Fireware XTM Web UI v11.3 Guía del Usuario
Fireware XTM Web UI v11.3 Guía del Usuario
WatchGuard XTM Devices Firebox X Peak e-Series Firebox X Core e-Series Firebox X Edge e-Series
Acerca de esta Guía del usuario La Guía del usuario de la interfaz de usuario web del Fireware XTM se actualiza con cada lanzamiento de producto importante. Para lanzamientos de productos menores, sólo se actualiza el sistema de Ayuda de la interfaz de usuario web del Fireware XTM. El sistema de Ayuda también incluye ejemplos de implementación específicos, basados en tareas que no están disponibles en la Guía del usuario. Para acceder a la documentación del producto más reciente, consulte la Ayuda de la interfaz de usuario web del Fireware XTM en el sitio web de WatchGuard en: http://www.watchguard.com/help/documentation/. La información de esta guía está sujeta a cambios sin previo aviso. Las empresas, los nombres y los datos utilizados en los ejemplos de este documento son ficticios, salvo indicación en contrario. Ninguna parte de esta guía podrá reproducirse ni transmitirse en ninguna forma y por ningún medio, electrónico o mecánico, para ningún propósito, sin el consentimiento expreso por escrito de WatchGuard Technologies, Inc. Guía revisada: 15 de julio de 2010
Información sobre copyright, marcas comerciales y patentes Copyright© 1998–2010 WatchGuard Technologies, Inc. Todos los derechos reservados. Todas las marcas o nombres comerciales mencionados en el presente, si los hubiere, son propiedad de sus respectivos dueños. En la Guía de copyright y licencias podrá encontrar información completa sobre copyright, marcas comerciales, patentes y licencias. Puede consultar este documento en el sitio web: http://www.watchguard.com/help/documentation/. Nota Este producto es sólo para uso interno.
Acerca de WatchGuard WatchGuard ofrece soluciones de seguridad de contenido y red todo en uno a un precio accesible, las cuales ofrecen protección en profundidad y ayudan a satisfacer los requisitos de cumplimiento reglamentarios. La línea WatchGuard XTM combina firewall, VPN, GAV, IPS, bloqueo de spam y filtrado de URL para proteger su red de spam, virus, malware e intrusiones. La nueva línea XCS ofrece seguridad para contenido web y correo electrónico combinada con prevención de pérdida de datos. Las soluciones extensibles de WatchGuard se adaptan para ofrecer seguridad en la medida justa, desde pequeñas empresas hasta empresas con más de 10,000 empleados. WatchGuard crea dispositivos de seguridad simples, confiables y sólidos que incluyen rápida implementación, administración integral y herramientas para la presentación de informes. Empresas del mundo entero confían en nuestras exclusivas cajas rojas para maximizar la seguridad sin sacrificar la eficiencia y la productividad.
Dirección 505 Fifth Avenue South Suite 500 Seattle, WA 98104
Soporte www.watchguard.com/support EE. UU. y Canadá +877.232.3531 Todos los demás países +1.206.521.3575
Ventas EE. UU. y Canadá +1.800.734.9905 Todos los demás países +1.206.613.0895
Para obtener más información, comuníquese al 206.613.6600 o visite www.watchguard.com.
ii
Fireware XTM Web UI
Índice Introducción a la seguridad de red Acerca de redes y seguridad de red
1 1
Acerca de las conexiones a Internet
1
Acerca de los Protocolos
2
Acerca de las Direcciones IP
3
Direcciones privadas y puertas de enlace
3
Acerca de las máscaras de subred
3
Acerca de las Notación diagonal
3
Acerca del ingreso de Direcciones IP
4
estáticas y dinámicas Direcciones IP
4
Acerca de las DNS (sistema de domain name)
5
Acerca de firewall
6
Acerca de servicios y políticas
7
Acerca de puertos
8
El dispositivo WatchGuard y la red
8
Introducción a Fireware XTM Introducción a Fireware XTM
11 11
Componentes de Fireware XTM
12
el WatchGuard System Manager
12
WatchGuard Server Center
13
Fireware XTM Web UI e interfaz de la línea de comandos
14
Fireware XTM con Actualización Pro Servicio y soporte Acerca de las Soporte de WatchGuard
14 17 17
LiveSecurity® Service
17
LiveSecurity® Service Gold
18
Expiración del servicio
19
Introducción Antes de empezar Verificar componentes básicos
Guía del Usuario
21 21 21
iii
Obtener tecla de función del dispositivo WatchGuard
21
Recoger direcciones de red
22
Seleccione un modo configuración de firewall
23
Acerca del Quick Setup Wizard
24
Ejecutar el Web Setup Wizard
24
Conéctese al Fireware XTM Web UI
28
Conectarse a la Fireware XTM Web UI desde una red externa
29
Acerca del Fireware XTM Web UI
30
Seleccione el idioma de Fireware XTM Web UI
31
Limitaciones de la Fireware XTM Web UI
31
Concluya su instalación
32
Personalizar su política de seguridad
33
Acerca de las LiveSecurity Service
33
Temas adicionales de instalación
33
Conéctese a un Firebox con Firefox v3
33
Identificar sus configuraciones de red
35
Configure su equipo para conectarse a su dispositivo WatchGuard
37
Desactive el proxy de HTTP en el explorador
39
Información básica sobre configuración y administración Acerca de las tareas básicas de configuración y administración
41
Hacer una copia de seguridad de la imagen de Firebox
41
Restaurar imagen de copia de seguridad de Firebox
42
Utilice una unidad USB para realizar copias de respaldo y restaurar el sistema
42
Acerca de la unidad USB
42
Guardar una imagen de respaldo en una unidad USB conectada
42
Restaurar una imagen de respaldo desde una unidad USB conectada
43
Restaurar automáticamente una imagen de respaldo desde un dispositivo USB
44
Estructura del directorio de la unidad USB
46
Guardar una imagen de respaldo en una unidad USB conectada a su de administración
46
Restablecer un dispositivo Firebox o XTM a una configuración anterior o nueva Iniciar un dispositivo Firebox o XTM en modo seguro
iv
41
48 48
Fireware XTM Web UI
Restablecer un dispositivo Firebox X Edge e-Series o WatchGuard XTM 2 Series a las configuraciones predeterminadas de fábrica
49
Ejecutar el Quick Setup Wizard
49
Acerca de las configuraciones predeterminadas de fábrica
49
Acerca de las teclas de función
51
Cuando compra una nueva función
51
Ver las funciones disponibles con la actual tecla de función
51
Obtener una tecla de función junto a LiveSecurity
52
Agregar una tecla de función a su Firebox
54
Reiniciar su Firebox
56
Reiniciar Firebox de modo local
57
Reiniciar Firebox de modo remoto
57
Activar NTP y agregar servidores NTP
57
Definir la zona horaria y las propiedades básicas del dispositivo
58
Acerca del SNMP
59
Sondeos y capturas SNMP
60
Acerca de las Bases de Información de Administración (MIBs)
60
Activar Sondeo de SNMP
61
Activar Capturas y estaciones de administración de SNMP
62
Acerca de las frases de contraseña, claves de cifrado y claves compartidas de WatchGuard
64
Crear una contraseña, una clave de cifrado o una clave compartida segura
64
Frases de contraseña de Firebox
64
Frases de contraseña de usuario
65
Frases de contraseña del servidor
65
Claves de cifrado y claves compartidas
66
Alterar frases de contraseña de Firebox
66
Defina las configuraciones globales del Firebox
67
Defina las configuraciones globales de administración de errores ICMP
68
Habilitar la comprobación TCP SYN
69
Definir las configuraciones globales de ajuste de tamaño máximo del segmento TCP
70
Activar o desactivar la administración de tráfico y QoS
70
Cambiar el puerto Web UI
70
Guía del Usuario
v
Reinicio automático
70
Consola externa
71
Acerca de los servidores WatchGuard System Manager
71
Administrar un Firebox desde una ubicación remota
72
Configurar un Firebox como un dispositivo administrado
74
Editar la política WatchGuard
74
Configurar Dispositivo Administrado
76
Actualizar para una nueva versión del Fireware XTM
77
Instalar la actualización en su equipo administrado
77
Actualizar el Firebox
78
Descargue el archivo de configuración Configuración de red Acerca de las configuración de interfaz de red
79 79
Modos de red
79
Tipos de interfaz
80
Acerca de las interfaces de red en el Edge e-Series
81
Modo de enrutamiento combinado
82
Configurar una interfaz externa
82
Configurar el DHCP en modo de enrutamiento mixto
86
Página Acerca de Servicio DNS dinámico
88
Configurar DNS dinámico
88
Acerca de la configuración de red en modo directo
vi
78
89
Utilizar modo directo para la configuración de la interfaz de red
90
Configurar host relacionados
90
Configurar DHCP en modo directo
91
Modo Bridge
94
Configuraciones de interfaz comunes
95
Desactivar una interfaz
96
Configurar retransmisión de DHCP
97
Restringir el tráfico de red mediante la dirección MAC
97
Agregar servidores WINS y Direcciones del servidor DNS
98
Configurar una secondary network
99 Fireware XTM Web UI
Acerca de la Configuraciones de interfaz
100
Configuración de tarjeta de interfaz de red (NIC)
101
Determinar No fragmentar bit IPSec
102
Configuración de la ruta de unidad de transmisión máxima (PMTU) para IPSec
103
Usar vínculo de dirección MAC estático
103
Buscar la dirección MAC de una computadora
104
Acerca de los puentes LAN
105
Crear una configuración de puente de red.
105
Asignar una interfaz de red a un puente.
106
Acerca de Agregue una ruta estática Acerca de redes virtuales de área local (VLAN)
106 107 108
Requisitos y restricciones de la VLAN
108
Acerca de las etiquetado
109
Definir un nuevo (red de área local virtual)
109
Asignar interfaces a (red de área local virtual)
111
Ejemplos de configuración de red
112
Ejemplo: Configurar dos VLAN con la misma interfaz
112
Use Firebox X Edge con el bridge inalámbrico 3G Extend
115
WAN múltiple
119
Acerca de usar múltiples interfaces externas
119
Requisitos y condiciones de WAN múltiple
119
WAN múltiple y DNS
120
Acerca de las opciones de WAN múltiple
120
Orden de operación por turnos
120
Conmutación por error
121
Desbordamiento en la interfaz
121
Tabla de enrutamiento
122
Módem serie (solamente Firebox X Edge)
122
Configurar la opción de operación por turnos de WAN múltiple
122
Antes de empezar
122
Configurar interfaces
122
Guía del Usuario
vii
Descubra cómo asignar pesos a interfaces Configurar la opción de conmutación por error de WAN múltiple
124
Antes de empezar
124
Configurar interfaces
124
Configurar WAN múltiple Opción de desbordamiento en la interfaz
125
Antes de empezar
125
Configurar interfaces
125
Configurar WAN múltiple opción tabla de enrutamiento
126
Antes de empezar
126
Modo de tabla de enrutamiento y balance de carga
126
Configurar interfaces
126
Acerca de la tabla de enrutamiento de Firebox
127
Cuando usar los métodos de WAN múltiple y enrutamiento
127
Conmutación por error de módem serie
128
Activar conmutación por error de módem serial
128
Configuraciones de la cuenta
129
Configuraciones de DNS
129
Configuración de marcado
130
Configuraciones avanzadas
131
Configuración de "Monitor de enlace"
131
Acerca de la configuración avanzada de WAN múltiple
132
Define una duración de Sticky Connection global
133
Definir acción de failback
133
Acerca del Estado de la interfaz de WAN
134
Tiempo necesario para que el Firebox actualice su tabla de enrutamiento
134
Definir un host de monitor de enlace
134
Traducción de dirección de red (NAT) Acerca de la Traducción de dirección de red (NAT) Tipos de NAT Acerca de la dinámica basada en políticas
viii
123
137 137 137 138
Agregar firewall a entradas de NAT dinámicas
138
Configurar NAT dinámica basada en políticas
141 Fireware XTM Web UI
Acerca de las 1-to-1 NAT
142
Acerca de 1-to-1 NAT y VPN
143
Configurar el firewall 1-to-1 NAT
144
Configurar basado en políticas 1-to-1 NAT
147
Configurar el bucle invertido de NAT con NAT estática
148
Agregar una política para bucle invertido de NAT al servidor
148
Bucle invertido de NAT y 1-to-1 NAT
150
Acerca de la NAT estática
153
Configurar Balance de carga en el servidor
154
Ejemplos de NAT
157
Ejemplo de 1-to-1 NAT Configuración inalámbrica
157 159
Acerca de la configuración inalámbrica
159
Acerca de las configuración del punto de acceso inalámbrico
160
Antes de empezar
161
Acerca de configuraciones
161
Activar/desactivar Broadcasts de SSID
163
Cambiar la SSID
163
Registro eventos de autenticación
163
Cambiar la umbral de fragmentación
163
Cambiar la Umbral de RTS
165
Acerca de configuraciones de seguridad
166
Definir inalámbricos método de autenticación
166
Definir nivel de cifrado
167
Habilitar conexiones inalámbricas a la red opcional o de confianza
167
Activar una red inalámbrica para invitados
170
Activar un hotspot inalámbrico
173
Establecer la configuración del tiempo de espera
174
Personalizar la pantalla de presentación del hotspot
174
Conéctese a un hotspot inalámbrico
176
Consulte Conexiones hotspot inalámbricas
177
Configurar la interfaz externa como interfaz inalámbrica Guía del Usuario
178 ix
Configurar la interfaz externa principal como interfaz inalámbrica
178
Configurar un túnel BOVPN para seguridad adicional
181
Acerca de configuraciones de radio en Firebox X Edge e-Series inalámbrico
181
Configurar la región operativa y el canal
182
Definir modo de operación inalámbrica
183
Acerca de las configuraciones de radio inalámbrico en el dispositivo inalámbrico WatchGuard XTM 2 Series El país se configura automáticamente
184
Seleccionar el modo de banda y el modo inalámbrico
185
Seleccionar el canal
186
Configurar la de red invitada inalámbrica en su computadora Dynamic Routing
186 187
Acerca de dynamic routing
187
Acerca de archivos de configuración de demonio de enrutamiento.
187
Acerca del Protocolo de Información de Enrutamiento (RIP)
188
Comandos del Protocolo de Información de Enrutamiento (RIP)
188
Configurar el Firebox para usar RIP v1
190
Configurar el Firebox para usar RIP v2
191
Muestra de archivo de configuración del enrutamiento RIP
192
Acerca del Protocolo "Abrir Camino Más Curto Primero" (OSPF)
194
Comandos de OSPF
194
Tabla de Costo de Interfaz de OSPF
197
Configurar el Firebox para usar OSPF
198
Muestra de archivo de configuración del enrutamiento OSPF
199
Acerca del Border Gateway Protocol (BGP)
201
Comandos BGP
202
Configurar el Firebox para usar el BGP
204
Muestra de archivo de configuración del enrutamiento BGP
206
Autenticación
x
183
209
Acerca de la autenticación de usuario
209
Usuario pasos de autenticación
210
Administrar usuarios autenticados
211
Fireware XTM Web UI
Use la autenticación para restringir el tráfico entrante Use la autenticación a través de un Firebox de puerta de enlace Definir valores de autenticación global
212 212 212
Definir tiempos de espera de autenticación
213
Permitir múltiples inicios de sesión concomitantes
214
Limitar sesiones de inicio
214
Direccionar usuarios automáticamente al portal de inicio de sesión
215
Usar una página de inicio predeterminada personalizada
216
Definir tiempos de espera de Sesión de Administración
216
Acerca de la política de Autenticación de WatchGuard (WG-Autoriz)
216
Acerca de Single Sign-On (SSO)
217
Antes de empezar
218
Configurar SSO
218
Instalar el agente de Single Sign-On (SSO) de WatchGuard
218
Instale el cliente de Single Sign-On (SSO) de WatchGuard
220
Activar Single Sign-On (SSO)
220
Tipos de servidores de autenticación
222
Acerca de la utilización de servidores de autenticación de terceros
222
Use un servidor de autenticación de resguardo
222
Configure su Firebox como servidor de autenticación
223
Tipos de autenticación de Firebox
223
Definir un nuevo usuario para autenticación en Firebox
225
Definir un nuevo grupo para autenticación de Firebox
227
Configurar autenticación de servidor RADIUS
227
Clave de autenticación
228
Los métodos de autenticación de RADIUS
228
Antes de empezar
228
Usar la autenticación por servidor RADIUS con su dispositivo WatchGuard
228
Como la autenticación del servidor RADIUS funciona
230
Configurado autenticación de servidor VASCO
233
Configurar autenticación SecurID
234
Configurar autenticación LDAP
236
Guía del Usuario
xi
Acerca de las configuraciones opcionales de LDAP Configurar autenticación en Active Directory
239
Sobre la configuración opcional del Active Directory
241
Encuentre su base de búsqueda del Active Directory
241
Alterar el puerto predeterminado de Active Directory Server
242
Usar las configuraciones opciones de Active Directory o de LDAP
243
Antes de empezar
243
Especificar Configuraciones opcionales de LDAP o Active Directory
243
Use una cuenta de usuario local para autenticación
247
Use los usuarios y grupos autorizados en políticas
248
Políticas Acerca de políticas
251 251
Políticas de filtro de paquetes y proxy
251
Acerca de cómo agregar políticas a Firebox
252
Acerca de la página de políticas de Firewall o VPN móvil
253
Agregar políticas en la configuración
254
Agregar una política de la lista de plantillas
255
Desactivar o eliminar una política
256
Acerca de los alias
257
Miembros de alias
257
Crear un alias
258
Acerca de la precedencia de políticas
260
Orden de políticas automático
260
Especificidad de la política y protocolos
260
Reglas de tráfico
261
Acciones de firewall
261
Cronogramas
261
Nombres y tipos de políticas
262
Determinar precedencia manualmente
262
Crear Cronogramas para acciones de Firebox
262
Establecer un cronograma operativo Acerca de las Políticas personalizadas xii
238
263 263 Fireware XTM Web UI
Cree o edite una plantilla de política personalizada. Acerca de propiedades de políticas
264 265
Pestaña Política
266
Pestaña Propiedades
266
Pestaña Avanzada
266
Configuraciones de proxy
266
Definir reglas de acceso a una política
267
Configurar el enrutamiento basado en la política
269
Configurar un tiempo de espera inactivo personalizado
270
Determinar Administración de errores ICMP
271
Aplicar reglas NAT
271
Defina la duración de sticky connection para una política
272
Configuraciones de proxy Acerca de las políticas de proxy y ALG Configuración de proxy Acerca de las configuraciones de Application Blocker
273 273 273 274
Configurar el Application Blocker
275
Acerca de Skype y el Application Blocker
276
Agregar una política de proxy a la configuración
277
Acerca de las acciones de proxy
279
Configurar la acción de proxy
279
Editar, eliminar o clonar acciones de proxy
279
Acerca de acciones de proxy definidas por el usuario y predefinidas Acciones de proxy
280
Acerca del DNS proxy
280
Proxy DNS : Contenido
281
Proxy DNS : Configuración
282
Página Acerca de Proxy FTP
284
Pestaña Política
284
Pestaña Propiedades
284
Pestaña Avanzada
285
Pestañas Configuración y Contenido
285
FTP DNS: Contenido
285
Guía del Usuario
xiii
Proxy FTP : Configuración
286
Página Acerca de ALG H.323
287
ALG H.323: Contenido
289
ALG H.323: Configuración
291
Página Acerca de Proxy HTTP
292
Pestaña Política
293
Pestaña Propiedades
294
Pestaña Avanzada
294
Pestañas Configuración, Contenido y Application Blocker
294
Permitir actualizaciones de Windows a través del proxy HTTP
294
Proxy HTTP: Pestaña Contenido
295
Proxy HTTP: Pestaña Configuración
298
Proxy HTTP: Application Blocker
300
Página Acerca de Proxy HTTPS Pestaña Política
301
Pestaña Propiedades
301
Pestaña Avanzada
302
Pestañas Configuración y Contenido
302
Proxy de HTTPS: Contenido
302
Proxy HTTPS : Configuración
304
Página Acerca de Proxy POP3
305
Pestaña Política
306
Pestaña Propiedades
306
Pestaña Avanzada
306
Pestañas Configuración y Contenido
306
Proxy POP3 : Contenido
307
Proxy POP3 : Configuración
308
Página Acerca de Proxy SIP
309
SIP ALG: Contenido
311
SIP ALG: Configuración
313
Página Acerca de Proxy SMTP
314
Pestaña Política xiv
301
314 Fireware XTM Web UI
Pestaña Propiedades
315
Pestaña Avanzada
315
Pestañas Configuración, Dirección y Contenido
315
Proxy SMTP : Dirección
315
Proxy SMTP : Contenido
316
Proxy SMTP : Configuración
318
Configure el proxy SMTP para colocar mensajes de correo electrónico en cuarentena
319
Página Acerca de Proxy de TCP-UDP
319
Pestaña Política
319
Pestaña Propiedades
319
Pestaña Avanzada
320
Pestañas Configuración y Contenido
320
Proxy de TCP-UDP: Contenido
320
Proxy de TCP-UDP: Configuración
320
Administración de tráfico y QoS Acerca de las Administración de tráfico y QoS
323 323
Activar administración de tráfico y QoS
323
Garantice ancho de banda
324
Restrinja el ancho de banda
325
Marcado QoS
325
Prioridad de tráfico
325
Configurar el ancho de banda de interfaz saliente
325
Configure los límites de la tasa de conexión
326
Acerca de las Marcado QoS
327
Antes de empezar
327
Marcado QoS para interfaces y políticas
327
Marcado QoS y tráfico IPSec
327
Marcado: tipos y valores
328
Activar marcado QoS para una interfaz
329
Activar el marcado QoS o configuraciones de priorización para una política
330
Control de tráfico y definiciones de políticas Definir un Acción de administración de tráfico Guía del Usuario
332 332 xv
Agregar una Acción de administración de tráfico a una política Default Threat Protection
335
Acerca de la Default Threat Protection
335
Acerca de las opciones de administración predeterminada de paquetes
335
Acerca de los ataques de suplantación de paquetes
337
Acerca de los Ataques de ruta de origen de IP IP
337
Acerca de las pruebas de espacio de dirección y espacio del puerto
338
Acerca de los ataques de congestión del servidor
340
Acerca de los paquetes no controlados
342
Acerca de ataques de negación de servicio distribuidos
343
Acerca de los sitios bloqueados
343
Sitios permanentemente bloqueados
344
Lista de Sitios de bloqueo automático/Sitios temporalmente bloqueados
344
Ver y editar los sitios en la lista de Sitios Bloqueados
344
Bloquear un sitio permanentemente
344
Crear Excepciones sitios bloqueados
345
Bloquear sitios temporalmente con configuración de políticas
346
Cambiar la duración de los sitios que son bloqueados automáticamente
347
Acerca de los puertos bloqueados
347
Puertos bloqueados predeterminados
348
Bloquear un puerto
349
Registro y Notificación Acerca de la generación de registros y archivos de registro
xvi
334
351 351
Log Servers
351
Syslog de estado del sistema
352
Generación de registros y notificación en aplicaciones y servidores
352
Acerca de las mensajes de registro
352
Tipos de mensajes de registro
352
Enviar mensajes de registro al WatchGuard Log Server
353
Agregar, editar o alterar la prioridad de Log Servers
354
Enviar información de registro a un host de Syslog
355
Configurar Registros
356 Fireware XTM Web UI
Defina el nivel de registro de diagnóstico
357
Configurar registros y notificación para una política
359
Determinar preferencias de registro y notificación
360
Use el Syslog para ver los datos de mensaje de registro
361
Ver, Ordenar y Filtrar datos de mensaje de registro
361
Actualizar datos de mensaje de registro
363
Monitorear su Firebox Monitorear su Firebox
365 365
El Panel de control
365
Páginas Estado del sistema
367
Tabla ARP
368
Autenticaciones
369
Medidor de ancho de banda
370
Estado de sitios bloqueados
370
Agregar o editar sitios bloqueados temporalmente
371
Suma de comprobación
372
Conexiones
372
Lista de componentes
372
Uso de CPU
373
Concesiones de protocolo de configuración dinámica de host (DHCP)
373
Diagnósticos
374
Ejecutar un comando de diagnóstico básico
374
Utilizar argumentos de comandos
374
DNS dinámico
375
Tecla de función
376
Cuando compra una nueva función
376
Ver las funciones disponibles con la actual tecla de función
376
Interfaces
377
LiveSecurity
378
Memoria
379
Lista de acceso saliente
379
Procesos
379
Guía del Usuario
xvii
Rutas
380
Syslog
381
Administración de tráfico
381
Estadísticas de VPN
382
Estadísticas inalámbricas
383
Conexiones hotspot inalámbricas
384
Certificates Acerca de los certificados
385
Usar múltiples certificados para determinar la confianza
385
Cómo el Firebox usa certificados
386
CRLs y caducidad de certificados
386
Solicitudes de firmas y autoridades de certificación
387
Autoridades de Certificación confiadas por Firebox
387
Ver y administrar Certificados de Firebox
393
Crear una CSR con el OpenSSL
395
Usar OpenSSL para generar una CSR
395
Firme un certificado con Microsoft CA
396
Emitir el certificado
396
Descargar el certificado
396
Usar Certificados para el proxy de HTTPS
397
Proteger un servidor HTTPS privado
397
Examinar contenido de los servidores HTTPS externos
398
Exportar el certificado de inspección de contenido HTTPS
398
Importar los certificados en dispositivos clientes
399
Solucionar problemas con la inspección de contenido HTTPS
399
Use certificados autenticados para el túnel VPN Mobile con IPSec
399
Usar un certificado para autenticación del túnel BOVPN
400
Verificar el certificado con el FSM
401
Verificar los certificados de VPN con servidor de LDAP
401
Configure el certificado del servidor web para la autenticación de Firebox
402
Importar un certificado en un dispositivo cliente
404
Importar un certificado en formato PEM con el Windows XP xviii
385
404 Fireware XTM Web UI
Importar un certificado en formato PEM con el Windows Vista
404
Importar un certificado en formato PEM con Mozilla Firefox 3.x
405
Importar un certificado en formato PEM con el Mac OS X 10.5
405
Redes Privada Virtual (VPN) Introducción a VPNs
407 407
Branch Office VPN (BOVPN)
407
Mobile VPN
408
Acerca de la VPNs de IPSec
408
Acerca de los algoritmos y protocolos de IPSec
408
Acerca de las negociaciones VPN de IPSec
410
Configuraciones de Fase 1 y Fase 2
412
Acerca de Mobile VPNs
413
Seleccione una Mobile VPN
413
Opciones de acceso a Internet para usuarios de Mobile VPN
415
Descripción de configuración de Mobile VPN
416
Túneles de BOVPN manuales
417
Lo que necesita para crear un BOVPN
417
Acerca de túneles BOVPN manuales
418
Lo que necesita para crear un VPN
418
Cómo crear un túnel BOVPN manual
419
Túneles de una dirección
419
Failover de VPN
419
Configuraciones de VPN Global
419
Estado del túnel BOVPN
420
Regenerar clave de túneles BOVPN
420
Muestra cuadro de información de dirección de VPN
420
Definir puertas de enlace
421
Definir extremos de puerta de enlace
424
Configurar modo y transformaciones (Configuraciones de la Fase 1)
426
Editar y eliminar puertas de enlace
430
Desactivar inicio automático de túnel
430
Si su Firebox está detrás de un dispositivo que hace NAT
430
Guía del Usuario
xix
Establezca túneles entre los extremos de puertas de enlace
431
Definir un túnel
431
Agregar rutas para un túnel
434
Configuraciones de Fase 2
434
Agregar una Propuesta de Fase 2
436
Cambiar el orden de túneles
438
Acerca de las configuraciones de VPN Global
438
Activar puerto de transferencia IPSec
439
Activar TOS para IPSec
439
Activar servidor LDAP para verificación de certificado
440
Usar 1-to-1 NAT a través de un túnel BOVPN
440
1-to-1 NAT y VPNs
440
Otras razones por las cuales usar una 1-to-1 NAT por una VPN
441
Alternativa al uso de NAT
441
Cómo configurar la VPN
441
Ejemplo
442
Configurar el túnel local
442
Configurar el túnel remoto
445
Definir una ruta para todo el tráfico hacia Internet
447
Configurar el túnel BOVPN en el Firebox remoto
447
Configurar el túnel BOVPN en el Firebox central
448
Agregar una entrada de NAT dinámica en el Firebox central
449
Activar enrutamiento de multidifusión a través de un túnel BOVPN
450
Activar un dispositivo WatchGuard para enviar tráfico de multidifusión a través de un túnel Active el otro dispositivo WatchGuard para recibir tráfico de multidifusión a través de un túnel Activar el enrutamiento de difusión a través de un túnel BOVPN
453 453
Activar el enrutamiento de difusión para el Firebox local
454
Configurar enrutamiento de difusión para el Firebox en el otro extremo del túnel
455
Configurar Failover de VPN Definir múltiples pares de puertas de enlace Vea Estadísticas de VPN
xx
451
456 456 458
Fireware XTM Web UI
Regenerar clave de túneles BOVPN
458
Preguntas relacionadas
459
¿Por qué necesito una dirección externa estática?
459
¿Cómo obtengo una dirección IP externa estática?
459
¿Cómo soluciono problemas de la conexión?
459
¿Por qué el ping no está funcionando?
459
¿Cómo configuro más que el número de túneles VPN permitido en mi Edge?
460
Mejorar la disponibilidad del túnel BOVPN Mobile VPN con PPTP
460 465
Acerca del Mobile VPN con PPTP
465
Requisitos de Mobile VPN con PPTP
465
Niveles de cifrado Configurar Mobile VPN with PPTP
466 466
Autenticación
467
Configuraciones de cifrado
468
Agregar al conjunto de direcciones IP
468
Configuraciones de pestañas avanzadas
469
Configurar servidores WINS y DNS
470
Agregar nuevos usuarios al grupo de usuarios de PPTP
471
Configurar políticas para permitir el tráfico de Mobile VPN con PPTP
473
Configurar políticas para permitir el tráfico de Mobile VPN con PPTP
474
Permitir a los usuarios de PPTP acceder a una red de confianza
474
Usar otros grupos o usuarios en una política de PPTP
475
Opciones de acceso a Internet a través de un túnel de Mobile VPN con PPTP
475
VPN de ruta predeterminada
475
Dividir VPN de túnel
476
Configuración de VPN de ruta predeterminada para Mobile VPN with PPTP
476
Configuración de VPN de túnel dividido para Mobile VPN with PPTP
476
Preparar computadoras cliente para PPTP
477
Preparar una computadora cliente con Windows NT o 2000: Instalar MSDUN y los paquetes de servicio 477 Crear y conectar una Mobile VPN with PPTP para Windows Vista
Guía del Usuario
478
xxi
Cree y conecte una Mobile VPN with PPTP para Windows XP
479
Cree y conecte una Mobile VPN with PPTP para Windows 2000
480
Realizar conexiones PPTP salientes desde detrás de un Firebox
480
Mobile VPN con IPSec
481
Acerca del Mobile VPN con IPSec
481
Configurar una conexión de Mobile VPN con IPSec
481
Requisitos del sistema
482
Opciones de acceso a Internet a través de un túnel de Mobile VPN con IPSec
482
Acerca de archivos de configuración de cliente MobileVPN
483
Configurar el Firebox para Mobile VPN with IPSec
483
Agregar usuarios a un grupo de Mobile VPN de Firebox
491
Modificar un perfil de grupo existente de Mobile VPN con IPSec
493
Configurado servidores WINS y DNS.
505
Bloquear un perfil del usuario final
506
Archivos de configuración de Mobile VPN con IPSec
507
Configurar políticas para filtrar tráfico de Mobile VPN
507
Distribuir el software y los perfiles
508
Tópicos adicionales de Mobile VPN
509
Configurar Mobile VPN with IPSec para una dirección IP dinámica
510
Página Acerca de cliente Mobile VPN with IPSec
512
Requisitos del cliente
512
Instalar el software cliente de Mobile VPN con IPSec
512
Conecte y desconecte el cliente Mobile VPN
515
Vea los mensajes de registro del Mobile VPN
517
Proteger su equipo con el firewall de Mobile VPN
517
Instrucciones de usuario final para la instalación del cliente VPN Mobile con IPSec de WatchGuard
526
Configuración del Mobile VPN para Windows Mobile
xxii
531
Los requisitos del cliente Mobile VPN WM Configurator y de IPSec de Windows Mobile
531
Instalar el software Mobile VPN WM Configurator
532
Seleccione un certificado e ingrese el PIN
533
Importar un perfil del usuario final
533
Fireware XTM Web UI
Instale el software cliente del Windows Mobile en el dispositivo Windows Mobile
534
Cargar el perfil de usuario final en el dispositivo Windows Mobile
535
Conecte y desconecte el Cliente Mobile VPN para Windows Mobile
537
Proteger su dispositivo Windows Mobile con el firewall de Mobile VPN
540
Detener el WatchGuard Mobile VPN Service
540
Desinstalar el Configurator, Service y Monitor
541
Mobile VPN con SSL
543
Acerca del Mobile VPN con SSL
543
Configurar el dispositivo Firebox o XTM para Mobile VPN with SSL
543
Realizar configuraciones de autenticación y conexión
544
Realice las configuraciones de Red y Conjunto de direcciones IP
544
Realizar configuraciones avanzadas para Mobile VPN with SSL
547
Configurar la autenticación de usuario para Mobile VPN with SSL
549
Configurar políticas para controlar el acceso de clientes de Mobile VPN con SSL
549
Elegir un puerto y protocolo para Mobile VPN with SSL
550
Opciones de acceso a Internet a través de un túnel de Mobile VPN con SSL
551
Determinación del nombre para Mobile VPN with SSL
552
Instalar y conectar el cliente de Mobile VPN con SSL
554
Requisitos de la computadora cliente
555
Descargar el software cliente
555
Desinstalar el software cliente
556
Conectarse a su red privada
556
Controles del cliente de Mobile VPN con SSL
557
Se debe distribuir e instalar en forma manual el software cliente de Mobile VPN con SSL y el archivo de configuración
558
Desinstale el cliente de Mobile VPN con SSL.
559
WebBlocker
561
Acerca de las WebBlocker
561
Configurar un WebBlocker Server local
562
Activación de WebBlocker
562
Antes de empezar
562
Cree perfiles de WebBlocker
562
Guía del Usuario
xxiii
Activar anulación local
566
Seleccione categorías para bloquear
566
Utilice el perfil de WebBlocker con servidores proxy HTTP y HTTPS
567
Agregar excepciones de WebBlocker
568
Usar anulación local de WebBlocker
568
Acerca de las Categorías de WebBlocker
569
Consultar si un sitio está categorizado
570
Agregar, eliminar o cambiar una categoría
571
Acerca de las Excepciones de WebBlocker
572
Defina la acción para las sitios que no tienen coincidencias Excepciones
572
Componentes de las reglas de excepción
572
Excepciones con parte de una URL
572
Agregar WebBlocker Excepciones
573
Renovar suscripciones de seguridad
575
Acerca del vencimiento de los servicios de suscripción de WebBlocker
575
spamBlocker
577
Acerca de las spamBlocker
577
Requisitos de spamBlocker
579
Acciones, etiquetas y categorías de spamBlocker
581
Configurado spamBlocker
583
Acerca de las Excepciones de spamBlocker
587
Configurar acciones de Virus Outbreak Detection para una política
593
Configure spamBlocker para colocar mensajes de correo electrónico en cuarentena
595
Acerca de la utilización spamBlocker con servidores proxy múltiples
597
Configure los parámetros globales de spamBlocker Utilice un servidor proxy HTTP para spamBlocker
599
Agregar reenviadores de correo electrónico de confianza para mejorar la precisión de calificación del spam
600
Active y configure los parámetros de la Virus Outbreak Detection (VOD)
601
Acerca de spamBlocker y los límites de escaneo de la VOD
602
Cree reglas para su lector de correo electrónico Enviar correos electrónicos spam o masivos a carpetas especiales en Outlook
xxiv
597
602 603
Fireware XTM Web UI
Enviar un informe acerca de falsos positivos o falsos negativos
604
Utilice el registro RefID en lugar de un mensaje de texto
605
Buscar la categoría a la cual está asignado un mensaje
605
La Defensa de reputación activada Acerca de la Defensa de reputación activada
607 607
Umbrales de reputación
607
Calificaciones de reputación
608
Comentario sobre la Defensa de reputación activada
608
Configurar la Defensa de reputación activada
608
Antes de empezar
608
Configurar la Defensa de reputación activada para una acción de proxy
609
Configurar los umbrales de reputación
610
Enviar los resultados de escaneo del Gateway Antivirus a WatchGuard Gateway AntiVirus e Intrusion Prevention Acerca de las Gateway AntiVirus y prevención de intrusiones
611 613 613
Instale y actualice el Gateway AntiVirus/IPS
614
Acerca del Gateway AntiVirus/la Intrusion Prevention y las políticas de proxy
614
Configurar el servicio del Gateway AntiVirus
615
Configure el servicio del Gateway AntiVirus
615
Configurar acciones del Gateway AntiVirus
616
Configurado Gateway AntiVirus a colocar mensajes de correo electrónico en cuarentena
619
Acerca de los límites de escaneo del Gateway AntiVirus
620
Actualice la configuración del Gateway AntiVirus/IPS
620
Si utiliza un cliente antivirus de terceros
621
Establezca la configuración de descompresión del Gateway AntiVirus
621
Configurar el servidor de actualización del Gateway AntiVirus/IPS
622
Ver estado de servicios de suscripción y actualizar firmas manualmente
623
Configurar el Intrusion Prevention Service
624
Antes de empezar
625
Configurar el Intrusion Prevention Service
625
Configurar acciones del IPS
627
Establezca la configuración del IPS
631
Guía del Usuario
xxv
Configurado excepciones de firma Quarantine Server
xxvi
633 635
Página Acerca de Quarantine Server
635
Configure Firebox para que ponga correos electrónicos en cuarentena
636
Definir la ubicación del Quarantine Server en Firebox
636
Fireware XTM Web UI
1
Introducción a la seguridad de red
Acerca de redes y seguridad de red Una red es un grupo de equipos y otros dispositivos que se conectan entre sí. Puede tratarse de dos equipos en la misma habitación, decenas de equipos en una organización o muchos equipos en el mundo entero conectados a través de Internet. Los equipos en la misma red pueden trabajar juntos y compartir datos. Aunque las redes como Internet brindan acceso a una gran cantidad de información y oportunidades comerciales, también pueden exponer la red a atacantes. Muchas personas creen que sus equipos no guardan información importante o que un hacker no estará interesado en sus equipos. Se equivocan. Un hacker puede utilizar su equipo como plataforma para atacar a otros equipos o redes. La información de su organización, incluida la información personal acerca de usuarios, empleados o clientes, también es valiosa para los hackers. El dispositivo WatchGuard y la suscripción a LiveSecurity pueden ayudar a prevenir estos ataques. Una buena política de seguridad de red o un conjunto de reglas de acceso para usuarios y recursos, también pueden ayudar a detectar y prevenir ataques a su equipo o red. Recomendamos configurar el Firebox para que coincida con la política de seguridad y considerar las amenazas tanto internas como externas de la organización.
Acerca de las conexiones a Internet Los ISP (proveedores de servicio de Internet) son empresas que ofrecen acceso a Internet a través de conexiones de red. La velocidad con la cual una conexión de red puede enviar datos se conoce como ancho de banda: por ejemplo, 3 megabits por segundo (Mbps). Una conexión a Internet de alta velocidad, como módem por cable o DSL (línea de suscriptor digital), se conoce como conexión de banda ancha. Las conexiones de banda ancha son mucho más rápidas que las conexiones telefónicas. El ancho de banda de una conexión telefónica es inferior a .1 Mbps, mientras que una conexión de módem por cable puede ser de 5 Mbps o más.
Guía del Usuario
1
Introducción a la seguridad de red
Las velocidades típicas para los módem por cable en general son inferiores a las velocidades máximas, porque cada equipo en un barrio es miembro de una LAN. Cada equipo en esa LAN usa parte del ancho de banda. Debido a este sistema de medio compartido, las conexiones de módem por cable pueden volverse lentas cuando más usuarios están en la red. Las conexiones DSL proveen ancho de banda constante, pero en general son más lentas que las conexiones de módem por cable. Además, el ancho de banda sólo es constante entre el hogar u oficina y la oficina central de DSL. La oficina central de DSL no puede garantizar una buena conexión a un sitio web o red.
Cómo viaja la información en Internet Los datos que se envían por Internet se dividen en unidades o paquetes. Cada paquete incluye la dirección de Internet del destino. Los paquetes que componen una conexión pueden usar diferentes rutas a través de Internet. Cuando todos llegan a destino, vuelven a agruparse en el orden original. Para asegurar que todos los paquetes lleguen a destino, se agrega información de dirección a los paquetes.
Acerca de los Protocolos Un protocolo es un conjunto de reglas que permiten a los equipos conectarse a través de una red. Los protocolos son la gramática del lenguaje que utilizan los equipos cuando se comunican a través de una red. El protocolo estándar para conectarse a Internet es el IP (Protocolo de Internet). Este protocolo es el lenguaje común de los equipos en Internet. Un protocolo también indica el modo en que los datos se envían a través de una red. Los protocolos utilizados con más frecuencia son TCP (Protocolo de control de transmisión) y UDP (Protocolo de datagrama de usuario). TCP/IP es el protocolo básico utilizado por los equipos que se conectan a Internet. Se deben conocer algunas de las configuraciones de TCP/IP cuando se configura el dispositivo WatchGuard. Para obtener más información sobre TCP/IP, consulte Buscar las propiedades TCP/IP en la página 36.
2
Fireware XTM Web UI
Introducción a la seguridad de red
Acerca de las Direcciones IP Para realizar un envío postal común a una persona, se debe conocer su dirección. Para que un equipo en Internet envíe datos a un equipo diferente, debe conocer la dirección de ese equipo. Una dirección de equipo se conoce como dirección de protocolo de Internet (IP). Todos los dispositivos en Internet tienen direcciones IP únicas, que permiten a otros dispositivos en Internet encontrarlos e interactuar con ellos. Una dirección IP consta de cuatro octetos (secuencias de números binarios de 8 bits) expresados en formato decimal y separados por puntos. Cada número entre los puntos debe estar en el rango de 0 a 255. Algunos ejemplos de direcciones IP son: n n n
206.253.208.100 4.2.2.2 10.0.4.1
Direcciones privadas y puertas de enlace Muchas empresas crean redes privadas que tienen su propio espacio de dirección. Las direcciones 10.x.x.x y 192.168.x.x están reservadas para direcciones IP privadas. Los equipos en Internet no pueden usar estas direcciones. Si su equipo está en una red privada, se conecta a Internet a través de un dispositivo de puerta de enlace que tiene una dirección IP pública. En general, la puerta de enlace predeterminada es un enrutador que se encuentra entre la red del usuario e Internet. Después de instalar el Firebox en la red, se convierte en la puerta de enlace predeterminada para todos los equipos conectados a sus interfaces de confianza u opcionales.
Acerca de las máscaras de subred Debido a cuestiones de seguridad y rendimiento, las redes a menudo se dividen en porciones más pequeñas llamadas subred. Todos los dispositivos en una subred tienen direcciones IP similares. Por ejemplo, todos los dispositivos que tienen direcciones IP cuyos tres primeros octetos son 50.50.50 pertenecen a la misma subred. La subnet mask o máscara de red de una dirección IP de red es una serie de bits que enmascaran secciones de la dirección IP que identifican qué partes de la dirección IP son para la red y qué partes son para el host. Una puede escribirse del mismo modo que una dirección IP o en notación diagonal o CIDR (enrutamiento de interdominios sin clases).
Acerca de las Notación diagonal Firebox utiliza notación diagonal para muchos fines, entre ellos la configuración de políticas. La notación diagonal, conocida también como notación CIDR (enrutamiento de interdominios sin clases) , es un modo compacto de mostrar o escribir una máscara de subred. Cuando se usa notación diagonal, se escribe la dirección IP , una barra diagonal hacia adelante (/) y el número de máscara de subred. Para encontrar el número de máscara de subred el usuario debe: 1. Convertir la representación decimal de la máscara de subred a una representación binaria. 2. Contar cada "1" en la máscara de subred. El total es el número de máscara de subred.
Guía del Usuario
3
Introducción a la seguridad de red
Por ejemplo, el usuario desea escribir la dirección IP 192.168.42.23 con una máscara de subred de 255.255.255.0 en notación diagonal. 1. Convertir la máscara de subred a una representación binaria. En este ejemplo, la representación binaria de 255.255.255.0 es: 11111111.11111111.11111111.00000000.
2. Contar cada "1" en la máscara de subred. En este ejemplo, hay veinticuatro (24).
3. Escribir la dirección IP original, una barra diagonal hacia adelante (/) y luego el número del paso 2. El resultado es 192.168.42.23/24.
La siguiente tabla muestra máscaras de red comunes y sus equivalentes en notación diagonal. Máscara de red
Equivalente diagonal
255.0.0.0
/8
255.255.0.0
/16
255.255.255.0
/24
255.255.255.128 /25 255.255.255.192 /26 255.255.255.224 /27 255.255.255.240 /28 255.255.255.248 /29 255.255.255.252 /30
Acerca del ingreso de Direcciones IP Cuando se ingresan direcciones IP en el Quick Setup Wizard o en cuadros de diálogo, se deben ingresar los dígitos y decimales en la secuencia correcta. No se debe usar la tecla TAB, las teclas de flecha, la barra espaciadora ni el mouse para colocar el cursor después de los decimales. Por ejemplo si ingresa la dirección IP 172.16.1.10, no ingrese un espacio después de ingresar 16. No intente colocar el cursor después del decimal subsiguiente para ingresar 1. Ingrese un decimal directamente después de 16 y luego ingrese 1.10. Presione la tecla de barra inclinada (/) para desplazarse a la máscara de red.
estáticas y dinámicas Direcciones IP Los ISP (proveedores de servicios de Internet) asignan una dirección IP a cada dispositivo en la red. La dirección IP puede ser estática o dinámica.
4
Fireware XTM Web UI
Introducción a la seguridad de red
Direcciones IP estáticas Una dirección IP estática es una dirección IP que permanece siempre igual. Si tiene un servidor web, un servidor FTP u otro recurso de Internet que debe tener una dirección que no puede cambiar, puede obtener una dirección IP estática de su ISP. Una dirección IP estática generalmente es más costosa que una dirección IP dinámica. Algunos ISP no proveen direcciones IP estáticas. La dirección IP estática debe configurarse en forma manual.
Direcciones IP dinámicas Una dirección IP dinámica es una dirección IP que el ISP permite utilizar en forma temporal a un usuario. Si una dirección dinámica no está en uso, puede ser asignada automáticamente a un dispositivo diferente. Las direcciones IP dinámicas se asignan a través de DHCP o PPPoE.
Acerca de DHCP El Protocolo de Configuración Dinámica de Host (DHCP) es un protocolo de Internet que los equipos en red utilizan para obtener direcciones IP y otra información como la puerta de enlace predeterminada. Cuando el usuario se conecta a Internet, un equipo configurado como un servidor DHPC en el ISP le asigna automáticamente una dirección IP. Podría ser la misma dirección IP que tenía anteriormente o podría ser una nueva. Cuando se cierra una conexión a Internet que usa una dirección IP dinámica, el ISP puede asignar esa dirección IP a un cliente diferente. El dispositivo WatchGuard se puede configurar como servidor DHCP para las redes detrás del dispositivo. Se asigna un rango de direcciones para que el servidor DHCP use.
Acerca de PPPoE Algunos ISP asignan direcciones IP a través del Protocolo punto a punto por Ethernet (PPPoE). PPPoE agrega algunas de las funciones de Ethernet y del protocolo punto a punto (PPP) a una conexión de acceso telefónico estándar. Este protocolo de red permite al ISP utilizar los sistemas de facturación, autenticación y seguridad de su infraestructura telefónica con productos DSL de módem y de módem por cable.
Acerca de las DNS (sistema de domain name) Con frecuencia se puede encontrar la dirección de una persona desconocida en el directorio telefónico. En Internet, el equivalente a un directorio telefónico es el DNS(sistema de domain name). El DNS es una red de servidores que traducen direcciones IP numéricas en direcciones de Internet legibles y viceversa. El DNS toma el domain name amistoso que el usuario ingresa cuando desea ver un sitio web particular, como www.example.com y encuentra la dirección IP equivalente, como 50.50.50.1. Los dispositivos de red necesitan la dirección IP real para encontrar el sitio web, pero para los usuarios es mucho más fácil ingresar y recordar los domain names que las direcciones IP. Un servidor DNS es un servidor que realiza esta traducción. Muchas organizaciones tienen un servidor DNS privado en su red que responde a solicitudes de DNS. También se puede usar un servidor DNS en la red externa, como un servidor DNS proporcionado por el ISP (proveedor de servicios de Internet).
Guía del Usuario
5
Introducción a la seguridad de red
Acerca de firewall Un dispositivo de seguridad de red, como un firewall, separa a las redes internas de las conexiones de la red externa para disminuir el riesgo de un ataque externo. La siguiente figura muestra el modo en que el firewall protege de Internet a los equipos de una red de confianza.
Los firewall usan políticas de acceso para identificar y filtrar diferentes tipos de información. También pueden controlar qué políticas o puertos pueden usar los equipos protegidos en Internet (acceso saliente). Por ejemplo, muchos firewall tienen políticas de seguridad de prueba que permiten sólo tipos de tráfico específicos. Los usuarios pueden seleccionar la política más conveniente para ellos. Otros firewall, por ejemplo los dispositivos WatchGuard como el Firebox, permiten al usuario personalizar estas políticas. Para más informaciones, vea Acerca de servicios y políticas en la página 7 y Acerca de puertos en la página 8
6
Fireware XTM Web UI
Introducción a la seguridad de red
Los firewall pueden ser hardware o software. Un firewall protege a las redes privadas de usuarios no autorizados en Internet y examina el tráfico que ingresa a redes protegidas o sale de éstas. El firewall rechaza el tráfico de red que no coincide con los criterios o políticas de seguridad. En algunos firewall cerrados o de rechazo predeterminado, todas las conexiones de red son rechazadas a menos que exista una regla específica para permitir la conexión. Para implementar este tipo de firewall, se debe tener información detallada acerca de las aplicaciones de red requeridas para satisfacer las necesidades de una organización. Otros firewall permiten todas las conexiones de red que no han sido rechazadas explícitamente. Este tipo de firewall abierto es más fácil de implementar, pero no es tan seguro.
Acerca de servicios y políticas El usuario utiliza un servicio para enviar diferentes tipos de datos (como correo electrónico, archivos o comandos) desde una computadora a otra a través de una red o a una red diferente. Estos servicios utilizan protocolos. Los servicios de Internet utilizados con frecuencia son: n n
n n n
El acceso a la World Wide Web utiliza el Protocolo de transferencia de hipertexto (HTTP). El correo electrónico utiliza el Protocolo simple de transferencia de correo (SMTP) o el Protocolo de Oficina de Correos (POP3). La transferencia de archivos utiliza el Protocolo de transferencia de archivos (FTP). Resolver un domain name a una dirección de Internet utiliza el Servicio de Domain Name (DNS). El acceso a un terminal remoto utiliza Telnet o SSH (Secure Shell).
Cuando se autoriza o se rechaza un servicio, se debe agregar una política a la configuración del dispositivo WatchGuard. Cada política que se agrega también puede sumar un riesgo de seguridad. Para enviar y recibir datos, se debe abrir una puerta en la computadora, lo cual pone en riesgo a la red. Recomendamos agregar sólo las políticas necesarias para la empresa. Como ejemplo del modo en que se utiliza una política, supongamos que el administrador de red de una empresa desea activar una conexión de servicios de terminal de Windows al servidor web público de la empresa en la interfaz opcional del Firebox. Periódicamente administra el servidor web con una conexión
Guía del Usuario
7
Introducción a la seguridad de red
de Escritorio Remoto. Al mismo tiempo desea asegurarse de que ningún otro usuario de la red pueda utilizar los servicios de terminal del Protocolo de Escritorio Remoto a través del Firebox. El administrador de red debe agregar una política que permita conexiones RDP sólo desde la dirección IP de su propio equipo de escritorio a la dirección IP del servidor web público. Cuando se configura el dispositivo WatchGuard con el Quick Setup Wizard, el asistente sólo agrega conectividad saliente limitada. Si el usuario tiene más aplicaciones de software y tráfico de red para que examine Firebox, debe: n n n
Configurar las políticas en Firebox para que transfieran en tráfico necesario. Definir las propiedades y hosts aprobados para cada política Equilibrar el requisito para proteger la red contra los requisitos de los usuarios de obtener acceso a recursos externos.
Acerca de puertos Aunque los equipos tienen puertos de hardware que se utilizan como puntos de conexión, los puertos también son números utilizados para asignar tráfico a un proceso particular en un equipo. En estos puertos, también llamados puertos TCP y UDP los programas transmiten datos. Si una dirección IP es como la dirección de una calle, un número de puerto es como un número de departamento o edificio dentro de esa calle. Cuando un equipo envía tráfico a través de Internet a un servidor u otro equipo, utiliza una dirección IP para identificar al servidor o equipo remoto y un número de puerto para identificar el proceso en el servidor o equipo que recibe los datos. Por ejemplo, supongamos que deseamos ver una página web en particular. El explorador web intenta crear una conexión en el puerto 80 (el puerto utilizado para tráfico HTTP) para cada elemento de la página web. Cuando el explorador recibe los datos que solicita al servidor HTTP, como una imagen, cierra la conexión. Muchos puertos se usan sólo para un tipo de tráfico, como el puerto 25 para SMTP (Protocolo simple de transferencia de correo ). Algunos protocolos, como SMTP, tienen puertos con números asignados. A otros programas se les asignan números de puerto en forma dinámica para cada conexión. IANA (Internet Assigned Numbers Authority) mantiene una lista de puertos conocidos. Se puede acceder a esta lista a través de: http://www.iana.org/assignments/port-numbers La mayoría de las políticas que se agregan a la configuración del Firebox tienen un número de puerto entre 0 y 1024, pero los números de puerto posibles pueden ser entre 0 y 65535. Los puertos están abiertos o cerrados. Si un puerto está abierto, el equipo acepta información y utiliza el protocolo identificado con ese puerto para crear conexiones a otros equipos. Sin embargo, un puerto abierto es un riesgo de seguridad. Para protegerse contra riesgos creados por los puertos abiertos, se pueden bloquear los puertos utilizados por los hackers para atacar a la red. Para más informaciones, vea Acerca de los puertos bloqueados en la página 347.
El dispositivo WatchGuard y la red El dispositivo WatchGuard es un dispositivo de seguridad de red altamente eficaz que controla todo el tráfico entre la red externa y la red de confianza. Si equipos con confianza combinada se conectan a la red, también se puede configurar una interfaz de red opcional que esté separada de la red de confianza. Luego se puede configurar el firewall en el dispositivo para detener todo el tráfico sospechoso de la red externa a
8
Fireware XTM Web UI
Introducción a la seguridad de red
las redes de confianza y opcionales. Si se enruta todo el tráfico para los equipos de confianza combinada a través de la red opcional, se puede aumentar la seguridad para esas conexiones a fin de sumar más flexibilidad a la solución de seguridad. Por ejemplo, los clientes con frecuencia usan la red opcional para los usuarios remotos o para servidores públicos como un servidor web o un servidor de correo electrónico. Algunos clientes que adquieren un dispositivo WatchGuard no conocen demasiado sobre redes informáticas o seguridad de red. La Web UI (interfaz de usuario basada en la web) de Fireware XTM provee muchas herramientas de autoayuda para estos clientes. Los clientes con más experiencia pueden utilizar la integración avanzada y las múltiples funciones de soporte WAN del Fireware Appliance Software XTM Pro para conectar un dispositivo WatchGuard a una red de área ancha mayor. El dispositivo WatchGuard se conecta a un módem por cable, DSL de módem o enrutador ISDN. La Web UI puede utilizarse para administrar sin percances las configuraciones de seguridad de red desde diferentes ubicaciones y en cualquier momento. Así se obtiene más tiempo y recursos para utilizar en otros equipos de la empresa.
Guía del Usuario
9
Introducción a la seguridad de red
Guía del Usuario
10
2
Introducción a Fireware XTM
Introducción a Fireware XTM Fireware XTM le ofrece una forma sencilla y eficiente de visualizar, administrar y monitorear cada Firebox en su red. La solución Fireware XTM incluye cuatro aplicaciones de software: n n n n
WatchGuard System Manager (WSM) Fireware XTM Web UI Command Line Interface (CLI) de Fireware XTM WatchGuard Server Center
Posiblemente sea necesario utilizar más de una aplicación Fireware XTM para configurar la red de una organización. Por ejemplo, si se tiene sólo un producto Firebox X Edge e-Series, la mayoría de las tareas de configuración pueden realizarse con la Fireware XTM Web UI o la Command Line Interface de Fireware XTM. Sin embargo, para funciones de administración y registro más avanzadas, se debe utilizar WatchGuard Server Center. Si el usuario administra más de un dispositivo WatchGuard o si ha comprado Fireware XTM con una actualización Pro, recomendamos utilizar WatchGuard System Manager (WSM). Si el usuario decide administrar y monitorear la configuración con la Fireware XTM Web UI , algunas funciones no pueden configurarse. Para obtener más información acerca de estas limitaciones, consulte Limitaciones de la Fireware XTM Web UI en la página 31. Para obtener más información acerca de cómo conectarse a Firebox con el WatchGuard System Manager o la Command Line Interface de Fireware XTM, consulte la Ayuda en línea o la Guía del usuario para esos productos. Se puede visualizar y descargar la documentación más reciente para estos productos en la página Documentación del producto de Fireware XTM: http://www.watchguard.com/help/documentation/xtm.asp. Nota Los términos Firebox y dispositivo WatchGuard que se encuentran a lo largo de toda esta documentación se refieren a productos de WatchGuard que usan Fireware XTM, como el dispositivo Firebox X Edge e-Series.
Guía del Usuario
11
Introducción a Fireware XTM
Componentes de Fireware XTM Para iniciar WatchGuard System Manager o WatchGuard Server Center desde el escritorio de Windows, seleccione el acceso directo desde el menú de Inicio. WatchGuard Server Center también puede iniciarse desde un ícono en la bandeja del sistema. Desde estas aplicaciones, se pueden iniciar otras herramientas que ayudan a administrar la red. Por ejemplo, se puede iniciar HostWatch o el Policy Manager desde WatchGuard System Manager (WSM).
el WatchGuard System Manager WatchGuard System Manager (WSM) es la principal aplicación para la administración de red con Firebox. WSM se puede utilizar para administrar muchos dispositivos Firebox diferentes, incluso aquellos que usan distintas versiones de software. WSM incluye un conjunto integral de herramientas que ayudan a monitorear y controlar el tráfico de red. Policy Manager Se puede utilizar el Policy Manager para configurar el firewall. El Policy Manager incluye un conjunto completo de filtrados de paquetes preconfigurados, políticas de proxy y puertas de enlace de la capa de aplicación (ALG). El usuario también puede establecer un filtrado de paquetes personalizado, una política de proxy o ALG en los cuales se configuran los puertos, los protocolos y otras opciones. Otras funciones del Policy Manager ayudan a detener los intentos de intrusión en la red, como ataques de congestión del servidor SYN, ataques de suplantación de paquetes y sondeos de espacio entre puertos o direcciones. Firebox System Manager (FSM) El Firebox System Manager provee una interfaz para monitorear todos los componentes del dispositivo WatchGuard. Desde FSM, se puede ver el estado en tiempo real de Firebox y su configuración.
12
Fireware XTM Web UI
Introducción a Fireware XTM
HostWatch HostWatch es un monitor de conexión en tiempo real que muestra el tráfico de red entre diferentes interfaces de Firebox. HostWatch también muestra información acerca de usuarios, conexiones, puertos y servicios. LogViewer El LogViewer es la herramienta del WatchGuard System Manager usada para ver datos del archivo de registro. Puede mostrar los datos de registro página por página, o buscar y exhibir por palabras claves o campos de registro especificados. Report Manager El Report Manager puede usarse para generar informes de los datos reunidos desde los Log Servers para todos los dispositivos WatchGuard. Desde el Report Manager, se pueden ver los Informes WatchGuard disponibles para los dispositivos WatchGuard. Administrador de CA El Administrador de la autoridad de certificación (CA) muestra una lista completa de certificados de seguridad instalados en el equipo de administración con Fireware XTM. Esta aplicación puede utilizarse para importar, configurar y generar certificados para uso con túneles VPN y otros fines de autenticación.
WatchGuard Server Center WatchGuard Server Center es la aplicación donde se configuran y monitorean todos los servidores WatchGuard. Management Server El Management Server funciona en un equipo Windows. Con este servidor, se pueden administrar todos los dispositivos de firewall y crear túneles de red privada virtual (VPN) utilizando una simple función de arrastrar y soltar. Las funciones básicas del Management Server son: n
n n
Autoridad de certificación para distribuir certificados para túneles de seguridad del protocolo de Internet (IPSec). Administración de la configuración del túnel VPN. Administración de múltiples dispositivos Firebox y Firebox X Edge.
Log Server El Log Server reúne los mensajes de registro de cada Firebox de WatchGuard. Estos mensajes de registro están cifrados cuando se envían al Log Server. El formato del mensaje de registro es XML (texto sin formato). La información reunida de dispositivos de firewall incluye los siguientes mensajes de registro: tráfico, evento, alarma, depuración (diagnóstico) y estadística. WebBlocker Server El WebBlocker Server funciona con el proxy HTTP del Firebox para denegar el acceso de usuarios a categorías específicas de sitios web. Durante la configuración del Firebox, el administrador establece las categorías de sitios web para permitir o bloquear.
Guía del Usuario
13
Introducción a Fireware XTM
Para obtener más información sobre WebBlocker y el WebBlocker Server, consulte Acerca de las WebBlocker en la página 561. Quarantine Server El Quarantine Server reúne y aísla mensajes de correo electrónico que según la sospecha de spamBlocker son spam o pueden tener un virus. Para más informaciones, vea Página Acerca de Quarantine Server en la página 635. Report Server El Report Server periódicamente agrupa los datos reunidos por los Log Servers en los dispositivos WatchGuard y luego genera informes en forma periódica. Una vez que los datos se encuentran en el Report Server, se puede utilizar el Report Manager para generar y ver los informes.
Fireware XTM Web UI e interfaz de la línea de comandos La Fireware XTM Web UI y la Command Line Interface son soluciones de administración alternativas que pueden realizar la mayoría de las mismas tareas que WatchGuard System Manager y el Policy Manager . Algunas opciones y funciones de configuración avanzada, como las configuraciones de FireCluster o política de proxy, no están disponibles en la Fireware XTM Web UI o la Command Line Interface. Para más informaciones, vea Acerca del Fireware XTM Web UI en la página 30.
Fireware XTM con Actualización Pro La actualización Pro a Fireware XTM provee varias funciones avanzadas para clientes con experiencia, como balance de carga en el servidor y túneles SSL VPN adicionales. Las funciones disponibles con una actualización Pro dependen del tipo y el modelo de Firebox:
Función
Core eSeries
FireCluster
VLANs
Edge eSeries
Edge e-Series (Pro)
X
75 máx.
75 máx. (Core) 200 máx. (Peak/XTM 1050)
20 máx.
50 máx.
Dynamic Routing (OSPF y BGP)
X
Enrutamiento basado en la política
X
Balance de carga en el servidor
X
Túneles SSL VPN máximos
X
X
X
X
X
X
Conmutación por error de WAN múltiples Balance de carga de WAN múltiples
14
Core/Peak e-Series y XTM XTM 1050 (Pro)
X
X
Fireware XTM Web UI
Introducción a Fireware XTM
Para adquirir Fireware XTM con una actualización Pro, comuníquese con su revendedor local.
Guía del Usuario
15
Introducción a Fireware XTM
Guía del Usuario
16
3
Servicio y soporte
Acerca de las Soporte de WatchGuard WatchGuard® sabe qué importante resulta el soporte cuando debe asegurar su red con recursos limitados. Nuestros clientes requieren más conocimiento y asistencia en un mundo donde la seguridad es de importancia crítica. LiveSecurity® Service le proporciona el respaldo que necesita, con una suscripción que respalda su dispositivo WatchGuard desde el momento del registro.
LiveSecurity® Service Su dispositivo WatchGuard incluye una suscripción al innovador LiveSecurity® Service, que se activa en línea cuando registra el producto. En el momento de la activación, la suscripción de LiveSecurity® Service le otorga acceso a un programa de soporte y mantenimiento sin comparación en la industria. LiveSecurity® Service viene con los siguientes beneficios: Garantía de hardware con reemplazo de hardware avanzado Una suscripción activa de LiveSecurity extiende la garantía de hardware de un año incluida con cada dispositivo WatchGuard. Su suscripción además ofrece el reemplazo de hardware avanzado para minimizar el tiempo de inactividad en caso de una falla de hardware. Si tiene una falla de hardware, WatchGuard le enviará una unidad de reemplazo antes de que tenga que enviar el hardware original. Actualizaciones de software Su suscripción de LiveSecurity® Service le proporciona acceso a las actualizaciones del software actual y a las mejoras funcionales para sus productos WatchGuard. Soporte técnico Cuando necesita asistencia, nuestros equipos expertos están listos para ayudarlo: n n
Representantes disponibles 12 horas al día, 5 días a la semana en su zona horaria local* Tiempo máximo de respuesta inicial focalizada de cuatro horas
Guía del Usuario
17
Servicio y soporte
n
Acceso a foros para usuarios en línea moderados por ingenieros generales de soporte
Recursos y alertas de soporte Su suscripción de LiveSecurity® Service le brinda acceso a una variedad de videos instructivos de producción profesional, cursos de capacitación interactivos en Internet y herramientas en línea diseñadas específicamente para responder las preguntas que pueda tener acerca de la seguridad de red en general o los aspectos técnicos de la instalación, la configuración y el mantenimiento de sus productos WatchGuard. Nuestro Equipo de respuesta rápida, un grupo dedicado de expertos en seguridad de red, monitorea Internet para identificar las amenazas emergentes. Luego, emite Transmisiones de LiveSecurity para indicarle de manera específica lo que debe hacer para encargarse de cada nueva amenaza. Puede personalizar sus preferencias de alerta para seleccionar cuidadosamente el tipo de avisos y alertas que le envía LiveSecurity® Service.
LiveSecurity® Service Gold LiveSecurity® Service Gold está disponible para las compañías que requieren disponibilidad las 24 horas. Este servicio de soporte de primera calidad otorga una mayor cantidad de horas de cobertura y tiempos de respuesta más rápidos gracias a la asistencia de soporte remoto las 24 horas. LiveSecurity Service Gold es necesario en cada unidad de su organización para contar con una cobertura completa.
18
Características del servicio
LiveSecurity® Service
LiveSecurity® Service Gold
Horarios de soporte técnico
De lunes a viernes, de 6.00 a. m. a 6.00 p. m.*
las 24 horas
Número de incidentes de soporte (en línea o por teléfono)
5 por año
Ilimitada
Tiempo de respuesta inicial focalizada
4 horas
1 hora
Foro de soporte interactivo
Sí
Sí
Actualizaciones de software
Sí
Sí
Herramientas de autoayuda y capacitación en línea Sí
Sí
Transmisiones de LiveSecurity
Sí
Sí
Asistencia de instalación
Opcional
Opcional
Paquete de soporte de tres incidentes
Opcional
N/A
Actualización de respuesta de prioridad de una hora, para un solo incidente
Opcional
N/A
Actualización para un solo incidente fuera del horario de trabajo habitual
Opcional
N/A
Fireware XTM Web UI
Servicio y soporte
* En la región del pacífico asiático, los horarios de soporte estándar son de lunes a viernes, de 9.00 a. m. a 9.00 p. m. (GMT +8).
Expiración del servicio Le recomendamos mantener su suscripción activa para asegurar su organización. Cuando su suscripción de LiveSecurity expira, usted pierde el acceso a advertencias de seguridad actualizadas y actualizaciones de software periódicas, lo que puede poner su red en peligro. El daño a la red resulta mucho más costoso que una renovación de la suscripción de LiveSecurity® Service. Si realiza la renovación dentro de 30 días, no se le cobrará una tarifa de reingreso.
Guía del Usuario
19
Servicio y soporte
Guía del Usuario
20
4
Introducción
Antes de empezar Antes de empezar el proceso de instalación, asegúrese de concluir las tareas descritas en las siguientes secciones. Nota En esas instrucciones de instalación, suponemos que su dispositivo WatchGuard tenga una interfaz de confianza, una externa y una opcional configurada. Para configurar interfaces adicionales en su dispositivo, use las herramientas y procedimientos de configuración descritos en los tópicos Configuración de red y Configuración.
Verificar componentes básicos Asegurarse de que tiene esos ítems: n n n
Un equipo de tarjeta de interfaz de red Ethernet 10/100BaseT y un explorador web instalados Un dispositivo Firebox o XTM de WatchGuard Un cable serial (azul) solamente modelos Firebox X Core, Peak y XTM de WatchGuard
n
Un cable cruzado de Ethernet (rojo) solamente modelos Firebox X Core, Peak y XTM de WatchGuard
n n
Un cable recto de Ethernet (verde) Cable de energía o adaptador de energía CA
Obtener tecla de función del dispositivo WatchGuard Para habilitar todas las funciones de su dispositivo WatchGuard, debe registrar el dispositivo en el sitio web de LiveSecurity de WatchGuard y obtener su tecla de función. El Firebox tiene sólo una licencia de usuario (licencia por puesto) hasta que aplica su tecla de función.
Guía del Usuario
21
Introducción
Si registra su dispositivo WatchGuard antes de usar el Quick Setup Wizard, puede pegar una copia de su tecla de función en el asistente. El asistente entonces la aplica a su dispositivo. Si no pega su tecla de función en el asistente, aún puede finalizarlo. Hasta que se agregue la tecla de función, sólo una conexión es permitida a Internet. También se obtiene una nueva tecla de función para cualquier producto o servicio opcional cuando los compra. Después de registrar su dispositivo WatchGuard o cualquier nueva función, puede sincronizar su tecla de función del dispositivo WatchGuard con las teclas guardadas en su perfil de registro en el sitio de LiveSecurity de WatchGuard. Puede usar Fireware XTM Web UI en cualquier momento para obtener su tecla de función. Para saber cómo registrar su dispositivo WatchGuard y obtener una tecla de función, vea Obtener una tecla de función junto a LiveSecurity en la página 52.
Recoger direcciones de red Recomendamos que registre su información de red antes y después de configurar su dispositivo WatchGuard. Use la primera tabla abajo para sus direcciones IP de red antes de poner su dispositivo en funcionamiento. Para más información acerca de cómo identificar sus direcciones IP de red, vea Identificar sus configuraciones de red en la página 35. WatchGuard usa la notación diagonal para mostrar la Subnet Mask. Para más informaciones, vea Acerca de las Notación diagonal en la página 3. Para más información acerca de las direcciones IP, vea Acerca de las Direcciones IP en la página 3. Tabla 1: Direcciones IP de red sin el dispositivo WatchGuard Red de Área Amplia
_____._____._____._____ / ____
Puerta de enlace predeterminada
_____._____._____._____
Red de área local
_____._____._____._____ / ____
Secondary Network (si corresponde)
_____._____._____._____ / ____
Servidor(es) Público(s) (si corresponde)
_____._____._____._____ _____._____._____._____ _____._____._____._____
Use la segunda tabla para sus direcciones IP de red después de poner su dispositivo WatchGuard en funcionamiento. Interfaz externa Conecta a la red externa (generalmente Internet) que no sea de confianza. Interfaz de confianza Conecta a la red interna o LAN (red de área local) privada que desea proteger.
22
Fireware XTM Web UI
Introducción
Interfaz opcional Generalmente conecta a un área de confianza combinada de su red, tales como servidores en DMZ (zona desmilitarizada). Puede usar interfaces opcionales para crear zonas en la red con diferentes niveles de acceso. Tabla 1: Direcciones IP de red con el dispositivo WatchGuard Puerta de enlace predeterminada
_____._____._____._____
Interfaz externa
_____._____._____._____/ ____
Interfaz de confianza
_____._____._____._____ / ____
Interfaz opcional
_____._____._____._____ / ____
Secondary Network (si corresponde)
_____._____._____._____ / ____
Seleccione un modo configuración de firewall Debe elegir cómo desea conectar el dispositivo WatchGuard a su red antes de ejecutar el Quick Setup Wizard. La forma como conecta el dispositivo controla la configuración de la interfaz. Cuando conecta el dispositivo, selecciona el modo de configuración — enrutado o directo — que mejor de adecue a su red actual. Muchas redes funcionan mejor con la configuración de enrutamiento combinado, pero recomendamos el modo directo si: n n
Ya asignó un gran número de direcciones IP estáticas y no desea alterar su configuración de red. No se puede configurar los equipos en redes de confianza y opcional que tengan direcciones IP públicas con direcciones IP privadas.
Esa tabla y las descripciones abajo de ella muestran tres condiciones que pueden ayudar a seleccionar el modo configuración del firewall. Modo de enrutamiento combinado
Modo directo
Todas las interfaces del dispositivo WatchGuard están el redes diferentes.
Todas las interfaces del dispositivo WatchGuard están en la misma red y tienen la misma dirección IP.
Las interfaces de confianza y opcional deben estar en redes diferentes. Cada interfaz tiene una dirección IP en su red.
Los equipos en las interfaces de confianza u opcional pueden tener una dirección IP pública.
Use la NAT (traducción de dirección de red) estática para asignar direcciones públicas a direcciones privadas detrás de las interfaces de confianza u opcionales.
La NAT no es necesaria porque los equipos con acceso público tienen direcciones IP.
Para más información acerca del modo directo, vea Acerca de la configuración de red en modo directo en la página 89.
Guía del Usuario
23
Introducción
Para más información acerca del modo de enrutamiento combinado, vea Modo de enrutamiento combinado en la página 82. El dispositivo WatchGuard también soporta un tercer modo configuración llamado modo puente. Ese modo es usado con menos frecuencia. Para más información acerca del modo puente, vea Modo Bridge en la página 94. Nota Puede usar el Web Setup Wizard o el Quick Setup Wizard del WSM para crear su configuración inicial. Cuando ejecuta el Web Setup Wizard, la configuración firewall es automáticamente definida en modo de enrutamiento combinado. Cuando ejecuta el Quick Setup Wizard del WSM, puede configurar el dispositivo en modo de enrutamiento combinado o modo directo. Ahora puede iniciar el Quick Setup Wizard. Para más informaciones, vea Acerca del Quick Setup Wizard en la página 24.
Acerca del Quick Setup Wizard Se puede usar la Quick Setup Wizard para crear una configuración básica para su dispositivo WatchGuard. El dispositivo usa ese archivo de configuración básica cuando se inicia por primera vez. Eso permite que funcione como un firewall básico. Puede usar ese mismo procedimiento a cualquier momento para restablecer el dispositivo en una configuración básica nueva. Eso es útil para la recuperación del sistema. Cuando configura su dispositivo WatchGuard con el Quick Setup Wizard, se definen sólo las políticas básicas (TCP y UDP salientes), filtrado de paquetes del FTP, ping y WatchGuard) y direcciones IP de interfaz. Si tiene más aplicaciones de software y tráfico de red para que el dispositivo busque, debe: n n n
Configurar las políticas en el dispositivo WatchGuard para dejar pasar el tráfico necesario Definir las propiedades y hosts aprobados para cada política Balancear el requisito para proteger su red contra los requisitos de sus usuarios para conectarse a recursos externos
Para instrucciones acerca de cómo ejecutar el asistente a partir del explorador web, vea Ejecutar el Web Setup Wizard en la página 24.
Ejecutar el Web Setup Wizard Nota Esas instrucciones son para el Web Setup Wizard en un Firebox que usa el Fireware XTM v11.0 o posterior. Si su dispositivo WatchGuard usa una versión anterior del software, debe actualizar para el Fireware XTM antes de usar esas instrucciones. Vea las Notas de versión para las instrucciones de actualización para su modelo de Firebox. Puede usar el Web Setup Wizard para hacer una configuración básica en un dispositivo WatchGuard XTM o Firebox X e-Series. El Web Setup Wizard automáticamente configura el Firebox en el modo de enrutamiento combinado.
24
Fireware XTM Web UI
Introducción
Para usar el Web Setup Wizard, debe hacer una conexión de red directa hacia el dispositivo WatchGuard y usar un explorador web para iniciar el asistente. Cuando configura su dispositivo WatchGuard, él usa DHCP para enviar una nueva dirección IP a su equipo. Antes de iniciar el Web Setup Wizard, asegúrese de: n n
Registrar su dispositivo WatchGuard con el LiveSecurity Service Almacenarunacopiade latecladefuncióndeldispositivoWatchGuardenunarchivodetextoensuequipo
Iniciar el Web Setup Wizard 1. Use el cable cruzado de Ethernet que viene con su Firebox para conectar el equipo de administración a la interfaz de confianza del Firebox. n n
Para un dispositivo Firebox X Core, Peak e-Series, o XTM, la interfaz de confianza es la número 1 Para un Firebox X Edge E-Series, la interfaz de confianza es la LAN0
2. Conecte el cable de energía a la entrada de energía del dispositivo WatchGuard y a una fuente de energía. 3. Inicie el Firebox en modo predeterminado de fábrica. En los modelos Core, Peak y XTM, eso se conoce como modo seguro. Para más informaciones, vea Restablecer un dispositivo Firebox o XTM a una configuración anterior o nueva en la página 48. 4. Asegúrese de que su equipo esté configurado para aceptar una dirección IP asignada por DHCP. Si su equipo usa Windows XP: n
n n n
En el menú Windows Inicio, seleccione Todos los programas > Panel de control > Conexiones de red > Conexiones de área local. Haga clic en Propiedades. Seleccione Protocolo de Internet (TCP/IP) y haga clic en Propiedades. Asegúrese de que Obtener una dirección IP automáticamente esté seleccionado.
Para instrucciones más detalladas, vea Identificar sus configuraciones de red en la página 35. 5. Si su explorador usa un servidor proxy de HTTP, debe desactivar temporalmente la configuración proxy HTTP en su explorador. Para más informaciones, vea Desactive el proxy de HTTP en el explorador en la página 39. 6. Abra el explorador web e ingrese la dirección IP predeterminada de fábrica de interfaz 1. Para un Firebox X Core o Peak, o un dispositivo WatchGuard XTM, la dirección IP es: https://10.0.1.1:8080 . Para un Firebox X Edge, la dirección es: https://192.168.111.1:8080 . Si usa el Internet Explorer, asegúrese de ingresar el https:// al principio de la dirección IP. Eso establece una conexión HTTP segura entre su equipo de administración y el dispositivo WatchGuard. El Web Setup Wizard se inicia automáticamente.
7. Registre las credenciales de cuenta del administrador: Nombre de usuario: admin Frase de contraseña: lecturaescritura 8. Complete las siguientes pantallas del asistente.
Guía del Usuario
25
Introducción
El Web Setup Wizard incluye ese grupo de cuadros de diálogo. Algunos cuadros de diálogo aparecen sólo si selecciona ciertos métodos de configuración: Ingresar Ingresar con las credenciales de cuenta del administrador. Para Nombre de usuario, seleccione admin. Para Frase de contraseña, use la frase: lecturaescritura. Bienvenido La primera pantalla le informa sobre el asistente. Seleccione un tipo de configuración. Seleccione si prefiere crear una nueva configuración o restaurar una configuración a partir de una imagen de copia de seguridad guardada. Acuerdo de licencia Debe aceptar el acuerdo de licencia para continuar con el asistente. Opciones de tecla de función, Retener tecla de función, Aplicar tecla de función Si su Firebox todavía no tiene una tecla de función, el asistente provee opciones para que descargue o importe una tecla de función. El asistente sólo puede descargar una tecla de función si tiene una conexión a Internet. Si descargó una copia local de la tecla de función a su equipo, puede pegarla en el asistente de configuración. Si el Firebox no tiene una conexión a Internet mientras ejecuta el asistente y no se registró el dispositivo ni descargó la tecla de función a su equipo antes de haber iniciado el asistente, puede elegir no aplicar una tecla de función. Advertencia Si no aplica una tecla de función en el Web Setup Wizard, debe registrar el dispositivo y aplicar la tecla de función en el Fireware XTM Web UI. La funcionalidad del dispositivo es limitada hasta que se aplique una tecla de función. Configurar la interfaz externa de su Firebox Seleccione el método que su ISP usa para asignar su dirección IP. Las opciones son DHCP, PPPoE o estática. Configurar la interfaz externa para DHCP Ingrese su identificación de DHCP, tal como su ISP la provee. Configurar la interfaz externa para PPPoE Ingrese su información de PPPoE, tal como su ISP la provee. Configurar la interfaz externa con una dirección IP estática Ingrese su dirección IP estática, tal como su ISP la provee. Configurar los servidores DNS y WINS Ingresar las direcciones de DNS de dominio y servidor WINS que desea que el Firebox utilice Configurar la interfaz de confianza del Firebox
26
Fireware XTM Web UI
Introducción
Ingrese la dirección IP de la interfaz de confianza. Como opción, puede activar el servidor DHCP para la interfaz de confianza. Inalámbrico (Firebox X Edge e-Series inalámbrico solamente) Define la región de funcionamiento, canal y modo inalámbrico. La lista de regiones de funcionamiento inalámbrico que puede seleccionar puede ser diferente según donde haya adquirido su Firebox. Para más informaciones, vea Acerca de configuraciones de radio en Firebox X Edge e-Series inalámbrico en la página 181. Crear frases de contraseña para su dispositivo Ingrese una frase de contraseña para el estado (sólo lectura) y cuentas de administración admin (lectura/escritura) en el Firebox. Habilitar administración remota Active la administración remota si desea administrar ese dispositivo desde la interfaz externa. Agregue la información de contacto para su dispositivo Puede ingresar un nombre de dispositivo, ubicación e información de contacto y guardar los datos de administración para ese dispositivo. Por defecto, el nombre del dispositivo se configura con el número de modelo de su Firebox. Recomendamos que elija un nombre único que pueda usar para identificar fácilmente ese dispositivo, especialmente si usa administración remota. Configurar la zona horaria Seleccione la zona horaria en la que el Firebox está ubicado. El Quick Setup Wizard está concluido Después de concluir el asistente, el dispositivo WatchGuard se reinicia. Si deja el Web Setup Wizard ocioso por 15 minutos o más, debe volver al Paso 3 e iniciar nuevamente. Nota Si cambia la dirección IP de la interfaz de confianza, debe cambiar su configuración de red para asegurarse de que su dirección IP coincide con la subred de la red de confianza antes de conectase al Firebox. Si usa DHCP, reinicie su equipo. Si usa direcciones estáticas, vea Use una dirección IP estática en la página 38.
Después que el asistente se concluye Después que completa todas las pantallas en el asistente, se hace una configuración básica del dispositivo WatchGuard que incluye cuatro políticas (TCP saliente, filtrado de paquetes del FTP, ping y WatchGuard) y las direcciones IP de interfaz especificadas. Puede usar Fireware XTM Web UI para expandir o cambiar la configuración para su dispositivo WatchGuard. n
Para más información acerca de como concluir la instalación de su dispositivo WatchGuard después que se concluye el Web Setup Wizard, vea Concluya su instalación en la página 32.
Guía del Usuario
27
Introducción
n
Para más información acerca de cómo conectarse al Fireware XTM Web UI, vea Conéctese al Fireware XTM Web UI en la página 28.
Si tiene problemas con el asistente Si el Web Setup Wizard no puede instalar el Fireware Appliance Software XTM en el dispositivo WatchGuard, el tiempo de espera del asistente se agota. Si tiene problemas con el asistente, verifique esto: n
El archivo del software de la aplicación Fireware XTM descargado del sitio web LiveSecurity podría estar corrompido. Si la imagen del software está corrompida, en un dispositivo Firebox X Core, Peak o XTM , este mensaje aparece en la interfaz de LCD: Error de archivo truncado. Si ese mensaje aparece, descargue el software nuevamente y pruebe el asistente una vez más.
n
Si usa el Internet Explorer 6, limpie el caché del archivo en el explorador web e intente nuevamente. Para limpiar el caché, en el Internet Explorer seleccione Herramientas > Opciones de Internet > Borrar archivos.
Conéctese al Fireware XTM Web UI Para conectarse a la Fireware XTM Web UI , se utiliza un explorador web para ir a la dirección IP de la interfaz opcional o de confianza del dispositivo WatchGuard a través del número de puerto correcto. Las conexiones a la Web UI están siempre cifradas con HTTPS; el mismo cifrado de alta seguridad utilizado por sitios web de bancos y compras. Se debe utilizar https cuando se ingresa la URL en la barra de dirección del explorador, en lugar de http. De manera predeterminada, el puerto utilizado para la Web UI es 8080. La URL para conectarse a la Web UI en su explorador es: https://:8080
Aquí, es la dirección IP asignada a la interfaz opcional o de confianza. Cuando se realiza esta conexión, el explorador carga el aviso de inicio de sesión. La URL predeterminada para la interfaz de confianza es diferente para el Edge que para los otros modelos de Firebox. n
n
La URL predeterminada para un dispositivo Firebox X Core, Peak o WatchGuard XTM es https://10.0.1.1:8080 . El URL predeterminado para un Firebox X Edge es https://192.168.111.1:8080 .
El usuario puede cambiar la dirección IP de la red de confianza a una dirección IP diferente. Para más informaciones, vea Configuraciones de interfaz comunes en la página 95. Por ejemplo, para usar la URL predeterminada para conectarse a un Firebox X Edge: 1. Abra su explorador web. 2. En la barra de dirección o ubicación, ingrese https://192.168.111.1:8080 y presione Enter. En el explorador aparece una notificación del certificado de seguridad.
28
Fireware XTM Web UI
Introducción
3. Cuando observe la advertencia del certificado, haga clic en Continuar a este sitio web (IE 7) o Agregar excepción (Firefox 3). Esta advertencia aparece porque el certificado que utiliza el dispositivo WatchGuard está firmado por la autoridad de certificación de WatchGuard, que no figura en la lista de autoridades de confianza de su explorador. Nota Esta advertencia aparece cada vez que el usuario se conecta al dispositivo WatchGuard a menos que se acepte el certificado en forma permanente o se genere e importe un certificado para uso del dispositivo. Para más informaciones, vea Acerca de los certificados en la página 385. 4. En la lista desplegable Nombre de usuario, seleccione el nombre de usuario.
5. En el campo Frase de contraseña, ingrese la frase de contraseña. n
n
Si elige el nombre de usuario administrador, ingrese la frase de contraseña de configuración (de lectura-escritura). Si elige el nombre de usuario estado, ingrese la frase de contraseña de estado (de sólo lectura) . Nota De manera predeterminada, la configuración de Firebox sólo permite conexiones a la Fireware XTM Web UI desde las redes opcionales o de confianza. Para cambiar la configuración para permitir conexiones a la Web UI desde la red externa, consulte Conectarse a la Fireware XTM Web UI desde una red externa en la página 29.
Conectarse a la Fireware XTM Web UI desde una red externa La configuración del dispositivo Fireware XTM tiene una política llamada Web UI de WatchGuard. Esta política controla qué interfaces de Firebox pueden conectarse a la Fireware XTM Web UI De manera predeterminada, esta política sólo permite conexiones desde redes Cualquiera de confianza y Cualquiera opcional. Si desea permitir el acceso a la Web UI desde la red externa, debe editar la política Web UI de WatchGuard y agregar Cualquiera externa a la lista Desde. Fireware XTM Web UI : 1. 2. 3. 4.
Seleccione Firewall > Políticas de Firewall. Haga doble clic en la política Web UI de WatchGuard para editarla. Haga clic en la pestaña Política. En la sección Desde, haga clic en Agregar.
Guía del Usuario
29
Introducción
5. Seleccione Cualquiera externa. 6. Haga clic en OK. 7. Haga clic en Guardar.
Acerca del Fireware XTM Web UI La Web UI del Fireware XTM permite monitorear y administrar cualquier dispositivo que utiliza Fireware XTM versión 11 o posterior sin necesidad de instalar ningún otro software en su equipo. El único software que necesita es un explorador que admita Adobe Flash. Debido a que no es necesario instalar ningún software, se puede utilizar la Web UI desde cualquier equipo que tenga conectividad TCP/IP y un explorador. Esto significa que el usuario puede administrar Firebox desde un equipo que tenga Windows, Linux, Mac OS o cualquier otra plataforma, siempre que tenga un explorador compatible con Adobe Flash 9 y conectividad de red. La Web UI es una herramienta de administración en tiempo real. Esto significa que cuando utiliza la Web UI para realizar cambios en un dispositivo, los cambios realizados generalmente tienen efecto inmediato. La Web UI no permite generar una lista de cambios a un archivo de configuración guardado localmente, para enviar muchos cambios al dispositivo de una sola vez en un momento posterior. Esto difiere del Policy Manager de Fireware XTM, lo cual es una herramienta de configuración fuera de línea. Los cambios realizados a un archivo de configuración guardado localmente utilizando el Policy Manager sólo tienen efecto después de que se guarda la configuración en el dispositivo. Nota Se debe completar el Quick Setup Wizard para poder ver la Fireware XTM Web UI . Para más informaciones, vea Ejecutar el Web Setup Wizard en la página 24. También se debe utilizar una cuenta con privilegios de acceso administrativos totales para ver y cambiar las páginas de configuración. En el lado izquierdo de la Fireware XTM Web UI se encuentra la navigation bar del menú principal que se utiliza para seleccionar un grupo de páginas de configuración.
El elemento superior en la navigation bar es el Panel de control, que permite regresar a la página Panel de control de Fireware XTM , la cual se ve en cuanto el usuario se conecta a la Fireware XTM Web UI.
30
Fireware XTM Web UI
Introducción
Todos los demás elementos de la navigation bar contienen elementos de menú secundarios que se usan para configurar las propiedades de esa función. n
n
Para visualizar estos elementos de menú secundarios, haga clic en el nombre del elemento de menú. Por ejemplo, si hace clic en Autenticación, aparecen estos elementos de menú secundarios: Servidores, Configuración, Usuarios y grupos, Certificado de servidor web y Single Sign-On. Para ocultar los elementos de menú secundarios, haga clic nuevamente en el elemento de menú de nivel superior.
Para mostrar los elementos de menú que se amplían o en los que se hace clic, la documentación utiliza el símbolo de flecha derecha (>). Los nombres de menús aparecen en negrita. Por ejemplo, el comando para abrir la página Configuración de autenticación aparece en el texto como Configuración de >Autenticación.
Seleccione el idioma de Fireware XTM Web UI Fireware XTM Web UI admite cinco idiomas. El nombre del idioma seleccionado actualmente se muestra en la parte superior de cada página. Para cambiar a un idioma diferente: 1. Haga clic en el nombre del idioma. Aparecerá una lista desplegable de idiomas.
2. Seleccione el idioma de la lista. Fireware XTM Web UI utiliza el idioma seleccionado.
Limitaciones de la Fireware XTM Web UI Se puede utilizar la Fireware XTM Web UI, WatchGuard System Manager y la Command Line Interface (CLI) de Fireware XTM para configurar y monitorear el dispositivo Fireware XTM. Cuando el usuario desea modificar el archivo de configuración de un dispositivo, puede aplicar cualquiera de estos programas. Sin embargo, hay varios cambios de configuración del dispositivo que no pueden realizarse con la Fireware XTM Web UI. Algunas de las tareas que puede completar en el Policy Manager, pero no con la Web UI incluyen: n
n
Ver o configurar opciones de proxy avanzadas. n La vista avanzada de tipos de contenido proxy no está disponible. n Algunas otras opciones de configuración proxy no están disponibles (varían según el proxy). Editar reglas de NAT estática (sólo se pueden agregar y eliminar)
Guía del Usuario
31
Introducción
n
n n n n n n
n n n n n
Exportar un certificado o ver detalles acerca de un certificado (sólo se pueden importar certificados). Activar la generación de registro de diagnóstico o cambiar los niveles de registro de diagnóstico. Cambiar la generación de registro de opciones de manejo predeterminado de paquetes. Activar o desactivar la notificación de eventos de VPN para sucursales. Agregar o quitar entradas ARP estáticas en la tabla ARP del dispositivo. Obtener el archivo de configuración de Mobile VPN with SSL en forma manual. Obtener la configuración de cliente usuario final de Mobile VPN with IPSec cifrada (.wgx) (sólo se puede obtener el archivo .ini equivalente, pero sin cifrar) Editar el nombre de una política. Agregar una dirección personalizada a una política. Utilizar un nombre de host (Búsqueda de DNS) para agregar una dirección IP a una política Utilizar administraciónbasadaenroles(tambiénconocidacomocontroldeaccesobasadoenrolesoRBAC). Ver o cambiar la configuración de un dispositivo que es miembro de un FireCluster.
El grupo de aplicaciones incorporadas en WatchGuard System Manager incluye muchas otras herramientas para monitoreo e informes. Algunas de las funciones proporcionadas por HostWatch, LogViewer, Report Manager y WSM tampoco están disponibles en la Web UI. Para utilizar algunas funciones de Fireware XTM relacionadas con servidores WatchGuard, es necesario instalar WatchGuard Server Center. No es necesario utilizar WatchGuard System Manager para instalar WatchGuard Server Center. Los siguientes servidores WatchGuard pueden configurarse utilizando WatchGuard Server Center: n n n n n
Management Server Log Server Report Server Quarantine Server WebBlocker Server
Para aprender cómo configurar funciones no admitidas en la Web UI o cómo utilizar WatchGuard Server Center, consulte la Ayuda de Fireware XTM WatchGuard System Manager v11 en http://www.watchguard.com/help/docs/wsm/11/es-ES/index.html. Para conocer más acerca de la CLI, consulte la Referencia de Command Line Interface de WatchGuard en http://www.watchguard.com/help/documentation.
Concluya su instalación Despuésde concluir el WebSetup Wizard, debe concluir lainstalación de su dispositivoWatchGuard ensu red. 1. Ponga el dispositivo WatchGuard en su ubicación física permanente. 2. Asegúrese de que la puerta de enlace del equipo de administración y el resto de la red de confianza sea la dirección IP de la interfaz de confianza de su dispositivo WatchGuard. 3. Para conectarse a su dispositivo WatchGuard con la interfaz del usuario web de Fireware XTM, abra un explorador web e ingrese: https//[dirección IP de la interfaz de confianza del dispositivo WatchGuard]:8080 . n n
El URL para un dispositivo Firebox X Core, Peak o XTM es https://10.0.1.1:8080 . El URL predeterminado para un Firebox X Edge es https://192.168.111.1:8080 .
Para obtener más información, consulte Conéctese al Fireware XTM Web UI en la página 28. 32
Fireware XTM Web UI
Introducción
4. Si usa una configuración enrutada, asegúrese de alterar la puerta de enlace puerta de enlace predeterminada en todos los equipos que se conectan a su dispositivo WatchGuard para que la dirección IP coincida con la de la interfaz de confianza del dispositivo WatchGuard. 5. Personalice su configuración según sea necesario para fines de seguridad de su empresa. Para más información, vea la siguiente sección Personalizar su política de seguridad.
Personalizar su política de seguridad Su política de seguridad controla quién puede entrar y salir de su red y a qué parte de su red se puede entrar. El archivo de configuración de su dispositivo WatchGuard administra las políticas de seguridad. Cuando haya concluido el Quick Setup Wizard, el archivo de configuración creado sólo era una configuración básica. Se puede modificar esa configuración para que esté de acuerdo con su política de seguridad de su negocio y los requisitos de seguridad de su empresa. Puede agregar políticas de proxy y filtrado de paquetes para definir qué puede entrar y salir de su red. Cada política puede tener efectos diferentes sobre su red. Las políticas que aumentan su seguridad de red pueden disminuir el acceso a ella. A su vez, las políticas que aumentan el acceso a su red pueden poner en riesgo la seguridad de la misma. Para más informaciones acerca de políticas, vea Acerca de políticas en la página 251. Para una nueva instalación, recomendamos que use solo políticas de filtrado de paquetes hasta que todos sus sistemas estén funcionando correctamente. Según sea necesario, puede agregar políticas de proxy.
Acerca de las LiveSecurity Service Su dispositivo WatchGuard incluye una suscripción al LiveSecurity Service. Su suscripción: n
n n
n n n
Asegura de que tenga la protección de red más reciente con las actualizaciones de software también más recientes Provee soluciones a sus problemas con recursos completos de soporte técnico Previene interrupciones de servicio con mensajes y ayuda de configuración para los problemas de seguridad más recientes Ayuda a aprender más acerca de seguridad de red a través de recursos de capacitación Extiende su seguridad de red con software y otras funciones Extiende la garantía de su hardware con sustitución avanzada
Para más información acerca del LiveSecurity Service, vea Acerca de las Soporte de WatchGuard en la página 17.
Temas adicionales de instalación Conéctese a un Firebox con Firefox v3 Los exploradores web usan certificados para asegurar que el dispositivo del otro lado de una conexión HTTPS sea el dispositivo que se espera. Los usuarios ven un aviso cuando el certificado es autofirmado o
Guía del Usuario
33
Introducción
cuando hay discrepancia entre la dirección IP o nombre del host solicitado y la dirección IP o nombre de host en el certificado. Por defecto, su Firebox usa un certificado autofirmado que se puede usar para configurar su red rápidamente. No obstante, cuando los usuarios se conectan a Firebox con un explorador web, aparece un mensaje de aviso Error en la conexión segura. Para evitar ese mensaje de error, recomendamos que agregue un certificado válido firmado por una CA (autoridad de certificación) para su configuración. Ese certificado de CA también puede ser usado para mejorar la seguridad de la autenticación por VPN. Para obtener más informaciones sobre el uso de certificados con los dispositivos Firebox, vea Acerca de los certificados en la página 385. Si continúa a usar el certificado autofirmado predeterminado, puede agregar una excepción para Firebox en cada equipo cliente. Las versiones actuales de la mayoría de los exploradores web ofrecen un enlace en el mensaje de aviso en el cual el usuario puede hacer clic para autorizar la conexión. Si su empresa usa Mozilla Firefox v3, los usuarios pueden agregar una excepción de certificado permanente antes de conectarse al Firebox. Las acciones que requieren una excepción incluyen: n n n n
Acerca de la autenticación de usuario Instalar y conectar el cliente de Mobile VPN con SSL Ejecutar el Web Setup Wizard Conéctese al Fireware XTM Web UI
Las URLs que suelen requerir una excepción incluyen: https://dirección IP o nombre de host de una interfaz Firebox:8080 https://dirección IP o nombre de host de una interfaz Firebox:4100 https://dirección IP o nome de host de Firebox:4100/sslvpn.html
Agregar una excepción de certificado al Mozilla Firefox v3 Si agrega una excepción en el Firefox v3 para el Firebox Certificate, el mensaje de aviso no aparece en las conexiones siguientes. Debe agregar una excepción separada para cada dirección IP, nombre de host y puerto usado para conectarse al Firebox. Por ejemplo, una excepción que usa un nombre de host que no funciona adecuadamente si se conecta con una dirección IP. Del mismo modo, una excepción que especifica un puerto 4100 no se aplica a una conexión que no tiene un puerto especificado. Nota Una excepción de certificado no deja su equipo menos seguro. Todo el tráfico de red entre su equipo y el dispositivo WatchGuard permanece cifrado de modo seguro con SSL. Hay dos métodos para agregar una excepción. Debe poder enviar tráfico al Firebox para agregar una excepción. n n
Haga clic en el enlace en el mensaje de aviso Error en la conexión segura. Use el Administrador de Certificados del Firefox v3 para agregar excepciones.
En el mensaje de aviso Error en la conexión segura: 1. Haga clic en O puede agregar una excepción. 2. Haga clic en Agregar excepción. Aparece el cuadro de diálogo "Agregar Excepción de Seguridad".
34
Fireware XTM Web UI
Introducción
3. Haga clic en Obtener Certificado. 4. Seleccione la casilla de verificación Almacenar esa excepción permanentemente. 5. Haga clic en Confirmar Excepción de Seguridad. Para agregar múltiples excepciones: 1. En Firefox, seleccione Herramientas > Opciones. Aparece el cuadro de diálogo "Opciones".
2. Seleccione Avanzado. 3. Haga clic en la pestaña Cifrado y después haga clic en Visualizar certificados. Abre el cuadro de diálogo Administrador de Certificados.
4. Haga clic en la pestaña Servidores, y después en Agregar excepción. 5. En el cuadro de texto Ubicación, ingrese la URL para conectarse al Firebox. Las URLs más comunes están listadas arriba. 6. Cuando aparece la información del certificado en el área Estado del Certificado, haga clic en Confirmar Excepción de Seguridad. 7. Haga clic en OK. Para agregar más excepciones, repita los Pasos 4-6.
Identificar sus configuraciones de red Para configurar su dispositivo WatchGuard, debe saber cierta información acerca de su red. Puede usar esa sección para aprender a identificar sus configuraciones de red. Para una descripción de lo básico de red, vea Acerca de redes y seguridad de red en la página 1.
Requisitos de direcciones de red Antes de empezar la instalación, debe saber cómo su equipo obtiene una dirección IP. Su Proveedor de servicios de Internet (ISP) o administrador de red corporativa puede proveerle esa información. Use el mismo método para conectar el dispositivo WatchGuard a Internet que usa para su equipo. Por ejemplo, si conecta su equipo directamente a Internet con una conexión de banda ancha, puede poner el dispositivo WatchGuard entre su equipo e Internet y usar la configuración de red de su equipo para configurar la interfaz externa del dispositivo WatchGuard. Puede usar una dirección IP estática, DHCP o PPPoE para configurar la interfaz externa del dispositivo WatchGuard. Para obtener más información acerca de las direcciones de red, vea Configurar una interfaz externa en la página 82. Su equipo debe tener un explorador web. El explorador web es usado para configurar y administrar el dispositivo WatchGuard. Su equipo debe tener una dirección IP en la misma red que el dispositivo WatchGuard. En la configuración predeterminada de fábrica, el dispositivo WatchGuard asigna una dirección IP a su equipo con DHCP (siglas para Protocolo de configuración de host dinámico). Puede configurar su equipo
Guía del Usuario
35
Introducción
para que use DHCP y después puede conectarse al dispositivo para administrarlo. También puede otorgar una dirección IP estática a su equipo que esté en la misma red que la dirección IP de confianza del dispositivo WatchGuard. Para más informaciones, vea Configure su equipo para conectarse a su dispositivo WatchGuard en la página 37.
Buscar las propiedades TCP/IP Para conocer las propiedades de la red, el usuario debe observar las propiedades TCP/IP de su equipo o de cualquier otro equipo de la red. Debe contar con la siguiente información para instalar el dispositivo WatchGuard: n n n n n
Dirección IP Máscara de subred Puerta de enlace predeterminada Dirección IP estática o dinámica del equipo Direcciones IP principales y secundarias de los servidores DNS Nota Si el ISP asigna al equipo del usuario una dirección IP que empieza con 10, 192.168 ó 172.16 a 172.31, entonces el ISP utiliza NAT (Traducción de dirección de red) y su dirección IP es privada. Recomendamos obtener una dirección IP pública para la dirección IP externa de Firebox. Si el usuario tiene una dirección IP privada, puede tener problemas con algunas funciones como la conexión a red privada virtual.
Para buscar las propiedades TCP/IP para el sistema operativo del equipo, se deben seguir las instrucciones de las secciones siguientes.
Buscar las propiedades TCP/IP en Microsoft Windows Vista 1. Seleccione Inicio> Programas> Accesorios> Ventana de comandos. Aparece el cuadro de diálogo Ventana de comandos. 2. En la ventana de comandos, ingrese ipconfig /all y presione Enter.
3. Anote los valores que se observan para el adaptador de red principal.
Buscar las propiedades TCP/IP en Microsoft Windows 2000, Windows 2003 y Windows XP 1. Seleccione Inicio> Todos los programas> Accesorios> Ventana de comandos. Aparece el cuadro de diálogo Ventana de comandos.
2. En la ventana de comandos, ingrese ipconfig /all y presione Enter. 3. Anote los valores que se observan para el adaptador de red principal.
Buscar las propiedades TCP/IP en Microsoft Windows NT 1. Seleccione Inicio> Programas> Ventana de comandos. Aparece el cuadro de diálogo Ventana de comandos. 2. En la ventana de comandos, ingrese ipconfig /all y presione Enter. 3. Anote los valores que se observan para el adaptador de red principal.
36
Fireware XTM Web UI
Introducción
Buscar las propiedades TCP/IP en Macintosh OS 9 1. Seleccione el Menú Apple> Paneles de control> TCP/IP. Aparece el cuadro de diálogo TCP/IP.
2. Anote los valores que se observan para el adaptador de red principal.
Buscar las propiedades TCP/IP en Macintosh OS X 10.5 1. Seleccione el Menú Apple> Preferencias del sistema o seleccione el ícono desde el dock. Aparece el cuadro de diálogo Preferencias del sistema.
2. Haga clic en el ícono Red. Aparece el cuadro Preferencia de red.
3. Seleccione el adaptador de red que utiliza para conectarse a Internet. 4. Anote los valores que se observan para el adaptador de red.
Buscar las propiedades TCP/IP en otros sistemas operativos (Unix, Linux) 1. Lea la guía del sistema operativo para encontrar las configuraciones TCP/IP. 2. Anote los valores que se observan para el adaptador de red principal.
Buscar Configuraciones de PPPoE Muchos ISPs usan el Protocolo Punto a Punto por Ethernet (PPPoE) porque es fácil usar con la infraestructura de marcado. Si su ISP usa PPPoE para asignar direcciones IP, debe obtener esa información: n n n
Nombre de inicio de sesión Dominio (opcional) Contraseña
Configure su equipo para conectarse a su dispositivo WatchGuard Antes que pueda usar el Web Setup Wizard, debe configurar su equipo para conectar su dispositivo WatchGuard. Puede configurar su tarjeta de interfaz de red para usar una dirección IP estática o usar DHCP para obtener una dirección IP automáticamente.
Usar DHCP Si su equipo no usa el sistema operativo Windows XP, lea la ayuda del sistema operativo para obtener instrucciones acerca de cómo configurar su equipo para usar el DHCP. Para configurar un equipo con Windows XP para usar DHCP: 1. Seleccione Inicio > Panel de control. Aparece la ventana "Panel de control".
2. Haga doble clic en Conexiones de red.
Guía del Usuario
37
Introducción
3. Haga doble clic en Conexión de área local. Aparece la ventana de "Estado de conexión de área local".
4. Haga clic en Propiedades. Aparece la ventana de "Propiedades de conexión de área local".
5. Haga doble clic en Protocolo de internet (TCP/IP). Aparece el cuadro de diálogo "Protocolo de internet (TCP/IP)".
6. Seleccione Obtener dirección IP automáticamente y Obtener dirección de servidor DNS automáticamente. 7. Haga clic en Aceptar para cerrar el cuadro de diálogo Protocolo de Internet (TCP/IP). 8. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de conexión de red de área local. 9. Cerrar las ventanas Estado de conexión de área local, Conexiones de red y Panel de control. Su equipo está listo para conectarse al dispositivo WatchGuard.
10. Cuando el dispositivo WatchGuard esté listo, abra un explorador web. 11. En la barra de direcciones, ingrese la dirección IP de su dispositivo WatchGuard y presione Entrar. 12. Si aparece una advertencia de certificado, acéptelo. Se inicia el Quick Setup Wizard.
Nota
La dirección IP para el Firebox X Edge es https://192.168.111.1/ . La dirección IP predeterminada para un Firebox X Core o Peak, o dispositivo WatchGuard XTM es https://10.0.1.1/ .
13. Ejecutar el Web Setup Wizard.
Use una dirección IP estática Si su equipo no usa el sistema operativo Windows XP, lea la ayuda del sistema operativo para obtener instrucciones acerca de cómo configurar su equipo para usar lea dirección IP estática. Debe seleccionar una dirección IP en la misma subred como la red de confianza. Para configurar un equipo con Windows XP para usar una dirección IP estática: 1. Seleccione Inicio > Panel de control. Aparece la ventana "Panel de control".
2. Haga doble clic en Conexiones de red. 3. Haga doble clic en Conexión de área local. Aparece la ventana de "Estado de conexión de área local".
4. Haga clic en Propiedades. Aparece la ventana de "Propiedades de conexión de área local".
5. Haga doble clic en Protocolo de internet (TCP/IP). Aparece el cuadro de diálogo "Protocolo de internet (TCP/IP)".
6. Seleccione Usar la siguiente dirección IP. 7. En el campo dirección IP, ingrese una dirección IP en la misma red que la interfaz de confianza de Firebox. Recomendamos esas direcciones: n n
Firebox X Edge — 192.168.111.2 para Firebox X Core o Peak, o dispositivo WatchGuard XTM — 10.0.1.2 La red de interfaz de confianza predeterminada para un Firebox X Edge es 192.168.111.0. La red de interfaz de confianza predeterminada para un Firebox X Core o Peak, o dispositivo WatchGuard XTM es 10.0.1.0.
38
Fireware XTM Web UI
Introducción
8. En el campo Subnet Mask, ingrese 255.255.255.0 . 9. En el campo Puerta de enlace predeterminada, ingrese la dirección IP de la interfaz de confianza del dispositivo WatchGuard. La dirección de la interfaz de confianza predeterminada del Edge es 192.168.111.1.
10. Haga clic en Aceptar para cerrar el cuadro de diálogo Protocolo de Internet (TCP/IP). 11. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de conexión de red de área local. 12. Cerrar las ventanas Estado de conexión de área local, Conexiones de red y Panel de control. Su equipo está listo para conectarse al dispositivo WatchGuard.
13. Cuando el dispositivo WatchGuard esté listo, abra un explorador web. 14. En la barra de direcciones, ingrese la dirección IP de su dispositivo WatchGuard y presione Entrar. 15. Si aparece una advertencia de certificado, acéptelo. Se inicia el Quick Setup Wizard.
Nota
La dirección IP para el Firebox X Edge es https://192.168.111.1/ . La dirección IP predeterminada para un Firebox X Core o Peak, o dispositivo WatchGuard XTM es https://10.0.1.1/ .
16. Ejecutar el Web Setup Wizard.
Desactive el proxy de HTTP en el explorador Muchos exploradores web están configurados para usar un servidor proxy HTTP para aumentar la velocidad de descarga de las páginas web. Para administrar o configurar el Firebox con la interfaz de administración web, su explorador debe conectase directamente con el dispositivo. Si usa un servidor proxy de HTTP, debe desactivar temporalmente la configuración de proxy HTTP en su explorador. Puede activar la configuración del servidor proxy HTTP en su explorador nuevamente después que configure el Firebox. Use esas instrucciones para desactivar el proxy HTTP en Firefox, Safari o Internet Explorer. Si está usando un explorador diferente, use el sistema de Ayuda del explorador para encontrar la información necesaria. Muchos exploradores automáticamente desactivan la función de proxy del HTTP.
Desactivar el proxy HTTP en Internet Explorer 6.x o 7.x 1. Abra el Internet Explorer. 2. Seleccione Herramientas > Opciones de Internet. Aparece el cuadro de diálogo de "Opciones de Internet".
3. Haga clic en la pestaña Conexiones. 4. Haga clic en Configuración de LAN. Aparece el cuadro de diálogo "Configuración de red de área local (LAN)".
5. Limpie la casilla de verificación Usar un servidor proxy para su LAN. 6. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuración de red de área local (LAN). 7. Haga clic en Aceptar para cerrar el cuadro de diálogo Opciones de Internet.
Desactivar el proxy HTTP en Firefox 2.x 1. Abra el Firefox. 2. Seleccione Herramientas > Opciones. Aparece el cuadro de diálogo "Opciones".
Guía del Usuario
39
Introducción
3. Haga clic en el icono Avanzado. 4. Haga clic en la pestaña Red. Haga clic en Configuraciones. 5. Haga clic en Configuraciones de conexión. Aparece el cuadro de diálogo "Configuraciones de conexión".
6. Asegúrese de que la opción Conexión directa a Internet esté seleccionada. 7. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuraciones de conexión. 8. Haga clic en Aceptar para cerrar el cuadro de diálogo Opciones.
Desactivar el proxy HTTP en Safari 2.0 1. Abra el Safari. 2. Seleccione Preferencias. Aparece el cuadro de diálogo de "Preferencias" del Safari.
3. Haga clic en el icono Avanzado. 4. Haga clic en el botón Cambiar configuración. Aparece el cuadro de diálogo "Preferencias del Sistema".
5. Limpie la casilla de verificación Proxy web (HTTP). 6. Haga clic en Aplicar ahora.
40
Fireware XTM Web UI
5
Información básica sobre configuración y administración
Acerca de las tareas básicas de configuración y administración Después que su dispositivo WatchGuard esté instalado en su red y configurado con un archivo de configuración básica, puede comenzar a añadir configuraciones personalizadas. Los tópicos en esta sección lo ayuda a concluir esas tareas básicas de administración y mantenimiento.
Hacer una copia de seguridad de la imagen de Firebox Una imagen de copia de seguridad de Firebox es una copia cifrada y guardada de una imagen de disco flash del disco flash de Firebox. Eso incluye el software del dispositivo Firebox, archivo de configuración, licencias y certificados. Puede guardar una imagen de copia de seguridad en su de administración o en un directorio en su red. La imagen de copia de seguridad para un Firebox X Edge no incluye el software del dispositivo Firebox. Recomendamos que realice archivos de copia de seguridad de la imagen de Firebox periódicamente. También recomendamos que cree una imagen de copia de seguridad del Firebox antes de hacer cambios significativos en la configuración de su Firebox, o antes de actualizar su Firebox o el software del dispositivo. 1. Seleccione Imagen de copia de seguridad >de Sistema. 2. Ingrese y confirme una clave de cifrado. Esa es la clave utilizada para cifrar el archivo de copia de seguridad. Si pierde o olvida la clave de cifrado, no puede restaurar el archivo de copia de seguridad. 3. Haga clic en Copia de seguridad. 4. Seleccione una ubicación para guardar el archivo de imagen de copia de seguridad e ingrese un nombre de archivo. La imagen de copia de seguridad está guardada en la ubicación especificada.
Guía del Usuario
41
Información básica sobre configuración y administración
Restaurar imagen de copia de seguridad de Firebox 1. 2. 3. 4. 5. 6.
Seleccione Sistema > Restaurar Imagen. Haga clic en Restaurar imagen. Haga clic en Examinar. Seleccione el archivo de imagen de copia de seguridad guardado. Haga clic en Abrir. Haga clic en Restaurar. Ingrese la clave de cifrado usada cuando creó la imagen de copia de seguridad. Firebox restaura la imagen de copia de seguridad. Eso reinicia y usa la imagen de copia de seguridad.
Espere dos minutos antes de conectarse al Firebox nuevamente. Si no logra restaurar la imagen de Firebox con éxito, puede restablecer el Firebox. Dependiendo del modelo de Firebox que tenga, puede restablecer el Firebox en sus configuraciones predeterminadas de fábrica o ejecutar nuevamente el Quick Setup Wizard para crear una nueva configuración. Para más informaciones, vea Restablecer un dispositivo Firebox o XTM a una configuración anterior o nueva en la página 48.
Utilice una unidad USB para realizar copias de respaldo y restaurar el sistema Una imagen de respaldo de un dispositivo WatchGuard XTM es una copia cifrada y guardada de la imagen del disco de la unidad flash desde el dispositivo XTM. El archivo de imagen de respaldo incluye el sistema operativo del dispositivo XTM, el archivo de configuración, la tecla de función y los certificados. En el caso de los dispositivos WatchGuard XTM 2 Series, 5 Series, 8 Series o XTM 1050, puede conectar una unidad o un dispositivo de almacenamiento USB al puerto USB del dispositivo XTM para llevar a cabo los procedimientos de copia de respaldo y restauración. Cuando guarda una imagen de respaldo del sistema en una unidad USB conectada, puede restaurar su dispositivo XTM a un estado conocido con mayor rapidez. Nota No puede utilizar esta función en un dispositivo e-Series, porque los dispositivos eSeries no tienen puerto USB.
Acerca de la unidad USB La unidad USB debe ser formateada con el sistema de archivos FAT o FAT32. Si la unidad USB tiene más de una partición, Fireware XTM sólo utiliza la primera partición. Cada imagen de respaldo del sistema puede ser incluso de 30 MB de tamaño. Le recomendamos utilizar una unidad USB lo suficientemente grande para almacenar varias imágenes de respaldo.
Guardar una imagen de respaldo en una unidad USB conectada Para realizar este procedimiento, debe conectar una unidad USB a su dispositivo XTM. 1. Seleccione Sistema > Unidad USB. Aparecerá la página Copia de respaldo/Restaurar a unidad USB.
42
Fireware XTM Web UI
Información básica sobre configuración y administración
2. En la sección Nueva imagen de respaldo, ingrese un Nombre de archivo para la imagen de respaldo. 3. Ingrese y confirme una Encryption key. Esa es la clave utilizada para cifrar el archivo de respaldo. Si pierde u olvida la encryption key, no puede restaurar el archivo de respaldo. 4. Haga clic en Guardar en unidad USB. La imagen guardada aparece en la lista de Imágenes de respaldo del dispositivo disponibles después de que se terminó de guardar.
Restaurar una imagen de respaldo desde una unidad USB conectada Para realizar este procedimiento, debe conectar una unidad USB a su dispositivo XTM. 1. Seleccione Sistema > Unidad USB. Aparecerá la página Copia de respaldo/Restaurar a unidad USB.
2. Desde la lista Imágenes de respaldo disponibles, seleccione un archivo de imagen de respaldo a restaurar. 3. Haga clic en Restaurar la imagen seleccionada.
Guía del Usuario
43
Información básica sobre configuración y administración
4. Ingrese la Encryption key usada cuando creó la imagen de respaldo. 5. Haga clic en Restaurar. El dispositivo XTM restaura la imagen de respaldo. Eso reinicia y usa la imagen de copia de seguridad.
Restaurar automáticamente una imagen de respaldo desde un dispositivo USB Si se conecta una unidad USB (dispositivo de almacenamiento) a un dispositivo WatchGuard XTM en modo de recuperación, el dispositivo puede restaurar automáticamente la imagen previamente respaldada en la unidad USB. Para utilizar la función de restauración automática, primero debe seleccionar una imagen de respaldo en la unidad USB como la que desea utilizar para el proceso de restauración. Debe utilizar Fireware XTM Web UI, Firebox System Manager o la Command Line Interface de Fireware XTM para seleccionar esa imagen de respaldo. Puede utilizar la misma imagen de respaldo para más de un dispositivo, si todos los dispositivos pertenecen a la misma familia de modelos de WatchGuard XTM. Por ejemplo, puede utilizar una imagen de respaldo guardada en un XTM 530 como la imagen de respaldo de cualquier otro dispositivo XTM 5 Series.
Seleccione la imagen de respaldo que desea restaurar automáticamente 1. Seleccione Sistema > Unidad USB. Aparecerá la página Copia de respaldo/Restaurar a unidad USB. Los archivos de imagen de respaldo guardados aparecen en una lista en la parte superior de la página.
2. Desde la lista Imágenes de respaldo disponibles, seleccione un archivo de imagen de respaldo. 3. Haga clic en Utilizar la imagen seleccionada para la restauración automática. 4. Ingrese la Encryption key usada para crear la imagen de respaldo. Haga clic en Aceptar El dispositivo XTM guarda una copia de la imagen de respaldo seleccionada en la unidad USB.
44
Fireware XTM Web UI
Información básica sobre configuración y administración
Si había guardado una imagen de restauración automática anterior, el archivo auto-restore.fxi es reemplazado por una copia de la imagen de respaldo seleccionada. Advertencia Si su dispositivo XTM ha utilizado una versión del sistema operativo Fireware XTM anterior a la v11.3, debe actualizar la imagen de software del modo de recuperación en el dispositivo a la v11.3 de la función de restauración automática a operar. Vea las Notas de versión de Fireware XTM 11.3 para obtener instrucciones de actualización.
Restaurar la imagen de respaldo de un dispositivo XTM 5 Series, 8 Series o XTM 1050 1. Conecte la unidad USB que contiene la imagen de restauración automática a un puerto USB del dispositivo XTM. 2. Apague el dispositivo XTM. 3. Presione la flecha hacia arriba en el panel delantero del dispositivo mientras lo enciende. 4. Mantenga el botón presionado hasta que aparezca "Iniciando modo de recuperación" en la pantalla LCD. El dispositivo restaura la imagen de respaldo de la unidad USB y utiliza la imagen restaurada de manera automática después de reiniciarse.
Si la unidad USB no contiene una imagen de restauración automática válida para esta familia de modelos de dispositivos XTM, el dispositivo no se reinicia y, en cambio, se inicia en modo de recuperación. Si vuelve a reiniciar el dispositivo, éste utilizará su configuración actual. Cuando el dispositivo está en modo de recuperación, puede utilizar el WSM Quick Setup Wizard para crear una nueva configuración básica. Para obtener más información acerca WSM Quick Setup Wizard, vea Ejecutar el Quick Setup Wizard del WSM.
Restaurar la imagen de respaldo de un dispositivo XTM 2 Series 1. Conecte la unidad USB que contiene la imagen de restauración automática a un puerto USB del dispositivo XTM 2 Series. 2. Desconecte la fuente de energía. 3. Presione y sostenga el botón Restablecer en la parte trasera del dispositivo. 4. Conecte el suministro de energía mientras sigue presionando el botón Restablecer. 5. Después de 10 segundos, suelte el botón Restablecer. El dispositivo restaura la imagen de respaldo de la unidad USB y utiliza la imagen restaurada de manera automática después de reiniciarse.
Si la unidad USB no contiene una imagen de restauración automática válida para 2 Series, la restauración automática fallará y el dispositivo no se reiniciará. Si el proceso de restauración automática no resulta exitoso, debe desconectar y volver a conectar la fuente de alimentación para iniciar el dispositivo 2 Series con las configuraciones predeterminadas de fábrica. Para obtener información sobre las configuraciones predeterminadas de fábrica, vea Acerca de las configuraciones predeterminadas de fábrica.
Guía del Usuario
45
Información básica sobre configuración y administración
Estructura del directorio de la unidad USB Cuando guarda una imagen de respaldo en una unidad USB, el archivo se guarda en un directorio en la unidad USB con el mismo nombre del número de serie de su dispositivo XTM. Esto significa que puede almacenar imágenes de respaldo para más de un dispositivo XTM en la misma unidad USB. Cuando restaura una unidad de respaldo, el software recupera automáticamente la lista de imágenes de respaldo almacenada en el directorio asociado con ese dispositivo. En cada dispositivo, la estructura del directorio en el dispositivo USB es la siguiente, donde sn se reemplaza con el número de serie del dispositivo XTM: \sn\flash-images\ \sn\configs\ \sn\feature-keys\ \sn\certs\
Las imágenes de respaldo de un dispositivo se guardan en el directorio \sn\flash-images . La imagen de respaldo guardada en el directorio de imágenes flash contiene el sistema operativo de Fireware XTM, la configuración del dispositivo, las teclas de función y los certificados. Los subdirectorios \configs , \feature-keys y \certs no se utilizan para ninguna operación de copia de respaldo y restauración desde una unidad USB. Puede utilizarlos para almacenar teclas de función, archivos de configuración y certificados adicionales para cada dispositivo. También hay un directorio en el nivel de raíz de la estructura del directorio que se utiliza para almacenar la imagen de respaldo de restauración automática designada. \auto-restore\
Cuando designa una imagen de respaldo para utilizarla para la restauración automática, una copia de la imagen de respaldo seleccionada se cifra y almacena en el directorio \auto-restore con el nombre de archivo auto-restore.fxi . Sólo puede tener una imagen de restauración automática guardada en cada unidad USB. Puede utilizar la misma imagen de respaldo de restauración automática para más de un dispositivo, si ambos dispositivos pertenecen a la misma familia de modelos WatchGuard XTM. Por ejemplo, puede utilizar una imagen de restauración automática guardada en un XTM 530 como la imagen de restauración automática de cualquier otro dispositivo XTM 5 Series. Debe utilizar el comando Sistema > Unidad USB para crear una imagen de restauración automática. Si copia y renombra una imagen de respaldo manualmente y la almacena en este directorio, el proceso de restauración automática no funciona correctamente.
Guardar una imagen de respaldo en una unidad USB conectada a su de administración Puede usar Fireware XTM Web UI para guardar una imagen de respaldo en una unidad o un dispositivo de almacenamiento USB conectado a su de administración. Si guarda los archivos de configuración para múltiples dispositivos en la misma unidad USB, puede conectar la unidad USB a cualquiera de esos dispositivos XTM para su recuperación.
46
Fireware XTM Web UI
Información básica sobre configuración y administración
Si usa el comando Sistema > Unidad USB para hacer esto, los archivos se guardarán automáticamente en el directorio adecuado de la unidad USB. Si utiliza el comando Sistema > Imagen de respaldo , o si utiliza Windows u otro sistema operativo para copiar manualmente los archivos de configuración al dispositivo USB, debe crear manualmente el número de serie correcto y los directorios de imágenes flash para cada dispositivo (si todavía no existen).
Antes de empezar Antes de empezar, es importante que comprenda la Estructura del directorio de la unidad USB utilizada por la función de respaldo y restauración USB. Si no guarda la imagen de respaldo en la ubicación correcta, es posible que el dispositivo no la encuentre cuando le conecte la unidad USB.
Guardar la imagen de respaldo Para guardar una imagen de respaldo en una unidad USB conectada a su de administración, use los pasos que se describen en Hacer una copia de seguridad de la imagen de Firebox. Cuando selecciona la ubicación en donde desea guardar el archivo, seleccione la letra correspondiente a la unidad USB conectada a su computadora. Si desea que la imagen de respaldo que guarda sea reconocida por el dispositivo XTM cuando conecte la unidad, asegúrese de guardar la copia de respaldo en el directorio \flash-images bajo el directorio nombrado con el número de serie de su dispositivo XTM. Por ejemplo, si el número de serie de su dispositivo XTM es 70A10003C0A3D , guarde el archivo de la imagen de respaldo en esta ubicación de la unidad USB: \70A10003C0A3D\flash-images\
Designar una imagen de respaldo para la restauración automática Para designar una imagen de respaldo para el uso por parte de la función de restauración automática, debe conectar la unidad USB al dispositivo y designar la imagen de respaldo que desea utilizar para la restauración automática como se describe en Utilice una unidad USB para realizar copias de respaldo y restaurar el sistema. Si guarda una imagen de respaldo manualmente en el directorio de restauración automática, el proceso de restauración automática no funciona correctamente.
Guía del Usuario
47
Información básica sobre configuración y administración
Restablecer un dispositivo Firebox o XTM a una configuración anterior o nueva Si su dispositivo Firebox o XTM tiene un problema de configuración grave, puede restablecer el dispositivo a su configuración predeterminada de fábrica. Por ejemplo, si no sabe la contraseña de configuración o si un corte de suministro eléctrico causa daños al sistema operativo de Fireware XTM, puede usar el Quick Setup Wizard para conformar su configuración nuevamente o restaurar una configuración guardada. Para una descripción de las configuraciones predeterminadas de fábrica, vea Acerca de las configuraciones predeterminadas de fábrica en la página 49. Nota Si tiene un dispositivo WatchGuard XTM, también puede utilizar el modo seguro para restaurar automáticamente una imagen de respaldo del sistema desde un dispositivo de almacenamiento USB. Para más informaciones, vea Restaurar automáticamente una imagen de respaldo desde un dispositivo USB.
Iniciar un dispositivo Firebox o XTM en modo seguro Para restaurar las configuraciones predeterminadas de fábrica para un dispositivo Firebox X Core e-Series, Peak e-Series, WatchGuard XTM 5 Series, 8 Series o 10 Series, primero debe iniciar el dispositivo Firebox o XTM en modo seguro. 1. Apague el dispositivo Firebox o XTM. 2. Presione el botón con la flecha hacia abajo en el panel delantero mientras enciende el dispositivo Firebox o XTM. 3. Mantenga presionado el botón de la flecha hacia abajo hasta que aparezca el mensaje de inicio del dispositivo en la pantalla LCD: n
n
En un dispositivo Firebox X Core e-Series o Peak e-Series, aparece WatchGuard Technologies en la pantalla LCD. En un dispositivo WatchGuard XTM, aparece Iniciando modo seguro... en la pantalla.
Cuando el dispositivo está en modo seguro, la pantalla muestra el número del modelo seguido de la palabra "seguro". Cuando inicia un dispositivo en modo seguro: n
n
n
48
El dispositivo usa temporalmente las configuraciones de seguridad y de red predeterminadas de fábrica. No se quita la tecla de función actual. Si ejecuta el Quick Setup Wizard para crear una nueva configuración, el asistente usa la tecla de función previamente importada. Su configuración actual sólo se elimina cuando guarda una nueva configuración. Si reinicia el dispositivo Firebox o XTM antes de guardar una nueva configuración, el dispositivo volverá a utilizar su configuración actual.
Fireware XTM Web UI
Información básica sobre configuración y administración
Restablecer un dispositivo Firebox X Edge e-Series o WatchGuard XTM 2 Series a las configuraciones predeterminadas de fábrica Cuando reinicia un dispositivo Firebox X Edge e-Series o XTM 2 Series, las configuraciones originales son reemplazadas por las configuraciones predeterminadas de fábrica. Para restablecer el dispositivo a las configuraciones predeterminadas de fábrica: 1. 2. 3. 4.
Desconecte la fuente de energía. Presione y sostenga el botón Restaurar en la parte trasera del dispositivo. Conecte el suministro de energía mientras sigue presionando el botón Restaurar. Siga presionando el botón Restaurar hasta que el indicador amarillo Attn se mantenga encendido. Eso muestra que el dispositivo restauró con éxito las configuraciones predeterminadas de fábrica. En un Firebox X Edge e-Series, ese proceso puede llevar 45 segundos o más. En un dispositivo 2 Series, ese proceso puede llevar 75 segundos o más.
5. Suelte el botón Restaurar. Nota Debe iniciar el dispositivo nuevamente antes de conectarlo. Si no lo hace, cuando intente conectar el dispositivo, aparecerá una página web con este mensaje: Su dispositivo se está ejecutando a partir de una copia de respaldo del firmware. También podrá ver ese mensaje si el botón Restaurar queda fijo en la posición de presionado. Si sigue viendo ese mensaje, revise el botón Restaurar y reinicie el dispositivo. 6. Desconecte la fuente de energía. 7. Conecte la fuente de energía nuevamente. Se enciende el Indicador de Energía y su dispositivo es restablecido.
Ejecutar el Quick Setup Wizard Después de restaurar las configuraciones predeterminadas de fábrica, puede usar el Quick Setup Wizard para crear una configuración básica o restaurar una imagen respaldo guardada. Para más informaciones, vea Acerca del Quick Setup Wizard en la página 24.
Acerca de las configuraciones predeterminadas de fábrica El término configuraciones predeterminadas de fábrica se refiere a la configuración que está en el dispositivo WatchGuard cuando lo recibe, antes de realizar cualquier cambio. También puede restablecer las configuraciones predeterminadas de fábrica en el Firebox, tal como se describe en Restablecer un dispositivo Firebox o XTM a una configuración anterior o nueva en la página 48. Las propiedades de configuración y red predeterminadas para el dispositivo WatchGuard son:
Guía del Usuario
49
Información básica sobre configuración y administración
Red de confianza (Firebox X Edge e-Series) La dirección IP predeterminada para la red de confianza es 192.168.111.1. La Subnet Mask para la red de confianza es 255.255.255.0. La dirección IP predeterminada para el Fireware XTM Web UI es https://192.168.111.1:8080. Firebox está configurado para asignar direcciones IP a equipos en la red de confianza a través de DHCP. Por defecto, esas direcciones IP pueden ir desde 192.168.111.2 a 192.168.111.254. Red de confianza (Firebox X Core y Peak e-Series y dispositivos WatchGuard XTM) La dirección IP predeterminada para la red de confianza es 10.0.1.1. La Subnet Mask para la red de confianza es 255.255.255.0. El puerto y la dirección IP predeterminada para el Fireware XTM Web UI es https://10.0.1.1:8080. Firebox está configurado para asignar direcciones IP a equipos en la red de confianza a través de DHCP. Por defecto, esas direcciones IP puede ir desde 10.0.1.2 a 10.0.1.254.. Red externa Firebox está configurado para obtener una dirección IP con DHCP. Red opcional La red opcional está desactivada. Configuraciones de firewall Todas las políticas entrantes son negadas. La política saliente permite todo el tráfico saliente. Se niegan las solicitudes de ping recibidas en la red externa. Seguridad del sistema Firebox posee cuentas de administrador acopladas admin (acceso de lectura y escritura) y estado (acceso sólo lectura). La primera vez que configura el dispositivo con el Quick Setup Wizard, define las frases de contraseña de estado y configuración. Después de concluir el Quick Setup Wizard, puede iniciar sesión en el Fireware XTM Web UI sea con la cuenta de administrador admin o estado. Para tener acceso completo de administrador, inicie sesión con el nombre de usuario de admin e ingrese la frase de contraseña de configuración. Para acceso de sólo lectura, inicie sesión con el nombre de usuario de estado e ingrese la frase de contraseña de sólo lectura. Por defecto, Firebox está configurado para administración local desde la red de confianza solamente. Los cambios adicionales de configuración deben ser realizados para permitir la administración desde la red externa. Opciones de actualización Para habilitar las opciones de actualización, como WebBlocker, spamBlocker y Gateway AV/IPS, debe pegar o importar la tecla de función que habita esas funciones en la página de configuración o usar el comando Obtener Tecla de Función para activar las opciones de actualización. Si inicia el Firebox en modo seguro, no es necesario importar la tecla de función nuevamente.
50
Fireware XTM Web UI
Información básica sobre configuración y administración
Acerca de las teclas de función La tecla de función es una licencia que le permite utilizar diversas funciones en su dispositivo WatchGuard. Al comprar una opción o actualización y obtener una nueva tecla de función, aumenta la funcionalidad de su dispositivo.
Cuando compra una nueva función Cuando compra una nueva función para su dispositivo WatchGuard, debe: n n
Obtener una tecla de función junto a LiveSecurity Agregar una tecla de función a su Firebox
Ver las funciones disponibles con la actual tecla de función Su dispositivo WatchGuard siempre tiene una tecla de función activa actualmente. Para ver las funciones disponibles con esa tecla de función: 1. Conéctese al Fireware XTM Web UI. 2. Seleccione Sistema > Tecla de Función. Aparece la página "Tecla de Función".
Guía del Usuario
51
Información básica sobre configuración y administración
La sección Funciones incluye: n n n n n n
Una lista de funciones disponibles Si la función está activada o no Valor asignado a la función, tal como número de interfaces VLAN permitidas Fecha de caducidad de la función Estado actual de caducidad, tal como cuántos días faltan para que la función caduque El número máximo de direcciones IP permitidas de acceso saliente (sólo para dispositivos Firebox X Edge XTM)
Obtener una tecla de función junto a LiveSecurity Antes de activar una nueva función, o remover un servicio de suscripción, debe tener un certificado de license key de WatchGuard que no esté registrado aún en el sitio web de LiveSecurity. Cuando activa la License Key, puede obtener una tecla de función que habilita la función activada en el dispositivo WatchGuard. También puede retener una tecla de función existente posteriormente.
Activar la license key para una función Para activar una license key y obtener una tecla de función para la función activada: 1. Abra un explorador web y vaya a http://www.watchguard.com/activate. Si todavía no ha iniciado sesión en LiveSecurity, aparece la página de Inicio de Sesión de LiveSecurity.
2. Ingrese su nombre de usuario y contraseña de LiveSecurity. Aparece la página Activar Productos.
3. Ingrese un número de serie o license key para el producto, tal como aparece en su certificado impreso. Asegúrese de incluir todos los guiones. Use el número de serie para registrar un nuevo dispositivo WatchGuard y la license key para registrar las funciones de complementos.
4. Haga clic en Continuar. Aparece la página Elija el producto para actualizar.
5. En la lista desplegable, seleccione el dispositivo para actualizar o renovar. Si agregó un nombre del dispositivo cuando registró su dispositivo WatchGuard, ese nombre aparece en la lista. 6. Haga clic en Activar. Aparece la página "Retener tecla de función".
52
Fireware XTM Web UI
Información básica sobre configuración y administración
7. Copie la tecla de función completa en un archivo de texto y guárdelo en su PC. 8. Haga clic en Finalizar.
Obtener una tecla de función actual Puede registrarse en el sitio web de LiveSecurity para obtener una tecla de función actual o puede usar Fireware XTM Web UIpara retener una tecla de función actual y agregarla directamente a su dispositivo WatchGuard. Cuando va al sitio web de LiveSecurity para retener su tecla de función, puede elegir entre descargar una o más teclas de función en un archivo comprimido. Si selecciona múltiples dispositivos, el archivo comprimido contiene un archivo de tecla de función para cada dispositivo. Para retener una tecla de función actual del sitio web de Live Security: 1. Abra un explorador web y vaya a http://www.watchguard.com/archive/manageproducts.asp. Si todavía no ha iniciado sesión en LiveSecurity, aparece la página de Inicio de Sesión de LiveSecurity.
2. Ingrese su nombre de usuario y contraseña de LiveSecurity. Aparece la página "Administrar Productos".
3. Seleccione Teclas de Función. Aparece la página "Retener Tecla de Función", con una lista desplegable para seleccionar un producto.
4. En la lista desplegable, seleccione su dispositivo WatchGuard. 5. Haga clic en Obtener Tecla. Aparece una lista de todos sus dispositivos registrados. Aparece una marca de verificación al lado del dispositivo seleccionado.
6. Seleccione Mostrar teclas de función en la pantalla. 7. Haga clic en Obtener Tecla. Aparece la página "Retener tecla de función".
8. Copie la tecla de función en un archivo de texto y guárdelo en su equipo. Para usar el Fireware XTM Web UI para retener la tecla de función actual: 1. Conéctese al Fireware XTM Web UI. Aparece el Panel de Control del Fireware XTM Web UI .
2. Seleccione Sistema> Tecla de Función . Aparece la página Resumen de Tecla de Función.
Guía del Usuario
53
Información básica sobre configuración y administración
3. Haga clic en Obtener Tecla de Función. Su tecla de función es descargada a partir de LiveSecurity y es automáticamente actualizada en su dispositivo WatchGuard.
Agregar una tecla de función a su Firebox Si adquiere una nueva opción o actualiza su dispositivo WatchGuard, puede agregar una nueva tecla de función para activar las nuevas funciones. Antes de instalar la nueva tecla de función, debe remover completamente la antigua. 1. Seleccione Sistema > Tecla de función. Aparece la página Tecla de función de Firebox.
Las funciones que están disponibles con esa tecla de función aparecenen esa página. Esa página también incluye: n n n n
54
Si la función está activada o no Un valor asignado a la función, tal como número de interfaces VLAN permitidas La fecha de caducidad de la función El tiempo que falta para que la función caduque
Fireware XTM Web UI
Información básica sobre configuración y administración
2. Haga clic en Remover para remover la tecla de función actual. Página de cuadro de diálogo Todas las informaciones sobre teclas de función están limpias de. 3. Haga clic en Actualizar. Importar Tecla de Función de Firebox página aparece.
Guía del Usuario
55
Información básica sobre configuración y administración
4. Copiar el texto del archivo de la tecla de función y pegar en el cuadro de texto. 5. Haga clic Guardar. La página "Tecla de función" reaparece con la información de la nueva tecla de función.
Remover una tecla de función 1. Seleccione Sistema > Tecla de función. Aparece la página Tecla de función de Firebox.
2. Haga clic en Eliminar. Todas las informaciones sobre teclas de función están limpias en página.
3. Haga clic en Guardar.
Reiniciar su Firebox Puede usar el Fireware XTM Web UI para reiniciar su Firebox desde un equipo en la red de confianza. Si permite el acceso externo, también puede reiniciar el Firebox desde un equipo en Internet. Puede determinar la hora del día en la cual su Firebox se reinicia automáticamente.
56
Fireware XTM Web UI
Información básica sobre configuración y administración
Reiniciar Firebox de modo local Para reiniciar Firebox de modo local, puede usar el Fireware XTM Web UI o puede desconectar y conectar nuevamente el dispositivo.
Reiniciar desde el Fireware XTM Web UI Para reiniciar el Firebox desde el Fireware XTM Web UI, debe iniciar sesión con acceso de lectura-escritura. 1. Seleccione Panel de Control> Sistema. 2. En la sección Información del dispositivo, haga clic en Reiniciar.
Desconecte y vuelva a conectar En el Firebox X Edge: 1. Desconecte el Firebox X Edge del suministro de energía. 2. Espere un mínimo de 10 segundos. 3. Conecte la fuente de energía nuevamente. En el Firebox X Core o Peak, o en el dispositivo WatchGuard XTM : 1. Use el conmutador de energía para apagar el dispositivo. 2. Espere un mínimo de 10 segundos. 3. Encienda el dispositivo.
Reiniciar Firebox de modo remoto Antes de conectarse a su Firebox para administrar o reiniciarlo desde un equipo remoto externo al Firebox, primero debe configurar el Firebox para permitir la administración desde la red externa. Para más informaciones, vea Administrar un Firebox desde una ubicación remota en la página 72. Para iniciar el Firebox de forma remota a partir del Fireware XTM Web UI: 1. Seleccione Panel de Control> Sistema. 2. En la sección Información del dispositivo, haga clic en Reiniciar.
Activar NTP y agregar servidores NTP El Protocolo de Horario de Red (NTP, en las siglas en inglés) sincroniza el horario del reloj en toda una red. Su Firebox puede usar el NTP para obtener el horario correcto automáticamente desde los servidores NTP en Internet. Como el Firebox usa el horario del reloj de su sistema para cada mensaje de registro que genera, el horario debe estar ajustado correctamente. Se puede alterar el servidor NTP que Firebox utiliza. También puede agregar más servidores NTP o borrar los existentes, o puede ajustar el horario manualmente. Para usar NTP, la configuración de su Firebox debe permitir DNS. El DNS es permitido en la configuración predeterminada por la política Saliente. También debe configurar los servidores DNS para la interfaz externa antes de configurar el NTP.
Guía del Usuario
57
Información básica sobre configuración y administración
Para obtener más información acerca de esas direcciones, vea Agregar direcciones de servidor DNS y WINS. 1. Seleccionar Sistema > NTP. Aparece el cuadro de diálogo Configuración de NTP.
2. Seleccione Activar NTP Server . 3. Para agregar un servidor NTP, seleccione IP de host oNombre de host (buscar) en la lista desplegable Elegir tipo, después ingrese la dirección IP o nombre del host del servidor NTP que desea usar en el cuadro de texto al lado. Se puede configurar hasta tres servidores NTP
4. Para borrar un servidor, seleccione la entrada del servidor y haga clic en Remover. 5. Haga clic en Guardar.
Definir la zona horaria y las propiedades básicas del dispositivo Cuando ejecuta el Web Setup Wizard, se define la zona horaria y otras propiedades básicas del dispositivo. Para alterar las propiedades básicas del dispositivo: 1. Conéctese al Fireware XTM Web UI. 2. Seleccione Sistema > Sistema. Aparece la Configuración del dispositivo.
58
Fireware XTM Web UI
Información básica sobre configuración y administración
3. Configurar esas opciones: modelo de Firebox Modelo y modelo de Firebox, tal como determinado por el Quick Setup Wizard.Si agrega una nueva tecla de función al Firebox con una actualización de modelo, el modelo de Firebox en la configuración del dispositivo es automáticamente actualizado. Nombre El nombre descriptivo del Firebox. Puede otorgar a Firebox un nombre descriptivo que aparecerá en sus informes y archivos de registro. De lo contrario, los informes y archivos de registro usan la dirección IP del la interfaz externa de Firebox. Muchos clientes usan un domain name totalmente cualificado como nombre descriptivo, caso registren ese nombre en el sistema DNS. Debe otorgar un nombre descriptivo al Firebox si usa el Management Server para configurar los certificados y túneles VPN. Ubicación, Contacto Ingrese cualquier información que podría ser útil para identificar y hacer el mantenimiento del Firebox. Esos campos son llenados por el Quick Setup Wizard, caso haya insertado esa información allí. Zona horaria Seleccione la zona horaria para la ubicación física del Firebox. La configuración de zona horaria controla la fecha y hora que aparecen en el archivo de registro y en las herramientas como el LogViewer, Informes WatchGuard y WebBlocker. 4. Haga clic en Guardar.
Acerca del SNMP El SNMP (siglas en inglés para Protocolo de Administración de Red Simple) es usado para monitorear dispositivos en su red. El SNMP utiliza bases de información de administración (MIB) para definir cuáles informaciones y eventos son monitoreados. Debe configurar una aplicación de software separada, a menudo denominada visor de eventos o explorador MIB, para recoger y administrar datos de SNMP.
Guía del Usuario
59
Información básica sobre configuración y administración
Hay dos tipos de MIBs: estándar y empresarial. Las MIBs estándares son definiciones de eventos de hardware y red usadas por diversos dispositivos. Las MIBs empresariales son usados para dar información acerca de eventos específicos a un fabricante determinado. Su Firebox soporta ocho MIBs estándares: IPMIB, IF-MIB, TCP-MIB, UDP-MIB, SNMPv2-MIB, SNMPv2-SMI, RFC1213-MIB y RFC1155 SMI-MIB. También soporta dos MIBs empresariales: WATCHGUARD-PRODUCTS-MIB y WATCHGUARD-SYSTEM-CONFIG-MIB.
Sondeos y capturas SNMP Puede configurar su Firebox para aceptar sondeos de SNMP desde un servidor SNMP. El Firebox reporta datos al servidor SNMP, tal como conteo de tráfico de cada interfaz, tiempo de actividad del dispositivo, el número de paquetes TCP recibidos y enviados, y la última alteración de cada interfaz de red en el Firebox. Una captura SNMP es una notificación de evento que su Firebox envía a un sistema de administración de SNMP. La captura identifica cuando ocurre una condición específica, tal como un valor que sea exceda su umbral predefinido. Su Firebox puede enviar una captura para cualquier política en el Policy Manager. Una solicitud de informe de SNMP es similar a una captura, pero el receptor envía una respuesta. Si su Firebox no obtiene una respuesta, él envía la solicitud de informe nuevamente hasta que el administrador de SNMP envíe una respuesta. Se envía una captura sólo una vez, y el receptor no envía ningún tipo de acuse de recibo al recibir la captura.
Acerca de las Bases de Información de Administración (MIBs) Fireware XTM soporta dos tipos de Bases de Información de Administración (MIBs): MIBs Estándares Las MIBs estándares son definiciones de eventos de hardware y red usadas por diversos dispositivos. Su dispositivo WatchGuard soporta ocho MIBs estándares: n n n n n n n n
IP-MIB IF-MIB TCP-MIB UDP-MIB SNMPv2-MIB SNMPv2-SMI RFC1213-MIB RFC1155 SMI-MIB
Esas MIBs incluyen datos acerca de la información de red estándar, tal como direcciones IP y configuración de interfaz de red. MIBs Empresariales Las MIBs empresariales son usados para dar información acerca de eventos específicos a un fabricante determinado. Su Firebox soporta las siguientes MIBs empresariales: n n n
WATCHGUARD-PRODUCTS-MIB WATCHGUARD-SYSTEM-CONFIG-MIB UCD-SNMP-MIB
Esas MIBs incluyen datos más específicos acerca del hardware del dispositivo. Al instalar el WatchGuard System Manager, las MIBs son instaladas en: 60
Fireware XTM Web UI
Información básica sobre configuración y administración \My Documents\My WatchGuard\Shared WatchGuard\SNMP
Activar Sondeo de SNMP Puede configurar su Firebox para aceptar sondeos de SNMP desde un servidor SNMP. Su Firebox reporta datos al servidor SNMP, tal como conteo de tráfico de cada interfaz, tiempo de actividad del dispositivo, el número de paquetes TCP recibidos y enviados, y la última alteración de cada interfaz de red. 1. Seleccione Sistema >SNMP. Aparece la página SNMP.
2. Para activar el SNMP, en la lista desplegable Versión, seleccione v1, v2c, o v3. 3. Si seleccionó la v1 o v2c para la versión del SNMP, ingrese la Cadena de comunidad que el servidor SNMP usa cuando se contacta con el Firebox. La cadena de comunidad es como un ID de usuario y contraseña que permite el acceso a las estadísticas de un dispositivo. Si seleccionó la v3 para la versión del SNMP, ingrese el Nombre del usuario que el servidor SNMP usa cuando se contacta con el Firebox. 4. Si su servidor SNMP usa autenticación, en la lista desplegable Protocolo de autenticación, seleccione MD5 o SHA e ingrese la Contraseña de autenticación dos veces.
Guía del Usuario
61
Información básica sobre configuración y administración
5. Si su servidor SNMP usa cifrado, en la lista desplegable Protocolo de Privacidad, seleccione DES e ingrese la Contraseña de cifrado dos veces. 6. Haga clic en Guardar. Para habilitar su Firebox para que pueda recibir sondeos de SNMP, se debe agregar una política de SNMP. 1. Seleccione Firewall >Políticas de Firewall. 2. Haga clic en Agregar. 3. Expanda la categoría Filtrados de paquetes y seleccione SNMP. Haga clic en Agregar. Aparece la página "Configuración de Política".
4. Abajo del cuadro De, haga clic en Agregar. Aparece la ventana Agregar miembro.
5. 6. 7. 8.
En la lista desplegable Insertar miembro, seleccione IP del host. Ingrese la dirección IP de su servidor SNMP en el cuadro de texto al lado. Haga clic en OK. Remueva la entrada Cualquiera de Confianza de la lista De. Abajo del cuadro Para, haga clic en Agregar. Aparece la ventana Agregar miembro.
9. En el cuadro de diálogo Agregar miembro, seleccione Firebox. Haga clic en OK. 10. Remueva la entrada Cualquiera Externo de la lista Para. 11. Haga clic en Guardar.
Activar Capturas y estaciones de administración de SNMP Una captura SNMP es una notificación de evento que el dispositivo WatchGuard envía a un sistema de administración de SNMP. La captura identifica cuando ocurre una condición específica, tal como un valor que sea exceda su umbral predefinido. Su dispositivo WatchGuard puede enviar una captura para cualquier política. Una solicitud de informe de SNMP es similar a una captura, pero el receptor envía una respuesta. Si su dispositivo WatchGuard no obtiene una respuesta, él envía la solicitud de informe nuevamente hasta que el administrador de SNMP envíe una respuesta. Se envía una captura sólo una vez, y el receptor no envía ningún tipo de acuse de recibo al recibir la captura. Una solicitud de informe es más confiable que una captura porque su dispositivo WatchGuard sabe si la solicitud de informe fue recibida. No obstante, las solicitudes de informe consumen muchos recursos. Son guardadas en la memoria hasta que el remitente obtenga una respuesta. Si se debe enviar una solicitud de informe más de una vez, los reintentos aumentan el tráfico. Recomendamos que considere si vale la pena usar la memoria del enrutador para cada notificación de SNMP y aumentar el tráfico de red. Para activar las solicitudes de informe de SNMP, debe usar SNMPv2 o SNMPv3. SNMPv1 sólo soporta capturas, pero no solicitudes de informe.
Configurar Estaciones de Administración de SNMP 1. Seleccione Sistema > SNMP. Aparece la página SNMP.
62
Fireware XTM Web UI
Información básica sobre configuración y administración
2. En la lista desplegable Capturas de SNMP, seleccione la versión de la captura o informe que desea usar. SNMPv1 sólo soporta capturas, pero no solicitudes de informe. 3. En el cuadro de texto Estaciones de Administración deSNMP , ingrese la dirección IP de su servidor SNMP. Haga clic en Agregar. 4. Para remover un servidor de la lista, seleccione la entrada y haga clic en Remover. 5. Haga clic en Guardar.
Agregar una política de SNMP Para habilitar su Firebox para que pueda recibir sondeos de SNMP, se debe agregar una política de SNMP. 1. Seleccione Firewall >Políticas de Firewall. 2. Haga clic en Agregar. 3. Expanda la categoría Filtrados de paquetes y seleccione SNMP. Haga clic en Agregar política. Aparece la página "Configuración de Política".
4. En el cuadro de texto Nombre, ingrese un nombre para la política. 5. Seleccione la casilla de verificación Activar. 6. En la sección Desde, haga clic en Agregar. Aparece la ventana Agregar miembro.
7. En la lista desplegable Tipo de miembro , seleccione el IP del host.
Guía del Usuario
63
Información básica sobre configuración y administración
8. En el cuadro de texto al lado, inserte la dirección IP de su servidor SNMP y después haga clic en Aceptar. 9. Remueva la entrada Cualquiera de Confianza de la lista De. 10. En la sección Hasta, haga clic en Agregar. Aparece la ventana Agregar miembro.
11. En el cuadro de diálogo Agregar miembro, seleccione Firebox. Haga clic en OK. 12. Remueva la entrada Cualquiera Externo de la lista Para. 13. Haga clic en Guardar.
Enviar una captura SNMP para una política Su Firebox puede enviar una captura SNMP cuando el tráfico es filtrado por una política. Debe tener al menos una estación de administración de SNMP configurada para activar las capturas SNMP. 1. Seleccione Firewall > Políticas de Firewall. 2. Haga doble clic en una política. O seleccione una política y haga clic en Editar. Aparece la página "Configuración de Política".
3. Haga clic en la pestaña Propiedades. 4. En la sección Registro, seleccione la casilla de verificación Enviar Captura SNMP. 5. Haga clic en Guardar.
Acerca de las frases de contraseña, claves de cifrado y claves compartidas de WatchGuard Como parte de la solución de seguridad de su red, utilice contraseñas, claves de cifrado y claves compartidas. Este tema incluye información sobre la mayoría de las contraseñas, claves de cifrado y claves compartidas que usted utiliza para los productos WatchGuard. No incluye información sobre contraseñas o frases de contraseña de terceros. En los procedimientos relacionados también se incluye información sobre las restricciones para las contraseñas, las claves de cifrado y las claves compartidas.
Crear una contraseña, una clave de cifrado o una clave compartida segura Para crear una contraseña, una clave de cifrado o una clave compartida segura, se recomienda: n
n
n
utilice una combinación de caracteres ASCII en minúscula y en mayúscula, números y caracteres especiales (por ejemplo, Im4e@tiN9); no utilice una palabra de los diccionarios estándar, incluso si la utiliza en una secuencia diferente o en un idioma diferente; y no utilice un nombre. Resulta fácil para un atacante encontrar un nombre de empresa, un nombre de familia o el nombre de alguien famoso.
Como medida de seguridad adicional, se recomienda cambiar las contraseñas, las claves de cifrado y las claves compartidas a intervalos regulares.
Frases de contraseña de Firebox Un Firebox utiliza dos frases de contraseña:
64
Fireware XTM Web UI
Información básica sobre configuración y administración
Frase de contraseña de estado La frase de contraseña o contraseña de sólo lectura que permite acceso al Firebox. Cuando inicia sesión con esta frase de contraseña, puede revisar su configuración, pero no puede guardar los cambios en el Firebox. La frase de contraseña de estado está asociada al estado del nombre de usuario. Frase de contraseña de configuración La frase de contraseña o contraseña de sólo lectura que permite a un administrador tener acceso pleno al Firebox. Debe utilizar esta frase de contraseña para guardar los cambios de configuración en el Firebox. Ésta es también la frase de contraseña que debe utilizar para cambiar sus frases de contraseña de Firebox. La frase de contraseña de configuración está asociada al nombre de usuario del administrador. Cada una de estas frase de contraseña de Firebox debe tener al menos ocho caracteres.
Frases de contraseña de usuario Puede crear nombres de usuario y frases de contraseña para utilizar con la autenticación de Firebox y la administración basada en roles. Frases de contraseñas de usuario para autenticación de Firebox Una vez que configura esta frase de contraseña de usuario, los caracteres se enmascaran y la frase de contraseña no vuelve a aparecer en texto simple. Si se pierde la frase de contraseña, debe configurar una nueva frase de contraseña. El rango permitido para esta frase de contraseña es de entre ocho y 32 caracteres. Frases de contraseña de usuario para administración basada en roles Una vez que configura esta frase de contraseña de usuario, no vuelve a aparecer en el cuadro de diálogo Propiedades de usuario y de grupo. Si se pierde la frase de contraseña, debe configurar una nueva frase de contraseña. Esta frase de contraseña debe tener al menos ocho caracteres.
Frases de contraseña del servidor Frase de contraseña del administrador La frase de contraseña del administrador se utiliza para controlar el acceso a WatchGuard Server Center. También puede utilizar esta frase de contraseña cuando se conecta a su Management Server desde WatchGuard System Manager (WSM). Esta frase de contraseña debe tener al menos ocho caracteres. La frase de contraseña del administrador está relacionada con la admin del nombre de usuario. Secreto compartido del servidor de autenticación El secreto compartido es la clave que Firebox y el servidor de autenticación utilizan para asegurar la información de autenticación que se transfiere entre ellos. El secreto compartido distingue mayúsculas de minúsculas y debe ser el mismo en Firebox que en el servidor de autenticación. Los servidores RADIUS, SecurID y VASCO utilizan una clave compartida.
Guía del Usuario
65
Información básica sobre configuración y administración
Claves de cifrado y claves compartidas Encryption Key del Log Server La clave de cifrado se utiliza para crear una conexión segura entre Firebox y los Log Servers, y para evitar ataques “man-in-the-middle” (o de intrusos). El rango permitido para la clave de cifrado es de 8 a 32 caracteres. Puede usar todos los caracteres, excepto los espacios o barras diagonales o invertidas (/ o \). Respaldar/restablecer clave de cifrado Ésta es la clave de cifrado que usted crea para cifrar un archivo de respaldo de su configuración de Firebox. Al restablecer un archivo de respaldo, utilice la clave de cifrado que seleccionó cuando creó el archivo de respaldo de configuración. Si pierde o olvida la clave de cifrado, no puede restaurar el archivo de copia de seguridad. La clave de cifrado debe tener al menos ocho caracteres y no puede tener más de 15 caracteres. Clave compartida VPN La clave compartida es una contraseña utilizada por dos dispositivos para cifrar y descifrar los datos que pasan a través del túnel. Los dos dispositivos usan la misma frase de contraseña. Si los dispositivos no tienen la misma frase de contraseña, no pueden encriptar o descifrar los datos correctamente.
Alterar frases de contraseña de Firebox Firebox usa dos frases de contraseña: Frase de contraseña de estado La frase de contraseña o contraseña de sólo lectura que permite acceso al Firebox. Frase de contraseña de configuración La frase de contraseña o contraseña de sólo lectura que permite a un administrador tener acceso pleno al Firebox. Para obtener más información acerca de las frases de contraseña, vea Acerca de las frases de contraseña, claves de cifrado y claves compartidas de WatchGuard en la página 64. Para alterar las frases de contraseña: 1. Seleccione Sistema > Frase de contraseña. Aparece la página Frase de contraseña.
66
Fireware XTM Web UI
Información básica sobre configuración y administración
2. Ingrese y confirme las frases de contraseña de nuevo estado (sólo lectura) y confirmación (lectura/escritura). La frase de contraseña de estado debe ser diferente de la frase de contraseña de configuración. 3. Haga clic en Guardar.
Defina las configuraciones globales del Firebox En Fireware XTM Web UIse pueden seleccionar configuraciones que controlen las acciones de muchas funciones de los dispositivos Firebox y XTM . Se configuran los parámetros básicos para: n n n n n
Administración de errores ICMP Comprobación TCP SYN Ajuste del tamaño máximo de TCP Administración de tráfico y QoS Puerto de interfaz del usuario web
Para modificar las configuraciones globales: 1. Seleccionar Sistema > Configuraciones globales. Aparece el cuadro de diálogo Configuraciones globales.
Guía del Usuario
67
Información básica sobre configuración y administración
2. Configure las diferentes categorías de las configuraciones globales como se describe en las siguientes secciones. 3. Haga clic en Guardar.
Defina las configuraciones globales de administración de errores ICMP El Protocolo de mensajes de control de Internet (ICMP) controla errores en las conexiones. Se utiliza para dos tipos de operaciones: n n
Para informar a los host clientes acerca de condiciones de error. Para sondear una red a fin de encontrar características generales acerca de ésta.
El Firebox envía un mensaje de error ICMP cada vez que ocurre un evento que coincide con uno de los parámetros seleccionados. Estos mensajes son herramientas convenientes para utilizar cuando se resuelven problemas, pero también pueden reducir la seguridad porque exponen información acerca de la red. Si el usuario rechaza estos mensajes ICMP, puede aumentar la seguridad al impedir los sondeos de red, pero esto también puede generar demoras del tiempo de espera para conexiones incompletas, lo cual puede causar problemas en las aplicaciones.
68
Fireware XTM Web UI
Información básica sobre configuración y administración
Las configuraciones para la administración global de errores de ICMP son: Se requiere fragmentación (PMTU) Seleccione esta casilla de verificación para permitir los mensajes "Se requiere fragmentación" de ICMP. El Firebox utiliza estos mensajes para encontrar la ruta MTU. Tiempo excedido Seleccione esta casilla de verificación para permitir mensajes de "Tiempo excedido" de ICMP. Un enrutador en general envía estos mensajes cuando ocurre un bucle en la ruta. No se puede alcanzar la red Seleccione esta casilla de verificación para permitir mensajes "No se puede alcanzar la red" de ICMP. Un enrutador en general envía estos mensajes cuando un enlace de red está roto. No se puede alcanzar el host Seleccione esta casilla de verificación para permitir mensajes "No se puede alcanzar el host" de ICMP. La red en general envía estos mensajes cuando no puede utilizar un host o servicio. No se puede alcanzar el puerto Seleccione esta casilla de verificación para permitir mensajes "No se puede alcanzar el puerto" de ICMP. Un host o firewall en general envía estos mensajes cuando un servicio de red no está disponible o no está permitido. No se puede alcanzar el protocolo Seleccione esta casilla de verificación para permitir mensajes "No se puede alcanzar el protocolo" de ICMP. Para anular estas configuraciones globales de ICMP para una política específica: Fireware XTM Web UI: 1. Seleccione Firewall > Políticas de Firewall. 2. Haga doble clic en la política para editarla. Aparece la página Configuración de políticas.
3. 3. 4. 5.
Seleccione la pestaña Avanzado. Seleccione la casilla de verificación Utilizar administración de errores de ICMP basada en políticas. Seleccione la casilla de verificación sólo para las configuraciones que desea activar. Haga clic Guardar.
Habilitar la comprobación TCP SYN La comprobación TCP SYN garantiza que el protocolo de enlace de tres vías TCP se complete antes de que el dispositivo Firebox o XTM permita una conexión de datos.
Guía del Usuario
69
Información básica sobre configuración y administración
Definir las configuraciones globales de ajuste de tamaño máximo del segmento TCP El segmento TCP puede configurarse en un tamaño específico para una conexión que debe tener más sobrecarga TCP/IP de capa 3 (por ejemplo, PPPoE, ESP o AH). Si este tamaño no está configurado correctamente, los usuarios no pueden obtener acceso a algunos sitios web. Las configuraciones globales de ajuste de tamaño máximo del segmento TCP son: Ajuste automático El dispositivo Firebox o XTM examina todas las negociaciones de tamaño máximo del segmento (MSS) y cambia el valor de MSS al correspondiente. Sin ajustes El dispositivo Firebox o XTM no cambia el valor de MSS. Limitar a El usuario configura un límite de ajuste del tamaño.
Activar o desactivar la administración de tráfico y QoS Para los fines de prueba de rendimiento o depuración de la red, el usuario puede desactivar las funciones de administración de tráfico y QoS. Para activar estas funciones: Seleccione la casilla de verificación Activar todas las funciones de administración de tráfico y QoS. Para desactivar estas funciones: Desmarque la casilla de verificación Activar todas las funciones de administración de tráfico y QoS.
Cambiar el puerto Web UI De manera predeterminada, la Fireware XTM Web UI utiliza el puerto 8080. Para cambiar este puerto: 1. En el cuadro de texto Puerto Web UI , ingrese o seleccione un número de puerto diferente. 2. Utilice el nuevo puerto para conectarse a la Fireware XTM Web UI y pruebe la conexión con el nuevo puerto.
Reinicio automático Puede programar el dispositivo Firebox o XTM para que se reinicie automáticamente en el día y la hora especificados. Para programar un reinicio automático para el dispositivo:
70
Fireware XTM Web UI
Información básica sobre configuración y administración
1. Seleccione la casilla de verificación Programar horario para reiniciar. 2. En la lista desplegable adyacente, seleccione Diario para reiniciar a la misma hora todos los días o seleccione un día de la semana para un reinicio semanal. 3. En los cuadros de texto adyacentes, ingrese o seleccione la hora y los minutos del día (en formato de 24 horas) en que desea que comience el reinicio.
Consola externa Esta opción sólo está disponible para los dispositivos y configuraciones Firebox X Edge. Seleccione esta casilla de verificación para usar el puerto serie para conexiones de consola, como la CLI (interfaz de línea de comandos) del Fireware XTM. El puerto serie no puede usarse para conmutación por error de módem cuando esta opción está seleccionada y es necesario reiniciar el dispositivo para cambiar esta configuración.
Acerca de los servidores WatchGuard System Manager Cuando instala el software de WatchGuard System Manager, puede elegir instalar uno o más servidores WatchGuard System Manager. También puede ejecutar el programa de instalación y seleccionar instalar un solo servidor o más servidores, sin WatchGuard System Manager. Cuando instala un servidor, el programa de WatchGuard Server Center se instala automáticamente. WatchGuard Server Center es una aplicación unificada que usted puede utilizar para establecer, configurar, guardar un archivo de respaldo y restablecer todos los servidores WatchGuard System Manager. Cuando utiliza Fireware XTM Web UI para administrar su Firebox o dispositivos XTM, también puede elegir utilizar los servidores WatchGuard System Manager y WatchGuard Server Center. Para obtener más información sobre WatchGuard System Manager, los servidores WatchGuard System Manager y WatchGuard Server Center, consulte Ayuda de Fireware XTM WatchGuard System Manager v11.x y la Guía de usuario de WatchGuard System Manager v11.x de Fireware XTM. WatchGuard System Manager incluye cinco servidores: n n n n n
Management Server Log Server Report Server Quarantine Server WebBlocker Server
Para obtener más información sobre WatchGuard System Manager y los servidores WatchGuard, consulte Ayuda de Fireware XTM WatchGuard System Manager v11.x o la Guía de usuario v11.x. Cada servidor tiene una función específica: Management Server El Management Server funciona en un equipo Windows. Con este servidor, puede manejar todos los dispositivos firewall y crear túneles de red privada virtual (VPN) con sólo arrastrar y soltar. Las funciones básicas del Management Server son: n
Autoridad de certificación para distribuir certificados para túneles de seguridad del protocolo de Internet (IPSec).
Guía del Usuario
71
Información básica sobre configuración y administración
n n
Administración de la configuración del túnel VPN. Administración de múltiples dispositivos Fireware XTM y Firebox
Para obtener más información acerca del Management Server, consulte Acerca del WatchGuard Management Server la Ayuda de Fireware XTM WatchGuard System Manager v11.x o la Guía de usuario v11.x.. Log Server El Log Servers recopila mensajes de registro para cada dispositivo Firebox y XTM, y los guarda en una base de datos PostgreSQL. Los mensajes de registro se cifran cuando se envían al Log Servers. El formato del mensaje de registro es XML (texto sin formato). Los tipos de mensajes de registro que el Log Servers recopila incluyen mensajes de registro de tráfico, mensajes de registro de eventos, alarmas y mensajes de diagnóstico. Para obtener más información sobre los Log Servers, consulte la Ayuda de Fireware XTM WatchGuard System Manager v11.x o la Guía de usuario v11.x.. Report Server El Report Server agrupa periódicamente los datos recopilados por sus Log Server desde sus dispositivos Firebox y XTM, y los almacena en una base de datos PostgreSQL. El Report Server luego genera los reportes que usted especifica. Cuando los datos se encuentran en el Report Server, puede revisarlos con el Report Manager o la Web UI (interfaz de usuario) de reporte. Para obtener más información acerca de cómo utilizar la Reporting Web UI, consulte la Ayuda de la Reporting Web UI. Para obtener más información sobre el Report Server, consulte la Ayuda de Fireware XTM WatchGuard System Manager v11.x o la Guía de usuario v11.x. Quarantine Server El Quarantine Server recopila y aísla mensajes de correo electrónico que spamBlocker identifica como posible spam. Para obtener más información sobre el Quarantine Server, consulte Página Acerca de Quarantine Server en la página 635. WebBlocker Server El WebBlocker Server funciona con el proxy HTTP para denegar el acceso de usuario a categorías especificadas de sitios web. Cuando configura Firebox, establece las categorías de sitio web que desea permitir o bloquear. Para obtener más información sobre WebBlocker y el WebBlocker Server, consulte Acerca de las WebBlocker en la página 561.
Administrar un Firebox desde una ubicación remota Cuando configura un Firebox con el Quick Setup Wizard, se crea automáticamente una política llamada política WatchGuard. Esa política permite conectarse y administrar el Firebox desde cualquier equipo en redes de confianza u opcional. Si desea administrar el Firebox desde una ubicación remota (cualquier ubicación externa al Firebox), debe alterar la política WatchGuard para permitir conexiones administrativas
72
Fireware XTM Web UI
Información básica sobre configuración y administración
desde la dirección IP de su ubicación remota. La política WatchGuard controla el acceso al Firebox en esos cuatro puertos TCP: 4103, 4105, 4117, 4118. Cuando permite las conexiones en la política WatchGuard, permite las conexiones a cada uno de esos cuatro puertos. Antes de modificar la política WatchGuard, recomendamos que considere conectarse al Firebox con una VPN. Eso aumenta enormemente la seguridad de la conexión. Caso no sea posible, recomendamos que permita el acceso desde la red externa sólo a determinados usuarios autorizados y al número de equipos más pequeño posible. Por ejemplo, su configuración es más segura si permite conexiones desde un equipo simple en vez de desde el alias "Cualquier-externo". 1. Seleccione Firewall > Políticas de Firewall. 2. Haga doble clic en la política de WatchGuard. O haga clic en la política WatchGuard y seleccione Editar. Aparece la página de Configuración de Política.
Guía del Usuario
73
Información básica sobre configuración y administración
3. En la sección Desde, haga clic en Agregar. Aparece el cuadro de diálogo "Agregar miembro".
4. Agregar la dirección del equipo externo que se conecta al Firebox: en la lista desplegable Tipo de miembro, seleccione IP del host, y haga clic en Aceptar. Después, ingrese la dirección IP. 5. Si desea otorgar acceso a un usuario autorizado en la lista desplegable Tipo de miembro seleccione Alias. Para obtener información sobre cómo crear un alias, vea Crear un alias en la página 258.
Configurar un Firebox como un dispositivo administrado Si su Firebox tiene una dirección IP dinámica o si el Management Server no puede conectarse a él por cualquier otra razón, es posible configurar el Firebox como cliente administrado antes de añadirlo al Management Server.
Editar la política WatchGuard 1. Seleccione Firewall >Políticas de Firewall. Aparece la página "Políticas de Firewall".
2. Haga doble clic en la política WatchGuard para abrirla. Aparece el cuadro de diálogo de la página Configuración de Políticas para la política WatchGuard.
74
Fireware XTM Web UI
Información básica sobre configuración y administración
3. En las la lista desplegable Conexiones, asegúrese que Permitido esté seleccionado. 4. En la sección Desde, haga clic en Agregar. Aparece el cuadro de diálogo "Agregar miembro".
5. En el Tipo de miembro lista desplegable, seleccione el IP del host. 6. En el cuadro de texto ,Tipo inserte la dirección IP de la interfaz externa del Firebox de puerta de enlace. Si no tiene un Firebox de puerta de enlace que proteja el Management Server contra la Internet, ingrese la dirección IP estática del Management Server. 7. Haga clic en OK para cerrar el cuadro de diálogo Agregar miembro. 8. Asegúrese de que la sección Para incluya una entrada para Firebox o para Cualquiera. 9. Haga clic en Guardar. Ahora puede agregar el dispositivo a la Management Server configuration. Cuando agrega ese Firebox a la Management Server configuration, éste automáticamente se conecta a la dirección IP estática y configura el Firebox como un cliente Firebox administrado.
Guía del Usuario
75
Información básica sobre configuración y administración
Configurar Dispositivo Administrado (Opcional) Si su Firebox tiene una dirección IP dinámica o si el Management Server no puede encontrar la dirección IP del Firebox por algún motivo, es posible usar ese procedimiento para preparar su Firebox para que sea administrado por el Management Server. 1. Seleccione Sistema > Dispositivos Administrados. Aparece la página "Dispositivo Administrado".
2. Para configurar un Firebox como dispositivo administrado, seleccione la casilla Centralized Management. 3. En el campo Nombre del dispositivo administrado, ingrese el nombre que desea dar al Firebox cuando lo agrega a la Management Server configuration.
76
Fireware XTM Web UI
Información básica sobre configuración y administración
Ese nombre distingue mayúsculas de minúsculas y debe coincidir con el nombre usado al agregar el dispositivo a la Management Server configuration. 4. En la ventana Dirección(es) IP del Management Server , seleccione la dirección IP del Management Server caso tenga una dirección IP pública. O seleccione la dirección IP pública del Firebox de puerta de enlace para el Management Server. 5. Para agregar una dirección, haga clic en Agregar. El Firebox que protege el Management Server automáticamente monitorea todos los puertos usados por el Management Server y envía cualquier conexión de esos puertos hacia el Management Server configurado. Cuando usa el Management Server Setup Wizard, el Asistente añade una política WG-Mgmt-Server a su configuración para cuidar de esas conexiones. Si no usó el Management Server Setup Wizard en el Management Server o si saltó el paso Firebox de Puerta de Enlace en el asistente, debe añadir manualmente la política WG-Mgmt-Server a la configuración de su Firebox de puerta de enlace. 6. En los campos Shared Secret y Confirmar, ingrese el secreto compartido. El secreto compartido ingresado aquí debe coincidir con aquél ingresado al agregar el Firebox a la Management Server configuration. 7. Copie el texto de su archivo de certificado CA del Management Server, y péguelo en el campo Certificado de Management Server. 8. Haga clic Guardar. Cuando guarda la configuración en el Firebox, éste queda activado como dispositivo administrado. El Firebox administrado intenta conectarse a la dirección IP del Management Server en el puerto TCP 4110. Las conexiones de administración no son permitidas a partir del Management Server para este dispositivo Firebox. Ahora puede agregar el dispositivo a la Management Server configuration. Para obtener más información acerca de la Ayuda del WatchGuard System Manager o Guía del usuario. También puede usar el WSM para configurar el modo de administración de su dispositivo. Para obtener más información acerca de la Ayuda del WatchGuard System Manager o Guía del usuario.
Actualizar para una nueva versión del Fireware XTM Periódicamente, el WatchGuard crea nuevas versiones Fireware XTM disponible a los usuarios de Firebox con suscripciones activas del LiveSecurity. Para actualizar desde una versión del Fireware XTM hacia una nueva versión de Fireware XTM, use los procedimientos en las siguientes secciones.
Instalar la actualización en su equipo administrado 1. Descargue el software actualizado de Fireware XTM en la sección de Descargas de Software del sitio web de WatchGuard en http://www.watchguard.com.
Guía del Usuario
77
Información básica sobre configuración y administración
2. Inicie el archivo descargado desde el sitio web de LiveSecurity y use el procedimiento en pantalla para instalar el archivo de actualización del Fireware XTM en el directorio de instalación de WatchGuard en su equipo de administración. Por defecto, el archivo es instalado en una carpeta en: C:\Program Files\Common Files\WatchGuard\resources\FirewareXTM\11.0
Actualizar el Firebox 1. Seleccione Sistema > Imagen de copia de seguridad para guardar una imagen de copia de seguridad de su Firebox. Para más informaciones, vea Hacer una copia de seguridad de la imagen de Firebox en la página 41. 2. Seleccione Sistema > Actualizar OS. 3. Ingrese el nombre de archivo o haga clic en Examinar para seleccionar el archivo de actualización desde el directorio en el que está instalado. El nombre del archivo termina con .sysa_dl. 4. Haga clic en Actualizar. El procedimiento de actualización puede llevar hasta 15 minutos y automáticamente reinicia el dispositivo WatchGuard. Si su dispositivo WatchGuard estuvo funcionando por algún tiempo antes de la actualización, puede ser necesario reiniciar el dispositivo antes de iniciar la actualización, para que se limpie la memoria temporal.
Descargue el archivo de configuración A partir del Fireware XTM Web UI, puede descargar la configuración de su dispositivo WatchGuard en un archivo comprimido. Eso puede ser útil si desea abrir el mismo archivo de configuración en el Policy Manager de Fireware XTM pero no logra conectarse al dispositivo desde el Policy Manager. Eso también puede ser útil si desea enviar un archivo de configuración al representante de WatchGuard Technical Support. 1. Seleccione Sistema >Configuración. Aparece la página de descarga del Archivo de configuración.
2. Haga clic en Descargar archivo de configuración. Aparece el cuadro de diálogo "Seleccionar ubicación para descarga".
3. Seleccione una ubicación para guardar el archivo de configuración. El archivo de configuración es guardado en un archivo en formato comprimido (.gz). Antes que pueda usar ese archivo con el Policy Manager de Fireware XTM, debe extraer el archivo zipeado hacia una carpeta en su equipo. Para obtener más información acerca del Policy Manager, vea la Ayuda del WatchGuard System Manager.
78
Fireware XTM Web UI
6
Configuración de red
Acerca de las configuración de interfaz de red Un componente principal de la configuración del dispositivo WatchGuard es la configuración de las direcciones IP de la interfaz de red. Cuando se ejecuta el Quick Setup Wizard, las interfaces externa y de confianza se configuran de manera tal que el tráfico pueda circular desde dispositivos protegidos a una red externa. Puede seguir los procedimientos en esta sección para cambiar la configuración después de ejecutar el Quick Setup Wizard o para agregar otros componentes de su red a la configuración. Por ejemplo, puede configurar una interfaz opcional para servidores públicos como un servidor web. El dispositivo WatchGuard separa físicamente a las redes en la red de área local (LAN) de las que se encuentran en la red de área ancha (WAN) como Internet. El dispositivo utiliza enrutamiento para enviar paquetes desde las redes que protege a redes fuera de la organización. Para hacerlo, el dispositivo debe conocer qué redes están conectadas en cada interfaz. Recomendamos registrar la información básica acerca de la configuración de red y VPN en caso de que necesite contactar a soporte técnico. Esta información puede ayudar al técnico a resolver su problema con rapidez.
Modos de red El dispositivo WatchGuard admite varios modos de red: Modo de enrutamiento combinado En el modo de enrutamiento combinado, se puede configurar Firebox para que envíe tráfico de red entre una amplia variedad de interfaces de red física y virtual. Éste es el modo de red predeterminado y ofrece la mayor flexibilidad para diferentes configuraciones de red. Sin embargo, cada interfaz debe configurarse por separado y es posible que deba cambiarse la configuración de red para cada computadora o cliente protegido por Firebox. Firebox utiliza la traducción de dirección de red (NAT) para enviar información entre interfaces de red.
Guía del Usuario
79
Configuración de red
Para obtener más información, consulte Acerca de la Traducción de dirección de red (NAT) en la página 137. Los requisitos para un modo de enrutamiento combinado son: n
n
Todas las interfaces del dispositivo WatchGuard deben configurarse en diferentes subnet. La configuración mínima incluye a las interfaces externas y de confianza. También puede configurar una o más interfaces opcionales. Todas las computadoras conectadas a las interfaces opcionales y de confianza deben tener una dirección IP de esa red.
Modo directo En una configuración directa, el dispositivo WatchGuard está configurado con la misma dirección IP en todas las interfaces. Puede colocar el dispositivo WatchGuard entre el enrutador y la LAN y no será necesario cambiar la configuración de ninguna computadora local. Esta configuración se conoce como modo directo porque el dispositivo WatchGuard se coloca en una red existente. Algunas funciones de red, como puentes y VLAN ( redes virtuales de área local) no están disponibles en este modo. Para la configuración directa se debe: n n n
Asignar una dirección IP externa al dispositivo WatchGuard. Utilizar una red lógica para todas las interfaces. No configurar multi-WAN en modo de operación por turnos o conmutación por error.
Para más informaciones, vea Acerca de la configuración de red en modo directo en la página 89. Modo puente El modo puente es una función que permite ubicar al dispositivo WatchGuard entre una red existente y su puerta de enlace para filtrar o administrar el tráfico de red. Cuando se activa esta función, el dispositivo WatchGuard procesa y reenvía todo el tráfico de red entrante a la gateway IP address especificada. Cuando el tráfico llega a la puerta de enlace, parece haber sido enviado desde el dispositivo original. En esta configuración, el dispositivo WatchGuard no puede realizar varias funciones que requieren una dirección IP pública y única. Por ejemplo, no se puede configurar un dispositivo WatchGuard en modo puente para que funcione como extremo para una VPN (red privada virtual). Para más informaciones, vea Modo Bridge en la página 94.
Tipos de interfaz Se utilizan tres tipos de interfaz para configurar la red en enrutamiento combinado o modo directo: Interfaces externas Una interfaz externa se usa para conectar el dispositivo WatchGuard a una red fuera de la organización. Con frecuencia, una interfaz externa es el método mediante el cual se conecta Firebox a Internet. Se puede configurar un máximo de cuatro (4) interfaces externas físicas.
80
Fireware XTM Web UI
Configuración de red
Cuando se configura una interfaz externa, se debe elegir el método que usa el proveedor de servicios de Internet (ISP) para otorgar una dirección IP a su Firebox. Si no conoce el método, solicite esta información a su ISP o administrador de red. Interfaces de confianza Las interfaces de confianza se conectan a la LAN (red de área local) privada o a la red interna de la organización. Una interfaz de confianza en general provee conexiones a los empleados y recursos internos seguros. Interfaces opcionales Las interfaces opcionales son entornos combinados-de confianza o DMZ que están separados de la red de confianza. Ejemplos de computadoras que a menudo se encuentran en una interfaz opcional son los servidores web públicos, servidores FTP y servidores de correo electrónico. Para obtener más información sobre tipos de interfaz, consulte Configuraciones de interfaz comunes en la página 95. Si tiene un Firebox X Edge, puede utilizar la interfaz de usuario web de Firebox XTM para configurar la conmutación por error con un módem externo en el puerto serie. Para más informaciones, vea Conmutación por error de módem serie en la página 128. Cuando se configuran las interfaces en el dispositivo WatchGuard, se debe utilizar notación diagonal para indicar la subnet mask. Por ejemplo, se ingresa el rango de red 192.168.0.0 subnet mask 255.255.255.0 como 192.168.0.0/24. Una interfaz de confianza con la dirección IP de 10.0.1.1/16 tiene una subnet mask de 255.255.0.0. Para obtener más información sobre notación diagonal, consulte Acerca de las Notación diagonal en la página 3.
Acerca de las interfaces de red en el Edge e-Series Cuando utiliza Fireware XTM en un Firebox X Edge e-Series, los números de interfaz de red que aparecen en la interfaz de usuario web (web UI) del Fireware XTM no coinciden con las etiquetas de interfaz de red que aparecen debajo de las interfaces físicas en el dispositivo. Utilice la siguiente tabla para comprender cómo los números de interfaz de la web UI se asignan a las interfaces físicas en el dispositivo. Número de interfaz en Fireware XTM
Etiqueta de interfaz en el hardware de Firebox X Edge eSeries
0
WAN 1
1
LAN 0, LAN 1, LAN 2
2
WAN 2
3
Op
Guía del Usuario
81
Configuración de red
Las interfaces con etiqueta LAN 0, LAN 1 y LAN 2 pueden considerarse como un concentrador de red de tres interfaces que se conecta a una única interfaz de Firebox. En Fireware XTM, estas interfaces se configuran juntas como Interfaz 1.
Modo de enrutamiento combinado En el modo de enrutamiento combinado, Firebox puede configurarse para enviar tráfico de red entre muchos tipos diferentes de interfaces de red física y virtual. El modo de enrutamiento combinado es el modo de red predeterminado. Aunque la mayoría de las funciones de seguridad y red están disponibles en este modo, debe verificar cuidadosamente la configuración de cada dispositivo conectado a Firebox para asegurarse de que la red funcione correctamente. Una configuración de red básica en el modo de enrutamiento combinado utiliza por lo menos dos interfaces. Por ejemplo, puede conectar una interfaz externa a un módem por cable u otra conexión a Internet y una interfaz de confianza a un enrutador interno que conecta a miembros internos de la organización. En esa configuración básica, puede agregar una red opcional que protege a los servidores pero permite un mayor acceso desde redes externas, configurar VLAN y otras funciones avanzadas o configurar opciones de seguridad adicionales como restricciones de dirección MAC. También puede definir el modo en que el tráfico de red se envía entre las interfaces. Para comenzar con la configuración de interfaces en el modo de enrutamiento combinado, consulte Configuraciones de interfaz comunes en la página 95. En el modo de enrutamiento combinado es fácil olvidar las direcciones IP y puntos de conexión en la red , especialmente si se usan VLAN (redes virtuales de área local), secondary networks y otras funciones avanzadas. Recomendamos registrar la información básica acerca de la configuración de red y VPN en caso de que necesite contactar a soporte técnico. Esta información puede ayudar al técnico a resolver su problema con rapidez.
Configurar una interfaz externa Una interfaz externa se usa para conectar el dispositivo Firebox o XTM a una red fuera de la organización. Con frecuencia, una interfaz externa es el método mediante el cual se conecta el dispositivo a Internet. Se puede configurar un máximo de cuatro (4) interfaces externas físicas. Cuando se configura una interfaz externa, se debe elegir el método que usa el proveedor de servicios de Internet (ISP) para otorgar una dirección IP a su dispositivo. Si no conoce el método, solicite esta información a su ISP o administrador de red. Para obtener información acerca de los métodos utilizados para configurar y distribuir direcciones IP, consulte estáticas y dinámicas Direcciones IP en la página 4.
Usar una dirección IP estática 1. Seleccione Interfaces de >red. Aparece la página de Interfaces de red.
2. Seleccione una interfaz externa. Haga clic en Configurar. 3. En la lista desplegable Modo configuración, seleccione IP estática. 4. En el cuadro de texto Dirección IP , ingrese la dirección IP de la interfaz.
82
Fireware XTM Web UI
Configuración de red
5. En el cuadro de texto Puerta de enlace predeterminada , ingrese la dirección IP de la puerta de enlace predeterminada.
6. Haga clic en Guardar.
Usar autenticación PPPoE Si su ISP usa PPPoE, debe configurar la autenticación PPPoE antes de que el dispositivo pueda enviar tráfico a través de la interfaz externa. 1. Seleccione Interfaces de >red. Aparece la página de Interfaces de red.
2. Seleccione una interfaz externa. Haga clic en Configurar. 3. En la lista desplegable Modo configuración , seleccione PPPoE. 4. Seleccione una opción: n n
Obtener una dirección IP automáticamente Usar esta dirección IP (proporcionada por el proveedor de servicios de Internet)
5. Si seleccionó Usar esta dirección IP, en el cuadro de texto adyacente, ingrese la dirección IP. 6. Ingrese el nombre de usuario y la contraseña. Vuelva a ingresar la contraseña. Los ISP usan el formato de dirección de correo electrónico para nombres de usuario, como por ejemplo
[email protected].
7. Haga clic en Configuración avanzada de PPPoE para configurar opciones de PPPoE adicionales. El ISP puede informarle si debe cambiar los valores de tiempo de espera o LCP.
Guía del Usuario
83
Configuración de red
8. Si el ISP requiere la etiqueta de host único para paquetes de descubrimiento de PPPoE, seleccione la casilla de verificación Utilizar etiqueta de host único en paquetes de descubrimiento de PPPoE. 9. Seleccionar cuándo el dispositivo se conecta al servidor PPPoE: n
Siempre activo: el dispositivo Firebox o XTM mantiene una conexión PPPoE constante. No es necesario para el tráfico de red atravesar la interfaz externa. Si selecciona esta opción, ingrese o seleccione un valor en el cuadro de texto Intervalo de reintento de inicialización de PPPoE para establecer la cantidad de segundos en que PPPoE intenta inicializarse antes de que ingrese en tiempo de espera.
n
Marcar a demanda: el dispositivo Firebox o XTM se conecta al servidor PPPoE sólo cuando recibe una solicitud de enviar tráfico a una dirección IP en la interfaz externa. Si el ISP restablece la conexión en forma regular, seleccione esta opción. Si selecciona esta opción, en el cuadro de texto Tiempo de espera inactivo , establezca la cantidad de tiempo en que un cliente puede permanecer conectado cuando no se envía tráfico. Si no selecciona esta opción, debe reiniciar Firebox en forma manual cada vez que se restablece la conexión.
10. En el cuadro de texto Falla en eco de LCP en , ingrese o seleccione el número de solicitudes de eco de LCP permitidas antes de que la conexión PPPoE se considere inactiva y se cierre. 11. En el cuadro de texto Tiempo de espera del eco de LCP en , ingrese o seleccione la cantidad de tiempo, en segundos, en la que debe recibirse la respuesta a cada tiempo de espera del eco. 12. Para configurar el dispositivo Firebox o XTM para que reinicie automáticamente la conexión PPPoE en forma diaria o semanal, seleccione la casilla de verificación Programar tiempo para reinicio automático.
84
Fireware XTM Web UI
Configuración de red
13. En la lista desplegable Programar tiempo para reinicio automático, seleccione Diario para reiniciar la conexión al mismo tiempo cada día o seleccione un día de la semana para un reinicio semanal. Seleccione la hora y minutos del día (en formato de 24 horas) para reiniciar automáticamente la conexión PPPoE. 14. En el cuadro de texto Nombre del servicio , ingrese un nombre del servicio PPPoE. Las opciones son el nombre del ISP o una clase de servicio que esté configurada en el servidor PPPoE. En general, esta opción no se usa. Selecciónela sólo si hay más de un concentrador de acceso o si sabe que debe utilizar un nombre de servicio específico. 15. En el cuadro de texto Nombre del concentrador de acceso , ingrese el nombre de un concentrador de acceso PPPoE, conocido también como servidor PPPoE. En general, esta opción no se usa. Seleccione esta opción sólo si sabe que hay más de un concentrador de acceso. 16. En el cuadro de texto Reintentos de autenticación , ingrese o seleccione el número de veces que el dispositivo Firebox o XTM puede intentar realizar una conexión. El valor predeterminado es de tres (3) intentos de conexión.
17. En el cuadro de texto Tiempo de espera de autenticación , ingrese un valor para la cantidad de tiempo entre los reintentos. El valor predeterminado es 20 segundos entre cada intento de conexión.
18. Haga clic en Volver a las configuraciones principales de PPPoE. 19. Guarde su configuración.
Usar DHCP 1. En la lista desplegable Modo configuración , seleccione DHCP. 2. Si el ISP o el servidor DHCO externo requiere un identificador de cliente, como una dirección MAC, ingrese esta información en el cuadro de texto Cliente . 3. Para especificar un nombre de hostpara identificación,ingréselo enel cuadrode textoNombre dehost .
4. Para asignar una dirección IP en forma manual a la interfaz externa, ingrésela en el cuadro de texto Utilizar esta dirección IP . Para configurar esta interfaz para que obtenga una dirección IP automáticamente, desmarque el cuadro de texto Utilizar esta dirección IP. 5. Para cambiar el tiempo de concesión, seleccione la casilla de verificación Tiempo de concesión y seleccione el valor deseado en la lista desplegable adyacente. Las direcciones IP que asigna un servidor DHCP tienen un tiempo de concesión predeterminado de un día; cada dirección es válida por un día.
Guía del Usuario
85
Configuración de red
Configurar el DHCP en modo de enrutamiento mixto DHCP (protocolo de configuración dinámica de host) es un método para asignar direcciones IP en forma automática a clientes de red. El dispositivo WatchGuard se puede configurar como servidor DHCP para las redes que protege. Si tiene un servidor DHCP, recomendamos que continúe usando ese servidor para DHCP. Si el dispositivo WatchGuard está configurado en modo directo, consulte Configurar DHCP en modo directo en la página 91. Nota No se puede configurar DHCP en ninguna interfaz en la cual esté activado FireCluster.
Configurar DHCP 1. Seleccione Interfaces de> red. 2. Seleccione una interfaz de confianza u opcional. Haga clic en Configurar.
86
Fireware XTM Web UI
Configuración de red
3. En la lista desplegable Modo configuración, seleccione Usar servidor DHCP.
4. Para agregar un grupo de direcciones IP para asignar usuarios en esta interfaz, ingrese una dirección IP de inicio y una dirección IP de finalización desde la misma subnet, luego haga clic en Agregar. El grupo de direcciones debe pertenecer ya sea a la subnet IP principal o secundaria de la interfaz. Se puede configurar un máximo de seis rangos de direcciones. Los grupos de direcciones se usan desde el primero al último. Las direcciones en cada grupo se asignan por número, de menor a mayor.
5. Para cambiar el tiempo de concesión predeterminado, seleccione una opción diferente en la lista desplegable Tiempo de concesión. Es el intervalo de tiempo en el que un cliente DHCP puede usar una dirección IP que recibe del servidor DHCP. Cuando el tiempo de concesión se está por agotar, el cliente envía datos al servidor DHCP para obtener una nueva concesión.
6. De manera predeterminada, cuando el dispositivo WatchGuard está configurado como servidor DHCP, revela la información del servidor DNS y WINS configurada en la pestaña Configuración de red > WINS/DNS. Para especificar información diferente para que el dispositivo asigne cuando revela las direcciones IP, haga clic en ,pestaña DNS/WINS.. n n
n n
Ingrese un Domain name para cambiar el dominio DNS predeterminado. Para crear una nueva entrada del servidor DNS o WINS, haga clic en el botón Agregar adyacente al tipo de servidor que desea, ingrese una dirección IP y haga clic en OK. Para cambiar la dirección IP del servidor seleccionado, haga clic en el botón Editar. Para eliminar al servidor seleccionado de la lista adyacente, haga clic en el botón Eliminar.
Configurar reservas de DHCP Para reservar una dirección IP específica para un cliente: 1. Ingrese un nombre para la reserva, la dirección IP que desea reservar y la dirección MAC de la tarjeta de red del cliente.
Guía del Usuario
87
Configuración de red
2. Haga clic en Agregar.
Página Acerca de Servicio DNS dinámico Se puede registrar la dirección IP externa del dispositivo WatchGuard en el servicio del sistema de domain name (DNS) dinámico DynDNS.org. Un servicio DNS dinámico garantiza que la dirección IP adjunta a su domain name cambie cuando el ISP entregue una nueva dirección IP a su dispositivo. Esta función está disponible en modo de enrutamiento combinado o modo de configuración de red directo. Si se usa esta función, el dispositivo WatchGuard recibe la dirección IP de members.dyndns.org cuando se inicia. Verifica que la dirección IP sea correcta cada vez que se reinicia y periódicamente cada veinte días. Si se realizan cambios en la configuración DynDNS en el dispositivo WatchGuard o si se cambia la dirección IP de la puerta de enlace predeterminada, actualiza DynDNS.com de inmediato. Para obtener más información sobre el servicio DNS dinámico o para crear una cuenta DynDNS, ingrese en http://www.dyndns.com. Nota WatchGuard no está asociado con DynDNS.com.
Configurar DNS dinámico 1. Seleccione Red >DNS dinámico. Aparece la página de cliente de DNS dinámico.
2. Seleccione una interfaz de red y después haga clic en Configurar. Aparece la página de configuración de DNS dinámico.
88
Fireware XTM Web UI
Configuración de red
3. 4. 5. 6. 7.
Seleccione la casilla de verificación Activar DNS dinámico. Ingrese el nombre de usuario y contraseña. En el cuadro de texto Confirmar, vuelva a ingresar la contraseña. En el cuadro de texto Dominio, ingrese el dominio de la organización. En la lista desplegable Tipo de servicio, seleccione el sistema que se usará para DNS dinámico: n
n
dyndns; envía actualizaciones para un nombre de host DNS dinámico. Use la opción dyndns cuando no tenga control sobre la dirección IP (por ejemplo, no es estática y cambia en forma regular). custom; envía actualizaciones para un nombre de host DNS personalizado. Las empresas que pagan para registrar sus dominios en dyndns.com utilizan con frecuencia esta opción.
Para acceder a una explicación de cada opción, consulte http://www.dyndns.com/services/. 8. En el campo Opciones, ingrese una o más de estas opciones: n n
n
n
mx=mailexchanger& ; especifica un Mail eXchanger (MX) para usar con el nombre de host. backmx=YES|NO& ; solicita que el MX en el parámetro anterior esté configurado como MX de
copia de seguridad (incluye al host como MX con un valor de preferencia menor). wildcard=ON|OFF|NOCHG& ; activa o desactiva comodines para este host (ON [encendido] para activar). offline=YES|NO ; establece al nombre de host en modo desconectado. Pueden enlazarse una o más opciones con el signo &. Por ejemplo: &mx=backup.kunstlerandsons.com&backmx=YES&wildcard=ON
Para obtener más información, consulte http://www.dyndns.com/developers/specs/syntax.html. 9. Haga clic en Enviar.
Acerca de la configuración de red en modo directo En una configuración directa, Firebox está configurado con la misma dirección IP en todas las interfaces. El modo configuración directa distribuye el rango de dirección lógica de la red a lo largo de todas las interfaces de red disponibles. Puede colocar Firebox entre el enrutador y la LAN y no será necesario cambiar la configuración de ninguna computadora local. Esta configuración se conoce como modo directo porque el dispositivo WatchGuard se coloca en una red previamente configurada. En modo directo: n
n n
n
Se debe asignar la misma dirección IP principal a todas las interfaces en Firebox (externa, de confianza y opcional). Pueden asignarse secondary networks en cualquier interfaz. Lasmismas direccionesIP ypuertas de enlace predeterminadaspueden mantenerse para loshost enlas redesde confianzay opcionales,y se puede agregar una direcciónde secondarynetwork ala interfaz externaprincipal paraque Fireboxpueda enviar tráfico correctamente a loshost de estas redes. Los servidores públicos detrás de Firebox pueden continuar utilizando las direcciones IP públicas. La traducción de dirección de red (NAT) no se utiliza para enrutar tráfico desde el exterior de la red hacia los servidores públicos.
Las propiedades de una configuración directa son:
Guía del Usuario
89
Configuración de red
n n n
Se debe asignar y utilizar una dirección IP estática en la interfaz externa. Se utiliza una red lógica para todas las interfaces. No se puede configurar más de una interfaz externa cuando el dispositivo WatchGuard está configurado en modo directo. La funcionalidad multi-WAN se desactiva automáticamente.
En algunas ocasiones es necesario Limpiar caché de ARP de cada computadora protegida por Firebox, pero esto no es frecuente. Nota Si se mueve una dirección IP de una computadora que se encuentra detrás de una interfaz a una computadora que se encuentra detrás de una interfaz diferente, pueden transcurrir varios minutos antes de que el tráfico de red se envíe a la nueva ubicación. Firebox debe actualizar su tabla de enrutamiento interna antes de que este tráfico pueda circular. Los tipos de tráfico que se ven afectados incluyen registro, SNMP y conexiones de administración de Firebox. Las interfaces de red pueden configurarse en modo directo cuando se ejecuta el Quick Setup Wizard. Si ya ha creado una configuración de red, puede usar el Policy Manager para cambiar al modo directo. Para más informaciones, vea Ejecutar el Web Setup Wizard en la página 24.
Utilizar modo directo para la configuración de la interfaz de red 1. Seleccione Interfaces de > red. Aparece el cuadro de diálogo Interfaces de red.
2. En la lista desplegable Configurar interfaces en, seleccione Modo directo transparente. 3. En el campoDirección IP, ingrese la dirección IP que desea utilizar como dirección principal para todas las interfaces de Firebox. 4. En el campo Puerta de enlace ingrese la dirección IP de la puerta de enlace. Esta dirección IP se agrega automáticamente a la lista de hosts relacionados.
5. Haga clic en Guardar.
Configurar host relacionados En una configuración directa o de puente, Firebox está configurado con la misma dirección IP en todas las interfaces. Firebox automáticamente descubre nuevos dispositivos que se conectan a estas interfaces y agrega cada nueva dirección MAC a su tabla de enrutamiento interna. Si desea configurar conexiones de dispositivos en forma manual o si la función de asignación automática de host no funciona correctamente, puede agregar una entrada de host relacionado. Una entrada de host relacionado crea una ruta estática entre la dirección IP del host y una interfaz de red. Recomendamos desactivar la asignación automática de host en interfaces para las que se crean entradas de host relacionados. 1. Seleccione Interfaces de >red. Aparece la página de Interfaces de red.
2. Configurar interfaces de red en modo directo o puente. Haga clic en Propiedades. Aparece la página Propiedades del modo directo.
90
Fireware XTM Web UI
Configuración de red
3. Desmarque la casilla de verificación para cualquier interfaz en la que desee agregar una entrada de host relacionado. 4. En el cuadro de texto Host, ingrese la dirección IP del dispositivo para el cual desea construir una ruta estática desde Firebox. Seleccione la Interfaz en la lista desplegable adyacente y luego haga clic en Agregar. Repita este paso para agregar otros dispositivos.
5. Haga clic en Guardar.
Configurar DHCP en modo directo Cuando se usa el modo directo para la configuración de red, de manera opcional se puede configurar a Firebox como servidor DHCP para las redes que protege o convertir a Firebox en agente de retransmisión de DHCP. Si tiene un servidor DHCP configurado, recomendamos que continúe usando ese servidor para DHCP.
Guía del Usuario
91
Configuración de red
Usar DHCP De manera predeterminada, Firebox revela la información de configuración del servidor DNS/WINS cuando está configurado como servidor DHCP. La información DNS/WINS de esta página puede configurarse para anular la configuración global. Para obtener más información, consulte las instrucciones en Agregar servidores WINS y Direcciones del servidor DNS en la página 98. 1. Seleccione Interfaces de >red. Aparece la página de Interfaces de red.
2. Haga clic en Propiedades. 3. Seleccione la pestaña Configuración DHCP.
4. Para agregar un grupo de direcciones desde el cual Firebox puede entregar direcciones IP: en los cuadros de texto IP de inicio e IP de finalización, ingrese un rango de direcciones IP que se encuentren en la misma subnet que la dirección IP directa. Haga clic en Agregar. Repita este paso para agregar más grupos de direcciones. Se puede configurar un máximo de seis grupos de direcciones.
92
Fireware XTM Web UI
Configuración de red
5. Para reservar una dirección IP específica de un grupo de direcciones para un dispositivo o cliente, en la sección Direcciones reservadas: n n n n
Ingrese un Nombre de reserva para identificar la reserva. Ingrese la dirección IP reservada que desea reservar. Ingrese la Dirección MAC del dispositivo. Haga clic en Agregar. Repita este paso para agregar más reservas de DHCP .
6. Si es necesario, Agregar servidores WINS y Direcciones del servidor DNS. 7. Para cambiar el tiempo de concesión DHCP , seleccione una opción diferente en la lista desplegable Tiempo de concesión. 8. En la parte superior de la página, haga clic en Volver. 9. Haga clic en Guardar.
Utilizar retransmisión de DHCP 1. Seleccione Interfaces de >red. Aparece la página de Interfaces de red.
2. Seleccione cualquier interfaz de confianza u opcional y haga clic en Configurar. O bien, haga doble clic en una interfaz de confianza u opcional. Aparece la página Configuración de interfaz.
3. Junto al cuadro de texto Dirección IP, seleccione Utilizar retransmisión de DHCP.
4. Ingrese la dirección IP del servidor DHCP en el campo relacionado. Asegúrese de Agregue una ruta estática al servidor DHCP, si es necesario. 5. Haga clic en Guardar. Haga clic en Guardar nuevamente.
Especificar la configuración DHCP para una sola interfaz Puede especificar una configuración DHCP diferente para cada interfaz opcional o de confianza en su configuración. Para modificar estas configuraciones: 1. 2. 3. 4.
Desplácese hasta la parte inferior del cuadro de diálogo Configuración de red. Seleccione una interfaz. Haga clic en Configurar. Para utilizar la misma configuración de DHCP que estableció en el modo directo, seleccione Utilizar configuración DHCP del sistema. Para desactivar DHCP para clientes en esa interfaz de red, seleccione Desactivar DHCP. Para configurar diferentes opciones de DHCP para clientes en una secondary network, seleccione Utilizar servidor DHCP para secondary network.
5. Para agregar grupos de direcciones IP , configurar el tiempo de concesión predeterminado y administrar servidores DNS/WINS, complete los Pasos 3-6 de la sección Utilizar DHCP. 6. Haga clic en OK.
Guía del Usuario
93
Configuración de red
Modo Bridge El modo Bridge es una función que le permite instalar su dispositivo Firebox o XTM entre una red existente y su puerta de enlace para filtrar o administrar el tráfico de red. Cuando se activa esta función, el dispositivo Firebox o XTM procesa y reenvía todo el tráfico de red a otros dispositivos de la puerta de enlace. Cuando el tráfico llega a la puerta de enlace desde el dispositivo Firebox o XTM, parece haber sido enviado desde el dispositivo original. Para utilizar el modo Bridge, debe especificar una dirección IP utilizada para administrar el dispositivo Firebox o XTM. El dispositivo también utiliza esta dirección IP para obtener actualizaciones para el Gateway Antivirus/IPS y para generar rutas a servidores DNS, NTP o WebBlocker internos según sea necesario. Debido a esto, asegúrese de asignar una dirección IP que pueda enrutarse por Internet. Cuando utiliza el modo Bridge, el dispositivo Firebox o XTM no puede completar algunas funciones que requieren que el dispositivo funcione como puerta de enlace. Estas funciones incluyen: n n n n n n n n n n n n
WAN múltiple VLAN (redes virtuales de área local) Puentes de red Rutas estáticas FireCluster Secondary networks Servidor DHCP o retransmisión DHCP Conmutación por error de módem serial (Firebox X Edge únicamente) 1 a 1 NAT, dinámica o estática Enrutamiento dinámico (OSPF, BGP o RIP) Cualquier tipo de VPN para la cual el dispositivo Firebox o XTM sea un extremo o puerta de enlace Algunas funciones proxy, incluido el Servidor de caché de Internet HTTP
Si ya ha configurado estas funciones o estos servicios, se desactivarán cuando cambie a modo Bridge. Para utilizar estas funciones o servicios nuevamente, debe usar un modo de red diferente. Si vuelve al modo de enrutamiento combinado o directo, es posible que deba configurar algunas funciones nuevamente. Nota Cuando se activa el modo Bridge, se desactiva cualquier interfaz con un puente de red o VLAN configurado previamente. Para utilizar esas interfaces, primero debe cambiar a modo de enrutamiento combinado o directo y configurar la interfaz como externa, opcional o de confianza y luego volver al modo Bridge. Las funciones inalámbricas de los dispositivos inalámbricos Firebox o XTM funcionan correctamente en el modo Bridge. Para activar el modo Bridge: 1. Seleccione Interfaces de >red. Aparece la página de Interfaces de red.
2. En la lista desplegable Configurar interfaces en, seleccione Modo Bridge.
94
Fireware XTM Web UI
Configuración de red
3. Si se le indica que desactive las interfaces, haga clic en Sí para desactivar las interfaces o en No para volver a la configuración anterior. 4. Ingrese la dirección IP del dispositivo Firebox o XTM en notación diagonal. Para obtener más información sobre notación diagonal, consulte Acerca de las Notación diagonal en la página 3. 5. Ingrese la dirección IP de puerta de enlace que recibe todo el tráfico de red desde el dispositivo. 6. Haga clic en Guardar.
Configuraciones de interfaz comunes Con el modo de enrutamiento combinado, se puede configurar el dispositivo WatchGuard para que envíe tráfico de red entre una amplia variedad de interfaces de red física y virtual. Éste es el modo de red predeterminado y ofrece la mayor flexibilidad para diferentes configuraciones de red. Sin embargo, cada interfaz debe configurarse por separado y es posible que deba cambiarse la configuración de red para cada computadora o cliente protegido por el dispositivo WatchGuard. Para configurar el modo de enrutamiento combinado en Firebox: 1. Seleccione Interfaces de> red. Aparece el cuadro de diálogo Interfaces.
2. Seleccione la interfaz que desea configurar y después haga clic en Configurar. Las opciones disponibles dependen del tipo de interfaz seleccionada. Aparece el cuadro de diálogo de interfaz Configuración.
Guía del Usuario
95
Configuración de red
3. En el campo Nombre de la interfaz (alias), puede retener el nombre predeterminado o cambiarlo a otro que refleje con más detalle su propia red y sus propias relaciones de confianza. Asegúrese de que el nombre sea único entre los nombres de interfaz y también entre todos los nombres de grupos MVPN y nombres de túnel. Puede usar este alias con otras funciones, como políticas de proxy, para administrar el tráfico de red para esta interfaz. 4. (Opcional) Ingrese una descripción de la interfaz en el campo Descripción de interfaz. 5. En la lista desplegable Modo configuración, seleccione el tipo de interfaz. Puede seleccionar Externa, De confianza, Opcional, Puente, Desactivada o VLAN. Algunos tipos de interfaz tienen configuraciones adicionales. n
n
n
n
n
Para obtener más información acerca de cómo asignar una dirección IP a una interfaz externa, consulte Configurar una interfaz externa en la página 82. Para configurar la dirección IP de una interfaz de confianza u opcional, ingrese la dirección IP en notación diagonal. Para asignar direcciones IP en forma automática a clientes en una interfaz de confianza u opcional, consulte Configurar el DHCP en modo de enrutamiento mixto en la página 86 o Configurar retransmisión de DHCP en la página 97. Para usar más de una dirección IP en una única interfaz de red física, consulte Configurar una secondary network en la página 99. Para obtener más información acerca de configuraciones LAN, consulte Acerca de redes virtuales de área local (VLAN) en la página 108. Para quitar una interfaz de su configuración, consulte Desactivar una interfaz en la página 96.
6. Configure la interfaz como se describe en uno de los temas anteriores. 7. Haga clic en Guardar.
Desactivar una interfaz 1. Seleccione Red > Configuración. Aparece el cuadro de diálogo "Configuración de red".
96
Fireware XTM Web UI
Configuración de red
2. Seleccione la interfaz que desea desactivar. Haga clic en Configurar. Aparece el cuadro de diálogo Configuración de interfaz.
3. En la lista desplegable Tipo de interfaz, seleccione Desactivada. Haga clic en OK. En el cuadro de diálogo Configuración de red, el tipo de interfaz ahora aparece como Desactivada.
Configurar retransmisión de DHCP Una forma de obtener direcciones IP para las computadoras en las redes de confianza u opcional es usar un servidor DHCP en una red diferente. Se puede usar la retransmisión DHCP para obtener direcciones IP para las computadoras en la red de confianza u opcional. Con esta función, Firebox envía solicitudes DHCP a un servidor en una red diferente. Si el servidor DHCP que desea utilizar no se encuentra en una red protegida por el dispositivo WatchGuard, debe configurar un túnel VPN entre el dispositivo WatchGuard y el servidor DHCP para que esta función opere correctamente. Nota No se puede usar la retransmisión DHCP en ninguna interfaz en la cual esté activado FireCluster. Para configurar retransmisión DHCP : 1. Seleccione Interfaces de > red. Aparece la página de Interfaces de red.
2. Seleccione una interfaz de confianza u opcional y haga clic en Configurar. 3. En la lista desplegable debajo de la dirección IP de interfaz, seleccione Usar retransmisión DHCP. 4. Ingrese la dirección IP del servidor DHCP en el campo relacionado. Asegúrese de Agregue una ruta estática al servidor DHCP, si es necesario. 5. Haga clic en Guardar.
Restringir el tráfico de red mediante la dirección MAC Puede usar una lista de direcciones MAC para administrar qué dispositivos tienen permitido enviar tráfico en la interfaz de red especificada. Cuando se activa esta función, el dispositivo WatchGuard verifica la dirección MAC de cada computadora o dispositivo que se conecta a la interfaz especificada. Si la dirección MAC de ese dispositivo no figura en la lista de control de acceso MAC para esa interfaz, el dispositivo no puede enviar tráfico. Esta función es especialmente útil para prevenir cualquier acceso no autorizado a la red desde una ubicación dentro de su oficina. Sin embargo, se debe actualizar la lista de control de acceso MAC para cada interfaz cuando se agrega a la red una nueva computadora autorizada. Nota Si decide restringir el acceso mediante la dirección MAC, debe incluir la dirección MAC de la computadora que usa para administrar el dispositivo WatchGuard. Para activar el control de acceso MAC para una interfaz de red: 1. Seleccione Interfaces de > red. Aparece la página de Interfaces de red.
Guía del Usuario
97
Configuración de red
2. Seleccione la interfaz en la que desea activar el control de acceso MAC y luego haga clic en Configurar. Aparece la página Configuración de interfaz.
3. Seleccione la pestaña Control de acceso MAC.
4. 5. 6. 7.
Seleccione la casilla de verificación Restringir acceso mediante dirección MAC. Ingrese la dirección MAC de la computadora o dispositivo para darle acceso a la interfaz específica. (Opcional) Ingrese un Nombre para la computadora o dispositivo para identificarlo en la lista. Haga clic en Agregar. Repita los pasos 5 al 7 para agregar más computadoras o dispositivos a la lista de control de acceso MAC .
Agregar servidores WINS y Direcciones del servidor DNS Los permisos para compartir Firebox Direcciones IP del servidor WINS (Windows Internet Name Server) y Direcciones IP del servidor DNS (Sistema de domain name) para algunas funciones. Estas funciones incluyen DHCP y Mobile VPN. Los servidores WINS y DNS deben estar accesibles desde la interfaz de confianza de Firebox. Esta información se utiliza para dos fines: n
n
El Firebox utiliza el servidor DNS para resolver nombres con las direcciones IP de las VPN de IPSec y para que las funciones spamBlocker, antivirus (AV) de puerta de enlace e IPS funcionen correctamente. Los usuarios de Mobile VPN y los clientes DHCP utilizan las entradas de WINS y DNS en las redes de confianza o en las redes opcionales para resolver las consultas de DNS.
Asegúrese de utilizar sólo un servidor WINS y DNS interno para DHCP y Mobile VPN. Esto ayuda a garantizar que no se creen políticas con propiedades de configuración que impidan a los usuarios conectarse con el servidor DNS.
98
Fireware XTM Web UI
Configuración de red
1. Seleccione Interfaces de >red. 2. Desplácese hasta la sección Servidores DNS y Servidores WINS.
3. En el cuadro de texto Servidor DNS o Servidor WINS, ingrese las direcciones principal y secundaria para cada servidor WINS y DNS. 4. Haga clic en Agregar. 5. Repita los pasos 3 al 4 para especificar hasta tres servidores DNS. 6. (Opcional) En el cuadro de texto Domain name, ingrese un domain name para que un cliente DHCP use con nombres no calificados como watchguard_mail.
Configurar una secondary network Una secondary network es una red que comparte una de las mismas redes físicas que una de las interfaces del dispositivo Firebox o XTM. Cuando se agrega una secondary network, se realiza (o agrega) un alias IP a la interfaz. Este alias IP es la puerta de enlace predeterminada para todas las computadoras en la secondary network. La secondary network le indica al dispositivo Firebox o XTM que hay más de una red en la interfaz del dispositivo Firebox o XTM. Por ejemplo, si configura un dispositivo Firebox o XTM en modo Drop-in, le otorga a cada interfaz del dispositivo Firebox o XTM la misma dirección IP. Sin embargo, probablemente use un conjunto de direcciones IP diferente en su red de confianza. Puede agregar esta red privada como secondary network a la interfaz de confianza del dispositivo Firebox o XTM. Cuando se agrega una secondary network, se crea una ruta desde una dirección IP en la secondary network a la dirección IP de la interfaz del dispositivo Firebox o XTM. Si su dispositivo Firebox o XTM está configurado con una dirección IP estática, puede agregar una dirección IP en la misma subnet que la interfaz externa principal como secondary network. Luego se puede configurar NAT estática para más de un tipo de servidor igual. Por ejemplo, configure una secondary network externa con una segunda dirección IP pública si tiene dos servidores SMTP públicos y desea configurar una regla NAT estática para cada uno.
Guía del Usuario
99
Configuración de red
Puede agregar hasta 2048 secondary networks por interfaz del dispositivo Firebox o XTM. Puede utilizar secondary networks con una configuración de red directa o enrutada. También puede agregar una secondary network a una interfaz externa de un dispositivo Firebox o XTM si la interfaz externa está configurada para obtener su dirección IP a través de PPPoE o DHCP. Para definir una dirección IP secundaria, debe tener: n
n
Una dirección IP sin utilizar en la secondary network para asignársela a la interfaz del dispositivo Firebox o XTM. Una dirección IP sin utilizar en la misma red que la interfaz externa del dispositivo Firebox o XTM.
Para definir una dirección IP secundaria: 1. Seleccione Interfaces de >red. Aparece la página de Interfaces de red.
2. Seleccione la interfaz para la secondary network y haga clic en Configurar o haga doble clic en una interfaz. Aparece la página Configuración de interfaz.
3. En la sección Redes secundarias, ingrese una dirección IP de host no asignada en notación diagonal de la secondary network. Haga clic en Agregar. Repita este paso para agregar secondary networks adicionales. 4. Haga clic en Guardar. 5. Haga clic en Guardar nuevamente.
Nota Asegúrese de agregar las direcciones de secondary network correctamente. El dispositivo Firebox o XTM no indica si la dirección es correcta. Recomendamos no crear una subnet como secondary network en una interfaz que forme parte de una red más grande en una interfaz diferente. En tal caso, puede ocurrir spoofing y la red no podrá funcionar correctamente.
Acerca de la Configuraciones de interfaz Se pueden usar varias configuraciones avanzadas para las interfaces de Firebox: Configuración de tarjeta de interfaz de red (NIC) Establece la velocidad y los parámetros dobles para las interfaces de Firebox en configuración automática o manual. Recomendamos mantener la velocidad de enlace configurada para negociación automática. Si usa la opción de configuración manual, debe asegurarse de que el dispositivo al que se conecta Firebox también esté manualmente configurado a la misma velocidad y parámetros dobles que Firebox. Utilice la opción de configuración manual sólo cuando deba anular los parámetros de interfaz automáticos de Firebox para operar con otros dispositivos en la red.
100
Fireware XTM Web UI
Configuración de red
Configurar el ancho de banda de interfaz saliente Cuando utiliza configuraciones de administración de tráfico para garantizar ancho de banda a las políticas, esta configuración verifica que no se garantice más ancho de banda del que efectivamente existe para una interfaz. Esta configuración ayuda a asegurar que la suma de configuraciones de ancho de banda garantizado no complete el enlace de manera tal que el tráfico no garantizado no pueda circular. Activar marcado QoS para una interfaz Crea diferentes clasificaciones de servicio para distintos tipos de tráfico de red. Puede establecer el comportamiento de marcado predeterminado a medida que el tráfico sale de una interfaz. Estas configuraciones pueden ser anuladas por las configuraciones definidas para una política. Determinar No fragmentar bit IPSec Determina la configuración de No fragmentar (DF) bit para IPSec. Configuración de la ruta de unidad de transmisión máxima (PMTU) para IPSec (Interfaces externas únicamente) Controla la cantidad de tiempo en que Firebox disminuye la unidad máxima de transmisión (MTU) para un túnel VPN IPSec cuando recibe una solicitud de ICMP de fragmentar un paquete desde un enrutador con una configuración de MTU más baja en Internet. Usar vínculo de dirección MAC estático Utiliza direcciones de hardware (MAC) de la computadora para controlar el acceso a una interfaz de Firebox.
Configuración de tarjeta de interfaz de red (NIC) 1. Seleccione Interfaces de >red. 2. Seleccione la interfaz que configurar. Haga clic en Configurar. 3. Haga clic en Configuraciones generales avanzadas.
4. En la lista desplegable velocidad de enlace, seleccione Negociación automática si desea que el dispositivo WatchGuard seleccione la mejor velocidad de red. También puede seleccionar una de las velocidades doble medio o doble completo que usted sepa que son compatibles con el resto de su equipo de red. Negociación automática es la configuración predeterminada. Le recomendamos encarecidamente que no cambie esta configuración a menos que soporte técnico le indique hacerlo. Si configura la velocidad de enlace en forma manual y otros dispositivos de su red no admiten la velocidad seleccionada, se puede generar un conflicto que no permita a la interfaz de Firebox reconectarse después de una conmutación por error.
Guía del Usuario
101
Configuración de red
5. En el cuadro de texto Unidad Máxima de Transmisión (MTU) , seleccione el tamaño máximo del paquete, en bytes, que pueden enviarse a través de la interfaz. Recomendamos utilizar el valor predeterminado, 1500 bytes, a menos que el equipo de red requiera un tamaño de paquete diferente. Puede configurar la MTU desde un mínimo de 68 a un máximo de 9000.
6. Para cambiar la dirección MAC de la interfaz externa, seleccione la casilla de verificación Cancelar dirección MAC e ingrese la nueva dirección MAC. Para obtener más información acerca de direcciones MAC, consulte la siguiente sección. 7. Haga clic en Guardar. 8. Haga clic en Guardar nuevamente.
Acerca de direcciones MAC Algunos ISP utilizan una dirección MAC para identificar a las computadoras en su red. Cada dirección MAC recibe una dirección IP estática. Si su ISP utiliza este método para identificar su computadora, entonces debe cambiar la dirección MAC de la interfaz externa del dispositivo WatchGuard. Utilice la dirección MAC del módem por cable, DSL de módem o enrutador que se conectaron directamente al ISP en su configuración original. La dirección MAC debe tener estas propiedades: n
n
La dirección MAC debe usar 12 caracteres hexadecimales. Los caracteres hexadecimales tienen un valor entre 0 y 9 o entre "a" y "f". La dirección MAC debe funcionar con: Una o más direcciones en la red externa. La dirección MAC de la red de confianza para el dispositivo. o La dirección MAC de la red opcional para el dispositivo. o o
n
La dirección MAC no debe estar configurada en 000000000000 o ffffffffffff.
Si la casilla de verificación Cancelar dirección MAC no está seleccionada cuando se reinicia el dispositivo WatchGuard, el dispositivo utiliza la dirección MAC predeterminada para la red externa. Para reducir los problemas con direcciones MAC, el dispositivo WatchGuard verifica que la dirección MAC que usted asigna a la interfaz externa sea única en su red. Si el dispositivo WatchGuard encuentra un dispositivo que usa la misma dirección MAC, vuelve a cambiar a la dirección MAC estándar para la interfaz externa y se inicia nuevamente.
Determinar No fragmentar bit IPSec Cuando configura la interfaz externa, seleccione una de las tres opciones para determinar la configuración para la sección No fragmentar (DF) bit para IPSec.
102
Fireware XTM Web UI
Configuración de red
Copiar Seleccione Copiar para aplicar la configuración DF bit del marco original al paquete cifrado IPSec. Si un marco no tiene configurado DF bit, Fireware XTM no configura DF bit y fragmenta el paquete si es necesario. Si un marco está configurado para no ser fragmentado, Fireware XTM encapsula el marco completo y configura DF bit del paquete cifrado para que coincida con el marco original. Determinar Seleccione Configurar si no desea que Firebox fragmente el marco independientemente de la configuración de bit original. Si un usuario debe realizar conexiones IPSec a un Firebox desde detrás de un Firebox diferente, debe desmarcar esta casilla de verificación para activar la función de puerto de transferencia de IPSec. Por ejemplo, si los empleados móviles se encuentran en una ubicación cliente que tiene un Firebox, pueden realizar conexiones IPSec a su red con IPSec. Para que el Firebox local permita correctamente la conexión IPSec saliente, también se debe agregar una política IPSec. Limpiar Seleccione Borrar para dividir el marco en partes que puedan integrarse a un paquete IPSec con el encabezado ESP o AH, independientemente de la configuración de bit original.
Configuración de la ruta de unidad de transmisión máxima (PMTU) para IPSec Esta configuración de interfaz avanzada se aplica a interfaces externas únicamente.
La Path Maximum Transmission Unit (PMTU) controla la cantidad de tiempo en que Firebox disminuye la unidad máxima de transmisión (MTU) para un túnel VPN IPSec cuando recibe una solicitud de ICMP de fragmentar un paquete desde un enrutador con una configuración de MTU más baja en Internet. Recomendamos mantener la configuración predeterminada. Esto puede protegerlo de un enrutador en Internet con una configuración de MTU muy baja.
Usar vínculo de dirección MAC estático Es posible controlar el acceso a una interfaz en el dispositivo WatchGuard mediante la dirección (MAC) del hardware de la computadora. Esta función puede proteger a la red de ataques de envenenamiento ARP, en los cuales los piratas informáticos intentan cambiar la dirección MAC de sus computadoras para que coincidan con un dispositivo real en la red del usuario. Para usar el vínculo de dirección MAC, se debe asociar una dirección IP en la interfaz específica con una dirección MAC. Si esta función está activada, las computadoras con una dirección MAC específica sólo pueden enviar y recibir información con la dirección IP asociada.
Guía del Usuario
103
Configuración de red
También se puede utilizar esta función para restringir todo el tráfico de red a los dispositivos que coinciden con las direcciones MAC e IP en esta lista. Esto es similar a la función de control de acceso MAC. Para más informaciones, vea Restringir el tráfico de red mediante la dirección MAC en la página 97. Nota Si decide restringir el acceso a la red mediante el vínculo de dirección MAC, asegúrese de incluir la dirección MAC de la computadora que usa para administrar el dispositivo WatchGuard. Para establecer las configuraciones del vínculo de dirección MAC estático: 1. Seleccione Interfaces de > red. Seleccione una interfaz y después haga clic en Configurar. 2. Haga clic en Avanzado.
3. Ingrese un par de dirección IP y dirección MAC. Haga clic en Agregar. Repita este paso para agregar otros pares. 4. Si desea que esta interfaz transmita sólo tráfico que coincida con una entrada en la lista vínculo de dirección MAC/IP estático, seleccione la casilla de verificación Sólo permitir tráfico enviado desde o hacia estas direcciones MAC/IP. Si no desea bloquear tráfico que no coincide con una entrada de la lista, desmarque esta casilla de verificación.
Buscar la dirección MAC de una computadora La dirección MAC se conoce también como dirección de hardware o dirección Ethernet. Es un identificador único, específico de la tarjeta de red en la computadora. La dirección MAC en general se muestra del siguiente modo: XX-XX-XX-XX-XX-XX, en donde cada X es un dígito o letra de la A a la F. Para encontrar la dirección MAC de una computadora en la red: 1. Desde la línea de comando de la computadora cuya dirección MAC desea averiguar, ingrese ipconfig /all (Windows) o ifconfig (OS X o Linux). 2. Busque la entrada de "dirección física" de la computadora. Este valor es la dirección MAC o de hardware de la computadora.
104
Fireware XTM Web UI
Configuración de red
Acerca de los puentes LAN Un puente de red establece una conexión entre interfaces de red física múltiples en el dispositivo WatchGuard. Un puente puede usarse del mismo modo que una interfaz de red física normal. Por ejemplo, se puede configurar DHCP para entregar direcciones IP a clientes en un puente o utilizarlo como alias en políticas de firewall. Para utilizar un puente debe: 1. Crear una configuración de puente de red.. 2. Asignar una interfaz de red a un puente.. Si desea establecer un puente entre todo el tráfico de dos interfaces, recomendamos utilizar el modo puente para la configuración de red.
Crear una configuración de puente de red. Para utilizar un puente, debe crear una configuración de puente y asignarla a una o más interfaces de red. 1. Seleccione Puente de> red. Aparece la página Puente.
2. Haga clic en Nuevo.
Guía del Usuario
105
Configuración de red
3. En la pestaña Configuración de puente, ingrese un Nombre y una Descripción (opcional) para la configuración de puente. 4. Seleccione una Zona de seguridad en la lista desplegable e ingrese una dirección IP en notación diagonal para el puente. El puente se agrega al alias de la zona de seguridad que especifica. 5. Para agregar interfaces de red, seleccione la casilla de verificación adyacente a cada interfaz de red que desea agregar a la configuración del puente. 6. Para realizar la configuración DHCP , seleccione la pestaña DHCP . Seleccione Servidor DHCP o Retransmisión DHCP en la lista desplegable Modo DHCP. Para obtener más información sobre la configuración DHCP , consulte Configurar el DHCP en modo de enrutamiento mixto en la página 86 o Configurar retransmisión de DHCP en la página 97. 7. Si desea agregar secondary networks a la configuración de puente, seleccione la pestaña Secundaria. Ingrese una dirección IP en notación diagonal y haga clic en Agregar. Para obtener más información sobre secondary networks, consulte Configurar una secondary network en la página 99. 8. Haga clic en Guardar.
Asignar una interfaz de red a un puente. Para utilizar un puente, debe crear una configuración de puente y asignarla a una o más interfaces de red. Puede crear la configuración de puente en el cuadro de diálogo Configuración de red , o cuando configura una interfaz de red. 1. Seleccione Puente de> red. Aparece la página Puente.
2. Seleccione una configuración de puente en la lista Configuración de puente, luego haga clic en Configurar. 3. Seleccione la casilla de verifciación junto a cada interfaz de red que desea agregar al puente. 4. Haga clic en Guardar.
Acerca de Una ruta es la secuencia de dispositivos a través de los cuales se envía el tráfico de red. Cada dispositivo en esta secuencia, en general llamado enrutador, almacena información acerca de las redes a las que está conectado en una tabla de enrutamiento. Esta información se utiliza para reenviar el tráfico de red al siguiente enrutador en la ruta. El dispositivo WatchGuard actualiza automáticamente su tabla de enrutamiento cuando se cambia la configuración de interfaz de red, cuando falla una conexión de red física o cuando se reinicia. Para actualizar la tabla de enrutamiento en otra oportunidad, debe usar el dynamic routing o agregar una ruta estática. Las rutas estáticas pueden mejorar el rendimiento, pero si surge un cambio en la estructura de red o si falla una conexión, el tráfico de red no puede llegar a destino. El dynamic routing garantiza que el tráfico de red pueda llegar a destino, pero es más difícil de configurar.
106
Fireware XTM Web UI
Configuración de red
Agregue una ruta estática Un ruta es la secuencia de dispositivos a través de los cuales debe pasar el tráfico de red para llegar desde el origen al destino. Un enrutador es el dispositivo en una ruta que encuentra un punto de red subsiguiente a través del cual envía el tráfico de red a su destino. Cada enrutador está conectado a un mínimo de dos redes. Un paquete puede atravesar un número de puntos de red con enrutadores antes de llegar a destino. Se pueden crear rutas estáticas para enviar el tráfico a host o redes específicas. El enrutador puede entonces enviar el tráfico desde la ruta especificada al destino correcto. Si tiene una red completa detrás de un enrutador en la red local, agregue una ruta de red. Si no agrega una ruta a una red remota, todo el tráfico a esa red se envía a la puerta de enlace predeterminada del Firebox. Antes de comenzar, debe comprender la diferencia entre una ruta de red y una ruta de host. Una ruta de red es una ruta a una red completa detrás de un enrutador ubicado en la red local. Utilice una ruta de host si hay sólo un host detrás del enrutador o si desea que el tráfico se dirija sólo a un host. 1. Seleccione Rutas de >red. Aparece la página Rutas.
2. En la lista desplegable Tipo, seleccione IP de host o IP de red. n n
Seleccione IP de red si tiene una red completa detrás de un enrutador en la red local. Seleccione IP de host si hay sólo un host detrás del enrutador o si desea que el tráfico se dirija sólo a un host.
3. En el cuadro de texto Ruta hacia, ingrese la dirección IP de destino. 4. En el cuadro de texto Puerta de enlace, ingrese la dirección IP de la interfaz local del enrutador. La dirección IP de la puerta de enlace debe ser una dirección IP administrada por el dispositivo WatchGuard.
Guía del Usuario
107
Configuración de red
5. En el cuadro de texto Métrica, ingrese o seleccione una métrica para la ruta. Las rutas con las métricas más bajas tienen mayor prioridad. 6. Haga clic en Agregar. 7. Para agregar otra ruta estática, repita los pasos 2 al 4. Para eliminar una ruta estática, seleccione la dirección IP en la lista y haga clic en Eliminar. 8. Haga clic en Guardar.
Acerca de redes virtuales de área local (VLAN) Una VLAN (red de área local virtual) 802.1Q es una colección de computadoras en una o varias LAN que se agrupan en un solo dominio de broadcast independientemente de su ubicación física. Esto permite agrupar dispositivos de acuerdo con patrones de tráfico en lugar de proximidad física. Los miembros de una VLAN pueden compartir recursos como si estuvieran conectados a la misma LAN. Las VLAN también pueden usarse para dividir a un conmutador en múltiples segmentos. Por ejemplo, supongamos que su empresa tiene empleados de tiempo completo y trabajadores contratados en la misma LAN. Usted desea restringir a los empleados contratados a un subconjunto de los recursos utilizados por los empleados de tiempo completo. También desea utilizar una política de seguridad más restrictiva para los trabajadores contratados. En este caso, se divide la interfaz en dos VLAN. Las VLAN permiten dividir la red en grupos con una agrupación o estructura jerárquica lógica en lugar de una física. Esto ayuda a liberar al personal de TI de las restricciones del diseño de red y la infraestructura de cableado existentes. Las VLAN facilitan el diseño, la implementación y la administración de la red. Debido a que las VLAN se basan en software, la red se puede adaptar de manera rápida y sencilla a incorporaciones, reubicaciones y reorganizaciones. Las VLAN utilizan puentes y conmutadores, entonces los broadcast son más eficientes porque se dirigen sólo a personas en la VLAN y no a todos los conectados. En consecuencia, se reduce el tráfico a través de los enrutadores, lo cual implica una reducción en la latencia del enrutador. Firebox puede configurarse para funcionar como servidor DHCP para dispositivos en la VLAN o puede utilizar retransmisión DHCP con un servidor DHCP separado.
Requisitos y restricciones de la VLAN n
n n
n
n
108
La implementación de VLAN de WatchGuard no es compatible con el protocolo de administración de enlaces Spanning Tree (árbol de expansión). Si su Firebox está configurado para utilizar el modo de red directo, no puede utilizar VLAN. Una interfaz física puede ser miembro de una VLAN no etiquetado en sólo una VLAN. Por ejemplo, si Externo-1 es un miembro no etiquetado de una VLAN denominada VLAN-1, no puede ser miembro no etiquetado de una VLAN diferente al mismo tiempo. Además, las interfaces externas pueden ser miembros de sólo una VLAN. La configuración de multi-WAN se aplica al tráfico VLAN . Sin embargo, puede ser más fácil administrar el ancho de banda cuando se usan sólo interfaces físicas en una configuración multi-WAN . El modelo y la licencia de su dispositivo controlan el número de VLAN que puede crear. Para consultar el número de VLAN que puede agregar a su configuración, seleccione Estado del sistema> Licencia. Identifique la fila denominada Número total de interfaces VLAN.
Fireware XTM Web UI
Configuración de red
n
n
Recomendamos no crear más de 10 VLAN que funcionen en interfaces externas por el rendimiento. Todos los segmentos de red que desee agregar a una VLAN deben tener direcciones IP en la red VLAN. Nota Si define VLAN, puede ignorar mensajes con el texto “802.1d unknown version” (802.1d versión desconocida). Esto puede ocurrir porque la implementación de VLAN de WatchGuard no es compatible con el protocolo de administración de enlaces Spanning Tree (árbol de expansión).
Acerca de las etiquetado Para activar VLAN, debe implementar conmutadores compatibles con VLAN en cada sitio. Las interfaces del conmutador insertan etiquetas en la capa 2 del marco de datos que identifican un paquete de red como parte de una VLAN específica. Estas etiquetas, que agregan cuatro bytes extras al encabezado de Ethernet, identifican al marco como perteneciente a una VLAN específica. El etiquetado se especifica con el estándar IEEE 802.1Q. La definición de VLAN incluye la disposición de marcos de datos etiquetados y no etiquetados. Debe especificar si la VLAN recibe datos etiquetados, no etiquetados o no recibe datos de cada interfaz activada. El dispositivo WatchGuard puede insertar etiquetas para paquetes que se envían a un conmutador compatible con VLAN. Su dispositivo también puede eliminar etiquetas de paquetes que se envían a un segmento de red que pertenece a una VLAN que no tiene conmutador.
Definir un nuevo (red de área local virtual) Antes de crear una nueva VLAN, asegúrese de comprender los conceptos acerca de las VLAN y sus restricciones, según se describe en Acerca de redes virtuales de área local (VLAN) en la página 108. Antes de poder crear una configuración de VLAN , debe cambiar también por lo menos una interfaz para que sea del tipo VLAN. Cuando se define una nueva VLAN, se agrega une entrada en la tabla Configuración de VLAN. Se puede cambiar la vista de esta tabla: n n n n
Haga clic en el encabezado de columna para ordenar la tabla según los valores de esa columna. La tabla puede ordenarse de mayor a menor o de menor a mayor. Los valores en la columna Interfaz muestran las interfaces físicas que son miembros de esta VLAN. El número de interfaz en negrita es la interfaz que envía datos no etiquetados a esa VLAN.
Para crear una nueva VLAN: 1. Seleccione Red > VLAN. Aparece la página VLAN .
2. Aparece una tabla de VLAN actuales definidas por el usuario y sus configuraciones: También puede configurar interfaces de red desde la tabla Interfaces.
Guía del Usuario
109
Configuración de red
3. Haga clic en Nueva. Aparece la página Configuración de VLAN.
4. 5. 6. 7.
En el campo Nombre, ingrese un nombre para la VLAN. (Opcional) En el campo Descripción, ingrese una descripción de la VLAN. En el campo Identificación de VLAN ingrese o seleccione un valor para la VLAN. En el campo Zona de seguridad, seleccione De confianza, Opcional o Externa. Las zonas de seguridad corresponden a los alias para las zonas de seguridad de la interfaz. Por ejemplo, las VLAN de tipo De confianza son administradas por políticas que usan el alias Cualquiera de confianza como origen o destino. 8. En el campo Dirección IP ingrese la dirección de la puerta de enlace de la VLAN.
Usar DHCP en una VLAN Puede configurar Firebox como servidor DHCP para las computadoras en la red VLAN. 1. En la pestaña Red, seleccione Servidor DHCP en la lista desplegable Modo DHCP. para configurar el Firebox como servidor DHCP para la red VLAN. Si es necesario, ingrese el domain name para proporcionarlo a los clientes DHCP . 2. Para agregar un conjunto de direcciones IP, Ingrese la primera y la última dirección IP en el grupo. Haga clic en Agregar. Se puede configurar un máximo de seis grupos de direcciones.
3. Para reservar una dirección IP específica para un cliente, Ingrese la dirección IP, el nombre de reserva y la dirección MAC del dispositivo. Haga clic en Agregar.
110
Fireware XTM Web UI
Configuración de red
4. Para cambiar el tiempo de concesión predeterminado, seleccione un intervalo de tiempo diferente en la lista desplegable que se encuentra en la parte superior de la página. Es el intervalo de tiempo en el que un cliente DHCP puede usar una dirección IP que recibe del servidor DHCP. Cuando el tiempo de concesión se está por agotar, el cliente envía una solicitud al servidor DHCP para obtener una nueva concesión.
5. Para agregar servidores DNS o WINS a la configuración DHCP , ingrese la dirección del servidor en el campo adyacente a la lista. Haga clic en Agregar. 6. Para borrar un servidor de la lista, seleccione la entrada y haga clic en Eliminar.
Usar Retransmisión de DHCP en una VLAN 1. En la pestaña Red, seleccione Retransmisión de DHCP en la lista desplegable Modo DHCP. 2. Ingrese la dirección IP del servidor DHCP. Asegúrese de agregar una ruta al servidor DHCP, si es necesario. Ahora puede realizar los siguientes pasos y Asignar interfaces a (red de área local virtual).
Asignar interfaces a (red de área local virtual) Cuando se crea una nueva VLAN, se especifica el tipo de datos que recibe de las interfaces de Firebox. Sin embargo, también se puede convertir a una interfaz en miembro de una VLAN actualmente definida o eliminar una interfaz de una VLAN. Se debe cambiar el tipo de interfaz a VLAN para poder usarla en una configuración VLAN . 1. Seleccione Red > VLAN. Aparece la página VLAN .
2. Haga clic en Nueva o seleccione una interfaz de VLAN y haga clic en Configurar. 3. En la lista Seleccionar una configuración de etiqueta VLAN para cada interfaz, haga clic en la columna Etiquetado/No etiquetado adyacente a una interfaz y seleccione una opción en la lista desplegable: n n n
Tráfico etiquetado: la interfaz envía y recibe tráfico etiquetado. Tráfico no etiquetado : la interfaz envía y recibe tráfico no etiquetado. Sin tráfico: se elimina la interfaz de esta configuración VLAN.
4. Haga clic en Guardar.
Guía del Usuario
111
Configuración de red
Ejemplos de configuración de red Ejemplo: Configurar dos VLAN con la misma interfaz Una interfaz de red en un dispositivo Firebox o XTM es miembro de más de una VLAN cuando el interruptor que se conecta a esa interfaz transporta tráfico a más de una VLAN. Este ejemplo muestra cómo conectar un interruptor configurado para dos VLAN diferentes a una sola interfaz en el dispositivo Firebox o XTM. El diagrama subsiguiente muestra la configuración correspondiente para este ejemplo.
En este ejemplo, los equipos en ambas VLAN se conectan al mismo interruptor 802.1Q y el interruptor se conecta a la interfaz 3 del dispositivo Firebox o XTM. Las instrucciones subsiguientes le muestran cómo configurar estas VLAN:
Configurar la Interfaz 3 como una interfaz de VLAN 1. Seleccione Interfaces de >red. 2. En el cuadro de texto Nombre de interfaz (Alias), ingrese vlan. 3. Seleccione la interfaz número 3. Haga clic en Configurar.
112
Fireware XTM Web UI
Configuración de red
1. En la lista desplegable Tipo de interfaz, seleccione VLAN. 2. Haga clic en Guardar.
Defina las dos VLAN y asígnelas a la interfaz de VLAN 1. Seleccione Red > VLAN. 2. Haga clic en Nuevo. 3. En el cuadro de texto Nombre (Alias), ingrese un nombre para la VLAN. Para este ejemplo, ingrese VLAN10 . 4. En el cuadro de texto Descripción, ingrese una descripción. Para este ejemplo, ingrese Contabilidad . 5. En el cuadro de texto ID de VLAN, ingrese el número de VLAN configurado para la VLAN en el interruptor. Para este ejemplo, ingrese 10 . 6. En la lista desplegable Zona de seguridad, seleccione la zona de seguridad. Para este ejemplo, seleccione De confianza. 7. En el cuadro de texto Dirección IP, ingrese la dirección IP que desea utilizar para el dispositivo Firebox o XTM en esta VLAN. Para este ejemplo, ingrese 192.168.10.1/24 . 8. En la lista Seleccionar una configuración de etiqueta VLAN para cada interfaz, haga clic en la columna Etiquetado/No etiquetado adyacente a una interfaz y seleccione Etiquetado en la lista desplegable.
Guía del Usuario
113
Configuración de red
9. 10. 11. 12. 13. 14. 15.
Haga clic en Guardar. Haga clic en Nuevo para agregar la segunda VLAN. En el cuadro de texto Nombre (Alias), ingrese VLAN20 . En el cuadro de texto Descripción, ingrese Ventas . En el cuadro de texto ID de VLAN, ingrese 20 . En la lista Zona de seguridad, seleccione Opcional. En el campo Dirección IP, ingrese la dirección IP que desea utilizar para el dispositivo Firebox o XTM en esta VLAN. Para este ejemplo, ingrese 192.168.20.1/24 . 16. En la lista Seleccionar una configuración de etiqueta VLAN para cada interfaz, haga clic en la columna Etiquetado/No etiquetado adyacente a una interfaz y seleccione Etiquetado en la lista desplegable. 17. Haga clic en Guardar. 18. Ahora, ambas VLAN aparecen en la lista y están configuradas para utilizar la interfaz de VLAN definida.
114
Fireware XTM Web UI
Configuración de red
Use Firebox X Edge con el bridge inalámbrico 3G Extend El bridge inalámbrico 3G Extend de WatchGuard añade conectividad celular 3G al dispositivo Firebox X Edge o WatchGuard XTM 2 Series. Cuando se conecta la interfaz externa del dispositivo WatchGuard del bridge inalámbrico 3G Extend de WatchGuard, las computadoras de la red pueden conectarse en forma inalámbrica a Internet a través de la red celular 3G. El 3G Extend tiene dos modelos basados en tecnología de Top Global y Cradlepoint.
Use el dispositivo 3G Extend/Top Global MB5000K Siga estos pasos para usar el bridge inalámbrico 3G Extend con el dispositivo Firebox X Edge o XTM 2 Series. 1. Configure la interfaz externa en el dispositivo WatchGuard para obtener su dirección con PPPoE. Asegúrese de configurar el nombre de usuario PPPoE/contraseña en público/público. Para obtener más información acerca de cómo configurar la interfaz externa para PPPoE, consulte Configurar una interfaz externa en la página 82. 2. Active la tarjeta de datos de banda ancha. Consulte las instrucciones incluidas en la tarjeta de datos de banda ancha para obtener más información. 3. Prepare el bridge inalámbrico 3G Extend: n n n
Inserte la tarjeta de datos de banda ancha en la ranura del bridge inalámbrico 3G Extend. Conecte la energía eléctrica al bridge inalámbrico 3G Extend. Verifique que las luces LED estén activas.
4. Use un cable Ethernet para conectar el bridge inalámbrico 3G Extend a la interfaz externa del dispositivo WatchGuard.
Guía del Usuario
115
Configuración de red
No es necesario cambiar ninguna configuración en el dispositivo 3G Extend antes de conectarlo al dispositivo WatchGuard. En algunas ocasiones es necesario conectarse a la interfaz de administración web del dispositivo 3G Extend. Para conectarse a la interfaz 3G Extend web, conecte la computadora directamente al MB5000K con un cable Ethernet y asegúrese de que la computadora esté configurada para obtener su dirección IP con DHCP. Abra el explorador web e ingrese http://172.16.0.1 . Conéctese con un nombre de usuario/contraseña de público/público. n
n
n
Para operar correctamente con el dispositivo WatchGuard, el bridge inalámbrico 3G Extend debe configurarse para ejecutarse en modo "Autoconexión". Todos los dispositivos 3G Extend/MB5000K están preconfigurados para ejecutarse en este modo de manera predeterminada. Para verificar si el dispositivo 3G Extend está configurado en modo Autoconexión, conéctese directamente al dispositivo y seleccione Interfaces > Acceso a Internet. Seleccione la interfaz WAN#0. En el sección Red, asegúrese de que el modo Conectar de la lista desplegable esté configurado en Auto. Si la tarjeta inalámbrica 3G funciona en la red celular GPRS , puede ser necesario agregar un inicio de sesión de red y contraseña a la configuración del dispositivo 3G Extend. Para agregar un inicio de sesión de red red y contraseña, conéctese al bridge inalámbrico 3G Extend y seleccione Servicios > Bridge administrable. Para restablecer las configuraciones predeterminadas de fábrica en el MB5000K, conéctese al bridge inalámbrico 3G Extend y seleccione Sistema> Configuraciones predeterminadas de fábrica. Haga clic en Sí.
Por seguridad, recomendamos cambiar el nombre de usuario/contraseña PPPoE predeterminados de público/público después de que la red esté en funcionamiento. Debe cambiar el nombre de usuario y la contraseña en el dispositivo WatchGuard y en el bridge inalámbrico 3G Extend. n
n
Para cambiar el nombre de usuario y la contraseña PPPoE en el dispositivo WatchGuard, consulte Configurar una interfaz externa en la página 82. Para cambiar el nombre de usuario y la contraseña PPPoE en el dispositivo 3G Extend, conéctese al dispositivo en ingrese en Servicios>Bridge administrable.
El dispositivo 3G Extend admite más de 50 tarjetas de módem y opciones de plan ISP. Para obtener información detallada acerca del producto Top Global, incluida la Guía del usuario del MB5000, ingrese en http://www.topglobaluse.com/support_mb5000.htm.
Use el dispositivo 3G Extend/Cradlepoint CBA250. Siga estos pasos para usar el adaptador de banda ancha celular 3G Extend Cradlepoint con su dispositivo WatchGuard Firebox X. 1. Siga las instrucciones en la Guía de inicio rápido del Cradlepoint CBA250 para configurar el dispositivo Cradlepoint. 2. Configure la interfaz externa en el dispositivo WatchGuard para obtener su dirección con DHCP. Para aprender cómo configurar la interfaz externa para PPPoE, consulte Configurar una interfaz externa en la página 82. 3. Use un cable Ethernet para conectar el dispositivo Cradlepoint a la interfaz externa de Firebox. 4. Inicie (o reinicie) el dispositivo WatchGuard. Cuando Firebox se inicia, recibe una dirección DHCP del dispositivo Cradlepoint. Después de que se asigna una dirección IP , Firebox puede conectarse a Internet a través de la red de banda ancha celular.
116
Fireware XTM Web UI
Configuración de red
El Cradlepoint admite un gran número de USB o dispositivos inalámbricos de banda ancha ExpressCard. Para obtener una lista de dispositivos admitidos, consulte http://www.cradlepoint.com/support./cba250.
Guía del Usuario
117
Configuración de red
Guía del Usuario
118
7
WAN múltiple
Acerca de usar múltiples interfaces externas Puede usar su dispositivo Firebox WatchGuard para crear soporte redundante para la interfaz externa. Esa es una opción útil si debe tener una conexión constante a Internet. Con la función WAN múltiple, puede configurar hasta cuatro interfaces externas, cada una en una subred diferente. Eso permite conectar su Firebox a más de un Proveedor de servicios de Internet (ISP). Cuando configura una segunda interfaz, la función de WAN múltiple es automáticamente activada.
Requisitos y condiciones de WAN múltiple Debe tener una segunda conexión a Internet y más de una interfaz externa para usar la mayoría de las opciones de configuración de WAN múltiple. Las condiciones y requisitos para el uso de WAN múltiple incluyen: n
n
n
n
n
Si tiene una política configurada con un alias de interfaz externa individual en su configuración, debe alterarla para usar el alias Cualquiera-Externo, u otro alias configurado para interfaces externas. Si no lo hace, puede ser que sus políticas de firewall nieguen algún tráfico. La configuración de WAN múltiple no se aplica al tráfico entrante. Cuando configura una política para tráfico entrante, puede ignorar todas las configuraciones de WAN múltiple. Para anular la configuración de WAN múltiple en cualquier política individual, active el enrutamiento basado en la política para la política en cuestión. Para más información acerca del enrutamiento basado en la política, vea Configurar el enrutamiento basado en la política en la página 269. Asigne el Domain Name totalmente cualificado de su empresa a la dirección IP de interfaz externa del orden más bajo. Si añade un dispositivo WatchGuard de WAN múltiple a la Management Server configuration, debe usar la interfaz externa de orden más inferior para identificarlo cuando agrega el dispositivo. Para usar WAN múltiple, debe usar el modo de enrutamiento combinado para la configuración de red. Esa función no opera en las configuraciones de red de modo directo o puente.
Guía del Usuario
119
WAN múltiple
n
Para usar el método de desbordamiento en la interfaz, debe tener el Fireware XTM con una actualización Pro. También debe tener una licencia Pro de Fireware XTM si usa el método de operación por turnos y configura diferentes pesos para las interfaces externas del dispositivo WatchGuard.
Puede usar una de las cuatro opciones de configuración de WAN múltiple para administrar su tráfico de red. Para detalles de configuración y procedimientos, vea la sección para cada opción.
WAN múltiple y DNS Asegúrese de que su servidor DNS puede ser contactado a través de cada una de las WAN. De lo contrario, debe modificar sus políticas de DNS de modo tal que: n n
La lista De incluya Firebox. La casilla de verificación Usar enrutamiento basado en la política esté seleccionada. Si sólo una WAN puede alcanzar el servidor DNS, seleccione esa interfaz en la lista desplegable al lado. Si más de una WAN puede alcanzar el servidor DNS, seleccione una de ellas, seleccione Conmutación por error, seleccione Configurar y seleccione todas las interfaces que pueden alcanzar el servidor DNS. El orden es indiferente. Nota Debe tener un Fireware XTM con una actualización Pro para usar la enrutamiento basado en la política.
Acerca de las opciones de WAN múltiple Cuando configura interfaces externas múltiples, tiene varias opciones para controlar cuál interfaz un paquete saliente utiliza. Alguna de esas funciones requiere que tenga el Fireware XTM con actualización Pro.
Orden de operación por turnos Cuando configura la WAN múltiple con el método de operación por turnos, el dispositivo WatchGuard busca en su tabla de enrutamiento la información de dynamic routing o estático para cada conexión. Si no se encuentra la ruta especificada, el dispositivo WatchGuard distribuye la carga de tráfico entre sus interfaces externas. El dispositivo WatchGuard usa el promedio de tráfico enviado (TX) y recibido (RX) para balancear la carga de tráfico por todas las interfaces externas especificadas en su configuración de operación por turnos. Si tiene un Fireware XTM con actualización Pro, puede asignar un peso para cada interfaz usada en su configuración de operación por turnos. Por defecto y para todos los usuarios de Fireware XTM, cada interfaz tiene un peso 1. El peso se refiere a la proporción de carga que el dispositivo WatchGuard envía a través de una interfaz. Si tiene un Fireware XTM Pro y asigna un peso de 2 a una interfaz determinada, se duplica la parte de tráfico que pasará por esa interfaz, comparada a la interfaz con peso 1. Por ejemplo, si tienen tres interfaces externas con 6M, 1.5M y .075 de ancho de banda y desea balancear el tráfico en las tres interfaces, se podría usar 8, 2 y 1 como pesos para esas tres interfaces. El Fireware intentará distribuir las conexiones de modo que 8/11, 2/11 y 1/11 del tráfico total fluya por cada una de las tres interfaces.
120
Fireware XTM Web UI
WAN múltiple
Para más informaciones, vea Configurar la opción de operación por turnos de WAN múltiple en la página 122.
Conmutación por error Cuando usa el método de conmutación por error para enrutar el tráfico por las interfaces externas del dispositivo WatchGuard, se selecciona una interfaz externa para que sea la principal. Las otras interfaces externas son las de resguardo y se define el orden para que el dispositivo WatchGuard use las interfaces de resguardo. El dispositivo WatchGuard monitorea la interfaz externa principal. Si se desconecta, el dispositivo WatchGuard envía todo el tráfico a la siguiente interfaz externa en su configuración. Mientras el dispositivo WatchGuard envía todo el tráfico a la interfaz de resguardo, sigue monitoreando la interfaz externa principal. Cuando la interfaz principal esté activa nuevamente, el dispositivo WatchGuard inmediatamente recomienza a enviar todas las nuevas conexiones por la interfaz externa principal. Se controla lo que el dispositivo WatchGuard debe hacer con las conexiones existentes; éstas pueden conmutar por recuperación inmediatamente o continuar a usar la interfaz de resguardo hasta que la conexión esté concluida. La conmutación por error de WAN múltiple y el FireCluster son configurados separadamente. La conmutación por error de WAN múltiple provocada por una conexión con fallas hacia un host de monitor de enlace no desencadena la conmutación por error del FireCluster. La conmutación por error del FireCluster ocurre solamente cuando la interfaz física está desactivada o no responde. La conmutación por error del FireCluster tiene precedencia sobre la conmutación por error de WAN múltiple. Paramás informaciones,vea Configurar la opciónde conmutaciónpor error de WAN múltiple enla página124.
Desbordamiento en la interfaz Cuando usa el método de configuración de WAN múltiple de desbordamiento en la interfaz, selecciona el orden que desea que el dispositivo WatchGuard envíe tráfico por las interfaces externas y configura cada interfaz con un valor de umbral de ancho de banda. El dispositivo WatchGuard comienza a enviar el tráfico por la primera interfaz externa en su lista de configuración de desbordamiento en la interfaz. Cuando el tráfico por esa interfaz alcanza el umbral de ancho de banda definido, el dispositivo WatchGuard comienza a enviar tráfico a la siguiente interfaz externa configurada en la lista de configuración de desbordamiento en la interfaz. Ese método de configuración de WAN múltiple permite que la cantidad de tráfico enviada por cada interfaz WAN sea restringido a un límite de ancho de banda especificado. Para determinar el ancho de banda, el dispositivo WatchGuard examina la cantidad de paquetes enviados (TX) y recibidos (RX) y usa el número más alto. Cuando configura el umbral ancho de banda para cada interfaz, debe considerar las necesidades de su red para la interfaz en cuestión y definir el valor de umbral según esas necesidades. Por ejemplo, si su ISP es asimétrico y define el umbral de ancho de banda según una tasa alta de TX, el desbordamiento en la interfaz no será desencadenado por una alta tasa de RX. Si todas las interfaces WAN llegaron al límite de ancho de banda, el dispositivo WatchGuard usa el algoritmo de enrutamiento ECMP (Protocolo de múltiples rutas de igual costo) para encontrar la mejor ruta. Nota Es necesario tener el Fireware XTM con actualización Pro para usar ese método de enrutamiento de WAN múltiple. Para más informaciones, vea Configurar WAN múltiple Opción de desbordamiento en la interfaz en la página 125.
Guía del Usuario
121
WAN múltiple
Tabla de enrutamiento Cuando selecciona la opción de tabla de enrutamiento para su configuración de WAN múltiple, el dispositivo WatchGuard usa las rutas en su tabla de enrutamiento interna o las rutas que obtiene de los procesos de dynamic routing para enviar paquetes por la interfaz externa correcta. Para ver si una ruta específica existe para un destino de paquete, el dispositivo WatchGuard examina su tabla de enrutamiento desde el topo hacia abajo de la lista de rutas. Puede ver la lista de rutas en la tabla de enrutamiento en la pestaña Estado del Firebox System Manager. La opción de tabla de enrutamiento es de WAN múltiple predeterminada. Si su dispositivo WatchGuard no encuentra una ruta especificada, él selecciona qué ruta usar según los valores hash del IP de destino y origen del paquete, usando el algoritmo de ECMP (Protocolo de múltiples rutas de igual costo) especificado en: http://www.ietf.org/rfc/rfc2992.txt Con el ECMP, el dispositivo WatchGuard usa un algoritmo para decidir cuál salto siguiente (ruta) usar para enviar cada paquete. Ese algoritmo no tiene en cuenta la carga de tráfico actual. Para más informaciones, vea Cuando usar los métodos de WAN múltiple y enrutamiento en la página 127.
Módem serie (solamente Firebox X Edge) Si su organización tiene una cuenta de marcado con un ISP, puede conectar un módem externo al puerto serie en su Edge y usar esa conexión para conmutación por error cuando todas las otras interfaces externas estén inactivas. Para más informaciones, vea Conmutación por error de módem serie en la página 128.
Configurar la opción de operación por turnos de WAN múltiple Antes de empezar n
n
Para usar la función de WAN múltiple, hay que tener más de una interfaz externa configurada. Si necesario, use el procedimiento descrito en Configurar una interfaz externa en la página 82. Asegúrese que entiende los conceptos y requisitos para WAN múltiple y el método elegido, tal como se describe en Acerca de usar múltiples interfaces externas en la página 119 y Acerca de las opciones de WAN múltiple en la página 120.
Configurar interfaces 1. Seleccione Red > WAN múltiple. 2. En la lista desplegable de la sección Modo de WAN múltiple, seleccione Operación por turnos.
122
Fireware XTM Web UI
WAN múltiple
3. Si tiene un Fireware XTM con actualización Pro, puede modificar el peso asociado a cada interfaz. Elija una interfaz, después ingrese o seleccione un nuevo valor en el campo Peso al lado. El valor predeterminado es 1 para cada interfaz. Para más información acerca del peso de interfaz, vea Descubra cómo asignar pesos a interfaces en la página 123. 4. Para asignar una interfaz a la configuración de WAN múltiple, seleccione una interfaz y haga clic en Configurar. 5. Seleccione la casilla de verificación Participar en WAN múltiple y haga clic en Aceptar. 6. Para concluir su configuración, debe añadir información del monitor de enlace, tal como se describe en Acerca del Estado de la interfaz de WAN en la página 134. 7. Haga clic en Guardar.
Descubra cómo asignar pesos a interfaces Si usa un Fireware XTM con actualización Pro, puede asignar un peso para cada interfaz usada en su configuración de WAN múltiple de operación por turnos. Por defecto, cada interfaz tiene un peso de 1. El peso se refiere a la proporción de carga que el Firebox envía a través de una interfaz. Solo números enteros pueden ser usados como pesos de interfaz; fracciones o decimales no son permitidos. Para un balance de carga óptimo, puede ser necesario hacer cálculos para saber el peso en número entero que asignar a cada interfaz. Use un multiplicador común, así se define la proporción relativa de ancho de banda dada por cada conexión externa en números enteros. Por ejemplo, supongamos que tiene tres conexiones a Internet. Un ISP tiene 6 Mbps, otros ISP tiene 1,5 Mbps, y un tercero tiene 769 Kpbs. Convierta la proporción en números enteros: n
n
Primero, convierta 768 Kbps a aproximadamente 0,75 Mbps, para usar la misma unidad de medida para las tres líneas. Sus tres líneas tienen la proporción de 6, 1,5 y 0,75 Mbps. Multiplique cada valor por 100 para quitar los decimales. Proporcionalmente, eso equivale a: [6 : 1,5 : 0,75] es la misma razón que [600 : 150 : 75]
Guía del Usuario
123
WAN múltiple
n
n
Encuentre el mayor divisor común de los tres números. En este caso, 75 es el número más alto que divide igualmente los tres números, 600, 150 y 75. Divida cada uno de los números por el mayor divisor común.
Los resultados son 8, 2 y 1. Podría usar esos números como pesos en una configuración de WAN múltiple de operación por turnos.
Configurar la opción de conmutación por error de WAN múltiple Antes de empezar n
n
Para usar la función de WAN múltiple, hay que tener más de una interfaz externa configurada. Si necesario, use el procedimiento descrito en Configurar una interfaz externa en la página 82. Asegúrese que entiende los conceptos y requisitos para WAN múltiple y el método elegido, tal como se describe en Acerca de usar múltiples interfaces externas en la página 119 y Acerca de las opciones de WAN múltiple en la página 120.
Configurar interfaces 1. Seleccione Red > WAN múltiple. 2. En la lista desplegable Modo de WAN Múltiple, seleccione Conmutación por error.
3. Seleccione una interfaz en la lista y haga clic Arriba o Abajo para definir el orden de la conmutación por error. La primera interfaz de la lista es la principal. 4. Para concluir su configuración, debe añadir información del monitor de enlace, tal como se describe en Acerca del Estado de la interfaz de WAN en la página 134. Para más información acerca de las opciones avanzadas de configuración de WAN múltiple, vea Acerca de la configuración avanzada de WAN múltiple en la página 132. 5. Haga clic en Guardar.
124
Fireware XTM Web UI
WAN múltiple
Configurar WAN múltiple Opción de desbordamiento en la interfaz Antes de empezar n
n
Para usar la función de WAN múltiple, debe tener más de una interfaz externa configurada. Si necesario, use el procedimiento descrito en Configurar una interfaz externa en la página 82. Asegúrese que entiende los conceptos y requisitos para WAN múltiple y el método elegido, tal como se describe en Acerca de usar múltiples interfaces externas en la página 119 y Acerca de las opciones de WAN múltiple en la página 120.
Configurar interfaces 1. Seleccione Red > WAN múltiple. 2. En la lista desplegable Modo WAN múltiple, seleccione Desbordamiento en la interfaz.
3. En el campo Umbral para cada interfaz, ingrese o seleccione la cantidad de tráfico de red en megabits por segundo (Mbps) que la interfaz debe cargar antes de enviar el tráfico a otras interfaces. 4. Para definir el orden de la operación de interfaz, seleccione una interfaz en la tabla y haga clic en Arriba y Abajo para cambiar el orden. Las interfaces son usadas desde la primera a la última en la lista. 5. Para concluir su configuración, debe añadir información, tal como se describe en Acerca del Estado de la interfaz de WAN en la página 134. Para más información acerca de las opciones avanzadas de configuración de WAN múltiple, vea Acerca de la configuración avanzada de WAN múltiple.
Guía del Usuario
125
WAN múltiple
Configurar WAN múltiple opción tabla de enrutamiento Antes de empezar n
n
n
Para usar la función de WAN múltiple, hay que tener más de una interfaz externa configurada. Si necesario, use el procedimiento descrito en Configurar una interfaz externa en la página 82. Debe elegir si el método de tabla de enrutamiento es un método de WAN múltiple correcto para sus necesidades. Para más informaciones, vea Cuando usar los métodos de WAN múltiple y enrutamiento en la página 127 Asegúrese que entiende los conceptos y requisitos para WAN múltiple y el método elegido, tal como se describe en Acerca de usar múltiples interfaces externas en la página 119 y Acerca de las opciones de WAN múltiple en la página 120.
Modo de tabla de enrutamiento y balance de carga Es importante observar que la opción de tabla de enrutamiento no hace el balance de carga en las conexiones a Internet. El Firebox lee su tabla de enrutamiento interna desde arriba hacia abajo. Las rutas estáticas y dinámicas que especifican un destino aparecen en la parte superior de la tabla de enrutamiento y tienen precedencia sobre las rutas predeterminadas. (Una ruta predetermina tiene destino 0.0.0.0/0.) Si no hay una entrada estática o dinámica específica en la tabla de enrutamiento para un destino, el tráfico hacia ese destino es enrutado entre las interfaces externas del Firebox usando los algoritmos de ECMP. Eso puede resultar o no en la distribución equitativa de paquetes entre las múltiples interfaces externas.
Configurar interfaces 1. Seleccione Red > WAN múltiple. 2. En la lista desplegable Modo de WAN múltiple, seleccione Tabla de enrutamiento.
3. Para asignar interfaces a la configuración de WAN múltiple, seleccione una interfaz y haga clic en Configurar. 4. Seleccione la casilla de verificación Participar de WAN múltiple . Haga clic en OK. 5. Para concluir su configuración, debe añadir información del monitor de enlace, tal como se describe en Acerca del Estado de la interfaz de WAN en la página 134.
126
Fireware XTM Web UI
WAN múltiple
Para más información acerca de las opciones avanzadas de configuración de WAN múltiple, vea Acerca de la configuración avanzada de WAN múltiple.
Acerca de la tabla de enrutamiento de Firebox Cuando selecciona la opción de configuración de tabla de enrutamiento, es importante saber mirar la tabla de enrutamiento que está en su Firebox. En el Fireware XTM Web UI: Seleccione Estado del sistema > Rutas. Eso muestra la tabla de enrutamiento interna en su Firebox. Las rutas en la tabla de enrutamiento interna en el Firebox incluyen: n
n n
Las rutas que el Firebox aprende de los procesos de dynamic routing en el dispositivo (RIP, OSPF y BGP), si activa el dynamic routing. Las rutas de redes permanentes o rutas de host que se añaden. Las rutas que el Firebox crea automáticamente cuando lee la información de configuración de red.
Si su Firebox detecta que una interfaz externa está inactiva, él remueve las rutas estáticas o dinámicas que usan esa interfaz. Eso es así si los hosts especificados en el Monitor de enlaces no responden y si un enlace físico de Ethernet está inactivo. Para más información acerca de actualizaciones de tabla de enrutamiento y estado de interfaz, vea Acerca del Estado de la interfaz de WAN en la página 134.
Cuando usar los métodos de WAN múltiple y enrutamiento Si usa el dynamic routing, puede usar el método de configuración de WAN múltiple de tabla de enrutamiento o de operación por turnos. Las rutas que usan una puerta de enlace en una red interna (opcional o de confianza) no son afectadas por el método de WAN múltiple seleccionado.
Cuando usar el método de tabla de enrutamiento El método de tabla de enrutamiento es una buena opción si: n
n
Activa el dynamic routing (RIP, OSPF o BGP) y los enrutadores en la red externa encaminan rutas al dispositivo WatchGuard para que el dispositivo pueda aprender las mejores rutas hacia las ubicaciones externas. Debe tener acceso a un sitio externo o red externa a través de una ruta específica en una red externa. Los ejemplos incluyen: n n
Tener un circuito privado que usa un enrutador de frame relay en la red externa. Preferir que todo el tráfico a una ubicación externa siempre pase por una interfaz externa del dispositivo WatchGuard.
El método de tabla de enrutamiento es la forma más rápida de balancear carga de más de una ruta a Internet. Después de activar esa opción, el algoritmo de ECMP administra todas las decisiones de conexión. No son necesarias configuraciones adicionales en el dispositivo WatchGuard.
Guía del Usuario
127
WAN múltiple
Cuando usar el método de operación por turnos El balance de carga de tráfico a Internet usando ECMP se basa en conexiones, no en ancho de banda. Las rutas configuradas estáticamente o aprendidas desde el dynamic routing son usadas antes que el algoritmo de ECMP. Si tiene un Fireware XTM con una actualización Pro, la opción de operación por turnos ponderada permite enviar más tráfico por una interfaz externa que otras opciones. Al mismo tiempo, el algoritmo de la operación por turno distribuye el tráfico a cada interfaz externa basado en el ancho de banda, no en conexiones. Eso le da más control sobre cuántos bytes de datos son enviados a través de cada ISP.
Conmutación por error de módem serie (Este tópico se aplica solamente al Firebox X Edge y al XTM 2 Series.) Puede configurar el Firebox X Edge o el XTM 2 Series para enviar tráfico a través de un módem serial cuando no logra enviar tráfico con alguna interfaz externa. Debe tener una cuenta de marcado con ISP (Proveedor de servicios de Internet) y un módem externo conectado al puerto serie (Edge) o puerto USB (2 Series) para usar esa opción. El Edge fue probado con esos módems: n n n n n
Módem fax serial Hayes 56K V.90 Zoom FaxModem 56K modelo 2949 Módem externo U.S. Robotics 5686 Módem serial Creative Modem Blaster V.92 MultiTech 56K Data/Fax Modem International
El 2 Series fue probado con esos módems: n n n n
Zoom FaxModem 56K modelo 2949 MultiTech 56K Data/Fax Modem International Módem Fax/Datos OMRON ME5614D2 Módem fax serial Hayes 56K V.90
En el caso de un módem serial, use un adaptador USB a serial para conectar el módem al dispositivo XTM 2 Series.
Activar conmutación por error de módem serial 1. Seleccione Red > Módem. Aparece la página Módem.
2. Seleccione la casilla Activar módem para conmutación por error cuando todas las interfaces externas estén inactivas.
128
Fireware XTM Web UI
WAN múltiple
3. Completar la configuración Cuenta, DNS, Marcado y Monitor de enlace, tal como se describe en las siguientes secciones. 4. Haga clic en Guardar.
Configuraciones de la cuenta 1. 2. 3. 4. 5.
Seleccione la pestaña Cuenta. En el cuadro de texto Número de teléfono, ingrese el número de teléfono de su ISP. Si tiene otro número para su ISP, en el cuadro de texto Número de teléfono alternativo, ingréselo. En el cuadro de texto Nombre de la cuenta , ingrese el nombre de su cuenta de marcado. Si inicia sesión en su cuenta con un domain name en el cuadro de texto Dominio de cuenta, ingrese el domain name. Un ejemplo de domain name es msn.com.
6. En el cuadro de texto Contraseña de cuenta , ingrese la contraseña que utiliza para conectarse a su cuenta de marcado. 7. Si tiene problemas con su conexión, seleccione la casilla de verificación Activar rastreo de depuración de módem y PPP. Cuando esa opción está seleccionada, el Firebox envía registros detallados para la función de conmutación por error del módem serial al archivo de registro del evento.
Configuraciones de DNS Si su ISP de marcado no ofrece información del servidor DNS, o si debe usar un servidor DNS diferente, puede agregar manualmente las direcciones IP para que un servidor DNS use después que ocurre una conmutación por error. 1. Seleccione la pestaña DNS. Aparece la página "Configuraciones de DNS".
Guía del Usuario
129
WAN múltiple
2. Seleccione la casilla de verificación Configurar manualmente las direcciones IP del servidor DNS. 3. En el cuadro de texto Servidor DNS principal , ingrese la dirección IP del servidor DNS principal. 4. Si tiene un servidor DNS secundario, en el cuadro de texto Servidor DNS secundario, ingrese la dirección IP para el servidor secundario. 5. En el cuadro de texto MTU , para fines de compatibilidad, puede definir la Unidad Máxima de Transmisión (MTU, en sus siglas en inglés) en un valor diferente. La mayoría de los usuarios mantienen la configuración predeterminada.
Configuración de marcado 1. Seleccione la pestaña Marcado. Aparece la página "Opciones de marcado".
2. En el cuadro de texto Tiempo de espera de marcado , ingrese o seleccione el número de segundos antes que se agote el tiempo de espera si su módem no se conecta. El valor predeterminado es de dos (2) minutos. 3. En el cuadro de texto Intentos de remarcado , ingrese o seleccione el número de veces que el Firebox intenta remarcar si su módem no se conecta. El número predeterminado indica que se espere tres (3) intentos de conexión. 4. En el cuadro de texto Tiempo de espera de inactividad , ingrese o seleccione el número de minutos que esperar si el tráfico no pasa por el módem antes que se agote el tiempo de espera. El valor predeterminado es de ningún tiempo de espera. 5. En la lista desplegable Volumen del parlante , seleccione el volumen del parlante de su módem.
130
Fireware XTM Web UI
WAN múltiple
Configuraciones avanzadas Algunos ISPs requieren que se especifique una o más opciones de ppp para establecer conexión. En China, por ejemplo, algunos ISPs requieren el uso de la opción de ppp de recibir-todos. La opción de recibir-todos hace que el ppp acepte todos los caracteres de control del punto. 1. Seleccione la pestaña Avanzado.
2. En el cuadro de texto Opciones de PPP, ingrese las opciones requeridas de PPP. Para especificar más de una opción de PPP, separe cada opción con una coma.
Configuración de "Monitor de enlace" Puede definir las opciones para probar una o más interfaces externas para una conexión activa. Cuando una interfaz externa se vuelve activa nuevamente, el Firebox ya no envía tráfico a través del módem serial y usa, en su lugar, la interfaz o las interfaces externas. Puede configurar el Monitor de enlace para enviar un ping a un sitio o dispositivo en la interfaz externa, crear una conexión TCP con un sitio o número de puerto que especifique, o ambos. También puede definir el intervalo de tiempo entre pruebas de conexión y configurar el número de veces que una prueba debe fallar o tener éxito antes que una interfaz sea activada o desactivada. Para configurar el monitor de enlace para una interfaz: 1. Seleccione la pestaña Monitor de enlace. Aparecen las opciones definidas de ping y conexión TCP para cada interfaz externa.
2. Para configurar una interfaz, selecciónela en la lista y haga clic en Configurar. Aparece el cuadro de diálogo "Detalles de monitor de enlace".
Guía del Usuario
131
WAN múltiple
3. Para enviar un ping a una ubicación o dispositivo en la red externa, seleccione la casilla Ping e ingrese una dirección IP o nombre de host en el cuadro de texto al lado. 4. Para crear una conexión TCP a una ubicación o dispositivo en la red externa, seleccione la casilla TCP e ingrese una dirección IP o nombre de host en el cuadro de texto al lado. También puede ingresar o seleccionar un Número depuerto. El número de puerto predeterminado es 80 (HTTP).
5. Para que el ping y las conexiones TCP tengan éxito antes que una interfaz sea marcada como activa, seleccione la casilla Ping y TCP deben tener éxito. 6. Para cambiar el intervalo de tiempo entre los intentos de conexión, en el cuadro de texto Probar intervalo , ingrese o seleccione un número diferente. La configuración predeterminada es de 15 segundos.
7. Para cambiar el número de fallas que marcan una interfaz como inactiva, en el cuadro de texto Desactivar después de, ingrese o seleccione un número diferente. El valor predeterminado es de tres (3) intentos de conexión.
8. Para cambiar el número de conexiones exitosas que marcan una interfaz como activa, en el cuadro de texto Reactivar después de , ingrese o seleccione un número diferente. El valor predeterminado es de tres (3) intentos de conexión.
9. Haga clic en OK.
Acerca de la configuración avanzada de WAN múltiple Puede configurar sticky connections, failback, y notificación de eventos de WAN múltiple. No todas las opciones de configuración están disponibles para todas las opciones de configuración de WAN múltiple. Si una configuración no se aplica a la opción de WAN múltiple seleccionada, esos campos no aparecen activos. Para configurar WAN múltiple: 1. Seleccione Red > WAN múltiple. 2. Haga clic en la pestaña Configuración avanzada. 3. Configure Duración de Sticky Connection y Failback para conexiones activas, tal como se describe en las secciones siguientes. 4. Haga clic en Guardar.
132
Fireware XTM Web UI
WAN múltiple
Define una duración de Sticky Connection global Una sticky connection es una conexión que sigue usando la misma interfaz de WAN por un período definido de tiempo. Puede definir los parámetros de sticky connection si usa opciones de desbordamiento en la interfaz o operación por turnos para WAN múltiple. La rapidez asegura que, si un paquete sale por una interfaz externa, los futuros paquetes entre el par de direcciones IP de origen y de destino usan la misma interfaz externa por un período determinado de tiempo. Por defecto, las sticky connections usan la misma interfaz por 3 minutos. Si una definición de política contiene una configuración de sticky connection, esa configuración es usada en lugar de la configuración global. Para cambiar la duración de sticky connection global para un protocolo o conjunto de protocolos: 1. En el cuadro de texto para el protocolo, ingrese o seleccione un número. 2. En la lista desplegable al lado, seleccione una duración.
Si define una duración de sticky connection en una política, puede anular la duración de sticky connection global. Para más informaciones, vea Defina la duración de sticky connection para una política en la página 272.
Definir acción de failback Puede definir la acción que desea que su dispositivo WatchGuard haga cuando ocurre un evento de conmutación por error y la interfaz externa principal se vuelve activa nuevamente. Cuando eso se dá, todas las nuevas conexiones inmediatamente conmutan por recuperación hacia la interfaz externa principal. Seleccione el método deseado para las conexiones en proceso en el momento de la failback. En la lista desplegable Failback para conexiones activas : n
Failback inmediata — Seleccione esta opción si desea que el dispositivo WatchGuard detenga inmediatamente todas las conexiones existentes.
Guía del Usuario
133
WAN múltiple
n
Failback gradual — Seleccione esta opción si desea que el dispositivo WatchGuard siga usando la interfaz de conmutación por error para conexiones existentes hasta que cada conexión esté completa.
Esa configuración de failback también se aplica a cualquier configuración de enrutamiento basado en la política que se define para usar interfaces externas de conmutación por error.
Acerca del Estado de la interfaz de WAN Puede elegir el método y frecuencia con la que desea que el Firebox verifique el estado de cada interfaz de WAN. Si no configura un método especificado para ser usado por Firebox, él envía un ping a la puerta de enlace predeterminada de la interfaz para verificar el estado de la misma.
Tiempo necesario para que el Firebox actualice su tabla de enrutamiento Si un host de monitor de enlace no responde, puede llevar de 40 - 60 segundos para que el dispositivo WatchGuard actualice su tabla de enrutamiento. Cuando el mismo host de monitor de enlace empieza a responder nuevamente, puede llevar de 1 - 60 segundos para que su Firebox actualice su tabla de enrutamiento. El proceso de actualización es mucho más rápido cuando su Firebox detecta una desconexión física del puerto de Ethernet. Cuando eso ocurre, el dispositivo WatchGuard actualiza su tabla de enrutamiento inmediatamente. Cuando su Firebox detecta que la conexión de Ethernet está activa nuevamente, él actualiza su tabla de enrutamiento dentro de 20 segundos.
Definir un host de monitor de enlace 1. Seleccione Red > WAN múltiple. 2. Seleccione la interfaz y haga clic en Configurar. Aparece el cuadro de diálogo "Detalles de monitor de enlace".
134
Fireware XTM Web UI
WAN múltiple
3. Seleccione las casillas de verificación para cada método de monitor de enlace que desea que el Firebox use para verificar el estado de cada interfaz externa: n
n
n
Ping — Agregue una dirección IP o domain name para que el Firebox envíe un ping para verificar el estado de la interfaz. TCP — Agregue una dirección IP o domain name de un equipo con el que el Firebox puede negociar un protocolo de enlace de TCP para verificar el estado de la interfaz de WAN. Ping y TCP deben tener éxito — La interfaz es considerada inactiva excepto si tanto el ping como la conexión TCP son concluidos con éxito.
Si una interfaz externa es miembro de una configuración de FireCluster, una conmutación por error de WAN múltiple provocada por una falla de conexión hacia un host de monitor de enlace no desencadena la conmutación por error del FireCluster. La conmutación por error del FireCluster ocurre solamente cuando la interfaz física está desactivada o no responde. Si agrega un domain name para que el Firebox envíe un ping y alguna de las interfaces externas tiene una dirección IP estática, debe configurar un servidor DNS, tal como se describe en Agregar direcciones de servidor DNS y WINS. 4. Para configurar la frecuencia con la que desea que el Firebox verifique el estado de la interfaz, ingrese o seleccione una configuración de Probar después de. La configuración predeterminada es de 15 segundos.
5. Para cambiar el número de fallas de pruebas consecutivas que debe ocurrir antes de una conmutación por error, ingrese o seleccione una configuración de Desactivar después de. La configuración predeterminada es de tres (3). Después del número de fallas seleccionado, el Firebox intenta enviar el tráfico a través de la siguiente interfaz especificada en la lista de conmutación por error de WAN múltiple.
6. Para cambiar el número de pruebas consecutivas exitosas a través de una interfaz antes que la interfaz previamente inactiva se vuelva activa nuevamente, ingrese o seleccione una configuración de Reactivar después de. 7. Repita esos pasos para cada interfaz externa. 8. Haga clic en Guardar.
Guía del Usuario
135
WAN múltiple
Guía del Usuario
136
8
Traducción de dirección de red (NAT)
Acerca de la Traducción de dirección de red (NAT) La traducción de dirección de red (NAT) es un término utilizado para describir cualquiera de varias formas de traducción de dirección IP y puerto. En su nivel más básico, NAT cambia la dirección IP de un paquete de un valor a otro diferente. El objetivo principal de NAT es aumentar el número de computadoras que pueden funcionar partiendo de una única dirección IP públicamente enrutable y ocultar las direcciones IP privadas de host en su LAN. Cuando se usa NAT, la dirección IP de origen se cambia en todos los paquetes que se envían. NAT se puede aplicar como configuración de firewall general o como una configuración en una política. Las configuraciones de NAT firewall no se aplican a las políticas BOVPN. Si tiene Fireware XTM con una actualización Pro, puede usar la función de Balance de carga en el servidor como parte de una regla NAT estática. La función de balance de carga en el servidor está diseñada para ayudarle a aumentar la escalabilidad y el rendimiento de una red de alto tráfico con múltiples servidores públicos protegidos por el dispositivo WatchGuard. Con el balance de carga en el servidor, puede determinar que el dispositivo WatchGuard controle el número de sesiones iniciadas en hasta diez servidores para cada política de firewall que configure. El dispositivo WatchGuard controla la carga según el número de sesiones en uso en cada servidor. El dispositivo WatchGuard no mide ni compara el ancho de banda que usa cada servidor. Para obtener más información sobre el balance de carga en el servidor, consulte Configurar Balance de carga en el servidor en la página 154.
Tipos de NAT El dispositivo WatchGuard admite tres tipos diferentes de NAT. Su configuración puede usar más de un tipo de NAT al mismo tiempo. Se aplican algunos tipos de NAT a todo el tráfico de firewall y otros tipos como configuración en una política.
Guía del Usuario
137
Traducción de dirección de red (NAT)
NAT dinámico NAT dinámico también se conoce como enmascaramiento IP. El dispositivo WatchGuard puede aplicar su dirección IP pública a los paquetes salientes para todas las conexiones o para servicios específicos. Esto oculta a la red externa la dirección IP real de la computadora que es el origen del paquete. NAT dinámica en general se usa para ocultar las direcciones IP de host internos cuando tienen acceso a servicios públicos. Para más informaciones, vea Acerca de la dinámica basada en políticas en la página 138. NAT estática NAT estática, conocida también como reenvío de puerto, se configura cuando se configuran las políticas. NAT estática es una NAT de puerto-a-host. Un host envía un paquete desde la red externa a un puerto en una interfaz externa. NAT estática cambia esta dirección IP a una dirección IP y puerto detrás del firewall. Para más informaciones, vea Acerca de la NAT estática en la página 153. 1-to-1 NAT 1-to-1 NAT crea una asignación entre direcciones IP en una red y direcciones IP en una red diferente. Este tipo de NAT con frecuencia se usa para que las computadoras externas tengan acceso a los servidores internos públicos. Para más informaciones, vea Acerca de las 1-to-1 NAT en la página 142.
Acerca de la dinámica basada en políticas NAT dinámica es el tipo de NAT que se utiliza con más frecuencia. Cambia la dirección IP de origen de una conexión saliente a la dirección IP pública de Firebox. Fuera de Firebox, se observa sólo la dirección IP de la interfaz externa de Firebox en los paquetes salientes. Muchas computadoras pueden conectarse a Internet desde una dirección IP pública. NAT dinámica ofrece más seguridad para host internos que usan Internet porque oculta las direcciones IP de host en su red. Con NAT dinámica, todas las conexiones deben iniciarse desde detrás de Firebox. Los host maliciosos no pueden iniciar conexiones a las computadoras detrás de Firebox cuando éste está configurado para NAT dinámica. En la mayoría de las redes, la política de seguridad recomendada es aplicar NAT a todos los paquetes salientes. Con Fireware, NAT dinámica está activada de manera predeterminada en el cuadro de diálogo Red > NAT. También está activada de manera predeterminada en cada política que se crea. Puede anular la configuración de firewall para NAT dinámica en las políticas individuales, como se describe en Aplicar reglas NAT en la página 271.
Agregar firewall a entradas de NAT dinámicas La configuración predeterminada de NAT dinámica activa NAT dinámica desde todas las direcciones IP privadas hacia la red externa. Las entradas predeterminadas son: n n n
138
192.168.0.0/16 – Cualquiera-externo 172.16.0.0/12 – Cualquiera-externo 10.0.0.0/8 – Cualquiera-externo
Fireware XTM Web UI
Traducción de dirección de red (NAT)
Estas tres direcciones de red son las redes privadas reservadas por Internet Engineering Task Force (IETF) y en general se usan para las direcciones IP en LAN. Para activar NAT dinámica para direcciones IP privadas distintas de éstas, debe agregar una entrada para ellas. El dispositivo WatchGuard aplica reglas NAT dinámicas en la secuencia en la que aparecen en la lista Entradas de NAT dinámica. Recomendamos colocar las reglas en una secuencia que coincida con el volumen de tráfico al que se aplican las reglas. 1. Seleccione Red > NAT. Aparece la página de configuración de NAT.
2. En la sección NAT dinámica , haga clic en Agregar. Aparece la página de configuración de NAT dinámica.
Guía del Usuario
139
Traducción de dirección de red (NAT)
3. En la sección Desde , haga clic en la lista desplegable Tipo de miembro para seleccionar el tipo de dirección a utilizar para especificar el origen de los paquetes salientes: IP de host, IP de red, Rango de host o Alias. 4. En la sección Desde , debajo de la lista desplegable Tipo de miembro, ingrese la dirección IP de host, la dirección IP de red o el rango de direcciones IP de host o seleccione un alias en la lista desplegable. Debe ingresar una dirección de red en notación diagonal. Para obtener más información sobre alias del dispositivo WatchGuard incorporados, consulte Acerca de los alias en la página 257. 5. En la sección Hasta, haga clic en la lista desplegable Tipo de miembro para seleccionar el tipo de dirección a utilizar para especificar el destino de los paquetes salientes. 6. En la sección Hasta, debajo de la lista desplegable Tipo de miembro, ingrese la dirección IP de host, la dirección IP de red o el rango de direcciones IP de host , o seleccione un alias en la lista desplegable. 7. Haga clic en Guardar. La nueva entrada aparece en la lista Entradas de NAT dinámica.
Eliminar una entrada NAT dinámica No puede cambiar una entrada NAT dinámica existente. Si desea cambiar una entrada existente, debe eliminar la entrada y agregar una nueva. Para eliminar una entrada NAT dinámica: 1. Seleccione la entrada que desea eliminar. 2. Haga clic en Eliminar. Aparece un mensaje de advertencia.
3. Haga clic en Sí.
140
Fireware XTM Web UI
Traducción de dirección de red (NAT)
Reordenar entradas NAT dinámica Para cambiar la secuencia de las entradas NAT dinámica: 1. Seleccione la entrada que desea cambiar. 2. Haga clic en Arriba o Abajo para desplazarla en la lista.
Configurar NAT dinámica basada en políticas En NAT dinámica basada en políticas, Firebox asigna direcciones IP privadas a direcciones IP públicas. NAT dinámica se activa en la configuración predeterminada de cada política. No es necesario activarla a menos que la haya desactivado previamente. Para que NAT dinámica basada en políticas funcione correctamente, utilice la pestaña Política del cuadro de diálogo Editar propiedades de políticas para asegurarse de que la política esté configurada para permitir el tráfico saliente sólo a través de una interfaz de Firebox. Las reglas de 1-to-1 NAT tienen mayor prioridad que las reglas de NAT dinámica. 1. Seleccione Firewall > Políticas de firewall. Aparece la lista de políticas de firewall. 2. Seleccione una política y haga clic en Editar. Aparece la página de Configuración de políticas.
3. Haga clic en la pestaña Avanzado.
Guía del Usuario
141
Traducción de dirección de red (NAT)
4. Seleccione la casilla de verificación NAT dinámica. 5. Seleccione Usar configuraciones NAT de red si desea utilizar las reglas de NAT dinámica establecidas para el dispositivo WatchGuard. Seleccione Todo el tráfico en esta política si desea aplicar NAT a todo el tráfico en esta política. Puede configurar una dirección IP de origen NAT dinámica para cualquier política que usa NAT dinámica. Seleccione la casilla de verificación Establecer IP de origen. Cuando selecciona una dirección IP de origen, cualquier tráfico que usa esta política muestra una dirección específica de su rango de direcciones IP externas o públicas como el origen. Esto se utiliza con más frecuencia para obligar al tráfico SMTP saliente a mostrar la dirección de registro MX para su dominio cuando la dirección IP en la interfaz externa del dispositivo WatchGuard no coincide con la dirección IP de registro MX. Esta dirección de origen debe estar en la misma subnet que la interfaz especificada para el tráfico saliente. Recomendamos no utilizar la opción Establecer IP de origen si tiene más de una interfaz externa configurada en su dispositivo WatchGuard. Si no selecciona la casilla de verificación Establecer IP de origen, el dispositivo WatchGuard cambia la dirección IP de origen para cada paquete a la dirección IP de la interfaz desde la cual se envía el paquete. 6. Haga clic en Guardar.
Desactivar basado en políticas NAT dinámica NAT dinámica se activa en la configuración predeterminada de cada política. Para desactivar NAT dinámica para una política: 1. Seleccione Firewall > Políticas de firewall. Aparece la lista de políticas de firewall. 2. Seleccione una política y haga clic en Editar. Aparece la página de Configuración de políticas.
3. Haga clic en la pestaña Avanzado. 4. Para desactivar NAT para el tráfico controlado por esta política, desmarque la casilla de verificación NAT dinámica . 5. Haga clic en Guardar.
Acerca de las 1-to-1 NAT Cuando se activa 1-to-1 NAT, el dispositivo WatchGuard cambia las rutas de todos los paquetes entrantes y salientes enviados desde un rango de direcciones a un rango de direcciones diferente. Una regla 1-to-1 NAT siempre tiene prioridad sobre NAT dinámica. 1-to-1 NAT con frecuencia se utiliza cuando se tiene un grupo de servidores internos con direcciones IP privadas que deben hacerse públicas. Se puede usar 1-to-1 NAT para asignar direcciones IP públicas a los servidores internos. No es necesario cambiar la dirección IP de los servidores internos. Cuando se tiene un grupo de servidores similares (por ejemplo, un grupo de servidores de correo electrónico),1-to-1 NAT es más fácil de configurar que NAT estática para el mismo grupo de servidores. Para comprender cómo configurar 1-to-1 NAT, proponemos este ejemplo:
142
Fireware XTM Web UI
Traducción de dirección de red (NAT)
La empresa ABC tiene un grupo de cinco servidores de correo electrónico con direcciones privadas detrás de la interfaz de confianza de su dispositivo WatchGuard. Estas direcciones son: 10.1.1.1 10.1.1.2 10.1.1.3 10.1.1.4 10.1.1.5 La empresa ABC selecciona cinco direcciones IP públicas de la misma dirección de red como interfaz externa de su dispositivo WatchGuard y crea registros DNS para que los servidores de correo electrónico resuelvan. Estas direcciones son: 50.1.1.1 50.1.1.2 50.1.1.3 50.1.1.4 50.1.1.5 La empresa ABC configura una regla 1-to-1 NAT para sus servidores de correo electrónico. La regla 1-to-1 NAT crea una relación estática, bidireccional entre los pares correspondientes de direcciones IP. La relación tiene el siguiente aspecto: 10.1.1.1 50.1.1.1 10.1.1.2 50.1.1.2 10.1.1.3 50.1.1.3 10.1.1.4 50.1.1.4 10.1.1.5 50.1.1.5 Cuando se aplica la regla 1-to-1 NAT, el dispositivo WatchGuard crea el enrutamiento bidireccional y la relación NAT entre el grupo de direcciones IP privadas y el grupo de direcciones públicas. 1-to-1 NAT también funciona en tráfico enviado desde redes que protege el dispositivo WatchGuard.
Acerca de 1-to-1 NAT y VPN Cuando se crea un túnel VPN, las redes en cada extremo del túnel VPN deben tener rangos de direcciones de red diferentes. Se puede usar 1-to-1 NAT cuando se debe crear un túnel VPN entre dos redes que usan la misma dirección de red privada. Si el rango de dirección en la red remota es el mismo que en la red local, se pueden configurar ambas puertas de enlace para que usen 1-to-1 NAT. 1-to-1 NAT se configura para un túnel VPN al configurar el túnel VPN y no en Red> NAT. página.
Guía del Usuario
143
Traducción de dirección de red (NAT)
Configurar el firewall 1-to-1 NAT 1. Seleccione Red > NAT. Aparece la página de configuración de NAT .
2. En la sección 1-to-1 NAT , haga clic en Agregar. Aparece la página de configuración de 1-to-1 NAT.
144
Fireware XTM Web UI
Traducción de dirección de red (NAT)
3. En la lista desplegable Tipo de asignación, seleccione IP única (para asignar un host), Rango de IP (para asignar un rango de hosts) o Subnet IP (para asignar una subnet). Si selecciona Rango de IP o Subnet IP, no incluya más de 256 direcciones IP en ese rango o subnet. Para aplicar NAT a más de 256 direcciones IP , debe crear más de una regla. 4. Complete todos los campos en la sección Configuración. Para obtener más información acerca de cómo usar estos campos, consulte la siguiente sección Definir una regla de 1-to-1 NAT. 5. Haga clic en Guardar. Después de configurar una regla de 1-to-1 NAT global, debe agregar las direcciones IP NAT a las políticas correspondientes. n
n
Si su política administra tráfico saliente, agregue las direcciones IP de la base real a la sección Desde de la configuración de políticas. Si su política administra tráfico entrante, agregue las direcciones IP de base NAT a la sección Hasta de la configuración de políticas.
En el ejemplo anterior, donde usamos 1-to-1 NAT para otorgar acceso a un grupo de servidores de correo electrónico descritos en Acerca de las 1-to-1 NAT en la página 142, debemos configurar la política SMTP para permitir el tráfico SMTP. Para completar esta configuración, debe cambiar la configuración de la política para permitir el tráfico desde la red externa al rango de dirección IP 10.1.1.1-10.1.1.5. 1. 2. 3. 4. 5.
Crear una nueva política o modificar una política existente. Junto a la lista Desde, haga clic en Agregar. Seleccione el alias Cualquiera-externo y haga clic en OK. Junto a la lista Hasta, haga clic en Agregar. Para agregar una dirección IP por vez, seleccione IP de host en la lista desplegable e ingrese la dirección IP en el cuadro de texto adyacente y haga clic enOK. 6. Repita los pasos 3 al 4 para cada dirección IP en el rango de dirección NAT. Para agregar varias direcciones IP a la vez, seleccione Rango de host en la lista desplegable. Ingrese la primera y la última dirección IP del rango de base de NAT y haga clic en OK.
Guía del Usuario
145
Traducción de dirección de red (NAT)
Nota Para conectarse a una computadora ubicada en una interfaz diferente que usa 1to-1 NAT, debe usar la dirección IP pública (base de NAT) de esa computadora. Si esto es un problema, puede desactivar 1-to-1 NAT y usar NAT estática.
Definir una Regla de 1-to-1 NAT En cada regla de 1-to-1 NAT, puede configurar un host, un rango de host o una subnet. También debe configurar: Interfaz El nombre de la interfaz Ethernet en la cual se aplica 1-to-1 NAT. Su dispositivo WatchGuard aplica 1to-1 NAT a paquetes enviados hacia y desde la interfaz. En nuestro ejemplo anterior, la regla se aplica a la interfaz externa. Base de NAT Cuando se configura una regla de 1-to-1 NAT, la regla se configura con un rango de direcciones IP desde y un rango hasta. La base de NAT es la primera dirección IP disponible en el rango de direcciones hasta. La dirección IP base de NAT es la dirección a la que cambia la dirección IP de base real cuando se aplica 1-to-1 NAT. No se puede usar la dirección IP de una interfaz Ethernet existente como base de NAT. En nuestro ejemplo anterior, la base de NAT es 50.50.50.1. Base real Cuando se configura una regla de 1-to-1 NAT, la regla se configura con un rango de direcciones IP desde y un rango hasta. La base real es la primera dirección IP disponible en el rango de direcciones desde. Es la dirección IP asignada a la interfaz Ethernet física de la computadora a la cual se aplicará la política de 1-to-1 NAT. Cuando los paquetes de una computadora con una dirección de base real atraviesan la interfaz especificada, se aplica la acción 1 a 1. En nuestro ejemplo anterior, la base real es 10.0.1.50. Número de host para NAT (para rangos únicamente) El número de direcciones IP en un rango al cual se aplica la regla de 1-to-1 NAT. La primera dirección IP de base real se traduce a la primera dirección IP de base de NAT cuando se aplica 1-to-1 NAT. La segunda dirección IP de base real en el rango se traduce a la segunda dirección IP de base de NAT cuando se aplica 1-to-1 NAT. Esto se repite hasta que se alcanza el Número de host para NAT. En el ejemplo anterior, el número de host al que se aplicará NAT es 5. También puede usar 1-to-1 NAT cuando debe crear un túnel VPN entre dos redes que usan la misma dirección de red privada. Cuando se crea un túnel VPN, las redes en cada extremo del túnel VPN deben tener rangos de direcciones de red diferentes. Si el rango de dirección en la red remota es el mismo que en la red local, se pueden configurar ambas puertas de enlace para que usen 1-to-1 NAT. Luego, se puede crear el túnel VPN y no cambiar las direcciones IP de un lado del túnel. 1-to-1 NAT se configura para un túnel VPN al configurar el túnel VPN y no en el cuadro de diálogo Red> NAT. Para observar un ejemplo de cómo usar 1-to-1 NAT, consulte Ejemplo de 1-to-1 NAT.
146
Fireware XTM Web UI
Traducción de dirección de red (NAT)
Configurar basado en políticas 1-to-1 NAT En 1-to-1 NAT basada en políticas, su dispositivo WatchGuard usa los rangos de direcciones IP públicas y privadas que se establecieron al configurar 1-to-1 NAT global, pero las reglas se aplican a una política individual. 1-to-1 NAT se activa en la configuración predeterminada de cada política. Si el tráfico coincide con 1-to-1 NAT y con las políticas de NAT dinámica, 1-to-1 NAT prevalece.
Activar 1-to-1 NAT basada en políticas Debido a que 1-to-1 NAT basada en políticas está activada en forma predeterminada, no es necesaria ninguna otra acción para activarla. Si previamente ha desactivado 1-to-1 NAT basada en políticas, seleccione la casilla de verificación enPaso 4 del siguiente procedimiento para volver a activarla.
Desactivar 1-to-1 NAT basada en políticas 1. Seleccione Firewall > Políticas de firewall. Aparece la lista de políticas de firewall. 2. Seleccione una política y haga clic en Editar. Aparece la página de Configuración de políticas.
3. Haga clic en la pestaña Avanzado.
4. Desmarque la casilla de verificación 1-to-1 NAT para desactivar NAT para el tráfico controlado por esta política. 5. Haga clic en Guardar.
Guía del Usuario
147
Traducción de dirección de red (NAT)
Configurar el bucle invertido de NAT con NAT estática Fireware XTM incluye soporte para bucle invertido de NAT. El bucle invertido de NAT permite a un usuario en las redes de confianza u opcionales obtener acceso a un servidor público que se encuentra en la misma interfaz física de Firebox por medio de su dirección IP pública o domain name. Para conexiones de bucle invertido de NAT, Firebox cambia la dirección IP de origen de la conexión para que sea la dirección IP de la interfaz interna de Firebox (la dirección IP principal para la interfaz donde tanto el cliente como el servidor se conectan a Firebox). El siguiente ejemplo ayuda a comprender cómo configurar el bucle invertido de NAT cuando se usa NAT estática: La empresa ABC tiene un servidor HTTP en la interfaz de confianza de Firebox. La empresa utiliza NAT estática para asignar la dirección IP pública al servidor interno. La empresa desea permitir a los usuarios de la red de confianza el uso de la dirección IP pública o el domain name para acceder a este servidor público. En este ejemplo suponemos: n n
n
La interfaz de confianza está configurada con una dirección IP en la red 10.0.1.0/24. La interfaz de confianza también está configurada con una dirección IP secundaria en la red 192.168.2.0/24. El servidor HTTP está conectado físicamente a la red 10.0.1.0/24. La dirección de base real del servidor HTTP se encuentra en la red de confianza.
Agregar una política para bucle invertido de NAT al servidor En este ejemplo, para permitir a los usuarios de sus redes de confianza y opcional utilizar la dirección IP pública o el domain name para acceder a un servidor público que se encuentra en la red de confianza, se debe agregar una política HTTP que podría ser la siguiente:
148
Fireware XTM Web UI
Traducción de dirección de red (NAT)
La sección Hasta de la política contiene una ruta NAT estática desde la dirección IP pública del servidor HTTP a la dirección IP real de ese servidor. Para obtener más información acerca de NAT estática, consulte Acerca de la NAT estática en la página 153. Si utiliza 1-to-1 NAT para enrutar tráfico a servidores dentro de su red, consulte Bucle invertido de NAT y 1to-1 NAT en la página 150.
Guía del Usuario
149
Traducción de dirección de red (NAT)
Bucle invertido de NAT y 1-to-1 NAT El bucle invertido de NAT permite a un usuario en las redes de confianza u opcionales conectarse a un servidor público con su dirección IP pública o domain name si el servidor se encuentra en la misma interfaz física de Firebox. Si utiliza 1-to-1 NAT para enrutar el tráfico a servidores en la red interna, siga estas instrucciones para configurar el bucle invertido de NAT desde usuarios internos a esos servidores. Si no utiliza 1-to-1 NAT, consulte Configurar el bucle invertido de NAT con NAT estática en la página 148. Para comprender cómo configurar el bucle invertido de NAT cuando usa 1-to-1 NAT, proponemos este ejemplo: La empresa ABC tiene un servidor HTTP en la interfaz de confianza de Firebox. La empresa utiliza una regla 1-to-1 NAT para asignar la dirección IP pública al servidor interno. La empresa desea permitir a los usuarios de la interfaz de confianza el uso de la dirección IP pública o el domain name para acceder a este servidor público. En este ejemplo suponemos: n
Un servidor con la dirección IP pública 100.100.100.5 está asignado con una regla 1-to-1 NAT a un host en la red interna. En la sección de 1-to-1 NAT de la página de configuración de NAT , seleccione estas opciones: Interfaz — Externa, NAT Base — 100.100.100.5, Base real — 10.0.1.5
n n
n
La interfaz de confianza está configurada con una red principal, 10.0.1.0/24. El servidor HTTP está conectado físicamente a la red en la interfaz de confianza. La dirección de base real de ese host se encuentra en la interfaz de confianza. La interfaz de confianza también está configurada con una secondary network, 192.168.2.0/24.
En este ejemplo, para permitir el bucle invertido de NAT a todos los usuarios conectados a la interfaz de confianza, es necesario: 1. Asegurarse de que exista una entrada 1-to-1 NAT para cada interfaz que usa ese tráfico cuando las computadoras internas obtienen acceso a la dirección IP pública 100.100.100.5 con una conexión
150
Fireware XTM Web UI
Traducción de dirección de red (NAT)
de bucle invertido de NAT. Se debe agregar una asignación más de 1-to-1 NAT para aplicar al tráfico que se inicia en la interfaz de confianza. La nueva asignación 1 a 1 es igual a la anterior, excepto que la Interfaz está configurada en De confianza en lugar de Externa.
Después de agregar la segunda entrada 1-to-1 NAT, la sección de la pestaña 1-to-1 NAT cuadro de diálogo Configuración de página muestra dos asignaciones de 1-to-1 NAT : una para Externa y una para De confianza. En la sección 1-to-1 NAT de la página de configuración de NAT, agregue estas dos entradas: Interfaz — Externa, NAT Base — 100.100.100.5, Base real — 10.0.1.5 Interfaz — De confianza, NAT Base — 100.100.100.5, Base real — 10.0.1.5 2. Agregue una entrada NAT dinámica para cada red en la interfaz a la que está conectado el servidor. El campo Desde para la entrada NAT dinámica es la dirección IP de red de la red desde la cual las computadoras obtienen acceso a la dirección IP de 1-to-1 NAT con bucle invertido de NAT. Elcampo Hasta para laentrada NATdinámica esla direcciónbase de NAT enla asignaciónde 1-to-1NAT. En este ejemplo, la interfaz de confianza tiene dos redes definidas y se desea permitir a los usuarios de ambas redes obtener acceso al servidor HTTP con la dirección IP pública o nombre de host del servidor. Se deben agregar dos entradas NAT dinámica. En la sección NAT dinámica de la página de configuración de NAT , agregue: 10.0.1.0/24 - 100.100.100.5 192.168.2.0/24 - 100.100.100.5 3. Agregue una política para permitir a los usuarios en su red de confianza utilizar la dirección IP pública o el domain name para obtener acceso al servidor público en la red de confianza. Para este ejemplo: De Cualquiera de confianza Guía del Usuario
151
Traducción de dirección de red (NAT)
Para 100.100.100.5
La dirección IP pública a la que los usuarios desean conectarse es 100.100.100.5. Esta dirección IP está configurada como dirección IP secundaria en la interfaz externa. En la sección Hasta de la política, agregue 100.100.100.5. Para obtener más información acerca de cómo configurar NAT estática, consulte Acerca de la NAT estática en la página 153. Para obtener más información acerca de cómo configurar 1-to-1 NAT, consulte Configurar el firewall 1-to-1 NAT en la página 144.
152
Fireware XTM Web UI
Traducción de dirección de red (NAT)
Acerca de la NAT estática NAT estática, conocida también como reenvío de puerto, es una NAT de puerto-a-host. Un host envía un paquete desde la red externa a un puerto en una interfaz externa. NAT estática cambia la dirección IP de destino a una dirección IP y puerto detrás del firewall. Si una aplicación de software utiliza más de un puerto y los puertos se seleccionan en forma dinámica, se debe usar 1-to-1 NAT o verificar si un proxy en el dispositivo WatchGuard administra este tipo de tráfico. NAT estática también funciona en el tráfico enviado desde redes que protege el dispositivo WatchGuard. Cuando se usa NAT estática, se utiliza una dirección IP externa de Firebox en lugar de la dirección IP de un servidor público. Se puede optar por esta posibilidad o se puede utilizar en caso de que el servidor público no tenga una dirección IP pública. Por ejemplo, se puede ubicar el servidor de correo electrónico SMTP detrás del dispositivo WatchGuard con una dirección IP privada y configurar NAT estática en su política SMTP. El dispositivo WatchGuard recibe conexiones en el puerto 25 y se asegura de que todo el tráfico SMTP se envíe al servidor SMTP real detrás de Firebox. 1. Seleccione Firewall >Políticas de Firewall. 2. Haga doble clic en una política para editarla. 3. En la lista desplegableConexiones están, seleccione Permitidas. Para usar NAT estática, la política debe permitir el acceso del tráfico entrante. 4. Debajo de la lista Hasta, haga clic en Agregar. Aparece el cuadro de diálogo "Agregar miembro".
Nota NAT estática sólo está disponible para políticas que usan un puerto específico, que incluye TCP y UDP. Una política que utiliza un protocolo diferente no puede usar NAT estática entrante. El botón NAT en el cuadro de diálogo Propiedades de esa política no está disponible. También se puede usar NAT estática con la política Cualquiera. 5. En el Miembro En la lista desplegable Tipo, seleccione NAT estática. 6. En la lista desplegable Dirección IP externa, seleccione la dirección IP externa o alias que desea utilizar en esta política.
Guía del Usuario
153
Traducción de dirección de red (NAT)
Por ejemplo, puede usar NAT estática en esta política para paquetes recibidos en sólo una dirección IP externa. O bien, puede usar NAT estática para paquetes recibidos en cualquier dirección IP externa si selecciona el alias Cualquiera externo. 7. Ingrese la dirección IP interna. Es el destino en la red opcional o de confianza. 8. Si es necesario, seleccione la casilla de verificación Determinar puerto interno para un puerto diferente . Esto activa la traducción de dirección de puerto (PAT). Esta función permite cambiar el destino del paquete no sólo a un host interno específico sino también a un puerto diferente. Si selecciona esta casilla de verificación, ingrese el número de puerto o haga clic en la flecha hacia arriba o hacia abajo para seleccionar el puerto que desea utilizar. En general, esta función no se utiliza. 9. Haga clic en OK para cerrar el cuadro de diálogo Agregar NAT estática. La ruta de NAT estática aparece en la lista Miembros y Direcciones.
10. Haga clic en Guardar.
Configurar Balance de carga en el servidor Nota Para usar la función de balance de carga en el servidor, debe contar con un dispositivo Firebox X Core, Peak o WatchGuard XTM y Fireware XTM con actualización Pro. La función de balance de carga en el servidor en Fireware XTM está diseñada para ayudarle a aumentar la escalabilidad y el rendimiento de una red de alto tráfico con múltiples servidores públicos. Con el balance de carga en el servidor, puede activar al dispositivo WatchGuard para que controle el número de sesiones iniciadas en hasta diez servidores para cada política de firewall que configure. El dispositivo WatchGuard controla la carga según el número de sesiones en uso en cada servidor. El dispositivo WatchGuard no mide ni compara el ancho de banda que usa cada servidor. El balance de carga en el servidor se configura como parte de una regla NAT estática. El dispositivo WatchGuard puede balancear conexiones entre sus servidores con dos algoritmos diferentes. Cuando se configura el balance de carga en el servidor, se debe elegir el algoritmo al que desea que se aplique el dispositivo WatchGuard. Operación por turnos Si selecciona esta opción, el dispositivo WatchGuard distribuye las sesiones entrantes entre los servidores que se especifican en la política en orden de operación por turnos. La primera conexión se envía al primer servidor especificado en su política. La próxima conexión se envía al siguiente servidor en su política y así sucesivamente. Conexión menor Si selecciona esta opción, el dispositivo WatchGuard envía cada nueva sesión al servidor en la lista que actualmente tiene el número más bajo de conexiones abiertas al dispositivo. El dispositivo WatchGuard no puede determinar cuántas conexiones abiertas tiene el servidor en otras interfaces. Se pueden aplicar pesos a los servidores en la configuración del balance de carga en el servidor para asegurarse de que los servidores con más capacidad reciban la carga más pesada. De manera
154
Fireware XTM Web UI
Traducción de dirección de red (NAT)
predeterminada, cada interfaz tiene un peso de uno. El peso se refiere a la proporción de carga que el dispositivo WatchGuard envía a un servidor. Si se asigna un peso de 2 a un servidor, se duplica en número de sesiones que el dispositivo WatchGuard envía a ese servidor, en comparación con un servidor con un peso de 1. Cuando se configura el balance de carga en el servidor, es importante saber: n
n
n
n
n
Se puede configurar el balance de carga en el servidor para cualquier política a la cual se puede aplicar NAT estática. Si se aplica el balance de carga en el servidor a una política, no se puede configurar el enrutamiento basado en políticas u otras reglas de NAT en la misma política. Cuando se aplica el balance de carga en el servidor a una política, se puede agregar un máximo de 10 servidores a la política. El dispositivo WatchGuard no modifica al remitente o la dirección IP de origen del tráfico enviado a estos dispositivos. Mientras que el tráfico se envía directamente desde el dispositivo WatchGuard, cada dispositivo que forma parte de la configuración de balance de carga en el servidor ve la dirección IP de origen original del tráfico de red. Si se usa balance de carga en el servidor en una configuración de FireCluster activa/pasiva, no ocurre la sincronización en tiempo real entre los miembros del cluster cuando ocurre un evento de conmutación por error. Cuando la copia de seguridad principal pasiva se convierte en cluster principal activo, envía conexiones a todos los servidores en la lista de balance de carga en el servidor para ver cuáles servidores están disponibles. Entonces aplica el algoritmo de balance de carga del servidor a todos los servidores disponibles.
Para configurar el balance de carga en el servidor: 1. Seleccione Firewall >Políticas de Firewall. Seleccione la política que dese modificar y haga clic en Editar. O bien, agregue una nueva política. 2. Debajo del campo Hasta, haga clic en Agregar. Aparece el cuadro de diálogo Miembro dirección. 3. En la lista desplegable Tipo de miembro, seleccione Balance de carga en el servidor.
Guía del Usuario
155
Traducción de dirección de red (NAT)
4. En la lista desplegable Dirección IP externa, seleccione la dirección IP externa o alias que desea utilizar en esta política. Por ejemplo, se puede determinar que el dispositivo WatchGuard aplique el balance de carga en el servidor para esta política a paquetes recibidos en sólo una dirección IP externa. O bien, se puede determinar que el dispositivo WatchGuard aplique el balance de carga en el servidor a paquetes recibidos en cualquier dirección IP externa si selecciona el alias Cualquiera externo. 5. En la lista desplegable Método, seleccione el algoritmo deseado para que use el dispositivo WatchGuard para el balance de carga en el servidor: Operación por turnos o Conexión menor. 6. Haga clic en Agregar para agregar las direcciones IP de sus servidores internos para esta política. Puede agregar un máximo de 10 servidores a una política. También puede agregar peso al servidor. De manera predeterminada, cada servidor tiene un peso de 1. El peso se refiere a la proporción de carga que el dispositivo WatchGuard envía a un servidor. Si se asigna un peso de 2 a un servidor, se duplica en número de sesiones que el dispositivo WatchGuard envía a ese servidor, en comparación con un servidor con un peso de 1. 7. Para establecer sticky connections para los servidores internos, seleccione la casilla de verificación Activar sticky connection y configure el período en los campos Activar sticky connection. Una sticky connection es una conexión que continúa usando el mismo servidor durante un período definido. Esta cohesión garantiza que todos los paquetes entre un par de direcciones de origen y de destino se envíen al mismo servidor durante el período especificado. 8. Haga clic en Guardar.
156
Fireware XTM Web UI
Traducción de dirección de red (NAT)
Ejemplos de NAT Ejemplo de 1-to-1 NAT Cuando se activa 1-to-1 NAT, el dispositivo Firebox o XTM cambia y enruta todos los paquetes entrantes y salientes enviados desde un rango de direcciones a un rango de direcciones diferente. Considere una situación en la que se tiene un grupo de servidores internos con direcciones IP privadas, cada una de las cuales debe mostrar una dirección IP pública diferente al mundo exterior. Puede usar 1-to1 NAT para asignar direcciones IP públicas a los servidores internos y no tiene que cambiar las direcciones IP de sus servidores internos. Para comprender cómo configurar 1-to-1 NAT, considere este ejemplo: Una empresa tiene un grupo de tres servidores con direcciones privadas detrás de una interfaz opcional de su Firebox. Las direcciones de estos servidores son: 10.0.2.11 10.0.2.12 10.0.2.13 El administrador selecciona tres direcciones IP públicas de la misma dirección de red como interfaz externa de su Firebox y crea registros DNS para que los servidores resuelvan. Estas direcciones son: 50.50.50.11 50.50.50.12 50.50.50.13 Ahora el administrador configura una regla 1-to-1 NAT para los servidores. La regla 1-to-1 NAT crea una relación estática, bidireccional entre los pares correspondientes de direcciones IP. La relación tiene el siguiente aspecto: 10.0.2.11 50.50.50.11 10.0.2.12 50.50.50.12 10.0.2.13 50.50.50.13 Cuando se aplica la regla 1-to-1 NAT, Firebox crea el enrutamiento bidireccional y la relación NAT entre el grupo de direcciones IP privadas y el grupo de direcciones públicas.
Guía del Usuario
157
Traducción de dirección de red (NAT)
Para conocer los pasos para definir una regla 1-to-1 NAT, consulte Configurar el firewall 1-to-1 NAT.
158
Fireware XTM Web UI
9
Configuración inalámbrica
Acerca de la configuración inalámbrica Cuando activa la función inalámbrica del dispositivo WatchGuard, puede configurar la interfaz externa para utilizarla en forma inalámbrica o puede configurar el dispositivo WatchGuard como punto de acceso inalámbrico para usuarios en las redes de confianza, opcionales o invitadas. Antes de configurar el acceso a la red inalámbrica, consulte Antes de empezar en la página 161. Para activar la función inalámbrica en su dispositivo WatchGuard: 1. Seleccione Red > Inalámbrica. Aparece la página Inalámbrica.
2. En la página Inalámbrica, seleccione una opción de configuración inalámbrica: Activar cliente inalámbrico como interfaz externa Esta configuración le permite configurar la interfaz externa del dispositivo inalámbrico WatchGuard a fin de conectarse con una red inalámbrica. Esto no resulta útil en áreas que tienen una infraestructura de red limitada o nula.
Guía del Usuario
159
Configuración inalámbrica
Para obtener información sobre cómo configurar la interfaz externa en modo inalámbrico, consulte Configurar la interfaz externa como interfaz inalámbrica en la página 178. Activar puntos de acceso inalámbricos Esta configuración le permite configurar el dispositivo inalámbrico WatchGuard como un punto de acceso para los usuarios en las redes de confianza, opcionales o invitadas. Para más informaciones, vea Acerca de las configuración del punto de acceso inalámbrico en la página 160. 3. En la sección Configuraciones de radio, seleccione sus configuraciones de radio inalámbrico. Para más informaciones, vea Acerca de configuraciones de radio en Firebox X Edge e-Series inalámbrico en la página 181 y Acerca de las configuraciones de radio inalámbrico en el dispositivo inalámbrico WatchGuard XTM 2 Series en la página 183. 4. Haga clic en Guardar.
Acerca de las configuración del punto de acceso inalámbrico Cualquier dispositivo inalámbrico WatchGuard puede configurarse como punto de acceso inalámbrico con tres zonas de seguridad diferentes. Puede activar otros dispositivos inalámbricos para conectar con el dispositivo inalámbrico WatchGuard como parte de la red de confianza o parte de la red opcional. También puede activar una red de servicios inalámbricos para invitados para los usuarios de dispositivos WatchGuard. Las computadoras que se conectan con la red invitada se conectan a través del dispositivo inalámbrico WatchGuard, pero no tienen acceso a las computadoras en las redes opcionales o de confianza. Antes de activar el dispositivo inalámbrico WatchGuard como un punto de acceso inalámbrico, debe examinar cuidadosamente los usuarios inalámbricos que se conectan con el dispositivo y determinar el nivel de acceso que desea para cada tipo de usuario. Hay tres tipos de acceso inalámbrico que puede habilitar: Habilitar conexiones inalámbricas a una interfaz de confianza Cuando habilita conexiones inalámbricas a través de una interfaz de confianza, los dispositivos inalámbricos tienen acceso total a todas las computadoras en las redes opcionales y de confianza, así como acceso total a Internet según las reglas que usted configure para el acceso saliente en su dispositivo WatchGuard. Si activa el acceso inalámbrico a través de una interfaz de confianza, se recomienda especialmente que active y utilice la función de restricción de MAC para habilitar el acceso a través del dispositivo WatchGuard sólo para los dispositivos que agregue a la lista de direcciones MAC habilitadas. Para obtener más información sobre cómo restringir el acceso a través de direcciones MAC, consulte Usar vínculo de dirección MAC estático en la página 103. Habilitar conexiones inalámbricas a una interfaz opcional Cuando habilita conexiones inalámbricas a través de una interfaz opcional, esos dispositivos inalámbricos tienen acceso total a todas las computadoras en la red opcional, así como acceso total a Internet según las reglas que configure para el acceso saliente en su dispositivo WatchGuard.
160
Fireware XTM Web UI
Configuración inalámbrica
Habilitar conexiones de invitados inalámbricos a través de la interfaz externa Las computadoras que se conectan con la Wireless Guest Network se conectan a través del dispositivo WatchGuard a Internet según las reglas que configure para el acceso saliente en su dispositivo WatchGuard. Estos dispositivos no tienen acceso a las computadoras de su red opcional o de confianza. Para obtener más información sobre cómo configurar una Wireless Guest Network, consulte Activar una red inalámbrica para invitados en la página 170. Antes de configurar el acceso a la red inalámbrica, consulte Antes de empezar en la página 161. Para habilitar conexiones inalámbricas a su red opcional o de confianza, consulte Habilitar conexiones inalámbricas a la red opcional o de confianza en la página 167.
Antes de empezar Los dispositivos inalámbricos WatchGuard cumplen con las pautas 802.11n, 802.11b y 802.11g establecidas por el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE). Al instalar un dispositivo inalámbrico WatchGuard: n
n
n
n
Asegúrese de que el dispositivo inalámbrico se instale en un lugar a más de 20 centímetros de distancia respecto de las personas. Éste es un requisito de la Comisión Federal de Comunicaciones (FCC) para los transmisores de baja potencia. Es recomendable instalar el dispositivo inalámbrico lejos de otras antenas o transmisores para disminuir las interferencias. El algoritmo predeterminado de autenticación inalámbrica que está configurado para cada zona de seguridad inalámbrica no es el algoritmo de autenticación más seguro. Si los dispositivos inalámbricos que se conectan a su dispositivo inalámbrico WatchGuard pueden funcionar adecuadamente con WPA2, se recomienda incrementar el nivel de autenticación a WPA2. Un cliente inalámbrico que se conecta con el dispositivo WatchGuard desde la red opcional o de confianza puede ser parte de cualquier túnel de red privada virtual (VPN) para sucursales donde el componente de la red local de la configuración de la Fase 2 incluya direcciones IP de la red opcional o de confianza. Para controlar el acceso al túnel VPN, puede forzar a los usuarios de dispositivos WatchGuard para que se autentiquen.
Acerca de configuraciones Cuando activa el acceso a la red opcional, de confianza o inalámbrica para invitados, algunas configuraciones se definen del mismo modo para cada una de las tres zonas de seguridad. Éstas pueden configurarse con distintos valores para cada zona.
Guía del Usuario
161
Configuración inalámbrica
Para obtener información sobre la configuración de SSID de broadcast y responder a las consultas sobre la configuración del SSID, consulte Activar/desactivar Broadcasts de SSID en la página 163. Para obtener información sobre cómo configurar el Nombre de red (SSID), consulte Cambiar la SSID en la página 163. Para obtener información sobre la configuración Registrar eventos de autenticación, consulte Registro eventos de autenticación en la página 163. Para obtener información sobre el Umbral de fragmentación, consulte Cambiar la umbral de fragmentación en la página 163. Para obtener información sobre el Umbral de RTS, consulte Cambiar la Umbral de RTS en la página 165. Para obtener información sobre las configuraciones de Autenticación y de Cifrado, consulte Acerca de configuraciones de seguridad en la página 166.
162
Fireware XTM Web UI
Configuración inalámbrica
Activar/desactivar Broadcasts de SSID Las computadoras con tarjetas de red inalámbrica envían solicitudes para ver si hay puntos de acceso inalámbricos a los que pueden conectarse. Para configurar una interfaz inalámbrica de dispositivo WatchGuard a fin de enviar y responder a estas solicitudes, seleccione la casilla de verificación Broadcast de SSID y responder a consultas SSID. Por razones de seguridad, active esta opción únicamente cuando se encuentre configurando computadoras en su red a fin de conectar el dispositivo inalámbrico WatchGuard. Desactive esta opción una vez que todos sus clientes estén configurados. Si utiliza la función de servicios inalámbricos para invitados, quizá deba habilitar broadcasts de SSID en la operación estándar.
Cambiar la SSID El SSID (Identificador de conjunto de servicios) es el nombre específico de su red inalámbrica. Para utilizar la red inalámbrica desde la computadora de un cliente, la tarjeta de red inalámbrica en la computadora debe tener el mismo SSID que la red inalámbrica WatchGuard a la cual se conecta la computadora. El SO Fireware XTM asigna automáticamente un SSID a cada red inalámbrica. Este SSID utiliza un formato que contiene el nombre de la interfaz, y los dígitos entre el quinto y el noveno del número de serie del dispositivo inalámbrico WatchGuard. Para cambiar el SSID, ingrese un nuevo nombre en el campo SSID para identificar específicamente su red inalámbrica.
Registro eventos de autenticación Un evento de autenticación ocurre cuando una computadora inalámbrica intenta conectarse a la interfaz inalámbrica de un dispositivo WatchGuard. Para incluir estos eventos en el archivo de registro, marque la casilla de verificación Registrar eventos de autenticación.
Cambiar la umbral de fragmentación Fireware XTM le permite configurar el tamaño máximo de marco que el dispositivo inalámbrico WatchGuard puede enviar sin fragmentar el marco. Esto se denomina umbral de fragmentación. Por lo general, esta configuración no se cambia. La configuración predeterminada es el tamaño máximo de marco de 2346, lo que significa que nunca fragmentará los marcos que envíe a los clientes inalámbricos. Esto es lo mejor para la mayoría de los entornos.
Cuándo cambiar el umbral de fragmentación predeterminado Cuando dos dispositivos utilizan el mismo medio para transmitir paquetes exactamente al mismo tiempo, ocurre una colisión. Los dos paquetes pueden corromperse y el resultado es un grupo de fragmentos de datos que no se pueden leer. Si un paquete sufre una colisión, éste debe descartarse y volver a transmitirse. Esto se suma a la sobrecarga de la red y puede reducir el rendimiento o la velocidad de ésta.
Guía del Usuario
163
Configuración inalámbrica
Hay más posibilidades de que los marcos más grandes choquen entre sí que los pequeños. Para reducir los paquetes inalámbricos, debe disminuir el umbral de fragmentación en el dispositivo inalámbrico WatchGuard. Si disminuye el tamaño máximo de los marcos, esto puede reducir la cantidad de transmisiones de repetición ocasionadas por los choques y disminuir la sobrecarga ocasionada por las transmisiones de repetición. Los marcos más pequeños introducen más sobrecarga en la red. Esto ocurre particularmente en las redes inalámbricas debido a que cada marco fragmentado enviado desde un dispositivo inalámbrico a otro requiere que el dispositivo receptor reconozca el marco. Cuando las tasas de error de los paquetes son altas (mayores a un porcentaje de choques o de errores del cinco o del diez por ciento), puede mejorar el rendimiento de la red inalámbrica si disminuye el umbral de fragmentación. El tiempo que se ahorra al reducir las transmisiones de repetición puede ser suficiente para compensar la sobrecarga adicional que agregan los paquetes más pequeños. Esto puede dar como resultado una mayor velocidad. Si la tasa de error de los paquetes es baja y usted reduce el umbral de fragmentación, el rendimiento de la red inalámbrica disminuye. Esto se produce debido a que cuando usted disminuye el umbral, se agrega sobrecarga del protocolo y la eficiencia del protocolo se reduce. Si desea experimentar, comience con el máximo predeterminado 2346 y disminuya el umbral de a una pequeña cantidad por vez. Para lograr un buen aprovechamiento, debe monitorear los errores de los paquetes de la red en diferentes momentos del día. Compare el efecto que un umbral más pequeño produce en el rendimiento de la red cuando los errores son muy altos con el efecto en el rendimiento cuando los errores son moderadamente altos. En general, se recomienda dejar esta configuración en su valor predeterminado de 2346.
Cambiar el umbral de fragmentación 1. Seleccione Red > inalámbrica. 2. Seleccione la red inalámbrica que desea configurar. Junto al Punto de acceso 1, al Punto de acceso 2 o a Invitado inalámbrico, haga clic en Configurar. Aparecen los ajustes de configuración automática para esa red inalámbrica.
164
Fireware XTM Web UI
Configuración inalámbrica
3. Para cambiar el umbral de fragmentación, en el cuadro de texto Umbral de fragmentación ingrese o seleccione un valor entre 256 y 2346. 4. Haga clic en Volver a la página principal. 5. Haga clic en Guardar.
Cambiar la Umbral de RTS RTS/CTS (Solicitar envío/Borrar envío) ayuda a evitar problemas cuando los clientes inalámbricos pueden recibir señales de más de un punto de acceso inalámbrico en el mismo canal. Este problema a veces se conoce con el nombre de nodo oculto. No se recomienda cambiar el umbral de RTS predeterminado. Cuando el umbral de RTS se configura al valor predeterminado de 2346, RTS/CTS se desactiva.
Guía del Usuario
165
Configuración inalámbrica
Si debe cambiar el umbral de RTS, ajústelo en forma gradual. Redúzcalo de a una pequeña cantidad por vez. Luego de cada cambio, aguarde el tiempo necesario para decidir si el cambio en el rendimiento de la red es positivo antes de cambiarlo nuevamente. Si reduce demasiado este valor, puede introducir más latencia en la red, ya que las solicitudes de envío se incrementan tanto que el medio compartido se reserva con más frecuencia que la necesaria.
Acerca de configuraciones de seguridad Los dispositivos inalámbricos WatchGuard utilizan tres normas de protocolo de seguridad para proteger su red inalámbrica: WEP (privacidad equivalente por cable), WPA (Wi-Fi Protected Access ) y WPA2. Cada norma de protocolo puede cifrar las transmisiones en la red de área local (LAN) entre las computadoras y los puntos de acceso. También pueden impedir el acceso no autorizado al punto de acceso inalámbrico. Tanto WEP como WPA utilizan claves compartidas iniciales. WPA y WPA2 utilizan un algoritmo para cambiar la clave de cifrado a intervalos regulares, lo que mantiene la seguridad de los datos enviados en una conexión inalámbrica. Para proteger la privacidad, puede utilizar estas funciones junto con otros mecanismos de seguridad de LAN, tales como protección de contraseña, túneles VPN y autenticación de usuario.
Definir inalámbricos método de autenticación Están disponibles cinco métodos de autenticación para los dispositivos inalámbricos WatchGuard. De ser posible, se recomienda utilizar WPA2 porque es el más seguro. Los cinco métodos disponibles, desde el menos seguro al más seguro, son: Sistema abierto La autenticación de sistema abierto permite a cualquier usuario autenticar el punto de acceso. Este método se puede utilizar sin cifrado o con cifrado de privacidad equivalente por cable (WEP). Clave compartida Enla autenticaciónde clave compartida, sólopueden conectarse aquellos clientesinalámbricos que tenganla clave compartida. Laautenticación de clave compartidasólo puede utilizarse concifrado WEP. Sólo WPA (PSK) Cuando utiliza WPA (Wi-Fi Protected Access) con claves compartidas iniciales, se otorga a cada usuario inalámbrico la misma contraseña para autenticar el punto de acceso inalámbrico. WPA/WPA2 (PSK) Cuando selecciona la autenticación WPA/WPA2 (PSK), Edge acepta conexiones desde dispositivos inalámbricos configurados para utilizar WPA o WPA2. SÓLO WPA2 (PSK) La autenticación WPA2 con claves compartidas iniciales implementa la norma 802.11i completa y es el método de autenticación más seguro. No funciona con algunas tarjetas de red inalámbrica anteriores.
166
Fireware XTM Web UI
Configuración inalámbrica
Definir nivel de cifrado En la lista desplegable Cifrado, seleccione el nivel de cifrado para las conexiones inalámbricas. Las selecciones disponibles cambian cuando utiliza mecanismos de autenticación diferentes. El sistema operativo de Fireware XTM crea automáticamente una encryption key (clave de cifrado) aleatoria cuando ésta resulta necesaria. Puede utilizar esta clave o cambiarla por una distinta. Cada cliente inalámbrico debe utilizar esta misma clave cuando se conecte al dispositivo Firebox o XTM.
Autenticación por sistema abierto y por Clave compartida Las opciones de cifrado para la autenticación por sistema abierto y por clave compartida son WEP hexadecimal de 64 bits, WEP ASCII de 40 bits, WEP hexadecimal de 128 bits y WEP ASCII de 128 bits. Si selecciona la autenticación de sistema abierto, también puede seleccionar Sin cifrado. 1. Si utiliza el cifrado WEP, en los cuadros de texto Clave, ingrese caracteres hexadecimales o ASCII. No todos los controladores de adaptadores inalámbricos admiten caracteres ASCII. Puede tener un máximo de cuatro claves. n n n n
Una clave WEP hexadecimal de 64 bits debe tener 10 caracteres hexadecimales (0-f). Una clave WEP ASCII de 40 bits debe tener 5 caracteres. Una clave WEP hexadecimal de 128 bits debe tener 26 caracteres hexadecimales (0-f). Una clave WEP ASCII de 128 bits debe tener 13 caracteres.
2. Si ingresó más de una clave, en la lista desplegable Índice de claves, seleccione la clave que desea utilizar de manera predeterminada. El dispositivo Firebox o XTM inalámbrico sólo puede usar una encryption key por vez. Si seleccionó una clave distinta de la primera clave en la lista, también debe configurar su cliente inalámbrico para que utilice la misma clave.
Autenticación WPA y WPA2 PSK Las opciones de cifrado para los métodos de autenticación de el acceso protegido Wi-Fi (WPA-PSK y WPA2PSK) son: n
n n
TKIP — Sólo use TKIP (Protocolo de integridad de clave temporal) para el cifrado. Esta opción no está disponible para los modos inalámbricos que admiten 802.11n. AES — Sólo utilice AES (Estándar de cifrado avanzado) para el cifrado. TKIP o AES — Utilice TKIP o AES.
Le recomendamos que seleccione TKIP o AES. Esto permite que el dispositivo inalámbrico Firebox o XTM acepte conexiones de clientes inalámbricos configurados para utilizar cifrado TKIP o AES. En el caso de los clientes inalámbricos 802.11n, le recomendamos que configure el cliente inalámbrico para utilizar el cifrado AES.
Habilitar conexiones inalámbricas a la red opcional o de confianza Para habilitar conexiones inalámbricas a su red opcional o de confianza:
Guía del Usuario
167
Configuración inalámbrica
1. Seleccione Red > Inalámbrica. Aparece la página de configuración Inalámbrica.
2. Seleccione Activar puntos de acceso inalámbricos. 3. Junto al Punto de acceso 1 o al Punto de acceso 2, haga clic en Configurar. Aparece el cuadro de diálogo Configuración del punto de acceso inalámbrico.
168
Fireware XTM Web UI
Configuración inalámbrica
4. Seleccione la casilla de verificación Activar bridge inalámbrico a una interfaz opcional o de confianza. 5. En la lista desplegable junto a Activar bridge inalámbrico a una interfaz opcional o de confianza, seleccione una interfaz opcional o de confianza. De confianza Cualquier cliente inalámbrico en la red de confianza tiene acceso total a las computadoras en las redes opcionales y de confianza, y acceso a Internet según lo definen las reglas de firewall saliente en su dispositivo WatchGuard. Si el cliente inalámbrico configura la dirección IP en su tarjeta de red inalámbrica con DHCP, el servidor DHCP en la red opcional de Edge debe estar activo y configurado.
Opcional Cualquier cliente inalámbrico en la red opcional tiene acceso total a las computadoras en la red opcional y acceso a Internet según lo definen las reglas de firewall saliente en su dispositivo WatchGuard. Si el cliente inalámbrico configura la dirección IP en su tarjeta de red inalámbrica con DHCP, el servidor DHCP en la red opcional de Edge debe estar activo y configurado.
6. Para configurar la interfaz inalámbrica para enviar y responder a las solicitudes de SSID, seleccione la casilla de verificación Broadcast de SSID y responder a consultas SSID. Para obtener información sobre esta configuración, consulte Activar/desactivar Broadcasts de SSID en la página 163. 7. Seleccione la casilla de verificación Registrar eventos de autenticación si desea que el dispositivo WatchGuard envíe un mensaje de registro al archivo de registro cada vez que una computadora inalámbrica intenta conectase con la interfaz. Para más informaciones acerca de registros, vea Registro eventos de autenticación en la página 163. 8. Para requerir que los usuarios inalámbricos utilicen Mobile VPN con el cliente IPSec, seleccione la casilla de verificación Requerir Mobile VPN cifrado con conexiones IPSec para clientes inalámbricos. Cuando selecciona esta casilla de verificación, los únicos paquetes que Firebox habilita a través de la red inalámbrica son DHCP, ICMP, IKE (UDP puerto 500), ARP e IPSec (protocolo IP 50). Si requiere que los usuarios inalámbricos utilicen Mobile VPN con el cliente IPSec, se puede incrementar la seguridad para los clientes inalámbricos si no selecciona WPA o WPA2 como el método de autenticación inalámbrica. 9. En el cuadro de texto Nombre de red (SSID), ingrese un nombre específico para su red opcional inalámbrica o utilice el nombre predeterminado. Para obtener información sobre cómo cambiar el SSID, consulte Cambiar la SSID en la página 163. 10. Para cambiar el umbral de fragmentación, en el cuadro de texto Umbral de fragmentación ingrese un valor: 256–2346. No se recomienda cambiar esta configuración. Para obtener más información sobre esta configuración, consulte Cambiar la umbral de fragmentación en la página 163.
Guía del Usuario
169
Configuración inalámbrica
11. En la lista desplegable Autenticación, seleccione el tipo de autenticación para activar las conexiones inalámbricas con la interfaz opcional. Recomendamos utilizar WPA2 si los dispositivos inalámbricos de la red son compatibles con WPA2. Para obtener más información sobre esta configuración, consulte Definir inalámbricos método de autenticación. 12. En la lista desplegable Cifrado, seleccione el tipo de cifrado que desea utilizar para la conexión inalámbrica y agregue las claves o las contraseñas requeridas para el tipo de cifrado que seleccione. Si selecciona una opción de cifrado con claves compartidas iniciales, se genera una clave compartida inicial aleatoria para usted. Puede usar esta clave o ingresar una propia. Para más informaciones, vea Definir nivel de cifrado en la página 167. 13. Guardar la configuración Nota Si activa conexiones inalámbricas con la interfaz de confianza, se recomienda restringir el acceso mediante una dirección MAC. Esto impide que los usuarios se conecten con el dispositivo inalámbrico WatchGuard desde computadoras no autorizadas que podrían contener virus o spyware. Haga clic en la pestaña Control de acceso MAC para activar el control de acceso MAC. Debe utilizar esta pestaña de la misma manera en que restringe el tráfico de red en una interfaz según se describe en Restringir el tráfico de red mediante la dirección MAC en la página 97. Para configurar una Wireless Guest Network sin acceso a las computadoras en sus redes opcionales o de confianza, consulte Activar una red inalámbrica para invitados en la página 170.
Activar una red inalámbrica para invitados Puede activar una Wireless Guest Network para proveer a un usuario invitado acceso inalámbrico a Internet sin acceso a las computadoras en sus redes opcionales o de confianza. Para configurar una Wireless Guest Network: 1. Seleccione Red > Inalámbrica. Aparece la página Configuración inalámbrica.
2. Seleccione Activar puntos de acceso inalámbricos. 3. Junto a Invitado inalámbrico, haga clic en Configurar. Aparece el cuadro de diálogo Configuración de invitado inalámbrico.
170
Fireware XTM Web UI
Configuración inalámbrica
4. Seleccione la casilla de verificación Activar Wireless Guest Network. Se permiten conexiones inalámbricas a Internet a través del dispositivo WatchGuard según las reglas que usted haya configurado para el acceso saliente en su dispositivo. Estas computadoras no tienen acceso a las computadoras de su red opcional o de confianza. 5. En el cuadro de texto Dirección IP, ingrese la dirección IP privada que utilizará con la Wireless Guest Network. La dirección IP que ingrese no debe estar en uso en una de sus interfaces de red. 6. En el cuadro de diálogo Máscara de subred, ingrese la máscara de subred. El valor correcto generalmente es 255.255.255.0. 7. Para configurar el dispositivo WatchGuard como un servidor DHCP cuando un dispositivo inalámbrico intenta realizar una conexión, seleccione la casilla de verificación Activar servidor DHCP en la Wireless Guest Network. Para obtener más información sobre cómo establecer la configuración para el servidor DHCP, consulte Configurar el DHCP en modo de enrutamiento mixto en la página 86. 8. Haga clic en la pestaña Inalámbrica para ver las configuraciones de seguridad para la Wireless Guest Network. Aparecen las configuraciones inalámbricas.
Guía del Usuario
171
Configuración inalámbrica
9. Seleccione la casilla de verificación SSID de broadcast y responder a consultas SSID para que su nombre de Wireless Guest Network esté visible para los usuarios invitados. Para obtener información sobre esta configuración, consulte Activar/desactivar Broadcasts de SSID en la página 163. 10. Para enviar un mensaje de registro al archivo de registro cada vez que una computadora inalámbrica intenta conectarse con la Wireless Guest Network, seleccione la casilla de verificación Registrar eventos de autenticación. Para más informaciones acerca de registros, vea Registro eventos de autenticación en la página 163. 11. Para permitir que los usuarios inalámbricos invitados se envíen tráfico entre sí, desmarque la casilla de verificación Prohibir tráfico de red inalámbrica de cliente a cliente. 12. En el cuadro de texto Nombre de red (SSID), ingrese un nombre específico para su Wireless Guest Network o utilice el nombre predeterminado. Para obtener información sobre cómo cambiar el SSID, consulte Cambiar la SSID en la página 163. 13. Para cambiar el umbral de fragmentación, en el cuadro de texto Umbral de fragmentación ingrese un valor: 256–2346. No se recomienda cambiar esta configuración. Para obtener más información sobre esta configuración, consulte Cambiar la umbral de fragmentación en la página 163. 14. En la lista desplegable Autenticación, seleccione el tipo de autenticación para activar las conexiones a la Wireless Guest Network. La configuración que elija dependerá del tipo de acceso a los invitados que desee proveer y de si desea requerir que sus invitados ingresen una contraseña para utilizar la red.
172
Fireware XTM Web UI
Configuración inalámbrica
Para obtener más información sobre esta configuración, consulte Definir inalámbricos método de autenticación en la página 166. 15. En la lista desplegable Cifrado, seleccione el tipo de cifrado que desea utilizar para la conexión inalámbrica y agregue las claves o las contraseñas requeridas para el tipo de cifrado que seleccione. Si selecciona una opción de cifrado con claves compartidas iniciales, se genera una clave compartida inicial aleatoria para usted. Puede usar esta clave o ingresar una propia. Para más informaciones, vea Definir nivel de cifrado en la página 167. 16. Haga clic en Volver a la página principal. 17. Haga clic en Guardar. También puede restringir el acceso a la red invitada mediante una dirección MAC . Haga clic en la pestaña Control de acceso MAC para activar el control de acceso MAC. Debe utilizar esta pestaña de la misma manera en que restringe el tráfico de red en una interfaz según se describe en Restringir el tráfico de red mediante la dirección MAC en la página 97.
Activar un hotspot inalámbrico Puede configurar su red inalámbrica para invitados WatchGuard XTM 2 Series o Firebox X Edge e-Series como un hotspot inalámbrico para brindarles acceso a Internet a sus visitas o a sus clientes. Cuando activa la función de hotspot, tiene más control sobre las conexiones a su red inalámbrica para invitados. Cuando configura su dispositivo como hotspot inalámbrico, usted puede personalizar: n n n
La pantalla de presentación que ven los usuarios cuando se conectan Términos y condiciones que los usuarios deben aceptar antes de poder navegar a un sitio web Duración máxima de la conexión continua de un usuario
Cuando activa la función de hotspot inalámbrico, se crea automáticamente la política Permitir usuarios de hotspot. Esta política permite las conexiones desde la interfaz inalámbrica para invitados a sus interfaces externas. Esto provee a los usuarios del hotspot inalámbrico un acceso inalámbrico a Internet sin acceso a las computadoras en sus redes opcionales o de confianza. Antes de configurar un hotspot inalámbrico, debe establecer la configuración de su red inalámbrica para invitados como se describe en Activar una red inalámbrica para invitados. Para configurar el hotspot inalámbrico: 1. 2. 3. 4.
Seleccione Red > Inalámbrica. Junto a Invitado inalámbrico, haga clic en Configurar. En la página Inalámbrico, seleccione la pestaña Hotspot. Marque la casilla de selección Activar hotspot.
Guía del Usuario
173
Configuración inalámbrica
Establecer la configuración del tiempo de espera Puede establecer configuraciones de tiempo de espera para limitar la cantidad de tiempo que los usuarios pueden utilizar su hotspot de manera continua. Cuando se vence el período de espera, el usuario es desconectado. Cuando un usuario es desconectado, pierde toda conexión a Internet pero permanece conectado a la red inalámbrica. Vuelve a aparecer la pantalla de presentación del hotspot y el usuario debe volver a aceptar los Términos y condiciones antes de poder continuar utilizando el hotspot inalámbrico. 1. En el cuadro de texto Agotamiento de la sesión, especifique la cantidad máxima de tiempo durante la cual un usuario puede permanecer continuamente conectado a su hotspot. Puede especificar la unidad de tiempo mediante la lista desplegable adyacente. Si el Agotamiento de la sesión se configura en 0 (el valor predeterminado), los usuarios inalámbricos invitados no son desconectados después de un intervalo de tiempo especificado. 2. En el cuadro de texto Tiempo de espera inactivo, especifique la cantidad de tiempo que un usuario debe permanecer inactivo para que expire la conexión. Puede especificar la unidad de tiempo mediante la lista desplegable adyacente. Si el Tiempo de espera inactivo se configura en 0, los usuarios no son desconectados si no envían ni reciben tráfico.
Personalizar la pantalla de presentación del hotspot Cuando los usuarios se conectan a su hotspot, ven una pantalla de presentación, o un sitio web que deben visitar antes de poder navegar a otros sitios web. Puede configurar el texto que aparece en esta página, como también el aspecto de la página. También puede redirigir al usuario a una página web especificada después que acepte los términos y condiciones. Como mínimo, debe especificar el Título de la página y los Términos y condiciones para activar esta función. 1. En el cuadro de texto Título de la página, ingrese el título que desea que aparezca en la página de presentación del hotspot.
174
Fireware XTM Web UI
Configuración inalámbrica
2. Para incluir un mensaje de bienvenida: n n
Marque la casilla de selección Mensaje de bienvenida. En el cuadro de texto Mensaje de bienvenida, ingrese el mensaje que verán los usuarios cuando se conecten al hotspot.
3. (Opcional) Para usar un logotipo personalizado en la pantalla de presentación: n n
Marque la casilla de selección Utilizar un logotipo personalizado. Haga clic en Subir para cargar el archivo de su logotipo personalizado. El archivo debe estar en un formato .jpg, .gif o .png. Le recomendamos que la imagen no sea mayor de 90 x 50 (ancho x altura) píxeles o 50 kB.
3. En el cuadro de texto Términos y condiciones, ingrese o pegue el texto que desea que los usuarios acepten antes de poder utilizar el hotspot. La longitud máxima es de 20.000 caracteres. 4. Para redirigir automáticamente a los usuarios a un sitio web después de que aceptan los Términos y condiciones, en el cuadro de texto URL de redirección, ingrese la URL del sitio web. 5. Puede personalizar las fuentes y los colores de su página de bienvenida: n
n
Fuente: Seleccione la fuente en la lista desplegable Fuente. Si no especifica una fuente, la página de bienvenida utiliza la fuente predeterminada del navegador para cada usuario. Tamaño: Seleccione el tamaño del texto en la lista desplegable Tamaño. El tamaño predeterminado del texto es Mediano.
Guía del Usuario
175
Configuración inalámbrica
n
n
Color del texto: Éste es el color para el texto en la pantalla de presentación del hotspot. El color predeterminado es el #000000 (negro). El color configurado aparece en un recuadro adyacente al cuadro de texto Color del texto. Haga clic en el recuadro coloreado para seleccionar un color diferente en la paleta de colores. O bien, ingrese el código de color HTML en el cuadro de texto Color del texto. Color de fondo: Éste es el color utilizado para el fondo de la pantalla de presentación del hotspot. El color predeterminado es el #FFFFFF (blanco). El color configurado aparece en un recuadro adyacente al cuadro de texto Color de fondo. Haga clic en el recuadro coloreado para seleccionar un color diferente en la paleta de colores. O bien, ingrese el código de color HTML en el cuadro de texto Color de fondo.
7. Haga clic en la Vista previa de la pantalla de presentación. Aparece una vista previa de la pantalla de presentación en una nueva ventana del navegador.
7. Cierre la ventana de vista previa del navegador. 8. Cuando termine de configurar su hotspot, haga clic en Regresar a la página principal. 9. Haga clic en Guardar para guardar la configuración.
Conéctese a un hotspot inalámbrico Después de configurar su hotspot inalámbrico, puede conectarse a éste para ver su pantalla de presentación. 1. Utilice un cliente inalámbrico para conectase a su red inalámbrica para invitados. Utilice el SSID y cualquier otra configuración que haya establecido para la red inalámbrica para invitados. 2. Abra un explorador web. Navegue a cualquier sitio web. Aparecerá la pantalla de presentación del hotspot inalámbrico en el navegador.
176
Fireware XTM Web UI
Configuración inalámbrica
3. Marque la casilla de selección He leído y acepto los términos y condiciones. 4. Haga clic en Continuar. El navegador muestra la URL original que solicitó. O bien, si el hotspot está configurado para redirigir automáticamente el navegador a una URL, el navegador se dirigirá a ese sitio web.
El contenido y el aspecto de la pantalla de presentación del hotspot puede establecerse en la configuración del hotspot para su red inalámbrica para invitados. La URL de la pantalla de presentación del hotspot inalámbrico es: https://:4100/hotspot .
Consulte Conexiones hotspot inalámbricas Cuando activa la función de hotspot inalámbrico, puede consultar información acerca de la cantidad de clientes que están conectados. También puede desconectar clientes inalámbricos. Para ver la lista de clientes hotspot inalámbricos conectados: 1. Conéctese a la Fireware XTM Web UI en su dispositivo inalámbrico. 2. Seleccione Estado del sistema > Hotspot inalámbrico. Aparecerá la dirección IP y la dirección MAC para cada cliente inalámbrico conectado.
Guía del Usuario
177
Configuración inalámbrica
Para desconectar a un cliente hotspot inalámbrico, desde la página Clientes hotspot inalámbricospage: 1. Seleccione un cliente hotspot inalámbrico conectado o varios. 2. Haga clic en Desconectar.
Configurar la interfaz externa como interfaz inalámbrica En áreas con infraestructura de red limitada o inexistente, se puede utilizar el dispositivo inalámbrico WatchGuard para proporcionar acceso seguro a la red. Debe conectar físicamente los dispositivos de red al dispositivo WatchGuard. Luego, configure la interfaz externa para que se conecte a un punto de acceso inalámbrico que se conecta a una red más grande. Nota Cuando la interfaz externa se configura con una conexión inalámbrica, el dispositivo inalámbrico WatchGuard ya no puede usarse como punto de acceso inalámbrico. Para proporcionar acceso inalámbrico a los usuarios, conecte un dispositivo de punto de acceso inalámbrico al dispositivo inalámbrico WatchGuard.
Configurar la interfaz externa principal como interfaz inalámbrica 1. Seleccione Red > Inalámbrica. Aparece la página Configuración inalámbrica.
178
Fireware XTM Web UI
Configuración inalámbrica
2. Seleccione Activar cliente inalámbrico como interfaz externa. 3. Haga clic en Configurar. Aparece la configuración de interfaz externa.
4. En la lista desplegable Modo configuración, seleccione una opción: Configuración manual Para usar una dirección IP estática, seleccione esta opción. Ingrese la Dirección IP, Máscara de subred y Puerta de enlace predeterminada.
Cliente DHCP Para configurar la interfaz externa como cliente DHCP , seleccione esta opción. Ingrese la configuración de DHCP.
Guía del Usuario
179
Configuración inalámbrica
Para obtener más información acerca de cómo configurar la interfaz externa para usar una dirección IP estática o DHCP, consulte Configurar una interfaz externa en la página 82. 5. Haga clic en la pestaña Inalámbrico. Aparece la configuración de cliente inalámbrico.
6. En el cuadro de texto Nombre de red (SSID), ingrese un nombre único para la red externa inalámbrica. 7. En la lista desplegable Autenticación, seleccione el tipo de autenticación que desea activar para las conexiones inalámbricas. Recomendamos utilizar WPA2 si los dispositivos inalámbricos de la red son compatibles con WPA2. Para obtener más información acerca de los métodos de autenticación inalámbrica, consulte Acerca de configuraciones de seguridad en la página 166. 8. En la lista desplegable Cifrado, seleccione el tipo de cifrado que desea utilizar para la conexión inalámbrica y agregue las claves o las contraseñas requeridas para el tipo de cifrado que seleccione. Si selecciona una opción de cifrado con claves compartidas iniciales, se genera una clave compartida inicial aleatoria para usted. Puede usar esta clave o ingresar una propia.
180
Fireware XTM Web UI
Configuración inalámbrica
9. Haga clic en Guardar.
Configurar un túnel BOVPN para seguridad adicional Para crear un puente inalámbrico y proporcionar más seguridad, agregue un túnel BOVPN entre el dispositivo WatchGuard y la puerta de enlace externa. Se debe configurar el Modo agresivo en los parámetros de Fase 1 de la configuración de BOVPN en ambos dispositivos. Para obtener información acerca de cómo configurar un túnel BOVPN, consulte Acerca de túneles BOVPN manuales en la página 418.
Acerca de configuraciones de radio en Firebox X Edge e-Series inalámbrico Los dispositivos inalámbricos WatchGuard utilizan señales de radiofrecuencia para enviar y recibir tráfico desde las computadoras con tarjetas de Ethernet inalámbrico. Varias configuraciones son específicas según la selección del canal. Para ver o cambiar las configuraciones de radio: 1. Conéctese al Fireware XTM Web UI. 2. Seleccione Red > Inalámbrica. Aparece la página Inalámbrica.
Las Configuraciones de radio aparecen en la parte inferior de esta página.
Guía del Usuario
181
Configuración inalámbrica
Configurar la región operativa y el canal Cuando activa el modo inalámbrico, debe configurar la región operativa inalámbrica. 1. En la lista desplegable Región operativa, seleccione la región operativa que mejor describa la ubicación de su dispositivo. La lista de regiones operativas inalámbricas que puede seleccionar en su Firebox puede ser diferente según dónde lo haya adquirido. 2. En la lista desplegable Canal, seleccione un canal o seleccione Automático. Si configura el canal en Automático, el dispositivo inalámbrico WatchGuard selecciona automáticamente el canal con la señal disponible más fuerte en su ubicación física. Debido a los requisitos normativos de las distintas partes del mundo, no todos los canales inalámbricos están disponibles en todas las regiones. Esta tabla incluye los canales disponibles para cada región operativa compatible en Firebox X Edge e-Series inalámbrico. Europa, Frecuencia Australia Medio Canal central América Asia &Nueva Oriente y (MHz) Zelanda África (EMEA)
República Francia Israel Japón Taiwán Popular de China
1
2412
Sí
Sí
Sí
Sí
--
--
Sí
Sí
Sí
2
2417
Sí
Sí
Sí
Sí
--
--
Sí
Sí
Sí
3
2422
Sí
Sí
Sí
Sí
--
Sí
Sí
Sí
Sí
4
2427
Sí
Sí
Sí
Sí
--
Sí
Sí
Sí
Sí
5
2432
Sí
Sí
Sí
Sí
--
Sí
Sí
Sí
Sí
6
2437
Sí
Sí
Sí
Sí
--
Sí
Sí
Sí
Sí
7
2442
Sí
Sí
Sí
Sí
--
Sí
Sí
Sí
Sí
8
2447
Sí
Sí
Sí
Sí
--
Sí
Sí
Sí
Sí
9
2452
Sí
Sí
Sí
Sí
--
Sí
Sí
Sí
Sí
10
2457
Sí
Sí
Sí
Sí
Sí
--
Sí
Sí
Sí
11
2462
Sí
Sí
Sí
Sí
Sí
--
Sí
Sí
Sí
12
2467
--
--
Sí
Sí
Sí
--
Sí
--
Sí
13
2472
--
--
Sí
Sí
Sí
--
Sí
--
Sí
14
2484
--
--
--
--
--
--
Sí
--
--
182
Fireware XTM Web UI
Configuración inalámbrica
Definir modo de operación inalámbrica La mayoría de las tarjetas inalámbricas pueden operar sólo en modo de 802.11b (hasta 11 MB/segundo) o de 802.11g (54 MB/segundo). Para establecer el modo operativo para el dispositivo inalámbrico WatchGuard, seleccione una opción en la lista desplegable Modo inalámbrico. Existen tres modos inalámbricos: 802.11b solamente Este modo limita el dispositivo inalámbrico WatchGuard para que se conecte con dispositivos que estén sólo en el modo 802.11b. 802.11g solamente Este modo limita el dispositivo inalámbrico WatchGuard para que se conecte con dispositivos que estén sólo en el modo 802.11g. 802.11g y 802.11b Éste es el modo predeterminado y la configuración recomendada. Este modo le permite al dispositivo WatchGuard conectarse con los dispositivos que utilizan 802.11b u 802.11g. El dispositivo WatchGuard funciona en el modo 802.11g solamente si todas las tarjetas inalámbricas que están conectadas al dispositivo utilizan el modo 802.11g. Si alguno de los clientes 802.11b se conecta al dispositivo, todas las conexiones automáticamente pasan al modo 802.11b.
Acerca de las configuraciones de radio inalámbrico en el dispositivo inalámbrico WatchGuard XTM 2 Series Los dispositivos inalámbricos WatchGuard utilizan señales de radiofrecuencia para enviar y recibir tráfico desde las computadoras con tarjetas de Ethernet inalámbrico. Las configuraciones de radio disponibles para el dispositivo inalámbrico WatchGuard XTM 2 Series son distintas de las del dispositivo inalámbrico Firebox X Edge e-Series. Para ver o cambiar las configuraciones de radio: 1. Conéctese al Fireware XTM Web UI. 2. Seleccione Red > Inalámbrica. Aparece la página Inalámbrica.
Guía del Usuario
183
Configuración inalámbrica
Las Configuraciones de radio aparecen en la parte inferior de esta página.
El país se configura automáticamente Debido a los requisitos normativos de las distintas partes del mundo, no se pueden utilizar todas las configuraciones de radio inalámbrico en todos los países. Cada vez que enciende el dispositivo inalámbrico XTM 2 Series, el dispositivo se contacta con un servidor WatchGuard para determinar el país y la configuración de radio inalámbrico permitido para ese país. Para hacer esto, el dispositivo debe tener una conexión a Internet. Una vez que se determina el país, puede establecer todas las configuraciones de radio inalámbrico compatibles que puedan utilizarse en ese país. En el cuadro de diálogo Configuración inalámbrica, la configuración de País muestra en qué país el dispositivo detecta que se encuentra. No se puede cambiar la configuración de País. Las opciones disponibles para las demás configuraciones de radio se basan en los requisitos normativos del país en donde el dispositivo detecta que se encuentra. Nota Si el dispositivo XTM 2 Series no puede conectarse con el servidor WatchGuard, no se podrá saber cuál es el país. En este caso, sólo podrá seleccionar en el conjunto limitado de configuraciones de radio inalámbrico permitidas en todos los países. El dispositivo inalámbrico XTM 2 Series continúa intentando conectarse periódicamente al servidor WatchGuard para determinar el país y las configuraciones de radio inalámbrico permitidas.
184
Fireware XTM Web UI
Configuración inalámbrica
Si el dispositivo 2 Series aún no tiene una región configurada o si la región no está actualizada, puede forzar el dispositivo para actualizar la región de radio inalámbrico. Para actualizar la región de radio inalámbrico: 1. Seleccione Estado del sistema > Estadísticas inalámbricas. 2. haga clic en Actualizar la información del país. El dispositivo 2 Series se contacta con un servidor WatchGuard para determinar la región operativa actual.
Seleccionar el modo de banda y el modo inalámbrico El dispositivo WatchGuard XTM 2 Series admite dos bandas inalámbricas diferentes: 2.4 GHz y 5 GHz. La banda que selecciona y el país determinan los modos inalámbricos disponibles. Seleccione la Banda que admite el modo inalámbrico que desea utilizar. Luego seleccione el modo en la lista desplegable Modo inalámbrico.
La banda 2.4 GHz admite estos modos inalámbricos: 802.11n, 802.11g y 802.11b Éste es el modo predeterminado en la banda 2.4 GHz y es la configuración recomendada. Este modo le permite al dispositivo WatchGuard conectarse con los dispositivos que utilizan 802.11n, 802.11g u 802.11b. 802.11g y 802.11b Este modo le permite al dispositivo inalámbrico WatchGuard conectarse con los dispositivos que utilizan 802.11g u 802.11b. SÓLO 802.11b Este modo le permite al dispositivo inalámbrico WatchGuard conectarse solamente con los dispositivos que utilizan 802.11b.
La banda 5 GHz admite estos modos inalámbricos: 802.11a y 802.11n Éste es el modo predeterminado en la banda 5 GHz. Este modo le permite al dispositivo inalámbrico WatchGuard conectarse con los dispositivos que utilizan 802.11a u 802.11n. SÓLO 802.11a Este modo le permite al dispositivo inalámbrico WatchGuard conectarse solamente con los dispositivos que utilizan 802.11a. Nota Si elige un modo inalámbrico que admite varias normas 802.11, el rendimiento general puede disminuir considerablemente. Esto se debe en parte a la necesidad de admitir protocolos de protección para la retrocompatibilidad cuando los
Guía del Usuario
185
Configuración inalámbrica
dispositivos que utilizan modos más lentos están conectados. Además, los dispositivos más lentos tienden a dominar la velocidad porque puede llevar mucho más tiempo enviar o recibir la misma cantidad de datos a los dispositivos que utilizan un modo más lento. La banda 5 GHz provee más rendimiento que la banda 2.4 GHz, pero puede no ser compatible con todos los dispositivos inalámbricos. Seleccione la banda y el modo según las tarjetas inalámbricas de los dispositivos que se conectarán con el dispositivo inalámbrico WatchGuard.
Seleccionar el canal Los canales disponibles dependen del país y del modo inalámbrico que seleccione. En forma predeterminada, el Canal se configura en Automático. Cuando el canal se configura en Automático, el dispositivo inalámbrico 2-Series selecciona automáticamente un canal silencioso de la lista disponible en la banda que usted ha seleccionado. O puede seleccionar un canal específico de la lista desplegable Canal.
Configurar la de red invitada inalámbrica en su computadora Estas instrucciones son para el sistema operativo Windows XP con Service Pack 2. Para obtener instrucciones de instalación para otros sistemas operativos, consulte la documentación o los archivos de ayuda de su sistema operativo. 1. Seleccione Iniciar > Configuración >Panel de control > Conexiones de red. Aparece el cuadro de diálogo Conexiones de red.
2. Haga clic con el botón derecho en Conexión de red inalámbrica y seleccione Propiedades. Aparece el cuadro de diálogo Conexión de red inalámbrica.
3. Seleccione la pestaña Redes inalámbricas. 4. Debajo de Redes preferidas, haga clic en Agregar. Aparece el cuadro de diálogo Propiedades de red inalámbrica.
5. Ingrese el SSID en el cuadro de diálogo Nombre de red (SSID). 6. Seleccione los métodos de autenticación de red y el cifrado de datos en las listas desplegables. Si es necesario, desmarque la casilla de verificación La clave se provee en forma automática e ingrese la clave de red dos veces. 7. Haga clic en OK para cerrar el cuadro de diálogo Propiedades de red inalámbrica. 8. Haga clic en Ver redes inalámbricas. Todas las conexiones inalámbricas disponibles aparecen en el cuadro de texto Redes disponibles.
9. Seleccione el SSID de la red inalámbrica y haga clic en Conectar. Si la red utiliza cifrado, ingrese la clave de red dos veces en el cuadro de texto Conexión de red inalámbrica y haga clic en Conectar nuevamente. 10. Configure la computadora inalámbrica para utilizar la configuración dinámica de host (DHCP).
186
Fireware XTM Web UI
10
Dynamic Routing
Acerca de dynamic routing Un protocolo de enrutamiento es un lenguaje que un enrutador usa con otros enrutadores para compartir información acerca del estado de las tablas de enrutamiento de red. Con el enrutamiento estático, las tablas de enrutamiento son definidas y no cambian. Si un enrutador en un camino remoto falla, no se puede enviar un paquete a su destino. El dynamic routing hace que las actualizaciones automáticas enruten tablas a medida que cambia la configuración de una res. Nota El soporte para algunos protocolos de dynamic routing está disponible sólo en el Fireware XTM con actualización Pro. El dynamic routing no es soportado en el Firebox X Edge E-Series. El Fireware XTM soporta los protocolos RIP v1 y RIP v2. El Fireware XTM con actualización Pro soporta los protocolos RIP v1, RIP v2, OSPF y BGP v4.
Acerca de archivos de configuración de demonio de enrutamiento. Para usar cualquiera de los protocolos de dynamic routing con el Fireware XTM, debe importar o insertar un archivo de configuración de dynamic routing para el demonio de enrutamiento elegido. Ese archivo de configuración incluye informaciones como contraseña y nombre del archivo de registro. Para ver una muestra de archivos de configuración para cada protocolo de enrutamiento, vea estos tópicos: n n n
Muestra de archivo de configuración del enrutamiento RIP Muestra de archivo de configuración del enrutamiento OSPF Muestra de archivo de configuración del enrutamiento BGP
Notas acerca de los archivos de configuración: n
Los caracteres "!" y "#" son puestos antes de los comentarios, que son líneas de texto en archivos de configuración que explican la función de los comandos siguientes. Si el primer caracter de una línea
Guía del Usuario
187
Dynamic Routing
n
es un caracter de comentario, entonces el resto de la línea será interpretado como un comentario. Puede usar la palabra "no" al principio de la línea para desactivar un comando. Por ejemplo: "no red 10.0.0.0/24 área 0.0.0.0" desactiva el área de backbone en la red especificada.
Acerca del Protocolo de Información de Enrutamiento (RIP) El Protocolo de Información de Enrutamiento (RIP, en sus siglas en inglés) es usado para administrar información de enrutadores en una red autocontenida, tal como una LAN corporativa o una WAN privada. Con el RIP, el host de puerta de enlace envía su tabla de enrutamiento al enrutador más cercano a cada 30 segundos. Ese enrutador envía el contenido de sus tablas de enrutamiento a los enrutadores vecinos. El RIP es mejor para redes pequeñas. Eso es así porque la transmisión de la tabla de enrutamiento completa a cada 30 segundos puede poner una carga grande de tráfico en la red y porque las tablas de RIP se limitan a 15 saltos. El OSPF es una mejor opción para grandes redes. Hay dos versiones del RIP. RIP v1 usa la difusión de UDP a través del puerto 520 para enviar actualizaciones a las tablas de enrutamiento. RIP v2 usa la multidifusión para enviar actualizaciones de tabla de enrutamiento.
Comandos del Protocolo de Información de Enrutamiento (RIP) La tabla siguiente es un catálogo de comandos de enrutamiento soportados por RIP v1 y RIP v2 que pueden ser usados para crear o modificar un archivo de configuración de enrutamiento. Si usa RIP v2, debe incluir la Subnet Mask con cualquier comando que usa una dirección IP de red o el RIP v2 no funcionará. Las secciones deben aparecer en el archivo de configuración en el mismo orden que aparecen en esta tabla. Sección
Comando
Descripción
Defina una contraseña simple o una autenticación MD5 en una interfaz interfaz eth[N]
Comience sección para definir Tipo de autenticación para interfaz
ip rip cadena autenticación [CONTRASEÑA]
Definir contraseña de autenticación de rip
clave [CLAVE]
Definir nombre de clave MD5
clave [ENTERO]
Definir número de clave MD5
cadena-clave [CLAVE-AUT]
Definir clave de autenticación de MD5
ip rip modo autenticación md5
Usar autenticación MD5
ip rip modo autenticación clave [CLAVE]
Definir clave de autenticación de MD5
Configurar demonio de enrutamiento RIP router rip
188
Activar demonio de RIP
Fireware XTM Web UI
Dynamic Routing
Sección
Comando
Descripción
versión [1/2]
Definir versión RIP en 1 o 2 (versión 2 predeterminada)
ip rip enviar versión [1/2]
Definir RIP para enviar versión 1 ó 2
ip rip recibir versión [1/2]
Definir RIP para recibir versión 1 ó 2
no ip split-horizon
Desactivar split-horizon; activado por defecto
Configurar interfaces y redes no red eth [N] interfaz-pasiva eth[N] interfaz-pasiva predeterminada red [A.B.C.D/M] vecino [A.B.C.D/M] Distribuir rutas a puntos RIP e inyectar rutas OSPF o BGP a la tabla de enrutamiento RIP información-predeterminada originar
Compartir ruta de último recurso (ruta predeterminada) con puntos RIP
redistribuir núcleo
Redistribuir rutas estáticas de firewall a puntos RIP
redistribuir conectado
Redistribuir rutas de todas las interfaces a puntos RIP
redistribuir mapa-ruta conectado [NOMBREMAPA]
Redistribuir rutas de todas las interfaces hacia puntos RIP, con un filtro de mapa de ruta (nombremapa)
redistribuir ospf
Redistribuir rutas de OSPF a RIP
redistribuir mapa-ruta ospf [NOMBREMAPA]
Redistribuir rutas desde OSPF a RIP, con un filtro de mapa de ruta (nombremapa).
redistribuir bgp
Redistribuir rutas de BGP a RIP
redistribuir mapa-ruta bgp [NOMBREMAPA]
Redistribuir rutas desde BGP a RIP, con un filtro de mapa de ruta (nombremapa).
Configurar filtros de redistribución de rutas con mapas de ruta y listas de acceso lista-acceso [PERMITIR|NEGAR] [NOMBRELISTA] [A,B,C,D/M | CUALQUIERA]
Crear una lista de acceso para permitir o negar la redistribución de solo una dirección IP o todas las direcciones IP
ruta-mapa [NOMBREMAPA] permitir [N]
Crear un mapa de ruta con un nombre y permitir otorgando prioridad de N
coincidir dirección ip [NOMBRELISTA]
Guía del Usuario
189
Dynamic Routing
Configurar el Firebox para usar RIP v1 1. Seleccionar Red > Dynamic Routing. Configuración de dynamic routing página .
2. Selecciona la casilla Activar dynamic routing. 3. Haga clic en la pestaña RIP.
4. Seleccione Activar . 5. Copie y pegue el texto del archivo de configuración del demonio de enrutamiento en la ventana. 6. Haga clic en Guardar. Para más informaciones, vea Acerca de archivos de configuración de demonio de enrutamiento. en la página 187.
Permitir tráfico de RIP v1 a través del Firebox Debe agregar y configurar una política para permitir difusiones de RIP desde en enrutador hacia la dirección IP de difusión de red. También debe añadir la dirección IP de la interfaz de Firebox en el campo Para.
190
Fireware XTM Web UI
Dynamic Routing
1. Seleccione Firewall >Políticas de Firewall. Haga clic en Agregar. Aparece la página "Seleccionar un tipo de política".
2. En la lista de filtrados de paquetes, seleccione RIP. Haga clic en Agregar. 3. En la página Configuración de política, configure la política para permitir el tráfico desde la dirección de red o IP del enrutador que usa RIP hacia la interfaz Firebox que se conecta. También debe agregar la dirección IP de difusión de red. 4. Haga clic en Guardar. 5. Configurar el enrutador seleccionado en el Paso 3. 6. Después de configurar el enrutador, seleccione Estado del Sistema >Rutas y verifique si el Firebox y el enrutador están enviando actualizaciones el uno al otro. Entonces puede añadir la autenticación y restringir la política de RIP para analizar sólo las interfaces correctas.
Configurar el Firebox para usar RIP v2 1. Seleccionar Red > Dynamic Routing. Configuración de dynamic routing página .
2. Selecciona la casilla Activar dynamic routing. 3. Haga clic en la pestaña RIP.
Guía del Usuario
191
Dynamic Routing
4. Seleccione Activar . 5. Copie y pegue el archivo de configuración del demonio de enrutamiento en la ventana. 6. Haga clic en Guardar. Para más informaciones, vea Acerca de archivos de configuración de demonio de enrutamiento. en la página 187.
Permitir tráfico de RIP v2 a través del Firebox Debe añadir y configurar una política para permitir multidifusiones de RIP v2 de los enrutadores que tienen RIP v2 activado, hacia la dirección reservada de multidifusión para RIP v2. 1. Seleccione Firewall >Políticas de Firewall. Haga clic en Agregar. Aparece la página "Seleccionar un tipo de política".
2. En la lista de filtrados de paquetes, seleccione RIP. Haga clic en Agregar. 3. En la página Configuración de política, configure la política para permitir el tráfico desde la dirección de red o IP del enrutador usando RIP hacia la dirección IP de multidifusión 224.0.0.9. 4. Haga clic en Guardar. 5. Configurar el enrutador seleccionado en el Paso 3. 6. Después de configurar el enrutador, seleccione Estado del Sistema >Rutas y verifique si el Firebox y el enrutador están enviando actualizaciones el uno al otro. Entonces puede añadir la autenticación y restringir la política de RIP para analizar sólo las interfaces correctas.
Muestra de archivo de configuración del enrutamiento RIP Para usar usar cualquier protocolo de dynamic routing con el Fireware XTM, es necesario copiar y pegar un archivo de configuración para el demonio de dynamic routing. Este tópico incluye una muestra de archivo de configuración para el demonio de enrutamiento de RIP. Si desea usar este archivo de configuración como base para su propio archivo de configuración, copie el texto en una aplicación como el Bloc de Notas o Wordpad y guárdelo con un nuevo nombre. Puede entonces editar los parámetros para atender a las necesidades de su empresa. Los comandos opcionales son comentados con el caracter "!" . Para activar un comando, elimine el "!" y modifique las variables, según sea necesario. !! SECCIÓN 1: Configurar claves de autenticación MD5. ! Definir el nombre de la clave de autenticación MD5 (CLAVE), el número de la clave (1), ! y la cadena de la clave de autenticación (CLAVEAUT). ! clave CLAVE ! clave 1 ! cadena-clave CLAVEAUT !! SECCIÓN 2: Configure las propiedades de interfaz. ! Definir autenticación para interfaz (eth1). ! interfaz eth1 ! ! Definir la contraseña de autenticación simple de RIP (CLAVECOMPARTIDA). ! ip rip cadena de autenticación CLAVECOMPARTIDA ! ! Definir autenticación MD5 de RIP y clave MD5 (CLAVE). ! ip rip modo autenticación md5
192
Fireware XTM Web UI
Dynamic Routing ! ip rip clave autenticación CLAE ! !! SECCIÓN 3: Configure propiedades globales del demonio de RIP. ! Activar demonio de RIP. Debe estar activado para todas las configuraciones de RIP. router rip ! ! Definir versión RIP en 1; la predeterminada es la versión 2. ! versión 1 ! ! Definir RIP para enviar o recibir versión 1; la predeterminada es la versión 2. ! ip rip enviar versión 1 ! ip rip recibir versión 1 ! ! Desactivar split-horizon para evitar bucles de enrutamiento. Predeterminado está activado. ! no ip split-horizon !! SECCIÓN 4: Configurar interfaces y redes. ! Desactivar enviar y recibir RIP en interfaz (eth0). ! no red eth0 ! ! Definir RIP para sólo-recibir en interfaz (eth2). ! interfaz-pasiva eth2 ! ! Definir RIP para sólo-recibir en todas las interfaces. ! interfaz-pasiva predeterminada ! ! Activar difusión (versión 1) o multidifusión (versión 2) de RIP en ! red (192.168.253.0/24). !red 192.168.253.0/24 ! ! Definir actualizaciones de tabla de enrutamiento de unidifusión para vecino (192.168.253.254). ! vecino 192.168.253.254 !! SECCIÓN 5: Redistribuir rutas de RIP para puntos e inyectar OSPF o BGP !! rutas a tabla de enrutamiento RIP. ! Compartir ruta del último recurso (ruta predeterminada) de la tabla de enrutamiento de núcleo ! con puntos RIP ! información-predeterminada originar ! ! Redistribuir rutas estáticas de firewall a puntos RIP. ! redistribuir núcleo ! ! Definir mapas de ruta (NOMBREMAPA) para restringir la redistribución de rutas en Sección 6. ! Redistribuir rutas de todas las interfaces hacia puntos RIP o con un mapa de ruta ! filtro (NOMBREMAPA). ! redistribuir conectado ! redistribuir mapa-ruta conectado NOMBREMAPA ! ! Redistribuir rutas desde OSPF a RIP o con un filtro de mapa de ruta (NOMBREMAPA). ! redistribuir ospf !redistribuir ospf mapa-ruta NOMBREMAPA !
Guía del Usuario
193
Dynamic Routing ! Redistribuir rutas desde BGP a RIP o con un filtro de mapa de ruta (NOMBREMAPA). ! redistribuir bgp !redistribuir bgp mapa-ruta NOMBREMAPA !! SECCIÓN 6: Configurar filtros de redistribución de rutas con mapas de ruta y !! listas de acceso. ! Crear una lista de acceso para sólo permitir redistribución de 172.16.30.0/24. ! lista-acceso NOMBRELISTA permitir 172.16.30.0/24 ! lista-acceso NOMBRELISTA negar todos ! ! Crear un mapa de ruta con el NOMBREMAPA de nombre y permitir otorgando prioridad de 10. ! ruta-mapa [NOMBREMAPA] permitir 10 ! coincidir dirección ip NOMBRELISTA
Acerca del Protocolo "Abrir Camino Más Curto Primero" (OSPF) Nota El soporte para ese protocolo está disponible sólo en el Fireware XTM con actualización Pro. El OSPF (Abrir camino más curto primero) es un protocolo de enrutador interior usado en grandes redes. Con el OSPF, un enrutador que ve una alteración en su tabla de enrutamiento o que detecta un cambio en la red inmediatamente envía una actualización de multidifusión a todos los otros enrutadores en la red. OSPF es diferente del RIP porque: n
n
El OSPF envía sólo la parte de la tabla de enrutamiento que fue alterada en la transmisión. El RIP envía la tabla de enrutamiento completa todas las veces. El OSPF envía una multidifusión sólo cuando su información fue alterada. El RIP envía una tabla de enrutamiento a cada 30 segundos.
Además, observe lo siguiente acerca de OSPF: n n
Si tiene más de un área de OSPF, una debe ser área 0.0.0.0 (el área del backbone). Todas las áreas deben ser adyacentes al área de backbone. Si no lo son, debe configurar un enlace virtual al área de backbone.
Comandos de OSPF Para crear o modificar un archivo de configuración de enrutamiento, debe usar los comandos correctos de enrutamiento. La tabla siguiente es un catálogo de comandos de enrutamiento soportados por OSPF. Las secciones deben aparecer en el archivo de configuración en el mismo orden que aparecen en esta tabla. También puede usar el texto de muestra encontrados en Muestra de archivo de configuración del enrutamiento OSPF en la página 199. Sección
Comando
Descripción
ip ospf clave-autenticación [CONTRASEÑA]
Definir contraseña de autenticación de OSPF
interfaz eth[N]
Iniciar sección para definir propiedades para
Configurar interfaz
194
Fireware XTM Web UI
Dynamic Routing
Sección
Comando
Descripción interfaz
ip ospf clave-resumen-mensaje [CLAVE-ID] md5 [CLAVE]
Definir clave e ID de clave de autenticación de MD5
ip ospf costo [1-65535]
Definir costo de enlace para la interfaz (ver tabla de Costo de Interfaz OSPF abajo)
ip ospf hello-intervalo [1-65535]
Definir intervalo para enviar paquetes de hello; el predeterminado es de 10 segundos
ip ospf intervalo-muerto [1-65535]
Definir intervalo después del último hello de un vecino antes de declararlo inactivo; el predeterminado es de 40 segundos.
ip ospf intervalo-retransmitir [165535]
Definir intervalo entre retransmisiones de anuncios de enlace-estado (LSA); el predeterminado es de 5 segundos.
ip ospf transmitir-retraso [1-3600]
Definir tiempo requerido para enviar actualización de LSA; el predeterminado es de 1 segundo.
ip ospf prioridad [0-255]
Definir prioridad de ruta; valor alto aumenta la elegibilidad de volverse en enrutador asignado (DR, en sus siglas en inglés)
Configurar Demonio de Enrutamiento de OSPF enrutador ospf
Activar demonio OSPF
ospf enrutador-id [A.B.C.D]
definir ID de enrutador para OSPF manualmente; enrutador determina su propio ID caso no esté definido
compatibilidad ospf rfc 1583
Activar compatibilidad RFC 1583 (puede llevar a bucles de ruta)
ospf abr-tipo Más información acerca de ese comando puede [cisco|ibm|accesodirecto|estándar] ser encontrada en el archivo draft-ietf-abr-o5.txt interfaz-pasiva eth[N]
Desactivar anuncio de OSPF en interfaz eth[N]
ancho de banda de referencia de costo-auto[0-429495]
Definir costo global (vea tabla de costo de OSPF abajo); no use con el comando "ip ospf [COSTO]"
temporizadores spf [04294967295][0-4294967295]
Definir cronograma de tiempo de retraso y espera de OSPF
Activar OSPF en una Red *La variable "área" puede ser ingresada en dos formatos:
Guía del Usuario
195
Dynamic Routing
Sección
Comando
Descripción
[W.X.Y.Z]; o como un número entero [Z]. Anunciar OSPF en la red red [A.B.C.D/M] área [Z] A.B.C.D/M para área 0.0.0.Z Configurar propiedades para área de backbone u otras áreas La variable "área" puede ser ingresada en dos formatos: [W.X.Y.Z]; o como un número entero [Z].
área [Z] rango [A.B.C.D/M]
Crear área 0.0.0.Z y definir una red con clase para el área (las configuraciones de máscara y red de interfaz y rango deberían coincidir)
área [Z] enlace-virtual [W.X.Y.Z]
Definir vecino de enlace virtual para área 0.0.0.Z
área [Z] stub
Definir área 0.0.0.Z como stub
área [Z] stub no-summary área [Z] autenticación
Activar autenticación de contraseña simple para área 0.0.0.Z
área [Z] resumen de mensaje de autenticación
Activar autenticación MD5 para área 0.0.0.Z
Redistribuir rutas OSPF información-predeterminada originar
Compartir ruta de último recurso (ruta predeterminada) con OSPF
información-predeterminada originar métrica [0-16777214]
Compartir ruta del último recurso (ruta predeterminada) con OSPF, y añadir una métrica usada para generar la ruta predeterminada
información-predeterminada originar siempre
Compartir siempre la ruta de último recurso (ruta predeterminada)
información-predeterminada originar siempre métrica [016777214]
Compartir siempre ruta del último recurso (ruta predeterminada), y añadir una métrica usada para generar la ruta predeterminada
redistribuir conectado
Redistribuir rutas de todas las interfaces a OSPF
redistribuir métricas conectadas
Redistribuir rutas de todas las interfaces a OSPF y una métrica usada para la acción
Configurar redistribución de rutas con Listas de Acceso y Mapas de Ruta lista-acceso [NOMBRELISTA] permiso [A.B.C.D/M]
196
Crear una lista de acceso para permitir la distribución a A.B.C.D/M
Fireware XTM Web UI
Dynamic Routing
Sección
Comando
Descripción
listas-acceso [NOMBRELISTA] negar todos
Restringir distribución de cualquier mapa de ruta especificado arriba
ruta-mapa [NOMBREMAPA] permitir [N]
Crear un mapa de ruta con el [NOMBREMAPA] de nombre y permitir otorgando prioridad de [N]
coincidir dirección ip [NOMBRELISTA]
Tabla de Costo de Interfaz de OSPF El protocolo OSPF encuentra la ruta más eficiente entre dos puntos. Para eso, mira los factores como velocidad de enlace de la interfaz, el número de salto entre puntos y otros indicadores. Por defecto, OSPF usa la velocidad de enlace real de un dispositivo para calcular el costo total de una ruta. Puede definir el costo de la interfaz manualmente para ayudar a maximizar la eficiencia si, por ejemplo, su firewall basado en gigabytes está conectado a un enrutador de 100M. Use los números en esa tabla para definir manualmente el costo de interfaz en un valor diferente del costo real de interfaz. Tipo de interfaz
Ancho de banda en bits/segundo
Ancho de banda en bytes/segundo
Costo de Interfaz de OSPF
Ethernet
1G
128M
1
Ethernet
100M
12.5M
10
Ethernet
10M
1.25M
100
Módem
2M
256K
500
Módem
1M
128K
1000
Módem
500K
62.5K
2000
Módem
250K
31.25K
4000
Módem
125K
15625
8000
Módem
62500
7812
16000
Serial
115200
14400
10850
Serial
57600
7200
21700
Serial
38400
4800
32550
Serial
19200
2400
61120
Serial
9600
1200
65535
Guía del Usuario
197
Dynamic Routing
Configurar el Firebox para usar OSPF 1. Seleccionar Red > Dynamic Routing. Configuración de dynamic routing páginaaparece.
2. Selecciona la casilla Activar dynamic routing. 3. Haga clic en la pestaña OSPF.
4. Seleccione Activar . 5. Copie y pegue el archivo de configuración del demonio de enrutamiento en la ventana. Para más informaciones, vea Acerca de archivos de configuración de demonio de enrutamiento. en la página 187. Para empezar, necesita sólo dos comandos en su archivo de configuración de OSPF. Esos dos comandos, en ese orden, empiezan el proceso de OSPF: router ospf red área
198
Fireware XTM Web UI
Dynamic Routing
6. Haga clic Guardar.
Permitir tráfico de OSPF a través del Firebox Debe añadir y configurar una política para permitir multidifusiones de OSPF de los enrutadores que tienen OSPF activado, hacia la dirección reservada de multidifusión para OSPF. 1. Seleccione Firewall >Políticas de Firewall. Haga clic en Agregar. Aparece la página "Seleccionar un tipo de política".
2. En la lista de filtrados de paquetes, seleccione RIP. Haga clic en Agregar. 3. En la página Configuración de política, configure la política para permitir el tráfico desde la dirección de red o IP del enrutador usando OSPF hacia las direcciones IP 224.0.0.5 y 224.0.0.6. Para más información acerca de cómo definir las direcciones de origen y destino para una política, vea Definir reglas de acceso a una política en la página 267. 4. Haga clic en Guardar. 5. Configurar el enrutador seleccionado en el Paso 3. 6. Después de configurar el enrutador, seleccione Estado del Sistema >Rutas y verifique si el Firebox y el enrutador están enviando actualizaciones el uno al otro. Entonces puede añadir la autenticación y restringir la política de OSPF para analizar sólo las interfaces correctas.
Muestra de archivo de configuración del enrutamiento OSPF Para usar usar cualquier protocolo de dynamic routing con el Fireware XTM, es necesario copiar y pegar un archivo de configuración para el demonio de dynamic routing. Este tópico incluye una muestra de archivo de configuración para el demonio de enrutamiento de OSPF. Si desea usar este archivo de configuración como base para su propio archivo de configuración, copie el texto en una aplicación como el Bloc de Notas o Wordpad y guárdelo con un nuevo nombre. Puede entonces editar los parámetros para atender a las necesidades de su empresa. Los comandos opcionales son comentados con el caracter "!" . Para activar un comando, elimine el "!" y modifique las variables, según sea necesario. !! SECCIÓN 1: Configure las propiedades de interfaz. ! Definir propiedades para interfaz eth1. ! interfaz eth1 ! ! Definir la contraseña de autenticación simple (CLAVECOMPARTIDA). ! ip ospf clave-autenticación CLAVECOMPARTIDA ! ! Definir el IP de clave de autenticación MD5 (10) y clave de autenticación MD5 (CLAVEAUT). ! ip ospf clave-resumen-mensaje 10 md5 CLAVEAUT ! ! Definir costo de enlace en 1000 (1-65535) en la interfaz eth1. ! para tabla de costo de enlace OSPF. ! ip ospf costo 1000 ! ! Definir intervalo de hello en 5 segundos (1-65535); el predeterminado es 10 segundos. ! ip ospf intervalo-hello 5
Guía del Usuario
199
Dynamic Routing ! ! Definir intervalo de muerto en 15 segundos (1-65535); el predeterminado es 40 segundos. ! ip ospf intervalo-muerto 15 ! ! Definir intervalo entre retransmisiones de anuncios de enlace-estado (LSA) ! en 10 segundos (1-65535); el predeterminado es 5 segundos. ! ip ospf intervalo-retransmitir 10 ! ! Definir intervalo de actualización LSA en 3 segundos (1-3600); el predeterminado es 1 segundo. ! ip ospf transmitir-retraso 3 ! ! Definir alta prioridad (0-255) para aumentar a elegibilidad para convertirse en ! enrutador asignado (DR). ! ip ospf prioridad 255 !! SECCIÓN 2: Iniciar OSFP y definir propiedades de demonio. ! Activar demonio OSPF. Debe estar activado para todas las configuraciones de OSPF. ! router ospf ! ! Definir el ID del enrutador manualmente en 100.100.100.20. Si no definirlo, el firewall lo hará ! definir el propio ID basado en una dirección IP de interfaz. ! ospf router-id 100.100.100.20 ! ! Activar compatibilidad RFC 1583 (aumenta la probabilidad de bucles de enrutamiento). ! ospf rfc1583compatibilidad ! ! Definir tipo de enrutador de adyacencia de área (ABR) en cisco, ibm, acceso directo o estándar. ! Más información acerca de los tipos ABR en draft-ietf-ospf-abr-alt-05.txt. ! ospf abr-tipo cisco ! ! Desactivar anuncio de OSPF en interfaz eth0. ! interfaz pasiva eth0 ! ! Definir costo global en 1000 (0-429495). ! ancho de banda de referencia de costo-auto 1000 ! ! Definir retraso de cronograma de SPF en 25 (0-4294967295) segundos y sostener ! 20 (0-4294967295) segundos; predeterminado es 5 y 10 segundos. ! temporizadores spf 25 20 !! SECCIÓN 3: Definir propiedades de área y red. Definir áreas con notación W.X.Y.Z !! o Z. ! Anunciar OSPF en la red 192.168.253.0/24 para área 0.0.0.0. ! red 192.168.253.0/24 área 0.0.0.0 ! ! Crear área 0.0.0.1 y definir un rango de redes de clase (172.16.254.0/24) ! para el área (configuraciones de red de interfaz y rango deben coincidir). ! área 0.0.0.1 rango 172.16.254.0/24 !
200
Fireware XTM Web UI
Dynamic Routing ! Definir vecino de enlace virtual (172.16.254.1) para área 0.0.0.1. ! área 0.0.0.1 enlace-virtual 172.16.254.1 ! ! Definir área 0.0.0.1 como stub en todos los enrutadores en área 0.0.0.1. ! área 0.0.0.1 stub ! ! área 0.0.0.2 stub sin-resumen ! ! Activar autenticación de contraseña simple para área 0.0.0.0. ! área 0.0.0.0 autenticación ! ! Activar autenticación MD5 para área 0.0.0.1. ! área 0.0.0.1 resumen-mensaje autenticación !! SECCIÓN 4: Redistribuir rutas de OSPF ! Compartir ruta del último recurso (ruta predeterminada) de la tabla de enrutamiento de núcleo ! con puntos OSPF. ! información-predeterminada originar ! ! Redistribuir rutas estáticas a OSPF. ! redistribuir núcleo ! ! Redistribuir rutas de todas las interfaces a OSPF. ! redistribuir conectado ! redistribuir mapa-ruta conectado ! ! Redistribuir rutas de RIP y BGP y OSPF. ! redistribuir rip !redistribuir bgp !! SECCIÓN 5: Configurar filtros de redistribución de rutas con listas de acceso !! y mapas de ruta. ! Crear una lista de acceso para sólo permitir redistribución de 10.0.2.0/24. ! lista-acceso NOMBRELISTA permitir 10.0.2.0/24 ! lista-acceso NOMBRELISTA negar todos ! ! Crear un mapa de ruta con el NOMBREMAPA de nombre y permitir otorgando una prioridad de 10 (1-199). ! ruta-mapa [NOMBREMAPA] permitir 10 ! coincidir dirección ip NOMBRELISTA
Acerca del Border Gateway Protocol (BGP) Nota El soporte para ese protocolo está disponible sólo en Fireware XTM con una actualización Pro en los dispositivos Core e-Series, Peak e-Series o XTM. El Border Gateway Protocol (BGP) es un protocolo de dynamic routing usado en la Internet por grupos de enrutadores para compartir información de enrutamiento. El BGP usa parámetros de ruta o atributos para definir políticas de enrutamiento y crear un ambiente estable de enrutamiento. Ese protocolo permite que divulgue más de un camino hacia y desde la Internet a su red y recursos, lo que le ofrece caminos redundantes y puede aumentar su tiempo de actividad.
Guía del Usuario
201
Dynamic Routing
Los hosts que usan BGP usan TCP para enviar información de tabla de enrutamiento actualizada cuando un host encuentra una alteración. El Host envía sólo la parte de la tabla de enrutamiento que tiene la alteración. El usa el enrutamiento interdominios sin clase (CIDR) para reducir el volumen de las tables de enrutamiento de Internet. El volumen de la tabla de enrutamiento de BGP en el Fireware XTM está definido en 32 K. El volumen de la red de área amplia (WAN) típica del cliente WatchGuard es más adecuado para el dynamic routing de OSPF. Una WAN también puede usar el border gateway protocol externo (EBGP) cuando más de una puerta de enlace hacia Internet esté disponible. EBGP le permite aprovechar al máximo la posible redundancia con una red "multi-homed". Para participar en un BGP con un ISP, debe tener un número de sistema autónomo (ASN). Debe obtener un ASN junto a uno de los registros regionales en la tabla abajo. Después de que se le asigne su propio ASN, debe contactar cada ISP para obtener sus ASNs y otras informaciones necesarias. Región
Nombre del registro
Sitio web
Norte América
RIN
www.arin.net
Europa
RIPE NCC
www.ripe.net
Asia-Pacífico
APNIC
www.apnic.net
América Latina
LACNIC
www.lacnic.net
África
AfriNIC
www.afrinic.net
Comandos BGP Para crear o modificar un archivo de configuración de enrutamiento, debe usar los comandos correctos de enrutamiento. La tabla siguiente es un catálogo de comandos de enrutamiento de BGP. Las secciones deben aparecer en el archivo de configuración en el mismo orden que aparecen en esta tabla. No use los parámetros de configuración de BGP que no reciba de su ISP. Sección Comando
Descripción
Configurar daemon de enrutamiento de BGP bgp enrutado [ASN]
Activar el daemon BGP y definir número de sistema autónomo (ASN); eso es provisto por su ISP
red [A.B.C.D/M]
Anunciar BGP en la red A.B.C.D/M
sin red [A.B.C.D/M]
Desactivar anuncios de BGP en la re A.B.C.D/M
Definir propiedades de vecinos
202
vecino [A.B.C.D] remoto-como [ASN]
Definir vecino como miembro de ASN remoto
vecino [A.B.C.D] ebgp-multihop
Definir vecino en otra red usando "multi-hop" (multi-salto) de EBGP Fireware XTM Web UI
Dynamic Routing
Sección Comando
Descripción
vecino [A.B.C.D] versión 4 o posterior
Definir versión de BGP (4, 4+, 4-) para comunicación con vecino; la predeterminada es la 4
vecino [A.B.C.D] actualizarfuente [PALABRA]
Definir la sesión BGP para que use una interfaz específica para las conexiones TCP
vecino [A.B.C.D] predeterminado-originar
Anunciar ruta predeterminada para vecino BGP [A,B,C,D]
vecino [A.B.C.D] puerto 189
Definir puerto TCP personalizado para comunicarse con vecino BGP [A,B,C,D]
vecino [A.B.C.D] enviarcomunidad
Determinar punto enviar-comunidad
vecino [A.B.C.D] peso 1000
Definir peso predeterminado para las rutas de vecino [A.B.C.D]
vecino [A.B.C.D] máximo-prefijo [NÚMERO]
Definir número máximo de prefijos permitidos a partir de este vecino
Listas de comunidades lista-comunidad ip [|] permitir AA:NN
Especificar comunidad para que acepte el número de sistema autónomo y número de red separados por dos puntos
Filtrado de punto vecino [A.B.C.D] distribuir-lista [NOMBRELISTA] [ENTRAR|SALIR]
Definir distribución de lista y dirección para punto
vecino [A.B.C.D] prefijo-lista [NOMBRELISTA] [ENTRAR|SALIR]
Para aplicar una lista de prefijos para coincidir con los anuncios entrantes o clientes para ese vecino
vecino [A.B.C.D] filtro-lista [NOMBRELISTA] [ENTRAR|SALIR]
Para coincidir una lista de acceso de camino de sistema autónomo a rutas entrantes y salientes
vecino [A.B.C.D] ruta-mapa [NOMBREMAPA] [ENTRAR|SALIR]
para aplicar un mapa de ruta a rutas entrantes o salientes
Redistribuir rutas a BGP redistribuir núcleo
Redistribuir rutas estáticas a BGP
redistribuir rip
Redistribuir rutas RIP a BGP
Guía del Usuario
203
Dynamic Routing
Sección Comando redistribuir ospf
Descripción Redistribuir rutas OSPF a BGP
Reflexión de ruta bgp cluster-id A.B.C.D
Para configurar el ID del cluster si el cluster de BGP tiene más de un reflector de ruta
vecino [W.X.Y.Z] ruta-reflectorcliente
Para configurar el enrutador como reflector de ruta BGP y configurar el vecino especificado como su cliente
Listas de acceso y listas de prefijos IP ip prefijo-listas PRELISTA permitir A.B.C.D/E
Definir lista de prefijos
acceso-lista NOMBRE [negar|permitir] A.B.C.D/E
Definir lista de acceso
ruta-mapa [NOMBREMAPA] permitir [N]
En conjunción con los comandos "coincidir" y "definir", eso define las condiciones y acciones para redistribuir rutas
coincidir dirección ip listaprefijo [NOMBRELISTA]
Coincide el acceso-lista especificado
definir comunidad [A:B]
Definir el atributo de comunidad BGP
coincidir comunidad [N]
Coincide la comunidad_lista especificada
definir local-preferencia [N]
Definir el valor de preferencia para la ruta de sistema autónomo
Configurar el Firebox para usar el BGP Para participar en un BGP con un ISP, debe tener un número de sistema autónomo (ASN). Para más informaciones, vea Acerca del Border Gateway Protocol (BGP) en la página 201. 1. Seleccionar Red > Dynamic Routing. Configuración de dynamic routing página .
2. Selecciona la casilla Activar dynamic routing. 3. Haga clic en la pestaña BGP.
204
Fireware XTM Web UI
Dynamic Routing
4. Seleccione Activar . 5. Copie y pegue el archivo de configuración del demonio de enrutamiento en la ventana. Para más informaciones, vea Acerca de archivos de configuración de demonio de enrutamiento. en la página 187. Para empezar, necesita sólo tres comandos en su archivo de configuración de BGP. Esos tres comandos, inicie el proceso de BGP, configurar una relación de punto con el ISP y cree una ruta para una red hacia Internet. Debe usar los comandos en ese orden. BGP de enrutador: Número del sistema autónomo de BGP provisto por su red de ISP: dirección IP de red a la cual desea divulgar una ruta desde el vecino de Internet : remoto-como
6. Haga clic en Guardar.
Permitir tráfico de BGP a través del Firebox Debe añadir y configurar una política para permitir el tráfico de BGP hacia del Firebox desde las redes aprobadas. Esas redes deben ser las mismas definidas en su archivo de configuración de BGP.
Guía del Usuario
205
Dynamic Routing
1. Seleccione Firewall >Políticas de Firewall. Haga clic en Agregar. Aparece la página "Seleccionar un tipo de política".
2. En la lista de filtrados de paquetes, seleccione BGP. Haga clic en Agregar. 3. En la página Configuración de política, configure la política para permitir el tráfico desde la dirección de red o IP del enrutador que usa BGP hacia la interfaz Firebox que se conecta. También debe agregar la dirección IP de difusión de red. 4. Haga clic en Guardar. 5. Configurar el enrutador seleccionado en el Paso 3. 6. Después de configurar el enrutador, seleccione Estado del Sistema >Rutas y verifique si el Firebox y el enrutador están enviando actualizaciones el uno al otro. Entonces puede añadir la autenticación y restringir la política de BGP para analizar sólo las interfaces correctas.
Muestra de archivo de configuración del enrutamiento BGP Para usar cualquiera de los protocolos de dynamic routing con el Fireware XTM, debe importar o insertar un archivo de configuración para el demonio de dynamic routing. Este tópico incluye una muestra de archivo de configuración para el demonio de enrutamiento de BGP. Si desea usar este archivo de configuración como base para su propio archivo de configuración, copie el texto en una aplicación como el Bloc de Notas o Wordpad y guárdelo con un nuevo nombre. Puede entonces editar los parámetros para atender a las necesidades de su empresa. Los comandos opcionales son comentados con el caracter "!" . Para activar un comando, elimine el "!" y modifique las variables, según sea necesario. !! SECCIÓN 1: Iniciar demonio de BGP y anunciar bloqueos de red a vecinos de BGP ! Activar BGP y definir ASN local en 100 enrutador bgp 100 ! Divulgar red local 64.74.30.0/24 a todos los vecinos definidos en la sección 2
64.74.30.0/24 !! SECCIÓN 2: Propiedades de vecinos ! Definir vecino (64.74.30.1) como miembro de ASN remoto (200) ! vecino 64.74.30.1 remoto-como 200 ! Definir vecino (208.146.43.1) en otra red usando "multi-hop" (multi-salto) de EBGP ! vecino 208.146.43.1 remoto-como 300 ! vecino 208.146.43.1 ebgp-multihop ! Definir versión de BGP (4, 4+, 4-) para comunicación con vecino; la predeterminada es la 4 ! vecino 64.74.30.1 versión 4+ ! Anunciar ruta predeterminada para vecino BGP (64.74.30.1) ! vecino 64.74.30.1 predeterminada-originar ! Definir puerto TCP personalizado 189 para comunicarse con vecino BGP (64.74.30.1). Puerto predeterminado es TCP 179 ! vecino 64.74.30.1 puerto 189 ! Determinar punto enviar-comunidad ! vecino 64.74.30.1 enviar-comunidad ! Definir peso predeterminado para las rutas de vecino (64.74.30.1) ! vecino 64.74.30.1 peso 1000 ! Definir número máximo de prefijos permitidos a partir de este vecino
206
Fireware XTM Web UI
Dynamic Routing
no 64.74.30.1 NÚMERO máximo-prefijo
CIÓN 3: Definir listas de comunidades ! lista-comunidad ip 70 permitir 7000:80
CIÓN 4: Filtrado de anuncios ! Definir distribución de lista y dirección para punto ! vecino 64.74.30.1 distribuir-lista NOMBRELISTA [entrar|salir] ! Para aplicar una lista de prefijos para coincidir con los anuncios entrantes o clientes para ese vecino ! vecino 64.74.30.1 prefijo-lista NOMBRELISTA [entrar|salir] ! Para coincidir una lista de acceso de camino de sistema autónomo a rutas entrantes y salientes ! vecino 64.74.30.1 filtro-lista NOMBRELISTA [entrar|salir] ! para aplicar un mapa de ruta a rutas entrantes o salientes ! vecino 64.74.30.1 ruta-mapa NOMBREMAPA [entrar|salir]
CCIÓN 5: Redistribuir rutas a BGP ! Redistribuir ! Redistribuir ! Redistribuir ! Redistribuir ! Redistribuir
rutas estáticas a BGP núcleo rutas RIP a BGP rip rutas OSPF a BGP
! Redistribuir ospf
CCIÓN 6: Reflexión de ruta ! Definir ID de clúster y firewall como un cliente de servidor de reflector de ruta 51.210.0.254 ! bgp clúster-id A.B.C.D ! vecino 51.210.0.254 ruta-reflector-cliente !! SECCIÓN 7: Listas de acceso y listas de prefijos IP ! Definir lista de prefijos ! ip prefijo-lista PRELISTA permitir 10.0.0.0/8 ! Definir lista acceso!acceso-lista NOMBRE negar 64.74.30.128/25 ! acceso-lista NOMBRE permitir 64.74.30.0/25 ! Crear un mapa de ruta con el NOMBREMAPA de nombre y permitir otorgando prioridad de 10 ! ruta-mapa [NOMBREMAPA] permitir 10 ! coincidir dirección ip prefijo-lista NOMBRELISTA ! definir comunidad 7000:80
Guía del Usuario
207
Dynamic Routing
Guía del Usuario
208
11
Autenticación
Acerca de la autenticación de usuario La autenticación de usuario es un proceso que descubre si un usuario es quien se declaró ser y averigua los privilegios asignados a dicho usuario. En el Firebox, la cuenta de usuario tiene dos partes: un nombre de usuario y una frase de contraseña. Cada cuenta de usuario está asociada a una dirección IP. Esa combinación de nombre de usuario, frase de contraseña y dirección IP ayuda el administrador del dispositivo a monitorear las conexiones a través del dispositivo. Con la autenticación, los usuarios pueden iniciar sesión en la red desde cualquier equipo, pero acceder sólo a los protocolos y puertos de red a los cuales estén autorizados. Firebox puede también mapear las conexiones que se inician desde una dirección IP determinada y también transmitir el nombre de la sesión mientras el usuario está autenticado. Puede crear políticas de firewall para dar acceso a recursos específicos de red a usuarios y grupos. Eso es útil en los ambientes de red donde varios usuarios comparten un único equipo o dirección IP. Puede configurar su Firebox como servidor de autenticación local o usar su servidor de Active Directory Authentication, LDAP o RADIUS existente. Cuando usa la autenticación de Firebox por el puerto 4100, los privilegios de cuenta pueden estar basados en el nombre de usuario. Cuando usa una autenticación de terceros, los privilegios de cuenta para los usuarios que autentican a servidores de autenticación de terceros están basados en la participación en un grupo. La función de autenticación de usuario de WatchGuard permite que un nombre de usuario esté asociado a una dirección IP específica para ayudarlo a autenticarse y rastrear conexiones de usuarios a través del dispositivo. Con el dispositivo, la pregunta fundamental que cada conexión realiza es "¿debo permitir el tráfico de la origen X hacia el destino Y?" Para que la función de autenticación de WatchGuard funcione correctamente, la dirección IP del equipo del usuario no debe cambiar mientras el usuario esté autenticado al dispositivo. En gran parte de los ambientes, la relación entre una dirección IP y el equipo de usuario es bastante estable como para ser usada para la autenticación. Los ambientes en los cuales la asociación entre el usuario y una dirección IP no sea consistente, como en terminales o redes en las cuales las aplicaciones sean ejecutadas desde un servidor de terminal, no suelen ser muy aptos para una utilización exitosa de la función de autenticación de usuario.
Guía del Usuario
209
Autenticación
WatchGuard soporta control de Autenticación, Cuentas y Acceso (AAA, en sus siglas en inglés) en los productos de firewall, basado en el asociación estable entre la dirección IP y la personal. La función de autenticación de usuario de WatchGuard también soporta la autenticación a un dominio de Active Directory con Single Sign-On (SSO), así como otros servidores comunes de autenticación. Asimismo, soporta configuraciones de inactividad y límites de duración de sesión. Esos controles restringen el período de tiempo que una dirección IP puede transmitir tráfico a través de Firebox antes que los usuarios deban proveer sus contraseñas nuevamente (reautenticarse). Si controla el acceso de SSO con una lista blanca y administra tiempos de espera de inactividad, tiempos de espera de sesión y quiénes están autorizados a autenticarse, puede mejorar su control de autenticación, cuentas y control de acceso. Para evitar que un usuario se autentique, debe desactivar la cuenta para aquel usuario en el servidor de autenticación.
Usuario pasos de autenticación Un servidor HTTPS opera en el dispositivo WatchGuard para aceptar las solicitudes de autenticación. Para autenticarse, un usuario debe conectarse a la página web del portal de autenticación en el dispositivo WatchGuard. 1. Diríjase a: https://[dirección IP de la interfaz del dispositivo]:4100/
o https://[nombre del host del dispositivo]:4100 Aparece la página web de autenticación.
2. Ingrese un nombre de usuario y contraseña. 3. Seleccione el servidor de autenticación en la lista desplegable, si más de un tipo de autenticación está configurado. El dispositivo WatchGuard envía el nombre y contraseña al servidor de autenticación usando un PAP (Protocolo de Autenticación de Contraseña, según sus siglas en inglés).
Cuando autenticado, el usuario está autorizado a usar los recursos aprobados de red. Nota Como el Fireware XTM usa un certificado autofirmado por defecto para HTTPS, se recibe una advertencia de seguridad de su explorador web cuando se autentica. Puede ignorar esa advertencia de seguridad sin mayor riesgo. Si desea quitar esa advertencia, puede usar un certificado externo o crear un certificado personalizado que coincida con la dirección IP o domain name usado para la autenticación.
210
Fireware XTM Web UI
Autenticación
Cerrar manualmente una sesión autenticada Los usuarios no necesitan esperar que el tiempo de espera de la sesión se agote para cerrar sus sesiones autenticadas. Pueden cerrar sus sesiones manualmente antes que se agote el tiempo de espera. La página web de autenticación debe estar abierta para que el usuario cierre una sesión. Si está cerrada, el usuario debe autenticarse nuevamente para desconectarse. Para cerrar manualmente una sesión autenticada: 1. Diríjase a la página web del portal de Autenticación: https://[dirección IP de la interfaz del dispositivo]:4100/
o https://[nombre del host del dispositivo]:4100
2. Haga clic en Salir. Nota Si la página web del portal de autenticación está configurada para redireccionar automáticamente hacia otra página web, el portal lo redirecciona algunos segundos después que lo abre. Asegúrese de salir antes que la página lo redireccione.
Administrar usuarios autenticados Puede usar Fireware XTM Web UI para ver una lista de todos los usuarios autenticados en su dispositivo WatchGuard y cerrar sesiones para esos usuarios.
Ver usuarios autenticados Para ver los usuarios autenticados en su dispositivo WatchGuard: 1. Conéctese al Fireware XTM Web UI. 2. Seleccione Estado del sistema > Lista de autenticación. Aparece una lista de todos los usuarios autenticados en el Firebox.
Cerrar una sesión de usuario A partir de la navigation bar del Fireware XTM Web UI: 1. Seleccione Estado del sistema > Lista de autenticación. Aparece una lista de todos los usuarios autenticados en el Firebox.
2. Seleccione uno o más nombres de usuario de la lista. 3. Haga clic con el botón derecho en el(los) nombre(s) de usuario y seleccione Usuario de desconexión.
Guía del Usuario
211
Autenticación
Use la autenticación para restringir el tráfico entrante Una función de la herramienta de autenticación es restringir el tráfico saliente. También puede ser usada para restringir el tráfico de red entrante. Cuando tiene una cuenta en el dispositivo WatchGuard que tiene una dirección IP externa pública, puede autenticarse al dispositivo desde un equipo externo al dispositivo. Por ejemplo, puede insertar esa dirección en su explorador web: https://:4100/ . Después de autenticarse, puede usar las políticas configuradas para usted en el dispositivo. Para permitir que un usuario remoto se autentique desde la red externa: 1. Seleccione Firewall >Políticas de Firewall. Aparece la página "Políticas de Firewall".
2. Seleccione la política Autenticación de WatchGuard y haga clic en Editar. También puede hacer doble clic en la política. Esa política aparece después que se agrega un usuario o grupo a una configuración de políticas. Aparece la página "Configuración de Política".
3. En la lista desplegable Conexiones están, asegúrese de que Permitido esté seleccionado 4. Abajo de la ventana De, haga clic en Agregar. Aparece el cuadro de diálogo "Agregar Dirección".
5. Seleccione Cualquiera de la lista y haga clic en Agregar. 6. Haga clic en OK. En la ventana "De" aparece "Cualquiera".
7. Abajo del cuadro Para, haga clic en Agregar. 8. Seleccione Firebox en la lista y haga clic en Agregar. 9. Haga clic en OK. Firebox aparece en la ventana "Para".
Use la autenticación a través de un Firebox de puerta de enlace El Firebox de puerta de enlace es el dispositivo puesto en su red para proteger su Management Server contra la Internet. Para enviar una solicitud de autenticación a través de un Firebox de puerta de enlace a un dispositivo diferente, debe tener una política que permita el tráfico de autenticación en el dispositivo de puerta de enlace. Si se niega el tráfico de autenticación en el dispositivo de puerta de enlace, agregar la política de WG-Autoriz. Esa política controla el tráfico en el puerto TCP 4100. Debe configurar la política para permitir el tráfico hacia la dirección IP del dispositivo de destino.
Definir valores de autenticación global Puede definir valores de autenticación global (tales como los valores de tiempo de espera y la página de autenticación redirecciona). Para configurar la autenticación:
212
Fireware XTM Web UI
Autenticación
1. Conéctese al Fireware XTM Web UI. 2. Seleccione Configuración >de Autenticación. Aparece la página "Configuración de Autenticación".
3. Configurar la autenticación tal como se describe en las secciones siguientes. 4. Haga clic en Guardar.
Definir tiempos de espera de autenticación Puede definir el período de tiempo que los usuarios permanecen autenticados después de cerrar su última conexión autenticada. Ese tiempo de espera es definido o en el cuadro de diálogo Configuraciones de Autenticación, o enConfigurar usuario de Firebox página. Para más informaciones sobre la configuración de autenticación de usuario y Configurar usuario de Firebox página, vea Definir un nuevo usuario para autenticación en Firebox en la página 225. Para usuarios autenticados por servidores externos, los tiempos de espera definidos en esos servidores también anulan los tiempos de espera de autenticación global. Los valores de tiempos de espera de autenticación no se aplican a usuarios de Mobile VPN con PPTP.
Guía del Usuario
213
Autenticación
Tiempo de espera de sesión El período de tiempo máximo que un usuario puede enviar tráfico a una red externa. Si define este campo en cero (0) segundos, minutos, horas o días, la sesión no expira y el usuario puede seguir conectado por el tiempo que desee. Tiempo de espera inactivo El período de tiempo máximo que el usuario puede permanecer autenticado cuando esté inactivo (sin transmitir cualquier tráfico a la red externa). Si define este campo en cero (0) segundos, minutos, horas o días, la sesión no termina cuando está inactiva y el usuario puede seguir conectado por el tiempo que desee.
Permitir múltiples inicios de sesión concomitantes Puede permitir que más de un usuario se autentique con las mismas credenciales de usuario al mismo tiempo en un servidor de autenticación. Eso es útil para cuentas de invitados o ambientes de laboratorio. Cuando el segundo usuario ingresa con las mismas credenciales, automáticamente se cierra la sesión del primer usuario autenticado con las credenciales. Si no permitir esa función, el usuario no puede autenticarse en el servidor de autenticación más de una vez al mismo tiempo. 1. Vaya a Configuración de Autenticación página. 2. Seleccione la casilla de verificación Permitir múltiples sesiones de autenticación de firewall de la misma cuenta. Para usuarios de Mobile VPN with IPSec y Mobile VPN with SSL, las sesiones de inicio simultáneas de la misma cuenta siempre son compatibles, esté la casilla seleccionada o no. Esos usuarios deben iniciar sesión desde diferentes direcciones IP para el inicio de sesión simultáneo, es decir, no pueden usar la misma cuenta para iniciar sesión si están detrás de un Firebox que usa NAT. Los usuarios de Mobile VPN con PPTP no tienen esa restricción.
Limitar sesiones de inicio En Configuración de Autenticación página, puede imponer un límite de sesión única autenticada por usuario. Si selecciona esa opción, los usuarios no pueden iniciar sesión en un servidor de autenticación desde diferentes direcciones IP con las mismas credenciales. Cuando un usuario está autenticado e intenta autenticarse nuevamente, puede seleccionar si se cierra la primera sesión de usuario cuando la sesión siguiente es autenticada, o si la sesión siguiente es rechazada. 1. Seleccione Imponer a usuarios el límite de una única sesión de inicio. 2. De la lista desplegable, seleccione Rechazar intentos concomitantes de inicio de sesión cuando el usuario ya está registrado o Cerrar primera sesión cuando el usuario inicia sesión por segunda vez.
214
Fireware XTM Web UI
Autenticación
Direccionarusuariosautomáticamenteal portal deiniciode sesión Si requiere que los usuarios se autentiquen antes de acceder a la Internet, puede elegir enviar usuarios automáticamente que no están todavía autenticados al portal de autenticación o solicitarles que naveguen manualmente hasta el portal. Eso se aplica solamente a conexiones HTTP y HTTPS. Redireccionar usuarios automáticamente a la página de autenticación para que se autentiquen. Al marcar esta casilla de verificación, todos los usuarios que todavía no están autenticados serán redireccionados automáticamente al portal de inicio de sesión de autenticación cuando intenten acceder a Internet. Si no seleccionar esa casilla de verificación, los usuarios no autenticados deben navegar manualmente al portal de inicio de sesión de autenticación. Para más información acerca de autenticación de usuario, vea Usuario pasos de autenticación en la página 210.
Guía del Usuario
215
Autenticación
Usar una página de inicio predeterminada personalizada Al seleccionar la casilla de verificación Redireccionar usuarios automáticamente a la página de autenticación para solicitar a los usuarios que se autentiquen antes de acceder a Internet, aparece el portal de autenticación web de Firebox cuando un usuario abre un explorador web. Si desea que el explorador vaya a una página diferente después que los usuarios inician la sesión con éxito, puede definir un redireccionamiento. En Configuración de Autenticación página: 1. Seleccione la casilla de verificación Enviar un redireccionamiento al explorador después de una autenticación exitosa 2. En el cuadro de texto, ingrese el URL del sitio web al cual desea que los usuarios sean redireccionados.
Definir tiempos de espera de Sesión de Administración Use esos campos para definir el período de tiempo que un usuario registrado con privilegios de lectura/escritura permanece autenticado antes que el dispositivo WatchGuard cierre la sesión. Tiempo de espera de sesión El período de tiempo máximo que un usuario puede enviar tráfico a una red externa. Si define este campo en cero (0) segundos, minutos, horas o días, la sesión no expira y el usuario puede seguir conectado por el tiempo que desee. Tiempo de espera inactivo El período de tiempo máximo que el usuario puede permanecer autenticado cuando esté inactivo (sin transmitir cualquier tráfico a la red externa). Si define ese campo en cero (0) segundos, minutos, horas o días, la sesión no termina cuando el usuario está inactivo y puede seguir conectado por el tiempo que desee.
Acerca de la política de Autenticación de WatchGuard (WG-Autoriz) La política de Autenticación de WatchGuard (WG-Autoriz) es adicionada automáticamente a la configuración de su dispositivo WatchGuard. La primera política que agrega a la configuración de su dispositivo que tiene un nombre de grupo o usuario en el campo De en la pestaña Política de la definición de políticas cre una política WG-Autoriz. Esa política controla el acceso al puerto 4100 en el dispositivo. Los usuarios envían solicitudes de autenticación al dispositivo a través de ese puerto. Por ejemplo, para autenticarse a un dispositivo WatchGuard con una dirección IP de 10.10.10.10, ingrese https://10.10.10.10:4100 en la barra de direcciones del explorador web.
216
Fireware XTM Web UI
Autenticación
Si desea enviar una solicitud de autenticación a través de un dispositivo de puerta de enlace hacia un dispositivo diferente, puede ser necesario agregar la política WG-Autoriz manualmente. Si el tráfico de autenticación es negado en el dispositivo de puerta de enlace, debe usar el Policy Manager para agregar la política WG-Autoriz. Modifique esa política para permitir el tráfico hacia la dirección IP del dispositivo de destino. Para obtener más información sobre cuando modificar la política de autenticación de WatchGuard, vea Use la autenticación para restringir el tráfico entrante en la página 212.
Acerca de Single Sign-On (SSO) Cuando los usuarios inician la sesión en los equipos en su red, deben presentar un nombre de usuario y contraseña. Si usa la autenticación en Active Directory en su Firebox para restringir el tráfico de red saliente a usuarios o grupos determinados, ellos también deben iniciar sesión nuevamente cuando se autentican manualmente al dispositivo para acceder a recursos de red, como la Internet. Puede usar Single Sign-On (SSO) para permitir que usuarios en las redes de confianza o opcional se autentiquen automáticamente al Firebox cuando inician sesión en sus equipos. El SSO de WatchGuard es una solución en dos partes, que incluye el agente SSO y los servicios de cliente SSO. Para que SSO funcione, el software del agente SSO debe estar instalado en un equipo en su dominio. El software cliente SSO es opcional y está instalado en el equipo cliente de cada usuario. El software del agente SSO hace un llamado al equipo cliente por el puerto 4116 para verificar quién está registrado en el momento. Si no hay respuesta, el agente SSO retorna al protocolo anterior de las versiones anteriores a WSM 10.2.4, y hace un llamadoNetWkstaUserEnum al equipo cliente. Entonces usa la información recibida para autenticar un usuario en Single Sign-On. Si el cliente SSO no está instalado, el agente SSO puede obtener más de una respuesta del equipo que consulta. Eso puede ocurrir si más de un usuario inicia sesión en el mismo equipo, o debido a los accesos por lotes o servicio que ocurren en el equipo. El agente SSO usa sólo la primera respuesta recibida del equipo y reporta aquel usuario a Firebox como el usuario que está registrado. El dispositivo puede comparar la información del usuario con todas las políticas definidas para aquel usuario y/o grupo de usuarios de una sola vez. El agente SSO, por defecto, pone en caché esos datos por unos 10 minutos para que no sea necesario generar una consulta para cada conexión. Cuando el software cliente SSO está instalado, recibe un llamado del agente SSO y devuelve información precisa sobre el usuario que está actualmente registrado en la estación de trabajo. El agente SSO no establece contacto con el servidor de Active Directory para obtener credenciales del usuario, porque recibe la información correcta sobre quién está registrado actualmente en un equipo y a cuáles grupos de Active Directory el usuario pertenece, desde el cliente SSO. Si trabaja en un ambiente donde más de una persona usa un equipo, recomendamos que instale el software cliente SSO. Si no usa el cliente SSO, hay limitaciones de control de acceso a las que se debe prestar atención. Por ejemplo, para servicios instalados en un equipo cliente (tal como un cliente antivirus administrado de modo central) que hayan sido desplegados para que el inicio de sesión se hiciera con las credenciales de la cuenta de dominio, Firebox ofrece derechos de acceso a todos los usuarios definidos a
Guía del Usuario
217
Autenticación
partir del primer usuario registrado (y los grupos a los cuales ese usuario pertenece), y no las credenciales de usuarios individuales que inician sesión interactivamente. Además, todos los mensajes de registro generados a partir de la actividad de usuario muestran el nombre de usuario de la cuenta de servicio y no el usuario individual. Nota Si no instala el cliente SSO, recomendamos que no use el SSO en ambientes donde los usuarios se registran a equipos con inicio de sesión por lote o de servicio. Cuando más de un usuario está asociado a una dirección IP, los permisos de red pueden no funcionar correctamente. Eso puede representar un riesgo de seguridad.
Antes de empezar n n n n
n
n
n
n n
Debe tener un Active Directory Server configurado en una red de confianza u opcional. Su Firebox debe estar configurado para usar la Active Directory Authentication. Cada usuario debe tener una cuenta configurada en el Active Directory Server. Cada usuario debe registrarse en una cuenta de dominio para que Single Sign-On (SSO) funcione correctamente. Si los usuarios se registran a una cuenta que existe sólo en sus equipos locales, sus credenciales no son verificadas y el Firebox no reconoce que están registrados. Si usa un software de firewall de terceros en sus equipos en red, asegúrese de que el puerto TCP 445 (Samba/Windows Network) esté abierto en cada cliente. Asegúrese de que la opción de compartir impresoras y archivos esté habilitada en todos los equipos desde los cuales los usuarios se autentican con SSO. Asegúrese de que los puertos NetBIOS y SMS no estén bloqueados en todos los equipos desde los cuales los usuarios se autentican con SSO. NetBIOS usa puertos TCP/UDP 137, 138 y 139. SMB usa el puerto TCP 445. Asegúrese de que el puerto 4116 esté abierto en los equipos cliente. Asegúrese de que todos los equipos desde los cuales los usuarios se autentican con SSO sean miembros del dominio con relaciones de confianza absoluta.
Configurar SSO Para usar el SSO, debe instalar el software del agente SSO. Recomendamos que también instale el cliente SSO en los equipos de los usuarios. Aunque sólo pueda usar el SSO con el agente SSO, la seguridad y el control de acceso aumentan cuando también se usa el cliente SSO. Para configurar el SSO, siga esos pasos: 1. Instalar el agente de Single Sign-On (SSO) de WatchGuard. 2. Instale el cliente de Single Sign-On (SSO) de WatchGuard (opcional, pero recomendado). 3. Activar Single Sign-On (SSO).
Instalar el agente de Single Sign-On (SSO) de WatchGuard Para usar Single Sign-On (SSO), debe instalar el agente SSO de WatchGuard. El agente SSO es un servicio que recibe solicitudes de autenticación de Firebox y verifica el estado del usuario con el servidor de Active Directory. El servicio es ejecutado con el nombre de WathGuard Authentication Gateway en el equipo en el cual se instala el software agente SSO. Ese equipo debe tener instalado el Microsoft.NET Framework 2.0
218
Fireware XTM Web UI
Autenticación
o versión posterior. Nota Para usar Single Sign-On en su Firebox, debe instalar el agente SSO en un equipo dominio con dirección IP estática. Recomendamos que instale el agente SSO en su controlador de dominio.
Descargar el software del agente SSO 1. 2. 3. 4. 5.
Abrir un explorador web e ir a http://www.watchguard.com/. Iniciar sesión con su nombre de usuario y contraseña de LiveSecurity Service. Haga clic en el enlace Descargas de Software. Seleccione el tipo de dispositivo y número de modelo. Descargue el software WatchGuard Authentication Gateway y guarde el archivo en una ubicación adecuada.
Antes de instalar El servicio del agente SSO debe ser ejecutado como cuenta de usuario, no como cuenta de administrador. Recomendamos que cree una nueva cuenta de usuario para esa finalidad. Para que el servicio del agente SSO funcione correctamente, configure la cuenta de usuario con estas propiedades: n n n n
Agregar la cuenta al grupo Admin de Dominio. Convertir Admin de Dominio en un grupo principal. Permitir que el inicio de sesión en la cuenta como un servicio. Definir contraseña para que nunca caduque.
Instalar el servicio del agente SSO 1. Haga doble clic en WG-Authentication-Gateway.exe para iniciar el Asistente de Configuración del Authentication Gateway. En algunos sistemas operativos, puede ser necesario insertar una contraseña de administrador local para ejecutar el instalador. 2. Para instalar el software, use las instrucciones en cada página y complete el asistente. Para el nombre de usuario del dominio, ingrese el nombre de usuario en el formato: dominio\nombre de usuario . No incluya la parte .com o .net del domain name. Por ejemplo, si el dominio es mywatchguard.com y se use la cuenta de dominio ssoagente, inserte mywatchguard\ssoagente . También puede usar el formato UPN del nombre de usuario:
[email protected] . Si usa el formato UPN del nombre de usuario, debe incluir la parte .com o .net del domain name. 3. Para cerrar el asistente, haga clic en Finalizar. Después que el asistente concluya, el servicio de WatchGuard Authentication Gateway inicia automáticamente. Cada vez que el equipo se reinicia, el servicio inicia automáticamente.
Guía del Usuario
219
Autenticación
Instale el cliente de Single Sign-On (SSO) de WatchGuard Como parte de la solución de Single Sign-On (SSO) de WatchGuard, se puede instalar el cliente SSO de WatchGuard. El cliente SSO es instalado como un servicio de Windows y ejecutado en la cuenta del Sistema Local en una estación de trabajo para verificar las credenciales del usuario con sesión iniciada en aquel equipo. Cuando un usuario intenta autenticarse, el agente SSO envía una solicitud de credenciales de usuario al cliente SSO. Entonces, el cliente SSO devuelve las credenciales al usuario con sesión iniciada en la estación de trabajo. El cliente SSO analiza en el puerto 4116. Como el instalador del cliente SSO es un archivo MSI, se puede elegir instalarlo automáticamente en los equipos de los usuarios cuando inician sesión en el dominio. Puede usar la Política de Grupo de Active Directory para instalar el software automáticamente cuando los usuarios inicien sesión en su dominio. Para obtener más información acerca del despliegue de instalación del software para los objetos de política de grupo de Active Directory, vea la documentación de su sistema operativo.
Descargar el software cliente SSO 1. 2. 3. 4. 5.
Use su explorador web para ir a http://www.watchguard.com/. Iniciar sesión con su nombre de usuario y contraseña de LiveSecurity Service. Haga clic en el enlace Descargas de Software. Seleccione el tipo de dispositivo y número de modelo. Descargue el software WatchGuard Authentication Client y guarde el archivo en una ubicación adecuada.
Instale el servicio cliente SSO 1. Haga doble clic en WG-Authentication-Client.msi para iniciar el Asistente de Configuración de Authentication Client. En algunos sistemas operativos, puede ser necesario insertar una contraseña de administrador local para ejecutar el instalador. 2. Para instalar el software, use las instrucciones en cada página y complete el asistente. Para ver cuáles unidades están disponibles para instalar el cliente y cuánto espacio está disponible en cada una de las unidades, haga clic en Costo de Disco. 3. Para cerrar el asistente, haga clic en Cerrar. El servicio WatchGuard Authentication Client inicia automáticamente cuando el asistente concluye e inicia siempre que el equipo reinicia.
Activar Single Sign-On (SSO) Antes de configurar el SSO, debe: n n n
220
Configurar su Active Directory Server Instalar el agente de Single Sign-On (SSO) de WatchGuard Instale el cliente de Single Sign-On (SSO) de WatchGuard (opcional)
Fireware XTM Web UI
Autenticación
Activar y configurar el SSO Para activar y configurar el SSO desde Fireware XTM Web UI: 1. Seleccione Single Sign-On por > Autenticación. Aparece la página "Single Sign-On por Autenticación".
2. Seleccione la casilla de verificación Activar Single Sign-On (SSO) con Active Directory. 3. En el cuadro de texto Dirección IP de Agente SSO , ingrese la dirección IP de su Agente SSO. 4. En el cuadro de texto Poner datos en caché por , ingrese o seleccione el período de tiempo que se guardan los datos del agente SSO en caché. 5. En la lista Excepciones de SSO , agregar o remover las direcciones IP del host para las cuales no desea que el dispositivo envíe consultas de SSO. Para obtener más información sobre excepciones de SSO, vea la sección siguiente. 6. Haga clic Guardar para guardar los cambios.
Definir excepciones de SSO Si su red incluye dispositivo con direcciones IP que no requieren autenticación, como servidores de red, servidores de impresoras o equipos que no forman parte del dominio, recomendamos que agregue sus direcciones IP a la lista de Excepciones de SSO. Cada vez que ocurre una conexión desde uno de esos dispositivo y la dirección IP para el dispositivo no está en la lista de excepciones, el Firebox contacta al agente SSO para intentar asociar la dirección IP al nombre de usuario. Eso lleva cerca de 10 segundos. Use la lista de excepciones para evitar que se produzcan retrasos en cada conexión y que se reduzca el tráfico de red innecesariamente.
Guía del Usuario
221
Autenticación
Tipos de servidores de autenticación El sistema operativo de Fireware XTM soporta seis métodos de autenticación: n n n n n n
Configure su Firebox como servidor de autenticación Configurar autenticación de servidor RADIUS Configurado autenticación de servidor VASCO Configurar autenticación SecurID Configurar autenticación LDAP Configurar autenticación en Active Directory
Puede configurar uno o más tipos de servidor de autenticación para un dispositivo WatchGuard. Si usa más de un tipo de servidor de autenticación, los usuarios deben seleccionar el tipo de servidor de autenticación en una lista desplegable cuando se autentican.
Acerca de la utilización de servidores de autenticación de terceros Si usa un servidor de autenticación de terceros, no necesita mantener una base de datos separada en el dispositivo WatchGuard. Se puede configurar un servidor externo, instalar el servidor de autenticación con acceso al dispositivo y poner el servidor como resguardo del dispositivo, por seguridad. Se puede entonces configurar el dispositivo para que reenvíe las solicitudes de autenticación de usuario a ese servidor. Si crea un grupo de usuarios en el dispositivo que se autentica en un servidor externo, asegúrese de crear un grupo en el servidor que tenga el mismo nombre que el grupo de usuarios en el dispositivo. Para configurar un dispositivo WatchGuard para servidores de autenticación externos, vea: n n n n n
Configurar autenticación de servidor RADIUS Configurado autenticación de servidor VASCO Configurar autenticación SecurID Configurar autenticación LDAP Configurar autenticación en Active Directory
Use un servidor de autenticación de resguardo Puede configurar un servidor de autenticación principal y de resguardo con cualquier tipo de autenticación de terceros. Si el dispositivo WatchGuard no puede conectarse al autenticación principal después de tres intentos, el servidor principal queda marcado como inactivo y se genera un mensaje de alarma. El dispositivo entonces se conecta con el servidor de autenticación de resguardo. Si el dispositivo WatchGuard no puede conectarse al servidor de autenticación de resguardo, espera diez minutos y luego intentar conectarse al servidor de autenticación principal nuevamente. El servidor inactivo es marcado como activo después que se alcanza el intervalo de tiempo.
222
Fireware XTM Web UI
Autenticación
Configure su Firebox como servidor de autenticación Si no usa un servidor de autenticación externo, puede usar el Firebox como servidor de autenticación. Ese procedimiento divide su empresa en grupos y usuarios para autenticación. Cuando asigne usuarios a grupos, asegúrese de asociarlos por tarea e información que usan. Por ejemplo, puede tener un grupo para contabilidad, un grupo de marketing y un grupo de investigación y desarrollo. También puede haber un grupo de nuevos empleados con acceso a Internet más controlado. Cuando se crea un grupo, se define el procedimiento de autenticación para los usuarios, el tipo de sistema e información que pueden acceder. Un usuario puede ser una red o un equipo. Si su empresa cambia, se puede agregar o quitar usuarios de sus grupos. El servidor de autenticación de Firebox está activado por defecto. No necesita activarlo antes de agregar usuarios y grupos.
Tipos de autenticación de Firebox Puede configurar el Firebox para autenticar usuarios para cuatro tipos diferentes de autenticación: n n n n
Firewall autenticación de conexiones de Mobile VPN with PPTP Configurar el Firebox para Mobile VPN with IPSec Conexiones de Mobile VPN con SSL
Cuando la autenticación tiene éxito, el Firebox enlaza esos elementos: n n n n
Nombre de usuario Grupo (o grupos) de usuarios de Firebox del cual el usuario es un miembro Dirección IP del equipo usado para autenticarse Dirección IP virtual del equipo usado para conectarse a Mobile VPN
Firewall autenticación Se crean cuentas y grupos de usuarios para permitirles que se autentiquen. Cuando un usuario se autentica con Firebox, sus credenciales y dirección IP del equipo son usadas para encontrar si alguna política se aplica al tráfico que el equipo envía y recibe. Para crear una cuenta de usuario de Firebox: 1. Definir un nuevo usuario para autenticación en Firebox. 2. Definir un nuevo grupo para autenticación de Firebox y poner el nuevo usuario en aquel grupo. 3. Cree una política que permita el tráfico sólo desde y hacia una lista de nombres o grupos de usuarios Firebox. Esa política se aplica sólo si se recibe o envía un paquete a la dirección IP del usuario autenticado. Para autenticarse con una conexión HTTPS al Firebox a través del puerto 4100: 1. Abra un explorador web y diríjase a: https://:4100/
Guía del Usuario
223
Autenticación
2. Ingrese el nombre de usuario y contraseña. 3. Seleccione Dominio en la lista desplegable. Ese campo sólo aparece si puede elegir más de un dominio. 4. Haga clic en Ingresar. Si las credenciales son válidas, el usuario será autenticado.
de conexiones de Mobile VPN with PPTP Al activar Mobile VPN with PPTP en su Firebox, los usuarios incluidos en el grupo de Mobile VPN with PPTP pueden usar la función de PPTP incluida en el sistema operativo del equipo para establecer una conexión PPTP con el dispositivo. Como el Firebox permite la conexión PPTP desde cualquier usuario Firebox que ofrezca las credenciales correctas, es importante que se haga una política para sesiones de PPTP que incluya sólo usuarios que desea autorizar el envío de tráfico a través de la sesión PPTP. También puede añadir un grupo o usuario individual a una política que restrinja el acceso a los recursos detrás de Firebox. Firebox crea un grupo preconfigurado denominado usuarios PPTP para esa finalidad. Para configurar una conexión de Mobile VPN con PPTP: 1. En el Fireware XTM Web UI, seleccione VPN>Mobile VPN with PPTP. 2. Seleccione la casilla de verificación Activar Mobile VPN with PPTP. 3. Asegúrese de que la casilla de verificación Usar autenticación RADIUS para autenticar usuarios de Mobile VPN with PPTP no esté seleccionada. Si la casilla de verificación está seleccionada, el servidor de autenticación RADIUS autentica la sesión PPTP. Si limpia esa casilla, Firebox autentica la sesión PPTP. Firebox averigua si el nombre de usuario y contraseña insertados por el usuario en el cuadro de diálogo de la conexión de VPN coincide con las credenciales del usuario en la base de datos de usuarios de Firebox que es miembro del grupo de usuarios PPTP. Si las credenciales aportadas por el usuario coinciden con una cuenta en la base de datos de usuarios de Firebox, el usuario es autenticado para una sesión PPTP.
4. Crear una política que permita el tráfico solo desde y hacia una lista de nombres o grupos de usuarios Firebox. El Firebox no observa esa política, a no ser que haya tráfico desde o hacia la dirección IP del usuario autenticado.
Conexiones de Mobile VPN con IPSec Al configurar su dispositivo WatchGuard para hospedar sesiones de Mobile VPN con IPSec, cree políticas en su dispositivo y luego use el cliente de Mobile VPN con IPSec para permitir que sus usuarios accedan a su red. Después de configurar el dispositivo WatchGuard, cada equipo cliente debe ser configurado con el software cliente de Mobile VPN con IPSec. Cuando el equipo del usuario está correctamente configurado, el usuario hace la configuración de Mobile VPN. Si las credenciales usadas para la autenticación coinciden con una entrada en la base de datos de usuarios de Firebox, y si el usuario está en el grupo de Mobile VPN creado, la sesión de Mobile VPN es autenticada. Para configurar la autenticación para Mobile VPN with IPSec:
224
Fireware XTM Web UI
Autenticación
1. Configurar una conexión de Mobile VPN con IPSec. 2. Instalar el software cliente de Mobile VPN con IPSec.
Conexiones de Mobile VPN con SSL Puede configurar el Firebox para hospedar sesiones de Mobile VPN con SSL. Cuando Firebox está configurado con una conexión de Mobile VPN with SSL, los usuarios incluidos en el grupo de Mobile VPN with SSL pueden instalar y usar el software cliente de Mobile VPN con SSL para establecer una conexión SSL. Como el Firebox permite la conexión SSL desde cualquiera de sus usuarios que ofrezca las credenciales correctas, es importante que se haga una política para sesiones de SSL que incluya sólo usuarios que desea autorizar que envíen tráfico a través de la sesión SSL. También se puede agregar esos usuarios a un Grupo de Usuarios de Firebox y crear una política que permita el tráfico sólo desde ese grupo. Firebox crea un grupo preconfigurado denominado usuarios SSLVPN para esa finalidad. Para configurar una conexión de Mobile VPN con SSL: 1. En el Fireware XTM Web UI, seleccione VPN> Mobile VPN with SSL. Aparece la página "Configuración de Mobile VPN con SSL".
2. Configurar el dispositivo Firebox o XTM para Mobile VPN with SSL.
Definir un nuevo usuario para autenticación en Firebox 1. En el Fireware XTM Web UI, seleccione servidores de >autenticación. Aparece la página "Servidores de autenticación".
2. En la pestaña Firebox de los Servidores de Autenticación página, haga clic en Agregar abajo de la lista Usuarios. Aparece el cuadro de diálogo "Configurar Usuario de Firebox".
Guía del Usuario
225
Autenticación
3. Ingrese el Nombre y (opcional) una Descripción del nuevo usuario. 4. Ingrese y confirme la frase de contraseña que desea que la persona use para autenticarse. Nota Al definir esa frase de contraseña, los caracteres están enmascarados y no aparecen en el texto simple de nuevo. Si pierde la frase de contraseña, debe definir una nueva. 5. En el campo Tiempo de espera de sesión, defina el período máximo de tiempo que el usuario puede enviar tráfico a la red externa. La configuración mínima para este campo es de un (1) segundos, minutos, horas o días. El valor máximo es de 365 días. 6. En el campo Tiempo de espera inactivo, establezca la cantidad de tiempo que el usuario puede permanecer autenticado mientras está inactivo (sin transmitir tráfico hacia la red externa). La configuración mínima para este campo es de un (1) segundos, minutos, horas o días. El valor máximo es de 365 días. 7. Para agregar un usuario a un Grupo de Autenticación de Firebox, seleccione el nombre de usuario en la lista Disponible. 8. Haga clic en para desplazar el nombre a la lista Miembro. O bien, puede hacer doble clic en el nombre de usuario en la lista Disponible. El usuario es agregado a la lista de usuarios. Puede entonces agregar más usuarios. 9. Para cerrar el cuadro de diálogo Configurar usuario de Firebox, haga clic en Aceptar. Aparece la pestaña "Usuarios de Firebox" con un listado de los nuevos usuarios.
226
Fireware XTM Web UI
Autenticación
Definir un nuevo grupo para autenticación de Firebox 1. En el Fireware XTM Web UI, seleccione servidores de >autenticación. Aparece la página "Servidores de autenticación".
2. Seleccione la pestaña Firebox. 3. Haga clic en Agregar bajo de la lista Grupos. Aparece el cuadro de diálogo "Configurar Grupo de Firebox".
4. Ingrese un nombre para el grupo. 5. (Opcional) Ingrese una descripción para el grupo. 6. Para agregar un usuario al grupo, seleccione el nombre de usuario en la lista Disponible. Haga clic en para desplazar el nombre a la lista Miembro. También puede hacer doble clic en el nombre de usuario en la lista "Disponible".
7. Después de agregar todos los usuarios necesarios al grupo, haga clic en Aceptar. Ahora puede configurar políticas y autenticación con esos usuarios y grupos, tal como se describe en Use los usuarios y grupos autorizados en políticas en la página 248.
Configurar autenticación de servidor RADIUS RADIUS (Servicio de Usuario de Marcado por Autenticación Remota) autentica los usuarios locales y remotos en una red empresarial. RADIUS es un sistema cliente/servidor que guarda en una base de datos central los datos de autenticación de los usuarios, servidores de acceso remoto, puertas de enlace de VPN y otros recursos. Para más información acerca de la autenticación por RADIUS, vea Como la autenticación del servidor RADIUS funciona en la página 230.
Guía del Usuario
227
Autenticación
Clave de autenticación Los mensajes de autenticación hacia y desde el servidor RADIUS usan una clave de autenticación, no una contraseña. Esa clave de autenticación, o shared secret, debe ser la misma en el cliente y servidor RADIUS. Sin esa clave, no puede haber comunicación entre cliente y servidor.
Los métodos de autenticación de RADIUS Para autenticación por web y Mobile VPN with IPSec o SSL, RADIUS soporta solamente la autenticación PAP (siglas en inglés para Protocolo de Autenticación por Contraseña). Para autenticación con PPTP, RADIUS soporta sólo MSCHAPv2 ( Protocolo de autenticación por desafío mutuo de Microsoft versión 2).
Antes de empezar Antes de configurar su dispositivo WatchGuard para usar el servidor de autenticación RADIUS, es necesario tener esta información: n n n
n
Servidor RADIUS principal — dirección IP y puerto RADIUS Servidor RADIUS secundario (opcional) — dirección IP y puerto RADIUS Secreto compartido — Contraseña que distingue mayúsculas de minúsculas, que sea igual en el dispositivo WatchGuard y en el servidor RADIUS Métodos de autenticación — Defina su servidor RADIUS para permitir el método de autenticación que su dispositivo WatchGuard utiliza: PAP o MS CHAP v2
Usar la autenticación por servidor RADIUS con su dispositivo WatchGuard Para usar la autenticación por servidor RADIUS con su dispositivo WatchGuard, debe: n
n n
Agregar la dirección IP del dispositivo WatchGuard al servidor RADIUS, tal como se describe en la documentación de su proveedor RADIUS. Activar y especificar el servidor RADIUS en la configuración de su dispositivo WatchGuard. Agregar nombres de usuario o nombres de grupo RADIUS a sus políticas.
Para activar y especificar el(los) servidor(es) RADIUS en su configuración: En Fireware XTM Web UI: 1. Seleccione Servidores >de autenticación. Aparece la página "Servidores de autenticación".
2. Haga clic en la pestaña servidor RADIUS.
228
Fireware XTM Web UI
Autenticación
3. Para activar el servidor RADIUS y activar los campos en este cuadro de diálogo, seleccione la casilla de verificación Activar servidor . 4. En el cuadro de texto Dirección IP, ingrese la dirección IP del servidor RADIUS. 5. En el campo Puerto, asegúrese de que aparezca el número de puerto que RADIUS usa para autenticación. El número de puerto predeterminado es 1812. Los servidores RADIUS más antiguos pueden usar puerto 1645. 6. En el frase de contraseña secreta , ingrese el secreto compartido entre el dispositivo WatchGuard y el servidor RADIUS. El secreto compartido distingue mayúsculas de minúsculas, y debe ser igual en el dispositivo WatchGuard y en el servidor RADIUS. 7. En el cuadro de texto ConfirmarFrase de contraseña, ingrese el secreto compartido nuevamente. 8. Ingrese o seleccione el valor de tiempo de espera. El valor de tiempo de espera es el período de tiempo que el dispositivo WatchGuard espera la respuesta del servidor de autenticación antes de intentar establecer una nueva conexión. 9. En el cuadro de texto Reintentos, inserte o seleccione el número de veces que el dispositivo WatchGuard intenta conectarse al servidor de autenticación (el tiempo de espera está especificado arriba) antes de reportar una conexión fallida por un intento de autenticación. 10. En el cuadro de texto atributo Grupo, ingrese o seleccione un valor del atributo. El atributo Grupo predeterminado es FilterID, que es el atributo 11 de RADIUS.
Guía del Usuario
229
Autenticación
El valor del atributo Grupo es usado para definir el atributo que lleva la información de grupo de usuarios. Debe configurar el servidor RADIUS para que incluya la cadena FilterID en el mensaje de autenticación de usuario que envía al dispositivo WatchGuard. Por ejemplo, ingenieroGrupo o finanzaGrupo. Esa información luego es utilizada para control de acceso. El dispositivo WatchGuard hace coincidir la cadena de FilterID con el nombre de grupo configurado en las políticas del dispositivo WatchGuard. 11. En el cuadro de texto Tiempo muerto , ingrese o seleccione el período de tiempo a partir del cual un servidor inactivo queda marcado como activo nuevamente. Seleccione minutos o horas de la lista desplegable al lado para alterar la duración. Después que un servidor de autenticación no haya respondido por un período de tiempo, éste queda marcado como inactivo. Este servidor no realizará intentos seguidos de autenticación hasta que esté marcado como activo nuevamente. 12. Para agregar un servidor RADIUS de resguardo, seleccione la pestaña Configuración del servidor secundario y seleccione .Activar servidor RADIUS secundario . 13. Repetir los pasos 4 - 11 para agregar la información en los campos requeridos. Asegúrese de que el secreto compartido sea el mismo en el servidor RADIUS principal y de resguardo. Para más informaciones, vea Use un servidor de autenticación de resguardo en la página 222. 14. Haga clic en Guardar.
Como la autenticación del servidor RADIUS funciona RADIUS es un protocolo que fue diseñado originalmente para autenticar usuarios remotos en un servidor de acceso por marcado. RADIUS ahora es usado en una amplia gama de ambientes de autenticación. RADIUS es un protocolo cliente-servidor, en el cual Firebox es el cliente y el servidor RADIUS es el servidor. (El cliente RADIUS a veces es denominado Servidor de Acceso a la Red, o NAS en sus siglas en inglés). Cuando un usuario intenta autenticarse, Firebox envía un mensaje al servidor RADIUS. Si el servidor RADIUS está configurado adecuadamente para que Firebox sea un cliente, RADIUS envía un mensaje de aceptar o rechazar al Firebox (el Servidor de Acceso de Red). Cuando Firebox usa el RADIUS para un intento de autenticación: 1. El usuario intenta autenticarse, sea a través de una conexión de HTTPS por el explorador al Firebox por el puerto 4100 o a través de una conexión usando Mobile VPN with PPTP o IPSec. Firebox lee el nombre de usuario y contraseña. 2. Firebox crea un mensaje llamado mensajes Acceso-Solicitar y lo envía al servidor RADIUS. Firebox usa el secreto compartido de RADIUS en el mensaje. La contraseña siempre está cifrada en el mensaje Acceso-Solicitar. 3. El servidor RADIUS se asegura de que el mensaje Acceso-Solicitar sea de un cliente conocido (el Firebox). Si el servidor RADIUS no está configurado para aceptar Firebox como cliente, el servidor rechaza el mensaje Acceso-Solicitar y no retorna el mensaje. 4. Si Firebox es un cliente conocido del servidor RADIUS y el secreto compartido está correcto, el servidor encuentra el método solicitado de autenticación en el mensaje Acceso-Solicitar.
230
Fireware XTM Web UI
Autenticación
5. Si el mensaje Acceso-Solicitar usa un método de autenticación permitido, el servidor RADIUS obtiene las credenciales de usuarios en el mensaje y busca una coincidencia en una base de datos de usuarios. Si el nombre de usuario y contraseña coinciden con una entrada de la base de datos, el servidor RADIUS puede obtener información adicional acerca del usuario en la base de datos de usuarios (tal como la aprobación de acceso remoto, membresía de grupo, horas de conexión, etc.) 6. El servidor RADIUS verifica si tiene una política de acceso o un perfil en su configuración que coincida con todas las informaciones disponibles sobre el usuario. Caso exista tal política, el servidor envía una respuesta. 7. Si falla cualquiera de las condiciones anteriores, o si el servidor RADIUS no tiene una política que coincida, envía un mensaje de Acceso-Rechazar que muestra la falla de autenticación. La transacción de RADIUS termina y el usuario tiene el acceso negado. 8. Si el mensaje Acceso-Solicitar cumple con todas las condiciones anteriores, RADIUS envía un mensaje Acceso-Aceptar a Firebox. 9. El servidor RADIUS usa el secreto compartido para cualquier respuesta que envía. Si el secreto compartido no coincide, Firebox rechaza la respuesta de RADIUS. 10. Firebox lee el valor de cualquier atributo FilterID en el mensaje. Conecta el nombre de usuario con el atributo FilterID para poner el usuario en un grupo RADIUS. 11. El servidor RADIUS puede incluir grandes volúmenes de información adicional en el mensaje Acceso-Aceptar. Firebox ignora gran parte de esa información, como los protocolos que el usuario está permitido usar (como PPP o SLIP), los puertos a los que el usuario puede acceder, tiempo de espera de inactividad y otros atributos. 12. El único atributo que Firebox busca en el mensaje Acceso-Aceptar es el atributo FilterID (atributo RADIUS número 11). El FilterID es una cadena de texto que se configura el servidor RADIUS para incluir en el mensaje Acceso-Aceptar. Ese atributo es necesario para que Firebox asigne el usuario a un grupo RADIUS. Para obtener más informaciones sobre grupos RADIUS, vea la siguiente sección.
Acerca de los grupos RADIUS Al configurar la autenticación RADIUS, puede definir el número del atributo Grupo. Fireware XTM lee el número del atributo Grupo en Fireware XTM Web UI para decir qué atributo RADIUS lleva la información de grupo RADIUS. Fireware XTM reconoce sólo el atributo RADIUS número 11, FilterID, como atributo Grupo. Al configurar el servidor de RADIUS, no altere el valor predeterminado en 11 del número del atributo de Grupo. Cuando Firebox recibe el mensaje de Acceso-Aceptar de RADIUS, lee el valor del atributo FilterID y usa ese valor para asociar el usuario a un grupo RADIUS. (Debe configurar el FilterID manualmente en su configuración de RADIUS.) Por lo tanto, el valor del atributo FilterIP es el nombre del grupo RADIUS donde el Firebox pone el usuario. Los grupos RADIUS que usa en Fireware XTM Web UI no son los mismos que los grupos Windows definidos en su controlador de dominio o cualquier otro grupo existente en su base de datos de usuarios de dominio. Un grupo RADIUS es sólo un grupo lógico de usuarios utilizado por Firebox. Asegúrese de que la cadena de texto FilterID esté seleccionada. Puede hacer que el valor de FilterID coincida con el nombre de un grupo local o grupo de dominio en su organización, pero eso no es necesario. Recomendamos que use un nombre descriptivo que lo ayude a recordar cómo definió sus grupos de usuarios.
Guía del Usuario
231
Autenticación
Utilización práctica de grupos RADIUS Si su organización tiene muchos usuarios que autenticar, puede facilitar la administración de sus políticas de Firebox al configurar el RADIUS para que envíe el valor FilterID a muchos usuarios. Firebox pone a todos los usuarios en un grupo lógico para que sea fácil administrar el acceso de los usuarios. Cuando crea una política en Fireware XTM Web UI que permita que sólo usuarios autenticados accedan a un recurso de red, se usa el nombre de grupo RADIUS en vez de agregar una lista de varios usuarios individuales. Por ejemplo, cuando María se autentica, la cadena FilterID que RADIUS envía es Ventas, así que Firebox pone a María en el grupo RADIUS de Ventaspor el tiempo que ella esté autenticada. Si los usuarios Juan y Alicia se autentican concomitantemente, y RADIUS pone el mismo valor FilterID Ventas en los mensajes Acceso-Aceptar para Juan y Alicia, entonces, María, Juan y Alicia están todos en el mismo grupo Ventas. Puede crear una política en Fireware XTM Web UI que permita al grupo Ventas acceder a un recurso. Puede configurar RADIUS para enviar resultados de un FilterID diferente, tal como Soporte de TI, para los miembros de su organización de soporte interno. También puede crear una política diferente para permitir que los usuarios de Soporte de TI accedan a recursos. Por ejemplo, puede permitir que el grupo Ventas acceda a Internet usando una política de HTTP filtrada. También puede filtrar su acceso web con WebBlocker. Una política diferente en el Policy Manager puede permitir que los usuarios de Soporte de TI accedan a Internet con la política de HTTP no filtrada, para que puedan acceder a Internet sin el filtro de WebBlocker. Use el nombre del grupo RADIUS (o nombres de usuario) en el campo De de un política para mostrar cuáles grupos (o cuáles usuarios) pueden usar la política.
Valores de tiempo de espera y reintentos. Ocurre una falla de autenticación cuando no se recibe respuesta del servidor RADIUS principal. Después de tres intentos fallidos de autenticación, el Fireware XTM usa el servidor RADIUS secundario. Ese proceso se denomina conmutación por error. Nota Ese número de intentos de autenticación no es el mismo que el número de reintentos. No es posible alterar el número de intentos de autenticación antes que ocurra la conmutación por error. Firebox envía un mensaje Acceso-Solicitar al primer servidor RADIUS en la lista. Si no hay respuesta, Firebox espera el número de segundos definido en el cuadro Tiempo de espera y entonces envía otro AccesoSolicitar. Eso continúa por el número de veces indicado en el cuadro Reintento (o hasta que haya una respuesta válida). Si no hay una respuesta válida del servidor RADIUS, o si el secreto compartido de RADIUS no coincide, Fireware XTM lo considera un intento fallido de autenticación. Después de tres intentos fallidos de autenticación, Fireware XTM usa el servidor RADIUS secundario para el siguiente intento de autenticación. Si el servidor secundario tampoco logra contestar después de tres intentos de autenticación, Fireware XTM espera diez minutos para que el administrador corrija el problema. Después de diez minutos, Fireware XTM intenta usar el servidor RADIUS principal nuevamente.
232
Fireware XTM Web UI
Autenticación
Configurado autenticación de servidor VASCO La autenticación por el servidor VASCO usa el software VACMAN Middleware para autenticar usuarios remotos a una red empresarial a través de un ambiente de servidor web o RADIUS. VASCO también soporta múltiples ambientes de servidor de autenticación. El sistema por token de contraseña única de VASCO permite eliminar el enlace más débil de su infraestructura de seguridad - el uso de contraseñas estáticas. Para usar la autenticación por servidor VASCO con su dispositivo WatchGuard, debe: n
n
n
Agregar la dirección IP del dispositivo WatchGuard al VACMAN Middleware Server, tal como se describe en la documentación de su proveedor VASCO. Activar y especificar el VACMAN Middleware Server en la configuración de su dispositivo WatchGuard. Agregar nombres de usuario y de grupo a las políticas en el Policy Manager.
La autenticación por servidor VASCO es configurada usando las configuraciones del servidor RADIUS. El cuadro de diálogo Servidores de autenticación no tiene una pestaña separada para servidores VACMAN Middleware Server. En Fireware XTM Web UI: 1. Seleccione Servidores >de autenticación. Aparece la página "Servidores de autenticación".
2. Haga clic en la pestaña RADIUS.
Guía del Usuario
233
Autenticación
3. Para activar el VACMAN Middleware Server y activar los campos en ese cuadro de diálogo, seleccione la casilla de verificación Servidor. 4. En el cuadro de texto Dirección IP, ingrese la dirección IP del VACMAN Middleware Server. 5. En el cuadro de texto Puerto, asegúrese de que apareza el número de puerto que VASCO usa para autenticación. El número de puerto predeterminado es 1812. 6. En el cuadro de texto frase de contraseña secreta , inserte el secreto compartido entre el dispositivo WatchGuard y el VACMAN Middleware Server. El secreto compartido distingue mayúsculas de minúsculas, y debe ser igual en el dispositivo WatchGuard y en el servidor. 7. En el cuadro de texto Confirmar , ingrese el secreto compartido nuevamente. 8. En el cuadro de texto Tiempo de espera, inserte o seleccione el período de tiempo que el dispositivo WatchGuard espera la respuesta del servidor de autenticación antes de intentar establecer una nueva conexión. 9. En el cuadro de texto Reintentos , ingrese o seleccione el número de veces que el dispositivo WatchGuard intenta conectarse al servidor de autenticación antes de reportar un error de conexión por un intento de autenticación. 10. Ingrese o seleccione el valor del atributo Grupo. El atributo Grupo predeterminado es FilterID, que es el atributo 11 de VASCO. El valor del atributo Grupo es usado para definir cuál atributo lleva la información de grupo de usuarios. Debe configurar el servidor VASCO para que incluya la cadena FilterID en el mensaje de autenticación de usuario que envía al dispositivo WatchGuard. Por ejemplo, ingenieroGrupo o finanzaGrupo. Esa información luego es utilizada para control de acceso. El dispositivo WatchGuard hace coincidir la cadena de FilterID con el nombre de grupo configurado en las políticas del dispositivo WatchGuard. 11. En el cuadro de texto Tiempo muerto , ingrese o seleccione el período de tiempo a partir del cual un servidor inactivo queda marcado como activo nuevamente. Seleccione minutos o horas de la lista desplegable al lado para alterar la duración. Después que un servidor de autenticación no haya respondido por un período de tiempo, éste queda marcado como inactivo. Intentos seguidos de autenticación, no intente conectarse a este servidor hasta que esté marcado como activo nuevamente. 12. Para agregar un VACMAN Middleware Server de resguardo, seleccione la pestaña Configuraciones de Servidor Secundario, y seleccione Activar servidor RADIUS secundario . 13. Repetir los pasos 4 - 11 para agregar la información en los campos requeridos. Asegúrese de que el secreto compartido sea el mismo en el VACMAN Middleware Server principal y de resguardo. Para más informaciones, vea Use un servidor de autenticación de resguardo en la página 222. 14. Haga clic en Guardar.
Configurar autenticación SecurID Para usar autenticación por SecurID, debe configurar correctamente los servidores RADIUS, VASCO y ACE/Server. Los usuarios también deben tener un token y un PIN (número de identificación personal) de SecurID. Consulte la documentación de SecurID RSA para obtener más información. En Fireware XTM Web UI:
234
Fireware XTM Web UI
Autenticación
1. Seleccione Servidores >de autenticación. Aparece la página "Servidores de autenticación".
2. Haga clic en la pestaña SecurID.
3. Seleccione Activar SecurID Server casilla de verificación para activar el servidor SecurID y activar los campos en ese cuadro de diálogo. 4. En el cuadro de texto Dirección IP, ingrese la dirección IP del servidor SecurID. 5. Haga clic en el campo Puerto para subir o bajar, hasta definir el número de puerto para usar en la autenticación de SecurID. El número predeterminado es 1812. 6. En el frases de contraseña cuadro de texto, ingrese el secreto compartido entre el dispositivo WatchGuard y el servidor SecurID. El secreto compartido distingue mayúsculas de minúsculas, y debe ser igual en el dispositivo WatchGuard y en el servidor SecurID. 7. En el cuadro de texto Confirmar , ingrese nuevamente el secreto compartido. 8. En el cuadro de texto Tiempo de espera, inserte o seleccione el período de tiempo que el dispositivo WatchGuard espera la respuesta del servidor de autenticación antes de intentar establecer una nueva conexión. 9. En el Reintentos , inserte o seleccione el número de veces que el dispositivo WatchGuard intenta conectarse al servidor de autenticación antes de reportar una conexión fallida por un intento de autenticación. 10. En el cuadro de texto atributo Grupo , ingrese o seleccione un valor del atributo Grupo. Recomendamos que no altere ese valor.
Guía del Usuario
235
Autenticación
El valor del atributo Grupo es usado para definir el atributo que lleva la información de grupo de usuarios. Cuando el servidor SecurID envía un mensaje al dispositivo WatchGuard al cual el usuario está autenticado, también envía una cadena de grupo de usuarios. Por ejemplo, ingenieroGrupo o finanzaGrupo. Esa información luego es utilizada para control de acceso. 11. En el cuadro de texto Tiempo muerto , ingrese o seleccione el período de tiempo a partir del cual un servidor inactivo queda marcado como activo nuevamente. Seleccione minutos o horas en la lista desplegable al lado para determinar la duración. Después que un servidor de autenticación no haya respondido por un período de tiempo, éste queda marcado como inactivo. Intentos seguidos de autenticación, no use este servidor hasta que esté marcado como activo nuevamente, después que se alcance el valor del tiempo muerto. 12. Para agregar un servidor SecurID de resguardo, seleccione la pestaña Configuración del servidor secundario y seleccione Activar un servidor SecurID secundario.Server . 13. Repetir los pasos 4 - 11 para agregar la información en los campos requeridos. Asegúrese de que el secreto compartido sea el mismo en el servidor SecurID principal y de resguardo. Para más informaciones, vea Use un servidor de autenticación de resguardo en la página 222. 14. Haga clic en OKGuardar.
Configurar autenticación LDAP Puede usar un servidor de autenticación por LDAP (Protocolo de Acceso Liviano al Directorio) para autenticar los usuarios con el dispositivo WatchGuard. El LDAP es un protocolo abierto para usar servicios de directorio online, y opera con los protocolos de transferencia de Internet, tal como el TCP. Antes de configurar su dispositivo WatchGuard para la autenticación de LDAP, asegúrese de verificar la documentación de su proveedor de LDAP para ver si su instalación soporta el atributo memberOf (o equivalente). En Fireware XTM Web UI: 1. Seleccione Servidores >de autenticación. Aparece la página "Servidores de autenticación".
2. Haga clic en la pestaña LDAP .
236
Fireware XTM Web UI
Autenticación
3. Seleccionar la casilla de verificación Activar LDAPServer para activar el servidor de LDAP y activar los campos en ese cuadro de diálogo. 4. En el cuadro de texto Dirección IP, ingrese la dirección IP del servidor de LDAP principal a la cual el dispositivo WatchGuard debe contactarse para solicitudes de autenticación. El servidor de LDAP puede estar ubicado en cualquier interfaz del dispositivo WatchGuard. También puede configurar su dispositivo para usar un servidor de LDAP en una red remota a través de un túnel VPN. 5. En el cuadro de texto Puerto, seleccione el número del puerto TCP para ser usado por el dispositivo WatchGuard para conectar con el servidor de LDAP. El número de puerto predeterminado es 389. LDAP por TLS no está soportado. 6. En el cuadro de texto Base de búsqueda , ingrese las configuraciones de base de búsqueda. El formato estándar es: ou=unidad organizacional,dc=primera parte del nombre de distinción del servidor,dc=cualquier parte del nombre de distinción del servidor que aparece después del punto. Se determina una base de búsqueda para imponer límites a los directorios en el servidor de autenticación en los que el dispositivo WatchGuard busca para que haya una coincidencia de autenticación. Por ejemplo, si las cuentas de usuario están en una OU (unidad organizativa) a la que se refiere como cuentas y el domain name es ejemplo.com, su base de búsqueda es: ou=cuentas,dc=ejemplo,dc=com
7. En el cuadro de texto Cadena de grupo , ingrese el atributo de cadena de grupo.
Guía del Usuario
237
Autenticación
Esa cadena de atributos contiene datos de grupo de usuarios en el servidor de LDAP. En muchos servidores de LDAP, la cadena predeterminada de grupo es uniqueMember, en otros servidores es member. 8. En el cuadro de texto DN del usuario de búsqueda , inserte el Nombre de Distinción (DN) para una operación de búsqueda. Puede usar cualquier DN de usuario con el privilegio de búsqueda en el LDAP/Active Directory, como un Administrador. Algunos administradores crean un nuevo usuario que sólo tiene privilegios de búsqueda para usar en ese campo. 9. En el cuadro de texto Contraseña de usuario de búsqueda , inserte el nombre de distinción (DN) para una operación de búsqueda. 10. En el cuadro de texto Atributo de inicio de sesión, en la lista desplegable, seleccione un atributo de inicio de sesión de LDAP para ser usado para autenticación. El atributo de inicio de sesión es el nombre usado para vincular a la base de datos de LDAP. El atributo de inicio de sesión predeterminado es uid. Si usa uid, el campo DN de usuario buscando y el campo Contraseña de Usuario buscando pueden estar vacíos. 11. En el cuadro de texto Tiempo muerto, ingrese o seleccione el período de tiempo a partir del cual un servidor inactivo esté marcado como activo nuevamente. Seleccione minutos o horas en la lista desplegable al lado para determinar la duración. Después que un servidor de autenticación no haya respondido por un período de tiempo, éste queda marcado como inactivo. Intentos seguidos de autenticación, no intente con este servidor hasta que esté marcado como activo nuevamente. 12. Para agregar un servidor de LDAP de resguardo, seleccione la pestaña Configuraciones de Servidor de Resguardo, y seleccione Activar un servidor de LDAP secundario . 13. Repetir los pasos 4 - 11 para agregar la información en los campos requeridos. Asegúrese de que el secreto compartido sea el mismo en el servidor de LDAP principal y de resguardo. Para más informaciones, vea Use un servidor de autenticación de resguardo en la página 222. 14. Haga clic en Guardar.
Acerca de las configuraciones opcionales de LDAP El Fireware XTM puede obtener información adicional del servidor del directorio (LDAP o Active Directory) cuando lee la lista de atributos en la respuesta de búsqueda del servidor. Eso permite usar el servidor del directorio para asignar parámetros adicionales a las sesiones de usuarios autenticados, tal como los tiempos de espera y asignaciones de dirección de Mobile VPN con IPSec. Como los datos provienen de atributos de LDAP asociados a objetos de usuarios individuales, uno no está limitado a las configuraciones globales en el Fireware XTM Web UI. Se puede determinar esos parámetros para cada usuario individual. Para más informaciones, vea Usar las configuraciones opciones de Active Directory o de LDAP en la página 243.
238
Fireware XTM Web UI
Autenticación
Configurar autenticación en Active Directory El Active Directory es una aplicación de Microsoft, basada en Windows, de una estructura de directorio de LDAP. El Active Directory le permite expandir el concepto de jerarquía usado en el DNS hacia un nivel organizativo. Mantiene la información y configuración de una organización en una base de datos central y de fácil acceso. Puede usar un servidor de Active Directory Authentication para que los usuarios puedan autenticar el dispositivo WatchGuard con sus credenciales actuales de red. Debe configurar el dispositivo y el Active Directory Server. Antes de empezar, asegúrese de que sus usuarios puedan autenticarse con éxito en el Active Directory Server. En Fireware XTM Web UI: 1. Seleccione Servidores >de autenticación. Aparece la página "Servidores de autenticación".
2. Haga clic en la pestaña Active Directory.
3. Seleccione la casilla Activar Active Directory . 4. En el campo dirección IP, ingrese la dirección IP del Active Directory Server principal.
Guía del Usuario
239
Autenticación
El Active Directory Server puede estar ubicado en cualquier interfaz del dispositivo WatchGuard. También es posible configurar el dispositivo para usar un Active Directory Server disponible a través de un túnel VPN. 5. En el cuadro de texto Puerto , ingrese o seleccione el número de puerto de TCP a ser usado por el dispositivo para conectarse al Active Directory Server. El número de puerto predeterminado es 389. Si su Active Directory Server es un servidor de catálogo global, puede ser útil alterar el puerto predeterminado. Para más informaciones, vea Alterar el puerto predeterminado de Active Directory Server en la página 242. 6. En el cuadro de texto Base de búsqueda, inserte la ubicación en el directorio para empezar la búsqueda. El formato estándar para la configuración de base de búsqueda es: ou=,dc=,dc=. Se determina una base de búsqueda para poner límites en los directorios en el servidor de autenticación en los que el dispositivo WatchGuard busca para que haya una coincidencia de autenticación. Recomendamos que determine la base de búsqueda en la raíz del dominio. Eso permite encontrar todos los usuarios y grupos a los que pertenecen los mismos. Para más informaciones, vea Encuentre su base de búsqueda del Active Directory en la página 241. 7. En el cuadro de texto Cadena de Grupo, inserte la cadena de atributos usada para mantener la información del grupo usuario en el Active Directory Server. Si no cambió su esquema de Active Directory, la cadena de grupo siempre es memberOf . 8. En el cuadro de texto DN del usuario de búsqueda , inserte el Nombre de Distinción (DN) para una operación de búsqueda. No es necesario insertar nada en este cuadro de texto si mantiene el atributo de inicio de sesión de sAMAccountName . Si altera el atributo del inicio de sesión, debe agregar un valor en el campoDN del usuario de búsqueda para su configuración. Puede usar cualquier DN de usuario con el privilegio de búsqueda en el Active Directory/LDAP, como un Administrador. No obstante, un DN de usuario más débil, sólo con un privilegio de búsqueda, suele ser suficiente. 9. En el cuadro de texto Contraseña de usuario de búsqueda , inserte el nombre de distinción (DN) para una operación de búsqueda. 10. En el atributo de inicio de sesión lista desplegable, seleccione un atributo de inicio de sesión de Active Directory para ser usado para autenticación. El atributo de inicio de sesión es el nombre usado para vincular a la base de datos del Active Directory. El atributo de inicio de sesión predeterminado es sAMAccountName. Si usa el sAMAccountName, el campoDN de usuario de búsqueda y el campo Contraseña de usuario de búsqueda pueden estar vacíos. 11. En el cuadro de texto Tiempo muerto, ingrese o seleccione una hora a partir de la cual un servidor inactivo esté marcado como activo nuevamente. Seleccione minutos o horas en la lista desplegable al lado para determinar la duración. Después que un servidor de autenticación no haya respondido por un período de tiempo, éste queda marcado como inactivo. Intentos seguidos de autenticación, no intente con este servidor hasta que esté marcado como activo nuevamente.
240
Fireware XTM Web UI
Autenticación
12. Para agregar un Active Directory Server de resguardo, seleccione la pestaña Configuración de servidor de resguardo y seleccione la casilla Activar Active Directory Server secundario. 13. Repetir los pasos 4 - 11 para agregar la información en los campos requeridos. Asegúrese de que el secreto compartido sea el mismo en el Active Directory Server principal y de resguardo. Para más informaciones, vea Use un servidor de autenticación de resguardo en la página 222. 14. Haga clic en Guardar.
Sobre la configuración opcional del Active Directory El Fireware XTM puede obtener información adicional del servidor del directorio (LDAP o Active Directory) cuando lee la lista de atributos en la respuesta de búsqueda del servidor. Eso permite usar el servidor del directorio para asignar parámetros adicionales a las sesiones de usuarios autenticados, tal como los tiempos de espera y asignaciones de dirección de Mobile VPN con IPSec. Como los datos provienen de atributos de LDAP asociados a objetos de usuarios individuales, uno no está limitado a las configuraciones globales en el Fireware XTM Web UI. Se puede determinar esos parámetros para cada usuario individual. Para más informaciones, vea Usar las configuraciones opciones de Active Directory o de LDAP en la página 243.
Encuentre su base de búsqueda del Active Directory Al configurar el dispositivo WatchGuard para autenticar usuarios con su Active Directory Server, se agrega una base de búsqueda. La base de búsqueda es el lugar por donde la búsqueda empieza en la estructura jerárquica del Active Directory para las entradas de cuenta de usuario. Eso puede ayudar a apurar el procedimiento de autenticación. Antes de empezar, debe tener un Active Directory Server operativo que contenga los datos de cuenta de todos los usuarios para los cuales desea configurar autenticación en el dispositivo WatchGuard. En su Active Directory Server: 1. Seleccione Inicio> Herramientas administrativas >Usuarios y equipos de Active Directory. 2. En el árbol Usuarios y equipos de Active Directory, encuentre y seleccione su domain name. 3. Expanda el árbol para encontrar una ruta en la jerarquía de Active Directory. Los componentes del domain name tienen el formato dc=componente de domain name, están incluidos al final de la cadena de base de búsqueda y están separados por comas. Para cada nivel del domain name, debe incluir un componente de domain name separado en su base de búsqueda de Active Directory. Por ejemplo, si su domain name es prefijo.ejemplo.com, el componente del domain name en su base de búsqueda es DC=prefijo,DC=ejemplo,DC=com . Por ejemplo, si su domain name en el árbol se parece a este después de expandirlo: La cadena de la base de búsqueda que agregar a la configuración de Firebox es: DC=kunstlerandsons,DC=com
La cadena de búsqueda no distingue mayúsculas de minúsculas. Cuando ingresa su cadena de búsqueda, puede usar letras mayúsculas o minúsculas.
Guía del Usuario
241
Autenticación
Campos DN del usuario de búsqueda y Contraseña del usuario de búsqueda Debe rellenar estos campos sólo si seleccionó una opción para el Atributo de inicio de sesión que sea diferente del valor predeterminado, sAMAccountName. La mayoría de las organizaciones que usa Active Directory no lo cambia. Cuando deja ese campo en el valor predeterminado sAMAccountName, los usuarios proveen sus nombres usuales de inicio de sesión en Active Directory como nombres de usuarios para autenticar. Ese es el nombre que encuentra en el cuadro de texto Nombre de usuario para inicio de sesión en la pestaña Cuenta, cuando edita la cuenta de usuario en Usuarios y equipos de Active Directory. Si usa un valor diferente para Atributo de inicio de sesión, el usuario que intente autenticarse da un formato diferente del nombre de usuario. En ese caso, debe agregar Credenciales de usuario de búsqueda a la configuración de su Firebox.
Alterar el puerto predeterminado de Active Directory Server Si su dispositivo WatchGuard está configurado para autenticar usuarios con servidor de Active Directory Authentication (AD), él se conecta por defecto al Active Directory Server en el puerto LDAP estándar, que es el puerto TCP 389. Si los servidores de Active Directory que agrega a su configuración del dispositivo WatchGuard están configurados como servidores de catálogo global de Active Directory, puede solicitar al dispositivo WatchGuard que use el puerto de catálogo global - puerto TCP 3268 - para conectarse al Active Directory Server. Un servidor de catálogo global es un controlador de dominio que almacena informaciones sobre todos los objetos en el bosque. Eso permite que las aplicaciones busquen en el Active Directory, pero sin tener que referirse a controladores de dominio específicos que almacenan los datos solicitados. Si tiene sólo un dominio, Microsoft recomienda que configure todos los controladores de dominio como servidores de catálogo global. Si el Active Directory Server principal o secundario usado en su configuración del dispositivo WatchGuard también está configurado como un servidor de catálogo global, puede cambiar el puerto utilizado por el dispositivo WatchGuard para conectarse al Active Directory Server para aumentar la velocidad de las solicitudes de autenticación. No obstante, no recomendamos la creación de servidores de catálogo global de Active Directory adicionales sólo para aumentar la velocidad de las solicitudes de autenticación. La replicación que ocurre entre múltiples servidores de catálogo global puede usar bastante ancho de banda de su red.
Configurar el Firebox para que use el puerto de catálogo global 1. En el Fireware XTM Web UI, seleccione servidores de >autenticación. Aparece la página "Servidores de autenticación".
2. Seleccione la pestaña Active Directory. 3. En el cuadro de texto Puerto, limpie los contenidos e inserte 3268. 4. Haga clic Guardar.
242
Fireware XTM Web UI
Autenticación
Descubra si su Active Directory Server está configurado como servidor de catálogo global 1. Seleccione Inicio> Herramientas administrativas >Sitios y servicios de Active Directory. 2. Expanda el árbol de sitios y encuentre el nombre de su Active Directory Server. 3. Haga clic con el botón derecho en Configuraciones NTDS para el Active Directory Server y seleccione Propiedades. Si la casilla de verificación Catálogo Global está seleccionada, el Active Directory Server está configurado para ser un catálogo global.
Usar las configuraciones opciones de Active Directory o de LDAP Cuando el Fireware XTM contacta el servidor de directorio (Active Directory o LDAP) para buscar información, puede obtener información adicional en la lista de atributos en la respuesta de búsqueda enviada por el servidor. Eso le permite usar el servidor del directorio para asignar parámetros adicionales a la sesión de usuario autenticado, tales como los tiempos de espera y asignaciones de dirección de Mobile VPN. Como los datos provienen de atributos de LDAP asociados a objetos de usuarios individuales, puede definir esos parámetros para cada usuario individual, sin limitarse a las configuraciones globales en Fireware XTM Web UI.
Antes de empezar Para usar esas configuraciones opcionales es necesario: n n
n
Ampliar el esquema de directorio para agregar nuevos atributos para esos elementos. Hacer que los nuevos atributos estén disponibles para la clase de objeto a la que pertenecen las cuentas de usuario. Otorgar valores a los atributos para los objetos de usuario que deberían usarlos.
Asegurarse de planear y probar cuidadosamente su esquema de directorio antes de ampliarlo a sus directorios. Las adiciones al esquema de Active Directory, por ejemplo, generalmente son permanentes y no se puede deshacerlas. Use el sitio web de Microsoft para obtener recursos para planear, probar e implementar cambios a un esquema de Active Directory. Consulte la documentación de su proveedor de LDAP antes de ampliar el esquema a otros directorios.
Especificar Configuraciones opcionales de LDAP o Active Directory Para especificar los atributos adicionales, Fireware XTM busca en la respuesta de búsqueda del servidor de directorio: 1. En el Fireware XTM Web UI, seleccione servidores de >autenticación. Aparece la página "Servidores de autenticación".
Guía del Usuario
243
Autenticación
2. Haga clic en la pestaña LDAP o en Active Directory y asegúrese de que el servidor está activado.
244
Fireware XTM Web UI
Autenticación
3. Haga clic en Configuraciones opcionales. Aparecen las configuraciones opcionales del servidor página .
Guía del Usuario
245
Autenticación
4. Ingrese los atributos que desea incluir en la búsqueda del directorio en los campos de cadenas. Cadena de atributos de IP Ese campo se aplica solamente a clientes de Mobile VPN. Ingrese el nombre del atributo para que Fireware XTM lo use para asignar una dirección IP virtual al cliente de Mobile VPN. Debe ser un atributo de valor único y una dirección IP en formato decimal. La dirección IP debe estar dentro del grupo de direcciones IP virtuales que son especificadas en la creación del Grupo de Mobile VPN. Si Firebox no encuentra el atributo de IP en el resultado de búsqueda, o si no se especifica un atributo en Fireware XTM Web UI, él asigna una dirección IP virtual al cliente de Mobile VPN a partir del grupo de direcciones IP virtuales creadas con el Grupo de Mobile VPN. Cadena de atributos de máscara de red Ese campo se aplica solamente a clientes de Mobile VPN. Ingrese el nombre del atributo para que Fireware XTM lo use para asignar una Subnet Mask a la dirección IP virtual del cliente de Mobile VPN. Debe ser un atributo de valor único y una Subnet Mask en formato decimal. El software de Mobile VPN asigna automáticamente una máscara de red si el Firebox no encuentra el atributo de máscara de red en el resultado de búsqueda, o si no especifica uno en Fireware XTM Web UI. Cadena de atributos de DNS
246
Fireware XTM Web UI
Autenticación
Ese campo se aplica solamente a clientes de Mobile VPN. Ingrese el nombre del atributo que Fireware XTM usa para asignar una o más direcciones de DNS al cliente de Mobile VPN para el período de duración de la sesión de Mobile VPN. Eso puede ser un atributo de múltiples valores y debe ser una dirección IP decimal normal con puntos. Si Firebox no encuentra el atributo de DNS en el resultado de búsqueda, o si no se especifica un atributo en Fireware XTM Web UI, él usa las direcciones WINS insertadas cuando Configurado servidores WINS y DNS.. Cadena de atributos de WINS Ese campo se aplica solamente a clientes de Mobile VPN. Ingrese el nombre del atributo que Fireware XTM debería usar para asignar una o más direcciones WINS al cliente de Mobile VPN para el período de duración de la sesión de Mobile VPN. Eso puede ser un atributo de múltiples valores y debe ser una dirección IP decimal normal con puntos. Si Firebox no encuentra el atributo de WINS en el resultado de búsqueda, o si no se especifica un atributo en Fireware XTM Web UI, él usa las direcciones WINS insertadas cuando Configurado servidores WINS y DNS.. Cadena de atributos de tiempo de concesión Eso se aplica a los clientes de Mobile VPN y a clientes que usan autenticación por firewall. Ingrese el nombre del atributo para que Fireware XTM use para controlar la duración máxima que un usuario puede permanecer autenticado (tiempo de espera de sesión). Después de ese período de tiempo, el usuario es removido de la lista de usuarios autenticados. Debe ser un atributo de valor único. Fireware XTM interpreta el valor del atributo como un número decimal de segundos. Interpreta un valor cero como nunca se agota el tiempo de espera. Cadena de atributos de tiempo de espera inactivo Eso se aplica a los clientes de Mobile VPN y a clientes que usan autenticación por firewall. Ingrese el nombre del atributo que Fireware XTM usa para controlar el período de tiempo que un usuario puede permanecer autenticado cuando no se transmite tráfico hacia el Firebox desde el usuario (tiempo de espera inactivo). Si no se envía tráfico al dispositivo por ese período de tiempo, el usuario es removido de la lista de usuarios autenticados. Debe ser un atributo de valor único. Fireware XTM interpreta el valor del atributo como un número decimal de segundos. Interpreta un valor cero como nunca se agota el tiempo de espera. 5. Haga clic en Guardar. Configuraciones de atributos guardadas.
Use una cuenta de usuario local para autenticación Cualquier usuario puede autenticarse como usuario de Firewall, usuario de PPTP, o usuario de Mobile VPN, y abrir un túnel PPTP o Mobile VPN si el PPTP o Mobile VPN está activado en Firebox. No obstante, después de la autenticación o de que un túnel haya sido establecido con éxito, los usuarios pueden enviar tráfico por el túnel VPN sólo si el tráfico está permitido por una política en Firebox. Por ejemplo, un usuario sólo de
Guía del Usuario
247
Autenticación
Mobile VPN puede enviar tráfico a través de un túnel de Mobile VPN. Aunque el usuario sólo de Mobile VPN pueda autenticarse y abrir un túnel PPTP, no puede enviar el tráfico a través de ese túnel. Si usa la autenticación por Active Directory y la membresía a un grupo para el usuario no coincide con la política de Mobile VPN, encuentra un mensaje de error que dice que el Tráfico descifrado no coincide con ninguna política. Si encuentra ese mensaje de error, asegúrese de que el usuario esté en un grupo con el mismo nombre que su grupo de Mobile VPN.
Use los usuarios y grupos autorizados en políticas Se puede especificar nombres de usuarios y grupos al crear políticas en Fireware XTM Web UI. Por ejemplo, se pueden definir todas las políticas para que sólo autoricen conexiones para usuarios autenticados. O puede limitar conexiones en una política para usuarios específicos. El término usuarios y grupos autorizados se refiere a usuarios y grupos que están autorizados a acceder a los recursos de red.
Definir usuarios y grupos para autenticación de Firebox Si usa el Firebox como servidor de autenticación y desea definir usuarios y grupos que se autentican a Firebox, vea Definir un nuevo usuario para autenticación en Firebox en la página 225 y Definir un nuevo grupo para autenticación de Firebox en la página 227.
Definir usuarios y grupos para autenticación de terceros 1. Cree un grupo en su servidor de autenticación externo que contenga todas las cuentas de usuarios en su sistema. 2. En el Fireware XTM Web UI, seleccione Usuarios y Grupos de > Autenticación. Aparece el cuadro de diálogo "Usuarios y Grupos de Autenticación".
248
Fireware XTM Web UI
Autenticación
3. 4. 5. 6.
Ingrese un nombre de usuario o grupo creado en el servidor de autenticación. (Opcional) Ingrese una descripción para el usuario o grupo. Seleccione el botón de radio Grupo o Usuario. En la lista desplegable Servidor Autoriz, seleccione su tipo de servidor de autenticación. Las opciones disponibles incluyen Cualquiera, Firebox-DB, RADIUS (para autenticación a través de un servidor RADIUS o VACMAN Middleware Server ), SecurID, LDAP, o Active Directory.
7. Haga clic en Agregar. 8. Haga clic Guardar.
Agregar usuarios y grupos a las definiciones de política Cualquier usuario o grupo que desee usar en las definiciones de políticas debe ser agregado como usuario autorizado. Todos los usuarios y grupos creados para autenticación en Firebox y todos los usuarios de Mobile VPN son automáticamente agregados a la lista de usuarios y grupos autorizados en el cuadro de diálogo Usuarios y Grupos Autorizados. Puede agregar cualesquiera usuarios o grupos de servidores de autenticación externos a la lista de usuarios y grupos autorizados siguiendo el procedimiento anterior. Entonces estará listo para agregar usuarios y grupos a su configuración de política. 1. En el Fireware XTM Web UI, seleccione Firewall > Políticas de Firewall. Aparece la página "Políticas de Firewall".
2. Seleccione una política de la lista y haga clic en Editar. O haga doble clic en una política. Aparece la página "Configuración de Política".
3. En la pestaña política, abajo del cuadro De, haga clic en Agregar. Aparece el cuadro de diálogo "Agregar Dirección".
Guía del Usuario
249
Autenticación
4. Haga clic en Agregar usuario. Aparece el cuadro de diálogo "Agregar usuarios y grupos autorizados".
5. En la lista desplegable a la izquierda Tipo, seleccione si el usuario o grupo está autorizado como usuario de firewall, VPN SSL o PPTP. Para más información sobre esos tipos de autenticación, vea Tipos de autenticación de Firebox en la página 223. 6. De la lista desplegable Tipo a la derecha, seleccione Usuario o Grupo. 7. Si el usuario o grupo aparece en la lista Grupos, seleccione el usuario o grupo y haga clic en Seleccionar. Reaparece el cuadro de diálogo "Agregar dirección" con el usuario o grupo en el cuadro Miembros o Direcciones Seleccionados.
Haga clic en Aceptar para cerrar el cuadro de diálogo Editar Propiedades de Política. 8. Si el usuario o grupo no aparece en la lista en el cuadro de diálogo Agregar Usuarios o Grupos Autorizados, vea Definir un nuevo usuario para autenticación en Firebox en la página 225, Definir un nuevo grupo para autenticación de Firebox en la página 227, o el procedimiento anterior Definir usuarios y grupos para autenticación externa. Después que se agrega un usuario o grupo a una configuración de políticas, Fireware XTM Web UI agrega automáticamente una política de autenticación de WatchGuard a su configuración de Firebox. Use esa política para controlar el acceso a la página web del portal de autenticación. Para obtener instrucciones para editar esa política, vea Use la autenticación para restringir el tráfico entrante en la página 212.
250
Fireware XTM Web UI
12
Políticas
Acerca de políticas La política de seguridad de una empresa es un conjunto de definiciones para proteger la red de equipos y la información que la recorre. El Firebox rechaza todos los paquetes que no están específicamente permitidos. Cuando se agrega una política al archivo de configuración del Firebox, se agrega un conjunto de reglas que indican al Firebox que debe permitir o rechazar tráfico en función de factores como el origen y el destino del paquete o el puerto TCP/IP o el protocolo utilizado para el paquete. Como ejemplo del modo en que puede usarse una política, supongamos que el administrador de red de una empresa desea conectarse en forma remota a un servidor web protegido por el Firebox. El administrador de red administra el servidor web con una conexión de Escritorio Remoto. Al mismo tiempo, el administrador de red desea asegurarse de que ningún otro usuario de la red pueda utilizar el Escritorio Remoto. Para crear esta configuración, el administrador de red agrega una política que permite conexiones RDP sólo desde la dirección IP de su propio equipo de escritorio a la dirección IP del servidor web. Una política también puede aportar al Firebox más instrucciones sobre cómo administrar el paquete. Por ejemplo, el usuario puede definir configuraciones de registro y notificación que se aplican al tráfico o usar NAT (Traducción de dirección de red) para cambiar la dirección IP de origen y el puerto del tráfico de red.
Políticas de filtro de paquetes y proxy Firebox utiliza dos categorías de políticas para filtrar el tráfico de red: filtrado de paquetes y servidores proxy. Un filtro de paquetes examina la IP y el encabezado de TCP/UDP del paquete. Si la información del encabezado del paquete es legítima, entonces Firebox acepta el paquete. De lo contrario, Firebox lo rechaza. Un proxy examina tanto la información del encabezado como el contenido de cada paquete para asegurarse de que las conexiones sean seguras. Esto también se denomina inspección profunda de paquetes. Si la información del encabezado del paquete es legítima y el contenido del paquete no se considera una amenaza, entonces Firebox acepta el paquete. De lo contrario, Firebox lo rechaza.
Guía del Usuario
251
Políticas
Acerca de cómo agregar políticas a Firebox Firebox incluye muchos filtrados de paquetes preconfigurados y proxies que se pueden agregar a la configuración. Por ejemplo, si el usuario desea un filtro de paquete para todo el tráfico Telnet, agrega una política Telnet predefinida que pueda modificar para la configuración de red. También puede definir una política personalizada para la cual se configuran los puertos, protocolos y otros parámetros. Cuando se configura Firebox con el Quick Setup Wizard, el asistente agrega varios filtrados de paquetes: Saliente (TCP-UDP), FTP, ping y hasta dos políticas de administración de WatchGuard. Si el usuario tiene más aplicaciones de software y tráfico de red para que examine Firebox, debe: n n n
Configurar las políticas en Firebox para que permitan la circulación del tráfico necesario. Definir las propiedades y hosts aprobados para cada política Equilibrar el requisito para proteger la red contra los requisitos de los usuarios de obtener acceso a recursos externos.
Recomendamos establecer límites en el acceso saliente cuando se configura Firebox. Nota En toda la documentación, nos referimos a los filtrados de paquetes y proxies como políticas. La información sobre políticas se refiere tanto a los filtrados de paquetes como a proxies, salvo indicación en contrario.
252
Fireware XTM Web UI
Políticas
Acerca de la página de políticas de Firewall o VPN móvil Las páginas de políticas de Firewall y políticas de Mobile VPN muestran las políticas incluidas en la configuración actual de su dispositivo Firebox o XTM.
La siguiente información aparece para cada política: Acción La acción que toma la política para el tráfico que coincide con la definición de la política. El símbolo en esta columna también indica si la política es una política de filtro de paquetes o una política de proxy. n n n n n n
Marca de comprobación verde: política de filtro de paquetes; se permite el tráfico X roja: política de filtro de paquetes; se rechaza el tráfico Círculo con línea: política de filtro de paquetes y la acción para el tráfico no está configurada Escudo verde con marca de comprobación: política de proxy; el tráfico está permitido Escudo rojo con una X: política de proxy; se rechaza el tráfico Escudo gris: política de proxy; la acción para el tráfico no está configurada
Nombre de la política Nombre de la política, como se define en el campo Nombre en la página Configuración de políticas. Tipo de política El protocolo que la política administra. Los servidores proxy incluyen el protocolo y "-proxy". Tipo de tráfico Tipo de tráfico que la política examina: firewall o VPN.
Guía del Usuario
253
Políticas
Registro Si está habilitada la generación de registros para la política. Alarma Si están configuradas las alarmas para la política. De Direcciones desde las cuales se aplica el tráfico para esta política (direcciones de origen). Para Direcciones desde las cuales se aplica el tráfico para esta política (direcciones de destino). PBR Indica si la política utiliza enrutamiento basado en políticas. Si éste es el caso y no está habilitada la conmutación por error, aparece el número de interfaz. Si el enrutamiento basado en la política y la conmutación por error están habilitados, aparece una lista de números de interfaz, con la interfaz principal en el primer lugar de la lista. Para más información acerca del enrutamiento basado en políticas, vea Configurar el enrutamiento basado en la política en la página 269. Puerto Protocolos y puertos utilizados por la política. De manera predeterminada, la Fireware XTM Web UI clasifica a las políticas desde la más específica hasta la más general. El orden determina cómo fluye el tráfico a través de las políticas. Si desea establecer el orden de las políticas de manera manual, junto a El orden automático está activado, haga clic en Desactivar. Para obtener más información sobre el orden de las políticas, consulte Acerca de la precedencia de políticas.
Agregar políticas en la configuración Para agregar una política de firewall o Mobile VPN: 1. Seleccione Firewall >Políticas de firewall o Firewall> Políticas de Mobile VPN. Aparece la página Políticas que seleccionó el usuario.
2. Haga clic en Agregar. 3. Amplíe la lista de filtrados de paquetes y políticas para encontrar un protocolo o puerto. 4. Para políticas de firewall, seleccione una plantilla y haga clic en Agregar. Para políticas de proxy, también se debe seleccionar la opción Cliente o Servidor en la lista desplegable Acción de proxy. Para políticas de Mobile VPN, primero seleccione un grupo de Mobile VPN al cual se aplique la política, luego seleccione la plantilla y haga clic en Agregar.
254
Fireware XTM Web UI
Políticas
El Firebox incluye una definición predeterminada para cada política incluida en la configuración del Firebox. La definición predeterminada consiste en configuraciones que son apropiadas para la mayoría de las instalaciones. Sin embargo, pueden modificarse de acuerdo con los fines comerciales específicos o si se desea incluir propiedades de política especiales como acciones de administración de tráfico y cronogramas operativos. Después de agregar una política a la configuración, se definen reglas para: n n n n
Establecer orígenes y destinos de tráfico permitidos. Configurar reglas de filtrado. Activar o desactivar la política. Configurar propiedades como administración de tráfico, NAT y registro.
Para obtener más información sobre la configuración de políticas, consulte Acerca de propiedades de políticas en la página 265.
Agregar una política de la lista de plantillas El Firebox incluye una definición predeterminada para cada política incluida en la configuración del Firebox. Las configuraciones de definiciones predeterminadas son apropiadas para la mayoría de las instalaciones. Sin embargo, el usuario puede modificarlas para incluir propiedades de políticas especiales como acciones de QoS y cronogramas operativos. 1. en la página Agregar política,amplíe las carpetas Filtrados de paquetes, Proxies o Personalizada. Aparece una lista de plantillas para políticas de filtrados de paquetes o proxy.
2. Seleccione el tipo de política que desea crear. Haga clic en Agregar. Aparece el cuadro de diálogo , página Configuración de políticas.
Guía del Usuario
255
Políticas
3. Para cambiar el nombre de la política, ingrese un nuevo nombre en el campo Nombre. 4. Defina las reglas de acceso y otras configuraciones para la política. 5. Haga clic en Guardar. Para obtener más información sobre propiedades de políticas, consulte Acerca de propiedades de políticas en la página 265.
Desactivar o eliminar una política Para desactivar una política:
256
Fireware XTM Web UI
Políticas
1. Seleccione Firewall > Políticas de firewall o Firewall> Políticas de Mobile VPN . Aparece la página "Configuración de Política".
2. Seleccione la política y haga clic en Editar. 3. Desmarque la casilla de verificación Activar. 4. Haga clic en Guardar.
Eliminar una política Según cambie la política de seguridad, en ocasiones es necesario eliminar una política. Para borrar una política: 1. Seleccione Firewall > Políticas de firewall o Firewall> Políticas de Mobile VPN . 2. Seleccione la política y haga clic en Eliminar. Los cambios en la configuración se guardan automáticamente.
Acerca de los alias Un alias es un acceso directo que identifica a un grupo de hosts, redes o interfaces. Cuando se usa un alias, es fácil crear una política de seguridad porque el Firebox permite utilizar alias cuando se crean políticas. Los alias predeterminados en Fireware XTM Web UI incluyen: n
n n
n
n
n
Cualquiera: cualquier alias de origen o destino correspondiente a interfaces del Firebox, como De confianza o Externa. Firebox: un alias para todas las interfaces del Firebox. Cualquiera de confianza: un alias para todas las interfaces del Firebox configuradas como interfaces de confianza y cualquier red a la que se puede obtener acceso a través de estas interfaces. Cualquiera externa: un alias para todas las interfaces del Firebox configuradas como externas y cualquier red a la que se puede obtener acceso a través de estas interfaces. Cualquiera opcional: un alias para todas las interfaces del Firebox configuradas como opcionales y cualquier red a la que se puede obtener acceso a través de estas interfaces. Cualquiera BOVPN: un alias para cualquier túnel BOVPN (IPSec). Cuando se utiliza el asistente de la política BOVPN para crear una política para permitir el tráfico a través de un túnel BOVPN, el asistente automáticamente crea alias .in y .out para los túneles entrantes y salientes.
Los nombres de alias son diferentes de los nombres de usuario o grupo utilizados en la autenticación de usuario. Con la autenticación de usuario, se puede monitorear una conexión con un nombre y no como una dirección IP. La persona se autentica con un nombre de usuario y una contraseña para obtener acceso a los protocolos de Internet. Para más información acerca de autenticación de usuario, vea Acerca de la autenticación de usuario en la página 209.
Miembros de alias Puede agregarse estos objetos a un alias: n n
IP de host IP de red
Guía del Usuario
257
Políticas
n n n n n n
Un rango de direcciones IP de host Nombre de DNS para un host Dirección de túnel: definida por un usuario o grupo, dirección y nombre del túnel. Dirección personalizada: definida por un usuario o grupo, dirección e interfaz del Firebox. Otro alias Un usuario o grupo autorizado
Crear un alias Para crear un alias para utilizar con las políticas de seguridad: 1. Seleccione Alias de> firewall. Los alias página .
2. Haga clic en Agregar. Agregar alias página aparece.
258
Fireware XTM Web UI
Políticas
3. En el cuadro de texto Nombre de alias ingrese un nombre único para identificar al alias. Este nombre aparece en listas cuando se configura una política de seguridad.
4. En el campo Descripción, ingrese una descripción del alias. 5. Haga clic en Guardar.
Agregar una dirección, rango de dirección, nombre de DNS, usuario, grupo u otro alias al alias 1. En el cuadro de diálogo Agregar alias, haga clic en Agregar miembro. Aparece el cuadro de diálogo "Agregar miembro".
2. En el En la lista desplegable Tipo de miembro seleccione el tipo de miembro que desea agregar. 3. Ingrese la dirección o el nombre en el cuadro Tipo cuadro de textoo seleccione el usuario o grupo.. 4. Haga clic en OK. El nuevo miembro aparece en la sección Miembros de alias de Agregar alias. página.
5. Para agregar más miembros, repita los pasos 1al 4. 6. Haga clic en Guardar. Para quitar una entrada de la lista de miembros, seleccione la entrada y haga clic en Eliminar miembro.
Guía del Usuario
259
Políticas
Acerca de la precedencia de políticas La precedencia es la secuencia en la cual el dispositivo Firebox o XTM examina el tráfico de red y aplica una regla de política. El dispositivo Firebox o XTM automáticamente ordena las políticas desde la más detallada a la más general. Compara la información en el paquete con la lista de reglas en la primera política. La primera regla de la lista que coincida con las condiciones del paquete se aplica al paquete. Si el nivel de detalle en dos políticas es equivalente, una política de proxy siempre tiene prioridad sobre una Política de filtrado de paquetes.
Orden de políticas automático El dispositivo Firebox o XTM automáticamente otorga la precedencia más alta a las políticas más específicas y la más baja a las menos específicas. El dispositivo Firebox o XTM examina la especificidad de los criterios subsiguientes en este orden. Si no puede determinar la precedencia con el primer criterio, pasa al siguiente y así sucesivamente. 1. 2. 3. 4. 5. 6. 7. 8.
Especificidad de la política Protocolos configurados para el tipo de política Reglas de tráfico del campo Hasta Reglas de tráfico del campo Desde Acción de firewall (permitido, negado o negado (enviar restablecer)) aplicada a las políticas Cronogramas aplicados a las políticas Secuencia alfanumérica basada en el tipo de política Secuencia alfanumérica basada en el nombre de la política
Las secciones subsiguientes incluyen más detalles acerca de lo que hace el dispositivo Firebox o XTM dentro de estos ocho pasos.
Especificidad de la política y protocolos El dispositivo Firebox o XTM utiliza estos criterios en secuencia para comparar dos políticas hasta que determina que las políticas son equivalentes o que una es más detallada que la otra. 1. Una política "Cualquier política" siempre tiene la precedencia más baja. 2. Verificación del número de protocolos TCP 0 (cualquiera) o UDP 0 (cualquiera). La política con el menor número tiene mayor precedencia. 3. Verificación del número de puertos únicos para los protocolos TCP y UDP. La política con el menor número tiene mayor precedencia. 4. Suma la cantidad de puertos TCP y UDP únicos. La política con el menor número tiene mayor precedencia. 5. Calificación de los protocolos según el valor del protocolo IP. La política con la menor calificación tiene mayor precedencia. Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara la especificidad de la política y los protocolos, examina las reglas de tráfico.
260
Fireware XTM Web UI
Políticas
Reglas de tráfico El dispositivo Firebox o XTM utiliza estos criterios en secuencia para comparar la regla de tráfico más general de una política con la regla de tráfico más general de una segunda política. Asigna mayor precedencia a la política con la regla de tráfico más detallada. 1. 2. 3. 4. 5. 6. 7. 8. 9.
Rango de direcciones IP de la dirección de host (menor al de la subnet con la que se compara) Rango de direcciones IP de la subnet (mayor al de la subnet con la que se compara) Nombre de usuario de autenticación Grupo de autenticación Interfaz, dispositivo Firebox o XTM Cualquiera externa, Cualquiera de confianza, Cualquiera opcional Cualquier
Por ejemplo, compare estas dos políticas: (HTTP-1) Desde: De confianza, usuario1 (HTTP-2) Desde: 10.0.0.1, Cualquiera de confianza De confianza es la entrada más general para HTTP-1. Cualquiera-De confianza es la entrada más general para HTTP-2. Debido a que De confianza se incluye dentro del alias Cualquiera-De confianza, HTTP-1 es la regla de tráfico más detallada. Esto es correcto a pesar de que HTTP-2 incluye una dirección IP, porque el dispositivo Firebox o XTM compara la regla de tráfico más general de una política con la regla de tráfico más general de la segunda política para establecer la precedencia. Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara las reglas de tráfico, examina las acciones de firewall.
Acciones de firewall El dispositivo Firebox o XTM compara las acciones de firewall de dos políticas para establecer la precedencia. La precedencia de acciones de firewall de mayor a menor es: 1. Negada o Negada (enviar restablecer) 2. Política de proxy permitida 3. Política de filtrado de paquetes permitida Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara las acciones de firewall, examina los cronogramas.
Cronogramas El dispositivo Firebox o XTM compara los cronogramas de dos políticas para establecer la precedencia. La precedencia de cronogramas de mayor a menor es: 1. Siempre desactivado 2. A veces activo 3. Siempre activo
Guía del Usuario
261
Políticas
Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara los cronogramas, examina los nombres y tipos de políticas.
Nombres y tipos de políticas Si las dos políticas no coinciden en ningún otro criterio de precedencia, el dispositivo Firebox o XTM ordena las políticas en secuencia alfanumérica. Primero, utiliza el tipo de política. Luego, utiliza el nombre de la política. Dado que dos políticas no pueden ser del mismo tipo y tener el mismo nombre, éste es el último criterio de precedencia.
Determinar precedencia manualmente Para cambiar al modo de orden manual y cambiar la precedencia de la política, debe desactivar el modo de orden automático: 1. Seleccione Firewall >Políticas de Firewall. Aparece la página "Políticas de Firewall".
2. Junto a El modo de orden automático está activado, haga clic en Desactivar. Aparece un mensaje de configuración.
3. Haga clic en Sí para confirmar que desea cambiar al modo de orden manual. 4. Para cambiar el orden de una política, selecciónela y arrástrela a la nueva ubicación. O bien, seleccione una política y haga clic en Subir o Bajar para subirla o bajarla en la lista. 5. Haga clic en Guardar para guardar los cambios en el orden de la política.
Crear Cronogramas para acciones de Firebox Un cronograma es un conjunto de horarios en los cuales una función está activada o desactivada. El cronograma debe utilizarse si el usuario desea que una política o acción de WebBlocker se active o desactive automáticamente en los horarios especificados. El cronograma creado puede aplicarse a más de una política o acción de WebBlocker si desea que esas políticas o acciones se activen en los mismos horarios. Por ejemplo, una organización desea restringir ciertos tipos de tráfico de red durante el horario comercial normal. El administrador de red podría crear un cronograma que se active en los días laborables y establecer cada política en la configuración para que use el mismo cronograma. Para crear un cronograma: 1. Seleccione Firewall> Programación. Aparece la página Programación.
2. Para crear un nuevo cronograma, haga clic en Agregar. Para modificar un cronograma, haga clic en Editar. 3. En el cuadro de texto Nombre, ingrese un nombre o una descripción para el cronograma. Este nombre no puede modificarse después de guardar el cronograma. 4. Seleccione los horarios en los que desea que el cronograma funcione para cada día de la semana. 5. Haga clic en Guardar.
262
Fireware XTM Web UI
Políticas
Establecer un cronograma operativo El usuario puede establecer un cronograma operativo para una política, para que ésta se ejecute en los horarios especificados. Los cronogramas pueden ser compartidos por más de una política. Para modificar el cronograma de una política: 1. Seleccione Firewall> Programación. Aparece la página Programación.
2. En la lista Políticas de programación, seleccione el Nombre del cronograma de una política. 3. En la columna Cronograma, seleccione un cronograma de la lista desplegable. 4. Haga clic en Guardar.
Acerca de las Políticas personalizadas Si el usuario necesita autorizar un protocolo que no está incluido de manera predeterminada como opción de configuración del Firebox, debe definir una política de tráfico personalizada. Puede agregar una política personalizada que use: n n n
Puertos TCP Puertos UDP Un protocolo IP que no sea TCP o UDP, como GRE, AH, ESP, ICMP, IGMP y OSPF. El usuario identifica un protocolo IP que no es TCP o UDP con el número de protocolo IP.
Guía del Usuario
263
Políticas
Para crear una política personalizada, primero debe crear o editar una plantilla de política personalizada que especifique los puertos y protocolos utilizados por políticas de ese tipo. Luego, crea una o más políticas a partir de esa plantilla para establecer reglas de acceso, registro, QoS y otras configuraciones.
Cree o edite una plantilla de política personalizada. 1. Seleccione Firewall > Políticas de Firewall. Haga clic en el botón Agregar. 2. Haga clic en Personalizada o seleccione una plantilla de política personalizada y haga clic en Editar.
3. En el cuadro de texto Nombre, ingrese el nombre de la política personalizada. El nombre aparece en el Policy Manager como el tipo de política. Un nombre único ayuda al usuario a encontrar la política cuando desea modificarla o eliminarla. Este nombre no debe ser igual a ningún nombre de la lista en el cuadro de diálogo Agregar política. 4. En el cuadro de texto Descripción, ingrese una descripción de la política. Esto aparece en la sección Detalles al hacer clic en el nombre de la política en la lista de Filtros de usuarios.
5. Seleccione el tipo de política: Filtro de paquetes o Proxy. 6. Si seleccione Proxy, elija el protocolo de proxy en la lista desplegable adyacente. 7. Para agregar protocolos a esta política, haga clic en Agregar. Aparece el cuadro de diálogo Agregar protocolo.
264
Fireware XTM Web UI
Políticas
8. En la lista desplegable Tipo, seleccione Puerto independiente o Intervalo de puertos. 9. En la lista desplegable Protocolo, seleccione el protocolo para esta nueva política. Si selecciona Puerto independiente, puede elegir TCP, UDP, GRE, AH, ESP, ICMP, IGMP, OSP, IP o Cualquiera. Si selecciona Intervalo de puertos, puede elegir TCP o UDP. Las opciones por debajo de la lista desplegable cambian para cada protocolo. Nota Fireware XTM no circula tráfico multicast IGMP a través de Firebox o entre interfaces de Firebox. Circula tráfico multicast IGMP sólo entre una interfaz y Firebox. 10. En la lista desplegable Puerto de servidor, seleccione el puerto para esta nueva política. Si selecciona Intervalo de puertos, elija un puerto de servidor de inicio y un puerto de servidor de finalización. 11. Haga clic en Guardar. La plantilla de la política se agrega a la carpeta Políticas personalizadas.
Ahora puede utilizar la plantilla de la política que creó para agregar una o más políticas personalizadas a su configuración. Siga el mismo procedimiento que para una política predefinida.
Acerca de propiedades de políticas Cada tipo de política tiene una definición predeterminada, que consiste en configuraciones que son apropiadas para la mayoría de las organizaciones. Sin embargo, el usuario puede modificar configuraciones de políticas según los fines particulares de su empresa o agregar otras configuraciones como administración de tráfico y cronogramas operativos. Las políticas de Mobile VPN se crean y funcionan del mismo modo que las políticas de firewall. Sin embargo, se debe especificar un grupo de Mobile VPN al que se aplica la política. En la parte superior de la página de configuración de la política, se puede cambiar el nombre de la política. Si la política es una política de proxy, también puede cambiarse la acción de proxy. Para más informaciones, vea Acerca de las acciones de proxy en la página 279.
Guía del Usuario
265
Políticas
Para configurar las propiedades de una política, en la página Políticas de Firewall, haga doble clic en la política para abrir la página Configuración de políticas. O bien, si acaba de agregar una política a la configuración, aparece automáticamente la página Configuración de políticas.
Pestaña Política Utilice la pestaña Política para definir información básica acerca de una política, como si permite o rechaza tráfico y cuáles dispositivos administra. Las configuraciones de la pestaña Política pueden utilizarse para crear reglas de acceso para una política o configurar el enrutamiento basado en la política, NAT estática o el balance de carga en el servidor. Para obtener más información sobre las opciones para esta pestaña, consulte los siguientes temas: n n n n
Definir reglas de acceso a una política en la página 267 Configurar el enrutamiento basado en la política en la página 269 Acerca de la NAT estática en la página 153 Configurar Balance de carga en el servidor en la página 154
Pestaña Propiedades La pestaña Propiedades muestra el puerto y el protocolo al que se aplica la política, además de una descripción de la política configurada. Las configuraciones en esta pestaña pueden utilizarse para definir las preferencias de registro, notificaciones, bloque automático y tiempo de espera. Para obtener más información sobre las opciones para esta pestaña, consulte los siguientes temas: n n n
Determinar preferencias de registro y notificación en la página 360 Bloquear sitios temporalmente con configuración de políticas en la página 346 Configurar un tiempo de espera inactivo personalizado en la página 270
Pestaña Avanzada La pestaña Avanzada incluye configuraciones para NAT y Administración de tráfico (QoS), además de opciones de WAN múltiples e ICMP. Para obtener más información sobre las opciones para esta pestaña, consulte los siguientes temas: n n n n n n
Establecer un cronograma operativo en la página 263 Agregar una Acción de administración de tráfico a una política en la página 334 Determinar Administración de errores ICMP en la página 271 Aplicar reglas NAT en la página 271 Activar el marcado QoS o configuraciones de priorización para una política en la página 330 Defina la duración de sticky connection para una política en la página 272
Configuraciones de proxy Cada política de proxy tiene configuraciones específicas de la conexión que pueden personalizarse. Para conocer más acerca de las opciones para cada proxy, consulte el tema Acerca de para el protocolo deseado. Acerca del DNS proxy en la página 280
266
Página Acerca de Proxy POP3 en la página 305
Fireware XTM Web UI
Políticas Página Acerca de Proxy FTP en la página Página Acerca de Proxy SIP en la página 309 284 Página Acerca de ALG H.323 en la página Página Acerca de Proxy SMTP en la página 314 287 Página Acerca de Proxy HTTP en la página Página Acerca de Proxy de TCP-UDP en la página 319 292 Página Acerca de Proxy HTTPS en la página 301
Definir reglas de acceso a una política La pestaña Política del cuadro de diálogo Configuración de políticas se usa para configurar las reglas de acceso a una política determinada. El campo Las conexiones están define si el tráfico que coincide con las reglas de la política está permitido o negado. Para configurar el modo en que se administra el tráfico, utilice estas configuraciones: Permitido El Firebox permite el tráfico que usa esta política si coincide con las reglas establecidas en la política. El usuario puede configurar la política para crear un mensaje de registro cuando el tráfico de red coincide con la política. Negado Firebox rechaza todo el tráfico que coincide con las reglas de esta política y no envía una notificación al dispositivo que envió el tráfico. El usuario puede configurar la política para crear un mensaje de registro cuando un equipo intenta utilizar esta política. La política también puede agregar automáticamente un equipo o red a la lista de Sitios bloqueados si intenta establecer una conexión con esta política. Para más informaciones, vea Bloquear sitios temporalmente con configuración de políticas en la página 346. Negado (enviar restablecer) El Firebox rechaza todo el tráfico que coincide con las reglas de esta política. El usuario puede configurar la política para crear un mensaje de registro cuando un equipo intenta utilizar esta política. La política también puede agregar automáticamente un equipo o red a la lista de Sitios bloqueados si intenta establecer una conexión con esta política. Para más informaciones, vea Bloquear sitios temporalmente con configuración de políticas en la página 346. Con esta opción, el Firebox envía un paquete para informar al dispositivo que envió el tráfico de red que la sesión se rechazó y la conexión se cerró. El usuario puede configurar una política para informar otros errores en cambio, que indican al dispositivo que el puerto, el protocolo, la red o el host no pueden alcanzarse. Recomendamos utilizar estas opciones con precaución para asegurarse de que la red funciona correctamente con otras redes.
Guía del Usuario
267
Políticas
La pestaña Política también incluye: n
n
Una lista Desde (u origen) que especifica quién puede enviar (o no puede enviar) tráfico de red con esta política. Una lista Hasta (o destino) que especifica a quién el Firebox puede enrutar tráfico si el tráfico coincide (o no coincide) con las especificaciones de la política.
Por ejemplo, puede configurar un filtro de paquetes ping para permitir el tráfico de ping desde todos los equipos de la red externa a un servidor web de la red opcional. Sin embargo, cuando se abre la red de destino a conexiones a través del puerto o puertos que la política controla, la red puede volverse vulnerable. Asegúrese de configurar las políticas con cuidado para evitar vulnerabilidades. 1. Para agregar miembros a sus especificaciones de acceso, haga clic en Agregar junto a la lista de miembros Desde o Hasta. Aparece el cuadro de diálogo Agregar miembro.
2. El contiene a los miembros que el usuario puede agregar a las listas Desde o Hasta. Un miembro puede ser un alias, usuario, grupo, dirección IP o rango de direcciones IP . 3. En la lista desplegable Tipo de miembro, especifique el tipo de miembro que desea agregar al cuadro. 4. Seleccione el miembro que desea agregar y haga clic en Agregar o haga doble clic en una entrada de esta ventana. 5. Para agregar otros miembros al campo Desde o Hasta, repita los pasos anteriores. 6. Haga clic en OK.
268
Fireware XTM Web UI
Políticas
El origen y el destino pueden ser una dirección IP de host, un rango de host, un nombre de host, una dirección de red, un nombre de usuario, un alias, un túnel VPN o cualquier combinación de esos objetos. Para obtener más información sobre los alias que aparecen como opciones en la lista Desde y Hasta, consulte el tema Acerca de los alias en la página 257. Para obtener más información acerca de cómo crear un nuevo alias, consulte Crear un alias en la página 258.
Configurar el enrutamiento basado en la política Para enviar tráfico de red, un enrutador en general examina la dirección de destino en el paquete y observa la tabla de enrutamiento para encontrar el destino del siguiente salto. En algunos casos, el usuario desea enviar tráfico a una ruta diferente de la ruta predeterminada que se especifica en la tabla de enrutamiento. Puede configurar una política con una interfaz externa específica para usar con todo el tráfico saliente que coincida con esa política. Esta técnica se conoce como enrutamiento basado en la política. El enrutamiento basado en la política tiene prioridad sobre otras configuraciones de WAN múltiples. El enrutamiento basado en la política puede usarse cuando hay más de una interfaz externa y Firebox se ha configurado para WAN múltiples. Con el enrutamiento basado en la política, el usuario puede asegurarse de que todo el tráfico para una política siempre atraviese la misma interfaz externa, aunque la configuración de WAN múltiples esté definida para enviar tráfico en una configuración de operación por turnos. Por ejemplo, si el usuario desea que el correo electrónico se enrute a través de una interfaz particular, puede usar el enrutamiento basado en la política en la definición de proxy POP3 o SMTP. Nota Para usar enrutamiento basado en la política, debe tener Fireware XTM con una actualización Pro. También debe configurar por lo menos dos interfaces externas.
Enrutamiento basado en la política, conmutación por error y failback Cuando se usa el enrutamiento basado en la política con conmutación por error de WAN múltiples, se puede especificar si el tráfico que coincide con la política usa otra interfaz externa cuando ocurre la conmutación por error. La configuración predeterminada es rechazar el tráfico hasta que la interfaz esté disponible nuevamente. Las configuraciones de failback (definidas en la pestaña WAN múltiples del cuadro de diálogo Configuración de red) también se aplican al enrutamiento basado en la política. Si ocurre un evento de conmutación por error y la interfaz original luego pasa a estar disponible, Firebox puede enviar conexiones activas a la interfaz de conmutación por error o puede retornar a la interfaz original. Las nuevas conexiones se envían a la interfaz original.
Restricciones en el enrutamiento basado en la política n
n
El enrutamiento basado en la política está disponible sólo si la WAN múltiple está activada. Si se activa la WAN múltiple, el cuadro de diálogo Editar propiedades de políticas automáticamente incluye campos para configurar el enrutamiento basado en la política. De manera predeterminada, el enrutamiento basado en la política no está activado.
Guía del Usuario
269
Políticas
n
El enrutamiento basado en la política no se aplica al tráfico IPSec ni al tráfico destinado a la red de confianza u opcional (tráfico entrante).
Agregar enrutamiento basado en la política a una política 1. Seleccione Firewall > Políticas de Firewall. 2. Seleccione una política y haga clic en Editar. O haga doble clic en una política. Aparece la página "Configuración de Política".
3. Seleccione la casilla de verificación Usar enrutamiento basado en la política. 4. Para especificar la interfaz para enviar tráfico saliente que coincida con la política, seleccione el nombre de la interfaz en la lista desplegable adyacente. Asegúrese de que la interfaz seleccionada sea miembro del alias o red definido en el campo Hasta de la política. 5. (Opcional) Configurar el enrutamiento basado en la política con conmutación por error de WAN múltiples, como se describe a continuación. Si no selecciona Conmutación por error y la interfaz definida para esta política pasa a estar inactiva, el tráfico se rechaza hasta que la interfaz vuelva a estar disponible. 6. Haga clic en Guardar.
Configurar basado en políticas Enrutamiento con conmutación por error El usuario puede configurar la interfaz especificada para esta política como interfaz principal y definir otras interfaces externas como interfaces de resguardo para todo el tráfico que no es IPSec. 1. En la página Configuración de políticas, seleccione Usar conmutación por error. 2. En la lista adyacente, seleccione la casilla de verificación para cada interfaz que desea utilizar en la configuración de la conmutación por error. 3. Haga clic en Subir y Bajar para definir el orden para conmutación por error. La primera interfaz de la lista es la principal.
4. Haga clic en Guardar.
Configurar un tiempo de espera inactivo personalizado El tiempo de espera inactivo es la cantidad de tiempo máximo que una conexión puede mantenerse activa cuando no se envía tráfico. De manera predeterminada, el Firebox cierra las conexiones de red después de 300 segundos (6 minutos). Cuando se activa esta configuración para una política, el Firebox cierra la conexión una vez transcurrido el lapso de tiempo especificado por el usuario. 1. En la página Configuración de políticas, seleccione la pestaña Propiedades. 2. Seleccione la casilla de verificación Especificar tiempo de espera inactivo personalizado. 3. En el campo adyacente, establezca el número de segundos antes del tiempo de espera.
270
Fireware XTM Web UI
Políticas
Determinar Administración de errores ICMP Pueden establecerse las configuraciones de administración de errores de ICMP asociadas con una política. Estas configuraciones anulan las configuraciones globales de administración de errores de ICMP. Para cambiar las configuraciones de administración de errores de ICMP para la política actual: 1. Haga clic en la pestaña Avanzado. 2. Seleccione la casilla de verificación Utilizar administración de errores de ICMP basada en políticas. 3. Seleccione una o más casillas de verificación para anular las configuraciones de ICMP globales para ese parámetro. Para obtener más información sobre configuraciones de ICMP , consulte Defina las configuraciones globales del Firebox en la página 67.
Aplicar reglas NAT Se pueden aplicar reglas de traducción de dirección de red (NAT) a una política. Puede seleccionar 1-to-1 NAT o NAT dinámica. 1. En la página Configuración de políticas, seleccione la pestaña Avanzada. 2. Seleccione una de las opciones descritas en las siguientes secciones.
1-to-1 NAT Con este tipo de NAT, el dispositivo WatchGuard utiliza rangos de direcciones IP públicas y privadas configurados por el usuario, según se describe en Acerca de las 1-to-1 NAT en la página 142.
NAT dinámico Con este tipo de NAT, el dispositivo WatchGuard asigna direcciones IP privadas a direcciones IP públicas. Todas las políticas tienen NAT dinámica activada de manera predeterminada. Seleccione Usar configuraciones NAT de red si desea utilizar las reglas de NAT dinámica establecidas para el dispositivo WatchGuard. Seleccione Todo el tráfico en esta política si desea aplicar NAT a todo el tráfico en esta política. En el campo Configurar IP de origen, puede seleccionar una dirección IP de origen NAT dinámica para cualquier política que use NAT dinámica. De este modo se garantiza que cualquier tráfico que usa esta política muestra una dirección específica de su rango de direcciones IP externas o públicas como el origen. Esto resulta útil si se desea obligar al tráfico SMTP saliente a mostrar la dirección de registro MX para su dominio cuando la dirección IP en la interfaz externa del dispositivo WatchGuard no coincide con la dirección IP de registro MX. Las reglas de 1-to-1 NAT tienen mayor prioridad que las reglas de NAT dinámica.
Guía del Usuario
271
Políticas
Defina la duración de sticky connection para una política La configuración de sticky connection para una política anula la configuración de sticky connection global. Se deben activar WAN múltiples para utilizar esta función. 1. En la página Propiedades de políticas, seleccione la pestaña Avanzada. 2. Para usar la configuración de sticky connection de WAN múltiple global, desmarque la casilla de verificación Anular configuración de sticky connection de WAN múltiple. 3. Para definir un valor de sticky connection personalizado para esta política, seleccione la casilla de verificación Activar sticky connection. 4. En el cuadro de texto Activar sticky connection, ingrese la cantidad de tiempo en minutos para mantener la conexión.
272
Fireware XTM Web UI
13
Configuraciones de proxy
Acerca de las políticas de proxy y ALG Todas las políticas de WatchGuard son herramientas importantes para la seguridad de la red, ya sea se trate de políticas de filtro de paquetes, políticas de proxy o puertas de enlace de la capa de aplicación (ALG). Un filtro de paquetes examina el encabezado IP y TCP/UDP de cada paquete, un proxy monitorea y escanea conexiones completas y una ALG proporciona administración de conexión transparente además de funcionalidad del proxy. Las políticas de proxy y ALG examinan los comandos utilizados en la conexión para asegurarse de que tengan la sintaxis y el orden correctos y usan la inspección de paquetes profunda para garantizar que las conexiones sean seguras. Una política de proxy o ALG abre cada paquete en secuencia, elimina el encabezado del nivel de red y examina la carga del paquete. Un proxy luego reescribe la información de la red y envía el paquete a su destino, mientras que una ALG restablece la información de la red original y reenvía el paquete. Como resultado, un proxy o ALG puede encontrar contenido prohibido o malicioso oculto o integrado en la carga de datos. Por ejemplo, un proxy SMTP examina todos los paquetes SMTP (correo electrónico) entrantes para encontrar contenido prohibido, como programas o archivos ejecutables escritos en lenguajes de script. Los atacantes con frecuencia usan estos métodos para enviar virus informáticos. Un proxy o ALG puede imponer una política que prohíbe estos tipos de contenido, mientras el filtro de paquetes no puede detectar el contenido no autorizado en la carga de datos del paquete. Si el usuario ha adquirido y activado servicios de suscripción adicionales (Gateway AntiVirus, Intrusion Prevention Service, spamBlocker, WebBlocker), los servidores proxy de WatchGuard pueden aplicar estos servicios al tráfico de red.
Configuración de proxy Al igual que los filtrados de paquetes, las políticas de proxy incluyen opciones comunes para administrar el tráfico de red, incluidas las funciones de administración del tráfico y programación. Sin embargo, las políticas de proxy también incluyen configuraciones que se relacionan con el protocolo de red específico.
Guía del Usuario
273
Configuraciones de proxy
Por ejemplo, puede configurar una política de proxy DNS para permitir sólo las solicitudes que coinciden con la clase IN o configurar un proxy SMTP para denegar los mensajes de correo electrónico si los encabezados no están definidos correctamente. Estas opciones pueden configurarse en las pestañas General y Contenido de cada política de proxy. Fireware XTM admite políticas de proxy para muchos protocolos comunes, entre ellos DNS, FTP, H.323, HTTP, HTTPS, POP3, SIP, SMTP y TCP-UDP. Para obtener más información sobre una política de proxy, consulte la sección para dicha política. Acerca del DNS proxy en la página 280 Página Acerca de Proxy FTP en la página 284 Página Acerca de ALG H.323 en la página 287 Página Acerca de Proxy HTTP en la página 292 Página Acerca de Proxy HTTPS en la página 301
Página Acerca de Proxy POP3 en la página 305 Página Acerca de Proxy SIP en la página 309 Página Acerca de Proxy SMTP en la página 314 Página Acerca de Proxy de TCP-UDP en la página 319
Acerca de las configuraciones de Application Blocker El Application Blocker puede usarse para definir las acciones que realiza el dispositivo Firebox o XTM cuando una política de proxy TCP-UDP, HTTP o HTTPS detecta actividad de red de aplicaciones de mensajería instantánea (IM) o punto a punto (P2P). El Application Blocker identifica estas aplicaciones de IM: n n n n n n
AIM (AOL Instant Messenger) ICQ IRC MSN Messenger Skype Yahoo! Messenger Nota El Application Blocker no puede bloquear las sesiones de Skype que ya están activas. Para más informaciones, vea Acerca de Skype y el Application Blocker.
El Application Blocker identifica estas aplicaciones P2P: n n n n n n
BitTorrent Ed2k (eDonkey2000) Gnutella Kazaa Napster Winny Nota No se requiere que el Intrusion Prevention service utilice la función del Application Blocker.
274
Fireware XTM Web UI
Configuraciones de proxy
Configurar el Application Blocker En los servidores proxy HTTP y TCP-UDP, puede establecer estas configuraciones del Application Blocker:
Aplicaciones de IM Seleccione la casilla de selección adyacente a una o más aplicaciones de IM. Luego, seleccione Permitir o Eliminar en la lista desplegable Cuando se detecta una aplicación de IM. Si selecciona Permitir, se bloquearán las aplicaciones que no haya marcado. Si selecciona Eliminar, se permitirán las aplicaciones que no haya marcado. Por ejemplo, la captura de pantalla anterior muestra que las aplicaciones AIM, ICQ y Yahoo! están seleccionadas. Como la acción está configurada para Eliminar, el proxy de TCP-UDP permite el tráfico de IM de IRC, Skype y MSN. Aplicaciones de P2P Seleccione la casilla de selección adyacente a una o más aplicaciones de P2P. Luego, seleccione Permitir o Eliminar en la lista desplegable Cuando se detecta una aplicación de P2P. Si selecciona Permitir, se bloquearán las aplicaciones que no haya marcado. Si selecciona Eliminar, se permitirán las aplicaciones que no haya marcado. Por ejemplo, la captura de pantalla anterior muestra que las aplicaciones Kazaa, Ed2k, Napster y Gnutella están seleccionadas. Como la acción está configurada para Eliminar, el proxy permite cualquier otro tipo de tráfico P2P. Para obtener información acerca de dónde establecer las configuraciones del Application Blocker en los servidores proxy HTTP y TCP-UDP, consulte: n n
Proxy de TCP-UDP: Contenido Proxy HTTP: Application Blocker
Guía del Usuario
275
Configuraciones de proxy
Acerca de Skype y el Application Blocker Skype es una aplicación de red punto a punto (P2P) muy conocida que se usa para realizar llamadas de voz, enviar mensajes o archivos de texto o participar en videoconferencias por Internet. El cliente de Skype usa una combinación dinámica de puertos que incluye a los puertos salientes 80 y 443. El tráfico de Skype es muy difícil de detectar y bloquear porque está cifrado y porque el cliente de Skype puede derivar muchos firewalls de red. El Application Blocker puede configurarse para bloquear el inicio de sesión de un usuario en la red de Skype. Es importante comprender que el Application Blocker sólo puede bloquear el proceso inicio de sesión en Skype. No puede bloquear el tráfico para un cliente de Skype que ya ha iniciado sesión y tiene una conexión activa. Por ejemplo: n
n
Si un usuario remoto inicia sesión en Skype cuando el equipo no está conectado a la red y luego el usuario se conecta a la red mientras el cliente de Skype aún está activo, el Application Blocker no puede bloquear el tráfico de Skype hasta que el usuario cierre la sesión de la aplicación de Skype o reinicie el equipo. Cuando se configura el Application Blocker por primera vez para bloquear Skype, cualquier usuario que ya esté conectado a la red de Skype no puede bloquearse hasta que cierre la sesión en Skype o reinicie su equipo.
Cuando el Application Blocker bloquea un inicio de sesión en Skype, agrega las direcciones IP de los servidores Skype a la lista de Sitios bloqueados. Para estas direcciones IP bloqueadas, el Origen activador es "admin" y el Motivo es "manejo predeterminado de paquetes". Además, aparece un mensaje de registro en Control de tráfico que muestra que el acceso al servidor de Skype fue denegado porque la dirección está en la lista de Sitios bloqueados. Nota Debido a que la lista de Sitios bloqueados bloquea el tráfico entre los servidores de Skype y todos los usuarios de su red, el acceso a Skype se bloquea para todos los usuarios. Las direcciones IP del servidor de Skype permanecen en la lista de Sitios bloqueados durante el período especificado por el usuario en el cuadro de texto Duración de sitios bloqueados automáticamente en la configuración de Sitios bloqueados. La duración predeterminada es 20 minutos. Si se bloquea Skype y luego se cambia la configuración para dejar de bloquear Skype, las direcciones IP del servidor de Skype en la lista de Sitios bloqueados permanecerán bloqueadas hasta que venza el bloqueo o hasta quitarlas de la lista de Sitios bloqueados en forma manual. Para obtener más información acerca de la configuración Duración de sitios bloqueados automáticamente, consulte Cambiar la duración de los sitios que son bloqueados automáticamente en la página 347.
Bloquear inicios de sesión en Skype Para bloquear inicios de sesión en Skype, se debe crear una configuración del Application Blocker y seleccionar Skype como un tipo de aplicación a bloquear. Luego se debe aplicar la configuración a la política de proxy TCP/UDP.
276
Fireware XTM Web UI
Configuraciones de proxy
Para obtener más información acerca de cómo crear una configuración del Application Blocker, consulte Acerca de las configuraciones de Application Blocker en la página 274.
Agregar una política de proxy a la configuración Cuando se agrega una política de proxy o ALG (puerta de enlace de la capa de aplicación) a la configuración del Fireware XTM, se especifican tipos de contenido que el dispositivo Firebox o XTM debe buscar a medida que examina el tráfico de red. Si el contenido coincide (o no coincide) con los criterios definidos en la definición de proxy o ALG, el tráfico se permite o deniega. Pueden usarse las configuraciones predeterminadas de la política de proxy o ALG o pueden cambiarse estas configuraciones para adaptarlas al tráfico de red de su organización. También pueden crearse políticas de proxy o ALG adicionales para administrar diferentes partes de la red. Es importante recordar que una política de proxy o ALG requiere más capacidad de procesamiento que un filtro de paquetes. Si se agrega un gran número de políticas de proxy o ALG a la configuración, las velocidades del tráfico de red podrían disminuir. Sin embargo, un proxy o ALG utiliza métodos que los filtros de paquetes no pueden utilizar para capturar paquetes peligrosos. Cada política de proxy incluye varias configuraciones que pueden ajustarse para crear un equilibrio entre los requisitos de seguridad y rendimiento. Puede usar Fireware XTM Web UI para agregar una política de proxy. 1. Seleccione Firewall >Políticas de Firewall. 2. Haga clic en Agregar. 3. En la lista Seleccionar tipo de política, seleccione un filtro de paquetes, una política de proxy o ALG (puerta de enlace de la capa de aplicación). Haga clic en Agregar. Aparece la página Configuración de política.
Guía del Usuario
277
Configuraciones de proxy
Para obtener más información sobre las propiedades básicas de todas las políticas, consulte Acerca de propiedades de políticas en la página 265. Para obtener más información acerca de las configuraciones predeterminadas para una política de proxy o ALG, consulte el tema "Acerca de" para el tipo de política agregada. Acerca del DNS proxy en la página 280 Página Acerca de Proxy FTP en la página 284 Página Acerca de ALG H.323 en la página 287 278
Página Acerca de Proxy POP3 en la página 305 Página Acerca de Proxy SIP en la página 309 Página Acerca de Proxy SMTP en la página 314
Fireware XTM Web UI
Configuraciones de proxy Página Acerca de Proxy HTTP en la página Página Acerca de Proxy de TCP-UDP en la página 319 292 Página Acerca de Proxy HTTPS en la página 301
Acerca de las acciones de proxy Una acción de proxy es un grupo específico de configuraciones, orígenes o destinos para un tipo de proxy. Dado que la configuración puede incluir varias políticas de proxy del mismo tipo, cada política de proxy utiliza una acción de proxy diferente. Cada política de proxy tiene acciones de proxy predefinidas o predeterminadas para clientes y servidores. Por ejemplo, puede usarse una acción de proxy para paquetes enviados a un servidor POP3 protegido por el dispositivo Firebox o XTM y una acción de proxy diferente para aplicar a mensajes de correo electrónico recuperados por clientes POP3. Pueden crearse muchas acciones de proxy diferentes tanto para clientes como para servidores o para un tipo de política de proxy específico. Sin embargo, puede asignarse sólo una acción de proxy a cada política de proxy. Por ejemplo, una política POP3 está vinculada a una acción de proxy POP3-Cliente. Si desea crear una acción de proxy POP3 para un servidor POP3 o una acción de proxy adicional para clientes POP3, deben agregarse nuevas políticas de proxy POP3 que usen esas nuevas acciones de proxy al Policy Manager.
Configurar la acción de proxy Para establecer la acción de proxy para una política de proxy antes de crear la política, seleccione una plantilla de política de proxy y luego seleccione la acción deseada en la lista desplegable Acción de proxy. Para cambiar una acción de proxy para una política de proxy existente, haga clic en el botón Cambiar en la parte superior de la página, luego seleccione la acción deseada en la lista desplegable y haga clic en OK.
Editar, eliminar o clonar acciones de proxy n
n
n
Para editar una acción de proxy, modifique las configuraciones de una política de proxy que utilice esa acción de proxy y guarde los cambios. Para eliminar una acción de proxy, ingrese en la página Firewall> Acciones de proxy. Seleccione la acción de proxy que desea borrar y haga clic en Eliminar. Si elige una acción de proxy que está en uso, debe modificar esa política de proxy para que use una acción de proxy diferente antes de poder eliminar la acción de proxy. Para realizar una copia de una acción de proxy y guardarla con un nuevo nombre, ingrese en la página Firewall> Acciones de proxy. Seleccione el proxy con las configuraciones que desea copiar y haga clic en Clonar. Ingrese un nuevo nombre para la acción de proxy y haga clic en OK.
Para obtener más información sobre las configuraciones de acciones de proxy para cada proxy, consulte el tema Acerca de para ese proxy. Acerca del DNS proxy en la página 280 Página Acerca de Proxy FTP en la página 284 Página Acerca de ALG H.323 en la página 287 Página Acerca de Proxy HTTP en la página
Guía del Usuario
Página Acerca de Proxy POP3 en la página 305 Página Acerca de Proxy SIP en la página 309 Página Acerca de Proxy SMTP en la página 314 Página Acerca de Proxy de TCP-UDP en la página 319
279
Configuraciones de proxy 292 Página Acerca de Proxy HTTPS en la página 301
Acerca de acciones de proxy definidas por el usuario y predefinidas Acciones de proxy Fireware XTM tiene acciones de proxy servidor y cliente predefinidas para cada proxy. Estas acciones predefinidas se configuran para equilibrar los requisitos de accesibilidad de una empresa típica con la necesidad de proteger su capital de equipos contra ataques. Las configuraciones de acciones de proxy predefinidas no pueden modificarse. Si desea realizar cambios en la configuración, debe clonar (copiar) la definición existente y guardarla como una acción de proxy definida por el usuario. Los servicios de suscripción, como el Gateway AntiVirus, no pueden configurarse para acciones de proxy predefinidas. Por ejemplo, si desea modificar una configuración en la acción de proxy HTTP Cliente, debe guardarla con un nombre diferente, como HTTP Cliente.1. Esto es necesario sólo cuando se realizan modificaciones en los conjuntos de reglas. Si se realizan cambios en configuraciones generales como los orígenes o destinos permitidos o las configuraciones NAT para una política, no es necesario guardarlas con un nuevo nombre.
Acerca del DNS proxy El Sistema de domain name (DNS) es un sistema de servidores en red que traducen direcciones IP numéricas en direcciones de Internet legibles y jerárquicas, y viceversa. DNS permite a la red de equipos comprender, por ejemplo, que se desea alcanzar el servidor en 200.253.208.100 cuando se ingresa un domain name en el explorador, como www.watchguard.com. Con Fireware XTM, es posible controlar el tráfico DNS mediante dos métodos: el filtro de paquetes DNS y la política de proxy DNS. El proxy DNS es útil sólo si las solicitudes de DNS se enrutan a través de Firebox. Cuando se crea un nuevo archivo de configuración, éste automáticamente incluye una política de filtrado de paquetes salientes que admite todas las conexiones TCP y UDP desde las redes de confianza y opcional a las externas. Esto permite a los usuarios conectarse a un servidor DNS externo con los puertos TCP 53 y UDP 53 estándar. Dado que Saliente es un filtro de paquetes, no puede ofrecer protección contra troyanos salientes UDP comunes, explotaciones de DNS y otros problemas que ocurren cuando se abre todo el tráfico UDP saliente de las redes de confianza. El proxy DNS tiene funciones para proteger la red de estas amenazas. Si se utilizan servidores DNS externos para la red, el conjunto de reglas DNS Saliente ofrece métodos adicionales de controlar los servicios disponibles a la comunidad de red. Para agregar el proxy DNS a la configuración de Firebox, consulte Agregar una política de proxy a la configuración en la página 277.
Pestaña Política n
n
280
Las conexiones DNS Servidor proxy están: especifica si las conexiones están Permitidas, Negadas o Negadas (enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaña Política de la definición de proxy). Vea Definir reglas de acceso a una política en la página 267. Usar el enrutamiento basado en la política: consulte Configurar el enrutamiento basado en la política en la página 269.
Fireware XTM Web UI
Configuraciones de proxy
n
También puede configurarse NAT estática o el balance de carga en el servidor. Vea Acerca de la NAT estática en la página 153 y Configurar Balance de carga en el servidor en la página 154.
Pestaña Propiedades n
n
n
Para definir el registro para una política, haga clic en Registro y Determinar preferencias de registro y notificación en la página 360. Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas (enviar restablecer), se pueden bloquear sitios que intentan usar DNS. Vea Bloquear sitios temporalmente con configuración de políticas en la página 346. Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de autenticación, Configurar un tiempo de espera inactivo personalizado en la página 270.
Pestaña Avanzada Pueden usarse varias otras opciones en la definición de proxy: n n n n
n n
Establecer un cronograma operativo Agregar una Acción de administración de tráfico a una política Determinar Administración de errores ICMP Aplicar reglas NAT (Tanto 1-to-1 NAT como NAT dinámica están activadas de manera predeterminada en todas las políticas). Activar el marcado QoS o configuraciones de priorización para una política Defina la duración de sticky connection para una política
Pestañas Configuración y Contenido Las políticas de proxy de WatchGuard tienen opciones de seguridad de red y rendimiento adicionales relacionadas con el tipo de tráfico de red que controla el proxy. Para modificar estas configuraciones, edite una política de proxy y seleccione la pestaña Configuración o Contenido. n n
Proxy DNS : Configuración Proxy DNS : Contenido
Proxy DNS : Contenido Cuando se agrega una política de proxy DNS, se pueden configurar opciones adicionales relacionadas con el protocolo DNS. Para mejorar la seguridad de red y el rendimiento: 1. Edite o agregue la política DNS-Servidor proxy. Aparece la página "Configuración de Política".
2. Haga clic en la pestaña Contenido. 3. Configure Tipos de consulta y Nombres de consulta.
Guía del Usuario
281
Configuraciones de proxy
Tipos de consulta Esta lista muestra cada tipo de registro DNS y su valor. Para denegar solicitudes de registro DNS de un tipo específico, desmarque la casilla de verificación adyacente. Nombres de consulta Para denegar solicitudes DNS por patrón, seleccione la casilla de verificación Denegar estos nombres de consulta. Ingrese un nombre de host en el campo de texto adyacente y haga clic en Agregar. Para borrar una entrada de la lista Nombres de consulta, seleccione la entrada y haga clic en Eliminar. 4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente. 5. Haga clic en Guardar.
Proxy DNS : Configuración Cuando se agrega una política de proxy DNS, se pueden configurar opciones adicionales relacionadas con el protocolo DNS. Para mejorar la seguridad de red y el rendimiento: 1. Edite o agregue la política DNS-Servidor proxy. Aparece la página "Configuración de Política".
2. Seleccione la pestaña Configuración. 3. Configurar las Reglas de detección de anomalías de protocolo.
282
Fireware XTM Web UI
Configuraciones de proxy
Internet sin clasificar La mayoría de las solicitudes DNS utilizan la clase IN o Internet. Muchos ataques, en cambio, utilizan las clases CH (caos) o HS (Hesiod). Sin embargo, algunas configuraciones de red requieren que estas clases funcionen correctamente. Por ejemplo, se puede usar el servicio de nombres Hesiod para distribuir automáticamente información de usuarios y grupos a través de una red con el sistema operativo Unix. La acción predeterminada es denegar estas solicitudes. Seleccione una opción para solicitudes DNS que usan las clases CH o HS: n n n n
Permitir Denegar Descartar Bloquear: todas las solicitudes futuras de ese dispositivo se bloquean automáticamente durante un período determinado. Seleccione la opción apropiada en la lista desplegable adyacente.
Consulta con formato erróneo Un atacante pueden intentar enviar solicitudes DNS que no coinciden con los estándares del protocolo para obtener el control de la red. Sin embargo, otras aplicaciones a veces pueden enviar solicitudes con formato inadecuado que son necesarias para la organización. Recomendamos utilizar la configuración predeterminada y denegar las solicitudes DNS con formato inadecuado. Seleccione una opción para solicitudes DNS con formato inadecuado: n n n n
Permitir Denegar Descartar Bloquear: todas las solicitudes futuras de ese dispositivo se bloquean automáticamente durante un período determinado. Seleccione la opción apropiada en la lista desplegable adyacente.
Activar el registro para informes Para enviar un mensaje de registro para cada solicitud de conexión administrada por el DNSServidor proxy, seleccione esta casilla de verificación. Debe activar esta opción para crear informes precisos sobre el tráfico DNS Servidor proxy. 4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente. 5. Haga clic en Guardar.
Guía del Usuario
283
Configuraciones de proxy
Página Acerca de Proxy FTP El FTP (protocolo de transferencia de archivos) se usa para enviar archivos desde un equipo a otro diferente a través de una red TCP/IP. El cliente FTP es generalmente un equipo. El servidor FTP puede ser un recurso que mantiene archivos en la misma red o en una red diferente. El cliente FTP puede estar en uno de dos modos para la transferencia de datos: activo o pasivo. En el modo activo, el servidor inicia una conexión con el cliente en el puerto de origen 20. En el modo pasivo, el cliente utiliza un puerto previamente negociado para conectarse al servidor. El proxy FTP monitorea y examina estas conexiones FTP entre los usuarios y los servidores FTP a los que se conectan. Con una política de proxy FTP es posible: n
n
Establecer la longitud máxima del nombre de usuario, la longitud de la contraseña, la longitud del nombre de archivo y la longitud de la línea de comandos permitidas a través del proxy para ayudar a proteger la red de ataques de fallas en la memoria intermedia. Controlar el tipo de archivos que el proxy FTP permite para cargas y descargas.
El proxy TCP/UDP está disponible para protocolos en puertos no estándares. Cuando el FTP utiliza un puerto que no es el puerto 20, el proxy TCP/UDP retransmite el tráfico al proxy FTP. Para obtener información sobre el proxy TCP/UDP, consulte Página Acerca de Proxy de TCP-UDP en la página 319. Para agregar el proxy FTP a la configuración de Firebox, consulte Agregar una política de proxy a la configuración en la página 277.
Pestaña Política La pestaña Política se utiliza para definir reglas de acceso y otras opciones. n
Las conexiones FTP-Servidor proxy están: especifica si las conexiones están Permitidas, Negadas o Negadas (enviar restablecer). Defina quién figura en la lista Desde y Hasta (en la pestaña Política de la definición de proxy). Para más informaciones, vea Definir reglas de acceso a una política.
n n
Usar el enrutamiento basado en la política: Configurar el enrutamiento basado en la política. También puede configurarse NAT estática o el balance de carga en el servidor. Para obtener más información, consulte Acerca de la NAT estática en la página 153 o Configurar Balance de carga en el servidor en la página 154.
Pestaña Propiedades n
n
n
284
Para definir el registro para una política, haga clic en Registro y Determinar preferencias de registro y notificación en la página 360. Si configura la lista desplegable Las conexiones de FTP Servidor proxy están (en la pestaña Política) en Negadas o Negadas (enviar restablecer), se pueden bloquear sitios que intentan usar FTP. Para más informaciones, vea Bloquear sitios temporalmente con configuración de políticas en la página 346. Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de autenticación, Configurar un tiempo de espera inactivo personalizado en la página 270.
Fireware XTM Web UI
Configuraciones de proxy
Pestaña Avanzada Pueden usarse varias otras opciones en la definición de proxy: n n n n
n n
Establecer un cronograma operativo Agregar una Acción de administración de tráfico a una política Determinar Administración de errores ICMP Aplicar reglas NAT (Tanto 1-to-1 NAT como NAT dinámica están activadas de manera predeterminada en todas las políticas). Activar el marcado QoS o configuraciones de priorización para una política Defina la duración de sticky connection para una política
Pestañas Configuración y Contenido Las políticas de proxy de WatchGuard tienen opciones de seguridad de red y rendimiento adicionales relacionadas con el tipo de tráfico de red que controla el proxy. Para modificar estas configuraciones, edite una política de proxy y seleccione la pestaña Configuración o Contenido. n n
Proxy FTP : Configuración FTP DNS: Contenido
FTP DNS: Contenido El usuario puede controlar el tipo de archivos que el proxy FTP permite para cargas y descargas. Por ejemplo, debido a que muchos hackers utilizan archivos ejecutables para implementar virus o gusanos en un equipo, el usuario podría denegar solicitudes de archivos *.exe. O bien, si no dese permitir que los usuarios carguen archivos de Windows Media a un servidor FTP, puede agregar *.wma a la definición de proxy y especificar que estos archivos se rechazan. Utilice el asterisco (*) como carácter comodín.
Guía del Usuario
285
Configuraciones de proxy
1. Seleccione la pestaña Contenido. 2. En la sección Descargas, seleccione la casilla de verificación Denegar estos tipos de archivos si desea limitar los tipos de archivos que un usuario puede descargar. Esta casilla de verificación está seleccionada de manera predeterminada y restringe los tipos de archivos que los usuarios pueden descargar a través del proxy FTP.
3. Si desea denegar archivos o tipos de archivos adicionales, ingrese un asterisco (*) y el nombre o extensión del archivo y luego haga clic en Agregar. 4. En la sección Cargas, seleccione la casilla de verificación Denegar estos tipos de archivos si desea limitar los tipos de archivos que un usuario puede descargar. Si selecciona esta configuración, no se permitirán los archivos que coincidan con los patrones mencionados. 5. Si desea denegar cualquier archivo o tipo de archivo adicional, ingrese un asterisco (*) y el nombre o extensión del archivo y luego haga clic en Agregar. 6. Haga clic en Enviar.
Proxy FTP : Configuración Cuando se agrega una política de proxy FTP , pueden configurarse opciones adicionales relacionadas con el protocolo FTP. Para mejorar la seguridad de red y el rendimiento: 1. Edite o agregue la política FTP Servidor proxy. Aparece la página "Configuración de Política".
2. Seleccione la pestaña Configuración. 3. Configurar esas opciones:
Longitud máxima de nombre de usuario Defina el número máximo de caracteres que un usuario puede enviar en un nombre de usuario. Cuando un usuario se conecta a un servidor FTP, debe proporcionar un nombre de usuario para iniciar sesión. Los nombres de usuario muy extensos pueden ser signo de un ataque de fallas en la memoria intermedia. Extensión máxima de contraseña Defina el número máximo de caracteres para contraseñas de usuarios. Cuando un usuario se conecta a un servidor FTP, debe proporcionar una contraseña para iniciar sesión. Las contraseñas muy extensas pueden ser signo de un ataque de fallas en la memoria intermedia. Extensión máxima de nombre de archivo
286
Fireware XTM Web UI
Configuraciones de proxy
Defina el número máximo de caracteres en un nombre de archivo, para solicitudes de carga y descarga. Algunos sistemas de archivo no pueden identificar o usar archivos con nombres de archivos muy largos. Extensión máxima de línea de comandos Defina el número máximo de caracteres que un usuario puede enviar en un comando FTP. Los usuarios envían comandos a un servidor FTP para completar tareas con archivos. Los comandos muy extensos pueden ser signo de un ataque de fallas en la memoria intermedia. Cantidad máxima de inicios de sesión fallidos Defina el número máximo de veces que un usuario puede intentar iniciar sesión antes de que se denieguen las conexiones. Los múltiples intentos de inicio de sesión fallidos pueden ser resultado de un atacante que utiliza ataques de diccionario para obtener acceso al servidor. Activar el registro para informes Para enviar un mensaje de registro para cada solicitud de conexión administrada por el FTP Servidor proxy, seleccione esta casilla de verificación. Debe activar esta opción para crear informes precisos sobre el tráfico FTP Servidor proxy. 4. Para bloquear automáticamente conexiones que no coinciden con la configuración en esa opción, seleccione la casilla de verificación adyacente Bloqueo automático. 5. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente. 6. Haga clic en Guardar.
Página Acerca de ALG H.323 Si en la empresa se usa voz sobre IP (VoIP), el usuario puede agregar una ALG (puerta de enlace de la capa de aplicación) H.323 o SIP (Protocolo de inicio de sesión) para abrir los puertos necesarios para activar VoIP a través del dispositivo WatchGuard. Una ALG se crea del mismo modo que una política de proxy y ofrece opciones de configuración similares. Estas ALG se han creado para funcionar en un entorno NAT para mantener la seguridad en equipos de conferencias con direcciones privadas protegidos por el dispositivo WatchGuard. H.323 en general se usa en equipos de videoconferencia e instalaciones de voz más antiguos. SIP es un estándar más nuevo que es más común en entornos hospedados, donde sólo dispositivos extremos como teléfonos están hospedados en la ubicación de la empresa y un proveedor de VoIP administra la conectividad. Si es necesario se pueden usar ALG H.323 y SIP al mismo tiempo. Para determinar qué ALG agregar, consulte la documentación para los dispositivos o aplicaciones VoIP.
Componentes de VoIP Es importante comprender que en general VoIP se implementa mediante el uso de: Conexiones punto a punto En una conexión punto a punto, cada uno de los dos dispositivos conoce la dirección IP del otro dispositivo y se conecta al otro directamente. Si los dos puntos se encuentran detrás de Firebox, éste puede enrutar el tráfico de llamada correctamente.
Guía del Usuario
287
Configuraciones de proxy
Conexiones hospedadas Conexiones hospedadas por un sistema de gestión de llamadas (PBX) Con H.323, el componente clave de la gestión de llamadas se conoce como gatekeeper. Un gatekeeper gestiona las llamadas VoIP para un grupo de usuarios y puede encontrarse en una red protegida por el dispositivo WatchGuard o en una ubicación externa. Por ejemplo, algunos proveedores VoIP hospedan un gatekeeper en la red a la que el usuario debe conectarse antes de que éste pueda realizar una llamada VoIP. Otras soluciones requieren que el usuario configure y mantenga un gatekeeper en su red. La coordinación del gran número de componentes de una instalación VoIP puede ser compleja. Recomendamos asegurarse de que las conexiones VoIP funcionen en forma satisfactoria antes de agregar una ALG H.323 o SIP. Esto puede ayudar al usuario a resolver cualquier problema.
Funciones de ALG Cuando se activa una ALG H.323, el dispositivo WatchGuard: n n n
Responde automáticamente a aplicaciones VoIP y abre los puertos adecuados. Se asegura de que las conexiones VoIP usen protocolos H.323 estándar. Genera mensajes de registro con fines de auditoría.
Muchos dispositivos y servidores VoIP utilizan NAT (traducción de dirección de red) para abrir y cerrar puertos automáticamente. Las ALG H.323 y SIP también cumplen esta función. Se debe desactivar NAT en los dispositivos VoIP si se configura una ALG H.323 o SIP .
Pestaña Política n
n
n
Las conexiones ALG-H.323 están: especifica si las conexiones están Permitidas, Negadas o Negadas (enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaña Política de la definición de ALG). Para más informaciones, vea Definir reglas de acceso a una política en la página 267. Usar el enrutamiento basado en la política : si desea utilizar el enrutamiento basado en la política en la definición de proxy, consulte Configurar el enrutamiento basado en la política en la página 269. También puede configurarse NAT estática o el balance de carga en el servidor. Para más informaciones, vea Acerca de la NAT estática en la página 153 y Configurar Balance de carga en el servidor en la página 154.
Pestaña Propiedades n
n
n
288
Para definir el registro para una política, haga clic en Registro y Determinar preferencias de registro y notificación en la página 360. Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas (enviar restablecer), se pueden bloquear sitios que intentan usar DNS. Para más informaciones, vea Bloquear sitios temporalmente con configuración de políticas en la página 346. Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de autenticación, Configurar un tiempo de espera inactivo personalizado.
Fireware XTM Web UI
Configuraciones de proxy
Pestaña Avanzada También puede usar estas opciones en la definición de proxy: n n n n
n n
Establecer un cronograma operativo Agregar una Acción de administración de tráfico a una política Determinar Administración de errores ICMP Aplicar reglas NAT (Tanto 1-to-1 NAT como NAT dinámica están activadas de manera predeterminada en todas las políticas). Activar el marcado QoS o configuraciones de priorización para una política Defina la duración de sticky connection para una política
Pestañas Configuración y Contenido Las políticas de proxy de WatchGuard tienen opciones de seguridad de red y rendimiento adicionales relacionadas con el tipo de tráfico de red que controla el proxy. Para modificar estas configuraciones, edite una política de proxy y seleccione la pestaña Configuración o Contenido. n n
ALG H.323: Configuración ALG H.323: Contenido
ALG H.323: Contenido Cuando se agrega una ALG (puerta de enlace de la capa de aplicación) H.323, se pueden configurar opciones adicionales relacionadas con el protocolo H.323. Para mejorar la seguridad de red y el rendimiento: 1. Editar o agregar la política ALG H.323. Aparece la página "Configuración de Política".
2. Haga clic en la pestaña Contenido. 3. Configurar esas opciones:
Codecs negados Utilice esta función para denegar uno o más codecs VoIP . Cuando se abre una conexión VoIP H.323 que usa un codec especificado en esta lista, el dispositivo WatchGuard cierra la conexión automáticamente. Esta lista está vacía de manera predeterminada. Recomendamos agregar un
Guía del Usuario
289
Configuraciones de proxy
codec a esta lista si consume demasiado ancho de banda, presenta un riesgo de seguridad o si es necesario lograr que la solución VoIP funcione correctamente. Por ejemplo, pude optar por denegar los codecs G.711 o G.726 porque usan más de 32 Kb/seg de ancho de banda o puede optar por denegar el codec Speex porque es utilizado por un codec VoIP no autorizado. Para agregar un codec a la lista: n
n
En el cuadro de texto Codecs, ingrese el nombre del codec o el patrón de texto único. No use caracteres comodín ni sintaxis de expresión regular. Los patrones de codec distinguen mayúsculas de minúsculas. Haga clic en Agregar.
Para eliminar un codec de la lista: n n
Seleccione un codec en la lista. Haga clic en Eliminar.
Activar control de acceso para VoIP Seleccione esta casilla de verificación para activar la función de control de acceso. Cuando esté activada, la ALG H.323 permite o restringe llamadas según las opciones configuradas. Configuración predeterminada n
n
n
290
Seleccione la casilla de verificación Iniciar llamadas VoIP para permitir que todos los usuarios VoIP inicien llamadas de manera predeterminada. Seleccione la casilla de verificación Recibir llamadas VoIP para permitir que todos los usuarios VoIP reciban llamadas de manera predeterminada. Seleccione la casilla de verificación adyacente Registro para crear un mensaje de registro para cada conexión VoIP H.323 iniciada o recibida.
Fireware XTM Web UI
Configuraciones de proxy
Niveles de acceso Para crear una excepción a la configuración predeterminada especificada anteriormente: n n n
Ingrese un nombre de host, dirección IP o dirección de correo electrónico. Seleccione un nivel de acceso en la lista desplegable adyacente. Haga clic en Agregar.
Se puede permitir que los usuarios inicien llamadas únicamente, reciban llamadas únicamente, inicien y reciban llamadas o denegarles el acceso VoIP. Estas configuraciones se aplican sólo al tráfico VoIP H.323. Si desea eliminar una excepción: n n
Seleccione la excepción en la lista. Haga clic en Eliminar.
Las conexiones realizadas por usuarios que tienen una excepción de nivel de acceso se registran de manera predeterminada. Si no desea registrar conexiones realizadas por un usuario con una excepción de nivel de acceso, desmarque la casilla de verificación Registro cuando cree la excepción. 4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente. 5. Haga clic en Guardar.
ALG H.323: Configuración Cuando se agrega una ALG (puerta de enlace de la capa de aplicación) H.323, se pueden configurar opciones adicionales relacionadas con el protocolo H.323. Para mejorar la seguridad de red y el rendimiento: 1. Editar o agregar la política ALG H.323. Aparece la página "Configuración de Política".
2. Seleccione la pestaña Configuración. 3. Configurar esas opciones:
Activar protección de cosecha de directorio. Seleccione esta casilla de verificación para asegurarse de que los atacantes no puedan robar información de usuarios a gatekeepers VoIP protegidos por Firebox. Esa opción es activada por defecto. Sesiones máximas
Guía del Usuario
291
Configuraciones de proxy
Esta función para restringe el número máximo de sesiones de audio o video que pueden crearse con una única llamada VoIP . Por ejemplo, si el usuario define el número de sesiones máximas en una y participa en una llamada VoIP con audio y video, la segunda conexión se descarta. El valor predeterminado es dos sesiones y el valor máximo es cuatro sesiones. Firebox crea una entrada de registro cuando niega una sesión multimedia por encima de este número. Información del agente usuario Para identificar el tráfico H.323 saliente como un cliente específico, ingrese una nueva cadena de agente usuario en el cuadro de texto Reescribir agente usuario como. Para eliminar el agente usuario falso, desmarque el cuadro de texto. Tiempos de espera Cuando no se envían datos durante un período determinado en un canal VoIP de audio, video o datos, Firebox cierra esa conexión de red. El valor predeterminado es 180 segundos (tres minutos) y el valor máximo es 3600 segundos (60 minutos). Para especificar un intervalo de tiempo diferente, ingrese el número en segundos en el cuadro de texto Canales de medios inactivos. Activar el registro para informes Seleccione esta casilla de verificación para enviar un mensaje de registro para cada solicitud de conexión administrada por la ALG H.323. Esta opción es necesaria para que Informes WatchGuard cree informes precisos sobre el tráfico H.323. Esa opción es activada por defecto. 4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente. 5. Haga clic en Guardar.
Página Acerca de Proxy HTTP El protocolo de transferencia de hipertexto (HTTP) es un protocolo de solicitud/respuesta entre clientes y servidores. El cliente HTTP en general es un explorador web. El servidor HTTP es un recurso remoto que almacena archivos HTML, imágenes y otro contenido. Cuando el cliente HTTP inicia una solicitud, establece una conexión del TCP (Protocolo de control de transmisión) en el puerto 80. Un servidor HTTP escucha solicitudes en el puerto 80. Cuando recibe la solicitud del cliente, el servidor responde con el archivo solicitado, un mensaje de error o alguna otra información. El proxy HTTP es un filtro de contenido de alto rendimiento. Examina el tráfico web para identificar contenido sospechoso que puede ser un virus u otro tipo de intrusión. También puede proteger de ataques a su servidor HTTP. Con un filtro de proxy HTTP, es posible: n
n
n
292
Ajuste los tiempos de espera y los límites de duración de las solicitudes y respuestas HTTP para evitar el mal desempeño de la red, como también varios ataques. Personalizar el deny message que los usuarios ven cuando intentan conectarse a un sitio web bloqueado por el proxy HTTP. Filtrar tipos MIME de contenido web.
Fireware XTM Web UI
Configuraciones de proxy
n n
Bloquear patrones de ruta y URL especificados. Negar cookies de sitios web especificados.
También se puede usar el proxy HTTP con la suscripción de seguridad WebBlocker. Para más información, vea Acerca de las WebBlocker en la página 561. El proxy TCP/UDP está disponible para protocolos en puertos no estándares. Cuando HTTP utiliza un puerto que no es el puerto 80, el proxy TCP/UDP envía el tráfico al proxy HTTP. Para obtener información sobre el proxy TCP/UDP, consulte Página Acerca de Proxy de TCP-UDP en la página 319. Para agregar el proxy HTTP a la configuración del dispositivo Firebox o XTM, consulte Agregar una política de proxy a la configuración en la página 277.
Pestaña Política n
n
n
Las conexiones HTTP Servidor proxy están E specifique si las conexiones están Permitidas, Negadas o Negadas (enviar restablecer) y seleccione los usuarios, equipos o redes que aparecen en las listas Desde y Hasta (en la pestaña Política de la definición de proxy). Para más información, vea Definir reglas de acceso a una política en la página 267. Usar el enrutamiento basado en políticas Para utilizar el enrutamiento basado en políticas en la definición de proxy, consulte Configurar el enrutamiento basado en la política en la página 269. También puede configurarse NAT estática o el balance de carga en el servidor. Para más información, vea Acerca de la NAT estática en la página 153 y Configurar Balance de carga en el servidor en la página 154.
Guía del Usuario
293
Configuraciones de proxy
Pestaña Propiedades n
n
n
Para definir el registro para una política, haga clic en Generación de registros y Determinar preferencias de registro y notificación . Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas (enviar restablecer), se pueden bloquear los dispositivos que intentan conectarse por el puerto 80. Para más información, vea Bloquear sitios temporalmente con configuración de políticas en la página 346. Si desea utilizar un tiempo de espera inactivo distinto del especificado por el dispositivo Firebox o XTM o el servidor de autenticación, Configurar un tiempo de espera inactivo personalizado.
Pestaña Avanzada Pueden usarse varias otras opciones en la definición de proxy: n n n n
n n
Establecer un cronograma operativo Agregar una Acción de administración de tráfico a una política Determinar Administración de errores ICMP Aplicar reglas NAT (Tanto 1-to-1 NAT como NAT dinámica están activadas de manera predeterminada en todas las políticas). Activar el marcado QoS o configuraciones de priorización para una política Defina la duración de sticky connection para una política
Pestañas Configuración, Contenido y Application Blocker Las políticas de proxy de WatchGuard tienen opciones de seguridad de red y rendimiento adicionales relacionadas con el tipo de tráfico de red que controla cada proxy. Para modificar estas configuraciones, edite una política de proxy y seleccione la pestaña Configuración, Contenido o Application Blocker. n n n
Proxy HTTP: Pestaña Configuración Proxy HTTP: Pestaña Contenido Proxy HTTP: Application Blocker
Vea también
Permitir actualizaciones de Windows a través del proxy HTTP Los servidores Windows Update identifican el contenido que entregan a un equipo como una transmisión binaria genérica (como transmisión de octetos), la cual queda bloqueada por las reglas de proxy HTTP predeterminadas. Para permitir actualizaciones de Windows a través del proxy HTTP, se debe editar el conjunto de reglas de proxy HTTP Cliente para agregar excepciones de proxy HTTP para los servidores Windows Update. 1. Asegúrese de que Firebox permita conexiones salientes en el puerto 443 y el puerto 80. Estos son los puertos que usan los equipos para contactar a los servidores Windows Update. 2. Seleccione la pestaña Configuración de la política de proxy HTTPS.
294
Fireware XTM Web UI
Configuraciones de proxy
3. En el cuadro de texto a la izquierda del botón Agregar , ingrese o pegue cada uno de estos dominios y haga clic en Agregar después de cada uno: windowsupdate.microsoft.com download.windowsupdate.com update.microsoft.com download.microsoft.com ntservicepack.microsoft.com wustat.windows.com v4.windowsupdate.microsoft.com v5.windowsupdate.microsoft.com
4. Haga clic en Guardar.
Si aún no puede descargar actualizaciones de Windows Si tiene más de una política de proxy HTTP, asegúrese de agregar las excepciones HTTP a la política y acción de proxy correctas. Microsoft no limita las actualizaciones sólo a estos dominios. Examine los registros de tráfico negado a un dominio de propiedad de Microsoft. Busque el tráfico negado por el proxy HTTP. La línea de registro debe incluir el dominio. Agregue cualquier nuevo dominio de Microsoft a la lista de excepciones de proxy HTTP y luego vuelva a ejecutar Windows Update.
Proxy HTTP: Pestaña Contenido Ciertos tipos de contenido que los usuarios solicitan a sitios web pueden ser una amenaza para la seguridad de la red. Otros tipos de contenido pueden disminuir la productividad de los usuarios. Si la definición de proxy predeterminada no satisface todas las necesidades de la empresa, se puede agregar, eliminar o modificar la definición. Para configurar restricciones para contenido HTTP : 1. Edite o agregue la política HTTP Servidor proxy. Aparece la página "Configuración de Política".
2. Haga clic en la pestaña Contenido.
Guía del Usuario
295
Configuraciones de proxy
3. Configure las opciones como se describe en las siguientes secciones. 4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente. 5. Haga clic en Guardar.
Tipo de contenido Cuando un servidor web envía tráfico HTTP, en general agrega un tipo MIME o tipo de contenido al encabezado del paquete que muestra el tipo de contenido que incluye el paquete. El encabezado HTTP en el tren de datos contiene este tipo MIME. Se agrega antes de enviar los datos. El formato de un tipo MIME es tipo/subtipo. Por ejemplo, si desea permitir imágenes JPEG, debe agregar imagen/jpg a la definición de proxy. También puede usar el asterisco (*) como comodín. Para permitir cualquier formato de imagen, se agrega imagen/* . Para obtener una lista de tipos MIME registrados y actualizados, ingrese en http://www.iana.org/assignments/media-types.
296
Fireware XTM Web UI
Configuraciones de proxy
1. Seleccione la casilla de verificación Permitir sólo los tipos de contenido seguro si desea limitar los tipos de contenido permitidos a través a través del proxy. De manera predeterminada se incluye una lista de tipos de MIME comunes. 2. Para agregar tipos de contenido comunes a la lista, en la lista Tipos de contenido predefinidos , seleccione el tipo de MIME y haga clic en Configuración global. Aparece la página de Configuración global.
Guía del Usuario
323
Administración de tráfico y QoS
2. Seleccione la casilla de verificación Activar todas las funciones de administración de tráfico y QoS. 3. Haga clic en Guardar.
Garantice ancho de banda Las reservas de ancho de banda pueden evitar los tiempos de espera de conexión. Una cola de administración de tráfico con ancho de banda reservado y una prioridad baja puede proporcionar ancho de banda a aplicaciones en tiempo real con mayor prioridad cuando sea necesario y sin desconexiones. Otras colas de administración de tráfico pueden aprovechar el ancho de banda reservado sin utilizar cuando esté disponible. Por ejemplo, supongamos que la compañía tiene un servidor FTP en una red externa y desea garantizar que el FTP siempre tenga por lo menos 200 kilobytes por segundo (KBps) mediante la interfaz externa. También puede considerar la configuración de un ancho de banda mínimo para la interfaz de confianza para asegurarse de que la conexión tenga un ancho de banda garantizado de extremo a extremo. Para hacer esto, debería crear una acción de administración de tráfico que defina un mínimo de 200 KBps para el tráfico FTP en la interfaz externa. Entonces, crearía una política FTP y aplicaría la acción de administración de tráfico. Esto permitirá ejecutar el comando ftp put a 200 KBps. Si desea permitir la ejecución del comando ftp get a 200 KBps, debe configurar el tráfico FTP en la interfaz de confianza para que también tenga un mínimo de 200 KBps.
324
Fireware XTM Web UI
Administración de tráfico y QoS
Como ejemplo adicional, supongamos que su compañía utiliza materiales multimedia (streaming media) para capacitar a clientes externos. Estos materiales multimedia utilizan RTSP mediante el puerto 554. Tiene cargas frecuentes al FTP de la interfaz de confianza a la interfaz externa y no desea que estas cargas compitan con la capacidad de los clientes para recibir los materiales multimedia. Para garantizar el ancho de banda suficiente, puede aplicar una acción de administración de tráfico a la interfaz externa para el puerto de materiales multimedia.
Restrinja el ancho de banda La configuración de ancho de banda garantizado trabaja con el ajuste del Ancho de banda de interfaz saliente configurado para cada interfaz externa para asegurarse de que no garantice más ancho de banda del que realmente existe. Esta configuración también ayuda a asegurar que la suma de la configuración de ancho de banda garantizado no llene el enlace de modo que el tráfico no garantizado no pueda pasar. Por ejemplo, supongamos que el enlace es de 1 Mbps y usted intenta utilizar una acción de administración de tráfico que garantiza 973 Kbps (0.95 Mbps) a la política FTP en ese enlace. Con esta configuración, el tráfico FTP podría utilizar una cantidad tal del ancho de banda disponible que otros tipos de tráfico no podrían utilizar la interfaz.
Marcado QoS El marcado QoS crea diferentes clases de servicio para distintos tipos de tráfico de red saliente. Cuando marca el tráfico, puede cambiar hasta seis bits en los campos del encabezado del paquete definidos para este fin. Otros dispositivos pueden utilizar este marcado para administrar un paquete de la manera adecuada mientras viaja de un punto a otro de la red. Puede activar el marcado QoS para una interfaz individual o una política individual. Cuando define el marcado QoS para una interfaz, cada paquete que abandona la interfaz está marcado. Cuando define el marcado QoS para una política, todo el tráfico que utiliza esa política también está marcado.
Prioridad de tráfico Puede asignar diferentes niveles de prioridad a las políticas o al tráfico de una interfaz en particular. La priorización del tráfico en el firewall le permite administrar cosas de clase de servicio (CoS) múltiples y reservar la prioridad más alta para los datos en tiempo real o la transmisión de datos. Una política con alta prioridad puede extraer ancho de banda de las conexiones existentes de baja prioridad cuando el enlace está congestionado; entonces, el tráfico debe competir por el ancho de banda.
Configurar el ancho de banda de interfaz saliente Algunas funciones de administración de tráfico exigen que establezca un límite de ancho de banda para cada interfaz de red. Por ejemplo, debe establecer la configuración de Ancho de banda de interfaz saliente para utilizar el marcado QoS y la priorización. Después de configurar este límite, Firebox completa las tareas de priorización básica sobre el tráfico de red para evitar problemas de tráfico excesivo en la interfaz especificada. Además, aparece una advertencia en Fireware XTM Web UI si asigna demasiado ancho de banda al crear o ajustar las acciones de administración de tráfico.
Guía del Usuario
325
Administración de tráfico y QoS
Si no cambia la configuración de Ancho de banda de interfaz saliente en ninguna interfaz del valor predeterminado en 0, está configurada para autonegociar la velocidad de enlace para esa interfaz. 1. Seleccione Administración de tráfico > por firewall. Aparece la página de administración de tráfico.
2. Haga clic en la pestaña Interfaces.
3. En la columna Ancho de banda adyacente al nombre de la interfaz, ingrese la cantidad de ancho de banda proporcionada por la red. Utilice la velocidad de carga de su conexión a Internet en kilobits o megabits por segundo (Kbps o Mbps). Configure el ancho de banda de su interfaz LAN sobre la base de la velocidad de enlace mínima admitida por su infraestructura LAN. 4. Para cambiar la unidad de la velocidad, seleccione una interfaz de la lista, luego haga clic en la unidad de velocidad adyacente y seleccione una opción diferente en la lista desplegable. 5. Haga clic en Guardar.
Configure los límites de la tasa de conexión Para mejorar la seguridad de red, puede crear un límite en una política de modo que sólo filtre una cantidad específica de conexiones por segundo. Si se intentan realizar conexiones adicionales, el tráfico se niega y se crea un mensaje de registro. 1. Seleccione Firewall > Políticas de firewall o Políticas > de Mobile VPN para firewall. Aparecerá la página de Políticas.
2. 3. 4. 5.
326
Haga doble clic en una política o seleccione la política que desea configurar y haga clic en Editar. Haga clic en la pestaña Avanzado. Seleccione la casilla de verificación Tasa de conexión. En el cuadro de texto adyacente, ingrese o seleccione el número de conexiones que puede procesar esta política en un segundo.
Fireware XTM Web UI
Administración de tráfico y QoS
6. Haga clic en Guardar.
Acerca de las Marcado QoS Las redes actuales suelen constar de varios tipos de tráfico de red que compiten por el ancho de banda. Todo el tráfico, ya sea de primordial importancia o carente de importancia, tiene la misma posibilidad de llegar a destino de manera oportuna. El marcado de calidad del servicio (QoS) le brinda un tratamiento preferencial al tráfico crítico, para asegurarse de que sea entregado de manera rápida y confiable. La función de QoS debe poder diferenciar los varios tipos de secuencias de datos que fluyen por su red. Entonces, debe marcar los paquetes de datos. El marcado QoS crea diferentes clasificaciones de servicio para distintos tipos de tráfico de red. Cuando marca el tráfico, puede cambiar hasta seis bits en los campos del encabezado del paquete definidos para este fin. Firebox y otros dispositivos aptos para QoS pueden utilizar este marcado para administrar un paquete de la manera adecuada mientras viaja de un punto a otro de la red. Fireware XTM soporta dos tipos de marcado QoS: Marca de precedencia IP (también conocida como Clase de servicio) y marca de Differentiated Service Code Point (DSCP). Para obtener más información acerca de estos tipos de marcado y los valores que puede configurar, consulte Marcado: tipos y valores en la página 328.
Antes de empezar n
n
Asegúrese de que su equipo de LAN soporte el marcado y la administración QoS. Es posible que también deba asegurarse de que su ISP soporte el marcado QoS. El uso de procedimientos de QoS en una red requiere una planificación exhaustiva. Primero puede identificar el ancho de banda teórico disponible y luego determinar qué aplicaciones de red son de alta prioridad, especialmente sensibles a la latencia y la oscilación o ambas opciones.
Marcado QoS para interfaces y políticas Puede activar el marcado QoS para una interfaz individual o una política individual. Cuando define el marcado QoS para una interfaz, cada paquete que abandona la interfaz está marcado. Cuando define el marcado QoS para una política, todo el tráfico que utiliza esa política también está marcado. El marcado QoS para una política anula cualquier configuración de marcado QoS en una interfaz. Por ejemplo, supongamos que su Firebox recibe tráfico con marcado QoS de una red de confianza y lo envía a una red externa. La red de confianza ya tiene aplicado el marcado QoS, pero usted desea que el tráfico a su equipo ejecutivo obtenga una prioridad más alta que el resto del tráfico de red de la interfaz de confianza. Primero, configure el marcado QoS de la interfaz de confianza en un valor determinado. Luego, agregue una política con configuración de marcado QoS para el tráfico a su equipo ejecutivo con un valor más alto.
Marcado QoS y tráfico IPSec Si desea aplicar el marcado QoS al tráfico IPsec, debe crear una política de firewall específica para la política IPsec correspondiente y aplicarle el marcado QoS a esa política. También puede elegir si desea preservar el marcado existente cuando se encapsula un paquete marcado en un encabezado IPSec.
Guía del Usuario
327
Administración de tráfico y QoS
Para preservar el marcado: 1. Seleccione VPN > Configuraciones Globales. Aparece la página de configuración de VPN global.
2. Seleccione la casilla de verificación Activar TOS para IPSec. 3. Haga clic en Guardar. Se preservan todas las marcas existentes cuando el paquete es encapsulado en un encabezado IPSec.
Para eliminar el marcado: 1. Seleccione VPN > Configuraciones Globales. Aparece la página de configuración de VPN global.
2. Limpie la casilla de verificación Activar TOS para IPSec. 3. Haga clic en Guardar. Se restablecen los bits de TOS y no se preserva el marcado.
Marcado: tipos y valores Fireware XTM soporta dos tipos de marcado QoS: Marca de precedencia IP (también conocida como Clase de servicio) y marca de Differentiated Service Code Point (DSCP). La marca de precedencia IP sólo afecta a los tres primeros bits del octeto de tipo de servicio IP (TOS). La marca DSCP amplía el marcado a los seis primeros bits del octeto de TOS IP. Ambos métodos le permiten preservar los bits en el encabezado, que pueden haber sido marcados previamente por un dispositivo externo, o cambiarlos a un nuevo valor. Los valores de DSCP se pueden expresar de forma numérica o mediante nombres de palabras clave especiales que corresponden al comportamiento por salto (PHB). El comportamiento por salto es la prioridad aplicada a un paquete cuando viaja de un punto a otro dentro de una red. La marca DSCP de Fireware soporta tres tipos de comportamiento por salto: Mejor esfuerzo Mejor esfuerzo es el tipo de servicio predeterminado y se recomienda para el tráfico no crítico o no realizado en tiempo real. Si no utiliza el marcado QoS, todo el tráfico recaerá dentro de esta clase. Assured Forwarding (AF) El Assured Forwarding se recomienda para el tráfico que requiere mejor confiabilidad que el servicio de mejor esfuerzo. Dentro del tipo de comportamiento por salto denominado Assured Forwarding (AF), el tráfico puede asignarse a tres clases: baja, media y alta. Desvío urgente (EF) Este tipo tiene la prioridad más alta. Generalmente se reserva para el tráfico crítico de la misión y en tiempo real. Los puntos de código del selector de clase (CSx) se definen como compatibles con las versiones anteriores de los valores de precedencia IP. CS1 a CS7 son idénticos a los valores de precedencia IP 1 a 7. La tabla subsiguiente muestra los valores de DSCP que usted puede seleccionar, el valor de precedencia IP correspondiente (que es igual al valor CS) y la descripción en palabras clave de PHB.
328
Fireware XTM Web UI
Administración de tráfico y QoS
Valor de DSCP
Valor de precedencia IP equivalente (valores CS)
0 8
Descripción: Palabra clave del comportamiento por salto Mejor esfuerzo (igual a la carencia de marcado)
1
Scavenger*
10
AF Clase 1 - Baja
12
AF Clase 1 - Media
14
AF Clase 1 - Alta
16
2
18
AF Clase 2 - Baja
20
AF Clase 2 - Media
22
AF Clase 2 - Alta
24
3
26
AF Clase 3 - Baja
28
AF Clase 3 - Media
30
AF Clase 3 - Alta
32
4
34
AF Clase 4 - Baja
36
AF Clase 4 - Media
38
AF Clase 4 - Alta
40
5
46
EF
48
6
Control de Internet
56
7
Control de red
* La clase Scavenger se utiliza para el tráfico de prioridad más baja (por ejemplo, para compartir medios o utilizar aplicaciones de juegos). Este tráfico tiene una prioridad más baja que Mejor esfuerzo. Para obtener más información acerca de los valores de DSCP consulte esta referencia: http://www.rfceditor.org/rfc/rfc2474.txt
Activar marcado QoS para una interfaz Puede establecer el comportamiento de marcado predeterminado a medida que el tráfico sale de una interfaz. Estas configuraciones pueden ser anuladas por las configuraciones definidas para una política.
Guía del Usuario
329
Administración de tráfico y QoS
1. Seleccione Administración de tráfico > por firewall. Aparece la página de administración de tráfico.
2. Limpie la casilla de verificación Desactivar toda administración de tráfico. Haga clic en Guardar. Es posible que desee desactivar estas funciones más tarde si realiza pruebas de rendimiento o depuración de red.
3. Seleccione Interfaces de >red. Aparece la página de Interfaces de red.
4. Seleccione la interfaz para la cual desea activar el marcado QoS. Haga clic en Configurar. Aparece la página Configuración de interfaz.
5. Haga clic en Avanzado.
6. En la lista desplegable Tipo de marcado, seleccione DSCP o Precedencia IP. 7. En la lista desplegable Método de marcado, seleccione el método de marcado: n n
Preservar: no cambiar el valor actual del bit. Firebox prioriza el tráfico sobre la base de este valor. Asignar: asignarle al bit un nuevo valor.
8. Si seleccionó Asignar en el paso anterior, seleccione un valor de marcado. Si seleccionó el tipo de marcado Precedencia IP puede seleccionar valores de 0 (prioridad normal) a 7 (prioridad más alta). Si seleccionó el tipo de marcado DSCP, los valores son de 0 a 56. Para obtener más información acerca de estos valores, consulte Marcado: tipos y valores en la página 328. 9. Seleccione la casilla de verificación Priorizar tráfico basado en el marcado QoS. 10. Haga clic en Guardar.
Activar el marcado QoS o configuraciones de priorización para una política Además de marcar el tráfico que abandona una interfaz de Firebox, también puede marcar el tráfico por política. La acción de marcado que selecciona es aplicada a todo el tráfico que usa la política. Las políticas múltiples que utilizan las mismas acciones de marcado no tienen efecto una sobre otra. Las interfaces de Firebox también pueden tener su propia configuración de marcado QoS. Para utilizar el marcado QoS o la configuración de priorización para una política, debe cancelar cualquier configuración de marcado QoS por interfaz. 1. Seleccione Firewall > Políticas de firewall o Políticas> de Mobile VPN para firewall. Aparecerá la página de Políticas.
2. Seleccione la política que desea cambiar. Haga clic en Editar. 3. Haga clic en la pestaña Avanzado.
330
Fireware XTM Web UI
Administración de tráfico y QoS
4. Seleccione la casilla de verificación Cancelar configuraciones por interfaz para activar otros campos de marcado QoS y priorización. 5. Complete la configuración como se describe en las secciones subsiguientes. 6. Haga clic en Guardar.
Configuración de marcado QoS Para obtener más información acerca de los valores de marcado QoS, consulte Marcado: tipos y valores en la página 328. 1. En la lista desplegable Tipo de marcado, seleccione DSCP o Precedencia IP. 2. En la lista desplegable Método de marcado, seleccione el método de marcado: n n
Preservar: no cambiar el valor actual del bit. Firebox prioriza el tráfico sobre la base de este valor. Asignar: asignarle al bit un nuevo valor.
3. Si seleccionó Asignar en el paso anterior, seleccione un valor de marcado. Si seleccionó el tipo de marcado Precedencia IP puede seleccionar valores de 0 (prioridad normal) a 7 (prioridad más alta). Si seleccionó el tipo de marcado DSCP, los valores son de 0 a 56. 4. En la lista desplegable Priorizar tráfico basado en, seleccione Marcado QoS.
Configuración de priorización Se pueden utilizar muchos algoritmos para priorizar el tráfico de red. Fireware XTM utiliza un método de cola de alto rendimiento según la clase basado en el algoritmo de marcado jerárquico de paquetes (Hierarchical Token Bucket, HTB). La priorización en el Fireware XTM se aplica por política y es equivalente a los niveles de 0 a 7 de CoS (clase de servicio), donde 0 es la prioridad normal (predeterminada) y 7 es la prioridad más alta. El nivel 5 comúnmente se utiliza para transmitir datos como VoIP o videoconferencias. Reserve los niveles 6 y 7 para las políticas que permiten las conexiones de administración del sistema, para asegurarse de que estén siempre disponibles y evitar la interferencia de otro tráfico de red de alta prioridad. Utilice la tabla de niveles de prioridad como guía cuando asigne las prioridades. 1. En la lista desplegable Priorizar tráfico basado en, seleccione Valor personalizado. 2. En la lista desplegable Valor, seleccione un nivel de prioridad.
Guía del Usuario
331
Administración de tráfico y QoS
Niveles de prioridad Le recomendamos asignar una prioridad superior a 5 sólo a las políticas administrativas de WatchGuard, como la política WatchGuard, la política WG-Logging o la política WG-Mgmt-Server. El tráfico comercial de alta prioridad deberá obtener una prioridad de 5 o menor. Prioridad
Descripción
0
Rutinaria (HTTP, FTP)
1
Prioridad
2
Inmediata (DNS)
3
Flash (Telnet, SSH, RDP)
4
Cancelar Flash
5
Crítica (VoIP)
6
Control de interconexión de redes (Configuración del enrutador remoto)
7
Control de red (Administración de firewall, enrutador e interruptor)
Control de tráfico y definiciones de políticas Definir un Acción de administración de tráfico Las acciones de administración de tráfico pueden imponer restricciones de ancho de banda y garantizar una cantidad mínima de ancho de banda para una o más políticas. Cada acción de administración de tráfico puede incluir configuraciones para interfaces múltiples. Por ejemplo, en una acción de administración de tráfico utilizada con una política HTTP para una organización pequeña, puede configurar el ancho de banda mínimo garantizado de una interfaz de confianza en 250 Kbps y el ancho de banda máximo en 1000 Kbps. Esto limita las velocidades a las cuales los usuarios pueden descargar archivos, pero garantiza que una pequeña cantidad del ancho de banda siempre esté disponible para el tráfico HTTP. Luego podrá configurar el ancho de banda mínimo garantizado de una interfaz externa en 150 Kbps y el ancho de banda máximo en 300 Kbps para administrar las velocidades de carga al mismo tiempo.
Determine el ancho de banda disponible Antes de comenzar, debe determinar el ancho de banda disponible de la interfaz utilizada para las políticas que desea que tengan un ancho de banda garantizado. En el caso de las interfaces externas, puede comunicarse con su ISP (Proveedor de servicios de Internet) para verificar el acuerdo de nivel de servicio para el ancho de banda. A continuación puede utilizar una prueba de velocidad con herramientas en línea para verificar este valor. Estas herramientas pueden producir valores diferentes según una cantidad de variables. En el caso de otras interfaces, puede suponer que la velocidad de enlace en la interfaz Firebox es
332
Fireware XTM Web UI
Administración de tráfico y QoS
el ancho de banda máximo teórico para esa red. También debe considerar tanto las necesidades de envío como de recepción de una interfaz y configurar el valor de umbral sobre la base de estas necesidades. Si su conexión a Internet es asimétrica, utilice el ancho de banda del enlace ascendente establecido por su ISP como el valor de umbral.
Determine la suma de su ancho de banda También debe determinar la suma del ancho de banda que desea garantizar para todas las políticas en una interfaz determinada. Por ejemplo, en una interfaz externa de 1500 Kbps, es posible que desee reservar 600 Kbps para todo el ancho de banda garantizado y utilizar los 900 Kbps restantes para todo el otro tráfico. Todas las políticas que utilizan una acción de administración de tráfico comparten su tasa de conexión y sus configuraciones de ancho de banda. Cuando son creadas, las políticas pertenecen automáticamente a la acción de administración de tráfico predeterminada, que no impone restricciones ni reservas. Si crea una acción de administración de tráfico para configurar un ancho de banda máximo de 10 Mbps y se la aplica a una política FTP y a una política HTTP, todas las conexiones manejadas por esas políticas deben compartir 10 Mbps. Si más tarde aplica la misma acción de administración de tráfico a una política SMTP, las tres políticas deberán compartir 10 Mbps. Esto también se aplica a los límites de la tasa de conexión y al ancho de banda mínimo garantizado. El ancho de banda garantizado sin utilizar reservado por una acción de administración de tráfico puede ser utilizado por otras acciones.
Crear o modificar una acción de administración de tráfico 1. Seleccione Administración de tráfico > por firewall. Aparece la página de administración de tráfico. 2. Haga clic en Agregar para crear una nueva acción de administración de tráfico. O bien, seleccione una acción y haga clic en Configurar.
3. Ingrese un Nombre y una Descripción (opcional) para la acción. Utilizará el nombre de la acción para hacer referencia a ésta cuando la asigne a una política. 4. En la lista desplegable, seleccione una interfaz. Ingrese el ancho de banda mínimo y máximo para esa interfaz en los cuadros de texto adyacentes. 5. Haga clic en Agregar.
Guía del Usuario
333
Administración de tráfico y QoS
6. Repita los pasos 4 y 5 para agregar límites de tráfico a interfaces adicionales. 7. Para eliminar una interfaz de la acción de administración de tráfico, selecciónela y haga clic en Eliminar. 8. Haga clic en Guardar. Ahora puede aplicar esta acción de administración de tráfico a una o más políticas.
Agregar una Acción de administración de tráfico a una política Después de Definir un Acción de administración de tráfico, puede agregarla a las definiciones de las políticas. También puede agregar cualquier acción de administración de tráfico existente a las definiciones de la política. 1. Seleccione Administración de tráfico > por firewall. Aparece la página de administración de tráfico.
2. En la lista Políticas de administración de tráfico, seleccione una política.
3. En la columna adyacente, haga clic en la lista desplegable y seleccione una acción de administración de tráfico. 4. Para configurar una acción para otras políticas, repita los pasos 2 al 3. 5. Haga clic en Guardar. Nota Si tiene una configuración multi-WAN, los límites de ancho de banda se aplican de manera independiente a cada interfaz.
Agregue una acción de administración de tráfico a las políticas múltiples Cuando se agrega la misma acción de administración de tráfico a políticas múltiples, el ancho de banda máximo y mínimo se aplican a cada interfaz de su configuración. Si dos políticas comparten una acción que tiene un ancho de banda máximo de 100 kbps en una sola interfaz, entonces todo el tráfico de esa interfaz que coincida con esas políticas estará limitado a 100 kbps en total. Si utiliza un ancho de banda limitado en una interfaz para varias aplicaciones, cada una con puertos únicos, es posible que necesite que todas las conexiones de alta prioridad compartan una acción de administración de tráfico. Si tiene mucho ancho de banda libre, podría crear acciones de administración de tráfico independientes para cada aplicación.
334
Fireware XTM Web UI
15
Default Threat Protection
Acerca de la Default Threat Protection El OS del Fireware XTM de WatchGuard y las políticas creadas le dan el control rígido sobre el acceso a su red. Un acceso rígido a políticas ayuda a mantener los hackers fuera de su red. Pero hay otros tipos de ataques que una política rígida no puede derrotar. La configuración cuidadosa de las opciones de Default Threat Protection para el dispositivo WatchGuard puede detener amenazas como los ataques de congestión de SYN, ataques de suplantación de paquetes y sondeos de espacio de dirección y puerto. Con la protección contra amenazas predeterminada, el firewall examina el origen y el destino de cada paquete que recibe. Mira la dirección IP y el número de puerto y monitorea los paquetes en busca de patrones que muestran si su red está en riesgo. Si existe algún riesgo, puede configurar el dispositivo WatchGuard para bloquear automáticamente un posible ataque. Ese método proactivo de detección de intrusión y prevención mantiene a los atacantes fuera de su red. Para configurar la protección contra amenazas predeterminada, vea: n n n
Acerca de las opciones de administración predeterminada de paquetes Acerca de los sitios bloqueados Acerca de los puertos bloqueados
También puede adquirir una actualización para su dispositivo WatchGuard para usar Intrusion Prevention basada en firmas. Para más informaciones, vea Acerca de las Gateway AntiVirus y prevención de intrusiones en la página 613.
Acerca de las opciones de administración predeterminada de paquetes Cuando su dispositivo WatchGuard recibe un paquete, examina la fuente y el destino para éste. Busca la dirección IP y el número del puerto. El dispositivo también monitorea paquetes en busca de patrones que pueden mostrar si su red está en riesgo. Ese proceso se denomina administración predeterminada de paquetes.
Guía del Usuario
335
Default Threat Protection
La administración predeterminada de paquetes puede: n
n n n n
Rechazar un paquete que podría ser un riesgo de seguridad, incluyendo paquetes que podrían ser parte de un ataque de suplantación de paquetes o ataque de congestión del servidor SYN. Bloquear automáticamente todo el tráfico hacia y desde una dirección IP Agregar un evento al archivo de registro Enviar una captura SNMP al Management Server de SNMP Enviar una notificación de posibles riesgos de seguridad
La mayoría de las opciones de administración predeterminada de paquetes están activadas en la configuración del dispositivo WatchGuard. Puede cambiar los umbrales en los cuales el dispositivo WatchGuard toma medidas. También puede cambiar las opciones seleccionadas para la administración predeterminada de paquetes. 1. En el Fireware XTM Web UI, seleccione Firewall > Administración predeterminada de paquetes. Aparece la página "Administración predeterminada de paquetes".
2. Seleccione las casillas para los patrones de tráfico contra los cuales desea tomar medidas, tal como se explicó en esos tópicos: n n n n n n
336
Acerca de los ataques de suplantación de paquetes en la página 337 Acerca de los Ataques de ruta de origen de IP IP en la página 337 Acerca de las pruebas de espacio de dirección y espacio del puerto en la página 338 Acerca de los ataques de congestión del servidor en la página 340 Acerca de los paquetes no controlados en la página 342 Acerca de ataques de negación de servicio distribuidos en la página 343
Fireware XTM Web UI
Default Threat Protection
Acerca de los ataques de suplantación de paquetes Un método que los atacantes usan para entrar en su red es crear una identidad electrónica falsa. Ese es un método de suplantación de IP (spoofing) que los atacantes usan para enviar un paquete de TCP/IP con una dirección IP diferente de la del equipo que la envió primero. Cuando se activa un anti-suplantación (anti-spoofing), el dispositivo WatchGuard verifica si la dirección IP de origen de un paquete es de una red en una interfaz determinada. La configuración predeterminada del dispositivo WatchGuard busca abandonar los ataques de suplantación de paquetes. Para alterar la configuración de esa función: 1. En el Fireware XTM Web UI, seleccione Firewall >Administración de paquetes predeterminada. Aparece la página "Administración de paquetes predeterminada".
2. Seleccione o limpie la casilla de verificación Abandonar ataques de suplantación de paquetes. 3. Haga clic en Guardar.
Acerca de los Ataques de ruta de origen de IP IP Para encontrar la ruta que los paquetes toman en su red, los atacantes usan ataques de ruta de origen de IP. El atacante envía un paquete de IP y usa la respuesta de su red para obtener información acerca del sistema operativo del equipo objetivo o del dispositivo de red.
Guía del Usuario
337
Default Threat Protection
La configuración predeterminada del dispositivo WatchGuard busca abandonar los ataques de ruta de origen de IP. Para alterar la configuración de esa función: 1. En el Fireware XTM Web UI, seleccione Firewall>Administración de paquetes predeterminada. Aparece la página "Administración de paquetes predeterminada".
2. Seleccione o limpie la casilla de verificación Abandonar ruta de origen de IP. 3. Haga clic en Guardar.
Acercadelaspruebasdeespaciodedirección yespaciodel puerto Los atacantes suelen buscar puertos abiertos como puntos de partida para iniciar ataques de red. Un sondeo de espacio entre puertos es un tráfico de TCP o UDP enviado a un rango de puertos. Esos puertos pueden estar en secuencia o ser aleatorios, de 0 a 65535. Un sondeode espacio de dirección es un tráfico de TCP o UDP enviado a un rango de direcciones de red. Los sondeos de espacio entre puertos examinan un equipo para encontrar los servicios que usa. Los sondeos de espacio de dirección examinan una red para ver cuáles dispositivos de red están en aquella red. Para más información acerca de puertos, vea Acerca de puertos en la página 8. Nota El dispositivo WatchGuard detecta sondeos de espacio de dirección y puerto sólo en interfaces configuradas como tipo Externo.
338
Fireware XTM Web UI
Default Threat Protection
Cómo el dispositivo WatchGuard identifica sondeos de red Un sondeo de espacios de direcciones es identificado cuando un equipo en una red externa envía un número especificado de paquetes a direcciones IP diferentes asignadas a interfaces externas del dispositivo WatchGuard. Para identificar un sondeo de espacio entre puertos, su dispositivo WatchGuard cuenta el número de paquetes enviados desde una dirección IP hacia las direcciones IP de interfaz externa. Las direcciones pueden incluir la dirección IP de interfaz externa y cualquier dirección IP secundaria configurada en la interfaz externa. Si el número de paquetes enviados a las direcciones IP diferentes o destination ports en un segundo es superior al número seleccionado, la dirección IP de origen es agregada a la lista de Sitios Bloqueados. Cuando las casillas Bloquear sondeos de espacio entre puertos y Bloquear sondeos de espacio de dirección están seleccionadas, todo el tráfico entrante en cualquier interfaz externa es examinado por el dispositivo WatchGuard. No se puede desactivar esas funciones para direcciones IP específicas o por diferentes períodos de tiempo.
Para proteger contra sondeos de espacio de dirección y de espacio entre puertos La configuración predeterminada del dispositivo WatchGuard bloquea sondeos de red. Puede alterar las configuraciones de esa función y alterar el número máximo permitido de sondeos de dirección o puertos por segundo para cada dirección IP de origen (el valor predeterminado es 50). 1. En el Fireware XTM Web UI, seleccione Firewall >Administración de paquetes predeterminada. Aparece la página "Administración de paquetes predeterminada".
Guía del Usuario
339
Default Threat Protection
2. Seleccione o limpie las casillas Bloquear sondeos de espacio entre puertos y Bloquear sondeos de espacios de dirección. 3. Para cada dirección IP de origen, haga clic en las flechas para seleccionar el número máximo de sondeos de dirección o puerto permitidos por segundo. El valor predeterminado para cada uno es de 10 por segundo. Eso significa que el origen es bloqueado si establece conexiones a 10 puertos o hosts diferentes en un segundo. 4. Haga clic en Guardar. Para bloquear atacantes más rápidamente, se puede definir en un valor mínimo el umbral de número máximo permitido de sondeos de dirección o puerto por segundo. Si el número está definido en demasiado bajo, el dispositivo WatchGuard también podrían negar tráfico legítimo de red. Es menos probable que bloquee tráfico legítimo de red si usa un número más alto, pero el dispositivo WatchGuard debe enviar paquetes de restablecer TCP para cada conexión que abandona. Eso consume ancho de banda y recursos en el dispositivo WatchGuard y provee información al atacante acerca de su firewall.
Acerca de los ataques de congestión del servidor En un ataque de congestión del servidor, los atacantes envían un volumen muy alto de tráfico a un sistema para que no pueda examinar y termine permitiendo el tráfico de red. Por ejemplo, un ataque de congestión del servidor ICMP ocurre cuando un sistema recibe muchos comandos ping de ICMP y debe usar todos sus recursos para enviar comandos de respuestas. En dispositivo WatchGuard puede proteger contra esos tipos de ataques de congestión: n n n n n
IPSec IKE Protocolo de control de mensajes en Internet (ICMP) SYN Protocolo de datagrama de usuario (UDP)
Los ataques de congestión también son conocidos como ataques de negación de servicio (DoS). La configuración predeterminada del dispositivo WatchGuard busca bloquear ataques de congestión. Para cambiar las configuraciones para esa función, o para cambiar el número máximo de conexiones permitidas por segundo: 1. En el Fireware XTM Web UI, seleccione Firewall > Administración de paquetes predeterminada. Aparece la página "Administración de paquetes predeterminada".
340
Fireware XTM Web UI
Default Threat Protection
2. Seleccione o limpie las casillas de verificación Ataque de congestión del servidor. 3. Haga clic en las flechas para seleccionar el número máximo de paquetes permitidos por segundo para cada dirección IP de origen. Por ejemplo, si se define en 1000, el Firebox bloquea una fuente que reciba más de 1000 paquetes por segundo desde aquella origen. 4. Haga clic en Guardar.
Acerca de la configuración del ataque de congestión del servidor de SYN Para ataques de congestión de SYN, puede definir el umbral a partir del cual el dispositivo WatchGuard informa un posible ataque de congestión del servidor de SYN, pero ningún paquete es abandonado si sólo se recibe el número de paquetes seleccionado. Cuando se duplica el umbral seleccionado, todos los paquetes de SYN son abandonados. En cualquier nivel entre el umbral seleccionado y el doble de ese nivel, si los valores src_IP, dst_IP y total_extensión de un paquete son los mismos en el paquete anterior recibido, entonces siempre es abandonado. De lo contrario, 25% de los nuevos paquetes recibidos son abandonados. Por ejemplo, se define el umbral del ataque de congestión del servidor de SYN en 18 paquetes/seg. Cuando el dispositivo WatchGuard recibe 18 paquetes/seg, le informa un posible ataque de congestión del servidor de SYN, pero no abandona ningún paquete. Si el dispositivo recibe 20 paquetes por segundo, abandona el 25% de los paquetes recibidos (5 paquetes). Si el dispositivo recibe 36 paquetes o más, los últimos 18 o más son abandonados.
Guía del Usuario
341
Default Threat Protection
Acerca de los paquetes no controlados Un paquete no controlado es un paquete que no coincide con ninguna regla de política. El dispositivo WatchGuard siempre niega los paquetes no controlados, pero puede cambiar la configuración del dispositivo para proteger aún más su red. 1. En el Fireware XTM Web UI, seleccione Firewall >Administración de paquetes predeterminada. Aparece la página "Administración de paquetes predeterminada".
2. Seleccione o limpie las casillas de verificación para estas opciones: Bloquear automáticamente origen de paquetes no controlados Seleccione para bloquear automáticamente el origen de los paquetes no controlados. El dispositivo WatchGuard añade la dirección IP que envía el paquete a la lista de sitios temporalmente bloqueados. Enviar mensaje de error a los clientes cuyas conexiones estén desactivadas Seleccione para enviar un restablecer TCP o error de ICMP de vuelta al cliente cuando el dispositivo WatchGuard recibe un paquete no controlado.
342
Fireware XTM Web UI
Default Threat Protection
Acerca de ataques de negación de servicio distribuidos Ataques de negación de servicio distribuidos (DDoS) son muy similares a ataques de congestión del servidor. En un ataque DDoS, muchos clientes y servidores diferentes envían conexiones a un sólo sistema informático para intentar congestionar el sistema. Cuando ocurre un ataque de DDoS, usuarios legítimos no pueden usar el sistema objetivo. La configuración predeterminada del dispositivo WatchGuard busca bloquear ataques DDoS. Puede cambiar configuraciones para esa función y también el número máximo de conexiones permitidas por segundo. 1. En el Fireware XTM Web UI, seleccione Firewall >Administración de paquetes predeterminada. Aparece la página "Administración de paquetes predeterminada".
2. Seleccione o limpie las casillas de verificación Cuota por cliente o Cuota por servidor. 3. Haga clic en las flechas para definir el número máximo de conexiones permitidas por segundo desde una dirección IP de origen protegida por el dispositivo WatchGuard (Cuota por cliente) o una dirección IP de destino protegida por el dispositivo WatchGuard (Cuota por servidor): Las conexiones que exceden esa cuota son desechadas.
Acerca de los sitios bloqueados Un sitio bloqueado es una dirección IP que no puede establecer una conexión a través del dispositivo WatchGuard. Se solicita al dispositivo WatchGuard que bloquee sitios específicos que sabe o supone que
Guía del Usuario
343
Default Threat Protection
representan un riesgo de seguridad. Después de encontrar la fuente del tráfico sospechoso, puede bloquear todas las conexiones desde esa dirección IP. También puede configurar el dispositivo WatchGuard para enviar un mensaje de registro cada vez que la fuente intenta establecer conexión con su red. A partir del archivo de registro, puede ver los servicios que las fuentes usan para lanzar los ataques. El Firebox niega todo el tráfico a partir de una dirección IP bloqueada. Puede definir dos tipos diferentes de direcciones IP bloqueadas: permanente y bloqueo automático.
Sitios permanentemente bloqueados El tráfico de red desde sitios permanentemente bloqueados siempre es negado. Esas direcciones IP son almacenadas en la lista de Sitios Bloqueados y deben ser añadidas manualmente. Por ejemplo, puede añadir una dirección IP que constantemente intenta explorar su red según la lista de Sitios Bloqueados para evitar exploraciones de puertos desde aquel sitio. Para bloquear un sitio, vea Bloquear un sitio permanentemente en la página 344.
Lista de Sitios de bloqueo automático/Sitios temporalmente bloqueados Los paquetes desde los sitios de bloqueo automático son negados por el período de tiempo especificado. El Firebox usa las reglas de manejo de paquetes especificadas para cada política para determinar si bloquear o no un sitio. Por ejemplo, si crea una política que niega todo el tráfico en un puerto 23 (Telnet), cualquier dirección IP que intente enviar tráfico Telnet a través de ese puerto es automáticamente bloqueada por el período de tiempo especificado. Para bloquear automáticamente los sitios que envían tráfico negado, vea Bloquear sitios temporalmente con configuración de políticas en la página 346. También puede bloquear automáticamente sitios que sean fuente de paquetes que no coincidan con ninguna regla de política. Para más informaciones, vea Acerca de los paquetes no controlados en la página 342.
Ver y editar los sitios en la lista de Sitios Bloqueados Para ver una lista de todos los sitios actualmente en la lista de sitios bloqueados, seleccione Estado del sistema > Sitios bloqueados. Para más informaciones, vea Estado de sitios bloqueados en la página 370.
Bloquear un sitio permanentemente 1. En el Fireware XTM Web UI, seleccione Firewall >Sitios bloqueados.
344
Fireware XTM Web UI
Default Threat Protection
2. En la lista desplegable Elegir tipo, seleccione si desea insertar una dirección IP de host, una dirección de red o rango de direcciones IP. 3. Ingrese un valor en el cuadro de texto siguiente y haga clic en Agregar. Si debe bloquear un rango de direcciones que incluya una o más direcciones IP asignadas al dispositivo WatchGuard, primero debe añadir esas direcciones IP a la lista de excepciones de sitios bloqueados. Para añadir excepciones, vea Crear Excepciones sitios bloqueados en la página 345. 4. Haga clic en Guardar.
Crear Excepciones sitios bloqueados Cuando añade un sitio a la lista de Excepciones sitios bloqueados, el tráfico hacia ese sitio no es bloqueado por la función de bloqueo automático. 1. En el Fireware XTM Web UI, seleccione Firewall >Sitios bloqueados. 2. Haga clic en la pestaña Excepciones sitios bloqueados.
Guía del Usuario
345
Default Threat Protection
3. En la lista desplegable Elegir tipo, seleccione si desea insertar una dirección IP de host, una dirección de red o rango de direcciones IP. 4. Ingrese un valor en el cuadro de texto siguiente y haga clic en Agregar. 5. Haga clic en Guardar.
Bloquear sitios temporalmente con configuración de políticas Puede usar la configuración de políticas para bloquear temporalmente sitios que intenten usar un servicio negado. Las direcciones IP de los paquetes negados son agregadas a la lista de sitios bloqueados temporalmente por 20 minutos (por defecto). 1. En el Fireware XTM Web UI, seleccione Firewall > Políticas de Firewall. Haga doble clic en una política para editarla. Aparece el cuadro de diálogo "Configuración de políticas".
2. En la pestaña Política, asegúrese de definir la lista desplegable Conexiones están en Negadas o Negadas (enviar restablecer). 3. En la pestaña Propiedades, seleccione la casilla Automáticamente bloquear sitios que intenten conectarse. Por defecto, las direcciones IP de los paquetes negados son agregadas a la lista de sitios bloqueados temporalmente por 20 minutos.
346
Fireware XTM Web UI
Default Threat Protection
Cambiar la duración de los sitios que son bloqueados automáticamente Nota Para ver una lista de direcciones IP que son bloqueadas automáticamente por el dispositivo WatchGuard, seleccione Estado del sistema >Sitios bloqueados. Puede usar la lista "Sitios temporalmente bloqueados" y sus mensajes de registro para ayudarlo a decidir cuáles direcciones IP bloquear permanentemente. Para activar la función de bloqueo automático: En el Fireware XTM Web UI, seleccione Firewall > Administración de paquetes predeterminada. Para más informaciones, vea Acerca de los paquetes no controlados en la página 342. También puede usar la configuración de políticas para bloquear automáticamente sitios que intenten usar un servicio negado. Para más informaciones, vea Bloquear sitios temporalmente con configuración de políticas en la página 346. Para definir el período de tiempo que los sitios son automáticamente bloqueados: 1. En el Fireware XTM Web UI, seleccione Firewall >Sitios bloqueados. 2. Seleccione la pestaña Bloqueoautomático.
3. Para alterar el período de tiempo que un sitio es bloqueado automáticamente, en el cuadro de texto Duración para sitios de bloqueo automático, ingrese o seleccione el número de minutos para bloquear un sitio. El tiempo predeterminado es de 20 minutos. 4. Haga clic en Guardar.
Acerca de los puertos bloqueados Es posible bloquear los puertos que se sabe que pueden ser usados para atacar su red. Eso detiene servicios de red externa específicos. Bloquear los puertos puede proteger sus servicios más sensibles. Cuando bloquea un puerto, se anulan todas las reglas en sus definiciones de políticas. Para bloquear un puerto, vea Bloquear un puerto en la página 349.
Guía del Usuario
347
Default Threat Protection
Puertos bloqueados predeterminados En la configuración predeterminada, el dispositivo WatchGuard bloquea algunos destination ports. En general no es necesario cambiar esa configuración predeterminada. Los paquetes TCP y UDP son bloqueados para estos puertos: X Window System (puertos 6000-6005) La conexión cliente del X Window System (o X-Windows) no es cifrada y es peligroso usarla en Internet. X Font Server (puerto 7100) Diversas versiones del X Windows operan los servidores de fuentes X. Los servidores de fuentes X funcionan como un superusuario en algunos hosts. NFS (puerto 2049) El NFS (Sistema de archivos de red) es un servicio de TCP/IP en el cual muchos usuarios usan los mismos archivos en una red. Las nuevas versiones tienen problemas graves de seguridad y autenticación. Proveer NFS por Internet puede ser muy peligroso. Nota El servicio portmap suele usar el puerto 2049 para NFS. Si usa NFS, asegúrese de el NFS usa el puerto 2049 en todos sus sistemas. rlogin, rsh, rcp (puertos 513, 514) Esos servicios ofrecen acceso remoto a otros equipos. Representan un riesgo de seguridad y muchos atacantes sondean esos servicios. Servicio portmap RPC (puerto 111) Los servicios RPC usan el puerto 111 para encontrar qué puertos un servidor RPC determinado utiliza. Los servicios RPC son fáciles de atacar a través de Internet. puerto 8000 Muchos proveedores usan ese puerto y muchos problemas de seguridad están relacionados a él. puerto 1 El servicio PCPmux usa el puerto 1, pero no con frecuencia. Se puede bloquearlo para dificultar el análisis de los puertos por esas herramientas. puerto 0 Ese puerto siempre está bloqueado por el dispositivo WatchGuard. No se puede permitir el tráfico en el puerto 0 a través del dispositivo. Nota Si debe autorizar el tráfico a través de cualquiera de los puertos bloqueados predeterminados para usar aplicaciones de software asociadas, recomendamos que permita el tráfico sólo a través de un túnel VPN o use SSH (Secure Shell) en esos puertos.
348
Fireware XTM Web UI
Default Threat Protection
Bloquear un puerto Nota Tenga mucho cuidado se bloquea números de puerto superiores a 1023. Los clientes suelen usar esos números de puerto de origen. 1. En el Fireware XTM Web UI, seleccione Firewall > Puertos bloqueados. 2. Haga clic en las flechas del campo Puerto o ingrese el número de puerto para bloquear. 3. Haga clic en Agregar. El nuevo número de puerto aparece en la lista de "Puertos bloqueados".
Bloquear direcciones IP que intenten usar puertos bloqueados Puede configurar el dispositivo WatchGuard para bloquear automáticamente un equipo externo que intente usar un puerto bloqueado. En el cuadro de diálogo Puertos bloqueados páginaseleccione la casilla Bloquear automáticamente los sitios que intenten utilizar puertos bloqueados.
Guía del Usuario
349
Default Threat Protection
Guía del Usuario
350
16
Registro y Notificación
Acerca de la generación de registros y archivos de registro Una función importante de la seguridad de red es recoger mensajes de sus sistemas de seguridad, examinar esos registros con frecuencia y mantenerlos en un archivo para futuras consultas. El sistema de mensaje de registro de WatchGuard crea archivos de registro con información acerca de seguridad referente a eventos que se puede revisar para monitorear la actividad y seguridad de su red, identificar riesgos de seguridad y solucionarlos. Un archivo de registro es una lista de eventos, junto con la información acerca de esos eventos. Un evento es una actividad que ocurre en el dispositivo Firebox o XTM. Un ejemplo de un evento es cuando el dispositivo niega un paquete. Su dispositivo Firebox o XTM también puede capturar información acerca de eventos permitidos para darle una imagen más completa de la actividad en su red. El sistema de mensaje de registro tiene varios complementos, que están descritos abajo.
Log Servers Hay dos métodos para salvar los archivos de registro con el Fireware XTM Web UI: WatchGuard Log Server Ese es un componente del WatchGuard System Manager (WSM). Si tiene un Firebox III, Firebox X Core o Firebox X Peak, Firebox X Edge con Fireware XTM o WatchGuard XTM 2 Series, 5 Series, 8 Series o 1050, puede configurar un Log Server principal para recoger mensajes de registro. Syslog Ésta es una interfaz de registro desarrollada para UNIX pero que también es utilizada en muchos otros sistemas computarizados. Si utiliza un host de syslog, puede configurar su dispositivo Firebox o XTM para que envíe mensajes de registro a su servidor de syslog. Para encontrar un servidor de syslog compatible con su sistema operativo, ingrese una búsqueda en Internet para "syslog
Guía del Usuario
351
Registro y Notificación
daemon". Si su dispositivo Firebox o XTM está configurado para enviar archivos de registro a un WatchGuard Log Server y la conexión falla, los archivos de registro no son recogidos. Es posible configurar su dispositivo para también enviar mensajes de registro a un host de syslog que esté en la red de confianza local para prevenir la pérdida de archivos de registro. Para más información acerca del envío de mensajes de registro a un WatchGuard Log Server, vea Enviar mensajes de registro al WatchGuard Log Server en la página 353. Para más información acerca del envío de mensajes de registro a un host de syslog, vea Enviar información de registro a un host de Syslog en la página 355.
Syslog de estado del sistema La página Syslog de la Fireware XTM Web UI exhibe información de mensaje de registro en tiempo real que incluye datos acerca de la mayoría de las actividades recientes en el dispositivo Firebox o XTM. Para más informaciones, vea Use el Syslog para ver los datos de mensaje de registro en la página 361.
Generación de registros y notificación en aplicaciones y servidores El Log Server puede recibir mensajes de registro de su dispositivo Firebox o XTM o de un servidor WatchGuard. Después de configurar su dispositivo Firebox o XTM y el Log Server, el dispositivo envía mensajes de registro al Log Server. Puede activar la generación de registros en diversas aplicaciones y políticas de WSM que haya definido para que su dispositivo Firebox o XTM controle el nivel de registros que se ve. Si elige enviar mensajes de registro desde otro servidor WatchGuard al Log Server, primero debe activar la generación de registros en aquel servidor.
Acerca de las mensajes de registro Su dispositivo Firebox o XTM envía mensajes de registro al Log Server. También puede enviar mensajes de registro a un servidor de syslog o guardar los registros localmente en el dispositivo Firebox o XTM. Se puede elegir enviar los registros a una o a ambas ubicaciones.
Tipos de mensajes de registro El Firebox envía varios tipos de mensajes de registro. El tipo aparece en el texto del mensaje. Los tipos de mensajes de registro son: n n n n n
352
Tráfico Alarma Evento Depurar Estadística
Fireware XTM Web UI
Registro y Notificación
Mensajes de registro de tráfico El Firebox envía mensajes de registro de tráfico mientras aplica el filtrado de paquetes y reglas de proxy al tráfico que pasa por el dispositivo.
Mensajes de registro de alarma Los mensajes de registro de alarma son enviados cuando ocurre un evento que desencadena la ejecución de un comando en Firebox. Cuando la condición de alarma coincide, el dispositivo envía un mensaje de registro de Alarma al Log Server o servidor de syslog, y después realiza la acción especificada. Hay ocho categorías de mensajes de registro de Alarma: Sistema, IPS, AV, Política, Proxy, Contador, Negación de Servicio y Tráfico. El Firebox no envía más de 10 alarmas en 15 minutos para las mismas condiciones.
Mensajes de registro de Evento El Firebox envía mensajes de registro de eventos debido a la actividad del usuario. Las acciones que pueden hacer que el Firebox envíe un mensaje de registro de eventos incluyen: n n n n n
Inicio y apagado del dispositivo Autenticación de VPN y dispositivo Inicio y apagado de proceso Problemas con los componentes de hardware del dispositivo Cualquier tarea realizada por el administrador del dispositivo
Mensajes de registro de depuración Los mensajes de registro de depuración incluyen información de diagnóstico que puede usar para ayudar a solucionar problemas. Hay 27 componentes de producto diferentes que pueden enviar mensajes de registro de depuración.
Mensajes de registro de estadística Los mensajes de registro de estadística incluyen información acerca del desempeño de Firebox. Por defecto, el dispositivo envía mensajes de registro acerca de las estadísticas de desempeño de la interfaz externa y ancho de banda de VPN a su archivo de registro. Puede usar esos registros para cambiar sus configuraciones de Firebox, según sea necesario para mejorar el desempeño.
Enviar mensajes de registro al WatchGuard Log Server El El WatchGuard Log Server es un componente del WatchGuard System Manager. Si tiene el WatchGuard System Manager, puede configurar el Log Server principal y de resguardo para recoger mensajes de registro de sus dispositivos Firebox. Se define un Log Server como el principal (Prioridad 1) y otros Log Servers como servidores de resguardo.
Guía del Usuario
353
Registro y Notificación
Si el Firebox no puede conectarse al Log Server principal, intenta conectarse al siguiente Log Server en la lista de prioridad. Se el Firebox examina cada Log Server en la lista y no puede conectar, él intenta conectarse al primer Log Server en la lista nuevamente. Cuando el Log Server principal no está disponible, el Firebox se conecta al Log Server de resguardo, el Firebox intenta reconectarse al Log Server principal a cada 6 minutos. Eso no afecta la conexión de Firebox con el Log Server de resguardo hasta que el Log Server principal esté disponible. Para más información acerca de los WatchGuard Log Servers e instrucciones para configurar el Log Server para que acepte mensajes de registro, vea el Guía del usuario del WatchGuard System Manager.
Agregar, editar o alterar la prioridad de Log Servers Para enviar mensajes de registro de su Firebox al WatchGuard Log Server: 1. Seleccione Sistema > Registros. Aparece la página Registro.
2. Para enviar mensajes de registro a uno o más WatchGuard Log Servers, seleccione la casilla de verificación Enviar mensajes de registro a WatchGuard Log Servers. 3. En el campo Dirección de Log Server, ingrese la dirección IP del Log Server principal. 4. En el campo Encryption Key, ingrese la Log Server encryption key. 5. En el campo Confirmar, ingrese la clave de cifrado nuevamente. 6. Haga clic en Agregar. La información para el Log Server aparece en la lista Log Server.
7. Repita los pasos 3 a 6 para agregar más Log Servers a la lista Servidor.
354
Fireware XTM Web UI
Registro y Notificación
8. Para alterar la prioridad de un Log Server en la lista, seleccione una dirección IP en la lista y haga clic en Arriba o Abajo. El número de prioridad cambia a medida que la dirección IP sube o baja en la lista. 9. Haga clic en Guardar.
Enviar información de registro a un host de Syslog Syslog es una interfaz de registro desarrollada para UNIX, pero también usada por diversos otros sistemas informáticos. Es posible configurar el dispositivo WatchGuard para enviar información de registro a un servidor syslog. Un dispositivo WatchGuard puede enviar mensajes de registro a un WatchGuard Log Server o a un servidor syslog o a ambos a la vez. Los mensajes de registro syslog no son cifrados. Recomendamos que no seleccione un host de syslog en la interfaz externa. Para configurar el dispositivo WatchGuard para que envíe mensajes de registro a un host de syslog, debe tener un host de syslog configurado, en funcionamiento y listo para recibir mensajes de registro. 1. Seleccione Sistema > Registros. Aparece la página Registro.
2. Seleccione la pestaña Servidor Syslog.
3. Seleccione la casilla de verificación Activar salida Syslog para ese servidor. 4. En el campo Activar salida Syslog para ese servidor, ingrese la dirección IP del host de syslog. 5. En la sección Configuración, para seleccionar un recurso de syslog para cada tipo de mensaje de registro, haga clic en las listas desplegables al lado. Si selecciona NINGUNO, los detalles para ese tipo de mensaje no son enviados al host de syslog.
Guía del Usuario
355
Registro y Notificación
Para más información acerca de los diferentes tipos de mensajes, vea Tipos de mensajes de registro en la página 352. El recurso de syslog se refiere a uno de los campos en el paquete syslog y también al archivo al cual syslog envía un mensaje de registro. Puede usar Local0 para mensajes syslog de alta prioridad, como alarmas. Puede usar Local1–Local7 para asignar prioridades para otros tipos de mensajes de registro (números inferiores tienen mayor prioridad). Vea su documentación de syslog para más información acerca de los recursos de registro. 6. Haga clic en Guardar. Nota Como el tráfico de syslog no es cifrado, los mensajes de syslog que son enviados a través de Internet disminuyen la seguridad de la red de confianza. Es más seguro si pone su host de syslog en su red de confianza.
Configurar Registros Es posible elegir guardar los mensajes de registro en su Firebox y seleccionar las estadísticas de desempeño que incluir en sus archivos de registro. 1. Seleccione Sistema > Registros. Aparece la página Registro.
2. Haga clic en la pestaña Configuración.
356
Fireware XTM Web UI
Registro y Notificación
3. Para almacenar mensajes de registro en su dispositivo WatchGuard, seleccione la casilla de verificación Enviar mensaje de registro al almacenamiento interno de Firebox. 4. Para incluir estadísticas de desempeño en sus archivos de registro, seleccione la casilla de verificación Insertar estadísticas de interfaz externa y ancho de banda VPN en el archivo de registro. 5. Para enviar un mensaje de registro cuando el archivo de configuración de Firebox es alterado, seleccione la casilla de verificación Enviar mensajes de registro cuando se altera la configuración de este Firebox. 6. Para enviar mensajes de registro acerca del tráfico enviado por Firebox, seleccione la casilla de verificación Activar registros de tráfico enviado por el propio Firebox. 7. Haga clic en Guardar.
Defina el nivel de registro de diagnóstico De Fireware XTM Web UI puede seleccionar el nivel de registros de diagnóstico para ser grabado en su archivo de registro. No recomendamos que seleccione el nivel de registros más alto excepto si un representante del soporte técnico se lo solicite mientras se soluciona un problema. Cuando usa el nivel de registro de diagnóstico más alto, el archivo de registro puede llenarse muy rápidamente y el desempeño del dispositivo WatchGuard suele reducirse. 1. Seleccione Sistema > Registro de diagnóstico. Aparece la página "Nivel de registro de diagnóstico".
Guía del Usuario
357
Registro y Notificación
2. Use la barra de desplazamiento para encontrar la categoría. 3. En la lista desplegable para la categoría, defina el nivel de detalles que incluir en el mensaje de registro para la categoría: n n n n n
Apagado Error Advertencia Información Depurar
Cuando Apagado (el nivel más bajo) esté seleccionado, los mensajes de diagnóstico para esa categoría están desactivados. 4. Haga clic en Guardar.
358
Fireware XTM Web UI
Registro y Notificación
Configurar registros y notificación para una política 1. Seleccione Firewall >Políticas de Firewall. Aparece la página "Políticas de Firewall".
2. Agregue o haga clic en una política. Aparece la página de Configuración de Política.
3. Haga clic en la pestaña Propiedades.
Guía del Usuario
359
Registro y Notificación
4. En la sección Registros, defina los parámetros para que coincidan con su política de seguridad. Para más información acerca de los campos en la sección Registros, vea Determinar preferencias de registro y notificación en la página 360. 5. Haga clic en Guardar.
Determinar preferencias de registro y notificación Las configuraciones para registro y notificación son similares en toda la configuración del Firebox. Para cada lugar donde se definan las preferencias de registros y notificación, prácticamente todos los campos escritos abajo están disponibles.
Enviar mensaje de registro Cuando selecciona esa casilla de verificación, el Firebox envía un mensaje de registro cuando ocurre un evento. Puede seleccionar enviar mensajes de registro a un almacenamiento interno de Firebox, WatchGuard Log Server o Servidor Syslog. Para obtener pasos detallados para seleccionar un destino para sus mensajes de registro, vea Configurar Registros en la página 356. Enviar captura SNMP Cuando selecciona esa casilla de verificación, el Firebox envía una notificación de evento al sistema de administración del SNMP. El Protocolo de Administración de Red Simple (SNMP, en sus siglas en inglés) es un conjunto de herramientas usado para monitorear y administrar redes. Una captura SNMP es una notificación de evento que el Firebox envía al sistema de administración de SNMP cuando una condición especificada ocurre. Nota Si selecciona la casilla Enviar captura SNMP y todavía no configuró el SNMP, aparece un cuadro de diálogo que solicita que lo haga. Haga clic en Sí para ir al cuadro de diálogo Configuración de SNMP. No puede enviar capturas SNMP si no tiene el SNMP configurado. Para más información acerca del SNMP, vea Acerca del SNMP en la página 59. Para activar las capturas SNMP o solicitudes de informes, vea Activar Capturas y estaciones de administración de SNMP en la página 62.
360
Fireware XTM Web UI
Registro y Notificación
Enviar notificación Cuando selecciona esa casilla, el Firebox envía una notificación cuando el evento especificado ocurre. Por ejemplo, cuando una política permite un paquete. Puede seleccionar cómo el Firebox envía la notificación: n n
Correoelectrónico—ElLogServer envíaunmensajede correoelectrónicocuandoocurre elevento Ventana emergente — El Log Server abre un cuadro de diálogo cuando ocurre el evento. Definir: n
n
Intervalo de lanzamiento — El tiempo mínimo (en minutos) entre diferentes notificaciones. Ese parámetro evita que más de una notificación sea enviada en un espacio corto de tiempo para el mismo evento. Repetir conteo — Esa configuración controla con qué frecuencia ocurre un evento. Cuando el número de eventos alcanza el valor seleccionado, una notificación especial de repetición se inicia. Esa notificación crea una entrada de registro repetida acerca de aquella notificación especificada. La notificación empieza nuevamente después que ocurre el número de eventos especificado en ese campo.
Por ejemplo, defina el Intervalo de lanzamiento en 5 minutos y el Repetir conteo en 4. Un sondeo de espacio entre puertos se inicia a las 10:00 y sigue a cada minuto. Eso da inicio a los mecanismos de registro y notificación. Esas acciones ocurren en esos momentos: n n n n n
10:00 — Sondeo de espacio entre puertos inicial (primer evento) 10:01 — Inicia primera notificación (un evento) 10:06 — Inicia segunda notificación (reporta cinco eventos) 10:11 — Inicia tercera notificación (reporta cinco eventos) 10:16 — Inicia cuarta notificación (reporta cinco eventos)
El intervalo de lanzamiento controla los intervalos de tiempo entre cada evento (1, 2, 3, 4 y 5). Eso se definió en 5 minutos. Multiplique el "repetir conteo" por el intervalo de lanzamiento. Ese es el intervalo de tiempo que un evento debe continuar para que se inicie la repetición de notificación.
Use el Syslog para ver los datos de mensaje de registro Puede ver los datos de mensaje de registro en tiempo real en la página Syslog. Puede elegir ver sólo un tipo de mensaje de registro o filtrar todos los mensajes de registro según detalles específicos. También puede controlar la frecuencia con la que los datos del mensaje de registro se actualizan. Cuando usa el campo Filtrar para especificar cuáles mensajes de registro aparecen, los resultados de búsqueda por filtro incluyen todas las entradas que son coincidencias parciales para el filtro seleccionado.
Ver, Ordenar y Filtrar datos de mensaje de registro Puede elegir ver sólo tipos específicos de mensajes de registro y aplicar filtros para refinar los datos que aparecen en los mensajes de registro de Syslog.
Guía del Usuario
361
Registro y Notificación
1. Seleccione Estado del sistema > Syslog. Aparece la página Syslog con una lista completa de mensajes de registro en tiempo real para todos los tipos de mensajes.
2. Para ver sólo un tipo de mensaje de registro, en la lista desplegable Tipo de cuadro, seleccione un tipo de mensaje: n n n
362
Tráfico Alarma Evento
Fireware XTM Web UI
Registro y Notificación
n n
Depurar Estadística
3. Para ver todos los tipos de mensaje de registro nuevamente, en la lista desplegable Tipo de cuadro, seleccione Todos. 4. Para ordenar los mensajes de registro por un tipo de dato, haga clic en el encabezado de la columna para ver el tipo de dato en cuestión. Las columnas diferentes aparecen según el tipo de mensaje de registro seleccionado en la lista desplegable Tipo de cuadro. 5. Para ver sólo mensajes de registro con un detalle de mensaje específico, en el cuadro de texto Filtro , ingrese el detalle deseado. La pantalla del Syslog se actualiza automáticamente para mostrar sólo los mensajes de registro que incluyen en detalle especificado. Si ningún mensaje coincide con el filtro insertado, la página del Syslog queda en blanco.
Por ejemplo, si sólo desea ver mensajes de registro del usuarioAdmin, ingrese IDusuario=Admin . Los resultados incluyen mensajes de registro con el usuario Admin, Admins, Administrador y cualquier otro nombre de usuario que incluya los caracteres Admin. 6. Para remover un filtro, limpie todos los detalles del cuadro de texto Filtro . La pantalla de Syslog se actualiza automáticamente.
7. Para copiar los datos del mensaje de registro de la lista, seleccione uno o más ítems en la lista y haga clic en Copiar.
Actualizar datos de mensaje de registro n
n n
Para alterar la frecuencia con la cual se actualizan los datos de mensaje de registro en la pantalla, defina Intervalo de actualización. Para desactivar temporalmente la opción de actualizar pantalla, haga clic en Pausar. Para activar la actualización de la pantalla nuevamente, haga clic en Reiniciar.
Guía del Usuario
363
Registro y Notificación
Guía del Usuario
364
17
Monitorear su Firebox
Monitorear su Firebox Para monitorear el estado y la actividad en el dispositivo Firebox o XTM, utilice las páginas de Panel de control y Estado del sistema.
El Panel de control El Panel de control incluye dos páginas: la página Sistema y la página Servicios de suscripción. La página Sistema incluye una vista rápida del estado del dispositivo. Si tiene acceso a la configuración (de lectura y escritura), puede reiniciar el dispositivo desde esta página. La página Sistema del panel de control aparece automáticamente al conectarse a la Fireware XTM Web UI . Para abrir la página Sistema desde otra página en la Web UI: Seleccione Panel de Control> Sistema.
Guía del Usuario
365
Monitorear su Firebox
La página Sistema del Panel de control muestra: n
Información del dispositivo: n n n n n
n
Información de la interfaz de red: n n n n
366
Nombre del dispositivo Versión de software del sistema operativo de Fireware XTM Número de modelo del dispositivo Número de serie del dispositivo Tiempo de funcionamiento desde el último reinicio
Estado del enlace Alias: el nombre de la interfaz IP: la dirección IP asignada a la interfaz Puerta de enlace: la puerta de enlace de la interfaz
Fireware XTM Web UI
Monitorear su Firebox
n
Memoria y CPU : estadísticas de uso
Para consultar las estadísticas de un período más prolongado o para ver más detalles acerca de las estadísticas en el Panel de control: En la parte inferior de un elemento del Panel de control, haga clic en Zoom. Aparece la página Estado del sistema, con más información y opciones.
También puede ver información acerca de las suscripciones al Gateway AntiVirus, el Intrusion Prevention Service, WebBlocker y spamBlocker. Seleccione Panel de control> Servicios de suscripción. Aparece la página Servicios de suscripción.
La página Servicios de suscripción, muestra: n n n
n n
Tráfico analizado, infectado y omitido, monitoreado por el Gateway AntiVirus. Tráfico analizado, detectado e impedido, monitoreado por el Intrusion Prevention Service. Versión de firma e información de actualización del Gateway AntiVirus y el Intrusion Prevention Service. Tráfico y solicitudes HTTP rechazados por WebBlocker. Correo limpio, confirmado, masivo y sospechoso identificado por spamBlocker.
Para obtener más información acerca de actualizaciones de firma manuales, consulte Ver estado de servicios de suscripción y actualizar firmas manualmente en la página 623.
Páginas Estado del sistema Las páginas Estado del sistema incluyen una lista de categorías de monitoreo. En estas páginas se pueden monitorear todos los componentes del dispositivo Firebox o XTM .
Guía del Usuario
367
Monitorear su Firebox
Las páginas Estado del sistema están configuradas para actualizarse automáticamente cada 30 segundos. Para modificar estas configuraciones: 1. Para modificar el intervalo de actualización, haga clic y arrastre el triángulo en la barra deslizante Intervalo de actualización. 2. Para detener las actualizaciones en forma temporal, haga clic en Pausa. 3. Para forzar una actualización inmediata, haga clic en Pausa y luego haga clic en Reiniciar. Los números en el eje x de las tablas indican la cantidad de minutos atrás. Las tablas estadísticas en el Panel de control muestran datos de los últimos 20 minutos. Algunas páginas de Estado del sistema tienen la función Copiar. Para copiar información de una lista: 1. Seleccione uno o más elementos de la lista. 2. Haga clic en Copiar. 3. Pegue los datos en otra aplicación.
Tabla ARP Para ver la tabla ARP para Firebox: Seleccione Estado del sistema> Tabla ARP. La página Tabla ARP incluye dispositivos que han respondido a una solicitud ARP (Protocolo de resolución de dirección) de Firebox: Dirección IP La dirección IP del equipo que responde a la solicitud ARP. Tipo HW El tipo de conexión de Ethernet que la dirección IP usa para conectarse.
368
Fireware XTM Web UI
Monitorear su Firebox
Marcadores Si la dirección de hardware de IP se resuelve, se marca como válida. De lo contrario, se marca como no válida. Nota Una dirección de hardware válida puede mostrarse brevemente como no válida mientras Firebox espera una respuesta a la solicitud ARP. Dirección HW La dirección MAC de la tarjeta de interfaz de red que está asociada con la dirección IP. Dispositivo La interfaz de Firebox donde se encontró la dirección de hardware para esa dirección IP. El nombre de núcleo Linux para la interfaz se muestra entre paréntesis. Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en la página 365.
Autenticaciones Para ver la lista de usuarios autenticados para Firebox: Seleccione Estado del sistema> Lista de autenticación. La página Lista de autenticación incluye información acerca de cada usuario actualmente autenticado para Firebox. Usuario El nombre del usuario autenticado. Tipo El tipo de usuario que se autenticó: usuario móvil o de firewall. Dominio de autenticación El servidor de autenticación que autenticó al usuario. Hora de inicio La cantidad de tiempo desde que el usuario se autenticó. Última actividad La cantidad de tiempo desde la última actividad del usuario. Dirección IP La dirección IP interna que utiliza el usuario; en el caso de usuarios móviles, esta dirección IP es la dirección IP que Firebox les ha asignado.
Guía del Usuario
369
Monitorear su Firebox
De dirección La dirección IP en el equipo a partir del cual el usuario se autentica. Para los usuarios móviles, esa dirección IP es la misma que en el equipo utilizado para conectarse al Firebox. Para los usuarios de firewall, la dirección IP y la Dirección De son las mismas. Para ordenar la Lista de Autenticación: Haga clic en el encabezado de la columna. Para finalizar una sesión de usuario: Haga clic en el nombre de usuario y seleccione Cerrar sesión de usuarios. Para obtener más información acerca de la autenticación, consulte Acerca de la autenticación de usuario en la página 209. Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en la página 365.
Medidor de ancho de banda Esta página del Medidor de ancho de banda muestra las estadísticas de velocidad en tiempo real para todas las interfaces de Firebox a través del tiempo. El eje Y (vertical) muestra la velocidad. El eje X (horizontal) muestra la hora. Para monitorear el uso de ancho de banda para interfaces de Firebox: 1. Seleccione Estado del sistema> Medidor de ancho de banda. 2. Para ver el valor de cada punto de datos, mueva el mouse sobre las líneas del gráfico. Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en la página 365.
Estado de sitios bloqueados Para ver una lista de direcciones IP actualmente bloqueadas por Firebox: Seleccione Estado del sistema> Sitios bloqueados. La página Sitios bloqueados incluye una lista de direcciones IP que actualmente se encuentran el la lista de Sitios bloqueados, el motivo por el que se agregaron a la lista y el tiempo de vencimiento (cuando se elimina al sitio de la lista Sitios bloqueados). La tabla incluye la siguiente información para cada sitio bloqueado: IP La dirección IP del sitio bloqueado. Origen El origen del sitio bloqueado. Los sitios agregados en la página Estado del sistema> Sitios bloqueados se muestran como administración, mientras que los sitios agregados desde la página Firewall> Sitios bloqueados se muestran como configuración.
370
Fireware XTM Web UI
Monitorear su Firebox
Motivo El motivo por el que se bloqueó el sitio. Tiempo de espera La cantidad de tiempo total de bloqueo del sitio. Caducidad La cantidad de tiempo que falta hasta que termine el período de tiempo de espera. Nota Los sitios bloqueados que muestran un Motivo de IP estática bloqueada y muestran un Tiempo de espera y Vencimiento de Nunca se vence están bloqueados permanentemente. No se puede eliminar o editar un sitio bloqueado permanentemente de esta página. Para agregar o quitar un sitio bloqueado permanentemente, seleccione Firewall> Sitios bloqueados como se describe en Bloquear un sitio permanentemente en la página 344.
Agregar o editar sitios bloqueados temporalmente En la página Estado del sistema Sitios bloqueados, el usuario también puede agregar o quitar sitios bloqueados temporalmente de la lista de sitios bloqueados y cambiar el vencimiento de esos sitios. Para agregar un sitio bloqueado temporalmente a la lista de sitios bloqueados: 1. Haga clic en Agregar. Aparece el cuadro de diálogo Agregar sitio bloqueado temporalmente.
2. Ingrese la dirección IP del sitio que desea bloquear. 3. En el cuadro de texto y la lista desplegable Vence luego de, seleccione cuánto tiempo desea que este sitio permanezca en la lista de sitios bloqueados. 4. Haga clic en OK. Para cambiar el vencimiento de un sitio bloqueado temporalmente: 1. En la Lista de conexiones, seleccione el sitio. 2. Haga clic en Cambiar vencimiento. Aparece el cuadro de diálogo Editar sitio bloqueado temporalmente.
3. En el cuadro de texto y la lista desplegable Vence luego de, seleccione cuánto tiempo desea que este sitio permanezca en la lista de sitios bloqueados. 4. Haga clic en OK. Para quitar un sitio bloqueado temporalmente de la lista de sitios bloqueados: Guía del Usuario
371
Monitorear su Firebox
1. Seleccione el sitio en la Lista de conexiones. 2. Haga clic en Eliminar. El sitio bloqueado se quita de la lista.
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en la página 365.
Suma de comprobación Para ver la suma de comprobación de los archivos del OS (sistema operativo) instalado actualmente en Firebox: Seleccione Estado del sistema > Suma de comprobación. Firebox calcula la suma de comprobación para el OS instalado. Firebox puede tardar algunos minutos en completar el cálculo de la suma de comprobación. La suma de comprobación aparece con la fecha y la hora en que se completó el cálculo de la suma de comprobación. Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en la página 365.
Conexiones Para monitorear las conexiones a Firebox: Seleccione Estado del sistema> Conexiones. La página Conexiones incluye un número de conexiones que atraviesan a Firebox. El número actual de conexiones para cada protocolo aparece en la columna Conexiones. Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en la página 365.
Lista de componentes Para ver una lista de los componentes de software instalados en Firebox: Seleccione Estado del sistema> Lista de componentes. La página Componentes incluye una lista del software instalado en Firebox. La lista de software incluye estos atributos: n n n n
Nombre Versión Build Fecha
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en la página 365.
372
Fireware XTM Web UI
Monitorear su Firebox
Uso de CPU Para monitorear el uso de CPU en Firebox: 1. Seleccione Estado del sistema> Uso de CPU. La página Uso de CPU contiene gráficos que muestran el uso de CPU y la carga promedio en un período determinado. 2. Para ver el valor de cada punto de datos, mueva el mouse sobre las líneas del gráfico. 3. Para seleccionar un período, haga clic en la lista desplegable Uso de CPU. n n
El eje X indica el número de minutos atrás. La escala del eje Y es el porcentaje de capacidad de CPU utilizado.
En la página Panel de control aparece una versión más pequeña de este gráfico. Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en la página 365.
Concesiones de protocolo de configuración dinámica de host (DHCP) Para ver una lista de las concesiones de protocolo de configuración dinámica de host (DHCP) para Firebox: Seleccione Estado del sistema> Concesiones de DHCP. La página Concesiones de DHCP incluye al servidor DHCP y las concesiones utilizadas por Firebox, con las reservas de DHCP . Interfaz La interfaz de Firebox a la que está conectado el cliente. Dirección IP La dirección IP de la concesión. Host El nombre de host. Si no hay un nombre de host disponible, este campo está vacío. Dirección MAC La dirección MAC asociada con la concesión. Hora de inicio El tiempo por el que el cliente solicitó la concesión. Hora de finalización La hora en que vence la concesión. Tipo de hardware El tipo de hardware.
Guía del Usuario
373
Monitorear su Firebox
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en la página 365.
Diagnósticos Se puede utilizar la página Diagnósticos para hacer ping a una dirección IP o host, trazar la ruta a una dirección IP o host, buscar información de DNS para el host o visualizar información acerca de los paquetes transmitidos a través de la red (Depósito de protocolo de control de transmisión, TCP). Seleccione Estado del sistema > Diagnósticos.
Ejecutar un comando de diagnóstico básico 1. En la lista desplegable Tarea, seleccione el comando que desea ejecutar: n n n n
Ping Rastrear ruta Buscar DNS Volcado de TCP
Si selecciona ping, traceroute o dnslookup , aparece el campo Dirección. Si selecciona tcpdump , aparece el campo Interfaz.
2. En el campo Dirección, ingrese una dirección IP o nombre de host. O seleccione Interfaz en la lista desplegable. 3. Haga clic en Ejecutar tarea. El resultado del comando aparece en la ventana Resultados y aparece el botón Detener tarea.
4. Para detener la tarea de diagnóstico, haga clic en Detener tarea.
Utilizar argumentos de comandos 1. En la lista desplegable Tarea, seleccione el comando que desea ejecutar:
374
Fireware XTM Web UI
Monitorear su Firebox
n n n n
Ping Rastrear ruta Buscar DNS Volcado de TCP
2. Seleccione la casilla de verificación Opciones avanzadas. El campo Argumentos está activado y el campo Dirección o Interfaz está desactivado.
3. En el campo Argumentos, ingrese los argumentos del comando. Para ver los argumentos disponibles para un comando, deje el campo Argumentos en blanco. 4. Haga clic en Ejecutar tarea. El resultado del comando aparece en la ventana Resultados y aparece el botón Detener tarea.
5. Para detener la tarea de diagnóstico, haga clic en Detener tarea. Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en la página 365.
DNS dinámico Para ver la tabla de rutas de DNS dinámico: Seleccione Estado del sistema> DNS dinámico. La página DNS dinámico contiene la tabla de rutas DNS con la siguiente información: Nombre El nombre de la interfaz. Usuario El nombre de usuario de la cuenta de DNS dinámico. Dominio El dominio para el cual se provee el DNS dinámico. Sistema El tipo de servicio DNS dinámico. Agregar La dirección IP asociada al dominio. IP La dirección IP actual de la interfaz. Último La última vez que se actualizó el DNS. Siguiente fecha La próxima fecha programada para actualización del DNS . Estado El estado de DNS dinámico. Guía del Usuario
375
Monitorear su Firebox
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en la página 365.
Tecla de función La tecla de función es una licencia que le permite utilizar diversas funciones en su dispositivo WatchGuard. Al comprar una opción o actualización y obtener una nueva tecla de función, aumenta la funcionalidad de su dispositivo.
Cuando compra una nueva función Cuando compra una nueva función para su dispositivo WatchGuard, debe: n n
Obtener una tecla de función junto a LiveSecurity Agregar una tecla de función a su Firebox
Ver las funciones disponibles con la actual tecla de función Su dispositivo WatchGuard siempre tiene una tecla de función activa actualmente. Se puede utilizar la Fireware XTM Web UI para ver las funciones disponibles con esta tecla de función. También pueden revisarse los detalles de la tecla de función actual. Los detalles disponibles incluyen: n n n n
Número de serie del dispositivo WatchGuard al cual esa tecla de función se aplica ID y nombre del dispositivo WatchGuard Modelo y número de versión de dispositivo Funciones disponibles
Para ver información acerca de las funciones con licencia para el dispositivo WatchGuard: 1. Seleccione Estado del sistema> Tecla de función. Aparece la página Tecla de función, con información básica acerca de las funciones habilitadas por la tecla de función para este dispositivo.
376
Fireware XTM Web UI
Monitorear su Firebox
2. Para ver información para cada función, utilice la barra de desplazamiento en la pestaña Tecla de función. Aparece la siguiente información: n n n n
Función: el nombre de la función con licencia. Valor: la función que la licencia habilita. Por ejemplo, una capacidad o número de usuarios. Vencimiento: fecha en la que vence la licencia. Tiempo restante: la cantidad de días hasta el vencimiento de la licencia.
3. Para ver los detalles de la tecla de función, haga clic en la pestaña Texto de la tecla de función. Aparecen las funciones con licencia del dispositivo.
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en la página 365.
Interfaces Para ver información sobre las interfaces de red de Firebox: Seleccione Estado del sistema> Interfaces.
Guía del Usuario
377
Monitorear su Firebox
La página Interfaces incluye información para cada interfaz: Estado del enlace Si la interfaz está activa, aparece Activada . Si no está activa, aparece Desactivada . Alias El nombre de la interfaz. Activado Incluye información sobre si cada interfaz está activada. Puerta de enlace La puerta de enlace definida para cada interfaz. IP La dirección IP configurada para cada interfaz. Dirección MAC La dirección MAC para cada interfaz. Nombre El número de interfaz. Máscara de red Máscara de red para cada interfaz. Zona La zona de confianza para cada interfaz. Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en la página 365.
LiveSecurity La Fireware XTM Web UI incluye una página con las notificaciones de alertas más recientes enviadas desde LiveSecurity Service de WatchGuard. Las alertas de LiveSecurity proveen información que se aplica al dispositivo, como las notificaciones acerca de las actualizaciones de software disponibles. Las notificaciones de alertas se envían no más de una vez al día. Para ver las alertas desde WatchGuard: 1. Seleccione Estado del sistema> LiveSecurity. 2. Haga clic en Actualizar para verificar las nuevas alertas. Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en la página 365.
378
Fireware XTM Web UI
Monitorear su Firebox
Memoria Para monitorear el uso de memoria en Firebox: 1. Seleccione Estado del sistema> Memoria. Aparece un gráfico que muestra el uso de memoria de núcleo Linux a lo largo de un período.
2. Para ver el valor de cada punto de datos, mueva el mouse sobre las líneas del gráfico. 3. Para seleccionar el período para el gráfico, haga clic en la lista desplegable Memoria. n n
El eje X indica el número de minutos atrás. La escala del eje Y es la cantidad de memoria utilizada en megabytes.
En la página Panel de control también puede verse una versión más pequeña de este gráfico. Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en la página 365.
Lista de acceso saliente (Esta función se aplica sólo a los dispositivos Firebox X Edge e-Series con Fireware XTM.) La tecla de función para su dispositivo Firebox X Edge activa el dispositivo para que tenga un número específico de direcciones IP con acceso de salida. La Web UI de Fireware XTM puede usarse para ver el número máximo de direcciones IP que tienen permitido acceso saliente y las direcciones IP que actualmente tienen acceso saliente. También puede remover las direcciones IP de la lista de acceso de salida, que permite que otra dirección IP remplace aquélla removida. Eso ayuda si tiene un número limitado de direcciones IP con acceso de salida. Fireware XTM limpia automáticamente todas las direcciones IP de la Lista de acceso saliente una vez por hora. La información acerca del número máximo de direcciones IP con acceso saliente también está disponible en la tecla de función. Para más información, vea Acerca de las teclas de función en la página 51. Nota Esta función se aplica solo a los dispositivos Firebox X Edge con Fireware XTM. Si no tiene un dispositivo Firebox X Edge con Fireware XTM, esta página no aparece en la Web UI. Para ver la Lista de acceso de salida: 1. Seleccione Estado del sistema> Lista de acceso saliente. Aparece la página Lista de acceso saliente.
2. Para quitar una o más direcciones IP de la lista, seleccione las direcciones y haga clic en Eliminar. 3. Para quitar todas las direcciones IP de la lista, haga clic en Borrar lista. 4. Para copiar la información de determinados elementos de la lista, seleccione los elementos y haga clic en Copiar. 5. Para cambiar la frecuencia con la que se actualiza la información de la página, deslice el control Intervalo de actualización. 6. Para detener temporalmente la actualización de información en la página, haga clic en Pausa.
Procesos Para ver una lista de procesos que se ejecutan en Firebox:
Guía del Usuario
379
Monitorear su Firebox
Seleccione Estado del sistema> Procesos. La página Procesos incluye información acerca de todos los procesos que se ejecutan en Firebox. Identificador de procesos (PID) La identificación del proceso es un número único que muestra cuándo se inició el proceso. NOMBRE El nombre del proceso. ESTADO El estado del proceso: R: en ejecución S: suspendido D,Z: inactivo RSS El número total de kilobytes de memoria física que utiliza el proceso. PARTE El número total de kilobytes de memoria compartida que utiliza el proceso. HORA El tiempo que ha utilizado el proceso después de la última vez que se inició el dispositivo. CPU El porcentaje de tiempo de CPU que el proceso ha utilizado después del último reinicio del dispositivo. Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en la página 365.
Rutas Para ver la tabla de rutas para Firebox: Seleccione Estado del sistema> Rutas. La tabla de rutas incluye esta información acerca de cada ruta: Destino La red para la que fue creada la ruta. Interfaz La interfaz asociada a la ruta. Puerta de enlace La puerta de enlace que utiliza la red. 380
Fireware XTM Web UI
Monitorear su Firebox
Marca Las marcas establecidas para cada ruta. Indicador El indicador establecido para esta ruta en la tabla de enrutamiento. Máscara La máscara de red para la ruta. Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en la página 365.
Syslog Se puede usar syslog para ver los datos de registro en el archivo de registro de Firebox. Seleccione Estado del sistema>Syslog. La página Syslog aparece con las entradas más recientes en el archivo de registro de Firebox.
Para obtener más información sobre cómo utilizar esta página, consulte Use el Syslog para ver los datos de mensaje de registro en la página 361. Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en la página 365.
Administración de tráfico Para ver las estadísticas de administración de tráfico: Seleccione Estado del sistema> Administración de tráfico. Aparecen las estadísticas asociadas con cada acción de administración de tráfico que se ha configurado.
La página Administración de tráfico incluye las siguientes estadísticas: Acción de administración de tráfico (TM) El nombre de la acción de administración de tráfico Interfaz La interfaz del dispositivo WatchGuard a la que se aplica la acción de tráfico. Bytes (%) El número total de bytes. Bytes/segundo Los bits por segundo actuales (estimador de velocidad). Paquetes El número total de paquetes.
Guía del Usuario
381
Monitorear su Firebox
Paquetes/segundo Los paquetes por segundo actuales (estimador de velocidad). Para obtener información acerca de la administración de tráfico, consulte Acerca de las Administración de tráfico y QoS en la página 323. Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en la página 365.
Estadísticas de VPN Para ver estadísticas acerca de túneles VPN : 1. Seleccione Estado del sistema> VPN Estadística. Aparecen las estadísticas de tráfico para túneles Branch Office VPN (BOVPN) y Mobile VPN with IPSec.
Para cada túnel VPN, esta página incluye: Nombre Nombre del túnel. Local La dirección IP en el extremo local del túnel. Remoto La dirección IP en el extremo remoto del túnel. Puerta de enlace Los extremos de la puerta de enlace utilizados por este túnel. Entrada de paquetes El número de paquetes recibidos a través del túnel. Entrada de bytes El número de bytes recibidos a través del túnel. Salida de paquetes El número de paquetes enviados a través del túnel. Salida de bytes El número de bytes enviados a través del túnel. Reingresos El número de reingresos para el túnel. 2. Para forzar a un túnel BOVPN a reingresar, seleccione un túnel BOVPN y haga clic en el botón Reingresar túnel BOVPN seleccionado. Para más informaciones, vea Regenerar clave de túneles BOVPN en la página 458.
382
Fireware XTM Web UI
Monitorear su Firebox
3. Para ver información adicional para usar en la solución de problemas, haga clic en Depurar. Recomendamos utilizar esta función cuando se resuelve un problema de VPN con un representante de soporte técnico. Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en la página 365.
Estadísticas inalámbricas Para ver estadísticas acerca de la red inalámbrica: Seleccione Estado del sistema> Estadísticas inalámbricas. Aparece un resumen de la configuración inalámbrica y algunas estadísticas acerca del tráfico inalámbrico.
El resumen incluye: n n n n n
Información de la configuración inalámbrica Estadísticas de la interfaz Claves Velocidades de bit Frecuencias
Si el dispositivo es un WatchGuard XTM 2 Series modelo inalámbrico, en esta página también se puede actualizar la información del país inalámbrica para este dispositivo. Las opciones disponibles para la configuración de radio inalámbrica se basan en los requisitos normativos del país en el cual el dispositivo detecta que se encuentra. Para actualizar la información de país inalámbrico: haga clic en Actualizar la información del país. El dispositivo 2 Series contacta el servidor WatchGuard para determinar la región actual de operación.
Para obtener más información acerca de las configuraciones de radio en el dispositivo WatchGuard XTM 2 Series, consulte Acerca de las configuraciones de radio inalámbrico en el dispositivo inalámbrico WatchGuard XTM 2 Series. Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en la página 365.
Guía del Usuario
383
Monitorear su Firebox
Conexiones hotspot inalámbricas Cuando activa la función de hotspot inalámbrico para su dispositivo inalámbrico WatchGuard XTM 2 Series o Firebox X Edge e-Series, puede consultar información acerca de la cantidad de clientes que están conectados. También puede desconectar clientes inalámbricos. Para obtener más información acerca de cómo activar la función de hotspot inalámbrico, consulte Activar un hotspot inalámbrico. Para ver las conexiones hotspot inalámbricas: 1. Conéctese al Fireware XTM Web UI para su dispositivo inalámbrico. 2. Seleccione Estado del sistema > Hotspot inalámbrico. Aparecerá la dirección IP y la dirección MAC para cada cliente inalámbrico conectado.
Para obtener más información acerca de cómo administrar las conexiones hotspot inalámbricas, consulte Consulte Conexiones hotspot inalámbricas.
384
Fireware XTM Web UI
18
Certificates
Acerca de los certificados Los certificados hacen coincidir la identidad de una persona u organización con un método para que otros verifiquen la identidad y la seguridad de las comunicaciones. Usan un método de cifrado llamado par de claves, o dos números relacionados matemáticamente llamados clave privada y la clave pública. Un certificado incluye tanto una afirmación de identidad como una clave pública y es firmado por una clave privada. La clave privada usada para firmar un certificado puede ser del mismo par de claves usado para generar el certificado o de un par de claves diferentes. Si la clave privada es el mismo par de claves usado para crear el certificado, el resultado se llama certificado autofirmado. Si la clave privada es de un par de claves diferentes, el resultado es un certificado común. Los certificados con claves privadas que pueden ser utilizados para firmar otros certificados son llamados Certificados CA (Autoridad de Certificación, en sus siglas en inglés). Una autoridad de certificación es una organización o aplicación que firma o revoca los certificados. Si su organización tiene una configuración de PKI (infraestructura de clave pública) , usted mismo puede firmar certificados como CA. La mayoría de las aplicaciones y dispositivos automáticamente aceptan certificados de CAs de confianza y relevantes. Los certificados que no son firmados por CAs relevantes, tal como un certificado autofirmado, no son aceptados automáticamente por diversos servidores o programas y no funcionan correctamente con algunas funciones del Fireware XTM.
Usar múltiples certificados para determinar la confianza Se pueden usar diversos certificados juntos para crear una cadena de confianza. Por ejemplo, el certificado CA al principio de la cadena es de una CA relevante y es usado para firmar otro certificado CA para una CA más pequeña. Esa CA más pequeña puede, luego, firmar otro certificado CA usado por su organización. Finalmente, su organización puede usar ese certificado CA para firmar otro certificado para ser usado con la función de inspección de contenido proxy de HTTPS. No obstante, para usar ese certificado final en el extremo de la cadena de confianza, primero se debe importar todos los certificados en la cadena de confianza en el siguiente orden:
Guía del Usuario
385
Certificates
1. 2. 3. 4.
Certificado CA de la CA relevante (como tipo "Otro") Certificado CA de la CA más pequeño (como tipo "Otro") Certificado CA de la organización (como tipo "Otro") Certificado usado para reencriptar contenido proxy de HTTPS después de la inspección (como tipo "Autoridad proxy de HTTPS")
También podría ser necesario importar todos esos certificados en cada dispositivo cliente para que el último certificado también sea de confianza para los usuarios. Para más informaciones, vea Ver y administrar certificados de FireboxVer y administrar Certificados de Firebox en la página 393.
Cómo el Firebox usa certificados Su Firebox usa certificados para varios propósitos: n n n
n n
Los datos de la sesión de administración está protegidos con un certificado. Los túneles BOVPN o Mobile VPN with IPSec puede usar certificados para autenticación. Cuando se habilita la inspección de contenido, el proxy de HTTPS usa un certificado para cifrar nuevamente el tráfico HTTPS entrante después de ser descifrado para inspección. Puede usar un certificado con el proxy de HTTPS para proteger un servidor web en su red. Cuando un usuario se autentica con el Firebox para cualquier finalidad, tal como una anulación del WebBlocker, la conexión queda protegida con un certificado.
Por defecto, su Firebox crea certificados autofirmados para proteger los datos de sesión de administración e intentos de autenticación para el Fireware XTM Web UI y para la inspección de contenido proxy de HTTPS. Para asegurar que el certificado usado para la inspección de contenido HTTPS sea único, su nombre incluye el número de serie de su dispositivo y la hora en la cual el certificado fue creado. Como esos certificados no son firmados por una CA de confianza, los usuarios en su red ven alertas en sus exploradores web. Hay tres opciones para remover ese alerta: 1. Puede importar certificados firmados por una CA en los cuales su organización confía, tal como un PKI ya configurado para su organización, para ser usado con esas funciones. Recomendamos que use esa opción si posible. 2. Puede crear un certificado autofirmado personalizado que coincida con el nombre y ubicación de su organización. 3. Puede usar el certificado autofirmado predeterminado. En la segunda y tercera opciones, puede pedir que los clientes de red acepten esos certificados autofirmados manualmente cuando se conectan al Firebox. O puede exportar los certificados y distribuirlos con las herramientas de administración de red. Debe tener el WatchGuard System Manager instalado para exportar certificados.
CRLs y caducidad de certificados Cada certificado tiene una caducidad determinada cuando es creado. Cuando el certificado llega al fin de la caducidad definida, se vence y ya no puede ser usado automáticamente. También puede remover los certificados manualmente con el Firebox System Manager (FSM).
386
Fireware XTM Web UI
Certificates
A veces la CA revoca o desactiva los certificados antes que caduquen. Su Firebox mantiene una lista actualizada de esos certificados revocados, llamada Lista de Revocación de Certificados (CRL, las siglas en inglés), para verificar que los certificados usados por una autenticación de VPN son válidos. Si tiene el WatchGuard System Manager instalado, esa lista puede ser actualizada manualmente con el Firebox System Manager (FSM), o automáticamente con la información de un certificado. Cada certificado incluye un número único usado para identificarlo. Si el número único en un certificado de servidor web, BOVPN o Mobile VPN with IPSec coincide con un identificador de su CRL asociado, el Firebox desactiva el certificado. Cuando se activa la inspección de contenido en un proxy de HTTPS, el Firebox puede verificar el respondedor de OCSP (Protocolo de estado del certificado online) asociado a los certificados usados para firmar el contenido de HTTPS. El respondedor de OCSP envía el estado de la revocación del certificado. El Firebox acepta la respuesta del OCSP si ésta está firmada por un certificado en el cual Firebox confía. Si la respuesta del OCSP no está firmada por un certificado en el que Firebox confía, o si el respondedor del OCSP no envía una respuesta, entonces se puede configurar el Firebox para que acepte o rechace el certificado original. Para más informaciones acerca de las opciones de OCSP, vea Proxy de HTTPS: Contenido en la página 302.
Solicitudes de firmas y autoridades de certificación Para crear un certificado autofirmado, se pone parte de un par de claves criptográficos en una solicitud de firma de certificado (CSR) y envía la solicitud a una CA. Es importante usar un nuevo par de claves para cada CSR creada. La CA emite un certificado después de recibir la CSR y verificar su identidad. Si tiene el software del FSM o Management Server instalado, puede usar esos programas para crear una CSR para su Firebox. También puede usar otras herramientas, tal como OpenSSL o el Microsoft CA Server que viene con la mayoría de los sistemas operativos de Windows Server. Si desea crear un certificado para ser usado con la funciones de inspección de contenido proxy de HTTPS, debe ser un certificado CA que pueda firmar nuevamente otros certificados. Si crea una CSR con el Firebox System Manager y lo firma por una CA relevante, esa CSR puede ser usada como un certificado CA. Si no tiene un PKI configurado en su organización recomendamos que elija una CA relevante para firmar las CSRs usadas, excepto para el certificado CA del proxy de HTTPS. Si una CA relevante firma sus certificados, éstos son automáticamente considerados de confianza por la mayoría de los usuarios. WatchGuard probó los certificados firmados por VeriSign, Microsoft CA Server, Entrust y RSA KEON. También puede importar certificados adicionales para que su Firebox confíe en otras CAs. Para obtener una lista completa de las CAs automáticamente de confianza, vea Autoridades de Certificación confiadas por Firebox en la página 387. Crear una CSR con el OpenSSL
Autoridades de Certificación confiadas por Firebox Por defecto, su Firebox confía en la mayoría de las autoridades de certificación (CAs) que los exploradores web actuales. Recomendamos que importe certificados firmados por una CA en esa lista para el proxy de HTTPS o Fireware XTM Web UI, para que los usuarios no vean los alertas de certificado en su explorador web cuando usan esas funciones. Sin embargo, también se puede importar certificados de otras CAs para que sus certificados sean de confianza.
Guía del Usuario
387
Certificates
Si tiene instalado el WatchGuard System Manager, una copia de cada certificado es almacenada en su disco duro en: C:\Documents and Settings\WatchGuard\wgauth\certs\README
Lista de Autoridades de Certificación C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification Authority - G2, OU=(c) 1998 VeriSign, Inc. - Sólo para uso autorizado, OU=VeriSign Trust Network C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting, OU=Certification Services Division, CN=Thawte Personal Premium CA/direcció
[email protected] C=ES, L=C/ Muntaner 244 Barcelona, CN=Autoridad de Certificacion Firmaprofesional CIF A62634068/direcció
[email protected] C=HU, ST=Hungría, L=Budapest, O=NetLock Halozatbiztonsagi Kft., OU=Tanusitvanykiadok, CN=NetLock Kozjegyzoi (Class A) Tanusitvanykiado C=ZA, ST=Western Cape, L=Durbanville, O=Thawte, OU=Thawte Certification, CN=Thawte Timestamping CA C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 1999 VeriSign, Inc. - Sólo para uso autorizado, CN=VeriSign Class 4 Public Primary Certification Authority - G3 C=SE, O=AddTrust AB, OU=AddTrust TTP Network, CN=AddTrust Qualified CA Root C=DK, O=TDC Internet, OU=TDC Internet Root CA C=US, O=VeriSign, Inc., OU=Class 2 Public Primary Certification Authority G2, OU=(c) 1998 VeriSign, Inc. - Sólo para uso autorizado, OU=VeriSign Trust Network C=US, O=Wells Fargo, OU=Wells Fargo Certification Authority, CN=Wells Fargo Root Certificate Authority OU=GlobalSign Root CA - R2, O=GlobalSign, CN=GlobalSign CN=Test-Only Certificate C=US, O=Entrust, Inc., OU=www.entrust.net/CPS está incluido como referencia, OU=(c) 2006 Entrust, Inc., CN=Entrust Root Certification Authority C=SE, O=AddTrust AB, OU=AddTrust TTP Network, CN=AddTrust Class 1 CA Root C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO Certification Authority O=RSA Security Inc, OU=RSA Security 2048 V3 C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting, OU=Certification Services Division, CN=Thawte Personal Basic CA/direcció
[email protected] C=FI, O=Sonera, CN=Sonera Class1 CA O=VeriSign Trust Network, OU=VeriSign, Inc., OU=VeriSign International Server CA - Class 3, OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign C=ZA, O=Thawte Consulting (Pty) Ltd., CN=Thawte SGC CA C=US, O=Equifax Secure Inc., CN=Equifax Secure eBusiness CA-1 C=JP, O=SECOM Trust.net, OU=Security Communication RootCA1 C=US, O=America Online Inc., CN=America Online Root Certification Authority 1 C=HU, L=Budapest, O=NetLock Halozatbiztonsagi Kft., OU=Tanusitvanykiadok, CN=NetLock Uzleti (Class B) Tanusitvanykiado C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network, OU=http://www.usertrust.com, CN=UTN - DATACorp SGC C=BE, O=GlobalSign nv-sa, OU=Root CA, CN=GlobalSign Root CA
388
Fireware XTM Web UI
Certificates C=US, O=VeriSign, Inc., OU=Class 2 Public Primary Certification Authority C=CH, O=SwissSign AG, CN=SwissSign Gold CA - G2 C=US, O=RSA Data Security, Inc., OU=Secure Server Certification Authority C=IE, O=Baltimore, OU=CyberTrust, CN=Baltimore CyberTrust Root C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 1999 VeriSign, Inc. - Sólo para uso autorizado, CN=VeriSign Class 3 Public Primary Certification Authority - G3 C=US, OU=www.xrampsecurity.com, O=XRamp Security Services Inc, CN=XRamp Global Certification Authority C=PL, O=Unizeto Sp. z o.o., CN=Certum CA CA C=US, O=Entrust.net, OU=www.entrust.net/CPS incorp. by ref. (limita responsabilidad.), OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Secure Server Certification Authority L=ValiCert Validation Network, O=ValiCert, Inc., OU=ValiCert Class 3 Policy Validation Authority, CN=http://www.valicert.com//
[email protected] C=CH, O=SwissSign AG, CN=SwissSign Platinum CA - G2 OU=GlobalSign Root CA - R2, O=GlobalSign, CN=GlobalSign O=Digital Signature Trust Co., CN=DST Root CA X3 C=US, O=AOL Time Warner Inc., OU=America Online Inc., CN=AOL Time Warner Root Certification Authority 1 C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA Limited, CN=Secure Certificate Services O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Terms of use at https://www.verisign.com/rpa (c)00, CN=VeriSign Time Stamping Authority CA O=Entrust.net, OU=www.entrust.net/GCCA_CPS incorp. by ref. (limita respons.), OU=(c) 2000 Entrust.net Limited, CN=Entrust.net Client Certification Authority C=US, O=SecureTrust Corporation, CN=Secure Global CA C=US, O=Equifax, OU=Equifax Secure Certificate Authority O=beTRUSTed, OU=beTRUSTed Root CAs, CN=beTRUSTed Root CA - RSA Implementation C=WW, O=beTRUSTed, CN=beTRUSTed Root CAs, CN=beTRUSTed Root CA C=US, O=GeoTrust Inc., CN=GeoTrust Primary Certification Authority C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification Authority C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server CA/direcció
[email protected] C=US, O=SecureTrust Corporation, CN=SecureTrust CA OU=Extended Validation CA, O=GlobalSign, CN=GlobalSign Extended Validation CA C=US, O=GeoTrust Inc., CN=GeoTrust Global CA 2 C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden Root CA C=IL, ST=Israel, L=Eilat, O=StartCom Ltd., OU=CA Authority Dep., CN=Free SSL Certification Authority/direcció
[email protected] C=US, O=VISA, OU=Visa International Service Association, CN=Visa eCommerce Root O=beTRUSTed, OU=beTRUSTed Root CAs, CN=beTRUSTed Root CA - Entrust Implementation C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 2006 VeriSign, Inc. - Sólo para uso autorizado, CN=VeriSign Class 3 Public Primary Certification Authority - G5 C=US, O=Equifax Secure Inc., CN=Equifax Secure Global eBusiness CA-1 C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,
[email protected] C.I.F. B-60929452, OU=IPS CA Chained CAs Certification
Guía del Usuario
389
Certificates Authority, CN=IPS CA Chained CAs Certification Authority/direcciónEmail=ips@m IPSail.ips.es DC=com, DC=microsoft, DC=corp, DC=redmond, CN=Microsoft Secure Server Authority C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network, OU=http://www.usertrust.com, CN=UTN-USERFirst-Hardware C=BM, O=QuoVadis Limited, CN=QuoVadis Root CA 3 C=TW, O=Government Root Certification Authority C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA Limited, CN=Trusted Certificate Services C=US, O=GeoTrust Inc., CN=GeoTrust Universal CA 2 C=US, O=Entrust.net, OU=www.entrust.net/Client_CA_Info/CPS incorp. by ref. limits liab., OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Client Certification Authority C=FR, O=Certplus, CN=Class 2 Primary CA C=US, O=Starfield Technologies, Inc., OU=Starfield Class 2 Certification Authority C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting, OU=Certification Services Division, CN=Thawte Personal Freemail CA/
[email protected] O=Entrust.net, OU=www.entrust.net/CPS_2048 incorp. by ref. (limita respons.), OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Certification Authority (2048) C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,
[email protected] C.I.F. B-60929452, OU=IPS CA CLASEA1 Certification Authority, CN=IPS CA CLASEA1 Certification Authority/direcció
[email protected] C=US, O=AOL Time Warner Inc., OU=America Online Inc., CN=AOL Time Warner Root Certification Authority 2 C=US, O=VeriSign, Inc., OU=Class 1 Public Primary Certification Authority G2, OU=(c) 1998 VeriSign, Inc. - Sólo para uso autorizado, OU=VeriSign Trust Network C=US, O=VISA, OU=Visa International Service Association, CN=GP Root 2 C=US, O=GeoTrust Inc., CN=GeoTrust Global CA C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Términos de uso en https://www.verisign.com/rpa (c)06, CN=VeriSign Class 3 Extended Validation SSL CA C=EU, O=AC Camerfirma SA CIF A82743287, OU=http://www.chambersign.org, CN=Global Chambersign Root C=DE, ST=Hamburg, L=Hamburg, O=TC TrustCenter for Security in Data Networks GmbH, OU=TC TrustCenter Class 2 CA/direcció
[email protected] C=US, O=GTE Corporation, OU=GTE CyberTrust Solutions, Inc., CN=GTE CyberTrust Global Root C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Términos de utilización en https://www.verisign.com/rpa (c)05, CN=VeriSign Class 3 Secure Server CA C=US, O=GTE Corporation, CN=GTE CyberTrust Root C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 1999 VeriSign, Inc. - Sólo para uso autorizado, CN=VeriSign Class 1 Public Primary Certification Authority - G3 C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network, OU=http://www.usertrust.com, CN=UTN-USERFirst-Network Applications C=HU, L=Budapest, O=NetLock Halozatbiztonsagi Kft., OU=Tanusitvanykiadok, CN=NetLock Minositett Kozjegyzoi (Class QA)
390
Fireware XTM Web UI
Certificates Tanusitvanykiado/direcció
[email protected] C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 1999 VeriSign, Inc. - Sólo para uso autorizado, CN=VeriSign Class 2 Public Primary Certification Authority - G3 C=us, ST=Utah, L=Salt Lake City, O=Digital Signature Trust Co., OU=DSTCA X2, CN=DST RootCA X2/direcció
[email protected] C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,
[email protected] C.I.F. B-60929452, OU=IPS CA CLASE3 Certification Authority, CN=IPS CA CLASE3 Certification Authority/direcciónEmail=ips@m IPSail.ips.es O=RSA Security Inc, OU=RSA Security 1024 V3 C=US, O=Equifax Secure, OU=Equifax Secure eBusiness CA-2 C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte, Inc. - Sólo para uso autorizado, CN=thawte Primary Root CA C=us, ST=Utah, L=Salt Lake City, O=Digital Signature Trust Co., OU=DSTCA X1, CN=DST RootCA X1/direcció
[email protected] C=US, O=Network Solutions L.L.C., CN=Network Solutions Certificate Authority C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Server CA/direcció
[email protected] C=US, O=VeriSign, Inc., OU=Class 4 Public Primary Certification Authority G2, OU=(c) 1998 VeriSign, Inc. - Sólo para uso autorizado, OU=VeriSign Trust Network C=NL, O=DigiNotar, CN=DigiNotar Root CA CA/
[email protected] C=US, O=America Online Inc., CN=America Online Root Certification Authority 2 C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,
[email protected] C.I.F. B-60929452, OU=IPS CA Timestamping Certification Authority, CN=IPS CA Timestamping Certification Authority/direcció
[email protected] C=US, O=DigiCert Inc., CN=DigiCert Security Services CA C=US, O=Digital Signature Trust, OU=DST ACES, CN=DST ACES CA X6 C=DK, O=TDC, CN=TDC OCES CA C=US, O=VeriSign, Inc., OU=Class 1 Public Primary Certification Authority C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,
[email protected] C.I.F. B-60929452, OU=IPS CA CLASEA3 Certification Authority, CN=IPS CA CLASEA3 Certification Authority/direcció
[email protected] C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network, OU=http://www.usertrust.com, CN=UTN-USERFirst-Correo electrónico y autenticación del cliente C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA CA Limited, CN=AAA Certificate Services L=ValiCert Validation Network, O=ValiCert, Inc., OU=ValiCert Class 1 Policy Validation Authority, CN=http://www.valicert.com//direcció
[email protected] C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,
[email protected] C.I.F. B-60929452, OU=IPS CA CLASE1 Certification Authority, CN=IPS CA CLASE1 Certification Authority/direcció
[email protected] C=BM, O=QuoVadis Limited, OU=Root Certification Authority, CN=QuoVadis Root Certification Authority C=US, O=Network Solutions L.L.C., CN=Network Solutions Certificate Authority C=CH, O=SwissSign AG, CN=SwissSign Silver CA - G2 C=US, O=Digital Signature Trust Co., OU=DSTCA E2
Guía del Usuario
391
Certificates C=US, O=Digital Signature Trust Co., OU=DSTCA E1 C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root CA C=US, ST=Arizona, L=Scottsdale, O=GoDaddy.com, Inc., OU=http://certificates.godaddy.com/repository, CN=Go Daddy Secure Certification Authority/númeroSerie=07969287 C=EU, O=AC Camerfirma SA CIF A82743287, OU=http://www.chambersign.org, CN=Chambers of Commerce Root C=BM, O=QuoVadis Limited, CN=QuoVadis Root CA 2 C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert High Assurance EV Root CA C=US, ST=DC, L=Washington, O=ABA.ECOM, INC., CN=ABA.ECOM Root CA/direcció
[email protected] C=ES, ST=BARCELONA, L=BARCELONA, O=IPS Seguridad CA CA, OU=Certificaciones, CN=IPS SERVIDORES/direcció
[email protected] C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Assured ID Root CA C=ch, O=Swisscom, OU=Digital Certificate Services, CN=Swisscom Root CA 1 CN=T\xC3\x9CRKTRUST Elektronik Sertifika Hizmet Sa\xC4\x9Flay\xC4\xB1c\xC4\xB1s\xC4\xB1, C=TR, L=ANKARA, O=(c) 2005 T\xC3\x9CRKTRUST Bilgi \xC4\xB0leti\xC5\x9Fim ve Bili\xC5\x9Fim G\xC3\xBCvenli\xC4\x9Fi Hizmetleri A.\xC5\x9E. C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 2006 VeriSign, Inc. - Sólo para uso autorizado, CN=VeriSign Class 3 Public Primary Certification Authority - G5 C=DE, ST=Hamburg, L=Hamburg, O=TC TrustCenter for Security in Data Networks GmbH, OU=TC TrustCenter Class 3 CA/direcció
[email protected] C=HU, L=Budapest, O=NetLock Halozatbiztonsagi Kft., OU=Tanusitvanykiadok, CN=NetLock Expressz (Class C) Tanusitvanykiado C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network, OU=http://www.usertrust.com, CN=UTN-USERFirst-Object C=US, O=The Go Daddy Group, Inc., OU=Go Daddy Class 2 Certification Authority C=US, O=Akamai Technologies Inc, CN=Akamai Subordinate CA 3 C=US, O=Network Solutions L.L.C., CN=Network Solutions Certificate Authority C=SE, O=AddTrust AB, OU=AddTrust TTP Network, CN=AddTrust Public CA Root CN=T\xC3\x9CRKTRUST Elektronik Sertifika Hizmet Sa\xC4\x9Flay\xC4\xB1c\xC4\xB1s\xC4\xB1, C=TR, L=Ankara, O=T\xC3\x9CRKTRUST Bilgi \xC4\xB0leti\xC5\x9Fim ve Bili\xC5\x9Fim G\xC3\xBCvenli\xC4\x9Fi Hizmetleri A.\xC5\x9E. (c) Kas\xC4\xB1m 2005 C=US, O=GeoTrust Inc., CN=GeoTrust Universal CA C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Términos de utilización en https://www.verisign.com/rpa (c)06, CN=VeriSign Class 3 Extended Validation SSL SGC CA O=Entrust.net, OU=www.entrust.net/SSL_CPS incorp. por ref. (limita respons.), OU=(c) 2000 Entrust.net Limited, CN=Entrust.net Secure Server Certification Authority CN=Microsoft Internet Authority L=ValiCert Validation Network, O=ValiCert, Inc., OU=ValiCert Class 2 Policy Validation Authority, CN=http://www.valicert.com//direcció
[email protected] C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network, OU=http://www.usertrust.com, CN=UTN-USERFirst-Hardware C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root C=FI, O=Sonera, CN=Sonera Class2 CA
392
Fireware XTM Web UI
Certificates O=beTRUSTed, OU=beTRUSTed Root CAs, CN=beTRUSTed Root CA-Baltimore Implementation C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Certification Authority
Ver y administrar Certificados de Firebox Puede usar el Fireware XTM Web UI para ver y administrar sus certificados de Firebox. Eso incluye: n n n n
Ver un listado de los certificados actuales de Firebox y sus propiedades Importar un certificado Seleccionar un certificado del servidor web para la autenticación de Firebox Seleccionar un certificado para ser usado con una VPN para Sucursales o VPN de usuario móvil Nota Debe usar el Firebox System Manager (FSM) para crear solicitudes de firma de certificado (CSRs), importar listas de revocación de certificado (CRLs), remover o eliminar certificados. Para obtener más información, vea el sistema de Ayuda del WatchGuard System Manager.
Ver los certificados actuales Para ver el listado actual de certificados: 1. Seleccione Sistema > Certificados. Aparece la lista "Certificados", con todos los certificados y solicitudes de firma de certificado (CSRs).
La lista Certificados incluye: n n n
El estado y tipo del certificado. El algoritmo usado por el certificado. El nombre del sujeto o identificador del certificado.
Por defecto, los certificados CA de confianza no están incluidos en esta lista. 2. Para mostrar todos los certificados en CAs de confianza, seleccione la casilla Mostrar CAs de confianza para proxy de HTTPS. 3. Para ocultar los certificados CA de confianza, limpie la casilla Mostrar CAs de confianza para proxy de HTTPS.
Importar un certificado desde un archivo Se puede importar un certificado desde el portapapeles de Windows o desde un archivo en su PC local. Los certificados deben tener el formato PEM (base64). Antes de importar un certificado para ser usado con la función de inspección de contenido proxy de HTTPS, debe importar cada certificado anterior en la cadena de confianza con el tipo Otro. Eso configura el Firebox para que confíe en el certificado. Debe importar esos certificados desde el primero hacia el último, o desde el más relevante hacia el menos relevante, para que el Firebox pueda conectar los certificados en la cadena de confianza adecuadamente. Para más informaciones, vea Acerca de los certificados en la página 385 y Usar Certificados para el proxy de HTTPS en la página 397.
Guía del Usuario
393
Certificates
1. Seleccione Sistema > Certificados. Aparece la página "Certificados".
2. Haga clic en Importar. 3. Seleccione la opción que coincida con la función del certificado: n
n
n
n
Autoridad proxy de HTTPS (para inspección profunda de paquetes) - Seleccione esta opción si el certificado es para una política de proxy de HTTPS que administra el tráfico web solicitado por los usuarios en una red de confianza u opcional desde un servidor web en una red externa, seleccione Un certificado importado con esa finalidad debe ser un certificado CA. Antes de importar el certificado CA usado para reencriptar el tráfico con un proxy de HTTPS, asegúrese de que el certificado CA usado para reencriptar firmar ese certificado haya sido importado con la categoría Otro. Servidor proxy de HTTPS - Seleccione esta opción si el certificado es para una política de proxy de HTTPS que administra el tráfico web solicitado por usuarios en una red externa desde un servidor web protegido por el Firebox. Antes de importar el certificado CA usado para reencriptar el tráfico desde el servidor web de HTTPS, asegúrese de que el certificado CA utilizado para firmar ese certificado haya sido importado con la categoría Otro . CA de confianza para proxy de HTTPS - Seleccione esta opción para un certificado usado para confiar en tráfico HTTPS que no sea reencriptado por el proxy de HTTPS. Por ejemplo, un certificado raíz o de CA intermediario usado para firmar el certificado de un servidor web externo. IPSec, Servidor web, Otro - Seleccione esta opción si el certificado es para autenticación u otros propósitos, o si desea importar un certificado para crear una cadena de confianza para un certificado que sea usado para reencriptar el tráfico de red con un proxy de HTTPS.
4. Copie y pegue los contenidos del certificado en el cuadro de texto grande. Si el certificado incluye una clave privada, ingrese la contraseña para descifrar la clave. 5. Haga clic en Importar certificado. Se agrega el certificado al Firebox.
Usar un certificado del servidor web para autenticación Para usar un certificado de terceros para ese propósito, primero debe importar ese certificado. Vea el procedimiento anterior para más información. Si usa un certificado personalizado firmado por el Firebox, recomendamos que exporte el certificado y luego lo importe en cada dispositivo cliente que se conecta al Firebox. 1. Seleccione Autenticación > Certificado de Servidor Web . Aparece la página de Certificado del servidor web de autenticación.
2. Para usar un certificado de terceros importado, seleccione Certificado de terceros y seleccione el certificado en la lista desplegable. Haga clic en Guardar y no siga los otros pasos en este procedimiento.
394
Fireware XTM Web UI
Certificates
3. Para crear un nuevo certificado para la autenticación Firebox, seleccione Personalizar certificado firmado por Firebox. 4. Ingrese un domain name o dirección IP de una interfaz en su Firebox en el cuadro de texto en la parte inferior del cuadro de diálogo. Haga clic en Agregar. Cuando haya añadido todos los domain names deseados, haga clic en Aceptar. 5. Ingrese el nombre común de su organización. Éste suele ser su domain name. También puede ingresar un nombre de organización y un nombre de departamento de la organización (ambos opcionales) para identificar la parte de su organización que creó el certificado. 6. Haga clic en Guardar.
Crear una CSR con el OpenSSL Para crear un certificado, primero necesita crear una Solicitud de firma de certificado (CSR). Puede enviar una CSR a una autoridad de certificación o usarla para un certificado autofirmado.
Usar OpenSSL para generar una CSR El OpenSSL está instalado en la mayoría de las distribuciones de GNU/Linux. Para descargar el código fuente o un archivo binario de Windows, vaya a http://www.openssl.org/ y siga las instrucciones de instalación para su sistema operativo. Puede usar el OpenSSL para convertir certificados y solicitudes de firma de certificado de un formato a otro. Para más información, vea la página principal de OpenSSL o la documentación online. 1. Abra un terminal de command line interface. 2. Para generar un archivo de clave privada llamado privkey.pem en su directorio actual de trabajo, ingrese: openssl genrsa-out privkey.pem 1024
3. Ingrese: openssl req -new -key privkey.pem -out request.csr Este comando genera una CSR en el formato PEM en su directorio de trabajo actual.
4. Cuando le solicitan la información del atributo de nombre común x509, ingrese el domain name completo (FQDN). Use otra información, según convenga. 5. Siga las instrucciones de su autoridad de certificación para enviar la CSR. Para crear un certificado temporal y autofirmado hasta que la CA emita su certificado firmado: 1. Abra un terminal de command line interface. 2. Ingrese: openssl x509 -req -days 30 -in request.csr -key privkey.pem -out sscert.cert
Ese comando crea un certificado dentro de su directorio actual que caduca en 30 días con la clave privada y la CSR creada en el procedimiento anterior. Nota No se puede usar un certificado autofirmado para la autenticación de puerta de enlace remota de VPN. Recomendamos que use certificados firmados por una Autoridad de Certificación de confianza.
Guía del Usuario
395
Certificates
Firme un certificado con Microsoft CA Aunque pueda crear un certificado autofirmado con el Firebox System Manager u otras herramientas, también se puede crear un certificado con el Microsoft Certificate Authority (CA). Cada solicitud de firma de certificado (CSR) debe ser firmada por una autoridad de certificación (CA) antes que sea usada para autenticación. Al crear un certificado con ese procedimiento, uno actúa como la CA y firma digitalmente su propia CSR. No obstante, por cuestiones de compatibilidad, recomendamos que envíe su CSR a una CA ampliamente conocida. Los certificados raíces para esas organizaciones están inslados por defecto en la mayoría de los exploradores de Internet y dispositivos WatchGuard, así no hace falta que uno mismo distribuya los certificados raíces. Se puede usar la mayoría de los sistemas operativos de Windows Server para completar una CSR y crear un certificado. Las instrucciones siguientes son para el Windows Server 2003.
Enviar la solicitud de certificado 1. Abra su explorador web. En la ubicación o barra de dirección, ingrese la dirección IP del servidor donde esté instalada la Autoridad de Certificación, seguido de certsrv . Por ejemplo: http://10.0.2.80/certsrv 2. Haga clic en el enlace Solicitar un certificado. 3. Haga clic en el enlace Solicitud avanzada de certificado. 4. Haga clic en Enviar un certificado. 5. Pegue los contenidos de su archivo de CSR en el cuadro de texto Solicitud guardada. 6. Haga clic en OK. 7. Cierre su explorador web.
Emitir el certificado 1. 2. 3. 4. 5. 6.
Conéctese al servidor donde esté instalada la Autoridad de Certificación, si necesario. Seleccione Inicio > Panel de control> Herramientas administrativas > Autoridad de certificación. En el árbol Autoridad de certificación (Local), seleccione Su domain name> Solicitudes pendientes. Seleccione la CSR en el panel de navegación derecho. En el menu Acción, seleccione Todas las tareas > Emitir. Cierre la ventana de Autoridad de Certificación.
Descargar el certificado 1. Abra su explorador web. En la ubicación o barra de dirección, ingrese la dirección IP del servidor donde esté instalada la autoridad de certificación, seguido de certsrv. Ejemplo: http://10.0.2.80/certsrv 2. Haga clic en el enlace Ver el estado de una solicitud de certificado pendiente. 3. Haga clic en la solicitud de certificado con la hora y fecha que fue enviada. 4. Para elegir el formato PKCS10 o PKCS7, seleccione Codificación de base 64. 5. Haga clic en Descargar certificado para guardar el certificado en su disco duro. La Autoridad de Certificación es distribuida como componente en el Windows Server 2003. Si la Autoridad de Certificación no está instalada en la carpeta Herramientas Administrativas del Panel de Control siga las instrucciones del fabricante para instalarla.
396
Fireware XTM Web UI
Certificates
Usar Certificados para el proxy de HTTPS Muchos sitios web usan protocolos HTTP y HTTPS para enviar información a usuarios. Cuando el tráfico HTTP puede ser fácilmente examinado, el tráfico HTTPS es cifrado. Para examinar el tráfico HTTPS solicitado por un usuario en su red, se debe configurar su Firebox para que descifre la información y luego la cifre con un certificado firmado por una CA confiada por todos los usuarios de la red. Por defecto, el Firebox cifra nuevamente el contenido inspeccionado con un certificado autofirmado generado automáticamente. Los usuarios sin una copia de ese certificado ven un alerta de certificado cuando se conectan a una sitio web seguro con HTTPS. Si un sitio web remoto usa un certificado vencido, o si ese certificado está firmado por una CA (Autoridad de Certificación) que el Firebox no reconoce, éste forma nuevamente el contenido como Fireware HTTPS Proxy: Certificado no reconocido o simplemente Certificado inválido. Esta sección incluye información acerca de cómo exportar un certificado desde el Firebox e importarlo en un sistema con Microsoft Windows o Mac OS X para que funcione con el proxy de HTTPS. Para importar el certificado en otros dispositivos, sistemas operativos o aplicaciones, vea la documentación de sus fabricantes.
Proteger un servidor HTTPS privado Para proteger un servidor de HTTPS en su red, primero debe importar el certificado CA usado para firmar el certificado del servidor de HTTPS y, luego, importar el certificado del servidor de HTTPS con su clave privada asociada. Si el certificado CA usado para firmar el certificado del servidor del HTTPS no es automáticamente confiable, debe importar cada certificado de confianza en secuencia para que este recurso funcione correctamente. Después de importar todos los certificados, configure el proxy de HTTPS. En el Fireware XTM Web UI: 1. Seleccione Firewall > Políticas de Firewall. Aparece la página "Políticas de Firewall". 2. Haga clic en Agregar. Aparece la página "Seleccionar un tipo de política.
3. 4. 5. 6. 7. 8. 9.
Expanda la categoría Proxies y seleccione HTTPS-proxy. Haga clic en Agregar política. Seleccione la pestaña Contenido. Seleccione la casilla de verificación Activar inspección profunda de contenido HTTPS. Elija la acción proxy de HTTPS que desea usar para inspeccionar el contenido de HTTPS. Limpie las dos casillas de verificación para validación de OCSP. En la Lista de derivación, ingrese las direcciones IP de los sitios web para los cuales no desea inspeccionar el tráfico. 10. Haga clic en Guardar. Para más informaciones, vea Ver y administrar certificados de FireboxVer y administrar Certificados de Firebox en la página 393.
Guía del Usuario
397
Certificates
Examinar contenido de los servidores HTTPS externos Nota Si tiene otro tráfico que usa el puerto HTTPS, tal como el tráfico SSL VPN, recomendamos que evalúe la función de inspección de contenido cuidadosamente. El proxy de HTTPS intenta examinar todo el tráfico en el puerto 443 de TCP de la misma manera. Para asegurar que otras fuentes de tráfico operan correctamente, recomendamos que agregue esas direcciones IP a la lista de Derivación. Para más informaciones, vea Proxy de HTTPS: Inspección de contenidoProxy de HTTPS: Contenido en la página 302. Si su organización ya tiene un PKI (Infraestructura de Clave Pública) configurado con una CA de confianza, entonces puede importar un certificado en el Firebox que esté firmado por la CA de su organización. Si el certificado CA no es automáticamente confiable, debe importar cada certificado previo en la cadena de confianza para que ese recurso funcione correctamente. Para más informaciones, vea Ver y administrar certificados de FireboxVer y administrar Certificados de Firebox en la página 393. Antes de activar esa función, recomendamos que provea el(los) certificado(s) usado(s) para firmar el tráfico HTTPS para todos los clientes en su red. Puede poner los certificados en un adjunto de correo electrónico con las instrucciones, o usar el software de administración de red para instalar los certificados automáticamente. También recomendamos que pruebe el proxy de HTTPS con un pequeño número de usuarios para asegurarse de que funciona correctamente antes de aplicarlo al tráfico en una red grande. Si su organización no tiene un PKI, debe copiar el certificado predeterminado o autofirmado personalizado desde el Firebox hacia cada dispositivo cliente. En el Fireware XTM Web UI: 1. Seleccione Firewall > Políticas de Firewall. Aparece la página "Políticas de Firewall". 2. Haga clic en Agregar. Aparece la página "Seleccionar un tipo de política".
3. 4. 5. 6. 7. 8. 9.
Expanda la categoría Proxies y seleccione HTTPS-proxy. Haga clic en Agregar política. Seleccione la pestaña Contenido. Seleccione la casilla de verificación Activar inspección profunda de contenido HTTPS. Elija la acción proxy de HTTPS que desea usar para inspeccionar el contenido de HTTPS. Seleccione las opciones que desea para la validación del certificado OCSP. En la Lista de derivación, ingrese las direcciones IP de los sitios web para los cuales no desea inspeccionar el tráfico. 10. Haga clic en Guardar. Cuando activa la inspección de contenido, las configuraciones de WebBlocker de la acción del proxy de HTTP anulan las configuraciones de WebBlocker del proxy de HTTPS. Si añade direcciones IP a la lista de Derivaciones, se filtra el tráfico de esos sitios con las configuraciones WebBlocker del proxy de HTTPS. Para más información en la configuración del WebBlocker, vea Acerca de las WebBlocker en la página 561.
Exportar el certificado de inspección de contenido HTTPS Ese procedimiento exporta un certificado de su Firebox en el formato PEM.
398
Fireware XTM Web UI
Certificates
1. 2. 3. 4. 5.
Abra el Firebox System Manager y conéctese a su Firebox. Seleccione Ver > Certificados. Seleccione el certificado CA Autoridad proxy de HTTPS en la lista y haga clic en Exportar. Ingrese un nombre y seleccione una ubicación para guardar el certificado localmente. Copie el certificado guardado en el equipo cliente.
Si el certificado proxy de HTTPS usado para la inspección de contenido requiere otro certificado CA intermediario o raíz antes que sea de confianza para los clientes de la red, también debe exportar esos certificados. También puede copiar los certificados de la fuente original para distribución. Si importó el certificado anteriormente en un cliente, puede exportar ese certificado directamente del sistema operativo o tienda del certificado del explorador. En la mayoría de los casos, eso exporta el certificado en el formato x.509. Los usuarios de Windows y Mac OS X pueden hacer doble clic en un certificado de formato x.509 para importarlo.
Importar los certificados en dispositivos clientes Para usar certificados instalados en el Firebox con los dispositivos clientes, debe exportar los certificados con el FSM y luego importarlos en cada cliente. Para más informaciones, vea Importar un certificado en un dispositivo cliente en la página 404.
Solucionar problemas con la inspección de contenido HTTPS El Firebox suele crear mensajes de registro cuando hay un problema con un certificado usado para la inspección de contenido de HTTPS. Recomendamos que verifique esos mensajes de registro para más información. Si las conexiones hacia los servidores web remotos se interrumpen a menudo, asegúrese de que fueron importados todos los certificados necesarios para confiar en el certificado CA usado para reencriptar el contenido HTTPS, así como los certificados necesarios para confiar en el certificado del servidor web original. Debe importar todos esos certificados en el Firebox y cada dispositivo cliente para que las conexiones tengan éxito.
Use certificados autenticados para el túnel VPN Mobile con IPSec Cuando se crea un túnel de Mobile VPN, la identidad de cada extremo debe ser verificada con una clave. Esa clave puede ser o una frase de contraseña o una clave precompartida (PSK) conocida por ambos extremos, o un certificado del Management Server. Su dispositivo WatchGuard debe ser un cliente administrado para usar un certificado para la autenticación de Mobile VPN. Debe usar el WatchGuard System Manager para configurar su dispositivo WatchGuard como un cliente administrado. Para obtener más información acerca de la Ayuda del WatchGuard System Manager. Para usar los certificados para un nuevo túnel de Mobile VPN con IPSec: 1. Seleccione VPN > Mobile VPN with IPSec. 2. Haga clic en Agregar. 3. Haga clic en la pestaña Túnel IPSec.
Guía del Usuario
399
Certificates
4. En la sección Túnel IPSec, seleccione Usar un certificado. 5. En el cuadro de texto Dirección IP CA, ingrese la dirección IP de su Management Server. 6. En el cuadro de texto Tiempo de espera, ingrese o seleccione el tiempo en segundos que el cliente de Mobile VPN with IPSec espera la respuesta de la autoridad de certificación antes de detener las tentativas de conexión. Recomendamos que se mantenga el valor predeterminado. 7. Realice la configuración del grupo de Mobile VPN. Para más informaciones, vea Configurar el Firebox para Mobile VPN with IPSec en la página 483. Para cambiar un túnel de Mobile VPN existente para que use certificados para autenticación: 1. 2. 3. 4. 5. 6.
Seleccione VPN > Mobile VPN with IPSec. Seleccione grupo de Mobile VPN que desea cambiar. Haga clic en Editar. Haga clic en la pestaña Túnel IPSec. En la sección Túnel IPSec, seleccione Usar un certificado. En el cuadro de texto Dirección IP CA, ingrese la dirección IP de su Management Server. En el cuadro de texto Tiempo de espera, ingrese o seleccione el tiempo en segundos que el cliente de Mobile VPN with IPSec espera la respuesta de la autoridad de certificación antes de detener las tentativas de conexión. Recomendamos que se mantenga el valor predeterminado. 7. Haga clic en Guardar. Cuando usa certificados, debe otorgar tres archivos a cada usuario de Mobile VPN: n n n
El perfil del usuario final (.wgx) El certificado del cliente (.p12) El certificado raíz de CA (.pem)
Copie todos los archivos en el mismo directorio. Cuando el usuario de Mobile VPN importa el archivo .wgx, los certificados cliente y raíz en los archivos cacert.pem y .p12 son cargados automáticamente. Paramás informacionesacerca de Mobile VPN con IPSec,vea Acercadel MobileVPN conIPSec enla página481.
Usar un certificado para autenticación del túnel BOVPN Cuando se crea un túnel BOVPN, el protocolo de IPSec verifica la identidad de cada extremo o con una clave precompartida (PSK) o un certificado importado y almacenado en el Firebox. Para usar un certificado para autenticación del túnel BOVPN: 1. Seleccione VPN >Branch Office VPN (BOVPN). 2. En la sección Puertas de enlace, haga clic enAgregar para crear nueva puerta de enlace. O seleccione una puerta de enlace existente y haga clic en Editar. 3. Seleccione Utilizar Firebox Certificate de IPSec. 4. Seleccione el certificado que desea usar. 5. Defina otros parámetros, según sea necesario. 6. Haga clic en Guardar. Si usa un certificado para autenticación de BOVPN: n
400
Primero debe importar el certificado. Para más informaciones, vea Ver y administrar Certificados de Firebox en la página 393.
Fireware XTM Web UI
Certificates
n n
n
El Firebox System Manager debe reorganizar el certificado como un certificado de tipo IPSec. Asegúrese de que los certificados para los dispositivos en cada gateway endpoint usen el mismo algoritmo. Ambos extremos deben usar o DSS o RSA. El algoritmo para los certificados aparece en el cuadro en la página Puerta de enlace. Si no tiene un certificado de terceros o autofirmado, debe usar una autoridad de certificación en un WatchGuard Management Server.
Verificar el certificado con el FSM 1. Seleccione Sistema > Certificados. Aparece la página "Certificados".
2. En la columna Insertar, aparece la verificación de IPSec o IPSec/Web.
Verificar los certificados de VPN con servidor de LDAP Puede usar un servidor de LDPA para verificar automáticamente certificados para la autenticación de VPN si tiene acceso al servidor. Debe tener datos de la cuenta de LDAP ofrecidos por un servicio de CA de terceros para usar esta función. 1. Seleccione VPN > Configuraciones Globales. Aparece la página Configuraciones globales de VPN.
2. 3. 4. 5.
Seleccione la casilla Activar servidor de LDAP para verificación de certificado. En el cuadro de texto Servidor, ingrese el nombre o dirección del servidor de LDAP. (Opcional) Ingrese el número de Puerto. Haga clic en Guardar. Su Firebox verifica el CRL almacenado en el servidor de LDAP cuando se solicita la autenticación del túnel.
Guía del Usuario
401
Certificates
Configure el certificado del servidor web para la autenticación de Firebox Cuando los usuarios se conectan a su dispositivo WatchGuard con un explorador web, suelen ver un alerta de seguridad. Ese alerta aparece porque el certificado predeterminado no es de confianza o porque el certificado no coincide con la dirección IP o domain name usado para la autenticación. Si tiene un Fireware XTM con actualización Pro, puede usar un certificado autofirmado o de terceros que coincida con el IP o domain name para autenticación de usuarios. Debe importar ese certificado en cada dispositivo o explorador cliente para evitar los alertas de seguridad. Para configurar el certificado del servidor web para la autenticación de Firebox: 1. Seleccione > Autenticación Certificado de autenticación web.
402
Fireware XTM Web UI
Certificates
2. Para usar el certificado predeterminado, seleccione Certificado predeterminado firmado por Firebox y continúe hasta el último paso de ese procedimiento. 3. Para usar un certificado previamente importado, seleccione Certificado de terceros. 4. Seleccione un certificado en la lista desplegable al lado y siga hasta el último paso de ese procedimiento. Ese certificado debe ser reconocido como un certificado Web.
Guía del Usuario
403
Certificates
5. Si desea crear un certificado personalizado, firmado por su Firebox, seleccione Certificado personalizado firmado por su Firebox. 6. Ingrese el nombre común de su organización. Éste suele ser su domain name. (Opcional) También puede ingresar un nombre de organización y un nombre de departamento de la organización para identificar la parte de su organización que creó el certificado. 7. Para crear más nombres de sujetos o direcciones IP de interfaces para direcciones IP para las cuales se usará el certificado, ingrese un Domain Name. 8. Haga clic en el botón Agregar al lado del cuadro de texto, para añadir cada entrada 9. Repita los pasos 7 a 8 para añadir más domain names. 10. Haga clic en Guardar.
Importar un certificado en un dispositivo cliente Al configurar su Firebox para usar un certificado de terceros o personalizado para autenticación o inspección de contenido HTTPS, debe importar ese certificado hacia cada cliente en su red para evitar los alertas de seguridad. Eso también permite que servicios como Windows Update funcionen correctamente. Nota Si normalmente usa el Fireware XTM Web UI, debe instalar el Firebox System Manager antes de exportar los certificados.
Importar un certificado en formato PEM con el Windows XP Este proceso permite que el Internet Explorer, Windows Update y otros programas o servicios usen la tienda de certificados Windows en el Microsoft Windows XP para acceder al certificado. 1. En el menú de Windows Inicio, seleccione Ejecutar. 2. Ingrese mmc y haga clic en Aceptar. Aparece el Windows Management Console.
3. 4. 5. 6. 7. 8. 9. 10.
Seleccione Archivo >Agregar/Remover encaje. Haga clic en Agregar. Seleccione Certificados y después haga clic en Agregar. Seleccione Cuenta del equipo y haga clic en Siguiente. Haga clic en Finalizar, Cerrar o Aceptar para añadir el módulo de certificados. En la ventana Raíz de Consola, haga clic en el icono de más (+) para expandir el árbol Certificados. Expanda el objeto Autoridades de Certificación de raíz de confianza. En el objeto Autoridades de certificación de raíz de confianza, haga clic con el botón derecho en Certificados y seleccione Todas las tareas> Importar. 11. Haga clic en Siguiente. Haga clic en Examinar para encontrar y seleccionar el certificado CA de Autoridad de Proxy de HTTPS previamente exportado. Haga clic en OK. 12. Haga clic en Siguiente y después en Finalizar para concluir el asistente.
Importar un certificado en formato PEM con el Windows Vista Este proceso permite que el Internet Explorer, Windows Update y otros programas o servicios usen la tienda de certificados Windows en el Microsoft Windows Vista para acceder al certificado. 1. En el menú Inicio del Windows, ingrese certmgr.msc en el cuadro de texto Buscar y presione Entrar. Si se le solicita que autentique como administrador, inserte su contraseña o confirme su acceso.
404
Fireware XTM Web UI
Certificates
2. Seleccione el objeto Autoridades de certificación de raíz de confianza. 3. En el menú Acción, seleccione Todas las tareas> Importar. 4. Haga clic en Siguiente. Haga clic en Examinar para encontrar y seleccionar el certificado CA de Autoridad de Proxy de HTTPS previamente exportado. Haga clic en OK. 5. Haga clic en Siguiente y después en Finalizar para concluir el asistente.
Importar un certificado en formato PEM con Mozilla Firefox 3.x Mozilla Firefox usa una tienda de certificados privados en vez de una tienda de certificados de sistema operativo. Si los clientes en su red usan el explorador Firefox, debe importar el certificado en la tienda de certificados de Firefox aunque ya haya importado el certificado en el sistema operativo del host. Cuando tiene más de un dispositivo Firebox que usa un certificado autofirmado para inspección de contenido HTTPS, los clientes en su red deben importar una copia de cada Firebox Certificate. No obstante, los certificados de Firebox autofirmados predeterminados usan el mismo nombre y el Mozilla Firefox sólo reconoce el primer certificado importado cuando más de un certificado tiene el mismo nombre. Recomendamos que remplace los certificados autofirmados por el certificado firmado por una CA diferente, y luego distribuya esos certificados a cada cliente. 1. En el Firefox, seleccione Herramientas > Opciones. Aparece el cuadro de diálogo "Opciones".
2. Haga clic en el icono Avanzado. 3. Seleccione la pestaña Cifrado y después haga clic en Ver certificados. Aparece el cuadro de diálogo "Administrador de Certificados". 4. Seleccione la pestaña Autoridades y después haga clic en Importar. 5. Examine para seleccionar el archivo de certificado y después haga clic en Abrir. 6. En el cuadro de diálogo Descargando certificado, seleccione la casilla Confiar en esta CA para identificar los sitios web. Haga clic en OK. 7. Haga doble clic en Aceptar para cerrar los cuadros de diálogo Administrador de Certificados y Opciones . 8. Reinicie el Mozilla Firefox.
Importar un certificado en formato PEM con el Mac OS X 10.5 Ese proceso permite que el Safari u otros programas o servicios usen la tienda de certificados de Mac OS X para acceder al certificado. 1. Abra la aplicación Acceso a claves. 2. Seleccione la categoría Certificados. 3. Haga clic en el icono de más (+) en la barra de herramientas inferior y después encuentre y seleccione el certificado. 4. Seleccione la clave Sistema y haga clic en Abrir. También puede seleccionar la clave "Sistema" y arrastrar y soltar el archivo del certificado hacia la lista. 5. Haga clic con el botón derecho en el certificado y seleccione Obtener datos. Aparece la ventana de datos del certificado.
6. 7. 8. 9.
Expanda la categoría Confianza. En la lista desplegable Cuando esté usando este certificado, seleccione Confiar siempre. Cerrar la ventana de datos del certificado. Ingrese la contraseña del administrador para confirmar sus cambios.
Guía del Usuario
405
Certificates
Guía del Usuario
406
19
Redes Privada Virtual (VPN)
Introducción a VPNs Para que los datos se transfieren con seguridad entre dos redes por una red desprotegida, como es la Internet, puede crear una red privada virtual (VPN). También puede usar una VPN para establecer una conexión segura entre un host y una red. Las redes y hosts en los extremos de una VPN pueden ser sedes corporativas, sucursales o usuarios remotos. Las VPNs usan el cifrado para proteger datos y la autenticación para identificar el emisor y el destinatario de los datos. Si la información de autenticación está correcta, los datos son cifrados. Sólo el emisor y el destinatario del mensaje pueden leer los datos enviados por la VPN. Un túnel VPN es una ruta virtual entre dos redes privadas de VPN Nos referimos a esa ruta como túnel porque se usa un protocolo de túnel, como IPSec, SSL o PPTP, para proteger el envío de paquetes de datos. La puerta de enlace o PC que usa una VPN usa ese túnel para enviar paquetes de datos por la Internet pública hacia direcciones IP privadas detrás de una puerta de enlace de VPN.
Branch Office VPN (BOVPN) Una VPN para Sucursales (BOVPN) es una conexión cifrada entre dos dispositivos exclusivos de hardware. Es usada con más frecuencia para asegurar la protección de comunicaciones entre redes en dos oficinas. WatchGuard ofrece dos métodos para configurar una BOVPN: BOVPN manual Puede usar el Policy Manager o el Fireware XTM Web UI para configurar manualmente una BOVPN entre dos dispositivos que soportan protocolos de VPN de IPSec. Para más informaciones, vea Acerca de túneles BOVPN manuales en la página 418. BOVPN administrada Puede usar el WatchGuard System Manager para configurar una BOVPN administrada en dos dispositivos WatchGuard.
Guía del Usuario
407
Redes Privada Virtual (VPN)
Para obtener más información, vea el Guía del usuario del WatchGuard System Manager o el sistema de ayuda online. Todas las BOVPNs de WatchGuard usan el conjunto de protocolo IPSec para proteger el túnel BOVPN. Para obtener más información acerca de las VPNs de IPSec, vea Acerca de la VPNs de IPSec en la página 408.
Mobile VPN Una Mobile VPN es una conexión cifrada entre un dispositivo de hardware exclusivo y un PC de escritorio o laptop. Una Mobile VPN permite que sus empleados trabajen a distancia y viajen y se conecten con seguridad a la red corporativa. WatchGuard soporta tres tipos de Mobile VPNs: n n n
Mobile VPN with IPSec Mobile VPN with PPTP Mobile VPN with SSL
Para comparar las soluciones de Mobile VPN, vea Seleccione una Mobile VPN en la página 413.
Acerca de la VPNs de IPSec La VPN para Sucursales de WatchGuard y el Mobile VPN with IPSec usan el conjunto de protocolo IPSec para establecer VPNs entre dispositivos o usuarios móviles. Antes de configurar una VPN de IPSec, principalmente si configura un túnel BOVPN manual, es útil comprender cómo las VPNs de IPSec funcionan. Para más información, vea: n n n
Acerca de los algoritmos y protocolos de IPSec Acerca de las negociaciones VPN de IPSec Configuraciones de Fase 1 y Fase 2
Acerca de los algoritmos y protocolos de IPSec IPSec es un conjunto de servicios basado en criptografía y protocolos de seguridad que protegen la comunicación entre dispositivos que envían tráfico por una red no confiable. Como el IPSec está construido a partir de un conjunto de protocolos y algoritmos conocidos, se puede crear una VPN de IPSec entre su dispositivo WatchGuard y muchos otros dispositivos que soportan esos protocolos estándares. Los protocolos y algoritmos usados por IPSec son abordados en las siguientes secciones.
Algoritmos de cifrado Los algoritmos de cifrado protegen los datos para que no puedan ser leídos por terceros mientras estén en tránsito. El Fireware XTM soporta tres algoritmos de cifrado: n
n n
408
DES (Estándar de Cifrado de Datos) — Usa una clave de cifrado con extensión de 56 bits. Ese es el más débil de los tres algoritmos. 3DES(Triple-DES) —Un algoritmode cifradobasado enDES que usa DES paracifrar losdatos tresveces. AES (Estándar de Cifrado Avanzado) — El algoritmo de cifrado más fuerte que existe. Fireware XTM puede usar claves de cifrado AES para esas extensiones: 128, 192, o 256 bits.
Fireware XTM Web UI
Redes Privada Virtual (VPN)
Algoritmos de autenticación Los algoritmos de autenticación verifican la integridad y autenticidad de los datos de un mensaje. El Fireware XTM soporta dos algoritmos de autenticación: n
n
HMAC-SHA1 (Código de autenticación de mensaje hash — Secure Hash Algorithm 1) — SHA-1 produce un resumen de mensaje de 160 bits (20 bytes). Aunque sea más lento que el MD5, ese archivo más grande es más fuerte contra los ataques de fuerza bruta. HMAC-MD5 (Código de autenticación de mensaje hash — Algoritmo 5 de resumen de mensaje) — El MD5 produce un resumen de mensaje de 128 bits (16 bytes), que lo hace más rápido que SHA-1.
Protocolo IKE Definido en RFC2409, IKE (siglas en inglés para intercambio de clave de Internet) es un protocolo usado para configurar las asociaciones de seguridad para IPSec. Esas asociaciones de seguridad establecen secretos de sesión compartidos a partir de los cuales se derivan las claves para el cifrado de datos en túnel. El IKE también es usado para autenticar los dos puntos de IPSec.
Algoritmo de intercambio de clave Diffie-Hellman El algoritmo de intercambio de clave Diffie-Hellman (DH) es un método usado para que una clave de cifrado compartida esté disponible a dos entidades sin el intercambio de la clave. La clave de cifrado para los dos dispositivos es usada como una clave simétrica para encriptar datos. Solamente las dos partes involucradas en el intercambio de clave DH pueden deducir la clave compartida, y la clave nunca es enviada por cable. Un grupo de clave Diffie-Hellman es un grupo de números enteros usados para el intercambio de clave Diffie-Hellman. Fireware XTM puede usar grupos DH 1, 2 y 5. Los números más altos del grupo ofrecen seguridad más fuerte. Para más informaciones, vea Acerca de los grupos Diffie-Hellman en la página 429.
AH Definido en RFC 2402, el AH (Encabezado de autenticación) es un protocolo que puede usar en las negociaciones de VPN de Fase 2 de BOVPN manual. Para ofrecer seguridad, el AH agrega información de autenticación al datagrama de IP. La mayoría de los túneles VPN no usan AH porque no ofrece cifrado.
ESP Definido en RFC 2406, el ESP (Carga de seguridad de encapsulación) ofrece autenticación y cifrado de datos. El ESP toma la carga original de un paquete de datos y la reemplaza por datos cifrados. Añade verificaciones de integridad para asegurar que los datos no sean alterados en tránsito y que vienen de una fuente adecuada. Recomendamos que use el ESP en negociaciones de Pase 2 de BOVPN porque el ESP es más seguro que el AH. El Mobile VPN with IPSec siempre usa ESP.
Guía del Usuario
409
Redes Privada Virtual (VPN)
Acerca de las negociaciones VPN de IPSec Los dispositivos en ambos extremos de un túnel VPN de IPSec son puntos de IPSec. Cuando dos puntos de IPSec quieren establecer una VPN entre sí, ellos intercambian una serie de mensajes acerca de cifrado y autenticación, e intentan aceptar diversos parámetros diferentes. Ese proceso es conocido como negociaciones de VPN. Un dispositivo en la secuencia de negociación es el iniciador mientras que el otro es el respondedor. Las negociaciones de VPN ocurren en dos fases distintas: Fase 1 y Fase 2. Configuraciones El principal propósito de la Fase 1 es configurar un canal cifrado seguro a través del cual los dos puntos pueden negociar la Fase 2. Cuando la Fase 1 termina con éxito, los puntos pasan rápidamente hacia las negociaciones de Fase 2. Si la Fase 1 falla, los dispositivos no pueden empezar la Fase 2. Fase 2 El propósito de las negociaciones de Fase 2 es que los dos puntos concuerden en un conjunto de parámetros que definen qué tráfico puede pasar por la VPN y cómo encriptar y autenticar el tráfico. Ese acuerdo se llama Asociación de Seguridad. Las configuraciones de Fase 1 y Fase 2 deben coincidir en los dispositivos en ambos extremos del túnel.
Negociaciones de Fase 1 En las negociaciones de Fase 1, los dos puntos intercambian credenciales. Los dispositivos se identifican y negocian para encontrar un conjunto común de configuraciones de Fase 1 que usar. Cuando se concluyen las negociaciones de Fase 1, los dos puntos tienen una Asociación de Seguridad (SA) de Fase 1. Esa SA es válida sólo por un período de tiempo determinado. Después que la SA de Fase 1 caduca, si dos los puntos deben concluir las negociaciones de Fase 2 nuevamente, también deben negociar la Fase 1 nuevamente. Las negociaciones de Fase 1 incluyen estos pasos: 1. Los dispositivos intercambian credenciales. Las credenciales pueden ser un certificado o una clave precompartida. Ambos extremos de puerta de enlace deben usar el mismo método de credenciales. Si un punto usa una clave precompartida, el otro punto también debe usar una y las claves deben coincidir. Si un punto usa un certificado, el otro también debe usar un certificado. 2. Los dispositivos se identifican uno al otro. Cada dispositivo ofrece un identificador de Fase 1, que puede ser una dirección IP, domain name, información de dominio o nombre de X500. La configuración de VPN en cada punto contiene un identificador de Fase 1 del dispositivo local y del remoto, y las configuraciones deben coincidir. 3. Los puntos deciden si usar el Modo Principal o Modo Agresivo.
410
Fireware XTM Web UI
Redes Privada Virtual (VPN)
Las negociaciones de Fase 1 pueden usar uno de los dos modos: Modo Principal o Modo Agresivo. El dispositivo que inicia las negociaciones IKE (el iniciador) envía una propuesta de Modo Principal o una propuesta de Modo Agresivo. El respondedor puede rechazar la propuesta caso no esté configurado para usar ese modo. Las comunicaciones de Modo Agresivo ocurren con menos intercambios de paquetes. El Modo Agresivo es menos seguro, pero más rápido que el Modo Principal. 4. Los puntos concuerdan respecto a los parámetros de Fase 1. n n n
Si usar NAT Traversal Si enviar mensajes de IKE keep-alive (soportado entre dispositivos WatchGuard solamente) Si usar la Dead Peer Detection (RFC 3706)
5. Los puntos concuerdan respecto a las configuraciones de Transformación de Fase 1. Las configuraciones de transformación incluyen un conjunto de parámetros de cifrado y autenticación, y el período máximo de tiempo para la SA de Fase 1. Las configuraciones en la transformación de Fase 1 deben coincidir exactamente con la transformación de Fase 1 en el punto IKE, sino las negociaciones de IKE fallan. Los ítemes que puede definir en la transformación son: n n n
n
Autenticación — El tipo de autenticación (SHA1 o MD5). Cifrado — El tipo de algoritmo de cifrado (DES, 3DES o AES). Duración de SA — El período de tiempo hasta que se caduque la Asociación de Seguridad (SA) de Fase 1. Grupo de clave — El grupo de clave Diffie-Hellman.
Negociaciones de Fase 2 Después que dos puntos de IPSec concluyen las negociaciones de Fase 1, empiezan las negociaciones de Fase 2. Las negociaciones de Fase 2 establecen la SA de Fase 2 (a veces denominada SA de IPSec). La SA de IPSec es un conjunto de especificaciones de tráfico que informan al dispositivo qué tráfico enviar por la VPN y cómo cifrarlo y autenticarlo. En las negociaciones de Fase 2, los dos puntos concuerdan en un conjunto de parámetros de comunicación. Cuando configura el túnel BOVPN en el Policy Manager o en el Fireware XTM Web UI, especifica los parámetros de Fase 2. Como los puntos usan la SA de Fase 1 para proteger las negociaciones de Fase 2, y define las configuraciones de SA de Fase 1 en las configuraciones de puerta de enlace de BOVPN, debe especificar la puerta de enlace que usar para cada túnel. Las negociaciones de Fase 2 incluyen estos pasos: 1. Los puntos usan la SA de Fase 1 para proteger las negociaciones de Fase 2. Las negociaciones de Fase 2 sólo pueden empezar después que se haya establecido la SA de Fase 1. 2. Los pares intercambian identificadores de Fase 2 (IDs). Los IDs de Fase 2 siempre son enviados como un par en una propuesta de Fase 2: uno indica cuáles direcciones IP detrás del dispositivo local pueden enviar tráfico por la VPN y el otro indica cuáles direcciones IP detrás del dispositivo remoto pueden enviar tráfico por la VPN. Eso también se conoce como una ruta de túnel. Puede especificar los IDs de Fase 2 para el punto local y remoto como una dirección IP de host, una dirección IP de red o un rango de direcciones IP.
Guía del Usuario
411
Redes Privada Virtual (VPN)
3. Los puntos concuerdan respecto al uso del Perfect Forward Secrecy (PFS). El PFS especifica cómo se derivan las claves de Fase 2. Cuando se selecciona el PFS, ambos pares IKE deben usar el PFS, sino la regeneración de claves de Fase 2 falla. El PFS garantiza que si una clave de cifrado usada para proteger la transmisión de datos está comprometida, un atacante puede acceder sólo a los datos protegidos por aquella clave, no por claves siguientes. Si los puntos concuerdan con usar el PFS, deben también concordar con el grupo de claves Diffie-Hellman que usar para el PFS. 4. Los puntos concuerdan con una propuesta de Fase 2. La propuesta de Fase 2 incluye las direcciones IP que pueden enviar tráfico por el túnel, y un grupo de parámetros de cifrado y autenticación. El Fireware XTM envía esos parámetros en una propuesta de Fase 2. La propuesta incluye el algoritmo que usar para autenticar datos, para cifrar datos y con qué frecuencia generar nuevas claves de cifrado de Fase 2. Los ítems que puede definir en una propuesta de Fase 2 incluyen: Tipo Para un BOVPN manual, puede seleccionar el tipo de protocolo que usar: Encabezado de autenticación (AH) o Carga de seguridad de encapsulación (ESP). El ESP ofrece autenticación y cifrado de los datos. El AH ofrece autenticación sin el cifrado. Recomendamos que seleccione ESP. La BOVPN administrada y el Mobile VPN with IPSec siempre usan ESP. Autenticación La autenticación asegura que la información recibida es exactamente la lista que la información enviada. Puede usar el SHA o MD5 como algoritmo que los puntos usan para autenticar mensajes IKE uno del otro. SHA1 es el más seguro. Cifrado El cifrado mantiene los datos confidenciales. Puede seleccionar el DES, 3DES o AES. El AES es el más seguro. Forzar Caducidad de Clave Para asegurarse de que las claves de cifrado de Fase 2 cambian periódicamente, siempre active la caducidad de clave. Cuanto más tiempo una clave de cifrado de Fase 2 esté en uso, más datos un atacante puede recoger para usar en un ataque contra la clave.
Configuraciones de Fase 1 y Fase 2 Se configura la Fase 1 y Fase 2 para cada VPN de IPSec configurada.
Branch Office VPN (BOVPN) Para una Branch Office VPN (BOVPN) (BOVPN), se configura la Fase 1 cuando define una puerta de enlace de Sucursal y configura la Fase 2 cuando define un túnel de Sucursal. Para más información acerca del la configuración de Fase 1 y Fase 2 de BOVPN, vea: n n
412
Definir puertas de enlace en la página 421 Definir un túnel en la página 431
Fireware XTM Web UI
Redes Privada Virtual (VPN)
Mobile VPN with IPSec En el caso del Mobile VPN con IPSec, se configura la Fase 1 y Fase 2 cuando agrega o edita una configuración de Mobile VPN con IPSec. Para más información, vea: n n
Configurar el Firebox para Mobile VPN with IPSec Modificar un perfil de grupo existente de Mobile VPN con IPSec
Usar un certificado para autenticación de túnel VPN de IPSec Cuando se crea un túnel IPSec, el protocolo de IPSec verifica la identidad de cada extremo o con una clave precompartida (PSK) o un certificado importado y almacenado en el Firebox. Se configura el método de autenticación de túnel en la configuración de Fase 1 de VPN. Para más información acerca de cómo usar un certificado para autenticación de túnel, vea: n n
Usar un certificado para autenticación del túnel BOVPN Use certificados autenticados para el túnel VPN Mobile con IPSec
Acerca de Mobile VPNs Una Mobile VPN permite que sus empleados trabajen a distancia y viajen y se conecten con seguridad a la red corporativa. El Fireware XTM soporta tres tipos de redes privadas virtuales de usuario remoto: Mobile VPN with IPSec, Mobile VPN with PPTP y Mobile VPN with SSL. Cuando una Mobile VPN, primero configura su Firebox y después configura los equipos de clientes remotos. El Policy Manager o el Fireware XTM Web UI son usados para configurar cada usuario o grupo de usuarios. Para la Mobile VPN with IPSec y Mobile VPN with SSL, se usa el Policy Manager o la interfaz de usuario web para crear un archivo de configuración de perfil de usuario final que incluya todas las configuraciones necesarias para conectarse al Firebox. También puede configurar sus políticas para permitir o negar tráfico desde clientes Mobile VPN. Los usuarios de Mobile VPN se autentican en la base de datos de usuario de Firebox o en un servidor de autenticación externo.
Seleccione una Mobile VPN El Fireware XTM soporta tres tipos de Mobile VPN. Cada tipo usa diferentes puertos, protocolos y algoritmos de cifrado. Mobile VPN with PPTP n n n n
PPTP (Protocolo de túnel punto a punto) — Protege el túnel entre dos extremos Puerto 1723 TCP — Establece el túnel Protocolo 47 IP — Cifra los datos Algoritmos de cifrado — 40 bits ó 128 bits
Mobile VPN with IPSec n n n
IPSec (Seguridad de protocolo de Internet) — Protege el túnel entre dos extremos Puerto 500 UDP (IKE) — Establece el túnel Puerto 4500 UDP (NAT Traversal) — Usado si el Firebox está configurado para NAT
Guía del Usuario
413
Redes Privada Virtual (VPN)
n n
Protocolo 50 IP (ESP) o Protocolo 51 IP (AH) — Cifra los datos Algoritmos de cifrado — DES, 3DES o AES (128, 192 ó 256 bits)
Mobile VPN with SSL n n n
SSL (Secure Sockets Layer) — Protege el túnel entre dos extremos Puerto 443 TCP o Puerto 443 UDP — Establece el túnel y cifra los datos Algoritmos de cifrado — Blowfish, DES, 3DES o AES (128, 192 ó 256 bits) Nota En el caso del Mobile VPN con SSL, puede elegir un puerto y protocolo diferentes. Para más informaciones, vea Elegir un puerto y protocolo para Mobile VPN with SSL en la página 550
El tipo de Mobile VPN que selecciona depende mucho de su infraestructura existente y sus preferencias de política de red. El Firebox puede administrar tres tipos de Mobile VPN simultáneamente. Un equipo cliente puede ser configurado para usar uno o más métodos. Algunos de los aspectos que considerar cuando seleccione qué tipo de Mobile VPN usar están descritos en las siguientes secciones.
Licencias y capacidad del túnel VPN Cuando selecciona un tipo de túnel, asegúrese de considerar el número de túneles que su dispositivo soporta y si puede adquirir una actualización para aumentar el número de túneles. Mobile VPN
Máximo de túneles VPN
Mobile VPN with PPTP
50 túneles n
Mobile VPN with IPSec
n
n
Mobile VPN with SSL
n
n
Los túneles máximos y básicos varía según el modelo del dispositivo WatchGuard. Es necesaria la compra de licencia para activar el número máximo de túneles. Los túneles máximos y básicos varían según el modelo del dispositivo WatchGuard. La actualización Pro para el Fireware XTM OS es necesaria para el máximo de túneles VPN de SSL. Para soportar más de un túnel VPN de SSL debe tener una actualización Pro.
Para el número máximo y básico de túneles soportados por Mobile VPN with IPSec y Mobile VPN with SSL, vea las especificaciones detalladas para su modelo de dispositivo WatchGuard.
Compatibilidad del servidor de autenticación Cuando selecciona una solución de Mobile VPN, asegúrese de elegir una solución que soporte el tipo de servidor de autenticación utilizado.
414
Fireware XTM Web UI
Redes Privada Virtual (VPN)
Mobile VPN
Firebox RADIUS Vasco/ RADIUS
Vasco Challenge Response
RSA Active LDAP SecurID Directory
Mobile VPN with PPTP
Sí
Sí
No
No
No
No
No
Mobile VPN with IPSec
Sí
Sí
Sí
N/A
Sí
Sí
Sí
Mobile VPN with SSL
Sí
Sí
Sí
N/A
Sí
Sí
Sí
Pasos de configuración del cliente y compatibilidad del sistema operativo Los pasos de configuración que el cliente debe seguir son diferentes para cada solución de Mobile VPN. Cada solución de VPN también es compatible con sistemas operativos diferentes. Mobile VPN with PPTP No instale el software cliente de VPN de WatchGuard. Debe configurar manualmente la configuración de red en cada equipo cliente para establecer una conexión de PPTP. Compatible con: Windows XP y Windows Vista. Mobile VPN with IPSec Debe instalar el cliente Mobile VPN con IPSec de WatchGuard y manualmente importar el perfil del usuario final. El cliente Mobile VPN con IPSec requiere más pasos para ser configurado que el cliente Mobile VPN con SSL. Compatible con: Windows XP SP2 (32 bits y 64 bits), Windows Vista (32 bits y 64 bits) y Windows 7 (32 bits y 64 bits). Mobile VPN with SSL Debe instalar el cliente Mobile VPN con SSL de WatchGuard y el archivo de configuración. Compatible con: Windows XP SP2 (32 bits solamente), Windows Vista (32 bits solamente), Windows 7 (32 bits y 64 bits), Mac OS X 10.6 Snow Leopard y Mac OS X 10.5 Leopard
Opciones de acceso a Internet para usuarios de Mobile VPN Para los tres tipos de Mobile VPN, tiene dos opciones de acceso a Internet para sus usuarios de Mobile VPN:
Guía del Usuario
415
Redes Privada Virtual (VPN)
Forzar todo el tráfico de cliente a través del túnel (VPN de ruta predeterminada) La opción más segura es requerir que todo el tráfico de Internet del usuario remoto sea enrutado a través del túnel VPN hacia el dispositivo WatchGuard. Después, el tráfico es enviado de vuelta a Internet. Con esa configuración (conocida como VPN de ruta predeterminada), el dispositivo WatchGuard puede examinar todo el tráfico y ofrecer mayor seguridad, aunque se use más potencia de procesamiento y ancho de banda. Al usar una VPN de ruta predeterminada con Mobile VPN para IPSec o Mobile VPN para PPTP, una política de NAT dinámica debe incluir el tráfico saliente de la red remota. Eso permite que los usuarios remotos naveguen en Internet cuando envían todo el tráfico al dispositivo WatchGuard. Permitir acceso directo a Internet (dividir VPN de túnel) Otra opción de configuración es activar el túnel dividido. Con esa opción, los usuarios pueden navegar en Internet, pero el tráfico de Internet no es enviado a través del túnel VPN. El túnel dividido mejora el desempeño de red, pero disminuye la seguridad debido a que las políticas creadas no son aplicadas al tráfico de Internet. Si usa el túnel dividido, recomendamos que cada equipo cliente tenga un firewall de software. Para más información específica para cada tipo de Mobile VPN, vea: n n n
Opciones de acceso a Internet a través de un túnel de Mobile VPN con IPSec Opciones de acceso a Internet a través de un túnel de Mobile VPN con PPTP Opciones de acceso a Internet a través de un túnel de Mobile VPN con SSL
Descripción de configuración de Mobile VPN Cuando configura una Mobile VPN, primero debe configurar el dispositivo WatchGuard y después los equipos clientes. Independientemente del tipo de Mobile VPN elegido, debe concluir los mismos cinco pasos de configuración. Los detalles para cada paso son diferentes según el tipo de VPN. 1. 2. 3. 4. 5.
Activar la Mobile VPN en el Policy Manager. Definir las configuraciones de VPN para el nuevo túnel. Seleccionar y configurar el método de autenticación para los usuarios de Mobile VPN. Definir políticas y recursos. Configurar los equipos clientes. n
n
En el caso del Mobile VPN con IPSec y Mobile VPN con SSL, instale el software cliente y el archivo de configuración. Para el Mobile VPN con PPTP, configure manualmente la conexión de PPTP en la configuración de red del equipo cliente.
Para más información y pasos detallados para configurar cada tipo de Mobile VPN, vea: n n n
416
Acerca del Mobile VPN con IPSec Acerca del Mobile VPN con PPTP Acerca del Mobile VPN con SSL
Fireware XTM Web UI
20
Túneles de BOVPN manuales
Lo que necesita para crear un BOVPN Antes de configurar una red Branch Office VPN (BOVPN) en su dispositivo WatchGuard, lea esos requisitos: n
n n
n
n
n
n
Debe tener dos dispositivos WatchGuard o un dispositivo WatchGuard y un segundo dispositivo que usa estándares IPSec. Debe activar la opción VPN en otro dispositivo si todavía no está activa. Debe tener una conexión de Internet. El ISP para cada dispositivo de VPN debe permitir el tráfico IPSec en sus redes. Algunos ISPs no permiten la creación de túneles VPN en sus redes excepto si actualiza su servicio de Internet para un nivel que soporte túneles VPN. Hable con un representante de cada ISP para asegurarse de que esos puertos y protocolos están permitidos: n Puerto UDP 500 (Intercambio de clave de red o IKE) n Puerto UDP 4500 (NAT Traversal) n Protocolo IP 50 (Carga de seguridad de encapsulación o ESP) Si en el otro extremo del túnel VPN hay un dispositivo WatchGuard y cada dispositivo es administrado, puede usar la opción Managed VPN. La Managed VPN es más fácil de configurar que la "Manual VPN". Para usar esa opción, debe obtener información junto al administrador del dispositivo WatchGuard en el otro extremo del túnel VPN. Debe saber si la dirección IP asignada a la interfaz externa de su dispositivo WatchGuard es estática o dinámica. Para obtener más información acerca de las direcciones IP, vea Acerca de las Direcciones IP en la página 3. Su modelo de dispositivo WatchGuard informa el número máximo de túneles VPN que puede crear. Si su modelo de Firebox puede ser actualizado, puede adquirir la actualización del modelo que aumente el número máximo de túneles VPN soportados. Si se conecta a dos redes Microsoft Windows NT, ambas deben estar en el mismo dominio de Microsoft Windows o deben ser dominios de confianza. Esa es una cuestión de Microsoft Networking, no una limitación de Firebox.
Guía del Usuario
417
Túneles de BOVPN manuales
n
n
n
Si desea usar los servidores DNS y WINS de la red en el otro extremo del túnel VPN, debe conocer las dirección IP de esos servidores. El Firebox puede dar direcciones IP de WINS y DNS a equipos en su red de confianza si éstos obtienen sus direcciones IP de Firebox con DHCP. Si desea dar a los equipos las direcciones IP de los servidores WINS y DNS en el otro extremo de la VPN, puede ingresarlas en las configuraciones de DHCP en la configuración de la red de confianza. Para más información acerca de cómo configurar el Firebox para distribuir las dirección IP con DHCP, vea Configurar el DHCP en modo de enrutamiento mixto en la página 86. Debe conocer la dirección de red de las redes privadas (de confianza) detrás de su Firebox y de la red detrás del otro dispositivo de VPN, así como de sus máscaras de subred. Nota Las direcciones IP privadas de los equipos detrás de su Firebox no pueden ser las mismas que las direcciones IP de los equipos en el otro extremo del túnel VPN. Si su red de confianza usa las mismas direcciones IP que la oficina hacia la cual se establecerá un túnel VPN, entonces su red o la otra red debe cambiar los ajustes de dirección IP para evitar conflictos de dirección IP.
Acerca de túneles BOVPN manuales Una VPN (Red Privada Virtual) establece conexiones seguras entre equipos y redes en diferentes ubicaciones. Cada conexión es conocida como un túnel. Cuando se crea un túnel VPN, las dos extremidades del túnel autentican una a la otra. Los datos en el túnel son cifrados. Sólo el remitente y el destinatario del tráfico pueden leerlos. Las Redes Privadas Virtuales de Sucursal (BOVPN, en las siglas en inglés) permiten a las organizaciones ofrecer conectividad segura y cifrada entre oficinas separadas geográficamente. Las redes y hosts en un túnel BOVPN pueden ser sedes corporativas, sucursales, usuarios remotos o trabajadores a distancia. Esas comunicaciones suelen contener tipos de datos críticos intercambiados dentro de un firewall corporativo. En ese panorama, una BOVPN ofrece conexiones confidenciales entre esas oficinas. Eso optimiza la comunicación, reduce el costo de líneas exclusivas y mantiene la seguridad en cada extremidad. Manual Los Túneles BOVPN son creados con el Fireware XTM Web UI, ofreciendo diversas opciones adicionales de túneles. Otro tipo de túnel es un túnel BOVPN administrado, que es un túnel BOVPN que se crea en el WatchGuard System Manager con el procedimiento de arrastrar y soltar, un asistente y el uso de plantillas. Para más información acerca de ese tipo de túnel, vea el Guía del Usuario o el sistema de ayuda online de WatchGuard System Manager.
Lo que necesita para crear un VPN Además de los requisitos de VPN, debe tener esa información para crear un túnel Manual VPN: n
n
n
418
Debe saber si la dirección IP asignada al otro dispositivo VPN es estática o dinámica. Si el otro dispositivo VPN tiene una dirección IP dinámica, su Firebox debe encontrar el otro dispositivo por el domain name y el otro dispositivo debe usar DNS Dinámico. Se debe conocer la clave compartida (frase de contraseña) del túnel. La misma clave compartida debe ser usada por cada dispositivo. Se debe conocer el método de cifrado usado en el túnel (D 3DESES, 3DES, AES 128 bits, AES 192 bits o AES 256 bits). Los dos dispositivos de VPN deben usar el mismo método de cifrado.
Fireware XTM Web UI
Túneles de BOVPN manuales
n
Se debe conocer el método de autenticación de cada extremo del túnel (MD5 o SHA-1). Los dos dispositivos de VPN deben usar el mismo método de autenticación.
Para más informaciones, vea Lo que necesita para crear un BOVPN en la página 417. Recomendamos que tome nota de su configuración de Firebox y la información relacionada para el otro dispositivo. Vea Muestra cuadro de información de dirección de VPN en la página 420 para registrar esa información.
Cómo crear un túnel BOVPN manual El procedimiento básico para crear un túnel manual requiere estos pasos: 1. Definir puertasde enlace—puntos de conexión tantoen laextremidad localcomo enla remotadel túnel. 2. Establezca túneles entre los extremos de puertas de enlace— configure rutas para el túnel, especifique cómo los dispositivos controlan la seguridad y cree una política para el túnel. Algunas otras opciones pueden ser usadas para los túneles BOVPN están descritas en las secciones abajo.
Túneles de una dirección Configurar NAT dinámica saliente a través de un túnel BOVPN si desea mantener el túnel VPN abierto sólo en una dirección. Eso puede ser útil cuando establece un túnel para un sitio remoto donde todo el tráfico de VPN viene desde una dirección IP pública.
Failover de VPN Los túneles VPN automáticamente hacen la conmutación por error para la interfaz WAN de resguardo durante la conmutación por error de WAN. Puede configurar túneles BOVPN para hacer conmutación por error a un extremo de punto de resguardo si el extremo principal deja de estar disponible. Para hacer eso, debe definir al menos un extremo de resguardo, tal como se describe en Configurar Failover de VPN en la página 456.
Configuraciones de VPN Global Las configuraciones de VPN Global en su Firebox se aplican a todos los túneles BOVPN, túneles administrados y túneles de Mobile VPN. Puede usar esas configuraciones para: n n n n
Activar puerto de transferencia IPSec Limpiar o mantener las configuraciones de paquetes con conjunto de bits de Tipo de Servicio (TOS) Usar un servidor de LDAP para verificar los certificados Hacer que el Firebox envíe una notificación cuando un túnel BOVPN esté inactivo (sólo túneles BOVPN).
Para cambiar esas configuraciones, en el Fireware XTM Web UI, seleccione VPN > Configuraciones Globales. Para más informaciones acerca de esas configuraciones, vea Acerca de las configuraciones de VPN Global en la página 438.
Guía del Usuario
419
Túneles de BOVPN manuales
Estado del túnel BOVPN Para ver el estado actual de los túneles BOVPN. En el Fireware XTM Web UI, seleccione Estado del sistema > Estadísticas de VPN. Para más informaciones, vea Estadísticas de VPN en la página 382.
Regenerar clave de túneles BOVPN Puede usar el Fireware Web UI para generar nuevas claves inmediatamente para los túneles BOVPN en vez de esperar que caduquen. Para más informaciones, vea Regenerar clave de túneles BOVPN en la página 458.
Muestra cuadro de información de dirección de VPN Asignado Elemento
Descripción por La dirección IP que identifica el dispositivo compatible con IPSec en la Internet. ISP ISP
Dirección IP externa
Ejemplo:
ISP ISP
Sitio A: 207.168.55.2 Sitio B: 68.130.44.15 Dirección usada para identificar una red local. Esas son las direcciones IP de los equipos en cada extremo que están autorizados a enviar tráfico a través del túnel VPN. Recomendamos que use una dirección de uno de los rangos reservados: 10.0.0.0/8—255.0.0.0 172.16.0.0/12—255.240.0.0 Dirección de red local
192.168.0.0/16—255.255.0.0 Usted Los números después de las barras diagonales indican las máscaras de subred. /24 significa que la Subnet Mask para la red de confianza es 255.255.255.0. Para más información acerca de la notación diagonal, vea Acerca de las Notación diagonal en la página 3. Ejemplo: Sitio A: 192.168.111.0/24 Sitio B: 192.168.222.0/24
420
Fireware XTM Web UI
Túneles de BOVPN manuales
Asignado Elemento
Descripción por La clave compartida es una frase de contraseña usada por dos dispositivos compatibles con IPSec para cifrar y descifrar los datos que pasan por el túnel VPN. Los dos dispositivos usan la misma frase de contraseña. Si los dispositivos no tienen la misma frase de contraseña, no pueden encriptar o descifrar los datos correctamente.
Clave compartida
Use una frase de contraseña que contenga números, símbolos, letras en minúsculas y mayúsculas para mejor seguridad. Por ejemplo, "Gu4c4mo!3" es mejor que "guacamole".
Usted
Ejemplo: Sitio A: OurSharedSecret Sitio B: OurSharedSecret
Método de cifrado
DES usa cifrado de 56 bits. 3DES usa cifrado de 168 bits. El cifrado AES está disponible en 128, 192 y 256 bits. AES de 256 bits es el cifrado más seguro. Los dos dispositivos deben usar el mismo método de cifrado.
Usted
Ejemplo: Sitio A: 3DES; Sitio B: 3DES Los dos dispositivos deben usar el mismo método de autenticación. Autenticación
Ejemplo:
Usted
Sitio A: MD5 (o SHA-1) Sitio B: MD5 (o SHA-1)
Definir puertas de enlace Un puerta de enlace es un punto de conexión para uno o más túneles. Para crear un túnel, debe configurar puertas de enlace tanto en el dispositivo extremo local como en el remoto. Para configurar esas puertas de enlace, debe especificar: n
n
Método de credencial - claves precompartidas o un Firebox Certificate IPSec. Para más información acerca de cómo usar certificados para autenticación BOVPN, vea Usar un certificado para autenticación del túnel BOVPN en la página 400. Ubicación de los extremos de la puerta de enlace remota y local, sea por dirección IP o por información de dominio.
Guía del Usuario
421
Túneles de BOVPN manuales
n
Las configuraciones la Fase 1 de la negociación de Intercambio de Claves de Internet (IKE). Esa fase define la asociación de seguridad o protocolos y configuraciones que los extremos de la puerta de enlace usarán para comunicarse, para proteger datos que son transmitidos en la negociación.
1. En el Fireware XTM Web UI, seleccione VPN> VPN de Sucursal. Aparece la página de configuración de VPN de Sucursal, con la lista de Puertas de Enlace en el topo.
2. Para agregar una puerta de enlace, haga clic en Agregar al lado de la lista Puertas de enlace. Aparece la página de configuraciones Puerta de enlace.
422
Fireware XTM Web UI
Túneles de BOVPN manuales
3. En el cuadro de texto Nombre de la puerta de enlace, ingrese un nombre para identificar la puerta de enlace para este Firebox. 4. En lapágina Puerta de enlace, seleccione o Usar clave precompartida o Usar Firebox Certificate de IPSec para identificar el procedimiento de autenticación utilizado por ese túnel. Si seleccionó Usar clave precompartida ingrese o pegue la clave compartida. Debe usar la misma clave compartida en el dispositivo remoto. Esa clave compartida debe usar sólo caracteres ASCII estándares. Si seleccionó Usar Firebox Certificate de IPSec La tabla abajo del botón de radio muestra los certificados actuales en el Firebox. Seleccione el certificado que usar para la puerta de enlace. Para más informaciones, vea Usar un certificado para autenticación del túnel BOVPN en la página 400. Ahora puede Definir extremos de puerta de enlace.
Guía del Usuario
423
Túneles de BOVPN manuales
Definir extremos de puerta de enlace Los extremos de puerta de enlace son puertas de enlace locales y remotas conectadas por una BOVPN. Esa información explica a su dispositivo WatchGuard cómo identificar y comunicarse con el dispositivo del extremo remoto cuando negocia la BOVPN. También dice al dispositivo WatchGuard cómo identificarse al extremo remoto al negociar la BOVPN. Cualquier interfaz externa puede ser un gateway endpoint. Si tiene más de una interfaz externa, puede configurar múltiples puertas de enlace para Configurar Failover de VPN.
Puerta de enlace local En la sección Puerta de Enlace local, configure el ID de la puerta de enlace y la interfaz a la cual la BOVPN se conecta en su dispositivo WatchGuard. Para el ID de la puerta de enlace, si tiene una dirección IP estática, puede seleccionar Por dirección IP. Use Por información de dominio si tiene un dominio que envía a la dirección IP la BOVPN que se conecte a su dispositivo WatchGuard. 1. En la sección Extremos de la puerta de enlace del cuadro de diálogo Puerta de enlace página, haga clic en Agregar. Aparece el cuadro de diálogo Configuraciones de extremos de la nueva puerta de enlace.
424
Fireware XTM Web UI
Túneles de BOVPN manuales
2. Especifique el ID de la puerta de enlace. n
n n
n
Por dirección IP - Seleccione el botón de radio Por dirección IP. Ingrese la dirección IP de la dirección IP de la interfaz de Firebox . Por domain name - Ingrese su domain name. Por ID de usuario en dominio - Ingrese el nombre de usuario y dominio con el formatoNombreUsuario@NombreDominio . Por nombre x500-Ingrese el nombre x500.
3. En la lista desplegable Interfaz externa, seleccione la interfaz en el Firebox con la dirección IP o dominio que elige para el ID de puerta de enlace.
Puerta de enlace remota En el área de Puerta de enlace remota, configure el ID y la dirección IP de la puerta de enlace para el dispositivo del extremo remoto al que la BOVPN se conecta. La dirección IP de la puerta de enlace puede ser o una dirección IP estática o una dirección IP dinámica. El ID de la puerta de enlace puede ser Por domain name, por ID de usuario en dominio, o Por nombre x500. El administrador del dispositivo de puerta de enlace remota puede determinar cuál usar. 1. Seleccione la dirección IP de la puerta de enlace remota. n
n
Dirección IP estática - Seleccione esta opción si el dispositivo remoto tiene una dirección IP estática. Para dirección IP, ingrese la dirección IP o selecciónela en la lista desplegable. Dirección IP dinámica - Seleccione esta opción si el dispositivo remoto tiene una dirección IP dinámica.
2. Seleccione el ID de la puerta de enlace. n n n n
Por dirección IP - Seleccione el botón de radio Por dirección IP. Ingrese la dirección IP. Por domain name - Ingrese el domain name. Por ID de usuario en dominio - Ingrese el ID de usuario y dominio. Por nombre x500-Ingrese el nombre x500. Nota Si el extremo de la VPN remota usa DHCP o PPPoE para obtener su dirección IP externa, defina el tipo de ID de la puerta de enlace remota en Nombre del dominio. Defina el campo del nombre del punto en domain name totalmente cualificado del extremo de la VPN remota. El Firebox usa la dirección IP y el domain name para encontrar el extremo del VPN. Asegúrese de que el servidor DNS usado por Firebox pueda identificar el nombre.
Haga clic en Aceptar para cerrar el cuadro de diálogo Configuraciones de extremos de la nueva puerta de enlace. El Puerta de enlace página . Aparece el par de la puerta de enlace definido en la lista de extremos de la puerta de enlace. Vaya a Configurar modo y transformaciones (Configuraciones de la Fase 1) para configurar la Fase 1 para esa puerta de enlace.
Guía del Usuario
425
Túneles de BOVPN manuales
Configurar modo y transformaciones (Configuraciones de la Fase 1) La Fase 1 del establecimiento de conexión IPSec es donde los dos puntos forman un canal autenticado y seguro que pueden usar para comunicarse. Eso es conocido como Asociación de Seguridad (SA) ISAKMP Un intercambio de Fase 1 puede usar o el Modo Principal o el Modo Agresivo. El modo determina el tipo y el número de intercambios de mensajes realizados durante esa fase. Una transformación es un conjunto de protocolos de seguridad y algoritmos usados para proteger los datos de VPN. Durante la negociación IKE, los puntos hacen un acuerdo para usar determinada transformación. Se puede definir un túnel para que ofrezca un punto más de un conjunto de transformación para negociación. Para más informaciones, vea Agregar una transformación de Fase 1 en la página 428. 1. En de la página Puerta de enlace, seleccione la pestaña Configuraciones de Fase 1.
426
Fireware XTM Web UI
Túneles de BOVPN manuales
2. En la lista desplegable Modo, seleccione Principal, Agresivo o Recurso de emergencia principal. Modo principal Ese modo es un modo seguro y utiliza tres intercambios de mensajes separados para un total de seis mensajes. Los dos primeros mensajes negocian la política, los dos siguientes intercambian datos de Diffie-Hellman y los últimos dos autentican el intercambio DiffieHellman. El Modo Principal soporta grupos Diffie-Hellman 1, 2 y 5. Ese modo también le permite usar transformaciones múltiples, tal como se describe en Agregar una transformación de Fase 1 en la página 428. Modo Agresivo Ese modo es más rápido porque usa sólo tres mensajes, que intercambian Acerca de los grupos Diffie-Hellman datos e identifican los dos extremos de la VPN. La identificación de los extremos de la VPN hace el Modo Agresivo menos seguro. Recurso de emergencia principal hacia modo agresivo El Firebox intenta el intercambio con el Modo Principal. Si falla la negociación, utiliza el Modo Agresivo. 3. Si desea crear un túnel BOVPN entre el Firebox y otro dispositivo que esté detrás de un dispositivo NAT, seleccione la casilla de verificación NAT Traversal. NAT Traversal o Encapsulación de UDP permite que el tráfico llegue a los destinos correctos. 4. Para que el Firebox envíe mensajes a su par de IKE para mantener el túnel VPN abierto, seleccione la casilla de verificación IKE keep-alive. Para determinar el Intervalo de mensajes, ingrese el número de segundos o use el control de valores para seleccionar el número de segundos que desea. Nota El IKE keep-alive sólo es utilizado por los dispositivos WatchGuard. No actívelo si el extremo remoto es un dispositivo IPSec de terceros. 5. Para definir un número máximo de veces que el Firebox intenta enviar un mensaje de IKE keepalive antes de intentar negociar la Fase 1 nuevamente, inserte el número deseado en el cuadro Máx. Fallas. 6. Use la casilla de verificación Dead Peer Detection para activar o desactivar la Dead Peer Detection basada en tráfico. Cuando se activa la detección de punto puerto, Firebox se conecta a un punto sólo si no se recibe el tráfico del punto por un período determinado de tiempo y si se está esperando que un paquete sea enviado al punto. Ese método es más escalable que los mensajes de IKE keepalive. Si desea cambiar los valores predeterminados de Firebox, ingrese el período de tiempo (en segundos) en el campo tiempo de espera inactivo de tráfico antes que el Firebox intente conectarse al punto. En el campo Máx. de reintentos, ingrese el número de veces que Firebox debería intentar conectarse antes que el punto sea considerado inactivo. La Dead Peer Detection es un estándar usado por la mayoría de los dispositivos IPSec. Recomendamos que seleccione la Dead Peer Detection si ambos dispositivos extremos lo soportan.
Guía del Usuario
427
Túneles de BOVPN manuales
Nota Si configura un failover de VPN, debe activar la Dead Peer Detection. Para más información acerca del failover de VPN, vea Configurar Failover de VPN en la página 456 7. El Firebox contiene un conjunto de transformaciones que aparece en la lista Configuración de transformaciones. Esa transformación especifica la autenticación de SHA-1, el cifrado de 3DES y el Grupo 2 de Diffie-Hellman. Se puede: n Usar este conjunto de transformaciones predeterminadas. n Remover ese conjunto de transformaciones y reemplazarlo por uno nuevo. n Agregar una transformación adicional, tal como se explica en Agregar una transformación de Fase 1 en la página 428.
Agregar una transformación de Fase 1 Se puede definir un túnel para ofrecer a un punto más de un conjunto de transformación para negociación. Por ejemplo, un conjunto de transformaciones puede incluir SHA1-DES-DF1 ([método de autenticación][método de cifrado]-[grupo de claves]) y una segunda transformación puede incluir MD5-3DES-DF2, con las transformaciones SHA1-DES-DF1 definidas como el conjunto de prioridad más alta. Cuando se crea un túnel, Firebox puede usar SHA1-DES-DF1 o MD5-3DES-DF2 para que coincida con el conjunto de transformaciones del otro extremo de la VPN. Puede incluir un máximo de nuevo conjuntos de transformaciones. Debe especificar el Modo Principal en las configuraciones de Fase 1 para usar transformaciones múltiples. 1. En la pestaña Configuraciones de Fase 1 de la página Puerta de enlace, encuentre el cuadro Configuraciones de transformaciones en la parte inferior del cuadro de diálogo. Haga clic en Agregar. Aparece el cuadro de diálogo Configuraciones de transformación.
2. En la lista desplegable Autenticación, seleccione SHA1 o MD5 como tipo de autenticación. 3. En la lista desplegable Cifrado , seleccione AES (128 bits), AES (192 bits), AES (256 bits), DES, o 3DES como tipo de cifrado. 4. Para cambiar la duración de SA (asociación de seguridad), ingrese un número en el campo Duración de SA y seleccione Hora o Minuto en la lista desplegable al lado.
428
Fireware XTM Web UI
Túneles de BOVPN manuales
5. En la lista desplegable Grupo de Claves, seleccione el grupo Diffie-Hellman que desea. El Fireware XTM soporta grupos 1, 2 y 5. Los grupos Diffie-Hellman determinan la fuerza de la clave maestra usada en el proceso de intercambio de claves. Cuanto más alto el número del grupo, más fuerte la seguridad pero se requiere más tiempo para hacer las claves. Para más informaciones, vea Acerca de los grupos DiffieHellman en la página 429. 6. Se puede agregar hasta nueve conjuntos de transformaciones. Se puede seleccionar una transformación y hacer clic en Arriba o Abajo para cambiar su prioridad. El conjunto de transformaciones en la parte superior de la lista es usado primero. 7. Haga clic en OK.
Acerca de los grupos Diffie-Hellman Los grupos Diffie-Hellman (DH) determinan la fuerza de la clave usada en el proceso de intercambio de claves. Los miembros de grupos más altos son más seguros, pero se necesita más tiempo para computar la clave. Los dispositivos WatchGuard soportan grupos Diffie-Hellman 1, 2 y 5: n n n
Grupo DH 1: Grupo de 768 bits Grupo DH 2: Grupo de 1024 bits Grupo DH 5: Grupo de 1536 bits
Ambos puntos en un intercambio de VPN deben usar el mismo grupo DH, que es negociado durante la Fase 1 del proceso de negociación de IPSec. Cuando define un túnel BOVPN manual, se especifica el grupo Diffie-Hellman como parte de la Fase 1 de la creación de una conexión IPSec. Es ahí donde los dos puntos forman un canal seguro y autenticado que pueden usar para comunicar.
Los grupos DH y Perfect Forward Secrecy (PFS) Además de la Fase 2, también se puede especificar el grupo Diffie-Hellman en la Fase 2 de una conexión IPSec. La configuración de Fase 2 incluye las configuraciones para una asociación de seguridad (SA), o cómo los paquetes de datos son protegidos cuando pasan entre dos extremos. Se especifica el grupo DiffieHellman en la Fase 2 sólo cuando selecciona el Perfect Forward Secrecy (PFS). PFS vuelve las claves más seguras porque las nuevas claves no están hechas de las claves anteriores. Si una clave está comprometida, las claves de la nueva sesión aún estarán seguras. Cuando especifica un PFS durante la Fase 2, ocurre un intercambio Diffie-Hellman cada vez que una nueva SA es negociada. El grupo DH que elige para Fase 2 no necesita coincidir con el grupo que elige para la Fase 1.
Cómo elegir un grupo Diffie-Hellman El grupo DH predeterminado tanto para Fase 1 como para Fase 2 es el grupo Diffie-Hellman 1. Ese grupo ofrece seguridad básica y buen desempeño. Si la velocidad para la inicialización del túnel y la regeneración de clave no es una preocupación, use el Grupo 2 o Grupo 5. La velocidad real inicialización y de regeneración de clave dependen de diversos factores. Puede querer intentar el Grupo DH 2 o 5 y luego decidir si el tiempo de desempeño más lento es un problema para su red. Si el desempeño no es aceptable, cambie por un grupo DH inferior.
Guía del Usuario
429
Túneles de BOVPN manuales
Análisis de desempeño La siguiente tabla muestra el resultado de una aplicación de software que genera 2000 valores DiffieHellman. Esos números son para un CPU Pentium 4 Intel 1.7GHz. Grupo DH
Nº de pares de claves
Tiempo necesario
Tiempo por par de clave
Grupo 1
2000
43 seg
21 ms
Grupo 2
2000
84 seg
42 ms
Grupo 5
2000
246 seg
123 ms
Editar y eliminar puertas de enlace Para cambiar la definición de una puerta de enlace 1. Seleccione VPN > BOVPN. 2. Seleccione la puerta de enlace y haga clic en Editar. Aparece la página de configuraciones de Puerta de enlace.
3. Realice los cambios y haga clic en Guardar. Para eliminar una puerta de enlace, seleccione la puerta de enlace y haga clic en Remover.
Desactivar inicio automático de túnel Los túneles BOVPN son automáticamente creados cada vez que se inicia el dispositivo WatchGuard. Puede querer cambiar ese comportamiento predeterminado. Una razón común para cambiarlo sería si el extremo remoto usa un dispositivo de terceros que debe iniciar el túnel en vez del extremo local. Para desactivar el inicio automático para túneles que usan una puerta de enlace 1. En el Fireware XTM Web UI, seleccione VPN> VPN de Sucursal. Aparece la página Configuración de VPN de Sucursal.
2. Seleccione la puerta de enlace y haga clic en Editar. Aparece la página Puerta de enlace.
3. Limpie la casilla de verificación Iniciar túnel de Fase 1 cuando Firebox se inicia en la parte inferior de la página.
Si su Firebox está detrás de un dispositivo que hace NAT El Firebox puede usar NAT Traversal. Eso significa que puede establecer túneles VPN si su ISP hace NAT (siglas en inglés para Traducción de Dirección de Red) o si la interfaz externa de su Firebox está conectada a un dispositivo que hace NAT. Recomendamos que la interfaz externa de Firebox tenga una dirección IP pública. Si eso no es posible, siga las instrucciones abajo.
430
Fireware XTM Web UI
Túneles de BOVPN manuales
Los dispositivos que no hacen NAT suelen tener algunas funciones básicas de firewall. Para establecer un túnel VPN hacia su Firebox cuando el Firebox está instalado detrás de un dispositivo que hace NAT, el dispositivo NAT debe dejar que pase el tráfico. Esos puertos y protocolos deben estar abiertos en el dispositivo NAT: n n n
Puerto UDP 500 (IKE) Puerto UDP 4500 (NAT Traversal) Protocolo IP 50 (ESP)
Vea la documentación de su dispositivo NAT para obtener información acerca de cómo abrir esos puertos y protocolos en el dispositivo NAT. Si la interfaz externa de su Firebox tiene una dirección IP privada, no puede usar una dirección IP como tipo de ID local en las configuraciones de Fase 1. n
n
Si el dispositivo NAT al cual Firebox está conectado tiene una dirección IP pública dinámica: n Primero, defina el dispositivo en modo puente. Para más informaciones, vea Modo Bridge en la página 94. En modo puente, el Firebox obtiene la dirección IP pública en su interfaz externa. Consulte la documentación para su dispositivo NAT para más información. n Configure el DNS Dinámico en el Firebox. Para informaciones, vea Página Acerca de Servicio DNS dinámico en la página 88. En las configuraciones de Fase 1 del Manual VPN, defina el tipo de ID local en Domain Name. Ingrese el domain name de DynDNS como el ID local. El dispositivo remoto debe identificar su Firebox por domain name y debe usar el domain name DynDNS asociado a su Firebox en su configuración de Fase 1. Si el dispositivo NAT al cual Firebox está conectado tiene una dirección IP pública estática: n En las configuraciones de Fase 1 de la Manual VPN, defina en la lista desplegable el tipo de ID local en Domain Name. Ingrese la dirección IP pública asignada a la interfaz externa del dispositivo NAT como ID local. El dispositivo remoto debe identificar su Firebox por domain name y debe usar la misma dirección IP pública como domain name en su configuración de Fase 1.
Establezca túneles entre los extremos de puertas de enlace Después de definir los extremos de la puerta de enlace, puede establecer túneles entre ellos. Para establecer un túnel, debe: n n
Definir un túnel Configuraciones de Fase 2 para la negociación de Intercambio de Claves de Internet (IKE). Esa fase define las asociaciones de seguridad para el cifrado de paquetes de datos.
Definir un túnel 1. En el Fireware XTM Web UI, seleccione VPN> VPN para Sucursales. Aparece la página VPN de Sucursal.
Guía del Usuario
431
Túneles de BOVPN manuales
2. Haga clic en Agregar al lado de la lista Túneles. Aparece el nuevo cuadro de diálogo Nuevo Túnel.
432
Fireware XTM Web UI
Túneles de BOVPN manuales
3. En el cuadro Nombre del túnel, ingrese un nombre para el túnel. Asegúrese de que no haya nombres idénticos de túneles, de grupo de Mobile VPN y de interfaz. 4. En la lista Puerta de enlace, seleccione la puerta de enlace a ser usada por este túnel. 5. Si desea agregar el túnel a las políticas BOVPN-Allow.in y BOVPN-Allow.out, seleccione la casilla Agregar este túnel a las políticas BOVPN-Allow. Esas políticas permiten todo el tráfico que coincida con las rutas del túnel. Si desea restringir el tráfico a través del túnel, limpie esa casilla y crear políticas personalizadas para tipos de tráfico que desea autorizar que pase a través del túnel Ahora puede Agregar rutas para un túnel, Configuraciones de Fase 2o Activar enrutamiento de multidifusión a través de un túnel BOVPN.
Editar y eliminar un túnel Para alterar un túnel, seleccione VPN> Túneles para Sucursales seleccione VPN > BOVPN. 1. Seleccione el túnel y haga clic en Editar. Aparece la página "Túnel".
2. Realice las alteraciones y haga clic en Guardar. Para eliminar un túnel de la página BOVPN, seleccione el túnel y haga clic en Remover.
Guía del Usuario
433
Túneles de BOVPN manuales
Agregar rutas para un túnel 1. En la pestaña Direcciones del cuadro de diálogo Túnel, haga clic en Agregar. Aparece el cuadro de diálogo Configuraciones de Ruta de Túnel.
2. En la sección IP local, seleccione el tipo de dirección local en la lista desplegable Elegir tipo. Después, ingrese el valor en el cuadro de texto abajo. Puede ingresar una dirección IP de host, dirección de red, un rango de direcciones IP de host o nombre DNS. 3. En la sección IP remoto, seleccione el tipo de dirección remota en la lista desplegable Elegir tipo. Después, ingrese el valor en el cuadro de texto abajo. Puede ingresar una dirección IP de host, dirección de red, un rango de direcciones IP de host o nombre DNS. 4. En la lista desplegable Dirección, seleccione la dirección del túnel. La dirección del túnel determina cuál extremo del túnel VPN puede iniciar una conexión VPN a través del túnel. 5. Se puede usar la pestaña NAT para activar la 1-to-1 NAT y NAT dinámica para el túnel si los tipos de dirección y el sentido del túnel seleccionado son compatibles. Para más informaciones, vea Configurar NAT dinámica saliente a través de un túnel BOVPN y Usar 1-to-1 NAT a través de un túnel BOVPN en la página 440. 6. Haga clic en OK.
Configuraciones de Fase 2 Las configuraciones de Fase 2 incluyen los ajustes para una asociación de seguridad (SA), que define cómo los paquetes de datos son protegidos cuando pasan entre dos extremos. La SA mantiene toda la información necesaria para que Firebox sepa qué debería hacer con el tráfico entre los extremos. Los parámetros en SA pueden incluir:
434
Fireware XTM Web UI
Túneles de BOVPN manuales
n n n
n n
Los algoritmos de cifrado y autenticación utilizados. Duración de SA (en segundos o número de bytes, o ambos). La dirección IP del dispositivo para el cual se establece la SA (el dispositivo que maneja el cifrado y descifrado de IPSec en el otro lado de la VPN, no el PC por detrás que envía o recibe el tráfico). Las direcciones IP de origen y de destino del tráfico al cual la SA se aplica. Dirección del tráfico a la cual se aplica la SA (hay una SA para cada dirección de tráfico, entrante y saliente).
1. En la página Túnel, haga clic en la pestaña Configuraciones de Fase 2.
2. Seleccione la casilla PFS si desea activar el Perfect Forward Secrecy (PFS). Si activa el PFS, seleccione el grupo Diffie-Hellman. El Perfect Forward Secrecy ofrece más protección a las claves creadas en una sesión. Las claves hechas con PFS no son hechas a partir de una clave anterior. Si una clave anterior está comprometida después de una sesión, las claves de su nueva sesión quedan protegidas. Para más informaciones, vea Acerca de los grupos Diffie-Hellman en la página 429. 3. El Firebox contiene una propuesta predeterminada que aparece en la lista Propuestas de IPSec. Esa propuesta especifica el método de protección de datos de ESP, cifrado AES y autenticación SHA1. Puede: n Hacer clic en Agregar para agregar una propuesta predeterminada. n Seleccione una propuesta diferente en la lista desplegable y haga clic en Agregar. n Agregar una propuesta adicional, tal como se explica en Agregar una Propuesta de Fase 2 en la página 436.
Guía del Usuario
435
Túneles de BOVPN manuales
Si planea usar la función de puerto de transferencia IPSec, debe usar una propuesta con ESP (Carga de seguridad de encapsulación) como método de propuesta. El puerto de transferencia IPSec soporta ESP, pero no AH. Para más información acerca del puerto de transferencia IPSec, vea Acerca de las configuraciones de VPN Global en la página 438.
Agregar una Propuesta de Fase 2 Se puede definir un túnel para ofrecer a un punto más de una propuesta para Fase 3 de IKE. Por ejemplo, se puede especificar ESP-3DES-SHA1 en un propuesta y ESP-DES-MD5 en la segunda propuesta. Cuando el tráfico pasa por el túnel, la asociación de seguridad puede usar o el ESP-3DES-SHA1 o el ESP-DES-MD5 para que coincida con las configuraciones de transformación en el punto. Se puede incluir un máximo de nueve propuestas. Para agregar una nueva propuesta, haga clic en la pestaña Configuraciones de Fase 2 en el página Túnel .
Agregar una propuesta existente Se puede elegir entre seis propuestas preconfiguradas. Los nombres siguen el formato -. Para las seis, "Forzar caducidad de clave" está configurado en 8 horas ó 128.000 kilobytes. Para usar una de las seis propuestas preconfiguradas: 1. En la página Túneles en la sección Propuestas IPSec, seleccione la propuesta que desea añadir. 2. Haga clic en Agregar.
Crear una nueva propuesta 1. En el Fireware XTM Web UI, seleccione VPN> VPN para Sucursales. En la sección Propuestas de Fase 2, haga clic en Agregar. Aparece la página "Propuesta de Fase 2".
436
Fireware XTM Web UI
Túneles de BOVPN manuales
2. En el campo Nombre, ingrese un nombre para la nueva propuesta. En el cuadro de texto Descripción, ingrese una descripción que identifique esa propuesta (opcional). 3. En la lista desplegable Tipo, seleccione ESP o AH, como método de propuesta. Recomendamos que use el ESP (Carga de seguridad de encapsulación). Las diferencias entre ESP y AH (Encabezado de autenticación) son: n n
n
El ESP es una autenticación con cifrado. El AH es sólo una autenticación. La autenticación de ESP no incluye la protección del encabezado de IP, mientras que el AH sí lo incluye. El puerto de transferencia IPSec soporta ESP, pero no AH. Si planea usar la función de puerto de transferencia de IPSec, debe especificar el ESP como el método de propuesta. Para más información acerca del puerto de transferencia IPSec, vea Acerca de las configuraciones de VPN Global en la página 438.
4. En la lista desplegable Autenticación, seleccione SHA1, MD5 o Ninguno como el método de autenticación. 5. (Si seleccionó ESP en la lista desplegable Tipo) En la lista desplegable Cifrado, seleccione el método de cifrado. Las opciones son DES, 3DES y AES de 128, 192 o 256 bits, que aparecen en la lista en orden del más simple y menos seguro al más complejo y más seguro. 6. Para que los extremos de la puerta de enlace generen e intercambien nuevas claves después que pase un período de tiempo o cantidad de tráfico determinado, seleccione la casilla Forzar caducidad de clave En los campos abajo, ingrese un período de tiempo y un número de bytes después de los cuales una clave caduca. Si "Forzar caducidad de clave" está desactivado, o si está activado y la hora y el número de kilobytes
Guía del Usuario
437
Túneles de BOVPN manuales
están puestos en cero, el Firebox intenta usar la hora del caducidad de la clave definida para el punto. Si ésta también está desactivada o en cero, Firebox usa una hora predeterminada de caducidad de clave de 8 horas. El tiempo máximo antes de forzar la caducidad de clave es de un año. 7. Haga clic en Guardar.
Editar una propuesta Sólo las propuestas definidas por usuario pueden ser editadas. 1. En el Fireware XTM Web UI, seleccione VPN> BOVPN. 2. En la sección Propuestas de Fase 2, seleccione una propuesta y haga clic en Editar. 3. Altere los campos tal como se describe en la sección Crear nueva propuesta de este tópico.
Cambiar el orden de túneles El orden de los túneles VPN es especialmente importante cuando más de un túnel usa las mismas rutas o cuando las rutas se solapan. Un túnel en posición superior en la lista de túneles en el cuadro de diálogo Túneles IPSec para Sucursales tiene precedencia sobre el túnel de abajo, cuando el tráfico hace coincidir las rutas de múltiples túneles. Se puede cambiar el orden en el cual Firebox intenta las conexiones: 1. En el Fireware XTM Web UI, seleccione VPN> VPN para Sucursales. Aparece la página de configuración de BOVPN.
2. Seleccione un túnel y haga clic en Subir o Bajar para ir hacia arriba o abajo en la lista.
Acerca de las configuraciones de VPN Global Puede seleccionar configuraciones que se aplican a túneles BOVPN manuales, túneles BOVPN administrados y túneles de Mobile VPN con IPSec. 1. En el Fireware XTM Web UI, seleccione VPN > Configuraciones globales. Aparece la página Configuraciones globales de VPN.
438
Fireware XTM Web UI
Túneles de BOVPN manuales
2. Analice las configuraciones explicadas abajo para sus túneles VPN.
Activar puerto de transferencia IPSec Para que un usuario haga conexiones de IPSec a un Firebox detrás de un Firebox diferente, debe mantener la casilla de verificación Activar puerto de transferencia IPSec seleccionada. Por ejemplo, si los empleados móviles están en el local del cliente que tiene un Firebox, pueden usar el IPSec para hacer conexiones IPSec hacia su red. Para que el Firebox local permita correctamente la conexión de salida de IPSec, también debe agregar una política de IPSec al Policy Manager. Cuando crea una propuesta de Fase 2 y planea usar la función de puerto de transferencia IPSec, debe especificar el ESP (Carga de seguridad de encapsulación) como método de propuesta. El puerto de transferencia IPSec soporta IPSec, pero no AH (Encabezado de autenticación). Para informaciones acerca de cómo crear una propuesta de Fase 2, vea Agregar una Propuesta de Fase 2 en la página 436. Cuando activa el puerto de transferencia de IPSec, se agrega automáticamente una política llamada WatchGuard IPSec al Policy Manager. La política permite el tráfico desde cualquier red de confianza u opcional hacia cualquier destino. Cuando desactiva el puerto de transferencia de IPSec, la política WatchGuard IPSec es automáticamente eliminada.
Activar TOS para IPSec El Tipo de Servicio (TOS) es un conjunto de señaladores de cuatro bits en el encabezado del IP que puede solicitar a los dispositivos de enrutamiento que den más o menos prioridad a un datagrama de IP que a otros. El Fireware le da la opción de permitir que los túneles IPSec limpien o mantengan las configuraciones en paquetes que tengan señaladores TOS. Algunos ISPs desechan todos los paquetes que tengan señaladores TOS. Si no seleccionar la casilla de verificación Activar TOS para IPSec, todos os paquetes IPSec no tienen los señaladores TOS. Si los señaladores TOS fueron definidos anteriormente, ellos son removidos cuando Fireware encapsula el paquete en un encabezado IPSec.
Guía del Usuario
439
Túneles de BOVPN manuales
Cuando está seleccionada la casilla de verificación Activar TOS para IPSec y el paquete original tiene señaladores TOS y el Fireware los mantiene cuando encapsula el paquete en un encabezado IPSec. Si el paquete original no tiene señaladores TOS definidos, Fireware no define el indicador TOS cuando encapsula el paquete en un encabezado IPSec. Analice la configuración de esta casilla de verificación si desea aplicar un marcado QoS al tráfico de IPSec. El marcado QoS puede cambiar la configuración del señalador TOS. Para más informaciones sobre el marcado QoS, vea Acerca de las Marcado QoS en la página 327.
Activar servidor LDAP para verificación de certificado Al crear una puerta de enlace VPN, se especifica un método de credenciales para ser usado por los dos extremos de la VPN cuando se crea el túnel. Si elige usar un Firebox Certificate de IPSec, puede identificar un servidor de LDAP que valide el certificado. Ingrese la dirección IP para el servidor de LDAP. También puede especificar un puerto si desea usar uno diferente del 389. Esa configuración no se aplica a los túneles de Mobile VPN con IPSec.
Usar 1-to-1 NAT a través de un túnel BOVPN Cuando crea un túnel VPN de sucursal entre dos redes que usan el mismo rango de direcciones IP privadas, ocurre un conflicto de direcciones IP. Para crear un túnel sin ese conflicto, ambas redes deben aplicar la 1to-1 NAT a la VPN. La 1-to-1 NAT hace que las direcciones IP en sus equipos parezcan ser diferentes de las verdaderas direcciones IP cuando el tráfico pasa por la VPN. La 1-to-1 NAT asigna una o más direcciones IP en un rango a un segundo rango de dirección IP del mismo tamaño. Cada dirección IP en el primer rango asigna a una dirección IP en el segundo rango. En este documento, llamamos al primer rango de direcciones IP reales y al segundo rango direcciones IP enmascaradas. Para más informaciones acerca de 1-to-1 NAT, vea Acerca de las 1-to-1 NAT en la página 142.
1-to-1 NAT y VPNs Cuando usa 1-to-1 NAT a través de un túnel BOVPN: n
n
Cuando un equipo en su red envía tráfico a un equipo en la red remota, el Firebox cambia la dirección IP de origen del tráfico para una dirección IP en el rango de IPs enmascaradas. La red remota ve las direcciones IP enmascaras como el origen del tráfico. Cuando un equipo en la red remota envía tráfico a un equipo en su red a través de VPN, la oficina remota envía el tráfico al rango de dirección de IP enmascarada. El Firebox cambia la dirección IP de destino a la dirección correcta en el rango de dirección IP real y después envía el tráfico al destino correcto.
La 1-to-1 NAT por una VPN sólo afecta el tráfico que pasa por esa VPN. Las reglas que ve en Fireware XTM Web UIRed >NAT no afectan al tráfico que pasa por una VPN.
440
Fireware XTM Web UI
Túneles de BOVPN manuales
Otras razones por las cuales usar una 1-to-1 NAT por una VPN Además de la situación anterior, también podría usar una 1-to-1 NAT por una VPN si la red a la cual desea establecer un túnel VPN ya tiene una VPN a una red que usa las mismas direcciones IP privadas usadas en su red. Un dispositivo IPSec no puede enrutar tráfico a dos redes remotas diferentes cuando dos redes usan las mismas direcciones IP privadas. Se usa 1-to-1 NAT por VPN para que los equipos en su red parezcan tener direcciones IP diferentes (enmascaradas). No obstante, al contrario de la situación descrita al principio de este tópico, necesita usar el NAT sólo en su lado de la VPN y no en ambos extremos. Una situación similar se da cuando dos oficinas remotas usan las mismas direcciones IP privadas y ambas desean hacer una VPN hacia su Firebox. En ese caso, una de las oficinas remotas debe usar NAT por la VPN hacia su Firebox para solucionar el conflicto de direcciones IP.
Alternativa al uso de NAT Si su oficina usa un rango de direcciones IP privadas común, tal como 192.168.0.x ó 192.168.1.x, es muy probable que tendrá problema de conflictos con direcciones IP en el futuro. Esos rangos de direcciones IP suelen ser usados por enrutadores de banda ancha u otros dispositivos electrónicos en pequeñas oficinas o en casa. Debería considerar la posibilidad de cambiar hacia un rango de direcciones IP privadas menos común, tal como 10.x.x.x ó 172.16.x.x.
Cómo configurar la VPN 1. Seleccione un rango de direcciones IP que sus equipos muestren como direcciones IP de origen cuando el tráfico viene desde su red y va hacia la red remota a través de la BOVPN. Consulte el administrador de red acerca de la otra red para seleccionar un rango de direcciones IP que no esté en uso. No use ninguna dirección IP de: n n n n n n
La red de confianza, opcional o externa conectada a su Firebox Una secondary network conectada a la interfaz externa, opcional o de confianza de su Firebox Una red enrutada configurada en su política Firebox (Red > Rutas) Redes a las cuales ya tiene un túnel BOVPN Grupos de direcciones IP virtuales de Mobile VPN Redes que pueden ser alcanzadas por el dispositivo IPSec a través de sus interfaces, rutas de red o rutas de VPN
2. Definir puertas de enlace para los dispositivos Firebox local y remoto. 3. Establezca túneles entre los extremos de puertas de enlace. En el cuadro de diálogo Configuraciones de Ruta de Túnel para cada Firebox, seleccione la casilla de verificación 1-to-1 NAT e ingrese su rango de direcciones IP enmascaradas en el cuadro de texto al lado. El número de direcciones IP en el cuadro de texto debe ser exactamente el mismo que el número de direcciones IP en el cuadro de texto Local en el topo del cuadro de diálogo. Por ejemplo, si usa la notación diagonal para indicar un subred, el valor después de la barra diagonal debe ser igual en ambos cuadros de texto. Para más informaciones, vea Acerca de las Notación diagonal en la página 3. No es necesario definir nada en las configuraciones Red> NAT en el Fireware XTM Web UI. Esas configuraciones no afectan el tráfico de VPN.
Guía del Usuario
441
Túneles de BOVPN manuales
Ejemplo Supongamos que dos empresas, Sitio A y Sitio B, desean hacer una VPN de Sucursal entre sus redes de confianza. Ambas empresas usan un Firebox con Fireware XTM. Ambas empresas usan las mismas direcciones IP para sus redes de confianza, 192.168.1.0/24. El Firebox de cada empresa usa una 1-to-1 NAT a través de la VPN. El Sitio A envía tráfico al rango enmascarado del Sitio B y el tráfico sale de la subred local del Sitio A. Además, el Sitio B envía tráfico al rango enmascarado que el Sitio A utiliza. Esa solución resuelve el conflicto de direcciones IP en ambas redes. Las dos empresas aceptan que: n
n
El Sitio A hace que su red de confianza parezca venir del rango 192.168.100.0/24 cuando el tráfico pasa por la VPN. Ese es el rango de direcciones IP enmascaradas de Sitio B para esa VPN. El Sitio B hace que su red de confianza parezca venir del rango 192.168.200.0/24 cuando el tráfico pasa por la VPN. Ese es el rango de direcciones IP enmascaradas de Sitio B para esa VPN.
Definir una puerta de enlace de Sucursal en cada Firebox El primer paso es crear una puerta de enlace que identifique el dispositivo IPSec remoto. Cuando crea una puerta de enlace, ella aparece en la lista de puertas de enlace en Fireware XTM Web UI. Para ver a lista de puertas de enlace en el Fireware XTM Web UI, seleccione VPN> VPN de Sucursal.
Configurar el túnel local 1. En el Fireware XTM Web UI, seleccione VPN> VPN de Sucursal. Aparece la página VPN de Sucursal.
2. En la sección Túnel de la página BOVPN, haga clic en Agregar. Aparece la página de configuraciones Túnel.
442
Fireware XTM Web UI
Túneles de BOVPN manuales
3. Dar un nombre descriptivo al túnel. El ejemplo usa "TúnelPara_SitioB". 4. En la lista desplegable Puerta de enlace, seleccione la puerta de enlace que señala el dispositivo IPSec de la oficina remota. El ejemplo usa la puerta de enlace denominada "SitioB". 5. Examinar la pestaña Configuraciones de Fase 2. Asegúrese de que las configuraciones de Fase 2 coincidan con las que la oficina remota usa para Fase 2. 6. Haga clic en la pestaña Direcciones y haga clic en Agregar para agregar el par local-remota. Aparece el cuadro de diálogo Configuraciones de Ruta de Túnel.
Guía del Usuario
443
Túneles de BOVPN manuales
7. En la sección IP local , seleccione IP de red en la lista desplegable Elegir tipo. En IP de red , ingrese el rango de direcciones IP reales de los equipos locales que usan ese VPN. Este ejemplo usa 192.168.1.0/24. 8. En la sección Remoto, seleccione IP de red en la lista desplegable Elegir tipo. En el cuadro de texto IP de red ingrese el rango de direcciones IP privadas a las cuales los equipos locales envían tráfico. En este ejemplo, el Sitio B de oficina remota usa 1-to-1 NAT por su VPN. Eso hace que los equipos del Sitio B parezcan venir del rango enmascarado del Sitio B, 192.168.200.0/24. Los equipos locales en Sitio A envían tráfico al rango de dirección IP enmascarado del Sitio B. Si la red remota no usa NAT por su VPN, ingrese el rango de direcciones IP reales en el cuadro de texto Remoto. 9. Haga clic en la pestaña NAT. Seleccione la casilla de verificación 1-to-1 NAT e ingrese el rango de direcciones IP enmascaradas para esa oficina. Ese es el rango de direcciones IP que los equipos protegidos por ese Firebox muestran como dirección IP de origen, cuando el tráfico viene de ese Firebox y va hacia el otro extremo de la VPN. La casilla de verificación 1-to-1 NAT queda activada después que inserta una dirección IP de host válida, una dirección IP de red válida o un rango de direcciones IP de host válido en el cuadro de texto Local en la pestaña Direcciones.) El Sitio A usa 192.168.100.0/24 para su rango de direcciones IP enmascaradas.
444
Fireware XTM Web UI
Túneles de BOVPN manuales
10. Haga clic en OK. El Firebox agrega un nuevo túnel a las políticas BOVPN-Allow.out y BOVPN-Allow.in. 11. Guardar el archivo de configuración. Si necesita una 1-to-1 NAT en su extremo de la VPN solamente, puede parar aquí. El dispositivo en el otro extremo de la VPN debe configurar su VPN para aceptar tráfico desde su rango enmascarado.
Configurar el túnel remoto 1. Siga los pasos 1 - 6 en el procedimiento anterior para agregar el túnel en el Firebox remoto. Asegúrese de hacer que las configuraciones de Fase 2 coincidan. 2. En la sección IP local , seleccione IP de red en la lista desplegable Elegir tipo. En el cuadro de texto IP de red , , ingrese el rango de direcciones IP reales de los equipos locales que usan esa VPN. Este ejemplo usa 192.168.1.0/24. 3. En la sección IP local , seleccione IP de red en la lista desplegable Elegir tipo. En el cuadro de texto IP de red, ingrese el rango de direcciones IP privadas a las cuales los equipos remotos envían tráfico. En nuestro ejemplo, el Sitio A hace una 1-to-1 NAT a través de esa VPN. Eso hace que los equipos en Sitio A parezcan venir de su rango enmascarado, 192.168.100.0/24. Los equipos locales en Sitio B envían tráfico al rango de dirección IP enmascarado del Sitio A.
Guía del Usuario
445
Túneles de BOVPN manuales
4. Haga clic en la pestaña NAT. Seleccione la casilla de verificación 1-to-1 NAT e ingrese el rango de direcciones IP enmascaradas de ese sitio. Ese es el rango de direcciones IP que los equipos de ese Firebox muestran como dirección IP de origen, cuando el tráfico viene de ese Firebox y va al otro extremo del VPN. El Sitio B usa 192.168.200.0/24 para su rango de direcciones IP enmascaradas.
5. Haga clic en OK. El Firebox agrega un nuevo túnel a las políticas BOVPN-Allow.out y BOVPN-Allow.in.
446
Fireware XTM Web UI
Túneles de BOVPN manuales
Definir una ruta para todo el tráfico hacia Internet Cuando permite que los usuarios remotos accedan a Internet a través de un túnel VPN, la configuración más segura es requerir que todo el tráfico de Internet sea enrutado a través de un túnel VPN hacia el Firebox. Desde el Firebox, el tráfico luego es enviado de vuelta a Internet. Con esa configuración (conocida como ruta de concentrador o VPN de ruta predeterminada), el Firebox puede examinar todo el tráfico y ofrecer mayor seguridad, aunque se use más potencia de procesamiento y ancho de banda en el Firebox. Al usar una VPN de ruta predeterminada, una política de NAT dinámica debe incluir el tráfico saliente de la red remota. Eso permite que usuarios remotos naveguen en Internet cuando envían todo el tráfico hacia el Firebox. Cuando defina una ruta predeterminada a través de un túnel BOVPN, se deben hacer tres cosas: n
n
n
Configurar una BOVPN en el Firebox remoto (cuyo tráfico desea enviar a través del túnel) para enviar todo el tráfico desde su propia dirección de red hacia 0.0.0.0/0. Configurar una BOVPN en el Firebox central para permitir que el tráfico pase por él hacia el Firebox remoto. Agregar una ruta en el Firebox central desde 0.0.0.0/0 hacia la dirección de red del Firebox remoto.
Antes de empezar los procedimientos en este tópico, ya se debe haber creado una Branch Office VPN (BOVPN) manual entre los Fireboxes central y remoto. Para más información acerca de cómo hacer eso, vea Acerca de túneles BOVPN manuales en la página 418.
Configurar el túnel BOVPN en el Firebox remoto 1. Inicie sesión en el Web UI para el Firebox remoto. 2. Seleccione VPN >Branch Office VPN (BOVPN). Encuentre el nombre del túnel hacia el Firebox central y haga clic en Editar. Aparece la página "Túnel".
3. Haga clic en Agregar. Aparece el cuadro de diálogo Configuraciones de Ruta de Túnel.
Guía del Usuario
447
Túneles de BOVPN manuales
4. En IP local, en el cuadro de texto IP del host, ingrese la dirección de red de confianza del Firebox remoto. 5. En IP remoto, seleccione IP de red en la lista desplegable Elegir tipo. En el cuadro de texto IP de host, ingrese 0.0.0.0/0 y haga clic en Aceptar. 6. Seleccione cualquier otro túnel hacia el Firebox central y haga clic en Remover. 7. Haga clic en Guardar para guardar el cambio de configuración.
Configurar el túnel BOVPN en el Firebox central 1. Inicie sesión en el Web UI para el Firebox central. 2. Seleccione VPN >Branch Office VPN (BOVPN). Encuentre el nombre del túnel hacia el Firebox remoto y haga clic en Editar. Aparece la página "Túnel".
3. Haga clic en Agregar. Aparece el cuadro de diálogo Configuraciones de Ruta de Túnel.
4. Haga clic en el botón al lado de la lista desplegable Local. Seleccione IP de red en la lista desplegable Elegir tipo. Ingresar 0.0.0.0/0 para Valor y haga clic en Aceptar. En IP local, seleccione IP de red en la lista desplegable Elegir tipo. En el cuadro de texto IP de host , ingrese 0.0.0.0/0. 5. En el cuadro Remoto, ingrese la dirección de red de confianza del Firebox remoto y haga clic en AceptarEn IP remoto, ingrese la dirección de red de confianza del Firebox remoto y haga clic en Aceptar 6. Seleccione cualquier otro túnel hacia el Firebox remoto y haga clic en Remover. 7. Haga clic en Aceptar y Guardar el archivo de configuración. Haga clic en Guardar para guardar el cambio de configuración.
448
Fireware XTM Web UI
Túneles de BOVPN manuales
Agregar una entrada de NAT dinámica en el Firebox central Para permitir que un equipo con dirección IP privada acceda a Internet a través del Firebox, se debe configurar el Firebox central para que use NAT dinámica. Con la NAT dinámica, el Firebox reemplaza la dirección IP privada incluida en un paquete enviado desde un PC protegido por Firebox con la dirección IP pública del propio Firebox. Por defecto, la NAT dinámica está habilitada y activa para tres direcciones de red privada aprobadas por RFC: 192.168.0.0/16 - Cualquiera-Externa 172.16.0.0/12 - Cualquiera-Externa 10.0.0.0/8 - Cualquiera-Externa Cuando configura una ruta predeterminada a través de un túnel Branch Office VPN (BOVPN) hacia otro Firebox, debe agregar una entrada de NAT dinámica para la subred detrás del Firebox remoto si sus direcciones IP no se encuentran dentro de uno de los tres rangos de red privada. 1. En el Fireware XTM Web UI, seleccione Red> NAT. Aparece la página NAT.
Guía del Usuario
449
Túneles de BOVPN manuales
2. En la sección NAT Dinámica de la página NAT, haga clic en Agregar. Aparece la página de configuración de NAT Dinámica.
3. 4. 5. 6.
En la sección De, seleccione IP de red en la lista desplegableTipo de miembro. Inserte la dirección IP de red de la red detrás del Firebox remoto. En la sección Para, seleccione Cualquiera-externo en la segunda lista desplegable. Haga clic en Guardar.
Activar enrutamiento de multidifusión a través de un túnel BOVPN Puede activar un enrutamiento de multidifusión a través de un túnel BOVPN para suportar streams de multidifusión de una dirección entre las redes protegidas por los dispositivos WatchGuard. Por ejemplo, puede usar un enrutamiento de multidifusión a través de un túnel BOVPN para reproducir medios por stream de un servidor de video por demanda (VOD) a los usuarios en la red en el otro extremo de un túnel Branch Office VPN (BOVPN). Advertencia El enrutamiento de multidifusión a través de un túnel BOVPN sólo es soportado entre dispositivos WatchGuard. Cuando activa el enrutamiento de multidifusión a través de un túnel BOVPN, el túnel envía el tráfico de multidifusión desde una única dirección IP en un lado del túnel a una dirección IP de grupo de multidifusión. Se configura la multidifusión en el túnel para enviar el tráfico de multidifusión a esa dirección IP de grupo de multidifusión a través del túnel. Debe configurar la multidifusión en cada Firebox de modo diferente. Debe configurar el túnel en un Firebox para enviar el tráfico de multidifusión a través del túnel y hacer las configuraciones del túnel en el otro Firebox para recibir el tráfico de multidifusión. Puede configurar sólo una dirección IP de origen por túnel.
450
Fireware XTM Web UI
Túneles de BOVPN manuales
Al activar el enrutamiento de multidifusión a través de un túnel BOVPN, el dispositivo WatchGuard crea un túnel GRE dentro del túnel VPN de IPSec entre las redes. El Firebox envía el tráfico de multidifusión a través del túnel GRE. El túnel GRE requiere una dirección IP no utilizada en cada extremo del túnel. Debe configurar direcciones IP auxiliares para cada extremo del túnel BOVPN.
Activar un dispositivo WatchGuard para enviar tráfico de multidifusión a través de un túnel En el Firebox desde el cual se envía el tráfico de multidifusión, edite la configuración de túnel para activar el dispositivo para que envíe tráfico de multidifusión a través del túnel BOVPN. 1. En el Fireware XTM Web UI, seleccione VPN> VPN de Sucursal. 2. Seleccione un túnel y haga clic en Editar. 3. De la página Túnel, haga clic en la pestaña Configuraciones de multidifusión.
4. Seleccione la casilla de verificación Activar enrutamiento de multidifusión a través del túnel 5. En el cuadro de texto IP de origen , ingrese la dirección IP del originador de tráfico. 6. En el cuadro de texto IP de grupo , ingrese la dirección IP de multidifusión para recibir el tráfico.
Guía del Usuario
451
Túneles de BOVPN manuales
7. Seleccione el botón de radio Activar dispositivo para enviar tráfico de multidifusión. 8. En la lista desplegable Interfaz de entrada, seleccione la interfaz desde la cual se origina el tráfico de multidifusión. 9. Haga clic en la pestaña Direcciones. Aparecen las configuraciones Extremos de túnel de difusión/multidifusión en la parte inferior de la pestaña Direcciones.
10. En la sección Direcciones auxiliares , ingrese las direcciones IP para cada extremo del túnel de multidifusión. El Firebox usa esas direcciones como extremos de túnel GRE de difusión/multidifusión dentro del túnel BOVPN de IPSec. Puede definir el IP local y el IP remoto en cualquier dirección IP no utilizada. Recomendamos que use direcciones IP que no sean usadas en ninguna red conocida por Firebox. n n
452
En el campo IP local, ingrese una dirección IP para ser usada por el extremo local del túnel. En el campo IP remoto, ingrese una dirección IP para ser usada por el extremo remoto del túnel.
Fireware XTM Web UI
Túneles de BOVPN manuales
Active el otro dispositivo WatchGuard para recibir tráfico de multidifusión a través de un túnel En el Firebox en la red en la cual desea recibir el tráfico de multidifusión, configure la multidifusión para activar el dispositivo para que reciba tráfico de multidifusión a través del túnel. 1. En el Fireware XTM Web UI, seleccione VPN> VPN para Sucursales. 2. 3. 4. 5. 6. 7. 8. 9.
Seleccione un túnel y haga clic en Editar. De la página Túnel, haga clic en la pestaña Configuraciones de multidifusión. Seleccione la casilla de verificación Activar enrutamiento de multidifusión a través del túnel En el campo IP de origen , ingrese la dirección IP del originador de tráfico. En el campo IP de grupo, ingrese la dirección IP de multidifusión para recibir el tráfico. Seleccione el botón de radio Activar dispositivo para recibir tráfico de multidifusión. Use las casillas de verificación para seleccionar cuáles interfaces reciben el tráfico de multidifusión. Haga clic en la pestaña Direcciones. Aparecen las configuraciones Extremos de túnel de difusión/multidifusión en la parte inferior de la pestaña Direcciones.
10. En la sección Direcciones auxiliares, ingrese las direcciones IP opuestas insertadas en la configuración del otro extremo del túnel. n
n
En el campo IP local, ingrese la dirección IP que insertó en el campo IP remoto para el Firebox en el otro extremo del túnel. En el campo IP remoto, ingrese la dirección IP que insertó en el campo IP Local para el Firebox en el otro extremo del túnel.
Activar el enrutamiento de difusión a través de un túnel BOVPN Nota El enrutamiento de difusión a través de un túnel BOVPN sólo es soportado entre dispositivos WatchGuard. Puede configurar su Firebox para que soporte enrutamiento de difusión limitado a través de un túnel Branch Office VPN (BOVPN). Cuando activa el enrutamiento de difusión, el túnel soporta la difusión para direcciones IP de difusión limitada, 255.255.255.255. El tráfico de difusión de subred no es enrutado por el túnel. El enrutamiento de difusión soporta la difusión sólo de una red a otra a través de un túnel BOVPN. El enrutamiento de difusión a través de un túnel BOVPN no soporta estos tipos de difusión: n n n
Difusión de Protocolo DHCP/Bootstrap (bootp) Difusión de NetBIOS Difusión de Bloqueo de Mensajes del Servidor (SMB)
Para un ejemplo que muestre cuáles difusiones pueden ser enrutadas a través de un túnel BOVPN, vea Ejemplo: Enrutamiento de difusión a través de un túnel BOVPN.
Guía del Usuario
453
Túneles de BOVPN manuales
Algunas aplicaciones de software requieren la posibilidad de hacer la difusión hacia otros dispositivos de red para que funcionen. Si los dispositivos que necesitan comunicarse de esa forman están en redes conectadas por un túnel BOVPN, puede activar el enrutamiento de difusión a través del túnel para que la aplicación pueda encontrar dispositivos en la red en el otro extremo del túnel. Al activar el enrutamiento de difusión a través de un túnel BOVPN, el dispositivo WatchGuard crea un túnel GRE dentro del túnel VPN de IPSec entre las redes. El Firebox envía el tráfico de difusión a través del túnel GRE. El túnel GRE requiere una dirección IP no utilizada en cada extremo del túnel. Por lo tanto, debe configurar direcciones IP auxiliares para cada extremo del túnel BOVPN.
Activar el enrutamiento de difusión para el Firebox local 1. En el Fireware XTM Web UI, seleccione VPN> VPN de Sucursal. 2. Seleccione un túnel y haga clic en Editar. 3. De la página Túnel, seleccione la ruta de túnel y haga clic en Editar. Aparece el cuadro de diálogo Configuraciones de Ruta de Túnel.
4. Haga clic en la casilla de verificación Activar enrutamiento de difusión por el túnel. Haga clic en OK. Vuelva al cuadro de diálogo página Túnel. Aparecen Direcciones auxiliares en la parte inferior de la pestaña Direcciones.
454
Fireware XTM Web UI
Túneles de BOVPN manuales
5. En la sección Direcciones auxiliares, ingrese las direcciones IP para cada extremo del túnel de difusión. El Firebox usa esas direcciones como extremos de túnel GRE de difusión/multidifusión dentro del túnel BOVPN de IPSec. Puede definir el IP local y el IP remoto en cualquier dirección IP no utilizada. Recomendamos que use direcciones IP que no sean usadas en ninguna red conocida por Firebox. n n
En el campo IP local, ingrese una dirección IP para ser usada por el extremo local del túnel. En el campo IP remoto, ingrese una dirección IP para ser usada por el extremo remoto del túnel.
Configurar enrutamiento de difusión para el Firebox en el otro extremo del túnel 1. Repita los pasos 1-4 arriba para activar el enrutamiento de difusión para el Firebox en el otro extremo del túnel. 2. En la sección Direcciones auxiliares, ingrese las direcciones opuestas insertadas en la configuración del otro extremo del túnel. n
En el campo IP local, ingrese la dirección IP que insertó en el campo IP remoto para el Firebox en el otro extremo del túnel.
Guía del Usuario
455
Túneles de BOVPN manuales
n
En el campo IP remoto, ingrese la dirección IP que insertó en el campo IP Local para el Firebox en el otro extremo del túnel.
Configurar Failover de VPN La conmutación por error (failover) es una función importante de redes que necesitan alta disponibilidad. Cuando tiene una conmutación por error de WAN múltiple configurada, los túneles VPN automáticamente hacen la conmutación por error hacia una interfaz externa de resguardo, caso ocurra una falla. Puede configurar túneles VPN para hacer conmutación por error a un extremo de resguardo si el extremo principal queda no disponible. Ocurre un failover de VPN cuando se da uno de esos dos eventos: n
n
Un enlace físico está inactivo. El Firebox monitorea el estado de la puerta de enlace de la VPN y los dispositivos identificados en la configuración del monitor de enlace de WAN múltiple. Si en enlace físico está inactivo, ocurre un failover de VPN. El Firebox detecta el par de VPN que no esté activo.
Cuando ocurre una conmutación por error, si el túnel usa el IKE keep-alive, éste continúa a enviar los paquetes activos de Fase 1 al punto. Cuando obtiene una respuesta, IKE desencadena la failback hacia la puerta de enlace de la VPN principal. Si el túnel usa Dead Peer Detection, la failback ocurre cuando se recibe una respuesta de una puerta de enlace de la VPN principal. Cuando ocurre un evento de conmutación por error, gran parte de las conexiones nuevas y existentes hacen la conmutación por error automáticamente. Por ejemplo, si inicia un comando "PUT" de FTP y la ruta de la VPN principal queda inactiva, la conexión de FTP continua en la ruta de la VPN de resguardo. No se ha perdido la conexión, pero hay demora. Observe que sólo puede ocurrir un failover de VPN si: n n
n
n
Los dispositivos Firebox en cada extremo del túnel tienen el Fireware v11.0 o posterior instalado. La conmutación por error de WAN múltiples está configurada, tal como se describe en Acerca de usar múltiples interfaces externas en la página 119. Las interfaces de su Firebox figuran como pares de puerta de enlace en el Firebox remoto. Si ya configuró la conmutación por error de WAN múltiples, sus túneles VPN automáticamente harán la conmutación por error hacia la interfaz de resguardo. Si la puerta de enlace está activada en las configuraciones de Fase 1 para la puerta de enlace de sucursal en cada extremo del túnel.
El failover de VPN no ocurre para los túneles BOVPN con NAT dinámica habilitada como parte de su configuración de túnel. Para los túneles BOVPN que no usan NAT, el failover de VPN ocurre y la sesión de BOVPN continua. Con los túneles de Mobile VPN, la sesión no continúa. Debe autenticar su cliente de Mobile VPN nuevamente para hacer un nuevo túnel de Mobile VPN.
Definir múltiples pares de puertas de enlace Para configurar túneles BOVPN manualmente para que hagan la conmutación por error hacia un extremo de resguardo, se debe definir más de un conjunto de extremos local y remoto (pares de puertas de enlace) para cada puerta de enlace. Para la funcionalidad completa de conmutación por error para una configuración de VPN, debe definir pares de puerta de enlace para cada combinación de interfaces
456
Fireware XTM Web UI
Túneles de BOVPN manuales
externas en cada lado del túnel. Por ejemplo, suponga que su extremo local principal sea 23.23.1.1/24 con un resguardo en 23.23.2.2/24. Su extremo remoto principal es el 50.50.1.1/24 con un resguardo en 50.50.2.1/24. Para un failover completo de VPN, necesitaría definir esos cuatro pares de puertas de enlace: 23.23.1.1 - 50.50.1.1 23.23.1.1 - 50.50.2.1 23.23.2.1 - 50.50.1.1 23.23.2.1 - 50.50.2.1 1. Seleccione VPN >VPN para sucursales . Haga clic en Agregar al lado de la listaPuertas de enlace para agregar una nueva puerta de enlace. Asigne un nombre a la puerta de enlace y defina el método de credenciales, tal como se describe en Definir puertas de enlace en la página 421. 2. En la sección Extremos de la Puerta de enlace la página de configuraciones Puerta de enlace., haga clic en Agregar. El Aparece el cuadro de diálogo "Configuraciones de extremos de puerta de enlace".
3. Especifique la ubicación de las puertas de enlace local y remota. Seleccione el nombre de la interfaz externa que coincida con la dirección IP o domain name de puerta de enlace local que agregue. Se puede agregar tanto una dirección IP como un ID de puerta de enlace para la puerta de enlace Guía del Usuario
457
Túneles de BOVPN manuales
remota. Eso puede ser necesario si la puerta de enlace remota está detrás de un dispositivo NAT y requiera más información para autenticarse en la red detrás del dispositivo NAT. 4. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuraciones de extremos de la nueva puerta de enlace. El Aparece el cuadro de diálogo "Puerta de enlace". Aparece el par de la puerta de enlace definido en la lista de extremos de la puerta de enlace.
5. Repita ese procedimiento para definir pares adicionales de puertas de enlace. Se puede agregar hasta nueve pares de puertas de enlace. Puede seleccionar un par y hacer clic en Subir o Bajar para cambiar el orden en el cual Firebox intenta establecer conexiones. 6. Haga clic en Guardar.
Vea Estadísticas de VPN Puede usar el Fireware XTM Web UI para monitorear el tráfico de la VPN de Firebox y solucionar los problemas de configuración de la VPN. 1. Seleccione Estado del sistema> Estadísticas deVPN. Aparece la página "Estadísticas de VPN".
2. Para forzar el túnel BOVPN a regenerar una clave, haga clic en el botón Regenerar clave para túnel BOVPN seleccionado. Para más informaciones, vea Regenerar clave de túneles BOVPN en la página 458. 3. Para ver información adicional para usar en la solución de problemas, haga clic en Depurar. Para más informaciones, vea Estadísticas de VPN en la página 382.
Regenerar clave de túneles BOVPN Los extremos de la puerta de enlace de los túneles BOVPN deben generar e intercambiar nuevas claves sea después de un período de tiempo determinado o después que una cantidad de tráfico pase por el túnel. Si desea generar nuevas claves inmediatamente antes que caduquen, puede regenerar nueva clave para un túnel BOVPN para forzarlo a caducar inmediatamente. Eso puede ser útil cuando se está solucionando problemas en el túnel. Para regenerar clave para un túnel BOVPN: 1. Seleccione Estado del sistema> VPN Estadística. Aparece la página Estadística de VPN.
2. En la tabla Túneles VPN para Sucursales, haga clic en un túnel para seleccionarlo. 3. Haga clic en Regenerar clave de túnel BOVPN seleccionado.
458
Fireware XTM Web UI
Túneles de BOVPN manuales
Preguntas relacionadas ¿Por qué necesito una dirección externa estática? Para establecer una conexión de VPN, cada dispositivo debe conocer la dirección IP del otro dispositivo. Si la dirección para un dispositivo es dinámica, la dirección IP puede cambiar. Si la dirección IP cambia, no se pueden establecer las conexiones entre los dispositivos excepto si los dos dispositivos saben como encontrarse mutuamente. Puede usar un DNS Dinámico si no puede obtener una dirección IP externa. Para más informaciones, vea Página Acerca de Servicio DNS dinámico en la página 88.
¿Cómo obtengo una dirección IP externa estática? Obtiene la dirección IP externa para su PC o red junto a su administrador de red o ISP. Muchos ISPs usan direcciones IP dinámicas para facilitar la configuración de sus redes y la utilización por muchos usuarios. La mayoría de los ISPs puede ofrecerle una dirección IP estática como una opción.
¿Cómo soluciono problemas de la conexión? Si puede enviar un ping a la interfaz de confianza del Firebox remoto y a equipos en la red remota, el túnel VPN está activo. Otra causa posible de otros problemas es la configuración del software de red o de las aplicaciones de software.
¿Por qué el ping no está funcionando? Si no puede enviar un ping a la dirección IP de interfaz local del Firebox remoto, siga estos pasos: 1. Envíe un ping a la dirección externa del Firebox remoto. Por ejemplo, en el Sitio A, envíe un ping a la dirección IP del Sitio B. Si no recibe una respuesta, asegúrese de que estén correctas las configuraciones de la red externa del Sitio B. El Sitio B debe ser configurado para responder a las solicitudes de ping en aquella interfaz. Si las configuraciones está correctas, asegúrese que los equipos en el Sitio B tengan conexión a Internet. Si los equipos en el Sitio B no logran conectarse, hable con su administrador de red o ISP. 2. Si puede enviar un ping a la dirección externa de cada Firebox, intente enviar un ping a la dirección local en la red remota. Desde un equipo en el Sitio A, envíe un ping a la dirección IP de la interfaz interna del Firebox remoto. Si el túnel VPN está activo, el Firebox remoto retorna el ping. Si no recibe una respuesta, asegúrese de que la configuración local esté correcta. Cerciórese de que los rangos de dirección de DHCP local para las dos redes conectadas por el túnel VPN no usan direcciones IP similares. Las dos redes conectadas por el túnel no deben usar las mismas direcciones IP.
Guía del Usuario
459
Túneles de BOVPN manuales
¿Cómo configuro más que el número de túneles VPN permitido en mi Edge? El número de túneles VPN que pueden ser creados en su Firebox X Edge E-Series es determinado por el modelo Edge que tiene. Puede adquirir la actualización de un modelo para su Edge para hacer más túneles VPN junto a un revendedor o en el sitio web de WatchGuard: http://www.watchguard.com/products/purchaseoptions.asp
Mejorar la disponibilidad del túnel BOVPN Hay instalaciones de BOVPN en las cuales todas las configuraciones está correctas, pero las conexiones de BOVPN no siempre funcionan correctamente. Puede usar la información abajo para ayudarlo a solucionar los problemas de disponibilidad de túneles de BOVPN. Esos procedimientos no mejoran el desempeño general de los túneles BOVPN. Gran parte de los túneles BOVPN permanecen disponibles para el pasaje de tráfico en todos los momentos. Los problemas suelen estar asociados a una o más de estas tres condiciones: n
n
n
Una o ambas extremidades poseen conexiones externas no confiables. Alta latencia, alta fragmentación de paquetes y alta pérdida de paquetes pueden convertir una conexión en no confiable. Esos factores tienen un impacto más fuerte en el tráfico de BOVPN que en otro tráfico común, como HTTP y SMTP. Con el tráfico de BOVPN, los paquetes cifrados deben llegar a la extremidad de destino, ser decodificados y luego rearmados antes que el tráfico no cifrado sea enrutado a la dirección IP de destino. Un extremo no es un dispositivo WatchGuard o es uno más antiguo con un software de sistema anterior. Las pruebas de compatibilidad entre los productos WatchGuard y dispositivos más antiguos se hacen con el software más reciente disponible para dispositivos más antiguos. Con el software más antiguo puede haber problemas que ya hayan sido arreglados en la versión más reciente del software. Como están basados en el estándar IPSec, los dispositivos WatchGuard son compatibles con la mayoría de los extremos de terceros. No obstante, algunos dispositivos de extremos de terceros no son compatibles con IPSec debido a problemas de software o configuraciones con derechos de autor. Si hay un volumen bajo de tráfico a través del túnel o si hay largos períodos de tiempo sin que pase tráfico por el túnel, algunos extremos terminan la conexión de la VPN. Los dispositivos WatchGuard que ejecutan los dispositivos Fireware y WatchGuard Edge no hacen eso. Algunos dispositivos de terceros y dispositivos WatchGuard con versiones más antiguas del software WFS usan esa condición como forma de cerrar los túneles que parecen estar muertos.
Es posible instalar el sistema operativo más reciente y el software de administración en todos los dispositivos WatchGuard, pero todas las otras condiciones en esa lista están fuera de su control. Sin embargo, puede tomar ciertas medidas para mejorar la disponibilidad del BOVPN. Seleccionar IKE keep-alive o Dead Peer Detection, pero no ambas Tanto las configuraciones de IKE keep-alive como Dead Peer Detection pueden mostrar cuando un
460
Fireware XTM Web UI
Túneles de BOVPN manuales
túnel está desconectado. Cuando encuentran un túnel desconectado, inician una nueva negociación de Fase 1. Si selecciona tanto IKE keep-alive como Dead Peer Detection, la renegociación de Fase 1 que se inicia puede hacer que el otro identifique el túnel como desconectado e inicie una segunda negociación de Fase 1. Cada negociación de Fase 1 detiene todo el tráfico del túnel hasta que éste haya sido negociado. Para mejorar la estabilidad del túnel, seleccione o IKE keep-alive o Dead Peer Detection. No seleccione ambas. Observe lo siguiente acerca de esas configuraciones: La configuración de IKE keep-alive es usada solamente por los dispositivos WatchGuard. No usar si el extremo remoto es un dispositivo IPSec de terceros. Cuando habilita IKE keep-alive, Firebox envía un mensaje a un dispositivo de puerta de enlace remota en un intervalo regular y espera una respuesta. El intervalo de mensaje determina con qué frecuencia se envía un mensaje. Fallas máx. indica cuántas veces el dispositivo de puerta de enlace remota puede presentar fallas al responder antes que Firebox intente renegociar la conexión de Fase 1. La Dead Peer Detection es un estándar usado por la mayoría de los dispositivos IPSec. Seleccione la Dead Peer Detection si ambos dispositivos extremos la soportan. Al activar la Dead Peer Detection, Firebox monitorea el tráfico de túnel para identificar si un túnel está activo. Si no se activó el tráfico desde el punto remoto para el período de tiempo insertado en tiempo de espera inactivo de tráfico, y un paquete está esperando para ser enviado al punto, el Firebox envía una consulta. Si no hay respuestas después del número de Máx. reintentos, Firebox renegocia la conexión de Fase 1. Para más informaciones acerca de la Dead Peer Detection, vea http://www.ietf.org/rfc/rfc3706.txt. Las configuraciones de IKE keep-alive y Dead Peer Detection forman parte de las configuraciones de Fase 1. 1. En el Fireware XTM Web UI, seleccione VPN> BOVPN. 2. Seleccione la puerta de enlace y haga clic en Editar. 3. Haga clic en la pestaña Configuraciones de Fase 1. Usar las configuraciones predeterminadas Las configuraciones de BOVPN predeterminadas ofrecen la mejor combinación de seguridad y velocidad. Use esas configuraciones predeterminadas siempre que posible. Si un dispositivo extremo remoto no soporta una de las configuraciones predeterminadas de WatchGuard, configure el dispositivo WatchGuard para que utilice la configuración predeterminada del extremo remoto. Esas son las configuraciones predeterminadas para WSM 11.x: Nota Si no se exhibe una configuración en las páginas de configuración de VPN> BOVPN , no se puede cambiarla. Configuraciones generales Modo
Guía del Usuario
Principal (Seleccionar Agresivo si uno de los dispositivos posee una dirección IP externa dinámica).
461
Túneles de BOVPN manuales
Configuraciones generales NAT Traversal
Sí
Intervalo de keep-alive de NAT Traversal
20 segundos
IKE keep-alive
Desactivado
Intervalo de mensaje de IKE keepalive
Ninguno
Máx. Fallas de IKE keep-alive
Ninguno
Dead Peer Detection (RFC3706)
Activado
Tiempo de espera inactivo de tráfico para Dead Peer Detection
20 segundos
Máx. de reintentos de Dead Peer Detection
5
Configuraciones de transformación de FASE 1 Algoritmo de autenticación
SHA-1
Algoritmo de cifrado
3DES
Caducidad de negociación o duración de SA (horas)
8
Caducidad de negociación o duración de SA (kilobytes)
0
Grupo Diffie-Hellman
2
Configuraciones de propuesta de FASE 2 Tipo
ESP
Algoritmo de autenticación
SHA-1
Algoritmo de cifrado
AES (256 bit)
Forzar Caducidad de Clave
Activar
Caducidad de Clave Fase 2 (horas)
8
Caducidad de Clave Fase 2 (kilobytes)
128000
Activar Perfect Forward Secrecy
No
Grupo Diffie-Hellman
Ninguno
Configurar Firebox para enviar tráfico de registro a través del túnel Si no hay tráfico a través del túnel por un período de tiempo, un extremo puede decidir que el otro no
462
Fireware XTM Web UI
Túneles de BOVPN manuales
está disponible y no intenta renegociar el túnel VPN inmediatamente. Una forma de asegurar que el tráfico no deje de pasar por el túnel es configurar el Firebox para que envíe registro de tráfico a través del túnel. No necesita que un Log Server reciba y mantenga los registros de tráfico. En ese caso, se configura intencionadamente el Firebox para enviar el tráfico de registro a un Log Server que no existe. Eso crea un pequeño pero consistente volumen de tráfico enviado a través del túnel, lo que puede ayudar a mantenerlo más estable. Hay dos tipos de datos de registro: registro WatchGuard y registro syslog. Si el Firebox está configurado para enviar datos de registro tanto al WatchGuard Log Server como al servidor de syslog, no se puede usar ese método para enviar el tráfico por el túnel. Debe elegir una dirección IP del Log Server a la cual enviar los datos de registro. Para elegir la dirección IP, use estas directrices. n
n
La dirección IP del Log Server utilizada debe ser una dirección IP que esté incluida en las configuraciones de ruta de túnel. Para más informaciones, vea Agregar rutas para un túnel en la página 434. La dirección IP del Log Server no debería ser una dirección IP usada por un dispositivo real.
Los dos tipos de registro generan diferentes volúmenes de tráfico. Registro de WatchGuard No se envía ningún dato de registro hasta que Firebox se haya conectado al Log Server. Los únicos tipos de tráfico enviados a través del túnel son intentos de conectase al Log Server, enviados a cada tres minutos. Eso puede ser un volumen de tráfico suficiente para ayudar en la estabilidad del túnel con un mínimo impacto en otro tráfico de BOVPN. Registro de syslog Los datos de registro son enviados inmediatamente a la dirección IP del servidor de syslog. El volumen de datos de registro depende del tráfico que Firebox maneja. El registro de syslog suele generar bastante tráfico para que siempre estén pasando paquetes por el túnel. El volumen de tráfico puede a veces hacer que el tráfico normal de BOVPN quede más lento, pero eso no es común. Para mejorar la estabilidad y tener menor impacto sobre el tráfico de BOVPN, intente primero la opción de Registro de WatchGuard. Si eso no mejora la estabilidad del túnel BOVPN, intente el registro de syslog. Los procedimientos siguientes suponen que ambos dispositivos extremos son dispositivos Firebox de WatchGuard y que ningún extremo está configurado para enviar datos de registro ni al WatchGuard Log Server ni a un servidor de syslog. Si el extremo ya está configurado para enviar datos de registro que son recogidos por un servidor, no cambie esas configuraciones de registro. Algunas de las opciones que puede intentar son: n n n n n n
Configurar un extremo para enviar tráfico de registro WatchGuard a través del túnel. Configurar el otro extremo para enviar tráfico de registro de WatchGuard a través del túnel. Configurar ambos extremos para enviar tráfico de registro de WatchGuard a través del túnel. Configurar un extremo para enviar tráfico de registro de syslog a través del túnel. Configurar sólo el otro extremo para enviar tráfico de registro de syslog a través del túnel. Configurar ambos extremos para enviar tráfico de registro de syslog a través del túnel.
Enviar datos de registro de WatchGuard a través del túnel
Guía del Usuario
463
Túneles de BOVPN manuales
1. En el Fireware XTM Web UI, seleccione Sistema > Registro. Aparece la página Registro.
2. Seleccione la casilla de verificación Activar registro WatchGuard para esos servidores. 3. En el campo Dirección de Log Server, ingrese la dirección IP seleccionada para el Log Server en el campo Dirección IP del Log Server. 4. Ingrese una clave de cifrado en el campo Encryption Key y confírmela en el campo Confirmar. El rango permitido para la clave de cifrado es de 8 a 32 caracteres. Puede usar todos los caracteres, excepto los espacios o barras diagonales o invertidas (/ o \).
5. Haga clic en Agregar. Haga clic en Guardar. Enviar datos de syslog a través del túnel 1. En el Fireware XTM Web UI, seleccione Sistema > Registro. Aparece la página Registro.
2. 3. 4. 5.
464
Haga clic en la pestaña Servidor de Syslog. Seleccione la casilla de verificación Activar registro Syslog para esos servidores. Ingrese la dirección IP elegida para el servidor de syslog en el campo al lado. Haga clic en Guardar.
Fireware XTM Web UI
21
Mobile VPN con PPTP
Acerca del Mobile VPN con PPTP La conexión a red privada virtual móvil (Mobile VPN) con protocolo de túnel punto a punto (PPTP) crea una conexión segura entre un equipo remoto y los recursos de red detrás del dispositivo WatchGuard. Cada dispositivo WatchGuard admite hasta 50 usuarios al mismo tiempo. Los usuarios de Mobile VPN con PPTP pueden autenticarse en el dispositivo WatchGuard o en un servidor de autenticación RADIUS o VACMAN. Para usar Mobile VPN con PPTP, debe configurar el dispositivo WatchGuard y las computadoras cliente remotas.
Requisitos de Mobile VPN con PPTP Antes de configurar el dispositivo WatchGuard para usar Mobile VPN with PPTP, asegúrese de tener esta información: n
Las direcciones IP para que el cliente remoto use para las sesiones de Mobile VPN con PPTP. Paratúneles de Mobile VPN con PPTP,el dispositivoWatchGuard ofrece a cadausuario remotouna direcciónIP virtual.Estas direccionesIP nopueden ser direcciones que utilice lared detrásdel dispositivoWatchGuard. Elprocedimiento másseguro paraasignar direccionesa usuariosde Mobile VPN es instalar una secondarynetwork "marcadorade posición".Luego, seleccione una direcciónIP de ese rango de red. Por ejemplo, cree una nuevasubnet comosecondary networken sured de confianza 10.10.0.0/24.Seleccione lasdirecciones IPen estasubnet parasu rangode direccionesPPTP.
n
n
Las direcciones IP de los servidores DNS y WINS que determinan los nombres de host para las direcciones IP. Los nombres de usuario y contraseñas de los usuarios autorizados a conectarse al dispositivo WatchGuard con Mobile VPN with PPTP.
Guía del Usuario
465
Mobile VPN con PPTP
Niveles de cifrado Para Mobile VPN with PPTP, se puede seleccionar un cifrado de 128 bits o un cifrado de 40 bits. Las versiones de software de Windows XP en los Estados Unidos tienen activado un cifrado de 128 bits. Puede obtener un parche de cifrado de alta seguridad de Microsoft para otras versiones de Windows. Firebox siempre intenta utilizar cifrado de 128 bits en primer lugar. Puede configurarse para usar cifrado de 40 bits si el cliente no puede usar una conexión cifrada de 128 bits. Para obtener más información sobre cómo admitir el cifrado de 40 bits consulte Configurar Mobile VPN with PPTP en la página 466. Si no reside en los Estados Unidos y desea tener cifrado de alta seguridad activado en su cuenta LiveSecurity Service, envíe un mensaje de correo electrónico a
[email protected] e incluya toda la información que se indica a continuación: n n n n n n
Número de clave de LiveSecurity Service Fecha de compra del producto WatchGuard Nombre de su empresa Dirección de correo postal de la empresa Número de teléfono y nombre de contacto Dirección de correo electrónico
Si reside en los Estados Unidos y aún no utiliza WatchGuard System Manager (WSM) con cifrado de alta seguridad, debe descargar el software de cifrado de alta seguridad de la página de Descargas de software en el sitio web de LiveSecurity Service. 1. Abra un explorador web y visite www.watchguard.com. 2. Ingrese en su cuenta de LiveSecurity Service. 3. Haga clic en Soporte. Aparece el Centro de Soporte de WatchGuard.
4. En la sección Administración de sus productos, haga clic en Descargas de software. 5. En la lista Seleccionar familia de productos, seleccione su dispositivo WatchGuard. Aparece la página de Descargas de software.
6. Descargue WatchGuard System Manager con cifrado de alta seguridad. Antes de instalar el software de WatchGuard System Manager con cifrado de alta seguridad, debe desinstalar de su computadora cualquier otra versión de WatchGuard System Manager. Nota Para mantener la configuración actual del dispositivo WatchGuard, no use el Quick Setup Wizard cuando instale el nuevo software. Abra el WatchGuard System Manager, conéctese al dispositivo WatchGuard y guarde el archivo de configuración. Las configuraciones con una versión de cifrado diferente son compatibles.
Configurar Mobile VPN with PPTP Para configurar el dispositivo WatchGuard para aceptar conexiones PPTP , primero debe activar y realizar las configuraciones para Mobile VPN with PPTP. 1. Seleccione VPN > Mobile VPN with PPTP.
466
Fireware XTM Web UI
Mobile VPN con PPTP
2. Seleccione la casilla de verificación Activar Mobile VPN with PPTP. Esto permite configurar a los usuarios remotos de PPTP y automáticamente crea una política de PPTP de WatchGuard para permitir el tráfico de PPTP al dispositivo WatchGuard. Recomendamos no modificar las propiedades predeterminadas de la política de PPTP de WatchGuard. 3. Realice las configuraciones de autenticación como se describe en las secciones siguientes. 4. Haga clic en Guardar.
Autenticación Los usuarios de Mobile VPN con PPTP pueden autenticarse en la base de datos interna de Firebox o usar autenticación extendida en un servidor RADIUS o VACMAN Middleware Server como alternativa a Firebox. Las instrucciones para usar un VACMAN Middleware Server son idénticas a las instrucciones para usar un servidor RADIUS. Para usar la base de datos interna de Firebox, no seleccione la casilla de verificación Usar autenticación RADIUS para usuarios de PPTP . Para usar un servidor RADIUS o VACMAN Middleware para autenticación:
Guía del Usuario
467
Mobile VPN con PPTP
1. Seleccione la casilla de verificación Usar autenticación RADIUS para usuarios de PPTP. 2. Configurar autenticación de servidor RADIUS o Configurado autenticación de servidor VASCO. 3. En el servidor RADIUS, cree un grupo de usuarios de PPTP y agregue nombres o grupos de usuarios de PPTP. Nota Para establecer la conexión de PPTP , el usuario debe ser miembro de un grupo denominado PPTP-Users (usuarios de PPTP). Cuando el usuario ya está autenticado, Firebox mantiene una lista de todos los grupos del que el usuario es miembro. Use cualquiera de los grupos en una política para controlar el tráfico para el usuario.
Configuraciones de cifrado Las versiones nacionales estadounidenses de Windows XP tienen activado un cifrado de 128 bits. Puede obtener un parche de cifrado de alta seguridad de Microsoft para otras versiones de Windows. n
n
n
Si desea solicitar el cifrado de 128 bits para todos los túneles PPTP, seleccione Solicitar cifrado de 128 bits. Recomendamos utilizar cifrado de 128 bits para VPN. Para permitir que los túneles bajen el cifrado de 128 bits a 40 bits para conexiones menos confiables, seleccione Permitir bajar cifrado de 128 bits a 40 bits. Firebox siempre intenta utilizar cifrado de 128 bits en primer lugar. Se utiliza el cifrado de 40 bits si el cliente no puede usar la conexión cifrada de 128 bits. En general, sólo los clientes fuera de los Estados Unidos seleccionan esta casilla de verificación. Para permitir tráfico que no está cifrado a través de la VPN, seleccione No requiere cifrado.
Agregar al conjunto de direcciones IP Mobile VPN with PPTP admite hasta 50 usuarios al mismo tiempo. Firebox otorga una dirección IP abierta a cada usuario de Mobile VPN entrante dentro de un grupo de direcciones IP disponibles. Esto continúa hasta que todas las direcciones están en uso. Después de que un usuario cierra una sesión, la dirección vuelve a colocarse en el grupo disponible. El siguiente usuario que ingresa obtiene esta dirección. Debe configurar dos o más direcciones IP para que PPTP funcione correctamente. 1. En la sección Conjunto de direcciones IP, en la lista desplegable Elegir tipo, seleccioneIP de host (para una sola dirección IP) o Rango de host (para un rango de direcciones IP).
2. En el cuadro de texto IP de host, ingrese una dirección IP. Si seleccionó Rango de host, la primera dirección IP del rango es Desde y la última dirección IP del
468
Fireware XTM Web UI
Mobile VPN con PPTP
rango es Hasta. 3. Haga clic en Agregar para agregar la dirección IP de host o el rango de host al conjunto de direcciones IP. Se pueden configurar hasta 50 direcciones IP. Si selecciona IP de host, debe agregar por lo menos dos direcciones IP. Si selecciona Rango de host y agrega un rango de direcciones IP superior a 50 direcciones, Mobile VPN with PPTP utiliza las primeras 50 direcciones del rango. 4. Repita los pasos 1al 3 para configurar todas las direcciones para usar con Mobile VPN with PPTP.
Configuraciones de pestañas avanzadas 1. En la página Mobile VPN with PPTP , haga clic en la pestaña Avanzada. 2. Realice la configuración de tiempo de espera y las configuraciones de Unidad máxima de transmisión (MTU) y Unidad máxima de recepción (MRU) como se describe en las siguientes secciones. Recomendamos mantener las configuraciones predeterminadas.
Configuración de tiempo de espera Puede definir dos configuraciones de tiempo de espera para túneles PPTP si usa autenticación RADIUS: Tiempo de espera de sesión El período de tiempo máximo que un usuario puede enviar tráfico a una red externa. Si configura este campo en cero (0) segundos, minutos, horas o días, no se usa tiempo de espera de sesión y el usuario puede permanecer conectado durante el tiempo que desee.
Guía del Usuario
469
Mobile VPN con PPTP
Tiempo de espera inactivo El tiempo máximo que el usuario puede permanecer autenticado cuando está inactivo (sin tráfico hacia la interfaz de red externa). Si configura este campo en cero (0) segundos, minutos, horas o días, no se usa tiempo de espera inactivo y el usuario puede permanecer inactivo durante el tiempo que desee. Si no usa RADIUS para autenticación, el túnel PPTP usa la configuración de tiempo de espera especificada por usted para cada usuario de Firebox. Para obtener más información acerca de la configuración de usuario de Firebox, consulte Definir un nuevo usuario para autenticación en Firebox en la página 225. Otras configuraciones Los tamaños de la Unidad máxima de transmisión (MTU) o Unidad máxima de recepción (MRU) se envían al cliente como parte de los parámetros de PPTP para usar durante la sesión de PPTP. No modifique los valores de MTU o MRU a menos que esté seguro de que la modificación soluciona un problema en la configuración. Los valores de MTU o MRU incorrectos ocasionan la falla del tráfico a través de la VPN with PPTP. Para modificar los valores de MTU o MRU : 1. En la página Mobile VPN with PPTP , haga clic en la pestaña Avanzada. 2. En la sección Otras configuraciones, ingrese o seleccione los valores de la Unidad máxima de transmisión (MTU) o Unidad máxima de recepción (MRU) .
Configurar servidores WINS y DNS Los clientes de Mobile VPN con PPTP utilizan direcciones de servidor compartidas del Servicio Windows Internet Naming (WINS) y el Sistema de domain name (DNS). El DNS cambia los nombres de host a direcciones IP, mientras que WINS cambia los nombres de NetBIOS a direcciones IP. La interfaz de confianza de Firebox debe tener acceso a estos servidores. 1. Seleccione Interfaces de > red. Aparece la página de Interfaces de red. Las configuraciones de WINS y DNS se encuentran en la parte inferior.
470
Fireware XTM Web UI
Mobile VPN con PPTP
2. En la sección Servidores DNS, ingrese un domain name para el servidor DNS. 3. En el cuadro de texto Servidor DNS, ingrese la dirección IP para el servidor DNS y haga clic en Agregar. Pueden agregarse hasta tres direcciones para servidores DNS. 4. En el cuadro de texto Servidores WINS, ingrese la dirección IP para un servidor WINS y haga clic en Agregar. Pueden agregarse hasta dos direcciones para servidores WINS. 5. Haga clic en Guardar.
Agregar nuevos usuarios al grupo de usuarios de PPTP Para crear un túnel VPN PPTP con Firebox, los usuarios móviles ingresan sus nombres de usuario y frases de contraseña para autenticarse. Firebox utiliza esta información para autenticar al usuario. Cuando activa PPTP en su configuración de Firebox, automáticamente se crea un grupo de usuarios predeterminado. Este grupo de usuarios se denomina PPTP_Users (usuarios de PPTP). Este nombre de grupo se muestra al crear un nuevo usuario o agregar nombres de usuario a las políticas. Para más información acerca de grupos Firebox, vea Configure su Firebox como servidor de autenticación en la página 223. 1. Seleccione Servidores >de autenticación. Aparece la página "Servidores de autenticación".
2. Haga clic en la pestaña Firebox .
Guía del Usuario
471
Mobile VPN con PPTP
3. En la sección Usuarios, haga clic en Agregar. Aparece el cuadro de diálogo "Configurar Usuario de Firebox".
472
Fireware XTM Web UI
Mobile VPN con PPTP
4. Ingrese un Nombre y una Frase de contraseña para el nuevo usuario. Ingrese la frase de contraseña nuevamente para confirmarla. No se requiere una descripción. Recomendamos no cambiar los valores predeterminados para el tiempo de espera de sesión y el tiempo de espera inactivo.
5. En la lista Disponible, seleccione Usuarios de PPTP y haga clic
.
Usuarios de PPTP aparece en la lista de Miembros.
6. Haga clic en OK. 7. Haga clic en Guardar.
Configurarpolíticasparapermitirel tráficodeMobileVPNcon PPTP Los usuarios de Mobile VPN con PPTP no tienen privilegios de acceso a través de un Firebox en forma predeterminada. Para permitir a usuarios remotos el acceso a recursos de red específicos, se deben agregar nombres de usuarios o el grupo de usuarios de PPTP, como orígenes y destinos en las definiciones de política individual. Para más informaciones, vea Use los usuarios y grupos autorizados en políticas en la página 248. Para usar WebBlocker para controlar el acceso de usuarios remotos, agregue usuarios de PPTP o el grupo de usuarios de PPTP a una política de proxy que controle a WebBlocker.
Guía del Usuario
473
Mobile VPN con PPTP
Nota Si se asignan direcciones desde una red de confianza a usuarios de PPTP, el tráfico desde el usuario de PPTP no se considera de confianza. De manera predeterminada, todo tráfico de Mobile VPN con PPTP no es de confianza. Independientemente de las direcciones IP asignadas, se deben crear políticas para permitir a los usuarios de PPTP obtener acceso a los recursos de red.
Configurar políticas para permitir el tráfico de Mobile VPN con PPTP Los usuarios de Mobile VPN con PPTP no tienen privilegios de acceso a través de un Firebox en forma predeterminada. Debe configurar las políticas para permitir que los usuarios de PPTP obtengan acceso a recursos de red. Puede agregar políticas nuevas o editar las políticas existentes. Nota Si se asignan direcciones desde una red de confianza a usuarios de PPTP, el tráfico desde el usuario de PPTP no se considera de confianza. De manera predeterminada, todo tráfico de Mobile VPN con PPTP no es de confianza. Independientemente de la dirección IP asignada, se deben crear políticas para permitir a los usuarios de PPTP obtener acceso a los recursos de red.
Permitir a los usuarios de PPTP acceder a una red de confianza En este ejemplo, se agrega la opción Cualquier política para permitir a todos los miembros del grupo de usuarios de PPTP el acceso total a los recursos en todas las redes de confianza. 1. Seleccione Firewall > Políticas de Firewall. Haga clic en Agregar. 2. Amplíe la carpeta Filtrados de paquetes. Aparece una lista de plantillas para filtrados de paquetes.
3. Seleccione Cualquiera y haga clic en Agregar. Aparece la página "Configuración de Política".
4. En el cuadro de texto Nombre, ingrese un nombre para la política. Elija un nombre que le ayude a identificar esta política en su configuración. 5. En la pestaña Política, en la sección Desde , seleccione Cualquiera de confianza y haga clic en Remover. 6. En la pestaña Política, en la sección Desde , haga clic en Agregar. Aparece el cuadro de diálogo "Agregar Dirección".
7. En la lista desplegable Tipo de miembro, seleccioneGrupo de PPTP. 8. Seleccione Usuarios de PPTP y haga clic en Seleccionar. Después de Usuarios de PPTP aparece el nombre del método de autenticación entre paréntesis.
9. Haga clic en OK para cerrar el cuadro de diálogo Agregar miembro. 10. En el área Hasta, haga clic en Agregar. Aparece el cuadro de diálogo "Agregar Dirección".
11. En la sección Miembros y direcciones seleccionados , seleccione Cualquiera externo y haga clic en Remover. 12. En la sección Hasta, haga clic en Agregar. Aparece el cuadro de diálogo Agregar miembro.
474
Fireware XTM Web UI
Mobile VPN con PPTP
13. En la lista Miembros seleccionados, seleccione Cualquiera de confianza y haga clic en OK. 14. Haga clic en Guardar. Para más informaciones acerca de políticas, vea Agregar políticas en la configuración en la página 254.
Usar otros grupos o usuarios en una política de PPTP Los usuarios deben ser miembros del grupo Usuarios de PPTP para realizar una conexión PPTP. Cuando se configura una política para otorgar acceso a los usuarios de PPTP a recursos de red, se puede usar el nombre de usuario individual o cualquier otro grupo del que el usuario sea miembro. Para seleccionar un usuario o grupo distinto de Usuarios de PPTP: 1. Seleccione Firewall > Políticas de Firewall. 2. Haga doble clic en la política a la que desea agregar el usuario o grupo. 3. En la pestaña Política, en la sección Desde , haga clic en Agregar. Aparece el cuadro de diálogo "Agregar miembro".
4. En la lista desplegable Tipo de miembro, seleccione Usuario de Firewall o Grupo de Firewall. 5. Seleccione el usuario o grupo que desea agregar y haga clic en OK. 6. Haga clic en Guardar. Para obtener más información sobre cómo utilizar usuarios y grupos en políticas, consulte Use los usuarios y grupos autorizados en políticas en la página 248.
Opciones de acceso a Internet a través de un túnel de Mobile VPN con PPTP Puede permitir que usuarios remotos accedan a Internet a través de un túnel Mobile VPN. Esta opción afecta su seguridad porque este tráfico de Internet no está filtrado ni cifrado. Tiene dos opciones de rutas de túnel de Mobile VPN: la VPN de ruta predeterminada y la VPN de túnel dividido.
VPN de ruta predeterminada La opción más segura es requerir que todo el tráfico de Internet del usuario remoto sea enrutado a través del túnel VPN hacia el dispositivo WatchGuard. Después, el tráfico es enviado de vuelta a Internet. Con esta configuración (conocida como VPN de ruta predeterminada), Firebox puede examinar todo el tráfico y proporcionar mayor seguridad, aunque utiliza más capacidad de procesamiento y ancho de banda. Al usar una VPN de ruta predeterminada, una política de NAT dinámica debe incluir el tráfico saliente de la red remota. Esto permite a los usuarios remotos navegar por Internet cuando envían todo el tráfico al dispositivo WatchGuard. Nota Si usa los comandos "route print" o "ipconfig" después de iniciar un túnel Mobile VPN en una computadora que tiene instalado Microsoft Windows, verá información incorrecta de la puerta de enlace predeterminada. La información correcta se encuentra en la pestaña Detalles del cuadro de diálogo Estado de la conexión privada virtual.
Guía del Usuario
475
Mobile VPN con PPTP
Dividir VPN de túnel Otra opción de configuración es activar el túnel dividido. Esta configuración permite a los usuarios navegar por Internet sin necesidad de enviar tráfico de Internet a través del túnel VPN . El túnel dividido mejora el desempeño de red, pero disminuye la seguridad debido a que las políticas creadas no son aplicadas al tráfico de Internet. Si usa el túnel dividido, recomendamos que cada equipo cliente tenga un firewall de software.
Configuración de VPN de ruta predeterminada para Mobile VPN with PPTP En Windows Vista, XP y 2000, la configuración predeterminada para una conexión PPTP es default-route (ruta predeterminada). Firebox debe estar configurado con NAT dinámica para recibir el tráfico desde un usuario de PPTP. Cualquier política que administre tráfico hacia Internet desde detrás del dispositivo WatchGuard debe estar configurada para permitir el tráfico del usuario de PPTP. Cuando configura la VPN de ruta predeterminada: n
n
Asegúrese de que las direcciones IP que ha agregado al conjunto de direcciones PPTP estén incluidas en la configuración de NAT dinámica en el dispositivo WatchGuard. Desde el Administrador de la política, seleccione Red > NAT. Modifique la configuración de la política para permitir conexiones desde el grupo de usuarios de PPTP a través de la interfaz externa. Por ejemplo, si usa WebBlocker para controlar el acceso web, agregue el grupo de usuarios de PPTP a la política de proxy que está configurada con WebBlocker activado.
Configuración deVPNdetúnel divididoparaMobileVPNwith PPTP En la computadora cliente, edite las propiedades de conexión de PPTP para que no envíen todo el tráfico a través de la VPN. 1. Para Windows Vista, XP o 2000, ingrese en Panel de control> Conexiones de red y haga clic con el botón derecho en la conexión VPN. 2. Seleccione Propiedades. Aparece el cuadro de diálogo de propiedades de VPN.
3. Seleccione la pestaña Red . 4. Seleccione Protocolo de Internet (TCP/IP) en el menú y haga clic en Propiedades. Aparece el cuadro de diálogo "Protocolo de internet (TCP/IP)".
5. En la pestaña General , haga clic en Avanzada. Aparece el cuadro de diálogo Configuración avanzada de TCP/IP.
6. Windows XP y Windows 2000: en la pestaña General (XP y Windows 2000), desmarque la casilla de verificación Usar puerta de enlace predeterminada en red remota. Windows Vista: en la pestaña Configuración (XP y Windows 2000), desmarque la casilla de verificación Usar puerta de enlace predeterminada en red remota.
476
Fireware XTM Web UI
Mobile VPN con PPTP
Preparar computadoras cliente para PPTP Antes de poder usar las computadoras clientes como host remotos de Mobile VPN con PPTP, primero se debe preparar el acceso a Internet en cada computadora. Luego, puede usar las instrucciones en las siguientes secciones para: n
n n
Instalar la versión necesaria del Acceso telefónico a redes de Microsoft y los paquetes de servicio necesarios. Preparar el sistema operativo para conexiones de VPN. Instalar un adaptador de VPN (no es necesario en todos los sistemas operativos).
Preparar una computadora cliente con Windows NT o 2000: Instalar MSDUN y los paquetes de servicio A veces es necesario instalar estas opciones para la configuración correcta de Mobile VPN con PPTP en Windows NT y 2000: n n n
Actualizaciones de MSDUN (Acceso telefónico a redes) Otras extensiones Paquetes de servicio
Para Mobile VPN with PPTP, deben tenerse instaladas las siguientes actualizaciones: Cifrado
Plataforma
Aplicación
Base
Windows NT
SP4 de 40 bits
Alta seguridad
Windows NT
SP4 de 128 bits
Base
Windows 2000
SP2* de 40 bits
Alta seguridad
Windows 2000
SP2* de 128 bits
El cifrado de 40 bits es la configuración predeterminada en Windows 2000. Si realiza la actualización desde Windows 98 con cifrado de alta seguridad, Windows 2000 automáticamente establece el cifrado de alta seguridad para la nueva instalación. Para instalar estas actualizaciones o paquetes de servicio, ingrese al sitio web del Centro de descargas de Microsoft en: http://www.microsoft.com/downloads/ Los pasos para configurar y establecer una conexión PPTP son diferentes para cada versión de Microsoft Windows. Para establecer una conexión PPTP en Windows Vista, consulte: Crear y conectar una Mobile VPN with PPTP para Windows Vista en la página 478 Para establecer una conexión PPTP en Windows XP, consulte: Cree y conecte una Mobile VPN with PPTP para Windows XP en la página 479 Para establecer una conexión PPTP en Windows 2000, consulte: Cree y conecte una Mobile VPN with PPTP para Windows 2000 en la página 480
Guía del Usuario
477
Mobile VPN con PPTP
Crear y conectar una Mobile VPN with PPTP para Windows Vista Crear una conexión PPTP Para preparar una computadora cliente con Windows Vista, debe configurar la conexión PPTP en la configuración de red. 1. Desde el menú Inicio de Windows, seleccione Configuración> Panel de control. El menú Inicio en Windows Vista se encuentra en el extremo inferior izquierdo de la pantalla.
2. Haga clic en Red e Internet. Aparece el Centro de redes y recursos compartidos.
3. En la columna de la izquierda, debajo de Tareas, haga clic en Conectarse a una red. Se inicia el asistente de conexión nueva.
4. Seleccione Conectarse a un lugar de trabajo y haga clic en Siguiente. Aparece el cuadro de diálogo Conectarse a un lugar de trabajo.
5. Seleccione No, crear una conexión nueva y haga clic en Siguiente. Aparece el cuadro de diálogo Cómo desea conectarse.
6. Haga clic en Usar mi conexión a Internet (VPN). Aparece el cuadro de diálogo Ingrese la dirección de Internet a la que se conectará.
7. Ingrese el nombre del host o la dirección IP de la interfaz externa de Firebox en el campo Dirección de Internet. 8. Ingrese un nombre para la Mobile VPN (como "PPTP para Firebox") en el cuadro de texto Nombre de destino. 9. Seleccione si desea que otras personas puedan usar esta conexión. 10. Seleccione la casilla de verificación No conectarse ahora; configurar para poder conectarse más tarde para que la computadora cliente no intente conectarse en este momento. 11. Haga clic en Siguiente. Aparece el cuadro de diálogo Ingrese su nombre de usuario y contraseña.
12. Ingrese el Nombre de usuario y la contraseña para este cliente. 13. Haga clic en Crear. Aparece el cuadro de diálogo La conexión está lista para usar.
14. Para probar la conexión, haga clic en Conectarse ahora.
Establecer la conexión PPTP Para conectar una computadora cliente con Windows Vista reemplace [nombre de la conexión] con el nombre real que usó para configurar la conexión PPTP. El nombre de usuario y la contraseña se refiere a uno de los usuarios que agregó al grupo de usuarios de PPTP. Para más informaciones, vea Agregar nuevos usuarios al grupo de usuarios de PPTP en la página 471. Asegúrese de tener una conexión activa a Internet antes de comenzar. 1. Haga clic en Inicio > Configuración > Conexiones de red > [nombre de la conexión] El botón de Inicio de Windows Vista se encuentra en el extremo inferior izquierdo de la pantalla.
2. Ingrese el nombre de usuario y la contraseña para la conexión y haga clic en Conectar. 3. La primera vez que se conecta, debe seleccionar una ubicación de red. Seleccione Ubicación pública.
478
Fireware XTM Web UI
Mobile VPN con PPTP
Cree y conecte una Mobile VPN with PPTP para Windows XP Para preparar una computadora cliente con Windows XP, debe configurar la conexión PPTP en la configuración de red.
Cree la Mobile VPN with PPTP Desde el escritorio de Windows de la computadora cliente: 1. Desde el menú Inicio de Windows, seleccione Panel de control> Conexiones de red. 2. Haga clic en Crear una conexión nueva en el menú de la izquierda. O bien, haga clic en Asistente de conexión nueva en la vista clásica de Windows. Aparece el asistente de conexión nueva.
3. 4. 5. 6.
Haga clic en Siguiente. Seleccione Conectarse a la red desde su lugar de trabajo y haga clic en Siguiente. Seleccione Conexión de red privada virtual y haga clic en Siguiente. Ingrese un nombre para la conexión nueva (como "Conectarse con Mobile VPN") y haga clic en Siguiente. 7. Seleccione si Windows asegura que la red pública está conectada: n Paraunaconexiónde bandaancha,seleccioneNomarcarla conexióninicial. O n Para una conexión por módem, seleccione Marcar automáticamente esta conexión inicial y luego seleccione un nombre de conexión dentro de la lista desplegable. 8. Haga clic en Siguiente. Aparece la pantalla de Selección del Servidor VPN. El asistente incluye esta pantalla si usa Windows XP SP2. No todos los usuarios de Windows XP ven esta pantalla.
9. Ingrese el nombre de host o la dirección IP de la interfaz externa de Firebox y haga clic en Siguiente. Aparece la pantalla de Tarjeta inteligente.
10. Seleccione si usará la tarjeta inteligente con este perfil de conexión y haga clic enSiguiente. Aparece la pantalla Disponibilidad de conexión.
11. Seleccione quién puede usar este perfil de conexión y haga clic en Siguiente. 12. Seleccione Agregar un acceso directo a esta conexión en mi escritorio. 13. Haga clic en Finalizar.
Conectarse con la Mobile VPN with PPTP 1. Inicie la conexión a Internet a través de la red telefónica o directamente a través de una LAN o WAN. 2. Haga doble clic en el acceso directo a la conexión nueva en su escritorio. O bien, seleccione Panel de control> Conexiones de red y seleccione su conexión nueva desde la lista de red privada virtual. 3. Ingrese el nombre de usuario y la frase de contraseña para la conexión. Para obtener más información acerca del nombre de usuario y la frase de contraseña, consulte Agregar nuevos usuarios al grupo de usuarios de PPTP en la página 471. 4. Haga clic en Conectar.
Guía del Usuario
479
Mobile VPN con PPTP
Cree y conecte una Mobile VPN with PPTP para Windows 2000 Parapreparar unhost remotocon Windows2000, debe configurar laconexión PPTPen laconfiguración de red.
Cree la Mobile VPN with PPTP Desde el escritorio de Windows de la computadora cliente: 1. Desde el menú Inicio de Windows, seleccione Configuración> Conexiones de red> Crear una conexión nueva. Aparece el asistente de conexión nueva.
2. 3. 4. 5.
Haga clic en Siguiente. Seleccione Conectarse a la red desde su lugar de trabajo y haga clic en Siguiente. Haga clic en Conexión de red privada virtual. Ingrese un nombre para la conexión nueva (como "Conectarse con Mobile VPN") y haga clic en Siguiente. 6. Seleccione no marcar (para conexión de banda ancha) o marcar esta conexión en forma automática (para conexión con módem) y haga clic en Siguiente. 7. Ingrese el nombre de host o la dirección IP de la interfaz externa de Firebox y haga clic en Siguiente. 8. Seleccione Agregar acceso directo a esta conexión en mi escritorio y haga clic en Finalizar.
Conectarse con la Mobile VPN with PPTP 1. Inicie la conexión a Internet a través de la red telefónica o conéctese directamente a través de una LAN o WAN. 2. Haga doble clic en el acceso directo a la conexión nueva en su escritorio. O bien, seleccione Panel de control> Conexiones de red y seleccione su conexión nueva desde la lista de red privada virtual. 3. Ingrese el nombre de usuario y la frase de contraseña para la conexión. Para obtener más información acerca del nombre de usuario y la frase de contraseña, consulte Agregar nuevos usuarios al grupo de usuarios de PPTP en la página 471. 4. Haga clic en Conectar.
Realizar conexiones PPTP salientes desde detrás de un Firebox Si es necesario, puede realizar una conexión PPTP a un Firebox desde detrás de un Firebox diferente. Por ejemplo, uno de los usuarios remotos va a la oficina de un cliente que tiene un Firebox. El usuario puede conectarse a su red con una conexión PPTP. Para que el Firebox local permita la conexión PPTP saliente en forma correcta, agregue la política de PPTP y permita el tráfico desde la red en la que se encuentra el usuario al alias Any-External (cualquiera externo). Para agregar una política, consulte Agregar políticas en la configuración en la página 254.
480
Fireware XTM Web UI
22
Mobile VPN con IPSec
Acerca del Mobile VPN con IPSec El Mobile VPN with IPSec es una aplicación de software cliente instalada en un equipo remoto. El cliente hace una conexión segura desde el equipo remoto hacia su red protegida a través de una red desprotegida, tal como la Internet. El cliente Mobile VPN usa la Seguridad de Protocolo de Internet (IPSec) para proteger la conexión. Esos tópicos incluyen instrucciones para ayudar a configurar un túnel Mobile VPN entre el cliente de Mobile VPN con IPSec y un dispositivo WatchGuard con Fireware XTM instalado.
Configurar una conexión de Mobile VPN con IPSec Puede configurar el dispositivo WatchGuard para que funcione como un extremo para los túneles Mobile VPN con IPSec. En el Fireware XTM Web UI, seleccione , seleccione >VPN Mobile VPN con IPSec. El usuario debe ser un miembro de un grupo de Mobile VPN para poder establecer una conexión de Mobile VPN con IPSec. Cuando agrega un grupo de Mobile VPN, se agrega una política Cualquiera a las Políticas de Mobile VPN> de Firewall que permite que el tráfico pase hacia y desde el usuario autenticado de Mobile VPN. Haga clic en el botón Generar para crear un perfil de usuario final (archivo .wgx) que puede guardar. El usuario debe tener ese archivo .wgx para configurar el equipo cliente de Mobile VPN. Si usa un certificado para autenticación, también se generan los archivos .p12 y cacert.pem. Esos archivos pueden ser encontrados en la misma ubicación que el perfil de usuario final de .wgx. Para restringir el acceso del cliente Mobile VPN, elimine la política Cualquiera y añada políticas a Firewall >Políticas de Mobile VPN que permitan el acceso a recursos.
Guía del Usuario
481
Mobile VPN con IPSec
Cuando el dispositivo WatchGuard esté configurado, el equipo cliente debe ser configurado con el software cliente Mobile VPN con IPSec. Para más información acerca de cómo instalar el software cliente Mobile VPN con IPSec, vea Instalar el software cliente de Mobile VPN con IPSec en la página 512. Cuando el equipo del usuario esté correctamente configurado, el usuario hace la configuración de Mobile VPN. Si las credenciales usadas para la autenticación coinciden con una entrada en la base de datos de usuarios del dispositivo WatchGuard, y si el usuario está en el grupo Mobile VPN creado, la sesión Mobile VPN es autenticada.
Requisitos del sistema Antes de configurar su dispositivo WatchGuard para Mobile VPN with IPSec, asegúrese de comprender los requisitos del sistema para la computadora de administración de WatchGuard y la computadora del cliente usuario móvil. WatchGuard System Manager con cifrado de alta seguridad Debido a que se aplican estrictas restricciones de exportación en el software de alto cifrado, WatchGuard System Manager se ofrece con dos niveles de cifrado. Para generar un perfil de usuario final para Mobile VPN with IPSec, debe asegurarse de configurar su dispositivo WatchGuard con el WatchGuard System Manager con cifrado de alta seguridad. El estándar IPSec requiere un cifrado mínimo de 56 bits. Para más informaciones, vea Instale el software WatchGuard System Manager. Computadora del cliente usuario móvil Puede instalar el Mobile VPN con software cliente IPSec en cualquier computadora con Windows 2000 Professional, Windows XP (32 bits y 64 bits) o Windows Vista (32 bits y 64 -bits). Antes de instalar el software cliente, asegúrese de que el equipo remoto no tenga un software cliente Mobile User VPN de IPSec instalado. También debe desinstalar cualquier software de firewall de escritorio (que no sea el software de firewall de Microsoft) de cada equipo remoto. Para más informaciones, vea Requisitos del cliente en la página 512. Nota Sólo necesita usar WatchGuard System Manager si desea distribuir el perfil de usuario final como archivo cifrado (.wgx). Se recomienda esta acción. Puede usar la Fireware XTM Web UI para configurar el Mobile VPN with IPSec y generar el perfil de usuario final sin cifrar (.ini). Para obtener más información sobre los dos tipos de archivos de configuración de perfil de usuario final, consulte Acerca de archivos de configuración de cliente MobileVPN en la página 483.
Opciones de acceso a Internet a través de un túnel de Mobile VPN con IPSec Puede permitir que los usuarios remotos accedan a Internet a través de un túnel de Mobile VPN. Esa opción afecta su seguridad porque el tráfico de Internet no es filtrado ni cifrado. Tiene dos opciones de rutas de túnel de Mobile VPN: la VPN de ruta predeterminada y la VPN de túnel dividido.
482
Fireware XTM Web UI
Mobile VPN con IPSec
VPN de ruta predeterminada La opción más segura es requerir que todo el tráfico de Internet del usuario remoto sea enrutado a través del túnel VPN hacia el Firebox. Desde el Firebox, el tráfico luego es enviado de vuelta a Internet. Con esa configuración (conocida como VPN de ruta predeterminada), el Firebox puede examinar todo el tráfico y ofrecer mayor seguridad, aunque se use más potencia de procesamiento y ancho de banda. Al usar una VPN de ruta predeterminada, una política de NAT dinámica debe incluir el tráfico saliente de la red remota. Eso permite que usuarios remotos naveguen en Internet cuando envían todo el tráfico hacia el Firebox. Para más información acerca de NAT dinámica, vea Agregar firewall a entradas de NAT dinámicas en la página 138.
Dividir VPN de túnel Otra opción de configuración es activar el túnel dividido. Esa configuración permite que los usuarios naveguen por Internet normalmente. El túnel dividido disminuye la seguridad porque las políticas de Firebox no son aplicadas al tráfico de Internet, pero el desempeño aumenta. Si usa el túnel dividido, sus equipos clientes deberían tener un firewall de software.
Acerca de archivos de configuración de cliente MobileVPN Con Mobile VPN with IPSec, el administrador de seguridad de red controla los perfiles del usuario final. El Policy Manager es usado para crear el grupo de Mobile VPN con IPSec y crear un perfil de usuario final, con la extensión .wgx o .imi. Los archivos .wgx e .ini contienen la clave compartida, identificación del usuario, direcciones IP y configuraciones usadas para crear un túnel seguro entre el equipo remoto y el dispositivo WatchGuard. El archivo .wgx está cifrado con una frase de contraseña con ocho caracteres de extensión o más. Tanto el administrador como el usuario remoto deben conocer esa frase de contraseña. Cuando usa el software cliente de Mobile VPN con IPSec para importar el archivo .wgx, la frase de contraseña es usada para descifrar el archivo y configurar el cliente. El archivo .wgx no configura la Administración de Línea. El archivo de configuración .ini no está cifrado. Sólo debe ser usado si la configuración de Administración de Línea fue alterada para algo diferente de Manual. Para más información, vea Administración de Línea en la pestaña Avanzado en Modificar un perfil de grupo existente de Mobile VPN con IPSec en la página 493. Puede crear o recrear el archivo .wgx e .ini en cualquier momento. Para más informaciones, vea Archivos de configuración de Mobile VPN con IPSec en la página 507. Si desea bloquear los perfiles para usuarios móviles, puede convertirlos en solo lectura. Para más informaciones, vea Bloquear un perfil del usuario final en la página 506.
Configurar el Firebox para Mobile VPN with IPSec Puede activar el Mobile VPN with IPSec para un grupo de usuarios creado, o puede crear un nuevo grupo de usuarios. Los usuarios en el grupo pueden autenticarse sea en el Firebox o en un servidor de autenticación de terceros incluido en su configuración del Firebox.
Guía del Usuario
483
Mobile VPN con IPSec
Configurar un grupo de Mobile VPN con IPSec 1. Seleccione VPN > Mobile VPN with IPSec. Aparece la página de "Mobile VPN with IPSec".
2. Haga clic en Agregar. Aparece la página de "Configuración de VPN de Usuario Móvil con IPSec".
484
Fireware XTM Web UI
Mobile VPN con IPSec
3. Ingrese un nombre de grupo en el cuadro de texto Nombre de grupo . Puede ingresar el nombre de un grupo existente o el nombre de un nuevo grupo de Mobile VPN. Asegúrese que el nombre es exclusivo entre los nombres de grupo de VPN, así como todos los nombres de túneles VPN e interfaces. 4. Hacer esas configuraciones para editar el perfil del grupo: Servidor de autenticación Seleccione el autenticación que usar para ese grupo de Mobile VPN. Puede autenticar usuarios con la base de datos interna de Firebox (Firebox-DB) o con un servidor RADIUS, VASCO, SecurID, LDAP o Active Directory Server. Asegúrese de que el método de autenticación elegido está activado. frases de contraseña Ingrese una frase de contraseña para cifrar el perfil de Mobile VPN (archivo .wgx) que dinstribuye en ese grupo. La clave compartida puede contener sólo caracteres ASCII estándares. Si usa un certificado para autenticación, ese es el PIN para el certificado. Confirmar
Guía del Usuario
485
Mobile VPN con IPSec
Ingrese la frase de contraseña nuevamente. Dirección IP externa Ingrese la dirección IP externa principal a la cual los usuarios de Mobile VPN en ese grupo pueden conectarse. Dirección IP de resguardo Ingrese la dirección IP externa de resguardo a la cual los usuarios de Mobile VPN en ese grupo pueden conectarse. Esa dirección IP de resguardo es opcional. Si añade una dirección IP de resguardo, asegúrese de que sea una dirección IP asignada a una interfaz externa de Firebox. Tiempo de espera de sesión Seleccione el tiempo máximo en minutos por el cual una sesión de Mobile VPN puede estar activa. Tiempo de espera inactivo Seleccione el tiempo en minutos antes que el Firebox cierre una sesión ociosa de Mobile VPN. Los valores de tiempo de espera inactivo y sesión son valores predeterminados de tiempo de espera si el servidor de autenticación no tiene sus propios valores de tiempo de espera. Si usa el Firebox como servidor de autenticación, los tiempos de espera para el grupo de Mobile VPN son siempre ignorados porque se definen los tiempos de espera para cada cuenta de usuario de Firebox. La sesión y los tiempos de espera inactivos no pueden ser más extensos que el valor en el campo de Duración de SA. Para definir ese valor, en el cuadro de diálogo Configuración de Mobile VPN con IPSec, haga clic en la pestaña Túnel IPSec y haga clic en Avanzado para Configuración de Fase 1. El valor predeterminado es de 8 horas. 5. Haga clic en la pestaña Túnel IPSec. Se abre la página Túnel IPSec.
486
Fireware XTM Web UI
Mobile VPN con IPSec
6. Configure: Utilice la frase de contraseña del perfil del usuario final como clave precompartida Seleccione esa opción para usar la frase de contraseña del perfil del usuario final como la clave precompartida para la autenticación de túnel. Debe usar la misma clave compartida en el dispositivo remoto. Esa clave compartida puede contener sólo caracteres ASCII estándares. Usar un certificado Seleccione esa opción para usar un certificado para autenticación de túnel. Para más informaciones, vea Use certificados autenticados para el túnel VPN Mobile con IPSec en la página 399. Dirección IP de CA Si usa un certificado, ingrese la dirección IP del Management Server que fue configurado como autoridad de certificación. Tiempo de espera Si usa un certificado, ingrese el tiempo en segundos antes del cual el cliente de Mobile VPN with IPSec deja de intentar conectarse si no hay respuesta de la autoridad de certificación. Recomendamos que se mantenga el valor predeterminado. Configuraciones de Fase 1
Guía del Usuario
487
Mobile VPN con IPSec
Seleccione los métodos de autenticación y cifrado para los túneles VPN. Esa configuración debe ser la misma para ambos extremos de VPN. Para realizar configuraciones avanzadas, tal como NAT Traversal o grupo de clave, haga clic en Avanzado y vea Definir configuraciones avanzadas de Fase 1 en la página 501. Las opciones de Cifrado están en la lista en orden del más simple y menos seguro al más complejo y más seguro: DES 3DES AES (128 bits) AES (192 bits) AES (256 bit) Configuraciones de Fase 2 Seleccione el PFS (Perfect Forward Secrecy) para activar el PFS y definir el grupo DiffieHellman. Para cambiar otra configuración de propuestas, haga clic en Avanzado y vea Definir configuraciones avanzadas Configuraciones de Fase 2 en la página 503. 7. Haga clic en la pestaña Recursos. Aparece la página Recursos.
488
Fireware XTM Web UI
Mobile VPN con IPSec
8. Configure: Permitir todo el tráfico a través del túnel Para enviar todo el tráfico de Internet de usuario de Mobile VPN a través del túnel VPN, seleccione esa casilla de verificación. Si seleccione esa casilla, el tráfico de Internet del usuario de Mobile VPN es enviado a través de la VPN. Eso es más seguro, pero disminuye el desempeño de la red. Si no seleccione esa casilla, el tráfico de Internet del usuario de Mobile VPN es enviado directamente a Internet. Eso es menor seguro, pero los usuarios pueden navegar por Internet más rápidamente. Lista de Recursos Permitidos Esa lista incluye los recursos a los cuales los usuarios en el grupo de autenticación de Mobile VPN puede acceder en la red. Para agregar una dirección IP o una dirección IP de red a la lista de recursos de red, seleccione IP del host o IP de red, ingrese la dirección y haga clic en Agregar.
Guía del Usuario
489
Mobile VPN con IPSec
Para eliminar la dirección IP seleccionada o la dirección IP de red de la lista de recursos, seleccione un recurso y haga clic en Remover. Conjunto de direcciones IP virtuales Esa lista incluye las direcciones IP internas que son usadas por los usuarios de Mobile VPN por el túnel. Esas direcciones no pueden ser usadas por ningún dispositivo de red ni por otro grupo de Mobile VPN. Para agregar una dirección IP o una dirección IP de red al conjunto de direcciones IP virtuales, seleccione IP de host o IP de red, ingrese la dirección y haga clic en Agregar. Para quitarla del conjunto de direcciones IP virtuales, seleccione un host o una dirección IP de red y haga clic en Remover. 9. Haga clic en la pestaña Avanzado. Aparece la página "Avanzado".
10. Configurar la Administración de Línea: Modo de conexión Manual — En ese modo, el cliente no intenta reiniciar el túnel VPN automáticamente caso esté desactivado. Esa es la configuración predeterminada. Para reiniciar el túnel VPN, debe hacer clic en el botón Conectar en el Monitor de Conexión, o hacer clic con el botón derecho en el icono de Mobile VPN en la barra de herramientas del escritorio Windows y hacer clic en Conectar. Automático — En ese modo, el cliente intenta iniciar la conexión cuando su equipo envía tráfico a un destino que puede alcanzar a través de la VPN. El cliente también intenta reiniciar el túnel VPN automáticamente caso esté quede sin disponibilidad. Variable — En ese modo, el cliente intenta reiniciar el túnel VPN automáticamente hasta que se haga clic en Desconectar. Después de desconectar, el cliente no intenta reiniciar el túnel VPN nuevamente hasta que se haga clic en Conectar. Tiempo de espera de inactividad
490
Fireware XTM Web UI
Mobile VPN con IPSec
Si el Modo de conexión está definido en Automático o Variable, el software cliente Mobile VPN with IPSec no intenta renegociar la conexión de VPN hasta que no haya tráfico desde los recursos de red disponibles a través del túnel por el período de tiempo insertado en Tiempo de espera de inactividad. Nota Las configuraciones predeterminadas de Administración de Línea son Manual y 0 segundos. Si alterar una de ellas, debe usar el archivo .ini para configurar el software cliente. 11. Haga clic en Guardar. La página Mobile VPN with IPSec se abre y el nuevo grupo IPSec aparece en la lista Grupos.
12. Haga clic en Guardar. Los usuarios que son miembros del grupo creado no pueden conectarse hasta que importen el archivo de configuración correcto en el software cliente Mobile VPN con IPSec. Se debe generar el archivo de configuración y luego proveerlo a los usuarios finales. Para generar los perfiles de usuario final para el grupo editado: 1. Seleccione VPN > Mobile VPN with IPSec. Aparece la página de "Mobile VPN with IPSec".
2. Haga clic en Generar. Nota El Fireware XTM Web UI sólo puede generar el archivo de configuración .ini de usuario móvil. Si desea generar el archivo .wgx, debe usar el Policy Manager.
Configurar el servidor de autenticación externo Si crea un grupo de usuarios Mobile VPN que se autentica en un servidor externo, asegúrese de crear un grupo en el servidor que tenga el mismo nombre que se añadió al asistente para el grupo Mobile VPN. Si usa Active Directory como su servidor de autenticación, los usuarios deben pertenecer a un grupo de seguridad de Active Directory con el mismo nombre que el nombre de grupo configurado para Mobile VPN with IPSec. Para RADIUS, VASCO o SecurID, asegúrese de que el servidor RADIUS envía un atributo Filtro-Id (atributo 11 de RADIUS) cuando un usuario se autentica con éxito, para informar al Firebox a qué grupo el usuario pertenece. El valor del atributo Filter-Id debe coincidir con el nombre del grupo Mobile VPN como aparece en las configuraciones del servidor de autenticación de Fireware XTM RADIUS. Todos los usuarios de Mobile VPN que se autentiquen en el servidor deben pertenecer a ese grupo.
Agregar usuarios a un grupo de Mobile VPN de Firebox Para abrir un túnel de Mobile VPN con el Firebox, los usuarios remotos ingresan su nombre de usuario y contraseña para autenticarse. El software del WatchGuard System Manager usa esa información para autenticar el usuario en el Firebox. Para autenticarse, los usuarios deben formar parte del grupo añadido en el Asistente para agregar VPN de usuario móvil. Para más información acerca de grupos Firebox, vea Tipos de autenticación de Firebox en la página 223.
Guía del Usuario
491
Mobile VPN con IPSec
Para añadir usuarios a un grupo caso use un servidor de autenticación de terceros, use las instrucciones en la documentación de su proveedor. Para añadir usuarios a un grupo caso use la autenticación de Firebox: 1. Seleccione Servidores >de autenticación. Aparece la página "Servidores de autenticación".
2. Seleccione la pestaña Firebox. 3. Para agregar un nuevo usuario, en la sección Usuarios, haga clic en Agregar. Aparece el cuadro de diálogo "Configurar Usuario de Firebox".
492
Fireware XTM Web UI
Mobile VPN con IPSec
4. Ingrese un Nombre y una Frase de contraseña para el nuevo usuario. La frase de contraseña debe tener al menos 8 caracteres de extensión. Ingrese la frase de contraseña nuevamente para confirmarla. La descripción no es obligatoria. Recomendamos que no cambie los valores de Tiempo de espera de sesión y Tiempo de espera inactivo.
5. En la sección Grupo de autenticación de Firebox , en la lista Disponible, seleccione el nombre de grupo y haga clic en 6. Haga clic en OK.
.
El cuadro de diálogo "Configurar Usuario de Firebox" se cierra. Aparece el nuevo usuario en la página "Servidores de autenticación" en la lista Usuarios.
7. Haga clic en Guardar.
Modificar un perfil de grupo existente de Mobile VPN con IPSec Después de crear un grupo de Mobile VPN con IPSec, puede editar el perfil en: n n n n
Cambiar la clave compartida Agregar acceso a más hosts y redes Restringir acceso a un único destination port, puerto de origen o protocolo Cambiar las configuraciones de Fase 1 y Fase 2
Guía del Usuario
493
Mobile VPN con IPSec
Configurar un grupo de Mobile VPN con IPSec 1. Seleccione VPN > Mobile VPN with IPSec. Aparece la página de "Mobile VPN with IPSec".
2. Seleccione el grupo que desea editar y haga clic en Editar. Aparece la página de "Configuración de VPN de Usuario Móvil con IPSec".
494
Fireware XTM Web UI
Mobile VPN con IPSec
3. Configure esas opciones para editar el perfil del grupo: Servidor de autenticación Seleccione el autenticación que usar para ese grupo de Mobile VPN. Puede autenticar usuarios al Firebox (Firebox-DB) o a un servidor RADIUS, VASCO, SecurID, LDAP o Active Directory Server. Asegúrese de que ese método de autenticación está activado. frases de contraseña Para cambiar la frase de contraseña que cifra el archivo .wgx, ingrese una nueva frase de contraseña. La clave compartida puede contener sólo caracteres ASCII estándares. Si usa un certificado para autenticación, ese es el PIN para el certificado. Confirmar Ingrese la nueva frase de contraseña nuevamente. Principal
Guía del Usuario
495
Mobile VPN con IPSec
Ingrese la dirección IP externa principal o dominio al cual los usuarios de Mobile VPN en ese grupo pueden conectarse. Resguardo Ingrese la dirección IP externa de resguardo o dominio al cual los usuarios de Mobile VPN en ese grupo pueden conectarse. Esa dirección IP de resguardo es opcional. Si añade una dirección IP de resguardo, asegúrese de que sea una dirección IP asignada a una interfaz externa de Firebox. Tiempo de espera de sesión Seleccione el tiempo máximo en minutos por el cual una sesión de Mobile VPN puede estar activa. Tiempo de espera inactivo Seleccione el tiempo en minutos antes que el Firebox cierre una sesión ociosa de Mobile VPN. Los valores de tiempo de espera inactivo y sesión son valores predeterminados de tiempo de espera si el servidor de autenticación no emite valores específicos de tiempo de espera. Si usa el Firebox como servidor de autenticación, los tiempos de espera para el grupo de Mobile VPN son siempre ignorados porque se definen los tiempos de espera para cada cuenta de usuario de Firebox. La sesión y los tiempos de espera inactivos no pueden ser más extensos que el valor en el campo de Duración de SA . Para definir ese valor, en el cuadro de diálogo Configuración de Mobile VPN con IPSec, haga clic en la pestaña Túnel IPSec y haga clic en Avanzado para Configuración de Fase 1. El valor predeterminado es de 8 horas. 4. Haga clic en la pestaña Túnel IPSec.
496
Fireware XTM Web UI
Mobile VPN con IPSec
5. Configure esas opciones para editar el IPSec: Use la frase de contraseña del perfil de usuario final como la clave precompartida Seleccione esa configuración para usar la frase de contraseña del perfil del usuario final como la clave precompartida para la autenticación de túnel. La frase de contraseña es definida en la pestaña General en la sección Frase de contraseña. Debe usar la misma clave compartida en el dispositivo remoto y esa clave puede contener solamente caracteres ASCII estándares. Usar un certificado Seleccione esa opción para usar un certificado para autenticación de túnel. Para más informaciones, vea Use certificados autenticados para el túnel VPN Mobile con IPSec en la página 399. Dirección IP de CA Si elige usar un certificado, ingrese la dirección IP del Management Server que fue configurado como autoridad de certificación. Tiempo de espera Si elige usar un certificado, ingrese el tiempo en segundos antes del cual el cliente de Mobile VPN with IPSec deja de intentar conectarse a la autoridad de certificación que no responde. Recomendamos que use la configuración predeterminada.
Guía del Usuario
497
Mobile VPN con IPSec
Configuraciones de Fase 1 Seleccione los métodos de autenticación y cifrado para los túneles de Mobile VPN. Para realizar configuraciones avanzadas, tal como NAT Traversal o grupo de clave, haga clic en Avanzado y Definir configuraciones avanzadas de Fase 1. Las opciones de Cifrado aparecen en la lista en orden del más simple y menos seguro al más complejo y más seguro. DES 3DES AES (128 bits) AES (192 bits) AES (256 bit) Configuraciones de Fase 2 Seleccione el PFS (Perfect Forward Secrecy) para activar el PFS y definir el grupo DiffieHellman. Para alterar otra configuración de propuesta, haga clic en Avanzado y Definir configuración avanzada de Fase 2. 6. Haga clic en la pestaña Recursos.
498
Fireware XTM Web UI
Mobile VPN con IPSec
7. Defina esas opciones para editar las configuraciones: Permitir todo el tráfico a través del túnel Para enviar todo el tráfico de Internet de usuario de Mobile VPN a través del túnel VPN, seleccione esa casilla de verificación. Si seleccione esa casilla, el tráfico de Internet del usuario de Mobile VPN es enviado a través de la VPN. Eso es más seguro, pero el acceso al sitio web puede ser lento. Si no seleccione esa casilla, el tráfico de Internet del usuario de Mobile VPN es enviado directamente a Internet. Eso es menor seguro, pero los usuarios pueden navegar por Internet más rápidamente. Lista de Recursos Permitidos Esa lista incluye los recursos de red que están disponibles a los usuarios en el grupo Mobile VPN. Para agregar una dirección IP o una dirección IP de red a la lista de recursos de red, seleccione IP del host o IP de red, ingrese la dirección y haga clic en Agregar.
Guía del Usuario
499
Mobile VPN con IPSec
Para eliminar la dirección IP o la dirección IP de red de la lista de recursos, seleccione un recurso y haga clic en Remover. Conjunto de direcciones IP virtuales Las direcciones IP internas que son usadas por los usuarios de Mobile VPN por el túnel aparecen en esa lista. Esas direcciones no pueden ser usadas por ningún dispositivo de red ni por otro grupo de Mobile VPN. Para agregar una dirección IP o una dirección IP de red al conjunto de direcciones IP virtuales, seleccione IP de host o IP de redo ingrese la dirección y haga clic en Agregar. Para quitarla del conjunto de direcciones IP virtuales, seleccione un host o una dirección IP de red y haga clic en Remover. 8. Haga clic en la pestaña Avanzado.
9. Configurar la Administración de Línea: Modo de conexión Manual — En ese modo, el cliente no intenta reiniciar el túnel VPN automáticamente caso esté desactivado. Esa es la configuración predeterminada. Para reiniciar el túnel VPN, debe hacer clic en Conectar en el Monitor de Conexión, o hacer clic con el botón derecho en el icono de Mobile VPN en la barra de herramientas del escritorio Windows y hacer clic en Conectar. Automático — En ese modo, el cliente intenta iniciar la conexión cuando su equipo envía tráfico a un destino que puede alcanzar a través de la VPN. El cliente también intenta reiniciar el túnel VPN automáticamente caso esté quede sin disponibilidad. Variable — En ese modo, el cliente intenta reiniciar el túnel VPN automáticamente hasta que se haga clic en Desconectar. Después de desconectar, el cliente no intenta reiniciar el túnel VPN nuevamente hasta que se haga clic en Conectar. Tiempo de espera de inactividad Si define el Modo de conexión en Automático o Variable, el software cliente Mobile VPN with IPSec no intenta renegociar la conexión de VPN por el tiempo especificado.
500
Fireware XTM Web UI
Mobile VPN con IPSec
Nota Las configuraciones predeterminadas de Administración de Línea son Manual y 0 segundos. Si alterar una de ellas, debe usar el archivo .ini para configurar el software cliente. 10. Haga clic en Guardar. Aparece la página de "Mobile VPN with IPSec".
11. Haga clic en Guardar. Los usuarios finales que son miembros del grupo editado no pueden conectarse hasta que importen el archivo de configuración correcto en el software cliente Mobile VPN con IPSec. Se debe generar el archivo de configuración y luego proveerlo a los usuarios finales. Para generar los perfiles de usuario final para el grupo editado: 1. Seleccione VPN > Mobile VPN with IPSec. Aparece la página de "Mobile VPN with IPSec".
2. Haga clic en Generar. Nota El Fireware XTM Web UI sólo puede generar el archivo de configuración .ini de usuario móvil. Si desea generar el archivo .wgx, debe usar el Policy Manager.
Definir configuraciones avanzadas de Fase 1 Puede definir las configuraciones avanzadas de Fase 1 para su perfil del usuario de Mobile VPN. 1. En la página Editar Mobile VPN with IPSec, haga clic en la pestaña Túnel IPSec. 2. En la sección Configuración de Fase 1, haga clic en Avanzado. Aparece la "Configuración Avanzada de Fase 1".
Guía del Usuario
501
Mobile VPN con IPSec
3. Configurar las opciones para el grupo, tal como se describe en las siguientes secciones. Recomendamos que use las configuraciones predeterminadas. 4. Haga clic en Guardar.
Opciones de Fase 1 Duración de SA Seleccione una duración de SA (asociación de seguridad) y seleccione Hora o Minuto en la lista desplegable. Cuando la SA caduca, se inicia una nueva negociación de Fase 1. Una duración más corta de SA es más segura pero la negociación de SA puede producir errores en las conexiones existentes. Grupo de claves Seleccione un grupo Diffie-Hellman. WatchGuard soporta grupos 1, 2 y 5. Los grupos Diffie-Hellman determinan la fuerza de la clave maestra usada en el proceso de intercambio de claves. Cuando más alto sean los números, más seguro, pero se usa más tiempo y recursos en el equipo cliente y el Firebox debe generar las claves.
502
Fireware XTM Web UI
Mobile VPN con IPSec
NAT Traversal Seleccione esta casilla de verificación para establecer un túnel de Mobile VPN entre el Firebox y otro dispositivo que esté detrás de un dispositivo NAT. La NAT Traversal, o la Encapsulación de UDP, permite que el tráfico sea enrutado a los destinos correctos. IKE keep-alive Seleccione esta casilla de verificación solo si este grupo se conecta a un dispositivo WatchGuard más antiguo y no soporta la Dead Peer Detection. Todos los dispositivos WatchGuard con Fireware v9.x o inferior, Edge v8.x o inferior y todas las versiones del WFS no soportan la Dead Peer Detection. Para esos dispositivos, seleccione esta casilla de verificación para activar el Firebox para que envíe mensajes a su punto IKE para mantener el túnel VPN abierto. No seleccionar IKE keep-alive y Detección de punto. Intervalo de mensajes Seleccione el número de segundos para el intervalo de mensajes de mantener conexión IKE. Máx. de fallas Estipule un número máximo de veces que el Firebox espera una respuesta de los mensajes de mantener conexión IKE antes de terminar la conexión de VPN e iniciar nueva negociación de Fase 1. Dead Peer Detection Seleccione esta casilla de verificación para activar la Dead Peer Detection (DPD). Ambos extremos deben soportar la DPD. Todos los dispositivos WatchGuard con Fireware v10.x y Edge v10.x o superior soportan la DPD. No seleccionar IKE keep-alive y Detección de punto. La DPD está basada en RFC 3706 y usa estándares de tráfico de IPSec para determinar si una conexión está disponible antes que se envíe un paquete. Cuando selecciona la DPD, se envía un mensaje al punto cuando no se recibió ningún tráfico del punto dentro del período de tiempo seleccionado. Si la DPD determina que un punto no está disponible, no se hacen intentos adicionales de conexión. Tiempo de espera inactivo de tráfico Defina el número de segundos que el Firebox espera antes de verificar si el otro dispositivo está activo. Cantidad máxima de reintentos Defina el número máximo de veces que el Firebox intenta conectarse antes de determinar que el punto no está disponible, terminar la conexión de VPN e iniciar nueva negociación de Fase 1.
Definir configuraciones avanzadas Configuraciones de Fase 2 Puede definir las configuraciones avanzadas de Fase 2 para su perfil del usuario de Mobile VPN. 1. En la página Editar Mobile VPN with IPSec, haga clic en la pestaña Túnel IPSec. 2. En la sección Configuración de Fase 2, haga clic en Avanzado. Aparece la "Configuración Avanzada de Fase 2".
Guía del Usuario
503
Mobile VPN con IPSec
3. Configurar las opciones de Fase 2, tal como se describe en la siguiente sección. Recomendamos que use las configuraciones predeterminadas. 4. Haga clic en Guardar.
Opciones de Fase 2 Tipo Las dos opciones de método de propuesta son ESP o AH. Sólo el ESP es compatible actualmente. Autenticación Seleccione el método de autenticación: SHA1 o MD5. Cifrado Seleccione un método de cifrado. Las opciones están en la lista en orden del más simple y menos seguro al más complejo y más seguro. n n n n n
504
DES 3DES AES(128 bits) AES (192 bits) AES (256 bits)
Fireware XTM Web UI
Mobile VPN con IPSec
Forzar Caducidad de Clave Para regenerar los extremos de puerta de enlace e intercambiar nuevas claves después de un período de tiempo o después que pase una cantidad de tráfico por la puerta de enlace, seleccione esa casilla de verificación. En el campo Forzar caducidad de clave, seleccione la período de tiempo y número de kilobytes que puede pasar antes que la clave caduque. Si Forzar caducidad de Clave está desactivado, o si está activado y la hora y el número de kilobytes está puestos en cero, el Firebox usa la hora de caducidad de la clave definida para el punto. Si ésta también está desactivada o en cero, Firebox usa una hora predeterminada de caducidad de clave de 8 horas. El período máximo de tiempo que puede pasar antes que caduque una clave es un año.
Configurado servidores WINS y DNS. Los clientes de Mobile VPN dependen de direcciones compartidas de servidores Windows Internet Name Server (WINS) y Sistema de domain name (DNS). DNS traduce los nombres de host en direcciones IP. WINS determina los nombres NetBIOS en direcciones IP. Estos servidores deben ser accesibles desde la interfaz de confianza Firebox. Asegúrese de utilizar sólo un servidor DNS interno. No utilice servidores DNS externos. 1. Seleccione Interfaces de >red. Aparece la página de Interfaces de red.
Guía del Usuario
505
Mobile VPN con IPSec
2. En el cuadro de texto Domain name, ingrese un domain name para el servidor DNS. 3. En los cuadros de texto Servidores DNS y Servidores WINS , ingrese las direcciones de los servidores WINS y DNS. 4. Haga clic en Guardar.
Bloquear un perfil del usuario final Puede usar la configuración global para bloquear el perfil del usuario final para que los usuarios puedan ver algunas configuraciones, pero no alterarlas, y ocultar otras configuraciones para que los usuarios no puedan alterarlas. Recomendamos que bloquee todos los perfiles, para que los usuarios no puedan hacer alteraciones en sus perfiles. Esa configuración es para los archivos de perfil del usuario final .wgx. No se puede transformar los archivos .ini de perfil del usuario final en solo lectura. 1. Seleccione VPN > Mobile VPN with IPSec. 2. Para dar a los usuarios móviles acceso de solo lectura a sus perfiles, seleccione la casilla Transformar las políticas de seguridad en solo lectura en el cliente de Mobile VPN.
506
Fireware XTM Web UI
Mobile VPN con IPSec
Nota Esa configuración se aplica solamente a archivos .wgx. Debe usar el Policy Manager para generar archivos .wgx para sus usuarios.
Archivos de configuración de Mobile VPN con IPSec Para configurar el cliente Mobile VPN con IPSec, se importa un archivo de configuración. El archivo de configuración también se llama perfil del usuario final. Hay dos tipos de archivos de configuración. .wgx Los archivos .wgx son cifrados y pueden ser configurados para que el usuario final no pueda cambiar las configuraciones en el software cliente Mobile VPN con IPSec. Un archivo .wgx no puede configurar la Administración de Línea en el software cliente. Si define la Administración de Línea en otro modo que no sea Manual, debe usar un archivo de configuración .ini. Para más informaciones, vea Bloquear un perfil del usuario final. .ini El archivo .ini es usado solo si no se define la Administración de Línea en Manual. El archivo de configuración .ini no está cifrado. Para más información, vea Administración de Línea en la pestaña Avanzado Modificar un perfil de grupo existente de Mobile VPN con IPSec. Cuando configura un grupo Mobile VPN with IPSec por primera vez, o si hace un cambio en las configuraciones de un grupo, debe generar el archivo de configuración para el grupo y proveerlo a los usuarios finales. Para usar el Fireware XTM Web UI para generar un perfil de usuario final para un grupo: 1. Seleccione VPN > Mobile VPN> IPSec. 2. Seleccione el grupo Mobile VPN y haga clic en Generar. 3. Seleccione una ubicación para guardar el archivo de configuración .ini. Ahora puede distribuir el archivo de configuración a los usuarios finales. Nota El Fireware XTM Web UI sólo puede generar el archivo de configuración .ini de usuario móvil. Si desea generar el archivo .wgx, debe usar el Policy Manager.
Configurar políticas para filtrar tráfico de Mobile VPN En una configuración predeterminada, los usuarios de Mobile VPN con IPSec tienen acceso completo a los recursos de Firebox con la política Cualquiera. La política Cualquiera permite el tráfico en todos los puertos y protocolos entre el usuario de Mobile VPN y los recursos de red disponibles a través del túnel Mobile VPN. Para restringir el tráfico del usuario de la VPN por puerto y protocolo, puede eliminar la política
Guía del Usuario
507
Mobile VPN con IPSec
Cualquiera y remplazarla por políticas para restringir acceso.
Agregar una política individual 1. Seleccione Firewall> Políticas de Mobile VPN. 2. Debe seleccionar un grupo antes de añadir una política. 3. Agregar, editar y eliminar políticas, tal como se describe en Acerca de políticas en la página 251.
Distribuir el software y los perfiles WathGuard recomienda que distribuya los perfiles del usuario final a través de correo electrónico cifrado u otro método seguro. Cada equipo cliente debe tener: n
Paquete de instalación de software El paquete de instalación WatchGuard Mobile VPN with IPSec está ubicado en el sitio web de LiveSecurity Service en:https://www.watchguard.com/archive/softwarecenter.asp Para descargar el software, debe registrarse en el sitio con su nombre de usuario y contraseña de LiveSecurity Service.
n
El perfil de usuario final Ese archivo contiene el nombre del grupo, la clave compartida y las configuraciones que permiten que un equipo remoto se conecte con seguridad por Internet a una red privada y protegida. El perfil de usuario final tiene el nombre de archivo nombregrupo.wgx. La ubicación predeterminada del archivo .wgx es: C:\Documents and Settings\All Users\Shared WatchGuard \muvpn\\ Configuraciones Globales.. Para más informaciones acerca de esas configuraciones, vea Acerca de las configuraciones de VPN Global en la página 438.
Ver el número de licencias de Mobile VPN Puede ver el número de licencias de Mobile VPN que están instaladas en la Tecla de Función. 1. En el Fireware XTM Web UI, seleccione Sistema > Tecla de función. Aparece la página "Tecla de Función".
Guía del Usuario
509
Mobile VPN con IPSec
2. Deslice hacia abajo hasta Usuarios de Mobile VPN en la columna Función, y busque el número en la columna Valor. Ese es el número máximo de usuarios de Mobile VPN que pueden conectarse al mismo tiempo.
Adquirir licencias adicionales de Mobile VPN El Mobile VPN with IPSec de WatchGuard es una función opcional. Cada dispositivo Firebox X incluye algunas licencias de Mobile VPN. Es posible adquirir más licencias para Mobile VPN. Las licencias están disponibles a través de su revendedor local o en el sitio web de WatchGuard: http://www.watchguard.com/sales
Agregar teclas de función Para más información acerca de cómo añadir teclas de función, vea Acerca de las teclas de función en la página 51.
Mobile VPN y failover de VPN Puede configurar túneles VPN para hacer conmutación por error a un extremo de resguardo si el extremo principal queda no disponible. Para más información acerca del failover de VPN, vea Configurar Failover de VPN en la página 456. Si la conmutación por error (failover) de VPN está configura y ocurre una conmutación por error, las sesiones de Mobile VPN no tienen continuidad. Debe autenticar su cliente de Mobile VPN nuevamente para hacer un nuevo túnel de Mobile VPN. Para configurar un failover de VPN para túneles de Mobile VPN: 1. En el Fireware XTM Web UI , seleccione VPN > Mobile VPN with IPSec. Aparece la página de "Configuración de Mobile VPN con IPSec".
2. Seleccione un grupo de usuarios móviles en la lista y haga clic en Editar. Aparece el cuadro de diálogo de "Editar Mobile VPN with IPSec".
3. Seleccione la pestaña General. 4. En la sección Direcciones IP de Firebox, ingrese la dirección IP de interfaz WAN de resguardo en el campo Dirección IP de resguardo . Puede especificar sólo una interfaz de resguardo hacia la cual los túneles conmutan por error, aunque tenga interfaces WAN adicionales.
Configurar Mobile VPN with IPSec para una dirección IP dinámica Recomendamos que use o una dirección IP estática para un Firebox que sea un extremo de VPN o use DNS dinámico. Para más información acerca del DNS dinámico, vea Página Acerca de Servicio DNS dinámico en la página 88.
510
Fireware XTM Web UI
Mobile VPN con IPSec
Si ninguna de esas opciones es posible y la dirección IP externa del Firebox cambia, debe otorgar un nuevo archivo de configuración .wgx a los usuarios de IPSec remoto o pedirles que editen la configuración cliente para que ésta incluya la nueva dirección IP siempre que la dirección IP cambie. De lo contrario, los usuarios IPSec no pueden conectarse hasta que obtengan el nuevo archivo de configuración o dirección IP. Use estas instrucciones para configurar el Firebox y dar soporte a los usuarios del cliente IPSec si el Firebox tiene una dirección IP dinámica y no puede usar un DNS dinámico.
Mantenga un registro de la dirección IP actual Use ese procedimiento para encontrar la dirección IP actual de la interfaz externa de Firebox: 1. En el Fireware XTM Web UI, seleccione Estado del sistema> Interfaces. 2. Busque la interfaz con el alias Externo y busque la dirección IP en la columna IP . Esa es la dirección IP externa del Firebox. Esa es la dirección IP guardada en los archivos de configuración .wgx. Cuando los usuarios remotos dicen que no pueden conectarse, verifique la dirección IP externa del Firebox para ver si la dirección IP cambió.
Configurar los equipos clientes Firebox e IPSec El Firebox debe tener una dirección IP asignada a la interfaz externa antes que se descarguen los archivos .wgx. Esa es la única diferencia de la configuración normal de los equipos clientes Firebox e IPSec.
Actualizar las configuración del cliente cuando cambia la dirección Cuando la dirección IP externa del Firebox cambia, los equipos clientes de Mobile VPN con IPSec remoto no pueden conectarse hasta que sean configurados con una nueva dirección IP. Se puede cambiar la dirección IP de dos maneras. n n
Otorgue un nuevo archivo de configuración .wgx a los usuarios remotos para que lo importen. Solicite a los usuarios remotos que editen manualmente la configuración del cliente IPSec. Para esa opción, debe configurar el Firebox para que los usuarios remotos puedan editar la configuración. Para más informaciones, vea Bloquear un perfil del usuario final en la página 506.
Para otorgar un nuevo archivo de configuración .wgx a los usuarios remotos: 1. En el Fireware XTM Web UI, seleccione VPN >Mobile VPN with IPSec. 2. Seleccione un grupo de usuarios de Mobile VPN y haga clic en Generar para crear y descargar los archivos .wgx. 3. Distribuya los archivos .wgx a los usuarios remotos. 4. Solicite que los usuarios remotos Importar el perfil de usuario final. Para que los usuarios editen manualmente la configuración cliente: 1. Otorgue a los usuarios remotos la nueva dirección IP externa del Firebox y solicite que sigan los próximos cinco pasos. 2. En el equipo cliente IPSec seleccione Inicio > Todos los programas > WatchGuard Mobile VPN > Mobile VPN Monitor. 3. Seleccione Configuración > Configuración de perfil. 4. Seleccione el perfil y haga clic en Configurar.
Guía del Usuario
511
Mobile VPN con IPSec
5. En la columna de la izquierda, seleccione Configuración general de IPSec. 6. Para Puerta de enlace, ingrese la nueva dirección IP externa del Firebox.
Página Acerca de cliente Mobile VPN with IPSec El cliente Mobile VPN con IPSec de WatchGuard es instalado en un equipo cliente móvil, caso el usuario viaje o trabaje desde su casa. El usuario se conecta con una conexión a Internet estándar y activa el cliente Mobile VPN para acceder a los recursos protegidos de red. El cliente Mobile VPN crea un túnel cifrado hacia sus redes de confianza y opcional, que están protegidas por un Firebox de WatchGuard. El cliente Mobile VPN permite proveer acceso remoto a sus redes internas y no comprometer su seguridad.
Requisitos del cliente Antes de instalar el cliente, asegúrese que entiende esos requisitos y recomendaciones. Debe configurar su Firebox para que funcione con Mobile VPN with IPSec. Si todavía no lo hizo, vea los tópicos que describen cómo configurar su Firebox para usar Mobile VPN. n
n
n
n
n
n
Puede instalar el software cliente Mobile VPN con IPSec en cualquier equipo con Windows 2000, Windows XP (32 bits y 64 bits), Windows Vista (32 bits y 64 bits) o Windows 7 (32 bits y 64 bits). Antes de instalar el software cliente, asegúrese de que el equipo remoto no tenga un software cliente Mobile User VPN de IPSec instalado. También debe desinstalar cualquier software de firewall de escritorio (que no sea el software de firewall de Microsoft) de cada equipo remoto. Si el equipo cliente usa Windows XP, debe iniciar sesión usando una cuenta que tenga derechos de administrador para instalar el software cliente Mobile VPN e importar el archivo de configuración .wgx o .ini. Después que el cliente haya sido instalado y configurado, los derechos de administrador no son requeridos para conectarse. Si el equipo cliente usa Windows Vista, debe iniciar sesión usando una cuenta que tenga derechos de administrador para instalar el software cliente Mobile VPN. Los derechos de administrador no son necesarios para importar un archivo .wgx o .ini o para conectarse después que el cliente haya sido instalado. Recomendamos que se asegure de que todos los service packs disponibles estén instalados antes de instalar el software cliente Mobile VPN. Se obtiene la configuración de WINS y DNS para el cliente Mobile VPN en el perfil del cliente que importa cuando configura su cliente Mobile VPN. Recomendamos que no altere la configuración de ningún cliente Mobile VPN que no esté explícitamente descrita en esta documentación.
Instalar el software cliente de Mobile VPN con IPSec El proceso de instalación consiste de dos partes: instalar el software cliente en el equipo remoto e importar el perfil de usuario final en el cliente. Antes de iniciar la instalación, asegúrese de tener los siguientes componentes de instalación: n n
512
El archivo de instalación de Mobile VPN Un perfil de usuario final, con una extensión de archivo .wgx o .ini
Fireware XTM Web UI
Mobile VPN con IPSec
n n n
frases de contraseña Un archivo cacert.pem y un .p12 (si usa certificados para autenticar) Nombre de usuario y contraseña Nota Tome nota de la clave compartida y manténgala en un lugar seguro. Debe usarla durante los pasos finales del procedimiento de instalación.
Para instalar el cliente: 1. Copie el archivo de instalación de Mobile VPN en el equipo remoto y extraiga los contenidos del archivo. 2. Copie el perfil del usuario final (el archivo .wgx o .ini) en el directorio raíz en el equipo remoto (cliente o usuario). No ejecute el software de instalación a partir de un CD u otra unidad externa. Si usa certificados para autenticarse, copie los archivos cacert.pem y .p12 en el directorio raíz.
3. Haga doble clic en el archivo .exe extraído en el Paso 1. Eso inicia el WatchGuard Mobile VPN Installation wizard. Debe reiniciar su equipo cuando el asistente de instalación se reinicia. Para instrucciones detalladas para usuarios finales clientes de Mobile VPN con IPSec, vea Instrucciones de usuario final para la instalación del cliente VPN Mobile con IPSec de WatchGuard en la página 526.
Importar el perfil de usuario final Cuando el equipo se reinicia, abre el cuadro de diálogo WatchGuard Mobile VPN Connection Monitor. Cuando el software se inicia por primera vez después de instalarlo, encuentra este mensaje: ¡No hay perfil para el marcado de VPN! ¿Desea usar el asistente de configuración para crear un perfil ahora?
Haga clic en No. Para apagar la funcionalidad de inicio automático del Connection Monitor, seleccione Ver > Inicio automático > No iniciar automáticamente. Para importar un archivo .wgx o .ini de configuración de Mobile VPN: 1. En el escritorio del Windows, seleccione Inicio > Todos los programas > WatchGuard Mobile VPN > Monitor de Mobile VPN. 2. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuración > Importar perfil. Se inicia el Asistente de Importación de Perfil.
3. En la pantalla Seleccionar perfil de usuario, vaya hacia la ubicación del archivo de configuración .wgx o .ini. 4. Haga clic en Siguiente. 5. Si usa un archivo .wgx, en la pantalla Descifrar persil de usuario, ingrese la frase de contraseña. La frase de contraseña distingue mayúsculas de minúsculas. 6. Haga clic en Siguiente. 7. En la pantalla Sobrescribir o agregar perfil, puede seleccionar sobrescribir un perfil con el mismo nombre. Eso es útil si su administrador de red le ofrece un nuevo archivo .wgx para importar. 8. Haga clic en Siguiente.
Guía del Usuario
513
Mobile VPN con IPSec
9. En la pantalla Autenticación, puede seleccionar si desea ingresar el nombre de usuario y contraseña que usa para autenticar el túnel VPN. Si mantiene esos campos vacíos, se solicita que inserte su nombre de usuario y contraseña siempre que se conecte. Si inserta su nombre de usuario y contraseña, el Firebox los almacena y no hace falta inserir esa información siempre que se conecte. No obstante, eso representa un riesgo de seguridad. También puede ingresar sólo su nombre de usuario y mantener el campo contraseña vacío. 10. Haga clic en Siguiente. 11. Haga clic en Finalizar. El equipo ahora está listo para usar el Mobile VPN with IPSec.
Seleccione un certificado e ingrese el PIN Si usa certificados para autenticación, debe seleccionar el certificado correcto para la conexión. Debe tener un archivo cacert.pem y un .p12. 1. Seleccione Configuración> Certificados. 2. Haga doble clic en una configuración de certificado para abrirla. 3. En la pestaña Certificado de usuario, seleccione del archivo PKS#12 en la lista desplegable Certificado. 4. Al lado del cuadro de texto Nombre de archivo PKS#12, haga clic en el botón y examine la ubicación del archivo .p12. 5. Haga clic en OK. 6. Seleccione Conexión > Insertar PIN. 7. Ingrese el PIN y haga clic en Aceptar. El PIN es la frase de contraseña insertada para cifrar el archivo cuando esté ejecutando el "Add Mobile User VPN Wizard".
Desinstalar el cliente Mobile VPN Puede ser necesario desinstalar el cliente Mobile VPN. Recomendamos que use la herramienta de Windows Agregar/Quitar programas para desinstalar el cliente Mobile VPN. Después que se instala el software cliente Mobile VPN por primera vez, no es necesario desinstalarlo antes de aplicar una actualización al software cliente. Antes de iniciar, desconecte todos los túneles y cierre el Mobile VPN Connection Monitor. Desde el escritorio de Windows: 1. Haga clic en Inicio > Configuración > Panel de control. Aparece la ventana "Panel de control".
2. Haga doble clic en el icono de Agregar/Quitar Programas. Aparece la ventana Agregar/Quitar Programas.
3. Seleccione WatchGuard Mobile VPN y haga clic en Alterar/Quitar. Aparece la venta del Asistente InstallShield.
4. Haga clic en Quitar y después en Siguiente. Aparece el cuadro de diálogo Confirmar eliminación de archivo.
514
Fireware XTM Web UI
Mobile VPN con IPSec
5. Haga clic en Aceptar para remover completamente todos los componentes. Si no selecciona esa casilla de verificación al final de la desinstalación, la próxima vez que instala el software Mobile VPN, la configuración de conexión de esa instalación será usada para la nueva instalación.
Conecte y desconecte el cliente Mobile VPN El software cliente Mobile VPN con IPSec de WatchGuard establece una conexión segura por Internet desde un equipo remoto hacia su red protegida. Para iniciar esa conexión, debe conectarse a Internet y usar el cliente Mobile VPN para conectarse a la red protegida. Establezca su conexión a Internet a través de una conexión de red de marcado o una conexión LAN. Luego, use las instrucciones abajo para seleccionar su perfil, conectar y desconectar, haciendo clic con el botón derecho en el icono en su barra de herramientas de Windows. 1. En el escritorio del Windows, seleccione Inicio > Todos los programas > WatchGuard Mobile VPN > Monitor de Mobile VPN. 2. En la lista desplegable Perfil, seleccione el nombre del perfil creado para sus conexiones de Mobile VPN al Firebox.
3. Haga clic en
para conectarse.
Desconectar el cliente Mobile VPN En el cuadro de diálogo Monitor de Mobile VPN, haga clic en
para desconectar.
Controlar el comportamiento de conexión Para cada perfil importado, puede controlar la acción que el software cliente Mobile VPN toma cuando el túnel VPN deja de estar disponible por cualquier motivo. Puede hacer esas configuraciones en el dispositivo WatchGuard y usar un archivo .ini para configurar el software cliente. Un archivo .wgx no cambia esas configuraciones.
Guía del Usuario
515
Mobile VPN con IPSec
Para definir manualmente el comportamiento del cliente Mobile VPN cuando el túnel VPN deja de estar disponible: 1. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuración > Perfiles. 2. Seleccione el nombre del perfil y haga clic en Editar.
3. En el panel izquierdo, seleccione Administración de línea.
4. Use la lista desplegable Modo de conexión para definir un comportamiento de conexión para ese perfil. n Manual — Cuando selecciona el modo de conexión manual, el cliente no intenta reiniciar el túnel VPN automáticamente caso esté desactivado. Para reiniciar el túnel VPN, debe hacer clic en el botón Conectar en el Monitor de Conexión, o hacer clic con el botón derecho en el icono de Mobile VPN en la barra de herramientas del escritorio Windows y hacer clic en Conectar.
516
Fireware XTM Web UI
Mobile VPN con IPSec
Automático — Cuando selecciona el modo de conexión automático, el cliente intenta iniciar la conexión cuando su equipo envía tráfico a un destino que puede alcanzar a través de la VPN. El cliente también intenta reiniciar el túnel VPN automáticamente caso esté desactivado. n Variable — Cuando selecciona el modo de conexión variable, el cliente intenta reiniciar el túnel VPN automáticamente hasta que se haga clic en Desconectar. El cliente no intenta reiniciar el túnel VPN nuevamente hasta que se haga clic en Conectar. 5. Haga clic en OK. n
Icono del cliente Mobile User VPN El El icono de Mobile User VPN aparece en la bandeja de sistema del escritorio de Windows mostrando el estado del firewall de escritorio, del firewall de enlace y de la red VPN. Puede hacer clic con el botón derecho en el icono para conectar y desconectar el Mobile VPN y ver cuál perfil está en uso.
Vea los mensajes de registro del Mobile VPN Puede usar el archivo de registro del cliente Mobile VPN para solucionar problemas con la conexión del cliente VPN. Para ver los mensajes de registro de Mobile VPN, seleccione Registro> Libro de registro del Monitor de Conexión. Aparece el cuadro de diálogo "Libro de Registros".
Proteger su equipo con el firewall de Mobile VPN El cliente Mobile VPN con IPSec de WatchGuard incluye dos componentes de firewall:
Guía del Usuario
517
Mobile VPN con IPSec
Firewall de enlace El firewall de enlace no está activado por defecto. Cuando el firewall de enlace está activado, su equipo desecha los paquetes recibidos de otros equipos. Puede elegir activar el firewall de enlace sólo cuando un túnel de Mobile VPN esté activo, manténgalo habilitado todo el tiempo. Firewall de escritorio Ese firewall completo puede controlar las conexiones hacia y desde su equipo. Puede definir redes conocidas y definir reglas de acceso separadamente para redes desconocidas o conocidas.
Activar el firewall del enlace Cuando el firewall de enlace está activado, el software cliente Mobile VPN desecha los paquetes enviados a su equipo desde otros hosts. Sólo permite paquetes enviados a su equipo en respuesta a paquetes a su vez enviados por su equipo. Por ejemplo, si envía una solicitud a un servidor HTTP a través de un túnel desde su equipo, el tráfico de respuesta desde el servidor HTTP está permitido. Si un host intenta enviar una solicitud HTTP a su equipo a través del túnel, ésta es negada. Para activar el firewall de enlace: 1. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuración > Perfiles. 2. Seleccione el perfil para el cual desea activar el firewall de enlace y seleccione Editar. 3. En el panel izquierdo, seleccione Firewall de enlace.
4. En la lista desplegable Inspección de estado, seleccione cuando conectado o siempre. Si selecciona "cuando conectado", el firewall de enlace funciona solo cuando el túnel VPN está activo para este perfil. Si selecciona siempre, el firewall de enlace está siempre activo, esté el túnel VPN activo o no. 5. Haga clic en OK.
518
Fireware XTM Web UI
Mobile VPN con IPSec
Página Acerca de firewall de escritorio Cuando activa una regla en sus configuraciones de firewall, debe especificar a qué tipo de red la regla se aplica. En el cliente Mobile VPN, hay tres tipos diferentes de redes: Redes VPN Redes definidas para el cliente en el perfil del cliente que importan. Redes desconocidas Cualquier rede no especificada en el firewall. Redes conocidas Cualquier red especificada en el firewall como conocida. Para más información acerca de cómo activar un firewall de escritorio, vea Activar firewall de escritorio en la página 519.
Activar firewall de escritorio Para activar el firewall de escritorio completo: 1. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuración > Firewall. El firewall está desactivado por defecto.
2. Cuando activa el firewall, debe elegir entre dos modos de firewall: n Configuración básica bloqueada — Cuando activa ese modo, el firewall niega todas las conexiones hacia o desde su equipo, excepto si creó una regla para permitir la conexión. n Configuración básica abierta — Cuando activa ese modo, el firewall permite todas las conexiones, excepto si creó una regla para negar la conexión.
Guía del Usuario
519
Mobile VPN con IPSec
3. Haga clic en OK. Después de activar el firewall de escritorio, puede configurar su firewall. Para más información acerca de cómo definir redes conocidas y crear reglas de firewall, vea Definir redes conocidas en la página 520 y Crear reglas de firewall en la página 521.
Definir redes conocidas Puede generar un conjunto de reglas de firewall para redes conocidas específicas que usted defina. Por ejemplo, si desea usar el cliente Mobile VPN en una red local en la cual desea que su equipo esté disponible para otros equipos, puede añadir la dirección de red de esa LAN como red conocida. Eso hace que las reglas de firewall para esa LAN sean diferentes de las reglas de firewall creadas para conexiones hacia Internet y redes VPN remotas. 1. En el cuadro de diálogo Configuración de firewall, haga clic en la pestaña Redes conocidas. 2. Haga clic en Agregar para añadir una nueva red conocida. La función de detección automática de Red Conocida no funciona correctamente en esta versión del software cliente Mobile VPN con IPSec.
520
Fireware XTM Web UI
Mobile VPN con IPSec
Crear reglas de firewall Puede crear excepciones al modo de firewall definido en la activación del firewall en la pestaña Reglas de firewall del cuadro de diálogo Configuración de firewall. Por ejemplo, si seleccionó Configuración básica bloqueada al activar el firewall, entonces las reglas creadas aquí permiten el tráfico. Si seleccionó Configuración básica abierta, las reglas creadas aquí niegan el tráfico. Las reglas de firewall pueden incluir múltiples números de puerto desde un único protocolo. Seleccione o limpie las casillas de verificación abajo Ver configuración para mostrar o ocultar categorías de reglas de firewall. Algunas opciones no están disponibles en el Mobile VPN para la versión de Windows Mobile del firewall de escritorio.
Para crear una regla, haga clic en Agregar. Use las cuatro pestañas en el cuadro de diálogo Entrada de regla de firewall para definir el tráfico que desea controlar: n n n n
Pestaña General Pestaña Local Pestaña Remoto Pestaña Aplicaciones
Guía del Usuario
521
Mobile VPN con IPSec
Pestaña General Puede definir las propiedades básicas de sus reglas de firewall en la pestaña General del cuadro de diálogo Entrada de regla de firewall. Nombre de la regla Ingrese un nombre descriptivo para esa regla. Por ejemplo, puede crear una regla llamada "navegación web" que incluya tráfico en puertos de TCP 80 (HTTP), 8080 (HTTP alternativo) y 443 (HTTPS). Estado Para hacer que una regla esté inactiva, seleccione Desactivar. Las nuevas reglas son activas por defecto. Dirección Para aplicar la regla al tráfico proveniente de su equipo, seleccione saliente. Para aplicar la regla al tráfico que es enviado a su equipo, seleccione entrante. Para aplicar la regla a todo el tráfico, seleccione bidireccional. Asignar regla a Seleccionar las casillas al lado de los tipos de red a los que se aplica esa regla. Protocolo Use esa lista desplegable para seleccionar el tipo de tráfico de red que desea controlar.
522
Fireware XTM Web UI
Mobile VPN con IPSec
Pestaña Local Puede definir los puertos y las direcciones IP locales que son controlados por su regla de firewall en la pestaña Local en el cuadro de diálogo Entrada de regla de firewall. Recomendamos que, en cualquier regla, configure las Direcciones IP locales para activar el botón de radio Cualquier dirección IP. Si configura una política entrante, puede añadir los puertos con los cuales controlar esa política en la configuración de Puertos Locales. Si desea controlar más de un puerto a en la misma política, seleccione Varios puertos o rangos. Haga clic en Nuevo para agregar cada puerto. Si seleccione el botón de radio Explicitar dirección IP, asegúrese de que especifica una dirección IP. La dirección IP no debe estar definida en 0.0.0.0.
Guía del Usuario
523
Mobile VPN con IPSec
Pestaña Remoto Puede definir los puertos y direcciones IP remotas que son controlados por esa regla en la pestaña Remoto del cuadro de diálogo Entrada de regla de firewall. Por ejemplo, si su firewall está definido para que niegue todo el tráfico y desea crear una regla para permitir conexiones POP3 salientes, agregue la dirección IP de su servidor POP3 como Explicitar dirección IP en la sección Direcciones IP remotas. Después, en la sección Puertos remotos, especifique el puerto 110 como un Explicitar puerto para esa regla. Si seleccione el botón de radio Explicitar dirección IP, asegúrese de que especifica una dirección IP. La dirección IP no debe estar definida en 0.0.0.0.
524
Fireware XTM Web UI
Mobile VPN con IPSec
Pestaña Aplicaciones Puede limitar su regla de firewall para que se aplique solo cuando se usa un programa especificado. 1. En la pestaña Aplicaciones en el cuadro de diálogo "Entrada de regla de firewall", seleccione la casilla Vincular regla a la aplicación abajo. Esa pestaña no está disponible en el Mobile VPN para la versión de Windows Mobile del firewall de escritorio.
Guía del Usuario
525
Mobile VPN con IPSec
2. Haga clic en Seleccionar aplicación para examinar su equipo local en busca de una lista de aplicaciones disponibles. 3. Haga clic en OK.
Instrucciones de usuario final para la instalación del cliente VPN Mobile con IPSec de WatchGuard Nota Esas instrucciones están escritas para usuarios finales del cliente Mobile VPN con IPSec. Ellas informan a los usuarios finales que contacten a su administrador de red para obtener instrucciones acerca de cómo instalar un firewall de escritorio o configurar el firewall que forme parte del software cliente, y para obtener la configuración para controlar el comportamiento de conexión caso no usen un archivo .ini. Puede imprimir esas instrucciones o usarlas para crear un conjunto de instrucciones para sus usuarios finales. El cliente Mobile VPN con IPSec de WatchGuard crea una conexión cifrada entre su equipo y el Firebox con una conexión a Internet estándar. El cliente Mobile VPN le permite tener acceso a recursos protegidos de red desde cualquier ubicación remota con una conexión a Internet. Antes de instalar el cliente, asegúrese de entender esos requisitos y recomendaciones:
526
Fireware XTM Web UI
Mobile VPN con IPSec
n
n
n
n
n
n
n
Puede instalar el software cliente Mobile VPN con IPSec en cualquier equipo con Windows 2000 Pro, Windows XP (32 bits y 64 bits) o Windows Vista (32 bits y 64 bits). Asegúrese de que el equipo no tenga ningún otro software cliente Mobile User VPN de IPSec instalado. Desinstale cualquier software de firewall de escritorio (que no sea el software de firewall de Microsoft) de su equipo. Si el equipo cliente usa el Windows XP para instalar el software cliente Mobile VPN y para importar el archivo de configuración .wgx, debe iniciar sesión con una cuenta que tenga derechos de administrador. Después que el cliente haya sido instalado y configurado, los derechos de administrador no son requeridos para conectarse. Si el equipo cliente usa Windows Vista, para instalar el software cliente Mobile VPN, debe iniciar sesión usando una cuenta que tenga derechos de administrador. Los derechos de administrador no son necesarios para importar un archivo .wgx o .ini o para conectarse después que el cliente haya sido instalado. Recomendamos que se asegure de que todos los service packs disponibles estén instalados antes de instalar el software cliente Mobile VPN. Recomendamos que no altere la configuración de ningún cliente Mobile VPN que no esté explícitamente descrita en esta documentación.
Antes de iniciar la instalación, asegúrese de tener los siguientes componentes de instalación: n n n
n n
Archivo de instalación del software Mobile VPN with IPSec Perfil de usuario final, con una extensión de archivo .wgx o .ini. Frase de contraseña (caso el perfil de usuario final sea un archivo .wgx o la conexión use certificados para autenticación) Nombre de usuario y contraseña Archivo de certificado cacert.pem y .p12 (caso la conexión use certificados para autenticación)
Instale el software cliente 1. Copie el archivo .zip del Mobile VPN en el equipo remoto y extraiga los contenidos del archivo hacia el directorio raíz en el equipo remoto (cliente o usuario). No ejecute el software de instalación a partir de un CD u otra unidad externa. 2. Copie el perfil del usuario final (archivo .wgx o .ini) en el directorio raíz. Si usa certificados para autenticarse, copie también los archivos cacert.pem e .p12 en el directorio raíz.
3. Haga doble clic en el archivo .exe extraído en el Paso 1. Eso inicia el Asistente de Instalación del Mobile VPN de WatchGuard. Debe reiniciar su equipo cuando el asistente de instalación se reinicia. 4. Haga clic en la secuencia del asistente y acepte todas las configuraciones predeterminadas. 5. Reinicie su equipo cuando el asistente de instalación se concluye. 6. Cuando el equipo se reinicia, aparece el cuadro de diálogo WatchGuard Mobile VPN Connection Monitor. Cuando el software se inicia por primera vez después de instalarlo, encuentra este mensaje: ¡No hay perfil para el marcado de VPN! ¿Desea usar el asistente de configuración para crear un perfil ahora?
7. Haga clic en No. 8. Seleccione Ver >Inicio automático > No iniciar automáticamente para que el programa no se ejecute automáticamente.
Guía del Usuario
527
Mobile VPN con IPSec
Después de instalar el software cliente, reinstale el software del firewall de escritorio o configure el firewall que forme parte del software cliente. Si usa un firewall de escritorio de terceros, asegúrese de configurarlo para permitir que el tráfico establezca el túnel VPN y que fluya tráfico por ese túnel. Contacte su administrador de red para obtener instrucciones.
Importar el perfil del usuario final El archivo del perfil del usuario final configura el cliente Mobile VPN con los ajustes necesarios para crear un túnel VPN. Para importar un archivo .wgx o .ini de configuración de Mobile VPN: 1. En el escritorio del Windows, seleccione Inicio > Todos los programas > WatchGuard Mobile VPN > Monitor de Mobile VPN. 2. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuración > Importar perfil. Se inicia el Asistente de Importación de Perfil.
3. En la pantalla Seleccionar perfil de usuario, vaya hacia la ubicación del archivo de configuración .wgx o .ini. 4. Haga clic en Siguiente. 5. Si usa un archivo .wgx, en la pantalla Descifrar persil de usuario, ingrese la frase de contraseña. La frase de contraseña distingue mayúsculas de minúsculas. 6. Haga clic en Siguiente. 7. En la pantalla Sobrescribir o agregar perfil, puede seleccionar sobrescribir un perfil con el mismo nombre. Eso es útil si su administrador de red le ofrece un nuevo archivo .wgx para importar. 8. Haga clic en Siguiente. 9. En la pantalla Autenticación, puede seleccionar si desea ingresar el nombre de usuario y contraseña que usa para autenticar el túnel VPN. Si mantiene esos campos vacíos, debe insertar su nombre de usuario y contraseña siempre que se conecte. Si inserta su nombre de usuario y contraseña, el Firebox los almacena y no hace falta inserir esa información siempre que se conecte. No obstante, eso representa un riesgo de seguridad. También puede ingresar sólo su nombre de usuario y mantener el campo contraseña vacío. 10. Haga clic en Siguiente. 11. Haga clic en Finalizar.
Seleccione un certificado e ingrese el frase de contraseña Complete esa sección sólo si tiene un archivo cacert.pem y un .p12. 1. Seleccione Configuración> Certificados. 2. En la pestaña Certificado de usuario, seleccione del archivo PKS#12 en la lista desplegable Certificado. 3. Al lado del cuadro de texto Nombre de archivo PKS#12, haga clic en el botón y examine la ubicación del archivo .p12. 4. Haga clic en OK. 5. Seleccione Conexión > Insertar PIN. 6. Ingrese su frase de contraseña y haga clic en Aceptar.
528
Fireware XTM Web UI
Mobile VPN con IPSec
Conecte y desconecte el cliente Mobile VPN Conéctese a Internet a través de una conexión de red de marcado o una conexión LAN. Luego, use las instrucciones abajo para seleccionar su perfil, conectarse y desconectarse. Para seleccionar su perfil y conectarse al cliente Mobile VPN: 1. En el escritorio del Windows, seleccione Inicio > Todos los programas > WatchGuard Mobile VPN > Monitor de Mobile VPN. Aparece el cuadro de diálogo Mobile VPN de WatchGuard.
2. En la lista desplegable Perfil, seleccione el nombre del perfil importado.
3. Haga clic en
para conectarse.
El icono del cliente Mobile User VPN aparece en la bandeja de sistema de Windows cuando está conectado.
Para desconectar el cliente Mobile VPN: 1. Cuadro de diálogo Restaurar el Monitor de Mobile VPN. 2. Haga clic en para desconectarse.
Controlar comportamiento de conexión El comportamiento de conexión controla la acción que el software cliente Mobile VPN toma cuando el túnel VPN se vuelve no disponible por cualquier motivo. Por defecto, debe reconectar manualmente. No se requiere que altere el comportamiento de conexión, pero puede seleccionar reconectar de forma automática o variable. Contacte su administrador de red para obtener una sugerencia de configuración. Nota Si importa un archivo .ini para configurar el software cliente, no altere ninguna configuración de la Administración de Línea. El archivo .ini realiza esas configuraciones. Para definir el comportamiento del cliente Mobile VPN cuando el túnel VPN deja de estar disponible:
Guía del Usuario
529
Mobile VPN con IPSec
1. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuración > Perfiles. 2. Seleccione el nombre del perfil y haga clic en Editar.
3. En el panel izquierdo, seleccione Administración de línea.
4. Use la lista desplegable Modo de conexión para definir un comportamiento de conexión para ese perfil. o Manual — Cuando selecciona el modo de conexión manual, el cliente no intenta reiniciar el túnel VPN automáticamente caso esté desactivado. Para reiniciar el túnel VPN, debe hacer clic en el botón Conectar en el Monitor de Conexión, o hacer clic con el botón derecho en el icono de Mobile VPN en la barra de herramientas del escritorio Windows y hacer clic en Conectar.
530
Fireware XTM Web UI
Mobile VPN con IPSec
Automático — Cuando selecciona el modo de conexión automático, el cliente intenta iniciar la conexión cuando su equipo envía tráfico a un destino que puede alcanzar a través de la VPN. El cliente también intenta reiniciar el túnel VPN automáticamente caso esté desactivado. o Variable — Cuando selecciona el modo de conexión variable, el cliente intenta reiniciar el túnel VPN automáticamente hasta que se haga clic en Desconectar. Después de desconectar, el cliente no intenta reiniciar el túnel VPN nuevamente hasta que se haga clic en Conectar. 5. Haga clic en OK. o
Icono del cliente Mobile User VPN
El El icono del Mobile User VPN aparece en la bandeja de sistema de Windows mostrando el estado de la conexión de VPN. Puede hacer clic con el botón derecho en el icono para reconectar y desconectar el Mobile VPN y para ver el perfil en uso.
Configuración del Mobile VPN para Windows Mobile El Mobile VPN de WatchGuard para Windows Mobile usa la conexión de datos en un dispositivo que ejecuta el sistema operativo de Windows Mobile para establecer una conexión de VPN segura a redes protegidas por un Firebox compatible con el Mobile VPN with IPSec. El Mobile VPN para Windows Mobile tiene dos componentes: n
n
El WatchGuard Mobile VPN WM Configurator es ejecutado en un equipo que puede establecer una conexión con el dispositivo Windows Mobile usando el Microsoft ActiveSync. El Configurator configura y sube el software cliente al dispositivo Windows Mobile. El software cliente Mobile VPN de WatchGuard se ejecuta en el dispositivo Windows Mobile. El WatchGuard Mobile VPN Service debe estar en ejecución para que se establezca una conexión de VPN. El WatchGuard Mobile VPN Monitor permite seleccionar un perfil de usuario final cargado y conectarse a la VPN.
El Mobile VPN para Windows Mobile usa los mismos archivos .wgx de perfil de usuario final que son usados para configurar el Mobile VPN with IPSec. Para crear el perfil de usuario final, vea Configurar el Firebox para Mobile VPN with IPSec en la página 483.
Los requisitos del cliente Mobile VPN WM Configurator y de IPSec de Windows Mobile Antes de instalar el cliente, asegúrese que entiende esos requisitos y recomendaciones para trabajar con el Mobile VPN with IPSec. Si todavía no lo hizo, vea los tópicos que describen cómo configurar su Firebox para usar Mobile VPN. Debe Configurar el Firebox para Mobile VPN with IPSec. Ese proceso crea el perfil del usuario final necesario para configurar el software cliente de Windows Mobile. Los requisitos de sistema del Mobile VPN WM Configurator son:
Guía del Usuario
531
Mobile VPN con IPSec
Sistema Operativo (OS)
Microsoft ActiveSync Versión
Windows 2000
4.5 o posterior
Windows XP (32 bits y 64 bits)
4.5 o posterior
Windows Vista
6.1
Los requisitos del dispositivo cliente de IPSec de Windows Mobile son: n n
Windows Mobile 5.0 Windows Mobile 6.0
Los dispositivos compatibles incluyen: n n n
Symbol MC70 (Windows Mobile 5 Premium Phone) T-Mobile Dash (Windows Mobile 6 Smartphone) Samsung Blackjack (Windows Mobile 5 Smartphone) Nota Los dispositivos de esa lista fueron probados con el Mobile VPN de WatchGuard para Windows Mobile. Para aprender si otros usuarios configuraron otro dispositivo con éxito, verifique el Foro de Usuario WatchGuard, en http://forum.watchguard.com/.
Para instalar el Mobile VPN WM Configurator de Windows Mobile en algunos sistemas operativos, debe iniciar sesión en el equipo con una cuenta con derechos de administrador e importar el archivo de configuración .wgx. Los derechos de administrador no son necesarios para subir el cliente y la configuración al dispositivo Windows Mobile.
Instalar el software Mobile VPN WM Configurator El software Mobile VPN WM Configurator debe ser instalado en un equipo que puede conectarse al dispositivo Windows Mobile a través de ActiveSync. Antes de iniciar la instalación, asegúrese de tener estos componentes de instalación: n n n n
n
El archivo de instalación del Mobile VPN WM Configurator de WatchGuard Un perfil de usuario final, con una extensión de archivo .wgx Clave compartida Un archivo de certificado .p12 (si la VPN se conecta a un Firebox X Core o Peak y usa certificado para autenticarse) Nombre de usuario y contraseña (si la VPN se conecta a un Firebox X Core o Peak y usa Autenticación Extendida) Nota Tome nota de la clave compartida y manténgala en un lugar seguro. Debe usarla cuando importe el perfil de usuario final.
Para instalar el Configurator: 1. Copie el archivo .zip del Mobile VPN WM Configurafor en el equipo y extraiga los contenidos de archivo. 2. Copie el perfil del usuario final (archivo .wgx) en el directorio raíz del equipo remoto.
532
Fireware XTM Web UI
Mobile VPN con IPSec
3. Haga doble clic en el archivo .exe extraído en el Paso 1. Eso inicia el WatchGuard Mobile VPN WM Installation Wizard. 4. Siga los pasos en el asistente. En el cuadro de diálogo Asistente InstallShield Concluido mantenga el casilla de verificación Iniciar instalación de PDA seleccionado sólo si el dispositivo Windows Mobile está actualmente conectado a través del ActiveSync.
Seleccione un certificado e ingrese el PIN Si la VPN usa un certificado para autenticarse, debe: 1. Guardar el archivo .p12 en el directorio \certs\. La ubicación predeterminada es C:\Program Files\WatchGuard\Mobile VPN WM\certs\ . 2. Seleccione Inicio > Todos los programas > WatchGuard Mobile VPN> WatchGuard Mobile VPN WM para iniciar el Configurator. 3. Seleccione Configuración> Certificados. 4. En la pestaña Certificado de usuario, seleccione del archivo PKS#12 en la lista desplegable Certificado. 5. Al lado del cuadro de textoNombre de archivo PKS#12, ingrese %installdir%\certs\mycert.p12 . Reemplace mycert.p12 por el nombre de su archivo .p12. Haga clic en OK. 6. Seleccione Conexión > Insertar PIN. 7. Ingrese el PIN y haga clic en Aceptar. El PIN es la clave compartida ingresada para cifrar el archivo en el Add Mobile User VPN Wizard.
Importar un perfil del usuario final Para importar un archivo .wgx de configuración de Mobile VPN: 1. Seleccione Inicio > Todos los programas > WatchGuard Mobile VPN> WatchGuard Mobile VPN WM para iniciar el Configurator. 2. Seleccione Configuración > Importar perfil. Se inicia el Asistente de Importación de Perfil.
3. En la pantalla Seleccionar perfil de usuario, navegue hasta la ubicación del archivo de configuración .wgx provisto por su administrador de red. Haga clic en Siguiente. 4. En la pantalla Descifrar Perfil del usuario, ingrese la clave compartida o frase de contraseña provista por su administrador de red. La clave compartida distingue mayúsculas de minúsculas. Haga clic en Siguiente. 5. En la pantalla Sobrescribir o agregar perfil, puede seleccionar sobrescribir un perfil con el mismo nombre. Eso es útil si su administrador de red le ofrece un nuevo archivo .wgx y hace falta importarlo nuevamente. Haga clic en Siguiente. 6. En la pantalla Autenticación, puede ingresar el el nombre de usuario y contraseña que usa para autenticar el túnel VPN. Si inserta su nombre de usuario y contraseña aquí, el Firebox los almacena y no hace falta ingresar esa información siempre que se conecte. No obstante, eso representa un riesgo de seguridad. Puede ingresar sólo su nombre de usuario y mantener el campo contraseña vacío. Eso minimiza la cantidad de datos necesarios para la conexión de VPN. Si mantiene esos campos vacíos, debe ingresar su nombre de usuario y contraseña la primera vez que se conecta a la VPN. La vez siguiente, el campo del nombre de usuario estará automáticamente llenado con el último nombre de usuario insertado.
Guía del Usuario
533
Mobile VPN con IPSec
7. Haga clic en Siguiente. Nota Si la contraseña que usa es la misma del Active Directory o del Servidor de LDAP y elije almacenarla, la contraseña se vuelve inválida cuando cambia en el servidor de autenticación. 8. Haga clic en Finalizar.
Instale el software cliente del Windows Mobile en el dispositivo Windows Mobile Después de importar el perfil del usuario final hacia el Configurator, conecte el Configurator al dispositivo Windows Mobile. El equipo y el dispositivo Windows Mobile deben tener una conexión de ActiveSync cuando inicia el Configurator. Nota Después que el software WatchGuard Mobile VPN esté instalado en su dispositivo Windows Mobile, debe reiniciarlo. 1. Conecte su dispositivo Windows Mobile a su equipo con el Microsoft ActiveSync.
2. Para iniciar el Configurator, seleccione Inicio > Todos los programas > WatchGuard Mobile VPN> WatchGuard Mobile VPN WM. 3. Si el software WatchGuard Mobile VPN WM todavía no fue instalado en el dispositivo Windows Mobile, se abre el cuadro de diálogo Confirmación. Haga clic en Sí.
534
Fireware XTM Web UI
Mobile VPN con IPSec
4. Se abre un cuadro de diálogo de Información. Haga clic en OK.
5. El software cliente WatchGuard Mobile VPN WM se ejecuta en el dispositivo Windows Mobile. Haga clic en OK.
6. Reiniciar el dispositivo Windows Mobile.
Cargar el perfil de usuario final en el dispositivo Windows Mobile Después que el software Windows Mobile esté instalado, puede cargar el perfil de usuario final en el dispositivo Windows Mobile. 1. Conecte su dispositivo Windows Mobile a su equipo con el Microsoft ActiveSync. 2. Seleccione Inicio > Todos los programas > WatchGuard Mobile VPN > WatchGuard Mobile VPN WM para iniciar el Configurator. 3. En la lista desplegable Perfil, seleccione el perfil que desea cargar en el dispositivo Windows Mobile.
Guía del Usuario
535
Mobile VPN con IPSec
4. Haga clic en Cargar. 5. Cuando se termine de cargar, el área de estado del Configurator muestra ¡Carga realizada con éxito!
536
Fireware XTM Web UI
Mobile VPN con IPSec
Si la VPN usa un certificado para autenticarse, debe cargarlo en el dispositivo Windows Mobile. Antes de cargar el certificado, el Configurator debe ser configurado para usar el certificado. Para obtener más información, vea seleccionar un certificado e insertar el PIN. Para cargar un certificado: 1. En el Configurator, seleccione Configuración > Cargar archivo PKS#12. 2. Examinar para encontrar archivo PKS#12 y seleccionarlo. Haga clic en Abrir.
Conecteydesconecteel ClienteMobileVPNparaWindows Mobile El software cliente WatchGuard Mobile VPN para Windows Mobile usa la conexión de datos del dispositivo Windows Mobile para establecer una conexión segura a las redes protegidas por un Firebox. El dispositivo Windows Mobile debe poder establecer una conexión de datos a Internet. 1. En el dispositivo Windows Mobile, seleccione Inicio > Programas > WatchGuard Mobile VPN Monitor. Si el WatchGuard Mobile VPN Servive no está en ejecución, se abre un cuadro de diálogo. Haga clic en Sí para iniciar servicio.
Guía del Usuario
537
Mobile VPN con IPSec
2. Se abre el cuadro de diálogo WatchGuard Mobile VPN. Seleccione el perfil del usuario final de la lista desplegable en la parte superior del cuadro de diálogo de WatchGuard Mobile VPN.
3. Haga clic en Conectar e ingrese su nombre de usuario y contraseña. Haga clic en OK.
538
Fireware XTM Web UI
Mobile VPN con IPSec
Nota Después de establecer la primera conexión VPN con éxito, el cliente guarda el nombre de usuario y sólo solicita una contraseña. Para alterar el nombre de usuario, haga clic en Aceptar con el área del contraseña limpia. Se abre un cuadro de diálogo en el cual puede ingresar un nombre de usuario y contraseña diferentes. 4. Aparece una línea amarilla con la palabra Conectando entre teléfono y equipo en el cuadro de diálogo de WatchGuard Mobile VPN. La línea se pone verde cuando el túnel VPN esté listo.
Para desconectar el cliente Mobile VPN: 1. En el dispositivo Windows Mobile, seleccione Inicio > Programas > WatchGuard Mobile VPN Monitor. 2. Haga clic en Desconectar. La línea verde cambia al amarillo.
Cuando no hay una línea entre el teléfono y el equipo, la VPN está desconectada.
Guía del Usuario
539
Mobile VPN con IPSec
Proteger su dispositivo Windows Mobile con el firewall de Mobile VPN El Mobile VPN de WatchGuard para Windows Mobile incluye dos componentes de firewall: Firewall de enlace El firewall de enlace no está activado por defecto. Cuando el firewall de enlace está activado, su dispositivo Windows Mobile desecha los paquetes recibidos desde otros equipos. Puede elegir activar el firewall de enlace sólo cuando un túnel de Mobile VPN esté activo, manténgalo habilitado todo el tiempo. Firewall de escritorio Ese firewall completo puede controlar las conexiones hacia y desde su dispositivo Windows Mobile. Puede definir redes conocidas y definir reglas de acceso separadamente para redes desconocidas o conocidas. Para más informaciones, vea Activar el firewall del enlace en la página 518 y Activar firewall de escritorio en la página 519.
Detener el WatchGuard Mobile VPN Service El WatchGuard Mobile VPN Service debe estar en ejecución en el dispositivo Windows Mobile para usar el WatchGuard Mobile VPN Monitor para crear túneles VPN. Cuando cierra el Monitor, el Service no se detiene. Debe detener el servicio manualmente. 1. En el dispositivo Windows Mobile, seleccione Inicio > Programas > WatchGuard Mobile VPN Service.
540
Fireware XTM Web UI
Mobile VPN con IPSec
2. Se abre el cuadro de diálogo WatchGuard Mobile VPN. Haga clic en Sí para detener el servicio.
Desinstalar el Configurator, Service y Monitor Para desinstalar el WatchGuard Mobile VPN para Windows Mobile, debe desinstalar el software de su PC con Windows y de su dispositivo Windows Mobile.
Desinstalar el Configurator de su PC con Windows 1. 2. 3. 4. 5.
En su PC con Windows, seleccione Inicio > Panel de control. Haga doble clic en Agregar/Quitar Programas. Haga clic en WatchGuard Mobile VPN WM y haga clic en Alterar/Quitar. Haga clic en Sí para desinstalar la aplicación. Haga clic en Aceptar cuando la desinstalación esté concluida.
Desinstale el WatchGuard Mobile VPN Service y Monitor de su dispositivo Windows Mobile. 1. En su dispositivo Windows Mobile, seleccione Inicio > Configuración. 2. En Configuración, haga clic en la pestaña Sistema y doble clic en Quitar programas.
Guía del Usuario
541
Mobile VPN con IPSec
3. Seleccione WatchGuard Mobile VPN y haga clic en Quitar. 4. Se abre el cuadro de diálogo Quitar programa. Haga clic en Sí para quitar el software. 5. Un cuadro de diálogo pregunta si desea reiniciar el dispositivo ahora. Haga clic en Sí para reiniciar el dispositivo. Haga clic en No para reiniciar más tarde. La deinstalación del programa no se termina hasta que se reinicie el dispositivo.
542
Fireware XTM Web UI
23
Mobile VPN con SSL
Acerca del Mobile VPN con SSL El cliente de Mobile VPN con SSL WatchGuard es una aplicación de software que está instalada en un equipo remoto. El cliente hace una conexión segura desde el equipo remoto hacia su red protegida a través de una red desprotegida, tal como la Internet. El cliente de Mobile VPN utiliza SSL (nivel de seguridad en las conexiones) para asegurar la conexión.
Configurar el dispositivo Firebox o XTM para Mobile VPN with SSL De Fireware XTM Web UI, cuando se activa Mobile VPN con SSL, se crean un grupo de usuarios "SSLVPNUsers" y una política "WatchGuard SSLVPN" para permitir conexiones VPN con SSL desde Internet a su interfaz externa.
Guía del Usuario
543
Mobile VPN con SSL
Realizar configuraciones de autenticación y conexión 1. Seleccione >VPN Mobile VPN with SSL. Se abre la página Configuración de Mobile VPN con SSL.
2. Seleccione la casilla de selección Activar Mobile VPN with SSL de WatchGuard. 3. Seleccione un servidor de autenticación en la lista desplegable de Servidores de autenticación. Puede autenticar usuarios con la base de datos interna del dispositivo Firebox o XTM (Firebox-DB) o con un servidor RADIUS, VACMAN Middleware, SecurID, LDAP o de Active Directory. Asegúrese de que el método de autenticación esté activado (seleccione Autenticación >Servidores de autenticación). Para obtener más información, consulte Configurar autenticación de usuario para Mobile VPN with SSL. 4. Si selecciona RADIUS o SecurID como servidor de autenticación, puede seleccionar la casilla de verificación Forzar usuarios a autenticar después que se pierde una conexión para obligar a los usuarios a autenticarse después de perder la conexión con Mobile VPN with SSL. Recomendamos seleccionar esta casilla de selección si usa autenticación de dos factores con contraseña de un solo uso, como SecurID o Vasco. Si no obliga a los usuarios a autenticarse después de perder la conexión, el intento de conexión automática puede fallar. El cliente de Mobile VPN con SSL automáticamente intenta reconectarse después de perder la conexión con la contraseña de un solo uso que el usuario ingresó originalmente, lo cual ya no es correcto. 5. En la lista desplegable Principal, seleccione o ingrese un domain name o una dirección IP pública. Los clientes de Mobile VPN con SSL se conectan a esta dirección IP o domain name en forma predeterminada. 6. Si su dispositivo Firebox o XTM tiene más de una conexión WAN, seleccione una dirección IP pública diferente en la lista desplegable Copia de respaldo. Un cliente de Mobile VPN con SSL se conecta a la dirección IP de copia de respaldo cuando no puede establecer una conexión con la dirección IP principal.
Realice las configuraciones de Red y Conjunto de direcciones IP En la sección Configuraciones de red y conjunto de direcciones IP, configure los recursos de red que los clientes de Mobile VPN with SSL pueden usar.
544
Fireware XTM Web UI
Mobile VPN con SSL
1. Desde la lista desplegable en la sección Configuraciones de red y conjunto de direcciones IP, seleccione el método que utilizará el dispositivo Firebox o XTM para enviar tráfico a través de los túneles VPN. n
n
Seleccione Bridge de tráfico de VPN para el bridge del tráfico de VPN con SSL a una red que especifique. Esta es la configuración predeterminada para Firebox X Edge. Cuando selecciona esta opción, no puede filtrar el tráfico entre los usuarios de VPN con SSL y la red a la que se conecta el tráfico de VPN con SSL. Seleccione Tráfico de VPN enrutado para enrutar el tráfico de VPN hacia redes y recursos específicos. Esta es la configuración predeterminada para los dispositivos Firebox X Core o Peak e-Series y WatchGuard XTM.
2. Seleccione o desmarque la casilla de selección Forzar todo el tráfico de cliente a través del túnel. n
Seleccione Forzar todo el tráfico de cliente a través del túnel para enviar todo el tráfico de red privada e Internet a través del túnel. Esta opción envía todo el tráfico externo a través de las políticas del dispositivo Firebox o XTM que usted crea y ofrece una seguridad constante a los usuarios móviles. Sin embargo, debido a que requiere mayor capacidad de procesamiento en el dispositivo Firebox o XTM, el acceso a los recursos de Internet puede ser muy lento para el usuario móvil. Para permitir a los clientes acceder a Internet cuando esta opción está seleccionada, consulte Opciones de acceso a Internet a través de un túnel de Mobile VPN con SSL en la página 551.
Guía del Usuario
545
Mobile VPN con SSL
n
Desmarque la casilla de selección Forzar todo el tráfico de cliente a través del túnel para enviar sólo la información de la red privada a través del túnel. Esta opción permite a los usuarios una mejor velocidad de red al enrutar sólo el tráfico necesario a través del dispositivo Firebox o XTM, pero el acceso a los recursos de Internet no está restringido por las políticas del dispositivo Firebox o XTM. Para restringir el acceso del cliente de Mobile VPN con SSL sólo a los dispositivos especificados en su red privada, seleccione el botón de radioEspecificar recursos autorizados. Ingrese la dirección IP del recurso de red en notación diagonal y haga clic en Agregar.
3. Configurar las direcciones IP que el dispositivo Firebox o XTM asigna a las conexiones de los clientes de Mobile VPN with SSL. Las direcciones IP virtuales en este conjunto de direcciones no pueden formar parte de una red protegida por el dispositivo Firebox o XTM, ninguna red a la que se accede a través de una ruta o BOVPN, asignada por DHCP a un dispositivo detrás del dispositivo Firebox o XTM, o utilizada para conjuntos de direcciones de Mobile VPN with IPSec o Mobile VPN with SSL. Tráfico de VPN enrutado Para el conjunto de direcciones IP virtuales, mantenga la configuración predeterminada de 192.168.113.0/24 o ingrese un rango diferente. Ingrese la dirección IP de la subnet en notación diagonal. Las direcciones IP de esta subnet se asignan automáticamente a conexiones cliente de Mobile VPN con SSL. No puede asignar una dirección IP a un usuario. Las direcciones IP virtuales en este conjunto de direcciones no pueden formar parte de una red protegida por el dispositivo Firebox o XTM, ninguna red a la que se accede a través de una ruta o BOVPN, asignada por DHCP a un dispositivo detrás del dispositivo Firebox o XTM, o utilizada para conjuntos de direcciones de Mobile VPN with IPSec o Mobile VPN with PPTP. Bridge de tráfico de VPN En la lista desplegable Bridge a interfaz, seleccione el nombre de la interfaz con la que desea conectar. En los campos Inicio y Finalización, ingrese la primera y la última dirección IP en el rango asignado a las conexiones cliente de Mobile VPN con SSL. Las direcciones IP de Inicio y Finalización deben encontrarse en la misma subred que la interfaz puenteada. Nota La opción Bridge a interfaz no conecta el tráfico de VPN con SSL a ninguna secondary network en la interfaz seleccionada. 4. Haga clic en Guardar para guardar los cambios en el dispositivo Firebox o XTM. Después de guardar los cambios en el dispositivo Firebox o XTM, debe configurar la autenticación de usuario para Mobile VPN with SSL antes de que los usuarios puedan descargar e instalar el software. Todo cambio que realice se distribuye a los clientes en forma automática la próxima vez que se conectan utilizando Mobile VPN with SSL. Para obtener más información sobre el uso de notación diagonal, consulte Acerca de las Notación diagonal en la página 3.
546
Fireware XTM Web UI
Mobile VPN con SSL
Realizar configuraciones avanzadas para Mobile VPN with SSL 1. Seleccione >VPN Mobile VPN with SSL. Se abre la página Configuración de Mobile VPN con SSL.
2. Haga clic en la pestaña Avanzado. Las opciones que puede configurar en esta pestaña incluyen: Autenticación Método de autenticación utilizado para establecer la conexión. Las opciones son MD5, SHA, SHA-1, SHA-256 y SHA-512. Cifrado Algoritmo que se utiliza para cifrar el tráfico. Las opciones son Blowfish, DES, 3DES, AES (128 bits), AES (192 bits) o AES (256 bits). Los algoritmos se muestran en orden del de menor seguridad al de mayor seguridad, con la excepción de Blowfish, que usa una clave de 128 bits para cifrado de alta seguridad. Para un rendimiento óptimo con un alto nivel de cifrado, recomendamos seleccionar autenticación MD5 con cifrado Blowfish.
Guía del Usuario
547
Mobile VPN con SSL
Canal de datos El protocolo y puerto Mobile VPN with SSL se utiliza para enviar datos después de establecer una conexión de VPN. Puede utilizar el protocolo TCP o UDP. Luego, seleccione un puerto. El protocolo y puerto predeterminado para Mobile VPN with SSL es el puerto TCP 443. Éste es también el protocolo y puerto estándar para tráfico HTTPS. La Mobile VPN with SSL puede compartir el puerto 443 con HTTPS. Para más información, vea Elegir un puerto y protocolo para Mobile VPN with SSL en la página 550. Canal de configuración El protocolo y puerto Mobile VPN with SSL se utiliza para negociar el canal de datos y para descargar archivos de configuración. Si configura el protocolo del canal de datos en TCP, el canal de configuración utiliza automáticamente el mismo puerto y protocolo. Si configura el protocolo del canal de datos en UDP, puede establecer el protocolo del canal de configuración en TCP o UDP y puede utilizar un puerto diferente al canal de datos. Mantener conexión Define la frecuencia con la que el dispositivo Firebox o XTM envía tráfico a través del túnel para mantener la actividad del túnel cuando no se envía otro tráfico a través del túnel. Tiempo de espera Define durante cuánto tiempo el dispositivo Firebox o XTM espera una respuesta. Si no hay respuesta antes del valor de tiempo de espera, el túnel se cierra y el cliente debe volver a conectarse. Renegociar el canal de datos Si una conexión Mobile VPN with SSL ha estado activa durante la cantidad de tiempo especificada en el cuadro de texto Renegociar el canal de datos, el cliente de Mobile VPN con SSL debe crear un túnel nuevo. El valor mínimo es de 60 minutos. Servidores DNS y WINS Puede utilizar servidores DNS y WINS para determinar las direcciones IP de recursos que están protegidos por el dispositivo Firebox o XTM. Si desea que los clientes de Mobile VPN with SSL usen un servidor DNS o WINS detrás del dispositivo Firebox o XTM en lugar de los servidores asignados por la red remota a la que están conectados, ingrese el domain name y las direcciones IP de los servidores DNS y WINS en su red. Para obtener más información sobre DNS y WINS, consulte Determinación del nombre para Mobile VPN with SSL en la página 552. Restablecer valores predeterminados Haga clic en la pestaña Avanzada para restablecer los valores predeterminados. Se elimina toda la información de los servidores DNS y WINS en la pestaña Avanzada.
548
Fireware XTM Web UI
Mobile VPN con SSL
Configurar la autenticación de usuario para Mobile VPN with SSL Para permitir a los usuarios autenticarse en el dispositivo Firebox o XTM y conectarse con Mobile VPN with SSL, debe configurar la autenticación de usuario en el dispositivo Firebox o XTM. Puede configurar el dispositivo Firebox o XTM como servidor de autenticación o usar un servidor de autenticación de terceros. Cuando activa Mobile VPN with SSL, automáticamente se crea un grupo Usuarios-SSLVPN. Los usuarios deben ser miembros del grupo Usuarios-SSLVPN para establecer una conexión de Mobile VPN con SSL. Los usuarios no pueden conectarse si son miembros de un grupo que forma parte del grupo Usuarios-SSLVPN. El usuario debe ser miembro directo del grupo Usuarios-SSLVPN. Para más información, vea Configure su Firebox como servidor de autenticación en la página 223 y Acerca de la utilización de servidores de autenticación de terceros en la página 222.
Configurar políticas para controlar el acceso de clientes de Mobile VPN con SSL Cuando se activa Mobile VPN with SSL, se agrega una política Permitir Usuarios-SSLVPN. No tiene restricciones respecto del tráfico que permite desde clientes SSL a recursos de red protegidos por el dispositivo Firebox o XTM. Para restringir el acceso de clientes de Mobile VPN con SSL, desactive la política Permitir Usuarios-SSLVPN. Luego, agregue nuevas políticas a su configuración o agregue el grupo con acceso Mobile VPN with SSL a la sección Desde de políticas existentes. Nota Si asigna direcciones de una red de confianza a usuarios de Mobile VPN con SSL, el tráfico desde el usuario de Mobile VPN con SSL no se considera de confianza. De manera predeterminada, todo tráfico de Mobile VPN con SSL no es de confianza. Independientemente de la dirección IP asignada, deben crearse políticas para permitir el acceso de los usuarios de Mobile VPN con SSL a los recursos de red.
Permitir a los usuarios de Mobile VPN con SSL el acceso a una red de confianza En este ejemplo, se utiliza Fireware XTM Web UI para agregar la opción Cualquier política para otorgar acceso a los recursos a todos los miembros del grupo Usuarios-SSLVPN en todas las redes de confianza. 1. Seleccione Firewall >Políticas de Firewall. Haga clic en Agregar. 2. Amplíe la carpeta Filtros de paquetes. Aparece una lista de plantillas para filtros de paquetes.
3. Seleccione Cualquiera y haga clic en Agregar. Aparece la página Configuración de políticas.
4. Ingrese un nombre para la política en el cuadro de texto Nombre. Elija un nombre que le ayude a identificar esta política en su configuración. 5. En la pestaña Política, en la sección Desde , seleccione Cualquiera de confianza y haga clic en Remover. 6. En la sección Desde, haga clic en Agregar. Aparece el cuadro de diálogo Agregar miembro.
7. En la lista desplegable Tipo de miembro, seleccione Grupo SSLVPN.
Guía del Usuario
549
Mobile VPN con SSL
8. Seleccione Usuarios-SSLVPN, y haga clic en OK.. Después de Usuarios-SSLVPN se encuentra el nombre del método de autenticación entre paréntesis.
9. Haga clic en OK para cerrar el cuadro de diálogo Agregar miembro . 10. En la sección Desde, seleccione Cualquiera externo y haga clic en Remover. 11. En la sección Hasta, haga clic en Agregar. Aparece el cuadro de diálogo Agregar miembro.
12. En el Seleccionar miembros seleccione Cualquiera de confianzay haga clic en OK.. 13. Haga clic en Guardar para guardar los cambios en el dispositivo Firebox o XTM. Para más información acerca de políticas, vea Agregar políticas en la configuración en la página 254.
Usar otros grupos o usuarios en una política de Mobile VPN con SSL Los usuarios deben ser miembros del grupo Usuarios-SSLVPN para establecer una conexión de Mobile VPN con SSL. Puede usar políticas con otros grupos para restringir acceso a recursos después de que el usuario se conecta. Puede usar Fireware XTM Web UI para seleccionar un usuario o grupo distinto de UsuariosSSLVPN. 1. Seleccione Firewall >Políticas de Firewall. 2. Haga doble clic en la política a la que desea agregar el usuario o grupo. 3. En la pestaña Política, haga clic en Agregar en el área Desde. Aparece el cuadro de diálogo Agregar miembro.
4. En la lista desplegable Tipo de miembro, seleccione Usuario de firewall o Grupo de firewall. 5. Seleccione el usuario o grupo que desea agregar y haga clic en OK. 6. Haga clic en Guardar. Para obtener más información sobre cómo utilizar usuarios y grupos en políticas, consulte Use los usuarios y grupos autorizados en políticas en la página 248.
Elegir un puerto y protocolo para Mobile VPN with SSL El protocolo y puerto predeterminado para Mobile VPN with SSL es el puerto TCP 443. Si intenta configurar Firebox para usar un protocolo y puerto que ya está en uso, aparecerá un mensaje de error. Las configuraciones de red comunes que requieren el uso de TCP 443 incluyen: n n
Firebox protege a un servidor web que utiliza HTTPS. Firebox protege a un servidor Microsoft Exchange que tiene configurado Outlook Web Access.
Si tiene una dirección IP externa adicional que no acepta conexiones de puerto TCP 443 entrantes, puede configurarla como dirección IP principal para Mobile VPN with SSL. Nota El tráfico de Mobile VPN con SSL siempre se cifra utilizando SSL, aunque utilice un puerto o protocolo diferente.
Cómo elegir un protocolo y puerto diferente Si necesita cambiar el protocolo o puerto predeterminado para Mobile VPN with SSL, recomendamos seleccionar un protocolo y puerto que no esté normalmente bloqueado. Algunas consideraciones adicionales incluyen:
550
Fireware XTM Web UI
Mobile VPN con SSL
Seleccionar un protocolo y puerto común Mobile VPN with PPTP y Mobile VPN con IPSec utilizan protocolos y puertos específicos que algunas conexiones de Internet pública bloquean. De manera predeterminada, Mobile VPN with SSL funciona en el protocolo y puerto utilizado para el tráfico de sitio web cifrado (HTTPS) para evitar el bloqueo. Ésta es una de las principales ventajas de SSL VPN sobre otras opciones de Mobile VPN. Recomendamos seleccionar el puerto TCP 80 (HTTP), el puerto TCP 53 o el puerto UDP 53 (DNS) para mantener esta ventaja. Casi todas las conexiones de Internet admiten estos puertos. Si el sitio de acceso utiliza filtrados de paquetes, el tráfico de SSL debería pasar. Si el sitio de acceso utiliza servidores proxy, es probable que el tráfico de SSL sea rechazado porque no cumple con los protocolos de comunicación estándar HTTP o DNS. UDP en comparación con TCP Normalmente TCP funciona al igual que UDP, pero TCP puede ser mucho más lento si la conexión ya es lenta o poco confiable. La latencia adicional surge por la verificación de error que forma parte del protocolo TCP. Debido a que la mayoría del tráfico que pasa a través de un túnel VPN utiliza TCP, la suma de la verificación de error de TCP a la conexión VPN es redundante. Con conexiones lentas y poco confiables, los tiempos de espera de la verificación de error de TCP hacen que el tráfico de VPN se envíe cada vez con mayor lentitud. Si esto sucede en forma repetida, el usuario percibe el rendimiento deficiente de la conexión. UDP es una buena opción si la mayoría del tráfico generado por los clientes de MVPN con SSL se basa en TCP. Los protocolos HTTP, HTTPS, SMTP SMTP, POP3 y Microsoft Exchange utilizan TCP de manera predeterminada. Si la mayoría del tráfico generado por los clientes de Mobile VPN con SSL es UDP, recomendamos seleccionar TCP para el protocolo MVPN con SSL.
Opciones de acceso a Internet a través de un túnel de Mobile VPN con SSL Forzar todo el tráfico de cliente a través del túnel Ésta es la opción más segura. Requiere que todo el tráfico de Internet de usuarios remotos se enrute a través del túnel VPN a Firebox. Desde el Firebox, el tráfico luego es enviado de vuelta a Internet. Con esta configuración (conocida también como VPN de ruta-predeterminada), Firebox puede examinar todo el tráfico y proveer mayor seguridad. Sin embargo, esto requiere más capacidad de procesamiento y ancho de banda de Firebox, lo cual puede afectar el rendimiento de la red si tiene un número grande de usuarios de VPN. De manera predeterminada, una política denominada Permitir Usuarios-SSLVPN permite el acceso a todos los recursos internos y a Internet.
Permitir acceso directo a Internet Si selecciona Tráfico de VPN enrutado en la configuración de Mobile VPN con SSL y no se fuerza todo el tráfico cliente a través del túnel, se deben configurar los recursos permitidos para los usuarios de SSL VPN. Si selecciona Especificar recursos permitidos o Permitir acceso a redes conectadas a través de redes de confianza, opcional y VLAN, sólo el tráfico a esos recursos se envía a través del túnel VPN. Todo el resto del
Guía del Usuario
551
Mobile VPN con SSL
tráfico va directamente a Internet y a la red a la que está conectada el usuario SSL VPN remoto. Esta opción puede afectar su seguridad porque cualquier tráfico enviado a Internet o a la red cliente remota no está cifrado ni sujeto a las políticas configuradas en Firebox.
Utilizar el proxy HTTP para controlar el acceso a Internet para usuarios de Mobile VPN con SSL Si configura Mobile VPN with SSL para forzar todo el tráfico cliente a través del túnel, puede usar políticas de proxy HTTP para restringir el acceso a Internet. La política Permitir Usuarios-SSLVPN predeterminada no tiene restricciones en el tráfico que permite de clientes SSL a Internet. Para restringir el acceso a Internet, puede utilizar la política de proxy HTTP que ya ha configurado o agregar una nueva política de proxy HTTP para clientes SSL. 1. 2. 3. 4. 5. 6.
En Fireware XTM Web UI, seleccione Firewall >Políticas de firewall. Haga doble clic en la política para abrir la página Configuración de políticas. En la pestaña Política, haga clic en Agregar en el área Desde. En la lista desplegable Tipo de miembro, seleccione Grupo SSLVPN. Seleccione Usuarios-SSLVPN y haga clic en OK. Haga clic en Guardar.
La política de proxy HTTP prevalece sobre la política Cualquiera. Puede dejar que la política Cualquiera administre el tráfico que no sea HTTP o puede seguir estos mismos pasos con otra política para administrar el tráfico desde los clientes SSL. Para obtener más información sobre cómo configurar una política de proxy HTTP, consulte Página Acerca de Proxy HTTP en la página 292.
Determinación del nombre para Mobile VPN with SSL El objetivo de una conexión Mobile VPN es permitir a un usuario conectarse a recursos de red como si estuviera conectado localmente. Con una conexión de red local, el tráfico NetBIOS en la red le permite conectarse a dispositivos utilizando el nombre del dispositivo. No es necesario conocer la dirección IP de cada dispositivo de red. Sin embargo, los túneles de Mobile VPN no pueden circular tráfico de difusión y NetBIOS depende del tráfico de difusión para funcionar correctamente. Debe utilizarse un método alternativo para la determinación de nombres.
Métodos de determinación de nombres a través de una conexión de Mobile VPN con SSL Debe elegir uno de estos dos métodos para la determinación de nombres: WINS/DNS (Windows Internet Name Service/Sistema de domain name) Un servidor WINS mantiene una base de datos de determinación de nombres NetBIOS para la red local. DNS funciona de un modo similar. Si el dominio utiliza sólo el Active Directory , debe usar DNS para la determinación de nombres.
552
Fireware XTM Web UI
Mobile VPN con SSL
Archivo LMHOSTS Un archivo LMHOSTS es un archivo creado en forma manual que se instala en todas las computadoras que tienen instalado Mobile VPN with SSL. El archivo contiene una lista de nombres de recursos y sus direcciones IP asociadas.
Seleccione el mejor método para su red. Debido a los requisitos de administración limitados y la información actualizada que provee, WINS/DNS es la solución preferida para la determinación de nombres a través de un túnel MVPN. El servidor WINS escucha a la red local en forma constante y actualiza su información. Si un recurso cambia su dirección IP o se agrega un nuevo recurso, no debe realizarse ningún cambio en el cliente SSL. Cuando el cliente intenta obtener acceso a un recurso por nombre, se envía una solicitud a los servidores WINS/DNS y se entrega la información más actualizada. Si aún no tiene un servidor WINS, el archivo LMHOSTS es una forma rápida de proporcionar la determinación de nombres a clientes de Mobile VPN con SSL. Lamentablemente es un archivo estático y debe editarlo en forma manual cada vez que se produzca un cambio. Además, los pares nombre de recurso/dirección IP en el archivo LMHOSTS se aplican a todas las conexiones de red, no sólo a la conexión de Mobile VPN con SSL.
Configurar WINS o DNS para determinación de nombres Cada red es única en los recursos disponibles y las habilidades de los administradores. El mejor recurso para aprender cómo configurar un servidor WINS es la documentación de su servidor, como el sitio web de Microsoft. Cuando configure el servidor WINS o DNS, tenga en cuenta que: n n n
El servidor WINS debe configurarse para ser un cliente en sí. Su Firebox debe ser la puerta de enlace predeterminada de los servidores WINS y DNS. Debe asegurarse de que los recursos de red no tengan más de una dirección IP asignada a una sola interfaz de red. NetBIOS sólo reconoce la primera dirección IP asignada a una NIC. Para obtener más información, consulte http://support.microsoft.com/kb/q131641/.
Agregarservidores WINS y DNS a unaconfiguración de Mobile VPNcon SSL 1. Seleccione VPN > Mobile VPN with SSL. 2. Haga clic en la pestaña Avanzado. Aparece la página de la pestaña Avanzada de Mobile VPN con SSL.
3. En el área Servidores WINS y DNS, ingrese las direcciones principal y secundaria para los servidores WINS y DNS. También puede ingresar un sufijo de dominio en el cuadro de texto Domain name para que un cliente use con nombres no calificados. 4. Haga clic en Guardar. 5. La próxima vez que una computadora cliente SSL se autentique en Firebox, la nueva configuración se aplicará a la conexión.
Guía del Usuario
553
Mobile VPN con SSL
ConfigurarunarchivoLMHOSTS paraproporcionardeterminaciónde nombre Cuando usa un archivo LMHOSTS para obtener determinación de nombres para sus clientes MUVPN, no se requieren cambios en Firebox ni en el software cliente MUVPN. A continuación se muestran instrucciones básicas para ayudarle a crear un archivo LMHOSTS. Para obtener más información sobre archivos LMHOSTS, consulte http://support.microsoft.com/kb/q150800/.
Editar un archivo LMHOSTS 1. Busque un archivo LMHOSTS en la computadora cliente de MUVPN. El archivo LMHOSTS (a veces denominado lmhosts.sam) generalmente se encuentra en: C:\WINDOWS\system32\drivers\etc
2. Si encuentra un archivo LMHOSTS en esa ubicación, ábralo con un editor de texto como Notepad. Si no puede encontrar un archivo LMHOSTS, cree un nuevo archivo en un editor de texto. 3. Para crear una entrada en el archivo LMHOSTS, ingrese la dirección IP de un recurso de red, cinco espacios y luego el nombre del recurso. El nombre del recurso debe tener 15 caracteres o menos. El aspecto debe ser similar a éste: 192.168.42.252
server_name
4. Si comenzó con un archivo LMHOSTS anterior, guarde el archivo con su nombre original. Si creó un nuevo archivo en Notepad, guárdelo con el nombre lmhost en el directorio C:\WINDOWS\system32\drivers\etc. También debe seleccionar el tipo "Todos los archivos" en el cuadro de diálogo Guardar o Notepad añade ".txt" al nombre de archivo. 5. Reinicie la computadora cliente SSL para que el archivo LMHOSTS se active.
Instalar y conectar el cliente de Mobile VPN con SSL El software de Mobile VPN con SSL permite a los usuarios conectarse, desconectarse, reunir más información sobre la conexión y salir o dejar al cliente. El cliente de Mobile VPN con SSL agrega un ícono a la bandeja del sistema en el sistema operativo Windows o un ícono en la barra de menú en Mac OS X. Puede usar este ícono para controlar el software cliente. Para usar Mobile VPN with SSL debe: 1. 2. 3. 4.
Verificar los requisitos del sistema. Descargar el software cliente. Instale el software cliente Conectarse a su red privada. Nota Si un usuario no puede conectarse al dispositivo WatchGuard o no puede descargar el instalador desde el dispositivo WatchGuard, Se debe distribuir e instalar en forma manual el software cliente de Mobile VPN con SSL y el archivo de configuración.
554
Fireware XTM Web UI
Mobile VPN con SSL
Requisitos de la computadora cliente Puede instalar el software cliente de Mobile VPN con SSL en computadoras con los siguientes sistemas operativos: n n n n
Microsoft Windows 7 Microsoft Windows Vista Microsoft Windows XP Mac OS X 10.5 (Leopard)
Si la computadora cliente tiene Windows Vista o Windows XP, debe ingresar con una cuenta que tenga derechos de administrador para instalar el software cliente de Mobile VPN con SSL. No se requieren derechos de administrador para conectarse después de que el cliente de SSL ha sido instalado y configurado. En Windows XP Professional, el usuario debe ser miembro del grupo Operadores de configuración de red para ejecutar el cliente de SSL. Si la computadora cliente tiene Mac OS X, no se requieren derechos de administrador para instalar o utilizar el cliente de SSL.
Descargar el software cliente 1. Conectarse a la siguiente dirección con un navegador de Internet: https:///sslvpn.html or https:///sslvpn.html
2. Ingrese su nombre de usuario y contraseña para autenticarse en el dispositivo WatchGuard. Aparece la página de descargas para clientes de VPN SSL .
3. Haga clic en el botón Descargar en el instalador que desea utilizar. Las opciones disponibles son dos: Windows (WG-MVPN-SSL.exe) y Mac OS X (WG-MVPN-SSL.dmg). 4. Guarde el archivo en su escritorio u otra carpeta que desee.
Guía del Usuario
555
Mobile VPN con SSL
Nota También puede conectarse a Firebox en el puerto 4100 para descargar el software cliente de VPN SSL.
Desinstalar el software cliente Para Microsoft Windows: 1. Haga doble clic en WG-MVPN-SSL.exe. Se inicia el Asistente de Configuración del cliente de Mobile VPN con SSL.
2. Acepte las configuraciones predeterminadas en cada pantalla del asistente. 3. Si desea agregar un ícono de escritorio o un ícono de inicio rápido, seleccione la casilla de verificación correspondiente a esta opción en el asistente. No es necesario un ícono de escritorio o de inicio rápido. 4. Finalice y salga del asistente. Para Mac OS X: 1. Haga doble clic en WG-MVPN-SSL.dmg. En su escritorio se crea un volumen con el nombre WatchGuard Mobile VPN (Mobile VPN WatchGuard).
2. En el volumen Mobile VPN WatchGuard, haga doble clic en WatchGuard Mobile VPN with SSL Installer V15.mpkg. Se inicia el instalador del cliente.
3. Acepte las configuraciones predeterminadas en cada pantalla del instalador. 4. Finalice y salga del instalador. Después de descargar e instalar el software cliente, el software cliente de Mobile VPN automáticamente se conecta al dispositivo WatchGuard. Cada vez que se conecta al dispositivo WatchGuard, el software cliente verifica las actualizaciones de configuración.
Conectarse a su red privada Para Microsoft Windows: 1. Utilice uno de los tres métodos siguientes para iniciar el software cliente: o En el Menú Inicio, seleccione Todos los programas > WatchGuard > Cliente de Mobile VPN con SSL > Cliente de Mobile VPN con SSL. o Haga doble clic en el ícono de Mobile VPN con SSL en su escritorio. o Haga clic en el ícono de Mobile VPN con SSL en la barra de herramientas del inicio rápido. 2. Ingrese la información del dispositivo WatchGuard al que desea conectarse y el nombre de usuario y contraseña del usuario. El servidor es la dirección IP de la interfaz externa principal del dispositivo WatchGuard. Si configuró Mobile VPN with SSL para que use un puerto distinto del puerto 443 predeterminado, en el campo Servidor ingrese la interfaz externa principal seguida de dos puntos y el número de puerto. Por ejemplo, si Mobile VPN with SSL está configurada para usar el puerto 444 y la dirección IP externa principal es 50.50.50.1., el Servidor es 50.50.50.1:444. 3. Haga clic en Conectar. Para Mac OS X:
556
Fireware XTM Web UI
Mobile VPN con SSL
1. Abra una ventana del Buscador. Ingrese en Aplicaciones > WatchGuard y haga doble clic en la aplicación Mobile VPN with SSL WatchGuard. Aparece el ícono de Mobile VPN con SSL WatchGuard en la barra de menú.
2. Haga clic en el ícono en la barra de menú y seleccione Conectar. 3. Ingrese la información del dispositivo WatchGuard al que desea conectarse y el nombre de usuario y contraseña del usuario. El servidor es la dirección IP de la interfaz externa principal del dispositivo WatchGuard. Si configuró Mobile VPN with SSL para que use un puerto distinto del puerto 443 predeterminado, en el campo Servidor ingrese la interfaz externa principal seguida de dos puntos y el número de puerto. Por ejemplo, si Mobile VPN with SSL está configurada para usar el puerto 444 y la dirección IP externa principal es 50.50.50.1., el Servidor es 50.50.50.1:444. 4. Haga clic en Conectar. El usuario cliente de SSL debe ingresar sus credenciales de inicio de sesión. Mobile VPN with SSL no es compatible con ningún servicio de Single Sign-On (SSO). Si la conexión entre el cliente SSL y el dispositivo WatchGuard se pierde momentáneamente, el cliente SSL intenta restablecer la conexión.
Controles del cliente de Mobile VPN con SSL Cuando se ejecuta el cliente de Mobile VPN con SSL, aparece el ícono de Mobile VPN con SSL WatchGuard en la bandeja del sistema (Windows) o a la derecha de la barra de menú (Mac OS X). La lupa del ícono muestra el estado de conexión de VPN. n n
n
No se establece la conexión de VPN. Se ha establecido la conexión de VPN. Puede conectarse en forma segura con los recursos detrás del dispositivo WatchGuard. El cliente está en proceso de conexión o desconexión.
Para ver la lista de controles del cliente, haga clic con el botón derecho en el ícono de Mobile VPN con SSL en la bandeja del sistema (Windows) o haga clic en el ícono de Mobile VPN con SSL en la barra de menú (Mac OS X). Puede seleccionar las siguientes acciones: Conectar/Desconectar Iniciar o detener la conexión SSL VPN. Ver registros Abrir el archivo de registro de conexión Propiedades Windows: Seleccione Iniciar programa en el inicio para iniciar al cliente cuando se inicia Windows. Ingrese un número de Nivel de registro para cambiar el nivel de detalle incluido en los registros. Mac OS X: Muestra información detallada sobre la conexión SSL VPN. También puede establecer el nivel de registro. Acerca de las Se abre el cuadro de diálogo de Mobile VPN WatchGuard con información acerca del software cliente.
Guía del Usuario
557
Mobile VPN con SSL
Salir (Windows o Mac OS X) Desconéctese del dispositivo WatchGuard y apague al cliente.
Se debe distribuir e instalar en forma manual el software cliente de Mobile VPN con SSL y el archivo de configuración Si por algún motivo los usuarios no pueden descargar el software cliente desde Firebox, puede proporcionarles el software cliente y el archivo de configuración en forma manual. Puede descargar el software cliente de Mobile VPN con SSL desde la sección Descargas de software del sitio web de WatchGuard LiveSecurity. Siga los pasos a continuación para obtener el archivo de configuración de VPN SSL para distribuir.
Obtener el archivo de configuración desde Firebox Debe configurar Firebox para usar Mobile VPN with SSL antes de utilizar este procedimiento. Para obtener el archivo de configuración de Mobile VPN con SSL , debe instalar el WatchGuard System Manager. Luego puede usar el Firebox System Manager para obtener el archivo. Para obtener más información, consulte el capítulo Mobile VPN para SSL en la Ayuda o Guía del usuario del WatchGuard System Manager.
Instale y configure el cliente SSL utilizando el software de instalación y el archivo de configuración. Debe tener dos archivos: n
n
Software de instalación del cliente Mobile VPN con SSL VPN WG-MVPN-SSL.exe (Microsoft Windows) o WG-MVPN-SSL.dmg (Mac OS X) Archivo de configuración de Mobile VPN con SSL VPN sslvpn_client.wgssl
Para Microsoft Windows: 1. Haga doble clic en WG-MVPN-SSL.exe. Se inicia el Asistente de Configuración del cliente de Mobile VPN con SSL.
2. Acepte las configuraciones predeterminadas en cada pantalla del asistente. 3. Si desea agregar un ícono de escritorio o un ícono de inicio rápido, seleccione la casilla de verificación correspondiente a esa opción. No es necesario un ícono de escritorio o de inicio rápido. El ícono de cliente se agrega al menú de Inicio de Windows de manera predeterminada.
4. Finalice y salga del asistente. 5. Utilice uno de los tres métodos siguientes para iniciar el software cliente: o En el Menú Inicio, seleccione Todos los programas > WatchGuard > Cliente de Mobile VPN con SSL > Cliente de Mobile VPN con SSL. Se inicia el instalador del cliente. o o
558
Haga doble clic en el ícono de cliente de Mobile VPN con SSL en el escritorio. Haga clic en el ícono de cliente de Mobile VPN con SSL en la barra de herramientas del inicio
Fireware XTM Web UI
Mobile VPN con SSL
6. Haga doble clic en sslvpn-client.wgssl para configurar el software cliente de Mobile VPN con SSL. Para Mac OS X: 1. Haga doble clic en WG-MVPN-SSL.dmg. En el escritorio se crea un volumen con el nombre WatchGuard Mobile VPN (Mobile VPN WatchGuard).
2. En el volumen Mobile VPN WatchGuard, haga doble clic en WatchGuard Mobile VPN with SSL Installer V15.mpkg. Se inicia el instalador del cliente.
3. 4. 5. 6.
Acepte la configuración predeterminada en el instalador. Finalice y salga del instalador. Inicie el software cliente. Abra una ventana del Buscador e ingrese en Aplicaciones > WatchGuard. Haga doble clic en la aplicación Mobile VPN with SSL WatchGuard . Aparece el logotipo de Mobile VPN con SSL WatchGuard en la barra de menú.
7. Haga doble clic en sslvpn-client.wgssl para configurar el software cliente de Mobile VPN con SSL.
Actualizar la configuración de una computadora que no puede conectarse al dispositivo WatchGuard Debe tener un archivo sslvpn-client.wgssl actualizado. Para recibir información sobre cómo obtener el archivo sslvpn-client.wgssl, consulte Obtener el archivo de configuración desde Firebox. 1. Haga doble clic en sslvpn-client.wgssl. Se inicia el cliente SSL.
2. Ingrese su nombre de usuario y contraseña. Haga clic en Conectar. El SSL VPN se conecta con la nueva configuración.
Desinstale el cliente de Mobile VPN con SSL. Puede usar la aplicación desinstalar para eliminar al cliente de Mobile VPN con SSL de una computadora.
Windows Vista y Windows XP 1. En el Menú Inicio, seleccione Todos los programas > WatchGuard > Cliente de Mobile VPN con SSL > Desinstalar cliente de Mobile VPN con SSL. Se inicia el programa para desinstalar el cliente de Mobile VPN con SSL.
2. Haga clic en Sí para eliminar el cliente de Mobile VPN con SSL y todos sus componentes. 3. Cuando el programa haya terminado, haga clic en OK.
Mac OS X 1. En una ventana del Buscador, ingrese en la carpeta Aplicaciones > WatchGuard. 2. Haga doble clic en la aplicación Desinstalar WG SSL VPN para iniciar el programa de desinstalación. Se inicia el programa para desinstalar el cliente de Mobile VPN con SSL.
3. 4. 5. 6.
Haga clic en OK en el cuadro de diálogo Advertencia. Haga clic en OK en el cuadro de diálogo Listo. En una ventana del Buscador, ingrese en la carpeta Aplicaciones. Arrastre la carpeta WatchGuard a la Papelera de reciclaje.
Guía del Usuario
559
Mobile VPN con SSL
Guía del Usuario
560
24
WebBlocker
Acerca de las WebBlocker Si les otorga a los usuarios acceso ilimitado a los sitios web, es posible que su compañía sufra una pérdida de productividad y una reducción en el ancho de banda. La navegación en Internet sin controles también puede aumentar los riesgos de seguridad y las responsabilidades legales. La suscripción de seguridad de WebBlocker le brinda el control de los sitios web que están disponibles para sus usuarios. WebBlocker utiliza una base de datos de direcciones de sitios web controlada por SurfControl, una compañía líder en filtros web. Cuando un usuario de su red intenta conectarse a un sitio web, el dispositivo WatchGuard examina la base de datos de WebBlocker. Si el sitio web no está en la base de datos y no está bloqueado, la página se abre. Si el sitio web está en la base de datos de WebBlocker y está bloqueado, aparece una notificación y el sitio web no se muestra. WebBlocker funciona con servidores proxy HTTP y HTTPS para filtrar la navegación web. Si no configuró un proxy HTTP o HTTPS, el proxy se configura y activa de manera automática cuando activa WebBlocker. El WebBlocker Server alberga la base de datos de WebBlocker que el dispositivo WatchGuard utiliza para filtrar el contenido web. Si utiliza WebBlocker en un dispositivo WatchGuard cualquiera distinto de Edge, primero debe configurar un WebBlocker Server local en su estación de administración. Por defecto, WebBlocker en Edge utiliza un WebBlocker Server albergado y mantenido por WatchGuard. El WebBlocker Server se instala como parte de la instalación de WatchGuard System Manager. Para aprender a configurar un WebBlocker Server, consulte la ayuda de WatchGuard System Manager en http://www.watchguard.com/help/docs/fireware/11/es-ES/index.html. Para configurar WebBlocker en el dispositivo WatchGuard, debe tener una license key de WebBlocker y registrarla en el sitio web de LiveSecurity. Después de registrar la License Key, LiveSecurity le otorgará una tecla de función. Para obtener más información acerca de las teclas de función, consulte Acerca de las teclas de función en la página 51.
Guía del Usuario
561
WebBlocker
Configurar un WebBlocker Server local Cuando utiliza WebBlocker en su Firebox, éste se conecta a un WebBlocker Server para comprobar si un sitio web coincide con una categoría de WebBlocker. Para utilizar WebBlocker en un Firebox Core o Peak, o en un dispositivo WatchGuard XTM, primero debe configurar un WebBlocker Server en su red local. Para utilizar WebBlocker en un Firebox X Edge, no es necesario que configure un servidor local de WebBlocker. De manera predeterminada, WebBlocker en Firebox X Edge se conecta con un WebBlocker Server mantenido por WatchGuard. Para instalar su WebBlocker Server propio, debe descargar e instalar el software WatchGuard System Manager. Para aprender a configurar un servidor local de WebBlocker, consulte la ayuda de WatchGuard System Manager en http://www.watchguard.com/help/docs/wsm/11/es-ES/index.html. Después de instalar un WebBlocker Server en una computadora de su red local, debe cambiar sus perfiles de WebBlocker para utilizar su Servidor local de WebBlocker. Para obtener instrucciones para cambiar sus perfiles de WebBlocker, consulte Activación de WebBlocker en la página 562.
Activación de WebBlocker Para utilizar WebBlocker, debe definir las acciones de WebBlocker por lo menos para un perfil de WebBlocker, que especifica el WebBlocker Server a utilizar y las categorías de contenido a bloquear. Luego, puede aplicar el perfil de WebBlocker a una política de proxy HTTP o HTTP. Cuando un usuario intenta visitar un sitio web, Firebox le envía una solicitud al WebBlocker Server para averiguar si el usuario puede acceder a ese sitio web sobre la base de la categoría del sitio. El resultado de esta solicitud se guarda en una memoria caché. Puede cambiar el tamaño de esta memoria caché para mejorar el rendimiento.
Antes de empezar En el caso de todos los dispositivos WatchGuard a excepción de Firebox X Edge, debe instalar un servidor WebBlocker local antes de poder configurar WebBlocker en Firebox. Para más informaciones, vea Configurar un WebBlocker Server local en la página 562.
Cree perfiles de WebBlocker 1. Seleccione Servicios de suscripción > WebBlocker. Aparece la página de WebBlocker.
562
Fireware XTM Web UI
WebBlocker
2. En la sección Perfiles de WebBlocker, haga clic en Nuevo. Aparece la página Configuración de WebBlocker.
Guía del Usuario
563
WebBlocker
3. En el cuadro de texto Nombre de perfil, ingrese un nombre para el perfil de WebBlocker. 4. En la sección Configuración de WebBlocker, establezca la configuración de agotamiento del tiempo de espera del servidor: Si no se puede establecer la comunicación con el servidor en Ingrese la cantidad de segundos para intentar conectarse con el WebBlocker Server antes de que se agote el tiempo de espera del dispositivo WatchGuard. El tráfico está Para permitir que el usuario vea el sitio web si el dispositivo WatchGuard no puede conectarse con el WebBlocker Server, seleccione Permitido. Para bloquear el sitio web para el usuario si el dispositivo WatchGuard no puede conectarse con el WebBlocker Server, seleccione Negado. Registrar sitios negados Para enviar un mensaje al archivo de registro cuando WebBlocker niega el acceso a un sitio porque el dispositivo WatchGuard no puede conectarse con el WebBlocker Server, marque la casilla de verificación Registrar sitios negados.
564
Fireware XTM Web UI
WebBlocker
5. Para controlar si los usuarios de su red pueden acceder a los sitios web si WebBlocker está activado pero expira la suscripción de seguridad de WebBlocker, en la lista desplegable Cuando la licencia de WebBlocker expira, el acceso a todos los sitios está, seleccione una de estas opciones: Negado Seleccione esta opción para bloquear el acceso a todos los sitios web cuando la licencia del WebBlocker expira. Permitido Seleccione esta opción para permitir el acceso a todos los sitios web cuando la licencia del WebBlocker expira. Por defecto, la derivación de licencia está configurada para bloquear el acceso a todos los sitios web si la suscripción de seguridad de WebBlocker expiró. Ésta es la opción más segura si debe bloquear a sus usuarios de tipos de contenido específicos. Para obtener información acerca de cómo renovar su suscripción de seguridad, consulte Renovar suscripciones de seguridad en la página 575. 6. Para mejorar el rendimiento de WebBlocker, aumente el valor del Tamaño de caché. 7. En la sección Servidores WebBlocker, configure un WebBlocker Server.
Si su dispositivo WatchGuard es un Firebox X Edge, puede utilizar un WebBlocker Server albergado por WatchGuard o un servidor WebBlocker local. Para utilizar el WebBlocker Server albergado por WatchGuard, marque la casilla de verificación Utilizar WebBlocker Server albergado por WatchGuard. Esta opción sólo está disponible si su dispositivo es un Firebox X Edge. Para agregar una entrada para un WebBlocker Server local: n n
n
En el cuadro de texto IP, ingrese la dirección IP de su WebBlocker Server. En el cuadro de texto Puerto, ingrese o seleccione el número de puerto. El número de puerto predeterminado para el servidor WebBlocker es 5003. Para agregar al servidor WebBlocker a la lista, haga clic en Agregar.
Guía del Usuario
565
WebBlocker
Puede agregar un segundo WebBlocker Server para utilizarlo como servidor de respaldo si Firebox no puede conectarse con el servidor principal. Siga los mismos pasos para agregar un WebBlocker Server de respaldo. El primer servidor de la lista es el servidor principal. n
n
Para desplazar un servidor hacia arriba o hacia abajo en la lista, haga clic en la dirección IP del servidor y luego en Mover hacia arriba o en Mover hacia abajo. Para eliminar un servidor de la lista, selecciónelo y haga clic en Eliminar.
Activar anulación local Cuando permite la anulación local de WebBlocker, al usuario que intente conectarse con un sitio negado por WebBlocker se le solicitará que ingrese la contraseña de anulación. Cuando el usuario ingresa la contraseña correcta, WebBlocker le permite acceder al sitio web de destino hasta que alcance el tiempo de espera de inactividad o hasta que cierre sesión un usuario autenticado. Esta función se admite solamente con las políticas de proxy HTTP. Para obtener más información acerca de la anulación local, consulte Usar anulación local de WebBlocker en la página 568. Para permitir que los usuarios eludan WebBlocker si tienen la frase de contraseña correcta: 1. En la sección Anulación local, marque la casilla de verificación Utilizar esta frase de contraseña y el tiempo de espera de inactividad para permitir la anulación local de WebBlocker. 2. En el cuadro de texto Frase de contraseña, ingrese la frase de contraseña. 3. En el cuadro de texto Confirmar, vuelva a ingresar la misma contraseña. 4. (Opcional) Cambie el valor del Tiempo de espera de inactividad.
Seleccione categorías para bloquear 1. Haga clic en la pestaña Categorías. Aparece la lista de categorías de WebBlocker.
566
Fireware XTM Web UI
WebBlocker
2. Marque las casillas de verificación adyacentes a las categorías de sitios web que desea bloquear en este perfil de WebBlocker. Para obtener más información acerca de las categorías de WebBlocker, consulte Acerca de las Categorías de WebBlocker en la página 569. 3. Para crear un mensaje de registro cuando se niega un sitio web sobre la base de una categoría que decidió bloquear, marque la casilla de verificación Registrar esta acción. 4. Haga clic en Guardar. La política de WebBlocker se agrega a la lista.
Utiliceel perfil deWebBlockercon servidoresproxyHTTP yHTTPS Puede utilizar el perfil de WebBlocker que creó con los servidores proxy HTTP y HTTPS. En la página de WebBlocker: 1. En la sección Acciones de WebBlocker, en la lista Acciones HTTP y HTTPS, junto a cada acción de proxy, haga clic en la lista desplegable y seleccione un perfil de WebBlocker.
Guía del Usuario
567
WebBlocker
2. Haga clic en Guardar.
Agregar excepciones de WebBlocker Si desea permitir o negar siempre el acceso a sitios web específicos, independientemente de la categoría de WebBlocker, haga clic en la pestaña Excepciones. Puede agregar la URL o el patrón de URL de los sitios que desea que WebBlocker permita o niegue siempre. Para obtener más información acerca de cómo agregar excepciones de WebBlocker, consulte Agregar WebBlocker Excepciones en la página 573.
Usar anulación local de WebBlocker La anulación local de WebBlocker es una función que permite que un usuario ingrese una contraseña de anulación para dirigirse a un sitio web que está bloqueado por una política de WebBlocker. Por ejemplo, en una escuela, un maestro podría utilizar la contraseña de anulación para permitir que un estudiante acceda a un sitio aprobado que está bloqueado por las categorías de contenido de WebBlocker. Cuando un usuario intenta dirigirse a un sitio bloqueado por la política de WebBlocker, si está activada la anulación local, el usuario ve un deny message en el navegador.
568
Fireware XTM Web UI
WebBlocker
Si el dispositivo WatchGuard utiliza un certificado autofirmado para la autenticación, es posible que el usuario también vea una advertencia de certificado. Le recomendamos que instale un certificado de confianza en Firebox con este fin, o importe el certificado autofirmado en el dispositivo de cada cliente. Para obtener acceso al sitio solicitado, el usuario debe ingresar el destino de anulación y la contraseña de anulación. 1. En el cuadro de texto Destino de anulación, ingrese la URL a la cual desea permitir el acceso. Por defecto, el destino de anulación se configura como la URL que se bloqueó. Puede utilizar comodines en el destino de anulación para otorgar acceso a más de un sitio o a más páginas de un mismo sitio. Ejemplos de destinos de anulación que utilizan comodines: *.amazon.com
permite acceder a todos los subdominios de amazon.com *amazon.com
permite acceder a todos los domain names que terminan con amazon.com, como imagesamazon.com www.amazon.com/books-used-books-textbooks/*
permite acceder solamente a las páginas que se encuentran en esa ruta 2. En el cuadro de texto Contraseña de anulación, ingrese la contraseña de anulación configurada en el perfil de WebBlocker. 3. Haga clic en Enviar. Después de que el usuario ingresa la contraseña de anulación correcta, Firebox le permite acceder al destino de anulación hasta que un usuario autenticado cierre sesión o hasta que no haya tráfico a un sitio con coincidencia durante la cantidad de tiempo especificada en el tiempo de espera de inactividad de anulación local de WebBlocker. La anulación local se activa y el tiempo de espera de inactividad de la anulación local se configura en el perfil de WebBlocker.. Para obtener más información acerca de cómo configurar la anulación local de WebBlocker, consulte Activación de WebBlocker en la página 562.
Acerca de las Categorías de WebBlocker La base de datos de WebBlocker contiene nueve grupos de categorías, con 54 categorías de sitios web. Un sitio web se agrega a una categoría cuando los contenidos del sitio web coinciden con el criterio correcto. Los sitios web que ofrecen opiniones o material educativo acerca del tema de la categoría no están incluidos. Por ejemplo, la categoría Drogas ilegales niega los sitios que indican cómo utilizar la marihuana. No niegan los sitios que contienen información acerca del consumo histórico de marihuana. SurfControl periódicamente agrega nuevas categorías de sitios web. Las nuevas categorías no aparecen en la página de configuración de WebBlocker hasta que WatchGuard actualiza el software para agregar las nuevas categorías. Para bloquear los sitios que cumplen con los criterios para una nueva categoría de SurfControl que todavía no forma parte de una actualización del software de WebBlocker, seleccione la categoría Otro.
Guía del Usuario
569
WebBlocker
Para bloquear los sitios que no cumplen con los criterios para ninguna otra categoría, seleccione la categoría Sin categorizar.
Consultar si un sitio está categorizado Para ver si WebBlocker niega el acceso a un sitio web como parte de un bloque de categoría, diríjase a la página Probar un sitio en el sitio web de SurfControl. 1. Abra un explorador web y diríjase a: http://mtas2.surfcontrol.com/mtas/WatchGuardTest-a-Site_MTAS.asp. Se abre la página Probar un sitio de WatchGuard.
2. Ingrese la URL o dirección IP del sitio que desea probar. 3. Haga clic en Probar sitio. Aparece la página Resultados de Probar un sitio de WatchGuard.
570
Fireware XTM Web UI
WebBlocker
Agregar, eliminar o cambiar una categoría Si recibe un mensaje que indica que la URL que ingresó no figura en la lista de SurfControl, puede enviarla en la página Resultados de prueba. 1. En la página Resultados de prueba, haga clic en Enviar un sitio. Aparece la página Enviar un sitio.
2. Seleccione si desea Agregar un sitio, Borrar un sitio o Cambiar la categoría. 3. Ingrese la URL del sitio. 4. Si desea solicitar que se cambie la categoría a la cual fue asignado un sitio, seleccione la nueva categoría desde el menú desplegable. 5. Haga clic en Enviar.
Guía del Usuario
571
WebBlocker
Acerca de las Excepciones de WebBlocker WebBlocker podría negar un sitio web que es necesario para su negocio. Usted puede anular a WebBlocker cuando define un sitio web que WebBlocker suele negar como una excepción para permitir que los usuarios tengan acceso a éste. Por ejemplo, supongamos que los empleados de su compañía utilizan con frecuencia sitios web que contienen información médica. Algunos de estos sitios web están prohibidos por WebBlocker porque recaen en la categoría de educación sexual. Para anular a WebBlocker, especifique la dirección IP domain name. También puede negar sitios que WebBlocker suele permitir Las excepciones de WebBlocker se aplican solamente al tráfico HTTP. Si niega un sitio con WebBlocker, el sitio no se agrega automáticamente a la lista de Sitios bloqueados. Para agregar excepciones de WebBlocker, consulte Agregar WebBlocker Excepciones en la página 573.
Defina la acción para las sitios que no tienen coincidencias Excepciones En la sección Usar lista de categoría debajo de la lista de reglas de excepción, puede configurar la acción que desea que ocurra si la URL no coincide con las excepciones que configura. Por defecto, el botón de radio Use la lista de categoría de WebBlocker para determinar accesibilidad está seleccionado y WebBlocker compara los sitios contra las categorías seleccionadas en la pestaña Categorías para determinar la accesibilidad. También puede elegir no utilizar las categorías en absoluto y en cambio, utilizar reglas de excepción sólo para restringir el acceso a sitios web. Para hacer esto, haga clic en el botón de radio Negar acceso al sitio web. Registrar esta acción Seleccione para enviar un mensaje al archivo de registro cuando Firebox niega una excepción de WebBlocker.
Componentes de las reglas de excepción Puede hacer que el dispositivo WatchGuard bloquee o permita una URL que contenga una coincidencia exacta. Por lo general, es más conveniente que el dispositivo WatchGuard busque patrones de URL. Los patrones de URL no incluyen "http://" al comienzo. Para generar coincidencias de rutas de URL en todos los sitios web, el patrón debe contener “/*” como rastro.
Excepciones con parte de una URL Puede crear excepciones de WebBlocker mediante el uso de cualquier parte de una URL. Puede configurar un número de puerto, nombre de ruta o cadena que debe bloquearse para un sitio web en especial. Por ejemplo, si es necesario bloquear sólo www.espaciocompartido.com/~dave porque contiene fotografías inapropiadas, ingrese “www.espaciocompartido.com/~dave/*”. Esto permite que los usuarios puedan navegar a www.espaciocompartido.com/~julia, que puede tener contenidos que desea que sus usuarios puedan ver. Para bloquear las URL que contengan la palabra “sexo” en la ruta, puede ingresar “*/*sexo*”. Para bloquear las URL que contengan la palabra “sexo” en la ruta o en el nombre de host, ingrese “*sexo*”.
572
Fireware XTM Web UI
WebBlocker
Puede bloquear los puertos de una URL. Por ejemplo, observe la URL http://www.hackerz.com/warez/index.html:8080. Esta URL hace que el navegador utilice el protocolo HTTP en el puerto TCP 8080 en lugar del método predeterminado que utiliza el puerto TCP 80. Puede bloquear el puerto al generar la coincidencia *8080.
Agregar WebBlocker Excepciones Puede agregar una excepción, que es una coincidencia exacta de una URL, o puede utilizar el símbolo comodín "*" en la URL para que coincida con cualquier carácter. Por ejemplo, si agrega "www.algunsitio.com" a la lista de Sitios permitidos y un usuario ingresa "www.algunsitio.com/noticias", la solicitud resultará negada. Si agrega "www.algunsitio.com/*" a la lista de Sitios permitidos, WebBlocker permite que las solicitudes se dirijan a todas las rutas de URL en el sitio web www.algunsitio.com. Para agregar excepciones: 1. Desde la Fireware XTM Web UI, seleccione Servicios de suscripción > WebBlocker. Aparece la página de WebBlocker. 2. En la sección Perfiles de WebBlocker, junto a la política de WebBlocker, haga clic en Configurar. Aparecerá la configuración de la política de WebBlocker.
3. Haga clic en la pestaña Excepciones.
Guía del Usuario
573
WebBlocker
4. En el cuadro de texto debajo de la lista Sitios permitidos, ingrese la URL exacta o el patrón de URL de un sitio al cual desee permitir el acceso siempre. Haga clic en Agregar para agregarlo a la lista de excepciones de Sitios permitidos. 5. En el cuadro de texto debajo de la lista Sitios negados, ingrese la URL exacta o el patrón de URL de un sitio al cual desee negar el acceso siempre. Haga clic en Agregar para agregarlo a la lista de Sitios negados. Nota Cuando ingrese una excepción de URL, no incluya “http://” al comienzo. Puede utilizar el símbolo comodín, *, para buscar coincidencia de cualquier carácter. Por ejemplo, la excepción www.algunsitio.com/* generará coincidencias de todas las rutas de URL en el sitio web www.algunsitio.com. Puede utilizar más de un comodín en una excepción de URL. 6. En la sección Usar lista de categoría, puede configurar la acción que desea realizar si la URL no coincide con las excepciones que configura. La configuración predeterminada es que el botón de
574
Fireware XTM Web UI
WebBlocker
radio Use la lista de categoría de WebBlocker para determinar accesibilidad esté seleccionado y WebBlocker compare los sitios contra las categorías seleccionadas en la pestaña Categorías para determinar la accesibilidad. También puede elegir no utilizar las categorías en absoluto y en cambio, utilizar reglas de excepción sólo para restringir el acceso a sitios web. Para hacer esto, haga clic en el botón de radio Negar acceso al sitio web. 7. Haga clic en Guardar.
Renovar suscripciones de seguridad Los servicios de suscripción de WatchGuard (el Gateway AntiVirus, el Intrusion Prevention Service, WebBlocker y spamBlocker) deben recibir actualizaciones periódicas para funcionar con eficiencia. Para ver la fecha de vencimiento de sus servicios de suscripción, en la Web UI de Fireware XTM, seleccione Sistema > Tecla de función. La columna Vencimiento muestra la fecha de vencimiento de la suscripción. Cuando renueva la suscripción de seguridad, debe actualizar la tecla de función del dispositivo WatchGuard. Para actualizar la tecla de función, desde la Web UI de Fireware XTM, seleccione Sistema > Tecla de función. Para obtener más información acerca de las teclas de función, consulte Acerca de las teclas de función en la página 51.
Acerca del vencimiento de los servicios de suscripción de WebBlocker Si su sitio utiliza WebBlocker, debe renovar o desactivar su suscripción de WebBlocker cuando venza para evitar una interrupción en la navegación web. WebBlocker tiene una configuración predeterminada que bloquea todo el tráfico cuando se agota el tiempo de espera de las conexiones con el servidor. Cuando su WebBlocker se vence, ya no se comunica con el servidor. Para Firebox, esto aparece como el agotamiento del tiempo de espera del servidor. Todo el tráfico HTTP se bloquea a menos que esta configuración predeterminada se cambie antes del vencimiento. Para cambiar esta configuración, diríjase a la pestaña Configuración de la página de configuración de WebBlocker y cambie la configuración de la sección Derivación de licencia a Permitida.
Guía del Usuario
575
WebBlocker
Guía del Usuario
576
25
spamBlocker
Acerca de las spamBlocker Los correos electrónicos no deseados, también conocidos como spam, llenan una bandeja de entrada promedio a una velocidad asombrosa. Un gran volumen de spam disminuye el ancho de banda, degrada la productividad del empleado y desperdicia recursos de red. La opción spamBlocker de WatchGuard utiliza una tecnología de detección de patrones líder en la industria proporcionada por Commtouch para bloquear el spam en su puerta de enlace de Internet y mantenerlo alejado de su Servidor de correo electrónico. Los filtros de correo comerciales utilizan muchos métodos para detectar el spam. Las listas negras guardan una lista de dominios que son utilizados por fuentes de spam conocidas y son relés abiertos para el spam. Los filtros de contenido buscan palabras clave en el encabezado y en el cuerpo del mensaje de correo electrónico. La detección de URL compara una lista de dominios utilizados por fuentes de spam conocidas con el enlace publicitado en el cuerpo del mensaje de correo electrónico. No obstante, todos estos procedimientos escanean cada mensaje de correo electrónico individual. Los atacantes pueden evitar fácilmente esos algoritmos fijos. Pueden enmascarar la dirección del emisor para evitar una lista negra, cambiar las palabras clave, integrar palabras en una imagen o utilizar múltiples idiomas. También pueden crear una cadena de servidores proxy para camuflar la URL publicitada. spamBlocker utiliza la solución Detección de patrones recurrentes (Recurrent-Pattern Detection, RPD) creada por Commtouch para detectar estos ataques de spam difíciles de advertir. La RPD es un método innovador que navega Internet para detectar los ataques de spam en tiempo real. La RPD detecta los patrones del ataque, no sólo el patrón de mensajes de spam individuales. Como no utiliza el contenido ni el encabezado de un mensaje, puede identificar el spam en cualquier idioma, formato o codificación. Para ver un ejemplo de análisis de ataque de spam en tiempo real, visite el Monitor de ataques de Commtouch en: http://www.commtouch.com/Site/ResearchLab/map.asp spamBlocker además proporciona una función opcional de Virus Outbreak Detection. Para más informaciones, vea Active y configure los parámetros de la Virus Outbreak Detection (VOD) en la página 601. Para ver las estadísticas de la actividad actual de spamBlocker, seleccione Panel de instrumentos > Servicios de suscripción.
Guía del Usuario
577
spamBlocker
Guía del Usuario
578
Requisitos de spamBlocker Antes de activar spamBlocker, debe tener: n
n
n
n
Una tecla de función de spamBlocker: para obtener una tecla de función, comuníquese con su revendedor de WatchGuard o diríjase al sitio web de WatchGuard LiveSecurity en: http://www.watchguard.com/store Un servidor de correo electrónico POP3 o SMTP: spamBlocker trabaja con los servidores proxy SMTP entrantes y POP3 de WatchGuard para escanear su correo electrónico. Si no configuró el proxy POP3 o SMTP, estos se activarán cuando configure el servicio de spamBlocker. Si tiene más de una política de proxy para POP3 o para SMTP, spamBlocker trabajará con todas. El DNS debe estar configurado en su Firebox: en la Fireware XTM Web UI, seleccione Red > Interfaces. En la lista Servidores DNS, agregue las direcciones IP de los servidores DNS que su dispositivo WatchGuard utiliza para resolver los nombres de host. Una conexión a Internet disponible
Guía del Usuario
579
Guía del Usuario
580
Acciones, etiquetas y categorías de spamBlocker El dispositivo WatchGuard utiliza las acciones de spamBlocker para aplicar decisiones acerca de la entrega de mensajes de correo electrónico. Cuando un mensaje es asignado a una categoría, se aplica la acción relacionada. No se admiten todas las acciones cuando utiliza spamBlocker con el proxy POP3. Permitir Permitir que el mensaje de correo electrónico pase por Firebox. Agregar etiqueta de asunto Permitir que el mensaje de correo electrónico pase por Firebox pero insertar texto en la línea de asunto del mensaje de correo electrónico para marcarlo como spam o posible spam. Puede mantener las etiquetas predeterminadas o personalizarlas, como se describe en la sección de etiquetas de spamBlocker a continuación. También puede crear reglas en su lector de correo electrónico para clasificar el spam de manera automática, como se describe en Cree reglas para su lector de correo electrónico en la página 602. Poner en cuarentena (sólo SMTP) Enviar el mensaje de correo electrónico al Quarantine Server. Tenga en cuenta que la opción Poner en cuarentena está admitida sólo si utiliza spamBlocker con el proxy SMTP. El proxy POP3 no admite esta opción. Negar (sólo SMTP) Evita que el mensaje de correo electrónico sea entregado al servidor de correo. Firebox envía este mensaje SMTP 571 al servidor de correo electrónico enviante: Entrega no autorizada, mensaje rechazado. La opción Negar se admite sólo si utiliza spamBlocker con el proxy SMTP. El proxy POP3 no admite esta opción. Abandonar (sólo SMTP) Abandonar la conexión inmediatamente. El dispositivo WatchGuard no le brinda ningún mensaje de error al servidor enviante. La opción Abandonar está admitida sólo si utiliza spamBlocker con el proxy SMTP. El proxy POP3 no admite esta opción.
Etiquetas de spamBlocker Si selecciona la acción de spamBlocker para agregar una etiqueta a determinados mensajes de correo electrónico, Firebox agrega una cadena de texto a la línea de asunto del mensaje. Puede utilizar las etiquetas predeterminadas provistas o crear etiquetas personalizadas. La longitud máxima de la etiqueta es de 30 caracteres. Este ejemplo muestra la línea de sujeto de un mensaje de correo electrónico confirmado como spam. La etiqueta que se agregó fue la predeterminada: ***SPAM***. Asunto: ***SPAM*** Cotización gratuita de seguro automotor
Este ejemplo muestra una etiqueta personalizada: [SPAM] Asunto: [SPAM] ¡Ha sido aprobado!
Guía del Usuario
581
Categorías de spamBlocker La solución Detección de patrones recurrentes (RPD) de Commtouch (RPD) clasifica los ataques de spam por severidad en su base de datos Centro de detección anti-spam. spamBlocker consulta esta base de datos y le asigna una categoría a cada mensaje de correo electrónico. spamBlocker tiene tres categorías: La categoría Spam confirmado incluye los mensajes de correo electrónico que vienen de emisores de spam conocidos. Si utiliza spamBlocker con el proxy SMTP, le recomendamos que utilice la acción Negar para este tipo de correo electrónico. Si utiliza spamBlocker con el proxy POP3, le recomendamos que utilice la acción Agregar etiqueta de asunto para este tipo de correo electrónico. La categoría Masivo incluye a los mensajes de correo electrónico que no provienen de emisores conocidos pero que coinciden con algunos patrones de estructura de spam conocidos. Le recomendamos que utilice la acción Agregar etiqueta de asunto para este tipo de correo electrónico, o bien, la acción Poner en cuarentena si utiliza spamBlocker con el proxy SMTP. La categoría Sospechoso incluye a los mensajes de correo electrónico que parecen poder asociarse con un nuevo ataque de spam. Con frecuencia, estos mensajes son mensajes de correo electrónico legítimos. Le recomendamos que considere los mensajes de correo electrónico sospechosos como un falso positivo y en consecuencia, no como spam, a menos que haya verificado que no se trata de un falso positivo para su red. También le recomendamos que utilice la acción Permitir para el correo electrónico sospechoso, o bien, la acción Poner en cuarentena si utiliza spamBlocker con el proxy SMTP.
Consulte la categoría de spamBlocker de un mensaje Después de que spamBlocker categoriza un mensaje, agrega la categoría de spam al encabezado del mensaje de correo electrónico completo como una calificación de spam. Para encontrar la calificación de spam de un mensaje, abra el encabezado completo del mensaje de correo electrónico. Si tiene Microsoft Outlook, abra el mensaje, seleccione Ver > Opciones y busque en el cuadro de diálogo Encabezados de Internet. La calificación de spam aparece en esta línea: X-WatchGuard-Spam_Score:
Por ejemplo: X-WatchGuard-Spam-Score: 3, masivo; 0, sin virus
El primer número en esta línea es la categoría de spam. Este número tiene uno de estos valores: 0 - limpio 1 - limpio 2 - sospechoso 3 - masivo 4 - spam
582
Fireware XTM Web UI
Si activa la Virus Outbreak Detection (VOD) en su configuración de spamBlocker, la calificación de spam en el encabezado del mensaje de correo electrónico tendrá un número secundario, la categoría de VOD. Este número tiene uno de estos valores: 0 - sin virus 1 - sin virus 2 - posible amenaza de virus 3 - alta amenaza de virus
Configurado spamBlocker Para configurar spamBlocker para un proxy SMTP o POP3: 1. Desde la Web UI de Fireware XTM, seleccione Servicios de suscripción > spamBlocker. Aparece la página de configuración de spamBlocker, con una lista de las acciones de proxy SMTP y POP3 en su dispositivo WatchGuard y una indicación de si spamBlocker está activado para cada una.
2. Seleccione la política que desea configurar y haga clic en Configurar. Aparece la página de configuración de spamBlocker para esa política.
Guía del Usuario
583
3. Seleccione la casilla de verificación Activar spamBlocker. 4. Configure las acciones que spamBlocker aplicará para cada categoría de correo electrónico en las listas desplegables adyacentes a spam ConfirmadoMasivo y Sospechoso. Si selecciona Agregar etiqueta de asunto para cualquier categoría, puede cambiar la etiqueta predeterminada que aparece en el cuadro de texto a la derecha de la lista desplegable. Para obtener más información acerca de las etiquetas de spamBlocker, consulte Acciones, etiquetas y categorías de spamBlocker en la página 581. 5. Si desea enviar un mensaje de registro cada vez que spamBlocker realiza una acción, seleccione la casilla de verificación Enviar un mensaje de registro de la acción que corresponde. Si no desea grabar los mensajes de registro de una acción, desmarque esta casilla de verificación. 6. La lista desplegable Cuando el servidor de spamBlocker no está disponible especifique cómo debe administrar el correo electrónico entrante el dispositivo WatchGuard cuando no se puede comunicar con el servidor de spamBlocker. Le recomendamos que utilice la acción predeterminada Permitido. n
584
Si configura esta opción como Negado para el proxy POP3 o SMTP, esto causará un conflicto con Microsoft Outlook. Cuando Outlook inicia una conexión con el servidor de correo electrónico, spamBlocker intenta comunicarse con el servidor de spamBlocker. Si el servidor de spamBlocker no está disponible, spamBlocker detiene la descarga de correos electrónicos. Cuando esto ocurre, comienza un ciclo. Outlook intenta descargar los correos electrónicos y spamBlocker detiene la descarga. Esto continúa hasta que el dispositivo WatchGuard logra conectarse al servidor de spamBlocker, se abandona la solicitud porque se vencen los tiempos de proxy o usted cancela la solicitud.
Fireware XTM Web UI
n
Si configura esta opción como Negado con el proxy SMTP, el dispositivo WatchGuard envía este mensaje SMTP 450 al servidor de correo electrónico enviante: “La casilla de correo no está disponible por el momento”.
7. La casilla de verificación Enviar mensaje de registro para cada correo electrónico clasificado como no spam especifica si se agrega un mensaje al archivo de registro si un mensaje de correo electrónico es escaneado por spamBlocker pero no es designado como spam Confirmado, Masivo ni Sospechoso. Seleccione esta casilla de verificación si desea agregar un mensaje al archivo de registro en esta situación. 8. (Opcional) Agregue reglas de excepción a spamBlocker, como se describe en Acerca de las Excepciones de spamBlocker en la página 587. 9. Configure las acciones de Virus Outbreak Detection, como se describe en Configurar acciones de Virus Outbreak Detection para una política en la página 593. 10. Haga clic en Guardar. Nota Si tiene algún firewall perimetral entre el dispositivo WatchGuard que utiliza spamBlocker e Internet, éste no debe bloquear el tráfico HTTP. El protocolo HTTP se utiliza para enviar solicitudes desde el dispositivo WatchGuard hasta el servidor de spamBlocker. Después de activar spamBlocker para una acción o política de proxy, puede definir la configuración global de spamBlocker. Estos ajustes se aplican a todas las configuraciones de spamBlocker. Haga clic en Configuración para ver o modificar la configuración global de spamBlocker. Para más informaciones, vea Configure los parámetros globales de spamBlocker en la página 597.
Guía del Usuario
585
Guía del Usuario
586
Acerca de las Excepciones de spamBlocker Puede crear una lista de excepciones a las acciones generales de spamBlocker que se base en la dirección del emisor o del destinatario. Por ejemplo, si desea permitir un boletín de noticias que spamBlocker identifica como correo electrónico masivo, puede agregar a ese emisor a la lista de excepciones y utilizar la acción Permitir independientemente de la categoría de spamBlocker a la cual esté asignado el emisor. O bien, si desea aplicar una etiqueta a un emisor que spamBlocker designa como seguro, también puede agregar eso a la lista de excepciones. Asegúrese de utilizar la dirección real del emisor, que figura en el campo “Correo de” en el encabezado del mensaje de correo electrónico, que posiblemente no coincida con la dirección del campo “De:” que ve en la parte superior del mensaje de correo electrónico. Para obtener la dirección real para la excepción, busque el encabezado completo del mensaje de correo electrónico (desde Microsoft Outlook, con el mensaje abierto, seleccione Ver > Opciones y busque en el cuadro Encabezados de Internet). Las direcciones del emisor y el destinatario están en estas líneas: X-WatchGuard-Mail-From: X-WatchGuard-Mail-Recipients: Tenga cuidado cuando agrega comodines a una excepción. Los emisores de spam pueden replicar la información del encabezado. Cuanto más específicas sean las direcciones de su lista de excepciones, más difícil será replicarlas. Para agregar una regla de excepción, consulte Agregar spamBlocker reglas de excepciones en la página 589. Para cambiar el orden de las reglas enumeradas en el cuadro de diálogo, consulte Cambiar el orden de las Excepciones en la página 591.
Guía del Usuario
587
Guía del Usuario
588
Agregar spamBlocker reglas de excepciones Después de activar spamBlocker, puede definir excepciones que permitan que los correos electrónicos de emisores específicos deriven a spamBlocker. 1. Desde la Web UI de Fireware XTM, seleccione Servicios de suscripción > spamBlocker. Aparece la página de configuración de spamBlocker.
2. Seleccione una política de proxy y haga clic en Configurar. Haga clic en la pestaña Excepciones. Aparece la página de configuración de spamBlocker y muestra la lista de excepciones de spamBlocker.
3. Desde la lista desplegable Acción, seleccione una acción de la regla: Permitir, Agregar etiqueta de asunto, Poner en cuarentena, Negar o Abandonar. (Recuerde que el proxy POP3 sólo admite las acciones Permitir y Agregar etiqueta de asunto en spamBlocker). 4. Ingrese un emisor, un destinatario o ambos. Puede ingresar la dirección de correo electrónico completa o utilizar comodines. Asegúrese de utilizar la dirección real del emisor. Puede encontrar esta dirección en el campo “Correo de” en el encabezado del correo electrónico. Es posible que esta dirección no coincida con la que aparece en el campo “De:” que ve en la parte superior del mensaje de correo electrónico. Para obtener la dirección real para la excepción, busque el encabezado completo del mensaje de correo electrónico (desde Microsoft Outlook, con el mensaje abierto, seleccione Ver > Opciones y busque en el cuadro Encabezados de Internet). Las direcciones del emisor y el destinatario están en estas líneas: X-WatchGuard-Mail-From: X-WatchGuard-Mail-Recipients:
Tenga cuidado cuando agrega comodines a una excepción. Los emisores de spam pueden replicar
Guía del Usuario
589
la información del encabezado. Cuanto más específicas sean las direcciones de su lista de excepciones, más difícil será replicarlas. 5. Haga clic en Agregar. La excepción se agrega en la parte inferior de la lista de excepciones.
6. Si desea enviar un mensaje de registro cada vez que un correo electrónico coincida con una de las excepciones, haga clic en la casilla de verificaciónRegistrar excepciones. Las excepciones se procesan en el mismo orden en que aparecen en la lista. De ser necesario, haga clic en los botones Arriba y Abajo para Cambiar el orden de las Excepciones.
590
Fireware XTM Web UI
Cambiar el orden de las Excepciones El orden de aparición de las reglas de excepciones de spamBlocker en el cuadro de diálogo refleja el orden en que los mensajes de correo electrónico se comparan con las reglas. La política de proxy compara los mensajes con la primera regla de la lista y continúa secuencialmente desde arriba hacia abajo. Cuando un mensaje coincide con una regla, el dispositivo WatchGuard realiza la acción relacionada. No realiza ninguna otra acción, incluso aunque el mensaje coincida con una o más reglas posteriores de la lista. Para cambiar el orden de las reglas, seleccione la regla cuyo orden desea cambiar. Haga clic en el botón Arriba o Abajo para desplazar la regla seleccionada hacia arriba o abajo de la lista.
Guía del Usuario
591
Guía del Usuario
592
Configurar acciones de Virus Outbreak Detection para una política La Virus Outbreak Detection (VOD) es una tecnología que utiliza el análisis del tráfico para identificar los ataques de virus por correo electrónico en todo el mundo en pocos minutos y luego ofrece protección contra esos virus. Suministrada por Commtouch, un líder de la industria en protección contra spam y virus en correos electrónicos, la VOD está incorporada en el servicio de suscripción de spamBlocker. Después de activar spamBlocker, puede configurar la Virus Outbreak Detection. Para configurar las acciones de Virus Outbreak Detection: 1. Desde la Web UI de Fireware XTM, seleccione Servicios de suscripción > spamBlocker. 2. Asegúrese de que la Virus Outbreak Detection esté activada: n n n
n
En spamBlocker página, haga clic en Configuración. En la página Configuración de spamBlocker, haga clic en la pestaña VOD. Seleccione la casilla de verificación Activar Virus Outbreak Detection (VOD). Para más informaciones, vea Active y configure los parámetros de la Virus Outbreak Detection (VOD) en la página 601. Haga clic en Guardar.
3. En spamBlocker página, seleccione una política de proxy y haga clic en Configurar. Haga clic en la pestaña Virus Outbreak Detection.
4. Desde la lista desplegable Cuando se detecta un virus, seleccione la acción que debe realizar el dispositivo WatchGuard si VOD detecta un virus en un mensaje de correo electrónico. 5. Desde la lista desplegable Cuando ocurre un error de escaneo, seleccione la acción que debe realizar el dispositivo WatchGuard cuando VOD no puede escanear un mensaje de correo electrónico o un adjunto. Los adjuntos que no se pueden escanear incluyen mensajes codificados de BinHex, determinados
Guía del Usuario
593
archivos cifrados o archivos que utilizan un tipo de compresión no admitido como los archivos Zip protegidos por contraseña. 6. Seleccione las casillas de verificación Registrar esta acción para enviar un mensaje de registro cuando se detecta un virus o cuando ocurre un error de escaneo. El proxy SMTP admite las acciones Permitir, Bloquear, Eliminar, Poner en cuarentena, Abandonar y Bloquear. El proxy POP3 sólo admite las acciones Permitir, Bloquear y Eliminar. Para obtener más información acerca de estas acciones, consulte Acciones, etiquetas y categorías de spamBlocker en la página 581.
594
Fireware XTM Web UI
Configure spamBlocker para colocar mensajes de correo electrónico en cuarentena El WatchGuard Quarantine Server proporciona un mecanismo de cuarentena seguro y con funcionalidad completa para cualquier mensaje de correo electrónico con sospecha o certeza de ser spam o de contener virus. Este depósito recibe mensajes de correo electrónico del proxy SMTP y filtrados por spamBlocker. Para configurar spamBlocker para que ponga correos electrónicos en cuarentena: 1. Cuando configura spamBlocker (como se describe en Configurado spamBlocker en la página 583), debe asegurarse de activar spamBlocker para el proxy SMTP. 2. Cuando configura las acciones que spamBlocker aplicará a las diferentes categorías de correo electrónico (como se describe en Configurado spamBlocker en la página 583), asegúrese de seleccionar la acción Poner en cuarentena por lo menos para una de las categorías. También puede seleccionar la acción Poner en cuarentena para los mensajes de correo electrónico identificados por Virus Outbreak Detection como portadores de virus. Para más informaciones, vea Configurar acciones de Virus Outbreak Detection para una política en la página 593.
Guía del Usuario
595
Guía del Usuario
596
Acerca de la utilización spamBlocker con servidores proxy múltiples Puede configurar más de una política de proxy SMTP o POP3 para utilizar spamBlocker. Esto le permite crear reglas personalizadas para grupos diferentes dentro de una organización. Por ejemplo, puede permitir todos los correos electrónicos para sus empleados administrativos y utilizar una etiqueta de spam para el equipo de mercadeo. Si desea utilizar más de una política de proxy con spamBlocker, su red debe utilizar una de estas configuraciones: n
n
Cadapolíticadeproxydebeenviar loscorreoselectrónicosaunservidor decorreoelectrónicointerno diferente. o Debe configurar lasfuentesexternasque puedenenviar correoselectrónicosparacadapolíticade proxy.
Configure los parámetros globales de spamBlocker Puede usar configuración global de spamBlocker para optimizar spamBlocker para su propia instalación. Como la mayoría de estos parámetros afectan la cantidad de memoria que utiliza spamBlocker en el dispositivo WatchGuard, debe equilibrar el rendimiento de spamBlocker con las demás funciones de su dispositivo WatchGuard. Nota Para realizar las configuraciones globales de spamBlocker, debe activar spamBlocker por lo menos para una política de proxy. 1. Desde la Web UI de Fireware XTM, seleccione Servicios de suscripción > spamBlocker. 2. Haga clic en Configuraciones. Aparece la página de configuración de spamBlocker.
Guía del Usuario
597
3. spamBlocker crea una conexión para cada mensaje que procesa. Esta conexión incluye información acerca del mensaje que se utiliza para generar su calificación de spam. spamBlocker establece un número máximo predeterminado de conexiones que pueden analizarse simultáneamente con memoria intermedia según el modelo de su dispositivo WatchGuard. Puede utilizar el campo Número máximo de conexiones para aumentar o reducir este valor. Si la cantidad de tráfico que administran sus políticas de proxy es reducida, puede aumentar el número de conexiones admitidas para spamBlocker sin afectar el rendimiento. Si tiene memoria disponible limitada en el dispositivo WatchGuard, es posible que desee reducir el valor de este campo. 4. Utilice el campo Tamaño máximo de archivo para escanear para configurar la cantidad de bytes que debe tener un mensaje de correo electrónico para que pase a escanearse en spamBlocker. Por lo general, de 20 a 40 K resultan suficientes para que spamBlocker detecte el spam correctamente. No obstante, si el spam a base de imágenes representa un problema para su organización, puede aumentar el tamaño máximo del archivo para bloquear más mensajes de spam a base de imágenes. Para obtener información sobre los límites de escaneo predeterminados y máximos para cada modelo de dispositivo WatchGuard, consulte Acerca de spamBlocker y los límites de escaneo de la VOD en la página 602.
598
Fireware XTM Web UI
5. En el campo Tamaño de caché, ingrese el número de entradas que spamBlocker almacena localmente para los mensajes que fueron categorizados como spam y masivos. Un caché local puede mejorar el rendimiento porque no requiere tráfico de red a Commtouch. Por lo general, no tiene que cambiar este valor. Puede configurar el campo Tamaño de caché en 0 para que todos los correos electrónicos se envíen a Commtouch. Normalmente, esto sólo se utiliza para detectar y solucionar problemas. 6. Desmarque la casilla de verificación Activado al lado de Patrones proactivos si desea desactivar la función de Patrones proactivos del motor de CT de Commtouch. Esta función está activada de manera automática. Utiliza una gran cantidad de memoria mientras se actualiza la base de datos local. Si tiene recursos de memoria o procesador limitados, es posible que desee desactivar esta función. 7. El cuadro de texto Anulación de cadena de conexión sólo se utiliza cuando debe detectar y solucionar un problema de spamBlocker con un representante de soporte técnico. No cambie este valor a menos que se le solicite que proporcione información de depuración adicional para un problema de soporte técnico. 8. También puede definir varios parámetros opcionales más para spamBlocker: n n n
Active y configure los parámetros de la Virus Outbreak Detection (VOD) Utilice un servidor proxy HTTP para spamBlocker Agregar reenviadores de correo electrónico de confianza para mejorar la precisión de calificación del spam
9. Haga clic en Guardar.
Utilice un servidor proxy HTTP para spamBlocker Si spamBlocker debe utilizar un servidor proxy HTTP para conectarse con el servidor de CommTouch a través de Internet, debe configurar el servidor proxy HTTP desde Configuraciones de spamBlocker página. 1. En el la página de spamBlocker, haga clic en Configuración. 2. Haga clic en la pestaña Servidor proxy HTTP.
Guía del Usuario
599
3. En la pestaña Servidor proxy HTTP, seleccione la casilla de verificación Contactar el servidor de spamBlocker usando un servidor proxy HTTP. 4. Utilice los otros campos de esta pestaña para configurar los parámetros del servidor proxy, que incluyen la dirección del servidor proxy, el puerto que debe utilizar el dispositivo WatchGuard para comunicarse con el servidor proxy y las credenciales de autenticación que debe utilizar el dispositivo WatchGuard para las conexiones con el servidor proxy (si el servidor proxy las requiere).
Agregar reenviadores de correo electrónico de confianza para mejorar la precisión de calificación del spam Parte de la calificación de spam de un mensaje de correo electrónico se calcula mediante la dirección IP del servidor desde el cual se recibió el mensaje. Si se utiliza un servicio de reenvío de correo electrónico, la dirección IP del servidor reenviante se utiliza para calcular la calificación del spam. Como el servidor reenviante no es el servidor de correo electrónico fuente inicial, es posible que la calificación del spam no sea precisa.
Para mejorar la precisión de la calificación del spam, puede ingresar uno o más nombres de host o domain names de servidores de correo electrónico en los cuales confíe para que reenvíen el correo electrónico a su servidor de correo electrónico. Si utiliza un servidor SMTP, ingrese uno o más nombres de host o domain names de los servidores de correo electrónico SMTP en los cuales confíe para que reenvíen los mensajes a su servidor de correo electrónico. Si utiliza un servidor POP3, ingrese los domain names de proveedores POP3 conocidos o comúnmente utilizados en los cuales confía para descargar sus mensajes por medio de ellos.
600
Fireware XTM Web UI
Después de que agrega un reenviador de correo electrónico de confianza o varios, spamBlocker ignora al reenviador de correos electrónicos de confianza en los encabezados de los mensajes de correo electrónico. La calificación del spam se calcula utilizando la dirección IP del servidor de correo electrónico fuente. 1. Desde la página Configuración de spamBlocker, haga clic en la pestaña Configuración. 2. Debajo de la lista Reenviadores de correo electrónico de confianza, ingrese un nombre de host o de dominio en el cuadro de texto. Haga clic en Agregar. Si agrega un domain name, asegúrese de agregar un punto al principio (.) del nombre, como en .firebox.net.
3. (Opcional) Repita el paso 2 para agregar más reenviadores de correo electrónico de confianza. 4. Haga clic en Guardar.
Active y configure los parámetros de la Virus Outbreak Detection (VOD) La Virus Outbreak Detection (VOD) es una tecnología que identifica los ataques de virus por correo electrónico de todo el mundo en minutos y luego ofrece protección contra esos virus. Ofrecida por Commtouch, un líder de la industria en lo que respecta a protección contra virus y spam por correo electrónico, VOD atrapa los virus incluso más rápido que los sistemas basados en firmas. Para activar y configurar VOD: 1. Desde la página Configuración de spamBlocker, haga clic en la pestaña VOD. 2. Seleccione la casilla de verificación Activar Virus Outbreak Detection (VOD). 3. De modo predeterminado, VOD analiza los mensajes de correo electrónico entrantes hasta un límite de tamaño predeterminado que resulta óptimo para el modelo de Firebox. Puede aumentar o reducir este límite mediante las flechas adyacentes a Tamaño máximo de archivo VOD para escanear. Para obtener información sobre los límites de escaneo predeterminados y máximos para cada modelo de dispositivo WatchGuard, consulte Acerca de spamBlocker y los límites de escaneo de la VOD en la página 602. VOD utiliza el valor mayor de los tamaños de archivo máximos configurados para la VOD o el spamBlocker. Si el valor global para spamBlocker del campo Tamaño máximo de archivo para escanear configurado en , pestaña Configuración es mayor que el valor de Tamaño máximo de archivo VOD para escanear, VOD utilizará el valor global para spamBlocker. Para obtener información acerca de la configuración global de spamBlocker, consulte Configure los parámetros globales de spamBlocker en la página 597. En las definiciones de proxy para spamBlocker, puede configurar las acciones que desea que spamBlocker realice cuando encuentre un virus, como se describe en Configurar acciones de Virus Outbreak Detection para una política en la página 593.
Guía del Usuario
601
Acerca de spamBlocker y los límites de escaneo de la VOD spamBlocker escanea cada archivo hasta un conteo de kilobytes específico. Todos los bytes adicionales en el archivo no se examinan. Esto permite al proxy escanear parcialmente archivos muy grandes sin ocasionar un efecto considerable en el rendimiento. Los límites de escaneo predeterminado y máximo son diferentes para cada modelo de dispositivo WatchGuard.
Límites de escaneo del archivo por modelo de dispositivo WatchGuard, en kilobytes Modelo
Mínimo Máximo Predeterminado
Firebox X Edge e-Series
1
40
40
Firebox X Core e-Series
1
2000
60
Firebox X Peak e-Series
1
2000
100
WatchGuard XTM XTM Serie 2 1
1000
60
WatchGuard XTM 5 Series
1
2000
100
WatchGuard XTM 8 Series
1
2000
100
WatchGuard XTM 1050
1
2000
100
Para obtener información acerca de cómo configurar el tamaño máximo del archivo a escanear mediante spamBlocker y la VOD, consulte Configure los parámetros globales de spamBlocker en la página 597 y Active y configure los parámetros de la Virus Outbreak Detection (VOD) en la página 601
Cree reglas para su lector de correo electrónico Para utilizar la acción de Etiqueta en spamBlocker, lo mejor es que configure su lector de correo electrónico para clasificar los mensajes. La mayoría de los lectores de correo electrónico, como Outlook, Thunderbird y Mac Mail, le permiten configurar reglas que envían automáticamente los mensajes de correo electrónico etiquetados a una subcarpeta. Algunos lectores de correo electrónico además permiten crear una regla para eliminar los mensajes automáticamente. Como puede utilizar una etiqueta diferente para cada categoría de spamBlocker, puede configurar una regla diferente para cada categoría. Por ejemplo, puede configurar una regla para trasladar todos los mensajes de correo electrónico que contengan la etiqueta ***MASIVO*** en la línea de asunto a una subcarpeta para correos masivos en su bandeja de entrada. Puede configurar otra regla que elimine todos los mensajes de correo electrónico que contengan la etiqueta ***SPAM*** en la línea de asunto. Para obtener instrucciones acerca de cómo configurar el cliente de correo electrónico Microsoft Outlook, consulte Enviar correos electrónicos spam o masivos a carpetas especiales en Outlook en la página 603. Para obtener información acerca de cómo utilizar este procedimiento en otros tipos de clientes de correo electrónico, consulte la documentación del usuario de esos productos.
602
Fireware XTM Web UI
Nota Si utiliza spamBlocker con el proxy SMTP, puede hacer que los correos electrónicos spam se envíen al Quarantine Server. Para obtener más información sobre el Quarantine Server, consulte Página Acerca de Quarantine Server en la página 635.
Enviar correos electrónicos spam o masivos a carpetas especiales en Outlook Este procedimiento le muestra los pasos para crear reglas para los correos electrónicos masivos y sospechosos en Microsoft Outlook. Puede hacer que los correos electrónicos que contienen las etiquetas “spam” o “masivo” se envíen directamente a carpetas especiales en Outlook. Cuando cree estas carpetas, mantendrá los correos electrónicos que posiblemente sean spam fuera de sus carpetas habituales de Outlook pero podrá acceder a ellos si fuera necesario. Antes de comenzar, asegúrese de configurar spamBlocker para agregar una etiqueta a los correos electrónicos spam y masivos. Puede utilizar las etiquetas predeterminadas o crear etiquetas personalizadas. Los siguientes pasos describen cómo crear carpetas con las etiquetas predeterminadas. 1. 2. 3. 4. 5. 6. 7. 8. 9.
10. 11. 12. 13. 14.
En su bandeja de entrada de Outlook, seleccione Herramientas > Reglas y alertas. Haga clic en Nueva regla para iniciar el asistente Reglas. Seleccione Comenzar desde una regla en blanco. Seleccione Comprobar los mensajes cuando llegan. Haga clic en Siguiente. Seleccione la casilla de verificación de condición: con palabras específicas en el asunto. Luego, en el panel inferior, edite la descripción de la regla haciendo clic en especificar. En el cuadro de diálogo Buscar texto, ingrese la etiqueta de spam como ***SPAM*** . Si utiliza una etiqueta personalizada, ingrésela aquí en lugar de la anterior. Haga clic en Agregar y luego haga clic en OK. Haga clic en Siguiente. El asistente le pregunta qué desea hacer con el mensaje. Seleccione la casilla de verificación moverlo a la carpeta especificada. Luego, en el panel inferior, haga clic en especificada para seleccionar la carpeta de destino. En el cuadro de diálogo Elegir una carpeta, haga clic en Nueva. En el campo de nombre de la carpeta, ingrese Spam . Haga clic en OK. Haga clic en Siguiente dos veces. Para completar la configuración de la regla, ingrese un nombre para su regla de spam y haga clic en Terminar. Haga clic en Aplicar.
Repita estos pasos para crear una regla para el correo electrónico masivo, utilizando la etiqueta correo electrónico masivo. Puede enviar el correo electrónico masivo a la misma carpeta o crear una carpeta independiente para el correo electrónico masivo.
Guía del Usuario
603
Enviar un informe acerca de falsos positivos o falsos negativos Un mensaje de correo electrónico falso positivo es un mensaje legítimo que spamBlocker identifica incorrectamente como spam. Un mensaje de correo electrónico falso negativo es un mensaje de spam que spamBlocker no identifica correctamente como spam. Si encuentra un mensaje de correo electrónico falso positivo o falso negativo, puede enviar un informe directamente a Commtouch. También puede enviar un informe acerca de un falso positivo para un mensaje de correo electrónico masivo solicitado. Éste es un mensaje que spamBlocker identifica como correo masivo cuando un usuario en realidad solicitó el mensaje de correo electrónico. Nota No envíe un informe acerca de un falso positivo cuando el correo electrónico fue asignado a la categoría Sospechoso. Como ésta no es una categoría permanente, Commtouch no investiga los informes de error de spam sospechoso. Debe tener acceso al mensaje de correo electrónico para enviar un informe de falso positivo o falso negativo a Commtouch. También debe conocer la categoría (Spam confirmado, Masivo) en la cual spamBlocker colocó el mensaje de correo electrónico. Si no conoce la categoría, consulte la sección "Buscar la categoría a la cual está asignado un mensaje" a continuación. 1. Guarde el mensaje de correo electrónico como un archivo .msg o .eml. No puede reenviar el correo electrónico inicial porque Commtouch debe ver el encabezado del correo electrónico. Si utiliza un software de correo electrónico como Microsoft Outlook o Mozilla Thunderbird, puede arrastrar y soltar el mensaje de correo electrónico hasta una carpeta en el escritorio de la computadora. Si utiliza un software de correo electrónico que no tiene la función de arrastrar y soltar, debe seleccionar Archivo > Guardar como para guardar el mensaje de correo electrónico en una carpeta. 2. Cree un mensaje de correo electrónico nuevo destinado a:
[email protected] para los falsos positivos
[email protected] para los falsos negativos
[email protected] para los correos electrónicos masivos solicitados que se detectan como falsos positivos 3. Ingrese lo siguiente en la línea de asunto de su mensaje de correo electrónico: Informe de FP para los falsos positivos Informe de FN para los falsos negativos Informe de FP para los correos electrónicos masivos solicitados que se detectan como falsos positivos 4. Adjunte el archivo .msg o .eml al mensaje de correo electrónico y envíelo. Si tiene muchos mensajes acerca de los cuales desea informar a Commtouch, puede incluirlos a todos en un archivo Zip. No coloque el archivo Zip dentro de un archivo Zip. El archivo Zip sólo se puede comprimir un nivel para que Commtouch pueda analizarlo de manera automática.
604
Fireware XTM Web UI
Utilice el registro RefID en lugar de un mensaje de texto Si desea enviarle un informe a Commtouch pero no puede enviar el mensaje de correo electrónico inicial porque la información del mensaje es confidencial, puede utilizar el registro RefID desde el encabezado del correo electrónico en su lugar. El registro RefID es el número de referencia de la transacción entre Firebox y el Centro de detección de Commtouch. spamBlocker le agrega un encabezado de X-WatchGuard-Spam-ID a cada correo electrónico. El encabezado tiene este aspecto: X-WatchGuard-Spam-ID: 0001.0A090202.43674BDF.0005-G-gg8BuArWNRyK9/VKO3E51A== La larga secuencia de números y letras después de la parte X-WatchGuard-Spam-ID: del encabezado es
el registro RefID. En lugar de adjuntar el correo electrónico inicial, coloque el registro de referencia en el cuerpo de su mensaje de correo electrónico. Si tiene más de un mensaje de correo electrónico acerca del cual desea enviar un informe, coloque cada registro RefID en una línea independiente. Para ver los encabezados de los correos electrónicos si utiliza Microsoft Outlook: 1. Abra el mensaje de correo electrónico en una ventana nueva o selecciónelo en Outlook. 2. Si abre el correo electrónico en una ventana independiente, seleccione Ver > Opciones. Si resalta el correo electrónico en Outlook, haga clic con el botón derecho sobre el mensaje de correo electrónico y seleccione Opciones. Los encabezados aparecen en la parte inferior de la ventana Opciones de mensaje. Para ver los encabezados de los correos electrónicos si utiliza Microsoft Outlook Express: 1. Abra el mensaje de correo electrónico en una ventana nueva o resáltelo en Outlook Express. 2. Si abre el correo electrónico en una ventana independiente, seleccione Archivo > Propiedades. Si destaca el correo electrónico en Outlook Express, haga clic derecho sobre éste y seleccione Propiedades. 3. Haga clic en la pestaña Detalles para ver los encabezados. Para ver los encabezados de los correos electrónicos si utiliza Mozilla Thunderbird: 1. Abra los mensajes de correo electrónico en una ventana nueva. 2. Seleccione Ver > Encabezados > Todos.
Buscar la categoría a la cual está asignado un mensaje Las etiquetas de los mensajes representan la única forma de saber a qué categoría está asignado un mensaje. Cambie la acción a Agregar etiqueta de asunto y utilice una secuencia única de caracteres para agregar al comienzo de la línea de asunto del correo electrónico. Para obtener más información acerca de cómo utilizar las etiquetas de spamBlocker, consulte Acciones, etiquetas y categorías de spamBlocker en la página 581.
Guía del Usuario
605
Guía del Usuario
606
34
La Defensa de reputación activada
Acerca de la Defensa de reputación activada En los dispositivos WatchGuard XTM 2 Series, 5 Series, 8 Series o XTM 1050, puede utilizar la suscripción de seguridad de Defensa de reputación activada (RED) para aumentar el desempeño y mejorar la seguridad de su dispositivo XTM. Nota La Defensa de reputación activada no se admite en los modelos Firebox X e-Series. La RED de WatchGuard utiliza un servidor de reputación de WatchGuard basado en nube que asigna una calificación de reputación entre 1 y 100 a cada URL. Cuando un usuario se dirige a un sitio web, la RED envía la dirección web (o URL) solicitada al servidor de reputación de WatchGuard. El servidor de WatchGuard responde con una calificación de reputación para esa URL. Sobre la base de la calificación de reputación y de los umbrales configurados localmente, la RED determina si el dispositivo XTM debe eliminar el tráfico, permitir el tráfico y escanearlo de manera local o permitirlo sin un escaneo local. Esto aumenta el rendimiento, porque el Gateway AntiVirus no necesita escanear las URL que tienen una reputación buena o mala reconocida.
Umbrales de reputación Puede configurar dos umbrales de calificación de reputación: n
n
Umbral de reputación mala — Si la calificación de una URL supera el umbral de reputación Mala, el proxy HTTP niega el acceso sin inspeccionar nada más. Umbral de reputación buena — Si la calificación de una URL es inferior al umbral de reputación Buena y el Gateway AntiVirus está activado, el proxy HTTP deriva el escaneo del Gateway Antivirus.
Si la calificación de una URL es igual o se encuentra entre los umbrales de reputación configurados y el Gateway Antivirus está activado, el contenido es escaneado en busca de virus.
Guía del Usuario
607
La Defensa de reputación activada
Calificaciones de reputación La calificación de reputación de una URL se basa en los comentarios recolectados de dispositivos de todo el mundo. Incorpora los resultados de escaneo de dos motores contra el malware principales: Kaspersky y AVG. La Defensa de reputación activada utiliza la inteligencia colectiva de la nube para mantener la seguridad de la navegación por Internet y optimizar el rendimiento en la puerta de enlace. Una calificación de reputación más cercana a 100 indica que es bastante probable que la URL contenga una amenaza. Una calificación de reputación más cercana a 1 indica que es mucho menos probable que la URL contenga una amenaza. Si el servidor de la RED no tiene una calificación previa para una dirección web determinada, le asignará una calificación neutral de 50. La calificación de reputación cambia desde la calificación predeterminada de 50 sobre la base de una cantidad de factores. Estos factores pueden hacer que la calificación de reputación de una URL aumente, o se desplace hacia el 100: n n
Resultados de escaneo negativos Resultados de escaneo negativos para un enlace remitido
Estos factores pueden hacer que la calificación de reputación de una URL disminuya, o se desplace hacia el 1: n n
Múltiples escaneos limpios Escaneos limpios recientes
Las calificaciones de reputación pueden cambiar con el paso del tiempo. Para un mejor rendimiento, el dispositivo XTM almacena las calificaciones de reputación de las direcciones web a las que se accedió recientemente en una caché local.
Comentario sobre la Defensa de reputación activada Si el Gateway AntiVirus está activado, puede elegir si desea enviar los resultados de los escaneos locales del Gateway Antivirus al servidor de WatchGuard. También puede elegir si desea cargar los resultados de escaneo del Gateway Antivirus en WatchGuard incluso si la Defensa de reputación activada no está activada o no tiene licencia en su dispositivo. Se cifran todas las comunicaciones entre su red y el servidor de Defensa de reputación activada. Le recomendamos que active la carga de los resultados de escaneo local a WatchGuard para mejorar la cobertura y precisión general de la Defensa de reputación activada.
Configurar la Defensa de reputación activada Puede activar la Defensa de reputación activada (RED) para aumentar la seguridad y el rendimiento de las políticas de proxy HTTP de su dispositivo XTM. No puede activar esta función en un dispositivo e-Series.
Antes de empezar La Defensa de reputación activada es un servicio de suscripción. Antes de configurar la RED, debe Obtener una tecla de función junto a LiveSecurity en la página 52 y Agregar una tecla de función a su Firebox en la página 54.
608
Fireware XTM Web UI
La Defensa de reputación activada
Configurar la Defensa de reputación activada para una acción de proxy 1. Seleccione Servicios de suscripción > Defensa de reputación activada. Aparece la página de configuración de la Defensa de reputación activada, con una lista de acciones de proxy HTTP.
2. Seleccione una acción de proxy HTTP definida por el usuario y haga clic en Configurar. No puede configurar la Defensa de reputación activada para las acciones de proxy predefinidas. Aparece la configuración de la Defensa de reputación activada para esa acción de proxy.
3. Marque la casilla de selección Bloquear de inmediato las URL que tengan mala reputación para bloquear el acceso a los sitios con calificaciones superiores al umbral de reputación Mala configurado.
Guía del Usuario
609
La Defensa de reputación activada
4. Marque la casilla de selección Derivar cualquier escaneo de virus configurado para las URL que tengan buena reputación para hacer que el Gateway AntiVirus ignore los sitios que tengan una calificación inferior al umbral de reputación Buena configurado. 5. Si desea activar una alarma para la acción, marque la casilla de selección Alarma para esa acción de la RED. Si no desea utilizar la alarma, desmarque la casilla de selección Alarma para esa acción. 6. Si desea guardar los mensajes de registro de la acción, marque la casilla de selección Registro para esa acción de la RED. Si no desea guardar los mensajes de registro para una respuesta de la RED, limpie la casilla de selección Registro para esa acción.
Configurar los umbrales de reputación Puede cambiar los umbrales de reputación en la configuración avanzada. 1. el cuadro de diálogo de configuración de la Defensa de reputación activada página, haga clic en Avanzado. Aparece el cuadro de diálogo Configuración Avanzada.
2. En el cuadro de texto Umbral de mala reputación, ingrese o seleccione la calificación de umbral para la mala reputación. El proxy puede bloquear el acceso a los sitios que tengan una reputación superior a este umbral.
3. En el cuadro de texto Umbral de buena reputación, ingrese o seleccione la calificación de umbral para la buena reputación. El proxy puede derivar el escaneo del Gateway AntiVirus para los sitios que tienen una calificación de reputación inferior a este umbral.
4. Haga clic en Restaurar la configuración predeterminada si desea restablecer los umbrales de reputación a los valores predeterminados. 5. Haga clic en Aceptar
610
Fireware XTM Web UI
La Defensa de reputación activada
Enviar los resultados de escaneo del Gateway Antivirus a WatchGuard Cuando activa la Defensa de reputación activada, la configuración predeterminada permite que su dispositivo XTM envíe los resultados de los escaneos locales del Gateway AntiVirus a los servidores de WatchGuard. Esta acción ayuda a mejorar los resultados de la Defensa de reputación activada para todos los usuarios de Fireware XTM. Si tiene el Gateway AntiVirus, pero no tiene la Defensa de reputación activada, aún así puede enviar los resultados de escaneo del Gateway AntiVirus a WatchGuard. Para ver o cambiar la configuración de comentarios, seleccione Servicios de suscripción > Defensa de reputación activada. La casilla de selección Enviar resultados de escaneo cifrados a los servidores de WatchGuard para mejorar la cobertura y precisión general controla el hecho de si el dispositivo XTM envía los resultados de escaneo del Gateway AntiVirus a los servidores de WatchGuard. Esta casilla de selección se marca de forma predeterminada cuando configura la Defensa de reputación activada. n
n
Marque esta casilla de selección para enviar los resultados de escaneo del Gateway AntiVirus a WatchGuard. Limpie esta casilla de selección si no desea enviar los resultados de escaneo del Gateway AntiVirus.
Le recomendamos que permita que el dispositivo XTM envíe los resultados de escaneo del antivirus a WatchGuard. Esto puede ayudar a mejorar el rendimiento, porque los resultados de escaneo ayudan a mejorar la precisión de las calificaciones de reputación. Todo comentario enviado al servicio de Defensa de reputación activada de WatchGuard será cifrado.
Guía del Usuario
611
La Defensa de reputación activada
Guía del Usuario
612
35
Gateway AntiVirus e Intrusion Prevention
Acerca de las Gateway AntiVirus y prevención de intrusiones Los piratas informáticos pueden utilizar muchos métodos para atacar computadoras mediante Internet. Las dos categorías principales de ataque son los virus y las intrusiones. Los virus, incluidos los gusanos y los troyanos, son programas de computadora maliciosos que se autorreplican y colocan copias de sí mismos en otros códigos ejecutables o documentos de su computadora. Cuando una computadora está infectada, el virus puede destruir archivos o registrar pulsaciones. Las intrusiones son ataques directos a su computadora. Por lo general, el ataque explota una vulnerabilidad en una aplicación. Estos ataques son creados para dañar su red, obtener información importante o utilizar sus computadoras para atacar otras redes. Para ayudar a proteger su red de virus e intrusiones, puede adquirir el Gateway AntiVirus/Intrusion Prevention Service (Gateway AntiVirus/IPS) opcional para que el dispositivo de WatchGuard identifique y evite los ataques. El servicio de Intrusion Prevention y el Gateway AntiVirus funcionan con los servidores proxy SMTP, POP3, HTTP, FTP y TCP-UDP. Cuando se identifica un nuevo ataque, se registran las características que hacen único a ese ataque de virus o intrusión. Estas características registradas se conocen como la firma. El Gateway AntiVirus/IPS utiliza estas firmas para detectar virus y ataques de intrusiones cuando son escaneados por el proxy. Cuando activa el Gateway AntiVirus/IPS para un proxy, el Gateway AntiVirus/IPS escanea los tipos de contenido configurados para ese proxy. Nota Con el objetivo de mejorar el rendimiento, Firebox X Edge e-Series no escanea los siguientes tipos de contenido cuando utiliza el Gateway AntiVirus con el proxy
Guía del Usuario
613
Gateway AntiVirus e Intrusion Prevention
HTTP: texto/*, imagen/*, audio/*, video/*, aplicación/javascript, aplicación/xjavascript y aplicación/x-shockwave-flash. Los tipos de contenido aparecen en la configuración de la acción de proxy del cliente HTTP para Edge, pero el Gateway AntiVirus no escanea estos tipos de contenido. El Gateway AntiVirus/IPS puede escanear estos tipos de archivo comprimido: .zip, .gzip, .tar, .jar, .rar, .chm, .lha, .pdf, contenedor XML/HTML, contenedor OLE (documentos de Microsoft Office), MIME (principalmente los mensajes de correo electrónico en formato EML), .cab, .arj, .ace, .bz2 (Bzip), .swf (flash; con soporte limitado). Nota WatchGuard no puede garantizar que el Gateway AntiVirus/IPS pueda detener todos los virus o todas las intrusiones o evitar los daños a sus sistemas o redes causados por un ataque de virus o intrusiones. Puede adquirir la actualización del Gateway AntiVirus/IPS para utilizar estos servicios. Para obtener más información visite el sitio web WatchGuard LiveSecurity en http://www.watchguard.com/store o comuníquese con su revendedor de WatchGuard. Puede observar las estadísticas acerca de la actividad actual del Gateway AntiVirus y el servicio de Intrusion Prevention en la página Panel de instrumentos > Servicios de suscripción, como se describe en Ver estado de servicios de suscripción y actualizar firmas manualmente en la página 623.
Instale y actualice el Gateway AntiVirus/IPS Para instalar el Gateway AntiVirus o el Intrusion Prevention Service, debe Obtener una tecla de función junto a LiveSecurity en la página 52 y Agregar una tecla de función a su Firebox en la página 54. En Internet, aparecen con frecuencia nuevos virus y métodos de intrusión. Para asegurarse de que el Gateway AntiVirus/IPS le proporcione la mejor protección, debe actualizar las firmas con frecuencia. Puede configurar el dispositivo WatchGuard para actualizar las firmas automáticamente desde WatchGuard, como de describe en Configurar el servidor de actualización del Gateway AntiVirus/IPS en la página 622. También puede Ver estado de servicios de suscripción y actualizar firmas manualmente.
Acerca del Gateway AntiVirus/la Intrusion Prevention y las políticas de proxy El Gateway AntiVirus puede trabajar con los servidores proxy SMTP, POP3, HTTP, FTP y TCP-UDP de Watchguard. La Intrusion Prevention puede trabajar con esos servidores proxy además de hacerlo con el proxy DNS. Cuando activa el Gateway AntiVirus o la prevención de intrusiones, estos servidores proxy examinan varios tipos de tráfico y realizan una acción especificada por usted, como abandonar la conexión o bloquear el paquete y agregar su dirección de origen a la lista de Sitios bloqueados. El Gateway AntiVirus y el IPS pueden escanear distintos tipos de tráfico conforme a con qué políticas de proxy usted utiliza la característica: n
614
Proxy SMTP o POP3: El Gateway AntiVirus/IPS busca virus e intrusiones codificados con métodos de adjuntos de correo electrónico utilizados con frecuencia. También puede utilizar el Gateway AntiVirus y el proxy SMTP para enviar correos electrónicos infectados con virus al Quarantine
Fireware XTM Web UI
Gateway AntiVirus e Intrusion Prevention
n
n
n
n
Server. Para más informaciones, vea Página Acerca de Quarantine Server en la página 635 y Configurado Gateway AntiVirus a colocar mensajes de correo electrónico en cuarentena en la página 619. Proxy HTTP: El Gateway AntiVirus/IPS busca virus e intrusiones en los sitios web que los usuarios intentan descargar. Proxy de TCP-UDP: Este proxy escanea el tráfico en los puertos dinámicos. Reconoce el tráfico de muchos tipos de servidores proxy diferentes, incluidos los servidores proxy HTTP y FTP. El proxy TCP-UDP luego envía el tráfico al proxy adecuado para escanearlo y detectar virus e intrusiones. También puede utilizar el proxy TCP-UDP para bloquear los servicios de mensajería instantánea (IM) o punto a punto (P2P). Proxy FTP: El Gateway AntiVirus/IPS busca virus e intrusiones en los archivos cargados o descargados. Proxy DNS: El Gateway AntiVirus/IPS busca intrusiones en los paquetes DNS.
Cada proxy que utiliza el Gateway AntiVirus/IPS está configurado con opciones especiales para ese proxy. Por ejemplo, las categorías de elementos que puede escanear son diferentes para cada proxy. En todos los servidores proxy, usted puede limitar el escaneo de archivos a un conteo de kilobytes especificado. El límite de escaneo predeterminado y los límites de escaneo máximos son diferentes para cada modelo de dispositivo WatchGuard. Firebox escanea el comienzo de cada archivo hasta el conteo de kilobytes especificado. Esto permite que los archivos de gran tamaño pasen con un escaneo parcial. Para obtener más información acerca de los límites de escaneo predeterminados y máximos para cada modelo de dispositivo WatchGuard, consulte Acerca de los límites de escaneo del Gateway AntiVirus en la página 620. Nota Para asegurarse de que el Gateway AntiVirus tenga firmas actualizadas, puede activar las actualizaciones automáticas para el servidor del Gateway AntiVirus, como se describe en Configurar el servidor de actualización del Gateway AntiVirus/IPS en la página 622.
Configurar el servicio del Gateway AntiVirus Puede configurar el Gateway AntiVirus para que trabaje con los servidores proxy SMTP, POP3, HTTP, FTP y TCP-UDP de Watchguard. Antes de activar el servicio del Gateway AntiVirus, debe: 1. Obtener una tecla de función del Gateway AntiVirus/IPS. Comuníquese con su revendedor de WatchGuard o diríjase al sitio web de WatchGuard LiveSecurity en: http://www.watchguard.com/store. 2. Agregar una tecla de función a su Firebox.
Configure el servicio del Gateway AntiVirus 1. Seleccione Servicios de suscripción > Gateway AntiVirus. Aparece la página del Gateway AntiVirus.
Guía del Usuario
615
Gateway AntiVirus e Intrusion Prevention
2. Para actualizar la configuración global, haga clic en Configuración y Actualice la configuración del Gateway AntiVirus/IPS. 3. Para configurar acciones para una acción de proxy específica, seleccione una acción de proxy y haga clic en Configurar. Para obtener información acerca de la configuración del Gateway AntiVirus, consulte Configurar acciones del Gateway AntiVirus.
Configurar acciones del Gateway AntiVirus Cuando activa el Gateway AntiVirus, debe configurar las medidas a tomar si se encuentra un virus o un error en un mensaje de correo electrónico (mediante un servidor proxy SMTP o POP3), sitio web (proxy HTTP) o archivo cargado o descargado (proxy FTP). Las opciones para acciones de antivirus son: Permitir Permitir que el paquete se envíe al receptor, aunque el contenido incluya un virus. Negar (sólo proxy FTP) Niega el archivo y envía un mensaje de negación.
616
Fireware XTM Web UI
Gateway AntiVirus e Intrusion Prevention
Bloquear (sólo servidores proxy SMTP y POP3) Bloquear el adjunto. Es una buena opción para archivos que el dispositivo WatchGuard no puede escanear. El usuario no puede abrir fácilmente un archivo bloqueado. Sólo el administrador puede desbloquear el archivo. El administrador puede usar una herramienta de antivirus diferente para escanear el archivo y examinar el contenido del adjunto. Para aprender a desbloquear un archivo bloqueado por el Gateway AntiVirus, consulte la ayuda de WatchGuard System Manager en http://www.watchguard.com/help/docs/wsm/11/es-ES/Content/es-ES/services/gateway_av/av_ unlock_file_wsm.html. Poner en cuarentena (sólo proxy SMTP) Cuando utiliza el proxy SMTP con la suscripción de seguridad de spamBlocker, puede enviar los mensajes de correo electrónico que contengan virus o posibles virus al Quarantine Server. Para obtener más información sobre el Quarantine Server, consulte Página Acerca de Quarantine Server en la página 635. Para obtener información sobre cómo configurar el Gateway AntiVirus para que funcione con el Quarantine Server, consulte Configurado Gateway AntiVirus a colocar mensajes de correo electrónico en cuarentena en la página 619. Eliminar (sólo servidores proxy SMTP y POP3) Elimina el adjunto y permite que se envíe el mensaje al destinatario. Abandonar (no admitido en proxy POP3) Descartar el paquete y descartar la conexión. No se envía información al origen del mensaje. Bloquear (no admitido en proxy POP3) Se bloquea el paquete y se agrega la dirección IP del remitente a la lista de sitios bloqueados. Nota Si la configuración se define para permitir adjuntos, la configuración es menos segura.
Configure las medidas del Gateway AntiVirus para una acción de proxy 1. Desde la Web UI de Fireware XTM, seleccione Servicios de suscripción > Gateway AntiVirus. Aparece la página de configuración del Gateway AntiVirus.
Guía del Usuario
617
Gateway AntiVirus e Intrusion Prevention
2. Seleccione una acción de proxy definida por el usuario y haga clic en Configurar. No puede modificar la configuración del Gateway AntiVirus para las acciones de proxy predefinidas. Aparece la configuración del Gateway AntiVirus para esa acción de proxy.
618
Fireware XTM Web UI
Gateway AntiVirus e Intrusion Prevention
3. Seleccione la casilla de verificación Activar Gateway AntiVirus para activar el Gateway AntiVirus para esta acción de proxy. 4. Desde la lista desplegable Cuando se detecta un virus, seleccione la acción que debe realizar el dispositivo WatchGuard si se detecta un virus en un mensaje de correo electrónico, en un archivo o en una página web. Consulte el comienzo de esta sección para obtener una descripción de las acciones. 5. Desde la lista desplegable Cuando ocurre un error de escaneo, seleccione la acción que debe realizar el dispositivo WatchGuard cuando no puede escanear un objeto o un adjunto. Los adjuntos que no se pueden escanear incluyen mensajes codificados de BinHex, determinados archivos cifrados o archivos que utilizan un tipo de compresión no admitido por el Gateway AntiVirus como los archivos Zip protegidos por contraseña. Consulte el comienzo de esta sección para obtener una descripción de las acciones. 6. Si desea guardar los mensajes de registro de la acción, seleccione la casilla de verificación Registro para la respuesta del antivirus. Si no desea guardar los mensajes de registro de una respuesta del antivirus, desmarque la casilla de verificación Registro. 7. Si desea activar una alarma para la acción, seleccione la casilla de verificación Alarma para la respuesta del antivirus. Si no desea utilizar la alarma, desmarque la casilla de verificación Alarma para esa acción. 8. El Gateway AntiVirus escanea cada archivo hasta un total de kilobytes específico. Todos los bytes adicionales en el archivo no se examinan. Esto permite al proxy escanear parcialmente archivos muy grandes sin ocasionar un efecto considerable en el rendimiento. Ingrese el límite de escaneo de archivos en el campo Limitar el escaneo a primero Para obtener información sobre los límites de escaneo predeterminados y máximos para cada modelo de dispositivo WatchGuard, consulte Acerca de los límites de escaneo del Gateway AntiVirus en la página 620.
Configure la notificación de alarma para las acciones del antivirus Una alarma es un mecanismo para informar a los usuarios cuando una regla de proxy se aplica al tráfico de red.Si activa las alarmas para una acción del antivirus de proxy, también debe configurar el tipo de alarma que desea utilizar en la política de proxy. Para configurar el tipo de alarma que desea utilizar para una política de proxy: 1. 2. 3. 4.
Desde la Fireware XTM Web UI, seleccione Firewall > Políticas de firewall. Haga doble clic sobre una política para editarla. Haga clic en la pestaña Propiedades Establezca la configuración de notificación como se describe en Determinar preferencias de registro y notificación en la página 360.
Configurado Gateway AntiVirus a colocar mensajes de correo electrónico en cuarentena El WatchGuard Quarantine Server proporciona un mecanismo de cuarentena seguro y con funcionalidad completa para cualquier mensaje de correo electrónico con sospecha o certeza de ser spam o de contener virus. Este depósito recibe mensajes de correo electrónico del proxy SMTP y filtrados por spamBlocker. Para configurar el Gateway AntiVirus para que ponga correos electrónicos en cuarentena:
Guía del Usuario
619
Gateway AntiVirus e Intrusion Prevention
1. Cuando configura el Gateway AntiVirus (como se describe en Configurar acciones del Gateway AntiVirus en la página 616), debe asegurarse de activar el Gateway AntiVirus para el proxy SMTP. El proxy POP3 no admite el Quarantine Server. 2. Cuando configura las acciones que spamBlocker aplicará a las diferentes categorías de correo electrónico (como se describe en Configurado spamBlocker en la página 583), asegúrese de seleccionar la acción Poner en cuarentena por lo menos para una de las categorías. Cuando se selecciona esta acción, se le solicita que configure el Quarantine Server si aún no lo ha hecho. También puede seleccionar la acción Poner en cuarentena para los mensajes de correo electrónico identificados por Virus Outbreak Detection como portadores de virus. Para más informaciones, vea Configurar acciones de Virus Outbreak Detection para una política en la página 593.
Acerca de los límites de escaneo del Gateway AntiVirus El Gateway AntiVirus escanea cada archivo hasta un total de kilobytes específico. Todos los bytes adicionales en el archivo no se examinan. Esto permite al proxy escanear parcialmente archivos muy grandes sin ocasionar un efecto considerable en el rendimiento. Los límites de escaneo predeterminado y máximo son diferentes para cada modelo de dispositivo WatchGuard.
Límites de escaneo del archivo por modelo de dispositivo WatchGuard, en kilobytes Modelo
Mínimo Máximo Predeterminado
Firebox X Edge e-Series
250
1024
250
Firebox X Core e-Series
250
20.480
1024
Firebox X Peak e-Series
250
30.720
1024
WatchGuard XTM XTM Serie 2
250
5120
512
WatchGuard XTM Serie 5
250
30.720
1024
WatchGuard XTM Serie 8
250
30.720
1024
WatchGuard XTM 1050
250
30.720
1024
Para obtener información acerca de cómo configurar el límite de escaneo, consulte Configurar acciones del Gateway AntiVirus en la página 616.
Actualice la configuración del Gateway AntiVirus/IPS El dispositivo de WatchGuard tiene varias configuraciones para el motor del Gateway AntiVirus independientemente de con qué proxy esté configurado para funcionar. Para más informaciones, vea Establezca la configuración de descompresión del Gateway AntiVirus en la página 621.
620
Fireware XTM Web UI
Gateway AntiVirus e Intrusion Prevention
Es importante que actualice las firmas del Gateway AntiVirus/Intrusion Prevention Service. Las firmas de estos servicios no se actualizan automáticamente de manera predeterminada. Puede actualizar las firmas de dos maneras: n
n
Configurar el servidor de actualización del Gateway AntiVirus/IPS para activar las actualizaciones automáticas Actualice las firmas manualmente en el Firebox System Manager, como se describe en Ver estado de servicios de suscripción y actualizar firmas manualmente en la página 623.
Si utiliza un cliente antivirus de terceros Si utiliza un servicio de antivirus de terceros en computadoras protegidas por su dispositivo WatchGuard, podría tener problemas con las actualizaciones del servicio de terceros. Cuando el cliente de ese servicio secundario intenta actualizar su base de datos de firmas en el puerto 80, el servicio de Gateway AntiVirus/IPS de Watchguard, trabajando mediante el proxy HTTP, reconoce las firmas y las destruye antes de que puedan descargarse al cliente. El servicio secundario no puede actualizar su base de datos. Para evitar este problema, debe agregar Excepciones de proxy HTTP a la política que niega el tráfico de actualización. Debe conocer el nombre de host de la base de datos de firmas del tercero. Luego, podrá agregar ese nombre de host como una excepción permitida.
Establezca la configuración de descompresión del Gateway AntiVirus El Gateway AntiVirus puede escanear el interior de los archivos comprimidos si activa la descompresión en la configuración del Gateway AntiVirus. 1. Desde la Web UI de Fireware XTM, seleccione Servicios de suscripción > Gateway AntiVirus. Aparece la página de configuración del Gateway AntiVirus.
2. Haga clic en Configuraciones. Aparece la página Configuración global del Gateway AntiVirus.
3. Para escanear el interior de los adjuntos comprimidos, seleccione la casilla de verificación Activar descompresión. Seleccione o ingrese el número de niveles de descompresión que desea escanear. Si activa la descompresión en un dispositivo Firebox X Core, Peak o WatchGuard XTM , le recomendamos que mantenga la configuración predeterminada de los niveles de diagrama, a menos que su organización deba utilizar un valor mayor. Si especifica un número mayor, es posible que el dispositivo WatchGuard envíe el tráfico con demasiada lentitud. El Gateway AntiVirus admite hasta seis niveles. Si el Gateway AntiVirus detecta que la profundidad del archivo es superior al valor configurado en este campo, generará un error de escaneo para el contenido. Los adjuntos que no se pueden escanear incluyen archivos cifrados o archivos que utilizan un tipo de compresión que no admitimos como los archivos Zip protegidos por contraseña. Para configurar la acción que desea que Firebox realice cuando encuentre un mensaje que no pueda escanear,
Guía del Usuario
621
Gateway AntiVirus e Intrusion Prevention
seleccione una acción para Cuando ocurre un error de escaneo en la categoría General de la configuración de la política. 4. Haga clic en Restaurar la configuración predeterminada si desea restablecer la interfaz del usuario a su configuración predeterminada. 5. Haga clic en Guardar. Nota Le recomendamos no activar la descompresión en el dispositivo Firebox X Edge eSeries porque esto puede reducir su rendimiento.
Configurar el servidor de actualización del Gateway AntiVirus/IPS El Gateway AntiVirus y el IPS utilizan el mismo servidor de actualización. Cuando configure el servidor de actualización para el Gateway AntiVirus o para el IPS, la configuración se aplicará a ambos servicios. 1. Desde la Web UI de Fireware XTM, seleccione Servicios de suscripción > Gateway AntiVirus. O bien, seleccione Servicios de suscripción > IPS. 2. Haga clic en Configuraciones. Aparece la página de configuración del Gateway AntiVirus o IPS.
3. Desde la lista desplegable Intervalo, ingrese el número de horas que debe transcurrir entre las actualizaciones automáticas. 4. Las actualizaciones automáticas para el Gateway AntiVirus/IPS no están activadas de manera predeterminada. Para activar las actualizaciones automáticas en el intervalo de actualización seleccionado, haga clic en las casillas de verificación.
622
Fireware XTM Web UI
Gateway AntiVirus e Intrusion Prevention
Seleccione la casilla de verificación Firmas de prevención de intrusiones si desea que el dispositivo WatchGuard descargue un nuevo juego de firmas IPS en el intervalo de actualizaciones automáticas. n Seleccione la casilla de verificación Firmas del Gateway AntiVirus si desea que el dispositivo WatchGuard descargue un nuevo juego de firmas del Gateway AntiVirus en el intervalo de actualizaciones automáticas. 5. No cambie la URL del servidor de actualizaciones para el Gateway AntiVirus o el IPS a menos que WatchGuard le indique hacerlo. Si cambia la URL por accidente o incorrectamente, haga clic en Restaurar para restablecer la configuración predeterminada. 6. Haga clic en Guardar. n
Conéctese al servidor de actualizaciones mediante un servidor proxy HTTP Si su dispositivo WatchGuard debe conectarse mediante un proxy HTTP para acceder al servidor de actualizaciones del Gateway AntiVirus/IPS, debe agregar la información acerca del servidor proxy HTTP a la configuración del Gateway AntiVirus/IPS. 1. Desde la página de configuración Gateway AntiVirus o IPS, haga clic en Configuración. 2. Seleccione la casilla de verificación Comunicarse con el servidor de actualizaciones del Gateway AntiVirus/Intrusion Prevention mediante un servidor proxy HTTP. 3. Desde la lista desplegable Dirección del servidor, seleccione si desea identificar el servidor proxy HTTP por nombre de host o dirección IP. Ingrese el nombre de host o la dirección IP en el campo adjunto. 4. La mayoría de los servidores proxy HTTP reciben las solicitudes en el puerto 8080. Si su proxy HTTP utiliza un puerto diferente, ingréselo en el campo Puerto del servidor. 5. Desde la lista desplegable Autenticación del servidor, seleccione el tipo de autenticación que utiliza su servidor proxy HTTP. Seleccione Sin autenticación si su servidor proxy no requiere autorización. Si su servidor proxy HTTP requiere autenticación NTLM o Básica, ingrese su nombre de usuario, dominio de usuario y contraseña en los campos correctos. 6. Haga clic en Guardar.
Bloquee el acceso desde la red de confianza hacia el servidor de actualización Si no desea permitir que todos los usuarios de su red de confianza tengan acceso sin filtrar a la dirección IP de la base de datos de firmas, puede utilizar un servidor interno en su red de confianza para recibir las actualizaciones. Puede crear una nueva política de proxy HTTP con Excepciones de proxy HTTP o una política de filtrado de paquetes HTTP que sólo permita el tráfico desde la dirección IP de su servidor interno hacia la base de datos de firmas.
Ver estado de servicios de suscripción y actualizar firmas manualmente Los servicios de suscripción pueden configurarse para actualizar las firmas de manera automática, como se describe en Configurar el servidor de actualización del Gateway AntiVirus/IPS en la página 622. También puede actualizar las firmas de manera manual. Si las firmas del dispositivo WatchGuard no están actualizadas, usted no está protegido de los últimos virus e intrusiones.
Guía del Usuario
623
Gateway AntiVirus e Intrusion Prevention
Para ver el estado del sistema de servicios de suscripción, desde la Fireware XTM Web UI, seleccione Panel de instrumentos > Servicios de suscripción. La página de estado Servicios de suscripción muestra estadísticas acerca de los servicios de suscripción. En esta página también puede ver información acerca de la firma actualmente instalada y consultar si hay una nueva versión disponible.
Desde la página de estado Servicios de suscripción, haga clic en Actualizar para el servicio que desea actualizar. El dispositivo WatchGuard descarga la actualización de firmas más reciente que se encuentre disponible para el Gateway AntiVirus o el servicio de protección de intrusiones. Para obtener más información acerca de los gráficos de esta página, consulte Monitorear su Firebox en la página 365.
Configurar el Intrusion Prevention Service El Intrusion Prevention Service (IPS) incluye un conjunto de firmas asociadas con comandos específicos o texto que se encuentra en comandos, que podría ser perjudicial. El servicio de Intrusion Prevention trabaja en forma conjunta con los servidores proxy SMTP, POP3, HTTP y FTP. Si no configuró estos servidores proxy, se configurarán de manera automática cuando e el Gateway AntiVirus o IPS para ese protocolo. Cuando el IPS bloquea una intrusión, el nombre de la intrusión aparece en el archivo de registro. Para ver los datos del archivo de registro: Seleccione Estado del sistema>Syslog.
624
Fireware XTM Web UI
Gateway AntiVirus e Intrusion Prevention
Para encontrar las estadísticas generales del Gateway AntiVirus/IPS: Seleccione Servicios de suscripción > Gateway AntiVirus. O bien, seleccione Servicios de suscripción > IPS. Para encontrar informes de tendencias del Gateway AntiVirus/IPS: Seleccione Panel de instrumentos > Servicios de suscripción.
Antes de empezar Antes de activar el Intrusion Prevention Service, debe: 1. Obtener una tecla de función del Gateway AntiVirus/IPS. Comuníquese con su revendedor de WatchGuard o diríjase al sitio web de WatchGuard LiveSecurity en: http://www.watchguard.com/store. 2. Agregar una tecla de función a su Firebox.
Configurar el Intrusion Prevention Service 1. Seleccione Servicios de suscripción > IPS. Aparece la página de configuración del IPS, con una lista de acciones de proxy.
Guía del Usuario
625
Gateway AntiVirus e Intrusion Prevention
2. Para actualizar la configuración global, haga clic en Configuración y Actualice la configuración del Gateway AntiVirus/IPS. 3. Para configurar las acciones del Gateway AntiVirus para una acción de proxy específica, seleccione una acción de proxy definida por el usuario y haga clic en Configurar. No puede modificar la configuración del IPS para las acciones de proxy predefinidas.
Para obtener información acerca de la configuración del IPS, consulte Configurar acciones del IPS.
626
Fireware XTM Web UI
Configurar acciones del IPS Puede utilizar la Web UI de Fireware XTM para configurar el IPS para una acción de proxy. 1. Seleccione Servicios de suscripción > IPS. Aparece la página de configuración del IPS.
2. Seleccione una acción de proxy definida por el usuario y haga clic en Configurar. No puede modificar la configuración del IPS para las acciones de proxy predefinidas. Aparece la configuración del IPS para esa acción de proxy.
Guía del Usuario
627
3. Para activar el IPS para esta acción de proxy, seleccione la casilla de verificación Activar la prevención de intrusiones. 4. (sólo proxy TCP-UDP) Seleccione el Tipo de protección: Cliente o Servidor. Los puntos terminales del cliente y el servidor tienen conjuntos de firmas diferentes. Nota El IPS utiliza un conjunto de firmas diferente para proteger a los clientes que el que utiliza para proteger a los servidores. El tipo de protección determina qué conjunto de firmas utilizará el IPS con el proxy. En el caso de los servidores proxy DNS, FTP, HTTP, SMTP y POP3, el tipo de protección se configura de manera automática. En el caso del proxy TCP-UDP, puede configurar el tipo de protección como Cliente o Servidor. Cliente es la opción predeterminada y suele ser la mejor opción. 5. (Sólo para servidores proxy HTTP y TCP-UDP) Para activar la protección contra el spyware, seleccione la casilla de verificación Protección contra spyware. En el caso del proxy TCP-UDP, sólo puede activar la protección contra spyware si seleccionó Cliente como el tipo de protección. Cuando activa la protección contra spyware, el motor del IPS utiliza las firmas de protección contra spyware del proyecto de fuente abierta denominado Emerging Threats (Amenazas emergentes) además de las firmas del IPS.
628
Fireware XTM Web UI
Para obtener más información acerca del proyecto Emerging Threats, consulte http://www.emergingthreats.net. 6. (Sólo proxy HTTP) Seleccione la casilla de verificación Escaneo del contenido del texto. Esto ofrece una protección más potente pero puede reducir el rendimiento. 7. Para seleccionar las acciones que desea que el proxy realice para amenazas de diferentes niveles de gravedad, en la lista Acción , seleccione una o más casillas de comprobación. n
n
n
n
AUTOBLOQUEAR: si el contenido coincide con una firma de un nivel de severidad igual o superior al nivel de severidad de umbral que usted estableció, abandone la conexión y agregue la dirección IP del emisor a la lista de sitios bloqueados. No puede seleccionar AUTOBLOQUEAR para el proxy SMTP. ABANDONAR: si el contenido coincide con una firma de un nivel de severidad dentro del rango de severidad que usted estableció, abandone la conexión. No se envía información al origen del mensaje. PERMITIR (CON REGISTRO): permitir la transacción incluso si el contenido coincide con una firma de un nivel de severidad dentro del rango de severidad que usted seleccionó. Las transacciones que se realicen dentro de este rango de severidad se registrarán de manera automática. PERMITIR (SIN REGISTRO): si configuró un valor que permite las amenazas sobre un nivel de severidad mínima, las transacciones que alcancen un nivel de severidad inferior a ese número se permitirán de manera automática y no serán registradas. Los números que aparecen en la lista Severidad de amenaza para esta acción no pueden cambiarse. Nota Si cambia el umbral de severidad mínimo para la acción PERMITIR (CON REGISTRO) a un número superior a 1, todas las transacciones que coinciden con una firma de amenaza de menor severidad se permitirán y no serán registradas.
8. Para configurar un nivel de severidad mínimo para las acciones de AUTOBLOQUEAR, ABANDONAR o PERMITIR (CON REGISTRO), en el cuadro de texto Severidad de amenaza, ingrese o seleccione el número del umbral de severidad de amenaza para cada acción. Las amenazas de intrusos son clasificadas en una escala de severidad creciente del 1 al 100. De manera predeterminada, todas las amenazas se abandonan y los eventos se graban en el archivo de registro. 9. Para enviar un mensaje de registro por una acción de proxy, seleccione la casilla de verificación Registro para la acción del IPS. Si no desea enviar un mensaje de registro por una respuesta del IPS, desmarque la casilla de verificación Registro. 8. Para activar una alarma para una acción de proxy, seleccione la casilla de verificación Alarma para la acción del IPS. Si no desea utilizar la alarma, desmarque la casilla de verificación Alarma para esa acción.
Guía del Usuario
629
Guía del Usuario
630
Establezca la configuración del IPS Para establecer la configuración del IPS: 1. Seleccione Servicios de suscripción > IPS. 2. Haga clic en Configuraciones. Aparece la página Configuración del IPS.
3. Haga clic en la pestaña Configuración y configure las actualizaciones automáticas de las Firmas de Intrusion Prevention y el servidor de actualizaciones automáticas. Esta configuración se aplica tanto al Gateway AntiVirus como al IPS. Para obtener más información acerca de esta configuración, consulte Configurar el servidor de actualización del Gateway AntiVirus/IPS en la página 622. 4. Haga clic en la pestaña Excepciones y cree excepciones a las firmas de prevención de intrusiones. Para más informaciones, vea Configurado excepciones de firma en la página 633. 5. Haga clic en Guardar.
Guía del Usuario
631
Guía del Usuario
632
Configurado excepciones de firma Cuando activa la característica del IPS en una política de proxy, ésta examina el tráfico para detectar patrones de tráfico que coincidan con las firmas de intrusiones conocidas. Cuando ocurre una coincidencia de firma del IPS, el dispositivo WatchGuard niega el contenido y se bloquea la intrusión. Si desea permitir el tráfico bloqueado por la característica del IPS, puede buscar el número de identificación de la firma y agregarla a la lista de excepciones del IPS. Cada firma utilizada por el IPS tiene un número de ID único. Puede encontrar el número de ID de una firma mediante la herramienta Firebox System Manager. Para obtener información acerca de cómo encontrar la ID de una firma del IPS en el Firebox System Manager, consulte la ayuda de WatchGuard System Manager.
Agregue una excepción de firmas del IPS 1. Desde la Web UI de Fireware XTM, seleccione Servicios de suscripción > IPS. Aparece la página de configuración del IPS. 2. Haga clic en Configuraciones. Aparece la página Configuración del IPS.
3. Haga clic en la pestaña Excepciones. Aparece la lista de excepciones del IPS.
4. En el cuadro de texto ID de firma, ingrese la ID de firma de la firma que desea desactivar. Haga clic en Agregar. 5. Haga clic en Guardar.
Guía del Usuario
633
Guía del Usuario
634
39
Quarantine Server
Página Acerca de Quarantine Server El WatchGuard Quarantine Server ofrece un mecanismo seguro para poner en cuarentena cualquier mensaje de correo electrónico que se sospeche o se sepa que es spam o contiene virus. El Quarantine Server es un depósito para los mensajes de correo electrónico que el proxy SMTP decide poner en cuarentena sobre la base del análisis de spamBlocker o del Gateway AntiVirus. El control granular le permite configurar preferencias de eliminación de correos, asignación de almacenamiento y otros parámetros. Nota El proxy SMTP requiere un Quarantine Server si lo configura para poner en cuarentena los correos electrónicos que spamBlocker clasifique como spam o si configura el Gateway AntiVirus para poner en cuarentena los correos electrónicos de una categoría específica. El Quarantine Server ofrece herramientas tanto para los usuarios como para los administradores. Los usuarios reciben notificaciones periódicas por correo electrónico del Quarantine Server cuando tienen correos electrónicos almacenados en el Quarantine Server. Luego, pueden hacer clic en el enlace que aparece en el mensaje de correo electrónico para dirigirse al sitio web del Quarantine Server. En el sitio web del Quarantine Server, pueden ver el emisor y el asunto de los mensajes de correo electrónico sospechosos. Desde correo electrónico spam, el usuario puede liberar los mensajes de correo electrónico que desee recibir en su bandeja de entrada y eliminar los demás mensajes. Los administradores pueden configurar el Quarantine Server para eliminar automáticamente los futuros mensajes de un dominio o emisor específico, o aquellos que contengan un texto específico en la línea de asunto. El administrador puede ver estadísticas acerca de la actividad del Quarantine Server, como por ejemplo, la cantidad de mensajes en cuarentena durante un intervalo de fechas específico y la cantidad de mensajes que posiblemente sean spam. El proxy SMTP agrega los mensajes a diferentes categorías sobre la base de los análisis realizados por spamBlocker y por el Gateway AntiVirus. El Quarantine Server muestra estas clasificaciones para los mensajes en cuarentena:
Guía del Usuario
635
Quarantine Server
n
n n n n
Spam sospechoso: El mensaje puede ser spam, pero no hay suficiente información para decidir con seguridad. Spam confirmado: El mensaje es spam. Masivo: El mensaje fue enviado como correo electrónico masivo comercial. Virus: El mensaje contiene un virus. Posible virus: Es posible que el mensaje contenga un virus, pero no hay suficiente información para decidir con seguridad.
Usted instala el Quarantine Server como parte de la instalación de WatchGuard System Manager. Para aprender a configurar un Quarantine Server, consulte la Guía del usuario de WSM en http://www.watchguard.com/help/documentation/.
Configure Firebox para que ponga correos electrónicos en cuarentena Después de instalar y configurar el Quarantine Server, deberá actualizar la configuración de Firebox para utilizar el Quarantine Server. Esta acción requiere dos pasos: 1. Configurar la dirección IP del Quarantine Server como se describe en Definir la ubicación del Quarantine Server en Firebox en la página 636. 2. Configurar las acciones de spamBlocker y el Gateway AntiVirus para que el proxy SMTP ponga correos electrónicos en cuarentena. Para más informaciones, vea Configure spamBlocker para colocar mensajes de correo electrónico en cuarentena en la página 595, y Configurado Gateway AntiVirus a colocar mensajes de correo electrónico en cuarentena en la página 619.
Definir la ubicación del Quarantine Server en Firebox Debe definir la ubicación del Quarantine Server en la configuración de Firebox. Firebox envía los mensajes de correo electrónico que deben ponerse en cuarentena al Quarantine Server ubicado en esta dirección IP. 1. Desde la Web UI (interfaz de usuario) de Fireware XTM, seleccione Servicios de suscripción > Quarantine Server. Aparece la página de configuración del Quarantine Server.
636
Fireware XTM Web UI
Quarantine Server
2. Ingrese la dirección IP del Quarantine Server. Le recomendamos que no cambie el puerto del Quarantine Server a menos que se lo solicite un representante de WatchGuard Technical Support. 3. Haga clic en Guardar.
Guía del Usuario
637
Quarantine Server
Guía del Usuario
638