Manual gateprotect
Anuncio
Introducción 1 Manual gateprotect Instalación, Administración & Ejemplos de Instrumentos UTM de Próxima Generación & Instrumentos Virtuales Desde junio 2012 Claridad Perfección Seguridad Introducción 2 1 Introduccion ............................................................................................................................ 9 1.1 żA quién está dirigido este manual? .................................................................................................... 9 1.2 Apuntes generales sobre este manual ................................................................................................. 9 1.3 Símbolos utilizados y sugerencias......................................................................................................... 9 1.4 Protección y seguridad de los antecedentes ...................................................................................... 10 2 Instalacion ............................................................................................................................. 11 2.1 Instalación del Servidor de Firewall.................................................................................................... 11 2.1.1 Instalación de dispositivos ........................................................................................................... 11 2.1.2 Instalación del Firewall con VMware ............................................................................................ 11 2.1.3 Interfase Serial ............................................................................................................................ 13 2.2 Primera configuración del Servidor de Firewall usando el Cliente de Administración ................... 13 2.2.1 Iniciando el Asistente de Configuración ....................................................................................... 13 2.2.2 Primera configuración en modo rápido ....................................................................................... 14 2.2.3 Asistente de configuración de Internet ........................................................................................ 14 2.2.4 Falla-caída (Conexión-de respaldo) .............................................................................................. 16 2.2.5 Continuando la Configuración del Asistente................................................................................ 17 2.2.6 Primera configuración en Modo Normal ...................................................................................... 17 2.3 Cambios de configuración .................................................................................................................. 18 2.4 Licencia ................................................................................................................................................ 18 3 Uso del cliente de administracion ...................................................................................... 19 3.1 Programa interfase y controles .......................................................................................................... 19 3.2 Menú del Cliente de Administración.................................................................................................. 20 3.2.1 Menu: Archivo ............................................................................................................................ 20 3.2.2 Menu: Opciones ......................................................................................................................... 21 3.2.3 Menú: Seguridad ........................................................................................................................ 22 3.2.4 Menú: Funciones VPN ................................................................................................................. 22 3.2.5 Menu: Red.................................................................................................................................. 23 3.2.6 Menu: Ventana ........................................................................................................................... 23 3.2.7 Menu: Información ..................................................................................................................... 23 3.3 La Configuración de Escritorio ........................................................................................................... 24 3.3.1 Zoom a la interfase de configuración .......................................................................................... 24 3.3.2 Capa .......................................................................................................................................... 25 3.3.3 Barra de herramientas ................................................................................................................. 25 3.3.4 Servicios Activos ......................................................................................................................... 27 3.3.5 Mayor información ..................................................................................................................... 27 3.3.6 Búsqueda ................................................................................................................................... 27 3.3.7 Barra de estado .......................................................................................................................... 28 3.4 Reportes ............................................................................................................................................... 28 3.5 Acceso denegado ................................................................................................................................ 29 3.6 Estadísticas ........................................................................................................................................... 29 3.6.1 Posibilidades de Filtro .................................................................................................................. 30 3.6.2 Páginas de Internet - Destacadas ................................................................................................. 30 3.6.3 URL bloqueados – Destacados..................................................................................................... 30 3.6.4 Destacados - servicios ................................................................................................................. 30 3.6.5 Destacados – IDS/IPS ................................................................................................................... 30 3.6.6 Usuarios - Destacados ................................................................................................................. 31 Claridad Perfección Seguridad Introducción 3 3.6.7 Usuarios - Tráfico ........................................................................................................................ 31 3.6.8 Defensa – Visión general ............................................................................................................. 31 3.6.9 Defensa - defensa ....................................................................................................................... 31 3.6.10 Tráfico – Toda la información ...................................................................................................... 31 3.6.11 Tráfico - Internet ......................................................................................................................... 31 3.6.12 Tráfico – Correos electrónicos ..................................................................................................... 31 3.7 Firewall ................................................................................................................................................ 32 3.7.1 Firewall - Seguridad .................................................................................................................... 32 3.7.2 Firewall - Fecha ........................................................................................................................... 33 3.8 Interfaces ............................................................................................................................................. 33 3.8.1 Interfases de redes ...................................................................................................................... 34 3.8.2 VLAN .......................................................................................................................................... 34 3.8.3 Bridge (Bridge) ............................................................................................................................ 35 3.8.4 Interface-VPN-SSL ....................................................................................................................... 35 3.9 Instalaciones de Internet..................................................................................................................... 36 3.9.1 Instalaciones generales de Internet .............................................................................................. 36 3.9.2 Período de tiempo para conexiones de Internet ........................................................................... 36 3.9.3 Instalaciones de DNS en las instalaciones de Internet ................................................................... 37 3.9.4 Cuentas DNS Dinámico ............................................................................................................... 37 3.10 Servidor DHCP ..................................................................................................................................... 38 3.10.1 Servidor DHCP ............................................................................................................................ 39 3.10.2 DHCP Relé .................................................................................................................................. 39 3.11 Respaldo automático .......................................................................................................................... 39 3.12 Instalaciones de Routing ..................................................................................................................... 40 3.12.1 Routes Estáticos .......................................................................................................................... 41 3.12.2 Protocolos-routing ...................................................................................................................... 42 4 Proxies ................................................................................................................................... 55 4.1 Introducción ........................................................................................................................................ 55 4.2 Proxy HTTP ........................................................................................................................................... 55 4.2.1 Modo Transparente .................................................................................................................... 55 4.2.2 Modo normal sin autenticación ................................................................................................... 55 4.2.3 Modo normal sin autenticación ................................................................................................... 56 4.2.4 Configuración del caché ............................................................................................................. 56 4.3 Proxy HTTPS ......................................................................................................................................... 56 4.4 Proxy FTP.............................................................................................................................................. 57 4.5 Proxy SMTP .......................................................................................................................................... 57 4.6 Proxy POP3 ........................................................................................................................................... 57 4.7 Proxy VoIP ............................................................................................................................................ 58 4.7.1 Instalaciones Generales ............................................................................................................... 58 4.7.2 Proxy SIP ..................................................................................................................................... 58 5 Autenticación de usuario .................................................................................................... 59 5.1 Respaldo técnico y preparación .......................................................................................................... 59 5.1.1 Objetivo de la Autenticación de Usuario ...................................................................................... 59 5.1.2 Respaldo técnico y preparaciones ................................................................................................ 59 Claridad Perfección Seguridad Introducción 4 5.2 Inicio de sesión .................................................................................................................................... 61 5.2.1 Inicio de sesión usando un buscador de red................................................................................. 61 5.2.2 Iniciar sesión utilizando Cliente de Autenticación de Usuario (Cliente-UA) .................................... 61 5.2.3 Inicio de sesión usando Single Sign On ........................................................................................ 62 5.3 Usuarios ............................................................................................................................................... 64 5.4 Ejemplos............................................................................................................................................... 64 5.4.1 Dominio Windows ...................................................................................................................... 64 5.4.2 Servidor terminal ........................................................................................................................ 65 6 URL Filtro de contenido ....................................................................................................... 66 6.1 Filtro URL ............................................................................................................................................. 66 6.2 Filtro de Contenido ............................................................................................................................. 67 6.2.1 Alternando el Filtro de Contenido encendido y apagado ............................................................. 67 6.3 Configure el URL y el Filtro de Contenido ......................................................................................... 67 6.3.1 Configuración usando el URL / dialogo Filtro de Contenido ......................................................... 67 6.3.2 Agregar URLs usando el Cliente de administración o Estadísticas de Cliente ................................. 69 7 LAN-Accounting .................................................................................................................... 70 7.1 Introducción al LAN-Accounting ........................................................................................................ 70 7.2 Configuración del LAN-Accounting.................................................................................................... 70 7.2.1 70 7.2.2 70 7.3 70 8 Traffic shaping & Quality of Services (QOS) ..................................................................... 71 8.1 Introducción ........................................................................................................................................ 71 8.1.1 Objetivo...................................................................................................................................... 71 8.1.2 Respaldo técnico ......................................................................................................................... 71 8.2 Instalando Traffic Shaping .................................................................................................................. 72 8.3 Instalaciones para Quality of Service.................................................................................................. 73 9 Nivel de aplicacion ............................................................................................................... 74 10 Certificados ........................................................................................................................... 75 10.1 Introducción ........................................................................................................................................ 75 10.2 Certificados .......................................................................................................................................... 75 10.3 Plantillas............................................................................................................................................... 78 10.4 OCSP / CRL............................................................................................................................................ 79 10.5 Reportes para certificados .................................................................................................................. 80 11 Virtual Private Networks (VPN) .......................................................................................... 81 11.1 Introducción ........................................................................................................................................ 81 11.2 Conexiones PPTP ................................................................................................................................. 82 11.2.1 Instalación de conexión manual de PPTP Cliente-a-Servidor ......................................................... 82 Claridad Perfección Seguridad Introducción 5 11.3 Conexiones IPSec ................................................................................................................................. 83 11.3.1 Instalación manual de una conexión IPSec ................................................................................... 83 11.3.2 L2TP / XAUTH ............................................................................................................................. 85 11.4 VPN sobre SSL ...................................................................................................................................... 88 11.5 VPN sobre SSL sin salida pretederminada .......................................................................................... 90 11.6 El Cliente VPN gateprotect ................................................................................................................. 91 11.6.1 La creación automatica de una conexión de VPN usando un archivo de configuración. ................ 91 11.6.2 Creación manual o edición de una conexión VPN ........................................................................ 91 12 High Availability ................................................................................................................... 93 12.1 Functionamiento ................................................................................................................................. 93 12.2 Tiempos de caída durante falla .......................................................................................................... 93 12.3 Configuración ...................................................................................................................................... 93 12.3.1 Direcciones IP de la red de interfases ........................................................................................... 94 12.3.2 Conectando los firewalls via vínculos dedicados .......................................................................... 94 12.3.3 Activar el High Availability ........................................................................................................... 94 12.4 Editar las instalaciones de High Availability ...................................................................................... 96 12.5 Desactivar High Availability ................................................................................................................ 96 12.6 Cambio de roles ................................................................................................................................... 96 12.7 Comisionar un firewall tras falla ........................................................................................................ 96 12.8 Reestablecer respaldo o Actualización de software .......................................................................... 96 12.9 Mensajes de Reportes ......................................................................................................................... 97 13 Intrusion Detection and Prevention System (IDS/IPS) .................................................... 98 13.1 Configuración de Perfiles IDS/IPS ....................................................................................................... 98 13.2 Configuración de Red IDS/IPS Interna/Externa .................................................................................. 99 13.3 Configuración de Restricciones IDS/IPS .............................................................................................. 99 13.4 Activación del Intrusion Detection and Prevention System ............................................................ 100 13.5 Las reglas IDS e IPS pueden ser extendidas con reglas predeterminadas....................................... 100 13.6 Actualización de patrones IDS/IPS .................................................................................................... 100 14 Reporte ................................................................................................................................ 102 14.1 General .............................................................................................................................................. 102 14.2 Particiones ......................................................................................................................................... 102 14.3 Exportación de Syslog ....................................................................................................................... 103 14.4 SNMP .................................................................................................................................................. 103 15 Monitoreo ............................................................................................................................ 105 15.1 Introducción ...................................................................................................................................... 105 15.2 Componentes exhibidos en monitoreo ............................................................................................ 106 Claridad Perfección Seguridad Introducción 6 16 Anti-Spam / Filtro de correo ............................................................................................. 107 16.1 Filtro de correo .................................................................................................................................. 107 16.2 Anti-Spam .......................................................................................................................................... 107 16.3 Marcar como Spam............................................................................................................................ 108 17 Protección de Virus ............................................................................................................ 109 17.1 Introducción ...................................................................................................................................... 109 17.2 Licencia .............................................................................................................................................. 109 17.3 Instalaciones ...................................................................................................................................... 109 17.3.1 Instalaciones de antivirus: General ............................................................................................. 109 17.3.2 Escaner ..................................................................................................................................... 110 17.3.3 Lista blanca............................................................................................................................... 110 17.3.4 Actualizaciones ......................................................................................................................... 111 18 Actualizaciones ................................................................................................................... 112 18.1 Introducción ...................................................................................................................................... 112 18.2 Actualizaciones .................................................................................................................................. 113 18.3 Descargue actualizaciones automáticamente ................................................................................. 114 18.4 Actualizaciones de descarga manuales ............................................................................................ 114 18.5 Actualización de instalaciones .......................................................................................................... 114 18.6 Instalación de actualizaciones desde el dispositivo de almacenamiento local .............................. 114 18.7 Interacción de actualización ............................................................................................................. 114 19 Ejemplos............................................................................................................................... 115 19.1 Introducción ...................................................................................................................................... 115 19.2 Instalación de la conexión de Internet con dirección IP fija ........................................................... 116 19.2.1 Instalación de una linea dedicada con dirección de IP fija usando un router ............................... 116 19.2.2 Instalando una conexión DSL con dirección IP fija ...................................................................... 117 19.2.3 18.2.3 Instalación de un cable de conexión con dirección IP DHCP ............................................ 117 19.3 Demilitarized zone (DMZ)................................................................................................................. 117 19.3.1 Puerto simple para reenvío ........................................................................................................ 117 19.3.2 Reenvío de puerto con rerouting de puerto ............................................................................... 118 19.3.3 DMZ por fuente IP .................................................................................................................... 119 19.4 Ejemplos para autenticación de usuario .......................................................................................... 121 19.4.1 Dominio Windows .................................................................................................................... 121 19.4.2 Servidor terminal ...................................................................................................................... 121 20 Estadisticas .......................................................................................................................... 122 20.1 Uso de Estadísticas de Cliente/Estadísticas ....................................................................................... 122 20.1.1 Barra de herramientas ............................................................................................................... 122 20.1.2 Posibilidades de filtro ................................................................................................................ 122 20.1.3 Estadísticas ............................................................................................................................... 122 Claridad Perfección Seguridad Introducción 7 © 2012 gateprotect Aktiengesellschaft Alemania. Todos los derechos reservados. gateprotect Aktiengesellschaft Alemania Valentinskamp 24 - 20354 Hamburgo /Alemania Ninguna parte de este documento puede ser duplicado o compartido con terceras partes sin la expresa autorización escrita de gateprotect AG Alemania. Esto aplica a cualquier manera o método electrónico mecánico. Los dibujos e información contenidas en este documento pueden ser cambiadas sin notificación previa. No aceptamos garantía por la fidelidad del contenido de este manual. Los nombres e información usados como ejemplos no son reales, a menos que sea establecido de esa manera. Todos los productos, marcas y nombres son de propiedad del fabricante correspondiente. Claridad Perfección Seguridad Introducción 8 PREFACIO Gracias por escoger un producto de gateprotect. Siempre buscamos mejorar nuestros productos para nuestros clientes. Si detecta fallas o tiene sugerencias para mejorar, por favor contáctese con nosotros. Si tiene mayores consultas sobre gateprotect u otros productos, por favor contacte a su distribuidor responsable / o contáctenos directamente a: gateprotect Aktiengesellschaft Germany Valentinskamp 24 20354 Hamburgo Alemania Nos puede ubicar en: Teléfono Fax : 01805 428 377 (12 Cent/min) : 01805 428 332 (12 Cent/min) Actualizaciones de seguridad y otra información: http://www.gateprotect.com Ahi encontrará mygateprotect, que ofrece respuestas útiles, información de respaldo importante y sugerencias para uso diario. Claridad Perfección Seguridad Introducción 1 9 INTRO D UCC IO N Con el Firewall gateprotect se ha elegido un sistema de seguridad con los últimos requisitos de seguridad y muy fácil de operar usando una interface gráfica. 1.1 ¿A quién está dirigido este manual? Este manual está dirigido a administradores de sistemas que instalan y configuran el sistema de Firewall gateprotect. Conocimiento especializado es requerido en las siguientes áreas para comprender las funciones, instalaciones y procesos: Conocimiento general en tecnología de redes y protocolos de redes Administración y configuración del Sistema Operativo de Windows Sistema de usuario y derechos de administración 1.2 Apuntes generales sobre este manual Este manual está organizado de la siguiente manera: Capitulo introductorio con apuntes generales sobre el producto y usando la documentación de producto. Requerimientos del sistema, instalación del servidor de Firewall y de la Cliente de administración del Firewall. Uso del Firewall con la Cliente de administración y configuración del Servidor de Firewall Descripción técnica de los componentes del Firewall y sus instalaciones (Proxy, Autenticación de Usuario, URL & Filtro de Contenido, Tráfico, Nivel de Implementación, VPN, Alta Disponibilidad, Detector de Intrusos, Informes, Antispam y Antivirus). Descripción de las Estadísticas del Cliente como software de información propia Casos típicos 1.3 Símbolos utilizados y sugerencias NOTA ESTE SÍMBOLO DESTACA INFORMACIÓN IMPORTANTE Y DE UTILIDAD. ATENCIÓN ESTE SÍMBOLO MUESTRA QUE SE DEBE PONER ATENCIÓN. EJEMPLO ESTE SÍMBOLO INDICA UN EJEMPLO EXPLICATORIO. VALORES Y NUMEROS (A MENOS QUE SEA EXPLICADO DE OTRA MANERA) SON USADOS COMO EJEMPLOS Y PUEDEN SER DIFERENTES RESPECTO DE LOS VALORES ACTUALES. Símbolos adicionales son usados en el texto para destacar algunas características o para indicar elementos que están operando. Títulos de diálogos, opciones o botones están destacados en rojo. Textos, teclado o instrucciones de información, están indicados en el texto por un t i p o d e c o l o r d i f e r e n t e . Claridad Perfección Seguridad Introducción 10 1.4 Protección y seguridad de los antecedentes Bajo algunas circunstancias, los antecedentes personales pueden ser procesados y usados por el Firewall gateprotect. En Alemania, la Ley Federal de Protección de la Información (BDSG), entre otros, aplica al procesamiento y uso de dichos antecedentes personales. Por favor lea en detalle las leyes locales de otros países. La protección de los antecedentes protege a los individuos cosa que sus derechos personales no sean afectados por la exposición de sus antecedentes personales. Más aún, la protección de antecedentes blinda los antecedentes de mal uso en todas las fases del proceso. Claridad Perfección Seguridad Introducción 2 11 INST AL AC IO N El firewall consiste de dos partes. El Servidor Firewall y el Cliente para operar el mismo. En este capítulo, describimos los pasos necesarios para instalar estos componentes y la instalación asociada de los distintos componentes del sistema. 2.1 Instalación del Servidor de Firewall La actualización a la siguiente version más avanzada o volver a guarder las fallas de fábrica son las únicas razones para reinstalar el Firewall. Un CD de instalación es sólo necesario si se compró un aparato virtual. 2.1.1 Instalación de dispositivos Un dispositivo gateprotect se instala con un dispositivo-instalador-firewall-USB. Para crear este dispositivo-USB, se debe bajar la correspondiente version del instalador del firewall desde el sitio web www.gateprotect.com. Se requiere un dispositivo-USB con una capacidad de más de 1GB. La mayoría de los dispositivos-USB en venta debiera funcionar. Una lista de dispositivos-USB probado puede ser encontrada en www.gateprotect.com. Conecte el dispositivo-USB a su Windows-PC y haga funcionar el instalador-USB. ATENCIÓN TODA LA INFORMACIÓN EN EL DISPOSITIVO SE PERDERÁ. UN ASISTENTE-DE INSTALACIÓN LE INDICARÁ CÓMO HACER LA CONFIGURACIÓN. Especificaciones También se puede crear un dispositivo-auto-instalación-USB. Si se selecciona un archivo de respaldo de un firewall en el asistente-USB-instalación, este respaldo será integrado en el dispositivo-USB-instalación. ATENCIÓN ESTE DISPOSITIVO-USB INSTALARÁ UN FIREWALL SI ES REINICIADO DESDE EL DISPOSITIVO. NO DEJE EL DISPOSITIVO ENCHUFADO EN NINGÚN OTRO PC MIENTRAS SE ESTÉ REINICIANDO. LA INSTALACIÓN DE FIREWALL SE INICIARÁ EN CUANTO LA APLICACIÓN SE REINICIE DESDE EL DISPOSITIVO. (EN ALGUNOS CASOS DEBE SER ACTIVADO EN BIOS.) Mientras use el dispositivo en instalación-USB Estándar, existirá un proceso de guía que le llevará a la instalación del CD en la consola. Vea 2.1.2. Usando un dispositivo-auto-instalador-USB, la instalación se ralizará automáticamente. El dispositivo emitirá un sonido tipo “bip”, cuándo el proceso haya concluido. Desenchufe el Dispositivo-USB y reinicie el aparato. 2.1.2 Instalación del Firewall con VMware Con VMware (Estación de trabajo, Servidor-ESX) es possible montar la imagen ISO que se utilize para quemar el CD. Se puede proceder de manera normal con la instalación. Requisitos del hardware para la máquina virtual: HDD: 20 GB RAM: 512 MB Estos requerimientos deben ser adaptados al objetivo que se espera lograr y al número de usuarios. Paso 1 Inserte el CD-Instalación en el CD-drive del VMware-PC e inicie la máquina virtual. NOTA SI EL CD NO ES IDENTIFICADO CORRECTAMENTE, LA APLICACIÓN BIOS DEBE SER CAMBIADA ANTES DE INSTALAR. Claridad Perfección Seguridad Introducción 12 Paso 2 Un sistema operativo UNIX es iniciado entonces por el CD. Espere hasta que el programa de instalación abra la ventana de inicio y siga las instrucciones en la pantalla. NOTA EL PROGRAMA DE INSTALACION DEL SERVIDOR DE FIREWALL NO RESISTE LA OPERACION DE UN MOUSE. USE LAS TECLAS CON LAS FLECHAS PARA NAVEGAR AL INTERIOR DE LOS MENU Y LA BARRA DE ESPACIO PARA NAVEGAR ENTRE LOS MENU. LAS OPCIONES SELECCIONADAS O ACTIVAS SON DESTACADAS EN ROJO O SE USA UN TEXTO EN COLOR ROJO. Paso 3 Una vez que las condiciones de licencia son aceptada, se inicia el reconocimiento automático del hardware. Paso 4 Seleccione el tipo de instalación A. Nueva instalación B. Instalación de un respaldo Si desea agregar la configuración de respaldo de un Firewall anterior en vez de una instalación nueva, proceda como sigue: NOTA EL RESPALDO DEBE ESTAR EN UN DISCO O MEMORIA USB, QUE PUEDA SER AUTOMÁTICAMENTE DETECTADO POR EL SERVIDOR. TAMBIÉN SE PUEDE SALTAR EL RESPALDO EN ESTE MOMENTO Y OPERARLO DESPUÉS DE LA INSTALACIÓN VÍA EL ADMINISTRADOR DE CLIENTE. MÁS INFORMACIÓN EN EL CAPITULO 3.2.1 MENU: ARCHIVO-CREACIÓN DE RESPALDO. Paso 5 Selección de Disco duro En la ventana de selección de disco duro se podra determinar si la instalación debe realizarse en el disco duro o en dos discos duros. NOTA SI SE US UNA MÁQUINA VIRTUAL, USE SOLO UN DISCO DURO VIRTUAL. Paso 6 Instalando los dispositivos de red Se debe asignar a cada tarjeta de red su propia dirección de IP y una máscara de subred asociada. Para cada tarjeta de red ingrese la dirección de IP en el primer campo y la correspondiente máscara de subred en el segundo campo, e.j. 1 9 2 . 1 6 8 . 1 . 1 / 2 5 5 . 2 5 5 . 2 5 5 . 0 para una red clase C. DHCP no puede ser seleccionada en la instalación. Nota Si no se ingresa una dirección de IP, la tarjeta será automáticamente desactivada. Los campos se llenan con valores establecidos al ingresar “F12”. Paso 7 Ingreso de clave Ingrese una clave válida en los campos Clave y Confirmar. ATENCIÓN LA CLAVE DEBE TENER POR LO MENOS 6 CARACTERES Y NO PUEDE INCLUIR LETRAS, NUMEROS Y SIMBOLOS. ESTA CLAVE SE CODIFICA Y NO PUEDE SER USADA PARA CONECTARSEAUTOMATICAMENTE AL SERVIDOR DE FIREWALL SIN EL SOPORTE DE GATEPROTECT. SE PUEDE ACCEDER AL SERVIDOR DE FIREWALL VÍA EL ADMINISTRADOR DE CLIENTE Y EN TERMINOS GENERALES NO SE REQUIERE DEL INGRESO-DIRECTO. La instalación real se inicia en el próximo paso. Paso 8 Progeso de instalación Si el proceso de instalación ha sido exitoso, la notificación Exitoso! Deberá aparecer al costado de cada paso de instalación. Después de la exitosa instalación, remueva el CD del equipo y oprima la tecla Retorno para terminar y reiniciar el Servidor de Firewall. Espere hasta que el computador se haya reiniciado completamente. El Servidor de Firewall está ahora listo para ser usado. Claridad Perfección Seguridad Introducción 2.1.3 13 Interfase Serial La interface serial hace posible instalar el Firewall sin un monitor ni teclado adicional. Necesita un cable RS232 o RJ45, para conectarse al Puerto serial de los aparatos con el Puerto serial en el PC. Se debe iniciar un ProgramaTerminal (e.j. Putty o Hyperterm) con los siguientes parámetros: Velocidad: 9600 Bits de datos: 8 Paridad: ninguno Bits de parada: 1 Control de flujo: ninguno Conecte las interfases seriales, enchufe el dispositivo-USB al aparato y reinicie el firewall. Después de algunos segundos, el diálogo-instalación aparecerá en el diálogo del programa terminal. Entonces se puede usar el teclado para hacer las instalaciones. Instalación del Firewall - Cliente de Administración. La Cliente de Administración está en el CD (Menu-Autoinicio) o en el Internet en: www.gateprotect.com. La instalación se inicia automáticamente tras iniciar el archivo. 2.2 Primera configuración del Servidor de Firewall usando el Cliente de Administración Tras la instalación del Servidor de Firewall y del Cliente de Administración, primero realice una configuración inicial. El Cliente de Administración permite operar el Servidor de Firewall en modo rápido o en modo normal. 2.2.1 Iniciando el Asistente de Configuración Paso 1 Inicie el Cliente de Administración pulsando dos veces en el símbolo en el escritorio o pulsando Inicio > Programas > gateprotect Cliente de Administración > gateprotect Cliente de administración. Paso 2 Se exhibe la ventana inicial de la Configuración de Asistente. Conecte el Cliente de Administración al Servidor de Firewall. Para hacer ésto, marque el cuadro Buscar Firewall y pulse Próximo>>. La Configuración de Asistente primero busca el Servidor de Firewall en la red del computador en la que el Cliente de Administración fue instalado, automáticamente busca los primeros (xxx.xxx.xxx.254). Si la Configuración de Asistente encuentra el Servidor de Firewall en una de las dos direcciones, se salta al siguiente punto 3 y sigue directo con la primera configuración rápida (Cap. 2.3.2 Primera configuración en modo rápido) o modo normal (Cap. 2.3.6 Primera configuración en modo normal). Si la Configuración de Asistente no encuentra el Servidor de Firewall en ninguna de las dos direcciones, se debe ingresar manualmente la dirección del Servidor de Firewall como se describe en el punto 3. Paso 3 El diálogo de inscripción está abierto para crear una conexión manual. Pulse Agregar. a.) El diálogo para la dirección de IP para el Servidor de Firewall está abierto. b.) Ingrese el nombre y dirección del Servidor de Firewall en los campos correspondientes. Deje el Puerto sin modificar (Puerto 3436) y pulse Aceptar. c.) El diálogo de inscripción se exhibe nuevamente. Claridad Perfección Seguridad Introducción 14 Ingrese los valores adecuados para acceder al Servidor de Firewall en los campos de nombre de usuario y clave. y pulse Inscribir. NOTA PARA UNA NUEVA CONFIGURACIÓN DEL SERVIDOR DE FIREWALL, EL NOMBRE DE USUARIO Y LA CLAVE SIEMPRE ES ADMIN. SE DEBE CAMBIAR ESTA LO ANTES POSIBLE. SI SE HA INSTALADO EL SERVIDOR DE FIREWALL COMO RESPALDO, USE SU NOMBRE DE USUARIO Y CLAVE ASOCIADA PARA ESTE RESPALDO. . La conexión al Servidor de Firewall está establecida y la Configuración de Asistente continúa con la selección en modo configuración. 2.2.2 Primera configuración en modo rápido Más ajustes a las instalaciones después de realizar la primera configuración usando el Cliente de Administración. Paso 1 Seleccione la opción rápida. Paso 2 Se exhibe la ventana dialogo para seleccionar las funciones deseadas. Seleccione las opciones deseadas (como se explica en la ventana diálogo) marcando las opciones relevantes. La configuración continúa con la Configuración de Asistente de Internet en el punto 2.3.3. 2.2.3 Asistente de configuración de Internet La ventana del diálogo para seleccionar el tipo de conexión que se encuentra abierta. El Servidor de Firewall gateprotect apoya discando-hacia el Internet vía modem o Router ISDN, DSL. Dependiendo de qué conexión de Internet se use, por favor siga los pasos de configuración explicados en el próximo capítulo. 2.2.3.1 Instalando una conexión ISDN Paso 1 Seleccione la opción ISDN Conexión de Discado en la ventana de diálogo abierta para seleccionar el tipo de conexión. Paso 2 Una lista de hardware se exhibe en la ventana de diálogo siguiente. Seleccione una de las tarjetas de ISDN de la lista. Paso 3 Ahora ingrese un número de discado para su acceso de Internet. El campo de prefijo solo debe activarse en caso de estar instalando el acceso a Internet vía un sistema de teléfono. Ingrese el número en el campo del prefijo que se requiere para una línea de intercambio. Ingrese la información del código y número en los campos correspondientes. Paso 4 Ingrese la información de acceso de su conexión de Internet ISDN entregada por su proveedor de servicio de Internet. Paso 5 Ingrese la información de discado de su conexión ISDN. Si no existe seguridad respecto de cuál usar, lea la información que aparece en su conexión de ISDN o en su sistema de teléfono. Paso 6 Ingrese la información para su conexión de Internet. Si está usando un servidor DNS interno, ingrese aquí la dirección de IP del servidor o use las aplicaciones estándares. Paso 7 Con el control de respaldo definido para tolerancia a fallas (Internet) Claridad Perfección Seguridad Introducción 15 Si este control actúa como control maestro, al mismo tiempo, es definido como un control de respaldo que puede ser cambiado de ser requerido, se necesita especificar 1-2 servidores externos. Aquí se deben especificar dos direcciones de IP, que de ser posible, deben ser alimentadas por dos proveedores diferentes. Como los ping son regularmente enviados al servidor externo para revisar la disponibilidad de la conexión de Internet, se debe revisar antes si esto permite el ping. El Servidor de Firewall entonces revisa si estos servidores aún están disponibles y si existe una conexión. NOTA PARA LA CONEXIONES DE ISDN CON UN INTERVALO DEFINIDO, NO SE DEBE INGRESAR UN TEST DE SERVIDOR. ESO INVALIDARÍA LA APLICACIÓN DE INTERVALO. Seleccione las correspondientes opciones o ingrese la información de los campos correspondientes y pulse Siguiente>>. Paso 8 Ingrese a la conexión de ISDN un nombre claro y con significado ISDN, e.j. "Conexión de Internet por ISDN". Ingrese el nombre en el campo adecuado y pulse "Terminado". Su conexión de Internet está instalada. Si se usa solo esta conexión de Internet vía ISDN se pueden saltar los próximos pasos y continuar con el Asistente de Configuración. 2.2.3.2 Instalando una conexión PPPoE Se deben seguir los siguientes pasos si se se conectan las tarjetas de red directo a un modem DSL. Si está usando un router DSL para su conexión de Internet, salte este paso y continúe con la siguiente acción Chap. 2.2.3.3 – Conexión Router. Paso 1 Seleccione opción Conexión PPPoE en la ventana de diálogo. Paso 2 Una lista de las tarjetas de red instaladas se exhibe en la siguiente ventana de dialogo. Seleccione la tarjeta de red que está conectada al modem DSL. Paso 3 Ingrese la información de acceso para su conexión de Internet ADSL entregada por su proveedor de servicio de Internet. Paso 4 Ingrese las especificaciones de discado para la conexión ADSL. Si existe incertidumbre respecto de cuál usar, lea la información contenida en su modem ADSL o conexión de Internet ADSL. Seleccione las opciones correspondientes o ingrese la información en el campo correspondiente. Paso 5 Ingrese las especificaciones para la conexión de Internet. Si usa un servidor interno DNS, ingrese aquí la dirección de IP del servidor o use las especificaciones estándar. Con control de respaldo definido para falla-caída (Internet) Si este control actúa como control maestro y, al mismo tiempo, es definido como control de respaldo que puede ser modificado para tales efectos si fuera necesario, se requiere especificar 1-2 servidores externos. Se deben especificar dos direcciones de IP aquí, que deben ser administradas, si es posible, por dos proveedores distintos. Como los ping son regularmente enviados a servidores externos para revisar la disponibilidad de la conexión de Internet, se debe revisar de manera anticipada si éstos permiten hacer ping. El Servidor de Firewall entonces confirma si estos servidores aún están disponibles y si existe conexión. Seleccione las opciones correspondientes o ingrese la información en los campos correspondientes. Claridad Perfección Seguridad Introducción 16 Paso 6 Ingrese un nombre claro y con significado para la conexión ADSL, e.j. "Internet con conexión de modem ADSL". Su conexión al Internet ya está instalada. Si se usa solo esta conexión de Internet via ADSL se pueden saltar los próximos pasos y continuar con el Asistente de Configuración. 2.2.3.3 Instalando una conexión de Router Solo se deben seguir los próximos pasos si se conecta al Firewall externo vía un router, e.j. un router ADSL al Internet. Si se usa un modem ADSL para la conexión de Internet, por favor lea la sección anterior sobre Instalación de una conexión de ADSL. Paso 1 Seleccione la opción Conexión Router en la ventana de diálogo para seleccionar un tipo de conexión. Paso 2 Una lista de las tarjetas de red instaladas se exhibe en la próxima ventana de dialogo. Seleccione la tarjeta de red que está conectada al Router. Paso 3 Ingrese las instalaciones extendidas para la conexión de Internet. Si usa un servidor DNS interno, ingrese aquí la dirección de IP del servidor o use las instalaciones estándar. Con un control de respaldo definido para falla-caída (Internet) Si este control debe actuar como control maestro y, al mismo tiempo, es definido como un control de respaldo que puede ser alternado si es necesario, se necesita especificar servidor externo 1-2. Se deben especificar aquí dos direcciones de IP, que deben ser administradas por proveedores diferentes si es posible. Como los ping son regularmente enviados a servidores externos para revisar la disponibilidad de la conexión de Internet, se debe revisar anticipadamente si esto permite hacer ping. El Servidor de Firewall entonces revisa si estos servidores aún están disponibles y si existe una conexión. Paso 4 Ingrese un nombre claro y con significado para esta conexión de Router, e.j. "Conexión de Internet via router de la compańía". Ingrese el nombre en el campo adecuado y pulse Finalizado. Su conexión de Internet está ahora instalada. 2.2.4 Falla-caída (Conexión-de respaldo) Si ya se configuró una conexión de Internet y desea configurar otra conexión, es posible configurarla como una conexión de respaldo. La conexión de respaldo es seleccionada si la conexión principal está cancelada. En cuanto la nueva conexión se encuentre en funcionamiento, el firewall volverá a esa conexión. Nota En este caso, una dirección de IP (servidor externo) debe ser ingresada en la conexión principal. (Instrucciones para configurar un servidor externo están explicadas en las secciones de los distintos tipos de conexiones-(ISDN, ADSL, Router). Claridad Perfección Seguridad Introducción 2.2.5 17 Continuando la Configuración del Asistente Paso 1 Ingrese una clave para el Cliente de Administración en la próxima ventana de diálogo del Configurador de Asistente. La clave debe contener a lo menos 6 caracteres y puede incluir letras, números y símbolos. Ingrese la clave en el campo Clave nueva. Confirme esta clave ingresándola en el campo Confirmación de clave. Paso 2 Ingrese las funciones para programar la fecha y tiempo del Servidor de Firewall. Seleccione la hora actual de la zona de tiempo dónde se encuentra o especifique si el tiempo del servidor será regularmente ajustado por un servidor programado desde Internet. Paso 3 Toda la información necesaria ya se encuentra ingresada y el Asistente de Configuración puede ser cerrado. Paso 4 Si ya se cuenta con un número de licencia válido para el Servidor de Firewall gateprotect, el Filtro de Contenido de gateprotect o el antivirus gateprotect, se puede ahora activar esta licencia (s) directamente si aún no se ha realizado la operación. No obstante, también se puede seleccionar la opción de activar más tarde. Información adicional se puede encontrar en el capítulo sobre administración de licencia y licencia del Servidor de Firewall gateprotect Capítulo 2.5 "Licencia". La configuración se ha completado. La información de configuración es ahora trasladada al Firewall y el Cliente de Administración gateprotect para la configuración de interfase. 2.2.6 Primera configuración en Modo Normal Si ya se ha realizado la primera configuración en modo rápido, se puede saltar el próximo capítulo. Paso 1 Seleccione la opción normal. Paso 2 Ingrese una clave para el Cliente de Administración en la siguiente ventana de diálogo del Configurador de Asistente. La clave debe tener a lo menos 6 caracteres y puede incluir letras, números y símbolos. Paso 3 Ingrese las funciones para la programación de la fecha y hora del Servidor de Firewall. Seleccione la hora actual de la zona de tiempo y especifique si la hora del servidor será programada para ser ajustada desde el servidor de Internet. NOTA NO ES POSIBLE ACTIVAR EL SERVICIO NTP EN ESTE MOMENTO, POR CUANTO LA CONEXION DE INTERNET HA SIDO INSTALADA EN MODO NORMAL. ACTIVE ESTA OPCION EN EL CLIENTE DE ADMINISTRACIÓN EN OTRO MOMENTO, UNA VEZ QUE SE HAYA INSTALADO UNA CONEXION DE INTERNET, POR CUANTO NO SE HA INSTALADO NINGUNA CONEXIÓN EN MODO NORMAL. ACTIVE ESTA OPCIÓN EN EL CLIENTE DE ADMINISTRACIÓN EN OTRO MOMENTO, UNA VEZ QUE SE HAYA INSTALADO UNA CONEXIÓN DE INTERNET. Paso 4 Toda la información necesaria se encuentra ingresada y el Asistente de Configuración puede ser cerrado. Paso 5 Si cuenta con un número de licencia válido para el Servidor de Firewall gateprotect, el Filtro de Contenido de gateprotect o el Antivirus gateprotect, se puede activar ahora la licencia(s) de manera directa si esto aún no se ha realizado. No obstante, también se puede activar en otro momento. Se encontrará información en la administración de licencia y licencia en el capítulo sobre Servidor de Firewall Capítulo 2.5 "Licencia". Claridad Perfección Seguridad Introducción 18 La configuración se ha completado. Los antecedentes de configuración son transferidos ahora al Firewall y al Cliente de Administración gateprotect a la interfase de configuración. 2.3 Cambios de configuración Si desea ajustar el Servidor de Configuración a sus requerimientos individuales, encontrará mayor información en los temas relevantes y posibilidades de instalación en los siguientes capítulos. 2.4 Licencia ATENCIÓN EL FIREWALL FUNCIONA DURANTE 45 DIAS COMO VERSION DE PRUEBA TRAS LA INSTALACIÓN DEL SERVIDOR. ESTO SE PODRA OBSERVAR CUANDO SE INSCRIBA PARA COMENZAR EL CLIENTE DE ADMINISTRACION. CUANDO ESTE PERIODO HAYA CONCLUIDO, EL FIREWALL PERMANECE ACTIVO CON LA CONFIGURACIÓN, PERO NO SE PUEDEN REALIZAR MODIFICACIONES Y EL PROTOCOLO HTTP ES BLOQUEADO. La licencia es administrada por “asistente para licencias”, ubicado en la pestańa Info del menú. La licencia opera con un archivo .gplf de información formateada. Se puede cargar este archivo al firewall, todos los antecedentes sobre la licencia y licenciado son automaticmente agregados en el firewall. Claridad Perfección Seguridad Introducción 3 19 U SO DEL CL IE NTE DE ADM INIST RAC IO N Se pueden administrar todas las funciones del Servidor de Firewall gateprotect usando el Cliente de Administración. Este capítulo explica cómo usar este programa, qué posibilidades ofrece el Cliente de Administración y cómo se pueden realizar configuraciones básicas de instalación. 3.1 Programa interfase y controles Cuándo el programa se inicia se encontrará el escritorio de configuración. Esta es la interfase de administración central, con la cual se pueden realizar todos los ajustes necesarios a las funciones de instalación del Firewall. Claridad Perfección Seguridad Introducción 20 3.2 Menú del Cliente de Administración 3.2.1 Menu: Archivo En el menu Archivo se encontrarán las opciones normales del Windows para abrir, guardar, imprimir y finalizar el programa. Adicionalmente, existen funciones para crear y subir respaldos del Servidor de Firewall. Opción Función Nueva Crea una nueva configuración de Firewall. Abrir... Abre una configuración de Firewall existente directamente conectada desde un Firewall o desde un archivo de configuración guardado. Guardar Guarda la actual configuración de Firewall directamente a un Firewall conectado. Guardar como... Guarda la configuración del Firewall actual directo a un Firewall conectado o en un archivo de configuración en el computador o en la red. Imprimir... Envía a imprimir la configuración actual, las estadísticas o su monitoreo hacia una impresora conectada. Crear Respaldo Crea un respaldo de la configuración de Firewall en un medio de almacenaje. Use esta función, por ejemplo para recargar una configuración después de una nueva instalación, o para transferir una configuración a un segundo Firewall (secundario) para una solución de alta disponibilidad. Importar Respaldo Carga la configuración de Firewall desde un archivo de respaldo y luego la activa. Respaldo Automatico Configura automáticamente la función de Respaldo ・Cap. 3.11 Respaldos Automáticos Reinicio de la configuración del asistente Inicia el Asistente de Configuración en modo rápido o modo normal, para crear una configuración básica ・Chap. 2.3 Primera configuración del Servidor de Firewall usando el Cliente de Administración Activar Transfiere una configuración al Servidor de Firewall sin cerrar primero el Cliente de Administración . Idioma Cambia el idioma del Cliente de Administración Salir... Cierre el Cliente de Administración de gateprotect tras exhibir varias opciones para cerrar el programa en una ventana de diálogo y confirme que se desea salir. Claridad Perfección Seguridad Introducción 3.2.2 21 Menu: Opciones Se pueden configurar las funciones del Servidor y del Cliente de Administración usando el menú Opciones. Opción Función Firewall Ajusta las funciones generales del servidor a sus necesidades, e.j. red o nombre de administrador, tarjetas de red, funciones de seguridad para la administración o funciones de fecha y hora. Centro de Comando Ajusta y crea certificados del Centro de Comando Interfases Configura las interfaces de la red, Interfases V-LANs, Bridges e Interfases VPN-SSL Routing Administración de protocolos de ruteo Administración de usuario Administra a los usuarios y sus derechos específicos sobre el Firewall Internet Administra las conexiones de Internet y cambia las instalaciones globales de DNS o funciones para un DNS dinámico Proxy Activa y configura las funciones para el HTTP y VolP Proxy para el Servidor de Firewall ・Cap. 4 Proxies. Tráfico-Ordenamiento Configura las funciones para el Ordenamiento del Tráfico y Calidad de Servicios・ Cap. 7 Ordenamiento de Tráfico & Calidad de Servicios. Alta disponibilidad Define instalaciones para varios Servidores de Firewall que operan como solución de alta disponibilidad ・Cap. 11 Alta Disponibilidad. DHCP Configuración de un Servidor DHCP y Relé. Reportando Administra las funciones de reportes , e.j. las opciones de recepción para la notificación de correos electrónicos y las funciones para las particiones ・Cap. 13 Reportando Autenticación de usuario Configura las opciones para la autenticación del Usuario y registro al HTTP Proxy ・Cap. 5 Autenticación del Usuario Actualizaciones Administración de la actualización del Firewall Claridad Perfección Seguridad Introducción 3.2.3 22 Menú: Seguridad Se puede usar este menú para administrar las distintas funciones de seguridad del Servidor de Firewall. Opción Función URL-/filtro de Contenido... Activa y configura las funciones del URL y Filtro de Contenido ・ Anti-Spam / Filtro de Correo Crea listas blancas y negras para los filtros de spam y ajusta el nivel de sensibilidad ・ Anti-Virus Activa y administra las funciones para el escaner de Antivirus ・ Cap. 6 URL- y Contenido-Filtro. Cap. 15 Anti-Spam/Filtro de correo Cap. 16 Protección de Virus IDS / IPS Administra las funciones para Detectar Instrusos y para el Sistema de Prevención Cap. 12 Detector y Prevención Certificado Abre el certificado de administración para Autoridades Certificadas, Requerimientos y Certificados de Administración Lista-DMZ Muestra los objetos DMZ Acceso denegado… Muestra una lista de accesos rechazados y permite emitir o rechazar estas conexiones 3.2.4 Menú: Funciones VPN Se pueden administrar las funciones de las conexiones VPN al Servidor de Firewall usando este menu. Opción Función PPTP Activa las funciones PPTP para el Servidor de Firewall ・Cap. Conexiones 10.2 PPTP. IPSec Activa las funciones IPSec y administra las conexiones IPSec ・ Cap. 10.3 Conexiones-IPSec. VPN-SSL Activa conexiones VPN-SSL y administra las características VPN-SSL y Clien ・Cap. 10.4 VPN sobre SSL. VPN Asistente Crea una nueva conexión VPN e instala todas las confiiguraciones necesarias para dicha conexión VPN. Claridad Perfección Seguridad Introducción 3.2.5 23 Menu: Red Este menu contiene herramientas, que apoyan su configuración, para pruebas de redes o en la solución de problemas y búsqueda de errores. Opción Función Ping Emita un comando PING a un servidor / computador en red o en Internet. Seleccione como una opción si el comando PING debe ser emitido desde un computador local o desde el Servidor de Firewall. Traceroute Emita un comando de TRACEROUTE hacia un computador / servidor en la red o Internet. Pregunta nombre servidor Preguntas de información sobre una dirección con el nombre del servidor. Análisis del bloqueo de la Red Realiza una revision de un URL o sitio web usando el URL y Filtro de Contenido ・ 3.2.6 Cap. 6 URL- y Filtro-Contenido. Menu: Ventana Interactúa entre las diferentes ventanas del Clientes de Administración Opción Función Escritorio Cambia la Configuración de Escritorio para la administración de la red y funciones del Firewall. Reportes Cambia a la vista del reporte con actualizadas notificaciones de sistema y de seguridad. Estadísticas Las Estadísticas muestran estadísticas sobre usuarios de carácter general y de relevancia de seguridad, objetos de red y del Servidor de Firewall. Monitoreo Entrega información actualizada sobre hardware y sistemas de proceso del Servidor de Firewall. 3.2.7 Menu: Información Ofrece al usuario la ayuda estándar de Windows y funciones de soporte. Opción Función- Manual de usuario Abre este manual Licencia gateprotect Abre esta ventana de dialogo de licencia para licenciar el Firewall y los productos UTM Muestra términos de licencia Exhibe las condiciones de la licencia en formato de documento PDF. Sobre Provee información sobre el Cliente de Administración. Claridad Perfección Seguridad Introducción 24 3.3 La Configuración de Escritorio La interfase del usuario muestra la principal area de trabajo del Firewall gateprotect. Usando la configuración escritorio; siempre se debe tener una vista completa de toda la red. Todos los objetos conectados a la red (computadores, servidores, grupos de computación, usuarios VPN, etc.) son exhibidos con sus conexiones asociadas. Objetos nuevos pueden ser agregados en cualquier momento con "Drag & Drop". Se pueden crear reglas para conexión pulsando simplemente en las intersecciones de las líneas de conexión. Objetos individuales pueden ser agrupados usando "drag and drop" y configurados de manera conjunta. Si se arrastra un objeto hacia otro, se consultará si se desea crear un grupo de los dos objetos individuales. Varios objetos y puntos pueden ser seleccionados simultáneamente pulsando en un lugar vacío en el escritorio y definiendo el rango deseado con el mouse. Objetos individuales y puntos pueden ser agregados a / removidos de la selección usando Ctrl+ botón izquierdo en el mouse. Ctrl + A selecciona todos los objetos y puntos en el escritorio. Si es necesario, las líneas de conexión pueden ser resaltadas varias veces para un mayor resultado. Pulse dos veces en la línea para crear un nuevo punto de resalto en esta posición. La regla y los puntos resaltados pueden ser movidos libremente en el escritorio. Los puntos finales de una línea “se adhieren a” los objetos respectivos, no obstante pueden ser libremente movidos hacia los costados. Pulsar dos veces en un punto resaltado (excepto los puntos finales) lo elimina. 3.3.1 Zoom a la interfase de configuración El escritorio tiene una function de zoom. Esto apoyado por una miniatura (ubicada en el costado inferior derecho de la ventana Ver). El escritorio puede ser reducido a un area de entre 30% y 100%. Si el escritorio completo no está visible, el rango visible se exhibe en un rectángulo azul en miniatura. La miniatura puede ser usada para navegación (cuándo partes del escritorio no están visible). Claridad Perfección Seguridad Introducción 3.3.2 25 Capa El escritorio tiene varias capas definidas como estándar y varios usuarios. La capa estándar, llamada la capa base, puede ser reetiquetada pero no eliminada. Es siempre la primera en la lista. Las capas definidas para el usuario pueden ocultarse. Esto oculta los objetos en las respectivas capas y todas sus líneas asociadas. El órden de las capas definidas como usuarios puede ser modificadas en cualquier momento. Las capas definidas como usuarios pueden ser eliminadas. Sus objetos migran hacia la capa base. Los Objetos pueden ser movidos libremente en todas las capas. Las excepciones son los objetos de INternet. Ellos están siempre en la capa base. Los Objetos en una capa “inferior” son desplegados al final en el escritorio y cruzados con objetos de una capa “superior”. 3.3.3 Barra de herramientas Para crear un objeto en la configuración del escritorio, pulse el objeto deseado en la barra de herramientas, mantenga el botón del mouse apretado y arrastre el objeto hacia la configuración de escritorio. Dependiendo del tipo de objeto, una ventana se abre automáticamente para ingresar la información para el objeto. Para eliminar un objeto de la configuración de escritorio, pulse el objeto con el botón derecho del mouse y seleccine el item “Delete” en el menú. Símbolo Función Herramienta de selección Todas las acciones pueden ser desarrolladas en el Escritorio de Configuración con la herramienta de selección. Se pueden agregar símbolos, mover objetos o seleccionar ciertas funciones. Herramienta de Conexión Se pueden conectar los símbolos entre ellos en la configuración de escritorio usando la herramienta de conexión. Primero pulse el símbolo de la herramienta de conexión, luego el primer símbolo y luego en el segundo. Los dos símbolos son connectados entre sí y el editor de reglas se abre automáticamente para determinar las reglas de conexión. Claridad Perfección Seguridad Introducción Símbolo 26 Función Internet Pulsando dos veces en el objeto se puede configurar su conexión de Internet. Equipos Arrastre una pieza (computador, servidor, impresora de red, laptop o teléfono IP) hacia el Escritorio de Configuración e ingrese características adicionales de los objetos en la ventana diálogo. Naturalmente, se puede reparar una pieza del equipo eligiendo el típo de objeto usando uno de los botones en las características de la ventana diálogo de objeto.. Grupo El objetivo de un grupo de computadoes es una configuración clara y simple. Varios computadores en un departamento pueden ser configurados al mismo tiempo. Cada computador recibe todos los derechos que su grupo posee. Arrastre un grupo al Escritorio de Configuración, ingrese características adicionales para el grupo en la ventana diálogo y cree nuevos objetos al interior de este grupo. Arrastre objetos individuales que ya se encuentran en el Escritorio de Configuración hacia el símbolo del grupo con el mouse para asignar este objeto específico a este grupo. Un grupo de computadores contiene computadores individuales, los que son manualmente agregados o directamente aceptados en este grupo desde el Escritorio de Configuración. Grupo Para un grupo de red, seleccione una tarjeta de red del Servidor de Firewall y todos los computadores conectados entonces pertenecerán a este grupo. El modo Rango-IP permite configurar una dirección de inicio y término. Si el servicio DHCP es configurado por esta interface, también es posible elegir este rango. Computador VPN y servidor VPN Arrastre un computador VPN hacia el escritorio, especifique funciones de instalación para computadores VPN en la ventana de apertura de diálogo y cree una nueva conexión VPN. Más información en objetos VPN y su instalación en Cap. 10 Virtual Private Networks (VPN) Grupo VPN Arrastre un grupo VPN al escritorio, especifique funciones generales para el grupo VPN en la ventana de diálogo y agregue el existente usuario VPN a este grupo VPN. Más información en grupos VPN y su instalación en Cap. 10 Virtual Private Networks (VPN) Usuario-VPN El usuario-VPN puede registrarse via L2TP o XAUTH. Claridad Perfección Seguridad Introducción Símbolo 27 Función Objeto-DMZ Tras agregar un Objeto-DMZ en la configuración de escritorio, el Asistente-DMZ se inicia automáticamente y guía hacia todos los pasos necesarios para la configuración. Usuarios Arrastre un usuario hacia el escritorio e ingrese característicias de usuario adicionales en la ventana diálogo. Más información sobre usuarios y su instalación en Cap. 5 Autenticación de usuario. Grupos usuarios Arrastre un grupo usuario hacia el escritorio, ingrese mayores funciones para el grupo en la ventana de diálogo y agregue usuarios existentes a este grupo usuario. Más información sobre usuarios y sus instalaciones en Cap. 5 Autenticación de usuario. Objetos de Notas pueden ser simplemente arrastrados hacia el escritorio. El objeto Notas puede ser usado para apuntes sobre el escritorio y es guardado junto con la configuración como cualquier otro objeto. Los objetos de Regiones es un asistente para destacar grupos y áreas en color. Simplemente arrastre el objeto hacia el escritorio, seleccione el color y grado de transparencia y asignele un nombre. Ahora se puede correr el objeto hacia cualquier lugar y adaptar su tamańo. 3.3.4 Servicios Activos En la ventana de Servicios Activos en el costado izquierdo del Escritorio de Configuración se encontrará una lista de todos los servicios predefinidos o auto-definidos ingresados previamente a la red. Si se pulsan un servicio desde la lista con el mouse, todos los objetos y líneas de conexión que incluyan este servicio, serán destacadas en color. Todos los otros objetos y líneas de conexión permanecen en gris. 3.3.5 Mayor información Si se pulsa un servicio en la lista, un objeto o un usuario en el Escritorio de Configuración, se verá información suplementaria en el servicio relevante, objeto o usuario en la siguiente ventana Mayor Información. 3.3.6 Búsqueda En la ventana Búsqueda en el costado derecho del Escritorio de Configuración se podrán buscar computadores individuales, usuarios, grupos o conexiones. Búsqueda de red Se puede usar la búsqueda de red para buscar en computadores que aún no han sido incluidos como objetos independientes o como parte de un grupo de computador. Para la búsqueda de computadores que ya están en el Escritorio de Configuración como objeto o parte de un grupo de computadores marque Exhibir Todo. NOTA POR FAVOR NOTE QUE UN COMPUTADOR SÓLO PUEDE SER ENCONTRADO SI ESTÁ EN LA RED Y ACCESIBLE. Claridad Perfección Seguridad Introducción 28 Si arrastra un computador con un mouse hacia un grupo existente en el Escritorio de Configuración, este computador será automáticamente asignado con los derechos de este grupo. Lista de usuario La lista de usuario contiene todos los usuarios ingresados (esto concierne a los usuarios ya definidos, no los del computador). Si se selecciona un usuario con el mouse, se verá en el escritorio el grupo al que este usuario ha sido asignado. Búsqueda de escritorio Se puede hacer una búsqueda de escritorio para buscar entre todos los elementos ya configurados en toda la Configuración de Escritorio. Los resultados de la búsqueda como se exhibe en una lista expandible clasificada por grupo o tipo de objeto. 3.3.7 Barra de estado La barra de estado al final del Cliente de Administración muestra más información: Configuración actual Tiempo del Servidor Usuarios registrados Dirección IP del servidor de firewall Número de versión y descripción de versión del Cliente de Administración Tipo de licencia 3.4 Reportes El sistema de despliegue del Cliente de Administración y los reportes sobre detección de intrusos producido por el Servidor de Firewall. 1. Se puede acceder al reporte pulsando el símbolo reporte en la barra de herramientas o Reportes desde el menu principal. 2. La ventana Reporte Actual muestra una lista de los últimos 30 reportes de sistema del Servidor de Firewall. Los botones de Reportes de Actualización cargan la información actual desde el Servidor de Firewall hacia el mostrario de reporte. Claridad Perfección Seguridad Introducción 29 3. La ventana de Reporte General contiene una lista de todos los reportes del sistema del Servidor de Firewall que pueden ser filtrado a través de distintos criterios: Por periodo con fecha y hora para inicio y término Por el tipo y estatus del reporte Por test-usuario definido Número de reportes 4. La ventana del Reporte IDS / IPS nuestra el registro actual de información del Sistema de Detección de Intrusos y Prevención. 3.5 Acceso denegado Abra el diálogo desde el menu principal Seguridad, luego seleccione Acceso Denegado. 1. Primero actualice la lista pulsando en el botón Actualización. La lista muestra todas las conexiones bloqueadas por el Servidor de Firewall. La flecha roja o verde en la columna Servicio muestra si el orígen de la conexión está en la red interna (fleche verde) o en la red externa (flecha roja) para cada conexión rechazada. 2. Si la lista se vuelve dificultosa para ser revisada por contener un alto número de conexiones rechazadas, se puede crear un filtro que solo exhibe algunas conexiones rechazadas. Pulse en el botón Filtro de Despliegue Filter para hacer esto. Varias opciones de filtro son ahora desplegadas sobre la lista. Se pueden filtrar las conxiones bloqueadas por puerto y protocolo, por origen o destino, o por período y límite de número de conexiones desplegadas. Las Entradas dobles son compaginadas y desplegado el número de conexiones ignoradas. 3.6 Estadísticas Para desplegar estadísticas se puede usar el área de estadísticas integradas en el Cliente de Administración o el externo, Cliente de Estadística instalado de manera separada. Ambos programas tienen el mismo rango de funciones. No obstante, se puede conectar sólo una entidad a la del Cliente de Administración con el Servidor de Firewall, en tanto que tantas entidades del Cliente de Estadísticas sean necesarias pueden ser conectadas simultáneamente al Servidor de Firewall. Claridad Perfección Seguridad Introducción 3.6.1 30 Posibilidades de Filtro Se pueden filtrar estos resultados en la parte superior de la ventana de estadísticas dependiendo de la información de estadísticas preparadas: Escritorio: red completa, usuario o computador Período: 6, 12 o 24 horas, 7 o 14 días, 1, 3 o 12 meses Período auto-definido con datos de fecha y hora de inicio y término Ventana de hora : cualquier hora del día con entradas de inicio y término Acceso rechazado: ingreso o egreso El botón de Actualización sube la información actual desde el Servidor de Firewall. 3.6.2 Páginas de Internet - Destacadas Este diagrama muestra las páginas de Internet visitadas, ordenadas por la cantidad de información descargada. Si se desea bloquear un URL, pulse el boton derecho en la barra y desde el menu de contexto seleccione la correspondiente categoría de lista negra para el URL Pulse dos veces en la barra para transferir las estadísticas para el dominio relevante hacia la vista de Usuarios Destacados. (vea 3.6.6. – Listas de Destacados). 3.6.3 URL bloqueados – Destacados Este diagram muestra los URLs bloqueados seleccionados por número de intentos de acceso. Si desea desbloquear un URL, pulse el botón derecho sobre la barra correspondiente y seleccione la categoría de lista blanca correspondeinte para este URL desde el menu. Pulse dos veces en la barra para transferir las estadísticas para el dominio relevante a la Vista Destacada de Usuario. (vea 3.6.6. – Usuarios destacados). 3.6.4 Destacados - servicios Este diagrama muestra el uso de servicios o protocolos seleccionados por cantidad de información. Pulsando dos veces en la barra transferirá las estadísticas para el dominio relevante a la vista de Usuarios Destacados. (ver 3.6.6. – Empleados Destacados). 3.6.5 Destacados – IDS/IPS Este diagrma muestra los eventos registrados por el Sistema de detección y prevención de intrusos, seleccionado por frecuencia. Si se requiere mayor información sobre un evento determinado, pulse en la barra correspondiente. Se puede acceder a una fuente de información en la Internet desde el menu, que provee información adicional sobre el evento relevante. Claridad Perfección Seguridad Introducción 3.6.6 31 Usuarios - Destacados Este diagrama muestra cuáles usuarios han visitado cuáles sitios de la red, seleccionados por cantidad de información. 3.6.7 Usuarios - Tráfico Este diagrama muestra la cantidad de información transferida hacia y desde el Internet por los usuarios. 3.6.8 Defensa – Visión general Este cuadro muestra una cantidad de estadísticas sobre accesos bloqueados, virus encontrado, eventos de Detección de Intrusos y spam durante varios períodos. 3.6.9 Defensa - defensa Este diagram muestra, dependiendo del periodo seleccionado, el número de potenciales ataques repelidos. Los accesos de entrada se muestran en rojo, los de salida en verde. 3.6.10 Tráfico – Toda la información Este diagram entrega información sobre la cantidad de información (tráfico), que ha pasado por el Servidor de Firewall en un período definido en todos los protocolos. 3.6.11 Tráfico - Internet Este diagrama entrega la cantidad de información (tráfico), que ha pasado a través del Servidor de Firewall en un período definido sólo en los protocolos de Internet. 3.6.12 Tráfico – Correos electrónicos Muestra el tráfico de todos los correos electrónicos que han pasado por el Firewall en un período definido. Claridad Perfección Seguridad Introducción 32 3.7 Firewall Se pueden ajustar las funciones y hacer cambios hacia o para el servidor usando este menu. Al menu de funciones se accede a través de la opción Funciones de Servidor. 3.7.1 Firewall - Seguridad Usando la barra de Seguridad en las Funciones de Servidor en la ventana de diálogo, se pueden cambiar las instalaciones para acceder al Servidor de Firewall desde la red externa o el Internet y expecificar cómo el Servidor de Firewall debe reaccionar a las consultas de ICMP (e.j. para un comando de PING). NOTA ESTAS FUNCIONES SOLAMENTE SE REFIEREN A ACCESO EXTERNO AL SERVIDOR DE FIREWALL. ACCESO DESDE LA RED INTERNA SIEMPRE ES POSIBLE. En el área de Acceso especifique que y cómo se puede acceder al Firewall desde una red externa. Seleccione una de las opciones desde Denegado, sólo VPN o Permitido. Opción Función Denegado Sólo computadores desde la red interna pueden acceder al Servidor de Firewall desde el Cliente de Administración, acceso externo está denegado. Sólo VPN Las mismas funciones como Denegadas, pero el acceso también es posible al Servidor de Firewall desde la red externa por VPN. Permitido Acceso al servidor está permitido desde la red interna y externa. ATENCIÓN ! LAS OPCIONES PERMITIDAS SIGNIFICAN UN RIESGO EN LA SEGURIDAD, POR CUANTO PERMITE A LOS ATACANTES TENER ACCESO AL FIREWALL. BAJO ALGUNAS CIRCUNSTANCIAS NO DEBE SER USADO DE MANERA PERMANENTE. Por razones de seguridad, el Servidor de Firewall puede ser instalado de esta manera, cosa que el Firewall no responda a los commandos ICMP (PING). Seleccione una de las opciones PING (ICMP) desde el área Denegado, o Permitido. NOTA EL BLOQUEO DE COMANDOS ICMP PUEDE INCREMENTAR LA SEGURIDAD DEL FIREWALL. PERO, AL MISMO TIEMPO, IMPIDE CUALQUIER BÚSQUEDA DE ERROR EN LA RED. SI SE PRODUCE CUALQUIER ERROR EN LA RED, SE DEBE INSTALAR ESTA OPCION PARA PERMITIR UN ERROR DE BÚSQUEDA ANTES DE EJECUTAR. Claridad Perfección Seguridad Introducción 3.7.2 33 Firewall - Fecha El Servidor de Firewall gateprotect trabaja con reglas tiempo-dependientes. Por esta razón se require instalaciones correctas de fecha y hora. Se pueden configurar las funciones para usar un servidor de tiempo en la barra Fecha. 1. Seleccione una de las zonas de tiempo desde la lista Zonas de Tiempo. 2. Revise el sistema de tiempo del Servidor de Firewall en los campos de Fecha y Hora. 3. Si usa un servidor NTP, marque Activo en la sección de servidor NTP. 4. Se puede usar el tiempo del servidor o ingresar un servidor NTP propio a la lista. a.) Pulse el botón Agregar para agregar un nuevo tiempo de servidor. b.) Ingrese el nombre del tiempo de servidor en el campo de entrada. 5. Si desea que el tiempo del sistema del Servidor de Firewall este disponible en la red interna, marque Tiempo disponible a red interna. El Servidor de Firewall entonces trabaja al mismo tiempo que la hora interna del servidor. 3.8 Interfaces El diálogo Interfaces puede ser encontrado en Opciones > Interfaces. En el costado izquierdo hay un árbol que muestra tarjetas de red, VLANs, VPN-SSL-interfases y bridges. Tras seleccionar una rama en el sitio izquierdo los detalles aparecerán en el costado derecho. Claridad Perfección Seguridad Introducción 3.8.1 34 Interfases de redes Aquí se pueden modificar distintas funciones. El estado de actividad de la interfase de la red puede ser modificado La forma en que la interfase recibe la dirección de IP Agregando direcciones virtuales de IP Definiendo el MTU Estableciendo el color para la configuración de escritorio 3.8.2 VLAN VLAN (Virtual Local Area Network) es apoyado como está definido en IEEE 802.1Q. VLAN en una interfase física y es tratado como una interfase-ethernet virtual con las mismas características como la física a la que se encuentra adherida. Para usar VLANs en el firewall gateprotect se puede seleccionar la interfase VLAN en cada menu donde se puede seleccionar una tarjeta de red de interfases o un bridge de interfaces. El nombre de una interface VLAN es creado desde el nombre de la red de interface física y el VLAN-ID e.j. “eth3.1415”.„eth3“ es el nombre de la interface física y „1415“ es el VLAN-ID. VLAN puede ser creada de dos formas. Se selecciona VLAN en el árbol en el costado izquierdo y aparece un botón Agregar. Al pulsar en este boton un nuevo VLAN será creado. En el sitio derecho se puede definir la instalación de este VLAN. Otra forma de hacerlo es arrastrando una tarjeta de Red o bridge de interface en las palabras Interfaces VLAN interfaces. En este caso, una nueva VLAN será creada usando esta interface. Claridad Perfección Seguridad Introducción 35 Se puede crear una VLAN en los siguientes casos: Interfaces VLAN pueden ser creadas en interfaces VLAN. Se puede crear una VLAN en una interface de red que ya es el puerto de una interface bridge. Se puede crear una VLAN en una interface bridge que ya usa una interface VLAN como puerto. Se pueden crear interfaces de VLAN en interfaces VPN-SSL. Se puede crear un VLAN en una interface que es usado para sincronizar alta disponibilidad. La configuración de las interfaces de VLAN es más o menos como la configuración de un interface de tarjeta de red. Además, se debe instalar una ID única. Esta ID debe estar entre 1 y 4094. NOTA SE PUEDE USAR LA MISMA VLAN-ID EN INTERFASES FÍSICAS MÚLTIPLES PERO ESTO NO LAS CONECTARÁ AUTOMÁTICAMENTE! Para conectar las VLAN entre sí se puede usar routing o bridging. El uso de un bridge para conectar los VLAN integral a las interfaces de VLAN en un bridge como interfaces comunes de Ethernet. Para rutear una VLAN con otra se deben crear íconos de escritorio de las VLAN y conectarlas entre ellas. 3.8.3 Bridge (Bridge) Próximas a las tarjetas de red físicas incluso las VLAN y las VPN-SSL, pueden ser puertos de un bridge. Existen múltiples formas para crear un bridge. Marque interface múltiple. En el costado derecho aparece un botón Crear Bridge. Si se han marcado interfaces que no son posibles de ańadir a un bridge aparecerá un mensaje de advertencia. Se pueden arrastrar y dejar caer las interfaces en la palabra Bridges en el costado izquierdo para crear un nuevo bridge. Se puede seleccionar un bridge en el árbol en el costado izquierdo y presionar el botón Agregar. Vea VLAN (3.8.2) No se puede crear un bridge (bridge) en los siguientes casos: Los bridges no pueden ser un Puerto de otro bridge. No se puede crear un bridge en una interfase que es usada para sincronizar alta disponibilidad Los bridges no pueden usar interfaces que ya están siendo usadas por otro bridge. Los bridges no pueden ser creados en interfaces VLAN que son creadas en otro bridge. Los bridges no pueden usar tarjetas de red de interfaces físicas cuyos interfaces VLAN son usadas en la configescritorio del Cliente de Administración. No se puede usar una tarjeta de red y su VLAN en el mismo bridge. No se puede crear un bridge en un interface que cuenta con una conexión del cliente de administración. 3.8.4 Interface-VPN-SSL Para usar la interface VPN-SSL primero se debe crear un túnel VPN-SSL-bridge en funciones VPN > VPN-SSL. En el diálogo de interfases sólo se puede ańadir este bridge de interfase VPN-SSL existente. Arrastre y deje caer en un bridge de interfase o cree un nuevo bridge de interfase y use el VPN-SSL (esto aparece si existe uno) como un puerto de su bridge. Claridad Perfección Seguridad Introducción 36 3.9 Instalaciones de Internet Aquí se configura la conexión al Internet. Se pueden agregar varias conexiones y limitarlas con tiempo. Se puede instalar una conexión de discado ISDN, una conexión ADSL o una conexión de router. Se debe seleccionar una conexión router para todas las conexiones que usan una puerta de entrada. La forma de instalar los diferentes tipos de conexiones se explica abajo. Se puede alcanzar el diálogo de Internet vía Opciones > Internet. 3.9.1 Instalaciones generales de Internet La barra General es usada para agregar una nueva conexión a la lista de conexiones de Internet, eliminar las conexiones que ya no son requeridas o editar las instalaciones de una conexión. Balance de Carga (Conexión consecutive) El balance de carga a través de varios objetos de Internet es el routing avanzado basado en las diferentes conexiones de Internet. Es posible crear diversos objetos de Internet en el escritorio usando “arrastrar y soltar”. Para estos objetos de Internet se pueden crear distintas reglas. El servicio para la regla correspondiente es enrutado en la vía de esta conexión de Internet. Es incluso posible arrastrar un objeto con varios objetos de Internet. En este caso, los servicios correspondientes son distribuidos en ambas conexiones de Internet. NOTA SI SE REQUIERE EL USO DE UN PROXY, TODAS LAS CONEXIONES DE INTERNET SE CONECTAN AUTOMÁTICAMENTE AL OBJETO SELECCIONADO. Paso 1 Para agregar una nueva conexión de Internet, pulse el botón Agregar. Paso 2 La conexión de asistente de Internet se abre. Siga sus instrucciones hasta que la instalación de la nueva conexión se haya completado. Ver capítulo 2.3.2 Primera configuraciónen Modo rápido. Paso 3 Si se ha creado una nueva conexión de Internet, se puede asignar esto a un objeto de Internet usando “arrastrar y soltar”. 3.9.2 Período de tiempo para conexiones de Internet Para usar diferentes conexiones de Internet en momentos distintos, se pueden restringir usando tiempos. Para definir períodos para su conexión de Internet, pulse en la columna Período de la conexión correspondiente en la conexión del diálogo Instalaciones de Internet. Claridad Perfección Seguridad Introducción 37 Al mantener presionado el botón izquierdo del mouse y arrastrarlo simultáneamente sobre el campo, se pueden destacar gris (activo) o blanco (inactivo). Más aún, se pueden instalar campos individuales como activo o inactivo con el mouse o la completa conexión usando los botones Siempre encendido o Siempre apagado. NOTA LA “NUBE DE INTERNET” MUESTRA CON “ENCENDIDO” O “APAGADO” SI SU CONEXIÓN DE INTERNET SE HA ESTABLECIDO, O SI EXISTE Y ESTA FISICAMENTE ACTIVA SU CONEXIÓN DE ROUTER ENTRE EL FIREWALL Y EL ROUTER. AL PULSAR EN LA NUBE DE INTERNET SE PODRA VER EN LA CONFIGURACIÓN DE ESCRITORIO UBICADA EN EL COSTADO INFERIOR IZQUIERDO QUE CONEXIÓN DE DIRECCIÓN DE IP TIENE LA CONEXIÓN- 3.9.3 Instalaciones de DNS en las instalaciones de Internet Si se establece una conexión de Internet directa, el DNS global se determina por el router / vía de salida o como regla por el proveedor. Si se usa otro servidor DNS, e.j. si opera su propio servidor DNS, se puede ingresar su dirección en las instalaciones de DNS global del servidor de firewall. Paso 1 Active el Buscador automático para un servidor DNS para usar el servidor DNS especificado por el router o el proveedor. Paso 2 Si usa un servidor tipo DNS, desactive el Buscador automático para un servidor DNS e ingrese la dirección IP de por lo menos un servidor DNS en el campo correspondiente. 3.9.4 Cuentas DNS Dinámico Para poder conectarse desde la red externa, e.j. por VPN al servidor de firewall, la dirección de IP del servidor debe ser reconocida en el Internet. Usando el DNS dinámico, el servidor de firewall recibe una dirección fija, e.j. suempresa.dyndns.org en el internet, incluso si no cuenta con una dirección de IP fija para una procedimiento de discado de ISDN o DSL, por ejemplo. NOTA SE REQUIERE UNA CUENTA DYNDNS CONFIGURADA. MAYOR INFORMACIÓN EN DNS DINAMICO Y REGISTRO PARA EL PROCESO DE DNS DINÁMICO PUEDE SER ENCONTRADA EN E.J. HTTP://WWW.DYNDNS.ORG. Secuencia de operación para cuentas DynDNS múltiples: Paso 1 Crear una o más cuentas DynDNS con el soporte de un proveedor DynDNS (e.j. www.dyndns.org). Paso 2 Instale una o más conexiones en el firewall. Paso 3 Instale sus cuentas DynDNS en el firewall. Para instalar el acceso a DNS dinámico, abra el dialogo Internet en el menú principal Opciones. Claridad Perfección Seguridad Introducción 38 Paso 4 Marque Activar cuenta usando esta cuenta. Paso 5 Ingrese la información proporcionada tras el registro del DynDns en los campos Tipo de servidor, Nombre del dominio, Nombre de usuario y Clave. Paso 6 Si usa subdominios de la cuenta, marque Habilitar wildcards y seleccione la conexión de Internet deseada. También se pueden asignar las cuentas de DynDNS en los diálogos de instalación de las conexiones de Internet. 3.10 Servidor DHCP El firewall gateprotect ofrece la habilidad de asignar una dirección de IP junto con otros parámetros de configuración (como gateway, servidor DNS, servidor NTP …) usando un servidor DHCP. Por otro lado, también es posible reenviar un servidor DHCP existente en otras redes para configurar la otra red (DHCP Relé). También se puede elegir entre dos modos de operación: Servidor Relé Claridad Perfección Seguridad Introducción 39 3.10.1 Servidor DHCP Se puede seleccionar en qué interfase se puede operar el servidor. Se puede definir un rango de dirección por interfase. Direcciones fijas usando la dirección MAC puede ser especificada por interfase. Direcciones-Estática IP El pool de Direcciones-IP asignadas de manera dinámica no debe contener Dirección-IP estáticas. El pool debe ser adaptado para proveer suficientes direcciones para asignaciones de direcciones-IP estáticas. 3.10.2 DHCP Relé Se pueden seleccionar las direcciones de servidor al que los requisitos DHCP son reenviados. Las interfases desde las cuáles los requerimientos DHCP deben ser reenviados además deben ser seleccionados (selecciones múltiples son posibles). 3.11 Respaldo automático Es posible configurar la creación de respaldos automáticos. Si el menu Archivo > Respaldo automático se encontrará en la siguiente ventana. Aquí se pueden configurar las instalaciones de servidor de respaldo que está recibiendo. Se puede elegir si se usará FTP o SCP para transferir el archivo. ATENCIÓN SIN DECODIFICAR!!! En las Instalaciones de Archivo, se puede ingresar el nombre para el Archivo de Respaldo. Si se define un número máximo de respaldos, un número se adjuntará al nombre del archivo. Tras alcanzar el número seleccionado de respaldos (predeterminado 20), el número se repetirá y sobreescribirá el último respaldo. Si se selecciona adjuntar al nombre del archivo, la fecha actual crea un archivo incluyendo el nombre de un archivo y fecha. La fecha nunca se repite, por eso los respaldos antiguos no serán sobreescritos. Sólo es posible seleccionar uno de los puntos. En las instalaciones de intervalo de tiempo, es posible agregar un gancho para rear un respaldo cuando se salga del Cliente de Administración. Este respaldo lleva el nombre del Administrador. También es posible hacer respaldos programados. Claridad Perfección Seguridad Introducción 40 El botón Instalaciones de Prueba intenta enviar un archivo (llamado "archivo nombre_prueba ") al servidor de respaldo ingresado. Si las instalaciones son correctas, aparecerá una ventana, con una respuesta positiva y se puede suprimir el archivo de prueba desde el servidor de respaldo. 3.12 Instalaciones de Routing Las instalaciones de routing se separan en dos grupos. La administración de rutas estáticas y la administración de protocolos de routing como OSPF y RIP. Las rutas estáticas afectan los firewalls y son interesantes para los Administradores de redes más pequeńas. La administración de protocolos de routing son más adecuados para administrar redes mayores con grandes estructuras WAN. Claridad Perfección Seguridad Introducción 41 3.12.1 Routes Estáticos Standard-Routing Se exhiben todos los cuadros de routing que contienen por lo menos un router. El cuadro con ID 254 es la tabla de routing principal que contiene el router definido por el usuario. Debido a la importancia este router es mostrado al inicio de la lista. El cuadro 255 contiene routes locales exclusivos para todas las interfases conocidas. Cuadros con IDSs 1 a 63 para balancear la carga y para las conexiones de Internet. Los routers agregados al cuadro principal también son escritos en este cuadro. Los cuadros 64 a 250 son reservados para los routers con direcciones de fuentes (Política-Routing) y mostrado cuando se agrega un router con fuente dirección-IP. La columna “dirección de destino” contiene la dirección-IP del destino del routing. “Protocolo” muestra quién agregó el router. Routers con el Protocolo “kernel” o “boot” son agregadas por el sistema, routers definidos por los usuarios son nombrados gpuser. La columna “Tipo” contiene el tipo de router, en la mayoría de los casos, esto de “unidifusión”. “Puertas de ingreso” muestra la dirección-IP de la puerta de ingreso, si se hace roteo a paquetes cuando el destino no es alcanzable por el vínculo. “Interfases” muestran la interfase del firewall a través de las cuál salen los paquetes. Si se entra por una puerta de ingreso, debe ser accedida por la interfase a la cual se encuentra conectado. Cada cuadro de routing puede contener reglas-routing, que son parte de la política-routing. Las reglas-routing no pueden ser agregadas de manera explícita, son creadas automáticamente si: Un nuevo router con fuente IP ha sido agregado Una nueva conexión-Internet ha sido agregada (Balance de carga) Claridad Perfección Seguridad Introducción 42 En la columna "Match" se escribe el criterio para redireccionar los paquetes-IP hacia otros cuadros. Si un router es editable o agregable, un icono es la segunda columna que se mostrará. Fuente (opcional): decide que solo paquetes de una determinada dirección de fuente son ruteados. Métrico: El métrico muestra el “costo” del router y es interesante en combinación con los protocolos de routing. NOTA ESTAS INSTALACIONES NO SE REQUIEREN NORMALMENTE Y DEBEN SER USADAS BAJO ALGUNAS CIRCUNSTANCIAS. 3.12.2 Protocolos-routing Introducción Routing para protocolos de IP decide el reenvío de los paquetes IP, basados en sus direcciones de destino, en un ordenador. Los paquetes routers pueden ser paquetes externos de otro ordenador, o paquetes generados de manera local desde el mismo ordenador. La manera más fácil es un cuadro de router de estática existente en el ordenador, el cuál decide sobre la base de la dirección de destino, las interfases de salida para los paquetes. La configuración de un routing estático es típico para redes más pequeńas porque en la mayoría de los casos hay sólo un ordenador actuando como router. (Cap. 3.12.1 Routes de Estáticas). En redes más grandes es más diferente, complejo para administrar las configuraciones de rutas estáticas porque cada ruta u ordenador debe ser configurado manualmente. Para tales redes con múltiples rutas, los routers han compilado protocolos diferentes para un routing dinámico. Cada uno de estos protocolos hace posible que los routers se comuniquen entre sí y publiquen diferencias en la topología de la red. El administrador de la red no tiene que configurar cada aparato, porque la diferencia en la configuración se informa de manera autónoma. El routing dinámico hace posible, reaccionar en caso de ciertos eventos con un cambio de configuración. Cuando el enlace la Red troncal de un router se irrumple, el router puede informar a los otros router para buscar un router diferente hacia el destino de acuerdo a los protocolos de routing. "Información-Routing " es un router asignado por protocolos de routing. Claridad Perfección Seguridad Introducción 43 Claves de Autenticación (son para RIP y OSPF) Aquí se pueden crear claves para la Autenticación-Digestiva-de Mensajes con OSPF y RIP. Las claves pueden ser editadas con un nombre, por ser encontradas fácilmente en los dialogos. ATENCIÓN: EL NOMBRE TIENE ESPECIAL RELEVANCIA PARA OSPF, PORQUE EL NOMBRE ES TRANSMITIDO MIENTRAS SE AUTENTIZA Y PUEDE CORRESPONDER A LA CLAVE-ID DE OTROS ROUTERS OSPF. Las claves se ingresan en texto y tienen una extensión máxima de 16 caracteres. Estas claves están disponibles para autenticación con md5 Agregando o editando claves Claridad Perfección Seguridad Introducción 44 Listas de filtros (son para todas las secciones de distribución de routing) Crear nuevas listas de Filtros Estas listas de filtros permiten filtrar la información de routing que fueron transferidas via RIP o OSPF. Debido a eso, sólo información debidamente específicada puede ser reenviada o almacenada localmente. NOTA EL FILTRO DE LA INFORMACIÓN DE ROUTING NO ES NORMALMENTE REQUERIDA Y SOLO DEBE SER USADA BAJO CIERTAS CIRCUNSTANCIAS. Una lista de filtro consiste en una o más reglas. Estas reglas permiten o rechazan el reenvío de la información especifcada usando diversos criterios. Cada lista de filtro recibe un nombre con el cuál podrá ser referido posteriormente. Crear nuevas Reglas y agregarlas a las listas de Filtro existentes El nombre define la lista de filtro, hacia la cuál la regla debe ser agregada. Se puede elegir, si la regla debe permitir o denegar el reenvío de la información de routing coincidente. Criterio: Interfase: Es la Interfase donde se envía la información de salida del routing. Destino: La dirección de destino de la información de routing. Ruta de salida: La ruta de salida de la información de routing. Claridad Perfección Seguridad Introducción 45 3.12.2.1 3.12.2.2 Instalaciones RIP Activo activa o desactiva el soporte RIP. La Actualización del timer instala el intervalo (en segundos), en el cuál la información de routing debe ser enviada a otro routers RIP en la red. Por defecto 30 segundos. Si se instala un valor alto, demora más en cambiar la información de routing. Un valor menor aumenta el tráfico de la red. La Validación de tiempo de espera instala el intervalo, después del cuál los routes RIP fueron inválidados. Si no se recibe ningúna Actualización hasta que se alcance el tiempo de espera, el router es suprimido y otros routers RIP fueron informados respecto de estas circunstancias. El intervalo de Validación de tiempo de espera debe ser más largo que el intervalo de actualización. El tiempo de espera para la Limpieza define en qué intervalo es suprimido un router inválido que fue recibido vía RIP. Eventos de depuración enciende la depuración de eventos RIP como la recepción de nueva información de routing. Paquetes de depuración enciende la depuración de paquetes de RIP trasmitidos y recibidos. La información de depuración puede ser encontrada en el reporte. ATENCIÓN! ESTA OPCIÓN SÓLO SE ACTIVA SI SE REQUIRE LA INFORMACIÓN PARA DEPURAR. DESACTIVE SI NO SE REQUIEREN. Via neighbor, se puede ingresar explícitamente al router RIP, que no era accesible vía la IP de multi transmisión, pero si tiene uno que no sea soporte para la IP de multi transmisión, se puede ingresar su dirección aquí. Claridad Perfección Seguridad Introducción 46 Creación de una lista de vecino, simple lista de IP Lista RIP de interfase El resumen de todas las interfases disponibles y sus actuales instalaciones. Todas las interfases en el sistema que sean utilizables en RIP están en la lista aquí. No es posible/necesario agregar o sumprimir interfases. Aquí se puede activar RIP en interfases que están en redes con otros routers RIP. La columna Activar muestra si la interfase tiene el RIP activado o no. Si un interfase es usado por RIP, las actualizaciones de RIP fueron transmitidas y recibidas usando esta interfase. Si una interfase está marcada como Pasiva, solo recibe actualizaciones RIP y no las envía. Horizonte dividido se necesita para prevenir los bucles de enrutamiento en redes más complejas. La columna Auth. type muestra si las actualizaciones de RIP fueron transmitidas/recibidas usando autenticación y si es así, cuál método de autenticación es utilizado. Auth. key muestra la clave si se usa autenticación con texto plano. La utilización de la utenticación MD5, muestra el nombre de la entrada en la lista Auth. Claridad Perfección Seguridad Introducción 47 Las interfases disponibles solo pueden ser editadas Activar activa el interfase para RIP. Pasivo enciende el modo pasivo (solo cuando se recibe) y Horizonte dividido activa el lit horizon activa la función de "Horizonte dividido” para prevenir los bucles de enrutamiento. En el el área de Autenticación, se puede seleccionar el tipo de autenticación. Si se selecciona plaintext, se debe ingresar una clave, usando el menu MD5, que ofrece claves MD5 pre definidas (ver Auth keys). Reenvío de información de ruteo (distribución del roteo) La información de distribución de ruteo son las mismas en RIP, OSPF y en la distribución de ruta Estática, por lo que el diálogo sólo se explica una vez. Los sub items de distribución de routing definen el objetivo del reenvío; la fuente de contexto del item distribución de ruteo. Existen varias posibilidades para la distribución de ruteo: RIP a RIP RIP a OSPF RIP a sistema local (estática) OSPF a OSPF OSPF a RIP OSPF a sistema local (estática) Sistema Local (estática) a RIP y a OSPF ATENCIÓN! LA DISTRIBUCIÓN DE RUTEO ES IMPORTANTE SÓLO SI SE DESEA FILTRAR EL REENVÍO DE LA INFORMACIÓN DE RUTEO! PARA HACER ESTO, SE NECESITAN LAS LISTAS DE FILTROS. SI NO SE ESPECIFICAN LAS LISTAS DE FILTRO, TODA LA INFORMACIÓN DE RUTEO ES REENVIADA, QUE ES HABITUALMENTE EL CASO. Claridad Perfección Seguridad Introducción 48 Toda la distribución de ruteo tienen la misma interfase: para este ejemplo, se muestra RIP. Los filtros previamente creados pueden ser agregados o suprimidos en esta interfase. Se pueden editar en la barra Lista de Filtros. Agregar nuevas listas Este diálogo muestra todos los ingresos que fueron exhibidos en la lista. Claridad Perfección Seguridad Introducción 49 La interface equivale a agregar un diálogo pero sin casillas ni botones de elección. Los detalles fueron desplegados solo para la lista seleccionada. 3.12.2.3 Instalaciones OSPF La opción Activo activa el soporte OSPF. El Router ID tiene que ser ingresado y debe ser único. No se debe ingresar una dirección de IP existente o válida. Eventos de depuración se activa, eventos OSPF (como la caída de un OSPF router) fueron exhibidos en el reporte sobre depuración. Si se activa Depuración LSA , detalles de paquetes LSA (Link State Announcement) también fueron exhibidos en el reporte sobre depuración. Si Depuración NSSA es activado, detalles de eventuales áreas de NSSA existentes fueron exhibidas en un reporte de depuración. Si Paquetes de Depuración es activado, detalles de todos los paquetes OSPF fueron exhibidos en el reporte sobre depuración. ATENCIÓN! ACTIVE ESTAS OPCIONES SOLO SI SE REQUIERE DEPURAR Y DESACTIVELOS SI EL PROBLEMA ES SOLUCIONADO. Claridad Perfección Seguridad Introducción 50 Interfases OSPF, similar a interfases RIP Todas las interfases en su sistema, que pueden ser usadas por OSPF, están listadas aquí. No es posible/necesario agregar o suprimir interfases. Pasivo indica si una interfase está en modo pasivo o no. Si está, sólo recibe paquetes OSPF y no los envía Tipo Aut.muestra el modo de autenticación. Clave Aut. Muestra la clave de modo de texto plano. Si se usa MD5, muestra el nombre de la entrada en la lista de claves Aut. Tipo de red muestra el tipo de interfase. En la mayoría de los casos, debe ser una transmisión. Sólo es posible editar las interfases disponibles. Claridad Perfección Seguridad Introducción 51 Instalaciones de interfases OSPF Barra General Activar activa OSPF en esta interfase. En el área Autenticación, se puede seleccionar el tipo de autenticación como con RIP. La casilla Pasivo se enciende en el modo pasivo para que la información OSPF sólo sea recibida y no transmitida. Se pueden definir los Costos para esta interfase. Mientras más altos los costos de ruteo, menor debe ser el uso de esta interfase. Estas instalaciones son solo importantes en redes más complejas. Intervalos muertos define el intervalo para los tiempos de espera y los timers inactivos y tiene que tener el mismo valor en todas las rutas OSPF en la red. Prioridad define la prioridad del router OSPF. El router con la prioridad más alta se transforma en el “router Designado”. Intervalo Hello define el intervalo en el cual los paquetes de hola fueron enviados a otros routers. Esto informa a los otros routers sobre la presencia de éste. Intervalo de retransmisión define el intervalo en que la base de datos de ruteo y los paquetes LSR (Link State Request) fueron retransmitidos si una transmisión anterior falló. Retraso de transmisión define el retraso usado para enviar paquetes LSA para que información múltiple pueda ser enviada en un paquete LSA. Barra Tipo de Red Claridad Perfección Seguridad Introducción 52 Define el tipo de red de la interfase. En la mayoría de los casos, es siempre Transmisión. Punto-a-punto y Punto-a-punto multiple son solo usados en la configuración de redes muy especiales. Sin-transmisión puede tener sentido si los paquetes de transmisión/multi transmisión fueron reenviados en la red conectada. En este caso, todos los router OSPF tienen que ser ingresados en la lista Vecino, porque pueden ser identificados automáticamente. Areas OSPF Las Áreas OSPF son unidades locales para agrupar o separar redes. Claridad Perfección Seguridad Introducción 53 Cada área OSPF tiene su propio y único ID que es representado como dirección de ID. Esta dirección de IP no debe ser existente o válida. Un caso especial es el área con la ID 0.0.0.0, este es el área troncal. Cada área tiene que estar directamente conectada a un área troncal. Si esto no es posible, una conexión directa al área troncal puede también ser establecida usando un vínculo virtual. Estas áreas pueden usar autenticación como interfases OSPF. ATENCIÓN LAS INSTALACIONES DE AUTENTICACIÓN DE LAS INTERFACES SON MÁS IMPORTANTE QUE LAS INSTALACIÓN DE LAS ÁREAS. Tipos de áreas existentes: Normal NSSA Stub Agregue o edite las áreas Barra General ID es la ID del área que que puede ser ingresada como dirección de IP. Autenticaciónn es igual a las instalaciones de interfases OSPF. En Interfases Conectadas, se pueden ingresar las interfases que deben pertenecer a esta área. Se pueden resumir redes en Resúmenes (Superredes). Claridad Perfección Seguridad Introducción 54 Las redes exclusivas no fueron anunciadas hacia afuera, sino en el resumen. Barra Tipo Aquí se puede seleccionar el tipo de áreas. Porque Vínculos virtuales solo son permitidos en áreas normales, solo pueden ser ingresadas aquí. NSSA y Areas de Stub pueden definir Costos predeterminados que fueron asignados al predeterminado LSA. Con NSSA, también se puede definir el tipo de Traducción que define la traducción de Tipo-7 a Tipo-5 LSA. Siempre: siempre será traducida. Candidato: el router OSPF participa en la elección automática para el traductor. Nunca: no será traducida. Vínculo virtual Dirección es la dirección de IP del router hacia el cual el vínculo virtual debe ser establecido (este router también tiene una conexión directa al área troncal). Un vínculo virtual actúa como una interfase OSPF para ofrecer la posibilidad de una conexión directa al área troncal. Claridad Perfección Seguridad Introducción 4 55 P RO X I E S 4.1 Introducción Un proxy es un programa, que comunica entre un cliente (una aplicación, e.j. a buscador de web) y un servidor (e.j. un servidor de web). En el caso más simple, un proxy simplemente reenvía la fecha. No obstante, un proxy habitualmente llena varias funciones al mismo tiempo, por ejemplo caching (almacenamiento intermedio) o control de acceso. El firewall gateprotect ofrece diferentes proxies para diferentes servicios: HTTP Proxy (protege de amenazas cuando se navega por Internet) HTTPS Proxy (también permite escanear en la búsqueda de virus en páginas web registradas) FTP Proxy (protege de amenazas cuando se transfiere información vía FTP) SMTP Proxy (protege de amenazas cuando se envían y reciben correos electrónicos) POP3 Proxy (protege de amenazas cuando se reciben correos) VoIP Proxy (protege de amenazas cuando se usa comunicación oral en redes de IP) NOTA EN CONTRASTE CON VERSIONES ANTERIORES DEL FIREWALL, LA ACTIVACION DE UN PROXY PARA UNA CONEXIÓN YA NO IMPLICA NAT, SI EL PROXY OPERA EN MODO TRANSPARENTE. SI DESEA USAR NAT, DEBE SER ACTIVADA DE MANERA SEPARADA. 4.2 Proxy HTTP El servidor de firewall gateprotect usa el bien probado y extremadamente estable Squid proxy. Actúa como un interfase para el Filtro de Contenido opcional y la solución de Antivirus. El proxy puede funcionar en modo transparente o normal y ofrece una función ajustable de caching. El proxy HTTP es requerido para usar las estadísticas de página web. ATENCIÓN ! EL PROXY HTTP PROXY SÓLO PUEDE SER USADO COMO FILTRO DE SALIDA Y NUNCA DEBE SER USADO EN UN DMZ. Se puede acceder a las instalaciones de HTTP proxy a través del Cliente de Administración Opciones > Proxy > HTTP barra Proxy. Para usar el HTTP proxy, se debe seleccionar uno de los siguientes modos: 4.2.1 Modo Transparente En modo transparente, el servidor de firewall opera automáticamente todas las consultas que son hechas usando puerto 80 (HTTP) a través de proxy. Los usuarios no tienen que hacer ninguna instalación adicional en el buscador de la web. 4.2.2 Modo normal sin autenticación En modo normal sin autenticación, el HTTP proxy del servidor de firewall tiene que estar explícitamente direccionado hacia el puerto 10080. Todos los usuarios deben entrar este puerto especial en sus instalaciones de buscadores de internet. ATENCIÓN ! POR FAVOR NOTE QUE SÓLO LOS PAQUETES DE INFORMACIÓN HTTP SON RUTEADOS A TRAVÉS DE PROXY. SI UN PROGRAMA O UN ATACANTE INTENTA OPERAR OTROS PROTOCOLOS A TRAVÉS DE ESTE PUERTO, ESTOS PAQUETES SERÁN BLOQUEADOS Y RECHAZADOS. Claridad Perfección Seguridad Introducción 4.2.3 56 Modo normal sin autenticación Este modo require autenticación de usuario adicional. Aquí se puede escoger entre la autenticación de usuario local de gateprotect local y la autenticación por un servidor de radio externo. 4.2.4 Configuración del caché Se puede configurar el caché completo de acuerdo con sus necesidades. Se puede ajustar el tamańo del caché (en MB) y los tamańos mínimos y máximos de los objetos. 4.3 Proxy HTTPS Si el HTTPS proxy es activado en una línea de conexión, la conexión HTTPS (inscrita) es administrada por el proxy transparente en el firewall. Esto significa que el usuario no tiene que hacer ningúna instalación proxy en su servidor web. El HTTPS proxy opera como "hombre en el medio"; esto significa que hace sus propias conexiones al buscador de la web y al servidor de la web. Operando de esta manera, puede revisar contenidos, usar bloqueo de la web, filtro de contenido y escanear en búsqueda de virus. Las instalaciones para esto fueron heredadas del HTTP proxy. Sólo páginas que han sido firmadas por un CA enlistado pueden ser visitadas a través de proxy HTTPS. No obstante, es posible importar su propio CA. Los certificados de CA más comunes para revisar el servidor de la red son instalados; otros pueden ser agregados (y además suprimidos) por el administrador de firewall. El proxy HTTPS opera con certificados de servidor de red “falsificados” emitidos desde un CA propio en el firewall que es provisto al buscador de la red. Este CA debiera ser importado hacia el buscador de la red. Para este objetivo, puede ser exportado o reemplazado por un CA auto-creado. Requerimientos del buscador de la red a nuevos servidores de red serán inicialmente rechazados. Todas las nuevas solicitudes fueron presentadas en una lista desde la cual el administrador sólo tiene que seleccionar la deseada. Este requerimiento debe ser desbloqueado creando un certificado “falsificado” de servidor de red. El periodo de validación de estos certificados pueden ser libremente seleccionados (predeterminación de 365 días). Si el administrador de firewall no desea que sus usuarios se conecten a este servidor de red via HTTPS, el puede agregar el dominio del servidor de red a una lista negra. Claridad Perfección Seguridad Introducción 57 Flujo de trabajo del Proxy HTTPS: Paso 1 El buscador llama a una página https://. Una página en blanco sera desplegada, pero un requerimiento es enviado por escrito al Cliente de Administración. Paso 2 El Administrador abre el diálogo Proxy en el Cliente de Administración. a. El autoriza la página. Un certificado de reemplazo es creado. b. El no autoriza la página. La página permanece bloqueada. Paso 3 El buscador llama a la página https:// nuevamente. a. Recibe la página con un certificado “falsificado”. b. No puede ver la página y nunca se hace un requerimiento al Cliente de Administración nuevamente. NOTA SI SE REQUIERE UNA PÁGINA CUYOS CERTIFICADOS NO HAN SIDO FIRMADOS PORT UNO DE LOS CAS SUSCRITOS, EL CA DEL CERTIFICADO TIENE QUE SER IMPORTADO HACIA EL DIALOGO PROXY HTTPS POR ANTICIPADO. SI EL CERTIFICADO DE LA PÁGINA HTTPS ES AUTO-FIRMADA, ESTE CERTIFICADO DEBE SER IMPORTADO PREVIAMENTE HACIA EL DIALOGO PROXY HTTPS COMO UN CA. 4.4 Proxy FTP El programa frox, de fuente abierta, actúa como Proxy FTP en el servidor de firewall gateprotect. Este proxy actúa como un interfase para la solución de antivirus y como soporte activo para FTP. ATENCIÓN ! EL PROXY FTP SÓLO DEBE SER USADO COMO FILTRO DE SALIDA Y NUNCA SER USADO EN UN DMZ. 4.5 Proxy SMTP El pimp de Proxy SMTP Proxy ha sido desarrollado por el AG de gateprotect. Actúa como una interface para la solución de antivirus y para el filtro de correos no deseados. Es el único proxy que que se configure en el DMZ con su propio servidor de correo. 4.6 Proxy POP3 El Proxy POP3 pimp también ha sido desarrollado por el AG de gateprotect. También actúa como una interfase para la solución de antivirus y para el filtro de correos no deseados. ATENCIÓN ! EL PROXY POP3 DEBE USARSE SÓLO COMO FILTRO DE SALIDA Y NUNCA EN UN DMZ. Claridad Perfección Seguridad Introducción 58 4.7 Proxy VoIP Con el Proxy VoIP, se puede usar el servidor de firewall gateprotect como proxy para el procolo SIP. Se encuentran las instalaciones del Proxy VolP en el Cliente de Administración vía la barra Opciones > Proxy > VoIP proxy. 4.7.1 Instalaciones Generales El diálogo proporciona las siguientes opciones: Opción Descripción Red Interna Aquí se puede seleccionar la red local, para el uso de llamadas telefónicas, desde la lista de redes disponibles. Conexión de Internet Aquí se selecciona la conexión de Internet que el Servidor de Firewall usa para reenviar la conexión VolP, desde la lista de redes disponibles. NOTA PARA PODER USAR EL PROXY VOLP, SE DEBE INGRESAR LA DIRECCIÓN DE IP DEL SERVIDOR DE FIREWALL GATEPROTECT CON PUERTO 5060 EN SUS APARATOS VOIP. MAYOR INFORMACIÓN SOBRE DOCUMENTOS DEL EQUIPO VOLP ESTÁ DISPONIBLE. 4.7.2 Proxy SIP En este diálogo, se puede activar el proxy VolP e instalar las siguientes opciones: Opción Descripción Proxy SIP Activo Si acepta esta casilla, el servidor de firewall actúa como Proxy VolP para el protocolo SIP y puede ser direccionado en el puerto 5060. Reenvíe información a un SIP externo Si acepta esta casilla las informaciones en el protocolo SIP son reenviadas a un proxy SIP externo. Ingrese la dirección de IP y el puerto del proxy SIP externo proxy en el campo correspondiente. Claridad Perfección Seguridad Introducción 5 59 AUT ENT IC AC IÓ N DE US U AR IO 5.1 Respaldo técnico y preparación 5.1.1 Objetivo de la Autenticación de Usuario Usando la autenticación, las reglas de Firewall pueden ser instaladas no solo para computadores en red, sino para usuarios individuales independientes del computador. 5.1.2 Respaldo técnico y preparaciones La Autenticación de Usuario ofrece la habilidad para establecer reglar para usuarios individuales y de grupos. El firewall opera un servidor de red que procesa exclusivamente el registro de usuarios que están validados por una autenticación de dominio. La información de inicio de sesión es comparada en el firewall con una base de datos de usuario local. En caso de error la autenticación de dominio adicionalmente revisa en búsqueda de un Active Directory de Microsoft o servidor LDAP abierto usando el protocolo Kerberos. Si la autenticación es exitosa, la dirección de IP desde donde provino la solicitud es asignada a las reglas de firewall del usuario. Usuarios inscritos en la base de datos local del firewall pueden cambiar su clave usando el servidor de la red. La clave puede contener hasta 248 caracteres. Claves más largas son aceptadas, pero serán reducidas automáticamente. Computadores específicos como servidores de terminal o servidores para objetivos administrativos son excluidos de la autenticación de servidor. Solicitudes de inicio de sesión desde estos computadores serán bloqueadas por el servidor de red y su dominio de autenticación. Computadores específicos como un terminal de servidor para objetivos administrativos pueden ser excluídas de la autenticación de usuario. Solicitudes de inicio de sesión desde estos computadores serán bloqueadas por el servidor de red y el dominio de autenticación. El Proxy-HTTP puede ser cambiado a modo normal para obligar a los usuarios en un servidor de terminal que inició la sesión. En este escenario la solicitud de permiso es negociada por el Proxy-HTTP y el dominio de autenticación. El Proxy-HTTP-Proxy puede ser enviado a modo onormal para forzar a los usuarios en un servidor termina a iniciar sesión. En este escenario la solicitud de permiso es negociada por el Proyx-HTTP y el dominio de autenticación. Inicio de sesión de usuarios locales El firewall de gateprotect ofrece administración de usuario local para empresas más pequeńassin administración central. En la primera barra, Lista de usuario, se puede agregar, suprimir o editar a usuarios de bases de datos locales. Se requerirá ingresar un nombre de usuario y una clave. Al marcar la casilla Cambiar clave en el próximo inicio de sesión el usuario debe cambiar la clave en el próximo inicio de sesión. El usuario sera guiado hacia la página de cambio de clave. El dominio de autenticación solo acepta iniciar sesión después que la clave haya sido exitosamente cambiada. Claridad Perfección Seguridad Introducción 60 Servidor de autenticación En la sección inferior de la barra Opción > Autenticación usuario > Instalaciones se pueden ajustar las instalaciones para el servidor de autenticación. La barra de instalaciones permite configurar un servidor de Active Directory de Microsft o un servidor Open LDAP. Para el servidor de Active Directory de Microsoft ingrese la dirección de servidor, Puerto-LDAP, nombre de usuario y clave del administrador (es útil crear aquí un usuario dedicado) y el nombre del dominio (e.j. empresa.local). Para configurar una dirección de servidor de Open LDAP abierto, Puerto y adicionalmente el Usuario y Base-DN. La cuenta requiere permisos de lectura. Instalaciones generales En las instalaciones generales se puede activar la autenticación de usuario. Aquí se instala el modo inicio de sesión y la opción inicio de sesión. El modo inicio de sesión se establece según los métodos: Instalaciones Descripción Inicio de sesión simple Con inicio de sesión simple cada usuario puede conectarse simultáneamente desde una dirección de IP. El inicio de sesión simple con separación de sesiones Separación de sesiones significa que sesiones anteriores anteriores son solo desconectadas cuando un usuario se conecta desde una dirección de IP diferente. En cada sesion sin separación de cliente en inicio de sesión simple, cada inicio de sesión siguiente sera rechazada. Inicio de sesión múltiple (con advertencia en el reporte) Las advertencias son escritas en este reporte de modo inicio de sesión. Inicio de sesión múltiple Sin inicio de sesión múltiple un usuario puede estar conectado simultáneamente desde hasta 254 direcciones de IP diferentes. Puerto de red de inicio de sesión En este punto, el Puerto-HTTPS también puede ser instalado para el inicio de sesión de red. El puerto estándar 443 es preinstalado por HTTPS. NOTA CREEE UN "SUPERUSUARIO" LOCAL. ENTONCES SE PODRÁ ACCEDER A DERECHOS ADMINISTRATIVOS EN EL FIREWALL EN CADA WINDOWS PC. PARA DESBLOQUEARLOS, NO ES NECESARIO DESCONECTARSE PERO SE ADQUIEREN DERECHOS SOBRE EL CLIENTE. (E.J. RDP). Claridad Perfección Seguridad Introducción 61 Grupos de Active Directory: Si se usa un servidor de Active Directory Microsoft para autenticación, el firewall mostrará el Grupo-AD. Se pueden usar de manera equivalente a los usuarios. El Active Directory administra los derechos de los usuarrios, entendiéndose que los Usuarios-AD deben ser asignados para definir Grupos-AD. Sólo los Grupos-AD son configurados con el firewall. Instalaciones avanzadas En la barra de instalaciones avanzadas los servicios Kerberos pueden ser activados y si se requieren los nombres de dominio y dominio de firewalls pueden ser ajustados. Si se usa la clave Kerberos ésta puede ser importada aquí. Finalmente se cuenta con la opción de desplegar una landing page cuando alguien que no cuenta con autorización intenta acceder al Internet. 5.2 Inicio de sesión Se puede iniciar sesión por diferentes vías: Iniciar sesión usando un buscador de red Iniciar sesión usando la Autenticación de Cliente Iniciar session usando ingreso único 5.2.1 Inicio de sesión usando un buscador de red Inicio de sesión usando un buscador es muy fácil. Al inicio, se debe ingresar una dirección-IP del servidor-firewall en el campo-dirección del buscador, por ejemplo: https://192.168.12.1 (en este ejemplo, se usa el 443 el puerto predefinido) Después, es necesario ingresar nombre de usuario y clave. El inicio de sesión está completo después de pulsar Conectar. De esta manera la posibilidad de conectarse funciona con cada buscador de red y es codificada con SSL. La ventana que fue usada para conectarse debe permanecer abierta durante toda la sesión; de lo contrario su sesión será cerrada automáticamente. Esto es necesario para seguridad cosa que el pc en que un usuario olvidó desconectarse no esté disponible para cualquier usuario. 5.2.2 Iniciar sesión utilizando Cliente de Autenticación de Usuario (Cliente-UA) Después de instalar el Cliente-UA, la dirección de IP del firewall, el nombre de usuario y la clave correspodiente deben ser ingresadas. Si la clave debe ser almacenada para futuros inicios de sesiones, la casilla Recordar clave debe ser marcada. Claridad Perfección Seguridad Introducción 5.2.3 62 Inicio de sesión usando Single Sign On Single Sign On (SSO) bajo el Firewall de gateprotect significa la conexión por una sola vez de un usuario de dominio al Active Directory para la creación simultánea de las reglas del firewall. Algunas condiciones deben ser cumplidas para implementar un Single Sign On en un ambiente de Active Directory con el Firewall gateprotect. Estos incluyen los siguientes pasos: Creación de un usuario especial en el servidor de dominio (gpLogin) Creación de una clave especial en el Servidor de Active Directory Preparación del firewall Instalación de la autenticación de cliente Probar la configuración Creando el usuario especial de "gpLogin" Es absolutamente necesario crear un usuario especial en el Active Directory. El nombre de “principal” será asignado a este usuario poteriormente. Este “principal” es entonces la clave actual usada para comunicarse con el firewall. El usuario no necesita ningún permiso especial por cuanto es sólo usado como “Pivote” para el Principal. El “principal” es precisamente la clave usada para comunicarse con el firewall. El usuario no necesita ningún permiso especial por cuanto se usa solo como “pivote” para el Principal. Sólo basta crear el usuario como usuario normal de dominio en el dominio. La clave debe tener 8 caracteres para seguridad. Crear un usuario con nombre y apellido. El nombre de inicio de sesión tiene que ser gpLogin. Es importante que el nombre de usuario sea digitado con L mayúscula. Este usuario es creado como usuario de dominio normal. Es importante que la opción Use tipos de codificaciones DES para esta cuenta sea activada. Creando la clave principal Una clave (principal) debe ser creada en el Servidor de Active Directory e importada hacia el Cliente gateprotect Client cosa que el computador cliente pueda conectarse automáticamente al firewall después de que se haya producido la conexión del usuario al dominio de Windows. El firewall necesita un “archivo clave” para esto. Se necesita el programa Windows “ktpass.exe” para crear el Principal y este archivo. Este programa está contenido en el Microsoft Resource Kit. La sintaxis para crear el archivo clave es: ktpass -out key.fw -princ gpLogin/[email protected] -pass hello1 crypto DES-CBC-CRC -ptype KRB5_NT_PRINCIPAL -mapuser domain\gpLogin Claridad Perfección Seguridad Introducción 63 Explicación de los PARAMETROS out -> El nombre del archivo principal se establece aquí (Esto sera importado a un firewall después) princ -> Username/HostnameoftheFirewall@CompleteDomainName pase -> Clave del usuario crypto -> Codificación de algorítmo (siempre quí DES-CBC-CRC) ptype -> El tipo Principal (siempre aquí KRB5_NT_PRINCIPAL) usuario de mapa -> Usuario al cual el Principal está asociado. En este ejemplo, los parámetros aparecen así: Usuario: gpLogin Nombre de dominio del Firewall: series-x Nombre Dominio Completo: testcenter.gateprotect.test Clave del usuario: hello1 Preparación del Firewall La autenticación de Kerberos puede ser ahora activado bajo Opciones > Autenticación de usuario > Ingreso Single Sign On y el archivo clave creado previamente puede ser importado. (Por favor ponga atención a las salidas en el reporte si la importación falla). Preparación del cliente de Windows Hay un directorio UAClientSSO en el medio de instalación gateprotect. Este contiene tres archivos. El primero es el UAClientSSO.exe. Dos parámetros deben ser provistos cuando se inicie el programa. El primero es esl nombre de dominio del firewall (bajo Instalaciones > Autenticación de usuario > Single Sign On) y la segunda es la dirección de IP en el firewall. EJEMPLO C:\PROGRAM FILES\GATEPROTECT\UACLIENTSSO.EXE X-SERIES 192.168.0.1 (PROBABLEMENTE CONSTITUYE EL ATAJO MÁS FÁCIL DE REALIZAR UTILIZANDO ESTOS PARÁMETROS) El Segundo archivo es UAClientSSOSetup.exe. Este programa instala el UAClientSSO.exe as c:\Program Files\gateprotect\UAClientSSO.exe. Ambos parámetros deben también ser proporcionados aquí. El tercer archivo es UAClientSSO.msi. Esta es la rutina de instalación como un archivo MSI que puede ser distribuido a los computadores de manera automática vía distribución de software (normas de grupo). Ambos parámetros deben ser proporcionados aquí. No es posible pasar parámetros a archivo MSI. NOTA COPIE UACLIENTSSO.EXE A RED COMPARTIDA "NETLOGON" DEL SERVIDOR DE AD Y CONFIGURE UN INICIO DE CONEXIÓN DE RED. EJEMPLO .INICIO ˇERROR! REFERENCIA DE HIPERVÍNCULO NO VÁLIDA.SERVIDOR>\NETLOGON\UACLIENTSSO.EXE <HOSTNAMEFIREWALL> <DIRECCIÓN IP DEL FIREWALL> Resolviendo problemas Si ha seguido los pasos, es momento de comprobar las instalaciones. Claridad Perfección Seguridad Introducción 64 Inicio de sesión desde un computador de dominio. Si todo funciona bien, debiera aparecer un ícono en la bandeja del sistema, que muestra la conexión. En caso de un error, revise todos los pasos de nuevo. Pruebe la autenticación sin SSO usando la red de cliente. Inicio Start UAClientSSO.exe con los parámetros desde lalínea de comando. Reinicie el cliente Windows. Revise el reporte de firewall. Revise la diferencia horaria entre el control de dominio, el firewall y los clientes (el tiempo de Kerberos es muy crítico; es útil usar ahorradores de tiempo). Si del todo no funciona: Elimine el usuario gpLogin y creelo nuevamente. Después, cree el archivo clave de nuevo e impórtelo nuevamente. 5.3 Usuarios Usuarios y Grupos-AD, al igual que los computadores, pueden ser asignados al escritorio como grupos de usuarios individuales. Entonces se definen las normas para estos objetos, que son asignadas a los usuarios en tanto se conectan. Si un usuario se conecta desde un computador, que en sí tiene ciertas normas, el usuario está sujeto a las normas de ese computador como a sus normas personales. En los grupos de usuario en el escritorio se pueden elegir usuarios desde la lista de Firewall local o desde el Open LDAP o del servidor de autenticación Servidor de Active Directory. Además existe un Grupo especial de Usuarios por Predeterminación. Ningún usuario puede ser agregado a este grupo. Compromete a todos los usuarios que puedan conectarse, excepto los que no estén en el escritorio como usuarios individuales o miembros de los grupos usuarios. Si un grupo pretederminado es instalado en el escritorio y tiene normas asignadas, cualquier usuario que se instale posteriormente en el Servidor de Active Directory es automáticamente asignado al grupo usuario. Tras conectarse este nuevo usuario es entonces automáticamente asignado a las normas establecidas. Esto elimina la necesidad de contar con administración adicional para cada usuario. 5.4 Ejemplos 5.4.1 Dominio Windows Si cuenta con un dominio Windows, puede conectar la autenticación de usuario al Controlador de Dominio de Windows. Ingrese la información de su controlador de dominio en la barra de Instalaciones del casillero de diálogo Autenticación de Servidor. En la lista de usuario se verán todos los usuarios que están en este dominio. Entonces se pueden arrastrar los íconos de usuario a la Configuración de Escritorio y asignarles reglas. El usuario debe ahora llamar la dirección de IP del Firewall con "https" en su buscador y conectar. Si la conexión es exitosa, las normas del usuario del Firewalls son aplicadas a la dirección de IP proporcionada. Si el buscador de Window está cerrado la sesion cookie concluye y las reglas expiran. Claridad Perfección Seguridad Introducción 5.4.2 65 Servidor terminal Si se usa un servidor terminal, esto se debe remover de la autenticación de usuario, por cuanto cuando un usuario está conectado, todos los usuarios adicionales recibirán los mismos derechos que recibió el primer usuario. Para remover el servidor terminal de la autenticación de usuario proceda como sigue: Pulse dos veces en el símbolo servidor terminal en la configuración de escritorio. Marque la casilla Excluir este objeto desde la autenticación de usuario. Hay un Proxy HTTP no transparente para un servidor terminal. Ajuste el Proxy HTTP no transparente instalado para este objetivo bajo Instalaciones > Instalaciones Proxy. NOTA PARA EL PROXY HTTP EL BUSCADOR DEBE TENER UNA DIRECCIÓN DE IP FIREWALL EN SU SUBRED Y PUERTO 10080. PARA EVITAR ERRORES DE DESCARGA, ESTA DIRECCIÓN DE IP DEBE SER INGRESADA EN EL BUSCADOR “ECLUIR ESTA DIRECCIÓN DE IP DEL PROXY”. Todos los usuarios que ahora se conectan al servidor terminal recibirán primero una notificación cuando abran el buscador pidiendo el nombre de usuario y la clave. En cuanto hayan autenticado usando una autenticación de usuario local, el Active Directory o el openLDAPA/Krb5, pueden usar el servidor de terminal navegando en el Internet. El usuario conectado puede navegar hasta que la última entidad de buscador esté cerrada. Cuando el buscador sea reabierto, también deberán volver a conectarse nuevamente.. Usuarios conectados reciben su instalación de URL y Filtro de Contenido propio y son conectados a las estadísticas individuales bajo sus nombres. Claridad Perfección Seguridad Introducción 6 66 U RL F ILTRO DE CO NTE NIDO 6.1 Filtro URL La función del Filtro URL del Servidor de Firewall gateprotect consiste en revisar la dirección de Internet (URL, Uniform Resource Locator que contiene nombres de servidor, pasajes y nombres de archivos) recibidos en la información de comunicación HTTP para términos permitidos y/o no permitidos de acuerdo a su clasificación en la lista blanco y negro. NOTA LA INFORMACIÓN DE COMUNICACIÓN HTTP DE UNA CONEXIÓN PUEDE SOLO SER FILTRADA ADEMAS POR LISTAS DE URL SI EL USO DE PROXY HTTP ES ACTIVADO EN EDITOR DE NORMAS PARA ESTA CONEXIÓN. Si el URL de un sitio web contiene terminos que no están en una lista negra, el acceso a este sitio sera bloqueado. Si ciertos terminos son removidos de la lista de bloqueo, éstos pueden ser agregados a una lista blanca. EJEMPLOS HTTP://WWW.SERVERNAME.COM/SEX/INDEX.HTML EL TÉRMINO "SEXO" ESTÁ EN LA LISTA NEGRA. EL URL ENLISTADO ES POR TANTO BLOQUEADO. HTTP://WWW.SERVERNAME.COM/SUSSEX.HTML EL NOMBRE DEL SITIO WEB DEL CONDADO SUSSEX TAMBIÉN CONTIENE EL TÉRMINO "SEXO" Y PODRÁ POR TANTO TAMBIÉN SER BLOQUEADO. PARA PREVENIR ESTO, EL TERMINO "SUSSEX" DEBE SER INGRESADO EN UNA LISTA BLANCA. Durante la instalación de las listas negras de Cliente de administración distintas categorías para el filtro URL son creadas por gateprotect. Estas catgorías predefinidas y listas pueden ser suplementadas en cualquier momento vía Cliente de administración y cualquier término existente puede ser removido. Alternando el Filtro URL Filter encendido y apagado Activar o desactivar las categorías de Filtro URL usando las Normas de Editor: Paso 1 Pulsar dos veces en una conexión en el Escritorio de Configuración. Paso 2 Marcar en la barra URL / Filtro de Contenido en el casillero de diálogo Editor de Reglas. Paso 3 En esta barra se puede alternar las categorías encendido y apagado para el Filtro URL individual. En la columna Filtro URL para cada categoría marque para agregar la categoría a la lista negra o blanca. Paso 4 Para editar las categorías individuals y listas URL, presione el botón URL / Instalaciones de Contenidos de Filtro. En el diálogo URL / Contenido de Filtro descrito más abajo, se pueden ajustar las categorías y listas del Filtro URL de manera individual. Claridad Perfección Seguridad Introducción 67 6.2 Filtro de Contenido Si los sitios de red no cuentan con términos comprobables en los URLs, un solo Filtro URL, como está descrito en el capítulo anterior, es insuficiente. Por tanto, como método de filtro adicional, el Servidor de Firewall gateprotect permite filtrar información de comunicación HTTP usando el contenido de los sitios de red. Para este objetivo, un Filtro de Contenido es integrado al Servidor de Firewall, que está basado en tecnologías de contenidos de Commtouch. Similares a cada una de las máquinas en el Internet, Commtouch busca sitios web disponibles, los analiza y categoriza y agrupa el resultado en una base de datos. NOTA TODAS LAS FUNCIONES DEL FILTRO DE CONTENIDO SE DESACTIVARÁN AUTOMÁTICAMENTE UNA VEZ QUE LOS 30 DÍAS DE PRUEBA HAYAN CADUCADO. SI DESEA CONTINUAR USANDO ESTAS FUNCIONES, SE REQUIERE LICENCIA ADICIONAL PARA EL FILTRO DE CONTENIDO. POR FAVOR CONTACTE NUESTRO DEPARTAMENTO DE VENTAS PARA MAYOR INFORMACIÓN SOBRE LICENCIA DE TECNOLOGÍA DE FILTRO DE CONTENIDO EN EL SERVIDOR DE FIREWALL GATEPROTECT. 6.2.1 Alternando el Filtro de Contenido encendido y apagado Activar o desactivar categorías de Filtro de Contenido Content usando Reglas del Editor: Paso 1 Pulse dos veces en una conexión sobre la Configuración de Escritorio. Paso 2 Pulse dos veces en la barra URL / Filtro de Contenido Filter en las Reglas del Editor. Paso 3 En esta barra se pueden ajustar instalaciones generales para el Filtro de Contenido. Use la columna de Filtro de Contenido para activar o desactivar las opciones que corresponden a las categorías individuales. Paso 4 Para editar las categorías existentes o las listas URL, pulse el botón URL / Instalaciones de Contenido de Filtro (cf. Cap. 6.3 Configure URL y Filtro de Contenido). 6.3 Configure el URL y el Filtro de Contenido 6.3.1 Configuración usando el URL / dialogo Filtro de Contenido Se puede usar el casillero de diálogo URL / Filtro de Contenido para editar, eliminar o agregar categorías agregar o eliminar terminos en las listas blanco y negro importar y exportar listas blanco y negro Claridad Perfección Seguridad Introducción 68 Se puede acceder a este diálogo desde Editor de Reglas como sigue: Paso 1 Pulse en la barra URL / Filtro de Contenido en el Editor de Reglas. Paso 2 Pulse el botón URL / Instalación de Filtros de Contenido para configurar las categorías existentes y listas URL. El diálogo URL / Filtro de Contenido Filter se exhibe. Instalación Descripción Registros anónimos Marque esta casilla para no conectar nombres de usuarios conectados en la interfase de la red. Esto desactiva las estadísticas para usuarios en administración de usuarios. No obstante, las estadísticas en niveles de IP continúan. Categorías Las Categorias entregan detalles de las categorías proporcionadas por gateprotect y creadas y editadas personalmente. En cada caso, la categoría consiste en una lista blanco y negro y una selección de grupos de contenido. Filtro URL La sección de Filtro URL muestra todos los ingresos de las listas blanco y negro de cada categoría seleccionada. Negro Se pueden ingresar los términos propios en el casillero de texto Negro y agreguélos a la lista negra pulsando la tecla +. Blanco Puede ingresar sus términos propios en el casillero de texto Blanco y agreguélos a la lista blanca pulsando la tecla +. Claridad Perfección Seguridad Introducción Instalación Descripción Filtro de Contenido Los grupos de Filtro de Contenido están proporcionados por Commtouch y no pueden ser modificados. Búsqueda de URL Si posee un URL específico que fue bloqueado, con este buscador se pueden rápidamente encontrar los terminos en las listas de URL, que le llevarán a un bloqueo. 6.3.2 69 Agregar URLs usando el Cliente de administración o Estadísticas de Cliente Se pueden crear o editar su propias listas de URL en el dialogo URL / Contenido de Filtro, o directamente desde la ventana Estadísticas de la Cliente de administración y Estadísticas de Cliente. Paso 1 Pulse el boton-derecho en el ingreso adecuado para hacer esto. Paso 2 Elija desde el menu la categoría a la cuál la entrada debe ser asignada. Claridad Perfección Seguridad Introducción 7 70 L AN- AC COU NT ING 7.1 Introducción al LAN-Accounting LAN-Accounting es la recolección de datos de clients relacionados con el uso del servicio de la red. Generalmente los datos recolectados contienen la duración y la cantidad de utilización de los servicios de red. Estos datos ayudan a desarrollar sistemas para contabilizar y restringir los servicios prestados. El LAN-Accounting de gateprotect ofrece la posibilidad de controlar el tiempo y tráfico dentro de la red de los usuarios. Se permite la configuración de los perfiles en relación al tiempo y volúmen. 7.2 Configuración del LAN-Accounting Para acceder al diálogo LAN-Accounting eliga Opciones en el menu principal y haga clic en LAN-Accounting. 7.2.1 Crear un perfil temporal En el diálogo de configuración del perfil de tiempo, usted puede elegir el tipo de perfil, siendo cíclico o no cíclico. El perfil cíclico define una cuota de tiempo en un cíclo periódico determinado (por ejemplo 6 horas al día). El perfil no cíclico establece un marco definido de tiempo para que el usuario tenga acceso a los servicio de red. 7.2.2 Crear un perfil de volúmen En el diálogo de configuración del perfil de volúmen también puede elegir el tipo de perfil para siendo cíclico o no cíclico. El perfil cíclo define una cuota de volúmen en un cíclo periódico determinado (por ejemplo por día / semana / mes) y en el no cíclico puede establecer un valor fijo. Ambos tipos de perfil ofrecen la posibilidad de diferenciar entre tráfico de carga y de descarga. Después de la configuración, los perfiles deben ser asignados a los usuarios. 7.3 Activar el LAN-Accounting Las configuraciones de LAN-Accounting únicamente se activarán si el correspondiente estado de LAN-Accounting están en activo. Para controlar el uso de los servicios de red con marcos de tiempo específico por día, usted puede usar el editor de reglas. Claridad Perfección Seguridad Introducción 8 71 TRAFF IC SHAPING & Q UAL IT Y OF SE RVICES (QOS) 8.1 Introducción 8.1.1 Objetivo El objetivo de moldear el tráfico es para reservar el ancho de banda en las lines para servicios importantes o usuarios preferidos, o contrariamente, para limitar el ancho de banda a determinados usuarios, computadores o servicios. El Servidor de Firewall gateprotect ofrece dos métodos para archivar esto; el Traffic Shaping y Quality of Services (QoS). Los dos métodos pueden ser usados de manera individual o de manera conjunta. NOTA EL TRAFFIC SHAPING ISTÁ SÓLO DISPONIBLE EN LA SERIES-X DEL SERVIDOR DE FIREWALL GATEPROTECT, LAS SERIES A- Y O-SERIES DE LOS SERVIDORES DE FIREWALL GATEPROTECT SOLO OFRECEN QUALITY OF SERVICE. 8.1.2 Respaldo técnico Traffic Shaping y Quality of Service son realizados usando diferentes pautas en el Linux Kernel. Así, los paquetes IP son ordenados de acuerdo a ciertas reglas. Sin Traffic Shaping y Quality of Service los paquetes son simplemente transferidos en la secuencia de su arrivo y continúan su proceso en la línea (FIFO, first in first out). Con Quality of Service, el Firewall gateprotect realiza el llamado Prio-Qdisc en todas las tarjetas de red y en los túneles VPN para el tráfico de redes que ingresa y egresa. Un prerrequisito de Quality of Service son las aplicaciones o aparatos, como el sistema de teléfono VolP, posición de campo TOS (Type of Service) en los paquetes de información de IP. El Servidor de Firewall entonces selecciona los paquetes de acuerdo al valor del campo TOS y por ende, a través de especificaciones importantes hacia varios puntos con diferentes prioridades. Paquetes de información del punto con la prioridad más alta son enviados inmediatamente. Paquetes de información con puntos con menor prioridad son sólo enviados cuando todos los puntos con mayor prioridad están vacíos. Se puede configurar libremente con paquetes de información tratados con la determinada prioridad. El Servidor de Firewall gateprotect solo controla Traffic Shaping en las líneas hacia el Internet. Es un prerrequisito que los anchos de banda de las líneas en la carga y descarga estén instaladas correctamente. Si la ancho de banda está instalada muy lenta, Traffic Shaping detiene el uso más que el ancho de banda. No obstante, si el ancho de banda está muy alto, la línea de capacidad actúa como un factor limitante y pasa por sobre Traffic Shaping antes que pueda amarrar y regular. El Traffic Shaping en el Servidor de Firewall gateprotect funciona de acuerdo con el modelo HTB model (Hierarchical Token Bucket) con hasta dos niveles jerárquicos. En el nivel superior se pueden especificar de manera separada bandas anchas mínimas o bandas anchas máximas limitadas garantizadas para cargar y descargar objetos individuales en en escritorio de la Cliente de administración. Si no se instalan ancho de bandas máximas, que son inferior que la entera capacidad de la línea, ancho de bandas no utilizadas por otros objetos, incluso sobre la ancho de banda mínima garantizada, que a disposición para otros objetos que puedan ser usados. Bajo el nivel del objeto del ancho de banda asignada a un objeto puede ser pasada a diferentes servicios por el método de nombre, e.j. un mínimo de ancho de banda puede ser garantizada para el servicio individual para el objeto relevante, o los servicios son limitados por un ancho de banda máxima. Estos valores deben encontrarse entre los márgenes de trabajo del ancho de banda configurada por el objeto. Todos los anchos de banda para Traffic Shapping son especificadas en el Servidor de Firewall gateprotect en Kbit por segundo. Si Traffic Shaping y Quality of Service son usadas al mismo tiempo, éste permanence en las tarjetas de red interna en la intranet con el Prio-Qdisc. En contraste, el Quality of Service se comporta de acuerdo al modelo HTB en las Claridad Perfección Seguridad Introducción 72 líneas de interfases a las líneas de Internet. El Servidor de Firewall define su propia clase HTB en el nivel superior de los paquetes de información con campos TOS establecidos de acuerdo a la configuración instalada. Entonces, un mínimo y máximo de ancho de banda debe ser configurada para esta clase, cosa que el tráfico de red con campos TOS configurados de manera diferente sea reenviado adecuadamente a su prioridad. 8.2 Instalando Traffic Shaping Traffic Shaping está solo disponible en las Series-X y solo en el GPA 400. Se pueden configurar Traffic Shaping via Instalaciones > Traffic Shaping en la barra Reglas. Para usar Traffic Shaping primero marque el casillero Traffic Shaping activo. Hay una barra para cada conexión de Internet (e.j. una conxión de router) con las correspondientes instalaciones de Traffic Shaping para cada conexión. Se deberá detallar primero el rango correcto de carga y descarga para la línea en Kbit/s. Estos valores se podrán encontrar por ejemplo en la información de su proveedor de servicios Internet. Existe una línea para cada item en el escritorio y se pueden ingresar instalaciones para garantizar el rango máximo de tráfico de Internet para este objeto en la carga y descarga. Si se marca la casilla el objeto es incluído en el Traffic Shaping. Cada línea puede ser expandida si se pulsa en la flecha anterior a la casilla. Entonces, líneas adicionales aparecen bajo el objeto de servicios individuales permitidos para el objeto. La primera línea en la ventana es reservada para el servicio de Firewall. Son manejadas juntas como un objeto sobre el escritorio. Si se activa Traffic Shaping para el Servicio de Firewall, entonces se pueden especificar rangos para los servicios individuales en el Firewall, para cada objeto en el escritorio. Puede ser por ejemplo un rango para la red de tráfico, que es producida en el Firewall por un Proxy. Claridad Perfección Seguridad Introducción 73 8.3 Instalaciones para Quality of Service Dependiendo de sus Aparatos, encontrará las Instalaciones para Quality of Service via Opciones > Traffic Shaping bajo la barra QoS tab o via Opciones > Quality of Service. Usando la tecla Agregar se pueden definir servicios nuevos, para los Quality of Service que deben ser instalados. Ingrese el nombre y valor exadecimal de los campos TOS en los campos correspondientes, con la aplicación o aparato para el servicio. Información relativa a esta documentación para su aplicación o dispositivo, o puede consultar a su fabricante sobre este valor. Como administrador también puede grabar el tráfico de red producido por la aplicación y remover el paquete de información correspondiente. Con varios servicios ingresados, la ubicación de servicios en la ventana corresponde a su prioridad. El servicio superior tiene la prioridad más alta. Cambie la prioridad pulsando un servicio y usando la tecla Aumente Prioridad o Reduzca Prioridad. Para usar Quality of Service para el servicio individual, marquee la casilla Activar QoS. Como opción adicional se puede decidir si Quality of Service también puede ser aplicada al Túnel PPTP. Normalmente, no se requerirá esta instalación y se puede dejar este campo desactivado. NOTA UNA OPCIÓN ACTIVADA QUALITY OF SERVICE EN PPTP-TUNNELS PONE UNA CARGA SUSTANCIAL EN EL SERVIDOR DE FIREWALL. CUANDO SE ESTABLECE Y CIERRA LA CONEXIÓN PPTP, QUE PUEDE PROVOCAR RETRASOS EN EL ESTABLECIMIENTO DE LA CONEXIÓN DE INTERNET. SI SE DESEA USAR QUALITY OF SERVICE SIMULTANEAMENTE CON TRAFFIC SHAPING, EL RANGO DE INFORMACIÓN EN LA TECLA REGLAS DEBE SER MAYOR QUE ZERO PARA ASEGURAR LA CALIDAD DE SERVICIO PARA LA CARGA Y DESCARGA. Claridad Perfección Seguridad Introducción 9 74 N I V E L DE APL I C AC IO N La Open Source Project L7-Filter ha sido integrada a un Servidor de Firewall gateprotect como un Filtro de Nivel de Aplicación. El Filtro Project L7 ha sido diseńado como iptables adicionales e indentifica los protocolos de la siguiente red de los puestos usados: HTTP FTP POP3 SMTP DNS El Filtro de Nivel de Aplicación analiza los protocolos antes mencionados y asegura que comandos externos crucen el Filtro. Se puede acceder a las instalaciones del Filtro de Nivel de Aplicación can acceso de Application Level Filter a través de Reglas del Editor. Pulse dos veces en una conexción en el Escritorio de Configuración. Las Reglas de Editor comienzan. Seleccione un servicio, para el cual desea activar o desactivar el Nivel de Aplicación y pulse en la lista del campo Opciones Adicionales. El siguiente diálogo Opciones Adicionales se exhibe. Claridad Perfección Seguridad Introducción 75 1 0 CERT IF ICADOS 10.1 Introducción Para asegurar una conexión codificada, el firewall gateprotect usa certificados digitales como los que se encuentran descritos en el estándar X.509. Esto afecta varias secciones: IPSec y VPN-SSL, la Autenticación de Usuario en el firewall, el proxy HTTPS asi como las conexiones desde el Command center hacia los firewalls administrados. Para administrar los certificados con este objetivo, el firewall gateprotect está equipado con una interfase de administración. El firewall en sí actúa como autoridad de certificación. Para hacer esto, se requiere del denominado certificado-CA. Para centralizar la administración de los certificados, se sugiere crear un certificado-CA en un firewall central y usarlo para firmar cada certificado usado para la aplicación. Esto se llama cadena de certificación single-staged. Todos los certificados para aplicaciones deben ser firmados por el firewall central. Si se necesita un certificado para otro cortafuengo (un outpost), se debe crear una solicitud. La solicitud debe estar firmada por el firewall central. La solicitud aprobada que se creó debe ser importada por el firewall outpost para ser usada. Si sus outposts pudieran tener la habilidad de crear certificados esencialmente para objetivos locales que sean reconocidos como válidos para su entera organización, se pueden usar cadenas de certificación multi etapas. Para alcanzar dicha cadena, se requiere de un certificado Root-CA en el firewall central con el cual se firma el certificadoCA secundario. Se requiere crear solicitudes para estos certificados-CA secundarios en el firewall outpost. Tras importar los certificados-CA firmados, los firewalls outpost por si mismos pueden firmar certificados para aplicacio. Para exhibir estas conexiones de manera clara, el firewall gateprotect los exhibe un un esquema-árbol. 10.2 Certificados Lista de certificados. Los certificados en negrita son CA que pueden ser firmados por otros certificados. No es posible tener más de un CA firmante y un firmante secundario CA además de los CA para el Command Center y para el proxy HTTPS. Si se crea un CA, es automáticamente el firmante. Se verá además la solicitud para el firmante. Se verá además la solicitud creada por el firewall. Serán automáticamente eliminadas si se importa el correspondiente certificado Claridad Perfección Seguridad Introducción 76 firmado. Bajo la lista, se encontrarán botones para crear o eliminar certificados. Más aún, un botón para firmar solicitudes, para importar/exportar, para suspender/devolver y para renovar certificados. En la barra General hacia el costado derecho, se observa información general del certificado seleccionado. Esta información puede ser buscada usando la casilla Buscar que se encuentra más abajo. En la casilla inferior Alcance, se observa el objetivo para el cuál se puede usar un certificado, y, si aplica, dónde está siendo usado en el momento. El nombre del certificado es siempre formateado de esta manera: "Nombre Comun [Número de Serie]". Diálogo de Certificados - Detalles En esta barra se encontrará más información sobre el certificado seleccionado. Diálogo para eliminación Esta lista muestra todos los certificados que son seleccionados o que se encuentran afectados por la acción de eliminar. Se puede seleccionar una razón. No es posible eliminar un certificado que se encuentre en uso. Claridad Perfección Seguridad Introducción 77 Diálogo de Exportación Es posible exportar certificados usando el formato PEM o el PKCS12. Si se usa PEM, solo se puede exportar la clave pública. El nombre del archivo de exportación debe ser entregado. Si se usa PKC12, la clave para el archivo PKCS12 y el archivo codificado con la clave privada debe ser entregada también. En ambos formatos toda la cadena de certificación (clave pública) será exportada. Diálogo de Importación Es posible importar certificados en el mismo procedimiento que se puede usar para exportar. El formato PEM solo importa claves públicas. No obstante, importa toda la cadena de certificación para no tener que importar CA y certificados de manera separada. En el uso de PKCS12, se necesita la clave para decodificar el archivo. La clave principal codifica la clave privada nuevamente en el firewall. Reanudar diálogo El certificado seleccionado se renueva. Para esto, el firewall crea un certificado nuevo usando la misma clave privada e información. Claridad Perfección Seguridad Introducción 78 10.3 Plantillas El uso de plantillas es una forma de simplicar el proceso de creación de certificados que utilizan la misma información una y otra vez. Después que una plantilla haya sido creada, éste se puede usar para completar la información en cada certificado de manera automática. Se pueden crear tantas plantillas sean requeridas y elegir una adecuada en cada ocasión. Las barras Plantillas se encuentran en el diálogo Certificados. Todas las plntillas están listadas aquí. Agregar/Editar una Plantilla Claridad Perfección Seguridad Introducción 79 10.4 OCSP / CRL En casos como la renuncia de un colaborador o la pérdida de una clave privada, el certificado correspondiente debe ser bloqueado para garantizar la seguridad de la compańía. Esto ocurre en el certificado emitido por el firewall. La eliminación del certificado en el firewall emisor siempre incluye la revocación del certificado. Para lograr que el estatus de un certificado sea accesible para otros firewalls incluya siempre la revocación del certificado. Para que el estatus de un certificado sea accesible a otros firewalls, el firewall gateprotect implementa dos mecanismos distintos. Usando el Online Certificate Status Protocol (OCSP), el firewall remoto solicita el estatus del certificado desde el firewall emisor en el momento que el certificado es requerido. Además, el firewall puede exponer listas revocatorias (CRLs, Certificate Revocation Lists) en intervalos predefinidos, que pueden ser descargados por los firewalls remotos. Ahora la aplicación solo debe revisar si el CRL actual y adecuado enlistó el certificado como bloqueado. VPN-SSL solo sirve de soporte para el CRL. Para usar el CRL y/o OCSP, el servicio en general debe ser activado una vez con las instalaciones necesarias (particularmente el Puerto para requerimientos en linea). Mientras se crea o renueva un CA, se debe declarar si los requerimientos CRLs y/o OCSP deben ser creados/firmados y bajo cuál dirección (URL) este servicio debe ser ofrecido. Estas opciones fueron guardadas en los certificados para que las aplicaciones o firewalls remotos sepan dónde verificar el estatus de un certificado. Instalaciones de OCSP/CRL Claridad Perfección Seguridad Introducción 80 10.5 Reportes para certificados Es posible recibir un correo para ser informado respecto de cuándo recibir información, sobre cuándo expirará un certificado o si éste ya ha expirado. Esto se puede configurar via Opciones > Reporte. Claridad Perfección Seguridad Introducción 81 1 1 V I R T U AL P R I V ATE NET WO R KS ( VP N) 11.1 Introducción VPN – Virtual Private Network VPNs son usadas para conectar varias ubicaciones a través de Internet con el nivel más alto de seguridad posible. Usando conexiones codificadas significa que su equipo o el equipo externo también tiene acceso directo a su red corporativa. Más aún, se puede conectar con otras sucursales o casa matriz de su empresa. Con el Firewall gateprotect se pueden usar los tres protocolos más amplios de PPT, IPSec y SSL (OpenVPN) para una conexión segura. Los siguientes tipos de conexiones se encuentran disponibles. Conexión Cliente-a-Servidor (PPTP/IPSec/SSL) Desde afuera se instala una conexión a la red corporativa a través de una conexión cliente-a-servidor. La autenticación se hace utilizando un nombre de usuario/combinación de clave (PPTP) o con IPSec usando certificados emitidos o los llamados PSK (preshared key). Adicionalmente, con SSL (Open VPN) con certificados. ATENCIÓN ! SOFTWARE DE CLIENTE POR SEPARADO (E.J. GATEPROTECT VPN-CLIENT) SE REQUIERE PARA UNA CONEXIÓN IPSEC CLIENTE-A-SERVIDOR. Conexión Servidor-a-Servidor (IPSec/SSL) Con una conexión servidor-a-servidor se conectan dos ubicaciones usando un túnel codificado a una red virtual y se puede intercambiar información por esta vía. Las dos ubicaciones pueden tener direcciónes fijas de IP. Alternativamente, la conexión además sirve de soporte para los nombres de dominio DynDNS. También es posible instalar conexiones IPSec entre dos direcciones dinámicas de IP usando DynDNS. PPTP El protocolo PPTP fue diseńado para el uso cliente-a-servidor. La seguridad del protocolo depende esencialmente de la clave seleccionada (una clave es sólo considerada segura si consiste de a lo menos seis, o mejor aún ocho caracteres e incluye caracteres especiales, números, mayúsculas y minúsculas. Una conexión de PPTP es muy fácil de instalar, por cuanto el Cliente ya ha sido integrado en versions recientes de Windows connection (2000/XP/VISTA/7). IPSec La cuenta IPSec posee un nivel de seguridad mayor que PPTP y además cumple con requerimientos más altos. Se necesitan dos VPNIPSec servidores adecuados para una conexión IPSec servidor-a-cliente. Para una conexión clientea-servidor, como se describe arriba, se requerirá un software separado para cliente. La configuración de la conexión se encuentra descrita en las páginas siguientes. El firewall gateprotect es capaz de crear y usar conexiones seguras usando el protocol IPSec. Este está basado en en el modo de tunel ESP. El intercambio clave puede ser alcanzado usando la version 1 del protocolo IKE o usando el reciente IKEv2, selectivamente usando Claves Precompartidas o usando X.509 certificados sumisos. Usando IKEv1, es posible autenticar usando XAUTH. El servidor de firewall es además capaz de alimentar el IPSec-secured L2TP. SSL (OpenVPN) Este tipo VPN ofrece una oportunidad rápida y segura para caputrar un Roadwarrior. La mayor ventaja de SSL (OpenVPN) es el hecho que toda la información de tráfico opera a través de los puertos TCP o UDP y no se requiere de protocolos especiales como con PPTP o IPSec. Claridad Perfección Seguridad Introducción 82 11.2 Conexiones PPTP Es posible crear una conexión PPTP-VPN usando el Asistente VPN (VPN Settings > VPN Asistente). Porque esto es auto-explicativo, este manual solo describe la conexión de manual de creación de un PPTP. 11.2.1 Instalación de conexión manual de PPTP Cliente-a-Servidor Crear una conexión PPTP Se requiere un cliente PPTP para poder usar una conexión PPTP (en Windows 2000/XP/VISTA/7 a PPTP el cliente ya está integrado). Para instalar una conexión PPTP, seleccione PPTP... desde el menú VPN Settings. El siguiente diálogo aparece: Marque la casilla Activo. Normalmente no se requiere ajustar las direcciones de Cliente IP esto además aplica al Gateway. Si desea una resolución de nombre de su dominio Active Directory, debe ingresar aquí el servidor DNS (normalmente su servidor AD). Si está trabajando con WINS, se puede además ingresar aquí el servidor. Ahora se puede confirmar este dialgo con OK. Crear usuarios PPTP Este Firewall está preparado para aceptar el tunel PPTP y para producir las correspondientes reglas. En el próximo paso se crearán cuentas de usuario PPTP para ser discadas por PPTP. Abra la administración de usuario. Pulse en Administración de Usuario en el menu de Instalaciones. Pulse en Agregar para crear un nuevo usuario. Ingrese un nombre de usuario y opcionalmente una descripción. Asegúrse que no hayan espacios en blanco en el nombre de usuario. Seleccion la barra PPTP. Marque la casilla Habilite al usuario para conexiones PPTP en la barra PPTP Asigne al usuario un Dirección IP, o deje el campo en blanco para que una dirección de IP del pool de direcciones pueda ser usada. Ingrese la clave para conectarse a PPTP y pulse OK. La instalación de la cuenta de usuario ha sido completada. Claridad Perfección Seguridad Introducción 83 Crear un objeto VPN (PPTP) Arrastre un nuevo computador VPN Desde la barra de herramientas a la Configuración de Escritorio. Ingrese una descriipción del nuevo objeto en el casillero de diálogo. Marque el casillero PPTP y seleccione un usuario desde el casillero. 11.3 Conexiones IPSec Es posible crear una conexión IPSec-VPn usarndo el VPN Asistente (VPN Settings > VPN Asistente). Porque esto es auto-explicatorio, este manual solo describe la creación manual de una conexión IPSec. 11.3.1 Instalación manual de una conexión IPSec Conexiones IPSec / Instalaciones globales Este diálogo muestra todas las conexiones IPSec, separadas en conexiones de servidor-a-servidor y cliente-a-cliente con información sobre autenticación y estatus de la conexión. Opciones posibles Habilitado Permite encender y apagar completamente un IPSec. Reiniciar IPSec Reiniciar IPSec, lo que lleva al reinicio de todos los túneles. Lista de botones con las siguientes acciones (de izquierda a derecha): Activar/Desactivar conexiones individuales. Reinicie las conexiones individuales (los túneles serán cerrados; iniciará la configuración si se encuentra debidamente configurada) Agregar, remover, editar y exporter desde la conexión IPSec seleccionada. Claridad Perfección Seguridad Introducción 84 Client-to-site- General Nombre Nombre-definido de usuario para la conexión. Instalaciones de Interfase Selección de la conexión interfase/Internet para ser usada por el tunel IPSec. Red Local Red Local, que es accesible a través del túnel. Instalaciones del cliente L2TP activa el uso de IPSec/L2TP. De esta manera, la red local queda desactivada, porque el túnel IPSec es solo usado para paquetes de L2TP y la información real es enviada por el túnel hacia el nivel L2TP. Si esto es seleccionado, una confirmación aparece activando automáticamente el IKEv1, desactiva PFS e instala el Puerto y restricciones de protocolo a UDP/1701 para mantener la compatibilidad a los clientes de Windows. Sin L2TP, se puede ingresar una fuente virtual de dirección para el cliente bajo Dirección IP del computador del cliente, lo que es requerido para el uso de cliente VPN gateprotect VPN. Servidor-a-Servidor General Nombre, Instalación de Interfase settings y red local de acuerdo con las instalaciones de clientea-servidor. La Dirección de destino del servidor de IPSec remoto puede ser una dirección de IP o un FQDN. Red remota describe cuál red es accesible a través del túnel. Si se active el IP dinámico, la conexión debe ser iniciada por el servidor remoto. Usando esto, la Dirección de Destino aparece en gruis y no es posible iniciar la conexión a través de este servidor. Claridad Perfección Seguridad Introducción 85 Las siguientes opciones son posibles mientras se establece la conexión: El firewall local no deberia iniciar la conexión – el servidor remoto crea el túnel. El firewall local debe iniciar la conexión si es requerido – se instalará una trampa en el núcleo. La trampa inicia la conexión cuando un paquete debe ser enviado / ruteado lo que, de acuerdo a las instalaciones de red, debe ser enviado a través del túnel. El firewall local debe siempre iniciar el túnel si no está en funcionamiento. 11.3.2 L2TP / XAUTH Habitualmente las conexiones cliente-a-servidor requieren software de cliente, porque pocos sistemas tienen soporte incorporado, el L2TP asegura la interoperabilidad de sistemas miscelaneous (como Windows) sin el software del cliente. Usando el L2TP, se puede crear una conexión de red. Es importante que solo el PAP puede ser usado para autenticar en el nivel PPP, que eventualmente debe ser activado en el cliente. PAP es habitualmente considerado como inseguro porque la clave es enviada en texto plano. En este caso es seguro porque la conexión PPP se establece después que se ha creado el túnel PSec, que asegura todo el tráfico PPP. Instalaciones L2TP Global L2TP Pool de direcciones IP El pool de dirección IP es un rango desde el cual el cliente recibe su IP. Esto debe ser instalado para usar el L2TP. Local server IP Dirección que es usada por el firewall como dirección de PPP para comunicarse con los clientes. Esto además debe ser establecido para usar la dirección de servidor Opcional DNS, que es informada al cliente al iniciar la conexión. WINS es la dirección de servidor opcional que es informada al cliente durante el inicio de la conexión. Autenticación – PSK Vía el Identificador se puede definir cuáles identificadores fueron usados en vez de la dirección IP. Aquí aparece la opción para activar XAUTH (solo con IKEv1): Con XAUTH, el firewall puede ser el servidor o la parte del cliente. Si el firewall actúa como servidor, no se debe instalar nada aquí. Esto aparece en la administración de usuario. (Ver capítulo 5.3 – Usuarios). Actuando como cliente, se debe ingresar Nombre de Usuario y Clave para autenticar en el servidor remoto. Claridad Perfección Seguridad Introducción 11.3.2.1 86 Reglas Las reglas, que definen qué servicios son accesibles a través de un túnel, son habitualmente establecidas vía objetos VPN. (grupos VPN para conexiones de serivdor-a-servidor, conexiones VPN computador para cliente-a-servidor). Dos excepciones son L2TP y túnel XAUTH. Usuarios VPN y grupos VPN fueron creados para manejar estos tipos de objetos. Utilizando la fecha de usuario adicional (nombre de usuario/clave de XAUTH o conexión PAP de L2TP) se produce la validación contra la autenticación de usuario. Si este proceso es exitoso, las normas de configuración de escritorio serán aplicadas a los usuarios específicos. No cobra relevancia el túnel que esté usando el usuario. La conexión es posible en cada túnel que ha activado el mecanismo de autenticación adecuado. Se puede rechazar el uso de túneles específicos a usuarios específicos con la autenticación anterior ISAKMP. Certificados - Autenticación El certificado debe ser autenticado contra el cliente remoto. Para este certificado, la clave privada debe estar disponible. Se puede elegir entre una autoridad de certificado y un certificado individual para el cliente remoto: Si se elige el CA, se requiere de su clave pública. Ahora cada certificado (firmado por este CA) es aceptado para esta conexión. En este caso, no es necesario importar un certificado para cada cliente remoto. Se puede seleccionar un certificado como certificado. El cliente remoto debe ser propietario de la clave privada en la iniciación de la autenticación. Es posible seleccionar los identificadores. Las siguientes opciones están disponibles: Se puede usar el Nombre Distinguido de los certificados, que es la forma inusual de conectarse con las versiones 8.1 y mayores de los firewalls gateprotect . Nombre Alternativo de Asunto es la manera usual del firewall gateprotect anterior a la version 9.0 usada para autenticar. Si se desea conectar a una de ellas, se debe usar esta opción. Identificadores Indefinidos son posible. Se debe destacar que el identificador ingresado aqui debe ser cubierto por el Nombre Distinguido o un Nombre Alternativo de Asunto de los certificados cosa que un túnel sea posible, puede ser útil por varias razones editarles manualmente. Además de la posibilidad de ingresar valores, que son esperados por productor de terceras partes como pares, se pueden usar wildcards. Por ejemplo, se puede elegir una autenticación CA pero limitar el par por un identificador remoto a todos los miembros de una OU (Organization Unit). Claridad Perfección Seguridad Introducción 87 Codificación Se puede elegir entre IKEv1 (Internet Key Exchange) y su sucesor IKEv2. IKEv2 es más rápido mientras se inicia el túnel y se redigita. Se mantiene IKEv1por razones de compatibilidad; XAUTH solo es posible con esta versión. Se puede especificar codificación y algoritmos de autenticación como también grupos DH groups para IKE. Además, se puede especificar la Vida útil del ISAKMP-SA. Esto no afecta directamente la redigitación. Para prevenir todos los túneles de la redigitación al mismo tiempo (lo que provocaría una grave recarga de sistema), el momento actual es escogido al azar. Si se escoge IKEv2, Mobile IKE puede ser activado. Esto permite cambiar la dirección IP de un costado sin abortar el túnel. Se pueden especificar también los algorítmos codificación y autenticación para modo rápido (para negociación IPSec-SA). Una Vida útil para IPSec-SA también puede ser especificada. Respecto de ISAKMP-SA, el momento actual de la redigitación es escogida al azar. Si se escoge IKEv1, PFS (Perfect Forward Secrecy) puede ser activado. Esta caracteristica refuerza la seguridad pero tiene que ser desactivada si el cliente remote no lo apoya (like Windows XP). El uso de IKEv2, PFS siempre se activa. Si se activa el PFS, un grupo Diffie-Helman puede ser definido por PFS via Grupo PFS. La siguiente lista muestra todas las codificaciones de soporte, algorítmos de autenticación y los grupos DH: Algorítmos codificados Algorítmos de autenticación Grupos DH AES 128 SHA 1 Grupo DH 1 (modp 768) AES 196 SHA 256 Grupo DH 2 (modp 1024) AES 256 SHA 368 Grupo DH 5 (modp 1536) 3DES SHA 512 Grupo DH 14 (modp 2048) Blowfish 128 MD5 Grupo DH 15 (modp 3072) Blowfish 192 Grupo DH 16 (modp 4096) Blowfish 256 Grupo DH 17 (modp 6144) Grupo DH 18 (modp 8192) Claridad Perfección Seguridad Introducción 88 Instalaciones Avanzadas Para especificar Puerto y Protocolo se debe usar IPSec. Esto es útil si solo se desean enviar paquetes específicos a través del túnel. Para usar L2TP, se debe seleccionar UDP y puerto 1701. Se puede elegir uno de los Protocolos predefinidos o digitar uno de los numeros de protocolos que son definidos por IANA. Por lo menos se puede activar Compresión de Datos que usa IPComp. 11.4 VPN sobre SSL Es posible crear una conexión VPN sobre SSL usando el VPN Asistente (VPN Settings > VPN Asistente). Porque esto es auto-explicatorio este manual solo describe la creación manual de un VPN sobre una conexión SSL. VPN sobre SSL ofrece la posibilidad de crear conexiones cliente-a-servidor, conexiones de servidor-a-servidor y SSL bridges. Esta conexión siempre es basada en certificación y depende de la administración de un certificado de trabajo. Se pueden establecer instalaciones generales para conexiones cliente-a-servidor, servidor-a-servidor con routing y conexiones de servidor-a-servidor con bridging via la barra Instalaciones. Respecto de IPSec, el algorítmos codificados puede ser elegido al igual que protocolo y puerto en los cuales el firewall escucha las conexiones entrantes. Claridad Perfección Seguridad Introducción 89 POR FAVOR NOTE QUE SOLO EL PROTOCOLO TCP ES CONFIABLE SI TIENE MÁS DE UNA CONEXIÓN INTERNET CON BALANCEO DE CARGA. Similar a IPSec, un VPN sobre una conexión de SSL también renueva la clave mientras la conexión es establecida para aumentar la seguridad. Estos intervalos son libremente configurables para cada tipo de conexión. En la sección Routing del diálogo, se pueden especificar rutas para los dos primeros tipos de conexiones que fueron agregadas a los clientes remotes/cuadro de ruteo de firewalls. Estas rutas aplican a todas las conexiones. También es posible ingresar por rutas separadas a cada conexión. La opción Timeout define después el tiempo ideal en que la conexión se cierra. 0 significa que nunca será cerrada. Si el cliente usa un DNS definido y/o servidor WINS, se pueden ingresar aquí. El Nivel de registro define cuán detallados deben ser los mensajes en el reporte. También es posible seleccionar un certificado de dominio para conexiones VPN sobre SSL. A diferencia de IPSec, esto no es solo para una conexión; es para todo el servicio. Para crear una conexión para el Cliente VPN gateprotect VPN, se debe elegir el tipo de gateprotect VPN Client en el dialogo VPN sobre la conexión SSL. El Nombre de la conexión es arbitraria. El certificado debe ser un certificado para el cliente que se creó con antelación. Si no se creó uno, se puede hacer ahora usando el botón Administrador de Certificado. En el campo Redes remotas adicionales, se pueden especificar (adicionales a la ruta general) rutas para esta conexión como se ha mencionado con anteriordad. La dirección de IP del computador del cliente puede pero no necesariamente debe ser entregada. La opción Default gateway define, si el cliente VPN debe usar el túnel como salida predeterminada o no. Si no se marca esta opción, rutas concretas deben ser enviadas al cliente. Si la conexión tipo servidor-a-servidor es elegida, se puede especificar Redes locales adicionales que antes fueron tratadas como Redes locales remotas. Esto significa que el firewall remoto agrega rutas a estas redes. Redes, que están disponibles vía el firewall remoto, deben ser entradas en Redes Remotas. Claridad Perfección Seguridad Introducción 90 Si la conexión es iniciada por este firewall, se deberá ingresar un nombre DNS o una dirección IP en el campo Servidor VPN Foráneo como también en el Puerto de Servidor. Intente establecer la conexión para definir la distancia a través de la cual el firewall debe intentar conectarse con el servidor remoto. El 0 significa que el firewall lo intentará siempre. Si se escoge el tipo de conexión Bridging, se puede asignar la conexión a un bridge existente o a uno nuevo. 11.5 VPN sobre SSL sin salida pretederminada Usando VPN sobre SSL es posible obligar al cliente a usar el túnel VPN como salida predeterminada. Esta opción potencia la seguridad y debiera ser usada en la mayoría de los casos porque malware en el cliente ya no permite enviar información a través de la conexión adicional de Internet adicional que se encuentra disponible. Si no desea usar esta opción (e.j. para soporte de un colaborador) los siguientes pasos son requeridos: Desactive la opción Default gateway en el Cliente de Administración de gateprotect usando Instalaciones VPN > VPN SSL y la debida conexión. Si el Cliente VPN gateprotect ahora se conecta al firewall, rutas adicional no fueron agregadas al cuadro de ruta del cliente. Esto también significa que el computador del cliente no sabe el camino hacia la red de la empresa. Por tal motivo, se debe asegurar que se hayan instalado rutas vía Redes remotas adicionales o en el VPN general sobre las instalaciones de SSL. Claridad Perfección Seguridad Introducción 91 11.6 El Cliente VPN gateprotect El Cliente VPN gateprotect ofrece un método fácil y seguro para crear túneles VPN vía VPN sobre SSL o IPSec. Se ha creado una conexión VPN en el servidor de firewall gateprotect usando el VPN client-to-server asistente (con VPN sobre SSL o IPSec), se debe ser capaz de guardar un archivo de configuración VPN en su disco duro o en un aparato removible. Si se ha instalado el Cliente VPN gateprotect antes, pulsando dos veces en el archivo de configuración automáticamente se agrega la conexión al cliente. Tras requerir la clave, el túnel VPN queda establecido. Cuando se remueve el dispositivo en el archivo de configuración, el cliente queda desconectado automáticamente. 11.6.1 La creación automatica de una conexión de VPN usando un archivo de configuración. Durante la instalación de una conexión de VPN en el servidor de firewall usando Asistente VPN, se puede guardar la conexión en una configuración con clave protegida. Paso 1 Transfiera al cliente el archivo de configuración vía correo electrónico o vía un dispositivo removible. Paso 2 Abra este archivo pulsando sobre el mismo dos veces. Esto inicia el gateprotect VPN Client asociado. Paso 3 Ingrese la clave para el archivo de configuración. Paso 4 La conexión VPN se establece y la configuración está terminada. Opcionalmente es posible importar el archivo de configuración hacia el Cliente VPN gateprotect usando el botón Importar. 11.6.2 Creación manual o edición de una conexión VPN Para crear una conexión VPN manual en el Cliente VPN manual gateprotect, se necesita el certificado del cliente y la clave pública de los servidores Certificate Authority (Root-CA). Estos archivos pueden ser creados y exportados usando el Administrador de Certificados del firewall. Por favor exporte el certificado del cliente usando el formato PKCS#12. Para crear una conexión, pulse el botón Nuevo ubicado en la ventana principal del Cliente VPN gateprotect y seleccione entre conexión SSL y conexión IPSec. Para editar una conexión existente, pulse en el botón Editar ubicado al costado del nombre de la conexión. El ingreso de esta clave abre el diálogo de las instalaciones. POR FAVOR NOTE QUE TODAS LAS MODIFICACIONES FUERON DIRECTAMENTE GUARDADAS EN EL ARCHIVO DE CONFIGURACION (.GPCS). Claridad Perfección Seguridad Introducción 11.6.2.1 92 Instalaciones de un VPN sobre una conexión SSL Archivo es el .gpcs-file (gateprotect Connection Settings), donde todas las conexiones de instalación quedan guardadas. La dirección / IP de dominio del servidor VPN debe ser ingresada en el campo dirección IP. Los algorítmos Puerto, Protocolo y Codificación deben aparearse con las instalaciones en el servidor VPN. Agregue los certificados exportados a la conexión. Se puede agregar una clave al archivo de conexión o cambiarla. Si se agrega una nueva conexión, deje en blanco el campo Clave antigua. 11.6.2.2 Instalaciones de una conexión IPSec Barra Comun Archivo es el archivo.gpcs-file (gateprotect Instalaciones de Conexión), donde quedan guardadas todas las conexiones de instalación. El nombre de dominio / dirección IP del servidor IPSec debe ser ingresado al campo Salida Remota. Red remota e IP local deben aparearse con la configuración de ruteo del servidor IPSec. Las instalaciones pertenecientes a IKE (Internet Key Exchange) e IPSec también debe aparearse con las instalaciones del servidor IPSec. Barra de Identicación Se puede usar un Preshared Key (PSK) para asegurar la conexión pero se recomiendo usar certificados por la existencia de algunas restricciones y mejores métodos de autenticación. En la sección Certificados, se pueden agregar a la conexión los certificados exportados. Algunos clientes remotes necesitan (mayoritariamente en conjunto con la autenticación de PSK) un Identificador local. Barra de Clave Opcionalmente, se puede agregar una clave al archivo de conexión o editarla. Si se crea una conexión nueva, deje en blanco el campo Clave antigua. Claridad Perfección Seguridad Introducción 93 1 2 H IGH AV AIL AB IL IT Y 12.1 Functionamiento High Availability (HA) es usado en caso de error del hardware para proveer los servicios del firewall acortando los tiempos sin la intervención manual. La técnica consiste de un firewall primario y otro secundario conectado a un encadenamiento de monitoreo mutuo y sincronizando las configuraciones y estatus. Si el firewall principal no funciona, el firewall secundario toma las tareas; esto se denomina falla. Si el firewall secundario falla, una advertencia aparecerá impresa en el reporte del firewall principal. En el caso de una falla, el firewall secundario se transforma en el nuevo primario. El nuevo firewall primario asume toda la configuración, incluyendo las direcciones de IP y MAC del fallido firewall. Tras su reparación, el firewall puede ser reconctado al HA-Cluster. En este procedimiento, mecanismos especiales aseguran que el nuevo firewall integrado reciba las direcciones secundarias de IP y MAC y solo un firewall es etiquetado como primario en todas las ocasiones. Esto elmina el riesgo de un conflicto de dirección IP. Se recomienda el uso de interfaces de red, porque el monitoreo y sincronización causan alto tráfico de información. Adicionalmente, se recomienda el uso de cables-cruzados porque la fecha no está codificada. Si se usa solo un vinculo dedicado para el monitoreo y sincronización y este falla por alguna razón, los firewalls no pueden monitorear al otro. Como resultado, ambos firewalls pensarán que el otro ha fallado. En esta situación ambos firewalls quedarán en modo primario. Para evitar un escenario así se recomienda usar dos conexiones dedicados. 12.2 Tiempos de caída durante falla Los tiempos de caída de las conexiones de información directa dependen del tipo de conexión de Internet y si éstas pasan o no a través de proxy. La actual version cuenta con las siguientes especificaciones: Conexiones de información directa via conexión de ruta son interrumpidas por un máximo de 4 segundos. Conexiones indirectas (que pasan por un proxy) son completamente desconectadas pero pueden ser reestablecidas después de un máximo de 4 segundos. Conexiones de información via conexiones de discado son completamente desconectadas pero pueden ser reestablecidas después de una máxima cantidad de 10 segundos. 12.3 Configuración General Para instalar una de Alta Disponibilidad, se necesitan dos servidores de firewall gateprotect identicos con distintas direcciones IP. Es importante que tengan el mismo número de redes de interfases. Ambos firewalls necesitan la miisma licencia. El firewall primario y secundario necesitan tener el mismo nombre de dominio. Claridad Perfección Seguridad Introducción 94 12.3.1 Direcciones IP de la red de interfases Como ha sido mencionado con anterioridad, se deben usar a lo menos dos (máximo cuatro) vínculos dedicados para monitoreo y sincronización. Los firewalls son enviados con idénticas redes de interfaces configuradas y necesitan ser configuradas. Direcciones IP en el primario y secundario deben ser diferentes. El firewall primario debe tener la primera dirección de IP de la red usada (e.j. 192.168.0.1) y la dirección IP secundaria debe ser la segunda de la red usada (e.j. 192.168.0.2). Direcciones IP de las interfases de red dedicada deben estar en la misma subred. Direcciones IP de la red de interfases de los firewalls primarios conectada a la red local debe ser identica con la dirección de salida configurada en todos los dominios. 12.3.2 Conectando los firewalls via vínculos dedicados Las interfases de red para los mismos vínculos dedicados deben ser nombradas de manera identica. Por ejemplo, si se desea usar eth3 y eth4 en el firewall primario, se les debe conectar a la misma red de interfases en el firewall secundario. Se recomienda usar cables cruzados para los vínculos dedicados. 12.3.3 Activar el High Availability Conecte al firewall primario usando el Administration Client. Abra el menu High Availability vía Opciones > High Availability. Ahora marque la casilla Activa y seleccionad el rol Primario para el firewall. Seleccione la red de interfaces para monitoreo y sincronización. Se puede definir si las estadísticas deben ser sincronizadas o no. Confirme sus actualizaciones con OK. Ahora, conecte el firewall secundario y configúrelo de manera similar que el firewall primario. Después de unos 60 segundos que ambos firewalls han sido configurados, High Availability se encuentra en modo operativo. NOTA SI LOS FIREWALLS ESTÁN EN MODO OPERATIVO, UN MENSAJE APARECE EN EL REPROTE. SI LOS FIREWALLS ALCANZAN ESTE MODO, SE RECOMIENDA CREAR UN RESPALDO DEL FIREWALL PRIMARIO. SI UN FIREWALL FALLA, SE NECESITA RESPALDAR PARA QUE EL FIREWALL EN FALLA QUEDE OPERATIVO. POR FAVOR CONSIDERE QUE NO SE PUEDE CONECTAR AL FIREWALL SECUNDARIO USANDO EL CLIENTE DE ADIMINISTRACIÓN. Claridad Perfección Seguridad Introducción 95 Esta ilustración muestra el diálogo de configuración y High Availability. Claridad Perfección Seguridad Introducción 96 12.4 Editar las instalaciones de High Availability Mientras los firewalls están en modo operacional, se pueden editar las instalaciones de High Availability. Para eso, conéctese al firewall primario en Cliente de Administración. Abra el diálogo de High Availability via Opciones > High Availability. En este diálogo, se puede elegir si la información de estadística debe ser sincronizada o no. Confirme su instalación pulsando OK. NOTA CAMBIOS EN LAS INSTALACIONES PROVOCARAN EL REINICIO DE HIGH AVAILABILITY EN AMBOS FIREWALLS. 12.5 Desactivar High Availability En el modo operacional ya está predeterminados, conéctese al firewall primario usando el Cliente de Administración. Abra el diálogo High Availability en el menu Opciones. Ahora desactive el casillero Activo. HA automáticamente se desactiva del Firewall secundario. Si el modo operacional no está predeterminado, conéctese a cada uno de los firewalls usando el Cliente de Administración y desactivando High Availability. 12.6 Cambio de roles La sobre imposición de la tarea de firewall primario se llama cambio de rol. Esto ocurre automáticamente si el firewall primario falla. También es posible cambiar roles mientras los firewalls están en modo operacional. Para esto se debe conectar al firewall primario usando el Cliente de Administración y abrir el diálogo High Availability. Ahora pulse el botón Cambio de Roles. NOTA EL CAMBIO DE ROLES NO PUEDE OCURRIR ANTES QUE HIGH AVAILABILITY IS SE ENCUENTRE EN MODO OPERACIONAL. CON FAILOVER EL CAMBIO DE ROLES LLEVA A LA INTERRUPCION DE LOS SERVICIOS QUE ESTÁN OPERANDO.. 12.7 Comisionar un firewall tras falla Si uno de los dos firewalls falla cosa que el software de firewall no necesita ser instalado tras la reparación, no se requiere de acciones especiales para reiniciar: El firewall automáticamente determina su rol HA como asimismo su MAC y direcciones de IP. Si la falla de un firewall y su reparación son combinadas con la reinstalación del software de firewall, se debe instalar High Avialability en la siguiente forma: Ponga el firewall en una red separada e instale el software de firewall con el respaldo del firewall primario. Finalmente, pong el firewall devuelta en el grupo de High Availability y reinícielo. El firewall entonces determina su rol HA como también su MAC y direcciones IP automáticamente. NOTA ANTES DE REINICIAR EL FIREWALL REPARADO EN EL GRUPO ASEGÚRESE QUE LAS REDES DE INTERFASES ESTÉN CONECTADAS AL FIREWALL PRIMARIO DE LA MISMA MANERA QUE SE ENCONTRABAN ANTES DE OCURRIR LA FALLA. 12.8 Reestablecer respaldo o Actualización de software Conéctese al firewall primario usando la Cliente de administración. Abra el diálogo High Availability via el menu Opciones. Ahora desactive High Availability, esto hace que el firewall secundario esté accesible via el Cliente de Administración. Reestablezca el respaldo o aplique un software actualizado en ambos firewalls y suelte las preguntas para reinicio. Ahora reactive High Availability en ambos firewalls. Después de alcanzar el modo operacional, ejecute dos cambios de roles: Aplique un cambio de rol en el firewall primario, ahora el firewall secundario se transforma en el nuevo firewall primario. Tras alcanzar el modo operacional de HA, ejecute el segundo cambio de rol en el nuevo firewall primario. Algunas actualizaciones requieren el reinicio de los firewalls. Si un reinicio es necesario aparece en la descripción en el menu de actualización. NOTA ESTE DOBLE CAMBIO DE ROL ASEGURA QUE EL RESPALDO O SOFTWARE DE ACTUALIZACIONES HAYAN SIDO APLICADOS DE MANERA CORRECTA. Claridad Perfección Seguridad Introducción 97 12.9 Mensajes de Reportes El flujo de trabajo del High Availability se documenta en un reporte. Normalmente, mensajes consecutivos como los que se indican aparecen en el reporte tras activar HA: High availability se ha iniciado, this firewall is primary High availability started, this firewall is secondary High availability entered discovery state High availability entered handshake state High availability entered heartbeat state High availability is operational Los siguientes mensajes pueden aparecer en el reporte tras activar HA si ocurre un error: High availability started, this firewall is primary High availability started, this firewall is secondary High availability entered discovery state High availability terminates, because roles primary/secondary set incorrectly High availability terminates, because dedicated links configured incorrectly High availability terminates, because not all heartbeat connections could be established Los siguientes mensajes pueden aparecer en modo operacional: High availability detected dedicated link eth3 has failed High availability detected dedicated link eth3 is operational again High availability detected all dedicated links have failed High availability detected primary firewall failed, making failover High availability detected secondary firewall failed, restarting with old settings High availability detected harddisk failure on peer firewall Los siguientes mensajes aparecer, si un administrador edita las instalaciones en su diálogo High Availability: High availability is not ready to change settings, try again later High availability restarts with new settings High availability temporarily unable to change roles, try again later High availability reboots this firewall to change roles, as ordered by admin High availability terminates, as ordered by admin Claridad Perfección Seguridad Introducción 98 1 3 INTRUSIO N DETECT ION AND PREVENT ION SYSTEM (IDS /IPS) The Intrusion Detection System (IDS) y el Intrusion Prevention System (IPS) son sistemas para reconocer y prevenir ataques. Están basados en la Fuente abierta de análisis Intrusion-Detection-System Snort y monitorea la información de comunicación con Internet en ambas direcciones usando reglas de grupos predefinidas, que pueden reconocer ataques típicos. Cada uno de los grupos contiene varias reglas individuales (firmas), que corresponden a patrones de ataques típicos, e.j. un trojan, worm u otro ataque. Estas firmas son constantemente cambiadas y deben ser actualizadas manualmente o automáticamente en Intenet. Para poder realizar el análisis de los patrones de ataque en el período de tiempo más breve y sin demoras, el sistema requiere varias ejecuciones y existe mucha demanda de recarga en los recursos del sistema. Se pueden guardar los recursos del sistema a través del número de reglas y el número de sistemas computacionales que deben ser monitoreados y, si es necesario la cantidad de reportes o notificaciones de IDS/IPS. 13.1 Configuración de Perfiles IDS/IPS Se puede alcanzar el casillero de diálogo de configuración de IDS/IPS seleccionando IDS/IPS desde el menu de Seguridad principal. Para configurar el IDS/IPS el Firewall gateprotect usa perfiles. Cada perfil puede ser ajustado y asignado a una red de interfase. Las reglas de un perfil pueden ser ajustadas a distintos estados. El IPS ofrece 5 estados diferentes, DISABLE, LOG, DROP, DROP_LOG y REJECT para configurar reglas individualmente, el IDS tiene dos estados diferentes, LOG y DISABLE. Los estados definen cómo se define el tráfico que se apareja con las reglas. La configuración IDS también contiene un deslizante que puede ser usado para disminuir y aumentar fácilmente la cantidad de reglas. Port Scanning Aqui se pueden desactivar el puerto de de IDS para aumentar la actividad del firewall. Claridad Perfección Seguridad Introducción 99 13.2 Configuración de Red IDS/IPS Interna/Externa El IDS/IPS solo produce reportes de alarma si se registran ataques en las direcciones de IP de un grupo determinado de computadores. Un grupo de computadores puede estar compuesto de computadores individuales o redes completas que están ubicadas en el área protegida de la red. Se pueden agregar o eliminar redes de computadores individuales o locales de la red interna a un grupo de computadores, o editar los grupos de computadores usando este casillero de diálogo. El botón Agregar abre un diálogo de entrada. Se puede usar esto para agregar una dirección de IP de un computador o subred con una mascara de subred asociada a la lista. 13.3 Configuración de Restricciones IDS/IPS El Intrusion Detection System debe monitorear sistemas de computación especiales o redes, e.j. un servidor de red, un servidor de correo o un DMZ en particular. Se pueden ingresar los servicios y direcciones IP para este tipo de sistema computacional o red en la ventana de configuración marcada Restricciones. Direcciones Seleccionadas Use los botones Agregar, Eliminar y Editar para administrar los servicios, los que solo deben ser monitoreados para algunos computadores. Pulsando el boton Agregar se abre el casillero de diálogo Dirección y se puede ingresar el servicio, la dirección y la mascara de subred de una nueva entrada. Instalaciones extendidas y servicios Si un servicio no funciona en el puerto estandar del sistema IDS/IPS se pueden aplicar las reglas a los puertos prededeterminados. Claridad Perfección Seguridad Introducción 100 13.4 Activación del Intrusion Detection and Prevention System Se puede acceder al casillero de diálogo de configuración de IDS/IPS seleccionando IDS/IPS desde el menu principal Seguridad. Para activar un perfil seleccionado asígnelo a una interfase. 13.5 Las reglas IDS e IPS pueden ser extendidas con reglas predeterminadas. Estas característica deben ser usadas solo por los administradores que tienen un conocimiento acabado de Snort based Intrusion Detection/Prevention Systems. Las reglas Predeterminadas pueden potencialmente bloquear todo el tráfico y mostrar la infraestructura de la red como inusable. 13.6 Actualización de patrones IDS/IPS Como los métodos de ataque están contínuamente cambiando, e.j. por la explotación de nuevos espacios de seguridad, las firmas de Intrusion Detection System and Prevention System debe ser reglarmente actualizadas para reconocer semejantes ataques. Las instalaciones para estas actualizaciones están disponibles en la configureción de diálogo IDS/IPS en la ventana Actualizaciones. Al cambiar el paso de actualización a http://ipsupdate.gateprotect.com/full es posible alternar desde las reglas básicas hacia la totalidad de reglas. RECOMENDADO SOLO PARA EXPERTOS Claridad Perfección Seguridad Introducción 101 Actualizaciones manuales Pulse el boton Actualizaciones manuales para actualizar inmediatamente las firmas de IDS/IPS. El Servidor de Firewall se conecta a un servidor de firmas en Internet y carga desde ahi las firmas recientes. Actualizaciones automáticas Se puede especificar una lista de actualizaciones regulares en la sección Actualizaciones Automáticas. Abra el casillero de diálogo Instalaciones de Actualizaciones usando el boton Agregar. Desde ahí se pueden fijar la hora, fecha e intervalos de actualizaciones automáticas. Claridad Perfección Seguridad Introducción 102 1 4 REPORT E 14.1 General Se pueden enviar correos a si mismos con extractos del archivo usando Instalaciones > Reporting Settings. Primero ingrese una cuenta de correo válida en un servidor SMTP, al cual los correos de reporte pueden ser enviados. Se puede enviar un correo de prueba con el boton Carta. Esto prueba si las instalaciones se han hecho todas de manera correcta. No obstante, con este objetivo, por lo menos una tarea de reporte debe ser instalada. Cree cuántas tareas de reporte sean necesarias pulsando el boton Agregar. Carácterística de Reportes Adicionalmente a las instalaciones generales sobre destinatario y contenido, es posible seleccionar diferentes intervalos y niveles de reportes. Se puede seleccionar el nivel de reporte para todas las secciones desde el Servidor de Firewall. Errores y Advertencias & Información es el nivel de reporte más comprensible. NOTA CORREOS PUEDEN AUMENTAR CONSIDERABLEMENTE SU VOLUMEN USANDO ESTA INSTALACIÓN. 14.2 Particiones Todas las particiones en el Firewall están registradas aquí. El Firewall monitorea el nivel de particiones individuales de manera independiente. Si una partición excede un nivel crítico, se informará via correo. Si se excede un límite superior, el Firewall puede dejar disponible espacio del disco a través de la compresión o eliminación de entradas anteriores por ejemplo. Claridad Perfección Seguridad Introducción 103 Se pueden modificar las instalaciones: Reportes Aquí se puede ingresar el nivel en porcentaje, respecto del cual se desea recibir un reporte. Los correos de reporte son enviados a cada destinatario de la información del hardware. Instale los correos de reporte como se describe en el Capítulo 13.1. Liberación de almacenamiento Ingrese el porcentaje, al cual el espacio del disco debe ser liberado. En este caso, solo información Antigua e insignificante será borrada. Se recibirá un correo con información sobre la partición de limpieza con los correos de reporte desde la categoría Hardware. Ningún espacio de almacenamiento puede ser removido para particiones con información de programa. No obstante, estas particiones tampoco pueden ser escritas del todo. 14.3 Exportación de Syslog El: Syslog es un protocolo basado en TCP/IP para la transmisión de mensajes. El firewall puede ser expandido a uno o más servidores de Syslog. Para estos efectos ingrese el servidor Syslog en el Diálogo Syslog bajo Reportando Instalaciones. Los firewalls de registros serán entonces exportados también a servidores ingresados aquí. 14.4 SNMP Desde la versión 8.0, SNMP cuenta con su MIBs propio (gateprotect) es capaz de enviar traps de SNMP. Para usar las nuevas MIBS de gateprotect se debería instalar el software SNMP y luego instalar el nuevo MIBs ubicado en: http://www.gateprotect.de/snmp/ Las instalaciones SNMP-settings están ubicadas en Opciones > Reporte de Instalaciones > SNMP. Aquí se puede instalar la comunidad y una lista de dominios que recibirán Los traps de SNMP. Claridad Perfección Seguridad Introducción 104 En la barra SNMP-traps se puede seleccionar cuáles traps serán enviadas. DATO ENTRE UN EVENTO Y EL SNMP-TRAP PUEDE HABER HASTA 60 SEGUNDOS. Claridad Perfección Seguridad Introducción 105 1 5 MONITOREO 15.1 Introducción El Monitoreo otorga información actualizada del hardware y del sistema. Se puede usar la lista en el costado izquierdo para decidir cuál grupo de sistema de información será desplegado en el costado derecho. Se puede actualizar la información desplegada de una página usado el boton Actualización ubicado arriba y, si es necesario, seleccionar opciones adicionales para la evaluación: especifique el periodo de intervalos para estadísticas programadas, seleccione componentes adicionales si están disponibles, exhiba o esconda secciones de evaluación de gráficos, etc. Claridad Perfección Seguridad Introducción 106 15.2 Componentes exhibidos en monitoreo Monitoreo Descripción Información de hardware Provee información de sistema del Servidor de Firewall, los discos duros, el sistema RAID (si están disponibles) y la red, o tarjetas de red. Recursos del Sistema Provee información sobre la capacidad temporal de los recursos del sistema usados y disponibles. Discos duros Provee información temporal sobre ubicación de discos duros y capacidad. Red Provee información sobre la capacidad de la red, la capacidad de tráfico alcanzado y cualquier rango de error. Proceso Muestra el porcentaje y aplicaciones temporales de los servicios configurados en el Firewall. Conexciones Activas Muestra una lista de conexiones VPN activas y usuarios activos. Claridad Perfección Seguridad Introducción 107 1 6 ANT I-S PAM / F ILTRO DE CO RR EO 16.1 Filtro de correo El filtro de correo es solo utilizable en conexión con el SMTP proxy. Con el filtro de correo se pueden filtrar correos por sus direcciones de destinatario. Si se filtran no llegan al servidor de correo real. Se puede configurar el filtro de correo en Seguridad > AntiSpam / Filtro de Correo. Instalaciones posibles: Activa Activa el filtro de correo. Modo Lista Blanca Correos de todas las direcciones en esta lista serán reenviados al servidor de correo. Modo Lista Negra Correos de todas las direcciones en esta lista jamás serán reenviados al servidor de correo. Rechazo de Correos Correos no deseados serán rechazados con una respuesta RFC-compliant. Correos Eliminados Correos no deseados serán eliminados. El remitente asume que el correo llegó al servidor de correo. ATENCIÓN ! LA INSTALACIÓN„ELIMINAR CORREOS “ NO RFC-COMPLIANT”. PUEDE ELIMINAR CORREOS IMPORTANTES. Las direcciones de correo en la lista de filtro de correo pueden contener wildcards. * Para palabras completas ? Para caracteres individuales Si se está conectado a un Servidor de Active Directory todas las direcciones de correo conocidas serán mostradas en la lista en el costado derecho. 16.2 Anti-Spam Un filtro spam comercial está integrado en el firewall gateprotect. Esto puede opcionalmente ser activado con su licencia propia. Un periodo de prueba de 30-días está normalmente disponible para cada firewall para que se pruebe la efectividad del filtro. El spam filter ha sido desarrollado por la compańía Commtouch y tiene una funcionalidad completamente diferente a Spamassasin por ejemplo. Si un correo llega al firewall, se genera un valor de este correo. Este valor es enviado a un servidor central Commtouch. Este servidor determina la probabilidad que tiene este correo de ser spam usando una base de datos completa y complejos algorítmos. Diferente a los filtros de spam convencionales, aquí no solo se analiza el contenido de los correos si no que además, la frecuencia de la ocurrencia de este correo en el Internet. Para este objetivo, Commtouch cuenta con programas de análisis instalados en varios proveedores de correos en el mundo. Esta probabilidad entonces es devuelta al firewall que posiblemente que marca el correo como posible spam. Usando el deslizador, todos los correos con la categoría del deslizador y todas las categorías hacia su derecha son marcadas como spam. Claridad Perfección Seguridad Introducción 108 Sospechoso Este correo ha ocurrido ya frecuentemente en Internet pero no tan frecuente como para clasificarlo claramente como spam (e.j. el inicio de una campańa spam). Conocido Este correo ya fue visto frecuentemente en Internet que puede ser desginado como spam. No obstante, el remitente no corresponde a una dirección de spam conocida. Confirmado Este correo proviene de una dirección conocida como enviador de correos spam. 16.3 Marcar como Spam Se pueden marcar los correos identificados como spam. Adjunto El correo original será adjuntado a un nuevo correo que describe el spam encontrado. El spam-subjet y el XHeader también son adjuntados. Asunto En este caso solo el subject del correo original será reemplazado con el subject modificado del asunto desde el spam-tagging-dialog. También son agregados los X-Headers. Encabezado Un encabezado será agregado para detector SpamMails. Estos son los X-Header: X-Pimp-Spa m-Class: Este X-header puede tener el valor “commtouch”, si el spam es identificado por Commtouch. O el valor “spam”, si el spam es causado por una entrada de lista negra. X-Pimp-Spam-Class-Num: Este X-header describe la probabilidad del spam. Los valores pueden ser „NONE, UNKNOWN, SUSPECT, BULK, CONFIRMED, BLACKLISTED“. Claridad Perfección Seguridad Introducción 109 1 7 PROTECCIÓN DE VIRUS 17.1 Introducción El Servidor de Firewall gateprotect protege su red interna de virus de computación usando el escaner de virus integrado Kaspersky. Como uno de los más conocidos proveedores de soluciones de protección de virus, Kaspersky ofrece la mejor protección posible de virus computacional peligroso con actualizaciones regulares del patrón de virus y motores de protección. 17.2 Licencia El Antivirus Scanner del Firewall gateprotect no es un component de la licencia del firewall gateprotect. Se debe adquirir una licencia válida separada para el escaner de virus. Nuestro departamento de ventas podrá proporcionar mayor información Si se cuenta con un número de licencia válida para el escáner de virus Kaspersky, se debe registrar en el Cliente de administración del Firewall gateprotect. ATENCIÓN! DESPUÉS DE INSTALAR EL SERVIDOR DE FIREWALL,, EL ESCANER DE VIRUS OPERA DURANTE 45 DIAS COMO VERSIÓN DE PRUEBA. UNA VEZ QUE ESTE TIEMPO EXPIRE, EL ESCANER DE VIRUS PERMANECE ACTIVO, PERO NO SE EJECUTARÁN ACTUALIZACIONES ADICIONALES. 17.3 Instalaciones 17.3.1 Instalaciones de antivirus: General 1. En la sección Escaner este casillero de diálogo proporciona un resumen de los protocolos de Internet que son monitoreados por el escaner de virus. 2. En la sección Información de Producto se encontrará información sobre la validez de la licencia de Antivirus y la fecha de la última actualización. 3. El boton Ejecute actualización permite actualizar manualmente las definiciones de virus. Claridad Perfección Seguridad Introducción 110 17.3.2 Escaner Se pueden ajustar las instalaciones para los protocolos relevantes en los casilleros de diálogo Escaner HTTP, Escaner FTP, Escaner POP3 y Escaner SMTP. Se pueden alternar las opciones correspondientes on/off marcando o despejando los casilleros. Opción Significado Escanear carpetas de archivos Carpetas de arhivos (e.j. zip, tar, arc, rar) son “abiertas” por el Escaner y los componentes individuales revisados por la existencia de virus. Escanear carpetas empaquetadas Carpetas empaquetadas son abiertas y sus componentes individuales revisadas por la existencia de virus. Escanear carpetas de auto-desempaque Carpetas de auto-desempaque son abiertas y sus componentes individuales revisados por la existencia de virus. Escanear base de correo Base de datos de correos son revisadas y sus componentes individuales revisados por la existencia de virus. Escanear correos de texto Textos simples en correos son revisados por la existencia de virus. Bloquear carpetas con virus Archivos que claramente son identificados como virus son bloqueados. Bloquear carpetas sospechosas Archivos que el escanner de virus no puede encontrar, abrir o analizar son bloqueados. Block files with warnings Archivos, en que una nueva variación de un virus puede haber sido encontrado, son bloqueados. Activar scan heuristic La información es revisada por códigos con características similares a un virus o puede causar otros dańos. Este método permite reconocimiento de sub variaciones de virus que no tienen firma propia bajo determinadas circunstancias. Instalaciones expandidas Especifique el tamańo máximo de los archivos en las instalaciones expandidas en el escaner FTP y HTTP que son escaneadas directamente en la memoria principal o excluídas del proceso de escaneo por su tamańo. Tamańo máximo de escaneo (POP3- & SMTP) Define el límite de tamańo del adjunto que será escaneado 17.3.3 Lista blanca Se pueden ingresar dominio confiable o servidores en una lista en el casillero de dialogo Lista Blanca. Información transferida por HTTP o FTP desde estos dominios no es examinada por la existencia de virus. 1. Pulse en el boton Agregar para agregar un dominio a la lista blanca. El casillero de entrada para un dominio confiable se abrirá. 2. Ingrese la dirección complete del dominio en el campo de ingreso y pulse OK. Claridad Perfección Seguridad Introducción 111 17.3.4 Actualizaciones Se puede ejecutar una actualización manual en el casillero de diálogo Actualizaciones y editar instalaciones para actualizaciones automáticas. Opciones de actualización La actualización del servidor puede ser administrada agregando un nuevo Servidor, limpiando o editando los existentes. Actualización automática Ingrese la fecha, hora de la primera actualización y los intervalos en los cuales las actualizaciones deben ser realizadas en los correspondientes campos y pulse OK. Claridad Perfección Seguridad Introducción 112 1 8 ACT U AL IZ AC IO NE S 18.1 Introducción El sistema de actualización gateprotect ofrece la posibilidad de mantener su firewall siempre actualizado. Hotfixes, actualizaciones de seguridad y nuevas funciones pueden ser instaladas rápido y de manera directa en el servidor de firewall. Más aun, el sistema de actualización está equipado con varias funciones para informar al administrador si nuevas actualizaciones están disponibles. El historial de actualizaciones instaladas también está disponible. Para prevenir la instalación de actualizaciones denegadas o maliciosas en el firewall, todas las actualizaciones fueron firmadas digitalmente por gateprotect. Solo actualizaciones con una firma válida fueron listadas e implementadas. Todas las otras fueron eliminadas por el sistema. Las actualizaciones pueden ser descargadas automáticamente o manualmente desde el servidor de actualizaciones. En el caso que el firewall no tenga una conexión de internet, es posible instalar actualizaciones usando aparatos de almacenamiento local. Se puede alcanzar el dialogo incluyendo las instalaciones de actualización de sistema via Opciones > Actualizaciones. La primera barra en la ventana contiene una lista de actualizaciones conocidas, un campo de texto con información detallada de la actualización seleccionada, botones para descargar e instalar actualizaciones como también un área de estatus. Claridad Perfección Seguridad Introducción 113 En la segunda barra, se pueden especificar las instalaciones de las actualizaciones de descarga automatizadas, editar la lista de servidores de actualizaciones y ver el historial de actualizaciones. 18.2 Actualizaciones Todas las actualizaciones disponibles están listadas en este diálogo. Esta lista muestra el nombre, el tipo, la fecha de emisión y el estatus de la actualización. Nuevas actualizaciones fueron incluidas como también otras ya instaladas y que varía en su estatus. Más aún, actualizaciones instaladas no pueden ser desinstaladas una segunda vez. El sistema de actualización se diferencia en cuatro tipos de actualizaciones: Tipo Descripción Security hotfix Contiene correcciones que afectan la seguridad del firewall Recommended hotfix Contiene correcciones, optimación de actuación y estabilidad Hotfix Eventualmente contiene nuevas funciones basadas en corrección de modulos de firewall Upgrade Contiene un mejoramiento de nivel hacia la siguiente versión de firewall En el costado derecho de la lista de actualizaciones, se encuentra un campo de texto con información detallada sobre las actualizaciones seleccionadas. Claridad Perfección Seguridad Introducción 114 Este campo muestra la siguiente información: Información Descripción ID Un número único de identificación Nombre Breve descripción de la actualización Descripción Contiene una descripción detallada de la actualización Más aún, de ser aplicable se enlistan las dependencias. 18.3 Descargue actualizaciones automáticamente El firewall puede buscar nuevas actualizaciones automáticamente. Para activar esta función, abra el diálogo Actualizaciones, seleccion la barra Instalaciones y marque el casillero Buscar nuevas actualizaciones automáticamente. Se puede especificar el Intervalo en el cual el servidor de firewall debe buscar las actualizaciones. Se puede elegir entre horario, diario o semanal. En el campo Hora de inicio, se puede digitar la fecha de la primera búsqueda. Todas las actualizaciones siguientes ocurren en la hora ingresada. Si la opción Instale nuevas actualizaciones automáticamente es activada, nuevas actualizaciones se instalaron automáticamente en el servidor de firewall. La seguridad de esta función está limitada y se recomienda el uso de hotfixes. 18.4 Actualizaciones de descarga manuales Para buscar actualizaciones manualmente, abra el diálogo Actualizaciones y seleccione la barra Actualizaciones. Marque el boton Búsqueda de actualizaciones. Este proceso puede demorar. Se puede observer el progreso de la búsqueda en el área de estatus. Después que la búsqueda haya terminado, la lista de actualización se actualiza. 18.5 Actualización de instalaciones Para instalar actualizaciones disponibles, abra la barra de diálogo Actualizaciones y seleccione la barra Actualizaciones. Seleccione las actualizaciones que desea instalar y pulse el boton Instalar todas las actualizaciones seleccionadas. 18.6 Instalación de actualizaciones desde el dispositivo de almacenamiento local Para instalar una actualización desde el dispositivo de almacenamiento local, abra las Actualizaciones y seleccione la barra Actualizaciones. Pulse el boton Actualizar manualmente que abre el archivo. Seleccione el archivo de actualización que será cargado y pulse OK. Este archivo es ahora transferido al firewall. El servidor de firewall ahora revisa la firma del archivo y muestra la actualización en la lista de actualizaciones desde la cual puede ser instalado. Este proceso puede demorar. Se puede observar el proceso en el área de estatus. 18.7 Interacción de actualización El sistema de actualización permite que el firewall muestre información o interactúe con el usuario mientras se instalan ciertas actualizaciones. Esta interacción puede hacer preguntas si/no o un campo de input con una pregunta. En cuanto el firewall reciba la respuesta, la respuesta será exhibida en un diálogo de mensaje. Si la interacción de un usuario es requerida, el cliente muestra esto en su área de estatus. Para responder, pulse el boton con la pregunta Respuesta. El cliente ahora muestra un diálogo con la pregunta correspondiente que debe ser respondida. Si no se responde la pregunta, el firewall permanece standby y no instala actualizaciones adicionales. Claridad Perfección Seguridad Introducción 115 1 9 E JEM PLOS 19.1 Introducción Este capitulo se refiere a varios ejemplos de problemas que ocurren en la práctica. Para simplificar las cosas, la siguiente configuración es utilizada cada vez como punto de inicio y suplementada dependiendo del ejemplo. Toda la información usada es ficticia y solo pretende ser un ejemplo. Una empresa con tres departamentos: Marketing Ventas Tecnología Cada departamento tiene su propia red y están físicamente separadas una de la otra (redes de separación). Más aun, la empresa tiene un servidor de correo interno, el cual colecciona correos desde servidores de correo externos y los envía a los empleados internamente. La empresa tiene una ubicación central para almacenamiento de información corporativa en la red: un servidor de archivos, ubicado en la misma red que el servidor de correo. Existe una conexión de discado DSL sin limites de tiempos para la conexión de internet. Las siguientes reglas han sido configuradas usando el Cliente de administración: Marketing La red de Marketing (192.168.0.0/24) siempre cuenta con acceso al Internet con los servicios HTTP (páginas de internet), FTP (descarga archivos), HBCI (banco desde el hogar), SMTP (envía correos) and POP3 (recibe correos) sin limites de tiempos o bloqueo de red. Ventas La red de Ventas (192.168.1.0/24) puede acceder al Internet con los servicios HTTP (páginas de internet) y FTP (descarga de archivo) durante los días de la semana entre las 8am y las 8pm. Más aun, el acceso HTTP es limitado por el bloqueo de red y la palabra "Sex". Tecnología La red Tecnología (192.168.2.0/24) permite acceder al Internet con los servicios HTTP (páginas internet), FTP (descarga archivos), POP3 (correo recibido), SMTP (correo enviado), SSH (acceso remoto codificado), PPTP (acceso remoto codificado) y PING (prueba red) sin tiempos limites o bloqueo de red. General Cada red interna puede acceder al servidor interno de correo (via POP3 y SMTP) y el servidor de archivo interno (via NetBIOS, KERBEROS, LDAP and MySQL). El servidor de archivo interno tiene la dirección IP 192.168.0.100 y el servidor de correo interno la dirección de IP 192.168.4.6. Claridad Perfección Seguridad Introducción 116 19.2 Instalación de la conexión de Internet con dirección IP fija 19.2.1 Instalación de una linea dedicada con dirección de IP fija usando un router Paso 1 Se ha recibido la siguiente ifnormación de su proveedor: 216.239.37.96 / 29 or 216.239.37.96 / 255.255.255.248 Esta red está dividida en las siguientes secciones Dirección de red: 216.239.37.96 Router del proveedor (gateway): 216.239.37.97 Uso propio: 216.239.37.98 – 216.239.37.102 (cinco direcciones) Direcciones de transmisión: 216.239.37.103 Este es un típico rango de dirección IP 29bit IP, como lo entregan la mayoría de los proveedores de Internet Alemanes. Existen ocho direcciones de IP pero solo se pueden usar cinco como direcciones de envío. Dos de las ocho direcciones fueron usadas como lígica de red (dirección de correo y dirección de transmisión) y una dirección IP es asignada al router del fabricante. Esta es habitualmente la primera IP después de la dirección de red. Paso 2 Para poder establecer una conexión de red a través del router, el firewall debe obtener una de las direcciones usables y la mascara de subred debe ser asignada por el proveedor. Primero, una tarjeta de red (usamos eth0 para este ejemplo) recibe la dirección de red 216.239.37.98 con la mascara de subred 255.255.255.248 en el menu Opciones -> Interfases Claridad Perfección Seguridad Introducción 117 Paso 3 En el próximo paso, una conexión de router se establece usando la conexión de asistente de Internet via Opciones > Internet usando el boton Agregar. Paso 4 Ingrese la dirección IP del router del proveedor como dirección de router (en este ejemplo 216.239.37.97). NOTA SI LA CONEXIÓN DE INTERNET NO FUNCIONA EN EL PRIMER INTENTO, POR FAVOR REINICIE EL ROUTER. SI DESEA SABER COMO HACER LAS OTRAS CUATRO DIRECCIONES IP UTILIZABLES A TRAVES DEL FIREWALL, POR FAVOR LEA LA SECCION18.3.3 DMZ POR FUENTE IP. 19.2.2 Instalando una conexión DSL con dirección IP fija La instalación de una conexión DSL con una dirección IP estática (habitualmente desginada como SDSL, xDSL o DSLBusiness) es como instalar una conexión DSL normal. NOTA POR FAVOR NO INSTALE LA DIRECCION DE IP FIJA A UNA DE LAS TARJETAS DE RED DEL FIREWALL. PORQUE RECIBIRA TODA LA INFORMACIÓN DE CONEXIÓN (INCLUYENDO LA DIRECCIÓN IP) DE SU PROVEEDOR, NO ES NECESARIO MODIFICAR LES EN EL FIREWALL. ESTO PODRIA CAUSAR PROBLEMAS CON ALGUNOS SERVICIOS. 19.2.3 18.2.3 Instalación de un cable de conexión con dirección IP DHCP La interfase a la caual el cable modem está conectada debe ser instalada como "Asigne la dirección IP automáticamente" en las instalaciones de la Interfase. Al configurar la conexión de Internet seleccione "Conexión Router " y seleccione "Asigne la dirección de router sobre DHCP". 19.3 Demilitarized zone (DMZ) 19.3.1 Puerto simple para reenvío En la mayoría de los casos, el reenvío de uno o varios puertos se desea para facilitar el acceso al servidor de la red desde el Internet por ejemplo. Paso 1 Para este objetivo, un servidor es arrastrado desde la lista de herramientas hacia el escritorio de configuración y la dirección IP del servidor es entonces ingresada en el casillero de diálogo que está abierto (en este caso 192.168.4.5) como también en la interfase de red hacia la cual el servidor está conectado (here eth4). Para una mayor visión general de la configuración del escritorio el símbolo recibe un nombre claro (e.j servidor de red). Paso 2 Ahora se crea una conexión desde el servidor hacia la nube de Internet usando la herramienta de conexión. Esto abre el editor de Reglas. Use el boton Agregar y seleccione el servicio que debe ser reenviado al servidor (en este caso HTTP). Paso 3 En la columna Acción la flecha Inspección Stateful se instala desde el Internet hacia el computador y de vuelta al internet. Estas instalaciones significan que el servidor interno puede ser accedido desde el Internet pero no acceder a Internet por si mismo. Si se desea que el servidor pueda acceder a internet, por favor instale aquí una flecha doble. Claridad Perfección Seguridad Introducción 118 Paso 4 Pulse en la última columna Opciones adicionales y marque el casillero Activar DMZ / reenvio de puerto para este servicio. NOTA POR FAVOR DEJE EN BLANCO LOS CAMPOS DE ENTRADAS EN ESTA SECCION. LAS FUNCIONES DE ESTOS CAMPOS SE EXPLICA EN LOS PRÓXIMOS DOS CAPITULOS. Paso 5 Una vez que el editor de Reglas es confirmado con OK y la configuración ha sido activada usando F9, toda la información que va hacia su dirección IP externa en el puerto 80 es reenviada al servidor de red interna. NOTA EL REENVÍO DE PURTO SÓLO PUEDE SER PROBADO DESDE UN ACCESO EXTERNO. NO SE PUEDE ACCEDER A LA DIRECCIÓN IP EXTERNA DESDE LA RED LOCAL. 19.3.2 Reenvío de puerto con rerouting de puerto El rerouting de un puerto puede ser útil si se desea acceder el mismo servicio (e.j. HTTP) usando una dirección IP. Además existen ventajas de seguridad si puertos estándares son usados para ciertos servicios (e.j. Telnet, SSH). Se puede re-enrutar un puerto para realizar esto. Este ejemplo se refiere a las instalaciones y reglas hechas en la sección anterior. Paso 1 Para este ejemplo, accederemos al servicio SSH (para mantención remota usando una consola de texto) de nuestro servidor de red (en este caso 192.168.4.5) usando un puerto diferente que el estándar puerto SSH (22/tcp). Elegimos el puerto de acceso externo 10022 que debería ser reenviado a servidor de red en el puerto 22. Paso 2 Para este objetivo, pulse dos veces en el punto de conexión entre la nube de Internet y el símbolo servidor de red. En las reglas del Editor, seleccione el servicio Definición libre usando el boton Agregar. Paso 3 En el casillero de dialogo que ahora aparece, ingrese un nombre para nuestro servicio. Nosotros elegimos SSH 10022. Bajo Puerto ingrese en el primer campo 10022. El segundo campo de Puerto solo se requiere si se desea definir más de un puerto para este servicio. (Rango de puerto). Bajo Protocolo de transporte, seleccione TCP (Transmission Control Protocol). Paso 4 En la columna Acción, la flecha Stateful inspection es instalada desde el Internet hacia el computador y devuelta al Internet. Esta instalación significa que el servidor interno puede ser accedido a Internet pero el servidor no puede accedera Internet por si mismo. Paso 5 En la última columna Opciones adicionales, marque el casillero Active DMZ / puerto de reenvío para este servicio. Porque queremos re-enrutar el puerto de inicio (10022) hacia el servidor de red en el puerto 22, ingrese 22 en el campo Puerto Objetivo. No se requiere NAT para este servicio libremente definido. Claridad Perfección Seguridad Introducción 119 El servidor de red ahora recibe solicitudes externas en el puerto 10022 en su puerto 22 (que es reservado por SSH). 19.3.3 DMZ por fuente IP Si existe una conexión de Internet con varias direcciones IP fijas, tal vez varios servidores de correo o servidores de red están operando detrás del firewall con diferentes direcciones IP externas. El servidor de red con la dirección IP interna 192.168.4.5 debe ser accesible con la dirección IP externa 216.239.37.99. El servidor de red con la dirección IP interna 192.168.4.6 debe ser accesible con la dirección IP externa 216.239.37.100. Paso 1 Primero, debemos asignar la tarjeta de red externa del firewall (que está conectada al router del proveedor) con la dirección IP que será utilizada. Paso 2 La tarjeta de red correspondiente conectada al router es seleccionada bajo Opciones > Interfases. La dirección IP virtual es agregada bajo Direcciones IP virtuales. El firewall gateprotect está ahora configurado para estas direcciones IP adicionales. Paso 3 Ahora, un servidor es arrastrado desde la lista de herramientas hacia la configuración de escritorio y la dirección interna de IP del servidor es ingresada en el casillero de diálogo abierto (en este caso 192.168.4.5) y la tarjeta de red es seleccionada. Lo mismo se hace para el servidor de correo con la dirección IP interna 192.168.4.6. Para una mayor vista general en el escritorio de configuración, nombres claros fueron asignados a los símbolos (e.j. servidor de red y servidor de correo). Claridad Perfección Seguridad Introducción 120 Servidor de red Paso 1 Ahora se crea una conexión desde el servidor hacia la nube de internet usando la herramienta de conexión. En el editor de Reglas, use el botón Agregar para seleccionar el servicio que debe ser reenviado al servidor. El servicio HTTP es insertado entre el servidor de red e Internet. Paso 2 Marcando Enable DMZ / Port forwarding para este casillero de servicio en Opciones adicionales, se crea el DMZ. Es crucial que la configuración de dirección IP de arriba también sea usada ahora que la dirección IP oficial del servidor de red es ingresada en el campo Source IP. Esta configuración es activada y el servidor de red puede ser accedida bajo esta dirección IP. ATENCIÓN! EL PROXY HTTP NO DEBE SER ACTIVADO EN UN HTTP-DMZ! Alcance acceso separado al servidor de red usando el nombre internamente Si un servidor de red ha sido instalado como en el ejemplo anterior, su acceso sigue siendo posible solo desde el uso interno de su dirección IP. No obstante, algunas aplicaciones demandan el nombre de dominio del computador, e.j. www.your-company.com. NOTA SE PUEDE USAR EL FIREWALL GATEPROTECT PARA EVITAR UN SERVICIO O EL CAMBIO DE NOMBRE DE LOS INGRESOS DESDE EL SERVIDOR. Crear una conexión desde el símbolo de servidor de red hacia la LAN interno usando la herramienta de conexión. En las Reglas del editor, agregue el servicio HTTP e ingrese la fuente oficial de dirección IP en el DMZ en las opciones Adicionales. Servidor de correo Normalmente un servidor de correo se comporta como un HTTP-DMZ. No obstante, existen casos especiales en los que es deseable permitir que algunos servidores de correo se conecten con servidores de correo internos (llamados dominios inteligentes). Aquí el firewall gateprotect ofrece la oportunidad de crear un DMZ dedicado. Paso 1 Para este objetivo, el servidor de correo interno es instalado como símbolo de servidor individual. Paso 2 Ahora otro símbolo de servidor es arrastrado hacia el escritorio. En la configuración de Internet es seleccionado como tarjeta de red y la dirección IP es la externa. ATENCIÓN ! AL CONECTAR AMBOS SÍMBOLOS, SE DEBE PULSAR PRIMERO EN EL COMPUTADOR INTERNO Y LUEGO EN EL EXTERNO. Paso 3 El SMTP está ahora instalado como servicio y el DMZ es activado en opciones Adicionales. El servidor de dirección IP oficial es ingresado como IP Origen. Claridad Perfección Seguridad Introducción 121 19.4 Ejemplos para autenticación de usuario 19.4.1 Dominio Windows Si se cuenta con un dominio Windows, se puede conectar al controlador de dominio Windows. Ingrese la información de su controlador de dominio en la barra Instalaciones en el casillero de diálogo del servidor de Autenticación. En la lista de usuario aparecerán todos los usuarios del dominio. Entonces se pueden arrastrar los íconos de usuario a la configuración de escritorio y asignarles reglas. Los usuarios deben llamar la dirección IP del servidor de firewall con https en sus buscadores y conectar. Si la conexión es exitosa, las reglas de firewall del usuario son aplicadas a la dirección de IP entregada. Si la ventana del buscador está cerrada, la sesión de cookie termina y las reglas expiran. 19.4.2 Servidor terminal Si se usa un servidor terminal, éste debe ser removido de la autenticación de usuario, por cuanto de lo contrario cuando un usuario se haya conectado, todos los usuarios restantes recibirán los mismos drechos asignados al primero. Para remover el servidor terminal de la autenticación de usuario, proceda como se muestra a continuación: Paso 1 Pulse dos veces en el símbolo servidor terminal en la configuración de escritorio. Paso 2 Marque el casillero Excluya este objeto de la autenticación de usuario. Para un servidor terminal, se recomienda HTTP-Proxy no transparente Ajuste el HTTP Proxy a no transparente para lograr este objetivo usando Opciones > Proxy. NOTA LOS BUSCADORES DEBEN INGRESAR EL HTTP-PROXY CON LA DIRECCIÓN IP DEL FIREWALL EN SUS SUBREDES Y CONFIGURAR EL PUERTO 10080. PARA EVITAR PROBLEMAS DE DESCARGA, LA DIRECCIÓN IP DE FIREWALL DEBE SER INGRESADA EN LAS INSTALACIONES DEL BUSCADOR ASIGNADAS COMO "EXCLUDE THIS IP ADDRESS FROM PROXY". Todos los usuarios que ahora se conecten al servidor terminal recibirán primero una notificación cuando abran el buscador solicitando el nombre de usuario y clave de ingreso. En cuanto éstas hayan sido verificadas con la autenticación local, Active Directory or OpenLDAP/Krb5, podrán usar el servidor terminal para navegar por el internet. Los usuarios conectados pueden navegar hasta que la última ventana del buscador sea cerrada. Cuándo el buscador sea reabierto, deberán volver a conectarse. Usuarios conectados reciben sus propios URL y las instalaciones de filtro de contenido son registradas en las estadísticas individualmente bajo sus nombres o sus direcciones IP. Claridad Perfección Seguridad Introducción 122 2 0 EST ADIST ICAS Las estadísticas o las Estadísticas de Cliente Externo refleja y evalúa las funciones de las estadísticas del firewall. NOTA 1. ]SÓLO SE PUEDE REGISTRAR UNA CLIENTE DE ADMINISTRACIÓN EN EL FIREWALL PERO UN NUMERO ILIMITADO DE CLIENTES PARA ESTADÍSTICAS. 2. PARA PODER CONECTARSE A ESTADÍSTICAS DE CLIENTE CON EL FIREWALL, SE REQUIERE DE UNA CUENTA DE USUARIO EN EL FIREWALL CON DERECHO A INICIAR EL CLIENTE Y MOSTRAR ESTADÍSTICAS. 3. PARA MOSTRAR LAS ESTADÍSTICAS PARA USUARIOS INDIVIDUALES, SE DEBE TENER EL DISPLAY RIGHTS STATISTICS BY USER. POR RAZONES TÉCNICAS, TAMBIÉN DEBE ESTAR INSTALADA LA CONFIRGURACIÓN RIGHTS OPEN / STORE. 4. SI SE DESEA TENER LA OPORTUNIDAD DE EXPANDIR LA LISTA DE BLOQUEO DE RED DESDE EL LA LISTA TOP DEL INTERNET HAGALO CON UN SIMPLE CLICK-DERECHO, NECESITARA EL DERECHO PARA ADMINISTRAR EL BLOQUEO DE RED. 20.1 Uso de Estadísticas de Cliente/Estadísticas 20.1.1 Barra de herramientas Se puede usar la barra de herramientas en las Estadísticas de Cliente para: Imprimir las estadísticas, Cambiar el idioma de Estadísticas de Cliente para menu y uso, Obtener información sobre Estadísticas de cliente, Finalizar Estadísticas de Cliente. 20.1.2 Posibilidades de filtro Se pueden filtrar los resultados exhibidos dependiendo de la información de estadísticas preparada en la parte superior de la ventana de estadísticas: Escritorio: red completa, usuarios o computadores Período: 6, 12 o 24 horas, 7 o 14 días, 1, 3 o 12 meses Período de auto-definición con fecha y hora para inicio y término Ventana de tiempo: cualquier hora del día con inicio y fin Acceso bloqueado: ingreso o salida Use el boton Actualizar para descargar la información más reciente desde el servidor de firewall. 20.1.3 Estadísticas Las estadísticas de Estadísticas de cliente tiene el mismo rango de funciones que la Cliente de administración descrita en 3.6. Claridad Perfección Seguridad
