servidor.

La Dirección de destino del servidor de IPSec

remoto puede ser una dirección de IP o un

FQDN.

Red remota describe cuál red es accesible a

través del túnel.

Si se active el IP dinámico, la conexión debe ser

iniciada por el servidor remoto. Usando esto, la

Dirección de Destino aparece en gruis y no es

posible iniciar la conexión a través de este

servidor.

85 Introducción


Las siguientes opciones son posibles mientras se establece la conexión:

El firewall local no deberia iniciar la conexión – el servidor remoto crea el túnel.

El firewall local debe iniciar la conexión si es requerido – se instalará una trampa en el núcleo. La trampa inicia la

conexión cuando un paquete debe ser enviado / ruteado lo que, de acuerdo a las instalaciones de red, debe ser

enviado a través del túnel.

El firewall local debe siempre iniciar el túnel si no está en funcionamiento.

11.3.2 L2TP / XAUTH

Habitualmente las conexiones cliente-a-servidor requieren software de cliente, porque pocos sistemas tienen

soporte incorporado, el L2TP asegura la interoperabilidad de sistemas miscelaneous (como Windows) sin el software

del cliente. Usando el L2TP, se puede crear una conexión de red. Es importante que solo el PAP puede ser usado

para autenticar en el nivel PPP, que eventualmente debe ser activado en el cliente. PAP es habitualmente

considerado como inseguro porque la clave es enviada en texto plano. En este caso es seguro porque la conexión

PPP se establece después que se ha creado el túnel PSec, que asegura todo el tráfico PPP.

Instalaciones L2TP Global L2TP

Pool de direcciones IP

El pool de dirección IP es un rango desde el cual el

cliente recibe su IP. Esto debe ser instalado para usar

el L2TP.

Local server IP

Dirección que es usada por el firewall como dirección de PPP para comunicarse con los clientes. Esto además debe

ser establecido para usar la dirección de servidor Opcional DNS, que es informada al cliente al iniciar la conexión.

WINS es la dirección de servidor opcional que es informada al cliente durante el inicio de la conexión.

Autenticación – PSK

Vía el Identificador se puede definir cuáles

identificadores fueron usados en vez de la dirección IP.

Aquí aparece la opción para activar XAUTH (solo con

IKEv1):

Con XAUTH, el firewall puede ser el servidor o la parte

del cliente. Si el firewall actúa como servidor, no se

debe instalar nada aquí. Esto aparece en la

administración de usuario. (Ver capítulo 5.3 – Usuarios).

Actuando como cliente, se debe ingresar Nombre de

Usuario y Clave para autenticar en el servidor remoto.

86 Introducción


11.3.2.1 Reglas

Las reglas, que definen qué servicios son accesibles a través de un túnel, son habitualmente establecidas vía objetos

VPN. (grupos VPN para conexiones de serivdor-a-servidor, conexiones VPN computador para cliente-a-servidor). Dos

excepciones son L2TP y túnel XAUTH. Usuarios VPN y grupos VPN fueron creados para manejar estos tipos de obje-

tos.

Utilizando la fecha de usuario adicional (nombre de usuario/clave de XAUTH o conexión PAP de L2TP) se produce la

validación contra la autenticación de usuario. Si este proceso es exitoso, las normas de configuración de escritorio

serán aplicadas a los usuarios específicos.

No cobra relevancia el túnel que esté usando el usuario. La conexión es posible en cada túnel que ha activado el

mecanismo de autenticación adecuado. Se puede rechazar el uso de túneles específicos a usuarios específicos con la

autenticación anterior ISAKMP.

Certificados - Autenticación

El certificado debe ser autenticado contra el

cliente remoto. Para este certificado, la clave

privada debe estar disponible.

Se puede elegir entre una autoridad de certificado

y un certificado individual para el cliente remoto:

Si se elige el CA, se requiere de su clave pública.

Ahora cada certificado (firmado por este CA) es

aceptado para esta conexión. En este caso, no es

necesario importar un certificado para cada cliente

remoto.

Se puede seleccionar un certificado como

certificado. El cliente remoto debe ser propietario

de la clave privada en la iniciación de la

autenticación.

Es posible seleccionar los identificadores.

Las siguientes opciones están disponibles:

Se puede usar el Nombre Distinguido de los certificados, que es la forma inusual de conectarse con las versiones

8.1 y mayores de los firewalls gateprotect .

Nombre Alternativo de Asunto es la manera usual del firewall gateprotect anterior a la version 9.0 usada para

autenticar. Si se desea conectar a una de ellas, se debe usar esta opción.

Identificadores Indefinidos son posible. Se debe destacar que el identificador ingresado aqui debe ser cubierto por el

Nombre Distinguido o un Nombre Alternativo de Asunto de los certificados cosa que un túnel sea posible, puede ser

útil por varias razones editarles manualmente. Además de la posibilidad de ingresar valores, que son esperados por

productor de terceras partes como pares, se pueden usar wildcards. Por ejemplo, se puede elegir una autenticación

CA pero limitar el par por un identificador remoto a todos los miembros de una OU (Organization Unit).

87 Introducción


Codificación

Se puede elegir entre IKEv1 (Internet Key

Exchange) y su sucesor IKEv2. IKEv2 es más

rápido mientras se inicia el túnel y se redigita. Se

mantiene IKEv1por razones de compatibilidad;

XAUTH solo es posible con esta versión.

Se puede especificar codificación y algoritmos de

autenticación como también grupos DH groups

para IKE.

Además, se puede especificar la Vida útil del

ISAKMP-SA. Esto no afecta directamente la

redigitación. Para prevenir todos los túneles de

la redigitación al mismo tiempo (lo que

provocaría una grave recarga de sistema), el

momento actual es escogido al azar.

Si se escoge IKEv2, Mobile IKE puede ser activado. Esto permite cambiar la dirección IP de un costado sin abortar el

túnel.

Se pueden especificar también los algorítmos codificación y autenticación para modo rápido (para negociación

IPSec-SA).

Una Vida útil para IPSec-SA también puede ser especificada. Respecto de ISAKMP-SA, el momento actual de la

redigitación es escogida al azar.

Si se escoge IKEv1, PFS (Perfect Forward Secrecy) puede ser activado. Esta caracteristica refuerza la seguridad pero

tiene que ser desactivada si el cliente remote no lo apoya (like Windows XP). El uso de IKEv2, PFS siempre se activa.

Si se activa el PFS, un grupo Diffie-Helman puede ser definido por PFS via Grupo PFS.

La siguiente lista muestra todas las codificaciones de soporte, algorítmos de autenticación y los grupos DH:

Algorítmos codificados Algorítmos de autenticación Grupos DH

AES 128 SHA 1 Grupo DH 1 (modp 768)



3DES SHA 512 Grupo DH 14 (modp 2048)

Blowfish 128 MD5 Grupo DH 15 (modp 3072)

Blowfish 192 Grupo DH 16 (modp 4096)

Blowfish 256 Grupo DH 17 (modp 6144)

Grupo DH 18 (modp 8192)

88 Introducción


Instalaciones Avanzadas

Para especificar Puerto y Protocolo se debe usar IPSec. Esto es

útil si solo se desean enviar paquetes específicos a través del

túnel. Para usar L2TP, se debe seleccionar UDP y puerto 1701.

Se puede elegir uno de los Protocolos predefinidos o digitar

uno de los numeros de protocolos que son definidos por IANA.

Por lo menos se puede activar Compresión de Datos que usa

IPComp.

11.4 VPN sobre SSL

Es posible crear una conexión VPN sobre SSL usando el VPN Asistente (VPN Settings > VPN Asistente). Porque esto

es auto-explicatorio este manual solo describe la creación manual de un VPN sobre una conexión SSL.

VPN sobre SSL ofrece la posibilidad de crear conexiones cliente-a-servidor, conexiones de servidor-a-servidor y SSL

bridges. Esta conexión siempre es basada en certificación y depende de la administración de un certificado de

trabajo.

Se pueden establecer instalaciones generales para conexiones cliente-a-servidor, servidor-a-servidor con routing y

conexiones de servidor-a-servidor con bridging via la barra Instalaciones.

Respecto de IPSec, el algorítmos codificados puede ser elegido al igual que protocolo y puerto en los cuales el fire-

wall escucha las conexiones entrantes.

89 Introducción


POR FAVOR NOTE QUE SOLO EL PROTOCOLO TCP ES CONFIABLE SI TIENE MÁS DE UNA CONEXIÓN INTERNET CON BALANCEO DE CARGA.

Similar a IPSec, un VPN sobre una conexión de SSL también renueva la clave mientras la conexión es establecida pa-

ra aumentar la seguridad. Estos intervalos son libremente configurables para cada tipo de conexión.

En la sección Routing del diálogo, se pueden especificar rutas para los dos primeros tipos de conexiones que fueron

agregadas a los clientes remotes/cuadro de ruteo de firewalls. Estas rutas aplican a todas las conexiones. También

es posible ingresar por rutas separadas a cada conexión.

La opción Timeout define después el tiempo ideal en que la conexión se cierra. 0 significa que nunca será cerrada.

Si el cliente usa un DNS definido y/o servidor WINS, se pueden ingresar aquí.

El Nivel de registro define cuán detallados deben ser los mensajes en el reporte.

También es posible seleccionar un certificado de dominio para conexiones VPN sobre SSL. A diferencia de IPSec,

esto no es solo para una conexión; es para todo el servicio.

Para crear una conexión para el Cliente VPN gateprotect VPN, se debe elegir el tipo de gateprotect VPN Client en el

dialogo VPN sobre la conexión SSL.

El Nombre de la conexión es arbitraria. El certificado debe ser un certificado para el cliente que se creó con

antelación. Si no se creó uno, se puede hacer ahora usando el botón Administrador de Certificado.

En el campo Redes remotas adicionales, se pueden especificar (adicionales a la ruta general) rutas para esta

conexión como se ha mencionado con anteriordad. La dirección de IP del computador del cliente puede pero no

necesariamente debe ser entregada.

La opción Default gateway define, si el cliente VPN debe usar el túnel como salida predeterminada o no. Si no se

marca esta opción, rutas concretas deben ser enviadas al cliente.

Si la conexión tipo servidor-a-servidor es elegida, se puede especificar Redes locales adicionales que antes fueron

tratadas como Redes locales remotas. Esto significa que el firewall remoto agrega rutas a estas redes.

Redes, que están disponibles vía el firewall remoto, deben ser entradas en Redes Remotas.

90 Introducción


Si la conexión es iniciada por este firewall, se deberá ingresar un nombre DNS o una dirección IP en el campo

Servidor VPN Foráneo como también en el Puerto de Servidor. Intente establecer la conexión para definir la distancia

a través de la cual el firewall debe intentar conectarse con el servidor remoto. El 0 significa que el firewall lo

intentará siempre.

Si se escoge el tipo de conexión Bridging, se puede asignar la conexión a un bridge existente o a uno nuevo.

11.5 VPN sobre SSL sin salida pretederminada

Usando VPN sobre SSL es posible obligar al cliente a usar el túnel VPN como salida predeterminada. Esta opción

potencia la seguridad y debiera ser usada en la mayoría de los casos porque malware en el cliente ya no permite

enviar información a través de la conexión adicional de Internet adicional que se encuentra disponible.

Si no desea usar esta opción (e.j. para soporte de un colaborador) los siguientes pasos son requeridos:

Desactive la opción Default gateway en el Cliente de Administración de gateprotect usando Instalaciones VPN >

VPN SSL y la debida conexión.

Si el Cliente VPN gateprotect ahora se conecta al firewall, rutas adicional no fueron agregadas al cuadro de ruta del

cliente. Esto también significa que el computador del cliente no sabe el camino hacia la red de la empresa. Por tal

motivo, se debe asegurar que se hayan instalado rutas vía Redes remotas adicionales o en el VPN general sobre las

instalaciones de SSL.

91 Introducción


11.6 El Cliente VPN gateprotect

El Cliente VPN gateprotect ofrece un método fácil y seguro para

crear túneles VPN vía VPN sobre SSL o IPSec.

Se ha creado una conexión VPN en el servidor de firewall gatepro-

tect usando el VPN client-to-server asistente (con VPN sobre SSL o

IPSec), se debe ser capaz de guardar un archivo de configuración

VPN en su disco duro o en un aparato removible.

Si se ha instalado el Cliente VPN gateprotect antes, pulsando dos

veces en el archivo de configuración automáticamente se agrega la

conexión al cliente. Tras requerir la clave, el túnel VPN queda es-

tablecido. Cuando se remueve el dispositivo en el archivo de confi-

guración, el cliente queda desconectado automáticamente.

11.6.1 La creación automatica de una conexión de VPN usando un archivo de configuración.

Durante la instalación de una conexión de VPN en el servidor de firewall usando Asistente VPN, se puede guardar la

conexión en una configuración con clave protegida.

Paso 1

Transfiera al cliente el archivo de configuración vía correo electrónico o vía un dispositivo removible.

Paso 2

Abra este archivo pulsando sobre el mismo dos veces.

Esto inicia el gateprotect VPN Client asociado.

Paso 3

Ingrese la clave para el archivo de configuración.

Paso 4

La conexión VPN se establece y la configuración está terminada.

Opcionalmente es posible importar el archivo de configuración hacia el Cliente VPN gateprotect usando el botón

Importar.

11.6.2 Creación manual o edición de una conexión VPN

Para crear una conexión VPN manual en el Cliente VPN manual gateprotect, se necesita el certificado del cliente y la

clave pública de los servidores Certificate Authority (Root-CA). Estos archivos pueden ser creados y exportados

usando el Administrador de Certificados del firewall. Por favor exporte el certificado del cliente usando el formato

PKCS#12.

Para crear una conexión, pulse el botón Nuevo ubicado en la ventana principal del Cliente VPN gateprotect y

seleccione entre conexión SSL y conexión IPSec.

Para editar una conexión existente, pulse en el botón Editar ubicado al costado del nombre de la conexión. El

ingreso de esta clave abre el diálogo de las instalaciones.

POR FAVOR NOTE QUE TODAS LAS MODIFICACIONES FUERON DIRECTAMENTE GUARDADAS EN EL ARCHIVO DE CONFIGURACION (.GPCS).

92 Introducción


11.6.2.1 Instalaciones de un VPN sobre una conexión SSL

Archivo es el .gpcs-file (gateprotect Connection Settings),

donde todas las conexiones de instalación

quedan guardadas.

La dirección / IP de dominio del servidor VPN debe ser

ingresada en el campo dirección IP.

Los algorítmos Puerto, Protocolo y Codificación deben

aparearse con las instalaciones en el servidor

VPN.

Agregue los certificados exportados a la conexión.

Se puede agregar una clave al archivo de conexión o

cambiarla. Si se agrega una nueva conexión, deje

en blanco el campo Clave antigua.

11.6.2.2 Instalaciones de una conexión IPSec

Barra Comun

Archivo es el archivo.gpcs-file (gateprotect Instalaciones de

Conexión), donde quedan guardadas todas las conexiones de

instalación.

El nombre de dominio / dirección IP del servidor IPSec debe ser

ingresado al campo Salida Remota.

Red remota e IP local deben aparearse con la configuración de

ruteo del servidor IPSec.

Las instalaciones pertenecientes a IKE (Internet Key Exchange)

e IPSec también debe aparearse con las instalaciones del

servidor IPSec.

Barra de Identicación

Se puede usar un Preshared Key (PSK) para asegurar la

conexión pero se recomiendo usar certificados por la

existencia de algunas restricciones y mejores métodos de

autenticación.

En la sección Certificados, se pueden agregar a la conexión los

certificados exportados.

Algunos clientes remotes necesitan (mayoritariamente en conjunto con la autenticación de PSK) un Identificador

local.

Barra de Clave

Opcionalmente, se puede agregar una clave al archivo de conexión o editarla.

Si se crea una conexión nueva, deje en blanco el campo Clave antigua.

93 Introducción


12 HIGH AVAILABILITY

12.1 Functionamiento

High Availability (HA) es usado en caso de error del hardware para proveer los servicios del firewall acortando los

tiempos sin la intervención manual.

La técnica consiste de un firewall primario y otro secundario conectado a un encadenamiento de monitoreo mutuo

y sincronizando las configuraciones y estatus. Si el firewall principal no funciona, el firewall secundario toma las

tareas; esto se denomina falla. Si el firewall secundario falla, una advertencia aparecerá impresa en el reporte del

firewall principal.

En el caso de una falla, el firewall secundario se transforma en el nuevo primario. El nuevo firewall primario asume

toda la configuración, incluyendo las direcciones de IP y MAC del fallido firewall.

Tras su reparación, el firewall puede ser reconctado al HA-Cluster. En este procedimiento, mecanismos especiales

aseguran que el nuevo firewall integrado reciba las direcciones secundarias de IP y MAC y solo un firewall es

etiquetado como primario en todas las ocasiones. Esto elmina el riesgo de un conflicto de dirección IP.

Se recomienda el uso de interfaces de red, porque el monitoreo y sincronización causan alto tráfico de información.

Adicionalmente, se recomienda el uso de cables-cruzados porque la fecha no está codificada.

Si se usa solo un vinculo dedicado para el monitoreo y sincronización y este falla por alguna razón, los firewalls no

pueden monitorear al otro. Como resultado, ambos firewalls pensarán que el otro ha fallado. En esta situación

ambos firewalls quedarán en modo primario. Para evitar un escenario así se recomienda usar dos conexiones

dedicados.

12.2 Tiempos de caída durante falla

Los tiempos de caída de las conexiones de información directa dependen del tipo de conexión de Internet y si éstas

pasan o no a través de proxy.

La actual version cuenta con las siguientes especificaciones:

Conexiones de información directa via conexión de ruta son interrumpidas por un máximo de 4 segundos.

Conexiones indirectas (que pasan por un proxy) son completamente desconectadas pero pueden ser reestablecidas

después de un máximo de 4 segundos.

Conexiones de información via conexiones de discado son completamente desconectadas pero pueden ser

reestablecidas después de una máxima cantidad de 10 segundos.

12.3 Configuración

General

Para instalar una de Alta Disponibilidad, se necesitan dos servidores de firewall gateprotect identicos con distintas

direcciones IP. Es importante que tengan el mismo número de redes de interfases.

Ambos firewalls necesitan la miisma licencia.

El firewall primario y secundario necesitan tener el mismo nombre de dominio.

94 Introducción


12.3.1 Direcciones IP de la red de interfases

Como ha sido mencionado con anterioridad, se deben usar a lo menos dos (máximo cuatro) vínculos dedicados para

monitoreo y sincronización. Los firewalls son enviados con idénticas redes de interfaces configuradas y necesitan

ser configuradas.

Direcciones IP en el primario y secundario deben ser diferentes. El firewall primario debe tener la primera dirección

de IP de la red usada (e.j. 192.168.0.1) y la dirección IP secundaria debe ser la segunda de la red usada (e.j.

192.168.0.2).

Direcciones IP de las interfases de red dedicada deben estar en la misma subred.

Direcciones IP de la red de interfases de los firewalls primarios conectada a la red local debe ser identica con la

dirección de salida configurada en todos los dominios.

12.3.2 Conectando los firewalls via vínculos dedicados

Las interfases de red para los mismos vínculos dedicados deben ser nombradas de manera identica. Por ejemplo, si

se desea usar eth3 y eth4 en el firewall primario, se les debe conectar a la misma red de interfases en el firewall

secundario. Se recomienda usar cables cruzados para los vínculos dedicados.

12.3.3 Activar el High Availability

Conecte al firewall primario usando el Administration Client. Abra el menu High Availability vía Opciones > High

Availability. Ahora marque la casilla Activa y seleccionad el rol Primario para el firewall. Seleccione la red de

interfaces para monitoreo y sincronización. Se puede definir si las estadísticas deben ser sincronizadas o no.

Confirme sus actualizaciones con OK. Ahora, conecte el firewall secundario y configúrelo de manera similar que el

firewall primario. Después de unos 60 segundos que ambos firewalls han sido configurados, High Availability se

encuentra en modo operativo.

NOTA

SI LOS FIREWALLS ESTÁN EN MODO OPERATIVO, UN MENSAJE APARECE EN EL REPROTE. SI LOS FIREWALLS ALCANZAN ESTE MODO, SE RECOMIENDA CREAR UN RESPALDO DEL

FIREWALL PRIMARIO. SI UN FIREWALL FALLA, SE NECESITA RESPALDAR PARA QUE EL FIREWALL EN FALLA QUEDE OPERATIVO. POR FAVOR CONSIDERE QUE NO SE PUEDE CONECTAR

AL FIREWALL SECUNDARIO USANDO EL CLIENTE DE ADIMINISTRACIÓN.

95 Introducción


Esta ilustración muestra el diálogo de configuración y High Availability.

96 Introducción


12.4 Editar las instalaciones de High Availability

Mientras los firewalls están en modo operacional, se pueden editar las instalaciones de High Availability. Para eso,

conéctese al firewall primario en Cliente de Administración. Abra el diálogo de High Availability via Opciones >

High Availability. En este diálogo, se puede elegir si la información de estadística debe ser sincronizada o no.

Confirme su instalación pulsando OK.

NOTA

CAMBIOS EN LAS INSTALACIONES PROVOCARAN EL REINICIO DE HIGH AVAILABILITY EN AMBOS FIREWALLS.

12.5 Desactivar High Availability

En el modo operacional ya está predeterminados, conéctese al firewall primario usando el Cliente de

Administración. Abra el diálogo High Availability en el menu Opciones. Ahora desactive el casillero Activo. HA

automáticamente se desactiva del Firewall secundario. Si el modo operacional no está predeterminado, conéctese a

cada uno de los firewalls usando el Cliente de Administración y desactivando High Availability.

12.6 Cambio de roles

La sobre imposición de la tarea de firewall primario se llama cambio de rol. Esto ocurre automáticamente si el

firewall primario falla. También es posible cambiar roles mientras los firewalls están en modo operacional. Para esto

se debe conectar al firewall primario usando el Cliente de Administración y abrir el diálogo High Availability. Ahora

pulse el botón Cambio de Roles.

NOTA

EL CAMBIO DE ROLES NO PUEDE OCURRIR ANTES QUE HIGH AVAILABILITY IS SE ENCUENTRE EN MODO OPERACIONAL. CON FAILOVER EL CAMBIO DE ROLES LLEVA A LA

INTERRUPCION DE LOS SERVICIOS QUE ESTÁN OPERANDO..

12.7 Comisionar un firewall tras falla

Si uno de los dos firewalls falla cosa que el software de firewall no necesita ser instalado tras la reparación, no se

requiere de acciones especiales para reiniciar: El firewall automáticamente determina su rol HA como asimismo su

MAC y direcciones de IP. Si la falla de un firewall y su reparación son combinadas con la reinstalación del software

de firewall, se debe instalar High Avialability en la siguiente forma: Ponga el firewall en una red separada e instale el

software de firewall con el respaldo del firewall primario. Finalmente, pong el firewall devuelta en el grupo de High

Availability y reinícielo. El firewall entonces determina su rol HA como también su MAC y direcciones IP

automáticamente.

NOTA

ANTES DE REINICIAR EL FIREWALL REPARADO EN EL GRUPO ASEGÚRESE QUE LAS REDES DE INTERFASES ESTÉN CONECTADAS AL FIREWALL PRIMARIO DE LA MISMA MANERA QUE SE

ENCONTRABAN ANTES DE OCURRIR LA FALLA.

12.8 Reestablecer respaldo o Actualización de software

Conéctese al firewall primario usando la Cliente de administración. Abra el diálogo High Availability via el menu

Opciones. Ahora desactive High Availability, esto hace que el firewall secundario esté accesible via el Cliente de

Administración.

Reestablezca el respaldo o aplique un software actualizado en ambos firewalls y suelte las preguntas para reinicio.

Ahora reactive High Availability en ambos firewalls. Después de alcanzar el modo operacional, ejecute dos cambios

de roles: Aplique un cambio de rol en el firewall primario, ahora el firewall secundario se transforma en el nuevo

firewall primario. Tras alcanzar el modo operacional de HA, ejecute el segundo cambio de rol en el nuevo firewall

primario. Algunas actualizaciones requieren el reinicio de los firewalls. Si un reinicio es necesario aparece en la

descripción en el menu de actualización.

NOTA

ESTE DOBLE CAMBIO DE ROL ASEGURA QUE EL RESPALDO O SOFTWARE DE ACTUALIZACIONES HAYAN SIDO APLICADOS DE MANERA CORRECTA.

97 Introducción


12.9 Mensajes de Reportes

El flujo de trabajo del High Availability se documenta en un reporte. Normalmente, mensajes consecutivos como los

que se indican aparecen en el reporte tras activar HA:

High availability se ha iniciado, this firewall is primary

High availability started, this firewall is secondary

High availability entered discovery state

High availability entered handshake state

High availability entered heartbeat state

High availability is operational

Los siguientes mensajes pueden aparecer en el reporte tras activar HA si ocurre un error:

High availability started, this firewall is primary

High availability started, this firewall is secondary

High availability entered discovery state

High availability terminates, because roles primary/secondary set incorrectly

High availability terminates, because dedicated links configured incorrectly

High availability terminates, because not all heartbeat connections could be established

Los siguientes mensajes pueden aparecer en modo operacional:

High availability detected dedicated link eth3 has failed

High availability detected dedicated link eth3 is operational again

High availability detected all dedicated links have failed

High availability detected primary firewall failed, making failover

High availability detected secondary firewall failed, restarting with old settings

High availability detected harddisk failure on peer firewall

Los siguientes mensajes aparecer, si un administrador edita las instalaciones en su diálogo High Availability:

High availability is not ready to change settings, try again later

High availability restarts with new settings

High availability temporarily unable to change roles, try again later

High availability reboots this firewall to change roles, as ordered by admin

High availability terminates, as ordered by admin

98 Introducción


13 INTRUSION DETECTION AND PREVENTION SYSTEM (IDS/IPS)

The Intrusion Detection System (IDS) y el Intrusion Prevention System (IPS) son sistemas para reconocer y prevenir

ataques.

Están basados en la Fuente abierta de análisis Intrusion-Detection-System Snort y monitorea la información de

comunicación con Internet en ambas direcciones usando reglas de grupos predefinidas, que pueden reconocer

ataques típicos.

Cada uno de los grupos contiene varias reglas individuales (firmas), que corresponden a patrones de ataques típicos,

e.j. un trojan, worm u otro ataque. Estas firmas son constantemente cambiadas y deben ser actualizadas

manualmente o automáticamente en Intenet.

Para poder realizar el análisis de los patrones de ataque en el período de tiempo más breve y sin demoras, el sistema

requiere varias ejecuciones y existe mucha demanda de recarga en los recursos del sistema. Se pueden guardar los

recursos del sistema a través del número de reglas y el número de sistemas computacionales que deben ser

monitoreados y, si es necesario la cantidad de reportes o notificaciones de IDS/IPS.

13.1 Configuración de Perfiles IDS/IPS

Se puede alcanzar el casillero de diálogo de configuración de IDS/IPS seleccionando IDS/IPS desde el menu de

Seguridad principal.

Para configurar el IDS/IPS el Firewall gateprotect usa perfiles. Cada perfil puede ser ajustado y asignado a una red

de interfase. Las reglas de un perfil pueden ser ajustadas a distintos estados. El IPS ofrece 5 estados diferentes,

DISABLE, LOG, DROP, DROP_LOG y REJECT para configurar reglas individualmente, el IDS tiene dos estados

diferentes, LOG y DISABLE. Los estados definen cómo se define el tráfico que se apareja con las reglas.

La configuración IDS también contiene un deslizante que puede ser usado para disminuir y aumentar fácilmente la

cantidad de reglas.

Port Scanning

Aqui se pueden desactivar el

puerto de de IDS para aumentar

la actividad del firewall.

99 Introducción


13.2 Configuración de Red IDS/IPS Interna/Externa

El IDS/IPS solo produce reportes de alarma si se registran ataques en las direcciones de IP de un grupo determinado

de computadores. Un grupo de computadores puede estar compuesto de computadores individuales o redes

completas que están ubicadas en el área protegida de la red.

Se pueden agregar o eliminar redes de

computadores individuales o locales de

la red interna a un grupo de

computadores, o editar los grupos de

computadores usando este casillero de

diálogo. El botón Agregar abre un

diálogo de entrada.

Se puede usar esto para agregar una

dirección de IP de un computador o

subred con una mascara de subred

asociada a la lista.

13.3 Configuración de Restricciones IDS/IPS

El Intrusion Detection System debe monitorear sistemas de computación especiales o redes, e.j. un servidor de red,

un servidor de correo o un DMZ en particular. Se pueden ingresar los servicios y direcciones IP para este tipo de

sistema computacional o red en la ventana de configuración marcada Restricciones.

Direcciones Seleccionadas

Use los botones Agregar, Eliminar y Editar

para administrar los servicios, los que solo

deben ser monitoreados para algunos

computadores.

Pulsando el boton Agregar se abre el

casillero de diálogo Dirección y se puede

ingresar el servicio, la dirección y la

mascara de subred de una nueva entrada.

Instalaciones extendidas y servicios

Si un servicio no funciona en el puerto

estandar del sistema IDS/IPS se pueden

aplicar las reglas a los puertos

prededeterminados.

100 Introducción


13.4 Activación del Intrusion Detection and Prevention System

Se puede acceder al casillero de diálogo de configuración de IDS/IPS seleccionando IDS/IPS desde el menu principal

Seguridad.

Para activar un perfil seleccionado asígnelo a una interfase.

13.5 Las reglas IDS e IPS pueden ser extendidas con reglas predeterminadas.

Estas característica deben ser usadas solo por los administradores que tienen un conocimiento acabado de Snort

based Intrusion Detection/Prevention Systems. Las reglas Predeterminadas pueden potencialmente bloquear todo el

tráfico y mostrar la infraestructura de la red como inusable.

13.6 Actualización de patrones IDS/IPS

Como los métodos de ataque están contínuamente cambiando, e.j. por la explotación de nuevos espacios de

seguridad, las firmas de Intrusion Detection System and Prevention System debe ser reglarmente actualizadas para

reconocer semejantes ataques. Las instalaciones para estas actualizaciones están disponibles en la configureción de

diálogo IDS/IPS en la ventana Actualizaciones. Al cambiar el paso de actualización a

http://ipsupdate.gateprotect.com/full es posible alternar desde las reglas básicas hacia la totalidad de reglas.

RECOMENDADO SOLO PARA EXPERTOS

101 Introducción


Actualizaciones manuales

Pulse el boton Actualizaciones manuales

para actualizar inmediatamente las

firmas de IDS/IPS. El Servidor de Firewall

se conecta a un servidor de firmas en

Internet y carga desde ahi las firmas

recientes.

Actualizaciones automáticas

Se puede especificar una lista de

actualizaciones regulares en la sección

Actualizaciones Automáticas. Abra el

casillero de diálogo Instalaciones de

Actualizaciones usando el boton

Agregar. Desde ahí se pueden fijar la

hora, fecha e intervalos de

actualizaciones automáticas.

102 Introducción


14 REPORTE

14.1 General

Se pueden enviar correos a si mismos con extractos del archivo usando Instalaciones > Reporting Settings.

Primero ingrese una cuenta de correo válida en un

servidor SMTP, al cual los correos de reporte pueden

ser enviados.

Se puede enviar un correo de prueba con el boton

Carta. Esto prueba si las instalaciones se han hecho

todas de manera correcta. No obstante, con este

objetivo, por lo menos una tarea de reporte debe ser

instalada.

Cree cuántas tareas de reporte sean necesarias

pulsando el boton Agregar.

Carácterística de Reportes

Adicionalmente a las instalaciones generales sobre destinatario y

contenido, es posible seleccionar diferentes intervalos y niveles de

reportes.

Se puede seleccionar el nivel de reporte para todas las secciones

desde el Servidor de Firewall.

Errores y Advertencias & Información es el nivel de reporte más

comprensible.

NOTA

CORREOS PUEDEN AUMENTAR CONSIDERABLEMENTE SU VOLUMEN USANDO ESTA INSTALACIÓN.

14.2 Particiones

Todas las particiones en el Firewall están registradas aquí. El Firewall monitorea el nivel de particiones individuales

de manera independiente. Si una partición excede un nivel crítico, se informará via correo. Si se excede un límite

superior, el Firewall puede dejar disponible espacio del disco a través de la compresión o eliminación de entradas

anteriores por ejemplo.

103 Introducción


Se pueden modificar las instalaciones:

Reportes

Aquí se puede ingresar el nivel en porcentaje,

respecto del cual se desea recibir un reporte. Los

correos de reporte son enviados a cada destinatario

de la información del hardware. Instale los correos de

reporte como se describe en el Capítulo 13.1.

Liberación de almacenamiento

Ingrese el porcentaje, al cual el espacio del disco

debe ser liberado. En este caso, solo información

Antigua e insignificante será borrada. Se recibirá un

correo con información sobre la partición de limpieza

con los correos de reporte desde la categoría

Hardware.

Ningún espacio de almacenamiento puede ser removido para particiones con información de programa. No

obstante, estas particiones tampoco pueden ser escritas del todo.

14.3 Exportación de Syslog

El: Syslog es un protocolo basado en TCP/IP para la transmisión de mensajes. El firewall puede ser expandido a uno o

más servidores de Syslog. Para estos efectos ingrese el servidor Syslog en el Diálogo Syslog bajo Reportando

Instalaciones. Los firewalls de registros serán entonces exportados también a servidores ingresados aquí.

14.4 SNMP

Desde la versión 8.0, SNMP cuenta con su MIBs propio (gateprotect) es capaz de enviar traps de SNMP.

Para usar las nuevas MIBS de gateprotect se debería instalar el software SNMP y luego instalar el nuevo MIBs

ubicado en:

http://www.gateprotect.de/snmp/

Las instalaciones SNMP-settings están ubicadas en

Opciones > Reporte de Instalaciones > SNMP. Aquí

se puede instalar la comunidad y una lista de

dominios que recibirán Los traps de SNMP.

104 Introducción


En la barra SNMP-traps se puede seleccionar cuáles traps serán enviadas.

DATO

ENTRE UN EVENTO Y EL SNMP-TRAP PUEDE HABER HASTA 60 SEGUNDOS.

105 Introducción


15 MONITOREO

15.1 Introducción

El Monitoreo otorga información actualizada del hardware y del sistema.

Se puede usar la lista en el costado izquierdo para decidir cuál grupo de sistema de información será desplegado en

el costado derecho.

Se puede actualizar la información desplegada de una página usado el boton Actualización ubicado arriba y, si es

necesario, seleccionar opciones adicionales para la evaluación:

especifique el periodo de intervalos para estadísticas programadas,

seleccione componentes adicionales si están disponibles,

exhiba o esconda secciones de evaluación de gráficos, etc.

106 Introducción


15.2 Componentes exhibidos en monitoreo

Monitoreo Descripción

Información de

hardware

Provee información de sistema del Servidor de Firewall, los discos duros, el sistema

RAID (si están disponibles) y la red, o tarjetas de red.

Recursos del Sistema Provee información sobre la capacidad temporal de los recursos del sistema usados y

disponibles.

Discos duros Provee información temporal sobre ubicación de discos duros y capacidad.

Red Provee información sobre la capacidad de la red, la capacidad de tráfico alcanzado y

cualquier rango de error.

Proceso Muestra el porcentaje y aplicaciones temporales de los servicios configurados en el

Firewall.

Conexciones Activas Muestra una lista de conexiones VPN activas y usuarios activos.

107 Introducción


16 ANTI-SPAM / FILTRO DE CORREO

16.1 Filtro de correo

El filtro de correo es solo utilizable en conexión con el SMTP proxy. Con el filtro de correo se pueden filtrar correos

por sus direcciones de destinatario. Si se filtran no llegan al servidor de correo real. Se puede configurar el filtro de

correo en Seguridad > AntiSpam / Filtro de Correo.

Instalaciones posibles:

Activa

Activa el filtro de correo.

Modo Lista Blanca

Correos de todas las direcciones en esta lista serán reenviados al servidor de correo.

Modo Lista Negra

Correos de todas las direcciones en esta lista jamás serán reenviados al servidor de correo.

Rechazo de Correos

Correos no deseados serán rechazados con una respuesta RFC-compliant.

Correos Eliminados

Correos no deseados serán eliminados. El remitente asume que el correo llegó al servidor de correo.

ATENCIÓN !

LA INSTALACIÓN„ELIMINAR CORREOS “ NO RFC-COMPLIANT”. PUEDE ELIMINAR CORREOS IMPORTANTES.

Las direcciones de correo en la lista de filtro de correo pueden contener wildcards.

* Para palabras completas

? Para caracteres individuales

Si se está conectado a un Servidor de Active Directory todas las direcciones de correo conocidas serán mostradas en

la lista en el costado derecho.

16.2 Anti-Spam

Un filtro spam comercial está integrado en el firewall gateprotect. Esto puede opcionalmente ser activado con su

licencia propia.

Un periodo de prueba de 30-días está normalmente disponible para cada firewall para que se pruebe la efectividad

del filtro.

El spam filter ha sido desarrollado por la compańía Commtouch y tiene una funcionalidad completamente diferente

a Spamassasin por ejemplo.

Si un correo llega al firewall, se genera un valor de este correo. Este valor es enviado a un servidor central

Commtouch. Este servidor determina la probabilidad que tiene este correo de ser spam usando una base de datos

completa y complejos algorítmos. Diferente a los filtros de spam convencionales, aquí no solo se analiza el

contenido de los correos si no que además, la frecuencia de la ocurrencia de este correo en el Internet.

Para este objetivo, Commtouch cuenta con programas de análisis instalados en varios proveedores de correos en el

mundo.

Esta probabilidad entonces es devuelta al firewall que posiblemente que marca el correo como posible spam.

Usando el deslizador, todos los correos con la categoría del deslizador y todas las categorías hacia su derecha son marcadas como spam.

108 Introducción


Sospechoso

Este correo ha ocurrido ya frecuentemente en Internet

pero no tan frecuente como para clasificarlo claramente

como spam (e.j. el inicio de una campańa spam).

Conocido

Este correo ya fue visto frecuentemente en Internet que

puede ser desginado como spam. No obstante, el

remitente no corresponde a una dirección de spam

conocida.

Confirmado

Este correo proviene de una dirección conocida como

enviador de correos spam.

16.3 Marcar como Spam

Se pueden marcar los correos identificados como spam.

Adjunto

El correo original será adjuntado a un nuevo correo que

describe el spam encontrado. El spam-subjet y el X-

Header también son adjuntados.

Asunto

En este caso solo el subject del correo original será

reemplazado con el subject modificado del asunto

desde el spam-tagging-dialog. También son agregados

los X-Headers.

Encabezado

Un encabezado será agregado para detector Spam-

Mails. Estos son los X-Header:

X-Pimp-Spa

m-Class: Este X-header puede tener el valor

“commtouch”, si el spam es identificado por

Commtouch. O el valor “spam”, si el spam es causado

por una entrada de lista negra.

X-Pimp-Spam-Class-Num:

Este X-header describe la probabilidad del spam.

Los valores pueden ser „NONE, UNKNOWN, SUSPECT,

BULK, CONFIRMED, BLACKLISTED“.

109 Introducción


17 PROTECCIÓN DE VIRUS

17.1 Introducción

El Servidor de Firewall gateprotect protege su red interna de virus de computación usando el escaner de virus inte-

grado Kaspersky. Como uno de los más conocidos proveedores de soluciones de protección de virus, Kaspersky

ofrece la mejor protección posible de virus computacional peligroso con actualizaciones regulares del patrón de vi-

rus y motores de protección.

17.2 Licencia

El Antivirus Scanner del Firewall gateprotect no es un component de la licencia del firewall gateprotect. Se debe

adquirir una licencia válida separada para el escaner de virus. Nuestro departamento de ventas podrá proporcionar

mayor información Si se cuenta con un número de licencia válida para el escáner de virus Kaspersky, se debe

registrar en el Cliente de administración del Firewall gateprotect.

ATENCIÓN!

DESPUÉS DE INSTALAR EL SERVIDOR DE FIREWALL,, EL ESCANER DE VIRUS OPERA DURANTE 45 DIAS COMO VERSIÓN DE PRUEBA. UNA VEZ QUE ESTE TIEMPO EXPIRE, EL ESCANER DE

VIRUS PERMANECE ACTIVO, PERO NO SE EJECUTARÁN ACTUALIZACIONES ADICIONALES.

17.3 Instalaciones

17.3.1 Instalaciones de antivirus: General

1. En la sección Escaner este casillero de diálogo

proporciona un resumen de los protocolos de

Internet que son monitoreados por el escaner de

virus.

2. En la sección Información de Producto se

encontrará información sobre la validez de la

licencia de Antivirus y la fecha de la última

actualización.

3. El boton Ejecute actualización permite actualizar

manualmente las definiciones de virus.

110 Introducción


17.3.2 Escaner

Se pueden ajustar las instalaciones para los protocolos relevantes en los casilleros de diálogo Escaner HTTP, Escaner

FTP, Escaner POP3 y Escaner SMTP. Se pueden alternar las opciones correspondientes on/off marcando o

despejando los casilleros.

Opción Significado

Escanear carpetas de

archivos

Carpetas de arhivos (e.j. zip, tar, arc, rar) son “abiertas” por el Escaner y los

componentes individuales revisados por la existencia de virus.

Escanear carpetas em-

paquetadas

Carpetas empaquetadas son abiertas y sus componentes individuales revisadas por

la existencia de virus.

Escanear carpetas de

auto-desempaque

Carpetas de auto-desempaque son abiertas y sus componentes individuales

revisados por la existencia de virus.

Escanear base de correo Base de datos de correos son revisadas y sus componentes individuales revisados

por la existencia de virus.

Escanear correos de texto Textos simples en correos son revisados por la existencia de virus.

Bloquear carpetas con vi-

rus

Archivos que claramente son identificados como virus son bloqueados.

Bloquear carpetas

sospechosas

Archivos que el escanner de virus no puede encontrar, abrir o analizar son

bloqueados.

Block files with warnings Archivos, en que una nueva variación de un virus puede haber sido encontrado,

son bloqueados.

Activar scan heuristic La información es revisada por códigos con características similares a un virus o

puede causar otros dańos. Este método permite reconocimiento de sub variaciones

de virus que no tienen firma propia bajo determinadas circunstancias.

Instalaciones expandidas Especifique el tamańo máximo de los archivos en las instalaciones expandidas en el

escaner FTP y HTTP que son escaneadas directamente en la memoria principal o

excluídas del proceso de escaneo por su tamańo.

Tamańo máximo de

escaneo (POP3- & SMTP)

Define el límite de tamańo del adjunto que será escaneado

17.3.3 Lista blanca

Se pueden ingresar dominio confiable o servidores en una lista en el casillero de dialogo Lista Blanca. Información

transferida por HTTP o FTP desde estos dominios no es examinada por la existencia de virus.

1. Pulse en el boton Agregar para agregar un dominio a la lista blanca.

El casillero de entrada para un dominio confiable se abrirá.

2. Ingrese la dirección complete del dominio en el campo de ingreso y pulse OK.

111 Introducción


17.3.4 Actualizaciones

Se puede ejecutar una actualización manual en el casillero de diálogo Actualizaciones y editar instalaciones para ac-

tualizaciones automáticas.

Opciones de actualización

La actualización del servidor puede ser administrada agregando un nuevo Servidor, limpiando o editando los ex-

istentes.

Actualización automática

Ingrese la fecha, hora de la primera actualización y los intervalos en los cuales las actualizaciones deben ser realiza-

das en los correspondientes campos y pulse OK.

112 Introducción


18 ACTUALIZACIONES

18.1 Introducción

El sistema de actualización gateprotect ofrece la posibilidad de mantener su firewall siempre actualizado. Hotfixes,

actualizaciones de seguridad y nuevas funciones pueden ser instaladas rápido y de manera directa en el servidor de

firewall. Más aun, el sistema de actualización está equipado con varias funciones para informar al administrador si

nuevas actualizaciones están disponibles. El historial de actualizaciones instaladas también está disponible.

Para prevenir la instalación de actualizaciones denegadas o maliciosas en el firewall, todas las actualizaciones fueron

firmadas digitalmente por gateprotect. Solo actualizaciones con una firma válida fueron listadas e implementadas.

Todas las otras fueron eliminadas por el sistema.

Las actualizaciones pueden ser descargadas automáticamente o manualmente desde el servidor de actualizaciones.

En el caso que el firewall no tenga una conexión de internet, es posible instalar actualizaciones usando aparatos de

almacenamiento local.

Se puede alcanzar el dialogo incluyendo las instalaciones de actualización de sistema via Opciones >

Actualizaciones.

La primera barra en la ventana contiene una lista de actualizaciones conocidas, un campo de texto con información

detallada de la actualización seleccionada, botones para descargar e instalar actualizaciones como también un área

de estatus.

113 Introducción


En la segunda barra, se pueden especificar las instalaciones de las actualizaciones de descarga automatizadas, editar

la lista de servidores de actualizaciones y ver el historial de actualizaciones.

18.2 Actualizaciones

Todas las actualizaciones disponibles están listadas en este diálogo. Esta lista muestra el nombre, el tipo, la fecha de

emisión y el estatus de la actualización. Nuevas actualizaciones fueron incluidas como también otras ya instaladas y

que varía en su estatus. Más aún, actualizaciones instaladas no pueden ser desinstaladas una segunda vez.

El sistema de actualización se diferencia en cuatro tipos de actualizaciones:

Tipo Descripción

Security hotfix Contiene correcciones que afectan la seguridad del firewall

Recommended

hotfix

Contiene correcciones, optimación de actuación y estabilidad

Hotfix Eventualmente contiene nuevas funciones basadas en corrección de modulos de

firewall

Upgrade Contiene un mejoramiento de nivel hacia la siguiente versión de firewall

En el costado derecho de la lista de actualizaciones, se encuentra un campo de texto con información detallada

sobre las actualizaciones seleccionadas.

114 Introducción


Este campo muestra la siguiente información:

Información Descripción

ID Un número único de identificación

Nombre Breve descripción de la actualización

Descripción Contiene una descripción detallada de la actualización

Más aún, de ser aplicable se enlistan las dependencias.

18.3 Descargue actualizaciones automáticamente

El firewall puede buscar nuevas actualizaciones automáticamente. Para activar esta función, abra el diálogo

Actualizaciones, seleccion la barra Instalaciones y marque el casillero Buscar nuevas actualizaciones

automáticamente. Se puede especificar el Intervalo en el cual el servidor de firewall debe buscar las actualizaciones.

Se puede elegir entre horario, diario o semanal. En el campo Hora de inicio, se puede digitar la fecha de la primera

búsqueda. Todas las actualizaciones siguientes ocurren en la hora ingresada.

Si la opción Instale nuevas actualizaciones automáticamente es activada, nuevas actualizaciones se instalaron

automáticamente en el servidor de firewall. La seguridad de esta función está limitada y se recomienda el uso de

hotfixes.

18.4 Actualizaciones de descarga manuales

Para buscar actualizaciones manualmente, abra el diálogo Actualizaciones y seleccione la barra Actualizaciones.

Marque el boton Búsqueda de actualizaciones. Este proceso puede demorar. Se puede observer el progreso de la

búsqueda en el área de estatus. Después que la búsqueda haya terminado, la lista de actualización se actualiza.

18.5 Actualización de instalaciones

Para instalar actualizaciones disponibles, abra la barra de diálogo Actualizaciones y seleccione la barra

Actualizaciones. Seleccione las actualizaciones que desea instalar y pulse el boton Instalar todas las actualizaciones

seleccionadas.

18.6 Instalación de actualizaciones desde el dispositivo de almacenamiento local

Para instalar una actualización desde el dispositivo de almacenamiento local, abra las Actualizaciones y seleccione la

barra Actualizaciones. Pulse el boton Actualizar manualmente que abre el archivo. Seleccione el archivo de

actualización que será cargado y pulse OK. Este archivo es ahora transferido al firewall. El servidor de firewall ahora

revisa la firma del archivo y muestra la actualización en la lista de actualizaciones desde la cual puede ser instalado.

Este proceso puede demorar. Se puede observar el proceso en el área de estatus.

18.7 Interacción de actualización

El sistema de actualización permite que el firewall muestre información o interactúe con el usuario mientras se

instalan ciertas actualizaciones. Esta interacción puede hacer preguntas si/no o un campo de input con una

pregunta. En cuanto el firewall reciba la respuesta, la respuesta será exhibida en un diálogo de mensaje.

Si la interacción de un usuario es requerida, el cliente muestra esto en su área de estatus. Para responder, pulse el

boton con la pregunta Respuesta. El cliente ahora muestra un diálogo con la pregunta correspondiente que debe

ser respondida. Si no se responde la pregunta, el firewall permanece standby y no instala actualizaciones adicion-

ales.

115 Introducción


19 EJEMPLOS

19.1 Introducción

Este capitulo se refiere a varios ejemplos de problemas que ocurren en la práctica. Para simplificar las cosas, la

siguiente configuración es utilizada cada vez como punto de inicio y suplementada dependiendo del ejemplo. Toda

la información usada es ficticia y solo pretende ser un ejemplo.

Una empresa con tres departamentos:

Marketing

Ventas

Tecnología

Cada departamento tiene su propia red y están físicamente separadas una de la otra (redes de separación).

Más aun, la empresa tiene un servidor de correo interno, el cual colecciona correos desde servidores de correo ex-

ternos y los envía a los empleados internamente.

La empresa tiene una ubicación central para almacenamiento de información corporativa en la red: un servidor de

archivos, ubicado en la misma red que el servidor de correo.

Existe una conexión de discado DSL sin limites de tiempos para la conexión de internet.

Las siguientes reglas han sido configuradas usando el Cliente de administración:

Marketing

La red de Marketing (192.168.0.0/24) siempre cuenta con acceso al Internet con los servicios HTTP (páginas de

internet), FTP (descarga archivos), HBCI (banco desde el hogar), SMTP (envía correos) and POP3 (recibe correos) sin

limites de tiempos o bloqueo de red.

Ventas

La red de Ventas (192.168.1.0/24) puede acceder al Internet con los servicios HTTP (páginas de internet) y FTP

(descarga de archivo) durante los días de la semana entre las 8am y las 8pm. Más aun, el acceso HTTP es limitado

por el bloqueo de red y la palabra "Sex".

Tecnología

La red Tecnología (192.168.2.0/24) permite acceder al Internet con los servicios HTTP (páginas internet), FTP

(descarga archivos), POP3 (correo recibido), SMTP (correo enviado), SSH (acceso remoto codificado), PPTP (acceso

remoto codificado) y PING (prueba red) sin tiempos limites o bloqueo de red.

General

Cada red interna puede acceder al servidor interno de correo (via POP3 y SMTP) y el servidor de archivo interno (via

NetBIOS, KERBEROS, LDAP and MySQL). El servidor de archivo interno tiene la dirección IP 192.168.0.100 y el

servidor de correo interno la dirección de IP 192.168.4.6.

116 Introducción


19.2 Instalación de la conexión de Internet con dirección IP fija

19.2.1 Instalación de una linea dedicada con dirección de IP fija usando un router

Paso 1

Se ha recibido la siguiente ifnormación de su proveedor:

216.239.37.96 / 29 or 216.239.37.96 / 255.255.255.248

Esta red está dividida en las siguientes secciones

Dirección de red: 216.239.37.96

Router del proveedor (gateway): 216.239.37.97

Uso propio: 216.239.37.98 – 216.239.37.102 (cinco direcciones)

Direcciones de transmisión: 216.239.37.103

Este es un típico rango de dirección IP 29bit IP, como lo entregan la mayoría de los proveedores de Internet

Alemanes. Existen ocho direcciones de IP pero solo se pueden usar cinco como direcciones de envío.

Dos de las ocho direcciones fueron usadas como lígica de red (dirección de correo y dirección de transmisión) y una

dirección IP es asignada al router del fabricante. Esta es habitualmente la primera IP después de la dirección de red.

Paso 2

Para poder establecer una conexión de red a través del router, el firewall debe obtener una de las direcciones

usables y la mascara de subred debe ser asignada por el proveedor.

Primero, una tarjeta de red (usamos eth0 para este ejemplo) recibe la dirección de red 216.239.37.98 con la

mascara de subred 255.255.255.248 en el menu Opciones -> Interfases

117 Introducción


Paso 3

En el próximo paso, una conexión de router se establece usando la conexión de asistente de Internet via Opciones >

Internet usando el boton Agregar.

Paso 4

Ingrese la dirección IP del router del proveedor como dirección de router (en este ejemplo 216.239.37.97).

NOTA

SI LA CONEXIÓN DE INTERNET NO FUNCIONA EN EL PRIMER INTENTO, POR FAVOR REINICIE EL ROUTER. SI DESEA SABER COMO HACER LAS OTRAS CUATRO DIRECCIONES IP

UTILIZABLES A TRAVES DEL FIREWALL, POR FAVOR LEA LA SECCION18.3.3 DMZ POR FUENTE IP.

19.2.2 Instalando una conexión DSL con dirección IP fija

La instalación de una conexión DSL con una dirección IP estática (habitualmente desginada como SDSL, xDSL o DSL-

Business) es como instalar una conexión DSL normal.

NOTA

POR FAVOR NO INSTALE LA DIRECCION DE IP FIJA A UNA DE LAS TARJETAS DE RED DEL FIREWALL. PORQUE RECIBIRA TODA LA INFORMACIÓN DE CONEXIÓN (INCLUYENDO LA

DIRECCIÓN IP) DE SU PROVEEDOR, NO ES NECESARIO MODIFICAR LES EN EL FIREWALL. ESTO PODRIA CAUSAR PROBLEMAS CON ALGUNOS SERVICIOS.

19.2.3 18.2.3 Instalación de un cable de conexión con dirección IP DHCP

La interfase a la caual el cable modem está conectada debe ser instalada como "Asigne la dirección IP

automáticamente" en las instalaciones de la Interfase. Al configurar la conexión de Internet seleccione "Conexión

Router " y seleccione "Asigne la dirección de router sobre DHCP".

19.3 Demilitarized zone (DMZ)

19.3.1 Puerto simple para reenvío

En la mayoría de los casos, el reenvío de uno o varios puertos se desea para facilitar el acceso al servidor de la red

desde el Internet por ejemplo.

Paso 1

Para este objetivo, un servidor es arrastrado desde la lista de herramientas

hacia el escritorio de configuración y la dirección IP del servidor es

entonces ingresada en el casillero de diálogo que está abierto (en este

caso 192.168.4.5) como también en la interfase de red hacia la cual el

servidor está conectado (here eth4).

Para una mayor visión general de la configuración del escritorio el

símbolo recibe un nombre claro (e.j servidor de red).

Paso 2

Ahora se crea una conexión desde el servidor hacia la nube de Internet

usando la herramienta de conexión.

Esto abre el editor de Reglas. Use el boton Agregar y seleccione el servicio que debe ser reenviado al servidor (en

este caso HTTP).

Paso 3

En la columna Acción la flecha Inspección Stateful se instala

desde el Internet hacia el computador y de vuelta al internet.

Estas instalaciones significan que el servidor interno puede ser

accedido desde el Internet pero no acceder a Internet por si

mismo. Si se desea que el servidor pueda acceder a internet,

por favor instale aquí una flecha doble.

118 Introducción


Paso 4

Pulse en la última columna Opciones adicionales y

marque el casillero Activar DMZ / reenvio de puerto

para este servicio.

NOTA

POR FAVOR DEJE EN BLANCO LOS CAMPOS DE ENTRADAS EN ESTA SECCION. LAS

FUNCIONES DE ESTOS CAMPOS SE EXPLICA EN LOS PRÓXIMOS DOS CAPITULOS.

Paso 5

Una vez que el editor de Reglas es confirmado con OK

y la configuración ha sido activada usando F9, toda la

información que va hacia su dirección IP externa en el

puerto 80 es reenviada al servidor de red interna.

NOTA

EL REENVÍO DE PURTO SÓLO PUEDE SER PROBADO DESDE UN ACCESO EXTERNO. NO SE

PUEDE ACCEDER A LA DIRECCIÓN IP EXTERNA DESDE LA RED LOCAL.

19.3.2 Reenvío de puerto con rerouting de puerto

El rerouting de un puerto puede ser útil si se desea acceder el mismo servicio (e.j. HTTP) usando una dirección IP.

Además existen ventajas de seguridad si puertos estándares son usados para ciertos servicios (e.j. Telnet, SSH). Se

puede re-enrutar un puerto para realizar esto. Este ejemplo se refiere a las instalaciones y reglas hechas en la

sección anterior.

Paso 1

Para este ejemplo, accederemos al servicio SSH (para mantención remota usando una consola de texto) de nuestro

servidor de red (en este caso 192.168.4.5) usando un puerto diferente que el estándar puerto SSH (22/tcp).

Elegimos el puerto de acceso externo 10022 que debería ser reenviado a servidor de red en el puerto 22.

Paso 2

Para este objetivo, pulse dos veces en el punto de conexión entre la nube de Internet y el símbolo servidor de red.

En las reglas del Editor, seleccione el servicio Definición libre usando el boton Agregar.

Paso 3

En el casillero de dialogo que ahora aparece, ingrese un nombre para nuestro servicio. Nosotros elegimos SSH

10022. Bajo Puerto ingrese en el primer campo 10022. El segundo campo de Puerto solo se requiere si se desea

definir más de un puerto para este servicio. (Rango de puerto).

Bajo Protocolo de transporte, seleccione TCP (Transmission Control Protocol).

Paso 4

En la columna Acción, la flecha Stateful inspection es instalada desde el Internet hacia el computador y devuelta al Internet. Esta instalación significa que el servidor interno puede ser accedido a Internet pero el servidor no puede accedera Internet por si mismo.

Paso 5

En la última columna Opciones adicionales, marque

el casillero Active DMZ / puerto de reenvío para este

servicio. Porque queremos re-enrutar el puerto de

inicio (10022) hacia el servidor de red en el puerto

22, ingrese 22 en el campo Puerto Objetivo. No se

requiere NAT para este servicio libremente definido.

119 Introducción


El servidor de red ahora recibe solicitudes externas en el puerto 10022 en su puerto 22 (que es reservado por SSH).

19.3.3 DMZ por fuente IP

Si existe una conexión de Internet con varias direcciones IP fijas, tal vez varios servidores de correo o servidores de

red están operando detrás del firewall con diferentes direcciones IP externas.

El servidor de red con la dirección IP interna 192.168.4.5 debe ser accesible con la dirección IP externa

216.239.37.99.

El servidor de red con la dirección IP interna 192.168.4.6 debe ser accesible con la dirección IP externa

216.239.37.100.

Paso 1

Primero, debemos asignar la tarjeta de red externa del firewall (que está conectada al router del proveedor) con la

dirección IP que será utilizada.

Paso 2

La tarjeta de red correspondiente conectada al router es seleccionada bajo Opciones > Interfases. La dirección IP

virtual es agregada bajo Direcciones IP virtuales.

El firewall gateprotect

está ahora configurado

para estas direcciones IP

adicionales.

Paso 3

Ahora, un servidor es arrastrado desde la lista de herramientas hacia la configuración de escritorio y la dirección

interna de IP del servidor es ingresada en el casillero de diálogo abierto (en este caso 192.168.4.5) y la tarjeta de red

es seleccionada.

Lo mismo se hace para el servidor de correo con la dirección IP interna 192.168.4.6.

Para una mayor vista general en el escritorio de configuración, nombres claros fueron asignados a los símbolos (e.j.

servidor de red y servidor de correo).

120 Introducción


Servidor de red

Paso 1

Ahora se crea una conexión desde el servidor hacia la nube de internet usando la herramienta de conexión. En el

editor de Reglas, use el botón Agregar para seleccionar el servicio que debe ser reenviado al servidor. El servicio

HTTP es insertado entre el servidor de red e Internet.

Paso 2

Marcando Enable DMZ / Port forwarding para este casillero de servicio en Opciones adicionales, se crea el DMZ. Es

crucial que la configuración de dirección IP de arriba también sea usada ahora que la dirección IP oficial del servidor

de red es ingresada en el campo Source IP.

Esta configuración es activada y el servidor de red puede ser accedida bajo esta dirección IP.

ATENCIÓN!

EL PROXY HTTP NO DEBE SER ACTIVADO EN UN HTTP-DMZ!

Alcance acceso separado al servidor de red usando el nombre internamente

Si un servidor de red ha sido instalado como en el ejemplo anterior, su acceso sigue siendo posible solo desde el uso

interno de su dirección IP.

No obstante, algunas aplicaciones demandan el nombre de dominio del computador, e.j. www.your-company.com.

NOTA

SE PUEDE USAR EL FIREWALL GATEPROTECT PARA EVITAR UN SERVICIO O EL CAMBIO DE NOMBRE DE LOS INGRESOS DESDE EL SERVIDOR.

Crear una conexión desde el símbolo de servidor de red hacia la LAN interno usando la herramienta de conexión. En

las Reglas del editor, agregue el servicio HTTP e ingrese la fuente oficial de dirección IP en el DMZ en las opciones

Adicionales.

Servidor de correo

Normalmente un servidor de correo se comporta como un HTTP-DMZ. No obstante, existen casos especiales en los

que es deseable permitir que algunos servidores de correo se conecten con servidores de correo internos (llamados

dominios inteligentes). Aquí el firewall gateprotect ofrece la oportunidad de crear un DMZ dedicado.

Paso 1

Para este objetivo, el servidor de correo interno es instalado como símbolo de servidor individual.

Paso 2

Ahora otro símbolo de servidor es arrastrado hacia el escritorio. En la configuración

de Internet es seleccionado como tarjeta de red y la dirección IP es la externa.

ATENCIÓN !

AL CONECTAR AMBOS SÍMBOLOS, SE DEBE PULSAR PRIMERO EN EL COMPUTADOR INTERNO Y LUEGO EN EL EXTERNO.

Paso 3

El SMTP está ahora instalado como servicio y el DMZ es activado en opciones Adicionales. El servidor de dirección IP

oficial es ingresado como IP Origen.

121 Introducción


19.4 Ejemplos para autenticación de usuario

19.4.1 Dominio Windows

Si se cuenta con un dominio Windows, se puede conectar al controlador de dominio Windows. Ingrese la informa-

ción de su controlador de dominio en la barra Instalaciones en el casillero de diálogo del servidor de Autenticación.

En la lista de usuario aparecerán todos los usuarios del dominio. Entonces se pueden arrastrar los íconos de usuario

a la configuración de escritorio y asignarles reglas.

Los usuarios deben llamar la dirección IP del servidor de firewall con https en sus buscadores y conectar. Si la

conexión es exitosa, las reglas de firewall del usuario son aplicadas a la dirección de IP entregada. Si la ventana del

buscador está cerrada, la sesión de cookie termina y las reglas expiran.

19.4.2 Servidor terminal

Si se usa un servidor terminal, éste debe ser removido de la autenticación de usuario, por cuanto de lo contrario

cuando un usuario se haya conectado, todos los usuarios restantes recibirán los mismos drechos asignados al

primero. Para remover el servidor terminal de la autenticación de usuario, proceda como se muestra a continuación:

Paso 1

Pulse dos veces en el símbolo servidor terminal en la configuración de escritorio.

Paso 2

Marque el casillero Excluya este objeto de la autenticación

de usuario.

Para un servidor terminal, se recomienda HTTP-Proxy no

transparente Ajuste el HTTP Proxy a no transparente para

lograr este objetivo usando Opciones > Proxy.

NOTA

LOS BUSCADORES DEBEN INGRESAR EL HTTP-PROXY CON LA DIRECCIÓN IP DEL FIREWALL EN SUS SUBREDES Y CONFIGURAR EL PUERTO 10080. PARA EVITAR PROBLEMAS DE

DESCARGA, LA DIRECCIÓN IP DE FIREWALL DEBE SER INGRESADA EN LAS INSTALACIONES DEL BUSCADOR ASIGNADAS COMO "EXCLUDE THIS IP ADDRESS FROM PROXY".

Todos los usuarios que ahora se conecten al servidor terminal recibirán primero una notificación cuando abran el

buscador solicitando el nombre de usuario y clave de ingreso. En cuanto éstas hayan sido verificadas con la

autenticación local, Active Directory or OpenLDAP/Krb5, podrán usar el servidor terminal para navegar por el

internet.

Los usuarios conectados pueden navegar hasta que la última ventana del buscador sea cerrada. Cuándo el buscador

sea reabierto, deberán volver a conectarse.

Usuarios conectados reciben sus propios URL y las instalaciones de filtro de contenido son registradas en las

estadísticas individualmente bajo sus nombres o sus direcciones IP.

122 Introducción


20 ESTADISTICAS

Las estadísticas o las Estadísticas de Cliente Externo refleja y evalúa las funciones de las estadísticas del firewall.

NOTA

1. ]SÓLO SE PUEDE REGISTRAR UNA CLIENTE DE ADMINISTRACIÓN EN EL FIREWALL PERO UN NUMERO ILIMITADO DE CLIENTES PARA ESTADÍSTICAS.

2. PARA PODER CONECTARSE A ESTADÍSTICAS DE CLIENTE CON EL FIREWALL, SE REQUIERE DE UNA CUENTA DE USUARIO EN EL FIREWALL CON DERECHO A INICIAR EL CLIENTE Y

MOSTRAR ESTADÍSTICAS.

3. PARA MOSTRAR LAS ESTADÍSTICAS PARA USUARIOS INDIVIDUALES, SE DEBE TENER EL DISPLAY RIGHTS STATISTICS BY USER. POR RAZONES TÉCNICAS, TAMBIÉN DEBE ESTAR

INSTALADA LA CONFIRGURACIÓN RIGHTS OPEN / STORE.

4. SI SE DESEA TENER LA OPORTUNIDAD DE EXPANDIR LA LISTA DE BLOQUEO DE RED DESDE EL LA LISTA TOP DEL INTERNET HAGALO CON UN SIMPLE CLICK-DERECHO,

NECESITARA EL DERECHO PARA ADMINISTRAR EL BLOQUEO DE RED.

20.1 Uso de Estadísticas de Cliente/Estadísticas

20.1.1 Barra de herramientas

Se puede usar la barra de herramientas en las Estadísticas de Cliente para:

Imprimir las estadísticas,

Cambiar el idioma de Estadísticas de Cliente para menu y uso,

Obtener información sobre Estadísticas de cliente,

Finalizar Estadísticas de Cliente.

20.1.2 Posibilidades de filtro

Se pueden filtrar los resultados exhibidos dependiendo de la información de estadísticas preparada en la parte

superior de la ventana de estadísticas:

Escritorio: red completa, usuarios o computadores

Período: 6, 12 o 24 horas, 7 o 14 días, 1, 3 o 12 meses

Período de auto-definición con fecha y hora para inicio y término

Ventana de tiempo: cualquier hora del día con inicio y fin

Acceso bloqueado: ingreso o salida

Use el boton Actualizar para descargar la información más reciente desde el servidor de firewall.

20.1.3 Estadísticas

Las estadísticas de Estadísticas de cliente tiene el mismo rango de funciones que la Cliente de administración descri-

ta en 3.6.

manuale 9.1 es

Documents