guia de usuario firebox

Fireware XTM Web UI v11.3 Guía del Usuario

Fireware XTM

Web UIv11.3 Guía del Usuario

WatchGuard XTM DevicesFirebox X Peak e-SeriesFirebox X Core e-SeriesFirebox X Edge e-Series

ii Fireware XTM Web UI

Acerca de esta Guía del usuarioLa Guía del usuario de la interfaz de usuario web del Fireware XTM se actualiza con cada lanzamiento deproducto importante. Para lanzamientos de productos menores, sólo se actualiza el sistema de Ayuda de lainterfaz de usuario web del Fireware XTM. El sistema de Ayuda también incluye ejemplos deimplementación específicos, basados en tareas que no están disponibles en la Guía del usuario.

Para acceder a la documentación del producto más reciente, consulte la Ayuda de la interfaz de usuarioweb del Fireware XTM en el sitio web de WatchGuard en:http://www.watchguard.com/help/documentation/.

La información de esta guía está sujeta a cambios sin previo aviso. Las empresas, los nombres y los datosutilizados en los ejemplos de este documento son ficticios, salvo indicación en contrario. Ninguna parte deesta guía podrá reproducirse ni transmitirse en ninguna forma y por ningún medio, electrónico o mecánico,para ningún propósito, sin el consentimiento expreso por escrito de WatchGuard Technologies, Inc.

Guía revisada: 15 de julio de 2010

Información sobre copyright, marcas comerciales y patentesCopyright© 1998–2010 WatchGuard Technologies, Inc. Todos los derechos reservados. Todas las marcas onombres comerciales mencionados en el presente, si los hubiere, son propiedad de sus respectivosdueños.

En la Guía de copyright y licencias podrá encontrar información completa sobre copyright, marcascomerciales, patentes y licencias. Puede consultar este documento en el sitio web:http://www.watchguard.com/help/documentation/.

Nota Este producto es sólo para uso interno.

Acerca de WatchGuard

WatchGuard ofrece soluciones de seguridad de contenido y red todoen uno a un precio accesible, las cuales ofrecen protección enprofundidad y ayudan a satisfacer los requisitos de cumplimientoreglamentarios. La líneaWatchGuard XTM combina firewall, VPN,GAV, IPS, bloqueo de spam y filtrado de URL para proteger su red despam, virus, malware e intrusiones. La nueva línea XCS ofreceseguridad para contenido web y correo electrónico combinada conprevención de pérdida de datos. Las soluciones extensibles deWatchGuard se adaptan para ofrecer seguridad en la medida justa,desde pequeñas empresas hasta empresas con más de 10,000empleados. WatchGuard crea dispositivos de seguridad simples,confiables y sólidos que incluyen rápida implementación,administración integral y herramientas para la presentación deinformes. Empresas del mundo entero confían en nuestras exclusivascajas rojas para maximizar la seguridad sin sacrificar la eficiencia y laproductividad.

Para obtener más información, comuníquese al 206.613.6600 o visitewww.watchguard.com.

Dirección

505 Fifth Avenue SouthSuite 500Seattle, WA 98104

Soporte

www.watchguard.com/supportEE. UU. y Canadá +877.232.3531Todos los demás países +1.206.521.3575

Ventas

EE. UU. y Canadá +1.800.734.9905Todos los demás países +1.206.613.0895

http://www.watchguard.com/help/documentation/

http://www.watchguard.com/help/documentation

Guía del Usuario iii

Índice

Introducción a la seguridad de red 1

Acerca de redes y seguridad de red 1

Acerca de las conexiones a Internet 1

Acerca de los Protocolos 2

Acerca de las Direcciones IP 3

Direcciones privadas y puertas de enlace 3

Acerca de las máscaras de subred 3

Acerca de las Notación diagonal 3

Acerca del ingreso de Direcciones IP 4

estáticas y dinámicas Direcciones IP 4

Acerca de las DNS (sistema de domain name) 5

Acerca de firewall 6

Acerca de servicios y políticas 7

Acerca de puertos 8

El dispositivo WatchGuard y la red 8

Introducción a Fireware XTM 11

Introducción a Fireware XTM 11

Componentes de Fireware XTM 12

el WatchGuard System Manager 12

WatchGuard Server Center 13

Fireware XTMWeb UI e interfaz de la línea de comandos 14

Fireware XTM con Actualización Pro 14

Servicio y soporte 17

Acerca de las Soporte de WatchGuard 17

LiveSecurity® Service 17

LiveSecurity® Service Gold 18

Expiración del servicio 19

Introducción 21

Antes de empezar 21

Verificar componentes básicos 21

Obtener tecla de función del dispositivo WatchGuard 21

Recoger direcciones de red 22

Seleccione un modo configuración de firewall 23

Acerca del Quick Setup Wizard 24

Ejecutar el Web Setup Wizard 24

Conéctese al Fireware XTM Web UI 28

Conectarse a la Fireware XTMWeb UI desde una red externa 29

Acerca del Fireware XTM Web UI 30

Seleccione el idioma de Fireware XTMWeb UI 31

Limitaciones de la Fireware XTMWeb UI 31

Concluya su instalación 32

Personalizar su política de seguridad 33

Acerca de las LiveSecurity Service 33

Temas adicionales de instalación 33

Conéctese a un Firebox con Firefox v3 33

Identificar sus configuraciones de red 35

Configure su equipo para conectarse a su dispositivo WatchGuard 37

Desactive el proxy de HTTP en el explorador 39

Información básica sobre configuración y administración 41

Acerca de las tareas básicas de configuración y administración 41

Hacer una copia de seguridad de la imagen de Firebox 41

Restaurar imagen de copia de seguridad de Firebox 42

Utilice una unidad USB para realizar copias de respaldo y restaurar el sistema 42

Acerca de la unidad USB 42

Guardar una imagen de respaldo en una unidad USB conectada 42

Restaurar una imagen de respaldo desde una unidad USB conectada 43

Restaurar automáticamente una imagen de respaldo desde un dispositivo USB 44

Estructura del directorio de la unidad USB 46

Guardar una imagen de respaldo en una unidad USB conectada a su de administración 46

Restablecer un dispositivo Firebox o XTM a una configuración anterior o nueva 48

Iniciar un dispositivo Firebox o XTM en modo seguro 48

iv Fireware XTM Web UI

Guía del Usuario v

Restablecer un dispositivo Firebox X Edge e-Series o WatchGuard XTM 2 Series a lasconfiguraciones predeterminadas de fábrica 49

Ejecutar el Quick Setup Wizard 49

Acerca de las configuraciones predeterminadas de fábrica 49

Acerca de las teclas de función 51

Cuando compra una nueva función 51

Ver las funciones disponibles con la actual tecla de función 51

Obtener una tecla de función junto a LiveSecurity 52

Agregar una tecla de función a su Firebox 54

Reiniciar su Firebox 56

Reiniciar Firebox de modo local 57

Reiniciar Firebox de modo remoto 57

Activar NTP y agregar servidores NTP 57

Definir la zona horaria y las propiedades básicas del dispositivo 58

Acerca del SNMP 59

Sondeos y capturas SNMP 60

Acerca de las Bases de Información de Administración (MIBs) 60

Activar Sondeo de SNMP 61

Activar Capturas y estaciones de administración de SNMP 62

Acerca de las frases de contraseña, claves de cifrado y claves compartidas de WatchGuard 64

Crear una contraseña, una clave de cifrado o una clave compartida segura 64

Frases de contraseña de Firebox 64

Frases de contraseña de usuario 65

Frases de contraseña del servidor 65

Claves de cifrado y claves compartidas 66

Alterar frases de contraseña de Firebox 66

Defina las configuraciones globales del Firebox 67

Defina las configuraciones globales de administración de errores ICMP 68

Habilitar la comprobación TCP SYN 69

Definir las configuraciones globales de ajuste de tamaño máximo del segmento TCP 70

Activar o desactivar la administración de tráfico y QoS 70

Cambiar el puerto Web UI 70

Reinicio automático 70

Consola externa 71

Acerca de los servidores WatchGuard System Manager 71

Administrar un Firebox desde una ubicación remota 72

Configurar un Firebox como un dispositivo administrado 74

Editar la política WatchGuard 74

Configurar Dispositivo Administrado 76

Actualizar para una nueva versión del Fireware XTM 77

Instalar la actualización en su equipo administrado 77

Actualizar el Firebox 78

Descargue el archivo de configuración 78

Configuración de red 79

Acerca de las configuración de interfaz de red 79

Modos de red 79

Tipos de interfaz 80

Acerca de las interfaces de red en el Edge e-Series 81

Modo de enrutamiento combinado 82

Configurar una interfaz externa 82

Configurar el DHCP en modo de enrutamiento mixto 86

Página Acerca de Servicio DNS dinámico 88

Configurar DNS dinámico 88

Acerca de la configuración de red en modo directo 89

Utilizar modo directo para la configuración de la interfaz de red 90

Configurar host relacionados 90

Configurar DHCP en modo directo 91

Modo Bridge 94

Configuraciones de interfaz comunes 95

Desactivar una interfaz 96

Configurar retransmisión de DHCP 97

Restringir el tráfico de red mediante la dirección MAC 97

Agregar servidores WINS y Direcciones del servidor DNS 98

Configurar una secondary network 99

vi Fireware XTM Web UI

Guía del Usuario vii

Acerca de la Configuraciones de interfaz 100

Configuración de tarjeta de interfaz de red (NIC) 101

Determinar No fragmentar bit IPSec 102

Configuración de la ruta de unidad de transmisión máxima (PMTU) para IPSec 103

Usar vínculo de dirección MAC estático 103

Buscar la dirección MAC de una computadora 104

Acerca de los puentes LAN 105

Crear una configuración de puente de red. 105

Asignar una interfaz de red a un puente. 106

Acerca de 106

Agregue una ruta estática 107

Acerca de redes virtuales de área local (VLAN) 108

Requisitos y restricciones de la VLAN 108

Acerca de las etiquetado 109

Definir un nuevo (red de área local virtual) 109

Asignar interfaces a (red de área local virtual) 111

Ejemplos de configuración de red 112

Ejemplo: Configurar dos VLAN con la misma interfaz 112

Use Firebox X Edge con el bridge inalámbrico 3G Extend 115

WAN múltiple 119

Acerca de usar múltiples interfaces externas 119

Requisitos y condiciones de WAN múltiple 119

WAN múltiple y DNS 120

Acerca de las opciones de WAN múltiple 120

Orden de operación por turnos 120

Conmutación por error 121

Desbordamiento en la interfaz 121

Tabla de enrutamiento 122

Módem serie (solamente Firebox X Edge) 122

Configurar la opción de operación por turnos de WAN múltiple 122

Antes de empezar 122

Configurar interfaces 122

Descubra cómo asignar pesos a interfaces 123

Configurar la opción de conmutación por error de WAN múltiple 124



Configurar WAN múltiple Opción de desbordamiento en la interfaz 125



Configurar WAN múltiple opción tabla de enrutamiento 126


Modo de tabla de enrutamiento y balance de carga 126


Acerca de la tabla de enrutamiento de Firebox 127

Cuando usar los métodos de WAN múltiple y enrutamiento 127

Conmutación por error de módem serie 128

Activar conmutación por error de módem serial 128

Configuraciones de la cuenta 129

Configuraciones de DNS 129

Configuración de marcado 130

Configuraciones avanzadas 131

Configuración de "Monitor de enlace" 131

Acerca de la configuración avanzada de WAN múltiple 132

Define una duración de Sticky Connection global 133

Definir acción de failback 133

Acerca del Estado de la interfaz de WAN 134

Tiempo necesario para que el Firebox actualice su tabla de enrutamiento 134

Definir un host de monitor de enlace 134

Traducción de dirección de red (NAT) 137

Acerca de la Traducción de dirección de red (NAT) 137

Tipos de NAT 137

Acerca de la dinámica basada en políticas 138

Agregar firewall a entradas de NAT dinámicas 138

Configurar NAT dinámica basada en políticas 141

viii Fireware XTM Web UI

Guía del Usuario ix

Acerca de las 1-to-1 NAT 142

Acerca de 1-to-1 NAT y VPN 143

Configurar el firewall 1-to-1 NAT 144

Configurar basado en políticas 1-to-1 NAT 147

Configurar el bucle invertido de NAT con NAT estática 148

Agregar una política para bucle invertido de NAT al servidor 148

Bucle invertido de NAT y 1-to-1 NAT 150

Acerca de la NAT estática 153

Configurar Balance de carga en el servidor 154

Ejemplos de NAT 157

Ejemplo de 1-to-1 NAT 157

Configuración inalámbrica 159

Acerca de la configuración inalámbrica 159

Acerca de las configuración del punto de acceso inalámbrico 160


Acerca de configuraciones 161

Activar/desactivar Broadcasts de SSID 163

Cambiar la SSID 163

Registro eventos de autenticación 163

Cambiar la umbral de fragmentación 163

Cambiar la Umbral de RTS 165

Acerca de configuraciones de seguridad 166

Definir inalámbricos método de autenticación 166

Definir nivel de cifrado 167

Habilitar conexiones inalámbricas a la red opcional o de confianza 167

Activar una red inalámbrica para invitados 170

Activar un hotspot inalámbrico 173

Establecer la configuración del tiempo de espera 174

Personalizar la pantalla de presentación del hotspot 174

Conéctese a un hotspot inalámbrico 176

Consulte Conexiones hotspot inalámbricas 177

Configurar la interfaz externa como interfaz inalámbrica 178

Configurar la interfaz externa principal como interfaz inalámbrica 178

Configurar un túnel BOVPN para seguridad adicional 181

Acerca de configuraciones de radio en Firebox X Edge e-Series inalámbrico 181

Configurar la región operativa y el canal 182

Definir modo de operación inalámbrica 183

Acerca de las configuraciones de radio inalámbrico en el dispositivo inalámbrico WatchGuardXTM 2 Series 183

El país se configura automáticamente 184

Seleccionar el modo de banda y el modo inalámbrico 185

Seleccionar el canal 186

Configurar la de red invitada inalámbrica en su computadora 186

Dynamic Routing 187

Acerca de dynamic routing 187

Acerca de archivos de configuración de demonio de enrutamiento. 187

Acerca del Protocolo de Información de Enrutamiento (RIP) 188

Comandos del Protocolo de Información de Enrutamiento (RIP) 188

Configurar el Firebox para usar RIP v1 190

Configurar el Firebox para usar RIP v2 191

Muestra de archivo de configuración del enrutamiento RIP 192

Acerca del Protocolo "Abrir Camino Más Curto Primero" (OSPF) 194

Comandos de OSPF 194

Tabla de Costo de Interfaz de OSPF 197

Configurar el Firebox para usar OSPF 198

Muestra de archivo de configuración del enrutamiento OSPF 199

Acerca del Border Gateway Protocol (BGP) 201

Comandos BGP 202

Configurar el Firebox para usar el BGP 204

Muestra de archivo de configuración del enrutamiento BGP 206

Autenticación 209

Acerca de la autenticación de usuario 209

Usuario pasos de autenticación 210

Administrar usuarios autenticados 211

x Fireware XTM Web UI

Guía del Usuario xi

Use la autenticación para restringir el tráfico entrante 212

Use la autenticación a través de un Firebox de puerta de enlace 212

Definir valores de autenticación global 212

Definir tiempos de espera de autenticación 213

Permitir múltiples inicios de sesión concomitantes 214

Limitar sesiones de inicio 214

Direccionar usuarios automáticamente al portal de inicio de sesión 215

Usar una página de inicio predeterminada personalizada 216

Definir tiempos de espera de Sesión de Administración 216

Acerca de la política de Autenticación de WatchGuard (WG-Autoriz) 216

Acerca de Single Sign-On (SSO) 217


Configurar SSO 218

Instalar el agente de Single Sign-On (SSO) de WatchGuard 218

Instale el cliente de Single Sign-On (SSO) de WatchGuard 220

Activar Single Sign-On (SSO) 220

Tipos de servidores de autenticación 222

Acerca de la utilización de servidores de autenticación de terceros 222

Use un servidor de autenticación de resguardo 222

Configure su Firebox como servidor de autenticación 223

Tipos de autenticación de Firebox 223

Definir un nuevo usuario para autenticación en Firebox 225

Definir un nuevo grupo para autenticación de Firebox 227

Configurar autenticación de servidor RADIUS 227

Clave de autenticación 228

Los métodos de autenticación de RADIUS 228


Usar la autenticación por servidor RADIUS con su dispositivo WatchGuard 228

Como la autenticación del servidor RADIUS funciona 230

Configurado autenticación de servidor VASCO 233

Configurar autenticación SecurID 234

Configurar autenticación LDAP 236

Acerca de las configuraciones opcionales de LDAP 238

Configurar autenticación en Active Directory 239

Sobre la configuración opcional del Active Directory 241

Encuentre su base de búsqueda del Active Directory 241

Alterar el puerto predeterminado de Active Directory Server 242

Usar las configuraciones opciones de Active Directory o de LDAP 243


Especificar Configuraciones opcionales de LDAP o Active Directory 243

Use una cuenta de usuario local para autenticación 247

Use los usuarios y grupos autorizados en políticas 248

Políticas 251

Acerca de políticas 251

Políticas de filtro de paquetes y proxy 251

Acerca de cómo agregar políticas a Firebox 252

Acerca de la página de políticas de Firewall o VPN móvil 253

Agregar políticas en la configuración 254

Agregar una política de la lista de plantillas 255

Desactivar o eliminar una política 256

Acerca de los alias 257

Miembros de alias 257

Crear un alias 258

Acerca de la precedencia de políticas 260

Orden de políticas automático 260

Especificidad de la política y protocolos 260

Reglas de tráfico 261

Acciones de firewall 261

Cronogramas 261

Nombres y tipos de políticas 262

Determinar precedencia manualmente 262

Crear Cronogramas para acciones de Firebox 262

Establecer un cronograma operativo 263

Acerca de las Políticas personalizadas 263

xii Fireware XTM Web UI

Guía del Usuario xiii

Cree o edite una plantilla de política personalizada. 264

Acerca de propiedades de políticas 265

Pestaña Política 266

Pestaña Propiedades 266

Pestaña Avanzada 266

Configuraciones de proxy 266

Definir reglas de acceso a una política 267

Configurar el enrutamiento basado en la política 269

Configurar un tiempo de espera inactivo personalizado 270

Determinar Administración de errores ICMP 271

Aplicar reglas NAT 271

Defina la duración de sticky connection para una política 272

Configuraciones de proxy 273

Acerca de las políticas de proxy y ALG 273

Configuración de proxy 273

Acerca de las configuraciones de Application Blocker 274

Configurar el Application Blocker 275

Acerca de Skype y el Application Blocker 276

Agregar una política de proxy a la configuración 277

Acerca de las acciones de proxy 279

Configurar la acción de proxy 279

Editar, eliminar o clonar acciones de proxy 279

Acerca de acciones de proxy definidas por el usuario y predefinidas Acciones de proxy 280

Acerca del DNS proxy 280

Proxy DNS : Contenido 281

Proxy DNS : Configuración 282

Página Acerca de Proxy FTP 284




Pestañas Configuración y Contenido 285

FTP DNS: Contenido 285

Proxy FTP : Configuración 286

Página Acerca de ALG H.323 287

ALG H.323: Contenido 289

ALG H.323: Configuración 291

Página Acerca de Proxy HTTP 292




Pestañas Configuración, Contenido y Application Blocker 294

Permitir actualizaciones de Windows a través del proxy HTTP 294

Proxy HTTP: Pestaña Contenido 295

Proxy HTTP: Pestaña Configuración 298

Proxy HTTP: Application Blocker 300

Página Acerca de Proxy HTTPS 301





Proxy de HTTPS: Contenido 302

Proxy HTTPS : Configuración 304

Página Acerca de Proxy POP3 305





Proxy POP3 : Contenido 307

Proxy POP3 : Configuración 308

Página Acerca de Proxy SIP 309

SIP ALG: Contenido 311

SIP ALG: Configuración 313

Página Acerca de Proxy SMTP 314


xiv Fireware XTM Web UI

Guía del Usuario xv



Pestañas Configuración, Dirección y Contenido 315

Proxy SMTP : Dirección 315

Proxy SMTP : Contenido 316

Proxy SMTP : Configuración 318

Configure el proxy SMTP para colocar mensajes de correo electrónico en cuarentena 319

Página Acerca de Proxy de TCP-UDP 319





Proxy de TCP-UDP: Contenido 320

Proxy de TCP-UDP: Configuración 320

Administración de tráfico y QoS 323

Acerca de las Administración de tráfico y QoS 323

Activar administración de tráfico y QoS 323

Garantice ancho de banda 324

Restrinja el ancho de banda 325

Marcado QoS 325

Prioridad de tráfico 325

Configurar el ancho de banda de interfaz saliente 325

Configure los límites de la tasa de conexión 326

Acerca de las Marcado QoS 327


Marcado QoS para interfaces y políticas 327

Marcado QoS y tráfico IPSec 327

Marcado: tipos y valores 328

Activar marcado QoS para una interfaz 329

Activar el marcado QoS o configuraciones de priorización para una política 330

Control de tráfico y definiciones de políticas 332

Definir un Acción de administración de tráfico 332

Agregar una Acción de administración de tráfico a una política 334

Default Threat Protection 335

Acerca de la Default Threat Protection 335

Acerca de las opciones de administración predeterminada de paquetes 335

Acerca de los ataques de suplantación de paquetes 337

Acerca de los Ataques de ruta de origen de IP IP 337

Acerca de las pruebas de espacio de dirección y espacio del puerto 338

Acerca de los ataques de congestión del servidor 340

Acerca de los paquetes no controlados 342

Acerca de ataques de negación de servicio distribuidos 343

Acerca de los sitios bloqueados 343

Sitios permanentemente bloqueados 344

Lista de Sitios de bloqueo automático/Sitios temporalmente bloqueados 344

Ver y editar los sitios en la lista de Sitios Bloqueados 344

Bloquear un sitio permanentemente 344

Crear Excepciones sitios bloqueados 345

Bloquear sitios temporalmente con configuración de políticas 346

Cambiar la duración de los sitios que son bloqueados automáticamente 347

Acerca de los puertos bloqueados 347

Puertos bloqueados predeterminados 348

Bloquear un puerto 349

Registro y Notificación 351

Acerca de la generación de registros y archivos de registro 351

Log Servers 351

Syslog de estado del sistema 352

Generación de registros y notificación en aplicaciones y servidores 352

Acerca de las mensajes de registro 352

Tipos de mensajes de registro 352

Enviar mensajes de registro al WatchGuard Log Server 353

Agregar, editar o alterar la prioridad de Log Servers 354

Enviar información de registro a un host de Syslog 355

Configurar Registros 356

xvi Fireware XTM Web UI

Guía del Usuario xvii

Defina el nivel de registro de diagnóstico 357

Configurar registros y notificación para una política 359

Determinar preferencias de registro y notificación 360

Use el Syslog para ver los datos de mensaje de registro 361

Ver, Ordenar y Filtrar datos de mensaje de registro 361

Actualizar datos de mensaje de registro 363

Monitorear su Firebox 365

Monitorear su Firebox 365

El Panel de control 365

Páginas Estado del sistema 367

Tabla ARP 368

Autenticaciones 369

Medidor de ancho de banda 370

Estado de sitios bloqueados 370

Agregar o editar sitios bloqueados temporalmente 371

Suma de comprobación 372

Conexiones 372

Lista de componentes 372

Uso de CPU 373

Concesiones de protocolo de configuración dinámica de host (DHCP) 373

Diagnósticos 374

Ejecutar un comando de diagnóstico básico 374

Utilizar argumentos de comandos 374

DNS dinámico 375

Tecla de función 376

Cuando compra una nueva función 376

Ver las funciones disponibles con la actual tecla de función 376

Interfaces 377

LiveSecurity 378

Memoria 379

Lista de acceso saliente 379

Procesos 379

Rutas 380

Syslog 381

Administración de tráfico 381

Estadísticas de VPN 382

Estadísticas inalámbricas 383

Conexiones hotspot inalámbricas 384

Certificates 385

Acerca de los certificados 385

Usar múltiples certificados para determinar la confianza 385

Cómo el Firebox usa certificados 386

CRLs y caducidad de certificados 386

Solicitudes de firmas y autoridades de certificación 387

Autoridades de Certificación confiadas por Firebox 387

Ver y administrar Certificados de Firebox 393

Crear una CSR con el OpenSSL 395

Usar OpenSSL para generar una CSR 395

Firme un certificado con Microsoft CA 396

Emitir el certificado 396

Descargar el certificado 396

Usar Certificados para el proxy de HTTPS 397

Proteger un servidor HTTPS privado 397

Examinar contenido de los servidores HTTPS externos 398

Exportar el certificado de inspección de contenido HTTPS 398

Importar los certificados en dispositivos clientes 399

Solucionar problemas con la inspección de contenido HTTPS 399

Use certificados autenticados para el túnel VPN Mobile con IPSec 399

Usar un certificado para autenticación del túnel BOVPN 400

Verificar el certificado con el FSM 401

Verificar los certificados de VPN con servidor de LDAP 401

Configure el certificado del servidor web para la autenticación de Firebox 402

Importar un certificado en un dispositivo cliente 404

Importar un certificado en formato PEM con el Windows XP 404

xviii Fireware XTM Web UI

Guía del Usuario xix

Importar un certificado en formato PEM con el Windows Vista 404

Importar un certificado en formato PEM con Mozilla Firefox 3.x 405

Importar un certificado en formato PEM con el Mac OS X 10.5 405

Redes Privada Virtual (VPN) 407

Introducción a VPNs 407

Branch Office VPN (BOVPN) 407

Mobile VPN 408

Acerca de la VPNs de IPSec 408

Acerca de los algoritmos y protocolos de IPSec 408

Acerca de las negociaciones VPN de IPSec 410

Configuraciones de Fase 1 y Fase 2 412

Acerca de Mobile VPNs 413

Seleccione unaMobile VPN 413

Opciones de acceso a Internet para usuarios de Mobile VPN 415

Descripción de configuración de Mobile VPN 416

Túneles de BOVPN manuales 417

Lo que necesita para crear un BOVPN 417

Acerca de túneles BOVPN manuales 418

Lo que necesita para crear un VPN 418

Cómo crear un túnel BOVPN manual 419

Túneles de una dirección 419

Failover de VPN 419

Configuraciones de VPN Global 419

Estado del túnel BOVPN 420

Regenerar clave de túneles BOVPN 420

Muestra cuadro de información de dirección de VPN 420

Definir puertas de enlace 421

Definir extremos de puerta de enlace 424

Configurar modo y transformaciones (Configuraciones de la Fase 1) 426

Editar y eliminar puertas de enlace 430

Desactivar inicio automático de túnel 430

Si su Firebox está detrás de un dispositivo que hace NAT 430

Establezca túneles entre los extremos de puertas de enlace 431

Definir un túnel 431

Agregar rutas para un túnel 434

Configuraciones de Fase 2 434

Agregar una Propuesta de Fase 2 436

Cambiar el orden de túneles 438

Acerca de las configuraciones de VPN Global 438

Activar puerto de transferencia IPSec 439

Activar TOS para IPSec 439

Activar servidor LDAP para verificación de certificado 440

Usar 1-to-1 NAT a través de un túnel BOVPN 440

1-to-1 NAT y VPNs 440

Otras razones por las cuales usar una 1-to-1 NAT por una VPN 441

Alternativa al uso de NAT 441

Cómo configurar la VPN 441

Ejemplo 442

Configurar el túnel local 442

Configurar el túnel remoto 445

Definir una ruta para todo el tráfico hacia Internet 447

Configurar el túnel BOVPN en el Firebox remoto 447

Configurar el túnel BOVPN en el Firebox central 448

Agregar una entrada de NAT dinámica en el Firebox central 449

Activar enrutamiento de multidifusión a través de un túnel BOVPN 450

Activar un dispositivo WatchGuard para enviar tráfico de multidifusión a través de un túnel 451

Active el otro dispositivo WatchGuard para recibir tráfico de multidifusión a través de un túnel453

Activar el enrutamiento de difusión a través de un túnel BOVPN 453

Activar el enrutamiento de difusión para el Firebox local 454

Configurar enrutamiento de difusión para el Firebox en el otro extremo del túnel 455

Configurar Failover de VPN 456

Definir múltiples pares de puertas de enlace 456

Vea Estadísticas de VPN 458

xx Fireware XTM Web UI

Guía del Usuario xxi

Regenerar clave de túneles BOVPN 458

Preguntas relacionadas 459

¿Por qué necesito una dirección externa estática? 459

¿Cómo obtengo una dirección IP externa estática? 459

¿Cómo soluciono problemas de la conexión? 459

¿Por qué el ping no está funcionando? 459

¿Cómo configuro más que el número de túneles VPN permitido en mi Edge? 460

Mejorar la disponibilidad del túnel BOVPN 460

Mobile VPN con PPTP 465

Acerca del Mobile VPN con PPTP 465

Requisitos de Mobile VPN con PPTP 465

Niveles de cifrado 466

Configurar Mobile VPN with PPTP 466

Autenticación 467

Configuraciones de cifrado 468

Agregar al conjunto de direcciones IP 468

Configuraciones de pestañas avanzadas 469

Configurar servidores WINS y DNS 470

Agregar nuevos usuarios al grupo de usuarios de PPTP 471

Configurar políticas para permitir el tráfico de Mobile VPN con PPTP 473

Configurar políticas para permitir el tráfico de Mobile VPN con PPTP 474

Permitir a los usuarios de PPTP acceder a una red de confianza 474

Usar otros grupos o usuarios en una política de PPTP 475

Opciones de acceso a Internet a través de un túnel de Mobile VPN con PPTP 475

VPN de ruta predeterminada 475

Dividir VPN de túnel 476

Configuración de VPN de ruta predeterminada para Mobile VPN with PPTP 476

Configuración de VPN de túnel dividido para Mobile VPN with PPTP 476

Preparar computadoras cliente para PPTP 477

Preparar una computadora cliente con Windows NT o 2000: Instalar MSDUN y los paquetes deservicio 477

Crear y conectar unaMobile VPN with PPTP paraWindows Vista 478

Cree y conecte unaMobile VPN with PPTP paraWindows XP 479

Cree y conecte unaMobile VPN with PPTP paraWindows 2000 480

Realizar conexiones PPTP salientes desde detrás de un Firebox 480

Mobile VPN con IPSec 481

Acerca del Mobile VPN con IPSec 481

Configurar una conexión de Mobile VPN con IPSec 481

Requisitos del sistema 482

Opciones de acceso a Internet a través de un túnel de Mobile VPN con IPSec 482

Acerca de archivos de configuración de cliente MobileVPN 483

Configurar el Firebox para Mobile VPN with IPSec 483

Agregar usuarios a un grupo de Mobile VPN de Firebox 491

Modificar un perfil de grupo existente de Mobile VPN con IPSec 493

Configurado servidores WINS y DNS. 505

Bloquear un perfil del usuario final 506

Archivos de configuración de Mobile VPN con IPSec 507

Configurar políticas para filtrar tráfico de Mobile VPN 507

Distribuir el software y los perfiles 508

Tópicos adicionales de Mobile VPN 509

Configurar Mobile VPN with IPSec para una dirección IP dinámica 510

Página Acerca de cliente Mobile VPN with IPSec 512

Requisitos del cliente 512

Instalar el software cliente de Mobile VPN con IPSec 512

Conecte y desconecte el cliente Mobile VPN 515

Vea los mensajes de registro del Mobile VPN 517

Proteger su equipo con el firewall de Mobile VPN 517

Instrucciones de usuario final para la instalación del cliente VPN Mobile con IPSec deWatchGuard 526

Configuración del Mobile VPN paraWindows Mobile 531

Los requisitos del cliente Mobile VPN WMConfigurator y de IPSec de Windows Mobile 531

Instalar el software Mobile VPN WMConfigurator 532

Seleccione un certificado e ingrese el PIN 533

Importar un perfil del usuario final 533

xxii Fireware XTM Web UI

Guía del Usuario xxiii

Instale el software cliente del Windows Mobile en el dispositivo Windows Mobile 534

Cargar el perfil de usuario final en el dispositivo Windows Mobile 535

Conecte y desconecte el Cliente Mobile VPN paraWindows Mobile 537

Proteger su dispositivo Windows Mobile con el firewall de Mobile VPN 540

Detener el WatchGuard Mobile VPN Service 540

Desinstalar el Configurator, Service y Monitor 541

Mobile VPN con SSL 543

Acerca del Mobile VPN con SSL 543

Configurar el dispositivo Firebox o XTM paraMobile VPN with SSL 543

Realizar configuraciones de autenticación y conexión 544

Realice las configuraciones de Red y Conjunto de direcciones IP 544

Realizar configuraciones avanzadas para Mobile VPN with SSL 547

Configurar la autenticación de usuario para Mobile VPN with SSL 549

Configurar políticas para controlar el acceso de clientes de Mobile VPN con SSL 549

Elegir un puerto y protocolo para Mobile VPN with SSL 550

Opciones de acceso a Internet a través de un túnel de Mobile VPN con SSL 551

Determinación del nombre para Mobile VPN with SSL 552

Instalar y conectar el cliente de Mobile VPN con SSL 554

Requisitos de la computadora cliente 555

Descargar el software cliente 555

Desinstalar el software cliente 556

Conectarse a su red privada 556

Controles del cliente de Mobile VPN con SSL 557

Se debe distribuir e instalar en formamanual el software cliente de Mobile VPN con SSL y elarchivo de configuración 558

Desinstale el cliente de Mobile VPN con SSL. 559

WebBlocker 561

Acerca de las WebBlocker 561

Configurar un WebBlocker Server local 562

Activación de WebBlocker 562


Cree perfiles de WebBlocker 562

Activar anulación local 566

Seleccione categorías para bloquear 566

Utilice el perfil de WebBlocker con servidores proxy HTTP y HTTPS 567

Agregar excepciones de WebBlocker 568

Usar anulación local de WebBlocker 568

Acerca de las Categorías de WebBlocker 569

Consultar si un sitio está categorizado 570

Agregar, eliminar o cambiar una categoría 571

Acerca de las Excepciones de WebBlocker 572

Defina la acción para las sitios que no tienen coincidencias Excepciones 572

Componentes de las reglas de excepción 572

Excepciones con parte de una URL 572

Agregar WebBlocker Excepciones 573

Renovar suscripciones de seguridad 575

Acerca del vencimiento de los servicios de suscripción de WebBlocker 575

spamBlocker 577

Acerca de las spamBlocker 577

Requisitos de spamBlocker 579

Acciones, etiquetas y categorías de spamBlocker 581

Configurado spamBlocker 583

Acerca de las Excepciones de spamBlocker 587

Configurar acciones de Virus Outbreak Detection para una política 593

Configure spamBlocker para colocar mensajes de correo electrónico en cuarentena 595

Acerca de la utilización spamBlocker con servidores proxy múltiples 597

Configure los parámetros globales de spamBlocker 597

Utilice un servidor proxy HTTP para spamBlocker 599

Agregar reenviadores de correo electrónico de confianza para mejorar la precisión decalificación del spam 600

Active y configure los parámetros de la Virus Outbreak Detection (VOD) 601

Acerca de spamBlocker y los límites de escaneo de la VOD 602

Cree reglas para su lector de correo electrónico 602

Enviar correos electrónicos spam o masivos a carpetas especiales en Outlook 603

xxiv Fireware XTM Web UI

Guía del Usuario xxv

Enviar un informe acerca de falsos positivos o falsos negativos 604

Utilice el registro RefID en lugar de un mensaje de texto 605

Buscar la categoría a la cual está asignado un mensaje 605

La Defensa de reputación activada 607

Acerca de la Defensa de reputación activada 607

Umbrales de reputación 607

Calificaciones de reputación 608

Comentario sobre la Defensa de reputación activada 608

Configurar la Defensa de reputación activada 608


Configurar la Defensa de reputación activada para una acción de proxy 609

Configurar los umbrales de reputación 610

Enviar los resultados de escaneo del Gateway Antivirus aWatchGuard 611

Gateway AntiVirus e Intrusion Prevention 613

Acerca de las Gateway AntiVirus y prevención de intrusiones 613

Instale y actualice el Gateway AntiVirus/IPS 614

Acerca del Gateway AntiVirus/la Intrusion Prevention y las políticas de proxy 614

Configurar el servicio del Gateway AntiVirus 615

Configure el servicio del Gateway AntiVirus 615

Configurar acciones del Gateway AntiVirus 616

Configurado Gateway AntiVirus a colocar mensajes de correo electrónico en cuarentena 619

Acerca de los límites de escaneo del Gateway AntiVirus 620

Actualice la configuración del Gateway AntiVirus/IPS 620

Si utiliza un cliente antivirus de terceros 621

Establezca la configuración de descompresión del Gateway AntiVirus 621

Configurar el servidor de actualización del Gateway AntiVirus/IPS 622

Ver estado de servicios de suscripción y actualizar firmas manualmente 623

Configurar el Intrusion Prevention Service 624


Configurar el Intrusion Prevention Service 625

Configurar acciones del IPS 627

Establezca la configuración del IPS 631

Configurado excepciones de firma 633

Quarantine Server 635

Página Acerca de Quarantine Server 635

Configure Firebox para que ponga correos electrónicos en cuarentena 636

Definir la ubicación del Quarantine Server en Firebox 636

xxvi Fireware XTM Web UI

Guía del Usuario 1

1 Introducción a la seguridad de red

Acerca de redes y seguridad de redUna red esun grupode equipos y otrosdispositivos que se conectan entre sí. Puede tratarse de dosequiposen la mismahabitación, decenasde equiposen unaorganización omuchos equiposen elmundo enteroconectadosa travésde Internet. Los equiposen lamisma redpueden trabajar juntos y compartir datos.

Aunque las redes como Internet brindan acceso a una gran cantidad de información y oportunidadescomerciales, también pueden exponer la red a atacantes. Muchas personas creen que sus equipos noguardan información importante o que un hacker no estará interesado en sus equipos. Se equivocan. Unhacker puede utilizar su equipo como plataforma para atacar a otros equipos o redes. La información de suorganización, incluida la información personal acerca de usuarios, empleados o clientes, también es valiosapara los hackers.

El dispositivo WatchGuard y la suscripción a LiveSecurity pueden ayudar a prevenir estos ataques. Unabuena política de seguridad de red o un conjunto de reglas de acceso para usuarios y recursos, tambiénpueden ayudar a detectar y prevenir ataques a su equipo o red. Recomendamos configurar el Firebox paraque coincida con la política de seguridad y considerar las amenazas tanto internas como externas de laorganización.

Acerca de las conexiones a Internet

Los ISP (proveedores de servicio de Internet) son empresas que ofrecen acceso a Internet a través deconexiones de red. La velocidad con la cual una conexión de red puede enviar datos se conoce comoancho de banda: por ejemplo, 3 megabits por segundo (Mbps).

Una conexión a Internet de alta velocidad, como módem por cable o DSL (línea de suscriptor digital), seconoce como conexión de banda ancha. Las conexiones de banda ancha son mucho más rápidas que lasconexiones telefónicas. El ancho de banda de una conexión telefónica es inferior a .1 Mbps, mientras queuna conexión de módem por cable puede ser de 5 Mbps o más.

Las velocidades típicas para los módem por cable en general son inferiores a las velocidades máximas,porque cada equipo en un barrio es miembro de una LAN. Cada equipo en esa LAN usa parte del ancho debanda. Debido a este sistema de medio compartido, las conexiones de módem por cable pueden volverselentas cuando más usuarios están en la red.

Las conexiones DSL proveen ancho de banda constante, pero en general son más lentas que las conexionesde módem por cable. Además, el ancho de banda sólo es constante entre el hogar u oficina y la oficinacentral de DSL. La oficina central de DSL no puede garantizar una buena conexión a un sitio web o red.

Cómo viaja la información en Internet

Los datos que se envían por Internet se dividen en unidades o paquetes. Cada paquete incluye la direcciónde Internet del destino. Los paquetes que componen una conexión pueden usar diferentes rutas a travésde Internet. Cuando todos llegan a destino, vuelven a agruparse en el orden original. Para asegurar quetodos los paquetes lleguen a destino, se agrega información de dirección a los paquetes.

Acerca de los Protocolos

Un protocolo es un conjunto de reglas que permiten a los equipos conectarse a través de una red. Losprotocolos son la gramática del lenguaje que utilizan los equipos cuando se comunican a través de una red.El protocolo estándar para conectarse a Internet es el IP (Protocolo de Internet). Este protocolo es ellenguaje común de los equipos en Internet.

Un protocolo también indica el modo en que los datos se envían a través de una red. Los protocolosutilizados con más frecuencia son TCP (Protocolo de control de transmisión) y UDP (Protocolo de datagramade usuario). TCP/IP es el protocolo básico utilizado por los equipos que se conectan a Internet.

Se deben conocer algunas de las configuraciones de TCP/IP cuando se configura el dispositivo WatchGuard.Para obtener más información sobre TCP/IP, consulte Buscar las propiedades TCP/IP en la página 36.

Introducción a la seguridad de red

2 Fireware XTM Web UI


Guía del Usuario 3

Acerca de las Direcciones IPPara realizar un envío postal común a una persona, se debe conocer su dirección. Para que un equipo enInternet envíe datos a un equipo diferente, debe conocer la dirección de ese equipo. Una dirección deequipo se conoce como dirección de protocolo de Internet (IP). Todos los dispositivos en Internet tienendirecciones IP únicas, que permiten a otros dispositivos en Internet encontrarlos e interactuar con ellos.

Una dirección IP consta de cuatro octetos (secuencias de números binarios de 8 bits) expresados enformato decimal y separados por puntos. Cada número entre los puntos debe estar en el rango de 0 a 255.Algunos ejemplos de direcciones IP son:

n 206.253.208.100n 4.2.2.2n 10.0.4.1

Direcciones privadas y puertas de enlace

Muchas empresas crean redes privadas que tienen su propio espacio de dirección. Las direcciones 10.x.x.xy 192.168.x.x están reservadas para direcciones IP privadas. Los equipos en Internet no pueden usar estasdirecciones. Si su equipo está en una red privada, se conecta a Internet a través de un dispositivo de puertade enlace que tiene una dirección IP pública.

En general, la puerta de enlace predeterminada es un enrutador que se encuentra entre la red del usuarioe Internet. Después de instalar el Firebox en la red, se convierte en la puerta de enlace predeterminadapara todos los equipos conectados a sus interfaces de confianza u opcionales.

Acerca de las máscaras de subred

Debido a cuestiones de seguridad y rendimiento, las redes a menudo se dividen en porciones máspequeñas llamadas subred. Todos los dispositivos en una subred tienen direcciones IP similares. Porejemplo, todos los dispositivos que tienen direcciones IP cuyos tres primeros octetos son 50.50.50pertenecen a la misma subred.

La subnet mask o máscara de red de una dirección IP de red es una serie de bits que enmascaran seccionesde la dirección IP que identifican qué partes de la dirección IP son para la red y qué partes son para el host.Una puede escribirse del mismo modo que una dirección IP o en notación diagonal o CIDR (enrutamientode interdominios sin clases).

Acerca de las Notación diagonal

Firebox utiliza notación diagonal para muchos fines, entre ellos la configuración de políticas. La notacióndiagonal, conocida también como notación CIDR (enrutamiento de interdominios sin clases) , es un modocompacto de mostrar o escribir una máscara de subred. Cuando se usa notación diagonal, se escribe ladirección IP , una barra diagonal hacia adelante (/) y el número de máscara de subred.

Para encontrar el número de máscara de subred el usuario debe:

1. Convertir la representación decimal de la máscara de subred a una representación binaria.2. Contar cada "1" en la máscara de subred. El total es el número de máscara de subred.

Por ejemplo, el usuario desea escribir la dirección IP 192.168.42.23 con una máscara de subred de255.255.255.0 en notación diagonal.

1. Convertir la máscara de subred a una representación binaria.En este ejemplo, la representación binaria de 255.255.255.0 es:

11111111.11111111.11111111.00000000.2. Contar cada "1" en la máscara de subred.

En este ejemplo, hay veinticuatro (24).3. Escribir la dirección IP original, una barra diagonal hacia adelante (/) y luego el número del paso 2.

El resultado es 192.168.42.23/24.

La siguiente tabla muestra máscaras de red comunes y sus equivalentes en notación diagonal.

Máscara de red Equivalente diagonal

255.0.0.0 /8

255.255.0.0 /16

255.255.255.0 /24

255.255.255.128 /25

255.255.255.192 /26

255.255.255.224 /27

255.255.255.240 /28

255.255.255.248 /29

255.255.255.252 /30

Acerca del ingreso de Direcciones IP

Cuando se ingresan direcciones IP en el Quick Setup Wizard o en cuadros de diálogo, se deben ingresar losdígitos y decimales en la secuencia correcta. No se debe usar la tecla TAB, las teclas de flecha, la barraespaciadora ni el mouse para colocar el cursor después de los decimales.

Por ejemplo si ingresa ladirección IP 172.16.1.10,no ingrese unespacio despuésde ingresar 16.No intentecolocar el cursor despuésdel decimal subsiguiente para ingresar 1. Ingrese undecimal directamente despuésde 16 y luego ingrese 1.10. Presione la teclade barra inclinada (/) paradesplazarse a lamáscarade red.

estáticas y dinámicas Direcciones IP

Los ISP (proveedores de servicios de Internet) asignan una dirección IP a cada dispositivo en la red. Ladirección IP puede ser estática o dinámica.




Guía del Usuario 5

Direcciones IP estáticas

Una dirección IP estática es una dirección IP que permanece siempre igual. Si tiene un servidor web, unservidor FTP u otro recurso de Internet que debe tener una dirección que no puede cambiar, puedeobtener una dirección IP estática de su ISP. Una dirección IP estática generalmente es más costosa que unadirección IP dinámica. Algunos ISP no proveen direcciones IP estáticas. La dirección IP estática debeconfigurarse en formamanual.

Direcciones IP dinámicas

Una dirección IP dinámica es una dirección IP que el ISP permite utilizar en forma temporal a un usuario. Siuna dirección dinámica no está en uso, puede ser asignada automáticamente a un dispositivo diferente. Lasdirecciones IP dinámicas se asignan a través de DHCP o PPPoE.

Acerca de DHCP

El Protocolo de Configuración Dinámica de Host (DHCP) es un protocolo de Internet que los equipos en redutilizan para obtener direcciones IP y otra información como la puerta de enlace predeterminada. Cuandoel usuario se conecta a Internet, un equipo configurado como un servidor DHPC en el ISP le asignaautomáticamente una dirección IP. Podría ser la misma dirección IP que tenía anteriormente o podría seruna nueva. Cuando se cierra una conexión a Internet que usa una dirección IP dinámica, el ISP puedeasignar esa dirección IP a un cliente diferente.

El dispositivo WatchGuard se puede configurar como servidor DHCP para las redes detrás del dispositivo. Seasigna un rango de direcciones para que el servidor DHCP use.

Acerca de PPPoE

Algunos ISP asignan direcciones IP a través del Protocolo punto a punto por Ethernet (PPPoE). PPPoE agregaalgunas de las funciones de Ethernet y del protocolo punto a punto (PPP) a una conexión de accesotelefónico estándar. Este protocolo de red permite al ISP utilizar los sistemas de facturación, autenticación yseguridad de su infraestructura telefónica con productos DSL de módem y de módem por cable.

Acerca de las DNS (sistema de domain name)

Con frecuencia se puede encontrar la dirección de una persona desconocida en el directorio telefónico. EnInternet, el equivalente a un directorio telefónico es el DNS(sistema de domain name). El DNS es una redde servidores que traducen direcciones IP numéricas en direcciones de Internet legibles y viceversa. ElDNS toma el domain name amistoso que el usuario ingresa cuando desea ver un sitio web particular, comowww.example.com y encuentra la dirección IP equivalente, como 50.50.50.1. Los dispositivos de rednecesitan la dirección IP real para encontrar el sitio web, pero para los usuarios es mucho más fácilingresar y recordar los domain names que las direcciones IP.

Un servidor DNS es un servidor que realiza esta traducción. Muchas organizaciones tienen un servidor DNSprivado en su red que responde a solicitudes de DNS. También se puede usar un servidor DNS en la redexterna, como un servidor DNS proporcionado por el ISP (proveedor de servicios de Internet).

Acerca de firewallUn dispositivo de seguridad de red, como un firewall, separa a las redes internas de las conexiones de lared externa para disminuir el riesgo de un ataque externo. La siguiente figura muestra el modo en que elfirewall protege de Internet a los equipos de una red de confianza.

Los firewall usan políticas de acceso para identificar y filtrar diferentes tipos de información. Tambiénpueden controlar qué políticas o puertos pueden usar los equipos protegidos en Internet (acceso saliente).Por ejemplo, muchos firewall tienen políticas de seguridad de prueba que permiten sólo tipos de tráficoespecíficos. Los usuarios pueden seleccionar la política más conveniente para ellos. Otros firewall, porejemplo los dispositivos WatchGuard como el Firebox, permiten al usuario personalizar estas políticas.

Para más informaciones, vea Acerca de servicios y políticas en la página 7 y Acerca de puertos en la página 8




Guía del Usuario 7

Los firewall pueden ser hardware o software. Un firewall protege a las redes privadas de usuarios noautorizados en Internet y examina el tráfico que ingresa a redes protegidas o sale de éstas. El firewallrechaza el tráfico de red que no coincide con los criterios o políticas de seguridad.

En algunos firewall cerrados o de rechazo predeterminado, todas las conexiones de red son rechazadas amenos que exista una regla específica para permitir la conexión. Para implementar este tipo de firewall, sedebe tener información detallada acerca de las aplicaciones de red requeridas para satisfacer lasnecesidades de una organización. Otros firewall permiten todas las conexiones de red que no han sidorechazadas explícitamente. Este tipo de firewall abierto es más fácil de implementar, pero no es tan seguro.

Acerca de servicios y políticas

El usuario utiliza un servicio para enviar diferentes tipos de datos (como correo electrónico, archivos ocomandos) desde una computadora a otra a través de una red o a una red diferente. Estos servicios utilizanprotocolos. Los servicios de Internet utilizados con frecuencia son:

n El acceso a la World Wide Web utiliza el Protocolo de transferencia de hipertexto (HTTP).n El correo electrónico utiliza el Protocolo simple de transferencia de correo (SMTP) o el Protocolo de

Oficina de Correos (POP3).n La transferencia de archivos utiliza el Protocolo de transferencia de archivos (FTP).n Resolver un domain name a una dirección de Internet utiliza el Servicio de Domain Name (DNS).n El acceso a un terminal remoto utiliza Telnet o SSH (Secure Shell).

Cuando se autoriza o se rechaza un servicio, se debe agregar una política a la configuración del dispositivoWatchGuard. Cada política que se agrega también puede sumar un riesgo de seguridad. Para enviar y recibirdatos, se debe abrir una puerta en la computadora, lo cual pone en riesgo a la red. Recomendamos agregarsólo las políticas necesarias para la empresa.

Como ejemplo del modo en que se utiliza una política, supongamos que el administrador de red de unaempresa desea activar una conexión de servicios de terminal de Windows al servidor web público de laempresa en la interfaz opcional del Firebox. Periódicamente administra el servidor web con una conexión

de Escritorio Remoto. Al mismo tiempo desea asegurarse de que ningún otro usuario de la red puedautilizar los servicios de terminal del Protocolo de Escritorio Remoto a través del Firebox. El administradorde red debe agregar una política que permita conexiones RDP sólo desde la dirección IP de su propioequipo de escritorio a la dirección IP del servidor web público.

Cuando se configura el dispositivo WatchGuard con el Quick Setup Wizard, el asistente sólo agregaconectividad saliente limitada. Si el usuario tiene más aplicaciones de software y tráfico de red para queexamine Firebox, debe:

n Configurar las políticas en Firebox para que transfieran en tráfico necesario.n Definir las propiedades y hosts aprobados para cada polítican Equilibrar el requisito para proteger la red contra los requisitos de los usuarios de obtener acceso a

recursos externos.

Acerca de puertos

Aunque los equipos tienen puertos de hardware que se utilizan como puntos de conexión, los puertostambién son números utilizados para asignar tráfico a un proceso particular en un equipo. En estos puertos,también llamados puertos TCP y UDP los programas transmiten datos. Si una dirección IP es como ladirección de una calle, un número de puerto es como un número de departamento o edificio dentro deesa calle. Cuando un equipo envía tráfico a través de Internet a un servidor u otro equipo, utiliza unadirección IP para identificar al servidor o equipo remoto y un número de puerto para identificar el procesoen el servidor o equipo que recibe los datos.

Por ejemplo, supongamos que deseamos ver una página web en particular. El explorador web intenta crearuna conexión en el puerto 80 (el puerto utilizado para tráfico HTTP) para cada elemento de la página web.Cuando el explorador recibe los datos que solicita al servidor HTTP, como una imagen, cierra la conexión.

Muchos puertos se usan sólo para un tipo de tráfico, como el puerto 25 para SMTP (Protocolo simple detransferencia de correo ). Algunos protocolos, como SMTP, tienen puertos con números asignados. A otrosprogramas se les asignan números de puerto en forma dinámica para cada conexión. IANA (InternetAssigned Numbers Authority) mantiene una lista de puertos conocidos. Se puede acceder a esta lista através de:http://www.iana.org/assignments/port-numbers

La mayoría de las políticas que se agregan a la configuración del Firebox tienen un número de puerto entre0 y 1024, pero los números de puerto posibles pueden ser entre 0 y 65535.

Los puertos están abiertos o cerrados. Si un puerto está abierto, el equipo acepta información y utiliza elprotocolo identificado con ese puerto para crear conexiones a otros equipos. Sin embargo, un puertoabierto es un riesgo de seguridad. Para protegerse contra riesgos creados por los puertos abiertos, sepueden bloquear los puertos utilizados por los hackers para atacar a la red. Para más informaciones, veaAcerca de los puertos bloqueados en la página 347.

El dispositivo WatchGuard y la red

El dispositivo WatchGuard es un dispositivo de seguridad de red altamente eficaz que controla todo eltráfico entre la red externa y la red de confianza. Si equipos con confianza combinada se conectan a la red,también se puede configurar una interfaz de red opcional que esté separada de la red de confianza. Luegose puede configurar el firewall en el dispositivo para detener todo el tráfico sospechoso de la red externa a



http://www.iana.org/assignments/port-numbers

http://www.iana.org/assignments/port-numbers


Guía del Usuario 9

las redes de confianza y opcionales. Si se enruta todo el tráfico para los equipos de confianza combinada através de la red opcional, se puede aumentar la seguridad para esas conexiones a fin de sumar másflexibilidad a la solución de seguridad. Por ejemplo, los clientes con frecuencia usan la red opcional para losusuarios remotos o para servidores públicos como un servidor web o un servidor de correo electrónico.

Algunos clientes que adquieren un dispositivo WatchGuard no conocen demasiado sobre redesinformáticas o seguridad de red. LaWeb UI (interfaz de usuario basada en la web) de Fireware XTM proveemuchas herramientas de autoayuda para estos clientes. Los clientes con más experiencia pueden utilizar laintegración avanzada y las múltiples funciones de soporte WAN del Fireware Appliance Software XTM Propara conectar un dispositivo WatchGuard a una red de área ancha mayor. El dispositivo WatchGuard seconecta a un módem por cable, DSL de módem o enrutador ISDN.

LaWeb UI puede utilizarse para administrar sin percances las configuraciones de seguridad de red desdediferentes ubicaciones y en cualquier momento. Así se obtiene más tiempo y recursos para utilizar en otrosequipos de la empresa.


Guía del Usuario 10


2 Introducción a Fireware XTM

Introducción a Fireware XTMFireware XTM le ofrece una forma sencilla y eficiente de visualizar, administrar y monitorear cada Fireboxen su red. La solución Fireware XTM incluye cuatro aplicaciones de software:

n WatchGuard System Manager (WSM)n Fireware XTMWeb UIn Command Line Interface (CLI) de Fireware XTMn WatchGuard Server Center

Posiblemente sea necesario utilizar más de una aplicación Fireware XTM para configurar la red de unaorganización. Por ejemplo, si se tiene sólo un producto Firebox X Edge e-Series, la mayoría de las tareas deconfiguración pueden realizarse con la Fireware XTMWeb UI o la Command Line Interface de FirewareXTM. Sin embargo, para funciones de administración y registro más avanzadas, se debe utilizar WatchGuardServer Center. Si el usuario administra más de un dispositivo WatchGuard o si ha comprado Fireware XTMcon una actualización Pro, recomendamos utilizar WatchGuard System Manager (WSM). Si el usuario decideadministrar y monitorear la configuración con la Fireware XTMWeb UI , algunas funciones no puedenconfigurarse.

Para obtener más información acerca de estas limitaciones, consulte Limitaciones de la Fireware XTMWebUI en la página 31.

Para obtener más información acerca de cómo conectarse a Firebox con el WatchGuard System Manager ola Command Line Interface de Fireware XTM, consulte la Ayuda en línea o la Guía del usuario para esosproductos. Se puede visualizar y descargar la documentación más reciente para estos productos en lapágina Documentación del producto de Fireware XTM:http://www.watchguard.com/help/documentation/xtm.asp.

Nota Los términos Firebox y dispositivo WatchGuard que se encuentran a lo largo detoda esta documentación se refieren a productos deWatchGuard que usanFireware XTM, como el dispositivo Firebox X Edge e-Series.

http://www.watchguard.com/help/documentation/xtm.asp

Componentes de Fireware XTM

Para iniciar WatchGuard System Manager o WatchGuard Server Center desde el escritorio de Windows,seleccione el acceso directo desde el menú de Inicio. WatchGuard Server Center también puede iniciarsedesde un ícono en la bandeja del sistema. Desde estas aplicaciones, se pueden iniciar otras herramientasque ayudan a administrar la red. Por ejemplo, se puede iniciar HostWatch o el Policy Manager desdeWatchGuard System Manager (WSM).

el WatchGuard System Manager

WatchGuard System Manager (WSM) es la principal aplicación para la administración de red con Firebox.WSM se puede utilizar para administrar muchos dispositivos Firebox diferentes, incluso aquellos que usandistintas versiones de software. WSM incluye un conjunto integral de herramientas que ayudan amonitorear y controlar el tráfico de red.

Policy Manager

Se puede utilizar el Policy Manager para configurar el firewall. El Policy Manager incluye un conjuntocompleto de filtrados de paquetes preconfigurados, políticas de proxy y puertas de enlace de lacapa de aplicación (ALG). El usuario también puede establecer un filtrado de paquetespersonalizado, una política de proxy o ALG en los cuales se configuran los puertos, los protocolos yotras opciones. Otras funciones del Policy Manager ayudan a detener los intentos de intrusión en lared, como ataques de congestión del servidor SYN, ataques de suplantación de paquetes y sondeosde espacio entre puertos o direcciones.

Firebox System Manager (FSM)

El Firebox System Manager provee una interfaz para monitorear todos los componentes deldispositivo WatchGuard. Desde FSM, se puede ver el estado en tiempo real de Firebox y suconfiguración.

Introducción a Fireware XTM




HostWatch

HostWatch es un monitor de conexión en tiempo real que muestra el tráfico de red entrediferentes interfaces de Firebox. HostWatch también muestra información acerca de usuarios,conexiones, puertos y servicios.

LogViewer

El LogViewer es la herramienta del WatchGuard System Manager usada para ver datos del archivode registro. Puede mostrar los datos de registro página por página, o buscar y exhibir por palabrasclaves o campos de registro especificados.

Report Manager

El Report Manager puede usarse para generar informes de los datos reunidos desde los Log Serverspara todos los dispositivos WatchGuard. Desde el Report Manager, se pueden ver los InformesWatchGuard disponibles para los dispositivos WatchGuard.

Administrador de CA

El Administrador de la autoridad de certificación (CA) muestra una lista completa de certificados deseguridad instalados en el equipo de administración con Fireware XTM. Esta aplicación puedeutilizarse para importar, configurar y generar certificados para uso con túneles VPN y otros fines deautenticación.

WatchGuard Server Center

WatchGuard Server Center es la aplicación donde se configuran y monitorean todos los servidoresWatchGuard.

Management Server

El Management Server funciona en un equipo Windows. Con este servidor, se pueden administrartodos los dispositivos de firewall y crear túneles de red privada virtual (VPN) utilizando una simplefunción de arrastrar y soltar. Las funciones básicas del Management Server son:

n Autoridad de certificación para distribuir certificados para túneles de seguridad del protocolode Internet (IPSec).

n Administración de la configuración del túnel VPN.n Administración de múltiples dispositivos Firebox y Firebox X Edge.

Log Server

El Log Server reúne los mensajes de registro de cada Firebox de WatchGuard. Estos mensajes deregistro están cifrados cuando se envían al Log Server. El formato del mensaje de registro es XML(texto sin formato). La información reunida de dispositivos de firewall incluye los siguientesmensajes de registro: tráfico, evento, alarma, depuración (diagnóstico) y estadística.

WebBlocker Server

El WebBlocker Server funciona con el proxy HTTP del Firebox para denegar el acceso de usuarios acategorías específicas de sitios web. Durante la configuración del Firebox, el administrador establecelas categorías de sitios web para permitir o bloquear.

Para obtener más información sobre WebBlocker y el WebBlocker Server, consulte Acerca de lasWebBlocker en la página 561.

Quarantine Server

El Quarantine Server reúne y aísla mensajes de correo electrónico que según la sospecha despamBlocker son spam o pueden tener un virus.

Para más informaciones, vea Página Acerca de Quarantine Server en la página 635.

Report Server

El Report Server periódicamente agrupa los datos reunidos por los Log Servers en los dispositivosWatchGuard y luego genera informes en forma periódica. Una vez que los datos se encuentran en elReport Server, se puede utilizar el Report Manager para generar y ver los informes.

Fireware XTMWeb UI e interfaz de la línea de comandos

La Fireware XTMWeb UI y la Command Line Interface son soluciones de administración alternativas quepueden realizar la mayoría de las mismas tareas que WatchGuard System Manager y el Policy Manager .Algunas opciones y funciones de configuración avanzada, como las configuraciones de FireCluster o políticade proxy, no están disponibles en la Fireware XTMWeb UI o la Command Line Interface.

Para más informaciones, vea Acerca del Fireware XTM Web UI en la página 30.

Fireware XTM con Actualización ProLa actualización Pro a Fireware XTM provee varias funciones avanzadas para clientes con experiencia,como balance de carga en el servidor y túneles SSL VPN adicionales. Las funciones disponibles con unaactualización Pro dependen del tipo y el modelo de Firebox:

FunciónCore e-Series

Core/Peak e-Seriesy XTM XTM 1050(Pro)

Edge e-Series

Edge e-Series(Pro)

FireCluster X

VLANs 75 máx.75 máx. (Core)200 máx. (Peak/XTM 1050)

20 máx. 50 máx.

Dynamic Routing (OSPF y BGP) X

Enrutamiento basado en la política X X

Balance de carga en el servidor X

Túneles SSL VPN máximos X X

Conmutación por error de WANmúltiples

X X X

Balance de carga de WANmúltiples

X X





Para adquirir Fireware XTM con una actualización Pro, comuníquese con su revendedor local.


3 Servicio y soporte

Acerca de las Soporte de WatchGuardWatchGuard® sabe qué importante resulta el soporte cuando debe asegurar su red con recursos limitados.Nuestros clientes requieren más conocimiento y asistencia en un mundo donde la seguridad es deimportancia crítica. LiveSecurity® Service le proporciona el respaldo que necesita, con una suscripción querespalda su dispositivo WatchGuard desde el momento del registro.

LiveSecurity® Service

Su dispositivo WatchGuard incluye una suscripción al innovador LiveSecurity® Service, que se activa en líneacuando registra el producto. En el momento de la activación, la suscripción de LiveSecurity® Service leotorga acceso a un programa de soporte y mantenimiento sin comparación en la industria.

LiveSecurity® Service viene con los siguientes beneficios:

Garantía de hardware con reemplazo de hardware avanzado

Una suscripción activa de LiveSecurity extiende la garantía de hardware de un año incluida con cadadispositivo WatchGuard. Su suscripción además ofrece el reemplazo de hardware avanzado paraminimizar el tiempo de inactividad en caso de una falla de hardware. Si tiene una falla de hardware,WatchGuard le enviará una unidad de reemplazo antes de que tenga que enviar el hardwareoriginal.

Actualizaciones de software

Su suscripción de LiveSecurity® Service le proporciona acceso a las actualizaciones del softwareactual y a las mejoras funcionales para sus productos WatchGuard.

Soporte técnico

Cuando necesita asistencia, nuestros equipos expertos están listos para ayudarlo:

n Representantes disponibles 12 horas al día, 5 días a la semana en su zona horaria local*n Tiempo máximo de respuesta inicial focalizada de cuatro horas

n Acceso a foros para usuarios en línea moderados por ingenieros generales de soporte

Recursos y alertas de soporte

Su suscripción de LiveSecurity® Service le brinda acceso a una variedad de videos instructivos deproducción profesional, cursos de capacitación interactivos en Internet y herramientas en líneadiseñadas específicamente para responder las preguntas que pueda tener acerca de la seguridad dered en general o los aspectos técnicos de la instalación, la configuración y el mantenimiento de susproductos WatchGuard.

Nuestro Equipo de respuesta rápida, un grupo dedicado de expertos en seguridad de red,monitorea Internet para identificar las amenazas emergentes. Luego, emite Transmisiones deLiveSecurity para indicarle de manera específica lo que debe hacer para encargarse de cada nuevaamenaza. Puede personalizar sus preferencias de alerta para seleccionar cuidadosamente el tipo deavisos y alertas que le envía LiveSecurity® Service.

LiveSecurity® Service Gold

LiveSecurity® Service Gold está disponible para las compañías que requieren disponibilidad las 24 horas.Este servicio de soporte de primera calidad otorga una mayor cantidad de horas de cobertura y tiempos derespuesta más rápidos gracias a la asistencia de soporte remoto las 24 horas. LiveSecurity Service Gold esnecesario en cada unidad de su organización para contar con una cobertura completa.

Características del servicio LiveSecurity® ServiceLiveSecurity®Service Gold

Horarios de soporte técnicoDe lunes a viernes, de 6.00 a. m. a 6.00 p. m.*

las 24 horas

Número de incidentes de soporte(en línea o por teléfono)

5 por año Ilimitada

Tiempo de respuesta inicial focalizada 4 horas 1 hora

Foro de soporte interactivo Sí Sí

Actualizaciones de software Sí Sí

Herramientas de autoayuda y capacitación en línea Sí Sí

Transmisiones de LiveSecurity Sí Sí

Asistencia de instalación Opcional Opcional

Paquete de soporte de tres incidentes Opcional N/A

Actualización de respuesta de prioridadde una hora, para un solo incidente

Opcional N/A

Actualización para un solo incidente fuera delhorario de trabajo habitual

Opcional N/A

Servicio y soporte


Servicio y soporte


* En la región del pacífico asiático, los horarios de soporte estándar son de lunes a viernes, de 9.00 a. m. a 9.00 p. m.

(GMT +8).

Expiración del servicio

Le recomendamos mantener su suscripción activa para asegurar su organización. Cuando su suscripción deLiveSecurity expira, usted pierde el acceso a advertencias de seguridad actualizadas y actualizaciones desoftware periódicas, lo que puede poner su red en peligro. El daño a la red resulta mucho más costoso queuna renovación de la suscripción de LiveSecurity® Service. Si realiza la renovación dentro de 30 días, no sele cobrará una tarifa de reingreso.

Servicio y soporte



4 Introducción

Antes de empezarAntes de empezar el proceso de instalación, asegúrese de concluir las tareas descritas en las siguientessecciones.

Nota En esas instrucciones de instalación, suponemos que su dispositivo WatchGuardtenga una interfaz de confianza, una externa y una opcional configurada. Paraconfigurar interfaces adicionales en su dispositivo, use las herramientas yprocedimientos de configuración descritos en los tópicos Configuración de red yConfiguración.

Verificar componentes básicos

Asegurarse de que tiene esos ítems:

n Un equipo de tarjeta de interfaz de red Ethernet 10/100BaseT y un explorador web instaladosn Un dispositivo Firebox o XTM de WatchGuardn Un cable serial (azul)

solamente modelos Firebox X Core, Peak y XTM de WatchGuardn Un cable cruzado de Ethernet (rojo)

solamente modelos Firebox X Core, Peak y XTM de WatchGuardn Un cable recto de Ethernet (verde)n Cable de energía o adaptador de energía CA

Obtener tecla de función del dispositivo WatchGuard

Para habilitar todas las funciones de su dispositivo WatchGuard, debe registrar el dispositivo en el sitio webde LiveSecurity de WatchGuard y obtener su tecla de función. El Firebox tiene sólo una licencia de usuario(licencia por puesto) hasta que aplica su tecla de función.

Si registra su dispositivo WatchGuard antes de usar el Quick Setup Wizard, puede pegar una copia de sutecla de función en el asistente. El asistente entonces la aplica a su dispositivo. Si no pega su tecla de funciónen el asistente, aún puede finalizarlo. Hasta que se agregue la tecla de función, sólo una conexión espermitida a Internet.

También se obtiene una nueva tecla de función para cualquier producto o servicio opcional cuando loscompra. Después de registrar su dispositivo WatchGuard o cualquier nueva función, puede sincronizar sutecla de función del dispositivo WatchGuard con las teclas guardadas en su perfil de registro en el sitio deLiveSecurity de WatchGuard. Puede usar Fireware XTMWeb UI en cualquier momento para obtener sutecla de función.

Para saber cómo registrar su dispositivo WatchGuard y obtener una tecla de función, vea Obtener una teclade función junto a LiveSecurity en la página 52.

Recoger direcciones de red

Recomendamos que registre su información de red antes y después de configurar su dispositivoWatchGuard. Use la primera tabla abajo para sus direcciones IP de red antes de poner su dispositivo enfuncionamiento. Para más información acerca de cómo identificar sus direcciones IP de red, vea Identificarsus configuraciones de red en la página 35.

WatchGuard usa la notación diagonal para mostrar la Subnet Mask. Para más informaciones, vea Acerca delas Notación diagonal en la página 3. Para más información acerca de las direcciones IP, vea Acerca de lasDirecciones IP en la página 3.

Tabla 1: Direcciones IP de red sin el dispositivo WatchGuard

Red de Área Amplia _____._____._____._____ / ____

Puerta de enlace predeterminada _____._____._____._____

Red de área local _____._____._____._____ / ____

Secondary Network (si corresponde) _____._____._____._____ / ____

Servidor(es) Público(s) (si corresponde) _____._____._____._____

_____._____._____._____

_____._____._____._____

Use la segunda tabla para sus direcciones IP de red después de poner su dispositivo WatchGuard enfuncionamiento.

Interfaz externa

Conecta a la red externa (generalmente Internet) que no sea de confianza.

Interfaz de confianza

Conecta a la red interna o LAN (red de área local) privada que desea proteger.

Introducción


Introducción


Interfaz opcional

Generalmente conecta a un área de confianza combinada de su red, tales como servidores en DMZ(zona desmilitarizada). Puede usar interfaces opcionales para crear zonas en la red con diferentesniveles de acceso.

Tabla 1: Direcciones IP de red con el dispositivo WatchGuard

Puerta de enlace predeterminada _____._____._____._____

Interfaz externa _____._____._____._____/ ____

Interfaz de confianza _____._____._____._____ / ____

Interfaz opcional _____._____._____._____ / ____

Secondary Network (si corresponde) _____._____._____._____ / ____

Seleccione un modo configuración de firewall

Debe elegir cómo desea conectar el dispositivo WatchGuard a su red antes de ejecutar el Quick SetupWizard. La forma como conecta el dispositivo controla la configuración de la interfaz. Cuando conecta eldispositivo, selecciona el modo de configuración — enrutado o directo — que mejor de adecue a su redactual.

Muchas redes funcionan mejor con la configuración de enrutamiento combinado, pero recomendamos elmodo directo si:

n Ya asignó un gran número de direcciones IP estáticas y no desea alterar su configuración de red.n No se puede configurar los equipos en redes de confianza y opcional que tengan direcciones IP

públicas con direcciones IP privadas.

Esa tabla y las descripciones abajo de ella muestran tres condiciones que pueden ayudar a seleccionar elmodo configuración del firewall.

Modo de enrutamiento combinado Modo directo

Todas las interfaces del dispositivo WatchGuardestán el redes diferentes.

Todas las interfaces del dispositivo WatchGuardestán en la misma red y tienen la misma direcciónIP.

Las interfaces de confianza y opcional deben estaren redes diferentes. Cada interfaz tiene unadirección IP en su red.

Los equipos en las interfaces de confianza u opcionalpueden tener una dirección IP pública.

Use la NAT (traducción de dirección de red)estática para asignar direcciones públicas adirecciones privadas detrás de las interfaces deconfianza u opcionales.

La NAT no es necesaria porque los equipos conacceso público tienen direcciones IP.

Para más información acerca del modo directo, vea Acerca de la configuración de red en modo directo enla página 89.

Para más información acerca del modo de enrutamiento combinado, veaModo de enrutamientocombinado en la página 82.

El dispositivo WatchGuard también soporta un tercer modo configuración llamado modo puente. Ese modoes usado con menos frecuencia. Para más información acerca del modo puente, veaModo Bridge en lapágina 94.

Nota Puede usar el Web Setup Wizard o el Quick Setup Wizard del WSM para crear suconfiguración inicial. Cuando ejecuta el Web Setup Wizard, la configuraciónfirewall es automáticamente definida en modo de enrutamiento combinado.Cuando ejecuta el Quick Setup Wizard del WSM, puede configurar el dispositivo enmodo de enrutamiento combinado o modo directo.

Ahora puede iniciar el Quick Setup Wizard. Para más informaciones, vea Acerca del Quick Setup Wizard enla página 24.

Acerca del Quick Setup WizardSe puede usar la Quick Setup Wizard para crear una configuración básica para su dispositivo WatchGuard. Eldispositivo usa ese archivo de configuración básica cuando se inicia por primera vez. Eso permite quefuncione como un firewall básico. Puede usar ese mismo procedimiento a cualquier momento pararestablecer el dispositivo en una configuración básica nueva. Eso es útil para la recuperación del sistema.

Cuando configura su dispositivo WatchGuard con el Quick Setup Wizard, se definen sólo las políticas básicas(TCP y UDP salientes), filtrado de paquetes del FTP, ping y WatchGuard) y direcciones IP de interfaz. Si tienemás aplicaciones de software y tráfico de red para que el dispositivo busque, debe:

n Configurar las políticas en el dispositivo WatchGuard para dejar pasar el tráfico necesarion Definir las propiedades y hosts aprobados para cada polítican Balancear el requisito para proteger su red contra los requisitos de sus usuarios para conectarse a

recursos externos

Para instrucciones acerca de cómo ejecutar el asistente a partir del explorador web, vea Ejecutar el WebSetup Wizard en la página 24.

Ejecutar el Web Setup Wizard

Nota Esas instrucciones son para el Web Setup Wizard en un Firebox que usa el FirewareXTM v11.0 o posterior. Si su dispositivo WatchGuard usa una versión anterior delsoftware, debe actualizar para el Fireware XTM antes de usar esas instrucciones.Vea las Notas de versión para las instrucciones de actualización para su modelo deFirebox.

Puede usar el Web Setup Wizard para hacer una configuración básica en un dispositivo WatchGuard XTM oFirebox X e-Series. El Web Setup Wizard automáticamente configura el Firebox en el modo deenrutamiento combinado.

Introducción


Introducción


Para usar el Web Setup Wizard, debe hacer una conexión de red directa hacia el dispositivo WatchGuard yusar un explorador web para iniciar el asistente. Cuando configura su dispositivo WatchGuard, él usa DHCPpara enviar una nueva dirección IP a su equipo.

Antes de iniciar el Web Setup Wizard, asegúrese de:

n Registrar su dispositivo WatchGuard con el LiveSecurity Servicen AlmacenarunacopiadelatecladefuncióndeldispositivoWatchGuardenunarchivodetextoensuequipo

Iniciar el Web Setup Wizard

1. Use el cable cruzado de Ethernet que viene con su Firebox para conectar el equipo deadministración a la interfaz de confianza del Firebox.

n Paraun dispositivo Firebox X Core,Peak e-Series,o XTM, la interfazde confianzaes lanúmero 1n Para un Firebox X Edge E-Series, la interfaz de confianza es la LAN0

2. Conecte el cable de energía a la entrada de energía del dispositivo WatchGuard y a una fuente deenergía.

3. Inicie el Firebox en modo predeterminado de fábrica. En los modelos Core, Peak y XTM, eso seconoce como modo seguro.

Para más informaciones, vea Restablecer un dispositivo Firebox o XTM a una configuración anterioro nueva en la página 48.

4. Asegúrese de que su equipo esté configurado para aceptar una dirección IP asignada por DHCP.

Si su equipo usaWindows XP:

n En el menú Windows Inicio, seleccione Todos los programas > Panel de control > Conexionesde red > Conexiones de área local.

n Haga clic en Propiedades.n Seleccione Protocolo de Internet (TCP/IP) y haga clic en Propiedades.n Asegúrese de que Obtener una dirección IP automáticamente esté seleccionado.

Para instrucciones más detalladas, vea Identificar sus configuraciones de red en la página 35.

5. Si su explorador usa un servidor proxy de HTTP, debe desactivar temporalmente la configuraciónproxy HTTP en su explorador.

Para más informaciones, vea Desactive el proxy de HTTP en el explorador en la página 39.

6. Abra el explorador web e ingrese la dirección IP predeterminada de fábrica de interfaz 1.Para un Firebox X Core o Peak, o un dispositivo WatchGuard XTM, la dirección IP es:https://10.0.1.1:8080.Para un Firebox X Edge, la dirección es: https://192.168.111.1:8080.Si usa el Internet Explorer, asegúrese de ingresar el https:// al principio de la dirección IP. Esoestablece una conexión HTTP segura entre su equipo de administración y el dispositivo WatchGuard.El Web Setup Wizard se inicia automáticamente.

7. Registre las credenciales de cuenta del administrador:Nombre de usuario:adminFrase de contraseña: lecturaescritura

8. Complete las siguientes pantallas del asistente.

El Web Setup Wizard incluye ese grupo de cuadros de diálogo. Algunos cuadros de diálogo aparecensólo si selecciona ciertos métodos de configuración:

Ingresar

Ingresar con las credenciales de cuenta del administrador. ParaNombre de usuario, seleccioneadmin. Para Frase de contraseña, use la frase: lecturaescritura.

Bienvenido

La primera pantalla le informa sobre el asistente.

Seleccione un tipo de configuración.

Seleccione si prefiere crear una nueva configuración o restaurar una configuración a partir deuna imagen de copia de seguridad guardada.

Acuerdo de licencia

Debe aceptar el acuerdo de licencia para continuar con el asistente.

Opciones de tecla de función, Retener tecla de función, Aplicar tecla de función

Si su Firebox todavía no tiene una tecla de función, el asistente provee opciones para quedescargue o importe una tecla de función. El asistente sólo puede descargar una tecla defunción si tiene una conexión a Internet. Si descargó una copia local de la tecla de función a suequipo, puede pegarla en el asistente de configuración.

Si el Firebox no tiene una conexión a Internet mientras ejecuta el asistente y no se registró eldispositivo ni descargó la tecla de función a su equipo antes de haber iniciado el asistente,puede elegir no aplicar una tecla de función.

AdvertenciaSi no aplica una tecla de función en el Web Setup Wizard, debe registrar eldispositivo y aplicar la tecla de función en el Fireware XTM Web UI. Lafuncionalidad del dispositivo es limitada hasta que se aplique una tecla de función.

Configurar la interfaz externa de su Firebox

Seleccione el método que su ISP usa para asignar su dirección IP. Las opciones son DHCP, PPPoEo estática.

Configurar la interfaz externa para DHCP

Ingrese su identificación de DHCP, tal como su ISP la provee.

Configurar la interfaz externa para PPPoE

Ingrese su información de PPPoE, tal como su ISP la provee.

Configurar la interfaz externa con una dirección IP estática

Ingrese su dirección IP estática, tal como su ISP la provee.

Configurar los servidores DNS y WINS

Ingresar las direcciones de DNS de dominio y servidor WINS que desea que el Firebox utilice

Configurar la interfaz de confianza del Firebox

Introducción


Introducción


Ingrese la dirección IP de la interfaz de confianza. Como opción, puede activar el servidor DHCPpara la interfaz de confianza.

Inalámbrico (Firebox X Edge e-Series inalámbrico solamente)

Define la región de funcionamiento, canal y modo inalámbrico. La lista de regiones defuncionamiento inalámbrico que puede seleccionar puede ser diferente según donde hayaadquirido su Firebox.

Para más informaciones, vea Acerca de configuraciones de radio en Firebox X Edge e-Seriesinalámbrico en la página 181.

Crear frases de contraseña para su dispositivo

Ingrese una frase de contraseña para el estado (sólo lectura) y cuentas de administraciónadmin (lectura/escritura) en el Firebox.

Habilitar administración remota

Active la administración remota si desea administrar ese dispositivo desde la interfaz externa.

Agregue la información de contacto para su dispositivo

Puede ingresar un nombre de dispositivo, ubicación e información de contacto y guardar losdatos de administración para ese dispositivo. Por defecto, el nombre del dispositivo seconfigura con el número de modelo de su Firebox. Recomendamos que elija un nombre únicoque pueda usar para identificar fácilmente ese dispositivo, especialmente si usa administraciónremota.

Configurar la zona horaria

Seleccione la zona horaria en la que el Firebox está ubicado.

El Quick Setup Wizard está concluido

Después de concluir el asistente, el dispositivo WatchGuard se reinicia.

Si deja el Web Setup Wizard ocioso por 15 minutos o más, debe volver al Paso 3 e iniciar nuevamente.

Nota Si cambia la dirección IP de la interfaz deconfianza, debecambiar su configuracióndered para asegurarse deque su dirección IP coincide con la subred de la red deconfianza antes deconectase al Firebox. Si usa DHCP, reinicie su equipo. Si usadirecciones estáticas, veaUse una dirección IP estática en la página 38.

Después que el asistente se concluye

Después que completa todas las pantallas en el asistente, se hace una configuración básica del dispositivoWatchGuard que incluye cuatro políticas (TCP saliente, filtrado de paquetes del FTP, ping y WatchGuard) ylas direcciones IP de interfaz especificadas. Puede usar Fireware XTM Web UI para expandir o cambiar laconfiguración para su dispositivo WatchGuard.

n Para más información acerca de como concluir la instalación de su dispositivo WatchGuard despuésque se concluye el Web Setup Wizard, vea Concluya su instalación en la página 32.

n Para más información acerca de cómo conectarse al Fireware XTM Web UI, vea Conéctese alFireware XTM Web UI en la página 28.

Si tiene problemas con el asistente

Si el Web Setup Wizard no puede instalar el Fireware Appliance Software XTM en el dispositivoWatchGuard, el tiempo de espera del asistente se agota. Si tiene problemas con el asistente, verifique esto:

n El archivo del software de la aplicación Fireware XTM descargado del sitio web LiveSecurity podríaestar corrompido. Si la imagen del software está corrompida, en un dispositivo Firebox X Core, Peako XTM , este mensaje aparece en la interfaz de LCD: Error de archivo truncado.

Si ese mensaje aparece, descargue el software nuevamente y pruebe el asistente una vez más.

n Si usa el Internet Explorer 6, limpie el caché del archivo en el explorador web e intentenuevamente.

Para limpiar el caché, en el Internet Explorer seleccione Herramientas > Opciones de Internet >Borrar archivos.

Conéctese al Fireware XTM Web UIPara conectarse a la Fireware XTMWeb UI , se utiliza un explorador web para ir a la dirección IP de lainterfaz opcional o de confianza del dispositivo WatchGuard a través del número de puerto correcto. Lasconexiones a la Web UI están siempre cifradas con HTTPS; el mismo cifrado de alta seguridad utilizado porsitios web de bancos y compras. Se debe utilizar https cuando se ingresa la URL en la barra de dirección delexplorador, en lugar de http.

De manera predeterminada, el puerto utilizado para la Web UI es 8080. La URL para conectarse a la Web UIen su explorador es:

https://<firebox-ip-address>:8080

Aquí, <firebox-ip-address> es la dirección IP asignada a la interfaz opcional o de confianza. Cuando se realizaesta conexión, el explorador carga el aviso de inicio de sesión. La URL predeterminada para la interfaz deconfianza es diferente para el Edge que para los otros modelos de Firebox.

n La URL predeterminada para un dispositivo Firebox X Core, Peak o WatchGuard XTM eshttps://10.0.1.1:8080.

n El URL predeterminado para un Firebox X Edge es https://192.168.111.1:8080.

El usuario puede cambiar la dirección IP de la red de confianza a una dirección IP diferente. Para másinformaciones, vea Configuraciones de interfaz comunes en la página 95.

Por ejemplo, para usar la URL predeterminada para conectarse a un Firebox X Edge:

1. Abra su explorador web.2. En la barra de dirección o ubicación, ingrese https://192.168.111.1:8080 y presione Enter.

En el explorador aparece una notificación del certificado de seguridad.

Introducción


Introducción


3. Cuando observe la advertencia del certificado, haga clic en Continuar a este sitio web (IE 7) oAgregar excepción (Firefox 3).Esta advertencia aparece porque el certificado que utiliza el dispositivo WatchGuard está firmadopor la autoridad de certificación de WatchGuard, que no figura en la lista de autoridades deconfianza de su explorador.

Nota Esta advertencia aparece cada vez que el usuario se conecta al dispositivoWatchGuard a menos que se acepte el certificado en forma permanente o segenere e importe un certificado para uso del dispositivo. Para más informaciones,vea Acerca de los certificados en la página 385.

4. En la lista desplegable Nombre de usuario, seleccione el nombre de usuario.

5. En el campo Frase de contraseña, ingrese la frase de contraseña.

n Si elige el nombre de usuario administrador, ingrese la frase de contraseña de configuración(de lectura-escritura).

n Si elige el nombre de usuario estado, ingrese la frase de contraseña de estado (de sólo lectura) .

Nota Demanera predeterminada, la configuración de Firebox sólo permiteconexiones ala Fireware XTMWeb UI desde las redesopcionales o de confianza.Para cambiar laconfiguración para permitir conexiones a la WebUI desde la red externa, consulteConectarsea la Fireware XTMWeb UI desdeuna red externa en la página 29.

Conectarse a la Fireware XTM Web UI desde unared externaLa configuración del dispositivo Fireware XTM tiene una política llamadaWeb UI de WatchGuard. Estapolítica controla qué interfaces de Firebox pueden conectarse a la Fireware XTMWeb UI De manerapredeterminada, esta política sólo permite conexiones desde redes Cualquiera de confianza y Cualquieraopcional. Si desea permitir el acceso a la Web UI desde la red externa, debe editar la políticaWeb UI deWatchGuard y agregar Cualquiera externa a la lista Desde.

Fireware XTMWeb UI :

1. Seleccione Firewall > Políticas de Firewall.2. Haga doble clic en la políticaWeb UI de WatchGuard para editarla.3. Haga clic en la pestaña Política.4. En la sección Desde, haga clic en Agregar.

5. Seleccione Cualquiera externa.6. Haga clic en OK.7. Haga clic en Guardar.

Acerca del Fireware XTM Web UILaWeb UI del Fireware XTM permite monitorear y administrar cualquier dispositivo que utiliza FirewareXTM versión 11 o posterior sin necesidad de instalar ningún otro software en su equipo. El único softwareque necesita es un explorador que admita Adobe Flash.

Debido a que no es necesario instalar ningún software, se puede utilizar la Web UI desde cualquier equipoque tenga conectividad TCP/IP y un explorador. Esto significa que el usuario puede administrar Fireboxdesde un equipo que tengaWindows, Linux, Mac OS o cualquier otra plataforma, siempre que tenga unexplorador compatible con Adobe Flash 9 y conectividad de red.

LaWeb UI es una herramienta de administración en tiempo real. Esto significa que cuando utiliza la Web UIpara realizar cambios en un dispositivo, los cambios realizados generalmente tienen efecto inmediato. LaWeb UI no permite generar una lista de cambios a un archivo de configuración guardado localmente, paraenviar muchos cambios al dispositivo de una sola vez en un momento posterior. Esto difiere del PolicyManager de Fireware XTM, lo cual es una herramienta de configuración fuera de línea. Los cambiosrealizados a un archivo de configuración guardado localmente utilizando el Policy Manager sólo tienenefecto después de que se guarda la configuración en el dispositivo.

Nota Se debe completar el Quick Setup Wizard para poder ver la Fireware XTMWeb UI .Para más informaciones, vea Ejecutar el Web Setup Wizard en la página 24.También se debe utilizar una cuenta con privilegios de acceso administrativostotales para ver y cambiar las páginas de configuración.

En el lado izquierdo de la Fireware XTMWeb UI se encuentra la navigation bar del menú principal que seutiliza para seleccionar un grupo de páginas de configuración.

El elemento superior en la navigation bar es el Panel de control, que permite regresar a la página Panel decontrol de Fireware XTM , la cual se ve en cuanto el usuario se conecta a la Fireware XTMWeb UI.

Introducción


Introducción


Todos los demás elementos de la navigation bar contienen elementos de menú secundarios que se usanpara configurar las propiedades de esa función.

n Para visualizar estos elementos de menú secundarios, haga clic en el nombre del elemento demenú. Por ejemplo, si hace clic en Autenticación, aparecen estos elementos de menú secundarios:Servidores, Configuración, Usuarios y grupos, Certificado de servidor web y Single Sign-On.

n Para ocultar los elementos de menú secundarios, haga clic nuevamente en el elemento de menú denivel superior.

Para mostrar los elementos de menú que se amplían o en los que se hace clic, la documentación utiliza elsímbolo de flecha derecha (>). Los nombres de menús aparecen en negrita. Por ejemplo, el comando paraabrir la página Configuración de autenticación aparece en el texto como Configuración de >Autenticación.

Seleccione el idioma de Fireware XTMWeb UI

Fireware XTMWeb UI admite cinco idiomas. El nombre del idioma seleccionado actualmente se muestraen la parte superior de cada página.

Para cambiar a un idioma diferente:

1. Haga clic en el nombre del idioma.Aparecerá una lista desplegable de idiomas.

2. Seleccione el idioma de la lista.Fireware XTMWeb UI utiliza el idioma seleccionado.

Limitaciones de la Fireware XTMWeb UI

Se puede utilizar la Fireware XTMWeb UI, WatchGuard System Manager y la Command Line Interface (CLI)de Fireware XTM para configurar y monitorear el dispositivo Fireware XTM. Cuando el usuario deseamodificar el archivo de configuración de un dispositivo, puede aplicar cualquiera de estos programas. Sinembargo, hay varios cambios de configuración del dispositivo que no pueden realizarse con la FirewareXTMWeb UI.

Algunas de las tareas que puede completar en el Policy Manager, pero no con laWeb UI incluyen:

n Ver o configurar opciones de proxy avanzadas.n La vista avanzada de tipos de contenido proxy no está disponible.n Algunas otras opciones de configuración proxy no están disponibles (varían según el proxy).

n Editar reglas de NAT estática (sólo se pueden agregar y eliminar)

n Exportar un certificado o ver detalles acerca de un certificado (sólo se pueden importarcertificados).

n Activar la generación de registro de diagnóstico o cambiar los niveles de registro de diagnóstico.n Cambiar la generación de registro de opciones de manejo predeterminado de paquetes.n Activar o desactivar la notificación de eventos de VPN para sucursales.n Agregar o quitar entradas ARP estáticas en la tabla ARP del dispositivo.n Obtener el archivo de configuración de Mobile VPN with SSL en formamanual.n Obtener la configuración de cliente usuario final de Mobile VPN with IPSec cifrada (.wgx) (sólo se

puede obtener el archivo .ini equivalente, pero sin cifrar)n Editar el nombre de una política.n Agregar una dirección personalizada a una política.n Utilizar un nombre de host (Búsqueda de DNS) para agregar una dirección IP a una polítican Utilizaradministraciónbasadaenroles(tambiénconocidacomocontroldeaccesobasadoenrolesoRBAC).n Ver o cambiar la configuración de un dispositivo que es miembro de un FireCluster.

El grupo de aplicaciones incorporadas en WatchGuard System Manager incluye muchas otras herramientaspara monitoreo e informes. Algunas de las funciones proporcionadas por HostWatch, LogViewer, ReportManager y WSM tampoco están disponibles en la Web UI.

Para utilizar algunas funciones de Fireware XTM relacionadas con servidores WatchGuard, es necesarioinstalar WatchGuard Server Center. No es necesario utilizar WatchGuard System Manager para instalarWatchGuard Server Center. Los siguientes servidores WatchGuard pueden configurarse utilizandoWatchGuard Server Center:

n Management Servern Log Servern Report Servern Quarantine Servern WebBlocker Server

Para aprender cómo configurar funciones no admitidas en laWeb UI o cómo utilizar WatchGuard ServerCenter, consulte la Ayuda de Fireware XTMWatchGuard System Manager v11 enhttp://www.watchguard.com/help/docs/wsm/11/es-ES/index.html.

Para conocer más acerca de la CLI, consulte la Referencia de Command Line Interface deWatchGuard enhttp://www.watchguard.com/help/documentation.

Concluya su instalaciónDespuésde concluirelWebSetupWizard,debeconcluir lainstalación desudispositivoWatchGuard ensu red.

1. Ponga el dispositivo WatchGuard en su ubicación física permanente.2. Asegúrese de que la puerta de enlace del equipo de administración y el resto de la red de confianza

sea la dirección IP de la interfaz de confianza de su dispositivo WatchGuard.

3. Para conectarse a su dispositivo WatchGuard con la interfaz del usuario web de Fireware XTM, abraun explorador web e ingrese:https//[dirección IP de la interfaz de confianza del dispositivo

WatchGuard]:8080.

n El URL para un dispositivo Firebox X Core, Peak o XTM es https://10.0.1.1:8080.n El URL predeterminado para un Firebox X Edge es https://192.168.111.1:8080.

Para obtener más información, consulte Conéctese al Fireware XTM Web UI en la página 28.

Introducción


http://www.watchguard.com/help/docs/wsm/11/es-ES/index.html



Introducción


4. Si usa una configuración enrutada, asegúrese de alterar la puerta de enlace puerta de enlacepredeterminada en todos los equipos que se conectan a su dispositivo WatchGuard para que ladirección IP coincida con la de la interfaz de confianza del dispositivo WatchGuard.

5. Personalice su configuración según sea necesario para fines de seguridad de su empresa.

Para más información, vea la siguiente sección Personalizar su política de seguridad.

Personalizar su política de seguridad

Su política de seguridad controla quién puede entrar y salir de su red y a qué parte de su red se puedeentrar. El archivo de configuración de su dispositivo WatchGuard administra las políticas de seguridad.

Cuando haya concluido el Quick Setup Wizard, el archivo de configuración creado sólo era unaconfiguración básica. Se puede modificar esa configuración para que esté de acuerdo con su política deseguridad de su negocio y los requisitos de seguridad de su empresa. Puede agregar políticas de proxy yfiltrado de paquetes para definir qué puede entrar y salir de su red. Cada política puede tener efectosdiferentes sobre su red. Las políticas que aumentan su seguridad de red pueden disminuir el acceso a ella.A su vez, las políticas que aumentan el acceso a su red pueden poner en riesgo la seguridad de la misma.Para más informaciones acerca de políticas, vea Acerca de políticas en la página 251.

Para una nueva instalación, recomendamos que use solo políticas de filtrado de paquetes hasta que todossus sistemas estén funcionando correctamente. Según sea necesario, puede agregar políticas de proxy.

Acerca de las LiveSecurity Service

Su dispositivo WatchGuard incluye una suscripción al LiveSecurity Service. Su suscripción:

n Asegura de que tenga la protección de red más reciente con las actualizaciones de softwaretambién más recientes

n Provee soluciones a sus problemas con recursos completos de soporte técnicon Previene interrupciones de servicio con mensajes y ayuda de configuración para los problemas de

seguridad más recientesn Ayuda a aprender más acerca de seguridad de red a través de recursos de capacitaciónn Extiende su seguridad de red con software y otras funcionesn Extiende la garantía de su hardware con sustitución avanzada

Para más información acerca del LiveSecurity Service, vea Acerca de las Soporte deWatchGuard en lapágina 17.

Temas adicionales de instalación

Conéctese a un Firebox con Firefox v3

Los exploradores web usan certificados para asegurar que el dispositivo del otro lado de una conexiónHTTPS sea el dispositivo que se espera. Los usuarios ven un aviso cuando el certificado es autofirmado o

cuando hay discrepancia entre la dirección IP o nombre del host solicitado y la dirección IP o nombre dehost en el certificado. Por defecto, su Firebox usa un certificado autofirmado que se puede usar paraconfigurar su red rápidamente. No obstante, cuando los usuarios se conectan a Firebox con un exploradorweb, aparece un mensaje de aviso Error en la conexión segura.

Para evitar ese mensaje de error, recomendamos que agregue un certificado válido firmado por una CA(autoridad de certificación) para su configuración. Ese certificado de CA también puede ser usado paramejorar la seguridad de la autenticación por VPN. Para obtener más informaciones sobre el uso decertificados con los dispositivos Firebox, vea Acerca de los certificados en la página 385.

Si continúa a usar el certificado autofirmado predeterminado, puede agregar una excepción para Fireboxen cada equipo cliente. Las versiones actuales de la mayoría de los exploradores web ofrecen un enlace enel mensaje de aviso en el cual el usuario puede hacer clic para autorizar la conexión. Si su empresa usaMozilla Firefox v3, los usuarios pueden agregar una excepción de certificado permanente antes deconectarse al Firebox.

Las acciones que requieren una excepción incluyen:

n Acerca de la autenticación de usuarion Instalar y conectar el cliente deMobile VPN con SSLn Ejecutar el Web Setup Wizardn Conéctese al Fireware XTM Web UI

Las URLs que suelen requerir una excepción incluyen:

https://dirección IP o nombre de host de una interfaz Firebox:8080https://dirección IP o nombre de host de una interfaz Firebox:4100https://dirección IP o nome de host de Firebox:4100/sslvpn.html

Agregar una excepción de certificado al Mozilla Firefox v3

Si agrega una excepción en el Firefox v3 para el Firebox Certificate, el mensaje de aviso no aparece en lasconexiones siguientes. Debe agregar una excepción separada para cada dirección IP, nombre de host ypuerto usado para conectarse al Firebox. Por ejemplo, una excepción que usa un nombre de host que nofunciona adecuadamente si se conecta con una dirección IP. Del mismo modo, una excepción queespecifica un puerto 4100 no se aplica a una conexión que no tiene un puerto especificado.

Nota Una excepción de certificado no deja su equipo menos seguro. Todo el tráfico dered entre su equipo y el dispositivo WatchGuard permanece cifrado de modoseguro con SSL.

Hay dos métodos para agregar una excepción. Debe poder enviar tráfico al Firebox para agregar unaexcepción.

n Haga clic en el enlace en el mensaje de aviso Error en la conexión segura.n Use el Administrador de Certificados del Firefox v3 para agregar excepciones.

En el mensaje de aviso Error en la conexión segura:

1. Haga clic en O puede agregar una excepción.2. Haga clic en Agregar excepción.

Aparece el cuadro de diálogo "Agregar Excepción de Seguridad".

Introducción


Introducción


3. Haga clic en Obtener Certificado.4. Seleccione la casilla de verificación Almacenar esa excepción permanentemente.5. Haga clic en Confirmar Excepción de Seguridad.

Para agregar múltiples excepciones:

1. En Firefox, seleccione Herramientas > Opciones.Aparece el cuadro de diálogo "Opciones".

2. Seleccione Avanzado.3. Haga clic en la pestaña Cifrado y después haga clic en Visualizar certificados.

Abre el cuadro de diálogo Administrador de Certificados.4. Haga clic en la pestaña Servidores, y después en Agregar excepción.5. En el cuadro de texto Ubicación, ingrese la URL para conectarse al Firebox. Las URLs más comunes

están listadas arriba.6. Cuando aparece la información del certificado en el área Estado del Certificado, haga clic en

Confirmar Excepción de Seguridad.7. Haga clic en OK. Para agregar más excepciones, repita los Pasos 4-6.

Identificar sus configuraciones de red

Para configurar su dispositivo WatchGuard, debe saber cierta información acerca de su red. Puede usar esasección para aprender a identificar sus configuraciones de red.

Para una descripción de lo básico de red, vea Acerca de redes y seguridad de red en la página 1.

Requisitos de direcciones de red

Antes de empezar la instalación, debe saber cómo su equipo obtiene una dirección IP. Su Proveedor deservicios de Internet (ISP) o administrador de red corporativa puede proveerle esa información. Use elmismo método para conectar el dispositivo WatchGuard a Internet que usa para su equipo. Por ejemplo, siconecta su equipo directamente a Internet con una conexión de banda ancha, puede poner el dispositivoWatchGuard entre su equipo e Internet y usar la configuración de red de su equipo para configurar lainterfaz externa del dispositivo WatchGuard.

Puede usar una dirección IP estática, DHCP o PPPoE para configurar la interfaz externa del dispositivoWatchGuard. Para obtener más información acerca de las direcciones de red, vea Configurar una interfazexterna en la página 82.

Su equipo debe tener un explorador web. El explorador web es usado para configurar y administrar eldispositivo WatchGuard. Su equipo debe tener una dirección IP en la misma red que el dispositivoWatchGuard.

En la configuración predeterminada de fábrica, el dispositivo WatchGuard asigna una dirección IP a suequipo con DHCP (siglas para Protocolo de configuración de host dinámico). Puede configurar su equipo

para que use DHCP y después puede conectarse al dispositivo para administrarlo. También puede otorgaruna dirección IP estática a su equipo que esté en la misma red que la dirección IP de confianza deldispositivo WatchGuard. Para más informaciones, vea Configure su equipo para conectarse a su dispositivoWatchGuard en la página 37.

Buscar las propiedades TCP/IP

Para conocer las propiedades de la red, el usuario debe observar las propiedades TCP/IP de su equipo o decualquier otro equipo de la red. Debe contar con la siguiente información para instalar el dispositivoWatchGuard:

n Dirección IPn Máscara de subredn Puerta de enlace predeterminadan Dirección IP estática o dinámica del equipon Direcciones IP principales y secundarias de los servidores DNS

Nota Si el ISP asigna al equipo del usuario una dirección IP que empieza con 10, 192.168ó 172.16 a 172.31, entonces el ISP utiliza NAT (Traducción de dirección de red) y sudirección IP es privada. Recomendamos obtener una dirección IP pública para ladirección IP externa de Firebox. Si el usuario tiene una dirección IP privada, puedetener problemas con algunas funciones como la conexión a red privada virtual.

Para buscar las propiedades TCP/IP para el sistema operativo del equipo, se deben seguir las instruccionesde las secciones siguientes.

Buscar las propiedades TCP/IP en Microsoft Windows Vista

1. Seleccione Inicio> Programas> Accesorios> Ventana de comandos.Aparece el cuadro de diálogo Ventana de comandos.

2. En la ventana de comandos, ingrese ipconfig /all y presione Enter.3. Anote los valores que se observan para el adaptador de red principal.

Buscar las propiedades TCP/IP en Microsoft Windows 2000, Windows 2003 yWindows XP

1. Seleccione Inicio> Todos los programas> Accesorios> Ventana de comandos.Aparece el cuadro de diálogo Ventana de comandos.


Buscar las propiedades TCP/IP en Microsoft Windows NT

1. Seleccione Inicio> Programas> Ventana de comandos.Aparece el cuadro de diálogo Ventana de comandos.


Introducción


Introducción


Buscar las propiedades TCP/IP en Macintosh OS 9

1. Seleccione elMenú Apple> Paneles de control> TCP/IP.Aparece el cuadro de diálogo TCP/IP.

2. Anote los valores que se observan para el adaptador de red principal.

Buscar las propiedades TCP/IP en Macintosh OS X 10.5

1. Seleccione elMenú Apple> Preferencias del sistema o seleccione el ícono desde el dock.Aparece el cuadro de diálogo Preferencias del sistema.

2. Haga clic en el ícono Red.Aparece el cuadro Preferencia de red.

3. Seleccione el adaptador de red que utiliza para conectarse a Internet.4. Anote los valores que se observan para el adaptador de red.

Buscar las propiedades TCP/IP en otros sistemas operativos (Unix, Linux)

1. Lea la guía del sistema operativo para encontrar las configuraciones TCP/IP.2. Anote los valores que se observan para el adaptador de red principal.

Buscar Configuraciones de PPPoE

Muchos ISPs usan el Protocolo Punto a Punto por Ethernet (PPPoE) porque es fácil usar con lainfraestructura de marcado. Si su ISP usa PPPoE para asignar direcciones IP, debe obtener esa información:

n Nombre de inicio de sesiónn Dominio (opcional)n Contraseña

Configure su equipo para conectarse a su dispositivoWatchGuard

Antes que pueda usar el Web Setup Wizard, debe configurar su equipo para conectar su dispositivoWatchGuard. Puede configurar su tarjeta de interfaz de red para usar una dirección IP estática o usar DHCPpara obtener una dirección IP automáticamente.

Usar DHCP

Si su equipo no usa el sistema operativo Windows XP, lea la ayuda del sistema operativo para obtenerinstrucciones acerca de cómo configurar su equipo para usar el DHCP.

Para configurar un equipo con Windows XP para usar DHCP:

1. Seleccione Inicio > Panel de control.Aparece la ventana "Panel de control".

2. Haga doble clic en Conexiones de red.

3. Haga doble clic en Conexión de área local.Aparece la ventana de "Estado de conexión de área local".

4. Haga clic en Propiedades.Aparece la ventana de "Propiedades de conexión de área local".

5. Haga doble clic en Protocolo de internet (TCP/IP).Aparece el cuadro de diálogo "Protocolo de internet (TCP/IP)".

6. Seleccione Obtener dirección IP automáticamente y Obtener dirección de servidor DNSautomáticamente.

7. Haga clic en Aceptar para cerrar el cuadro de diálogo Protocolo de Internet (TCP/IP).8. Hagaclic enAceptar paracerrar el cuadro de diálogo Propiedadesde conexiónde redde área local.9. Cerrar las ventanas Estado de conexión de área local, Conexiones de red y Panel de control.

Su equipo está listo para conectarse al dispositivo WatchGuard.10. Cuando el dispositivo WatchGuard esté listo, abra un explorador web.11. En la barra de direcciones, ingrese la dirección IP de su dispositivo WatchGuard y presione Entrar.12. Si aparece una advertencia de certificado, acéptelo.

Se inicia el Quick Setup Wizard.

Nota La dirección IP para el Firebox X Edge es https://192.168.111.1/.La dirección IP predeterminada para un Firebox X Core o Peak, o dispositivoWatchGuard XTM es https://10.0.1.1/.

13. Ejecutar el Web Setup Wizard.

Use una dirección IP estática

Si su equipo no usa el sistema operativo Windows XP, lea la ayuda del sistema operativo para obtenerinstrucciones acerca de cómo configurar su equipo para usar lea dirección IP estática. Debe seleccionar unadirección IP en la misma subred como la red de confianza.

Para configurar un equipo con Windows XP para usar una dirección IP estática:

1. Seleccione Inicio > Panel de control.Aparece la ventana "Panel de control".

2. Haga doble clic en Conexiones de red.3. Haga doble clic en Conexión de área local.

Aparece la ventana de "Estado de conexión de área local".4. Haga clic en Propiedades.

Aparece la ventana de "Propiedades de conexión de área local".5. Haga doble clic en Protocolo de internet (TCP/IP).

Aparece el cuadro de diálogo "Protocolo de internet (TCP/IP)".6. Seleccione Usar la siguiente dirección IP.7. En el campo dirección IP, ingrese una dirección IP en la misma red que la interfaz de confianza de

Firebox.Recomendamos esas direcciones:

n Firebox X Edge — 192.168.111.2 paran Firebox X Core o Peak, o dispositivo WatchGuard XTM — 10.0.1.2

La red de interfaz de confianza predeterminada para un Firebox X Edge es 192.168.111.0.La red de interfaz de confianza predeterminada para un Firebox X Core o Peak, o dispositivo WatchGuardXTM es 10.0.1.0.

Introducción


Introducción


8. En el campo Subnet Mask, ingrese 255.255.255.0.9. En el campo Puerta de enlace predeterminada, ingrese la dirección IP de la interfaz de confianza

del dispositivo WatchGuard.La dirección de la interfaz de confianza predeterminada del Edge es 192.168.111.1.

10. Haga clic en Aceptar para cerrar el cuadro de diálogo Protocolo de Internet (TCP/IP).11. Hagaclic enAceptar paracerrar el cuadro de diálogo Propiedadesde conexiónde redde área local.12. Cerrar las ventanas Estado de conexión de área local, Conexiones de red y Panel de control.

Su equipo está listo para conectarse al dispositivo WatchGuard.13. Cuando el dispositivo WatchGuard esté listo, abra un explorador web.

14. En la barra de direcciones, ingrese la dirección IP de su dispositivo WatchGuard y presione Entrar.15. Si aparece una advertencia de certificado, acéptelo.

Se inicia el Quick Setup Wizard.

Nota La dirección IP para el Firebox X Edge es https://192.168.111.1/.La dirección IP predeterminada para un Firebox X Core o Peak, o dispositivoWatchGuard XTM es https://10.0.1.1/.

16. Ejecutar el Web Setup Wizard.

Desactive el proxy de HTTP en el explorador

Muchos exploradores web están configurados para usar un servidor proxy HTTP para aumentar la velocidadde descarga de las páginas web. Para administrar o configurar el Firebox con la interfaz de administraciónweb, su explorador debe conectase directamente con el dispositivo. Si usa un servidor proxy de HTTP, debedesactivar temporalmente la configuración de proxy HTTP en su explorador. Puede activar la configuracióndel servidor proxy HTTP en su explorador nuevamente después que configure el Firebox.

Use esas instrucciones para desactivar el proxy HTTP en Firefox, Safari o Internet Explorer. Si está usando unexplorador diferente, use el sistema de Ayuda del explorador para encontrar la información necesaria.Muchos exploradores automáticamente desactivan la función de proxy del HTTP.

Desactivar el proxy HTTP en Internet Explorer 6.x o 7.x

1. Abra el Internet Explorer.2. Seleccione Herramientas > Opciones de Internet.

Aparece el cuadro de diálogo de "Opciones de Internet".3. Haga clic en la pestaña Conexiones.4. Haga clic en Configuración de LAN.

Aparece el cuadro de diálogo "Configuración de red de área local (LAN)".5. Limpie la casilla de verificación Usar un servidor proxy para su LAN.6. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuración de red de área local (LAN).7. Haga clic en Aceptar para cerrar el cuadro de diálogo Opciones de Internet.

Desactivar el proxy HTTP en Firefox 2.x

1. Abra el Firefox.2. Seleccione Herramientas > Opciones.

Aparece el cuadro de diálogo "Opciones".

3. Haga clic en el icono Avanzado.4. Haga clic en la pestaña Red. Haga clic en Configuraciones.5. Haga clic en Configuraciones de conexión.

Aparece el cuadro de diálogo "Configuraciones de conexión".6. Asegúrese de que la opción Conexión directa a Internet esté seleccionada.7. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuraciones de conexión.8. Haga clic en Aceptar para cerrar el cuadro de diálogo Opciones.

Desactivar el proxy HTTP en Safari 2.0

1. Abra el Safari.2. Seleccione Preferencias.

Aparece el cuadro de diálogo de "Preferencias" del Safari.3. Haga clic en el icono Avanzado.4. Haga clic en el botón Cambiar configuración.

Aparece el cuadro de diálogo "Preferencias del Sistema".5. Limpie la casilla de verificación Proxy web (HTTP).6. Haga clic en Aplicar ahora.

Introducción



5 Información básica sobreconfiguración y administración

Acerca de las tareas básicas de configuración yadministraciónDespués que su dispositivo WatchGuard esté instalado en su red y configurado con un archivo deconfiguración básica, puede comenzar a añadir configuraciones personalizadas. Los tópicos en esta secciónlo ayuda a concluir esas tareas básicas de administración y mantenimiento.

Hacer una copia de seguridad de la imagen deFireboxUna imagen de copia de seguridad de Firebox es una copia cifrada y guardada de una imagen de disco flashdel disco flash de Firebox. Eso incluye el software del dispositivo Firebox, archivo de configuración, licenciasy certificados. Puede guardar una imagen de copia de seguridad en su de administración o en un directorioen su red. La imagen de copia de seguridad para un Firebox X Edge no incluye el software del dispositivoFirebox.

Recomendamos que realice archivos de copia de seguridad de la imagen de Firebox periódicamente.También recomendamos que cree una imagen de copia de seguridad del Firebox antes de hacer cambiossignificativos en la configuración de su Firebox, o antes de actualizar su Firebox o el software del dispositivo.

1. Seleccione Imagen de copia de seguridad >de Sistema.2. Ingrese y confirme una clave de cifrado. Esa es la clave utilizada para cifrar el archivo de copia de

seguridad. Si pierde o olvida la clave de cifrado, no puede restaurar el archivo de copia deseguridad.

3. Haga clic en Copia de seguridad.4. Seleccione una ubicación para guardar el archivo de imagen de copia de seguridad e ingrese un

nombre de archivo.La imagen de copia de seguridad está guardada en la ubicación especificada.

Restaurar imagen de copia de seguridad deFirebox

1. Seleccione Sistema > Restaurar Imagen.2. Haga clic en Restaurar imagen.3. Haga clic en Examinar.4. Seleccione el archivo de imagen de copia de seguridad guardado. Haga clic en Abrir.5. Haga clic en Restaurar.6. Ingrese la clave de cifrado usada cuando creó la imagen de copia de seguridad.

Firebox restaura la imagen de copia de seguridad. Eso reinicia y usa la imagen de copia de seguridad.

Espere dos minutos antes de conectarse al Firebox nuevamente.

Si no logra restaurar la imagen de Firebox con éxito, puede restablecer el Firebox. Dependiendo delmodelo de Firebox que tenga, puede restablecer el Firebox en sus configuraciones predeterminadas defábrica o ejecutar nuevamente el Quick Setup Wizard para crear una nueva configuración.

Para más informaciones, vea Restablecer un dispositivo Firebox o XTM a una configuración anterior o nuevaen la página 48.

Utilice una unidad USB para realizar copias derespaldo y restaurar el sistemaUna imagen de respaldo de un dispositivo WatchGuard XTM es una copia cifrada y guardada de la imagendel disco de la unidad flash desde el dispositivo XTM. El archivo de imagen de respaldo incluye el sistemaoperativo del dispositivo XTM, el archivo de configuración, la tecla de función y los certificados.

En el caso de los dispositivos WatchGuard XTM 2 Series, 5 Series, 8 Series o XTM 1050, puede conectar unaunidad o un dispositivo de almacenamiento USB al puerto USB del dispositivo XTM para llevar a cabo losprocedimientos de copia de respaldo y restauración. Cuando guarda una imagen de respaldo del sistema enuna unidad USB conectada, puede restaurar su dispositivo XTM a un estado conocido con mayor rapidez.

Nota No puede utilizar esta función en un dispositivo e-Series, porque los dispositivos e-Series no tienen puerto USB.

Acerca de la unidad USB

La unidad USB debe ser formateada con el sistema de archivos FAT o FAT32. Si la unidad USB tiene más deuna partición, Fireware XTM sólo utiliza la primera partición. Cada imagen de respaldo del sistema puedeser incluso de 30 MB de tamaño. Le recomendamos utilizar una unidad USB lo suficientemente grande paraalmacenar varias imágenes de respaldo.

Guardar una imagen de respaldo en una unidad USB conectada

Para realizar este procedimiento, debe conectar una unidad USB a su dispositivo XTM.

1. Seleccione Sistema > Unidad USB.Aparecerá la página Copia de respaldo/Restaurar a unidad USB.

Información básica sobre configuración y administración




2. En la sección Nueva imagen de respaldo, ingrese un Nombre de archivo para la imagen derespaldo.

3. Ingrese y confirme una Encryption key. Esa es la clave utilizada para cifrar el archivo de respaldo. Sipierde u olvida la encryption key, no puede restaurar el archivo de respaldo.

4. Haga clic en Guardar en unidad USB.La imagen guardada aparece en la lista de Imágenes de respaldo del dispositivo disponibles después de que seterminó de guardar.

Restaurar una imagen de respaldo desde una unidad USBconectada

Para realizar este procedimiento, debe conectar una unidad USB a su dispositivo XTM.

1. Seleccione Sistema > Unidad USB.Aparecerá la página Copia de respaldo/Restaurar a unidad USB.

2. Desde la lista Imágenes de respaldo disponibles, seleccione un archivo de imagen de respaldo arestaurar.

3. Haga clic en Restaurar la imagen seleccionada.

4. Ingrese la Encryption key usada cuando creó la imagen de respaldo.5. Haga clic en Restaurar.

El dispositivo XTM restaura la imagen de respaldo. Eso reinicia y usa la imagen de copia de seguridad.

Restaurar automáticamente una imagen de respaldo desde undispositivo USB

Si se conecta una unidad USB (dispositivo de almacenamiento) a un dispositivo WatchGuard XTM en modode recuperación, el dispositivo puede restaurar automáticamente la imagen previamente respaldada en launidad USB. Para utilizar la función de restauración automática, primero debe seleccionar una imagen derespaldo en la unidad USB como la que desea utilizar para el proceso de restauración. Debe utilizarFireware XTMWeb UI, Firebox System Manager o la Command Line Interface de Fireware XTM paraseleccionar esa imagen de respaldo.

Puede utilizar la misma imagen de respaldo para más de un dispositivo, si todos los dispositivos pertenecena la misma familia de modelos de WatchGuard XTM. Por ejemplo, puede utilizar una imagen de respaldoguardada en un XTM 530 como la imagen de respaldo de cualquier otro dispositivo XTM 5 Series.

Seleccione la imagen de respaldo que desea restaurar automáticamente

1. Seleccione Sistema > Unidad USB.Aparecerá la página Copia de respaldo/Restaurar a unidad USB. Los archivos de imagen de respaldo guardadosaparecen en una lista en la parte superior de la página.

2. Desde la lista Imágenes de respaldo disponibles, seleccione un archivo de imagen de respaldo.3. Haga clic en Utilizar la imagen seleccionada para la restauración automática.4. Ingrese la Encryption key usada para crear la imagen de respaldo. Haga clic en Aceptar

El dispositivo XTM guarda una copia de la imagen de respaldo seleccionada en la unidad USB.





Si había guardado una imagen de restauración automática anterior, el archivo auto-restore.fxi esreemplazado por una copia de la imagen de respaldo seleccionada.

AdvertenciaSi su dispositivo XTM ha utilizado una versión del sistema operativo Fireware XTManterior a la v11.3, debe actualizar la imagen de software del modo derecuperación en el dispositivo a la v11.3 de la función de restauración automáticaa operar. Vea las Notas de versión de Fireware XTM 11.3 para obtenerinstrucciones de actualización.

Restaurar la imagen de respaldo de un dispositivo XTM 5 Series, 8Series o XTM 1050

1. Conecte la unidad USB que contiene la imagen de restauración automática a un puerto USB deldispositivo XTM.

2. Apague el dispositivo XTM.3. Presione la flecha hacia arriba en el panel delantero del dispositivo mientras lo enciende.4. Mantenga el botón presionado hasta que aparezca "Iniciando modo de recuperación" en la pantalla

LCD.El dispositivo restaura la imagen de respaldo de la unidad USB y utiliza la imagen restaurada de maneraautomática después de reiniciarse.

Si la unidad USB no contiene una imagen de restauración automática válida para esta familia de modelos dedispositivos XTM, el dispositivo no se reinicia y, en cambio, se inicia en modo de recuperación. Si vuelve areiniciar el dispositivo, éste utilizará su configuración actual. Cuando el dispositivo está en modo derecuperación, puede utilizar el WSMQuick Setup Wizard para crear una nueva configuración básica.

Paraobtenermás información acercaWSMQuick SetupWizard, veaEjecutar elQuick SetupWizard delWSM.

Restaurar la imagen de respaldo de un dispositivo XTM 2 Series

1. Conecte la unidad USB que contiene la imagen de restauración automática a un puerto USB deldispositivo XTM 2 Series.

2. Desconecte la fuente de energía.3. Presione y sostenga el botón Restablecer en la parte trasera del dispositivo.4. Conecte el suministro de energía mientras sigue presionando el botón Restablecer.5. Después de 10 segundos, suelte el botón Restablecer.

El dispositivo restaura la imagen de respaldo de la unidad USB y utiliza la imagen restaurada de maneraautomática después de reiniciarse.

Si la unidad USB no contiene una imagen de restauración automática válida para 2 Series, la restauraciónautomática fallará y el dispositivo no se reiniciará. Si el proceso de restauración automática no resultaexitoso, debe desconectar y volver a conectar la fuente de alimentación para iniciar el dispositivo 2 Seriescon las configuraciones predeterminadas de fábrica.

Para obtener información sobre las configuraciones predeterminadas de fábrica, vea Acerca de lasconfiguraciones predeterminadas de fábrica.

Estructura del directorio de la unidad USB

Cuando guarda una imagen de respaldo en una unidad USB, el archivo se guarda en un directorio en launidad USB con el mismo nombre del número de serie de su dispositivo XTM. Esto significa que puedealmacenar imágenes de respaldo para más de un dispositivo XTM en la misma unidad USB. Cuando restaurauna unidad de respaldo, el software recupera automáticamente la lista de imágenes de respaldoalmacenada en el directorio asociado con ese dispositivo.

En cada dispositivo, la estructura del directorio en el dispositivo USB es la siguiente, donde sn se reemplazacon el número de serie del dispositivo XTM:

\sn\flash-images\\sn\configs\\sn\feature-keys\\sn\certs\

Las imágenes de respaldo de un dispositivo se guardan en el directorio \sn\flash-images. La imagen derespaldo guardada en el directorio de imágenes flash contiene el sistema operativo de Fireware XTM, laconfiguración del dispositivo, las teclas de función y los certificados. Los subdirectorios \configs,\feature-keys y \certs no se utilizan para ninguna operación de copia de respaldo y restauración desdeuna unidad USB. Puede utilizarlos para almacenar teclas de función, archivos de configuración y certificadosadicionales para cada dispositivo.

También hay un directorio en el nivel de raíz de la estructura del directorio que se utiliza para almacenar laimagen de respaldo de restauración automática designada.

\auto-restore\

Cuando designa una imagen de respaldo para utilizarla para la restauración automática, una copia de laimagen de respaldo seleccionada se cifra y almacena en el directorio \auto-restore con el nombre dearchivo auto-restore.fxi. Sólo puede tener una imagen de restauración automática guardada en cadaunidad USB. Puede utilizar la misma imagen de respaldo de restauración automática para más de undispositivo, si ambos dispositivos pertenecen a la misma familia de modelos WatchGuard XTM. Por ejemplo,puede utilizar una imagen de restauración automática guardada en un XTM 530 como la imagen derestauración automática de cualquier otro dispositivo XTM 5 Series.

Debe utilizar el comando Sistema > Unidad USB para crear una imagen de restauración automática. Si copiay renombra una imagen de respaldo manualmente y la almacena en este directorio, el proceso derestauración automática no funciona correctamente.

Guardar una imagen de respaldo en una unidad USB conectadaa su de administración

Puede usar Fireware XTMWeb UI para guardar una imagen de respaldo en una unidad o un dispositivo dealmacenamiento USB conectado a su de administración. Si guarda los archivos de configuración paramúltiples dispositivos en la misma unidad USB, puede conectar la unidad USB a cualquiera de esosdispositivos XTM para su recuperación.





Si usa el comando Sistema > Unidad USB para hacer esto, los archivos se guardarán automáticamente en eldirectorio adecuado de la unidad USB. Si utiliza el comando Sistema > Imagen de respaldo , o si utilizaWindows u otro sistema operativo para copiar manualmente los archivos de configuración al dispositivoUSB, debe crear manualmente el número de serie correcto y los directorios de imágenes flash para cadadispositivo (si todavía no existen).

Antes de empezar

Antes de empezar, es importante que comprenda la Estructura del directorio de la unidad USB utilizada porla función de respaldo y restauración USB. Si no guarda la imagen de respaldo en la ubicación correcta, esposible que el dispositivo no la encuentre cuando le conecte la unidad USB.

Guardar la imagen de respaldo

Para guardar una imagen de respaldo en una unidad USB conectada a su de administración, use los pasosque se describen en Hacer una copia de seguridad de la imagen de Firebox. Cuando selecciona la ubicaciónen donde desea guardar el archivo, seleccione la letra correspondiente a la unidad USB conectada a sucomputadora. Si desea que la imagen de respaldo que guarda sea reconocida por el dispositivo XTM cuandoconecte la unidad, asegúrese de guardar la copia de respaldo en el directorio \flash-images bajo eldirectorio nombrado con el número de serie de su dispositivo XTM.

Por ejemplo, si el número de serie de su dispositivo XTM es 70A10003C0A3D, guarde el archivo de laimagen de respaldo en esta ubicación de la unidad USB:

\70A10003C0A3D\flash-images\

Designar una imagen de respaldo para la restauración automática

Para designar una imagen de respaldo para el uso por parte de la función de restauración automática, debeconectar la unidad USB al dispositivo y designar la imagen de respaldo que desea utilizar para larestauración automática como se describe en Utilice una unidad USB para realizar copias de respaldo yrestaurar el sistema. Si guarda una imagen de respaldo manualmente en el directorio de restauraciónautomática, el proceso de restauración automática no funciona correctamente.

Restablecer un dispositivo Firebox o XTM a unaconfiguración anterior o nuevaSi su dispositivo Firebox o XTM tiene un problema de configuración grave, puede restablecer el dispositivo asu configuración predeterminada de fábrica. Por ejemplo, si no sabe la contraseña de configuración o si uncorte de suministro eléctrico causa daños al sistema operativo de Fireware XTM, puede usar el Quick SetupWizard para conformar su configuración nuevamente o restaurar una configuración guardada.

Para una descripción de las configuraciones predeterminadas de fábrica, vea Acerca de las configuracionespredeterminadas de fábrica en la página 49.

Nota Si tiene un dispositivo WatchGuard XTM, también puede utilizar el modo seguropara restaurar automáticamente una imagen de respaldo del sistema desde undispositivo de almacenamiento USB. Para más informaciones, vea Restaurarautomáticamente una imagen de respaldo desde un dispositivo USB.

Iniciar un dispositivo Firebox o XTM en modo seguro

Para restaurar las configuraciones predeterminadas de fábrica para un dispositivo Firebox X Core e-Series,Peak e-Series, WatchGuard XTM 5 Series, 8 Series o 10 Series, primero debe iniciar el dispositivo Firebox oXTM en modo seguro.

1. Apague el dispositivo Firebox o XTM.2. Presione el botón con la flecha hacia abajo en el panel delantero mientras enciende el dispositivo

Firebox o XTM.3. Mantenga presionado el botón de la flecha hacia abajo hasta que aparezca el mensaje de inicio del

dispositivo en la pantalla LCD:

n En un dispositivo Firebox X Core e-Series o Peak e-Series, aparece WatchGuard

Technologies en la pantalla LCD.n En un dispositivo WatchGuard XTM, aparece Iniciando modo seguro... en la pantalla.

Cuando el dispositivo está en modo seguro, la pantalla muestra el número del modelo seguido de lapalabra "seguro".

Cuando inicia un dispositivo en modo seguro:

n El dispositivo usa temporalmente las configuraciones de seguridad y de red predeterminadas defábrica.

n No se quita la tecla de función actual. Si ejecuta el Quick Setup Wizard para crear una nuevaconfiguración, el asistente usa la tecla de función previamente importada.

n Su configuración actual sólo se elimina cuando guarda una nueva configuración. Si reinicia eldispositivo Firebox o XTM antes de guardar una nueva configuración, el dispositivo volverá a utilizarsu configuración actual.





Restablecer un dispositivo Firebox X Edge e-Series oWatchGuard XTM 2 Series a las configuracionespredeterminadas de fábrica

Cuando reinicia un dispositivo Firebox X Edge e-Series o XTM 2 Series, las configuraciones originales sonreemplazadas por las configuraciones predeterminadas de fábrica. Para restablecer el dispositivo a lasconfiguraciones predeterminadas de fábrica:

1. Desconecte la fuente de energía.2. Presione y sostenga el botón Restaurar en la parte trasera del dispositivo.3. Conecte el suministro de energía mientras sigue presionando el botón Restaurar.4. Siga presionando el botón Restaurar hasta que el indicador amarillo Attn se mantenga encendido.

Eso muestra que el dispositivo restauró con éxito las configuraciones predeterminadas de fábrica.En un Firebox X Edge e-Series, ese proceso puede llevar 45 segundos o más. En un dispositivo 2 Series, eseproceso puede llevar 75 segundos o más.

5. Suelte el botón Restaurar.

Nota Debe iniciar el dispositivo nuevamente antes de conectarlo. Si no lo hace, cuandointente conectar el dispositivo, aparecerá una página web con este mensaje: Sudispositivo se está ejecutando a partir de una copia de respaldo del firmware.También podrá ver ese mensaje si el botón Restaurar queda fijo en la posición depresionado. Si sigue viendo ese mensaje, revise el botón Restaurar y reinicie eldispositivo.

6. Desconecte la fuente de energía.7. Conecte la fuente de energía nuevamente.

Se enciende el Indicador de Energía y su dispositivo es restablecido.

Ejecutar el Quick Setup Wizard

Después de restaurar las configuraciones predeterminadas de fábrica, puede usar el Quick Setup Wizardpara crear una configuración básica o restaurar una imagen respaldo guardada.

Para más informaciones, vea Acerca del Quick Setup Wizard en la página 24.

Acerca de las configuraciones predeterminadasde fábricaEl término configuraciones predeterminadas de fábrica se refiere a la configuración que está en eldispositivo WatchGuard cuando lo recibe, antes de realizar cualquier cambio. También puede restablecerlas configuraciones predeterminadas de fábrica en el Firebox, tal como se describe en Restablecer undispositivo Firebox o XTM a una configuración anterior o nueva en la página 48.

Las propiedades de configuración y red predeterminadas para el dispositivo WatchGuard son:

Red de confianza (Firebox X Edge e-Series)

La dirección IP predeterminada para la red de confianza es 192.168.111.1. La Subnet Mask para lared de confianza es 255.255.255.0.

La dirección IP predeterminada para el Fireware XTM Web UI es https://192.168.111.1:8080.

Firebox está configurado para asignar direcciones IP a equipos en la red de confianza a través deDHCP. Por defecto, esas direcciones IP pueden ir desde 192.168.111.2 a 192.168.111.254.

Red de confianza (Firebox X Core y Peak e-Series y dispositivos WatchGuard XTM)

La dirección IP predeterminada para la red de confianza es 10.0.1.1. La Subnet Mask para la red deconfianza es 255.255.255.0.

El puerto y la dirección IP predeterminada para el Fireware XTM Web UI es https://10.0.1.1:8080.

Firebox está configurado para asignar direcciones IP a equipos en la red de confianza a través deDHCP. Por defecto, esas direcciones IP puede ir desde 10.0.1.2 a 10.0.1.254..

Red externa

Firebox está configurado para obtener una dirección IP con DHCP.

Red opcional

La red opcional está desactivada.

Configuraciones de firewall

Todas las políticas entrantes son negadas. La política saliente permite todo el tráfico saliente. Seniegan las solicitudes de ping recibidas en la red externa.

Seguridad del sistema

Firebox posee cuentas de administrador acopladas admin (acceso de lectura y escritura) y estado(acceso sólo lectura). La primera vez que configura el dispositivo con el Quick Setup Wizard, definelas frases de contraseña de estado y configuración. Después de concluir el Quick Setup Wizard,puede iniciar sesión en el Fireware XTM Web UI sea con la cuenta de administrador admin o estado.Para tener acceso completo de administrador, inicie sesión con el nombre de usuario de admin eingrese la frase de contraseña de configuración. Para acceso de sólo lectura, inicie sesión con elnombre de usuario de estado e ingrese la frase de contraseña de sólo lectura.

Por defecto, Firebox está configurado para administración local desde la red de confianzasolamente. Los cambios adicionales de configuración deben ser realizados para permitir laadministración desde la red externa.

Opciones de actualización

Para habilitar las opciones de actualización, como WebBlocker, spamBlocker y Gateway AV/IPS,debe pegar o importar la tecla de función que habita esas funciones en la página de configuración ousar el comando Obtener Tecla de Función para activar las opciones de actualización. Si inicia elFirebox en modo seguro, no es necesario importar la tecla de función nuevamente.





Acerca de las teclas de funciónLa tecla de función es una licencia que le permite utilizar diversas funciones en su dispositivo WatchGuard.Al comprar una opción o actualización y obtener una nueva tecla de función, aumenta la funcionalidad desu dispositivo.

Cuando compra una nueva función

Cuando compra una nueva función para su dispositivo WatchGuard, debe:

n Obtener una tecla de función junto a LiveSecurityn Agregar una tecla de función a su Firebox

Ver las funciones disponibles con la actual tecla de función

Su dispositivo WatchGuard siempre tiene una tecla de función activa actualmente. Para ver las funcionesdisponibles con esa tecla de función:

1. Conéctese al Fireware XTM Web UI.2. Seleccione Sistema > Tecla de Función.

Aparece la página "Tecla de Función".

La sección Funciones incluye:

n Una lista de funciones disponiblesn Si la función está activada o non Valor asignado a la función, tal como número de interfaces VLAN permitidasn Fecha de caducidad de la funciónn Estado actual de caducidad, tal como cuántos días faltan para que la función caduquen El número máximo de direcciones IP permitidas de acceso saliente (sólo para dispositivos Firebox X

Edge XTM)

Obtener una tecla de función junto a LiveSecurity

Antes de activar una nueva función, o remover un servicio de suscripción, debe tener un certificado delicense key de WatchGuard que no esté registrado aún en el sitio web de LiveSecurity. Cuando activa laLicense Key, puede obtener una tecla de función que habilita la función activada en el dispositivoWatchGuard. También puede retener una tecla de función existente posteriormente.

Activar la license key para una función

Para activar una license key y obtener una tecla de función para la función activada:

1. Abra un explorador web y vaya a http://www.watchguard.com/activate.Si todavía no ha iniciado sesión en LiveSecurity, aparece la página de Inicio de Sesión de LiveSecurity.

2. Ingrese su nombre de usuario y contraseña de LiveSecurity.Aparece la página Activar Productos.

3. Ingrese un número de serie o license key para el producto, tal como aparece en su certificadoimpreso. Asegúrese de incluir todos los guiones.Use el número de serie para registrar un nuevo dispositivo WatchGuard y la license key pararegistrar las funciones de complementos.

4. Haga clic en Continuar.Aparece la página Elija el producto para actualizar.

5. En la lista desplegable, seleccione el dispositivo para actualizar o renovar.Si agregó un nombre del dispositivo cuando registró su dispositivo WatchGuard, ese nombreaparece en la lista.

6. Haga clic en Activar.Aparece la página "Retener tecla de función".



https://www.watchguard.com/activate



7. Copie la tecla de función completa en un archivo de texto y guárdelo en su PC.8. Haga clic en Finalizar.

Obtener una tecla de función actual

Puede registrarse en el sitio web de LiveSecurity para obtener una tecla de función actual o puede usarFireware XTM Web UIpara retener una tecla de función actual y agregarla directamente a su dispositivoWatchGuard.

Cuando va al sitio web de LiveSecurity para retener su tecla de función, puede elegir entre descargar una omás teclas de función en un archivo comprimido. Si selecciona múltiples dispositivos, el archivocomprimido contiene un archivo de tecla de función para cada dispositivo.

Para retener una tecla de función actual del sitio web de Live Security:

1. Abra un explorador web y vaya a http://www.watchguard.com/archive/manageproducts.asp.Si todavía no ha iniciado sesión en LiveSecurity, aparece la página de Inicio de Sesión de LiveSecurity.

2. Ingrese su nombre de usuario y contraseña de LiveSecurity.Aparece la página "Administrar Productos".

3. Seleccione Teclas de Función.Aparece la página "Retener Tecla de Función", con una lista desplegable para seleccionar un producto.

4. En la lista desplegable, seleccione su dispositivo WatchGuard.5. Haga clic en Obtener Tecla.

Aparece una lista de todos sus dispositivos registrados. Aparece una marca de verificación al lado deldispositivo seleccionado.

6. Seleccione Mostrar teclas de función en la pantalla.7. Haga clic en Obtener Tecla.

Aparece la página "Retener tecla de función".8. Copie la tecla de función en un archivo de texto y guárdelo en su equipo.

Para usar el Fireware XTM Web UI para retener la tecla de función actual:

1. Conéctese al Fireware XTM Web UI.Aparece el Panel de Control del Fireware XTM Web UI .

2. Seleccione Sistema> Tecla de Función .Aparece la página Resumen de Tecla de Función.

https://www.watchguard.com/archive/manageproducts.asp

3. Haga clic en Obtener Tecla de Función.Su tecla de función es descargada a partir de LiveSecurity y es automáticamente actualizada en su dispositivoWatchGuard.

Agregar una tecla de función a su Firebox

Si adquiere una nueva opción o actualiza su dispositivo WatchGuard, puede agregar una nueva tecla defunción para activar las nuevas funciones. Antes de instalar la nueva tecla de función, debe removercompletamente la antigua.

1. Seleccione Sistema > Tecla de función.Aparece la página Tecla de función de Firebox.

Las funciones que están disponibles con esa tecla de función aparecenen esa página. Esa páginatambién incluye:

n Si la función está activada o non Un valor asignado a la función, tal como número de interfaces VLAN permitidasn La fecha de caducidad de la funciónn El tiempo que falta para que la función caduque





2. Haga clic en Remover para remover la tecla de función actual.Página de cuadro de diálogo Todas las informaciones sobre teclas de función están limpias de.

3. Haga clic en Actualizar.Importar Tecla de Función de Firebox página aparece.

4. Copiar el texto del archivo de la tecla de función y pegar en el cuadro de texto.5. Haga clic Guardar.

La página "Tecla de función" reaparece con la información de la nueva tecla de función.

Remover una tecla de función

1. Seleccione Sistema > Tecla de función.Aparece la página Tecla de función de Firebox.

2. Haga clic en Eliminar.Todas las informaciones sobre teclas de función están limpias en página.

3. Haga clic en Guardar.

Reiniciar su FireboxPuede usar el Fireware XTM Web UI para reiniciar su Firebox desde un equipo en la red de confianza. Sipermite el acceso externo, también puede reiniciar el Firebox desde un equipo en Internet. Puededeterminar la hora del día en la cual su Firebox se reinicia automáticamente.





Reiniciar Firebox de modo local

Para reiniciar Firebox de modo local, puede usar el Fireware XTM Web UI o puede desconectar y conectarnuevamente el dispositivo.

Reiniciar desde el Fireware XTM Web UI

Para reiniciar el Firebox desde el Fireware XTM Web UI, debe iniciar sesión con acceso de lectura-escritura.

1. Seleccione Panel de Control> Sistema.2. En la sección Información del dispositivo, haga clic en Reiniciar.

Desconecte y vuelva a conectar

En el Firebox X Edge:

1. Desconecte el Firebox X Edge del suministro de energía.2. Espere un mínimo de 10 segundos.3. Conecte la fuente de energía nuevamente.

En el Firebox X Core o Peak, o en el dispositivo WatchGuard XTM :

1. Use el conmutador de energía para apagar el dispositivo.2. Espere un mínimo de 10 segundos.3. Encienda el dispositivo.

Reiniciar Firebox de modo remoto

Antes de conectarse a su Firebox para administrar o reiniciarlo desde un equipo remoto externo al Firebox,primero debe configurar el Firebox para permitir la administración desde la red externa.

Para más informaciones, vea Administrar un Firebox desde una ubicación remota en la página 72.

Para iniciar el Firebox de forma remota a partir del Fireware XTM Web UI:

1. Seleccione Panel de Control> Sistema.2. En la sección Información del dispositivo, haga clic en Reiniciar.

Activar NTP y agregar servidores NTPEl Protocolo de Horario de Red (NTP, en las siglas en inglés) sincroniza el horario del reloj en toda una red.Su Firebox puede usar el NTP para obtener el horario correcto automáticamente desde los servidores NTPen Internet. Como el Firebox usa el horario del reloj de su sistema para cada mensaje de registro quegenera, el horario debe estar ajustado correctamente. Se puede alterar el servidor NTP que Firebox utiliza.También puede agregar más servidores NTP o borrar los existentes, o puede ajustar el horariomanualmente.

Para usar NTP, la configuración de su Firebox debe permitir DNS. El DNS es permitido en la configuraciónpredeterminada por la política Saliente. También debe configurar los servidores DNS para la interfazexterna antes de configurar el NTP.

Paraobtener más información acercade esasdirecciones, veaAgregar direccionesde servidor DNS yWINS.

1. Seleccionar Sistema > NTP.Aparece el cuadro de diálogo Configuración de NTP.

2. Seleccione Activar NTP Server .3. Para agregar un servidor NTP, seleccione IP de host oNombre de host (buscar) en la lista

desplegable Elegir tipo, después ingrese la dirección IP o nombre del host del servidor NTP quedesea usar en el cuadro de texto al lado.Se puede configurar hasta tres servidores NTP

4. Para borrar un servidor, seleccione la entrada del servidor y haga clic en Remover.5. Haga clic en Guardar.

Definir la zona horaria y las propiedades básicasdel dispositivoCuando ejecuta el Web Setup Wizard, se define la zona horaria y otras propiedades básicas del dispositivo.

Para alterar las propiedades básicas del dispositivo:

1. Conéctese al Fireware XTM Web UI.2. Seleccione Sistema > Sistema.

Aparece la Configuración del dispositivo.





3. Configurar esas opciones:

modelo de Firebox

Modelo y modelo de Firebox, tal como determinado por el Quick Setup Wizard.Si agrega unanueva tecla de función al Firebox con una actualización de modelo, el modelo de Firebox en laconfiguración del dispositivo es automáticamente actualizado.

Nombre

El nombre descriptivo del Firebox. Puede otorgar a Firebox un nombre descriptivo queaparecerá en sus informes y archivos de registro. De lo contrario, los informes y archivos deregistro usan la dirección IP del la interfaz externa de Firebox. Muchos clientes usan un domainname totalmente cualificado como nombre descriptivo, caso registren ese nombre en elsistema DNS. Debe otorgar un nombre descriptivo al Firebox si usa el Management Server paraconfigurar los certificados y túneles VPN.

Ubicación, Contacto

Ingrese cualquier información que podría ser útil para identificar y hacer el mantenimiento delFirebox. Esos campos son llenados por el Quick Setup Wizard, caso haya insertado esainformación allí.

Zona horaria

Seleccione la zona horaria para la ubicación física del Firebox. La configuración de zona horariacontrola la fecha y hora que aparecen en el archivo de registro y en las herramientas como elLogViewer, Informes WatchGuard y WebBlocker.


Acerca del SNMPEl SNMP (siglas en inglés para Protocolo de Administración de Red Simple) es usado para monitoreardispositivos en su red. El SNMP utiliza bases de información de administración (MIB) para definir cuálesinformaciones y eventos son monitoreados. Debe configurar una aplicación de software separada, amenudo denominada visor de eventos o explorador MIB, para recoger y administrar datos de SNMP.

Hay dos tipos de MIBs: estándar y empresarial. Las MIBs estándares son definiciones de eventos dehardware y red usadas por diversos dispositivos. Las MIBs empresariales son usados para dar informaciónacerca de eventos específicos a un fabricante determinado. Su Firebox soporta ocho MIBs estándares: IP-MIB, IF-MIB, TCP-MIB, UDP-MIB, SNMPv2-MIB, SNMPv2-SMI, RFC1213-MIB y RFC1155 SMI-MIB. Tambiénsoporta dos MIBs empresariales: WATCHGUARD-PRODUCTS-MIB y WATCHGUARD-SYSTEM-CONFIG-MIB.

Sondeos y capturas SNMP

Puede configurar su Firebox para aceptar sondeos de SNMP desde un servidor SNMP. El Firebox reportadatos al servidor SNMP, tal como conteo de tráfico de cada interfaz, tiempo de actividad del dispositivo, elnúmero de paquetes TCP recibidos y enviados, y la última alteración de cada interfaz de red en el Firebox.

Una captura SNMP es una notificación de evento que su Firebox envía a un sistema de administración deSNMP. La captura identifica cuando ocurre una condición específica, tal como un valor que sea exceda suumbral predefinido. Su Firebox puede enviar una captura para cualquier política en el Policy Manager.

Una solicitud de informe de SNMP es similar a una captura, pero el receptor envía una respuesta. Si suFirebox no obtiene una respuesta, él envía la solicitud de informe nuevamente hasta que el administradorde SNMP envíe una respuesta. Se envía una captura sólo una vez, y el receptor no envía ningún tipo deacuse de recibo al recibir la captura.

Acerca de las Bases de Información de Administración (MIBs)

Fireware XTM soporta dos tipos de Bases de Información de Administración (MIBs):

MIBs Estándares

Las MIBs estándares son definiciones de eventos de hardware y red usadas por diversos dispositivos.Su dispositivo WatchGuard soporta ocho MIBs estándares:

n IP-MIBn IF-MIBn TCP-MIBn UDP-MIBn SNMPv2-MIBn SNMPv2-SMIn RFC1213-MIBn RFC1155 SMI-MIB

Esas MIBs incluyen datos acerca de la información de red estándar, tal como direcciones IP yconfiguración de interfaz de red.

MIBs Empresariales

Las MIBs empresariales son usados para dar información acerca de eventos específicos a unfabricante determinado. Su Firebox soporta las siguientes MIBs empresariales:

n WATCHGUARD-PRODUCTS-MIBn WATCHGUARD-SYSTEM-CONFIG-MIBn UCD-SNMP-MIB

Esas MIBs incluyen datos más específicos acerca del hardware del dispositivo.

Al instalar el WatchGuard System Manager, las MIBs son instaladas en:





\My Documents\My WatchGuard\Shared WatchGuard\SNMP

Activar Sondeo de SNMP

Puede configurar su Firebox para aceptar sondeos de SNMP desde un servidor SNMP. Su Firebox reportadatos al servidor SNMP, tal como conteo de tráfico de cada interfaz, tiempo de actividad del dispositivo, elnúmero de paquetes TCP recibidos y enviados, y la última alteración de cada interfaz de red.

1. Seleccione Sistema >SNMP.Aparece la página SNMP.

2. Para activar el SNMP, en la lista desplegable Versión, seleccione v1, v2c, o v3.3. Si seleccionó la v1 o v2c para la versión del SNMP, ingrese la Cadena de comunidad que el servidor

SNMP usa cuando se contacta con el Firebox. La cadena de comunidad es como un ID de usuario ycontraseña que permite el acceso a las estadísticas de un dispositivo.

Si seleccionó la v3 para la versión del SNMP, ingrese el Nombre del usuario que el servidor SNMPusa cuando se contacta con el Firebox.

4. Si su servidor SNMP usa autenticación, en la lista desplegable Protocolo de autenticación,seleccione MD5 o SHA e ingrese la Contraseña de autenticación dos veces.

5. Si su servidor SNMP usa cifrado, en la lista desplegable Protocolo de Privacidad, seleccione DES eingrese la Contraseña de cifrado dos veces.


Para habilitar su Firebox para que pueda recibir sondeos de SNMP, se debe agregar una política de SNMP.

1. Seleccione Firewall >Políticas de Firewall.2. Haga clic en Agregar.3. Expanda la categoría Filtrados de paquetes y seleccione SNMP. Haga clic en Agregar.

Aparece la página "Configuración de Política".4. Abajo del cuadro De, haga clic en Agregar.

Aparece la ventana Agregar miembro.5. En la lista desplegable Insertar miembro, seleccione IP del host.6. Ingrese la dirección IP de su servidor SNMP en el cuadro de texto al lado. Haga clic en OK.7. Remueva la entrada Cualquiera de Confianza de la lista De.8. Abajo del cuadro Para, haga clic en Agregar.

Aparece la ventana Agregar miembro.9. En el cuadro de diálogo Agregar miembro, seleccione Firebox. Haga clic en OK.

10. Remueva la entrada Cualquiera Externo de la lista Para.11. Haga clic en Guardar.

Activar Capturas y estaciones de administración de SNMP

Una captura SNMP es una notificación de evento que el dispositivo WatchGuard envía a un sistema deadministración de SNMP. La captura identifica cuando ocurre una condición específica, tal como un valorque sea exceda su umbral predefinido. Su dispositivo WatchGuard puede enviar una captura para cualquierpolítica.

Una solicitud de informe de SNMP es similar a una captura, pero el receptor envía una respuesta. Si sudispositivo WatchGuard no obtiene una respuesta, él envía la solicitud de informe nuevamente hasta que eladministrador de SNMP envíe una respuesta. Se envía una captura sólo una vez, y el receptor no envíaningún tipo de acuse de recibo al recibir la captura.

Una solicitud de informe es más confiable que una captura porque su dispositivo WatchGuard sabe si lasolicitud de informe fue recibida. No obstante, las solicitudes de informe consumen muchos recursos. Songuardadas en la memoria hasta que el remitente obtenga una respuesta. Si se debe enviar una solicitud deinforme más de una vez, los reintentos aumentan el tráfico. Recomendamos que considere si vale la penausar la memoria del enrutador para cada notificación de SNMP y aumentar el tráfico de red.

Para activar las solicitudes de informe de SNMP, debe usar SNMPv2 o SNMPv3. SNMPv1 sólo soportacapturas, pero no solicitudes de informe.

Configurar Estaciones de Administración de SNMP

1. Seleccione Sistema > SNMP.Aparece la página SNMP.





2. En la lista desplegable Capturas de SNMP, seleccione la versión de la captura o informe que deseausar.SNMPv1 sólo soporta capturas, pero no solicitudes de informe.

3. En el cuadro de texto Estaciones de Administración deSNMP , ingrese la dirección IP de su servidorSNMP. Haga clic en Agregar.

4. Para remover un servidor de la lista, seleccione la entrada y haga clic en Remover.5. Haga clic en Guardar.

Agregar una política de SNMP

Para habilitar su Firebox para que pueda recibir sondeos de SNMP, se debe agregar una política de SNMP.

1. Seleccione Firewall >Políticas de Firewall.2. Haga clic en Agregar.3. Expanda la categoría Filtrados de paquetes y seleccione SNMP. Haga clic en Agregar política.

Aparece la página "Configuración de Política".4. En el cuadro de texto Nombre, ingrese un nombre para la política.5. Seleccione la casilla de verificación Activar.6. En la sección Desde, haga clic en Agregar.

Aparece la ventana Agregar miembro.7. En la lista desplegable Tipo de miembro , seleccione el IP del host.

8. En el cuadro de texto al lado, inserte la dirección IP de su servidor SNMP y después haga clic enAceptar.

9. Remueva la entrada Cualquiera de Confianza de la lista De.10. En la sección Hasta, haga clic en Agregar.

Aparece la ventana Agregar miembro.11. En el cuadro de diálogo Agregar miembro, seleccione Firebox. Haga clic en OK.12. Remueva la entrada Cualquiera Externo de la lista Para.13. Haga clic en Guardar.

Enviar una captura SNMP para una política

Su Firebox puede enviar una captura SNMP cuando el tráfico es filtrado por una política. Debe tener almenos una estación de administración de SNMP configurada para activar las capturas SNMP.

1. Seleccione Firewall > Políticas de Firewall.2. Haga doble clic en una política.

O seleccione una política y haga clic en Editar.Aparece la página "Configuración de Política".

3. Haga clic en la pestaña Propiedades.4. En la sección Registro, seleccione la casilla de verificación Enviar Captura SNMP.5. Haga clic en Guardar.

Acerca de las frases de contraseña, claves decifrado y claves compartidas de WatchGuardComo parte de la solución de seguridad de su red, utilice contraseñas, claves de cifrado y clavescompartidas. Este tema incluye información sobre la mayoría de las contraseñas, claves de cifrado y clavescompartidas que usted utiliza para los productos WatchGuard. No incluye información sobre contraseñas ofrases de contraseña de terceros. En los procedimientos relacionados también se incluye informaciónsobre las restricciones para las contraseñas, las claves de cifrado y las claves compartidas.

Crear una contraseña, una clave de cifrado o una clavecompartida segura

Para crear una contraseña, una clave de cifrado o una clave compartida segura, se recomienda:

n utilice una combinación de caracteres ASCII en minúscula y en mayúscula, números y caracteresespeciales (por ejemplo, Im4e@tiN9);

n no utilice una palabra de los diccionarios estándar, incluso si la utiliza en una secuencia diferente oen un idioma diferente; y

n no utilice un nombre. Resulta fácil para un atacante encontrar un nombre de empresa, un nombrede familia o el nombre de alguien famoso.

Como medida de seguridad adicional, se recomienda cambiar las contraseñas, las claves de cifrado y lasclaves compartidas a intervalos regulares.

Frases de contraseña de Firebox

Un Firebox utiliza dos frases de contraseña:





Frase de contraseña de estado

La frase de contraseña o contraseña de sólo lectura que permite acceso al Firebox. Cuando iniciasesión con esta frase de contraseña, puede revisar su configuración, pero no puede guardar loscambios en el Firebox. La frase de contraseña de estado está asociada al estado del nombre deusuario.

Frase de contraseña de configuración

La frase de contraseña o contraseña de sólo lectura que permite a un administrador tener accesopleno al Firebox. Debe utilizar esta frase de contraseña para guardar los cambios de configuraciónen el Firebox. Ésta es también la frase de contraseña que debe utilizar para cambiar sus frases decontraseña de Firebox. La frase de contraseña de configuración está asociada al nombre de usuariodel administrador.

Cada una de estas frase de contraseña de Firebox debe tener al menos ocho caracteres.

Frases de contraseña de usuario

Puede crear nombres de usuario y frases de contraseña para utilizar con la autenticación de Firebox y laadministración basada en roles.

Frases de contraseñas de usuario para autenticación de Firebox

Una vez que configura esta frase de contraseña de usuario, los caracteres se enmascaran y la frasede contraseña no vuelve a aparecer en texto simple. Si se pierde la frase de contraseña, debeconfigurar una nueva frase de contraseña. El rango permitido para esta frase de contraseña es deentre ocho y 32 caracteres.

Frases de contraseña de usuario para administración basada en roles

Una vez que configura esta frase de contraseña de usuario, no vuelve a aparecer en el cuadro dediálogo Propiedades de usuario y de grupo. Si se pierde la frase de contraseña, debe configurar unanueva frase de contraseña. Esta frase de contraseña debe tener al menos ocho caracteres.

Frases de contraseña del servidor

Frase de contraseña del administrador

La frase de contraseña del administrador se utiliza para controlar el acceso aWatchGuard ServerCenter. También puede utilizar esta frase de contraseña cuando se conecta a su Management Serverdesde WatchGuard System Manager (WSM). Esta frase de contraseña debe tener al menos ochocaracteres. La frase de contraseña del administrador está relacionada con la admin del nombre deusuario.

Secreto compartido del servidor de autenticación

El secreto compartido es la clave que Firebox y el servidor de autenticación utilizan para asegurar lainformación de autenticación que se transfiere entre ellos. El secreto compartido distinguemayúsculas de minúsculas y debe ser el mismo en Firebox que en el servidor de autenticación. Losservidores RADIUS, SecurID y VASCO utilizan una clave compartida.

Claves de cifrado y claves compartidas

Encryption Key del Log Server

La clave de cifrado se utiliza para crear una conexión segura entre Firebox y los Log Servers, y paraevitar ataques “man-in-the-middle” (o de intrusos). El rango permitido para la clave de cifrado es de8 a 32 caracteres. Puede usar todos los caracteres, excepto los espacios o barras diagonales oinvertidas (/ o \).

Respaldar/restablecer clave de cifrado

Ésta es la clave de cifrado que usted crea para cifrar un archivo de respaldo de su configuración deFirebox. Al restablecer un archivo de respaldo, utilice la clave de cifrado que seleccionó cuandocreó el archivo de respaldo de configuración. Si pierde o olvida la clave de cifrado, no puederestaurar el archivo de copia de seguridad. La clave de cifrado debe tener al menos ocho caracteresy no puede tener más de 15 caracteres.

Clave compartida VPN

La clave compartida es una contraseña utilizada por dos dispositivos para cifrar y descifrar los datosque pasan a través del túnel. Los dos dispositivos usan la misma frase de contraseña. Si losdispositivos no tienen la misma frase de contraseña, no pueden encriptar o descifrar los datoscorrectamente.

Alterar frases de contraseña de FireboxFirebox usa dos frases de contraseña:

Frase de contraseña de estado

La frase de contraseña o contraseña de sólo lectura que permite acceso al Firebox.

Frase de contraseña de configuración

La frase de contraseña o contraseña de sólo lectura que permite a un administrador tener accesopleno al Firebox.

Para obtener más información acerca de las frases de contraseña, vea Acerca de las frases de contraseña,claves de cifrado y claves compartidas deWatchGuard en la página 64.

Para alterar las frases de contraseña:

1. Seleccione Sistema > Frase de contraseña.Aparece la página Frase de contraseña.





2. Ingrese y confirme las frases de contraseña de nuevo estado (sólo lectura) y confirmación(lectura/escritura). La frase de contraseña de estado debe ser diferente de la frase de contraseña deconfiguración.


Defina las configuraciones globales del FireboxEn Fireware XTM Web UIse pueden seleccionar configuraciones que controlen las acciones de muchasfunciones de los dispositivos Firebox y XTM . Se configuran los parámetros básicos para:

n Administración de errores ICMPn Comprobación TCP SYNn Ajuste del tamaño máximo de TCPn Administración de tráfico y QoSn Puerto de interfaz del usuario web

Para modificar las configuraciones globales:

1. Seleccionar Sistema > Configuraciones globales.Aparece el cuadro de diálogo Configuraciones globales.

2. Configure las diferentes categorías de las configuraciones globales como se describe en lassiguientes secciones.


Defina las configuraciones globales de administración deerrores ICMP

El Protocolo de mensajes de control de Internet (ICMP) controla errores en las conexiones. Se utiliza parados tipos de operaciones:

n Para informar a los host clientes acerca de condiciones de error.n Para sondear una red a fin de encontrar características generales acerca de ésta.

El Firebox envía un mensaje de error ICMP cada vez que ocurre un evento que coincide con uno de losparámetros seleccionados. Estos mensajes son herramientas convenientes para utilizar cuando seresuelven problemas, pero también pueden reducir la seguridad porque exponen información acerca de lared. Si el usuario rechaza estos mensajes ICMP, puede aumentar la seguridad al impedir los sondeos de red,pero esto también puede generar demoras del tiempo de espera para conexiones incompletas, lo cualpuede causar problemas en las aplicaciones.





Las configuraciones para la administración global de errores de ICMP son:

Se requiere fragmentación (PMTU)

Seleccione esta casilla de verificación para permitir los mensajes "Se requiere fragmentación" deICMP. El Firebox utiliza estos mensajes para encontrar la ruta MTU.

Tiempo excedido

Seleccione esta casilla de verificación para permitir mensajes de "Tiempo excedido" de ICMP. Unenrutador en general envía estos mensajes cuando ocurre un bucle en la ruta.

No se puede alcanzar la red

Seleccione esta casilla de verificación para permitir mensajes "No se puede alcanzar la red" deICMP. Un enrutador en general envía estos mensajes cuando un enlace de red está roto.

No se puede alcanzar el host

Seleccione esta casilla de verificación para permitir mensajes "No se puede alcanzar el host" deICMP. La red en general envía estos mensajes cuando no puede utilizar un host o servicio.

No se puede alcanzar el puerto

Seleccione esta casilla de verificación para permitir mensajes "No se puede alcanzar el puerto" deICMP. Un host o firewall en general envía estos mensajes cuando un servicio de red no estádisponible o no está permitido.

No se puede alcanzar el protocolo

Seleccione esta casilla de verificación para permitir mensajes "No se puede alcanzar el protocolo"de ICMP.

Para anular estas configuraciones globales de ICMP para una política específica: Fireware XTMWeb UI:

1. Seleccione Firewall > Políticas de Firewall.2. Haga doble clic en la política para editarla.

Aparece la página Configuración de políticas.3. Seleccione la pestaña Avanzado.3. Seleccione la casilla de verificación Utilizar administración de errores de ICMP basada en políticas.4. Seleccione la casilla de verificación sólo para las configuraciones que desea activar.5. Haga clic Guardar.

Habilitar la comprobación TCP SYN

La comprobación TCP SYN garantiza que el protocolo de enlace de tres vías TCP se complete antes de que eldispositivo Firebox o XTM permita una conexión de datos.

Definir las configuraciones globales de ajuste de tamañomáximo del segmento TCP

El segmento TCP puede configurarse en un tamaño específico para una conexión que debe tener mássobrecarga TCP/IP de capa 3 (por ejemplo, PPPoE, ESP o AH). Si este tamaño no está configuradocorrectamente, los usuarios no pueden obtener acceso a algunos sitios web. Las configuraciones globalesde ajuste de tamaño máximo del segmento TCP son:

Ajuste automático

El dispositivo Firebox o XTM examina todas las negociaciones de tamaño máximo del segmento(MSS) y cambia el valor de MSS al correspondiente.

Sin ajustes

El dispositivo Firebox o XTM no cambia el valor de MSS.

Limitar a

El usuario configura un límite de ajuste del tamaño.

Activar o desactivar la administración de tráfico y QoS

Para los fines de prueba de rendimiento o depuración de la red, el usuario puede desactivar las funcionesde administración de tráfico y QoS.

Para activar estas funciones:

Seleccione la casilla de verificación Activar todas las funciones de administración de tráfico y QoS.

Para desactivar estas funciones:

Desmarque la casilla de verificación Activar todas las funciones de administración de tráfico y QoS.

Cambiar el puerto Web UI

De manera predeterminada, la Fireware XTMWeb UI utiliza el puerto 8080.

Para cambiar este puerto:

1. En el cuadro de texto Puerto Web UI , ingrese o seleccione un número de puerto diferente.2. Utilice el nuevo puerto para conectarse a la Fireware XTMWeb UI y pruebe la conexión con el

nuevo puerto.

Reinicio automático

Puede programar el dispositivo Firebox o XTM para que se reinicie automáticamente en el día y la horaespecificados.

Para programar un reinicio automático para el dispositivo:





1. Seleccione la casilla de verificación Programar horario para reiniciar.2. En la lista desplegable adyacente, seleccione Diario para reiniciar a la misma hora todos los días o

seleccione un día de la semana para un reinicio semanal.3. En los cuadros de texto adyacentes, ingrese o seleccione la hora y los minutos del día (en formato

de 24 horas) en que desea que comience el reinicio.

Consola externa

Esta opción sólo está disponible para los dispositivos y configuraciones Firebox X Edge. Seleccione estacasilla de verificación para usar el puerto serie para conexiones de consola, como la CLI (interfaz de líneade comandos) del Fireware XTM. El puerto serie no puede usarse para conmutación por error de módemcuando esta opción está seleccionada y es necesario reiniciar el dispositivo para cambiar esta configuración.

Acerca de los servidores WatchGuard SystemManagerCuando instala el software de WatchGuard System Manager, puede elegir instalar uno o más servidoresWatchGuard System Manager. También puede ejecutar el programa de instalación y seleccionar instalar unsolo servidor o más servidores, sin WatchGuard System Manager. Cuando instala un servidor, el programade WatchGuard Server Center se instala automáticamente. WatchGuard Server Center es una aplicaciónunificada que usted puede utilizar para establecer, configurar, guardar un archivo de respaldo y restablecertodos los servidores WatchGuard System Manager.

Cuando utiliza Fireware XTMWeb UI para administrar su Firebox o dispositivos XTM, también puede elegirutilizar los servidores WatchGuard System Manager y WatchGuard Server Center. Para obtener másinformación sobre WatchGuard System Manager, los servidores WatchGuard System Manager yWatchGuard Server Center, consulte Ayuda de Fireware XTM WatchGuard System Manager v11.x y la Guíade usuario de WatchGuard System Manager v11.x de Fireware XTM.

WatchGuard System Manager incluye cinco servidores:

n Management Servern Log Servern Report Servern Quarantine Servern WebBlocker Server

Para obtener más información sobre WatchGuard System Manager y los servidores WatchGuard, consulteAyuda de Fireware XTM WatchGuard System Manager v11.x o la Guía de usuario v11.x.

Cada servidor tiene una función específica:

Management Server

El Management Server funciona en un equipo Windows. Con este servidor, puede manejar todos losdispositivos firewall y crear túneles de red privada virtual (VPN) con sólo arrastrar y soltar. Lasfunciones básicas del Management Server son:

n Autoridad de certificación para distribuir certificados para túneles de seguridad del protocolode Internet (IPSec).

n Administración de la configuración del túnel VPN.n Administración de múltiples dispositivos Fireware XTM y Firebox

Para obtener más información acerca del Management Server, consulte Acerca del WatchGuardManagement Server la Ayuda de Fireware XTM WatchGuard System Manager v11.x o la Guía deusuario v11.x..

Log Server

El Log Servers recopila mensajes de registro para cada dispositivo Firebox y XTM, y los guarda en unabase de datos PostgreSQL. Los mensajes de registro se cifran cuando se envían al Log Servers. Elformato del mensaje de registro es XML (texto sin formato). Los tipos de mensajes de registro que elLog Servers recopila incluyen mensajes de registro de tráfico, mensajes de registro de eventos,alarmas y mensajes de diagnóstico.

Para obtener más información sobre los Log Servers, consulte la Ayuda de Fireware XTM WatchGuard System Manager v11.x o la Guía de usuario v11.x..

Report Server

El Report Server agrupa periódicamente los datos recopilados por sus Log Server desde susdispositivos Firebox y XTM, y los almacena en una base de datos PostgreSQL. El Report Server luegogenera los reportes que usted especifica. Cuando los datos se encuentran en el Report Server,puede revisarlos con el Report Manager o la Web UI (interfaz de usuario) de reporte.

Para obtener más información acerca de cómo utilizar la Reporting Web UI, consulte la Ayuda de laReporting Web UI.

Para obtener más información sobre el Report Server, consulte la Ayuda de Fireware XTM WatchGuard System Manager v11.x o la Guía de usuario v11.x.

Quarantine Server

El Quarantine Server recopila y aísla mensajes de correo electrónico que spamBlocker identificacomo posible spam.

Para obtener más información sobre el Quarantine Server, consulte Página Acerca de QuarantineServer en la página 635.

WebBlocker Server

El WebBlocker Server funciona con el proxy HTTP para denegar el acceso de usuario a categoríasespecificadas de sitios web. Cuando configura Firebox, establece las categorías de sitio web quedesea permitir o bloquear.

Para obtener más información sobre WebBlocker y el WebBlocker Server, consulte Acerca de lasWebBlocker en la página 561.

Administrarun Fireboxdesde unaubicación remotaCuando configura un Firebox con el Quick Setup Wizard, se crea automáticamente una política llamadapolítica WatchGuard. Esa política permite conectarse y administrar el Firebox desde cualquier equipo enredes de confianza u opcional. Si desea administrar el Firebox desde una ubicación remota (cualquierubicación externa al Firebox), debe alterar la política WatchGuard para permitir conexiones administrativas





desde la dirección IP de su ubicación remota.

La política WatchGuard controla el acceso al Firebox en esos cuatro puertos TCP: 4103, 4105, 4117, 4118.Cuando permite las conexiones en la política WatchGuard, permite las conexiones a cada uno de esoscuatro puertos.

Antes de modificar la política WatchGuard, recomendamos que considere conectarse al Firebox con unaVPN. Eso aumenta enormemente la seguridad de la conexión. Caso no sea posible, recomendamos quepermita el acceso desde la red externa sólo a determinados usuarios autorizados y al número de equiposmás pequeño posible. Por ejemplo, su configuración es más segura si permite conexiones desde un equiposimple en vez de desde el alias "Cualquier-externo".

1. Seleccione Firewall > Políticas de Firewall.2. Haga doble clic en la política de WatchGuard.

O haga clic en la política WatchGuard y seleccione Editar.Aparece la página de Configuración de Política.

3. En la sección Desde, haga clic en Agregar.Aparece el cuadro de diálogo "Agregar miembro".

4. Agregar la dirección del equipo externo que se conecta al Firebox: en la lista desplegable Tipo demiembro, seleccione IP del host, y haga clic en Aceptar. Después, ingrese la dirección IP.

5. Si desea otorgar acceso a un usuario autorizado en la lista desplegable Tipo de miembro seleccioneAlias.Para obtener información sobre cómo crear un alias, vea Crear un alias en la página 258.

Configurar un Firebox como un dispositivoadministradoSi su Firebox tiene una dirección IP dinámica o si el Management Server no puede conectarse a él porcualquier otra razón, es posible configurar el Firebox como cliente administrado antes de añadirlo alManagement Server.

Editar la política WatchGuard

1. Seleccione Firewall >Políticas de Firewall.Aparece la página "Políticas de Firewall".

2. Haga doble clic en la políticaWatchGuard para abrirla.Aparece el cuadro de diálogo de la página Configuración de Políticas para la política WatchGuard.





3. En las la lista desplegable Conexiones, asegúrese que Permitido esté seleccionado.4. En la sección Desde, haga clic en Agregar.

Aparece el cuadro de diálogo "Agregar miembro".5. En el Tipo de miembro lista desplegable, seleccione el IP del host.6. En el cuadro de texto ,Tipo inserte la dirección IP de la interfaz externa del Firebox de puerta de

enlace.Si no tiene un Firebox de puerta de enlace que proteja el Management Server contra la Internet,ingrese la dirección IP estática del Management Server.

7. Haga clic en OK para cerrar el cuadro de diálogo Agregar miembro.8. Asegúrese de que la sección Para incluya una entrada para Firebox o para Cualquiera.9. Haga clic en Guardar.

Ahora puede agregar el dispositivo a la Management Server configuration. Cuando agrega ese Firebox a laManagement Server configuration, éste automáticamente se conecta a la dirección IP estática y configura elFirebox como un cliente Firebox administrado.

Configurar Dispositivo Administrado

(Opcional) Si su Firebox tiene una dirección IP dinámica o si el Management Server no puede encontrar ladirección IP del Firebox por algún motivo, es posible usar ese procedimiento para preparar su Firebox paraque sea administrado por el Management Server.

1. Seleccione Sistema > Dispositivos Administrados.Aparece la página "Dispositivo Administrado".

2. Para configurar un Firebox como dispositivo administrado, seleccione la casilla CentralizedManagement.

3. En el campo Nombre del dispositivo administrado, ingrese el nombre que desea dar al Fireboxcuando lo agrega a la Management Server configuration.





Ese nombre distingue mayúsculas de minúsculas y debe coincidir con el nombre usado al agregar eldispositivo a la Management Server configuration.

4. En la ventana Dirección(es) IP del Management Server , seleccione la dirección IP del ManagementServer caso tenga una dirección IP pública.

O seleccione la dirección IP pública del Firebox de puerta de enlace para el Management Server.

5. Para agregar una dirección, haga clic en Agregar.

El Firebox que protege el Management Server automáticamente monitorea todos los puertosusados por el Management Server y envía cualquier conexión de esos puertos hacia el ManagementServer configurado. Cuando usa el Management Server Setup Wizard, el Asistente añade una políticaWG-Mgmt-Server a su configuración para cuidar de esas conexiones. Si no usó el ManagementServer Setup Wizard en el Management Server o si saltó el paso Firebox de Puerta de Enlace en elasistente, debe añadir manualmente la políticaWG-Mgmt-Server a la configuración de su Firebox depuerta de enlace.

6. En los campos Shared Secret y Confirmar, ingrese el secreto compartido.

El secreto compartido ingresado aquí debe coincidir con aquél ingresado al agregar el Firebox a laManagement Server configuration.

7. Copie el texto de su archivo de certificado CA del Management Server, y péguelo en el campoCertificado de Management Server.

8. Haga clic Guardar.

Cuando guarda la configuración en el Firebox, éste queda activado como dispositivo administrado. ElFirebox administrado intenta conectarse a la dirección IP del Management Server en el puerto TCP 4110.Las conexiones de administración no son permitidas a partir del Management Server para este dispositivoFirebox.

Ahora puede agregar el dispositivo a la Management Server configuration. Para obtener más informaciónacerca de la Ayuda del WatchGuard System Manager o Guía del usuario.

También puede usar el WSM para configurar el modo de administración de su dispositivo. Para obtener másinformación acerca de la Ayuda del WatchGuard System Manager o Guía del usuario.

Actualizarpara unanueva versión del FirewareXTMPeriódicamente, el WatchGuard crea nuevas versiones Fireware XTM disponible a los usuarios de Fireboxcon suscripciones activas del LiveSecurity. Para actualizar desde una versión del Fireware XTM hacia unanueva versión de Fireware XTM, use los procedimientos en las siguientes secciones.

Instalar la actualización en su equipo administrado

1. Descargue el software actualizado de Fireware XTM en la sección de Descargas de Software del sitioweb de WatchGuard en http://www.watchguard.com.

http://www.watchguard.com/

2. Inicie el archivo descargado desde el sitio web de LiveSecurity y use el procedimiento en pantallapara instalar el archivo de actualización del Fireware XTM en el directorio de instalación deWatchGuard en su equipo de administración.Por defecto, el archivo es instalado en una carpeta en:C:\Program Files\Common Files\WatchGuard\resources\FirewareXTM\11.0

Actualizar el Firebox

1. Seleccione Sistema > Imagen de copia de seguridad para guardar una imagen de copia deseguridad de su Firebox.Para más informaciones, vea Hacer una copia de seguridad de la imagen de Firebox en la página 41.

2. Seleccione Sistema > Actualizar OS.3. Ingrese el nombre de archivo o haga clic en Examinar para seleccionar el archivo de actualización

desde el directorio en el que está instalado.El nombre del archivo termina con .sysa_dl.

4. Haga clic en Actualizar.

El procedimiento de actualización puede llevar hasta 15 minutos y automáticamente reinicia el dispositivoWatchGuard.

Si su dispositivo WatchGuard estuvo funcionando por algún tiempo antes de la actualización, puede sernecesario reiniciar el dispositivo antes de iniciar la actualización, para que se limpie la memoria temporal.

Descargue el archivo de configuraciónA partir del Fireware XTM Web UI, puede descargar la configuración de su dispositivo WatchGuard en unarchivo comprimido. Eso puede ser útil si desea abrir el mismo archivo de configuración en el PolicyManager de Fireware XTM pero no logra conectarse al dispositivo desde el Policy Manager. Eso tambiénpuede ser útil si desea enviar un archivo de configuración al representante de WatchGuard TechnicalSupport.

1. Seleccione Sistema >Configuración.Aparece la página de descarga del Archivo de configuración.

2. Haga clic en Descargar archivo de configuración.Aparece el cuadro de diálogo "Seleccionar ubicación para descarga".

3. Seleccione una ubicación para guardar el archivo de configuración.

El archivo de configuración es guardado en un archivo en formato comprimido (.gz). Antes que pueda usarese archivo con el Policy Manager de Fireware XTM, debe extraer el archivo zipeado hacia una carpeta ensu equipo.

Para obtener más información acerca del Policy Manager, vea la Ayuda del WatchGuard System Manager.









6 Configuración de red

Acerca de las configuración de interfaz de redUn componente principal de la configuración del dispositivo WatchGuard es la configuración de lasdirecciones IP de la interfaz de red. Cuando se ejecuta el Quick Setup Wizard, las interfaces externa y deconfianza se configuran de manera tal que el tráfico pueda circular desde dispositivos protegidos a una redexterna. Puede seguir los procedimientos en esta sección para cambiar la configuración después deejecutar el Quick Setup Wizard o para agregar otros componentes de su red a la configuración. Porejemplo, puede configurar una interfaz opcional para servidores públicos como un servidor web.

El dispositivo WatchGuard separa físicamente a las redes en la red de área local (LAN) de las que seencuentran en la red de área ancha (WAN) como Internet. El dispositivo utiliza enrutamiento para enviarpaquetes desde las redes que protege a redes fuera de la organización. Para hacerlo, el dispositivo debeconocer qué redes están conectadas en cada interfaz.

Recomendamos registrar la información básica acerca de la configuración de red y VPN en caso de quenecesite contactar a soporte técnico. Esta información puede ayudar al técnico a resolver su problema conrapidez.

Modos de red

El dispositivo WatchGuard admite varios modos de red:

Modo de enrutamiento combinado

En el modo de enrutamiento combinado, se puede configurar Firebox para que envíe tráfico de redentre una amplia variedad de interfaces de red física y virtual. Éste es el modo de redpredeterminado y ofrece la mayor flexibilidad para diferentes configuraciones de red. Sin embargo,cada interfaz debe configurarse por separado y es posible que deba cambiarse la configuración dered para cada computadora o cliente protegido por Firebox. Firebox utiliza la traducción dedirección de red (NAT) para enviar información entre interfaces de red.

Para obtener más información, consulte Acerca de la Traducción de dirección de red (NAT) en lapágina 137.

Los requisitos para un modo de enrutamiento combinado son:

n Todas las interfaces del dispositivo WatchGuard deben configurarse en diferentes subnet. Laconfiguración mínima incluye a las interfaces externas y de confianza. También puedeconfigurar una o más interfaces opcionales.

n Todas las computadoras conectadas a las interfaces opcionales y de confianza deben tener unadirección IP de esa red.

Modo directo

En una configuración directa, el dispositivo WatchGuard está configurado con la misma dirección IPen todas las interfaces. Puede colocar el dispositivo WatchGuard entre el enrutador y la LAN y noserá necesario cambiar la configuración de ninguna computadora local. Esta configuración seconoce comomodo directo porque el dispositivo WatchGuard se coloca en una red existente.Algunas funciones de red, como puentes y VLAN ( redes virtuales de área local) no están disponiblesen este modo.

Para la configuración directa se debe:

n Asignar una dirección IP externa al dispositivo WatchGuard.n Utilizar una red lógica para todas las interfaces.n No configurar multi-WAN en modo de operación por turnos o conmutación por error.

Para más informaciones, vea Acerca de la configuración de red en modo directo en la página 89.

Modo puente

El modo puente es una función que permite ubicar al dispositivo WatchGuard entre una redexistente y su puerta de enlace para filtrar o administrar el tráfico de red. Cuando se activa estafunción, el dispositivo WatchGuard procesa y reenvía todo el tráfico de red entrante a la gateway IPaddress especificada. Cuando el tráfico llega a la puerta de enlace, parece haber sido enviado desdeel dispositivo original. En esta configuración, el dispositivo WatchGuard no puede realizar variasfunciones que requieren una dirección IP pública y única. Por ejemplo, no se puede configurar undispositivo WatchGuard en modo puente para que funcione como extremo para una VPN (redprivada virtual).

Para más informaciones, veaModo Bridge en la página 94.

Tipos de interfaz

Se utilizan tres tipos de interfaz para configurar la red en enrutamiento combinado o modo directo:

Interfaces externas

Una interfaz externa se usa para conectar el dispositivo WatchGuard a una red fuera de laorganización. Con frecuencia, una interfaz externa es el método mediante el cual se conecta Fireboxa Internet. Se puede configurar un máximo de cuatro (4) interfaces externas físicas.

Configuración de red




Cuando se configura una interfaz externa, se debe elegir el método que usa el proveedor deservicios de Internet (ISP) para otorgar una dirección IP a su Firebox. Si no conoce el método, soliciteesta información a su ISP o administrador de red.

Interfaces de confianza

Las interfaces de confianza se conectan a la LAN (red de área local) privada o a la red interna de laorganización. Una interfaz de confianza en general provee conexiones a los empleados y recursosinternos seguros.

Interfaces opcionales

Las interfaces opcionales son entornos combinados-de confianza o DMZ que están separados de lared de confianza. Ejemplos de computadoras que a menudo se encuentran en una interfaz opcionalson los servidores web públicos, servidores FTP y servidores de correo electrónico.

Para obtener más información sobre tipos de interfaz, consulte Configuraciones de interfaz comunes en lapágina 95.

Si tiene un Firebox X Edge, puede utilizar la interfaz de usuario web de Firebox XTM para configurar laconmutación por error con un módem externo en el puerto serie.

Para más informaciones, vea Conmutación por error de módem serie en la página 128.

Cuando se configuran las interfaces en el dispositivo WatchGuard, se debe utilizar notación diagonal paraindicar la subnet mask. Por ejemplo, se ingresa el rango de red 192.168.0.0 subnet mask 255.255.255.0como 192.168.0.0/24. Una interfaz de confianza con la dirección IP de 10.0.1.1/16 tiene una subnet maskde 255.255.0.0.

Para obtener más información sobre notación diagonal, consulte Acerca de las Notación diagonal en lapágina 3.

Acerca de las interfaces de red en el Edge e-Series

Cuando utiliza Fireware XTM en un Firebox X Edge e-Series, los números de interfaz de red que aparecenen la interfaz de usuario web (web UI) del Fireware XTM no coinciden con las etiquetas de interfaz de redque aparecen debajo de las interfaces físicas en el dispositivo. Utilice la siguiente tabla para comprendercómo los números de interfaz de la web UI se asignan a las interfaces físicas en el dispositivo.

Número deinterfaz enFireware XTM

Etiqueta de interfaz en el hardware de Firebox X Edge e-Series

0 WAN 1

1 LAN 0, LAN 1, LAN 2

2 WAN 2

3 Op

Las interfaces con etiqueta LAN 0, LAN 1 y LAN 2 pueden considerarse como un concentrador de red detres interfaces que se conecta a una única interfaz de Firebox. En Fireware XTM, estas interfaces seconfiguran juntas como Interfaz 1.

Modo de enrutamiento combinadoEn el modo de enrutamiento combinado, Firebox puede configurarse para enviar tráfico de red entremuchos tipos diferentes de interfaces de red física y virtual. El modo de enrutamiento combinado es elmodo de red predeterminado. Aunque la mayoría de las funciones de seguridad y red están disponibles eneste modo, debe verificar cuidadosamente la configuración de cada dispositivo conectado a Firebox paraasegurarse de que la red funcione correctamente.

Una configuración de red básica en el modo de enrutamiento combinado utiliza por lo menos dosinterfaces. Por ejemplo, puede conectar una interfaz externa a un módem por cable u otra conexión aInternet y una interfaz de confianza a un enrutador interno que conecta a miembros internos de laorganización. En esa configuración básica, puede agregar una red opcional que protege a los servidorespero permite un mayor acceso desde redes externas, configurar VLAN y otras funciones avanzadas oconfigurar opciones de seguridad adicionales como restricciones de dirección MAC. También puede definirel modo en que el tráfico de red se envía entre las interfaces.

Para comenzar con la configuración de interfaces en el modo de enrutamiento combinado, consulteConfiguraciones de interfaz comunes en la página 95.

En el modo de enrutamiento combinado es fácil olvidar las direcciones IP y puntos de conexión en la red ,especialmente si se usan VLAN (redes virtuales de área local), secondary networks y otras funcionesavanzadas. Recomendamos registrar la información básica acerca de la configuración de red y VPN en casode que necesite contactar a soporte técnico. Esta información puede ayudar al técnico a resolver suproblema con rapidez.

Configurar una interfaz externa

Una interfaz externa se usa para conectar el dispositivo Firebox o XTM a una red fuera de la organización.Con frecuencia, una interfaz externa es el método mediante el cual se conecta el dispositivo a Internet. Sepuede configurar un máximo de cuatro (4) interfaces externas físicas.

Cuando se configura una interfaz externa, se debe elegir el método que usa el proveedor de servicios deInternet (ISP) para otorgar una dirección IP a su dispositivo. Si no conoce el método, solicite estainformación a su ISP o administrador de red.

Para obtener información acerca de los métodos utilizados para configurar y distribuir direcciones IP,consulte estáticas y dinámicas Direcciones IP en la página 4.

Usar una dirección IP estática

1. Seleccione Interfaces de >red.Aparece la página de Interfaces de red.

2. Seleccione una interfaz externa. Haga clic en Configurar.3. En la lista desplegable Modo configuración, seleccione IP estática.4. En el cuadro de texto Dirección IP , ingrese la dirección IP de la interfaz.





5. En el cuadro de texto Puerta de enlace predeterminada , ingrese la dirección IP de la puerta deenlace predeterminada.


Usar autenticación PPPoE

Si su ISP usa PPPoE, debe configurar la autenticación PPPoE antes de que el dispositivo pueda enviar tráficoa través de la interfaz externa.


2. Seleccione una interfaz externa. Haga clic en Configurar.3. En la lista desplegable Modo configuración , seleccione PPPoE.4. Seleccione una opción:

n Obtener una dirección IP automáticamenten Usar esta dirección IP (proporcionada por el proveedor de servicios de Internet)

5. Si seleccionó Usar esta dirección IP, en el cuadro de texto adyacente, ingrese la dirección IP.6. Ingrese el nombre de usuario y la contraseña. Vuelva a ingresar la contraseña.

Los ISP usan el formato de dirección de correo electrónico para nombres de usuario, como por ejemplo

[email protected].

7. Haga clic en Configuración avanzada de PPPoE para configurar opciones de PPPoE adicionales.El ISP puede informarle si debe cambiar los valores de tiempo de espera o LCP.

8. Si el ISP requiere la etiqueta de host único para paquetes de descubrimiento de PPPoE, seleccionela casilla de verificación Utilizar etiqueta de host único en paquetes de descubrimiento de PPPoE.

9. Seleccionar cuándo el dispositivo se conecta al servidor PPPoE:

n Siempre activo: el dispositivo Firebox o XTMmantiene una conexión PPPoE constante. No esnecesario para el tráfico de red atravesar la interfaz externa.

Si selecciona esta opción, ingrese o seleccione un valor en el cuadro de texto Intervalo dereintento de inicialización de PPPoE para establecer la cantidad de segundos en que PPPoEintenta inicializarse antes de que ingrese en tiempo de espera.

n Marcar a demanda: el dispositivo Firebox o XTM se conecta al servidor PPPoE sólo cuandorecibe una solicitud de enviar tráfico a una dirección IP en la interfaz externa. Si el ISPrestablece la conexión en forma regular, seleccione esta opción.

Si selecciona esta opción, en el cuadro de texto Tiempo de espera inactivo , establezca lacantidad de tiempo en que un cliente puede permanecer conectado cuando no se envíatráfico. Si no selecciona esta opción, debe reiniciar Firebox en formamanual cada vez que serestablece la conexión.

10. En el cuadro de texto Falla en eco de LCP en , ingrese o seleccione el número de solicitudes de ecode LCP permitidas antes de que la conexión PPPoE se considere inactiva y se cierre.

11. En el cuadro de texto Tiempo de espera del eco de LCP en , ingrese o seleccione la cantidad detiempo, en segundos, en la que debe recibirse la respuesta a cada tiempo de espera del eco.

12. Para configurar el dispositivo Firebox o XTM para que reinicie automáticamente la conexión PPPoEen forma diaria o semanal, seleccione la casilla de verificación Programar tiempo para reinicioautomático.





13. En la lista desplegable Programar tiempo para reinicio automático, seleccione Diario para reiniciarla conexión al mismo tiempo cada día o seleccione un día de la semana para un reinicio semanal.Seleccione la hora y minutos del día (en formato de 24 horas) para reiniciar automáticamente laconexión PPPoE.

14. En el cuadro de texto Nombre del servicio , ingrese un nombre del servicio PPPoE.

Las opciones son el nombre del ISP o una clase de servicio que esté configurada en el servidorPPPoE. En general, esta opción no se usa. Selecciónela sólo si hay más de un concentrador deacceso o si sabe que debe utilizar un nombre de servicio específico.

15. En el cuadro de texto Nombre del concentrador de acceso , ingrese el nombre de un concentradorde acceso PPPoE, conocido también como servidor PPPoE. En general, esta opción no se usa.Seleccione esta opción sólo si sabe que hay más de un concentrador de acceso.

16. En el cuadro de texto Reintentos de autenticación , ingrese o seleccione el número de veces queel dispositivo Firebox o XTM puede intentar realizar una conexión.El valor predeterminado es de tres (3) intentos de conexión.

17. En el cuadro de texto Tiempo de espera de autenticación , ingrese un valor para la cantidad detiempo entre los reintentos.El valor predeterminado es 20 segundos entre cada intento de conexión.

18. Haga clic en Volver a las configuraciones principales de PPPoE.19. Guarde su configuración.

Usar DHCP

1. En la lista desplegable Modo configuración , seleccione DHCP.2. Si el ISP o el servidor DHCO externo requiere un identificador de cliente, como una dirección MAC,

ingrese esta información en el cuadro de texto Cliente .3. Paraespecificarunnombrede hostpara identificación,ingréselo enel cuadrode textoNombre dehost .

4. Para asignar una dirección IP en formamanual a la interfaz externa, ingrésela en el cuadro de textoUtilizar esta dirección IP .

Para configurar esta interfaz para que obtenga una dirección IP automáticamente, desmarque elcuadro de texto Utilizar esta dirección IP.

5. Para cambiar el tiempo de concesión, seleccione la casilla de verificación Tiempo de concesión yseleccione el valor deseado en la lista desplegable adyacente.

Las direcciones IP que asigna un servidor DHCP tienen un tiempo de concesión predeterminado deun día; cada dirección es válida por un día.

Configurar el DHCP en modo de enrutamiento mixto

DHCP (protocolo de configuración dinámicade host) es unmétodo paraasignar direcciones IP en formaautomáticaa clientesde red.El dispositivoWatchGuard se puede configurar como servidor DHCP para lasredesque protege. Si tiene un servidor DHCP, recomendamosque continúe usando ese servidor paraDHCP.

Si el dispositivo WatchGuard está configurado en modo directo, consulte Configurar DHCP en modo directoen la página 91.

Nota No se puede configurar DHCP en ninguna interfaz en la cual esté activadoFireCluster.

Configurar DHCP

1. Seleccione Interfaces de> red.2. Seleccione una interfaz de confianza u opcional. Haga clic en Configurar.





3. En la lista desplegable Modo configuración, seleccione Usar servidor DHCP.

4. Para agregar un grupo de direcciones IP para asignar usuarios en esta interfaz, ingrese una direcciónIP de inicio y una dirección IP de finalización desde la misma subnet, luego haga clic en Agregar.El grupo de direcciones debe pertenecer ya sea a la subnet IP principal o secundaria de la interfaz.Se puede configurar un máximo de seis rangos de direcciones. Los grupos de direcciones se usan desde elprimero al último. Las direcciones en cada grupo se asignan por número, de menor a mayor.

5. Para cambiar el tiempo de concesión predeterminado, seleccione una opción diferente en la listadesplegable Tiempo de concesión.Es el intervalo de tiempo en el que un cliente DHCP puede usar una dirección IP que recibe del servidor DHCP.Cuando el tiempo de concesión se está por agotar, el cliente envía datos al servidor DHCP para obtener una

nueva concesión.6. De manera predeterminada, cuando el dispositivo WatchGuard está configurado como servidor

DHCP, revela la información del servidor DNS y WINS configurada en la pestaña Configuración dered > WINS/DNS. Para especificar información diferente para que el dispositivo asigne cuandorevela las direcciones IP, haga clic en ,pestaña DNS/WINS..

n Ingrese un Domain name para cambiar el dominio DNS predeterminado.n Para crear una nueva entrada del servidor DNS o WINS, haga clic en el botón Agregar

adyacente al tipo de servidor que desea, ingrese una dirección IP y haga clic en OK.n Para cambiar la dirección IP del servidor seleccionado, haga clic en el botón Editar.n Para eliminar al servidor seleccionado de la lista adyacente, haga clic en el botón Eliminar.

Configurar reservas de DHCP

Para reservar una dirección IP específica para un cliente:

1. Ingrese un nombre para la reserva, la dirección IP que desea reservar y la dirección MAC de latarjeta de red del cliente.

2. Haga clic en Agregar.

Página Acerca de Servicio DNS dinámico

Se puede registrar la dirección IP externa del dispositivo WatchGuard en el servicio del sistema de domainname (DNS) dinámico DynDNS.org. Un servicio DNS dinámico garantiza que la dirección IP adjunta a sudomain name cambie cuando el ISP entregue una nueva dirección IP a su dispositivo. Esta función estádisponible en modo de enrutamiento combinado o modo de configuración de red directo.

Si se usa esta función, el dispositivo WatchGuard recibe la dirección IP de members.dyndns.org cuando seinicia. Verifica que la dirección IP sea correcta cada vez que se reinicia y periódicamente cada veinte días. Sise realizan cambios en la configuración DynDNS en el dispositivo WatchGuard o si se cambia la dirección IPde la puerta de enlace predeterminada, actualiza DynDNS.com de inmediato.

Para obtener más información sobre el servicio DNS dinámico o para crear una cuenta DynDNS, ingrese enhttp://www.dyndns.com.

Nota WatchGuard no está asociado con DynDNS.com.

Configurar DNS dinámico

1. Seleccione Red >DNS dinámico.Aparece la página de cliente de DNS dinámico.

2. Seleccione una interfaz de red y después haga clic en Configurar.Aparece la página de configuración de DNS dinámico.



http://www.dyndns.com/



3. Seleccione la casilla de verificación Activar DNS dinámico.4. Ingrese el nombre de usuario y contraseña.5. En el cuadro de texto Confirmar, vuelva a ingresar la contraseña.6. En el cuadro de texto Dominio, ingrese el dominio de la organización.7. En la lista desplegable Tipo de servicio, seleccione el sistema que se usará para DNS dinámico:

n dyndns; envía actualizaciones para un nombre de host DNS dinámico. Use la opción dyndnscuando no tenga control sobre la dirección IP (por ejemplo, no es estática y cambia en formaregular).

n custom; envía actualizaciones para un nombre de host DNS personalizado. Las empresas quepagan para registrar sus dominios en dyndns.com utilizan con frecuencia esta opción.

Para acceder a una explicación de cada opción, consulte http://www.dyndns.com/services/.

8. En el campo Opciones, ingrese una o más de estas opciones:

n mx=mailexchanger&; especifica un Mail eXchanger (MX) para usar con el nombre de host.n backmx=YES|NO&; solicita que el MX en el parámetro anterior esté configurado como MX de

copia de seguridad (incluye al host como MX con un valor de preferencia menor).n wildcard=ON|OFF|NOCHG&; activa o desactiva comodines para este host (ON [encendido] para

activar).n offline=YES|NO; establece al nombre de host en modo desconectado. Pueden enlazarse una

o más opciones con el signo &. Por ejemplo:&mx=backup.kunstlerandsons.com&backmx=YES&wildcard=ON

Para obtener más información, consulte http://www.dyndns.com/developers/specs/syntax.html.

9. Haga clic en Enviar.

Acerca de la configuración de red en mododirectoEn una configuración directa, Firebox está configurado con la misma dirección IP en todas las interfaces. Elmodo configuración directa distribuye el rango de dirección lógica de la red a lo largo de todas lasinterfaces de red disponibles. Puede colocar Firebox entre el enrutador y la LAN y no será necesariocambiar la configuración de ninguna computadora local. Esta configuración se conoce como modo directoporque el dispositivo WatchGuard se coloca en una red previamente configurada.

En modo directo:

n Se debe asignar la misma dirección IP principal a todas las interfaces en Firebox (externa, deconfianza y opcional).

n Pueden asignarse secondary networks en cualquier interfaz.n LasmismasdireccionesIP ypuertasdeenlace predeterminadaspuedenmantenersepara loshostenlas

redesde confianzay opcionales,y sepuede agregarunadirecciónde secondarynetwork ala interfazexternaprincipal paraque Fireboxpuedaenviartráfico correctamentea loshostdeestas redes.

n Los servidores públicos detrás de Firebox pueden continuar utilizando las direcciones IP públicas. Latraducción de dirección de red (NAT) no se utiliza para enrutar tráfico desde el exterior de la redhacia los servidores públicos.

Las propiedades de una configuración directa son:

http://www.dyndns.com/services

http://www.dyndns.com/developers/specs/syntax.html

n Se debe asignar y utilizar una dirección IP estática en la interfaz externa.n Se utiliza una red lógica para todas las interfaces.n No se puede configurar más de una interfaz externa cuando el dispositivo WatchGuard está

configurado en modo directo. La funcionalidad multi-WAN se desactiva automáticamente.

En algunas ocasiones es necesario Limpiar caché de ARP de cada computadora protegida por Firebox, peroesto no es frecuente.

Nota Si se mueve una dirección IP de una computadora que se encuentra detrás de unainterfaz a una computadora que se encuentra detrás de una interfaz diferente,pueden transcurrir varios minutos antes de que el tráfico de red se envíe a la nuevaubicación. Firebox debe actualizar su tabla de enrutamiento interna antes de queeste tráfico pueda circular. Los tipos de tráfico que se ven afectados incluyenregistro, SNMP y conexiones de administración de Firebox.

Las interfaces de red pueden configurarse en modo directo cuando se ejecuta el Quick Setup Wizard. Si yaha creado una configuración de red, puede usar el Policy Manager para cambiar al modo directo.Para más informaciones, vea Ejecutar el Web Setup Wizard en la página 24.

Utilizar modo directo para la configuración de la interfaz de red

1. Seleccione Interfaces de > red.Aparece el cuadro de diálogo Interfaces de red.

2. En la lista desplegable Configurar interfaces en, seleccione Modo directo transparente.3. En el campoDirección IP, ingrese la dirección IP que desea utilizar como dirección principal para

todas las interfaces de Firebox.4. En el campo Puerta de enlace ingrese la dirección IP de la puerta de enlace. Esta dirección IP se

agrega automáticamente a la lista de hosts relacionados.


Configurar host relacionados

En una configuración directa o de puente, Firebox está configurado con la misma dirección IP en todas lasinterfaces. Firebox automáticamente descubre nuevos dispositivos que se conectan a estas interfaces yagrega cada nueva dirección MAC a su tabla de enrutamiento interna. Si desea configurar conexiones dedispositivos en formamanual o si la función de asignación automática de host no funciona correctamente,puede agregar una entrada de host relacionado. Una entrada de host relacionado crea una ruta estáticaentre la dirección IP del host y una interfaz de red. Recomendamos desactivar la asignación automática dehost en interfaces para las que se crean entradas de host relacionados.


2. Configurar interfaces de red en modo directo o puente. Haga clic en Propiedades.Aparece la página Propiedades del modo directo.





3. Desmarque la casilla de verificación para cualquier interfaz en la que desee agregar una entrada dehost relacionado.

4. En el cuadro de texto Host, ingrese la dirección IP del dispositivo para el cual desea construir unaruta estática desde Firebox. Seleccione la Interfaz en la lista desplegable adyacente y luego haga clicen Agregar. Repita este paso para agregar otros dispositivos.


Configurar DHCP en modo directo

Cuando se usael mododirecto para la configuración de red,de maneraopcional se puede configurar aFirebox como servidor DHCP para las redesque protege o convertir a Firebox en agente de retransmisión deDHCP.Si tiene un servidor DHCP configurado, recomendamos que continúe usandoese servidor para DHCP.

Usar DHCP

De manera predeterminada, Firebox revela la información de configuración del servidor DNS/WINS cuandoestá configurado como servidor DHCP. La información DNS/WINS de esta página puede configurarse paraanular la configuración global. Para obtener más información, consulte las instrucciones en Agregarservidores WINS y Direcciones del servidor DNS en la página 98.


2. Haga clic en Propiedades.3. Seleccione la pestaña Configuración DHCP.

4. Para agregar un grupo de direcciones desde el cual Firebox puede entregar direcciones IP: en loscuadros de texto IP de inicio e IP de finalización, ingrese un rango de direcciones IP que seencuentren en la misma subnet que la dirección IP directa. Haga clic en Agregar.Repita este paso para agregar más grupos de direcciones.Se puede configurar un máximo de seis grupos de direcciones.





5. Para reservar una dirección IP específica de un grupo de direcciones para un dispositivo o cliente,en la sección Direcciones reservadas:

n Ingrese un Nombre de reserva para identificar la reserva.n Ingrese la dirección IP reservada que desea reservar.n Ingrese la Dirección MAC del dispositivo.n Haga clic en Agregar.

Repita este paso para agregar más reservas de DHCP .

6. Si es necesario, Agregar servidores WINS y Direcciones del servidor DNS.7. Para cambiar el tiempo de concesión DHCP , seleccione una opción diferente en la lista desplegable

Tiempo de concesión.8. En la parte superior de la página, haga clic en Volver.9. Haga clic en Guardar.

Utilizar retransmisión de DHCP


2. Seleccione cualquier interfaz de confianza u opcional y haga clic en Configurar.O bien, haga doble clic en una interfaz de confianza u opcional.Aparece la página Configuración de interfaz.

3. Junto al cuadro de texto Dirección IP, seleccione Utilizar retransmisión de DHCP.

4. Ingrese la dirección IP del servidor DHCP en el campo relacionado. Asegúrese de Agregue una rutaestática al servidor DHCP, si es necesario.

5. Haga clic en Guardar. Haga clic en Guardar nuevamente.

Especificar la configuración DHCP para una sola interfaz

Puede especificar una configuración DHCP diferente para cada interfaz opcional o de confianza en suconfiguración. Para modificar estas configuraciones:

1. Desplácese hasta la parte inferior del cuadro de diálogo Configuración de red.2. Seleccione una interfaz.3. Haga clic en Configurar.4. Para utilizar la misma configuración de DHCP que estableció en el modo directo, seleccione Utilizar

configuración DHCP del sistema.

Para desactivar DHCP para clientes en esa interfaz de red, seleccione Desactivar DHCP.

Para configurar diferentes opciones de DHCP para clientes en una secondary network, seleccioneUtilizar servidor DHCP para secondary network.

5. Para agregar grupos de direcciones IP , configurar el tiempo de concesión predeterminado yadministrar servidores DNS/WINS, complete los Pasos 3-6 de la sección Utilizar DHCP.

6. Haga clic en OK.

Modo BridgeEl modo Bridge es una función que le permite instalar su dispositivo Firebox o XTM entre una red existentey su puerta de enlace para filtrar o administrar el tráfico de red. Cuando se activa esta función, el dispositivoFirebox o XTM procesa y reenvía todo el tráfico de red a otros dispositivos de la puerta de enlace. Cuando eltráfico llega a la puerta de enlace desde el dispositivo Firebox o XTM, parece haber sido enviado desde eldispositivo original.

Para utilizar el modo Bridge, debe especificar una dirección IP utilizada para administrar el dispositivoFirebox o XTM. El dispositivo también utiliza esta dirección IP para obtener actualizaciones para el GatewayAntivirus/IPS y para generar rutas a servidores DNS, NTP o WebBlocker internos según sea necesario.Debido a esto, asegúrese de asignar una dirección IP que pueda enrutarse por Internet.

Cuando utiliza el modo Bridge, el dispositivo Firebox o XTM no puede completar algunas funciones querequieren que el dispositivo funcione como puerta de enlace. Estas funciones incluyen:

n WAN múltiplen VLAN (redes virtuales de área local)n Puentes de redn Rutas estáticasn FireClustern Secondary networksn Servidor DHCP o retransmisión DHCPn Conmutación por error de módem serial (Firebox X Edge únicamente)n 1 a 1 NAT, dinámica o estátican Enrutamiento dinámico (OSPF, BGP o RIP)n Cualquier tipo de VPN para la cual el dispositivo Firebox o XTM sea un extremo o puerta de enlacen Algunas funciones proxy, incluido el Servidor de caché de Internet HTTP

Si ya ha configurado estas funciones o estos servicios, se desactivarán cuando cambie a modo Bridge. Parautilizar estas funciones o servicios nuevamente, debe usar un modo de red diferente. Si vuelve al modo deenrutamiento combinado o directo, es posible que deba configurar algunas funciones nuevamente.

Nota Cuando se activa el modo Bridge, se desactiva cualquier interfaz con un puente dered o VLAN configurado previamente. Para utilizar esas interfaces, primero debecambiar a modo de enrutamiento combinado o directo y configurar la interfazcomo externa, opcional o de confianza y luego volver al modo Bridge. Lasfunciones inalámbricas de los dispositivos inalámbricos Firebox o XTM funcionancorrectamente en el modo Bridge.

Para activar el modo Bridge:


2. En la lista desplegable Configurar interfaces en, seleccione Modo Bridge.





3. Si se le indica que desactive las interfaces, haga clic en Sí para desactivar las interfaces o en No paravolver a la configuración anterior.

4. Ingrese la dirección IP del dispositivo Firebox o XTM en notación diagonal.Para obtener más información sobre notación diagonal, consulte Acerca de las Notación diagonalen la página 3.

5. Ingrese la dirección IP de puerta de enlace que recibe todo el tráfico de red desde el dispositivo.6. Haga clic en Guardar.

Configuraciones de interfaz comunesCon el modo de enrutamiento combinado, se puede configurar el dispositivo WatchGuard para que envíetráfico de red entre una amplia variedad de interfaces de red física y virtual. Éste es el modo de redpredeterminado y ofrece la mayor flexibilidad para diferentes configuraciones de red. Sin embargo, cadainterfaz debe configurarse por separado y es posible que deba cambiarse la configuración de red para cadacomputadora o cliente protegido por el dispositivo WatchGuard.

Para configurar el modo de enrutamiento combinado en Firebox:

1. Seleccione Interfaces de> red.Aparece el cuadro de diálogo Interfaces.

2. Seleccione la interfaz que desea configurar y después haga clic en Configurar. Las opcionesdisponibles dependen del tipo de interfaz seleccionada.Aparece el cuadro de diálogo de interfaz Configuración.

3. En el campo Nombre de la interfaz (alias), puede retener el nombre predeterminado o cambiarlo aotro que refleje con más detalle su propia red y sus propias relaciones de confianza.Asegúrese de que el nombre sea único entre los nombres de interfaz y también entre todos losnombres de grupos MVPN y nombres de túnel. Puede usar este alias con otras funciones, comopolíticas de proxy, para administrar el tráfico de red para esta interfaz.

4. (Opcional) Ingrese una descripción de la interfaz en el campo Descripción de interfaz.5. En la lista desplegable Modo configuración, seleccione el tipo de interfaz. Puede seleccionar

Externa, De confianza,Opcional, Puente, Desactivada o VLAN. Algunos tipos de interfaz tienenconfiguraciones adicionales.

n Para obtener más información acerca de cómo asignar una dirección IP a una interfaz externa,consulte Configurar una interfaz externa en la página 82. Para configurar la dirección IP de unainterfaz de confianza u opcional, ingrese la dirección IP en notación diagonal.

n Para asignar direcciones IP en forma automática a clientes en una interfaz de confianza uopcional, consulte Configurar el DHCP en modo de enrutamiento mixto en la página 86 oConfigurar retransmisión de DHCP en la página 97.

n Para usar más de una dirección IP en una única interfaz de red física, consulte Configurar unasecondary network en la página 99.

n Para obtener más información acerca de configuraciones LAN, consulte Acerca de redesvirtuales de área local (VLAN) en la página 108.

n Para quitar una interfaz de su configuración, consulte Desactivar una interfaz en la página 96.

6. Configure la interfaz como se describe en uno de los temas anteriores.7. Haga clic en Guardar.

Desactivar una interfaz

1. Seleccione Red > Configuración.Aparece el cuadro de diálogo "Configuración de red".





2. Seleccione la interfaz que desea desactivar. Haga clic en Configurar.Aparece el cuadro de diálogo Configuración de interfaz.

3. En la lista desplegable Tipo de interfaz, seleccione Desactivada. Haga clic en OK.

En el cuadro de diálogo Configuración de red, el tipo de interfaz ahora aparece como Desactivada.

Configurar retransmisión de DHCP

Una forma de obtener direcciones IP para las computadoras en las redes de confianza u opcional es usarun servidor DHCP en una red diferente. Se puede usar la retransmisión DHCP para obtener direcciones IPpara las computadoras en la red de confianza u opcional. Con esta función, Firebox envía solicitudes DHCP aun servidor en una red diferente.

Si el servidor DHCP que desea utilizar no se encuentra en una red protegida por el dispositivo WatchGuard,debe configurar un túnel VPN entre el dispositivo WatchGuard y el servidor DHCP para que esta funciónopere correctamente.

Nota No se puede usar la retransmisión DHCP en ninguna interfaz en la cual estéactivado FireCluster.

Para configurar retransmisión DHCP :

1. Seleccione Interfaces de > red.Aparece la página de Interfaces de red.

2. Seleccione una interfaz de confianza u opcional y haga clic en Configurar.3. En la lista desplegable debajo de la dirección IP de interfaz, seleccione Usar retransmisión DHCP.4. Ingrese la dirección IP del servidor DHCP en el campo relacionado. Asegúrese de Agregue una ruta

estática al servidor DHCP, si es necesario.5. Haga clic en Guardar.

Restringir el tráfico de red mediante la dirección MAC

Puede usar una lista de direcciones MAC para administrar qué dispositivos tienen permitido enviar tráficoen la interfaz de red especificada. Cuando se activa esta función, el dispositivo WatchGuard verifica ladirección MAC de cada computadora o dispositivo que se conecta a la interfaz especificada. Si la direcciónMAC de ese dispositivo no figura en la lista de control de acceso MAC para esa interfaz, el dispositivo nopuede enviar tráfico.

Esta función es especialmente útil para prevenir cualquier acceso no autorizado a la red desde unaubicación dentro de su oficina. Sin embargo, se debe actualizar la lista de control de acceso MAC para cadainterfaz cuando se agrega a la red una nueva computadora autorizada.

Nota Si decide restringir el acceso mediante la dirección MAC, debe incluir la direcciónMAC de la computadora que usa para administrar el dispositivo WatchGuard.

Para activar el control de acceso MAC para una interfaz de red:

1. Seleccione Interfaces de > red.Aparece la página de Interfaces de red.

2. Seleccione la interfaz en la que desea activar el control de acceso MAC y luego haga clic enConfigurar.Aparece la página Configuración de interfaz.

3. Seleccione la pestaña Control de acceso MAC.

4. Seleccione la casilla de verificación Restringir acceso mediante dirección MAC.5. Ingrese la direcciónMAC de la computadora o dispositivo para darle acceso a la interfaz específica.6. (Opcional) Ingrese un Nombre para la computadora o dispositivo para identificarlo en la lista.7. Haga clic en Agregar.

Repita los pasos 5 al 7 para agregar más computadoras o dispositivos a la lista de control de acceso MAC .

Agregar servidores WINS y Direcciones del servidor DNS

Los permisos para compartir Firebox Direcciones IP del servidor WINS (Windows Internet Name Server) yDirecciones IP del servidor DNS (Sistema de domain name) para algunas funciones. Estas funciones incluyenDHCP y Mobile VPN. Los servidores WINS y DNS deben estar accesibles desde la interfaz de confianza deFirebox.

Esta información se utiliza para dos fines:

n El Firebox utiliza el servidor DNS para resolver nombres con las direcciones IP de las VPN de IPSec ypara que las funciones spamBlocker, antivirus (AV) de puerta de enlace e IPS funcionencorrectamente.

n Los usuarios de Mobile VPN y los clientes DHCP utilizan las entradas de WINS y DNS en las redes deconfianza o en las redes opcionales para resolver las consultas de DNS.

Asegúrese de utilizar sólo un servidor WINS y DNS interno para DHCP y Mobile VPN. Esto ayuda a garantizarque no se creen políticas con propiedades de configuración que impidan a los usuarios conectarse con elservidor DNS.





1. Seleccione Interfaces de >red.2. Desplácese hasta la sección Servidores DNS y Servidores WINS.

3. En el cuadro de texto Servidor DNS o Servidor WINS, ingrese las direcciones principal y secundariapara cada servidor WINS y DNS.

4. Haga clic en Agregar.5. Repita los pasos 3 al 4 para especificar hasta tres servidores DNS.6. (Opcional) En el cuadro de texto Domain name, ingrese un domain name para que un cliente DHCP

use con nombres no calificados como watchguard_mail.

Configurar una secondary network

Una secondary network es una red que comparte una de las mismas redes físicas que una de las interfacesdel dispositivo Firebox o XTM. Cuando se agrega una secondary network, se realiza (o agrega) un alias IP a lainterfaz. Este alias IP es la puerta de enlace predeterminada para todas las computadoras en la secondarynetwork. La secondary network le indica al dispositivo Firebox o XTM que hay más de una red en la interfazdel dispositivo Firebox o XTM.

Por ejemplo, si configura un dispositivo Firebox o XTM en modo Drop-in, le otorga a cada interfaz deldispositivo Firebox o XTM la misma dirección IP. Sin embargo, probablemente use un conjunto dedirecciones IP diferente en su red de confianza. Puede agregar esta red privada como secondary network ala interfaz de confianza del dispositivo Firebox o XTM. Cuando se agrega una secondary network, se creauna ruta desde una dirección IP en la secondary network a la dirección IP de la interfaz del dispositivoFirebox o XTM.

Si su dispositivo Firebox o XTM está configurado con una dirección IP estática, puede agregar una direcciónIP en la misma subnet que la interfaz externa principal como secondary network. Luego se puedeconfigurar NAT estática para más de un tipo de servidor igual. Por ejemplo, configure una secondarynetwork externa con una segunda dirección IP pública si tiene dos servidores SMTP públicos y deseaconfigurar una regla NAT estática para cada uno.

Puede agregar hasta 2048 secondary networks por interfaz del dispositivo Firebox o XTM. Puede utilizarsecondary networks con una configuración de red directa o enrutada. También puede agregar unasecondary network a una interfaz externa de un dispositivo Firebox o XTM si la interfaz externa estáconfigurada para obtener su dirección IP a través de PPPoE o DHCP.

Para definir una dirección IP secundaria, debe tener:

n Una dirección IP sin utilizar en la secondary network para asignársela a la interfaz del dispositivoFirebox o XTM.

n Una dirección IP sin utilizar en la misma red que la interfaz externa del dispositivo Firebox o XTM.

Para definir una dirección IP secundaria:


2. Seleccione la interfaz para la secondary network y haga clic en Configurar o haga doble clic en unainterfaz.Aparece la página Configuración de interfaz.

3. En la sección Redes secundarias, ingrese una dirección IP de host no asignada en notación diagonalde la secondary network. Haga clic en Agregar. Repita este paso para agregar secondary networksadicionales.

4. Haga clic en Guardar.5. Haga clic en Guardar nuevamente.

Nota Asegúrese de agregar las direcciones de secondary network correctamente. Eldispositivo Firebox o XTM no indica si la dirección es correcta. Recomendamos nocrear una subnet como secondary network en una interfaz que forme parte de unared más grande en una interfaz diferente. En tal caso, puede ocurrir spoofing y lared no podrá funcionar correctamente.

Acerca de la Configuraciones de interfazSe pueden usar varias configuraciones avanzadas para las interfaces de Firebox:

Configuración de tarjeta de interfaz de red (NIC)

Establece la velocidad y los parámetros dobles para las interfaces de Firebox en configuraciónautomática o manual. Recomendamos mantener la velocidad de enlace configurada paranegociación automática. Si usa la opción de configuración manual, debe asegurarse de que eldispositivo al que se conecta Firebox también esté manualmente configurado a la misma velocidad yparámetros dobles que Firebox. Utilice la opción de configuración manual sólo cuando deba anularlos parámetros de interfaz automáticos de Firebox para operar con otros dispositivos en la red.





Configurar el ancho de banda de interfaz saliente

Cuando utiliza configuraciones de administración de tráfico para garantizar ancho de banda a laspolíticas, esta configuración verifica que no se garantice más ancho de banda del que efectivamenteexiste para una interfaz. Esta configuración ayuda a asegurar que la suma de configuraciones deancho de banda garantizado no complete el enlace de manera tal que el tráfico no garantizado nopueda circular.

Activar marcado QoS para una interfaz

Crea diferentes clasificaciones de servicio para distintos tipos de tráfico de red. Puede establecer elcomportamiento de marcado predeterminado a medida que el tráfico sale de una interfaz. Estasconfiguraciones pueden ser anuladas por las configuraciones definidas para una política.

Determinar No fragmentar bit IPSec

Determina la configuración de No fragmentar (DF) bit para IPSec.

Configuración de la ruta de unidad de transmisión máxima (PMTU) para IPSec

(Interfaces externas únicamente) Controla la cantidad de tiempo en que Firebox disminuye launidad máxima de transmisión (MTU) para un túnel VPN IPSec cuando recibe una solicitud de ICMPde fragmentar un paquete desde un enrutador con una configuración de MTU más baja en Internet.

Usar vínculo de dirección MAC estático

Utiliza direcciones de hardware (MAC) de la computadora para controlar el acceso a una interfaz deFirebox.

Configuración de tarjeta de interfaz de red (NIC)

1. Seleccione Interfaces de >red.2. Seleccione la interfaz que configurar. Haga clic en Configurar.3. Haga clic en Configuraciones generales avanzadas.

4. En la lista desplegable velocidad de enlace, seleccione Negociación automática si desea que eldispositivo WatchGuard seleccione la mejor velocidad de red. También puede seleccionar una de lasvelocidades doble medio o doble completo que usted sepa que son compatibles con el resto de suequipo de red.

Negociación automática es la configuración predeterminada. Le recomendamos encarecidamenteque no cambie esta configuración a menos que soporte técnico le indique hacerlo. Si configura lavelocidad de enlace en formamanual y otros dispositivos de su red no admiten la velocidadseleccionada, se puede generar un conflicto que no permita a la interfaz de Firebox reconectarsedespués de una conmutación por error.

5. En el cuadro de texto Unidad Máxima de Transmisión (MTU) , seleccione el tamaño máximo delpaquete, en bytes, que pueden enviarse a través de la interfaz. Recomendamos utilizar el valorpredeterminado, 1500 bytes, a menos que el equipo de red requiera un tamaño de paquetediferente.Puede configurar la MTU desde un mínimo de 68 a un máximo de 9000.

6. Para cambiar la dirección MAC de la interfaz externa, seleccione la casilla de verificación Cancelardirección MAC e ingrese la nueva dirección MAC.

Para obtener más información acerca de direcciones MAC, consulte la siguiente sección.

7. Haga clic en Guardar.8. Haga clic en Guardar nuevamente.

Acerca de direcciones MAC

Algunos ISP utilizan una dirección MAC para identificar a las computadoras en su red. Cada dirección MACrecibe una dirección IP estática. Si su ISP utiliza este método para identificar su computadora, entoncesdebe cambiar la dirección MAC de la interfaz externa del dispositivo WatchGuard. Utilice la dirección MACdel módem por cable, DSL de módem o enrutador que se conectaron directamente al ISP en suconfiguración original.

La dirección MAC debe tener estas propiedades:

n La dirección MAC debe usar 12 caracteres hexadecimales. Los caracteres hexadecimales tienen unvalor entre 0 y 9 o entre "a" y "f".

n La dirección MAC debe funcionar con:

o Una o más direcciones en la red externa.o La dirección MAC de la red de confianza para el dispositivo.o La dirección MAC de la red opcional para el dispositivo.

n La dirección MAC no debe estar configurada en 000000000000 o ffffffffffff.

Si la casilla de verificación Cancelar dirección MAC no está seleccionada cuando se reinicia el dispositivoWatchGuard, el dispositivo utiliza la dirección MAC predeterminada para la red externa.

Para reducir los problemas con direcciones MAC, el dispositivo WatchGuard verifica que la dirección MACque usted asigna a la interfaz externa sea única en su red. Si el dispositivo WatchGuard encuentra undispositivo que usa la misma dirección MAC, vuelve a cambiar a la dirección MAC estándar para la interfazexterna y se inicia nuevamente.

Determinar No fragmentar bit IPSec

Cuando configura la interfaz externa, seleccione una de las tres opciones para determinar la configuraciónpara la sección No fragmentar (DF) bit para IPSec.





Copiar

Seleccione Copiar para aplicar la configuración DF bit del marco original al paquete cifrado IPSec. Siun marco no tiene configurado DF bit, Fireware XTM no configura DF bit y fragmenta el paquete si esnecesario. Si un marco está configurado para no ser fragmentado, Fireware XTM encapsula el marcocompleto y configura DF bit del paquete cifrado para que coincida con el marco original.

Determinar

Seleccione Configurar si no desea que Firebox fragmente el marco independientemente de laconfiguración de bit original. Si un usuario debe realizar conexiones IPSec a un Firebox desde detrásde un Firebox diferente, debe desmarcar esta casilla de verificación para activar la función depuerto de transferencia de IPSec. Por ejemplo, si los empleados móviles se encuentran en unaubicación cliente que tiene un Firebox, pueden realizar conexiones IPSec a su red con IPSec. Paraque el Firebox local permita correctamente la conexión IPSec saliente, también se debe agregar unapolítica IPSec.

Limpiar

Seleccione Borrar para dividir el marco en partes que puedan integrarse a un paquete IPSec con elencabezado ESP o AH, independientemente de la configuración de bit original.

Configuración de la ruta de unidad de transmisión máxima(PMTU) para IPSec

Esta configuración de interfaz avanzada se aplica a interfaces externas únicamente.

La Path Maximum Transmission Unit (PMTU) controla la cantidad de tiempo en que Firebox disminuye launidad máxima de transmisión (MTU) para un túnel VPN IPSec cuando recibe una solicitud de ICMP defragmentar un paquete desde un enrutador con una configuración de MTU más baja en Internet.

Recomendamos mantener la configuración predeterminada. Esto puede protegerlo de un enrutador enInternet con una configuración de MTU muy baja.

Usar vínculo de dirección MAC estático

Es posible controlar el acceso a una interfaz en el dispositivo WatchGuard mediante la dirección (MAC) delhardware de la computadora. Esta función puede proteger a la red de ataques de envenenamiento ARP, enlos cuales los piratas informáticos intentan cambiar la dirección MAC de sus computadoras para quecoincidan con un dispositivo real en la red del usuario. Para usar el vínculo de dirección MAC, se debeasociar una dirección IP en la interfaz específica con una dirección MAC. Si esta función está activada, lascomputadoras con una dirección MAC específica sólo pueden enviar y recibir información con la direcciónIP asociada.

También se puede utilizar esta función para restringir todo el tráfico de red a los dispositivos que coincidencon las direcciones MAC e IP en esta lista. Esto es similar a la función de control de acceso MAC.

Para más informaciones, vea Restringir el tráfico de red mediante la dirección MAC en la página 97.

Nota Si decide restringir el acceso a la red mediante el vínculo de dirección MAC,asegúrese de incluir la dirección MAC de la computadora que usa paraadministrar el dispositivo WatchGuard.

Para establecer las configuraciones del vínculo de dirección MAC estático:

1. Seleccione Interfaces de > red. Seleccione una interfaz y después haga clic en Configurar.2. Haga clic en Avanzado.

3. Ingrese un par de dirección IP y dirección MAC. Haga clic en Agregar. Repita este paso para agregarotros pares.

4. Si desea que esta interfaz transmita sólo tráfico que coincida con una entrada en la lista vínculo dedirección MAC/IP estático, seleccione la casilla de verificación Sólo permitir tráfico enviado desdeo hacia estas direcciones MAC/IP.

Si no desea bloquear tráfico que no coincide con una entrada de la lista, desmarque esta casilla deverificación.

Buscar la dirección MAC de una computadora

La dirección MAC se conoce también como dirección de hardware o dirección Ethernet. Es un identificadorúnico, específico de la tarjeta de red en la computadora. La dirección MAC en general se muestra delsiguiente modo: XX-XX-XX-XX-XX-XX, en donde cada X es un dígito o letra de la A a la F. Para encontrar ladirección MAC de una computadora en la red:

1. Desde la línea de comando de la computadora cuya dirección MAC desea averiguar, ingreseipconfig /all (Windows) o ifconfig (OS X o Linux).

2. Busque la entrada de "dirección física" de la computadora. Este valor es la dirección MAC o dehardware de la computadora.





Acerca de los puentes LANUn puente de red establece una conexión entre interfaces de red física múltiples en el dispositivoWatchGuard. Un puente puede usarse del mismo modo que una interfaz de red física normal. Por ejemplo,se puede configurar DHCP para entregar direcciones IP a clientes en un puente o utilizarlo como alias enpolíticas de firewall.

Para utilizar un puente debe:

1. Crear una configuración de puente de red..2. Asignar una interfaz de red a un puente..

Si desea establecer un puente entre todo el tráfico de dos interfaces, recomendamos utilizar el modopuente para la configuración de red.

Crear una configuración de puente de red.

Para utilizar un puente, debe crear una configuración de puente y asignarla a una o más interfaces de red.

1. Seleccione Puente de> red.Aparece la página Puente.

2. Haga clic en Nuevo.

3. En la pestaña Configuración de puente, ingrese un Nombre y una Descripción (opcional) para laconfiguración de puente.

4. Seleccione una Zona de seguridad en la lista desplegable e ingrese una dirección IP en notacióndiagonal para el puente.El puente se agrega al alias de la zona de seguridad que especifica.

5. Para agregar interfaces de red, seleccione la casilla de verificación adyacente a cada interfaz de redque desea agregar a la configuración del puente.

6. Para realizar la configuración DHCP , seleccione la pestaña DHCP . Seleccione Servidor DHCP oRetransmisión DHCP en la lista desplegable Modo DHCP.Para obtener más información sobre la configuración DHCP , consulte Configurar el DHCP en modode enrutamiento mixto en la página 86 o Configurar retransmisión de DHCP en la página 97.

7. Si desea agregar secondary networks a la configuración de puente, seleccione la pestañaSecundaria.Ingrese una dirección IP en notación diagonal y haga clic en Agregar.Para obtener más información sobre secondary networks, consulte Configurar una secondarynetwork en la página 99.


Asignar una interfaz de red a un puente.

Para utilizar un puente, debe crear una configuración de puente y asignarla a una o más interfaces de red.Puede crear la configuración de puente en el cuadro de diálogo Configuración de red , o cuando configurauna interfaz de red.

1. Seleccione Puente de> red.Aparece la página Puente.

2. Seleccione una configuración de puente en la lista Configuración de puente, luego haga clic enConfigurar.

3. Seleccione la casilla de verifciación junto a cada interfaz de red que desea agregar al puente.4. Haga clic en Guardar.

Acerca deUna ruta es la secuencia de dispositivos a través de los cuales se envía el tráfico de red. Cada dispositivo enesta secuencia, en general llamado enrutador, almacena información acerca de las redes a las que estáconectado en una tabla de enrutamiento. Esta información se utiliza para reenviar el tráfico de red alsiguiente enrutador en la ruta.

El dispositivo WatchGuard actualiza automáticamente su tabla de enrutamiento cuando se cambia laconfiguración de interfaz de red, cuando falla una conexión de red física o cuando se reinicia. Paraactualizar la tabla de enrutamiento en otra oportunidad, debe usar el dynamic routing o agregar una rutaestática. Las rutas estáticas pueden mejorar el rendimiento, pero si surge un cambio en la estructura de redo si falla una conexión, el tráfico de red no puede llegar a destino. El dynamic routing garantiza que eltráfico de red pueda llegar a destino, pero es más difícil de configurar.





Agregue una ruta estática

Un ruta es la secuencia de dispositivos a través de los cuales debe pasar el tráfico de red para llegar desdeel origen al destino. Un enrutador es el dispositivo en una ruta que encuentra un punto de red subsiguientea través del cual envía el tráfico de red a su destino. Cada enrutador está conectado a un mínimo de dosredes. Un paquete puede atravesar un número de puntos de red con enrutadores antes de llegar a destino.

Se pueden crear rutas estáticas para enviar el tráfico a host o redes específicas. El enrutador puedeentonces enviar el tráfico desde la ruta especificada al destino correcto. Si tiene una red completa detrásde un enrutador en la red local, agregue una ruta de red. Si no agrega una ruta a una red remota, todo eltráfico a esa red se envía a la puerta de enlace predeterminada del Firebox.

Antes de comenzar, debe comprender la diferencia entre una ruta de red y una ruta de host. Una ruta dered es una ruta a una red completa detrás de un enrutador ubicado en la red local. Utilice una ruta de hostsi hay sólo un host detrás del enrutador o si desea que el tráfico se dirija sólo a un host.

1. Seleccione Rutas de >red.Aparece la página Rutas.

2. En la lista desplegable Tipo, seleccione IP de host o IP de red.

n Seleccione IP de red si tiene una red completa detrás de un enrutador en la red local.n Seleccione IP de host si hay sólo un host detrás del enrutador o si desea que el tráfico se dirija

sólo a un host.

3. En el cuadro de texto Ruta hacia, ingrese la dirección IP de destino.4. En el cuadro de texto Puerta de enlace, ingrese la dirección IP de la interfaz local del enrutador.

La dirección IP de la puerta de enlace debe ser una dirección IP administrada por el dispositivoWatchGuard.

5. En el cuadro de textoMétrica, ingrese o seleccione una métrica para la ruta. Las rutas con lasmétricas más bajas tienen mayor prioridad.

6. Haga clic en Agregar.7. Para agregar otra ruta estática, repita los pasos 2 al 4.

Para eliminar una ruta estática, seleccione la dirección IP en la lista y haga clic en Eliminar.8. Haga clic en Guardar.

Acerca de redes virtuales de área local (VLAN)Una VLAN (red de área local virtual) 802.1Q es una colección de computadoras en una o varias LAN que seagrupan en un solo dominio de broadcast independientemente de su ubicación física. Esto permite agrupardispositivos de acuerdo con patrones de tráfico en lugar de proximidad física. Los miembros de una VLANpueden compartir recursos como si estuvieran conectados a la misma LAN. Las VLAN también puedenusarse para dividir a un conmutador en múltiples segmentos. Por ejemplo, supongamos que su empresatiene empleados de tiempo completo y trabajadores contratados en la misma LAN. Usted desea restringir alos empleados contratados a un subconjunto de los recursos utilizados por los empleados de tiempocompleto. También desea utilizar una política de seguridad más restrictiva para los trabajadorescontratados. En este caso, se divide la interfaz en dos VLAN.

Las VLAN permiten dividir la red en grupos con una agrupación o estructura jerárquica lógica en lugar deuna física. Esto ayuda a liberar al personal de TI de las restricciones del diseño de red y la infraestructura decableado existentes. Las VLAN facilitan el diseño, la implementación y la administración de la red. Debido aque las VLAN se basan en software, la red se puede adaptar de manera rápida y sencilla a incorporaciones,reubicaciones y reorganizaciones.

Las VLAN utilizan puentes y conmutadores, entonces los broadcast son más eficientes porque se dirigensólo a personas en la VLAN y no a todos los conectados. En consecuencia, se reduce el tráfico a través delos enrutadores, lo cual implica una reducción en la latencia del enrutador. Firebox puede configurarse parafuncionar como servidor DHCP para dispositivos en la VLAN o puede utilizar retransmisión DHCP con unservidor DHCP separado.

Requisitos y restricciones de la VLAN

n La implementación de VLAN de WatchGuard no es compatible con el protocolo de administraciónde enlaces Spanning Tree (árbol de expansión).

n Si su Firebox está configurado para utilizar el modo de red directo, no puede utilizar VLAN.n Una interfaz física puede ser miembro de una VLAN no etiquetado en sólo una VLAN. Por ejemplo,

si Externo-1 es un miembro no etiquetado de una VLAN denominada VLAN-1, no puede sermiembro no etiquetado de una VLAN diferente al mismo tiempo. Además, las interfaces externaspueden ser miembros de sólo una VLAN.

n Laconfiguración demulti-WAN se aplicaal tráficoVLAN . Sin embargo,puede sermás fácil administrarel anchode bandacuando se usan sólo interfaces físicasenunaconfiguraciónmulti-WAN .

n El modelo y la licencia de su dispositivo controlan el número de VLAN que puede crear.Para consultar el número de VLAN que puede agregar a su configuración, seleccione Estado delsistema> Licencia.Identifique la fila denominadaNúmero total de interfaces VLAN.





n Recomendamos no crear más de 10 VLAN que funcionen en interfaces externas por elrendimiento.

n Todos los segmentosde redque desee agregar aunaVLAN deben tener direcciones IP en la redVLAN.

Nota Si define VLAN, puede ignorar mensajes con el texto “802.1d unknown version”(802.1d versión desconocida). Esto puede ocurrir porque la implementación deVLAN deWatchGuard no es compatible con el protocolo de administración deenlaces Spanning Tree (árbol de expansión).

Acerca de las etiquetado

Para activar VLAN, debe implementar conmutadores compatibles con VLAN en cada sitio. Las interfaces delconmutador insertan etiquetas en la capa 2 del marco de datos que identifican un paquete de red comoparte de una VLAN específica. Estas etiquetas, que agregan cuatro bytes extras al encabezado de Ethernet,identifican al marco como perteneciente a una VLAN específica. El etiquetado se especifica con el estándarIEEE 802.1Q.

La definición de VLAN incluye la disposición de marcos de datos etiquetados y no etiquetados. Debeespecificar si la VLAN recibe datos etiquetados, no etiquetados o no recibe datos de cada interfaz activada.El dispositivo WatchGuard puede insertar etiquetas para paquetes que se envían a un conmutadorcompatible con VLAN. Su dispositivo también puede eliminar etiquetas de paquetes que se envían a unsegmento de red que pertenece a una VLAN que no tiene conmutador.

Definir un nuevo (red de área local virtual)

Antes de crear una nueva VLAN, asegúrese de comprender los conceptos acerca de las VLAN y susrestricciones, según se describe en Acerca de redes virtuales de área local (VLAN) en la página 108. Antesde poder crear una configuración de VLAN , debe cambiar también por lo menos una interfaz para que seadel tipo VLAN.

Cuando se define una nueva VLAN, se agrega une entrada en la tabla Configuración de VLAN. Se puedecambiar la vista de esta tabla:

n Haga clic en el encabezado de columna para ordenar la tabla según los valores de esa columna.n La tabla puede ordenarse de mayor a menor o de menor a mayor.n Los valores en la columna Interfaz muestran las interfaces físicas que son miembros de esta VLAN.n El número de interfaz en negrita es la interfaz que envía datos no etiquetados a esa VLAN.

Para crear una nueva VLAN:

1. Seleccione Red > VLAN.Aparece la página VLAN .

2. Aparece una tabla de VLAN actuales definidas por el usuario y sus configuraciones:

También puede configurar interfaces de red desde la tabla Interfaces.

3. Haga clic en Nueva.Aparece la página Configuración de VLAN.

4. En el campo Nombre, ingrese un nombre para la VLAN.5. (Opcional) En el campo Descripción, ingrese una descripción de la VLAN.6. En el campo Identificación de VLAN ingrese o seleccione un valor para la VLAN.7. En el campo Zona de seguridad, seleccione De confianza,Opcional o Externa.

Las zonas de seguridad corresponden a los alias para las zonas de seguridad de la interfaz. Porejemplo, las VLAN de tipo De confianza son administradas por políticas que usan el alias Cualquierade confianza como origen o destino.

8. En el campo Dirección IP ingrese la dirección de la puerta de enlace de la VLAN.

Usar DHCP en una VLAN

Puede configurar Firebox como servidor DHCP para las computadoras en la red VLAN.

1. En la pestaña Red, seleccione Servidor DHCP en la lista desplegable Modo DHCP. para configurar elFirebox como servidor DHCP para la red VLAN. Si es necesario, ingrese el domain name paraproporcionarlo a los clientes DHCP .

2. Para agregar un conjunto de direcciones IP, Ingrese la primera y la última dirección IP en el grupo.Haga clic en Agregar.Se puede configurar un máximo de seis grupos de direcciones.

3. Para reservar una dirección IP específica para un cliente, Ingrese la dirección IP, el nombre dereserva y la dirección MAC del dispositivo. Haga clic en Agregar.





4. Para cambiar el tiempo de concesión predeterminado, seleccione un intervalo de tiempo diferenteen la lista desplegable que se encuentra en la parte superior de la página.Es el intervalo de tiempo en el que un cliente DHCP puede usar una dirección IP que recibe del servidor DHCP.Cuando el tiempo de concesión se está por agotar, el cliente envía una solicitud al servidor DHCP para obteneruna nueva concesión.

5. Para agregar servidores DNS o WINS a la configuración DHCP , ingrese la dirección del servidor en elcampo adyacente a la lista. Haga clic en Agregar.

6. Para borrar un servidor de la lista, seleccione la entrada y haga clic en Eliminar.

Usar Retransmisión de DHCP en una VLAN

1. En la pestaña Red, seleccione Retransmisión de DHCP en la lista desplegable Modo DHCP.2. Ingrese la dirección IP del servidor DHCP. Asegúrese de agregar una ruta al servidor DHCP, si es

necesario.

Ahora puede realizar los siguientes pasos y Asignar interfaces a (red de área local virtual).

Asignar interfaces a (red de área local virtual)

Cuando se crea una nueva VLAN, se especifica el tipo de datos que recibe de las interfaces de Firebox. Sinembargo, también se puede convertir a una interfaz en miembro de una VLAN actualmente definida oeliminar una interfaz de una VLAN. Se debe cambiar el tipo de interfaz a VLAN para poder usarla en unaconfiguración VLAN .

1. Seleccione Red > VLAN.Aparece la página VLAN .

2. Haga clic en Nueva o seleccione una interfaz de VLAN y haga clic en Configurar.3. En la lista Seleccionar una configuración de etiqueta VLAN para cada interfaz, haga clic en la

columna Etiquetado/No etiquetado adyacente a una interfaz y seleccione una opción en la listadesplegable:

n Tráfico etiquetado: la interfaz envía y recibe tráfico etiquetado.n Tráfico no etiquetado : la interfaz envía y recibe tráfico no etiquetado.n Sin tráfico: se elimina la interfaz de esta configuración VLAN.


Ejemplos de configuración de red

Ejemplo: Configurar dos VLAN con la misma interfaz

Una interfaz de red enun dispositivo Firebox oXTM esmiembro demás de una VLAN cuando el interruptorque se conectaa esa interfaz transporta tráfico amás de una VLAN.Este ejemplomuestra cómoconectar uninterruptor configurado parados VLAN diferentes auna sola interfaz en el dispositivo Firebox oXTM.

El diagrama subsiguiente muestra la configuración correspondiente para este ejemplo.

En este ejemplo, los equipos en ambas VLAN se conectan al mismo interruptor 802.1Q y el interruptor seconecta a la interfaz 3 del dispositivo Firebox o XTM.

Las instrucciones subsiguientes le muestran cómo configurar estas VLAN:

Configurar la Interfaz 3 como una interfaz de VLAN

1. Seleccione Interfaces de >red.2. En el cuadro de texto Nombre de interfaz (Alias), ingrese vlan.3. Seleccione la interfaz número 3. Haga clic en Configurar.





1. En la lista desplegable Tipo de interfaz, seleccione VLAN.2. Haga clic en Guardar.

Defina las dos VLAN y asígnelas a la interfaz de VLAN

1. Seleccione Red > VLAN.2. Haga clic en Nuevo.3. En el cuadro de texto Nombre (Alias), ingrese un nombre para la VLAN. Para este ejemplo, ingrese

VLAN10.4. En el cuadro de texto Descripción, ingrese una descripción. Para este ejemplo, ingrese

Contabilidad.5. En el cuadro de texto ID de VLAN, ingrese el número de VLAN configurado para la VLAN en el

interruptor. Para este ejemplo, ingrese 10.6. En la lista desplegable Zona de seguridad, seleccione la zona de seguridad. Para este ejemplo,

seleccione De confianza.7. En el cuadro de texto Dirección IP, ingrese la dirección IP que desea utilizar para el dispositivo

Firebox o XTM en esta VLAN. Para este ejemplo, ingrese 192.168.10.1/24.8. En la lista Seleccionar una configuración de etiqueta VLAN para cada interfaz, haga clic en la

columna Etiquetado/No etiquetado adyacente a una interfaz y seleccione Etiquetado en la listadesplegable.

9. Haga clic en Guardar.10. Haga clic en Nuevo para agregar la segunda VLAN.11. En el cuadro de texto Nombre (Alias), ingrese VLAN20.12. En el cuadro de texto Descripción, ingrese Ventas.13. En el cuadro de texto ID de VLAN, ingrese 20.14. En la lista Zona de seguridad, seleccione Opcional.15. En el campo Dirección IP, ingrese la dirección IP que desea utilizar para el dispositivo Firebox o XTM

en esta VLAN. Para este ejemplo, ingrese 192.168.20.1/24.16. En la lista Seleccionar una configuración de etiqueta VLAN para cada interfaz, haga clic en la

columna Etiquetado/No etiquetado adyacente a una interfaz y seleccione Etiquetado en la listadesplegable.


18. Ahora, ambas VLAN aparecen en la lista y están configuradas para utilizar la interfaz de VLANdefinida.





Use Firebox X Edge con el bridge inalámbrico 3G Extend

El bridge inalámbrico 3G Extend de WatchGuard añade conectividad celular 3G al dispositivo Firebox X Edgeo WatchGuard XTM 2 Series. Cuando se conecta la interfaz externa del dispositivo WatchGuard del bridgeinalámbrico 3G Extend de WatchGuard, las computadoras de la red pueden conectarse en formainalámbrica a Internet a través de la red celular 3G.

El 3G Extend tiene dos modelos basados en tecnología de Top Global y Cradlepoint.

Use el dispositivo 3G Extend/Top Global MB5000K

Siga estos pasos para usar el bridge inalámbrico 3G Extend con el dispositivo Firebox X Edge o XTM 2 Series.

1. Configure la interfaz externa en el dispositivo WatchGuard para obtener su dirección con PPPoE.Asegúrese de configurar el nombre de usuario PPPoE/contraseña en público/público. Para obtenermás información acerca de cómo configurar la interfaz externa para PPPoE, consulte Configurar unainterfaz externa en la página 82.

2. Active la tarjeta de datos de banda ancha. Consulte las instrucciones incluidas en la tarjeta de datosde banda ancha para obtener más información.

3. Prepare el bridge inalámbrico 3G Extend:

n Inserte la tarjeta de datos de banda ancha en la ranura del bridge inalámbrico 3G Extend.n Conecte la energía eléctrica al bridge inalámbrico 3G Extend.n Verifique que las luces LED estén activas.

4. Use un cable Ethernet para conectar el bridge inalámbrico 3G Extend a la interfaz externa deldispositivo WatchGuard.

No es necesario cambiar ninguna configuración en el dispositivo 3G Extend antes de conectarlo aldispositivo WatchGuard. En algunas ocasiones es necesario conectarse a la interfaz de administración webdel dispositivo 3G Extend. Para conectarse a la interfaz 3G Extend web, conecte la computadoradirectamente al MB5000K con un cable Ethernet y asegúrese de que la computadora esté configurada paraobtener su dirección IP con DHCP. Abra el explorador web e ingrese http://172.16.0.1. Conéctese conun nombre de usuario/contraseña de público/público.

n Para operar correctamente con el dispositivo WatchGuard, el bridge inalámbrico 3G Extend debeconfigurarse para ejecutarse en modo "Autoconexión". Todos los dispositivos 3G Extend/MB5000Kestán preconfigurados para ejecutarse en este modo de manera predeterminada. Para verificar si eldispositivo 3G Extend está configurado en modo Autoconexión, conéctese directamente aldispositivo y seleccione Interfaces > Acceso a Internet. Seleccione la interfazWAN#0. En el secciónRed, asegúrese de que el modo Conectar de la lista desplegable esté configurado en Auto.

n Si la tarjeta inalámbrica 3G funciona en la red celular GPRS , puede ser necesario agregar un iniciode sesión de red y contraseña a la configuración del dispositivo 3G Extend. Para agregar un inicio desesión de red red y contraseña, conéctese al bridge inalámbrico 3G Extend y seleccione Servicios > Bridge administrable.

n Para restablecer las configuraciones predeterminadas de fábrica en el MB5000K, conéctese albridge inalámbrico 3G Extend y seleccione Sistema> Configuraciones predeterminadas de fábrica.Haga clic en Sí.

Por seguridad, recomendamos cambiar el nombre de usuario/contraseña PPPoE predeterminados depúblico/público después de que la red esté en funcionamiento. Debe cambiar el nombre de usuario y lacontraseña en el dispositivo WatchGuard y en el bridge inalámbrico 3G Extend.

n Para cambiar el nombre de usuario y la contraseña PPPoE en el dispositivo WatchGuard, consulteConfigurar una interfaz externa en la página 82.

n Para cambiar el nombre de usuario y la contraseña PPPoE en el dispositivo 3G Extend, conéctese aldispositivo en ingrese en Servicios>Bridge administrable.

El dispositivo 3G Extend admite más de 50 tarjetas de módem y opciones de plan ISP. Para obtenerinformación detallada acerca del producto Top Global, incluida la Guía del usuario del MB5000, ingrese enhttp://www.topglobaluse.com/support_mb5000.htm.

Use el dispositivo 3G Extend/Cradlepoint CBA250.

Siga estos pasos para usar el adaptador de banda ancha celular 3G Extend Cradlepoint con su dispositivoWatchGuard Firebox X.

1. Siga las instrucciones en la Guía de inicio rápido del Cradlepoint CBA250 para configurar eldispositivo Cradlepoint.

2. Configure la interfaz externa en el dispositivo WatchGuard para obtener su dirección con DHCP. Paraaprender cómo configurar la interfaz externa para PPPoE, consulte Configurar una interfaz externaen la página 82.

3. Use un cable Ethernet para conectar el dispositivo Cradlepoint a la interfaz externa de Firebox.4. Inicie (o reinicie) el dispositivo WatchGuard.

Cuando Firebox se inicia, recibe una dirección DHCP del dispositivo Cradlepoint. Después de que se asigna unadirección IP , Firebox puede conectarse a Internet a través de la red de banda ancha celular.



http://www.topglobaluse.com/support_mb5000.htm

http://www.topglobaluse.com/support_mb5000.htm

http://www.cradlepoint.com/files/uploads/qsg_CBA250.pdf









El Cradlepoint admite un gran número de USB o dispositivos inalámbricos de banda ancha ExpressCard.Para obtener una lista de dispositivos admitidos, consulte http://www.cradlepoint.com/support./cba250.

http://www.cradlepoint.com/support/cba250


7 WAN múltiple

Acerca de usar múltiples interfaces externasPuede usar su dispositivo Firebox WatchGuard para crear soporte redundante para la interfaz externa. Esaes una opción útil si debe tener una conexión constante a Internet.

Con la función WAN múltiple, puede configurar hasta cuatro interfaces externas, cada una en una subreddiferente. Eso permite conectar su Firebox a más de un Proveedor de servicios de Internet (ISP). Cuandoconfigura una segunda interfaz, la función de WAN múltiple es automáticamente activada.

Requisitos y condiciones de WAN múltiple

Debe tener una segunda conexión a Internet y más de una interfaz externa para usar la mayoría de lasopciones de configuración de WAN múltiple.

Las condiciones y requisitos para el uso de WAN múltiple incluyen:

n Si tiene una política configurada con un alias de interfaz externa individual en su configuración, debealterarla para usar el alias Cualquiera-Externo, u otro alias configurado para interfaces externas. Si nolo hace, puede ser que sus políticas de firewall nieguen algún tráfico.

n La configuración de WAN múltiple no se aplica al tráfico entrante. Cuando configura una políticapara tráfico entrante, puede ignorar todas las configuraciones de WAN múltiple.

n Para anular la configuración de WAN múltiple en cualquier política individual, active el enrutamientobasado en la política para la política en cuestión. Para más información acerca del enrutamientobasado en la política, vea Configurar el enrutamiento basado en la política en la página 269.

n Asigne el Domain Name totalmente cualificado de su empresa a la dirección IP de interfaz externadel orden más bajo. Si añade un dispositivo WatchGuard de WAN múltiple a la Management Serverconfiguration, debe usar la interfaz externa de orden más inferior para identificarlo cuando agregael dispositivo.

n Para usar WAN múltiple, debe usar el modo de enrutamiento combinado para la configuración dered. Esa función no opera en las configuraciones de red de modo directo o puente.

n Para usar el método de desbordamiento en la interfaz, debe tener el Fireware XTM con unaactualización Pro. También debe tener una licencia Pro de Fireware XTM si usa el método deoperación por turnos y configura diferentes pesos para las interfaces externas del dispositivoWatchGuard.

Puede usar unade las cuatro opcionesde configuración de WANmúltiple paraadministrar su tráfico de red.

Para detalles de configuración y procedimientos, vea la sección para cada opción.

WANmúltiple y DNS

Asegúrese de que su servidor DNS puede ser contactado a través de cada una de las WAN. De lo contrario,debe modificar sus políticas de DNS de modo tal que:

n La lista De incluya Firebox.n La casilla de verificación Usar enrutamiento basado en la política esté seleccionada.

Si sólo unaWAN puede alcanzar el servidor DNS, seleccione esa interfaz en la lista desplegable allado.Si más de unaWAN puede alcanzar el servidor DNS, seleccione una de ellas, seleccioneConmutación por error, seleccione Configurar y seleccione todas las interfaces que puedenalcanzar el servidor DNS. El orden es indiferente.

Nota Debe tener un Fireware XTM con una actualización Pro para usar la enrutamientobasado en la política.

Acerca de las opciones de WAN múltipleCuando configura interfacesexternas múltiples, tiene variasopciones paracontrolar cuál interfaz unpaquetesaliente utiliza. Algunade esas funciones requiere que tengael Fireware XTM conactualización Pro.

Orden de operación por turnos

Cuando configura la WAN múltiple con el método de operación por turnos, el dispositivo WatchGuardbusca en su tabla de enrutamiento la información de dynamic routing o estático para cada conexión. Si nose encuentra la ruta especificada, el dispositivo WatchGuard distribuye la carga de tráfico entre susinterfaces externas. El dispositivo WatchGuard usa el promedio de tráfico enviado (TX) y recibido (RX) parabalancear la carga de tráfico por todas las interfaces externas especificadas en su configuración deoperación por turnos.

Si tiene un Fireware XTM con actualización Pro, puede asignar un peso para cada interfaz usada en suconfiguración de operación por turnos. Por defecto y para todos los usuarios de Fireware XTM, cadainterfaz tiene un peso 1. El peso se refiere a la proporción de carga que el dispositivo WatchGuard envía através de una interfaz. Si tiene un Fireware XTM Pro y asigna un peso de 2 a una interfaz determinada, seduplica la parte de tráfico que pasará por esa interfaz, comparada a la interfaz con peso 1.

Por ejemplo, si tienen tres interfaces externas con 6M, 1.5M y .075 de ancho de banda y desea balancear eltráfico en las tres interfaces, se podría usar 8, 2 y 1 como pesos para esas tres interfaces. El Firewareintentará distribuir las conexiones de modo que 8/11, 2/11 y 1/11 del tráfico total fluya por cada una de lastres interfaces.

WAN múltiple


WAN múltiple


Paramás informaciones, vea Configurar la opción de operación por turnosdeWANmúltiple en la página122.

Conmutación por error

Cuando usa el método de conmutación por error para enrutar el tráfico por las interfaces externas deldispositivo WatchGuard, se selecciona una interfaz externa para que sea la principal. Las otras interfacesexternas son las de resguardo y se define el orden para que el dispositivo WatchGuard use las interfaces deresguardo. El dispositivo WatchGuard monitorea la interfaz externa principal. Si se desconecta, el dispositivoWatchGuard envía todo el tráfico a la siguiente interfaz externa en su configuración. Mientras el dispositivoWatchGuard envía todo el tráfico a la interfaz de resguardo, sigue monitoreando la interfaz externaprincipal. Cuando la interfaz principal esté activa nuevamente, el dispositivo WatchGuard inmediatamenterecomienza a enviar todas las nuevas conexiones por la interfaz externa principal.

Se controla lo que el dispositivo WatchGuard debe hacer con las conexiones existentes; éstas puedenconmutar por recuperación inmediatamente o continuar a usar la interfaz de resguardo hasta que laconexión esté concluida. La conmutación por error de WAN múltiple y el FireCluster son configuradosseparadamente. La conmutación por error de WAN múltiple provocada por una conexión con fallas haciaun host de monitor de enlace no desencadena la conmutación por error del FireCluster. La conmutaciónpor error del FireCluster ocurre solamente cuando la interfaz física está desactivada o no responde. Laconmutación por error del FireCluster tiene precedencia sobre la conmutación por error de WAN múltiple.

Paramás informaciones,veaConfigurar la opcióndeconmutaciónpor errordeWANmúltipleenlapágina124.

Desbordamiento en la interfaz

Cuando usa el método de configuración de WAN múltiple de desbordamiento en la interfaz, selecciona elorden que desea que el dispositivo WatchGuard envíe tráfico por las interfaces externas y configura cadainterfaz con un valor de umbral de ancho de banda. El dispositivo WatchGuard comienza a enviar el tráficopor la primera interfaz externa en su lista de configuración de desbordamiento en la interfaz. Cuando eltráfico por esa interfaz alcanza el umbral de ancho de banda definido, el dispositivo WatchGuard comienza aenviar tráfico a la siguiente interfaz externa configurada en la lista de configuración de desbordamiento enla interfaz.

Ese método de configuración de WAN múltiple permite que la cantidad de tráfico enviada por cada interfazWAN sea restringido a un límite de ancho de banda especificado. Para determinar el ancho de banda, eldispositivo WatchGuard examina la cantidad de paquetes enviados (TX) y recibidos (RX) y usa el númeromás alto. Cuando configura el umbral ancho de banda para cada interfaz, debe considerar las necesidadesde su red para la interfaz en cuestión y definir el valor de umbral según esas necesidades. Por ejemplo, si suISP es asimétrico y define el umbral de ancho de banda según una tasa alta de TX, el desbordamiento en lainterfaz no será desencadenado por una alta tasa de RX.

Si todas las interfaces WAN llegaron al límite de ancho de banda, el dispositivo WatchGuard usa el algoritmode enrutamiento ECMP (Protocolo de múltiples rutas de igual costo) para encontrar la mejor ruta.

Nota Es necesario tener el Fireware XTM con actualización Pro para usar ese método deenrutamiento deWAN múltiple.

Para más informaciones, vea Configurar WAN múltiple Opción de desbordamiento en la interfaz en lapágina 125.

Tabla de enrutamiento

Cuando selecciona la opción de tabla de enrutamiento para su configuración de WAN múltiple, eldispositivo WatchGuard usa las rutas en su tabla de enrutamiento interna o las rutas que obtiene de losprocesos de dynamic routing para enviar paquetes por la interfaz externa correcta. Para ver si una rutaespecífica existe para un destino de paquete, el dispositivo WatchGuard examina su tabla de enrutamientodesde el topo hacia abajo de la lista de rutas. Puede ver la lista de rutas en la tabla de enrutamiento en lapestaña Estado del Firebox System Manager. La opción de tabla de enrutamiento es de WAN múltiplepredeterminada.

Si su dispositivo WatchGuard no encuentra una ruta especificada, él selecciona qué ruta usar según losvalores hash del IP de destino y origen del paquete, usando el algoritmo de ECMP (Protocolo de múltiplesrutas de igual costo) especificado en:http://www.ietf.org/rfc/rfc2992.txt

Con el ECMP, el dispositivo WatchGuard usa un algoritmo para decidir cuál salto siguiente (ruta) usar paraenviar cada paquete. Ese algoritmo no tiene en cuenta la carga de tráfico actual.

Para más informaciones, vea Cuando usar los métodos deWAN múltiple y enrutamiento en la página 127.

Módem serie (solamente Firebox X Edge)

Si su organización tiene una cuenta de marcado con un ISP, puede conectar un módem externo al puertoserie en su Edge y usar esa conexión para conmutación por error cuando todas las otras interfaces externasestén inactivas.

Para más informaciones, vea Conmutación por error de módem serie en la página 128.

Configurar la opción de operación por turnos deWAN múltiple

Antes de empezar

n Para usar la función de WAN múltiple, hay que tener más de una interfaz externa configurada. Sinecesario, use el procedimiento descrito en Configurar una interfaz externa en la página 82.

n Asegúrese que entiende los conceptos y requisitos paraWAN múltiple y el método elegido, talcomo se describe en Acerca de usar múltiples interfaces externas en la página 119 y Acerca de lasopciones deWAN múltiple en la página 120.

Configurar interfaces

1. Seleccione Red > WAN múltiple.2. En la lista desplegable de la secciónModo de WAN múltiple, seleccione Operación por turnos.

WAN múltiple


http://www.ietf.org/rfc/rfc2992.txt

WAN múltiple


3. Si tiene un Fireware XTM con actualización Pro, puede modificar el peso asociado a cada interfaz.Elija una interfaz, después ingrese o seleccione un nuevo valor en el campo Peso al lado. El valorpredeterminado es 1 para cada interfaz.

Para más información acerca del peso de interfaz, vea Descubra cómo asignar pesos a interfaces enla página 123.

4. Para asignar una interfaz a la configuración de WAN múltiple, seleccione una interfaz y haga clic enConfigurar.

5. Seleccione la casilla de verificación Participar en WAN múltiple y haga clic en Aceptar.

6. Para concluir su configuración, debe añadir información del monitor de enlace, tal como se describeen Acerca del Estado de la interfaz deWAN en la página 134.


Descubra cómo asignar pesos a interfaces

Si usa un Fireware XTM con actualización Pro, puede asignar un peso para cada interfaz usada en suconfiguración de WAN múltiple de operación por turnos. Por defecto, cada interfaz tiene un peso de 1. Elpeso se refiere a la proporción de carga que el Firebox envía a través de una interfaz.

Solo números enteros pueden ser usados como pesos de interfaz; fracciones o decimales no sonpermitidos. Para un balance de carga óptimo, puede ser necesario hacer cálculos para saber el peso ennúmero entero que asignar a cada interfaz. Use un multiplicador común, así se define la proporción relativade ancho de banda dada por cada conexión externa en números enteros.

Por ejemplo, supongamos que tiene tres conexiones a Internet. Un ISP tiene 6 Mbps, otros ISP tiene 1,5Mbps, y un tercero tiene 769 Kpbs. Convierta la proporción en números enteros:

n Primero, convierta 768 Kbps a aproximadamente 0,75 Mbps, para usar la misma unidad de medidapara las tres líneas. Sus tres líneas tienen la proporción de 6, 1,5 y 0,75 Mbps.

n Multiplique cada valor por 100 para quitar los decimales. Proporcionalmente, eso equivale a: [6 : 1,5: 0,75] es la misma razón que [600 : 150 : 75]

n Encuentre el mayor divisor común de los tres números. En este caso, 75 es el número más alto quedivide igualmente los tres números, 600, 150 y 75.

n Divida cada uno de los números por el mayor divisor común.

Los resultados son 8, 2 y 1. Podría usar esos números como pesos en una configuración de WAN múltiplede operación por turnos.

Configurar la opción de conmutación por error deWAN múltiple

Antes de empezar




1. Seleccione Red > WAN múltiple.2. En la lista desplegable Modo de WAN Múltiple, seleccione Conmutación por error.

3. Seleccione una interfaz en la lista y haga clic Arriba o Abajo para definir el orden de la conmutaciónpor error. La primera interfaz de la lista es la principal.

4. Para concluir su configuración, debe añadir información del monitor de enlace, tal como se describeen Acerca del Estado de la interfaz deWAN en la página 134.

Para más información acerca de las opciones avanzadas de configuración de WAN múltiple, veaAcerca de la configuración avanzada deWAN múltiple en la página 132.


WAN múltiple


WAN múltiple


Configurar WAN múltiple Opción dedesbordamiento en la interfaz

Antes de empezar

n Para usar la función de WAN múltiple, debe tener más de una interfaz externa configurada. Sinecesario, use el procedimiento descrito en Configurar una interfaz externa en la página 82.



1. Seleccione Red > WAN múltiple.2. En la lista desplegable Modo WAN múltiple, seleccione Desbordamiento en la interfaz.

3. En el campo Umbral para cada interfaz, ingrese o seleccione la cantidad de tráfico de red enmegabits por segundo (Mbps) que la interfaz debe cargar antes de enviar el tráfico a otrasinterfaces.

4. Paradefinir el orden de la operación de interfaz, seleccione una interfaz en la tablay hagaclic enArriba y Abajopara cambiar el orden. Las interfaces son usadasdesde laprimera a la últimaen la lista.

5. Para concluir su configuración, debe añadir información, tal como se describe en Acerca del Estadode la interfaz deWAN en la página 134.

Para más información acerca de las opciones avanzadas de configuración de WAN múltiple, vea Acerca dela configuración avanzada de WAN múltiple.

Configurar WAN múltiple opción tabla deenrutamiento

Antes de empezar


n Debe elegir si el método de tabla de enrutamiento es un método de WAN múltiple correcto parasus necesidades. Para más informaciones, vea Cuando usar los métodos deWAN múltiple yenrutamiento en la página 127


Modo de tabla de enrutamiento y balance de carga

Es importante observar que la opción de tabla de enrutamiento no hace el balance de carga en lasconexiones a Internet. El Firebox lee su tabla de enrutamiento interna desde arriba hacia abajo. Las rutasestáticas y dinámicas que especifican un destino aparecen en la parte superior de la tabla de enrutamientoy tienen precedencia sobre las rutas predeterminadas. (Una ruta predetermina tiene destino 0.0.0.0/0.) Sino hay una entrada estática o dinámica específica en la tabla de enrutamiento para un destino, el tráficohacia ese destino es enrutado entre las interfaces externas del Firebox usando los algoritmos de ECMP. Esopuede resultar o no en la distribución equitativa de paquetes entre las múltiples interfaces externas.


1. Seleccione Red > WAN múltiple.2. En la lista desplegable Modo de WAN múltiple, seleccione Tabla de enrutamiento.

3. Para asignar interfaces a la configuración de WAN múltiple, seleccione una interfaz y haga clic enConfigurar.

4. Seleccione la casilla de verificación Participar de WAN múltiple . Haga clic en OK.5. Para concluir su configuración, debe añadir información del monitor de enlace, tal como se describe

en Acerca del Estado de la interfaz deWAN en la página 134.

WAN múltiple


WAN múltiple


Para más información acerca de las opciones avanzadas de configuración de WAN múltiple, vea Acerca dela configuración avanzada de WAN múltiple.

Acerca de la tabla de enrutamiento de Firebox

Cuando selecciona la opción de configuración de tabla de enrutamiento, es importante saber mirar la tablade enrutamiento que está en su Firebox.

En el Fireware XTM Web UI:

Seleccione Estado del sistema > Rutas.Eso muestra la tabla de enrutamiento interna en su Firebox.

Las rutas en la tabla de enrutamiento interna en el Firebox incluyen:

n Las rutas que el Firebox aprende de los procesos de dynamic routing en el dispositivo (RIP, OSPF yBGP), si activa el dynamic routing.

n Las rutas de redes permanentes o rutas de host que se añaden.n Las rutas que el Firebox crea automáticamente cuando lee la información de configuración de red.

Si su Firebox detecta que una interfaz externa está inactiva, él remueve las rutas estáticas o dinámicas queusan esa interfaz. Eso es así si los hosts especificados en el Monitor de enlaces no responden y si un enlacefísico de Ethernet está inactivo.

Para más información acerca de actualizaciones de tabla de enrutamiento y estado de interfaz, vea Acercadel Estado de la interfaz deWAN en la página 134.

Cuando usar los métodos de WAN múltiple y enrutamiento

Si usa el dynamic routing, puede usar el método de configuración de WAN múltiple de tabla deenrutamiento o de operación por turnos. Las rutas que usan una puerta de enlace en una red interna(opcional o de confianza) no son afectadas por el método de WAN múltiple seleccionado.

Cuando usar el método de tabla de enrutamiento

El método de tabla de enrutamiento es una buena opción si:

n Activa el dynamic routing (RIP, OSPF o BGP) y los enrutadores en la red externa encaminan rutas aldispositivo WatchGuard para que el dispositivo pueda aprender las mejores rutas hacia lasubicaciones externas.

n Debe tener acceso a un sitio externo o red externa a través de una ruta específica en una redexterna. Los ejemplos incluyen:

n Tener un circuito privado que usa un enrutador de frame relay en la red externa.n Preferir que todo el tráfico a una ubicación externa siempre pase por una interfaz externa del

dispositivo WatchGuard.

El método de tabla de enrutamiento es la formamás rápida de balancear carga de más de una ruta aInternet. Después de activar esa opción, el algoritmo de ECMP administra todas las decisiones de conexión.No son necesarias configuraciones adicionales en el dispositivo WatchGuard.

Cuando usar el método de operación por turnos

El balance de carga de tráfico a Internet usando ECMP se basa en conexiones, no en ancho de banda. Lasrutas configuradas estáticamente o aprendidas desde el dynamic routing son usadas antes que el algoritmode ECMP. Si tiene un Fireware XTM con una actualización Pro, la opción de operación por turnos ponderadapermite enviar más tráfico por una interfaz externa que otras opciones. Al mismo tiempo, el algoritmo de laoperación por turno distribuye el tráfico a cada interfaz externa basado en el ancho de banda, no enconexiones. Eso le da más control sobre cuántos bytes de datos son enviados a través de cada ISP.

Conmutación por error de módem serie(Este tópico se aplica solamente al Firebox X Edge y al XTM 2 Series.)

Puede configurar el Firebox X Edge o el XTM 2 Series para enviar tráfico a través de un módem serialcuando no logra enviar tráfico con alguna interfaz externa. Debe tener una cuenta de marcado con ISP (Proveedor de servicios de Internet) y un módem externo conectado al puerto serie (Edge) o puerto USB (2 Series) para usar esa opción.

El Edge fue probado con esos módems:

n Módem fax serial Hayes 56K V.90n Zoom FaxModem 56K modelo 2949n Módem externo U.S. Robotics 5686n Módem serial Creative Modem Blaster V.92n MultiTech 56K Data/Fax Modem International

El 2 Series fue probado con esos módems:

n Zoom FaxModem 56K modelo 2949n MultiTech 56K Data/Fax Modem Internationaln Módem Fax/Datos OMRON ME5614D2n Módem fax serial Hayes 56K V.90

En el caso de un módem serial, use un adaptador USB a serial para conectar el módem al dispositivo XTM 2Series.

Activar conmutación por error de módem serial

1. Seleccione Red > Módem.Aparece la página Módem.

2. Seleccione la casilla Activar módem para conmutación por error cuando todas las interfacesexternas estén inactivas.

WAN múltiple


WAN múltiple


3. Completar la configuración Cuenta, DNS,Marcado yMonitor de enlace, tal como se describe en lassiguientes secciones.


Configuraciones de la cuenta

1. Seleccione la pestaña Cuenta.2. En el cuadro de texto Número de teléfono, ingrese el número de teléfono de su ISP.3. Si tiene otro número para su ISP, en el cuadro de texto Número de teléfono alternativo, ingréselo.4. En el cuadro de texto Nombre de la cuenta , ingrese el nombre de su cuenta de marcado.5. Si inicia sesión en su cuenta con un domain name en el cuadro de texto Dominio de cuenta, ingrese

el domain name.Un ejemplo de domain name es msn.com.

6. En el cuadro de texto Contraseña de cuenta , ingrese la contraseña que utiliza para conectarse a sucuenta de marcado.

7. Si tiene problemas con su conexión, seleccione la casilla de verificación Activar rastreo dedepuración de módem y PPP. Cuando esa opción está seleccionada, el Firebox envía registrosdetallados para la función de conmutación por error del módem serial al archivo de registro delevento.

Configuraciones de DNS

Si su ISP de marcado no ofrece información del servidor DNS, o si debe usar un servidor DNS diferente,puede agregar manualmente las direcciones IP para que un servidor DNS use después que ocurre unaconmutación por error.

1. Seleccione la pestaña DNS.Aparece la página "Configuraciones de DNS".

2. Seleccione la casilla de verificación Configurar manualmente las direcciones IP del servidor DNS.3. En el cuadro de texto Servidor DNS principal , ingrese la dirección IP del servidor DNS principal.4. Si tiene un servidor DNS secundario, en el cuadro de texto Servidor DNS secundario, ingrese la

dirección IP para el servidor secundario.5. En el cuadro de textoMTU , para fines de compatibilidad, puede definir la Unidad Máxima de

Transmisión (MTU, en sus siglas en inglés) en un valor diferente. La mayoría de los usuariosmantienen la configuración predeterminada.

Configuración de marcado

1. Seleccione la pestañaMarcado.Aparece la página "Opciones de marcado".

2. En el cuadro de texto Tiempo de espera de marcado , ingrese o seleccione el número de segundosantes que se agote el tiempo de espera si su módem no se conecta. El valor predeterminado es dedos (2) minutos.

3. En el cuadro de texto Intentos de remarcado , ingrese o seleccione el número de veces que elFirebox intenta remarcar si su módem no se conecta. El número predeterminado indica que seespere tres (3) intentos de conexión.

4. En el cuadro de texto Tiempo de espera de inactividad , ingrese o seleccione el número de minutosque esperar si el tráfico no pasa por el módem antes que se agote el tiempo de espera. El valorpredeterminado es de ningún tiempo de espera.

5. En la lista desplegable Volumen del parlante , seleccione el volumen del parlante de su módem.

WAN múltiple


WAN múltiple


Configuraciones avanzadas

Algunos ISPs requieren que se especifique una o más opciones de ppp para establecer conexión. En China,por ejemplo, algunos ISPs requieren el uso de la opción de ppp de recibir-todos. La opción de recibir-todoshace que el ppp acepte todos los caracteres de control del punto.

1. Seleccione la pestaña Avanzado.

2. En el cuadro de texto Opciones de PPP, ingrese las opciones requeridas de PPP. Para especificarmás de una opción de PPP, separe cada opción con una coma.

Configuración de "Monitor de enlace"

Puede definir las opciones para probar una o más interfaces externas para una conexión activa. Cuando unainterfaz externa se vuelve activa nuevamente, el Firebox ya no envía tráfico a través del módem serial y usa,en su lugar, la interfaz o las interfaces externas. Puede configurar el Monitor de enlace para enviar un ping aun sitio o dispositivo en la interfaz externa, crear una conexión TCP con un sitio o número de puerto queespecifique, o ambos. También puede definir el intervalo de tiempo entre pruebas de conexión yconfigurar el número de veces que una prueba debe fallar o tener éxito antes que una interfaz sea activadao desactivada.

Para configurar el monitor de enlace para una interfaz:

1. Seleccione la pestañaMonitor de enlace.Aparecen las opciones definidas de ping y conexión TCP para cada interfaz externa.

2. Para configurar una interfaz, selecciónela en la lista y haga clic en Configurar.Aparece el cuadro de diálogo "Detalles de monitor de enlace".

3. Para enviar un ping a una ubicación o dispositivo en la red externa, seleccione la casilla Ping eingrese una dirección IP o nombre de host en el cuadro de texto al lado.

4. Para crear una conexión TCP a una ubicación o dispositivo en la red externa, seleccione la casilla TCPe ingrese una dirección IP o nombre de host en el cuadro de texto al lado. También puede ingresaro seleccionar un Número depuerto.El número de puerto predeterminado es 80 (HTTP).

5. Para que el ping y las conexiones TCP tengan éxito antes que una interfaz sea marcada como activa,seleccione la casilla Ping y TCP deben tener éxito.

6. Para cambiar el intervalo de tiempo entre los intentos de conexión, en el cuadro de texto Probarintervalo , ingrese o seleccione un número diferente.La configuración predeterminada es de 15 segundos.

7. Para cambiar el número de fallas que marcan una interfaz como inactiva, en el cuadro de textoDesactivar después de, ingrese o seleccione un número diferente.El valor predeterminado es de tres (3) intentos de conexión.

8. Para cambiar el número de conexiones exitosas que marcan una interfaz como activa, en el cuadrode texto Reactivar después de , ingrese o seleccione un número diferente.El valor predeterminado es de tres (3) intentos de conexión.

9. Haga clic en OK.

Acerca de la configuración avanzada de WANmúltiplePuede configurar sticky connections, failback, y notificación de eventos de WAN múltiple. No todas lasopciones de configuración están disponibles para todas las opciones de configuración de WAN múltiple. Siuna configuración no se aplica a la opción de WAN múltiple seleccionada, esos campos no aparecen activos.

Para configurar WAN múltiple:

1. Seleccione Red > WAN múltiple.2. Haga clic en la pestaña Configuración avanzada.3. Configure Duración de Sticky Connection y Failback para conexiones activas, tal como se describe

en las secciones siguientes.4. Haga clic en Guardar.

WAN múltiple


WAN múltiple


Define una duración de Sticky Connection global

Una sticky connection es una conexión que sigue usando la misma interfaz de WAN por un período definidode tiempo. Puede definir los parámetros de sticky connection si usa opciones de desbordamiento en lainterfaz o operación por turnos paraWAN múltiple. La rapidez asegura que, si un paquete sale por unainterfaz externa, los futuros paquetes entre el par de direcciones IP de origen y de destino usan la mismainterfaz externa por un período determinado de tiempo. Por defecto, las sticky connections usan la mismainterfaz por 3 minutos.

Si una definición de política contiene una configuración de sticky connection, esa configuración es usada enlugar de la configuración global.

Para cambiar la duración de sticky connection global para un protocolo o conjunto de protocolos:

1. En el cuadro de texto para el protocolo, ingrese o seleccione un número.2. En la lista desplegable al lado, seleccione una duración.

Si define unaduración de sticky connection enunapolítica,puede anular laduración de sticky connectionglobal. Paramás informaciones, veaDefina la duración desticky connection para una política en lapágina272.

Definir acción de failback

Puede definir la acción que desea que su dispositivo WatchGuard haga cuando ocurre un evento deconmutación por error y la interfaz externa principal se vuelve activa nuevamente. Cuando eso se dá, todaslas nuevas conexiones inmediatamente conmutan por recuperación hacia la interfaz externa principal.Seleccione el método deseado para las conexiones en proceso en el momento de la failback.

En la lista desplegable Failback para conexiones activas :

n Failback inmediata — Seleccione esta opción si desea que el dispositivo WatchGuard detengainmediatamente todas las conexiones existentes.

n Failback gradual— Seleccione esta opción si desea que el dispositivo WatchGuard siga usando lainterfaz de conmutación por error para conexiones existentes hasta que cada conexión estécompleta.

Esa configuración de failback también se aplica a cualquier configuración de enrutamiento basado en lapolítica que se define para usar interfaces externas de conmutación por error.

Acerca del Estado de la interfaz de WANPuede elegir el método y frecuencia con la que desea que el Firebox verifique el estado de cada interfaz deWAN. Si no configura un método especificado para ser usado por Firebox, él envía un ping a la puerta deenlace predeterminada de la interfaz para verificar el estado de la misma.

Tiempo necesario para que el Firebox actualice su tabla deenrutamiento

Si un host de monitor de enlace no responde, puede llevar de 40 - 60 segundos para que el dispositivoWatchGuard actualice su tabla de enrutamiento. Cuando el mismo host de monitor de enlace empieza aresponder nuevamente, puede llevar de 1 - 60 segundos para que su Firebox actualice su tabla deenrutamiento.

El proceso de actualización es mucho más rápido cuando su Firebox detecta una desconexión física delpuerto de Ethernet. Cuando eso ocurre, el dispositivo WatchGuard actualiza su tabla de enrutamientoinmediatamente. Cuando su Firebox detecta que la conexión de Ethernet está activa nuevamente, élactualiza su tabla de enrutamiento dentro de 20 segundos.

Definir un host de monitor de enlace

1. Seleccione Red > WAN múltiple.2. Seleccione la interfaz y haga clic en Configurar.

Aparece el cuadro de diálogo "Detalles de monitor de enlace".

WAN múltiple


WAN múltiple


3. Seleccione las casillas de verificación para cada método de monitor de enlace que desea que elFirebox use para verificar el estado de cada interfaz externa:

n Ping—Agregue una dirección IP o domain name para que el Firebox envíe un ping paraverificar el estado de la interfaz.

n TCP—Agregue una dirección IP o domain name de un equipo con el que el Firebox puedenegociar un protocolo de enlace de TCP para verificar el estado de la interfaz de WAN.

n Ping y TCP deben tener éxito— La interfaz es considerada inactiva excepto si tanto el pingcomo la conexión TCP son concluidos con éxito.

Si una interfaz externa es miembro de una configuración de FireCluster, una conmutación por errorde WAN múltiple provocada por una falla de conexión hacia un host de monitor de enlace nodesencadena la conmutación por error del FireCluster. La conmutación por error del FireClusterocurre solamente cuando la interfaz física está desactivada o no responde. Si agrega un domainname para que el Firebox envíe un ping y alguna de las interfaces externas tiene una dirección IPestática, debe configurar un servidor DNS, tal como se describe en Agregar direcciones de servidorDNS y WINS.

4. Para configurar la frecuencia con la que desea que el Firebox verifique el estado de la interfaz,ingrese o seleccione una configuración de Probar después de.La configuración predeterminada es de 15 segundos.

5. Para cambiar el número de fallas de pruebas consecutivas que debe ocurrir antes de unaconmutación por error, ingrese o seleccione una configuración de Desactivar después de.La configuración predeterminada es de tres (3). Después del número de fallas seleccionado, el Firebox intentaenviar el tráfico a través de la siguiente interfaz especificada en la lista de conmutación por error de WANmúltiple.

6. Para cambiar el número de pruebas consecutivas exitosas a través de una interfaz antes que lainterfaz previamente inactiva se vuelva activa nuevamente, ingrese o seleccione una configuraciónde Reactivar después de.

7. Repita esos pasos para cada interfaz externa.8. Haga clic en Guardar.

WAN múltiple



8 Traducción de dirección de red(NAT)

Acerca de la Traducción de dirección de red (NAT)La traducción de dirección de red (NAT) es un término utilizado para describir cualquiera de varias formasde traducción de dirección IP y puerto. En su nivel más básico, NAT cambia la dirección IP de un paquetede un valor a otro diferente.

El objetivo principal de NAT es aumentar el número de computadoras que pueden funcionar partiendo deuna única dirección IP públicamente enrutable y ocultar las direcciones IP privadas de host en su LAN.Cuando se usa NAT, la dirección IP de origen se cambia en todos los paquetes que se envían.

NAT se puede aplicar como configuración de firewall general o como una configuración en una política. Lasconfiguraciones de NAT firewall no se aplican a las políticas BOVPN.

Si tiene Fireware XTM con una actualización Pro, puede usar la función de Balance de carga en el servidorcomo parte de una regla NAT estática. La función de balance de carga en el servidor está diseñada paraayudarle a aumentar la escalabilidad y el rendimiento de una red de alto tráfico con múltiples servidorespúblicos protegidos por el dispositivo WatchGuard. Con el balance de carga en el servidor, puededeterminar que el dispositivo WatchGuard controle el número de sesiones iniciadas en hasta diezservidores para cada política de firewall que configure. El dispositivo WatchGuard controla la carga según elnúmero de sesiones en uso en cada servidor. El dispositivo WatchGuard no mide ni compara el ancho debanda que usa cada servidor.

Para obtener más información sobre el balance de carga en el servidor, consulte Configurar Balance decarga en el servidor en la página 154.

Tipos de NAT

El dispositivo WatchGuard admite tres tipos diferentes de NAT. Su configuración puede usar más de un tipode NAT al mismo tiempo. Se aplican algunos tipos de NAT a todo el tráfico de firewall y otros tipos comoconfiguración en una política.

NAT dinámico

NAT dinámico también se conoce como enmascaramiento IP. El dispositivo WatchGuard puedeaplicar su dirección IP pública a los paquetes salientes para todas las conexiones o para serviciosespecíficos. Esto oculta a la red externa la dirección IP real de la computadora que es el origen delpaquete. NAT dinámica en general se usa para ocultar las direcciones IP de host internos cuandotienen acceso a servicios públicos.

Para más informaciones, vea Acerca de la dinámica basada en políticas en la página 138.

NAT estática

NAT estática, conocida también como reenvío de puerto, se configura cuando se configuran laspolíticas. NAT estática es una NAT de puerto-a-host. Un host envía un paquete desde la red externa aun puerto en una interfaz externa. NAT estática cambia esta dirección IP a una dirección IP y puertodetrás del firewall.

Para más informaciones, vea Acerca de la NAT estática en la página 153.

1-to-1 NAT

1-to-1 NAT crea una asignación entre direcciones IP en una red y direcciones IP en una reddiferente. Este tipo de NAT con frecuencia se usa para que las computadoras externas tenganacceso a los servidores internos públicos.

Para más informaciones, vea Acerca de las 1-to-1 NAT en la página 142.

Acerca de la dinámica basada en políticasNAT dinámica es el tipo de NAT que se utiliza con más frecuencia. Cambia la dirección IP de origen de unaconexión saliente a la dirección IP pública de Firebox. Fuera de Firebox, se observa sólo la dirección IP de lainterfaz externa de Firebox en los paquetes salientes.

Muchas computadoras pueden conectarse a Internet desde una dirección IP pública. NAT dinámica ofrecemás seguridad para host internos que usan Internet porque oculta las direcciones IP de host en su red. ConNAT dinámica, todas las conexiones deben iniciarse desde detrás de Firebox. Los host maliciosos no puedeniniciar conexiones a las computadoras detrás de Firebox cuando éste está configurado para NAT dinámica.

En la mayoría de las redes, la política de seguridad recomendada es aplicar NAT a todos los paquetessalientes. Con Fireware, NAT dinámica está activada de manera predeterminada en el cuadro de diálogoRed > NAT. También está activada de manera predeterminada en cada política que se crea. Puede anular laconfiguración de firewall para NAT dinámica en las políticas individuales, como se describe en Aplicarreglas NAT en la página 271.

Agregar firewall a entradas de NAT dinámicas

La configuración predeterminada de NAT dinámica activa NAT dinámica desde todas las direcciones IPprivadas hacia la red externa. Las entradas predeterminadas son:

n 192.168.0.0/16 – Cualquiera-externon 172.16.0.0/12 – Cualquiera-externon 10.0.0.0/8 – Cualquiera-externo

Traducción de dirección de red (NAT)




Estas tres direcciones de red son las redes privadas reservadas por Internet Engineering Task Force (IETF) yen general se usan para las direcciones IP en LAN. Para activar NAT dinámica para direcciones IP privadasdistintas de éstas, debe agregar una entrada para ellas. El dispositivo WatchGuard aplica reglas NATdinámicas en la secuencia en la que aparecen en la lista Entradas de NAT dinámica. Recomendamos colocarlas reglas en una secuencia que coincida con el volumen de tráfico al que se aplican las reglas.

1. Seleccione Red > NAT.Aparece la página de configuración de NAT.

2. En la sección NAT dinámica , haga clic en Agregar. Aparece la página de configuración de NAT dinámica.

3. En la sección Desde , haga clic en la lista desplegable Tipo de miembro para seleccionar el tipo dedirección a utilizar para especificar el origen de los paquetes salientes: IP de host, IP de red, Rangode host o Alias.

4. En la sección Desde , debajo de la lista desplegable Tipo de miembro, ingrese la dirección IP dehost, la dirección IP de red o el rango de direcciones IP de host o seleccione un alias en la listadesplegable.Debe ingresar una dirección de red en notación diagonal.

Para obtener más información sobre alias del dispositivo WatchGuard incorporados, consulte Acercade los alias en la página 257.

5. En la sección Hasta, haga clic en la lista desplegable Tipo de miembro para seleccionar el tipo dedirección a utilizar para especificar el destino de los paquetes salientes.

6. En la sección Hasta, debajo de la lista desplegable Tipo de miembro, ingrese la dirección IP de host,la dirección IP de red o el rango de direcciones IP de host , o seleccione un alias en la listadesplegable.

7. Haga clic en Guardar.La nueva entrada aparece en la lista Entradas de NAT dinámica.

Eliminar una entrada NAT dinámica

No puede cambiar una entrada NAT dinámica existente. Si desea cambiar una entrada existente, debeeliminar la entrada y agregar una nueva.

Para eliminar una entrada NAT dinámica:

1. Seleccione la entrada que desea eliminar.2. Haga clic en Eliminar.

Aparece un mensaje de advertencia.3. Haga clic en Sí.





Reordenar entradas NAT dinámica

Para cambiar la secuencia de las entradas NAT dinámica:

1. Seleccione la entrada que desea cambiar.2. Haga clic en Arriba o Abajo para desplazarla en la lista.

Configurar NAT dinámica basada en políticas

En NAT dinámica basada en políticas, Firebox asigna direcciones IP privadas a direcciones IP públicas. NATdinámica se activa en la configuración predeterminada de cada política. No es necesario activarla a menosque la haya desactivado previamente.

Para que NAT dinámica basada en políticas funcione correctamente, utilice la pestaña Política del cuadro dediálogo Editar propiedades de políticas para asegurarse de que la política esté configurada para permitir eltráfico saliente sólo a través de una interfaz de Firebox.

Las reglas de 1-to-1 NAT tienen mayor prioridad que las reglas de NAT dinámica.

1. Seleccione Firewall > Políticas de firewall.Aparece la lista de políticas de firewall.

2. Seleccione una política y haga clic en Editar.Aparece la página de Configuración de políticas.

3. Haga clic en la pestaña Avanzado.

4. Seleccione la casilla de verificación NAT dinámica.5. Seleccione Usar configuraciones NAT de red si desea utilizar las reglas de NAT dinámica

establecidas para el dispositivo WatchGuard.Seleccione Todo el tráfico en esta política si desea aplicar NAT a todo el tráfico en esta política.Puede configurar una dirección IP de origen NAT dinámica para cualquier política que usa NATdinámica. Seleccione la casilla de verificación Establecer IP de origen.

Cuando selecciona una dirección IP de origen, cualquier tráfico que usa esta política muestra unadirección específica de su rango de direcciones IP externas o públicas como el origen. Esto se utilizacon más frecuencia para obligar al tráfico SMTP saliente a mostrar la dirección de registro MX parasu dominio cuando la dirección IP en la interfaz externa del dispositivo WatchGuard no coincide conla dirección IP de registro MX. Esta dirección de origen debe estar en la misma subnet que lainterfaz especificada para el tráfico saliente.

Recomendamos no utilizar la opción Establecer IP de origen si tiene más de una interfaz externaconfigurada en su dispositivo WatchGuard.

Si no selecciona la casilla de verificación Establecer IP de origen, el dispositivo WatchGuard cambiala dirección IP de origen para cada paquete a la dirección IP de la interfaz desde la cual se envía elpaquete.


Desactivar basado en políticas NAT dinámica

NAT dinámica se activa en la configuración predeterminada de cada política. Para desactivar NAT dinámicapara una política:



3. Haga clic en la pestaña Avanzado.4. Para desactivar NAT para el tráfico controlado por esta política, desmarque la casilla de verificación

NAT dinámica .5. Haga clic en Guardar.

Acerca de las 1-to-1 NATCuando se activa 1-to-1 NAT, el dispositivo WatchGuard cambia las rutas de todos los paquetes entrantes ysalientes enviados desde un rango de direcciones a un rango de direcciones diferente. Una regla 1-to-1NAT siempre tiene prioridad sobre NAT dinámica.

1-to-1 NAT con frecuencia se utiliza cuando se tiene un grupo de servidores internos con direcciones IPprivadas que deben hacerse públicas. Se puede usar 1-to-1 NAT para asignar direcciones IP públicas a losservidores internos. No es necesario cambiar la dirección IP de los servidores internos. Cuando se tiene ungrupo de servidores similares (por ejemplo, un grupo de servidores de correo electrónico),1-to-1 NAT esmás fácil de configurar que NAT estática para el mismo grupo de servidores.

Para comprender cómo configurar 1-to-1 NAT, proponemos este ejemplo:





La empresa ABC tiene un grupo de cinco servidores de correo electrónico con direcciones privadas detrásde la interfaz de confianza de su dispositivo WatchGuard. Estas direcciones son:

10.1.1.1

10.1.1.2

10.1.1.3

10.1.1.4

10.1.1.5

La empresa ABC selecciona cinco direcciones IP públicas de la misma dirección de red como interfazexterna de su dispositivo WatchGuard y crea registros DNS para que los servidores de correo electrónicoresuelvan.

Estas direcciones son:

50.1.1.1

50.1.1.2

50.1.1.3

50.1.1.4

50.1.1.5

La empresa ABC configura una regla 1-to-1 NAT para sus servidores de correo electrónico. La regla 1-to-1NAT crea una relación estática, bidireccional entre los pares correspondientes de direcciones IP. La relacióntiene el siguiente aspecto:

10.1.1.1 <--> 50.1.1.1

10.1.1.2 <--> 50.1.1.2

10.1.1.3 <--> 50.1.1.3

10.1.1.4 <--> 50.1.1.4

10.1.1.5 <--> 50.1.1.5

Cuando se aplica la regla 1-to-1 NAT, el dispositivo WatchGuard crea el enrutamiento bidireccional y larelación NAT entre el grupo de direcciones IP privadas y el grupo de direcciones públicas. 1-to-1 NATtambién funciona en tráfico enviado desde redes que protege el dispositivo WatchGuard.

Acerca de 1-to-1 NAT y VPN

Cuando se crea un túnel VPN, las redes en cada extremo del túnel VPN deben tener rangos de direccionesde red diferentes. Se puede usar 1-to-1 NAT cuando se debe crear un túnel VPN entre dos redes que usanla misma dirección de red privada. Si el rango de dirección en la red remota es el mismo que en la redlocal, se pueden configurar ambas puertas de enlace para que usen 1-to-1 NAT.

1-to-1 NAT se configura para un túnel VPN al configurar el túnel VPN y no en Red> NAT. página.

Configurar el firewall 1-to-1 NAT

1. Seleccione Red > NAT.Aparece la página de configuración de NAT .

2. En la sección 1-to-1 NAT , haga clic en Agregar.Aparece la página de configuración de 1-to-1 NAT.





3. En la lista desplegable Tipo de asignación, seleccione IP única (para asignar un host), Rango de IP(para asignar un rango de hosts) o Subnet IP (para asignar una subnet).Si selecciona Rango de IP o Subnet IP, no incluya más de 256 direcciones IP en ese rango o subnet.Para aplicar NAT a más de 256 direcciones IP , debe crear más de una regla.

4. Complete todos los campos en la sección Configuración.

Para obtener más información acerca de cómo usar estos campos, consulte la siguiente secciónDefinir una regla de 1-to-1 NAT.


Después de configurar una regla de 1-to-1 NAT global, debe agregar las direcciones IP NAT a las políticascorrespondientes.

n Si su política administra tráfico saliente, agregue las direcciones IP de la base real a la sección Desdede la configuración de políticas.

n Si su política administra tráfico entrante, agregue las direcciones IP de base NAT a la sección Hastade la configuración de políticas.

En el ejemplo anterior, donde usamos 1-to-1 NAT para otorgar acceso a un grupo de servidores de correoelectrónico descritos en Acerca de las 1-to-1 NAT en la página 142, debemos configurar la política SMTPpara permitir el tráfico SMTP. Para completar esta configuración, debe cambiar la configuración de lapolítica para permitir el tráfico desde la red externa al rango de dirección IP 10.1.1.1-10.1.1.5.

1. Crear una nueva política o modificar una política existente.2. Junto a la lista Desde, haga clic en Agregar.3. Seleccione el alias Cualquiera-externo y haga clic en OK.4. Junto a la lista Hasta, haga clic en Agregar.5. Para agregar una dirección IP por vez, seleccione IP de host en la lista desplegable e ingrese la

dirección IP en el cuadro de texto adyacente y haga clic enOK.6. Repita los pasos 3 al 4 para cada dirección IP en el rango de dirección NAT.

Para agregar varias direcciones IP a la vez, seleccione Rango de host en la lista desplegable. Ingresela primera y la última dirección IP del rango de base de NAT y haga clic en OK.

Nota Para conectarse a una computadora ubicada en una interfaz diferente que usa 1-to-1 NAT, debe usar la dirección IP pública (base de NAT) de esa computadora. Siesto es un problema, puede desactivar 1-to-1 NAT y usar NAT estática.

Definir una Regla de 1-to-1 NAT

En cada regla de 1-to-1 NAT, puede configurar un host, un rango de host o una subnet. También debeconfigurar:

Interfaz

El nombre de la interfaz Ethernet en la cual se aplica 1-to-1 NAT. Su dispositivo WatchGuard aplica 1-to-1 NAT a paquetes enviados hacia y desde la interfaz. En nuestro ejemplo anterior, la regla seaplica a la interfaz externa.

Base de NAT

Cuando se configura una regla de 1-to-1 NAT, la regla se configura con un rango de direcciones IPdesde y un rango hasta. La base de NAT es la primera dirección IP disponible en el rango dedirecciones hasta. La dirección IP base de NAT es la dirección a la que cambia la dirección IP de basereal cuando se aplica 1-to-1 NAT. No se puede usar la dirección IP de una interfaz Ethernet existentecomo base de NAT. En nuestro ejemplo anterior, la base de NAT es 50.50.50.1.

Base real

Cuando se configura una regla de 1-to-1 NAT, la regla se configura con un rango de direcciones IPdesde y un rango hasta. La base real es la primera dirección IP disponible en el rango de direccionesdesde. Es la dirección IP asignada a la interfaz Ethernet física de la computadora a la cual se aplicarála política de 1-to-1 NAT. Cuando los paquetes de una computadora con una dirección de base realatraviesan la interfaz especificada, se aplica la acción 1 a 1. En nuestro ejemplo anterior, la base reales 10.0.1.50.

Número de host para NAT (para rangos únicamente)

El número de direcciones IP en un rango al cual se aplica la regla de 1-to-1 NAT. La primeradirección IP de base real se traduce a la primera dirección IP de base de NAT cuando se aplica 1-to-1NAT. La segunda dirección IP de base real en el rango se traduce a la segunda dirección IP de basede NAT cuando se aplica 1-to-1 NAT. Esto se repite hasta que se alcanza el Número de host paraNAT. En el ejemplo anterior, el número de host al que se aplicará NAT es 5.

También puede usar 1-to-1 NAT cuando debe crear un túnel VPN entre dos redes que usan la mismadirección de red privada. Cuando se crea un túnel VPN, las redes en cada extremo del túnel VPN debentener rangos de direcciones de red diferentes. Si el rango de dirección en la red remota es el mismo queen la red local, se pueden configurar ambas puertas de enlace para que usen 1-to-1 NAT. Luego, se puedecrear el túnel VPN y no cambiar las direcciones IP de un lado del túnel. 1-to-1 NAT se configura para untúnel VPN al configurar el túnel VPN y no en el cuadro de diálogo Red> NAT.

Para observar un ejemplo de cómo usar 1-to-1 NAT, consulte Ejemplo de 1-to-1 NAT.





Configurar basado en políticas 1-to-1 NAT

En 1-to-1 NAT basada en políticas, su dispositivo WatchGuard usa los rangos de direcciones IP públicas yprivadas que se establecieron al configurar 1-to-1 NAT global, pero las reglas se aplican a una políticaindividual. 1-to-1 NAT se activa en la configuración predeterminada de cada política. Si el tráfico coincidecon 1-to-1 NAT y con las políticas de NAT dinámica, 1-to-1 NAT prevalece.

Activar 1-to-1 NAT basada en políticas

Debido a que 1-to-1 NAT basada en políticas está activada en forma predeterminada, no es necesarianinguna otra acción para activarla. Si previamente ha desactivado 1-to-1 NAT basada en políticas, seleccionela casilla de verificación enPaso 4 del siguiente procedimiento para volver a activarla.

Desactivar 1-to-1 NAT basada en políticas




4. Desmarque la casilla de verificación 1-to-1 NAT para desactivar NAT para el tráfico controlado poresta política.


Configurar el bucle invertido de NAT con NATestáticaFireware XTM incluye soporte para bucle invertido de NAT. El bucle invertido de NAT permite a un usuarioen las redes de confianza u opcionales obtener acceso a un servidor público que se encuentra en la mismainterfaz física de Firebox por medio de su dirección IP pública o domain name. Para conexiones de bucleinvertido de NAT, Firebox cambia la dirección IP de origen de la conexión para que sea la dirección IP de lainterfaz interna de Firebox (la dirección IP principal para la interfaz donde tanto el cliente como el servidorse conectan a Firebox).

El siguiente ejemplo ayuda a comprender cómo configurar el bucle invertido de NAT cuando se usa NATestática:

La empresa ABC tiene un servidor HTTP en la interfaz de confianza de Firebox. La empresa utiliza NATestática para asignar la dirección IP pública al servidor interno. La empresa desea permitir a los usuarios dela red de confianza el uso de la dirección IP pública o el domain name para acceder a este servidor público.

En este ejemplo suponemos:

n La interfaz de confianza está configurada con una dirección IP en la red 10.0.1.0/24.n La interfaz de confianza también está configurada con una dirección IP secundaria en la red

192.168.2.0/24.n El servidor HTTP está conectado físicamente a la red 10.0.1.0/24. La dirección de base real del

servidor HTTP se encuentra en la red de confianza.

Agregar una política para bucle invertido de NAT al servidor

En este ejemplo, para permitir a los usuarios de sus redes de confianza y opcional utilizar la dirección IPpública o el domain name para acceder a un servidor público que se encuentra en la red de confianza, sedebe agregar una política HTTP que podría ser la siguiente:





La sección Hasta de la política contiene una ruta NAT estática desde la dirección IP pública del servidorHTTP a la dirección IP real de ese servidor.

Para obtener más información acerca de NAT estática, consulte Acerca de la NAT estática en la página 153.

Si utiliza 1-to-1 NAT para enrutar tráfico a servidores dentro de su red, consulte Bucle invertido de NAT y 1-to-1 NAT en la página 150.

Bucle invertido de NAT y 1-to-1 NAT

El bucle invertido de NAT permite a un usuario en las redes de confianza u opcionales conectarse a unservidor público con su dirección IP pública o domain name si el servidor se encuentra en la misma interfazfísica de Firebox. Si utiliza 1-to-1 NAT para enrutar el tráfico a servidores en la red interna, siga estasinstrucciones para configurar el bucle invertido de NAT desde usuarios internos a esos servidores. Si noutiliza 1-to-1 NAT, consulte Configurar el bucle invertido de NAT con NAT estática en la página 148.

Para comprender cómo configurar el bucle invertido de NAT cuando usa 1-to-1 NAT, proponemos esteejemplo:

La empresa ABC tiene un servidor HTTP en la interfaz de confianza de Firebox. La empresa utiliza una regla1-to-1 NAT para asignar la dirección IP pública al servidor interno. La empresa desea permitir a los usuariosde la interfaz de confianza el uso de la dirección IP pública o el domain name para acceder a este servidorpúblico.

En este ejemplo suponemos:

n Un servidor con la dirección IP pública 100.100.100.5 está asignado con una regla 1-to-1 NAT a unhost en la red interna.

En la sección de 1-to-1 NAT de la página de configuración de NAT , seleccione estas opciones:

Interfaz — Externa, NAT Base — 100.100.100.5, Base real — 10.0.1.5

n La interfaz de confianza está configurada con una red principal, 10.0.1.0/24.n El servidor HTTP está conectado físicamente a la red en la interfaz de confianza. La dirección de base

real de ese host se encuentra en la interfaz de confianza.n La interfaz de confianza también está configurada con una secondary network, 192.168.2.0/24.

En este ejemplo, para permitir el bucle invertido de NAT a todos los usuarios conectados a la interfaz deconfianza, es necesario:

1. Asegurarse de que exista una entrada 1-to-1 NAT para cada interfaz que usa ese tráfico cuando lascomputadoras internas obtienen acceso a la dirección IP pública 100.100.100.5 con una conexión





de bucle invertido de NAT.

Se debe agregar una asignación más de 1-to-1 NAT para aplicar al tráfico que se inicia en la interfazde confianza. La nueva asignación 1 a 1 es igual a la anterior, excepto que la Interfaz estáconfigurada en De confianza en lugar de Externa.

Después de agregar la segunda entrada 1-to-1 NAT, la sección de la pestaña 1-to-1 NAT cuadro dediálogo Configuración de página muestra dos asignaciones de 1-to-1 NAT : una para Externa y unapara De confianza.

En la sección 1-to-1 NAT de la página de configuración de NAT, agregue estas dos entradas:

Interfaz — Externa, NAT Base — 100.100.100.5, Base real — 10.0.1.5Interfaz — De confianza, NAT Base — 100.100.100.5, Base real — 10.0.1.5

2. Agregue una entrada NAT dinámica para cada red en la interfaz a la que está conectado el servidor.

El campo Desde para la entrada NAT dinámica es la dirección IP de red de la red desde la cual lascomputadoras obtienen acceso a la dirección IP de 1-to-1 NAT con bucle invertido de NAT.

ElcampoHastapara laentradaNATdinámicaesladirecciónbase deNATenlaasignaciónde 1-to-1NAT.

En este ejemplo, la interfaz de confianza tiene dos redes definidas y se desea permitir a los usuariosde ambas redes obtener acceso al servidor HTTP con la dirección IP pública o nombre de host delservidor. Se deben agregar dos entradas NAT dinámica.

En la sección NAT dinámica de la página de configuración de NAT , agregue:

10.0.1.0/24 - 100.100.100.5192.168.2.0/24 - 100.100.100.5

3. Agregue una política para permitir a los usuarios en su red de confianza utilizar la dirección IPpública o el domain name para obtener acceso al servidor público en la red de confianza. Para esteejemplo:

De

Cualquiera de confianza

Para

100.100.100.5

La dirección IP pública a la que los usuarios desean conectarse es 100.100.100.5. Esta dirección IPestá configurada como dirección IP secundaria en la interfaz externa.

En la sección Hasta de la política, agregue 100.100.100.5.

Para obtener más información acerca de cómo configurar NAT estática, consulte Acerca de la NAT estáticaen la página 153.

Para obtener más información acerca de cómo configurar 1-to-1 NAT, consulte Configurar el firewall 1-to-1NAT en la página 144.





Acerca de la NAT estáticaNAT estática, conocida también como reenvío de puerto, es una NAT de puerto-a-host. Un host envía unpaquete desde la red externa a un puerto en una interfaz externa. NAT estática cambia la dirección IP dedestino a una dirección IP y puerto detrás del firewall. Si una aplicación de software utiliza más de unpuerto y los puertos se seleccionan en forma dinámica, se debe usar 1-to-1 NAT o verificar si un proxy en eldispositivo WatchGuard administra este tipo de tráfico. NAT estática también funciona en el tráfico enviadodesde redes que protege el dispositivo WatchGuard.

Cuando se usa NAT estática, se utiliza una dirección IP externa de Firebox en lugar de la dirección IP de unservidor público. Se puede optar por esta posibilidad o se puede utilizar en caso de que el servidor públicono tenga una dirección IP pública. Por ejemplo, se puede ubicar el servidor de correo electrónico SMTPdetrás del dispositivo WatchGuard con una dirección IP privada y configurar NAT estática en su políticaSMTP. El dispositivo WatchGuard recibe conexiones en el puerto 25 y se asegura de que todo el tráficoSMTP se envíe al servidor SMTP real detrás de Firebox.

1. Seleccione Firewall >Políticas de Firewall.

2. Haga doble clic en una política para editarla.3. En la lista desplegableConexiones están, seleccione Permitidas.

Para usar NAT estática, la política debe permitir el acceso del tráfico entrante.4. Debajo de la lista Hasta, haga clic en Agregar.

Aparece el cuadro de diálogo "Agregar miembro".

Nota NAT estática sólo está disponible para políticas que usan un puerto específico, queincluye TCP y UDP. Una política que utiliza un protocolo diferente no puede usarNAT estática entrante. El botón NAT en el cuadro de diálogo Propiedades de esapolítica no está disponible. También se puede usar NAT estática con la políticaCualquiera.

5. En elMiembro En la lista desplegable Tipo, seleccione NAT estática.

6. En la lista desplegable Dirección IP externa, seleccione la dirección IP externa o alias que deseautilizar en esta política.

Por ejemplo, puede usar NAT estática en esta política para paquetes recibidos en sólo una direcciónIP externa. O bien, puede usar NAT estática para paquetes recibidos en cualquier dirección IPexterna si selecciona el alias Cualquiera externo.

7. Ingrese la dirección IP interna. Es el destino en la red opcional o de confianza.8. Si es necesario, seleccione la casilla de verificación Determinar puerto interno para un puerto

diferente . Esto activa la traducción de dirección de puerto (PAT).

Esta función permite cambiar el destino del paquete no sólo a un host interno específico sinotambién a un puerto diferente. Si selecciona esta casilla de verificación, ingrese el número depuerto o haga clic en la flecha hacia arriba o hacia abajo para seleccionar el puerto que deseautilizar. En general, esta función no se utiliza.

9. Haga clic en OK para cerrar el cuadro de diálogo Agregar NAT estática.La ruta de NAT estática aparece en la lista Miembros y Direcciones.


Configurar Balance de carga en el servidorNota Para usar la función de balance de carga en el servidor, debe contar con un

dispositivo Firebox X Core, Peak o WatchGuard XTM y Fireware XTM conactualización Pro.

La función de balance de carga en el servidor en Fireware XTM está diseñada para ayudarle a aumentar laescalabilidad y el rendimiento de una red de alto tráfico con múltiples servidores públicos. Con el balancede carga en el servidor, puede activar al dispositivo WatchGuard para que controle el número de sesionesiniciadas en hasta diez servidores para cada política de firewall que configure. El dispositivo WatchGuardcontrola la carga según el número de sesiones en uso en cada servidor. El dispositivo WatchGuard no mideni compara el ancho de banda que usa cada servidor.

El balance de carga en el servidor se configura como parte de una regla NAT estática. El dispositivoWatchGuard puede balancear conexiones entre sus servidores con dos algoritmos diferentes. Cuando seconfigura el balance de carga en el servidor, se debe elegir el algoritmo al que desea que se aplique eldispositivo WatchGuard.

Operación por turnos

Si selecciona esta opción, el dispositivo WatchGuard distribuye las sesiones entrantes entre losservidores que se especifican en la política en orden de operación por turnos. La primera conexiónse envía al primer servidor especificado en su política. La próxima conexión se envía al siguienteservidor en su política y así sucesivamente.

Conexión menor

Si selecciona esta opción, el dispositivo WatchGuard envía cada nueva sesión al servidor en la listaque actualmente tiene el número más bajo de conexiones abiertas al dispositivo. El dispositivoWatchGuard no puede determinar cuántas conexiones abiertas tiene el servidor en otras interfaces.Se pueden aplicar pesos a los servidores en la configuración del balance de carga en el servidor paraasegurarse de que los servidores con más capacidad reciban la carga más pesada. De manera





predeterminada, cada interfaz tiene un peso de uno. El peso se refiere a la proporción de carga queel dispositivo WatchGuard envía a un servidor. Si se asigna un peso de 2 a un servidor, se duplica ennúmero de sesiones que el dispositivo WatchGuard envía a ese servidor, en comparación con unservidor con un peso de 1.

Cuando se configura el balance de carga en el servidor, es importante saber:

n Se puede configurar el balance de carga en el servidor para cualquier política a la cual se puedeaplicar NAT estática.

n Si se aplica el balance de carga en el servidor a una política, no se puede configurar el enrutamientobasado en políticas u otras reglas de NAT en la misma política.

n Cuando se aplica el balance de carga en el servidor a una política, se puede agregar un máximo de10 servidores a la política.

n El dispositivo WatchGuard no modifica al remitente o la dirección IP de origen del tráfico enviado aestos dispositivos. Mientras que el tráfico se envía directamente desde el dispositivo WatchGuard,cada dispositivo que forma parte de la configuración de balance de carga en el servidor ve ladirección IP de origen original del tráfico de red.

n Si se usa balance de carga en el servidor en una configuración de FireCluster activa/pasiva, noocurre la sincronización en tiempo real entre los miembros del cluster cuando ocurre un evento deconmutación por error. Cuando la copia de seguridad principal pasiva se convierte en clusterprincipal activo, envía conexiones a todos los servidores en la lista de balance de carga en el servidorpara ver cuáles servidores están disponibles. Entonces aplica el algoritmo de balance de carga delservidor a todos los servidores disponibles.

Para configurar el balance de carga en el servidor:

1. Seleccione Firewall >Políticas de Firewall. Seleccione la política que dese modificar y haga clic enEditar.O bien, agregue una nueva política.

2. Debajo del campo Hasta, haga clic en Agregar.Aparece el cuadro de diálogoMiembro dirección.

3. En la lista desplegable Tipo de miembro, seleccione Balance de carga en el servidor.

4. En la lista desplegable Dirección IP externa, seleccione la dirección IP externa o alias que deseautilizar en esta política.

Por ejemplo, se puede determinar que el dispositivo WatchGuard aplique el balance de carga en elservidor para esta política a paquetes recibidos en sólo una dirección IP externa. O bien, se puededeterminar que el dispositivo WatchGuard aplique el balance de carga en el servidor a paquetesrecibidos en cualquier dirección IP externa si selecciona el alias Cualquiera externo.

5. En la lista desplegable Método, seleccione el algoritmo deseado para que use el dispositivoWatchGuard para el balance de carga en el servidor: Operación por turnos o Conexión menor.

6. Haga clic en Agregar para agregar las direcciones IP de sus servidores internos para esta política.

Puede agregar un máximo de 10 servidores a una política. También puede agregar peso al servidor.De manera predeterminada, cada servidor tiene un peso de 1. El peso se refiere a la proporción decarga que el dispositivo WatchGuard envía a un servidor. Si se asigna un peso de 2 a un servidor, seduplica en número de sesiones que el dispositivo WatchGuard envía a ese servidor, en comparacióncon un servidor con un peso de 1.

7. Para establecer sticky connections para los servidores internos, seleccione la casilla de verificaciónActivar sticky connection y configure el período en los campos Activar sticky connection.

Una sticky connection es una conexión que continúa usando el mismo servidor durante un períododefinido. Esta cohesión garantiza que todos los paquetes entre un par de direcciones de origen y dedestino se envíen al mismo servidor durante el período especificado.






Ejemplos de NAT

Ejemplo de 1-to-1 NAT

Cuando se activa 1-to-1 NAT, el dispositivo Firebox o XTM cambia y enruta todos los paquetes entrantes ysalientes enviados desde un rango de direcciones a un rango de direcciones diferente.

Considere una situación en la que se tiene un grupo de servidores internos con direcciones IP privadas,cada una de las cuales debe mostrar una dirección IP pública diferente al mundo exterior. Puede usar 1-to-1 NAT para asignar direcciones IP públicas a los servidores internos y no tiene que cambiar las direccionesIP de sus servidores internos. Para comprender cómo configurar 1-to-1 NAT, considere este ejemplo:

Una empresa tiene un grupo de tres servidores con direcciones privadas detrás de una interfaz opcional desu Firebox. Las direcciones de estos servidores son:

10.0.2.11

10.0.2.12

10.0.2.13

El administrador selecciona tres direcciones IP públicas de la misma dirección de red como interfaz externade su Firebox y crea registros DNS para que los servidores resuelvan. Estas direcciones son:

50.50.50.11

50.50.50.12

50.50.50.13

Ahora el administrador configura una regla 1-to-1 NAT para los servidores. La regla 1-to-1 NAT crea unarelación estática, bidireccional entre los pares correspondientes de direcciones IP. La relación tiene elsiguiente aspecto:

10.0.2.11 <--> 50.50.50.11

10.0.2.12 <--> 50.50.50.12

10.0.2.13 <--> 50.50.50.13

Cuando se aplica la regla 1-to-1 NAT, Firebox crea el enrutamiento bidireccional y la relación NAT entre elgrupo de direcciones IP privadas y el grupo de direcciones públicas.

Para conocer los pasos para definir una regla 1-to-1 NAT, consulte Configurar el firewall 1-to-1 NAT.




9 Configuración inalámbrica

Acerca de la configuración inalámbricaCuando activa la función inalámbrica del dispositivo WatchGuard, puede configurar la interfaz externa parautilizarla en forma inalámbrica o puede configurar el dispositivo WatchGuard como punto de accesoinalámbrico para usuarios en las redes de confianza, opcionales o invitadas.

Antes de configurar el acceso a la red inalámbrica, consulte Antes de empezar en la página 161.

Para activar la función inalámbrica en su dispositivo WatchGuard:

1. Seleccione Red > Inalámbrica.Aparece la página Inalámbrica.

2. En la página Inalámbrica, seleccione una opción de configuración inalámbrica:

Activar cliente inalámbrico como interfaz externa

Esta configuración le permite configurar la interfaz externa del dispositivo inalámbricoWatchGuard a fin de conectarse con una red inalámbrica. Esto no resulta útil en áreas quetienen una infraestructura de red limitada o nula.

Para obtener información sobre cómo configurar la interfaz externa en modo inalámbrico,consulte Configurar la interfaz externa como interfaz inalámbrica en la página 178.

Activar puntos de acceso inalámbricos

Esta configuración le permite configurar el dispositivo inalámbrico WatchGuard como un puntode acceso para los usuarios en las redes de confianza, opcionales o invitadas.

Para más informaciones, vea Acerca de las configuración del punto de acceso inalámbrico en lapágina 160.

3. En la sección Configuraciones de radio, seleccione sus configuraciones de radio inalámbrico.

Para más informaciones, vea Acerca de configuraciones de radio en Firebox X Edge e-Seriesinalámbrico en la página 181 y Acerca de las configuraciones de radio inalámbrico en el dispositivoinalámbrico WatchGuard XTM 2 Series en la página 183.


Acerca de las configuración del punto de accesoinalámbricoCualquier dispositivo inalámbrico WatchGuard puede configurarse como punto de acceso inalámbrico contres zonas de seguridad diferentes. Puede activar otros dispositivos inalámbricos para conectar con eldispositivo inalámbrico WatchGuard como parte de la red de confianza o parte de la red opcional. Tambiénpuede activar una red de servicios inalámbricos para invitados para los usuarios de dispositivosWatchGuard. Las computadoras que se conectan con la red invitada se conectan a través del dispositivoinalámbrico WatchGuard, pero no tienen acceso a las computadoras en las redes opcionales o de confianza.

Antes de activar el dispositivo inalámbrico WatchGuard como un punto de acceso inalámbrico, debeexaminar cuidadosamente los usuarios inalámbricos que se conectan con el dispositivo y determinar elnivel de acceso que desea para cada tipo de usuario. Hay tres tipos de acceso inalámbrico que puedehabilitar:

Habilitar conexiones inalámbricas a una interfaz de confianza

Cuando habilita conexiones inalámbricas a través de una interfaz de confianza, los dispositivosinalámbricos tienen acceso total a todas las computadoras en las redes opcionales y de confianza, asícomo acceso total a Internet según las reglas que usted configure para el acceso saliente en sudispositivo WatchGuard. Si activa el acceso inalámbrico a través de una interfaz de confianza, serecomienda especialmente que active y utilice la función de restricción de MAC para habilitar elacceso a través del dispositivo WatchGuard sólo para los dispositivos que agregue a la lista dedirecciones MAC habilitadas.

Para obtener más información sobre cómo restringir el acceso a través de direcciones MAC,consulte Usar vínculo de dirección MAC estático en la página 103.

Habilitar conexiones inalámbricas a una interfaz opcional

Cuando habilita conexiones inalámbricas a través de una interfaz opcional, esos dispositivosinalámbricos tienen acceso total a todas las computadoras en la red opcional, así como acceso total aInternet según las reglas que configure para el acceso saliente en su dispositivo WatchGuard.

Configuración inalámbrica




Habilitar conexiones de invitados inalámbricos a través de la interfaz externa

Las computadoras que se conectan con laWireless Guest Network se conectan a través deldispositivo WatchGuard a Internet según las reglas que configure para el acceso saliente en sudispositivo WatchGuard. Estos dispositivos no tienen acceso a las computadoras de su red opcional ode confianza.

Para obtener más información sobre cómo configurar unaWireless Guest Network, consulte Activaruna red inalámbrica para invitados en la página 170.

Antes de configurar el acceso a la red inalámbrica, consulte Antes de empezar en la página 161.

Para habilitar conexiones inalámbricas a su red opcional o de confianza, consulte Habilitar conexionesinalámbricas a la red opcional o de confianza en la página 167.

Antes de empezarLos dispositivos inalámbricos WatchGuard cumplen con las pautas 802.11n, 802.11b y 802.11g establecidaspor el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE). Al instalar un dispositivo inalámbricoWatchGuard:

n Asegúrese de que el dispositivo inalámbrico se instale en un lugar a más de 20 centímetros dedistancia respecto de las personas. Éste es un requisito de la Comisión Federal de Comunicaciones(FCC) para los transmisores de baja potencia.

n Es recomendable instalar el dispositivo inalámbrico lejos de otras antenas o transmisores paradisminuir las interferencias.

n El algoritmo predeterminado de autenticación inalámbrica que está configurado para cada zona deseguridad inalámbrica no es el algoritmo de autenticación más seguro. Si los dispositivosinalámbricos que se conectan a su dispositivo inalámbrico WatchGuard pueden funcionaradecuadamente con WPA2, se recomienda incrementar el nivel de autenticación aWPA2.

n Un cliente inalámbrico que se conecta con el dispositivo WatchGuard desde la red opcional o deconfianza puede ser parte de cualquier túnel de red privada virtual (VPN) para sucursales donde elcomponente de la red local de la configuración de la Fase 2 incluya direcciones IP de la red opcionalo de confianza. Para controlar el acceso al túnel VPN, puede forzar a los usuarios de dispositivosWatchGuard para que se autentiquen.

Acerca de configuracionesCuando activa el acceso a la red opcional, de confianza o inalámbrica para invitados, algunas configuracionesse definen del mismo modo para cada una de las tres zonas de seguridad. Éstas pueden configurarse condistintos valores para cada zona.

Para obtener información sobre la configuración de SSID de broadcast y responder a las consultas sobre laconfiguración del SSID, consulte Activar/desactivar Broadcasts de SSID en la página 163.

Para obtener información sobre cómo configurar el Nombre de red (SSID), consulte Cambiar la SSID en lapágina 163.

Para obtener información sobre la configuración Registrar eventos de autenticación, consulte Registroeventos de autenticación en la página 163.

Para obtener información sobre el Umbral de fragmentación, consulte Cambiar la umbral defragmentación en la página 163.

Para obtener información sobre el Umbral de RTS, consulte Cambiar la Umbral de RTS en la página 165.

Para obtener información sobre las configuraciones de Autenticación y de Cifrado, consulte Acerca deconfiguraciones de seguridad en la página 166.





Activar/desactivar Broadcasts de SSID

Las computadoras con tarjetas de red inalámbrica envían solicitudes para ver si hay puntos de accesoinalámbricos a los que pueden conectarse.

Para configurar una interfaz inalámbrica de dispositivo WatchGuard a fin de enviar y responder a estassolicitudes, seleccione la casilla de verificación Broadcast de SSID y responder a consultas SSID. Porrazones de seguridad, active esta opción únicamente cuando se encuentre configurando computadoras ensu red a fin de conectar el dispositivo inalámbrico WatchGuard. Desactive esta opción una vez que todos susclientes estén configurados. Si utiliza la función de servicios inalámbricos para invitados, quizá deba habilitarbroadcasts de SSID en la operación estándar.

Cambiar la SSID

El SSID (Identificador de conjunto de servicios) es el nombre específico de su red inalámbrica. Para utilizarla red inalámbrica desde la computadora de un cliente, la tarjeta de red inalámbrica en la computadoradebe tener el mismo SSID que la red inalámbricaWatchGuard a la cual se conecta la computadora.

El SO Fireware XTM asigna automáticamente un SSID a cada red inalámbrica. Este SSID utiliza un formatoque contiene el nombre de la interfaz, y los dígitos entre el quinto y el noveno del número de serie deldispositivo inalámbrico WatchGuard. Para cambiar el SSID, ingrese un nuevo nombre en el campo SSID paraidentificar específicamente su red inalámbrica.

Registro eventos de autenticación

Un evento de autenticación ocurre cuando una computadora inalámbrica intenta conectarse a la interfazinalámbrica de un dispositivo WatchGuard. Para incluir estos eventos en el archivo de registro, marque lacasilla de verificación Registrar eventos de autenticación.

Cambiar la umbral de fragmentación

Fireware XTM le permite configurar el tamaño máximo de marco que el dispositivo inalámbricoWatchGuard puede enviar sin fragmentar el marco. Esto se denomina umbral de fragmentación. Por logeneral, esta configuración no se cambia. La configuración predeterminada es el tamaño máximo de marcode 2346, lo que significa que nunca fragmentará los marcos que envíe a los clientes inalámbricos. Esto es lomejor para la mayoría de los entornos.

Cuándo cambiar el umbral de fragmentación predeterminado

Cuando dos dispositivos utilizan el mismo medio para transmitir paquetes exactamente al mismo tiempo,ocurre una colisión. Los dos paquetes pueden corromperse y el resultado es un grupo de fragmentos dedatos que no se pueden leer. Si un paquete sufre una colisión, éste debe descartarse y volver atransmitirse. Esto se suma a la sobrecarga de la red y puede reducir el rendimiento o la velocidad de ésta.

Hay más posibilidades de que los marcos más grandes choquen entre sí que los pequeños. Para reducir lospaquetes inalámbricos, debe disminuir el umbral de fragmentación en el dispositivo inalámbricoWatchGuard. Si disminuye el tamaño máximo de los marcos, esto puede reducir la cantidad detransmisiones de repetición ocasionadas por los choques y disminuir la sobrecarga ocasionada por lastransmisiones de repetición.

Los marcos más pequeños introducen más sobrecarga en la red. Esto ocurre particularmente en las redesinalámbricas debido a que cada marco fragmentado enviado desde un dispositivo inalámbrico a otrorequiere que el dispositivo receptor reconozca el marco. Cuando las tasas de error de los paquetes sonaltas (mayores a un porcentaje de choques o de errores del cinco o del diez por ciento), puede mejorar elrendimiento de la red inalámbrica si disminuye el umbral de fragmentación. El tiempo que se ahorra alreducir las transmisiones de repetición puede ser suficiente para compensar la sobrecarga adicional queagregan los paquetes más pequeños. Esto puede dar como resultado una mayor velocidad.

Si la tasa de error de los paquetes es baja y usted reduce el umbral de fragmentación, el rendimiento de lared inalámbrica disminuye. Esto se produce debido a que cuando usted disminuye el umbral, se agregasobrecarga del protocolo y la eficiencia del protocolo se reduce.

Si desea experimentar, comience con el máximo predeterminado 2346 y disminuya el umbral de a unapequeña cantidad por vez. Para lograr un buen aprovechamiento, debe monitorear los errores de lospaquetes de la red en diferentes momentos del día. Compare el efecto que un umbral más pequeñoproduce en el rendimiento de la red cuando los errores son muy altos con el efecto en el rendimientocuando los errores son moderadamente altos.

En general, se recomienda dejar esta configuración en su valor predeterminado de 2346.

Cambiar el umbral de fragmentación

1. Seleccione Red > inalámbrica.

2. Seleccione la red inalámbrica que desea configurar. Junto al Punto de acceso 1, al Punto de acceso2 o a Invitado inalámbrico, haga clic en Configurar.Aparecen los ajustes de configuración automática para esa red inalámbrica.





3. Para cambiar el umbral de fragmentación, en el cuadro de texto Umbral de fragmentación ingreseo seleccione un valor entre 256 y 2346.

4. Haga clic en Volver a la página principal.5. Haga clic en Guardar.

Cambiar la Umbral de RTS

RTS/CTS (Solicitar envío/Borrar envío) ayuda a evitar problemas cuando los clientes inalámbricos puedenrecibir señales de más de un punto de acceso inalámbrico en el mismo canal. Este problema a veces seconoce con el nombre de nodo oculto.

No se recomienda cambiar el umbral de RTS predeterminado. Cuando el umbral de RTS se configura alvalor predeterminado de 2346, RTS/CTS se desactiva.

Si debe cambiar el umbral de RTS, ajústelo en forma gradual. Redúzcalo de a una pequeña cantidad por vez.Luego de cada cambio, aguarde el tiempo necesario para decidir si el cambio en el rendimiento de la red espositivo antes de cambiarlo nuevamente. Si reduce demasiado este valor, puede introducir más latencia enla red, ya que las solicitudes de envío se incrementan tanto que el medio compartido se reserva con másfrecuencia que la necesaria.

Acerca de configuraciones de seguridadLos dispositivos inalámbricos WatchGuard utilizan tres normas de protocolo de seguridad para proteger sured inalámbrica: WEP (privacidad equivalente por cable), WPA (Wi-Fi Protected Access ) y WPA2. Cadanorma de protocolo puede cifrar las transmisiones en la red de área local (LAN) entre las computadoras ylos puntos de acceso. También pueden impedir el acceso no autorizado al punto de acceso inalámbrico.

Tanto WEP como WPA utilizan claves compartidas iniciales. WPA y WPA2 utilizan un algoritmo para cambiarla clave de cifrado a intervalos regulares, lo que mantiene la seguridad de los datos enviados en unaconexión inalámbrica.

Para proteger la privacidad, puede utilizar estas funciones junto con otros mecanismos de seguridad deLAN, tales como protección de contraseña, túneles VPN y autenticación de usuario.

Definir inalámbricos método de autenticación

Están disponibles cinco métodos de autenticación para los dispositivos inalámbricos WatchGuard. De serposible, se recomienda utilizar WPA2 porque es el más seguro. Los cinco métodos disponibles, desde elmenos seguro al más seguro, son:

Sistema abierto

La autenticación de sistema abierto permite a cualquier usuario autenticar el punto de acceso. Estemétodo se puede utilizar sin cifrado o con cifrado de privacidad equivalente por cable (WEP).

Clave compartida

Enlaautenticaciónde clavecompartida, sólopueden conectarseaquellos clientesinalámbricosquetenganlaclavecompartida. Laautenticación declave compartidasólo puedeutilizarse concifradoWEP.

Sólo WPA (PSK)

Cuando utiliza WPA (Wi-Fi Protected Access) con claves compartidas iniciales, se otorga a cadausuario inalámbrico la misma contraseña para autenticar el punto de acceso inalámbrico.

WPA/WPA2 (PSK)

Cuando selecciona la autenticación WPA/WPA2 (PSK), Edge acepta conexiones desde dispositivosinalámbricos configurados para utilizar WPA o WPA2.

SÓLO WPA2 (PSK)

La autenticación WPA2 con claves compartidas iniciales implementa la norma 802.11i completa y esel método de autenticación más seguro. No funciona con algunas tarjetas de red inalámbricaanteriores.





Definir nivel de cifrado

En la lista desplegable Cifrado, seleccione el nivel de cifrado para las conexiones inalámbricas. Lasselecciones disponibles cambian cuando utiliza mecanismos de autenticación diferentes. El sistemaoperativo de Fireware XTM crea automáticamente una encryption key (clave de cifrado) aleatoria cuandoésta resulta necesaria. Puede utilizar esta clave o cambiarla por una distinta. Cada cliente inalámbrico debeutilizar esta misma clave cuando se conecte al dispositivo Firebox o XTM.

Autenticación por sistema abierto y por Clave compartida

Las opciones de cifrado para la autenticación por sistema abierto y por clave compartida son WEPhexadecimal de 64 bits, WEP ASCII de 40 bits, WEP hexadecimal de 128 bits y WEP ASCII de 128 bits. Siselecciona la autenticación de sistema abierto, también puede seleccionar Sin cifrado.

1. Si utiliza el cifrado WEP, en los cuadros de texto Clave, ingrese caracteres hexadecimales o ASCII. Notodos los controladores de adaptadores inalámbricos admiten caracteres ASCII. Puede tener unmáximo de cuatro claves.

n Una clave WEP hexadecimal de 64 bits debe tener 10 caracteres hexadecimales (0-f).n Una clave WEP ASCII de 40 bits debe tener 5 caracteres.n Una clave WEP hexadecimal de 128 bits debe tener 26 caracteres hexadecimales (0-f).n Una clave WEP ASCII de 128 bits debe tener 13 caracteres.

2. Si ingresó más de una clave, en la lista desplegable Índice de claves, seleccione la clave que deseautilizar de manera predeterminada.

El dispositivo Firebox o XTM inalámbrico sólo puede usar una encryption key por vez. Si seleccionóuna clave distinta de la primera clave en la lista, también debe configurar su cliente inalámbrico paraque utilice la misma clave.

Autenticación WPA y WPA2 PSK

Las opciones de cifrado para los métodos de autenticación de el acceso protegido Wi-Fi (WPA-PSK y WPA2-PSK) son:

n TKIP— Sólo use TKIP (Protocolo de integridad de clave temporal) para el cifrado. Esta opción noestá disponible para los modos inalámbricos que admiten 802.11n.

n AES— Sólo utilice AES (Estándar de cifrado avanzado) para el cifrado.n TKIP o AES—Utilice TKIP o AES.

Le recomendamos que seleccione TKIP o AES. Esto permite que el dispositivo inalámbrico Firebox o XTMacepte conexiones de clientes inalámbricos configurados para utilizar cifrado TKIP o AES. En el caso de losclientes inalámbricos 802.11n, le recomendamos que configure el cliente inalámbrico para utilizar elcifrado AES.

Habilitar conexiones inalámbricas a la redopcional o de confianzaPara habilitar conexiones inalámbricas a su red opcional o de confianza:

1. Seleccione Red > Inalámbrica.Aparece la página de configuración Inalámbrica.

2. Seleccione Activar puntos de acceso inalámbricos.3. Junto al Punto de acceso 1 o al Punto de acceso 2, haga clic en Configurar.

Aparece el cuadro de diálogo Configuración del punto de acceso inalámbrico.





4. Seleccione la casilla de verificación Activar bridge inalámbrico a una interfaz opcional o deconfianza.

5. En la lista desplegable junto a Activar bridge inalámbrico a una interfaz opcional o de confianza,seleccione una interfaz opcional o de confianza.

De confianza

Cualquier cliente inalámbrico en la red de confianza tiene acceso total a las computadoras enlas redes opcionales y de confianza, y acceso a Internet según lo definen las reglas de firewallsaliente en su dispositivo WatchGuard.Si el cliente inalámbrico configura la dirección IP en su tarjeta de red inalámbrica con DHCP, el servidorDHCP en la red opcional de Edge debe estar activo y configurado.

Opcional

Cualquier cliente inalámbrico en la red opcional tiene acceso total a las computadoras en la redopcional y acceso a Internet según lo definen las reglas de firewall saliente en su dispositivoWatchGuard.Si el cliente inalámbrico configura la dirección IP en su tarjeta de red inalámbrica con DHCP, el servidorDHCP en la red opcional de Edge debe estar activo y configurado.

6. Para configurar la interfaz inalámbrica para enviar y responder a las solicitudes de SSID, seleccione lacasilla de verificación Broadcast de SSID y responder a consultas SSID.

Para obtener información sobre esta configuración, consulte Activar/desactivar Broadcasts de SSIDen la página 163.

7. Seleccione la casilla de verificación Registrar eventos de autenticación si desea que el dispositivoWatchGuard envíe un mensaje de registro al archivo de registro cada vez que una computadorainalámbrica intenta conectase con la interfaz.

Para más informaciones acerca de registros, vea Registro eventos de autenticación en la página 163.

8. Para requerir que los usuarios inalámbricos utilicen Mobile VPN con el cliente IPSec, seleccione lacasilla de verificación Requerir Mobile VPN cifrado con conexiones IPSec para clientesinalámbricos.

Cuando selecciona esta casilla de verificación, los únicos paquetes que Firebox habilita a través de lared inalámbrica son DHCP, ICMP, IKE (UDP puerto 500), ARP e IPSec (protocolo IP 50). Si requiereque los usuarios inalámbricos utilicen Mobile VPN con el cliente IPSec, se puede incrementar laseguridad para los clientes inalámbricos si no seleccionaWPA o WPA2 como el método deautenticación inalámbrica.

9. En el cuadro de texto Nombre de red (SSID), ingrese un nombre específico para su red opcionalinalámbrica o utilice el nombre predeterminado.

Para obtener información sobre cómo cambiar el SSID, consulte Cambiar la SSID en la página 163.

10. Para cambiar el umbral de fragmentación, en el cuadro de texto Umbral de fragmentación ingreseun valor: 256–2346. No se recomienda cambiar esta configuración.

Para obtener más información sobre esta configuración, consulte Cambiar la umbral defragmentación en la página 163.

11. En la lista desplegable Autenticación, seleccione el tipo de autenticación para activar las conexionesinalámbricas con la interfaz opcional. Recomendamos utilizar WPA2 si los dispositivos inalámbricosde la red son compatibles con WPA2.

Para obtener más información sobre esta configuración, consulte Definir inalámbricos método deautenticación.

12. En la lista desplegable Cifrado, seleccione el tipo de cifrado que desea utilizar para la conexióninalámbrica y agregue las claves o las contraseñas requeridas para el tipo de cifrado que seleccione.Si selecciona una opción de cifrado con claves compartidas iniciales, se genera una clave compartidainicial aleatoria para usted. Puede usar esta clave o ingresar una propia.

Para más informaciones, vea Definir nivel de cifrado en la página 167.

13. Guardar la configuración

Nota Si activa conexiones inalámbricas con la interfaz de confianza, se recomiendarestringir el acceso mediante una dirección MAC. Esto impide que los usuarios seconecten con el dispositivo inalámbrico WatchGuard desde computadoras noautorizadas que podrían contener virus o spyware. Haga clic en la pestaña Controlde acceso MAC para activar el control de acceso MAC. Debe utilizar esta pestañade la misma manera en que restringe el tráfico de red en una interfaz según sedescribe en Restringir el tráfico de red mediante la dirección MAC en la página 97.

Para configurar unaWireless Guest Network sin acceso a las computadoras en sus redes opcionales o deconfianza, consulte Activar una red inalámbrica para invitados en la página 170.

Activar una red inalámbrica para invitadosPuede activar unaWireless Guest Network para proveer a un usuario invitado acceso inalámbrico a Internetsin acceso a las computadoras en sus redes opcionales o de confianza.

Para configurar unaWireless Guest Network:

1. Seleccione Red > Inalámbrica.Aparece la página Configuración inalámbrica.

2. Seleccione Activar puntos de acceso inalámbricos.3. Junto a Invitado inalámbrico, haga clic en Configurar.

Aparece el cuadro de diálogo Configuración de invitado inalámbrico.





4. Seleccione la casilla de verificación Activar Wireless Guest Network.

Se permiten conexiones inalámbricas a Internet a través del dispositivo WatchGuard según las reglasque usted haya configurado para el acceso saliente en su dispositivo. Estas computadoras no tienenacceso a las computadoras de su red opcional o de confianza.

5. En el cuadro de texto Dirección IP, ingrese la dirección IP privada que utilizará con laWireless GuestNetwork. La dirección IP que ingrese no debe estar en uso en una de sus interfaces de red.

6. En el cuadro de diálogoMáscara de subred, ingrese la máscara de subred. El valor correctogeneralmente es 255.255.255.0.

7. Para configurar el dispositivo WatchGuard como un servidor DHCP cuando un dispositivoinalámbrico intenta realizar una conexión, seleccione la casilla de verificación Activar servidor DHCPen la Wireless Guest Network.

Para obtener más información sobre cómo establecer la configuración para el servidor DHCP,consulte Configurar el DHCP en modo de enrutamiento mixto en la página 86.

8. Haga clic en la pestaña Inalámbrica para ver las configuraciones de seguridad para la Wireless GuestNetwork.Aparecen las configuraciones inalámbricas.

9. Seleccione la casilla de verificación SSID de broadcast y responder a consultas SSID para que sunombre de Wireless Guest Network esté visible para los usuarios invitados.

Para obtener información sobre esta configuración, consulte Activar/desactivar Broadcasts de SSIDen la página 163.

10. Para enviar un mensaje de registro al archivo de registro cada vez que una computadora inalámbricaintenta conectarse con laWireless Guest Network, seleccione la casilla de verificación Registrareventos de autenticación.

Para más informaciones acerca de registros, vea Registro eventos de autenticación en la página 163.

11. Para permitir que los usuarios inalámbricos invitados se envíen tráfico entre sí, desmarque la casillade verificación Prohibir tráfico de red inalámbrica de cliente a cliente.

12. En el cuadro de texto Nombre de red (SSID), ingrese un nombre específico para su Wireless GuestNetwork o utilice el nombre predeterminado.

Para obtener información sobre cómo cambiar el SSID, consulte Cambiar la SSID en la página 163.

13. Para cambiar el umbral de fragmentación, en el cuadro de texto Umbral de fragmentación ingreseun valor: 256–2346. No se recomienda cambiar esta configuración.

Para obtener más información sobre esta configuración, consulte Cambiar la umbral defragmentación en la página 163.

14. En la listadesplegableAutenticación, seleccione el tipode autenticación paraactivar las conexionesalaWirelessGuestNetwork. Laconfiguración que elijadependerádel tipode acceso a los invitadosquedesee proveer y de si desearequerir que sus invitados ingresenunacontraseñaparautilizar la red.





Para obtener más información sobre esta configuración, consulte Definir inalámbricos método deautenticación en la página 166.


Para más informaciones, vea Definir nivel de cifrado en la página 167.

16. Haga clic en Volver a la página principal.17. Haga clic en Guardar.

También puede restringir el acceso a la red invitada mediante una dirección MAC . Haga clic en la pestañaControl de acceso MAC para activar el control de acceso MAC. Debe utilizar esta pestaña de la mismamanera en que restringe el tráfico de red en una interfaz según se describe en Restringir el tráfico de redmediante la dirección MAC en la página 97.

Activar un hotspot inalámbricoPuede configurar su red inalámbrica para invitados WatchGuard XTM 2 Series o Firebox X Edge e-Seriescomo un hotspot inalámbrico para brindarles acceso a Internet a sus visitas o a sus clientes. Cuando activa lafunción de hotspot, tiene más control sobre las conexiones a su red inalámbrica para invitados.

Cuando configura su dispositivo como hotspot inalámbrico, usted puede personalizar:

n La pantalla de presentación que ven los usuarios cuando se conectann Términos y condiciones que los usuarios deben aceptar antes de poder navegar a un sitio webn Duración máxima de la conexión continua de un usuario

Cuando activa la función de hotspot inalámbrico, se crea automáticamente la política Permitir usuarios dehotspot. Esta política permite las conexiones desde la interfaz inalámbrica para invitados a sus interfacesexternas. Esto provee a los usuarios del hotspot inalámbrico un acceso inalámbrico a Internet sin acceso alas computadoras en sus redes opcionales o de confianza.

Antes de configurar un hotspot inalámbrico, debe establecer la configuración de su red inalámbrica parainvitados como se describe en Activar una red inalámbrica para invitados.

Para configurar el hotspot inalámbrico:

1. Seleccione Red > Inalámbrica.2. Junto a Invitado inalámbrico, haga clic en Configurar.3. En la página Inalámbrico, seleccione la pestaña Hotspot.4. Marque la casilla de selección Activar hotspot.

Establecer la configuración del tiempo de espera

Puede establecer configuraciones de tiempo de espera para limitar la cantidad de tiempo que los usuariospueden utilizar su hotspot de manera continua. Cuando se vence el período de espera, el usuario esdesconectado. Cuando un usuario es desconectado, pierde toda conexión a Internet pero permanececonectado a la red inalámbrica. Vuelve a aparecer la pantalla de presentación del hotspot y el usuario debevolver a aceptar los Términos y condiciones antes de poder continuar utilizando el hotspot inalámbrico.

1. En el cuadro de texto Agotamiento de la sesión, especifique la cantidad máxima de tiempo durantela cual un usuario puede permanecer continuamente conectado a su hotspot. Puede especificar launidad de tiempo mediante la lista desplegable adyacente. Si el Agotamiento de la sesión seconfigura en 0 (el valor predeterminado), los usuarios inalámbricos invitados no son desconectadosdespués de un intervalo de tiempo especificado.

2. En el cuadro de texto Tiempo de espera inactivo, especifique la cantidad de tiempo que un usuariodebe permanecer inactivo para que expire la conexión. Puede especificar la unidad de tiempomediante la lista desplegable adyacente. Si el Tiempo de espera inactivo se configura en 0, losusuarios no son desconectados si no envían ni reciben tráfico.

Personalizar la pantalla de presentación del hotspot

Cuando los usuarios se conectan a su hotspot, ven una pantalla de presentación, o un sitio web que debenvisitar antes de poder navegar a otros sitios web. Puede configurar el texto que aparece en esta página,como también el aspecto de la página. También puede redirigir al usuario a una página web especificadadespués que acepte los términos y condiciones.

Como mínimo, debe especificar el Título de la página y los Términos y condiciones para activar estafunción.

1. En el cuadro de texto Título de la página, ingrese el título que desea que aparezca en la página depresentación del hotspot.





2. Para incluir un mensaje de bienvenida:

n Marque la casilla de selecciónMensaje de bienvenida.n En el cuadro de textoMensaje de bienvenida, ingrese el mensaje que verán los usuarios

cuando se conecten al hotspot.

3. (Opcional) Para usar un logotipo personalizado en la pantalla de presentación:

n Marque la casilla de selección Utilizar un logotipo personalizado.n Haga clic en Subir para cargar el archivo de su logotipo personalizado.

El archivo debe estar en un formato .jpg, .gif o .png. Le recomendamos que la imagen no seamayor de 90 x 50 (ancho x altura) píxeles o 50 kB.

3. En el cuadro de texto Términos y condiciones, ingrese o pegue el texto que desea que los usuariosacepten antes de poder utilizar el hotspot. La longitud máxima es de 20.000 caracteres.

4. Para redirigir automáticamente a los usuarios a un sitio web después de que aceptan los Términos ycondiciones, en el cuadro de texto URL de redirección, ingrese la URL del sitio web.

5. Puede personalizar las fuentes y los colores de su página de bienvenida:

n Fuente: Seleccione la fuente en la lista desplegable Fuente. Si no especifica una fuente, lapágina de bienvenida utiliza la fuente predeterminada del navegador para cada usuario.

n Tamaño: Seleccione el tamaño del texto en la lista desplegable Tamaño. El tamañopredeterminado del texto es Mediano.

n Color del texto: Éste es el color para el texto en la pantalla de presentación del hotspot. El colorpredeterminado es el #000000 (negro). El color configurado aparece en un recuadroadyacente al cuadro de texto Color del texto. Haga clic en el recuadro coloreado paraseleccionar un color diferente en la paleta de colores. O bien, ingrese el código de color HTMLen el cuadro de texto Color del texto.

n Color de fondo: Éste es el color utilizado para el fondo de la pantalla de presentación delhotspot. El color predeterminado es el #FFFFFF (blanco). El color configurado aparece en unrecuadro adyacente al cuadro de texto Color de fondo. Haga clic en el recuadro coloreado paraseleccionar un color diferente en la paleta de colores. O bien, ingrese el código de color HTMLen el cuadro de texto Color de fondo.

7. Haga clic en la Vista previa de la pantalla de presentación.Aparece una vista previa de la pantalla de presentación en una nueva ventana del navegador.

7. Cierre la ventana de vista previa del navegador.8. Cuando termine de configurar su hotspot, haga clic en Regresar a la página principal.9. Haga clic en Guardar para guardar la configuración.

Conéctese a un hotspot inalámbrico

Después de configurar su hotspot inalámbrico, puede conectarse a éste para ver su pantalla depresentación.

1. Utilice un cliente inalámbrico para conectase a su red inalámbrica para invitados. Utilice el SSID ycualquier otra configuración que haya establecido para la red inalámbrica para invitados.

2. Abra un explorador web. Navegue a cualquier sitio web.Aparecerá la pantalla de presentación del hotspot inalámbrico en el navegador.





3. Marque la casilla de selección He leído y acepto los términos y condiciones.4. Haga clic en Continuar.

El navegador muestra la URL original que solicitó. O bien, si el hotspot está configurado para redirigirautomáticamente el navegador a una URL, el navegador se dirigirá a ese sitio web.

El contenido y el aspecto de la pantalla de presentación del hotspot puede establecerse en la configuracióndel hotspot para su red inalámbrica para invitados.

La URL de la pantalla de presentación del hotspot inalámbrico es:https://<IP address of the wireless guest network>:4100/hotspot.

Consulte Conexiones hotspot inalámbricas

Cuando activa la función de hotspot inalámbrico, puede consultar información acerca de la cantidad declientes que están conectados. También puede desconectar clientes inalámbricos.

Para ver la lista de clientes hotspot inalámbricos conectados:

1. Conéctese a la Fireware XTMWeb UI en su dispositivo inalámbrico.2. Seleccione Estado del sistema > Hotspot inalámbrico.

Aparecerá la dirección IP y la dirección MAC para cada cliente inalámbrico conectado.

Para desconectar a un cliente hotspot inalámbrico, desde la página Clientes hotspot inalámbricospage:

1. Seleccione un cliente hotspot inalámbrico conectado o varios.2. Haga clic en Desconectar.

Configurar la interfaz externa como interfazinalámbricaEn áreas con infraestructura de red limitada o inexistente, se puede utilizar el dispositivo inalámbricoWatchGuard para proporcionar acceso seguro a la red. Debe conectar físicamente los dispositivos de red aldispositivo WatchGuard. Luego, configure la interfaz externa para que se conecte a un punto de accesoinalámbrico que se conecta a una red más grande.

Nota Cuando la interfaz externa se configura con una conexión inalámbrica, eldispositivo inalámbrico WatchGuard ya no puede usarse como punto de accesoinalámbrico. Para proporcionar acceso inalámbrico a los usuarios, conecte undispositivo de punto de acceso inalámbrico al dispositivo inalámbricoWatchGuard.

Configurar la interfaz externa principal como interfazinalámbrica

1. Seleccione Red > Inalámbrica.Aparece la página Configuración inalámbrica.





2. Seleccione Activar cliente inalámbrico como interfaz externa.3. Haga clic en Configurar.

Aparece la configuración de interfaz externa.

4. En la lista desplegable Modo configuración, seleccione una opción:

Configuración manual

Para usar una dirección IP estática, seleccione esta opción. Ingrese la Dirección IP,Máscara desubred y Puerta de enlace predeterminada.

Cliente DHCP

Para configurar la interfaz externa como cliente DHCP , seleccione esta opción. Ingrese laconfiguración de DHCP.

Para obtener más información acerca de cómo configurar la interfaz externa para usar unadirección IP estática o DHCP, consulte Configurar una interfaz externa en la página 82.

5. Haga clic en la pestaña Inalámbrico.Aparece la configuración de cliente inalámbrico.

6. En el cuadro de texto Nombre de red (SSID), ingrese un nombre único para la red externainalámbrica.

7. En la lista desplegable Autenticación, seleccione el tipo de autenticación que desea activar para lasconexiones inalámbricas. Recomendamos utilizar WPA2 si los dispositivos inalámbricos de la red soncompatibles con WPA2.

Para obtener más información acerca de los métodos de autenticación inalámbrica, consulte Acercade configuraciones de seguridad en la página 166.







Configurar un túnel BOVPN para seguridad adicional

Para crear un puente inalámbrico y proporcionar más seguridad, agregue un túnel BOVPN entre eldispositivo WatchGuard y la puerta de enlace externa. Se debe configurar elModo agresivo en losparámetros de Fase 1 de la configuración de BOVPN en ambos dispositivos.

Para obtener información acerca de cómo configurar un túnel BOVPN, consulte Acerca de túneles BOVPNmanuales en la página 418.

Acerca de configuraciones de radio en Firebox X Edge e-Series inalámbricoLos dispositivos inalámbricos WatchGuard utilizan señales de radiofrecuencia para enviar y recibir tráficodesde las computadoras con tarjetas de Ethernet inalámbrico. Varias configuraciones son específicas segúnla selección del canal.

Para ver o cambiar las configuraciones de radio:

1. Conéctese al Fireware XTM Web UI.2. Seleccione Red > Inalámbrica.

Aparece la página Inalámbrica.

Las Configuraciones de radio aparecen en la parte inferior de esta página.

Configurar la región operativa y el canal

Cuando activa el modo inalámbrico, debe configurar la región operativa inalámbrica.

1. En la lista desplegable Región operativa, seleccione la región operativa que mejor describa laubicación de su dispositivo.

La lista de regiones operativas inalámbricas que puede seleccionar en su Firebox puede serdiferente según dónde lo haya adquirido.

2. En la lista desplegable Canal, seleccione un canal o seleccione Automático.

Si configura el canal en Automático, el dispositivo inalámbrico WatchGuard seleccionaautomáticamente el canal con la señal disponible más fuerte en su ubicación física.

Debido a los requisitos normativos de las distintas partes del mundo, no todos los canales inalámbricos estándisponibles en todas las regiones. Esta tabla incluye los canales disponibles para cada región operativacompatible en Firebox X Edge e-Series inalámbrico.

CanalFrecuenciacentral(MHz)

América AsiaAustralia&NuevaZelanda

Europa,MedioOriente yÁfrica(EMEA)

Francia Israel Japón TaiwánRepúblicaPopularde China

1 2412 Sí Sí Sí Sí -- -- Sí Sí Sí

2 2417 Sí Sí Sí Sí -- -- Sí Sí Sí

3 2422 Sí Sí Sí Sí -- Sí Sí Sí Sí







10 2457 Sí Sí Sí Sí Sí -- Sí Sí Sí

11 2462 Sí Sí Sí Sí Sí -- Sí Sí Sí

12 2467 -- -- Sí Sí Sí -- Sí -- Sí

13 2472 -- -- Sí Sí Sí -- Sí -- Sí

14 2484 -- -- -- -- -- -- Sí -- --





Definir modo de operación inalámbrica

La mayoría de las tarjetas inalámbricas pueden operar sólo en modo de 802.11b (hasta 11 MB/segundo) ode 802.11g (54 MB/segundo). Para establecer el modo operativo para el dispositivo inalámbricoWatchGuard, seleccione una opción en la lista desplegable Modo inalámbrico. Existen tres modosinalámbricos:

802.11b solamente

Este modo limita el dispositivo inalámbrico WatchGuard para que se conecte con dispositivos queestén sólo en el modo 802.11b.

802.11g solamente

Este modo limita el dispositivo inalámbrico WatchGuard para que se conecte con dispositivos queestén sólo en el modo 802.11g.

802.11g y 802.11b

Éste es el modo predeterminado y la configuración recomendada. Este modo le permite aldispositivo WatchGuard conectarse con los dispositivos que utilizan 802.11b u 802.11g. El dispositivoWatchGuard funciona en el modo 802.11g solamente si todas las tarjetas inalámbricas que estánconectadas al dispositivo utilizan el modo 802.11g. Si alguno de los clientes 802.11b se conecta aldispositivo, todas las conexiones automáticamente pasan al modo 802.11b.

Acerca de las configuraciones de radioinalámbrico en el dispositivo inalámbricoWatchGuard XTM 2 SeriesLos dispositivos inalámbricos WatchGuard utilizan señales de radiofrecuencia para enviar y recibir tráficodesde las computadoras con tarjetas de Ethernet inalámbrico. Las configuraciones de radio disponibles parael dispositivo inalámbrico WatchGuard XTM 2 Series son distintas de las del dispositivo inalámbrico FireboxX Edge e-Series.

Para ver o cambiar las configuraciones de radio:

1. Conéctese al Fireware XTM Web UI.2. Seleccione Red > Inalámbrica.

Aparece la página Inalámbrica.

Las Configuraciones de radio aparecen en la parte inferior de esta página.

El país se configura automáticamente

Debido a los requisitos normativos de las distintas partes del mundo, no se pueden utilizar todas lasconfiguraciones de radio inalámbrico en todos los países. Cada vez que enciende el dispositivo inalámbricoXTM 2 Series, el dispositivo se contacta con un servidor WatchGuard para determinar el país y laconfiguración de radio inalámbrico permitido para ese país. Para hacer esto, el dispositivo debe tener unaconexión a Internet. Una vez que se determina el país, puede establecer todas las configuraciones de radioinalámbrico compatibles que puedan utilizarse en ese país.

En el cuadro de diálogo Configuración inalámbrica, la configuración de Paísmuestra en qué país eldispositivo detecta que se encuentra. No se puede cambiar la configuración de País. Las opcionesdisponibles para las demás configuraciones de radio se basan en los requisitos normativos del país en dondeel dispositivo detecta que se encuentra.

Nota Si el dispositivo XTM 2 Series no puede conectarse con el servidor WatchGuard, nose podrá saber cuál es el país. En este caso, sólo podrá seleccionar en el conjuntolimitado de configuraciones de radio inalámbrico permitidas en todos los países. Eldispositivo inalámbrico XTM 2 Series continúa intentando conectarseperiódicamente al servidor WatchGuard para determinar el país y lasconfiguraciones de radio inalámbrico permitidas.





Si el dispositivo 2 Series aún no tiene una región configurada o si la región no está actualizada, puede forzarel dispositivo para actualizar la región de radio inalámbrico.

Para actualizar la región de radio inalámbrico:

1. Seleccione Estado del sistema > Estadísticas inalámbricas.2. haga clic en Actualizar la información del país.

El dispositivo 2 Series se contacta con un servidor WatchGuard para determinar la región operativa actual.

Seleccionar el modo de banda y el modo inalámbrico

El dispositivo WatchGuard XTM 2 Series admite dos bandas inalámbricas diferentes: 2.4 GHz y 5 GHz. Labanda que selecciona y el país determinan los modos inalámbricos disponibles. Seleccione la Banda queadmite el modo inalámbrico que desea utilizar. Luego seleccione el modo en la lista desplegable Modoinalámbrico.

La banda 2.4 GHz admite estos modos inalámbricos:

802.11n, 802.11g y 802.11b

Éste es el modo predeterminado en la banda 2.4 GHz y es la configuración recomendada. Este modole permite al dispositivo WatchGuard conectarse con los dispositivos que utilizan 802.11n, 802.11g u802.11b.

802.11g y 802.11b

Este modo le permite al dispositivo inalámbrico WatchGuard conectarse con los dispositivos queutilizan 802.11g u 802.11b.

SÓLO 802.11b

Este modo le permite al dispositivo inalámbrico WatchGuard conectarse solamente con losdispositivos que utilizan 802.11b.

La banda 5 GHz admite estos modos inalámbricos:

802.11a y 802.11n

Éste es el modo predeterminado en la banda 5 GHz. Este modo le permite al dispositivo inalámbricoWatchGuard conectarse con los dispositivos que utilizan 802.11a u 802.11n.

SÓLO 802.11a

Este modo le permite al dispositivo inalámbrico WatchGuard conectarse solamente con losdispositivos que utilizan 802.11a.

Nota Si elige un modo inalámbrico que admite varias normas 802.11, el rendimientogeneral puede disminuir considerablemente. Esto se debe en parte a la necesidadde admitir protocolos de protección para la retrocompatibilidad cuando los

dispositivos que utilizan modos más lentos están conectados. Además, losdispositivos más lentos tienden a dominar la velocidad porque puede llevar muchomás tiempo enviar o recibir la misma cantidad de datos a los dispositivos queutilizan un modo más lento.

La banda 5 GHz provee más rendimiento que la banda 2.4 GHz, pero puede no ser compatible con todos losdispositivos inalámbricos. Seleccione la banda y el modo según las tarjetas inalámbricas de los dispositivosque se conectarán con el dispositivo inalámbrico WatchGuard.

Seleccionar el canal

Los canales disponibles dependen del país y del modo inalámbrico que seleccione. En formapredeterminada, el Canal se configura en Automático. Cuando el canal se configura en Automático, eldispositivo inalámbrico 2-Series selecciona automáticamente un canal silencioso de la lista disponible en labanda que usted ha seleccionado. O puede seleccionar un canal específico de la lista desplegable Canal.

Configurar la de red invitada inalámbrica en sucomputadoraEstas instrucciones son para el sistema operativo Windows XP con Service Pack 2. Para obtenerinstrucciones de instalación para otros sistemas operativos, consulte la documentación o los archivos deayuda de su sistema operativo.

1. Seleccione Iniciar > Configuración >Panel de control > Conexiones de red.Aparece el cuadro de diálogo Conexiones de red.

2. Haga clic con el botón derecho en Conexión de red inalámbrica y seleccione Propiedades.Aparece el cuadro de diálogo Conexión de red inalámbrica.

3. Seleccione la pestaña Redes inalámbricas.4. Debajo de Redes preferidas, haga clic en Agregar.

Aparece el cuadro de diálogo Propiedades de red inalámbrica.5. Ingrese el SSID en el cuadro de diálogo Nombre de red (SSID).6. Seleccione los métodos de autenticación de red y el cifrado de datos en las listas desplegables. Si es

necesario, desmarque la casilla de verificación La clave se provee en forma automática e ingrese laclave de red dos veces.

7. Haga clic en OK para cerrar el cuadro de diálogo Propiedades de red inalámbrica.8. Haga clic en Ver redes inalámbricas.

Todas las conexiones inalámbricas disponibles aparecen en el cuadro de texto Redes disponibles.9. Seleccione el SSID de la red inalámbrica y haga clic en Conectar.

Si la red utiliza cifrado, ingrese la clave de red dos veces en el cuadro de texto Conexión de redinalámbrica y haga clic en Conectar nuevamente.

10. Configure la computadora inalámbrica para utilizar la configuración dinámica de host (DHCP).




10 Dynamic Routing

Acerca de dynamic routingUn protocolo de enrutamiento es un lenguaje que un enrutador usa con otros enrutadores para compartirinformación acerca del estado de las tablas de enrutamiento de red. Con el enrutamiento estático, las tablasde enrutamiento son definidas y no cambian. Si un enrutador en un camino remoto falla, no se puedeenviar un paquete a su destino. El dynamic routing hace que las actualizaciones automáticas enruten tablasa medida que cambia la configuración de una res.

Nota El soporte para algunos protocolos de dynamic routing está disponible sólo en elFireware XTM con actualización Pro. El dynamic routing no es soportado en elFirebox X Edge E-Series.

El Fireware XTM soporta los protocolos RIP v1 y RIP v2. El Fireware XTM con actualización Pro soporta losprotocolos RIP v1, RIP v2, OSPF y BGP v4.

Acerca de archivos de configuración de demoniode enrutamiento.Para usar cualquiera de los protocolos de dynamic routing con el Fireware XTM, debe importar o insertarun archivo de configuración de dynamic routing para el demonio de enrutamiento elegido. Ese archivo deconfiguración incluye informaciones como contraseña y nombre del archivo de registro. Para ver unamuestra de archivos de configuración para cada protocolo de enrutamiento, vea estos tópicos:

n Muestra de archivo de configuración del enrutamiento RIPn Muestra de archivo de configuración del enrutamiento OSPFn Muestra de archivo de configuración del enrutamiento BGP

Notas acerca de los archivos de configuración:

n Los caracteres "!" y "#" son puestos antes de los comentarios, que son líneas de texto en archivos deconfiguración que explican la función de los comandos siguientes. Si el primer caracter de una línea

es un caracter de comentario, entonces el resto de la línea será interpretado como un comentario.n Puede usar la palabra "no" al principio de la línea para desactivar un comando. Por ejemplo: "no red

10.0.0.0/24 área 0.0.0.0" desactiva el área de backbone en la red especificada.

Acerca del Protocolo de Información deEnrutamiento (RIP)El Protocolo de Información de Enrutamiento (RIP, en sus siglas en inglés) es usado para administrarinformación de enrutadores en una red autocontenida, tal como una LAN corporativa o unaWAN privada.Con el RIP, el host de puerta de enlace envía su tabla de enrutamiento al enrutador más cercano a cada 30segundos. Ese enrutador envía el contenido de sus tablas de enrutamiento a los enrutadores vecinos.

El RIP es mejor para redes pequeñas. Eso es así porque la transmisión de la tabla de enrutamiento completaa cada 30 segundos puede poner una carga grande de tráfico en la red y porque las tablas de RIP se limitana 15 saltos. El OSPF es una mejor opción para grandes redes.

Hay dos versiones del RIP. RIP v1 usa la difusión de UDP a través del puerto 520 para enviar actualizacionesa las tablas de enrutamiento. RIP v2 usa la multidifusión para enviar actualizaciones de tabla deenrutamiento.

Comandos del Protocolo de Información de Enrutamiento (RIP)

La tabla siguiente es un catálogo de comandos de enrutamiento soportados por RIP v1 y RIP v2 que puedenser usados para crear o modificar un archivo de configuración de enrutamiento. Si usa RIP v2, debe incluirla Subnet Mask con cualquier comando que usa una dirección IP de red o el RIP v2 no funcionará. Lassecciones deben aparecer en el archivo de configuración en el mismo orden que aparecen en esta tabla.

Sección Comando Descripción

Defina una contraseña simple o una autenticación MD5 en una interfaz

interfaz eth[N] Comience sección para definir

Tipo de autenticación para interfaz

ip rip cadena autenticación[CONTRASEÑA]

Definir contraseña de autenticación de rip

clave [CLAVE] Definir nombre de clave MD5

clave [ENTERO] Definir número de clave MD5

cadena-clave [CLAVE-AUT] Definir clave de autenticación de MD5

ip rip modo autenticación md5 Usar autenticación MD5

ip rip modo autenticación clave[CLAVE]

Definir clave de autenticación de MD5

Configurar demonio de enrutamiento RIP

router rip Activar demonio de RIP

Dynamic Routing


Dynamic Routing



versión [1/2]Definir versión RIP en 1 o 2 (versión 2predeterminada)

ip rip enviar versión [1/2] Definir RIP para enviar versión 1 ó 2

ip rip recibir versión [1/2] Definir RIP para recibir versión 1 ó 2

no ip split-horizon Desactivar split-horizon; activado por defecto

Configurar interfaces y redes

no red eth [N]

interfaz-pasiva eth[N]

interfaz-pasiva predeterminada

red [A.B.C.D/M]

vecino [A.B.C.D/M]

Distribuir rutas a puntos RIP e inyectar rutas OSPF o BGP a la tabla de enrutamiento RIP

información-predeterminadaoriginar

Compartir ruta de último recurso (rutapredeterminada) con puntos RIP

redistribuir núcleo Redistribuir rutas estáticas de firewall a puntos RIP

redistribuir conectado Redistribuir rutas de todas las interfaces a puntos RIP

redistribuir mapa-ruta conectado[NOMBREMAPA]

Redistribuir rutas de todas las interfaces hacia puntosRIP, con un filtro de mapa de ruta (nombremapa)

redistribuir ospf Redistribuir rutas de OSPF a RIP

redistribuir mapa-ruta ospf[NOMBREMAPA]

Redistribuir rutas desde OSPF a RIP, con un filtro demapa de ruta (nombremapa).

redistribuir bgp Redistribuir rutas de BGP a RIP

redistribuir mapa-ruta bgp[NOMBREMAPA]

Redistribuir rutas desde BGP a RIP, con un filtro demapa de ruta (nombremapa).

Configurar filtros de redistribución de rutas con mapas de ruta y listas de acceso

lista-acceso [PERMITIR|NEGAR][NOMBRELISTA] [A,B,C,D/M |CUALQUIERA]

Crear una lista de acceso para permitir o negar laredistribución de solo una dirección IP o todas lasdirecciones IP

ruta-mapa [NOMBREMAPA]permitir [N]

Crear un mapa de ruta con un nombre y permitirotorgando prioridad de N

coincidir dirección ip[NOMBRELISTA]

Configurar el Firebox para usar RIP v1

1. Seleccionar Red > Dynamic Routing.Configuración de dynamic routing página .

2. Selecciona la casilla Activar dynamic routing.3. Haga clic en la pestaña RIP.

4. Seleccione Activar .

5. Copie y pegue el texto del archivo de configuración del demonio de enrutamiento en la ventana.6. Haga clic en Guardar.

Para más informaciones, vea Acerca de archivos de configuración de demonio de enrutamiento. en lapágina 187.

Permitir tráfico de RIP v1 a través del Firebox

Debe agregar y configurar una política para permitir difusiones de RIP desde en enrutador hacia la direcciónIP de difusión de red. También debe añadir la dirección IP de la interfaz de Firebox en el campo Para.

Dynamic Routing


Dynamic Routing


1. Seleccione Firewall >Políticas de Firewall. Haga clic en Agregar.Aparece la página "Seleccionar un tipo de política".

2. En la lista de filtrados de paquetes, seleccione RIP. Haga clic en Agregar.3. En la página Configuración de política, configure la política para permitir el tráfico desde la dirección

de red o IP del enrutador que usa RIP hacia la interfaz Firebox que se conecta. También debeagregar la dirección IP de difusión de red.

4. Haga clic en Guardar.5. Configurar el enrutador seleccionado en el Paso 3.6. Después de configurar el enrutador, seleccione Estado del Sistema >Rutas y verifique si el Firebox

y el enrutador están enviando actualizaciones el uno al otro.

Entonces puede añadir la autenticación y restringir la política de RIP para analizar sólo las interfacescorrectas.

Configurar el Firebox para usar RIP v2


2. Selecciona la casilla Activar dynamic routing.3. Haga clic en la pestaña RIP.


5. Copie y pegue el archivo de configuración del demonio de enrutamiento en la ventana.6. Haga clic en Guardar.

Para más informaciones, vea Acerca de archivos de configuración de demonio de enrutamiento. en lapágina 187.

Permitir tráfico de RIP v2 a través del Firebox

Debe añadir y configurar una política para permitir multidifusiones de RIP v2 de los enrutadores que tienenRIP v2 activado, hacia la dirección reservada de multidifusión para RIP v2.



de red o IP del enrutador usando RIP hacia la dirección IP de multidifusión 224.0.0.9.4. Haga clic en Guardar.5. Configurar el enrutador seleccionado en el Paso 3.6. Después de configurar el enrutador, seleccione Estado del Sistema >Rutas y verifique si el Firebox


Entonces puede añadir la autenticación y restringir la política de RIP para analizar sólo las interfacescorrectas.

Muestra de archivo de configuración del enrutamiento RIP

Para usar usar cualquier protocolo de dynamic routing con el Fireware XTM, es necesario copiar y pegar unarchivo de configuración para el demonio de dynamic routing. Este tópico incluye una muestra de archivode configuración para el demonio de enrutamiento de RIP. Si desea usar este archivo de configuracióncomo base para su propio archivo de configuración, copie el texto en una aplicación como el Bloc de Notaso Wordpad y guárdelo con un nuevo nombre. Puede entonces editar los parámetros para atender a lasnecesidades de su empresa.

Los comandos opcionales son comentados con el caracter "!" . Para activar un comando, elimine el "!" ymodifique las variables, según sea necesario.

!! SECCIÓN 1: Configurar claves de autenticación MD5.! Definir el nombre de la clave de autenticación MD5 (CLAVE), el número de la

clave (1),! y la cadena de la clave de autenticación (CLAVEAUT).! clave CLAVE! clave 1 ! cadena-clave CLAVEAUT!! SECCIÓN 2: Configure las propiedades de interfaz.! Definir autenticación para interfaz (eth1).! interfaz eth1!! Definir la contraseña de autenticación simple de RIP (CLAVECOMPARTIDA).! ip rip cadena de autenticación CLAVECOMPARTIDA!! Definir autenticación MD5 de RIP y clave MD5 (CLAVE).! ip rip modo autenticación md5

Dynamic Routing


Dynamic Routing


! ip rip clave autenticación CLAE!!! SECCIÓN 3: Configure propiedades globales del demonio de RIP.! Activar demonio de RIP. Debe estar activado para todas las configuraciones de

RIP. router rip!! Definir versión RIP en 1; la predeterminada es la versión 2.! versión 1!! Definir RIP para enviar o recibir versión 1; la predeterminada es la versión 2.! ip rip enviar versión 1! ip rip recibir versión 1!! Desactivar split-horizon para evitar bucles de enrutamiento. Predeterminado

está activado.! no ip split-horizon!! SECCIÓN 4: Configurar interfaces y redes.! Desactivar enviar y recibir RIP en interfaz (eth0).! no red eth0!! Definir RIP para sólo-recibir en interfaz (eth2).! interfaz-pasiva eth2!! Definir RIP para sólo-recibir en todas las interfaces.! interfaz-pasiva predeterminada!! Activar difusión (versión 1) o multidifusión (versión 2) de RIP en! red (192.168.253.0/24). !red 192.168.253.0/24!! Definir actualizaciones de tabla de enrutamiento de unidifusión para vecino

(192.168.253.254).! vecino 192.168.253.254!! SECCIÓN 5: Redistribuir rutas de RIP para puntos e inyectar OSPF o BGP!! rutas a tabla de enrutamiento RIP.! Compartir ruta del último recurso (ruta predeterminada) de la tabla de

enrutamiento de núcleo! con puntos RIP! información-predeterminada originar!! Redistribuir rutas estáticas de firewall a puntos RIP.! redistribuir núcleo!! Definir mapas de ruta (NOMBREMAPA) para restringir la redistribución de rutas

en Sección 6.! Redistribuir rutas de todas las interfaces hacia puntos RIP o con un mapa de ruta

! filtro (NOMBREMAPA).! redistribuir conectado! redistribuir mapa-ruta conectado NOMBREMAPA!! Redistribuir rutas desde OSPF a RIP o con un filtro de mapa de ruta

(NOMBREMAPA).! redistribuir ospf !redistribuir ospf mapa-ruta NOMBREMAPA!

! Redistribuir rutas desde BGP a RIP o con un filtro de mapa de ruta(NOMBREMAPA).

! redistribuir bgp !redistribuir bgp mapa-ruta NOMBREMAPA!! SECCIÓN 6: Configurar filtros de redistribución de rutas con mapas de ruta y!! listas de acceso.! Crear una lista de acceso para sólo permitir redistribución de 172.16.30.0/24.! lista-acceso NOMBRELISTA permitir 172.16.30.0/24! lista-acceso NOMBRELISTA negar todos!! Crear un mapa de ruta con el NOMBREMAPA de nombre y permitir otorgando

prioridad de 10.! ruta-mapa [NOMBREMAPA] permitir 10! coincidir dirección ip NOMBRELISTA

Acerca del Protocolo "Abrir Camino Más CurtoPrimero" (OSPF)

Nota El soporte para ese protocolo está disponible sólo en el Fireware XTM conactualización Pro.

El OSPF (Abrir camino más curto primero) es un protocolo de enrutador interior usado en grandes redes.Con el OSPF, un enrutador que ve una alteración en su tabla de enrutamiento o que detecta un cambio enla red inmediatamente envía una actualización de multidifusión a todos los otros enrutadores en la red.OSPF es diferente del RIP porque:

n El OSPF envía sólo la parte de la tabla de enrutamiento que fue alterada en la transmisión. El RIPenvía la tabla de enrutamiento completa todas las veces.

n El OSPF envía una multidifusión sólo cuando su información fue alterada. El RIP envía una tabla deenrutamiento a cada 30 segundos.

Además, observe lo siguiente acerca de OSPF:

n Si tiene más de un área de OSPF, una debe ser área 0.0.0.0 (el área del backbone).n Todas las áreas deben ser adyacentes al área de backbone. Si no lo son, debe configurar un enlace

virtual al área de backbone.

Comandos de OSPF

Para crear o modificar un archivo de configuración de enrutamiento, debe usar los comandos correctos deenrutamiento. La tabla siguiente es un catálogo de comandos de enrutamiento soportados por OSPF. Lassecciones deben aparecer en el archivo de configuración en el mismo orden que aparecen en esta tabla.También puede usar el texto de muestra encontrados enMuestra de archivo de configuración delenrutamiento OSPF en la página 199.


Configurar interfaz

ip ospf clave-autenticación[CONTRASEÑA]

Definir contraseña de autenticación de OSPF

interfaz eth[N] Iniciar sección para definir propiedades para

Dynamic Routing


Dynamic Routing



interfaz

ip ospf clave-resumen-mensaje[CLAVE-ID] md5 [CLAVE]

Definir clave e ID de clave de autenticación deMD5

ip ospf costo [1-65535]Definir costo de enlace para la interfaz (ver tablade Costo de Interfaz OSPF abajo)

ip ospf hello-intervalo [1-65535]Definir intervalo para enviar paquetes de hello; elpredeterminado es de 10 segundos

ip ospf intervalo-muerto [1-65535]Definir intervalo después del último hello de unvecino antes de declararlo inactivo; elpredeterminado es de 40 segundos.

ip ospf intervalo-retransmitir [1-65535]

Definir intervalo entre retransmisiones deanuncios de enlace-estado (LSA); elpredeterminado es de 5 segundos.

ip ospf transmitir-retraso [1-3600]Definir tiempo requerido para enviaractualización de LSA; el predeterminado es de 1segundo.

ip ospf prioridad [0-255]Definir prioridad de ruta; valor alto aumenta laelegibilidad de volverse en enrutador asignado(DR, en sus siglas en inglés)

Configurar Demonio de Enrutamiento de OSPF

enrutador ospf Activar demonio OSPF

ospf enrutador-id [A.B.C.D]definir ID de enrutador para OSPF manualmente;enrutador determina su propio ID caso no estédefinido

compatibilidad ospf rfc 1583Activar compatibilidad RFC 1583 (puede llevar abucles de ruta)

ospf abr-tipo[cisco|ibm|accesodirecto|estándar]

Más información acerca de ese comando puedeser encontrada en el archivo draft-ietf-abr-o5.txt

interfaz-pasiva eth[N] Desactivar anuncio de OSPF en interfaz eth[N]

ancho de banda de referencia decosto-auto[0-429495]

Definir costo global (vea tabla de costo de OSPFabajo); no use con el comando "ip ospf [COSTO]"

temporizadores spf [0-4294967295][0-4294967295]

Definir cronograma de tiempo de retraso yespera de OSPF

Activar OSPF en una Red

*La variable "área" puede ser ingresada en dos formatos:


[W.X.Y.Z]; o como un número entero [Z].

red [A.B.C.D/M] área [Z]Anunciar OSPF en la red

A.B.C.D/M para área 0.0.0.Z

Configurar propiedades para área de backbone u otras áreas

La variable "área" puede ser ingresada en dos formatos: [W.X.Y.Z]; o como un número entero [Z].

área [Z] rango [A.B.C.D/M]Crear área 0.0.0.Z y definir una red con clase parael área (las configuraciones de máscara y red deinterfaz y rango deberían coincidir)

área [Z] enlace-virtual [W.X.Y.Z] Definir vecino de enlace virtual para área 0.0.0.Z

área [Z] stub Definir área 0.0.0.Z como stub

área [Z] stub no-summary

área [Z] autenticaciónActivar autenticación de contraseña simple paraárea 0.0.0.Z

área [Z] resumen de mensaje deautenticación

Activar autenticación MD5 para área 0.0.0.Z

Redistribuir rutas OSPF

información-predeterminadaoriginar

Compartir ruta de último recurso (rutapredeterminada) con OSPF

información-predeterminadaoriginar métrica [0-16777214]

Compartir ruta del último recurso (rutapredeterminada) con OSPF, y añadir una métricausada para generar la ruta predeterminada

información-predeterminadaoriginar siempre

Compartir siempre la ruta de último recurso (rutapredeterminada)

información-predeterminadaoriginar siempre métrica [0-16777214]

Compartir siempre ruta del último recurso (rutapredeterminada), y añadir una métrica usada paragenerar la ruta predeterminada

redistribuir conectado Redistribuir rutas de todas las interfaces a OSPF

redistribuir métricas conectadasRedistribuir rutas de todas las interfaces a OSPF yuna métrica usada para la acción

Configurar redistribución de rutas con Listas de AccesoyMapas de Ruta

lista-acceso [NOMBRELISTA]permiso [A.B.C.D/M]

Crear una lista de acceso para permitir ladistribución a A.B.C.D/M

Dynamic Routing


Dynamic Routing



listas-acceso [NOMBRELISTA] negartodos

Restringir distribución de cualquier mapa de rutaespecificado arriba


Crear un mapa de ruta con el [NOMBREMAPA] denombre y permitir otorgando prioridad de [N]

coincidir dirección ip[NOMBRELISTA]

Tabla de Costo de Interfaz de OSPF

El protocolo OSPF encuentra la ruta más eficiente entre dos puntos. Para eso, mira los factores comovelocidad de enlace de la interfaz, el número de salto entre puntos y otros indicadores. Por defecto, OSPFusa la velocidad de enlace real de un dispositivo para calcular el costo total de una ruta. Puede definir elcosto de la interfaz manualmente para ayudar a maximizar la eficiencia si, por ejemplo, su firewall basadoen gigabytes está conectado a un enrutador de 100M. Use los números en esa tabla para definirmanualmente el costo de interfaz en un valor diferente del costo real de interfaz.

Tipo deinterfaz

Ancho de banda enbits/segundo

Ancho de banda enbytes/segundo

Costo de Interfaz deOSPF

Ethernet 1G 128M 1

Ethernet 100M 12.5M 10

Ethernet 10M 1.25M 100

Módem 2M 256K 500

Módem 1M 128K 1000

Módem 500K 62.5K 2000

Módem 250K 31.25K 4000

Módem 125K 15625 8000

Módem 62500 7812 16000

Serial 115200 14400 10850

Serial 57600 7200 21700

Serial 38400 4800 32550

Serial 19200 2400 61120

Serial 9600 1200 65535

Configurar el Firebox para usar OSPF

1. Seleccionar Red > Dynamic Routing.Configuración de dynamic routing páginaaparece.

2. Selecciona la casilla Activar dynamic routing.3. Haga clic en la pestañaOSPF.


5. Copie y pegue el archivo de configuración del demonio de enrutamiento en la ventana.

Para más informaciones, vea Acerca de archivos de configuración de demonio de enrutamiento. enla página 187.

Para empezar, necesita sólo dos comandos en su archivo de configuración de OSPF. Esos doscomandos, en ese orden, empiezan el proceso de OSPF:

router ospf

red <network IP address of the interface you want the process to listen on and distribute throughthe protocol> área <area ID in x.x.x.x format, such as 0.0.0.0>

Dynamic Routing


Dynamic Routing


6. Haga clic Guardar.

Permitir tráfico de OSPF a través del Firebox

Debe añadir y configurar una política para permitir multidifusiones de OSPF de los enrutadores que tienenOSPF activado, hacia la dirección reservada de multidifusión para OSPF.



de red o IP del enrutador usando OSPF hacia las direcciones IP 224.0.0.5 y 224.0.0.6.

Para más información acerca de cómo definir las direcciones de origen y destino para una política,vea Definir reglas de acceso a una política en la página 267.



Entonces puede añadir la autenticación y restringir la política de OSPF para analizar sólo lasinterfaces correctas.

Muestra de archivo de configuración del enrutamiento OSPF

Para usar usar cualquier protocolo de dynamic routing con el Fireware XTM, es necesario copiar y pegar unarchivo de configuración para el demonio de dynamic routing. Este tópico incluye una muestra de archivode configuración para el demonio de enrutamiento de OSPF. Si desea usar este archivo de configuracióncomo base para su propio archivo de configuración, copie el texto en una aplicación como el Bloc de Notaso Wordpad y guárdelo con un nuevo nombre. Puede entonces editar los parámetros para atender a lasnecesidades de su empresa.


!! SECCIÓN 1: Configure las propiedades de interfaz.! Definir propiedades para interfaz eth1.! interfaz eth1!! Definir la contraseña de autenticación simple (CLAVECOMPARTIDA).! ip ospf clave-autenticación CLAVECOMPARTIDA!! Definir el IP de clave de autenticación MD5 (10) y clave de autenticación MD5

(CLAVEAUT).! ip ospf clave-resumen-mensaje 10 md5 CLAVEAUT!! Definir costo de enlace en 1000 (1-65535) en la interfaz eth1.! para tabla de costo de enlace OSPF. ! ip ospf costo 1000!! Definir intervalo de hello en 5 segundos (1-65535); el predeterminado es 10

segundos.! ip ospf intervalo-hello 5

!! Definir intervalo de muerto en 15 segundos (1-65535); el predeterminado es 40

segundos.! ip ospf intervalo-muerto 15!! Definir intervalo entre retransmisiones de anuncios de enlace-estado (LSA)! en 10 segundos (1-65535); el predeterminado es 5 segundos.! ip ospf intervalo-retransmitir 10!! Definir intervalo de actualización LSA en 3 segundos (1-3600); el

predeterminado es 1 segundo.! ip ospf transmitir-retraso 3!! Definir alta prioridad (0-255) para aumentar a elegibilidad para convertirse en! enrutador asignado (DR).! ip ospf prioridad 255!! SECCIÓN 2: Iniciar OSFP y definir propiedades de demonio.! Activar demonio OSPF. Debe estar activado para todas las configuraciones

de OSPF.! router ospf!! Definir el ID del enrutador manualmente en 100.100.100.20. Si no definirlo, el

firewall lo hará! definir el propio ID basado en una dirección IP de interfaz.! ospf router-id 100.100.100.20!! Activar compatibilidad RFC 1583 (aumenta la probabilidad de bucles de

enrutamiento).! ospf rfc1583compatibilidad!! Definir tipo de enrutador de adyacencia de área (ABR) en cisco, ibm, acceso

directo o estándar.! Más información acerca de los tipos ABR en draft-ietf-ospf-abr-alt-05.txt.! ospf abr-tipo cisco!! Desactivar anuncio de OSPF en interfaz eth0.! interfaz pasiva eth0!! Definir costo global en 1000 (0-429495).! ancho de banda de referencia de costo-auto 1000!! Definir retraso de cronograma de SPF en 25 (0-4294967295) segundos y sostener! 20 (0-4294967295) segundos; predeterminado es 5 y 10 segundos. ! temporizadores

spf 25 20!! SECCIÓN 3: Definir propiedades de área y red. Definir áreas con notación

W.X.Y.Z!! o Z.! Anunciar OSPF en la red 192.168.253.0/24 para área 0.0.0.0.! red 192.168.253.0/24 área 0.0.0.0!! Crear área 0.0.0.1 y definir un rango de redes de clase (172.16.254.0/24)! para el área (configuraciones de red de interfaz y rango deben coincidir).! área 0.0.0.1 rango 172.16.254.0/24!

Dynamic Routing


Dynamic Routing


! Definir vecino de enlace virtual (172.16.254.1) para área 0.0.0.1.! área 0.0.0.1 enlace-virtual 172.16.254.1!! Definir área 0.0.0.1 como stub en todos los enrutadores en área 0.0.0.1.! área 0.0.0.1 stub!! área 0.0.0.2 stub sin-resumen!! Activar autenticación de contraseña simple para área 0.0.0.0.! área 0.0.0.0 autenticación!! Activar autenticación MD5 para área 0.0.0.1.! área 0.0.0.1 resumen-mensaje autenticación!! SECCIÓN 4: Redistribuir rutas de OSPF! Compartir ruta del último recurso (ruta predeterminada) de la tabla de

enrutamiento de núcleo! con puntos OSPF.! información-predeterminada originar!! Redistribuir rutas estáticas a OSPF.! redistribuir núcleo!! Redistribuir rutas de todas las interfaces a OSPF.! redistribuir conectado! redistribuir mapa-ruta conectado! ! Redistribuir rutas de RIP y BGP y OSPF.! redistribuir rip !redistribuir bgp!! SECCIÓN 5: Configurar filtros de redistribución de rutas con listas de acceso!! y mapas de ruta.! Crear una lista de acceso para sólo permitir redistribución de 10.0.2.0/24.! lista-acceso NOMBRELISTA permitir 10.0.2.0/24! lista-acceso NOMBRELISTA negar todos!! Crear un mapa de ruta con el NOMBREMAPA de nombre y permitir otorgando unaprioridad de 10 (1-199).! ruta-mapa [NOMBREMAPA] permitir 10! coincidir dirección ip NOMBRELISTA

Acerca del Border Gateway Protocol (BGP)Nota El soporte para ese protocolo está disponible sólo en Fireware XTM con una

actualización Pro en los dispositivos Core e-Series, Peak e-Series o XTM.

El Border Gateway Protocol (BGP) es un protocolo de dynamic routing usado en la Internet por grupos deenrutadores para compartir información de enrutamiento. El BGP usa parámetros de ruta o atributos paradefinir políticas de enrutamiento y crear un ambiente estable de enrutamiento. Ese protocolo permite quedivulgue más de un camino hacia y desde la Internet a su red y recursos, lo que le ofrece caminosredundantes y puede aumentar su tiempo de actividad.

Los hosts que usan BGP usan TCP para enviar información de tabla de enrutamiento actualizada cuando unhost encuentra una alteración. El Host envía sólo la parte de la tabla de enrutamiento que tiene laalteración. El usa el enrutamiento interdominios sin clase (CIDR) para reducir el volumen de las tables deenrutamiento de Internet. El volumen de la tabla de enrutamiento de BGP en el Fireware XTM está definidoen 32 K.

El volumen de la red de área amplia (WAN) típica del cliente WatchGuard es más adecuado para el dynamicrouting de OSPF. UnaWAN también puede usar el border gateway protocol externo (EBGP) cuando más deuna puerta de enlace hacia Internet esté disponible. EBGP le permite aprovechar al máximo la posibleredundancia con una red "multi-homed".

Para participar en un BGP con un ISP, debe tener un número de sistema autónomo (ASN). Debe obtener unASN junto a uno de los registros regionales en la tabla abajo. Después de que se le asigne su propio ASN,debe contactar cada ISP para obtener sus ASNs y otras informaciones necesarias.

Región Nombre del registro Sitio web

Norte América RIN www.arin.net

Europa RIPE NCC www.ripe.net

Asia-Pacífico APNIC www.apnic.net

América Latina LACNIC www.lacnic.net

África AfriNIC www.afrinic.net

Comandos BGP

Para crear o modificar un archivo de configuración de enrutamiento, debe usar los comandos correctos deenrutamiento. La tabla siguiente es un catálogo de comandos de enrutamiento de BGP. Las secciones debenaparecer en el archivo de configuración en el mismo orden que aparecen en esta tabla.

No use los parámetros de configuración de BGP que no reciba de su ISP.


Configurar daemon de enrutamiento de BGP

bgp enrutado [ASN]Activar el daemon BGP y definir número de sistemaautónomo (ASN); eso es provisto por su ISP

red [A.B.C.D/M]Anunciar BGP en la redA.B.C.D/M

sin red [A.B.C.D/M] Desactivar anuncios de BGP en la re A.B.C.D/M

Definir propiedades de vecinos

vecino [A.B.C.D] remoto-como[ASN]

Definir vecino como miembro de ASN remoto

vecino [A.B.C.D] ebgp-multihopDefinir vecino en otra red usando "multi-hop" (multi-salto)de EBGP

Dynamic Routing


Dynamic Routing



vecino [A.B.C.D] versión 4 oposterior

Definir versión de BGP (4, 4+, 4-) para comunicación convecino; la predeterminada es la 4

vecino [A.B.C.D] actualizar-fuente [PALABRA]

Definir la sesión BGP para que use una interfaz específicapara las conexiones TCP

vecino [A.B.C.D]predeterminado-originar

Anunciar ruta predeterminada para vecino BGP [A,B,C,D]

vecino [A.B.C.D] puerto 189Definir puerto TCP personalizado para comunicarse convecino BGP [A,B,C,D]

vecino [A.B.C.D] enviar-comunidad

Determinar punto enviar-comunidad

vecino [A.B.C.D] peso 1000Definir peso predeterminado para las rutas de vecino[A.B.C.D]

vecino [A.B.C.D] máximo-prefijo[NÚMERO]

Definir número máximo de prefijos permitidos a partir deeste vecino

Listas de comunidades

lista-comunidad ip [<1-99>|<100-199>] permitirAA:NN

Especificar comunidad para que acepte el número desistema autónomo y número de red separados por dospuntos

Filtrado de punto

vecino [A.B.C.D] distribuir-lista[NOMBRELISTA][ENTRAR|SALIR]

Definir distribución de lista y dirección para punto

vecino [A.B.C.D] prefijo-lista[NOMBRELISTA][ENTRAR|SALIR]

Para aplicar una lista de prefijos para coincidir con losanuncios entrantes o clientes para ese vecino

vecino [A.B.C.D] filtro-lista[NOMBRELISTA][ENTRAR|SALIR]

Para coincidir una lista de acceso de camino de sistemaautónomo a rutas entrantes y salientes

vecino [A.B.C.D] ruta-mapa[NOMBREMAPA][ENTRAR|SALIR]

para aplicar un mapa de ruta a rutas entrantes o salientes

Redistribuir rutas a BGP

redistribuir núcleo Redistribuir rutas estáticas a BGP

redistribuir rip Redistribuir rutas RIP a BGP


redistribuir ospf Redistribuir rutas OSPF a BGP

Reflexión de ruta

bgp cluster-id A.B.C.DPara configurar el ID del cluster si el cluster de BGP tienemás de un reflector de ruta

vecino [W.X.Y.Z] ruta-reflector-cliente

Para configurar el enrutador como reflector de ruta BGP yconfigurar el vecino especificado como su cliente

Listas de acceso y listas de prefijos IP

ip prefijo-listas PRELISTApermitir A.B.C.D/E

Definir lista de prefijos

acceso-lista NOMBRE[negar|permitir] A.B.C.D/E

Definir lista de acceso


En conjunción con los comandos "coincidir" y "definir", esodefine las condiciones y acciones para redistribuir rutas

coincidir dirección ip lista-prefijo [NOMBRELISTA]

Coincide el acceso-lista especificado

definir comunidad [A:B] Definir el atributo de comunidad BGP

coincidir comunidad [N] Coincide la comunidad_lista especificada

definir local-preferencia [N]Definir el valor de preferencia para la ruta de sistemaautónomo

Configurar el Firebox para usar el BGP

Para participar en un BGP con un ISP, debe tener un número de sistema autónomo (ASN). Para másinformaciones, vea Acerca del Border Gateway Protocol (BGP) en la página 201.


2. Selecciona la casilla Activar dynamic routing.3. Haga clic en la pestaña BGP.

Dynamic Routing


Dynamic Routing


4. Seleccione Activar .5. Copie y pegue el archivo de configuración del demonio de enrutamiento en la ventana.

Para más informaciones, vea Acerca de archivos de configuración de demonio de enrutamiento. enla página 187.

Para empezar, necesita sólo tres comandos en su archivo de configuración de BGP. Esos trescomandos, inicie el proceso de BGP, configurar una relación de punto con el ISP y cree una ruta parauna red hacia Internet. Debe usar los comandos en ese orden.

BGP de enrutador: Número del sistema autónomo de BGP provisto por sured de ISP:dirección IP de red a la cual desea divulgar una ruta desde el vecino de Internet: <IP address of neighboring BGP router> remoto-como <BGP autonomous number>


Permitir tráfico de BGP a través del Firebox

Debe añadir y configurar una política para permitir el tráfico de BGP hacia del Firebox desde las redesaprobadas. Esas redes deben ser las mismas definidas en su archivo de configuración de BGP.


2. En la lista de filtrados de paquetes, seleccione BGP. Haga clic en Agregar.3. En la página Configuración de política, configure la política para permitir el tráfico desde la dirección

de red o IP del enrutador que usa BGP hacia la interfaz Firebox que se conecta. También debeagregar la dirección IP de difusión de red.



Entonces puede añadir la autenticación y restringir la política de BGP para analizar sólo las interfacescorrectas.

Muestra de archivo de configuración del enrutamiento BGP

Para usar cualquiera de los protocolos de dynamic routing con el Fireware XTM, debe importar o insertarun archivo de configuración para el demonio de dynamic routing. Este tópico incluye una muestra dearchivo de configuración para el demonio de enrutamiento de BGP. Si desea usar este archivo deconfiguración como base para su propio archivo de configuración, copie el texto en una aplicación como elBloc de Notas o Wordpad y guárdelo con un nuevo nombre. Puede entonces editar los parámetros paraatender a las necesidades de su empresa.


!! SECCIÓN 1: Iniciar demonio de BGP y anunciar bloqueos de red a vecinos de BGP! Activar BGP y definir ASN local en 100 enrutador bgp 100! Divulgar red local 64.74.30.0/24 a todos los vecinos definidos en la sección 2

! red 64.74.30.0/24

!! SECCIÓN 2: Propiedades de vecinos! Definir vecino (64.74.30.1) como miembro de ASN remoto (200)! vecino 64.74.30.1 remoto-como 200! Definir vecino (208.146.43.1) en otra red usando "multi-hop" (multi-salto)

de EBGP! vecino 208.146.43.1 remoto-como 300! vecino 208.146.43.1 ebgp-multihop! Definir versión de BGP (4, 4+, 4-) para comunicación con vecino; la

predeterminada es la 4! vecino 64.74.30.1 versión 4+! Anunciar ruta predeterminada para vecino BGP (64.74.30.1)! vecino 64.74.30.1 predeterminada-originar! Definir puerto TCP personalizado 189 para comunicarse con vecino BGP

(64.74.30.1). Puerto predeterminado es TCP 179! vecino 64.74.30.1 puerto 189! Determinar punto enviar-comunidad! vecino 64.74.30.1 enviar-comunidad! Definir peso predeterminado para las rutas de vecino (64.74.30.1)! vecino 64.74.30.1 peso 1000! Definir número máximo de prefijos permitidos a partir de este vecino

Dynamic Routing


Dynamic Routing


! vecino 64.74.30.1 NÚMERO máximo-prefijo

!! SECCIÓN 3: Definir listas de comunidades! lista-comunidad ip 70 permitir 7000:80

!! SECCIÓN 4: Filtrado de anuncios! Definir distribución de lista y dirección para punto! vecino 64.74.30.1 distribuir-lista NOMBRELISTA [entrar|salir]! Para aplicar una lista de prefijos para coincidir con los anuncios entrantes oclientes para ese vecino! vecino 64.74.30.1 prefijo-lista NOMBRELISTA [entrar|salir]! Para coincidir una lista de acceso de camino de sistema autónomo a rutasentrantes y salientes! vecino 64.74.30.1 filtro-lista NOMBRELISTA [entrar|salir]! para aplicar un mapa de ruta a rutas entrantes o salientes! vecino 64.74.30.1 ruta-mapa NOMBREMAPA [entrar|salir]

!! SECCIÓN 5: Redistribuir rutas a BGP! Redistribuir rutas estáticas a BGP! Redistribuir núcleo! Redistribuir rutas RIP a BGP! Redistribuir rip! Redistribuir rutas OSPF a BGP

! Redistribuir ospf

!! SECCIÓN 6: Reflexión de ruta! Definir ID de clúster y firewall como un cliente de servidor de reflector de ruta51.210.0.254! bgp clúster-id A.B.C.D! vecino 51.210.0.254 ruta-reflector-cliente

!! SECCIÓN 7: Listas de acceso y listas de prefijos IP! Definir lista de prefijos! ip prefijo-lista PRELISTA permitir 10.0.0.0/8! Definir lista acceso!acceso-lista NOMBRE negar 64.74.30.128/25! acceso-lista NOMBRE permitir 64.74.30.0/25! Crear un mapa de ruta con el NOMBREMAPA de nombre y permitir otorgandoprioridad de 10! ruta-mapa [NOMBREMAPA] permitir 10! coincidir dirección ip prefijo-lista NOMBRELISTA! definir comunidad 7000:80

Dynamic Routing



11 Autenticación

Acerca de la autenticación de usuarioLa autenticación de usuario es un proceso que descubre si un usuario es quien se declaró ser y averigua losprivilegios asignados a dicho usuario. En el Firebox, la cuenta de usuario tiene dos partes: un nombre deusuario y una frase de contraseña. Cada cuenta de usuario está asociada a una dirección IP. Esa combinaciónde nombre de usuario, frase de contraseña y dirección IP ayuda el administrador del dispositivo amonitorear las conexiones a través del dispositivo. Con la autenticación, los usuarios pueden iniciar sesiónen la red desde cualquier equipo, pero acceder sólo a los protocolos y puertos de red a los cuales esténautorizados. Firebox puede también mapear las conexiones que se inician desde una dirección IPdeterminada y también transmitir el nombre de la sesión mientras el usuario está autenticado.

Puede crear políticas de firewall para dar acceso a recursos específicos de red a usuarios y grupos. Eso esútil en los ambientes de red donde varios usuarios comparten un único equipo o dirección IP.

Puede configurar su Firebox como servidor de autenticación local o usar su servidor de Active DirectoryAuthentication, LDAP o RADIUS existente. Cuando usa la autenticación de Firebox por el puerto 4100, losprivilegios de cuenta pueden estar basados en el nombre de usuario. Cuando usa una autenticación deterceros, los privilegios de cuenta para los usuarios que autentican a servidores de autenticación deterceros están basados en la participación en un grupo.

La función de autenticación de usuario de WatchGuard permite que un nombre de usuario esté asociado auna dirección IP específica para ayudarlo a autenticarse y rastrear conexiones de usuarios a través deldispositivo. Con el dispositivo, la pregunta fundamental que cada conexión realiza es "¿debo permitir eltráfico de la origen X hacia el destino Y?" Para que la función de autenticación de WatchGuard funcionecorrectamente, la dirección IP del equipo del usuario no debe cambiar mientras el usuario esté autenticadoal dispositivo.

En gran parte de los ambientes, la relación entre una dirección IP y el equipo de usuario es bastante establecomo para ser usada para la autenticación. Los ambientes en los cuales la asociación entre el usuario y unadirección IP no sea consistente, como en terminales o redes en las cuales las aplicaciones sean ejecutadasdesde un servidor de terminal, no suelen ser muy aptos para una utilización exitosa de la función deautenticación de usuario.

WatchGuard soporta control de Autenticación, Cuentas y Acceso (AAA, en sus siglas en inglés) en losproductos de firewall, basado en el asociación estable entre la dirección IP y la personal.

La función de autenticación de usuario de WatchGuard también soporta la autenticación a un dominio deActive Directory con Single Sign-On (SSO), así como otros servidores comunes de autenticación. Asimismo,soporta configuraciones de inactividad y límites de duración de sesión. Esos controles restringen el períodode tiempo que una dirección IP puede transmitir tráfico a través de Firebox antes que los usuarios debanproveer sus contraseñas nuevamente (reautenticarse).

Si controla el acceso de SSO con una lista blanca y administra tiempos de espera de inactividad, tiempos deespera de sesión y quiénes están autorizados a autenticarse, puede mejorar su control de autenticación,cuentas y control de acceso.

Para evitar que un usuario se autentique, debe desactivar la cuenta para aquel usuario en el servidor deautenticación.

Usuario pasos de autenticación

Un servidor HTTPS opera en el dispositivo WatchGuard para aceptar las solicitudes de autenticación.

Para autenticarse, un usuario debe conectarse a la página web del portal de autenticación en el dispositivoWatchGuard.

1. Diríjase a:

https://[dirección IP de la interfaz del dispositivo]:4100/

o

https://[nombre del host del dispositivo]:4100

Aparece la página web de autenticación.

2. Ingrese un nombre de usuario y contraseña.3. Seleccione el servidor de autenticación en la lista desplegable, si más de un tipo de autenticación

está configurado.El dispositivo WatchGuard envía el nombre y contraseña al servidor de autenticación usando un PAP (Protocolode Autenticación de Contraseña, según sus siglas en inglés).

Cuando autenticado, el usuario está autorizado a usar los recursos aprobados de red.

Nota Como el Fireware XTM usa un certificado autofirmado por defecto para HTTPS, serecibe una advertencia de seguridad de su explorador web cuando se autentica.Puede ignorar esa advertencia de seguridad sin mayor riesgo. Si desea quitar esaadvertencia, puede usar un certificado externo o crear un certificadopersonalizado que coincida con la dirección IP o domain name usado para laautenticación.

Autenticación


Autenticación


Cerrar manualmente una sesión autenticada

Los usuarios no necesitan esperar que el tiempo de espera de la sesión se agote para cerrar sus sesionesautenticadas. Pueden cerrar sus sesiones manualmente antes que se agote el tiempo de espera. La páginaweb de autenticación debe estar abierta para que el usuario cierre una sesión. Si está cerrada, el usuariodebe autenticarse nuevamente para desconectarse.

Para cerrar manualmente una sesión autenticada:

1. Diríjase a la página web del portal de Autenticación:

https://[dirección IP de la interfaz del dispositivo]:4100/

o

https://[nombre del host del dispositivo]:4100

2. Haga clic en Salir.

Nota Si la página web del portal de autenticación está configurada para redireccionarautomáticamente hacia otra página web, el portal lo redirecciona algunossegundos después que lo abre. Asegúrese de salir antes que la página loredireccione.

Administrar usuarios autenticados

Puede usar Fireware XTM Web UI para ver una lista de todos los usuarios autenticados en su dispositivoWatchGuard y cerrar sesiones para esos usuarios.

Ver usuarios autenticados

Para ver los usuarios autenticados en su dispositivo WatchGuard:

1. Conéctese al Fireware XTM Web UI.2. Seleccione Estado del sistema > Lista de autenticación.

Aparece una lista de todos los usuarios autenticados en el Firebox.

Cerrar una sesión de usuario

A partir de la navigation bar del Fireware XTMWeb UI:

1. Seleccione Estado del sistema > Lista de autenticación.Aparece una lista de todos los usuarios autenticados en el Firebox.

2. Seleccione uno o más nombres de usuario de la lista.3. Haga clic con el botón derecho en el(los) nombre(s) de usuario y seleccione Usuario de

desconexión.

Use la autenticación para restringir el tráficoentranteUna función de la herramienta de autenticación es restringir el tráfico saliente. También puede ser usadapara restringir el tráfico de red entrante. Cuando tiene una cuenta en el dispositivo WatchGuard que tieneuna dirección IP externa pública, puede autenticarse al dispositivo desde un equipo externo al dispositivo.Por ejemplo, puede insertar esa dirección en su explorador web: https://<IP address of

WatchGuard device external interface>:4100/.

Después de autenticarse, puede usar las políticas configuradas para usted en el dispositivo.

Para permitir que un usuario remoto se autentique desde la red externa:


2. Seleccione la política Autenticación de WatchGuard y haga clic en Editar.También puede hacer doble clic en la política. Esa política aparece después que se agrega un usuarioo grupo a una configuración de políticas.Aparece la página "Configuración de Política".

3. En la lista desplegable Conexiones están, asegúrese de que Permitido esté seleccionado4. Abajo de la ventana De, haga clic en Agregar.

Aparece el cuadro de diálogo "Agregar Dirección".5. Seleccione Cualquiera de la lista y haga clic en Agregar.6. Haga clic en OK.

En la ventana "De" aparece "Cualquiera".7. Abajo del cuadro Para, haga clic en Agregar.8. Seleccione Firebox en la lista y haga clic en Agregar.9. Haga clic en OK.

Firebox aparece en la ventana "Para".

Use la autenticación a través de un Firebox de puerta de enlace

El Firebox de puerta de enlace es el dispositivo puesto en su red para proteger su Management Servercontra la Internet.

Para enviar una solicitud de autenticación a través de un Firebox de puerta de enlace a un dispositivodiferente, debe tener una política que permita el tráfico de autenticación en el dispositivo de puerta deenlace. Si se niega el tráfico de autenticación en el dispositivo de puerta de enlace, agregar la política deWG-Autoriz. Esa política controla el tráfico en el puerto TCP 4100. Debe configurar la política para permitirel tráfico hacia la dirección IP del dispositivo de destino.

Definir valores de autenticación globalPuede definir valores de autenticación global (tales como los valores de tiempo de espera y la página deautenticación redirecciona).

Para configurar la autenticación:

Autenticación


Autenticación


1. Conéctese al Fireware XTM Web UI.2. Seleccione Configuración >de Autenticación.

Aparece la página "Configuración de Autenticación".

3. Configurar la autenticación tal como se describe en las secciones siguientes.4. Haga clic en Guardar.

Definir tiempos de espera de autenticación

Puede definir el período de tiempo que los usuarios permanecen autenticados después de cerrar su últimaconexión autenticada. Ese tiempo de espera es definido o en el cuadro de diálogo Configuraciones deAutenticación, o enConfigurar usuario de Firebox página.

Para más informaciones sobre la configuración de autenticación de usuario y Configurar usuario de Fireboxpágina, vea Definir un nuevo usuario para autenticación en Firebox en la página 225.

Para usuarios autenticados por servidores externos, los tiempos de espera definidos en esos servidorestambién anulan los tiempos de espera de autenticación global.

Los valores de tiempos de espera de autenticación no se aplican a usuarios de Mobile VPN con PPTP.

Tiempo de espera de sesión

El período de tiempo máximo que un usuario puede enviar tráfico a una red externa. Si define estecampo en cero (0) segundos, minutos, horas o días, la sesión no expira y el usuario puede seguirconectado por el tiempo que desee.

Tiempo de espera inactivo

El período de tiempo máximo que el usuario puede permanecer autenticado cuando esté inactivo(sin transmitir cualquier tráfico a la red externa). Si define este campo en cero (0) segundos,minutos, horas o días, la sesión no termina cuando está inactiva y el usuario puede seguir conectadopor el tiempo que desee.

Permitir múltiples inicios de sesión concomitantes

Puede permitir que más de un usuario se autentique con las mismas credenciales de usuario al mismotiempo en un servidor de autenticación. Eso es útil para cuentas de invitados o ambientes de laboratorio.Cuando el segundo usuario ingresa con las mismas credenciales, automáticamente se cierra la sesión delprimer usuario autenticado con las credenciales. Si no permitir esa función, el usuario no puedeautenticarse en el servidor de autenticación más de una vez al mismo tiempo.

1. Vaya a Configuración de Autenticación página.2. Seleccione la casilla de verificación Permitir múltiples sesiones de autenticación de firewall de la

misma cuenta.

Para usuarios de Mobile VPN with IPSec y Mobile VPN with SSL, las sesiones de inicio simultáneas de lamisma cuenta siempre son compatibles, esté la casilla seleccionada o no. Esos usuarios deben iniciar sesióndesde diferentes direcciones IP para el inicio de sesión simultáneo, es decir, no pueden usar la mismacuenta para iniciar sesión si están detrás de un Firebox que usa NAT. Los usuarios de Mobile VPN con PPTPno tienen esa restricción.

Limitar sesiones de inicio

En Configuración de Autenticación página, puede imponer un límite de sesión única autenticada porusuario. Si selecciona esa opción, los usuarios no pueden iniciar sesión en un servidor de autenticacióndesde diferentes direcciones IP con las mismas credenciales. Cuando un usuario está autenticado e intentaautenticarse nuevamente, puede seleccionar si se cierra la primera sesión de usuario cuando la sesiónsiguiente es autenticada, o si la sesión siguiente es rechazada.

1. Seleccione Imponer a usuarios el límite de una única sesión de inicio.2. De la lista desplegable, seleccione Rechazar intentos concomitantes de inicio de sesión cuando el

usuario ya está registrado o Cerrar primera sesión cuando el usuario inicia sesión por segunda vez.

Autenticación


Autenticación


Direccionarusuariosautomáticamentealportaldeiniciodesesión

Si requiere que los usuarios se autentiquen antes de acceder a la Internet, puede elegir enviar usuariosautomáticamente que no están todavía autenticados al portal de autenticación o solicitarles que naveguenmanualmente hasta el portal. Eso se aplica solamente a conexiones HTTP y HTTPS.

Redireccionar usuarios automáticamente a la página de autenticación para que se autentiquen.

Al marcar esta casilla de verificación, todos los usuarios que todavía no están autenticados seránredireccionados automáticamente al portal de inicio de sesión de autenticación cuando intentenacceder a Internet. Si no seleccionar esa casilla de verificación, los usuarios no autenticados debennavegar manualmente al portal de inicio de sesión de autenticación.

Para más información acerca de autenticación de usuario, vea Usuario pasos de autenticación en lapágina 210.

Usar una página de inicio predeterminada personalizada

Al seleccionar la casilla de verificación Redireccionar usuarios automáticamente a la página deautenticación para solicitar a los usuarios que se autentiquen antes de acceder a Internet, aparece el portalde autenticación web de Firebox cuando un usuario abre un explorador web. Si desea que el exploradorvaya a una página diferente después que los usuarios inician la sesión con éxito, puede definir unredireccionamiento.

En Configuración de Autenticación página:

1. Seleccione la casilla de verificación Enviar un redireccionamiento al explorador después de unaautenticación exitosa

2. En el cuadro de texto, ingrese el URL del sitio web al cual desea que los usuarios seanredireccionados.

Definir tiempos de espera de Sesión de Administración

Use esos campos para definir el período de tiempo que un usuario registrado con privilegios delectura/escritura permanece autenticado antes que el dispositivo WatchGuard cierre la sesión.


El período de tiempo máximo que un usuario puede enviar tráfico a una red externa. Si define estecampo en cero (0) segundos, minutos, horas o días, la sesión no expira y el usuario puede seguirconectado por el tiempo que desee.


El período de tiempo máximo que el usuario puede permanecer autenticado cuando esté inactivo(sin transmitir cualquier tráfico a la red externa). Si define ese campo en cero (0) segundos, minutos,horas o días, la sesión no termina cuando el usuario está inactivo y puede seguir conectado por eltiempo que desee.

Acerca de la política de Autenticación deWatchGuard (WG-Autoriz)La política de Autenticación de WatchGuard (WG-Autoriz) es adicionada automáticamente a la configuraciónde su dispositivo WatchGuard. La primera política que agrega a la configuración de su dispositivo que tieneun nombre de grupo o usuario en el campo De en la pestaña Política de la definición de políticas cre unapolítica WG-Autoriz. Esa política controla el acceso al puerto 4100 en el dispositivo. Los usuarios envíansolicitudes de autenticación al dispositivo a través de ese puerto. Por ejemplo, para autenticarse a undispositivo WatchGuard con una dirección IP de 10.10.10.10, ingrese https://10.10.10.10:4100 en labarra de direcciones del explorador web.

Autenticación


Autenticación


Si desea enviar una solicitud de autenticación a través de un dispositivo de puerta de enlace hacia undispositivo diferente, puede ser necesario agregar la política WG-Autoriz manualmente. Si el tráfico deautenticación es negado en el dispositivo de puerta de enlace, debe usar el Policy Manager para agregar lapolítica WG-Autoriz. Modifique esa política para permitir el tráfico hacia la dirección IP del dispositivo dedestino.

Para obtener más información sobre cuando modificar la política de autenticación de WatchGuard, vea Usela autenticación para restringir el tráfico entrante en la página 212.

Acerca de Single Sign-On (SSO)Cuando los usuarios inician la sesión en los equipos en su red, deben presentar un nombre de usuario ycontraseña. Si usa la autenticación en Active Directory en su Firebox para restringir el tráfico de red salientea usuarios o grupos determinados, ellos también deben iniciar sesión nuevamente cuando se autenticanmanualmente al dispositivo para acceder a recursos de red, como la Internet. Puede usar Single Sign-On(SSO) para permitir que usuarios en las redes de confianza o opcional se autentiquen automáticamente alFirebox cuando inician sesión en sus equipos.

El SSO de WatchGuard es una solución en dos partes, que incluye el agente SSO y los servicios de clienteSSO. Para que SSO funcione, el software del agente SSO debe estar instalado en un equipo en su dominio. Elsoftware cliente SSO es opcional y está instalado en el equipo cliente de cada usuario.

El software del agente SSO hace un llamado al equipo cliente por el puerto 4116 para verificar quién estáregistrado en el momento. Si no hay respuesta, el agente SSO retorna al protocolo anterior de las versionesanteriores aWSM 10.2.4, y hace un llamadoNetWkstaUserEnum al equipo cliente. Entonces usa lainformación recibida para autenticar un usuario en Single Sign-On.

Si el cliente SSO no está instalado, el agente SSO puede obtener más de una respuesta del equipo queconsulta. Eso puede ocurrir si más de un usuario inicia sesión en el mismo equipo, o debido a los accesospor lotes o servicio que ocurren en el equipo. El agente SSO usa sólo la primera respuesta recibida delequipo y reporta aquel usuario a Firebox como el usuario que está registrado. El dispositivo puedecomparar la información del usuario con todas las políticas definidas para aquel usuario y/o grupo deusuarios de una sola vez. El agente SSO, por defecto, pone en caché esos datos por unos 10 minutos paraque no sea necesario generar una consulta para cada conexión.

Cuando el software cliente SSO está instalado, recibe un llamado del agente SSO y devuelve informaciónprecisa sobre el usuario que está actualmente registrado en la estación de trabajo. El agente SSO noestablece contacto con el servidor de Active Directory para obtener credenciales del usuario, porquerecibe la información correcta sobre quién está registrado actualmente en un equipo y a cuáles grupos deActive Directory el usuario pertenece, desde el cliente SSO.

Si trabaja en un ambiente donde más de una persona usa un equipo, recomendamos que instale elsoftware cliente SSO. Si no usa el cliente SSO, hay limitaciones de control de acceso a las que se debeprestar atención. Por ejemplo, para servicios instalados en un equipo cliente (tal como un cliente antivirusadministrado de modo central) que hayan sido desplegados para que el inicio de sesión se hiciera con lascredenciales de la cuenta de dominio, Firebox ofrece derechos de acceso a todos los usuarios definidos a

partir del primer usuario registrado (y los grupos a los cuales ese usuario pertenece), y no las credencialesde usuarios individuales que inician sesión interactivamente. Además, todos los mensajes de registrogenerados a partir de la actividad de usuario muestran el nombre de usuario de la cuenta de servicio y no elusuario individual.

Nota Si no instala el cliente SSO, recomendamos que no use el SSO en ambientes dondelos usuarios se registran a equipos con inicio de sesión por lote o de servicio.Cuando más de un usuario está asociado a una dirección IP, los permisos de redpueden no funcionar correctamente. Eso puede representar un riesgo deseguridad.

Antes de empezar

n Debe tener un Active Directory Server configurado en una red de confianza u opcional.n Su Firebox debe estar configurado para usar la Active Directory Authentication.n Cada usuario debe tener una cuenta configurada en el Active Directory Server.n Cada usuario debe registrarse en una cuenta de dominio para que Single Sign-On (SSO) funcione

correctamente. Si los usuarios se registran a una cuenta que existe sólo en sus equipos locales, suscredenciales no son verificadas y el Firebox no reconoce que están registrados.

n Si usa un software de firewall de terceros en sus equipos en red, asegúrese de que el puerto TCP445 (Samba/Windows Network) esté abierto en cada cliente.

n Asegúrese de que la opción de compartir impresoras y archivos esté habilitada en todos los equiposdesde los cuales los usuarios se autentican con SSO.

n Asegúrese de que los puertos NetBIOS y SMS no estén bloqueados en todos los equipos desde loscuales los usuarios se autentican con SSO. NetBIOS usa puertos TCP/UDP 137, 138 y 139. SMB usa elpuerto TCP 445.

n Asegúrese de que el puerto 4116 esté abierto en los equipos cliente.n Asegúrese de que todos los equipos desde los cuales los usuarios se autentican con SSO sean

miembros del dominio con relaciones de confianza absoluta.

Configurar SSO

Para usar el SSO, debe instalar el software del agente SSO. Recomendamos que también instale el clienteSSO en los equipos de los usuarios. Aunque sólo pueda usar el SSO con el agente SSO, la seguridad y elcontrol de acceso aumentan cuando también se usa el cliente SSO.

Para configurar el SSO, siga esos pasos:

1. Instalar el agente de Single Sign-On (SSO) deWatchGuard.2. Instale el cliente de Single Sign-On (SSO) deWatchGuard (opcional, pero recomendado).3. Activar Single Sign-On (SSO).

Instalar el agente de Single Sign-On (SSO) de WatchGuard

Para usar Single Sign-On (SSO), debe instalar el agente SSO de WatchGuard. El agente SSO es un servicio querecibe solicitudes de autenticación de Firebox y verifica el estado del usuario con el servidor de ActiveDirectory. El servicio es ejecutado con el nombre de WathGuard Authentication Gateway en el equipo enel cual se instala el software agente SSO. Ese equipo debe tener instalado el Microsoft.NET Framework 2.0

Autenticación


Autenticación


o versión posterior.

Nota Para usar Single Sign-On en su Firebox, debe instalar el agente SSO en un equipodominio con dirección IP estática. Recomendamos que instale el agente SSO en sucontrolador de dominio.

Descargar el software del agente SSO

1. Abrir un explorador web e ir a http://www.watchguard.com/.2. Iniciar sesión con su nombre de usuario y contraseña de LiveSecurity Service.3. Haga clic en el enlace Descargas de Software.4. Seleccione el tipo de dispositivo y número de modelo.5. Descargue el software WatchGuard Authentication Gateway y guarde el archivo en una ubicación

adecuada.

Antes de instalar

El servicio del agente SSO debe ser ejecutado como cuenta de usuario, no como cuenta de administrador.Recomendamos que cree una nueva cuenta de usuario para esa finalidad. Para que el servicio del agente SSO funcione correctamente, configure la cuenta de usuario con estas propiedades:

n Agregar la cuenta al grupo Admin de Dominio.n Convertir Admin de Dominio en un grupo principal.n Permitir que el inicio de sesión en la cuenta como un servicio.n Definir contraseña para que nunca caduque.

Instalar el servicio del agente SSO

1. Haga doble clic enWG-Authentication-Gateway.exe para iniciar el Asistente de Configuración delAuthentication Gateway.En algunos sistemas operativos, puede ser necesario insertar una contraseña de administrador localpara ejecutar el instalador.

2. Para instalar el software, use las instrucciones en cada página y complete el asistente.

Para el nombre de usuario del dominio, ingrese el nombre de usuario en el formato:dominio\nombre de usuario. No incluya la parte .com o .net del domain name. Por ejemplo, si eldominio esmywatchguard.com y se use la cuenta de dominio ssoagente, insertemywatchguard\ssoagente.También puede usar el formato UPN del nombre de usuario:[email protected]. Si usa el formato UPN del nombre de usuario, debeincluir la parte .com o .net del domain name.

3. Para cerrar el asistente, haga clic en Finalizar.

Después que el asistente concluya, el servicio de WatchGuard Authentication Gateway iniciaautomáticamente. Cada vez que el equipo se reinicia, el servicio inicia automáticamente.

http://www.watchguard.com/activate

Instale el cliente de Single Sign-On (SSO) de WatchGuard

Como parte de la solución de Single Sign-On (SSO) de WatchGuard, se puede instalar el cliente SSO deWatchGuard. El cliente SSO es instalado como un servicio de Windows y ejecutado en la cuenta del SistemaLocal en una estación de trabajo para verificar las credenciales del usuario con sesión iniciada en aquelequipo. Cuando un usuario intenta autenticarse, el agente SSO envía una solicitud de credenciales deusuario al cliente SSO. Entonces, el cliente SSO devuelve las credenciales al usuario con sesión iniciada en laestación de trabajo.

El cliente SSO analiza en el puerto 4116.

Como el instalador del cliente SSO es un archivo MSI, se puede elegir instalarlo automáticamente en losequipos de los usuarios cuando inician sesión en el dominio. Puede usar la Política de Grupo de ActiveDirectory para instalar el software automáticamente cuando los usuarios inicien sesión en su dominio. Paraobtener más información acerca del despliegue de instalación del software para los objetos de política degrupo de Active Directory, vea la documentación de su sistema operativo.

Descargar el software cliente SSO

1. Use su explorador web para ir a http://www.watchguard.com/.2. Iniciar sesión con su nombre de usuario y contraseña de LiveSecurity Service.3. Haga clic en el enlace Descargas de Software.4. Seleccione el tipo de dispositivo y número de modelo.5. Descargue el software WatchGuard Authentication Client y guarde el archivo en una ubicación

adecuada.

Instale el servicio cliente SSO

1. Haga doble clic enWG-Authentication-Client.msi para iniciar el Asistente de Configuración deAuthentication Client.En algunos sistemas operativos, puede ser necesario insertar una contraseña de administrador localpara ejecutar el instalador.

2. Para instalar el software, use las instrucciones en cada página y complete el asistente.

Para ver cuáles unidades están disponibles para instalar el cliente y cuánto espacio está disponibleen cada una de las unidades, haga clic en Costo de Disco.

3. Para cerrar el asistente, haga clic en Cerrar.

El servicio WatchGuard Authentication Client inicia automáticamente cuando el asistente concluye einicia siempre que el equipo reinicia.

Activar Single Sign-On (SSO)

Antes de configurar el SSO, debe:

n Configurar su Active Directory Servern Instalar el agente de Single Sign-On (SSO) deWatchGuardn Instale el cliente de Single Sign-On (SSO) deWatchGuard (opcional)

Autenticación


http://www.watchguard.com/activate

Autenticación


Activar y configurar el SSO

Para activar y configurar el SSO desde Fireware XTMWeb UI:

1. Seleccione Single Sign-On por > Autenticación.Aparece la página "Single Sign-On por Autenticación".

2. Seleccione la casilla de verificación Activar Single Sign-On (SSO) con Active Directory.3. En el cuadro de texto Dirección IP de Agente SSO , ingrese la dirección IP de su Agente SSO.4. En el cuadro de texto Poner datos en caché por , ingrese o seleccione el período de tiempo que se

guardan los datos del agente SSO en caché.5. En la lista Excepciones de SSO , agregar o remover las direcciones IP del host para las cuales no

desea que el dispositivo envíe consultas de SSO.

Para obtener más información sobre excepciones de SSO, vea la sección siguiente.

6. Haga clic Guardar para guardar los cambios.

Definir excepciones de SSO

Si su red incluye dispositivo con direcciones IP que no requieren autenticación, como servidores de red,servidores de impresoras o equipos que no forman parte del dominio, recomendamos que agregue susdirecciones IP a la lista de Excepciones de SSO. Cada vez que ocurre una conexión desde uno de esosdispositivo y la dirección IP para el dispositivo no está en la lista de excepciones, el Firebox contacta alagente SSO para intentar asociar la dirección IP al nombre de usuario. Eso lleva cerca de 10 segundos. Usela lista de excepciones para evitar que se produzcan retrasos en cada conexión y que se reduzca el tráficode red innecesariamente.

Tipos de servidores de autenticaciónEl sistema operativo de Fireware XTM soporta seis métodos de autenticación:

n Configure su Firebox como servidor de autenticaciónn Configurar autenticación de servidor RADIUSn Configurado autenticación de servidor VASCOn Configurar autenticación SecurIDn Configurar autenticación LDAPn Configurar autenticación en Active Directory

Puede configurar uno o más tipos de servidor de autenticación para un dispositivo WatchGuard. Si usa másde un tipo de servidor de autenticación, los usuarios deben seleccionar el tipo de servidor de autenticaciónen una lista desplegable cuando se autentican.

Acerca de la utilización de servidores de autenticación deterceros

Si usa un servidor de autenticación de terceros, no necesita mantener una base de datos separada en eldispositivo WatchGuard. Se puede configurar un servidor externo, instalar el servidor de autenticación conacceso al dispositivo y poner el servidor como resguardo del dispositivo, por seguridad. Se puede entoncesconfigurar el dispositivo para que reenvíe las solicitudes de autenticación de usuario a ese servidor. Si creaun grupo de usuarios en el dispositivo que se autentica en un servidor externo, asegúrese de crear ungrupo en el servidor que tenga el mismo nombre que el grupo de usuarios en el dispositivo.

Para configurar un dispositivo WatchGuard para servidores de autenticación externos, vea:

n Configurar autenticación de servidor RADIUSn Configurado autenticación de servidor VASCOn Configurar autenticación SecurIDn Configurar autenticación LDAPn Configurar autenticación en Active Directory

Use un servidor de autenticación de resguardo

Puede configurar un servidor de autenticación principal y de resguardo con cualquier tipo de autenticaciónde terceros. Si el dispositivo WatchGuard no puede conectarse al autenticación principal después de tresintentos, el servidor principal queda marcado como inactivo y se genera un mensaje de alarma. Eldispositivo entonces se conecta con el servidor de autenticación de resguardo.

Si el dispositivo WatchGuard no puede conectarse al servidor de autenticación de resguardo, espera diezminutos y luego intentar conectarse al servidor de autenticación principal nuevamente. El servidor inactivoes marcado como activo después que se alcanza el intervalo de tiempo.

Autenticación


Autenticación


Configure su Firebox como servidor deautenticaciónSi no usa un servidor de autenticación externo, puede usar el Firebox como servidor de autenticación. Eseprocedimiento divide su empresa en grupos y usuarios para autenticación. Cuando asigne usuarios a grupos,asegúrese de asociarlos por tarea e información que usan. Por ejemplo, puede tener un grupo paracontabilidad, un grupo de marketing y un grupo de investigación y desarrollo. También puede haber ungrupo de nuevos empleados con acceso a Internet más controlado.

Cuando se crea un grupo, se define el procedimiento de autenticación para los usuarios, el tipo de sistemae información que pueden acceder. Un usuario puede ser una red o un equipo. Si su empresa cambia, sepuede agregar o quitar usuarios de sus grupos.

El servidor de autenticación de Firebox está activado por defecto. No necesita activarlo antes de agregarusuarios y grupos.

Tipos de autenticación de Firebox

Puede configurar el Firebox para autenticar usuarios para cuatro tipos diferentes de autenticación:

n Firewall autenticaciónn de conexiones deMobile VPN with PPTPn Configurar el Firebox para Mobile VPN with IPSecn Conexiones deMobile VPN con SSL

Cuando la autenticación tiene éxito, el Firebox enlaza esos elementos:

n Nombre de usuarion Grupo (o grupos) de usuarios de Firebox del cual el usuario es un miembron Dirección IP del equipo usado para autenticarsen Dirección IP virtual del equipo usado para conectarse aMobile VPN

Firewall autenticación

Se crean cuentas y grupos de usuarios para permitirles que se autentiquen. Cuando un usuario se autenticacon Firebox, sus credenciales y dirección IP del equipo son usadas para encontrar si alguna política se aplicaal tráfico que el equipo envía y recibe.

Para crear una cuenta de usuario de Firebox:

1. Definir un nuevo usuario para autenticación en Firebox.2. Definir un nuevo grupo para autenticación de Firebox y poner el nuevo usuario en aquel grupo.3. Cree una política que permita el tráfico sólo desde y hacia una lista de nombres o grupos de usuarios

Firebox.Esa política se aplica sólo si se recibe o envía un paquete a la dirección IP del usuario autenticado.

Para autenticarse con una conexión HTTPS al Firebox a través del puerto 4100:

1. Abra un explorador web y diríjase a:

https://<IP address of a Firebox interface>:4100/

2. Ingrese el nombre de usuario y contraseña.3. Seleccione Dominio en la lista desplegable.

Ese campo sólo aparece si puede elegir más de un dominio.4. Haga clic en Ingresar.

Si las credenciales son válidas, el usuario será autenticado.

de conexiones de Mobile VPN with PPTP

Al activar Mobile VPN with PPTP en su Firebox, los usuarios incluidos en el grupo de Mobile VPN with PPTPpueden usar la función de PPTP incluida en el sistema operativo del equipo para establecer una conexiónPPTP con el dispositivo.

Como el Firebox permite la conexión PPTP desde cualquier usuario Firebox que ofrezca las credencialescorrectas, es importante que se haga una política para sesiones de PPTP que incluya sólo usuarios quedesea autorizar el envío de tráfico a través de la sesión PPTP. También puede añadir un grupo o usuarioindividual a una política que restrinja el acceso a los recursos detrás de Firebox. Firebox crea un grupopreconfigurado denominado usuarios PPTP para esa finalidad.

Para configurar una conexión de Mobile VPN con PPTP:

1. En el Fireware XTMWeb UI, seleccione VPN>Mobile VPN with PPTP.2. Seleccione la casilla de verificación Activar Mobile VPN with PPTP.3. Asegúrese de que la casilla de verificación Usar autenticación RADIUS para autenticar usuarios de

Mobile VPN with PPTP no esté seleccionada. Si la casilla de verificación está seleccionada, elservidor de autenticación RADIUS autentica la sesión PPTP. Si limpia esa casilla, Firebox autentica lasesión PPTP.Firebox averigua si el nombre de usuario y contraseña insertados por el usuario en el cuadro dediálogo de la conexión de VPN coincide con las credenciales del usuario en la base de datos deusuarios de Firebox que es miembro del grupo de usuarios PPTP.Si las credenciales aportadas por el usuario coinciden con una cuenta en la base de datos de usuarios deFirebox, el usuario es autenticado para una sesión PPTP.

4. Crear una política que permita el tráfico solo desde y hacia una lista de nombres o grupos deusuarios Firebox.El Firebox no observa esa política, a no ser que haya tráfico desde o hacia la dirección IP del usuarioautenticado.

Conexiones de Mobile VPN con IPSec

Al configurar su dispositivo WatchGuard para hospedar sesiones de Mobile VPN con IPSec, cree políticas ensu dispositivo y luego use el cliente de Mobile VPN con IPSec para permitir que sus usuarios accedan a sured. Después de configurar el dispositivo WatchGuard, cada equipo cliente debe ser configurado con elsoftware cliente de Mobile VPN con IPSec.

Cuando el equipo del usuario está correctamente configurado, el usuario hace la configuración de MobileVPN. Si las credenciales usadas para la autenticación coinciden con una entrada en la base de datos deusuarios de Firebox, y si el usuario está en el grupo de Mobile VPN creado, la sesión de Mobile VPN esautenticada.

Para configurar la autenticación para Mobile VPN with IPSec:

Autenticación


Autenticación


1. Configurar una conexión deMobile VPN con IPSec.2. Instalar el software cliente deMobile VPN con IPSec.

Conexiones de Mobile VPN con SSL

Puede configurar el Firebox parahospedar sesionesde Mobile VPN con SSL. Cuando Firebox estáconfigurado con unaconexión deMobile VPN with SSL, losusuarios incluidosen el grupo deMobile VPNwith SSL pueden instalar y usar el software cliente de Mobile VPN con SSL paraestablecer unaconexión SSL.

Como el Firebox permite la conexión SSL desde cualquiera de sus usuarios que ofrezca las credencialescorrectas, es importante que se haga una política para sesiones de SSL que incluya sólo usuarios que deseaautorizar que envíen tráfico a través de la sesión SSL. También se puede agregar esos usuarios a un Grupode Usuarios de Firebox y crear una política que permita el tráfico sólo desde ese grupo. Firebox crea ungrupo preconfigurado denominado usuarios SSLVPN para esa finalidad.

Para configurar una conexión de Mobile VPN con SSL:

1. En el Fireware XTMWeb UI, seleccione VPN> Mobile VPN with SSL.Aparece la página "Configuración de Mobile VPN con SSL".

2. Configurar el dispositivo Firebox o XTM para Mobile VPN with SSL.

Definir un nuevo usuario para autenticación en Firebox

1. En el Fireware XTMWeb UI, seleccione servidores de >autenticación.Aparece la página "Servidores de autenticación".

2. En la pestaña Firebox de los Servidores de Autenticación página, haga clic en Agregar abajo de lalista Usuarios.Aparece el cuadro de diálogo "Configurar Usuario de Firebox".

3. Ingrese el Nombre y (opcional) una Descripción del nuevo usuario.4. Ingrese y confirme la frase de contraseña que desea que la persona use para autenticarse.

Nota Al definir esa frase de contraseña, los caracteres están enmascarados y noaparecen en el texto simple de nuevo. Si pierde la frase de contraseña, debe definiruna nueva.

5. En el campo Tiempo de espera de sesión, defina el período máximo de tiempo que el usuariopuede enviar tráfico a la red externa.

La configuración mínima para este campo es de un (1) segundos, minutos, horas o días. El valormáximo es de 365 días.

6. En el campo Tiempo de espera inactivo, establezca la cantidad de tiempo que el usuario puedepermanecer autenticado mientras está inactivo (sin transmitir tráfico hacia la red externa).

La configuración mínima para este campo es de un (1) segundos, minutos, horas o días. El valormáximo es de 365 días.

7. Para agregar un usuario a un Grupo de Autenticación de Firebox, seleccione el nombre de usuarioen la lista Disponible.

8. Haga clic en para desplazar el nombre a la listaMiembro.O bien, puede hacer doble clic en el nombre de usuario en la lista Disponible.El usuario es agregado a la lista de usuarios. Puede entonces agregar más usuarios.

9. Para cerrar el cuadro de diálogo Configurar usuario de Firebox, haga clic en Aceptar.Aparece la pestaña "Usuarios de Firebox" con un listado de los nuevos usuarios.

Autenticación


Autenticación


Definir un nuevo grupo para autenticación de Firebox


2. Seleccione la pestaña Firebox.3. Haga clic en Agregar bajo de la lista Grupos.

Aparece el cuadro de diálogo "Configurar Grupo de Firebox".

4. Ingrese un nombre para el grupo.5. (Opcional) Ingrese una descripción para el grupo.6. Para agregar un usuario al grupo, seleccione el nombre de usuario en la lista Disponible. Haga clic en

para desplazar el nombre a la listaMiembro.También puede hacer doble clic en el nombre de usuario en la lista "Disponible".

7. Después de agregar todos los usuarios necesarios al grupo, haga clic en Aceptar.

Ahora puede configurar políticas y autenticación con esos usuarios y grupos, tal como se describe en Uselos usuarios y grupos autorizados en políticas en la página 248.

Configurar autenticación de servidor RADIUSRADIUS (Servicio de Usuario de Marcado por Autenticación Remota) autentica los usuarios locales yremotos en una red empresarial. RADIUS es un sistema cliente/servidor que guarda en una base de datoscentral los datos de autenticación de los usuarios, servidores de acceso remoto, puertas de enlace de VPN yotros recursos.

Para más información acerca de la autenticación por RADIUS, vea Como la autenticación del servidorRADIUS funciona en la página 230.

Clave de autenticación

Los mensajes de autenticación hacia y desde el servidor RADIUS usan una clave de autenticación, no unacontraseña. Esa clave de autenticación, o shared secret, debe ser la misma en el cliente y servidor RADIUS.Sin esa clave, no puede haber comunicación entre cliente y servidor.

Los métodos de autenticación de RADIUS

Para autenticación por web y Mobile VPN with IPSec o SSL, RADIUS soporta solamente la autenticación PAP(siglas en inglés para Protocolo de Autenticación por Contraseña).

Para autenticación con PPTP, RADIUS soporta sólo MSCHAPv2 ( Protocolo de autenticación por desafíomutuo de Microsoft versión 2).

Antes de empezar

Antes de configurar su dispositivo WatchGuard para usar el servidor de autenticación RADIUS, es necesariotener esta información:

n Servidor RADIUS principal — dirección IP y puerto RADIUSn Servidor RADIUS secundario (opcional) — dirección IP y puerto RADIUSn Secreto compartido — Contraseña que distingue mayúsculas de minúsculas, que sea igual en el

dispositivo WatchGuard y en el servidor RADIUSn Métodos de autenticación — Defina su servidor RADIUS para permitir el método de autenticación

que su dispositivo WatchGuard utiliza: PAP o MS CHAP v2

Usar la autenticación por servidor RADIUS con su dispositivoWatchGuard

Para usar la autenticación por servidor RADIUS con su dispositivo WatchGuard, debe:

n Agregar la dirección IP del dispositivo WatchGuard al servidor RADIUS, tal como se describe en ladocumentación de su proveedor RADIUS.

n Activar y especificar el servidor RADIUS en la configuración de su dispositivo WatchGuard.n Agregar nombres de usuario o nombres de grupo RADIUS a sus políticas.

Para activar y especificar el(los) servidor(es) RADIUS en su configuración:

En Fireware XTMWeb UI:

1. Seleccione Servidores >de autenticación.Aparece la página "Servidores de autenticación".

2. Haga clic en la pestaña servidor RADIUS.

Autenticación


Autenticación


3. Para activar el servidor RADIUS y activar los campos en este cuadro de diálogo, seleccione la casillade verificación Activar servidor .

4. En el cuadro de texto Dirección IP, ingrese la dirección IP del servidor RADIUS.5. En el campo Puerto, asegúrese de que aparezca el número de puerto que RADIUS usa para

autenticación. El número de puerto predeterminado es 1812. Los servidores RADIUS más antiguospueden usar puerto 1645.

6. En el frase de contraseña secreta , ingrese el secreto compartido entre el dispositivo WatchGuard yel servidor RADIUS.El secreto compartido distingue mayúsculas de minúsculas, y debe ser igual en el dispositivoWatchGuard y en el servidor RADIUS.

7. En el cuadro de texto ConfirmarFrase de contraseña, ingrese el secreto compartido nuevamente.8. Ingrese o seleccione el valor de tiempo de espera.

El valor de tiempo de espera es el período de tiempo que el dispositivo WatchGuard espera larespuesta del servidor de autenticación antes de intentar establecer una nueva conexión.

9. En el cuadro de texto Reintentos, inserte o seleccione el número de veces que el dispositivoWatchGuard intenta conectarse al servidor de autenticación (el tiempo de espera está especificadoarriba) antes de reportar una conexión fallida por un intento de autenticación.

10. En el cuadro de texto atributo Grupo, ingrese o seleccione un valor del atributo. El atributo Grupopredeterminado es FilterID, que es el atributo 11 de RADIUS.

El valor del atributo Grupo es usado para definir el atributo que lleva la información de grupo deusuarios. Debe configurar el servidor RADIUS para que incluya la cadena FilterID en el mensaje deautenticación de usuario que envía al dispositivo WatchGuard. Por ejemplo, ingenieroGrupo ofinanzaGrupo. Esa información luego es utilizada para control de acceso. El dispositivo WatchGuardhace coincidir la cadena de FilterID con el nombre de grupo configurado en las políticas deldispositivo WatchGuard.

11. En el cuadro de texto Tiempo muerto , ingrese o seleccione el período de tiempo a partir del cualun servidor inactivo queda marcado como activo nuevamente. Seleccione minutos o horas de lalista desplegable al lado para alterar la duración.

Después que un servidor de autenticación no haya respondido por un período de tiempo, éstequeda marcado como inactivo. Este servidor no realizará intentos seguidos de autenticación hastaque esté marcado como activo nuevamente.

12. Para agregar un servidor RADIUS de resguardo, seleccione la pestaña Configuración del servidorsecundario y seleccione .Activar servidor RADIUS secundario .

13. Repetir los pasos 4 - 11 para agregar la información en los campos requeridos. Asegúrese de que elsecreto compartido sea el mismo en el servidor RADIUS principal y de resguardo.

Para más informaciones, vea Use un servidor de autenticación de resguardo en la página 222.


Como la autenticación del servidor RADIUS funciona

RADIUS es un protocolo que fue diseñado originalmente para autenticar usuarios remotos en un servidorde acceso por marcado. RADIUS ahora es usado en una amplia gama de ambientes de autenticación.RADIUS es un protocolo cliente-servidor, en el cual Firebox es el cliente y el servidor RADIUS es el servidor.(El cliente RADIUS a veces es denominado Servidor de Acceso a la Red, o NAS en sus siglas en inglés).Cuando un usuario intenta autenticarse, Firebox envía un mensaje al servidor RADIUS. Si el servidor RADIUSestá configurado adecuadamente para que Firebox sea un cliente, RADIUS envía un mensaje de aceptar orechazar al Firebox (el Servidor de Acceso de Red).

Cuando Firebox usa el RADIUS para un intento de autenticación:

1. El usuario intenta autenticarse, sea a través de una conexión de HTTPS por el explorador al Fireboxpor el puerto 4100 o a través de una conexión usando Mobile VPN with PPTP o IPSec. Firebox lee elnombre de usuario y contraseña.

2. Firebox crea un mensaje llamado mensajes Acceso-Solicitar y lo envía al servidor RADIUS. Fireboxusa el secreto compartido de RADIUS en el mensaje. La contraseña siempre está cifrada en elmensaje Acceso-Solicitar.

3. El servidor RADIUS se asegura de que el mensaje Acceso-Solicitar sea de un cliente conocido (elFirebox). Si el servidor RADIUS no está configurado para aceptar Firebox como cliente, el servidorrechaza el mensaje Acceso-Solicitar y no retorna el mensaje.

4. Si Firebox es un cliente conocido del servidor RADIUS y el secreto compartido está correcto, elservidor encuentra el método solicitado de autenticación en el mensaje Acceso-Solicitar.

Autenticación


Autenticación


5. Si el mensaje Acceso-Solicitar usa un método de autenticación permitido, el servidor RADIUSobtiene las credenciales de usuarios en el mensaje y busca una coincidencia en una base de datosde usuarios. Si el nombre de usuario y contraseña coinciden con una entrada de la base de datos, elservidor RADIUS puede obtener información adicional acerca del usuario en la base de datos deusuarios (tal como la aprobación de acceso remoto, membresía de grupo, horas de conexión, etc.)

6. El servidor RADIUS verifica si tiene una política de acceso o un perfil en su configuración quecoincida con todas las informaciones disponibles sobre el usuario. Caso exista tal política, el servidorenvía una respuesta.

7. Si falla cualquiera de las condiciones anteriores, o si el servidor RADIUS no tiene una política quecoincida, envía un mensaje de Acceso-Rechazar que muestra la falla de autenticación. La transacciónde RADIUS termina y el usuario tiene el acceso negado.

8. Si el mensaje Acceso-Solicitar cumple con todas las condiciones anteriores, RADIUS envía unmensaje Acceso-Aceptar a Firebox.

9. El servidor RADIUS usa el secreto compartido para cualquier respuesta que envía. Si el secretocompartido no coincide, Firebox rechaza la respuesta de RADIUS.

10. Firebox lee el valor de cualquier atributo FilterID en el mensaje. Conecta el nombre de usuario conel atributo FilterID para poner el usuario en un grupo RADIUS.

11. El servidor RADIUS puede incluir grandes volúmenes de información adicional en el mensajeAcceso-Aceptar. Firebox ignora gran parte de esa información, como los protocolos que el usuarioestá permitido usar (como PPP o SLIP), los puertos a los que el usuario puede acceder, tiempo deespera de inactividad y otros atributos.

12. El único atributo que Firebox busca en el mensaje Acceso-Aceptar es el atributo FilterID (atributoRADIUS número 11). El FilterID es una cadena de texto que se configura el servidor RADIUS paraincluir en el mensaje Acceso-Aceptar. Ese atributo es necesario para que Firebox asigne el usuario aun grupo RADIUS.

Para obtener más informaciones sobre grupos RADIUS, vea la siguiente sección.

Acerca de los grupos RADIUS

Al configurar la autenticación RADIUS, puede definir el número del atributo Grupo. Fireware XTM lee elnúmero del atributo Grupo en Fireware XTMWeb UI para decir qué atributo RADIUS lleva la informaciónde grupo RADIUS. Fireware XTM reconoce sólo el atributo RADIUS número 11, FilterID, como atributoGrupo. Al configurar el servidor de RADIUS, no altere el valor predeterminado en 11 del número delatributo de Grupo.

Cuando Firebox recibe el mensaje de Acceso-Aceptar de RADIUS, lee el valor del atributo FilterID y usa esevalor para asociar el usuario a un grupo RADIUS. (Debe configurar el FilterID manualmente en suconfiguración de RADIUS.) Por lo tanto, el valor del atributo FilterIP es el nombre del grupo RADIUS dondeel Firebox pone el usuario.

Los grupos RADIUS que usa en Fireware XTM Web UI no son los mismos que los grupos Windows definidosen su controlador de dominio o cualquier otro grupo existente en su base de datos de usuarios de dominio.Un grupo RADIUS es sólo un grupo lógico de usuarios utilizado por Firebox. Asegúrese de que la cadena detexto FilterID esté seleccionada. Puede hacer que el valor de FilterID coincida con el nombre de un grupolocal o grupo de dominio en su organización, pero eso no es necesario. Recomendamos que use un nombredescriptivo que lo ayude a recordar cómo definió sus grupos de usuarios.

Utilización práctica de grupos RADIUS

Si su organización tiene muchos usuarios que autenticar, puede facilitar la administración de sus políticas deFirebox al configurar el RADIUS para que envíe el valor FilterID a muchos usuarios. Firebox pone a todos losusuarios en un grupo lógico para que sea fácil administrar el acceso de los usuarios. Cuando crea unapolítica en Fireware XTMWeb UI que permita que sólo usuarios autenticados accedan a un recurso de red,se usa el nombre de grupo RADIUS en vez de agregar una lista de varios usuarios individuales.

Por ejemplo, cuando María se autentica, la cadena FilterID que RADIUS envía es Ventas, así que Fireboxpone aMaría en el grupo RADIUS de Ventaspor el tiempo que ella esté autenticada. Si los usuarios Juan yAlicia se autentican concomitantemente, y RADIUS pone el mismo valor FilterID Ventas en los mensajesAcceso-Aceptar para Juan y Alicia, entonces, María, Juan y Alicia están todos en el mismo grupo Ventas.Puede crear una política en Fireware XTM Web UI que permita al grupo Ventas acceder a un recurso.

Puede configurar RADIUS para enviar resultados de un FilterID diferente, tal como Soporte de TI, para losmiembros de su organización de soporte interno. También puede crear una política diferente para permitirque los usuarios de Soporte de TI accedan a recursos.

Por ejemplo, puede permitir que el grupo Ventas acceda a Internet usando una política de HTTP filtrada.También puede filtrar su acceso web con WebBlocker. Una política diferente en el Policy Manager puedepermitir que los usuarios de Soporte de TI accedan a Internet con la política de HTTP no filtrada, para quepuedan acceder a Internet sin el filtro de WebBlocker. Use el nombre del grupo RADIUS (o nombres deusuario) en el campo De de un política para mostrar cuáles grupos (o cuáles usuarios) pueden usar lapolítica.

Valores de tiempo de espera y reintentos.

Ocurre una falla de autenticación cuando no se recibe respuesta del servidor RADIUS principal. Después detres intentos fallidos de autenticación, el Fireware XTM usa el servidor RADIUS secundario. Ese proceso sedenomina conmutación por error.

Nota Ese número de intentos de autenticación no es el mismo que el número dereintentos. No es posible alterar el número de intentos de autenticación antes queocurra la conmutación por error.

Firebox envía un mensaje Acceso-Solicitar al primer servidor RADIUS en la lista. Si no hay respuesta, Fireboxespera el número de segundos definido en el cuadro Tiempo de espera y entonces envía otro Acceso-Solicitar. Eso continúa por el número de veces indicado en el cuadro Reintento (o hasta que haya unarespuesta válida). Si no hay una respuesta válida del servidor RADIUS, o si el secreto compartido de RADIUSno coincide, Fireware XTM lo considera un intento fallido de autenticación.

Después de tres intentos fallidos de autenticación, Fireware XTM usa el servidor RADIUS secundario para elsiguiente intento de autenticación. Si el servidor secundario tampoco logra contestar después de tresintentos de autenticación, Fireware XTM espera diez minutos para que el administrador corrija el problema.Después de diez minutos, Fireware XTM intenta usar el servidor RADIUS principal nuevamente.

Autenticación


Autenticación


Configurado autenticación de servidor VASCOLa autenticación por el servidor VASCO usa el software VACMAN Middleware para autenticar usuariosremotos a una red empresarial a través de un ambiente de servidor web o RADIUS. VASCO también soportamúltiples ambientes de servidor de autenticación. El sistema por token de contraseña única de VASCOpermite eliminar el enlace más débil de su infraestructura de seguridad - el uso de contraseñas estáticas.

Para usar la autenticación por servidor VASCO con su dispositivo WatchGuard, debe:

n Agregar la dirección IP del dispositivo WatchGuard al VACMAN Middleware Server, tal como sedescribe en la documentación de su proveedor VASCO.

n Activar y especificar el VACMAN Middleware Server en la configuración de su dispositivoWatchGuard.

n Agregar nombres de usuario y de grupo a las políticas en el Policy Manager.

La autenticación por servidor VASCO es configurada usando las configuraciones del servidor RADIUS. Elcuadro de diálogo Servidores de autenticación no tiene una pestaña separada para servidores VACMANMiddleware Server.



2. Haga clic en la pestaña RADIUS.

3. Para activar el VACMAN Middleware Server y activar los campos en ese cuadro de diálogo,seleccione la casilla de verificación Servidor.

4. En el cuadro de texto Dirección IP, ingrese la dirección IP del VACMAN Middleware Server.5. En el cuadro de texto Puerto, asegúrese de que apareza el número de puerto que VASCO usa para

autenticación. El número de puerto predeterminado es 1812.6. En el cuadro de texto frase de contraseña secreta , inserte el secreto compartido entre el

dispositivo WatchGuard y el VACMAN Middleware Server.

El secreto compartido distingue mayúsculas de minúsculas, y debe ser igual en el dispositivoWatchGuard y en el servidor.

7. En el cuadro de texto Confirmar , ingrese el secreto compartido nuevamente.8. En el cuadro de texto Tiempo de espera, inserte o seleccione el período de tiempo que el

dispositivo WatchGuard espera la respuesta del servidor de autenticación antes de intentarestablecer una nueva conexión.

9. En el cuadro de texto Reintentos , ingrese o seleccione el número de veces que el dispositivoWatchGuard intenta conectarse al servidor de autenticación antes de reportar un error de conexiónpor un intento de autenticación.

10. Ingrese o seleccione el valor del atributo Grupo. El atributo Grupo predeterminado es FilterID, quees el atributo 11 de VASCO.

El valor del atributo Grupo es usado para definir cuál atributo lleva la información de grupo deusuarios. Debe configurar el servidor VASCO para que incluya la cadena FilterID en el mensaje deautenticación de usuario que envía al dispositivo WatchGuard. Por ejemplo, ingenieroGrupo ofinanzaGrupo. Esa información luego es utilizada para control de acceso. El dispositivo WatchGuardhace coincidir la cadena de FilterID con el nombre de grupo configurado en las políticas deldispositivo WatchGuard.

11. En el cuadro de texto Tiempo muerto , ingrese o seleccione el período de tiempo a partir del cualun servidor inactivo queda marcado como activo nuevamente. Seleccione minutos o horas de lalista desplegable al lado para alterar la duración.

Después que un servidor de autenticación no haya respondido por un período de tiempo, éstequeda marcado como inactivo. Intentos seguidos de autenticación, no intente conectarse a esteservidor hasta que esté marcado como activo nuevamente.

12. Para agregar un VACMAN Middleware Server de resguardo, seleccione la pestaña Configuracionesde Servidor Secundario, y seleccione Activar servidor RADIUS secundario .

13. Repetir los pasos 4 - 11 para agregar la información en los campos requeridos. Asegúrese de que elsecreto compartido sea el mismo en el VACMAN Middleware Server principal y de resguardo.



Configurar autenticación SecurIDPara usar autenticación por SecurID, debe configurar correctamente los servidores RADIUS, VASCO yACE/Server. Los usuarios también deben tener un token y un PIN (número de identificación personal) deSecurID. Consulte la documentación de SecurID RSA para obtener más información.


Autenticación


Autenticación



2. Haga clic en la pestaña SecurID.

3. Seleccione Activar SecurID Server casilla de verificación para activar el servidor SecurID y activar loscampos en ese cuadro de diálogo.

4. En el cuadro de texto Dirección IP, ingrese la dirección IP del servidor SecurID.5. Haga clic en el campo Puerto para subir o bajar, hasta definir el número de puerto para usar en la

autenticación de SecurID.El número predeterminado es 1812.

6. En el frases de contraseña cuadro de texto, ingrese el secreto compartido entre el dispositivoWatchGuard y el servidor SecurID. El secreto compartido distingue mayúsculas de minúsculas, ydebe ser igual en el dispositivo WatchGuard y en el servidor SecurID.

7. En el cuadro de texto Confirmar , ingrese nuevamente el secreto compartido.8. En el cuadro de texto Tiempo de espera, inserte o seleccione el período de tiempo que el

dispositivo WatchGuard espera la respuesta del servidor de autenticación antes de intentarestablecer una nueva conexión.

9. En el Reintentos , inserte o seleccione el número de veces que el dispositivo WatchGuard intentaconectarse al servidor de autenticación antes de reportar una conexión fallida por un intento deautenticación.

10. En el cuadro de texto atributo Grupo , ingrese o seleccione un valor del atributo Grupo.Recomendamos que no altere ese valor.

El valor del atributo Grupo es usado para definir el atributo que lleva la información de grupo deusuarios. Cuando el servidor SecurID envía un mensaje al dispositivo WatchGuard al cual el usuarioestá autenticado, también envía una cadena de grupo de usuarios. Por ejemplo, ingenieroGrupo ofinanzaGrupo. Esa información luego es utilizada para control de acceso.

11. En el cuadro de texto Tiempo muerto , ingrese o seleccione el período de tiempo a partir del cualun servidor inactivo queda marcado como activo nuevamente. Seleccione minutos o horas en lalista desplegable al lado para determinar la duración.

Después que un servidor de autenticación no haya respondido por un período de tiempo, éstequeda marcado como inactivo. Intentos seguidos de autenticación, no use este servidor hasta queesté marcado como activo nuevamente, después que se alcance el valor del tiempo muerto.

12. Para agregar un servidor SecurID de resguardo, seleccione la pestaña Configuración del servidorsecundario y seleccione Activar un servidor SecurID secundario.Server .

13. Repetir los pasos 4 - 11 para agregar la información en los campos requeridos. Asegúrese de que elsecreto compartido sea el mismo en el servidor SecurID principal y de resguardo.


14. Haga clic en OKGuardar.

Configurar autenticación LDAPPuede usar un servidor de autenticación por LDAP (Protocolo de Acceso Liviano al Directorio) paraautenticar los usuarios con el dispositivo WatchGuard. El LDAP es un protocolo abierto para usar serviciosde directorio online, y opera con los protocolos de transferencia de Internet, tal como el TCP. Antes deconfigurar su dispositivo WatchGuard para la autenticación de LDAP, asegúrese de verificar ladocumentación de su proveedor de LDAP para ver si su instalación soporta el atributomemberOf (oequivalente).



2. Haga clic en la pestaña LDAP .

Autenticación


Autenticación


3. Seleccionar la casilla de verificación Activar LDAPServer para activar el servidor de LDAP y activarlos campos en ese cuadro de diálogo.

4. En el cuadro de texto Dirección IP, ingrese la dirección IP del servidor de LDAP principal a la cual eldispositivo WatchGuard debe contactarse para solicitudes de autenticación.El servidor de LDAP puede estar ubicado en cualquier interfaz del dispositivo WatchGuard. Tambiénpuede configurar su dispositivo para usar un servidor de LDAP en una red remota a través de untúnel VPN.

5. En el cuadro de texto Puerto, seleccione el número del puerto TCP para ser usado por el dispositivoWatchGuard para conectar con el servidor de LDAP. El número de puerto predeterminado es 389.LDAP por TLS no está soportado.

6. En el cuadro de texto Base de búsqueda , ingrese las configuraciones de base de búsqueda.

El formato estándar es: ou=unidad organizacional,dc=primera parte del nombre de distinción delservidor,dc=cualquier parte del nombre de distinción del servidor que aparece después del punto.

Se determina una base de búsqueda para imponer límites a los directorios en el servidor deautenticación en los que el dispositivo WatchGuard busca para que haya una coincidencia deautenticación. Por ejemplo, si las cuentas de usuario están en una OU (unidad organizativa) a la quese refiere como cuentas y el domain name es ejemplo.com, su base de búsqueda es:ou=cuentas,dc=ejemplo,dc=com

7. En el cuadro de texto Cadena de grupo , ingrese el atributo de cadena de grupo.

Esa cadena de atributos contiene datos de grupo de usuarios en el servidor de LDAP. En muchosservidores de LDAP, la cadena predeterminada de grupo es uniqueMember, en otros servidores esmember.

8. En el cuadro de texto DN del usuario de búsqueda , inserte el Nombre de Distinción (DN) para unaoperación de búsqueda.

Puede usar cualquier DN de usuario con el privilegio de búsqueda en el LDAP/Active Directory,como un Administrador. Algunos administradores crean un nuevo usuario que sólo tiene privilegiosde búsqueda para usar en ese campo.

9. En el cuadro de texto Contraseña de usuario de búsqueda , inserte el nombre de distinción (DN)para una operación de búsqueda.

10. En el cuadro de texto Atributo de inicio de sesión, en la lista desplegable, seleccione un atributo deinicio de sesión de LDAP para ser usado para autenticación.

El atributo de inicio de sesión es el nombre usado para vincular a la base de datos de LDAP. Elatributo de inicio de sesión predeterminado es uid. Si usa uid, el campo DN de usuario buscando yel campo Contraseña de Usuario buscando pueden estar vacíos.

11. En el cuadro de texto Tiempo muerto, ingrese o seleccione el período de tiempo a partir del cualun servidor inactivo esté marcado como activo nuevamente. Seleccione minutos o horas en la listadesplegable al lado para determinar la duración.

Después que un servidor de autenticación no haya respondido por un período de tiempo, éstequeda marcado como inactivo. Intentos seguidos de autenticación, no intente con este servidorhasta que esté marcado como activo nuevamente.

12. Para agregar un servidor de LDAP de resguardo, seleccione la pestaña Configuraciones de Servidorde Resguardo, y seleccione Activar un servidor de LDAP secundario .

13. Repetir los pasos 4 - 11 para agregar la información en los campos requeridos. Asegúrese de que elsecreto compartido sea el mismo en el servidor de LDAP principal y de resguardo.



Acerca de las configuraciones opcionales de LDAP

El Fireware XTM puede obtener información adicional del servidor del directorio (LDAP o Active Directory)cuando lee la lista de atributos en la respuesta de búsqueda del servidor. Eso permite usar el servidor deldirectorio para asignar parámetros adicionales a las sesiones de usuarios autenticados, tal como los tiemposde espera y asignaciones de dirección de Mobile VPN con IPSec. Como los datos provienen de atributos deLDAP asociados a objetos de usuarios individuales, uno no está limitado a las configuraciones globales en elFireware XTMWeb UI. Se puede determinar esos parámetros para cada usuario individual.

Paramás informaciones, veaUsar las configuracionesopcionesdeActiveDirectory o deLDAP en lapágina243.

Autenticación


Autenticación


Configurar autenticación en Active DirectoryEl Active Directory es una aplicación de Microsoft, basada en Windows, de una estructura de directorio deLDAP. El Active Directory le permite expandir el concepto de jerarquía usado en el DNS hacia un nivelorganizativo. Mantiene la información y configuración de una organización en una base de datos central yde fácil acceso.

Puede usar un servidor de Active Directory Authentication para que los usuarios puedan autenticar eldispositivo WatchGuard con sus credenciales actuales de red. Debe configurar el dispositivo y el ActiveDirectory Server.

Antes de empezar, asegúrese de que sus usuarios puedan autenticarse con éxito en el Active DirectoryServer.



2. Haga clic en la pestaña Active Directory.

3. Seleccione la casilla Activar Active Directory .4. En el campo dirección IP, ingrese la dirección IP del Active Directory Server principal.

El Active Directory Server puede estar ubicado en cualquier interfaz del dispositivo WatchGuard.También es posible configurar el dispositivo para usar un Active Directory Server disponible a travésde un túnel VPN.

5. En el cuadro de texto Puerto , ingrese o seleccione el número de puerto de TCP a ser usado por eldispositivo para conectarse al Active Directory Server. El número de puerto predeterminado es 389.

Si su Active Directory Server es un servidor de catálogo global, puede ser útil alterar el puertopredeterminado. Para más informaciones, vea Alterar el puerto predeterminado de Active DirectoryServer en la página 242.

6. En el cuadro de texto Base de búsqueda, inserte la ubicación en el directorio para empezar labúsqueda.

El formato estándar para la configuración de base de búsqueda es: ou=<name of organizationalunit>,dc=<first part of the distinguished server name>,dc=<any part of the distinguished servername that appears after the dot>.

Se determina una base de búsqueda para poner límites en los directorios en el servidor deautenticación en los que el dispositivo WatchGuard busca para que haya una coincidencia deautenticación. Recomendamos que determine la base de búsqueda en la raíz del dominio. Esopermite encontrar todos los usuarios y grupos a los que pertenecen los mismos.

Para más informaciones, vea Encuentre su base de búsqueda del Active Directory en la página 241.

7. En el cuadro de texto Cadena de Grupo, inserte la cadena de atributos usada para mantener lainformación del grupo usuario en el Active Directory Server. Si no cambió su esquema de ActiveDirectory, la cadena de grupo siempre es memberOf.

8. En el cuadro de texto DN del usuario de búsqueda , inserte el Nombre de Distinción (DN) para unaoperación de búsqueda.

No es necesario insertar nada en este cuadro de texto si mantiene el atributo de inicio de sesión desAMAccountName. Si altera el atributo del inicio de sesión, debe agregar un valor en el campoDN delusuario de búsqueda para su configuración. Puede usar cualquier DN de usuario con el privilegio debúsqueda en el Active Directory/LDAP, como un Administrador. No obstante, un DN de usuario másdébil, sólo con un privilegio de búsqueda, suele ser suficiente.

9. En el cuadro de texto Contraseña de usuario de búsqueda , inserte el nombre de distinción (DN)para una operación de búsqueda.

10. En el atributo de inicio de sesión lista desplegable, seleccione un atributo de inicio de sesión deActive Directory para ser usado para autenticación.

El atributo de inicio de sesión es el nombre usado para vincular a la base de datos del ActiveDirectory. El atributo de inicio de sesión predeterminado es sAMAccountName. Si usa elsAMAccountName, el campoDN de usuario de búsqueda y el campo Contraseña de usuario debúsqueda pueden estar vacíos.

11. En el cuadro de texto Tiempo muerto, ingrese o seleccione una hora a partir de la cual un servidorinactivo esté marcado como activo nuevamente. Seleccione minutos o horas en la lista desplegableal lado para determinar la duración.

Después que un servidor de autenticación no haya respondido por un período de tiempo, éstequeda marcado como inactivo. Intentos seguidos de autenticación, no intente con este servidorhasta que esté marcado como activo nuevamente.

Autenticación


Autenticación


12. Para agregar un Active Directory Server de resguardo, seleccione la pestaña Configuración deservidor de resguardo y seleccione la casilla Activar Active Directory Server secundario.

13. Repetir los pasos 4 - 11 para agregar la información en los campos requeridos. Asegúrese de que elsecreto compartido sea el mismo en el Active Directory Server principal y de resguardo.



Sobre la configuración opcional del Active Directory

El Fireware XTM puede obtener información adicional del servidor del directorio (LDAP o Active Directory)cuando lee la lista de atributos en la respuesta de búsqueda del servidor. Eso permite usar el servidor deldirectorio para asignar parámetros adicionales a las sesiones de usuarios autenticados, tal como los tiemposde espera y asignaciones de dirección de Mobile VPN con IPSec. Como los datos provienen de atributos deLDAP asociados a objetos de usuarios individuales, uno no está limitado a las configuraciones globales en elFireware XTMWeb UI. Se puede determinar esos parámetros para cada usuario individual.

Paramás informaciones, veaUsar las configuracionesopcionesdeActiveDirectory o deLDAP en lapágina243.

Encuentre su base de búsqueda del Active Directory

Al configurar el dispositivo WatchGuard para autenticar usuarios con su Active Directory Server, se agregauna base de búsqueda. La base de búsqueda es el lugar por donde la búsqueda empieza en la estructurajerárquica del Active Directory para las entradas de cuenta de usuario. Eso puede ayudar a apurar elprocedimiento de autenticación.

Antes de empezar, debe tener un Active Directory Server operativo que contenga los datos de cuenta detodos los usuarios para los cuales desea configurar autenticación en el dispositivo WatchGuard.

En su Active Directory Server:

1. Seleccione Inicio> Herramientas administrativas >Usuarios y equipos de Active Directory.2. En el árbol Usuarios y equipos de Active Directory, encuentre y seleccione su domain name.3. Expanda el árbol para encontrar una ruta en la jerarquía de Active Directory.

Los componentes del domain name tienen el formato dc=componente de domain name, estánincluidos al final de la cadena de base de búsqueda y están separados por comas.

Para cada nivel del domain name, debe incluir un componente de domain name separado en subase de búsqueda de Active Directory. Por ejemplo, si su domain name es prefijo.ejemplo.com, elcomponente del domain name en su base de búsqueda es DC=prefijo,DC=ejemplo,DC=com.

Por ejemplo, si su domain name en el árbol se parece a este después de expandirlo:

La cadena de la base de búsqueda que agregar a la configuración de Firebox es:

DC=kunstlerandsons,DC=com

La cadena de búsqueda no distingue mayúsculas de minúsculas. Cuando ingresa su cadena de búsqueda,puede usar letras mayúsculas o minúsculas.

Campos DN del usuario de búsqueda y Contraseña del usuario debúsqueda

Debe rellenar estos campos sólo si seleccionó una opción para el Atributo de inicio de sesión que seadiferente del valor predeterminado, sAMAccountName. La mayoría de las organizaciones que usa ActiveDirectory no lo cambia. Cuando deja ese campo en el valor predeterminado sAMAccountName, losusuarios proveen sus nombres usuales de inicio de sesión en Active Directory como nombres de usuariospara autenticar. Ese es el nombre que encuentra en el cuadro de texto Nombre de usuario para inicio desesión en la pestaña Cuenta, cuando edita la cuenta de usuario en Usuarios y equipos de Active Directory.

Si usa un valor diferente para Atributo de inicio de sesión, el usuario que intente autenticarse da unformato diferente del nombre de usuario. En ese caso, debe agregar Credenciales de usuario de búsqueda ala configuración de su Firebox.

Alterar el puerto predeterminado de Active Directory Server

Si su dispositivo WatchGuard está configurado para autenticar usuarios con servidor de Active DirectoryAuthentication (AD), él se conecta por defecto al Active Directory Server en el puerto LDAP estándar, quees el puerto TCP 389. Si los servidores de Active Directory que agrega a su configuración del dispositivo WatchGuard están configurados como servidores de catálogo global de Active Directory, puede solicitar aldispositivo WatchGuard que use el puerto de catálogo global - puerto TCP 3268 - para conectarse al ActiveDirectory Server.

Un servidor de catálogo global es un controlador de dominio que almacena informaciones sobre todos losobjetos en el bosque. Eso permite que las aplicaciones busquen en el Active Directory, pero sin tener quereferirse a controladores de dominio específicos que almacenan los datos solicitados. Si tiene sólo undominio, Microsoft recomienda que configure todos los controladores de dominio como servidores decatálogo global.

Si el Active Directory Server principal o secundario usado en su configuración del dispositivo WatchGuardtambién está configurado como un servidor de catálogo global, puede cambiar el puerto utilizado por eldispositivo WatchGuard para conectarse al Active Directory Server para aumentar la velocidad de lassolicitudes de autenticación. No obstante, no recomendamos la creación de servidores de catálogo globalde Active Directory adicionales sólo para aumentar la velocidad de las solicitudes de autenticación. Lareplicación que ocurre entre múltiples servidores de catálogo global puede usar bastante ancho de bandade su red.

Configurar el Firebox para que use el puerto de catálogo global


2. Seleccione la pestaña Active Directory.3. En el cuadro de texto Puerto, limpie los contenidos e inserte 3268.4. Haga clic Guardar.

Autenticación


Autenticación


Descubra si su Active Directory Server está configurado como servidorde catálogo global

1. Seleccione Inicio> Herramientas administrativas >Sitios y servicios de Active Directory.2. Expanda el árbol de sitios y encuentre el nombre de su Active Directory Server.3. Haga clic con el botón derecho en Configuraciones NTDS para el Active Directory Server y

seleccione Propiedades.

Si la casilla de verificación Catálogo Global está seleccionada, el Active Directory Server estáconfigurado para ser un catálogo global.

Usar las configuraciones opciones de ActiveDirectory o de LDAPCuando el Fireware XTM contacta el servidor de directorio (Active Directory o LDAP) para buscarinformación, puede obtener información adicional en la lista de atributos en la respuesta de búsquedaenviada por el servidor. Eso le permite usar el servidor del directorio para asignar parámetros adicionales ala sesión de usuario autenticado, tales como los tiempos de espera y asignaciones de dirección de MobileVPN. Como los datos provienen de atributos de LDAP asociados a objetos de usuarios individuales, puededefinir esos parámetros para cada usuario individual, sin limitarse a las configuraciones globales en FirewareXTMWeb UI.

Antes de empezar

Para usar esas configuraciones opcionales es necesario:

n Ampliar el esquema de directorio para agregar nuevos atributos para esos elementos.n Hacer que los nuevos atributos estén disponibles para la clase de objeto a la que pertenecen las

cuentas de usuario.n Otorgar valores a los atributos para los objetos de usuario que deberían usarlos.

Asegurarse de planear y probar cuidadosamente su esquema de directorio antes de ampliarlo a susdirectorios. Las adiciones al esquema de Active Directory, por ejemplo, generalmente son permanentes yno se puede deshacerlas. Use el sitio web de Microsoft para obtener recursos para planear, probar eimplementar cambios a un esquema de Active Directory. Consulte la documentación de su proveedor deLDAP antes de ampliar el esquema a otros directorios.

Especificar Configuraciones opcionales de LDAP o ActiveDirectory

Para especificar los atributos adicionales, Fireware XTM busca en la respuesta de búsqueda del servidor dedirectorio:


2. Haga clic en la pestaña LDAP o en Active Directory y asegúrese de que el servidor está activado.

Autenticación


Autenticación


3. Haga clic en Configuraciones opcionales.Aparecen las configuraciones opcionales del servidor página .

4. Ingrese los atributos que desea incluir en la búsqueda del directorio en los campos de cadenas.

Cadena de atributos de IP

Ese campo se aplica solamente a clientes deMobile VPN.

Ingrese el nombre del atributo para que Fireware XTM lo use para asignar una dirección IPvirtual al cliente de Mobile VPN. Debe ser un atributo de valor único y una dirección IP enformato decimal. La dirección IP debe estar dentro del grupo de direcciones IP virtuales queson especificadas en la creación del Grupo de Mobile VPN.

Si Firebox no encuentra el atributo de IP en el resultado de búsqueda, o si no se especifica unatributo en Fireware XTMWeb UI, él asigna una dirección IP virtual al cliente de Mobile VPN apartir del grupo de direcciones IP virtuales creadas con el Grupo de Mobile VPN.

Cadena de atributos de máscara de red


Ingrese el nombre del atributo para que Fireware XTM lo use para asignar una Subnet Mask a ladirección IP virtual del cliente de Mobile VPN. Debe ser un atributo de valor único y una SubnetMask en formato decimal.

El software de Mobile VPN asigna automáticamente una máscara de red si el Firebox noencuentra el atributo de máscara de red en el resultado de búsqueda, o si no especifica uno enFireware XTMWeb UI.

Cadena de atributos de DNS

Autenticación


Autenticación



Ingrese el nombre del atributo que Fireware XTM usa para asignar una o más direcciones deDNS al cliente de Mobile VPN para el período de duración de la sesión de Mobile VPN. Esopuede ser un atributo de múltiples valores y debe ser una dirección IP decimal normal conpuntos. Si Firebox no encuentra el atributo de DNS en el resultado de búsqueda, o si no seespecifica un atributo en Fireware XTMWeb UI, él usa las direcciones WINS insertadas cuandoConfigurado servidores WINS y DNS..

Cadena de atributos deWINS


Ingrese el nombre del atributo que Fireware XTM debería usar para asignar una o másdirecciones WINS al cliente de Mobile VPN para el período de duración de la sesión de MobileVPN. Eso puede ser un atributo de múltiples valores y debe ser una dirección IP decimalnormal con puntos. Si Firebox no encuentra el atributo de WINS en el resultado de búsqueda, osi no se especifica un atributo en Fireware XTMWeb UI, él usa las direcciones WINS insertadascuando Configurado servidores WINS y DNS..

Cadena de atributos de tiempo de concesión

Eso se aplica a los clientes deMobile VPN y a clientes que usan autenticación por firewall.

Ingrese el nombre del atributo para que Fireware XTM use para controlar la duración máximaque un usuario puede permanecer autenticado (tiempo de espera de sesión). Después de eseperíodo de tiempo, el usuario es removido de la lista de usuarios autenticados. Debe ser unatributo de valor único. Fireware XTM interpreta el valor del atributo como un número decimalde segundos. Interpreta un valor cero como nunca se agota el tiempo de espera.

Cadena de atributos de tiempo de espera inactivo

Eso se aplica a los clientes deMobile VPN y a clientes que usan autenticación por firewall.

Ingrese el nombre del atributo que Fireware XTM usa para controlar el período de tiempo queun usuario puede permanecer autenticado cuando no se transmite tráfico hacia el Fireboxdesde el usuario (tiempo de espera inactivo). Si no se envía tráfico al dispositivo por eseperíodo de tiempo, el usuario es removido de la lista de usuarios autenticados. Debe ser unatributo de valor único. Fireware XTM interpreta el valor del atributo como un número decimalde segundos. Interpreta un valor cero como nunca se agota el tiempo de espera.

5. Haga clic en Guardar.Configuraciones de atributos guardadas.

Use una cuenta de usuario local paraautenticaciónCualquier usuario puede autenticarse como usuario de Firewall, usuario de PPTP, o usuario de Mobile VPN,y abrir un túnel PPTP o Mobile VPN si el PPTP o Mobile VPN está activado en Firebox. No obstante, despuésde la autenticación o de que un túnel haya sido establecido con éxito, los usuarios pueden enviar tráfico porel túnel VPN sólo si el tráfico está permitido por una política en Firebox. Por ejemplo, un usuario sólo de

Mobile VPN puede enviar tráfico a través de un túnel de Mobile VPN. Aunque el usuario sólo de MobileVPN pueda autenticarse y abrir un túnel PPTP, no puede enviar el tráfico a través de ese túnel.

Si usa la autenticación por Active Directory y la membresía a un grupo para el usuario no coincide con lapolítica de Mobile VPN, encuentra un mensaje de error que dice que el Tráfico descifrado no coincide conninguna política. Si encuentra ese mensaje de error, asegúrese de que el usuario esté en un grupo con elmismo nombre que su grupo de Mobile VPN.

Use los usuarios y grupos autorizados en políticasSe puede especificar nombres de usuarios y grupos al crear políticas en Fireware XTMWeb UI. Porejemplo, se pueden definir todas las políticas para que sólo autoricen conexiones para usuariosautenticados. O puede limitar conexiones en una política para usuarios específicos.

El término usuarios y grupos autorizados se refiere a usuarios y grupos que están autorizados a acceder alos recursos de red.

Definir usuarios y grupos para autenticación de Firebox

Si usa el Firebox como servidor de autenticación y desea definir usuarios y grupos que se autentican aFirebox, vea Definir un nuevo usuario para autenticación en Firebox en la página 225 y Definir un nuevogrupo para autenticación de Firebox en la página 227.

Definir usuarios y grupos para autenticación de terceros

1. Cree un grupo en su servidor de autenticación externo que contenga todas las cuentas de usuariosen su sistema.

2. En el Fireware XTMWeb UI, seleccione Usuarios y Grupos de > Autenticación.Aparece el cuadro de diálogo "Usuarios y Grupos de Autenticación".

Autenticación


Autenticación


3. Ingrese un nombre de usuario o grupo creado en el servidor de autenticación.4. (Opcional) Ingrese una descripción para el usuario o grupo.5. Seleccione el botón de radio Grupo o Usuario.6. En la lista desplegable Servidor Autoriz, seleccione su tipo de servidor de autenticación.

Las opciones disponibles incluyen Cualquiera, Firebox-DB, RADIUS (para autenticación a través deun servidor RADIUS o VACMAN Middleware Server ), SecurID, LDAP, o Active Directory.

7. Haga clic en Agregar.8. Haga clic Guardar.

Agregar usuarios y grupos a las definiciones de política

Cualquier usuario o grupo que desee usar en las definiciones de políticas debe ser agregado como usuarioautorizado. Todos los usuarios y grupos creados para autenticación en Firebox y todos los usuarios deMobile VPN son automáticamente agregados a la lista de usuarios y grupos autorizados en el cuadro dediálogo Usuarios y Grupos Autorizados. Puede agregar cualesquiera usuarios o grupos de servidores deautenticación externos a la lista de usuarios y grupos autorizados siguiendo el procedimiento anterior.Entonces estará listo para agregar usuarios y grupos a su configuración de política.

1. En el Fireware XTMWeb UI, seleccione Firewall > Políticas de Firewall.Aparece la página "Políticas de Firewall".

2. Seleccione una política de la lista y haga clic en Editar.O haga doble clic en una política.Aparece la página "Configuración de Política".

3. En la pestaña política, abajo del cuadro De, haga clic en Agregar.Aparece el cuadro de diálogo "Agregar Dirección".

4. Haga clic en Agregar usuario.Aparece el cuadro de diálogo "Agregar usuarios y grupos autorizados".

5. En la lista desplegable a la izquierda Tipo, seleccione si el usuario o grupo está autorizado comousuario de firewall, VPN SSL o PPTP.

Para más información sobre esos tipos de autenticación, vea Tipos de autenticación de Firebox en lapágina 223.

6. De la lista desplegable Tipo a la derecha, seleccione Usuario o Grupo.7. Si el usuario o grupo aparece en la lista Grupos, seleccione el usuario o grupo y haga clic en

Seleccionar.Reaparece el cuadro de diálogo "Agregar dirección" con el usuario o grupo en el cuadro Miembros oDirecciones Seleccionados.

Haga clic en Aceptar para cerrar el cuadro de diálogo Editar Propiedades de Política.

8. Si el usuario o grupo no aparece en la lista en el cuadro de diálogo Agregar Usuarios o GruposAutorizados, vea Definir un nuevo usuario para autenticación en Firebox en la página 225, Definir unnuevo grupo para autenticación de Firebox en la página 227, o el procedimiento anterior Definirusuarios y grupos para autenticación externa.

Después que se agrega un usuario o grupo a una configuración de políticas, Fireware XTMWeb UI agregaautomáticamente una política de autenticación de WatchGuard a su configuración de Firebox. Use esapolítica para controlar el acceso a la página web del portal de autenticación.

Para obtener instrucciones para editar esa política, vea Use la autenticación para restringir el tráficoentrante en la página 212.

Autenticación



12 Políticas

Acerca de políticasLa política de seguridad de una empresa es un conjunto de definiciones para proteger la red de equipos y lainformación que la recorre. El Firebox rechaza todos los paquetes que no están específicamentepermitidos. Cuando se agrega una política al archivo de configuración del Firebox, se agrega un conjunto dereglas que indican al Firebox que debe permitir o rechazar tráfico en función de factores como el origen yel destino del paquete o el puerto TCP/IP o el protocolo utilizado para el paquete.

Como ejemplo del modo en que puede usarse una política, supongamos que el administrador de red deuna empresa desea conectarse en forma remota a un servidor web protegido por el Firebox. Eladministrador de red administra el servidor web con una conexión de Escritorio Remoto. Al mismo tiempo,el administrador de red desea asegurarse de que ningún otro usuario de la red pueda utilizar el EscritorioRemoto. Para crear esta configuración, el administrador de red agrega una política que permite conexionesRDP sólo desde la dirección IP de su propio equipo de escritorio a la dirección IP del servidor web.

Una política también puede aportar al Firebox más instrucciones sobre cómo administrar el paquete. Porejemplo, el usuario puede definir configuraciones de registro y notificación que se aplican al tráfico o usarNAT (Traducción de dirección de red) para cambiar la dirección IP de origen y el puerto del tráfico de red.

Políticas de filtro de paquetes y proxy

Firebox utiliza dos categorías de políticas para filtrar el tráfico de red: filtrado de paquetes y servidoresproxy. Un filtro de paquetes examina la IP y el encabezado de TCP/UDP del paquete. Si la información delencabezado del paquete es legítima, entonces Firebox acepta el paquete. De lo contrario, Firebox lorechaza.

Un proxy examina tanto la información del encabezado como el contenido de cada paquete paraasegurarse de que las conexiones sean seguras. Esto también se denomina inspección profunda depaquetes. Si la información del encabezado del paquete es legítima y el contenido del paquete no seconsidera una amenaza, entonces Firebox acepta el paquete. De lo contrario, Firebox lo rechaza.

Acerca de cómo agregar políticas a Firebox

Firebox incluye muchos filtrados de paquetes preconfigurados y proxies que se pueden agregar a laconfiguración. Por ejemplo, si el usuario desea un filtro de paquete para todo el tráfico Telnet, agrega unapolítica Telnet predefinida que pueda modificar para la configuración de red. También puede definir unapolítica personalizada para la cual se configuran los puertos, protocolos y otros parámetros.

Cuando se configura Firebox con el Quick Setup Wizard, el asistente agrega varios filtrados de paquetes:Saliente (TCP-UDP), FTP, ping y hasta dos políticas de administración de WatchGuard. Si el usuario tiene másaplicaciones de software y tráfico de red para que examine Firebox, debe:

n Configurar las políticas en Firebox para que permitan la circulación del tráfico necesario.n Definir las propiedades y hosts aprobados para cada polítican Equilibrar el requisito para proteger la red contra los requisitos de los usuarios de obtener acceso a

recursos externos.

Recomendamos establecer límites en el acceso saliente cuando se configura Firebox.

Nota En toda la documentación, nos referimos a los filtrados de paquetes y proxiescomo políticas. La información sobre políticas se refiere tanto a los filtrados depaquetes como a proxies, salvo indicación en contrario.

Políticas


Políticas


Acerca de la página de políticas de Firewall o VPN móvil

Las páginas de políticas de Firewall y políticas de Mobile VPN muestran las políticas incluidas en laconfiguración actual de su dispositivo Firebox o XTM.

La siguiente información aparece para cada política:

Acción

Laacción que toma lapolítica parael tráfico que coincide con ladefinición de la política. El símbolo enestacolumna también indica si la políticaes unapolítica de filtro de paquetes ouna políticade proxy.

n Marca de comprobación verde: política de filtro de paquetes; se permite el tráficon X roja: política de filtro de paquetes; se rechaza el tráficon Círculo con línea: política de filtro de paquetes y la acción para el tráfico no está configuradan Escudo verde con marca de comprobación: política de proxy; el tráfico está permitidon Escudo rojo con una X: política de proxy; se rechaza el tráficon Escudo gris: política de proxy; la acción para el tráfico no está configurada

Nombre de la política

Nombre de la política, como se define en el campo Nombre en la página Configuración de políticas.

Tipo de política

El protocolo que la política administra. Los servidores proxy incluyen el protocolo y "-proxy".

Tipo de tráfico

Tipo de tráfico que la política examina: firewall o VPN.

Registro

Si está habilitada la generación de registros para la política.

Alarma

Si están configuradas las alarmas para la política.

De

Direcciones desde las cuales se aplica el tráfico para esta política (direcciones de origen).

Para

Direcciones desde las cuales se aplica el tráfico para esta política (direcciones de destino).

PBR

Indica si la política utiliza enrutamiento basado en políticas. Si éste es el caso y no está habilitada laconmutación por error, aparece el número de interfaz. Si el enrutamiento basado en la política y laconmutación por error están habilitados, aparece una lista de números de interfaz, con la interfazprincipal en el primer lugar de la lista.

Para más información acerca del enrutamiento basado en políticas, vea Configurar el enrutamientobasado en la política en la página 269.

Puerto

Protocolos y puertos utilizados por la política.

De manera predeterminada, la Fireware XTMWeb UI clasifica a las políticas desde la más específica hasta lamás general. El orden determina cómo fluye el tráfico a través de las políticas. Si desea establecer el ordende las políticas de manera manual, junto a El orden automático está activado, haga clic en Desactivar.

Para obtener más información sobre el orden de las políticas, consulte Acerca de la precedencia depolíticas.

Agregar políticas en la configuraciónPara agregar una política de firewall o Mobile VPN:

1. Seleccione Firewall >Políticas de firewall o Firewall> Políticas de Mobile VPN.Aparece la página Políticas que seleccionó el usuario.

2. Haga clic en Agregar.3. Amplíe la lista de filtrados de paquetes y políticas para encontrar un protocolo o puerto.4. Para políticas de firewall, seleccione una plantilla y haga clic en Agregar.

Para políticas de proxy, también se debe seleccionar la opción Cliente o Servidor en la listadesplegable Acción de proxy.Para políticas de Mobile VPN, primero seleccione un grupo de Mobile VPN al cual se aplique lapolítica, luego seleccione la plantilla y haga clic en Agregar.

Políticas


Políticas


El Firebox incluye una definición predeterminada para cada política incluida en la configuración del Firebox.La definición predeterminada consiste en configuraciones que son apropiadas para la mayoría de lasinstalaciones. Sin embargo, pueden modificarse de acuerdo con los fines comerciales específicos o si sedesea incluir propiedades de política especiales como acciones de administración de tráfico y cronogramasoperativos.

Después de agregar una política a la configuración, se definen reglas para:

n Establecer orígenes y destinos de tráfico permitidos.n Configurar reglas de filtrado.n Activar o desactivar la política.n Configurar propiedades como administración de tráfico, NAT y registro.

Para obtener más información sobre la configuración de políticas, consulte Acerca de propiedades depolíticas en la página 265.

Agregar una política de la lista de plantillas

El Firebox incluye una definición predeterminada para cada política incluida en la configuración del Firebox.Las configuraciones de definiciones predeterminadas son apropiadas para la mayoría de las instalaciones.Sin embargo, el usuario puede modificarlas para incluir propiedades de políticas especiales como accionesde QoS y cronogramas operativos.

1. en la página Agregar política,amplíe las carpetas Filtrados de paquetes, Proxies o Personalizada.Aparece una lista de plantillas para políticas de filtrados de paquetes o proxy.

2. Seleccione el tipo de política que desea crear. Haga clic en Agregar.Aparece el cuadro de diálogo , página Configuración de políticas.

3. Para cambiar el nombre de la política, ingrese un nuevo nombre en el campo Nombre.4. Defina las reglas de acceso y otras configuraciones para la política.5. Haga clic en Guardar.

Para obtener más información sobre propiedades de políticas, consulte Acerca de propiedades de políticasen la página 265.

Desactivar o eliminar una política

Para desactivar una política:

Políticas


Políticas


1. Seleccione Firewall > Políticas de firewall o Firewall> Políticas de Mobile VPN .Aparece la página "Configuración de Política".

2. Seleccione la política y haga clic en Editar.3. Desmarque la casilla de verificación Activar.4. Haga clic en Guardar.

Eliminar una política

Según cambie la política de seguridad, en ocasiones es necesario eliminar una política.

Para borrar una política:

1. Seleccione Firewall > Políticas de firewall o Firewall> Políticas de Mobile VPN .2. Seleccione la política y haga clic en Eliminar. Los cambios en la configuración se guardan

automáticamente.

Acerca de los aliasUn alias es un acceso directo que identifica a un grupo de hosts, redes o interfaces. Cuando se usa un alias,es fácil crear una política de seguridad porque el Firebox permite utilizar alias cuando se crean políticas.

Los alias predeterminados en Fireware XTMWeb UI incluyen:

n Cualquiera: cualquier alias de origen o destino correspondiente a interfaces del Firebox, como Deconfianza o Externa.

n Firebox: un alias para todas las interfaces del Firebox.n Cualquiera de confianza: un alias para todas las interfaces del Firebox configuradas como interfaces

de confianza y cualquier red a la que se puede obtener acceso a través de estas interfaces.n Cualquiera externa: un alias para todas las interfaces del Firebox configuradas como externas y

cualquier red a la que se puede obtener acceso a través de estas interfaces.n Cualquiera opcional: un alias para todas las interfaces del Firebox configuradas como opcionales y

cualquier red a la que se puede obtener acceso a través de estas interfaces.n Cualquiera BOVPN: un alias para cualquier túnel BOVPN (IPSec).

Cuando se utiliza el asistente de la política BOVPN para crear una política para permitir el tráfico através de un túnel BOVPN, el asistente automáticamente crea alias .in y .out para los túnelesentrantes y salientes.

Los nombres de alias son diferentes de los nombres de usuario o grupo utilizados en la autenticación deusuario. Con la autenticación de usuario, se puede monitorear una conexión con un nombre y no como unadirección IP. La persona se autentica con un nombre de usuario y una contraseña para obtener acceso a losprotocolos de Internet.

Para más información acerca de autenticación de usuario, vea Acerca de la autenticación de usuario en lapágina 209.

Miembros de alias

Puede agregarse estos objetos a un alias:

n IP de hostn IP de red

n Un rango de direcciones IP de hostn Nombre de DNS para un hostn Dirección de túnel: definida por un usuario o grupo, dirección y nombre del túnel.n Dirección personalizada: definida por un usuario o grupo, dirección e interfaz del Firebox.n Otro aliasn Un usuario o grupo autorizado

Crear un alias

Para crear un alias para utilizar con las políticas de seguridad:

1. Seleccione Alias de> firewall.Los alias página .

2. Haga clic en Agregar.Agregar alias página aparece.

Políticas


Políticas


3. En el cuadro de texto Nombre de alias ingrese un nombre único para identificar al alias.Este nombre aparece en listas cuando se configura una política de seguridad.

4. En el campo Descripción, ingrese una descripción del alias.5. Haga clic en Guardar.

Agregar una dirección, rango de dirección, nombre de DNS, usuario,grupo u otro alias al alias

1. En el cuadro de diálogo Agregar alias, haga clic en Agregar miembro.Aparece el cuadro de diálogo "Agregar miembro".

2. En el En la lista desplegable Tipo de miembro seleccione el tipo de miembro que desea agregar.3. Ingrese la dirección o el nombre en el cuadro Tipo cuadro de textoo seleccione el usuario o grupo..4. Haga clic en OK.

El nuevo miembro aparece en la sección Miembros de alias de Agregar alias. página.5. Para agregar más miembros, repita los pasos 1al 4.6. Haga clic en Guardar.

Para quitar una entrada de la lista de miembros, seleccione la entrada y haga clic en Eliminar miembro.

Acerca de la precedencia de políticasLa precedencia es la secuencia en la cual el dispositivo Firebox o XTM examina el tráfico de red y aplica unaregla de política. El dispositivo Firebox o XTM automáticamente ordena las políticas desde la más detallada ala más general. Compara la información en el paquete con la lista de reglas en la primera política. Laprimera regla de la lista que coincida con las condiciones del paquete se aplica al paquete. Si el nivel dedetalle en dos políticas es equivalente, una política de proxy siempre tiene prioridad sobre una Política defiltrado de paquetes.

Orden de políticas automático

El dispositivo Firebox o XTM automáticamente otorga la precedencia más alta a las políticas más específicasy la más baja a las menos específicas. El dispositivo Firebox o XTM examina la especificidad de los criteriossubsiguientes en este orden. Si no puede determinar la precedencia con el primer criterio, pasa al siguientey así sucesivamente.

1. Especificidad de la política2. Protocolos configurados para el tipo de política3. Reglas de tráfico del campo Hasta4. Reglas de tráfico del campo Desde5. Acción de firewall (permitido, negado o negado (enviar restablecer)) aplicada a las políticas6. Cronogramas aplicados a las políticas7. Secuencia alfanumérica basada en el tipo de política8. Secuencia alfanumérica basada en el nombre de la política

Las secciones subsiguientes incluyen más detalles acerca de lo que hace el dispositivo Firebox o XTM dentrode estos ocho pasos.

Especificidad de la política y protocolos

El dispositivo Firebox o XTM utiliza estos criterios en secuencia para comparar dos políticas hasta quedetermina que las políticas son equivalentes o que una es más detallada que la otra.

1. Una política "Cualquier política" siempre tiene la precedencia más baja.2. Verificación del número de protocolos TCP 0 (cualquiera) o UDP 0 (cualquiera). La política con el

menor número tiene mayor precedencia.3. Verificación del número de puertos únicos para los protocolos TCP y UDP. La política con el menor

número tiene mayor precedencia.4. Suma la cantidad de puertos TCP y UDP únicos. La política con el menor número tiene mayor

precedencia.5. Calificación de los protocolos según el valor del protocolo IP. La política con la menor calificación

tiene mayor precedencia.

Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara la especificidad de lapolítica y los protocolos, examina las reglas de tráfico.

Políticas


Políticas


Reglas de tráfico

El dispositivo Firebox o XTM utiliza estos criterios en secuencia para comparar la regla de tráfico másgeneral de una política con la regla de tráfico más general de una segunda política. Asigna mayorprecedencia a la política con la regla de tráfico más detallada.

1. Rango de direcciones IP de la2. dirección de host (menor al de la subnet con la que se compara)3. Rango de direcciones IP de la4. subnet (mayor al de la subnet con la que se compara)5. Nombre de usuario de autenticación6. Grupo de autenticación7. Interfaz, dispositivo Firebox o XTM8. Cualquiera externa, Cualquiera de confianza, Cualquiera opcional9. Cualquier

Por ejemplo, compare estas dos políticas:

(HTTP-1) Desde: De confianza, usuario1

(HTTP-2) Desde: 10.0.0.1, Cualquiera de confianza

De confianza es la entrada más general para HTTP-1. Cualquiera-De confianza es la entrada más generalpara HTTP-2. Debido a que De confianza se incluye dentro del alias Cualquiera-De confianza, HTTP-1 es laregla de tráfico más detallada. Esto es correcto a pesar de que HTTP-2 incluye una dirección IP, porque eldispositivo Firebox o XTM compara la regla de tráfico más general de una política con la regla de tráfico másgeneral de la segunda política para establecer la precedencia.

Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara las reglas de tráfico,examina las acciones de firewall.

Acciones de firewall

El dispositivo Firebox o XTM compara las acciones de firewall de dos políticas para establecer laprecedencia. La precedencia de acciones de firewall de mayor a menor es:

1. Negada o Negada (enviar restablecer)2. Política de proxy permitida3. Política de filtrado de paquetes permitida

Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara las acciones defirewall, examina los cronogramas.

Cronogramas

El dispositivo Firebox o XTM compara los cronogramas de dos políticas para establecer la precedencia. Laprecedencia de cronogramas de mayor a menor es:

1. Siempre desactivado2. A veces activo3. Siempre activo

Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara los cronogramas,examina los nombres y tipos de políticas.

Nombres y tipos de políticas

Si las dos políticas no coinciden en ningún otro criterio de precedencia, el dispositivo Firebox o XTM ordenalas políticas en secuencia alfanumérica. Primero, utiliza el tipo de política. Luego, utiliza el nombre de lapolítica. Dado que dos políticas no pueden ser del mismo tipo y tener el mismo nombre, éste es el últimocriterio de precedencia.

Determinar precedencia manualmente

Para cambiar al modo de orden manual y cambiar la precedencia de la política, debe desactivar el modo deorden automático:


2. Junto a El modo de orden automático está activado, haga clic en Desactivar.Aparece un mensaje de configuración.

3. Haga clic en Sí para confirmar que desea cambiar al modo de orden manual.4. Para cambiar el orden de una política, selecciónela y arrástrela a la nueva ubicación.

O bien, seleccione una política y haga clic en Subir o Bajar para subirla o bajarla en la lista.5. Haga clic en Guardar para guardar los cambios en el orden de la política.

Crear Cronogramas para acciones de FireboxUn cronograma es un conjunto de horarios en los cuales una función está activada o desactivada. Elcronograma debe utilizarse si el usuario desea que una política o acción de WebBlocker se active odesactive automáticamente en los horarios especificados. El cronograma creado puede aplicarse a más deuna política o acción de WebBlocker si desea que esas políticas o acciones se activen en los mismoshorarios.

Por ejemplo, una organización desea restringir ciertos tipos de tráfico de red durante el horario comercialnormal. El administrador de red podría crear un cronograma que se active en los días laborables yestablecer cada política en la configuración para que use el mismo cronograma.

Para crear un cronograma:

1. Seleccione Firewall> Programación.Aparece la página Programación.

2. Para crear un nuevo cronograma, haga clic en Agregar.Para modificar un cronograma, haga clic en Editar.

3. En el cuadro de texto Nombre, ingrese un nombre o una descripción para el cronograma. Estenombre no puede modificarse después de guardar el cronograma.

4. Seleccione los horarios en los que desea que el cronograma funcione para cada día de la semana.5. Haga clic en Guardar.

Políticas


Políticas


Establecer un cronograma operativo

El usuario puede establecer un cronograma operativo para una política, para que ésta se ejecute en loshorarios especificados. Los cronogramas pueden ser compartidos por más de una política.

Para modificar el cronograma de una política:

1. Seleccione Firewall> Programación.Aparece la página Programación.

2. En la lista Políticas de programación, seleccione el Nombre del cronograma de una política.3. En la columna Cronograma, seleccione un cronograma de la lista desplegable.4. Haga clic en Guardar.

Acerca de las Políticas personalizadasSi el usuario necesita autorizar un protocolo que no está incluido de manera predeterminada como opciónde configuración del Firebox, debe definir una política de tráfico personalizada. Puede agregar una políticapersonalizada que use:

n Puertos TCPn Puertos UDPn Un protocolo IP que no sea TCP o UDP, como GRE, AH, ESP, ICMP, IGMP y OSPF. El usuario identifica

un protocolo IP que no es TCP o UDP con el número de protocolo IP.

Para crear una política personalizada, primero debe crear o editar una plantilla de política personalizadaque especifique los puertos y protocolos utilizados por políticas de ese tipo. Luego, crea una o más políticasa partir de esa plantilla para establecer reglas de acceso, registro, QoS y otras configuraciones.

Cree o edite una plantilla de política personalizada.

1. Seleccione Firewall > Políticas de Firewall. Haga clic en el botón Agregar.2. Haga clic en Personalizada o seleccione una plantilla de política personalizada y haga clic en Editar.

3. En el cuadro de texto Nombre, ingrese el nombre de la política personalizada. El nombre apareceen el Policy Manager como el tipo de política. Un nombre único ayuda al usuario a encontrar lapolítica cuando desea modificarla o eliminarla. Este nombre no debe ser igual a ningún nombre dela lista en el cuadro de diálogo Agregar política.

4. En el cuadro de texto Descripción, ingrese una descripción de la política.Esto aparece en la sección Detalles al hacer clic en el nombre de la política en la lista de Filtros de usuarios.

5. Seleccione el tipo de política: Filtro de paquetes o Proxy.6. Si seleccione Proxy, elija el protocolo de proxy en la lista desplegable adyacente.7. Para agregar protocolos a esta política, haga clic en Agregar.

Aparece el cuadro de diálogo Agregar protocolo.

Políticas


Políticas


8. En la lista desplegable Tipo, seleccione Puerto independiente o Intervalo de puertos.9. En la lista desplegable Protocolo, seleccione el protocolo para esta nueva política.

Si selecciona Puerto independiente, puede elegir TCP, UDP, GRE, AH, ESP, ICMP, IGMP,OSP, IP oCualquiera.Si selecciona Intervalo de puertos, puede elegir TCP o UDP. Las opciones por debajo de la listadesplegable cambian para cada protocolo.

Nota Fireware XTM no circula tráfico multicast IGMP a través de Firebox o entreinterfaces de Firebox. Circula tráfico multicast IGMP sólo entre una interfaz yFirebox.

10. En la lista desplegable Puerto de servidor, seleccione el puerto para esta nueva política.Si selecciona Intervalo de puertos, elija un puerto de servidor de inicio y un puerto de servidor definalización.

11. Haga clic en Guardar.La plantilla de la política se agrega a la carpeta Políticas personalizadas.

Ahora puede utilizar la plantilla de la política que creó para agregar una o más políticas personalizadas a suconfiguración. Siga el mismo procedimiento que para una política predefinida.

Acerca de propiedades de políticasCada tipo de política tiene una definición predeterminada, que consiste en configuraciones que sonapropiadas para la mayoría de las organizaciones. Sin embargo, el usuario puede modificar configuracionesde políticas según los fines particulares de su empresa o agregar otras configuraciones como administraciónde tráfico y cronogramas operativos.

Las políticas de Mobile VPN se crean y funcionan del mismo modo que las políticas de firewall. Sinembargo, se debe especificar un grupo de Mobile VPN al que se aplica la política.

En la parte superior de la página de configuración de la política, se puede cambiar el nombre de la política.Si la política es una política de proxy, también puede cambiarse la acción de proxy. Para más informaciones,vea Acerca de las acciones de proxy en la página 279.

Para configurar las propiedades de una política, en la página Políticas de Firewall, haga doble clic en lapolítica para abrir la página Configuración de políticas. O bien, si acaba de agregar una política a laconfiguración, aparece automáticamente la página Configuración de políticas.

Pestaña Política

Utilice la pestaña Política para definir información básica acerca de una política, como si permite o rechazatráfico y cuáles dispositivos administra. Las configuraciones de la pestaña Política pueden utilizarse paracrear reglas de acceso para una política o configurar el enrutamiento basado en la política, NAT estática o elbalance de carga en el servidor.

Para obtener más información sobre las opciones para esta pestaña, consulte los siguientes temas:

n Definir reglas de acceso a una política en la página 267n Configurar el enrutamiento basado en la política en la página 269n Acerca de la NAT estática en la página 153n Configurar Balance de carga en el servidor en la página 154

Pestaña Propiedades

La pestaña Propiedades muestra el puerto y el protocolo al que se aplica la política, además de unadescripción de la política configurada. Las configuraciones en esta pestaña pueden utilizarse para definir laspreferencias de registro, notificaciones, bloque automático y tiempo de espera.


n Determinar preferencias de registro y notificación en la página 360n Bloquear sitios temporalmente con configuración de políticas en la página 346n Configurar un tiempo de espera inactivo personalizado en la página 270

Pestaña Avanzada

La pestaña Avanzada incluye configuraciones para NAT y Administración de tráfico (QoS), además deopciones de WAN múltiples e ICMP.


n Establecer un cronograma operativo en la página 263n Agregar una Acción de administración de tráfico a una política en la página 334n Determinar Administración de errores ICMP en la página 271n Aplicar reglas NAT en la página 271n Activar el marcado QoS o configuraciones de priorización para una política en la página 330n Defina la duración de sticky connection para una política en la página 272

Configuraciones de proxy

Cada política de proxy tiene configuraciones específicas de la conexión que pueden personalizarse. Paraconocer más acerca de las opciones para cada proxy, consulte el tema Acerca de para el protocolodeseado.

Acerca del DNS proxy en la página 280 Página Acerca de Proxy POP3 en la página 305

Políticas


Políticas


Página Acerca de Proxy FTP en la página284

Página Acerca de Proxy SIP en la página 309

Página Acerca de ALG H.323 en la página287

Página Acerca de Proxy SMTP en la página 314

Página Acerca de Proxy HTTP en la página292

Página Acerca de Proxy de TCP-UDP en la página 319

Página Acerca de Proxy HTTPS en la página301

Definir reglas de acceso a una política

La pestaña Política del cuadro de diálogo Configuración de políticas se usa para configurar las reglas deacceso a una política determinada.

El campo Las conexiones están define si el tráfico que coincide con las reglas de la política está permitido onegado. Para configurar el modo en que se administra el tráfico, utilice estas configuraciones:

Permitido

El Firebox permite el tráfico que usa esta política si coincide con las reglas establecidas en la política.El usuario puede configurar la política para crear un mensaje de registro cuando el tráfico de redcoincide con la política.

Negado

Firebox rechaza todo el tráfico que coincide con las reglas de esta política y no envía una notificaciónal dispositivo que envió el tráfico. El usuario puede configurar la política para crear un mensaje deregistro cuando un equipo intenta utilizar esta política. La política también puede agregarautomáticamente un equipo o red a la lista de Sitios bloqueados si intenta establecer una conexióncon esta política.

Para más informaciones, vea Bloquear sitios temporalmente con configuración de políticas en lapágina 346.

Negado (enviar restablecer)

El Firebox rechaza todo el tráfico que coincide con las reglas de esta política. El usuario puedeconfigurar la política para crear un mensaje de registro cuando un equipo intenta utilizar estapolítica. La política también puede agregar automáticamente un equipo o red a la lista de Sitiosbloqueados si intenta establecer una conexión con esta política.

Para más informaciones, vea Bloquear sitios temporalmente con configuración de políticas en lapágina 346.

Con esta opción, el Firebox envía un paquete para informar al dispositivo que envió el tráfico de redque la sesión se rechazó y la conexión se cerró. El usuario puede configurar una política parainformar otros errores en cambio, que indican al dispositivo que el puerto, el protocolo, la red o elhost no pueden alcanzarse. Recomendamos utilizar estas opciones con precaución para asegurarsede que la red funciona correctamente con otras redes.

La pestaña Política también incluye:

n Una lista Desde (u origen) que especifica quién puede enviar (o no puede enviar) tráfico de red conesta política.

n Una lista Hasta (o destino) que especifica a quién el Firebox puede enrutar tráfico si el tráficocoincide (o no coincide) con las especificaciones de la política.

Por ejemplo, puede configurar un filtro de paquetes ping para permitir el tráfico de ping desde todos losequipos de la red externa a un servidor web de la red opcional. Sin embargo, cuando se abre la red dedestino a conexiones a través del puerto o puertos que la política controla, la red puede volversevulnerable. Asegúrese de configurar las políticas con cuidado para evitar vulnerabilidades.

1. Para agregar miembros a sus especificaciones de acceso, haga clic en Agregar junto a la lista demiembros Desde o Hasta.Aparece el cuadro de diálogo Agregar miembro.

2. El contiene a los miembros que el usuario puede agregar a las listas Desde o Hasta. Un miembropuede ser un alias, usuario, grupo, dirección IP o rango de direcciones IP .

3. En la lista desplegable Tipo de miembro, especifique el tipo de miembro que desea agregar alcuadro.

4. Seleccione el miembro que desea agregar y haga clic en Agregar o haga doble clic en una entradade esta ventana.

5. Para agregar otros miembros al campo Desde o Hasta, repita los pasos anteriores.6. Haga clic en OK.

Políticas


Políticas


El origen y el destino pueden ser una dirección IP de host, un rango de host, un nombre de host, unadirección de red, un nombre de usuario, un alias, un túnel VPN o cualquier combinación de esos objetos.

Para obtener más información sobre los alias que aparecen como opciones en la lista Desde y Hasta,consulte el tema Acerca de los alias en la página 257.

Paraobtener más información acercade cómocrear unnuevo alias, consulte Crear un aliasen lapágina 258.

Configurar el enrutamiento basado en la política

Para enviar tráfico de red, un enrutador en general examina la dirección de destino en el paquete yobserva la tabla de enrutamiento para encontrar el destino del siguiente salto. En algunos casos, el usuariodesea enviar tráfico a una ruta diferente de la ruta predeterminada que se especifica en la tabla deenrutamiento. Puede configurar una política con una interfaz externa específica para usar con todo eltráfico saliente que coincida con esa política. Esta técnica se conoce como enrutamiento basado en lapolítica. El enrutamiento basado en la política tiene prioridad sobre otras configuraciones de WANmúltiples.

El enrutamiento basado en la política puede usarse cuando hay más de una interfaz externa y Firebox se haconfigurado paraWAN múltiples. Con el enrutamiento basado en la política, el usuario puede asegurarse deque todo el tráfico para una política siempre atraviese la misma interfaz externa, aunque la configuraciónde WAN múltiples esté definida para enviar tráfico en una configuración de operación por turnos. Porejemplo, si el usuario desea que el correo electrónico se enrute a través de una interfaz particular, puedeusar el enrutamiento basado en la política en la definición de proxy POP3 o SMTP.

Nota Para usar enrutamiento basado en la política, debe tener Fireware XTM con unaactualización Pro. También debe configurar por lo menos dos interfaces externas.

Enrutamiento basado en la política, conmutación por error y failback

Cuando se usa el enrutamiento basado en la política con conmutación por error de WAN múltiples, sepuede especificar si el tráfico que coincide con la política usa otra interfaz externa cuando ocurre laconmutación por error. La configuración predeterminada es rechazar el tráfico hasta que la interfaz estédisponible nuevamente.

Las configuraciones de failback (definidas en la pestañaWAN múltiples del cuadro de diálogo Configuraciónde red) también se aplican al enrutamiento basado en la política. Si ocurre un evento de conmutación porerror y la interfaz original luego pasa a estar disponible, Firebox puede enviar conexiones activas a lainterfaz de conmutación por error o puede retornar a la interfaz original. Las nuevas conexiones se envían ala interfaz original.

Restricciones en el enrutamiento basado en la política

n El enrutamiento basado en la política está disponible sólo si la WAN múltiple está activada. Si seactiva la WAN múltiple, el cuadro de diálogo Editar propiedades de políticas automáticamenteincluye campos para configurar el enrutamiento basado en la política.

n De manera predeterminada, el enrutamiento basado en la política no está activado.

n El enrutamiento basado en la política no se aplica al tráfico IPSec ni al tráfico destinado a la red deconfianza u opcional (tráfico entrante).

Agregar enrutamiento basado en la política a una política

1. Seleccione Firewall > Políticas de Firewall.2. Seleccione una política y haga clic en Editar.

O haga doble clic en una política.Aparece la página "Configuración de Política".

3. Seleccione la casilla de verificación Usar enrutamiento basado en la política.

4. Para especificar la interfaz para enviar tráfico saliente que coincida con la política, seleccione elnombre de la interfaz en la lista desplegable adyacente. Asegúrese de que la interfaz seleccionadasea miembro del alias o red definido en el campo Hasta de la política.

5. (Opcional) Configurar el enrutamiento basado en la política con conmutación por error de WANmúltiples, como se describe a continuación. Si no selecciona Conmutación por error y la interfazdefinida para esta política pasa a estar inactiva, el tráfico se rechaza hasta que la interfaz vuelva aestar disponible.


Configurar basado en políticas Enrutamiento con conmutación por error

El usuario puede configurar la interfaz especificada para esta política como interfaz principal y definir otrasinterfaces externas como interfaces de resguardo para todo el tráfico que no es IPSec.

1. En la página Configuración de políticas, seleccione Usar conmutación por error.2. En la lista adyacente, seleccione la casilla de verificación para cada interfaz que desea utilizar en la

configuración de la conmutación por error.3. Haga clic en Subir y Bajar para definir el orden para conmutación por error.

La primera interfaz de la lista es la principal.4. Haga clic en Guardar.

Configurar un tiempo de espera inactivo personalizado

El tiempo de espera inactivo es la cantidad de tiempo máximo que una conexión puede mantenerse activacuando no se envía tráfico. De manera predeterminada, el Firebox cierra las conexiones de red después de300 segundos (6 minutos). Cuando se activa esta configuración para una política, el Firebox cierra laconexión una vez transcurrido el lapso de tiempo especificado por el usuario.

1. En la página Configuración de políticas, seleccione la pestaña Propiedades.2. Seleccione la casilla de verificación Especificar tiempo de espera inactivo personalizado.3. En el campo adyacente, establezca el número de segundos antes del tiempo de espera.

Políticas


Políticas


Determinar Administración de errores ICMP

Pueden establecerse las configuraciones de administración de errores de ICMP asociadas con una política.Estas configuraciones anulan las configuraciones globales de administración de errores de ICMP.

Para cambiar las configuraciones de administración de errores de ICMP para la política actual:

1. Haga clic en la pestaña Avanzado.2. Seleccione la casilla de verificación Utilizar administración de errores de ICMP basada en políticas.3. Seleccione una o más casillas de verificación para anular las configuraciones de ICMP globales para

ese parámetro.

Para obtener más información sobre configuraciones de ICMP , consulte Defina las configuracionesglobales del Firebox en la página 67.

Aplicar reglas NAT

Se pueden aplicar reglas de traducción de dirección de red (NAT) a una política. Puede seleccionar 1-to-1NAT o NAT dinámica.

1. En la página Configuración de políticas, seleccione la pestaña Avanzada.2. Seleccione una de las opciones descritas en las siguientes secciones.

1-to-1 NAT

Con este tipo de NAT, el dispositivo WatchGuard utiliza rangos de direcciones IP públicas y privadasconfigurados por el usuario, según se describe en Acerca de las 1-to-1 NAT en la página 142.

NAT dinámico

Con este tipo de NAT, el dispositivo WatchGuard asigna direcciones IP privadas a direcciones IP públicas.Todas las políticas tienen NAT dinámica activada de manera predeterminada.

Seleccione Usar configuraciones NAT de red si desea utilizar las reglas de NAT dinámica establecidas parael dispositivo WatchGuard.

Seleccione Todo el tráfico en esta política si desea aplicar NAT a todo el tráfico en esta política.

En el campo Configurar IP de origen, puede seleccionar una dirección IP de origen NAT dinámica paracualquier política que use NAT dinámica. De este modo se garantiza que cualquier tráfico que usa estapolítica muestra una dirección específica de su rango de direcciones IP externas o públicas como el origen.Esto resulta útil si se desea obligar al tráfico SMTP saliente a mostrar la dirección de registro MX para sudominio cuando la dirección IP en la interfaz externa del dispositivo WatchGuard no coincide con ladirección IP de registro MX.

Las reglas de 1-to-1 NAT tienen mayor prioridad que las reglas de NAT dinámica.

Defina la duración de sticky connection para una política

La configuración de sticky connection para una política anula la configuración de sticky connection global. Sedeben activar WAN múltiples para utilizar esta función.

1. En la página Propiedades de políticas, seleccione la pestaña Avanzada.2. Para usar la configuración de sticky connection de WAN múltiple global, desmarque la casilla de

verificación Anular configuración de sticky connection de WAN múltiple.3. Para definir un valor de sticky connection personalizado para esta política, seleccione la casilla de

verificación Activar sticky connection.4. En el cuadro de texto Activar sticky connection, ingrese la cantidad de tiempo en minutos para

mantener la conexión.

Políticas



13 Configuraciones de proxy

Acerca de las políticas de proxy y ALGTodas las políticas de WatchGuard son herramientas importantes para la seguridad de la red, ya sea se tratede políticas de filtro de paquetes, políticas de proxy o puertas de enlace de la capa de aplicación (ALG). Unfiltro de paquetes examina el encabezado IP y TCP/UDP de cada paquete, un proxy monitorea y escaneaconexiones completas y una ALG proporciona administración de conexión transparente además defuncionalidad del proxy. Las políticas de proxy y ALG examinan los comandos utilizados en la conexión paraasegurarse de que tengan la sintaxis y el orden correctos y usan la inspección de paquetes profunda paragarantizar que las conexiones sean seguras.

Una política de proxy o ALG abre cada paquete en secuencia, elimina el encabezado del nivel de red yexamina la carga del paquete. Un proxy luego reescribe la información de la red y envía el paquete a sudestino, mientras que una ALG restablece la información de la red original y reenvía el paquete. Comoresultado, un proxy o ALG puede encontrar contenido prohibido o malicioso oculto o integrado en la cargade datos. Por ejemplo, un proxy SMTP examina todos los paquetes SMTP (correo electrónico) entrantespara encontrar contenido prohibido, como programas o archivos ejecutables escritos en lenguajes descript. Los atacantes con frecuencia usan estos métodos para enviar virus informáticos. Un proxy o ALGpuede imponer una política que prohíbe estos tipos de contenido, mientras el filtro de paquetes no puededetectar el contenido no autorizado en la carga de datos del paquete.

Si el usuario ha adquirido y activado servicios de suscripción adicionales (Gateway AntiVirus, IntrusionPrevention Service, spamBlocker, WebBlocker), los servidores proxy de WatchGuard pueden aplicar estosservicios al tráfico de red.

Configuración de proxy

Al igual que los filtrados de paquetes, las políticas de proxy incluyen opciones comunes para administrar eltráfico de red, incluidas las funciones de administración del tráfico y programación. Sin embargo, laspolíticas de proxy también incluyen configuraciones que se relacionan con el protocolo de red específico.

Por ejemplo, puede configurar una política de proxy DNS para permitir sólo las solicitudes que coincidencon la clase IN o configurar un proxy SMTP para denegar los mensajes de correo electrónico si losencabezados no están definidos correctamente. Estas opciones pueden configurarse en las pestañasGeneral y Contenido de cada política de proxy.

Fireware XTM admite políticas de proxy para muchos protocolos comunes, entre ellos DNS, FTP, H.323,HTTP, HTTPS, POP3, SIP, SMTP y TCP-UDP. Para obtener más información sobre una política de proxy,consulte la sección para dicha política.

Acerca del DNS proxy en la página 280 Página Acerca de Proxy POP3 en la página 305Página Acerca de Proxy FTP en la página284







Acerca de las configuraciones de ApplicationBlockerEl Application Blocker puede usarse para definir las acciones que realiza el dispositivo Firebox o XTMcuando una política de proxy TCP-UDP, HTTP o HTTPS detecta actividad de red de aplicaciones demensajería instantánea (IM) o punto a punto (P2P).

El Application Blocker identifica estas aplicaciones de IM:

n AIM (AOL Instant Messenger)n ICQn IRCn MSN Messengern Skypen Yahoo! Messenger

Nota El Application Blocker no puede bloquear las sesiones de Skype que ya estánactivas. Para más informaciones, vea Acerca de Skype y el Application Blocker.

El Application Blocker identifica estas aplicaciones P2P:

n BitTorrentn Ed2k (eDonkey2000)n Gnutellan Kazaan Napstern Winny

Nota No se requiere que el Intrusion Prevention service utilice la función del ApplicationBlocker.





Configurar el Application Blocker

En los servidores proxy HTTP y TCP-UDP, puede establecer estas configuraciones del Application Blocker:

Aplicaciones de IM

Seleccione la casilla de selección adyacente a una o más aplicaciones de IM. Luego, seleccionePermitir o Eliminar en la lista desplegable Cuando se detecta una aplicación de IM. Siselecciona Permitir, se bloquearán las aplicaciones que no haya marcado. Si seleccionaEliminar, se permitirán las aplicaciones que no haya marcado.

Por ejemplo, la captura de pantalla anterior muestra que las aplicaciones AIM, ICQ y Yahoo!están seleccionadas. Como la acción está configurada para Eliminar, el proxy de TCP-UDPpermite el tráfico de IM de IRC, Skype y MSN.

Aplicaciones de P2P

Seleccione la casilla de selección adyacente a una o más aplicaciones de P2P. Luego, seleccionePermitir o Eliminar en la lista desplegable Cuando se detecta una aplicación de P2P. Siselecciona Permitir, se bloquearán las aplicaciones que no haya marcado. Si seleccionaEliminar, se permitirán las aplicaciones que no haya marcado.

Por ejemplo, la captura de pantalla anterior muestra que las aplicaciones Kazaa, Ed2k, Napster yGnutella están seleccionadas. Como la acción está configurada para Eliminar, el proxy permitecualquier otro tipo de tráfico P2P.

Para obtener información acerca de dónde establecer las configuraciones del Application Blocker en losservidores proxy HTTP y TCP-UDP, consulte:

n Proxy de TCP-UDP: Contenidon Proxy HTTP: Application Blocker

Acerca de Skype y el Application Blocker

Skype es una aplicación de red punto a punto (P2P) muy conocida que se usa para realizar llamadas de voz,enviar mensajes o archivos de texto o participar en videoconferencias por Internet. El cliente de Skype usauna combinación dinámica de puertos que incluye a los puertos salientes 80 y 443. El tráfico de Skype esmuy difícil de detectar y bloquear porque está cifrado y porque el cliente de Skype puede derivar muchosfirewalls de red.

El Application Blocker puede configurarse para bloquear el inicio de sesión de un usuario en la red deSkype. Es importante comprender que el Application Blocker sólo puede bloquear el proceso inicio desesión en Skype. No puede bloquear el tráfico para un cliente de Skype que ya ha iniciado sesión y tieneuna conexión activa. Por ejemplo:

n Si un usuario remoto inicia sesión en Skype cuando el equipo no está conectado a la red y luego elusuario se conecta a la red mientras el cliente de Skype aún está activo, el Application Blocker nopuede bloquear el tráfico de Skype hasta que el usuario cierre la sesión de la aplicación de Skype oreinicie el equipo.

n Cuando se configura el Application Blocker por primera vez para bloquear Skype, cualquier usuarioque ya esté conectado a la red de Skype no puede bloquearse hasta que cierre la sesión en Skype oreinicie su equipo.

Cuando el Application Blocker bloquea un inicio de sesión en Skype, agrega las direcciones IP de losservidores Skype a la lista de Sitios bloqueados. Para estas direcciones IP bloqueadas, el Origen activador es"admin" y elMotivo es "manejo predeterminado de paquetes". Además, aparece un mensaje de registroen Control de tráfico que muestra que el acceso al servidor de Skype fue denegado porque la direcciónestá en la lista de Sitios bloqueados.

Nota Debido a que la lista de Sitios bloqueados bloquea el tráfico entre los servidores deSkype y todos los usuarios de su red, el acceso a Skype se bloquea para todos losusuarios.

Las direcciones IP del servidor de Skype permanecen en la lista de Sitios bloqueados durante el períodoespecificado por el usuario en el cuadro de texto Duración de sitios bloqueados automáticamente en laconfiguración de Sitios bloqueados. La duración predeterminada es 20 minutos. Si se bloquea Skype y luegose cambia la configuración para dejar de bloquear Skype, las direcciones IP del servidor de Skype en la listade Sitios bloqueados permanecerán bloqueadas hasta que venza el bloqueo o hasta quitarlas de la lista deSitios bloqueados en formamanual.

Para obtener más información acerca de la configuración Duración de sitios bloqueadosautomáticamente, consulte Cambiar la duración de los sitios que son bloqueados automáticamente en lapágina 347.

Bloquear inicios de sesión en Skype

Para bloquear inicios de sesión en Skype, se debe crear una configuración del Application Blocker yseleccionar Skype como un tipo de aplicación a bloquear. Luego se debe aplicar la configuración a la políticade proxy TCP/UDP.





Para obtener más información acerca de cómo crear una configuración del Application Blocker, consulteAcerca de las configuraciones de Application Blocker en la página 274.

Agregar una política de proxy a la configuraciónCuando se agrega una política de proxy o ALG (puerta de enlace de la capa de aplicación) a la configuracióndel Fireware XTM, se especifican tipos de contenido que el dispositivo Firebox o XTM debe buscar a medidaque examina el tráfico de red. Si el contenido coincide (o no coincide) con los criterios definidos en ladefinición de proxy o ALG, el tráfico se permite o deniega.

Pueden usarse las configuraciones predeterminadas de la política de proxy o ALG o pueden cambiarse estasconfiguraciones para adaptarlas al tráfico de red de su organización. También pueden crearse políticas deproxy o ALG adicionales para administrar diferentes partes de la red.

Es importante recordar que una política de proxy o ALG requiere más capacidad de procesamiento que unfiltro de paquetes. Si se agrega un gran número de políticas de proxy o ALG a la configuración, lasvelocidades del tráfico de red podrían disminuir. Sin embargo, un proxy o ALG utiliza métodos que los filtrosde paquetes no pueden utilizar para capturar paquetes peligrosos. Cada política de proxy incluye variasconfiguraciones que pueden ajustarse para crear un equilibrio entre los requisitos de seguridad yrendimiento.

Puede usar Fireware XTMWeb UI para agregar una política de proxy.

1. Seleccione Firewall >Políticas de Firewall.2. Haga clic en Agregar.3. En la lista Seleccionar tipo de política, seleccione un filtro de paquetes, una política de proxy o ALG

(puerta de enlace de la capa de aplicación). Haga clic en Agregar.Aparece la página Configuración de política.

Para obtener más información sobre las propiedades básicas de todas las políticas, consulte Acerca depropiedades de políticas en la página 265.

Para obtener más información acerca de las configuraciones predeterminadas para una política de proxy oALG, consulte el tema "Acerca de" para el tipo de política agregada.












Acerca de las acciones de proxyUna acción de proxy es un grupo específico de configuraciones, orígenes o destinos para un tipo de proxy.Dado que la configuración puede incluir varias políticas de proxy del mismo tipo, cada política de proxyutiliza una acción de proxy diferente. Cada política de proxy tiene acciones de proxy predefinidas opredeterminadas para clientes y servidores. Por ejemplo, puede usarse una acción de proxy para paquetesenviados a un servidor POP3 protegido por el dispositivo Firebox o XTM y una acción de proxy diferentepara aplicar a mensajes de correo electrónico recuperados por clientes POP3.

Pueden crearse muchas acciones de proxy diferentes tanto para clientes como para servidores o para untipo de política de proxy específico. Sin embargo, puede asignarse sólo una acción de proxy a cada políticade proxy. Por ejemplo, una política POP3 está vinculada a una acción de proxy POP3-Cliente. Si desea crearuna acción de proxy POP3 para un servidor POP3 o una acción de proxy adicional para clientes POP3,deben agregarse nuevas políticas de proxy POP3 que usen esas nuevas acciones de proxy al PolicyManager.

Configurar la acción de proxy

Para establecer la acción de proxy para una política de proxy antes de crear la política, seleccione unaplantilla de política de proxy y luego seleccione la acción deseada en la lista desplegable Acción de proxy.

Para cambiar una acción de proxy para una política de proxy existente, haga clic en el botón Cambiar en laparte superior de la página, luego seleccione la acción deseada en la lista desplegable y haga clic en OK.

Editar, eliminar o clonar acciones de proxy

n Para editar una acción de proxy, modifique las configuraciones de una política de proxy que utiliceesa acción de proxy y guarde los cambios.

n Para eliminar una acción de proxy, ingrese en la página Firewall> Acciones de proxy. Seleccione laacción de proxy que desea borrar y haga clic en Eliminar. Si elige una acción de proxy que está enuso, debe modificar esa política de proxy para que use una acción de proxy diferente antes depoder eliminar la acción de proxy.

n Para realizar una copia de una acción de proxy y guardarla con un nuevo nombre, ingrese en lapágina Firewall> Acciones de proxy. Seleccione el proxy con las configuraciones que desea copiar yhaga clic en Clonar. Ingrese un nuevo nombre para la acción de proxy y haga clic en OK.

Para obtener más información sobre las configuraciones de acciones de proxy para cada proxy, consulte eltema Acerca de para ese proxy.





Página Acerca de Proxy HTTP en la página Página Acerca de Proxy de TCP-UDP en la página 319

292Página Acerca de Proxy HTTPS en la página301

Acerca de acciones de proxy definidas por el usuario ypredefinidas Acciones de proxy

Fireware XTM tiene acciones de proxy servidor y cliente predefinidas para cada proxy. Estas accionespredefinidas se configuran para equilibrar los requisitos de accesibilidad de una empresa típica con lanecesidad de proteger su capital de equipos contra ataques. Las configuraciones de acciones de proxypredefinidas no pueden modificarse. Si desea realizar cambios en la configuración, debe clonar (copiar) ladefinición existente y guardarla como una acción de proxy definida por el usuario. Los servicios desuscripción, como el Gateway AntiVirus, no pueden configurarse para acciones de proxy predefinidas.

Por ejemplo, si desea modificar una configuración en la acción de proxy HTTP Cliente, debe guardarla conun nombre diferente, como HTTP Cliente.1. Esto es necesario sólo cuando se realizan modificaciones en losconjuntos de reglas. Si se realizan cambios en configuraciones generales como los orígenes o destinospermitidos o las configuraciones NAT para una política, no es necesario guardarlas con un nuevo nombre.

Acerca del DNS proxyEl Sistema de domain name (DNS) es un sistema de servidores en red que traducen direcciones IPnuméricas en direcciones de Internet legibles y jerárquicas, y viceversa. DNS permite a la red de equiposcomprender, por ejemplo, que se desea alcanzar el servidor en 200.253.208.100 cuando se ingresa undomain name en el explorador, como www.watchguard.com. Con Fireware XTM, es posible controlar eltráfico DNS mediante dos métodos: el filtro de paquetes DNS y la política de proxy DNS. El proxy DNS es útilsólo si las solicitudes de DNS se enrutan a través de Firebox.

Cuando se crea un nuevo archivo de configuración, éste automáticamente incluye una política de filtradode paquetes salientes que admite todas las conexiones TCP y UDP desde las redes de confianza y opcional alas externas. Esto permite a los usuarios conectarse a un servidor DNS externo con los puertos TCP 53 yUDP 53 estándar. Dado que Saliente es un filtro de paquetes, no puede ofrecer protección contra troyanossalientes UDP comunes, explotaciones de DNS y otros problemas que ocurren cuando se abre todo eltráfico UDP saliente de las redes de confianza. El proxy DNS tiene funciones para proteger la red de estasamenazas. Si se utilizan servidores DNS externos para la red, el conjunto de reglas DNS Saliente ofrecemétodos adicionales de controlar los servicios disponibles a la comunidad de red.

Para agregar el proxy DNS a la configuración de Firebox, consulte Agregar una política de proxy a laconfiguración en la página 277.

Pestaña Política

n Las conexiones DNS Servidor proxy están: especifica si las conexiones están Permitidas, Negadas oNegadas (enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaña Políticade la definición de proxy). Vea Definir reglas de acceso a una política en la página 267.

n Usar el enrutamiento basado en la política: consulte Configurar el enrutamiento basado en lapolítica en la página 269.





n También puede configurarse NAT estática o el balance de carga en el servidor. Vea Acerca de la NATestática en la página 153 y Configurar Balance de carga en el servidor en la página 154.


n Para definir el registro para una política, haga clic en Registro y Determinar preferencias de registroy notificación en la página 360.

n Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas(enviar restablecer), se pueden bloquear sitios que intentan usar DNS. Vea Bloquear sitiostemporalmente con configuración de políticas en la página 346.

n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor deautenticación, Configurar un tiempo de espera inactivo personalizado en la página 270.

Pestaña Avanzada

Pueden usarse varias otras opciones en la definición de proxy:

n Establecer un cronograma operativon Agregar una Acción de administración de tráfico a una polítican Determinar Administración de errores ICMPn Aplicar reglas NAT (Tanto 1-to-1 NAT como NAT dinámica están activadas de manera

predeterminada en todas las políticas).n Activar el marcado QoS o configuraciones de priorización para una polítican Defina la duración de sticky connection para una política

Pestañas Configuración y Contenido

Las políticas de proxy de WatchGuard tienen opciones de seguridad de red y rendimiento adicionalesrelacionadas con el tipo de tráfico de red que controla el proxy. Para modificar estas configuraciones, editeuna política de proxy y seleccione la pestaña Configuración o Contenido.

n Proxy DNS : Configuraciónn Proxy DNS : Contenido

Proxy DNS : Contenido

Cuando se agrega una política de proxy DNS, se pueden configurar opciones adicionales relacionadas con elprotocolo DNS.

Para mejorar la seguridad de red y el rendimiento:

1. Edite o agregue la política DNS-Servidor proxy.Aparece la página "Configuración de Política".

2. Haga clic en la pestaña Contenido.3. Configure Tipos de consulta y Nombres de consulta.

Tipos de consulta

Esta lista muestra cada tipo de registro DNS y su valor. Para denegar solicitudes de registro DNSde un tipo específico, desmarque la casilla de verificación adyacente.

Nombres de consulta

Para denegar solicitudes DNS por patrón, seleccione la casilla de verificación Denegar estosnombres de consulta. Ingrese un nombre de host en el campo de texto adyacente y haga clicen Agregar.

Para borrar una entrada de la listaNombres de consulta, seleccione la entrada y haga clic enEliminar.

4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.5. Haga clic en Guardar.

Proxy DNS : Configuración

Cuando se agrega una política de proxy DNS, se pueden configurar opciones adicionales relacionadas con elprotocolo DNS.


1. Edite o agregue la política DNS-Servidor proxy.Aparece la página "Configuración de Política".

2. Seleccione la pestaña Configuración.3. Configurar las Reglas de detección de anomalías de protocolo.





Internet sin clasificar

La mayoría de las solicitudes DNS utilizan la clase IN o Internet. Muchos ataques, en cambio,utilizan las clases CH (caos) o HS (Hesiod). Sin embargo, algunas configuraciones de redrequieren que estas clases funcionen correctamente. Por ejemplo, se puede usar el servicio denombres Hesiod para distribuir automáticamente información de usuarios y grupos a través deuna red con el sistema operativo Unix. La acción predeterminada es denegar estas solicitudes.

Seleccione una opción para solicitudes DNS que usan las clases CH o HS:

n Permitirn Denegarn Descartarn Bloquear: todas las solicitudes futuras de ese dispositivo se bloquean automáticamente

durante un período determinado. Seleccione la opción apropiada en la lista desplegableadyacente.

Consulta con formato erróneo

Un atacante pueden intentar enviar solicitudes DNS que no coinciden con los estándares delprotocolo para obtener el control de la red. Sin embargo, otras aplicaciones a veces puedenenviar solicitudes con formato inadecuado que son necesarias para la organización.Recomendamos utilizar la configuración predeterminada y denegar las solicitudes DNS conformato inadecuado.

Seleccione una opción para solicitudes DNS con formato inadecuado:

n Permitirn Denegarn Descartarn Bloquear: todas las solicitudes futuras de ese dispositivo se bloquean automáticamente

durante un período determinado. Seleccione la opción apropiada en la lista desplegableadyacente.

Activar el registro para informes

Para enviar un mensaje de registro para cada solicitud de conexión administrada por el DNS-Servidor proxy, seleccione esta casilla de verificación. Debe activar esta opción para crearinformes precisos sobre el tráfico DNS Servidor proxy.


Página Acerca de Proxy FTPEl FTP (protocolo de transferencia de archivos) se usa para enviar archivos desde un equipo a otro diferentea través de una red TCP/IP. El cliente FTP es generalmente un equipo. El servidor FTP puede ser un recursoque mantiene archivos en la misma red o en una red diferente. El cliente FTP puede estar en uno de dosmodos para la transferencia de datos: activo o pasivo. En el modo activo, el servidor inicia una conexión conel cliente en el puerto de origen 20. En el modo pasivo, el cliente utiliza un puerto previamente negociadopara conectarse al servidor. El proxy FTP monitorea y examina estas conexiones FTP entre los usuarios y losservidores FTP a los que se conectan.

Con una política de proxy FTP es posible:

n Establecer la longitud máxima del nombre de usuario, la longitud de la contraseña, la longitud delnombre de archivo y la longitud de la línea de comandos permitidas a través del proxy para ayudar aproteger la red de ataques de fallas en la memoria intermedia.

n Controlar el tipo de archivos que el proxy FTP permite para cargas y descargas.

El proxy TCP/UDP está disponible para protocolos en puertos no estándares. Cuando el FTP utiliza un puertoque no es el puerto 20, el proxy TCP/UDP retransmite el tráfico al proxy FTP. Para obtener informaciónsobre el proxy TCP/UDP, consulte Página Acerca de Proxy de TCP-UDP en la página 319.

Para agregar el proxy FTP a la configuración de Firebox, consulte Agregar una política de proxy a laconfiguración en la página 277.

Pestaña Política

La pestaña Política se utiliza para definir reglas de acceso y otras opciones.

n Las conexiones FTP-Servidor proxy están: especifica si las conexiones están Permitidas, Negadas oNegadas (enviar restablecer). Defina quién figura en la lista Desde y Hasta (en la pestaña Política dela definición de proxy).

Para más informaciones, vea Definir reglas de acceso a una política.

n Usar el enrutamiento basado en la política: Configurar el enrutamiento basado en la política.n También puede configurarse NAT estática o el balance de carga en el servidor.

Para obtener más información, consulte Acerca de la NAT estática en la página 153 o ConfigurarBalance de carga en el servidor en la página 154.



n Si configura la lista desplegable Las conexiones de FTP Servidor proxy están (en la pestaña Política)en Negadas o Negadas (enviar restablecer), se pueden bloquear sitios que intentan usar FTP.Para más informaciones, vea Bloquear sitios temporalmente con configuración de políticas en lapágina 346.

n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor deautenticación, Configurar un tiempo de espera inactivo personalizado en la página 270.





Pestaña Avanzada






n Proxy FTP : Configuraciónn FTP DNS: Contenido

FTP DNS: Contenido

El usuario puede controlar el tipo de archivos que el proxy FTP permite para cargas y descargas. Porejemplo, debido a que muchos hackers utilizan archivos ejecutables para implementar virus o gusanos enun equipo, el usuario podría denegar solicitudes de archivos *.exe. O bien, si no dese permitir que losusuarios carguen archivos de Windows Media a un servidor FTP, puede agregar *.wma a la definición deproxy y especificar que estos archivos se rechazan. Utilice el asterisco (*) como carácter comodín.

1. Seleccione la pestaña Contenido.2. En la sección Descargas, seleccione la casilla de verificación Denegar estos tipos de archivos si

desea limitar los tipos de archivos que un usuario puede descargar.Esta casilla de verificación está seleccionada de manera predeterminada y restringe los tipos de archivos quelos usuarios pueden descargar a través del proxy FTP.

3. Si desea denegar archivos o tipos de archivos adicionales, ingrese un asterisco (*) y el nombre oextensión del archivo y luego haga clic en Agregar.

4. En la sección Cargas, seleccione la casilla de verificación Denegar estos tipos de archivos si desealimitar los tipos de archivos que un usuario puede descargar.Si selecciona esta configuración, no se permitirán los archivos que coincidan con los patronesmencionados.

5. Si desea denegar cualquier archivo o tipo de archivo adicional, ingrese un asterisco (*) y el nombreo extensión del archivo y luego haga clic en Agregar.


Proxy FTP : Configuración

Cuando se agrega una política de proxy FTP , pueden configurarse opciones adicionales relacionadas con elprotocolo FTP.


1. Edite o agregue la política FTP Servidor proxy.Aparece la página "Configuración de Política".

2. Seleccione la pestaña Configuración.3. Configurar esas opciones:

Longitud máxima de nombre de usuario

Defina el número máximo de caracteres que un usuario puede enviar en un nombre deusuario. Cuando un usuario se conecta a un servidor FTP, debe proporcionar un nombre deusuario para iniciar sesión. Los nombres de usuario muy extensos pueden ser signo de unataque de fallas en la memoria intermedia.

Extensión máxima de contraseña

Defina el número máximo de caracteres para contraseñas de usuarios. Cuando un usuario seconecta a un servidor FTP, debe proporcionar una contraseña para iniciar sesión. Lascontraseñas muy extensas pueden ser signo de un ataque de fallas en la memoria intermedia.

Extensión máxima de nombre de archivo





Defina el número máximo de caracteres en un nombre de archivo, para solicitudes de carga ydescarga. Algunos sistemas de archivo no pueden identificar o usar archivos con nombres dearchivos muy largos.

Extensión máxima de línea de comandos

Defina el número máximo de caracteres que un usuario puede enviar en un comando FTP. Losusuarios envían comandos a un servidor FTP para completar tareas con archivos. Los comandosmuy extensos pueden ser signo de un ataque de fallas en la memoria intermedia.

Cantidad máxima de inicios de sesión fallidos

Defina el número máximo de veces que un usuario puede intentar iniciar sesión antes de quese denieguen las conexiones. Los múltiples intentos de inicio de sesión fallidos pueden serresultado de un atacante que utiliza ataques de diccionario para obtener acceso al servidor.


Para enviar un mensaje de registro para cada solicitud de conexión administrada por el FTPServidor proxy, seleccione esta casilla de verificación. Debe activar esta opción para crearinformes precisos sobre el tráfico FTP Servidor proxy.

4. Para bloquear automáticamente conexiones que no coinciden con la configuración en esa opción,seleccione la casilla de verificación adyacente Bloqueo automático.


Página Acerca de ALG H.323Si en la empresa se usa voz sobre IP (VoIP), el usuario puede agregar una ALG (puerta de enlace de la capade aplicación) H.323 o SIP (Protocolo de inicio de sesión) para abrir los puertos necesarios para activar VoIPa través del dispositivo WatchGuard. Una ALG se crea del mismo modo que una política de proxy y ofreceopciones de configuración similares. Estas ALG se han creado para funcionar en un entorno NAT paramantener la seguridad en equipos de conferencias con direcciones privadas protegidos por el dispositivoWatchGuard.

H.323 en general se usa en equipos de videoconferencia e instalaciones de voz más antiguos. SIP es unestándar más nuevo que es más común en entornos hospedados, donde sólo dispositivos extremos comoteléfonos están hospedados en la ubicación de la empresa y un proveedor de VoIP administra laconectividad. Si es necesario se pueden usar ALG H.323 y SIP al mismo tiempo. Para determinar qué ALGagregar, consulte la documentación para los dispositivos o aplicaciones VoIP.

Componentes de VoIP

Es importante comprender que en general VoIP se implementa mediante el uso de:

Conexiones punto a punto

En una conexión punto a punto, cada uno de los dos dispositivos conoce la dirección IP del otrodispositivo y se conecta al otro directamente. Si los dos puntos se encuentran detrás de Firebox,éste puede enrutar el tráfico de llamada correctamente.

Conexiones hospedadas

Conexiones hospedadas por un sistema de gestión de llamadas (PBX)

Con H.323, el componente clave de la gestión de llamadas se conoce como gatekeeper. Un gatekeepergestiona las llamadas VoIP para un grupo de usuarios y puede encontrarse en una red protegida por eldispositivo WatchGuard o en una ubicación externa. Por ejemplo, algunos proveedores VoIP hospedan ungatekeeper en la red a la que el usuario debe conectarse antes de que éste pueda realizar una llamadaVoIP. Otras soluciones requieren que el usuario configure y mantenga un gatekeeper en su red.

La coordinación del gran número de componentes de una instalación VoIP puede ser compleja.Recomendamos asegurarse de que las conexiones VoIP funcionen en forma satisfactoria antes de agregaruna ALG H.323 o SIP. Esto puede ayudar al usuario a resolver cualquier problema.

Funciones de ALG

Cuando se activa una ALG H.323, el dispositivo WatchGuard:

n Responde automáticamente a aplicaciones VoIP y abre los puertos adecuados.n Se asegura de que las conexiones VoIP usen protocolos H.323 estándar.n Genera mensajes de registro con fines de auditoría.

Muchos dispositivos y servidores VoIP utilizan NAT (traducción de dirección de red) para abrir y cerrarpuertos automáticamente. Las ALG H.323 y SIP también cumplen esta función. Se debe desactivar NAT enlos dispositivos VoIP si se configura una ALG H.323 o SIP .

Pestaña Política

n Las conexiones ALG-H.323 están: especifica si las conexiones están Permitidas, Negadas o Negadas(enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaña Política de ladefinición de ALG).Para más informaciones, vea Definir reglas de acceso a una política en la página 267.

n Usar el enrutamientobasado en la política : si desea utilizar el enrutamiento basado en la políticaenladefinición de proxy, consulte Configurar el enrutamiento basado en la política en la página269.

n También puede configurarse NAT estática o el balance de carga en el servidor.Para más informaciones, vea Acerca de la NAT estática en la página 153 y Configurar Balance decarga en el servidor en la página 154.



n Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas(enviar restablecer), se pueden bloquear sitios que intentan usar DNS.Para más informaciones, vea Bloquear sitios temporalmente con configuración de políticas en lapágina 346.

n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor deautenticación, Configurar un tiempo de espera inactivo personalizado.





Pestaña Avanzada

También puede usar estas opciones en la definición de proxy:





n ALG H.323: Configuraciónn ALG H.323: Contenido

ALG H.323: Contenido

Cuando se agrega una ALG (puerta de enlace de la capa de aplicación) H.323, se pueden configuraropciones adicionales relacionadas con el protocolo H.323.


1. Editar o agregar la política ALG H.323.Aparece la página "Configuración de Política".

2. Haga clic en la pestaña Contenido.3. Configurar esas opciones:

Codecs negados

Utilice esta función para denegar uno o más codecs VoIP . Cuando se abre una conexión VoIPH.323 que usa un codec especificado en esta lista, el dispositivo WatchGuard cierra la conexiónautomáticamente. Esta lista está vacía de manera predeterminada. Recomendamos agregar un

codec a esta lista si consume demasiado ancho de banda, presenta un riesgo de seguridad o sies necesario lograr que la solución VoIP funcione correctamente. Por ejemplo, pude optar pordenegar los codecs G.711 o G.726 porque usan más de 32 Kb/seg de ancho de banda o puedeoptar por denegar el codec Speex porque es utilizado por un codec VoIP no autorizado.

Para agregar un codec a la lista:

n En el cuadro de texto Codecs, ingrese el nombre del codec o el patrón de texto único.No use caracteres comodín ni sintaxis de expresión regular. Los patrones de codecdistinguen mayúsculas de minúsculas.

n Haga clic en Agregar.

Para eliminar un codec de la lista:

n Seleccione un codec en la lista.n Haga clic en Eliminar.

Activar control de acceso para VoIP

Seleccione esta casilla de verificación para activar la función de control de acceso. Cuando estéactivada, la ALG H.323 permite o restringe llamadas según las opciones configuradas.

Configuración predeterminada

n Seleccione la casilla de verificación Iniciar llamadas VoIP para permitir que todos losusuarios VoIP inicien llamadas de manera predeterminada.

n Seleccione la casilla de verificación Recibir llamadas VoIP para permitir que todos losusuarios VoIP reciban llamadas de manera predeterminada.

n Seleccione la casilla de verificación adyacente Registro para crear un mensaje deregistro para cada conexión VoIP H.323 iniciada o recibida.





Niveles de acceso

Para crear una excepción a la configuración predeterminada especificada anteriormente:

n Ingrese un nombre de host, dirección IP o dirección de correo electrónico.n Seleccione un nivel de acceso en la lista desplegable adyacente.n Haga clic en Agregar.

Se puede permitir que los usuarios inicien llamadas únicamente, reciban llamadasúnicamente, inicien y reciban llamadas o denegarles el acceso VoIP. Estas configuraciones seaplican sólo al tráfico VoIP H.323.

Si desea eliminar una excepción:

n Seleccione la excepción en la lista.n Haga clic en Eliminar.

Las conexiones realizadas por usuarios que tienen una excepción de nivel de acceso seregistran de manera predeterminada. Si no desea registrar conexiones realizadas por unusuario con una excepción de nivel de acceso, desmarque la casilla de verificación Registrocuando cree la excepción.


ALG H.323: Configuración

Cuando se agrega una ALG (puerta de enlace de la capa de aplicación) H.323, se pueden configuraropciones adicionales relacionadas con el protocolo H.323.


1. Editar o agregar la política ALG H.323.Aparece la página "Configuración de Política".


Activar protección de cosecha de directorio.

Seleccione esta casilla de verificación para asegurarse de que los atacantes no puedan robarinformación de usuarios a gatekeepers VoIP protegidos por Firebox. Esa opción es activada pordefecto.

Sesiones máximas

Esta función para restringe el número máximo de sesiones de audio o video que puedencrearse con una única llamada VoIP . Por ejemplo, si el usuario define el número de sesionesmáximas en una y participa en una llamada VoIP con audio y video, la segunda conexión sedescarta. El valor predeterminado es dos sesiones y el valor máximo es cuatro sesiones.Firebox crea una entrada de registro cuando niega una sesión multimedia por encima de estenúmero.

Información del agente usuario

Para identificar el tráfico H.323 saliente como un cliente específico, ingrese una nueva cadenade agente usuario en el cuadro de texto Reescribir agente usuario como.

Para eliminar el agente usuario falso, desmarque el cuadro de texto.

Tiempos de espera

Cuando no se envían datos durante un período determinado en un canal VoIP de audio, videoo datos, Firebox cierra esa conexión de red. El valor predeterminado es 180 segundos (tresminutos) y el valor máximo es 3600 segundos (60 minutos). Para especificar un intervalo detiempo diferente, ingrese el número en segundos en el cuadro de texto Canales de mediosinactivos.


Seleccione esta casilla de verificación para enviar un mensaje de registro para cada solicitud deconexión administrada por la ALG H.323. Esta opción es necesaria para que InformesWatchGuard cree informes precisos sobre el tráfico H.323. Esa opción es activada por defecto.


Página Acerca de Proxy HTTPEl protocolo de transferencia de hipertexto (HTTP) es un protocolo de solicitud/respuesta entre clientes yservidores. El cliente HTTP en general es un explorador web. El servidor HTTP es un recurso remoto quealmacena archivos HTML, imágenes y otro contenido. Cuando el cliente HTTP inicia una solicitud, estableceuna conexión del TCP (Protocolo de control de transmisión) en el puerto 80. Un servidor HTTP escuchasolicitudes en el puerto 80. Cuando recibe la solicitud del cliente, el servidor responde con el archivosolicitado, un mensaje de error o alguna otra información.

El proxy HTTP es un filtro de contenido de alto rendimiento. Examina el tráfico web para identificarcontenido sospechoso que puede ser un virus u otro tipo de intrusión. También puede proteger de ataquesa su servidor HTTP.

Con un filtro de proxy HTTP, es posible:

n Ajuste los tiempos de espera y los límites de duración de las solicitudes y respuestas HTTP paraevitar el mal desempeño de la red, como también varios ataques.

n Personalizar el deny message que los usuarios ven cuando intentan conectarse a un sitio webbloqueado por el proxy HTTP.

n Filtrar tipos MIME de contenido web.





n Bloquear patrones de ruta y URL especificados.n Negar cookies de sitios web especificados.

También se puede usar el proxy HTTP con la suscripción de seguridad WebBlocker. Para más información,vea Acerca de las WebBlocker en la página 561.

El proxy TCP/UDP está disponible para protocolos en puertos no estándares. Cuando HTTP utiliza un puertoque no es el puerto 80, el proxy TCP/UDP envía el tráfico al proxy HTTP. Para obtener información sobre elproxy TCP/UDP, consulte Página Acerca de Proxy de TCP-UDP en la página 319.

Para agregar el proxy HTTP a la configuración del dispositivo Firebox o XTM, consulte Agregar una políticade proxy a la configuración en la página 277.

Pestaña Política

n Las conexiones HTTP Servidor proxy están Especifique si las conexiones están Permitidas, Negadaso Negadas (enviar restablecer) y seleccione los usuarios, equipos o redes que aparecen en las listasDesde y Hasta (en la pestaña Política de la definición de proxy). Para más información, vea Definirreglas de acceso a una política en la página 267.

n Usar el enrutamiento basado en políticas Para utilizar el enrutamiento basado en políticas en ladefinición de proxy, consulte Configurar el enrutamiento basado en la política en la página 269.

n También puede configurarse NAT estática o el balance de carga en el servidor.Para más información, vea Acerca de la NAT estática en la página 153 y Configurar Balance de cargaen el servidor en la página 154.


n Para definir el registro para una política, haga clic en Generación de registros y Determinarpreferencias de registro y notificación .

n Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas(enviar restablecer), se pueden bloquear los dispositivos que intentan conectarse por el puerto 80.Para más información, vea Bloquear sitios temporalmente con configuración de políticas en lapágina 346.

n Si desea utilizar un tiempo de espera inactivo distinto del especificado por el dispositivo Firebox oXTM o el servidor de autenticación, Configurar un tiempo de espera inactivo personalizado.

Pestaña Avanzada




Pestañas Configuración, Contenido y Application Blocker

Las políticas de proxy de WatchGuard tienen opciones de seguridad de red y rendimiento adicionalesrelacionadas con el tipo de tráfico de red que controla cada proxy. Para modificar estas configuraciones,edite una política de proxy y seleccione la pestaña Configuración, Contenido o Application Blocker.

n Proxy HTTP: Pestaña Configuraciónn Proxy HTTP: Pestaña Contenidon Proxy HTTP: Application Blocker

Vea también

Permitir actualizaciones de Windows a través del proxy HTTP

Los servidores Windows Update identifican el contenido que entregan a un equipo como una transmisiónbinaria genérica (como transmisión de octetos), la cual queda bloqueada por las reglas de proxy HTTPpredeterminadas. Para permitir actualizaciones de Windows a través del proxy HTTP, se debe editar elconjunto de reglas de proxy HTTP Cliente para agregar excepciones de proxy HTTP para los servidoresWindows Update.

1. Asegúrese de que Firebox permita conexiones salientes en el puerto 443 y el puerto 80.Estos son los puertos que usan los equipos para contactar a los servidores Windows Update.

2. Seleccione la pestaña Configuración de la política de proxy HTTPS.





3. En el cuadro de texto a la izquierda del botón Agregar , ingrese o pegue cada uno de estos dominiosy haga clic en Agregar después de cada uno:windowsupdate.microsoft.com

download.windowsupdate.com

update.microsoft.com

download.microsoft.com

ntservicepack.microsoft.com

wustat.windows.com

v4.windowsupdate.microsoft.comv5.windowsupdate.microsoft.com


Si aún no puede descargar actualizaciones de Windows

Si tiene más de una política de proxy HTTP, asegúrese de agregar las excepciones HTTP a la política y acciónde proxy correctas.

Microsoft no limita las actualizaciones sólo a estos dominios. Examine los registros de tráfico negado a undominio de propiedad de Microsoft. Busque el tráfico negado por el proxy HTTP. La línea de registro debeincluir el dominio. Agregue cualquier nuevo dominio de Microsoft a la lista de excepciones de proxy HTTP yluego vuelva a ejecutar Windows Update.

Proxy HTTP: Pestaña Contenido

Ciertos tipos de contenido que los usuarios solicitan a sitios web pueden ser una amenaza para la seguridadde la red. Otros tipos de contenido pueden disminuir la productividad de los usuarios. Si la definición deproxy predeterminada no satisface todas las necesidades de la empresa, se puede agregar, eliminar omodificar la definición.

Para configurar restricciones para contenido HTTP :

1. Edite o agregue la política HTTP Servidor proxy.Aparece la página "Configuración de Política".

2. Haga clic en la pestaña Contenido.

3. Configure las opciones como se describe en las siguientes secciones.4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.5. Haga clic en Guardar.

Tipo de contenido

Cuando un servidor web envía tráfico HTTP, en general agrega un tipo MIME o tipo de contenido alencabezado del paquete que muestra el tipo de contenido que incluye el paquete. El encabezado HTTP enel tren de datos contiene este tipo MIME. Se agrega antes de enviar los datos.

El formato de un tipo MIME es tipo/subtipo. Por ejemplo, si desea permitir imágenes JPEG, debe agregarimagen/jpg a la definición de proxy. También puede usar el asterisco (*) como comodín. Para permitircualquier formato de imagen, se agrega imagen/*.

Para obtener una lista de tipos MIME registrados y actualizados, ingrese enhttp://www.iana.org/assignments/media-types.



http://www.iana.org/assignments/media-types

http://www.iana.org/assignments/media-types



1. Seleccione la casilla de verificación Permitir sólo los tipos de contenido seguro si desea limitar lostipos de contenido permitidos a través a través del proxy. De manera predeterminada se incluyeuna lista de tipos de MIME comunes.

2. Para agregar tipos de contenido comunes a la lista, en la lista Tipos de contenido predefinidos ,seleccione el tipo de MIME y haga clic en <.

3. Para agregar otros tipos de contenido, en el cuadro de texto Tipos de contenido, ingrese un tipo decontenido y haga clic en Agregar.

4. Para eliminar un tipo de contenido, selecciónelo en la lista Tipos de contenido y haga clic enEliminar.No se pueden eliminar tipos de contenido predefinidos.

Patrones de nombre de archivo

Una URL (localizador uniforme de recursos) identifica un recurso en un servidor remoto e indica laubicación de la red en ese servidor. La ruta de URL es la cadena de información después del domain namede nivel superior. Se puede usar el proxy HTTP para bloquear sitios web que contienen texto especificadoen la ruta de URL. Si la definición de proxy predeterminada no satisface todas las necesidades de laempresa, se puede agregar, eliminar o modificar los patrones de ruta de URL. Utilice el asterisco (*) comocarácter comodín. Por ejemplo:

n Para bloquear todas las páginas que tienen el nombre de hostwww.prueba.com, ingrese el patrón:www.prueba.com*

n Para bloquear todas las rutas que contienen la palabra sexo, en todos los sitios web, ingrese: *sexo*n Para bloquear rutas de URL que terminan en *.prueba, en todos los sitios web, ingrese: *.prueba

Para bloquear patrones de rutas de URL no seguros:

1. Parausar reglasde rutasde URL para filtrar el contenidodel host, la rutay los componentesde lacadenade consultade unaURL, seleccione lacasillade verificaciónDenegar lospatronesde nombresde archivosno seguros.El nombre especifica los nombres de archivos pero cualquier patrón que se ingresa se aplica a toda la ruta de URL .

2. Para agregar un nuevo patrón de ruta, ingrese la ruta y haga clic en Agregar.3. Para eliminar un patrón de ruta, seleccione el patrón y haga clic en Eliminar.

Cookies

Las cookies HTTP son pequeños archivos de texto alfanumérico que los servidores web ponen en losclientes web. Las cookies controlan la página en la que está un cliente web para permitir al servidor webenviar más páginas en la secuencia correcta. Los servidores web también usan cookies para reunirinformación acerca de un usuario final. Muchos sitios web usan cookies para autenticación y otras funcioneslegítimas y no pueden funcionar correctamente sin cookies.

El proxy HTTP busca paquetes según el dominio asociado con la cookie. El dominio puede especificarse enla cookie. Si la cookie no contiene un dominio, el proxy usa el nombre de host en la primera solicitud. Porejemplo, para bloquear todas las cookies para nosy-adware-site.com, use el patrón: *.nosy-adware-site.com. Si desea rechazar cookies de todos los subdominios en un sitio web, use el símbolo comodín (*)antes y después del dominio. Por ejemplo, *google.com* bloquea todos los subdominios de google.com,como images.google.com ymail.google.com.

Para bloquear cookies de sitios:

1. Para bloquear cookies de un sitio en particular, seleccione la casilla de verificación Denegar lascookies de estos sitios.

2. En el siguiente cuadro de texto, ingrese el domain name del sitio web o dominios parcial concomodines.

3. Haga clic en Agregar.4. Haga clic en Enviar.

Proxy HTTP: Pestaña Configuración

Para determinar los parámetros HTTP básicos:

1. Edite o agregue la política HTTP Servidor proxy.Aparece la página "Configuración de Política".

2. Seleccione la pestaña Configuración.

3. Configure las opciones como se describe en las siguientes secciones.4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.5. Haga clic en Guardar.

Solicitudes HTTP

Tiempo de espera de conexión inactivo

Determina el tiempo que la conexión TCP de la sesión HTTP permanece abierta cuando no hancirculado paquetes a través de ella. Si ningún paquete atraviesa la conexión TCP durante el tiempoespecificado, la conexión TCP se cierra. Dado que toda sesión de TCP utiliza una pequeña cantidadde memoria en Firebox y los exploradores y servidores no siempre cierran las sesiones HTTPcorrectamente, esta opción se usa para controlar el rendimiento. En el campo adyacente, ingrese lacantidad de minutos antes de que el proxy se desconecte.

Longitud máxima de URL

Define el número máximo de caracteres permitidos en una URL. En esta área del proxy, URL incluyea todo lo que compone a la dirección web después del dominio de nivel superior. Esto incluye elcarácter diagonal pero no el nombre de host (www.miejemplo.com omiejemplo.com). Por ejemplo,la URL www.miejemplo.com/productos cuenta diez caracteres para este límite porque /productostiene diez caracteres.

El valor predeterminado de 2048 en general es suficiente para cualquier URL solicitado por unequipo detrás de Firebox. Una URL que es muy larga puede indicar un intento de comprometer a unservidor web. La extensión mínima es de 15 bytes. Se recomienda mantener esta configuraciónactivada con las configuraciones predeterminadas. Esto ayuda a protegerse contra clientes webinfectados en las redes que protege el proxy HTTP.

Seleccione esta casilla de verificación para enviar un mensaje de registro para cada solicitud deconexión administrada por el HTTP Servidor proxy. Esta opción es necesaria para que InformesWatchGuard cree informes precisos sobre el tráfico HTTP.





Respuestas HTTP

Tiempo de espera

Controla durante cuánto tiempo el proxy HTTP espera que el servidor web envíe la página web.Cuando un usuario hace clic en un hipervínculo o ingresa una URL en la barra de dirección delexplorador web, envía una solicitud HTTP a un servidor remoto para obtener el contenido. En lamayoría de los exploradores, la barra de estado muestra, Contactando al sitio... o un mensajesimilar. Si el servidor remoto no responde, el cliente HTTP continúa enviando la solicitud hasta querecibe una respuesta o hasta que la solicitud ingresa en tiempo de espera. Al mismo tiempo, elproxy HTTP continúa controlando la conexión y usa recursos de red valiosos.

Extensión máxima de línea

Controla la extensión máxima permitida de una línea de caracteres en los encabezados de respuestaHTTP. Defina este valor para proteger a sus equipos contra explotaciones por fallas en la memoriaintermedia. Dado que las URL para muchos sitios de comercio continúan aumentando la extensióncon el tiempo, es posible que en el futuro necesite ajustar este valor.


Seleccione esta casilla de verificación para enviar un mensaje de registro para cada solicitud deconexión administrada por el HTTP Servidor proxy. Debe activar esta opción para crear informesprecisos sobre el tráfico HTTP Servidor proxy.

Mensaje de negación

Cuando se niega el contenido, el dispositivo WatchGuard envía un deny message predeterminado quereemplaza al contenido negado. El usuario puede escribir un nuevo deny message para reemplazar el denymessage predeterminado. Puede personalizar el deny message con HTML estándar. También puede usarcaracteres Unicode (UTF-8) en el mensaje de negación. La primera línea del deny message es uncomponente del encabezado HTTP. Debe incluir una línea vacía entre la primera línea y el cuerpo delmensaje.

El deny message de Firebox aparece en el explorador web cuando el usuario realiza una solicitud que elproxy HTTP no permite. También recibe un deny message cuando la solicitud está permitida, pero el proxyHTTP niega la respuesta del servidor web remoto. Por ejemplo, si un usuario intenta descargar un archivo.exe y se ha bloqueado ese tipo de archivo, el usuario visualiza un deny message en el explorador web. Si elusuario intenta descargar una página web que tiene tipo de contenido desconocido y la política de proxyestá configurada para bloquear tipos MIME desconocidos, el usuario visualiza un mensaje de error en elexplorador web. El deny message predeterminado puede verse en el campoMensaje de negación. Paracambiar este mensaje por otro personalizado, utilice estas variables:

%(transacción)%

Incluye Solicitud o Respuesta en el deny message para mostrar qué lado de la transacción causó lanegación del paquete.

%(motivo)%

Incluye el motivo por el que Firebox negó el contenido.

%(método)%

Incluye el método de solicitud de la solicitud negada.

%(Host de URL)%

Incluye el nombre de host del servidor de la URL negada. Si no se incluyó un nombre de host, seincluye la dirección IP del servidor.

%(ruta de URL)%

Incluye el componente de la ruta del URL negado.

Excepciones de proxy HTTP

Para ciertos sitios web, se usan excepciones de proxy HTTP para derivar las reglas de proxy HTTP, pero no elmarco de proxy. El tráfico que coincide con las excepciones de proxy HTTP aún atraviesa la administraciónde proxy estándar utilizada por el proxy HTTP. Sin embargo, cuando ocurre una coincidencia, algunasconfiguraciones de proxy no se incluyen.

El usuario puede agregar nombres de host o patrones como excepciones de proxy HTTP. Por ejemplo, sibloquea todos los sitios web terminados en .prueba pero desea permitir que los usuarios visiten el sitiowww.ejemplo.com, puede agregar www.ejemplo.com como una excepción de proxy HTTP.

El usuario especifica la dirección IP o el domain name de los sitios que desea permitir. El domain name (ohost) es la parte de un URL que termina en .com, .net, .org, .biz, .gov o .edu. Los domain names tambiénpueden terminar en un código de país, como .de (Alemania) o .jp (Japón).

Para agregar un domain name, ingrese el patrón de URL sin el inicio http://. Por ejemplo, para permitir quelos usuarios visiten el sitio web de WatchGuard http://www.watchguard.com, ingresewww.watchguard.com. Si desea permitir todos los subdominios que contienen watchguard.com, puedeusar el asterisco (*) como carácter comodín. Por ejemplo, para permitir que los usuarios visitenwatchguard.com,www.watchguard.com y support.watchguard.com, ingrese:*.watchguard.com

1. En el cuadro de texto adyacente a Agregar, ingrese la dirección IP de host o el domain name delsitio web que desea permitir.

2. Haga clic en Agregar.Repita este proceso para cada host o domain name adicional que desea agregar.

3. Si desea que se grabe un mensaje de registro en el archivo de registro cada vez que ocurre unatransacción web en un sitio web en la lista de excepciones, seleccione la casilla de verificaciónRegistrar cada excepción de HTTP.

Proxy HTTP: Application Blocker

El Application Blocker puede usarse para definir las accionesque realizael dispositivo Firebox oXTM cuandounapolítica de proxy HTTP detecta el tráfico de red demensajería instantánea (IM) opunto apunto (P2P).

En la pestaña Application Blocker, seleccione los tipos de aplicación IM y P2P a detectar y sus accionesasociadas.





Para obtener información acerca de estas configuraciones, consulte Acerca de las configuraciones deApplication Blocker en la página 274.

Página Acerca de Proxy HTTPSHTTPS (Protocolo de transferencia de hipertexto sobre nivel de seguridad de la conexión, o HTTP sobre SSL)es un protocolo de solicitud/respuesta entre clientes y servidores utilizado para comunicaciones ytransacciones seguras. El proxy HTTPS puede utilizarse para asegurar un servidor web protegido por Fireboxo para examinar el tráfico HTTPS solicitado por clientes en su red. De manera predeterminada, cuando elcliente HTTPS inicia una solicitud, establece una conexión TCP (protocolo de control de transmisión) en elpuerto 443. La mayoría de los servidores HTTPS escuchan solicitudes en el puerto 443.

HTTPS es más seguro que HTTP porque usa un certificado digital para cifrar y descifrar solicitudes de páginadel usuario además de las páginas reenviadas por el servidor web. Debido a que el tráfico HTTPS estácifrado, Firebox debe descifrarlo para poder examinarlo. Después de examinar el contenido, Firebox cifrael tráfico con un certificado y lo envía al destino previsto.

El usuario puede exportar el certificado predeterminado creado por Firebox para esta función o importarun certificado para que Firebox use. Si se usa el proxy HTTPS para examinar el tráfico web solicitado por losusuarios de la red, se recomienda exportar el certificado predeterminado y distribuirlo a cada usuario paraque no reciban advertencias del explorador acerca de certificados que no son de confianza. Si se usa elproxy HTTPS para asegurar un servidor web que acepta solicitudes de una red externa, se recomiendaimportar el certificado del servidor web existente por la misma razón.

Cuando un cliente o servidor HTTPS usa un puerto distinto del puerto 443 en la empresa, se puede usar elproxy TCP/UDP para retransmitir el tráfico al proxy HTTPS. Para obtener información sobre el proxyTCP/UDP , consulte Página Acerca de Proxy de TCP-UDP en la página 319.

Pestaña Política

n Las conexiones HTTPS Servidor proxy están: especifica si las conexiones están Permitidas, Negadaso Negadas (enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestañaPolítica de la definición de proxy). Para más informaciones, vea Definir reglas de acceso a unapolítica en la página 267.

n Usar el enrutamiento basado en la política : para utilizar el enrutamiento basado en la política en ladefinición de proxy, consulte Configurar el enrutamiento basado en la política en la página 269.

n También puede configurarse NAT estática o el balance de carga en el servidor. Para obtener más información, consulte Acerca de la NAT estática en la página 153 y ConfigurarBalance de carga en el servidor en la página 154.


n Para definir el registro para una política, haga clic en Registro y Determinar preferencias de registroy notificación .

n Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas(enviar restablecer), se pueden bloquear sitios que intentan usar HTTPS. Para más informaciones,vea Bloquear sitios temporalmente con configuración de políticas en la página 346.


Pestaña Avanzada





Las políticas de proxy de WatchGuard tienen opciones de seguridad de red y rendimiento adicionalesrelacionadas con el tipo de tráfico de red que controla el proxy. Para modificar estas configuraciones, editeuna política de proxy y seleccione la pestaña Configuración o Contenido. Para más información, vea:

n Proxy HTTPS : Configuraciónn Proxy de HTTPS: Contenido

Proxy de HTTPS: Contenido

Cuando se agrega una política de proxy HTTPS, se pueden configurar opciones adicionales relacionadas conel protocolo HTTPS.


1. Edite o agregue la política HTTPS Servidor proxy.Aparece la página de Configuración de políticas.







Activar inspección profunda de contenido HTTPS

Cuando esta casilla de verificación está seleccionada, Firebox descifra el tráfico HTTPS, examinael contenido y vuelve a cifrar el tráfico con un nuevo certificado. La política de proxy HTTP quese elige en esta página examina el contenido.

Nota Si otro tipo de tráfico usa el puerto HTTPS, como el tráfico SSL VPN , serecomienda evaluar esta opción con atención. El proxy de HTTPS intenta examinartodo el tráfico en el puerto 443 de TCP de la misma manera. Para asegurarse deque otras fuentes de tráfico funcionen correctamente, se recomienda agregar esasfuentes a la lista de derivación. Para obtener más información consulte la siguientesección.

De manera predeterminada, Firebox genera automáticamente el certificado utilizado paracifrar el tráfico. El usuario también puede cargar su propio certificado. Si el sitio web original oel servidor web tienen un certificado no válido o con suscripción propia o si el certificado fuefirmado por una CA que Firebox no reconoce, aparece una advertencia del explorador acercadel certificado. Los certificados que no pueden volverse a firmar correctamente aparecencomo emitidos por el Proxy HTTPS Fireware: Certificado no reconocido o simplementeCertificado no válido.

Se recomienda importar el certificado que se usa, además de cualquier otro certificadonecesario para que el cliente confíe en ese certificado, en cada dispositivo cliente. Cuando uncliente no confía automáticamente en el certificado utilizado para la función de inspección decontenido, aparece una advertencia en el explorador y servicios como Windows Update nofuncionan correctamente.

Algunos programas, como algunos programas de mensajería instantánea o comunicación,guardan copias privadas de certificados y no usan el almacenamiento de certificados delsistema operativo. Si estos programas no tienen un método para importar certificados de CAde confianza, es posible que no funcionen correctamente cuando se activa la inspección decontenido.

Para más informaciones, vea Acerca de los certificados en la página 385 o Usar Certificadospara el proxy de HTTPS en la página 397.

Acción de proxy

Seleccione una política de proxy HTTP para que Firebox use cuando inspecciona contenidoHTTPS descifrado.

Cuando activa la inspección de contenido, las configuraciones de WebBlocker de la acción delproxy de HTTP anulan las configuraciones de WebBlocker del proxy de HTTPS. Si agregadirecciones IP a la lista de derivación para la inspección de contenido, el tráfico de esos sitiosse filtra con las configuraciones de WebBlocker del proxy HTTPS.

Para más información en la configuración del WebBlocker, vea Acerca de las WebBlocker en lapágina 561.

Usar OCSP para confirmar la validez de los certificados

Seleccione esta casilla de verificación para que Firebox automáticamente verifique lasrevocaciones de certificados con OCSP (Protocolo de estado de certificado en línea). Cuandoesta función está activada, Firebox usa información en el certificado para contactar a unservidor OCSP que mantiene un registro del estado del certificado. Si el servidor OCSPresponde que el certificado ha sido revocado, Firebox desactiva el certificado.

Si selecciona esta opción, puede ocurrir una demora de varios segundos mientras Fireboxsolicita una respuesta del servidor OCSP . Firebox guarda entre 300 y 3000 respuestas de OCSPpara mejorar el rendimiento para sitios web visitados con frecuencia. El modelo de Fireboxdetermina el número de respuestas guardadas en el caché.

Tratar los certificados que no puedan ser confirmados como no válidos

Cuando esta opción está seleccionada y un respondedor OCSP no envía una respuesta a unasolicitud de estado de revocación, Firebox considera el certificado original como no válido orevocado. Esta opción puede hacer que los certificados se consideren no válidos si hay un errorde enrutamiento o un problema con la conexión de red.

Lista de derivación

Firebox no inspecciona contenido enviado hacia o desde direcciones IP en esta lista. Paraagregar un sitio web o nombre de host, ingrese la dirección IP en el cuadro de texto y haga clicen el botón Agregar.

Cuando activa la inspección de contenido, las configuraciones de WebBlocker de la acción delproxy de HTTP anulan las configuraciones de WebBlocker del proxy de HTTPS. Si agregadirecciones IP a la lista de derivación para la inspección de contenido, el tráfico de esos sitiosse filtra con las configuraciones de WebBlocker del proxy HTTPS.

Para más información en la configuración del WebBlocker, vea Acerca de las WebBlocker en lapágina 561.


Proxy HTTPS : Configuración

Cuando se agrega una política de proxy HTTPS, se pueden configurar opciones adicionales relacionadas conel protocolo HTTPS.


1. Edite o agregue la política HTTP Servidor proxy.Aparece la página de Configuración de políticas.




Seleccione esta casilla de verificación para cerrar conexiones HTTPS que no han enviado orecibido tráfico durante el tiempo especificado. Para cambiar el límite de tiempo, ingrese oseleccione un número en el cuadro de texto adyacente.

Nombres del certificado





El usuario puede permitir o negar el acceso a sitios web cuando el certificado coincide con unpatrón de esta lista desplegable. Esta función actúa aunque no se use la inspección decontenido profunda para descifrar el tráfico de red HTTPS.

n Permitir: seleccione esta opción para permitir tráfico desde sitios que coinciden con lospatrones en la lista Nombres del certificado.

n Negar : seleccione esta opción para rechazar conexiones de sitios que coinciden y enviarun deny message al sitio.

n Descartar : seleccione esta opción para rechazar conexiones sin un mensaje denegación.

n Bloquear : seleccione esta opción para descartar conexiones y automáticamente agregarel sitio a la lista Sitios bloqueados.

Para agregar un sitio web, ingrese el domain name (en general la URL) del certificado en elcuadro de texto adyacente y haga clic en Agregar.

Para eliminar un sitio, selecciónelo y haga clic en Eliminar.


Seleccione esta casilla de verificación para enviar un mensaje de registro para cada solicitud deconexión administrada por el HTTPS Servidor proxy. Debe activar esta opción para crearinformes precisos sobre el tráfico HTTPS Servidor proxy.


Página Acerca de Proxy POP3POP3 (Protocolo de Oficina de Correos v.3) es un protocolo que mueve mensajes de correo electrónicodesde un servidor de correo electrónico a un cliente de correo electrónico en una conexión TCP a travésdel puerto 110. La mayoría de las cuentas de correo electrónico basadas en Internet usan POP3. Con POP3,un cliente de correo electrónico contacta a un servidor de correo electrónico y verifica si tiene mensajesde correo electrónico nuevos. Si encuentra un nuevo mensaje, descarga el mensaje de correo electrónicoal cliente de correo electrónico local. Después de que el cliente de correo electrónico recibe el mensaje, laconexión se cierra.

Con un filtro de proxy POP3, es posible:

n Ajustar los límites de tiempo de espera y extensión de línea para asegurarse de que el proxy POP3no use demasiados recursos de red y para impedir algunos tipos de ataques.

n Personalizar el deny message que los usuarios ven cuando se bloquea un mensaje de correoelectrónico que se les envía.

n Filtrar contenido integrado en el mensaje de correo electrónico con tipos MIME.n Bloquear patrones de ruta y URL especificados.

Para agregar el proxy POP3 a la configuración de Firebox, consulte Agregar una política de proxy a laconfiguración en la página 277.

Pestaña Política

n Las conexiones POP3-Servidor proxy están: especifica si las conexiones están Permitidas, Negadaso Negadas (enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestañaPolítica de la definición de proxy). Para más informaciones, vea Definir reglas de acceso a unapolítica en la página 267.





n Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas(enviar restablecer), se pueden bloquear sitios que intentan usar POP3.Para más informaciones, vea Bloquear sitios temporalmente con configuración de políticas en lapágina 346.


Pestaña Avanzada






n Proxy POP3 : Configuraciónn Proxy POP3 : Contenido





Proxy POP3 : Contenido

Los encabezados de mensajes de correo electrónico incluyen un encabezado de tipo de contenido paramostrar el tipo MIME del correo electrónico y de cualquier adjunto. El tipo de contenido o tipo MIMEinforma al equipo los tipos de medios que contiene el mensaje. Ciertos tipos de contenido incluidos en elmensaje de correo electrónico pueden ser una amenaza de seguridad para la red. Otros tipos de contenidopueden disminuir la productividad de los usuarios.


1. Editar o agregar la política POP3 Servidor proxy.Aparece la página "Configuración de Política".



Permitir sólo los tipos de contenido seguro

En la lista Tipos de contenido, el usuario puede configurar valores para el filtrado de contenidoy la acción a seguir para tipos de contenido que no coinciden con los criterios. Para la políticade proxy de POP3 servidor, se definen los valores para el filtrado de contenido entrante. Para lapolítica de proxy de POP3 cliente, se definen los valores para el filtrado de contenido saliente.

El formato de un tipo MIME es tipo/subtipo. Por ejemplo, si desea permitir imágenes JPEG, seagrega imagen/jpg. También puede usar el asterisco (*) como comodín. Para permitircualquier formato de imagen, se agrega imagen/* a la lista.

Denegar los patrones de nombres de archivos no seguros

Este conjunto de reglas se usa en una acción de proxy POP3 servidor para poner límites en losnombres de archivo para adjuntos de correo electrónico entrante. Este conjunto de reglas seusa en una acción de proxy POP3 cliente para poner límites en los nombres de archivo paraadjuntos de correo electrónico saliente. El usuario puede agregar, eliminar o modificar reglas.


Proxy POP3 : Configuración

Cuando se agrega una política de proxy POP3, se pueden configurar opciones adicionales relacionadas conel protocolo POP3.





Tiempo de espera

Utilice esta configuración para limitar la cantidad de minutos en los que el cliente de correoelectrónico intenta abrir una conexión con el servidor de correo electrónico antes de que laconexión se cierre. Esto impide que el proxy use demasiados recursos de red cuando elservidor POP3 está lento o no se puede alcanzar.

Longitud máxima de línea

Utilice esta configuración para impedir algunos tipos de ataques de fallas en la memoriaintermedia. Las extensiones de línea muy largas pueden causar fallas en la memoria intermediaen algunos sistemas de correo electrónico. La mayoría de los clientes y sistemas de correoelectrónico envían líneas relativamente cortas, pero algunos sistemas de correo electrónicoweb envían líneas muy extensas. Sin embargo, es poco probable que el usuario tenga quecambiar esta configuración, a menos que evite el acceso a correo electrónico legítimo. Laconfiguración predeterminada es 1000 bytes.

Mensaje de negación

En el cuadro de textoMensaje de negación, puede escribir un mensaje de texto sin cifrarpersonalizado en HTML estándar que aparece en el correo electrónico del destinatario cuandoel proxy bloquea ese correo electrónico. Se pueden usar las siguientes variables:

n %(motivo)%: incluye el motivo por el que Firebox negó el contenido.n %(tipo)%: incluye el tipo de contenido que se negó.n %(nombre de archivo)%: incluye el nombre de archivo del contenido negado.n %(virus)%: incluye el nombre o el estado de un virus. Sólo para usuarios de Gateway

AntiVirus.n %(acción)%: incluye el nombre de la acción seguida; bloquear, extraer, etc.n %(recuperación)%: incluye si se puede recuperar el adjunto.






Seleccione esta casilla de verificación para enviar un mensaje de registro para cada solicitud deconexión administrada por el POP3 Servidor proxy. Debe activar esta opción para crearinformes precisos sobre el tráfico POP3 Servidor proxy.


Página Acerca de Proxy SIPSi en la empresa se usa voz sobre IP (VoIP), el usuario puede agregar un SIP (Protocolo de inicio de sesión) ouna ALG (puerta de enlace de la capa de aplicación) H.323 para abrir los puertos necesarios para activarVoIP a través de Firebox. Una ALG se crea del mismo modo que una política de proxy y ofrece opciones deconfiguración similares. Estas ALG se han creado para funcionar en un entorno NAT para mantener laseguridad en equipos de conferencias con direcciones privadas detrás de Firebox.

H.323 en general se usa en equipos de videoconferencia e instalaciones de voz más antiguos. SIP es unestándar más nuevo que es más común en entornos hospedados, donde sólo dispositivos extremos comoteléfonos están hospedados en la ubicación de la empresa y un proveedor de VoIP administra laconectividad. Si es necesario se pueden usar ALG H.323 y SIP al mismo tiempo. Para determinar cuál ALGnecesita agregar, consulte la documentación para dispositivos o aplicaciones VoIP.

Nota El proxy SIP admite conexiones SIP de tipo amigo pero no de tipo par.

Componentes de VoIP

Es importante comprender que en general VoIP se implementa con:

Conexiones punto a punto

En una conexión punto a punto, cada uno de los dos dispositivos conoce la dirección IP del otrodispositivo y se conecta al otro directamente. Si los dos puntos se encuentran detrás de Firebox,éste puede enrutar el tráfico de llamada correctamente.

Conexiones hospedadas

Conexiones hospedadas por un sistema de gestión de llamadas (PBX)

En el SIP estándar, dos componentes clave de la gestión de llamadas son el Log Server SIP y el Proxy SIP.Juntos, estos componentes administran las conexiones hospedadas por el sistema de gestión de llamadas.La SIP-ALG de WatchGuard abre y cierra los puertos necesarios para que funcione SIP. La SIP-ALG deWatchGuard puede admitir tanto al Log Server SIP como al Proxy SIP cuando se usan con un sistema degestión de llamadas externo a Firebox. En esta versión, no se admite SIP cuando el sistema de gestión dellamadas está protegido por Firebox.

La coordinación del gran número de componentes de una instalación VoIP puede ser compleja.Recomendamos asegurarse de que las conexiones VoIP funcionen en forma satisfactoria antes de agregaruna ALG H.323 o SIP . Esto puede ayudar al usuario a resolver cualquier problema.

Funciones de ALG

Cuando se activa una SIP-ALG, Firebox:

n Responde automáticamente a aplicaciones VoIP y abre los puertos adecuados.n Se asegura de que las conexiones VoIP usen protocolos SIP estándar.n Genera mensajes de registro con fines de auditoría.

Muchos dispositivos y servidores VoIP utilizan NAT (traducción de dirección de red) para abrir y cerrarpuertos automáticamente. Las ALG H.323 y SIP también cumplen esta función. Se debe desactivar NAT enlos dispositivos VoIP si se configura una ALG H.323 o SIP .

Para agregar la SIP ALG a la configuración de Firebox, consulte Agregar una política de proxy a laconfiguración en la página 277.

Pestaña Política

n Las conexionesSIP-ALGestán:especifica silas conexionesestánPermitidas,NegadasoNegadas(enviar restablecer)y defineel contenidode lalistaDesdeyHasta (en lapestaña Política deladefiniciónde ALG).Paramásinformaciones, veaDefinir reglasdeaccesoa unapolítica enlapágina267.

n Usar el enrutamiento basado en la política: para utilizar el enrutamiento basado en la política en ladefinición de ALG, consulte Configurar el enrutamiento basado en la política en la página 269.




n Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas(enviar restablecer), se pueden bloquear sitios que intentan usar SIP. Para más informaciones, veaBloquear sitios temporalmente con configuración de políticas en la página 346.

n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor deautenticación, consulte Configurar un tiempo de espera inactivo personalizado en la página 270.

Pestaña Avanzada

Pueden usarse varias otras opciones en la definición de ALG:




Las ALG de WatchGuard tienen opciones de seguridad de red y rendimiento adicionales relacionadas con eltipo de tráfico de red que controla la ALG. Para modificar estas configuraciones, edite una ALG y haga clicen la pestaña Configuración o Contenido.





n SIP ALG: Configuraciónn SIP ALG: Contenido

SIP ALG: Contenido

Cuando se agrega una SIP ALG (puerta de enlace de la capa de aplicación), se pueden configurar opcionesadicionales relacionadas con el protocolo SIP.


1. Editar o agregar la política SIP ALG.Aparece la página "Configuración de Política".


Codecs negados

Utilice esta función para denegar uno o más codecs VoIP . Cuando se abre una conexión SIPVoIP que usa un codec especificado en esta lista, el dispositivo WatchGuard cierra la conexiónautomáticamente. Esta lista está vacía de manera predeterminada. Recomendamos agregar uncodec a esta lista si consume demasiado ancho de banda, presenta un riesgo de seguridad o sies necesario para que la solución VoIP funcione correctamente. Por ejemplo, pude optar pordenegar los codecs G.711 o G.726 porque usan más de 32 Kb/seg de ancho de banda o puedeoptar por denegar el codec Speex porque es utilizado por un codec VoIP no autorizado.

Para agregar un codec a la lista, ingrese el nombre del codec o el patrón de texto único en elcuadro de texto y haga clic en Agregar. No use caracteres comodín ni sintaxis de expresiónregular. Los patrones codec distinguen mayúsculas de minúsculas.

Para borrar un codec de la lista, selecciónelo y haga clic en Eliminar.

Activar control de acceso para VoIP

Seleccione esta casilla de verificación para activar la función de control de acceso. Cuando estéactivada, la SIP ALG permite o restringe llamadas según las opciones configuradas.

Configuración predeterminada

Seleccione la casilla de verificación Iniciar llamadas VoIP para permitir que todos los usuariosVoIP inicien llamadas de manera predeterminada. Seleccione la casilla de verificación Recibirllamadas VoIP para permitir que todos los usuarios VoIP reciban llamadas de manerapredeterminada. Seleccione la casilla de verificación adyacente Registro para crear un mensajede registro para cada conexión SIP VoIP iniciada o recibida.

Niveles de acceso

Para crear una excepción a la configuración predeterminada especificada anteriormente,ingrese un nombre de host, una dirección IP o una dirección de correo electrónico. Seleccioneun nivel de acceso en la lista desplegable adyacente y luego haga clic en Agregar.

Se puede permitir que los usuarios inicien llamadas únicamente, reciban llamadasúnicamente, inicien y reciban llamadas o denegarles el acceso VoIP. Estas configuraciones seaplican sólo al tráfico SIP VoIP.

Si desea eliminar una excepción, selecciónela en la lista y haga clic en Eliminar.

Las conexiones realizadas por usuarios que tienen una excepción de nivel de acceso seregistran de manera predeterminada. Si no desea registrar conexiones realizadas por unusuario con una excepción de nivel de acceso, desmarque la casilla de verificación Registrocuando cree la excepción.






SIP ALG: Configuración

Cuando se agrega una SIP ALG (puerta de enlace de la capa de aplicación), se pueden configurar opcionesadicionales relacionadas con el protocolo SIP.


1. Editar o agregar la política SIP ALG.Aparece la página "Configuración de Política".


Activar normalización de encabezado

Seleccione esta casilla de verificación para negar encabezados SIP extremadamente largos omalformados. Aunque estos encabezados a menudo indican un ataque en Firebox, si esnecesario se puede desactivar esta opción para que la solución VoIP funcione correctamente.

Activar ocultación de topología

Esta función reescribe los encabezados de tráfico SIP para eliminar información de red privada,como direcciones IP . Recomendamos mantener esta opción activada, salvo que tenga undispositivo de puerta de enlace VoIP actual que realice la ocultación de topología.

Activar protección de cosecha de directorio.

Seleccione esta casilla de verificación para asegurarse de que los atacantes no puedan robarinformación de usuarios a gatekeepers VoIP protegidos por Firebox. Esa opción es activada pordefecto.

Sesiones máximas

Utilice esta función para restringir el número máximo de sesiones de audio o video quepueden crearse con una única llamada VoIP . Por ejemplo, si el usuario define el número desesiones máximas en una y participa en una llamada VoIP con audio y video, la segundaconexión se descarta. El valor predeterminado es dos sesiones y el valor máximo es cuatrosesiones. Firebox crea una entrada de registro cuando niega una sesión multimedia por encimade este número.


Seleccione esta casilla de verificación para enviar un mensaje de registro para cada solicitud deconexión administrada por la SIP ALG. Debe activar esta opción para crear informes precisossobre el tráfico SIP.

Información del agente usuario

Para identificar el tráfico SIP saliente como un cliente específico, ingrese una nueva cadena deagente usuario en el cuadro de texto Reescribir agente usuario como. Para eliminar el agenteusuario falso, desmarque el cuadro de texto.

Canales de medios inactivos

Cuando no se envían datos durante un período determinado en un canal VoIP de audio, videoo datos, Firebox cierra esa conexión de red. El valor predeterminado es 180 segundos (tresminutos) y el valor máximo es 600 segundos (diez minutos). Para especificar un intervalo detiempo diferente, ingrese el número en segundos en el cuadro de texto Canales de mediosinactivos.


Página Acerca de Proxy SMTPSMTP (Protocolo simple de transferencia de correo) es un protocolo utilizado para enviar mensajes decorreo electrónico entre servidores de correo electrónico y también entre clientes de correo electrónico yservidores de correo electrónico. En general utiliza una conexión TCP en el puerto 25. El proxy SMTP sepuede usar para controlar mensajes de correo electrónico y contenido de correo electrónico. El proxyescanea los mensajes SMTP para un número de parámetros filtrados y los compara con las reglas en laconfiguración de proxy.

Con un filtro de proxy SMTP, es posible:

n Ajustar los límites de tiempo de espera, tamaño máximo del correo electrónico y extensión de líneapara asegurarse de que el proxy SMTP no use demasiados recursos de red y pueda impedir algunostipos de ataques.

n Personalizar el deny message que los usuarios ven cuando se bloquea un mensaje de correoelectrónico que intentan recibir.

n Filtrar contenido integrado en el mensaje de correo electrónico con tipos MIME y patrones denombre.

n Limitar las direcciones de correo electrónico a las que se pueden enviar mensajes de correoelectrónico y automáticamente bloquear mensajes de correo electrónico de remitentes específicos.

Para agregar el proxy SMTP a la configuración de Firebox, consulte Agregar una política de proxy a laconfiguración en la página 277.

Pestaña Política

n Las conexiones SMPT Servidor proxy están: especifica si las conexiones están Permitidas, Negadaso Negadas (enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestañaPolítica de la definición de proxy). Para más informaciones, vea Definir reglas de acceso a una





política en la página 267.n Usar el enrutamiento basado en la política: para utilizar el enrutamiento basado en la política en la

definición de proxy, consulte Configurar el enrutamiento basado en la política en la página 269.n También puede configurarse NAT estática o el balance de carga en el servidor.

Para más informaciones, vea Acerca de la NAT estática en la página 153 y Configurar Balance decarga en el servidor en la página 154.



n Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas(enviar restablecer), se pueden bloquear sitios que intentan usar SMTP. Para más informaciones,vea Bloquear sitios temporalmente con configuración de políticas en la página 346.

n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor deautenticación, consulte Configurar un tiempo de espera inactivo personalizado en la página 270.

Pestaña Avanzada




Pestañas Configuración, Dirección y Contenido

Las políticas de proxy de WatchGuard tienen opciones de seguridad de red y rendimiento adicionalesrelacionadas con el tipo de tráfico de red que controla el proxy. Para modificar estas configuraciones, editeuna política de proxy y seleccione la pestaña Configuración o Contenido. El proxy SMTP también incluyeuna pestaña Dirección, donde pueden configurarse opciones para remitentes y destinatarios de mensajesde correo electrónico.

n Proxy SMTP : Configuraciónn Proxy SMTP : Direcciónn Proxy SMTP : Contenido

Proxy SMTP : Dirección

Cuando se agrega una política de proxy SMTP , pueden configurarse opciones adicionales relacionadas conel protocolo SMTP.

Para limitar quiénes pueden enviar y recibir mensajes de correo electrónico:

1. Edite o agregue la política SMTP Servidor proxy.Aparece la página "Configuración de Política".

2. Haga clic en la pestaña Dirección.


Bloquear el correo electrónico de emisores no seguros

Seleccione esta casilla de verificación para limitar quiénes pueden enviar mensajes de correoelectrónico a destinatarios en su red. Para agregar un remitente a la lista, ingrese la direcciónde correo electrónico en el cuadro de texto adyacente y haga clic en el botón Agregar. Elasterisco (*) puede usarse como carácter comodín para hacer coincidir más de un remitente.

Limitar destinatarios de correo electrónico

Seleccione esta casilla de verificación para permitir que sólo usuarios especificados recibanmensajes de correo electrónico. Para agregar un destinatario a la lista, ingrese la dirección decorreo electrónico en el cuadro de texto adyacente y haga clic en el botón Agregar. El asterisco(*) puede usarse como carácter comodín para hacer coincidir más de un destinatario.


Proxy SMTP : Contenido

Cuando se agrega una política de proxy SMTP , pueden configurarse opciones adicionales relacionadas conel protocolo SMTP. Ciertos tipos de contenido incluidos en el mensaje de correo electrónico pueden seruna amenaza de seguridad para la red. Otros tipos de contenido pueden disminuir la productividad de losusuarios. El conjunto de reglas para la acción de proxy SMTP entrante se usa para configurar valores para elfiltrado de contenido SMTP entrante. El conjunto de reglas para la acción de proxy SMTP saliente se usapara configurar valores para el filtrado de contenido SMTP saliente. El proxy SMTP admite los siguientestipos de contenido de manera predeterminada: texto/*, imagen/*, multiparte/*, mensaje/*, aplicación/* yaplicación/x-watchguard-bloqueado.








Permitir sólo los tipos de contenido seguro

Para permitir sólo los tipos MIME configurados en la lista Tipos de contenido, seleccione estacasilla de verificación.

Para agregar un tipo de contenido predefinido a la lista Tipos de contenido, seleccione laentrada y haga clic en < para copiar la entrada.

Para agregar un nuevo tipo de contenido, ingrese el tipo MIME en la lista adyacente y haga clicen Agregar. El asterisco (*) puede usarse como carácter comodín para hacer coincidir más deun tipo MIME al mismo tiempo.

Para eliminar un tipo de contenido, seleccione la entrada y haga clic en Eliminar. No puedeneliminarse tipos de contenido en la lista Tipos de contenido predefinidos.

Denegar los patrones de nombres de archivos no seguros

Seleccione esta casilla de verificación para negar mensajes de correo electrónico con adjuntosque tienen nombres de archivo que coinciden con un patrón en la lista adyacente.

Para agregar un patrón de nombre de archivo, ingrese el patrón de nombre de archivo en elcuadro de texto adyacente y haga clic en Agregar. El asterisco (*) puede usarse como caráctercomodín para hacer coincidir más de un nombre de archivo al mismo tiempo.

Para eliminar un patrón de nombre de archivo, selecciónelo en la lista y haga clic en Eliminar.


Proxy SMTP : Configuración

Cuando agrega una política de proxy SMTP , puede configurar opciones adicionales relacionadas con elprotocolo DNS.




Tiempo de espera

El usuario puede establecer la cantidad de tiempo que una conexión SMTP entrante puedeestar inactiva antes de que la conexión se cierre. El valor predeterminado es 10 minutos.

Para cambiar este valor, ingrese o seleccione un número en el campo adyacente.

Tamaño máximo de correo electrónico

Utilice esta opción para configurar la extensión máxima de los mensajes SMTP entrantes. Elvalor predeterminado es de 10.000.000 bytes o 10 MB.


Para permitir mensajes de cualquier tamaño, configure el valor en cero (0).

La codificación puede aumentar la extensión de los archivos incluso en un tercio. Por ejemplo,para permitir mensajes de hasta 10 KB, debe configurar este campo en un mínimo de 1.334 bytes para asegurarse de recibir los mensajes de 10 KB .

Longitud máxima de línea

Puede configurar la extensión máxima de línea para las líneas de los mensajes SMTP. Lasextensiones de línea muy largas pueden causar fallas en la memoria intermedia en algunossistemas de correo electrónico. La mayoría de los clientes de correo electrónico envíanextensiones de línea cortas, pero algunos sistemas de correo electrónico Web envían líneasmuy largas.

La configuración predeterminada es de 1.000 bytes o 1 KB.


Para permitir extensiones de línea de cualquier tamaño, configure el valor en cero (0).


Seleccione esta casilla de verificación para enviar un mensaje de registro por cada solicitud deconexión administrada mediante el proxy SMTP. Debe activar esta opción para crear informesprecisos acerca del tráfico proxy SMTP.






Configure el proxy SMTP para colocar mensajes de correoelectrónico en cuarentena

El WatchGuard Quarantine Server proporciona un mecanismo de cuarentena seguro y con funcionalidadcompleta para cualquier mensaje de correo electrónico con sospecha o certeza de ser spam o de contenervirus. Este depósito recibe mensajes de correo electrónico del proxy SMTP y filtrados por spamBlocker.

Para configurar el proxy SMTP para colocar mensajes de correo electrónico en cuarentena:

1. Agregue el proxy SMTP a su configuración y active spamBlocker en la definición de proxy.O bien, active spamBlocker y selecciónelo para activarlo para el proxy SMTP.

2. Cuando se configuran las acciones que spamBlocker aplica para diferentes categorías de mensajesde correo electrónico (como se describe en Configurado spamBlocker en la página 583),asegúrese de seleccionar la acción Cuarentena para al menos una de las categorías. Cuando seselecciona esta acción, se le solicita que configure el Quarantine Server si aún no lo ha hecho.

También se puede seleccionar la acción Cuarentena para mensajes de correo electrónico identificados porla Virus Outbreak Detection como portadores de virus. Para más informaciones, vea Configurar acciones deVirus Outbreak Detection para una política en la página 593.

Página Acerca de Proxy de TCP-UDPEl proxy de TCP-UDP se incluye para estos protocolos en puertos no estándar: HTTP, HTTPS, SIP y FTP. En elcaso de estos protocolos, el proxy de TCP-UDP retransmite el tráfico a los servidores proxy correctos paralos protocolos o le da la posibilidad de permitir o negar el tráfico. En el caso de otros protocolos, puedeseleccionar si desea permitir o negar el tráfico. También puede utilizar esta política de proxy para permitir onegar el tráfico de red mediante IM (mensajería instantánea) y P2P (punto a punto) . El proxy de TCP-UDP está pensado sólo para las conexiones salientes.

Para agregar el proxy de TCP-UDP a su configuración de Firebox, consulte Agregar una política de proxy ala configuración en la página 277.

Pestaña Política

n Las conexiones del proxy de TCP-UDP están— Especifique si las conexiones están Permitidas,Negadas o Negadas (enviar restablecer), y defina quién aparece en la lista De y A (en la pestañaPolítica de la definición de proxy). Para obtener más información, consulte Definir reglas de accesoa una política en la página 267.





n Si configuró la lista desplegable Las conexiones están (en la pestaña Política) como Negadas oNegadas (enviar restablecer), puede bloquear los sitios que intenten utilizar el TCP-UDP. VeaBloquear sitios temporalmente con configuración de políticas en la página 346.

n Si desea utilizar un tiempo de espera inactivo distinto de configurado por el dispositivo WatchGuardo el servidor de autenticación, Configurar un tiempo de espera inactivo personalizado.

Pestaña Avanzada






n Proxy de TCP-UDP: Configuraciónn Proxy de TCP-UDP: Contenido

Proxy de TCP-UDP: Contenido

Puede utilizar la configuración del Application Blocker en la pestaña Contenido para definir las acciones querealiza el dispositivo Firebox o XTM cuando una política de proxy TCP-UDP detecta tráfico de red demensajería instantánea (IM) o punto a punto (P2P).

En la pestaña Contenido, marque la casilla de selección para los tipos de aplicación IM y P2P que desea queel proxy TCP-UDP detecte, como también la acción asociada.

Para más información, vea Acerca de las configuraciones de Application Blocker en la página 274.

Proxy de TCP-UDP: Configuración

Cuando agrega una política de proxy de TCP-UDP, puede configurar opciones adicionales relacionadas conlos protocolos de redes múltiples.

Para especificar las políticas de proxy que filtran distintos tipos de tráfico de red:








Acciones del servidor proxy para redirigir el tráfico

El proxy de TCP-UDP puede pasar el tráfico HTTP, HTTPS, SIP y FTP a políticas de proxy que yahaya creado cuando este tráfico se envíe por puertos no estándar. En el caso de cada uno deestos protocolos, en las listas desplegables adyacentes, seleccione la política de proxy quedesea para administrar este tráfico.

Si no desea que su Firebox utilice una política de proxy para filtrar un protocolo, seleccionePermitir o Negar en la lista desplegable adyacente.

Nota Para asegurarse de que su Firebox funciona correctamente, no podrá seleccionarPermitir para el protocolo FTP.


Seleccione esta casilla de verificación para enviar un mensaje de registro por cada solicitud deconexión administrada mediante el proxy TCP-UDP. Debe activar esta opción para crearinformes precisos acerca del tráfico proxy TCP-UDP.



14 Administración de tráfico y QoS

Acerca de las Administración de tráfico y QoSEn una red amplia con muchas computadoras, el volumen de datos que se desplaza por el firewall puedeser muy grande. Un administrador de red puede utilizar las acciones de Administración de tráfico y Calidadde servicio (QoS) para evitar la pérdida de datos para importantes aplicaciones comerciales y paraasegurarse de que las aplicaciones críticas de la misión tengan prioridad sobre el resto del tráfico.

La administración de tráfico y la QoS proporcionan una cantidad de beneficios. Se puede:

n Garantizar o limitar el ancho de bandan Controlar la velocidad a la cual Firebox envía paquetes a la redn Priorizar cuándo enviar paquetes a la red

Para aplicar la administración de tráfico a las políticas, usted define una acción de administración de tráfico,que es una colección de configuraciones que puede aplicar a una o más definiciones de la política. De estamanera, no necesita ajustar la configuración de la administración de tráfico de manera independiente encada política. Puede definir acciones de administración de tráfico adicionales si desea aplicar diferentesconfiguraciones a diferentes políticas.

Activar administración de tráfico y QoS

Por motivos de rendimiento, todas las funciones de administración de tráfico y QoS están desactivadas demanera predeterminada. Debe activar estas funciones en la Configuración global antes de poder utilizarlas.

1. Seleccione Sistema > Configuración global.Aparece la página de Configuración global.

2. Seleccione la casilla de verificación Activar todas las funciones de administración de tráfico y QoS.3. Haga clic en Guardar.

Garantice ancho de banda

Las reservas de ancho de banda pueden evitar los tiempos de espera de conexión. Una cola deadministración de tráfico con ancho de banda reservado y una prioridad baja puede proporcionar ancho debanda a aplicaciones en tiempo real con mayor prioridad cuando sea necesario y sin desconexiones. Otrascolas de administración de tráfico pueden aprovechar el ancho de banda reservado sin utilizar cuando estédisponible.

Por ejemplo, supongamos que la compañía tiene un servidor FTP en una red externa y desea garantizar queel FTP siempre tenga por lo menos 200 kilobytes por segundo (KBps) mediante la interfaz externa. Tambiénpuede considerar la configuración de un ancho de banda mínimo para la interfaz de confianza paraasegurarse de que la conexión tenga un ancho de banda garantizado de extremo a extremo. Para haceresto, debería crear una acción de administración de tráfico que defina un mínimo de 200 KBps para eltráfico FTP en la interfaz externa. Entonces, crearía una política FTP y aplicaría la acción de administraciónde tráfico. Esto permitirá ejecutar el comando ftp put a 200 KBps. Si desea permitir la ejecución delcomando ftp get a 200 KBps, debe configurar el tráfico FTP en la interfaz de confianza para que tambiéntenga un mínimo de 200 KBps.

Administración de tráfico y QoS




Como ejemplo adicional, supongamos que su compañía utiliza materiales multimedia (streaming media)para capacitar a clientes externos. Estos materiales multimedia utilizan RTSP mediante el puerto 554. Tienecargas frecuentes al FTP de la interfaz de confianza a la interfaz externa y no desea que estas cargascompitan con la capacidad de los clientes para recibir los materiales multimedia. Para garantizar el ancho debanda suficiente, puede aplicar una acción de administración de tráfico a la interfaz externa para el puertode materiales multimedia.

Restrinja el ancho de banda

La configuración de ancho de banda garantizado trabaja con el ajuste del Ancho de banda de interfazsaliente configurado para cada interfaz externa para asegurarse de que no garantice más ancho de bandadel que realmente existe. Esta configuración también ayuda a asegurar que la suma de la configuración deancho de banda garantizado no llene el enlace de modo que el tráfico no garantizado no pueda pasar. Porejemplo, supongamos que el enlace es de 1 Mbps y usted intenta utilizar una acción de administración detráfico que garantiza 973 Kbps (0.95 Mbps) a la política FTP en ese enlace. Con esta configuración, el tráficoFTP podría utilizar una cantidad tal del ancho de banda disponible que otros tipos de tráfico no podríanutilizar la interfaz.

Marcado QoS

El marcado QoS crea diferentes clases de servicio para distintos tipos de tráfico de red saliente. Cuandomarca el tráfico, puede cambiar hasta seis bits en los campos del encabezado del paquete definidos paraeste fin. Otros dispositivos pueden utilizar este marcado para administrar un paquete de la maneraadecuada mientras viaja de un punto a otro de la red.

Puede activar el marcado QoS para una interfaz individual o una política individual. Cuando define elmarcado QoS para una interfaz, cada paquete que abandona la interfaz está marcado. Cuando define elmarcado QoS para una política, todo el tráfico que utiliza esa política también está marcado.

Prioridad de tráfico

Puede asignar diferentes niveles de prioridad a las políticas o al tráfico de una interfaz en particular. Lapriorización del tráfico en el firewall le permite administrar cosas de clase de servicio (CoS) múltiples yreservar la prioridad más alta para los datos en tiempo real o la transmisión de datos. Una política con altaprioridad puede extraer ancho de banda de las conexiones existentes de baja prioridad cuando el enlaceestá congestionado; entonces, el tráfico debe competir por el ancho de banda.

Configurar el ancho de banda de interfaz salienteAlgunas funciones de administración de tráfico exigen que establezca un límite de ancho de banda paracada interfaz de red. Por ejemplo, debe establecer la configuración de Ancho de banda de interfaz salientepara utilizar el marcado QoS y la priorización.

Después de configurar este límite, Firebox completa las tareas de priorización básica sobre el tráfico de redpara evitar problemas de tráfico excesivo en la interfaz especificada. Además, aparece una advertencia enFireware XTMWeb UI si asigna demasiado ancho de banda al crear o ajustar las acciones de administraciónde tráfico.

Si no cambia la configuración de Ancho de banda de interfaz saliente en ninguna interfaz del valorpredeterminado en 0, está configurada para autonegociar la velocidad de enlace para esa interfaz.

1. Seleccione Administración de tráfico > por firewall.Aparece la página de administración de tráfico.

2. Haga clic en la pestaña Interfaces.

3. En la columna Ancho de banda adyacente al nombre de la interfaz, ingrese la cantidad de ancho debanda proporcionada por la red.Utilice la velocidad de carga de su conexión a Internet en kilobits o megabits por segundo (Kbps oMbps).Configure el ancho de banda de su interfaz LAN sobre la base de la velocidad de enlace mínimaadmitida por su infraestructura LAN.

4. Para cambiar la unidad de la velocidad, seleccione una interfaz de la lista, luego haga clic en launidad de velocidad adyacente y seleccione una opción diferente en la lista desplegable.


Configure los límites de la tasa de conexiónPara mejorar la seguridad de red, puede crear un límite en una política de modo que sólo filtre unacantidad específica de conexiones por segundo. Si se intentan realizar conexiones adicionales, el tráfico seniega y se crea un mensaje de registro.

1. Seleccione Firewall > Políticas de firewall o Políticas > de Mobile VPN para firewall.Aparecerá la página de Políticas.

2. Haga doble clic en una política o seleccione la política que desea configurar y haga clic en Editar.3. Haga clic en la pestaña Avanzado.4. Seleccione la casilla de verificación Tasa de conexión.5. En el cuadro de texto adyacente, ingrese o seleccione el número de conexiones que puede

procesar esta política en un segundo.






Acerca de las Marcado QoSLas redes actuales suelen constar de varios tipos de tráfico de red que compiten por el ancho de banda.Todo el tráfico, ya sea de primordial importancia o carente de importancia, tiene la misma posibilidad dellegar a destino de manera oportuna. El marcado de calidad del servicio (QoS) le brinda un tratamientopreferencial al tráfico crítico, para asegurarse de que sea entregado de manera rápida y confiable.

La función de QoS debe poder diferenciar los varios tipos de secuencias de datos que fluyen por su red.Entonces, debe marcar los paquetes de datos. El marcado QoS crea diferentes clasificaciones de serviciopara distintos tipos de tráfico de red. Cuando marca el tráfico, puede cambiar hasta seis bits en los camposdel encabezado del paquete definidos para este fin. Firebox y otros dispositivos aptos para QoS puedenutilizar este marcado para administrar un paquete de la manera adecuada mientras viaja de un punto a otrode la red.

Fireware XTM soportados tiposde marcadoQoS: Marcade precedencia IP (también conocida comoClase deservicio) y marcade Differentiated Service Code Point (DSCP).Para obtenermás información acerca de estostiposde marcado y los valores que puede configurar, consulte Marcado: tipos y valores en la página328.

Antes de empezar

n Asegúrese de que su equipo de LAN soporte el marcado y la administración QoS. Es posible quetambién deba asegurarse de que su ISP soporte el marcado QoS.

n El uso de procedimientos de QoS en una red requiere una planificación exhaustiva. Primero puedeidentificar el ancho de banda teórico disponible y luego determinar qué aplicaciones de red son dealta prioridad, especialmente sensibles a la latencia y la oscilación o ambas opciones.

Marcado QoS para interfaces y políticas

Puede activar el marcado QoS para una interfaz individual o una política individual. Cuando define elmarcado QoS para una interfaz, cada paquete que abandona la interfaz está marcado. Cuando define elmarcado QoS para una política, todo el tráfico que utiliza esa política también está marcado. El marcado QoSpara una política anula cualquier configuración de marcado QoS en una interfaz.

Por ejemplo, supongamos que su Firebox recibe tráfico con marcado QoS de una red de confianza y loenvía a una red externa. La red de confianza ya tiene aplicado el marcado QoS, pero usted desea que eltráfico a su equipo ejecutivo obtenga una prioridad más alta que el resto del tráfico de red de la interfaz deconfianza. Primero, configure el marcado QoS de la interfaz de confianza en un valor determinado. Luego,agregue una política con configuración de marcado QoS para el tráfico a su equipo ejecutivo con un valormás alto.

Marcado QoS y tráfico IPSec

Si desea aplicar el marcado QoS al tráfico IPsec, debe crear una política de firewall específica para la políticaIPsec correspondiente y aplicarle el marcado QoS a esa política.

También puede elegir si desea preservar el marcado existente cuando se encapsula un paquete marcadoen un encabezado IPSec.

Para preservar el marcado:

1. Seleccione VPN > Configuraciones Globales.Aparece la página de configuración de VPN global.

2. Seleccione la casilla de verificación Activar TOS para IPSec.3. Haga clic en Guardar.

Se preservan todas las marcas existentes cuando el paquete es encapsulado en un encabezado IPSec.

Para eliminar el marcado:

1. Seleccione VPN > Configuraciones Globales.Aparece la página de configuración de VPN global.

2. Limpie la casilla de verificación Activar TOS para IPSec.3. Haga clic en Guardar.

Se restablecen los bits de TOS y no se preserva el marcado.

Marcado: tipos y valores

Fireware XTM soporta dos tipos de marcado QoS: Marca de precedencia IP (también conocida como Clasede servicio) y marca de Differentiated Service Code Point (DSCP). La marca de precedencia IP sólo afecta alos tres primeros bits del octeto de tipo de servicio IP (TOS). La marca DSCP amplía el marcado a los seisprimeros bits del octeto de TOS IP. Ambos métodos le permiten preservar los bits en el encabezado, quepueden haber sido marcados previamente por un dispositivo externo, o cambiarlos a un nuevo valor.

Los valores de DSCP se pueden expresar de forma numérica o mediante nombres de palabras claveespeciales que corresponden al comportamiento por salto (PHB). El comportamiento por salto es laprioridad aplicada a un paquete cuando viaja de un punto a otro dentro de una red. La marca DSCP deFireware soporta tres tipos de comportamiento por salto:

Mejor esfuerzo

Mejor esfuerzo es el tipo de servicio predeterminado y se recomienda para el tráfico no crítico o norealizado en tiempo real. Si no utiliza el marcado QoS, todo el tráfico recaerá dentro de esta clase.

Assured Forwarding (AF)

El Assured Forwarding se recomienda para el tráfico que requiere mejor confiabilidad que elservicio de mejor esfuerzo. Dentro del tipo de comportamiento por salto denominado AssuredForwarding (AF), el tráfico puede asignarse a tres clases: baja, media y alta.

Desvío urgente (EF)

Este tipo tiene la prioridad más alta. Generalmente se reserva para el tráfico crítico de la misión y entiempo real.

Los puntos de código del selector de clase (CSx) se definen como compatibles con las versiones anterioresde los valores de precedencia IP. CS1 a CS7 son idénticos a los valores de precedencia IP 1 a 7.

La tabla subsiguiente muestra los valores de DSCP que usted puede seleccionar, el valor de precedencia IPcorrespondiente (que es igual al valor CS) y la descripción en palabras clave de PHB.





Valor de DSCPValor de precedencia IPequivalente (valores CS)

Descripción: Palabra clave delcomportamiento por salto

0 Mejor esfuerzo (igual a la carencia de marcado)

8 1 Scavenger*

10 AF Clase 1 - Baja

12 AF Clase 1 - Media

14 AF Clase 1 - Alta

16 2




24 3




32 4




40 5

46 EF

48 6 Control de Internet

56 7 Control de red

* La clase Scavenger se utiliza para el tráfico de prioridad más baja (por ejemplo, para compartir medios outilizar aplicaciones de juegos). Este tráfico tiene una prioridad más baja que Mejor esfuerzo.

Para obtener más información acerca de los valores de DSCP consulte esta referencia: http://www.rfc-editor.org/rfc/rfc2474.txt

Activar marcado QoS para una interfaz

Puede establecer el comportamiento de marcado predeterminado a medida que el tráfico sale de unainterfaz. Estas configuraciones pueden ser anuladas por las configuraciones definidas para una política.

http://www.rfc-editor.org/rfc/rfc2474.txt

http://www.rfc-editor.org/rfc/rfc2474.txt


2. Limpie lacasillade verificaciónDesactivar toda administraciónde tráfico.Hagaclic enGuardar.Es posible que desee desactivar estas funciones más tarde si realiza pruebas de rendimiento o depuración de red.


4. Seleccione la interfaz para la cual desea activar el marcado QoS. Haga clic en Configurar.Aparece la página Configuración de interfaz.

5. Haga clic en Avanzado.

6. En la lista desplegable Tipo de marcado, seleccione DSCP o Precedencia IP.7. En la lista desplegable Método de marcado, seleccione el método de marcado:

n Preservar: no cambiar el valor actual del bit. Firebox priorizael tráfico sobre labase de este valor.n Asignar: asignarle al bit un nuevo valor.

8. Si seleccionó Asignar en el paso anterior, seleccione un valor de marcado.Si seleccionó el tipo de marcado Precedencia IP puede seleccionar valores de 0 (prioridad normal)a 7 (prioridad más alta).Si seleccionó el tipo de marcado DSCP, los valores son de 0 a 56.Para obtener más información acerca de estos valores, consulte Marcado: tipos y valores en lapágina 328.

9. Seleccione la casilla de verificación Priorizar tráfico basado en el marcado QoS.10. Haga clic en Guardar.

Activar el marcado QoS o configuraciones de priorización parauna política

Además de marcar el tráfico que abandona una interfaz de Firebox, también puede marcar el tráfico porpolítica. La acción de marcado que selecciona es aplicada a todo el tráfico que usa la política. Las políticasmúltiples que utilizan las mismas acciones de marcado no tienen efecto una sobre otra. Las interfaces deFirebox también pueden tener su propia configuración de marcado QoS. Para utilizar el marcado QoS o laconfiguración de priorización para una política, debe cancelar cualquier configuración de marcado QoS porinterfaz.

1. Seleccione Firewall > Políticas de firewall o Políticas> de Mobile VPN para firewall.Aparecerá la página de Políticas.

2. Seleccione la política que desea cambiar. Haga clic en Editar.3. Haga clic en la pestaña Avanzado.





4. Seleccione la casilla de verificación Cancelar configuraciones por interfaz para activar otros camposde marcado QoS y priorización.

5. Complete la configuración como se describe en las secciones subsiguientes.6. Haga clic en Guardar.

Configuración de marcado QoS

Para obtener más información acerca de los valores de marcado QoS, consulte Marcado: tipos y valores enla página 328.

1. En la lista desplegable Tipo de marcado, seleccione DSCP o Precedencia IP.2. En la lista desplegable Método de marcado, seleccione el método de marcado:

n Preservar: no cambiar el valor actual del bit. Firebox priorizael tráfico sobre labase de este valor.n Asignar: asignarle al bit un nuevo valor.

3. Si seleccionó Asignar en el paso anterior, seleccione un valor de marcado.Si seleccionó el tipo de marcado Precedencia IP puede seleccionar valores de 0 (prioridad normal)a 7 (prioridad más alta).Si seleccionó el tipo de marcado DSCP, los valores son de 0 a 56.

4. En la lista desplegable Priorizar tráfico basado en, seleccione Marcado QoS.

Configuración de priorización

Se pueden utilizar muchos algoritmos para priorizar el tráfico de red. Fireware XTM utiliza un método decola de alto rendimiento según la clase basado en el algoritmo de marcado jerárquico de paquetes(Hierarchical Token Bucket, HTB). La priorización en el Fireware XTM se aplica por política y es equivalente alos niveles de 0 a 7 de CoS (clase de servicio), donde 0 es la prioridad normal (predeterminada) y 7 es laprioridad más alta. El nivel 5 comúnmente se utiliza para transmitir datos como VoIP o videoconferencias.Reserve los niveles 6 y 7 para las políticas que permiten las conexiones de administración del sistema, paraasegurarse de que estén siempre disponibles y evitar la interferencia de otro tráfico de red de altaprioridad. Utilice la tabla de niveles de prioridad como guía cuando asigne las prioridades.

1. En la lista desplegable Priorizar tráfico basado en, seleccione Valor personalizado.2. En la lista desplegable Valor, seleccione un nivel de prioridad.

Niveles de prioridad

Le recomendamos asignar una prioridad superior a 5 sólo a las políticas administrativas de WatchGuard,como la política WatchGuard, la política WG-Logging o la política WG-Mgmt-Server. El tráfico comercial dealta prioridad deberá obtener una prioridad de 5 o menor.

Prioridad Descripción

0 Rutinaria (HTTP, FTP)

1 Prioridad

2 Inmediata (DNS)

3 Flash (Telnet, SSH, RDP)

4 Cancelar Flash

5 Crítica (VoIP)

6 Control de interconexión de redes (Configuración del enrutador remoto)

7 Control de red (Administración de firewall, enrutador e interruptor)

Control de tráfico y definiciones de políticas

Definir un Acción de administración de tráfico

Las acciones de administración de tráfico pueden imponer restricciones de ancho de banda y garantizar unacantidad mínima de ancho de banda para una o más políticas. Cada acción de administración de tráficopuede incluir configuraciones para interfaces múltiples. Por ejemplo, en una acción de administración detráfico utilizada con una política HTTP para una organización pequeña, puede configurar el ancho de bandamínimo garantizado de una interfaz de confianza en 250 Kbps y el ancho de banda máximo en 1000 Kbps.Esto limita las velocidades a las cuales los usuarios pueden descargar archivos, pero garantiza que unapequeña cantidad del ancho de banda siempre esté disponible para el tráfico HTTP. Luego podrá configurarel ancho de banda mínimo garantizado de una interfaz externa en 150 Kbps y el ancho de banda máximo en300 Kbps para administrar las velocidades de carga al mismo tiempo.

Determine el ancho de banda disponible

Antes de comenzar, debe determinar el ancho de banda disponible de la interfaz utilizada para las políticasque desea que tengan un ancho de banda garantizado. En el caso de las interfaces externas, puedecomunicarse con su ISP (Proveedor de servicios de Internet) para verificar el acuerdo de nivel de serviciopara el ancho de banda. A continuación puede utilizar una prueba de velocidad con herramientas en líneapara verificar este valor. Estas herramientas pueden producir valores diferentes según una cantidad devariables. En el caso de otras interfaces, puede suponer que la velocidad de enlace en la interfaz Firebox es





el ancho de banda máximo teórico para esa red. También debe considerar tanto las necesidades de envíocomo de recepción de una interfaz y configurar el valor de umbral sobre la base de estas necesidades. Si suconexión a Internet es asimétrica, utilice el ancho de banda del enlace ascendente establecido por su ISP como el valor de umbral.

Determine la suma de su ancho de banda

También debe determinar la suma del ancho de banda que desea garantizar para todas las políticas en unainterfaz determinada. Por ejemplo, en una interfaz externa de 1500 Kbps, es posible que desee reservar600 Kbps para todo el ancho de banda garantizado y utilizar los 900 Kbps restantes para todo el otro tráfico.

Todas las políticas que utilizan una acción de administración de tráfico comparten su tasa de conexión y susconfiguraciones de ancho de banda. Cuando son creadas, las políticas pertenecen automáticamente a laacción de administración de tráfico predeterminada, que no impone restricciones ni reservas. Si crea unaacción de administración de tráfico para configurar un ancho de banda máximo de 10 Mbps y se la aplica auna política FTP y a una política HTTP, todas las conexiones manejadas por esas políticas deben compartir 10 Mbps. Si más tarde aplica la misma acción de administración de tráfico a una política SMTP, las tres políticasdeberán compartir 10 Mbps. Esto también se aplica a los límites de la tasa de conexión y al ancho de bandamínimo garantizado. El ancho de banda garantizado sin utilizar reservado por una acción de administraciónde tráfico puede ser utilizado por otras acciones.

Crear o modificar una acción de administración de tráfico


2. Haga clic en Agregar para crear una nueva acción de administración de tráfico.O bien, seleccione una acción y haga clic en Configurar.

3. Ingrese un Nombre y una Descripción (opcional) para la acción. Utilizará el nombre de la acción parahacer referencia a ésta cuando la asigne a una política.

4. En la lista desplegable, seleccione una interfaz. Ingrese el ancho de banda mínimo y máximo paraesa interfaz en los cuadros de texto adyacentes.

5. Haga clic en Agregar.

6. Repita los pasos 4 y 5 para agregar límites de tráfico a interfaces adicionales.7. Para eliminar una interfaz de la acción de administración de tráfico, selecciónela y haga clic en

Eliminar.8. Haga clic en Guardar.

Ahora puede aplicar esta acción de administración de tráfico a una o más políticas.

Agregar una Acción de administración de tráfico a una política

Después de Definir un Acción de administración de tráfico, puede agregarla a las definiciones de laspolíticas. También puede agregar cualquier acción de administración de tráfico existente a las definicionesde la política.


2. En la lista Políticas de administración de tráfico, seleccione una política.

3. En la columna adyacente, haga clic en la lista desplegable y seleccione una acción de administraciónde tráfico.

4. Para configurar una acción para otras políticas, repita los pasos 2 al 3.5. Haga clic en Guardar.

Nota Si tiene una configuración multi-WAN, los límites de ancho de banda se aplican demanera independiente a cada interfaz.

Agregue una acción de administración de tráfico a las políticas múltiples

Cuando se agrega la misma acción de administración de tráfico a políticas múltiples, el ancho de bandamáximo y mínimo se aplican a cada interfaz de su configuración. Si dos políticas comparten una acción quetiene un ancho de banda máximo de 100 kbps en una sola interfaz, entonces todo el tráfico de esa interfazque coincida con esas políticas estará limitado a 100 kbps en total.

Si utiliza un ancho de banda limitado en una interfaz para varias aplicaciones, cada una con puertos únicos,es posible que necesite que todas las conexiones de alta prioridad compartan una acción de administraciónde tráfico. Si tiene mucho ancho de banda libre, podría crear acciones de administración de tráficoindependientes para cada aplicación.




15 Default Threat Protection

Acerca de la Default Threat ProtectionEl OS del Fireware XTM de WatchGuard y las políticas creadas le dan el control rígido sobre el acceso a sured. Un acceso rígido a políticas ayuda a mantener los hackers fuera de su red. Pero hay otros tipos deataques que una política rígida no puede derrotar. La configuración cuidadosa de las opciones de DefaultThreat Protection para el dispositivo WatchGuard puede detener amenazas como los ataques de congestiónde SYN, ataques de suplantación de paquetes y sondeos de espacio de dirección y puerto.

Con la protección contra amenazas predeterminada, el firewall examina el origen y el destino de cadapaquete que recibe. Mira la dirección IP y el número de puerto y monitorea los paquetes en busca depatrones que muestran si su red está en riesgo. Si existe algún riesgo, puede configurar el dispositivoWatchGuard para bloquear automáticamente un posible ataque. Ese método proactivo de detección deintrusión y prevención mantiene a los atacantes fuera de su red.

Para configurar la protección contra amenazas predeterminada, vea:

n Acerca de las opciones de administración predeterminada de paquetesn Acerca de los sitios bloqueadosn Acerca de los puertos bloqueados

También puede adquirir una actualización para su dispositivo WatchGuard para usar Intrusion Preventionbasada en firmas. Para más informaciones, vea Acerca de las Gateway AntiVirus y prevención de intrusionesen la página 613.

Acerca de las opciones de administraciónpredeterminada de paquetesCuando su dispositivo WatchGuard recibe un paquete, examina la fuente y el destino para éste. Busca ladirección IP y el número del puerto. El dispositivo también monitorea paquetes en busca de patrones quepueden mostrar si su red está en riesgo. Ese proceso se denomina administración predeterminada depaquetes.

La administración predeterminada de paquetes puede:

n Rechazar un paquete que podría ser un riesgo de seguridad, incluyendo paquetes que podrían serparte de un ataque de suplantación de paquetes o ataque de congestión del servidor SYN.

n Bloquear automáticamente todo el tráfico hacia y desde una dirección IPn Agregar un evento al archivo de registron Enviar una captura SNMP al Management Server de SNMPn Enviar una notificación de posibles riesgos de seguridad

La mayoría de las opciones de administración predeterminada de paquetes están activadas en laconfiguración del dispositivo WatchGuard. Puede cambiar los umbrales en los cuales el dispositivoWatchGuard tomamedidas. También puede cambiar las opciones seleccionadas para la administraciónpredeterminada de paquetes.

1. En el Fireware XTM Web UI, seleccione Firewall > Administración predeterminada de paquetes.Aparece la página "Administración predeterminada de paquetes".

2. Seleccione las casillas para los patrones de tráfico contra los cuales desea tomar medidas, tal comose explicó en esos tópicos:

n Acerca de los ataques de suplantación de paquetes en la página 337n Acerca de los Ataques de ruta de origen de IP IP en la página 337n Acerca de las pruebas de espacio de dirección y espacio del puerto en la página 338n Acerca de los ataques de congestión del servidor en la página 340n Acerca de los paquetes no controlados en la página 342n Acerca de ataques de negación de servicio distribuidos en la página 343

Default Threat Protection




Acerca de los ataques de suplantación de paquetes

Un método que los atacantes usan para entrar en su red es crear una identidad electrónica falsa. Ese es unmétodo de suplantación de IP (spoofing) que los atacantes usan para enviar un paquete de TCP/IP con unadirección IP diferente de la del equipo que la envió primero.

Cuando se activa un anti-suplantación (anti-spoofing), el dispositivo WatchGuard verifica si la dirección IP deorigen de un paquete es de una red en una interfaz determinada.

La configuración predeterminada del dispositivo WatchGuard busca abandonar los ataques de suplantaciónde paquetes. Para alterar la configuración de esa función:

1. En el Fireware XTM Web UI, seleccione Firewall >Administración de paquetes predeterminada.Aparece la página "Administración de paquetes predeterminada".

2. Seleccione o limpie la casilla de verificación Abandonar ataques de suplantación de paquetes.3. Haga clic en Guardar.

Acerca de los Ataques de ruta de origen de IP IP

Para encontrar la ruta que los paquetes toman en su red, los atacantes usan ataques de ruta de origen de IP.El atacante envía un paquete de IP y usa la respuesta de su red para obtener información acerca del sistemaoperativo del equipo objetivo o del dispositivo de red.

La configuración predeterminada del dispositivo WatchGuard busca abandonar los ataques de ruta deorigen de IP. Para alterar la configuración de esa función:

1. En el Fireware XTM Web UI, seleccione Firewall>Administración de paquetes predeterminada.Aparece la página "Administración de paquetes predeterminada".

2. Seleccione o limpie la casilla de verificación Abandonar ruta de origen de IP.3. Haga clic en Guardar.

Acercadelaspruebasdeespaciodedirecciónyespaciodel puerto

Los atacantes suelen buscar puertos abiertos como puntos de partida para iniciar ataques de red. Unsondeo de espacio entre puertos es un tráfico de TCP o UDP enviado a un rango de puertos. Esos puertospueden estar en secuencia o ser aleatorios, de 0 a 65535. Un sondeode espacio de dirección es un tráficode TCP o UDP enviado a un rango de direcciones de red. Los sondeos de espacio entre puertos examinanun equipo para encontrar los servicios que usa. Los sondeos de espacio de dirección examinan una red paraver cuáles dispositivos de red están en aquella red.

Para más información acerca de puertos, vea Acerca de puertos en la página 8.

Nota El dispositivo WatchGuard detecta sondeos de espacio de dirección y puerto sóloen interfaces configuradas como tipo Externo.





Cómo el dispositivo WatchGuard identifica sondeos de red

Un sondeo de espacios de direcciones es identificado cuando un equipo en una red externa envía unnúmero especificado de paquetes a direcciones IP diferentes asignadas a interfaces externas del dispositivoWatchGuard. Para identificar un sondeo de espacio entre puertos, su dispositivo WatchGuard cuenta elnúmero de paquetes enviados desde una dirección IP hacia las direcciones IP de interfaz externa. Lasdirecciones pueden incluir la dirección IP de interfaz externa y cualquier dirección IP secundariaconfigurada en la interfaz externa. Si el número de paquetes enviados a las direcciones IP diferentes odestination ports en un segundo es superior al número seleccionado, la dirección IP de origen es agregada ala lista de Sitios Bloqueados.

Cuando las casillas Bloquear sondeos de espacio entre puertos y Bloquear sondeos de espacio de direcciónestán seleccionadas, todo el tráfico entrante en cualquier interfaz externa es examinado por el dispositivoWatchGuard. No se puede desactivar esas funciones para direcciones IP específicas o por diferentesperíodos de tiempo.

Para proteger contra sondeos de espacio de dirección y de espacio entrepuertos

La configuración predeterminada del dispositivo WatchGuard bloquea sondeos de red. Puede alterar lasconfiguraciones de esa función y alterar el número máximo permitido de sondeos de dirección o puertospor segundo para cada dirección IP de origen (el valor predeterminado es 50).

1. En el Fireware XTMWeb UI, seleccione Firewall >Administración de paquetes predeterminada.Aparece la página "Administración de paquetes predeterminada".

2. Seleccione o limpie las casillas Bloquear sondeos de espacio entre puertos y Bloquear sondeos deespacios de dirección.

3. Para cada dirección IP de origen, haga clic en las flechas para seleccionar el número máximo desondeos de dirección o puerto permitidos por segundo. El valor predeterminado para cada uno esde 10 por segundo. Eso significa que el origen es bloqueado si establece conexiones a 10 puertos ohosts diferentes en un segundo.


Para bloquear atacantes más rápidamente, se puede definir en un valor mínimo el umbral de númeromáximo permitido de sondeos de dirección o puerto por segundo. Si el número está definido endemasiado bajo, el dispositivo WatchGuard también podrían negar tráfico legítimo de red. Es menosprobable que bloquee tráfico legítimo de red si usa un número más alto, pero el dispositivo WatchGuarddebe enviar paquetes de restablecer TCP para cada conexión que abandona. Eso consume ancho de banday recursos en el dispositivo WatchGuard y provee información al atacante acerca de su firewall.

Acerca de los ataques de congestión del servidor

En un ataque de congestión del servidor, los atacantes envían un volumen muy alto de tráfico a un sistemapara que no pueda examinar y termine permitiendo el tráfico de red. Por ejemplo, un ataque decongestión del servidor ICMP ocurre cuando un sistema recibe muchos comandos ping de ICMP y debeusar todos sus recursos para enviar comandos de respuestas. En dispositivo WatchGuard puede protegercontra esos tipos de ataques de congestión:

n IPSecn IKEn Protocolo de control de mensajes en Internet (ICMP)n SYNn Protocolo de datagrama de usuario (UDP)

Los ataques de congestión también son conocidos como ataques de negación de servicio (DoS). Laconfiguración predeterminada del dispositivo WatchGuard busca bloquear ataques de congestión.

Para cambiar las configuraciones para esa función, o para cambiar el número máximo de conexionespermitidas por segundo:

1. En el Fireware XTM Web UI, seleccione Firewall > Administración de paquetes predeterminada.Aparece la página "Administración de paquetes predeterminada".





2. Seleccione o limpie las casillas de verificación Ataque de congestión del servidor.3. Haga clic en las flechas para seleccionar el número máximo de paquetes permitidos por segundo

para cada dirección IP de origen.Por ejemplo, si se define en 1000, el Firebox bloquea una fuente que reciba más de 1000 paquetespor segundo desde aquella origen.


Acerca de la configuración del ataque de congestión del servidor de SYN

Paraataques de congestión de SYN, puede definir el umbral apartir del cual el dispositivo WatchGuardinformaun posible ataque de congestión del servidor de SYN, peroningún paquete es abandonado si sólo serecibe el númerode paquetes seleccionado. Cuando se duplicael umbral seleccionado, todos los paquetesde SYN son abandonados. En cualquier nivel entre el umbral seleccionado y el doble de ese nivel, si losvalores src_IP, dst_IP y total_extensión de unpaquete son los mismosen el paquete anterior recibido,entonces siempre esabandonado. De lo contrario, 25% de los nuevospaquetes recibidos son abandonados.

Por ejemplo, se define el umbral del ataque de congestión del servidor de SYN en 18 paquetes/seg. Cuandoel dispositivo WatchGuard recibe 18 paquetes/seg, le informa un posible ataque de congestión del servidorde SYN, pero no abandona ningún paquete. Si el dispositivo recibe 20 paquetes por segundo, abandona el25% de los paquetes recibidos (5 paquetes). Si el dispositivo recibe 36 paquetes o más, los últimos 18 o másson abandonados.

Acerca de los paquetes no controlados

Un paquete no controlado es un paquete que no coincide con ninguna regla de política. El dispositivoWatchGuard siempre niega los paquetes no controlados, pero puede cambiar la configuración deldispositivo para proteger aún más su red.


2. Seleccione o limpie las casillas de verificación para estas opciones:

Bloquear automáticamente origen de paquetes no controlados

Seleccione para bloquear automáticamente el origen de los paquetes no controlados. Eldispositivo WatchGuard añade la dirección IP que envía el paquete a la lista de sitiostemporalmente bloqueados.

Enviar mensaje de error a los clientes cuyas conexiones estén desactivadas

Seleccione para enviar un restablecer TCP o error de ICMP de vuelta al cliente cuando eldispositivo WatchGuard recibe un paquete no controlado.





Acerca de ataques de negación de servicio distribuidos

Ataques de negación de servicio distribuidos (DDoS) son muy similares a ataques de congestión delservidor. En un ataque DDoS, muchos clientes y servidores diferentes envían conexiones a un sólo sistemainformático para intentar congestionar el sistema. Cuando ocurre un ataque de DDoS, usuarios legítimos nopueden usar el sistema objetivo.

La configuración predeterminada del dispositivo WatchGuard busca bloquear ataques DDoS. Puede cambiarconfiguraciones para esa función y también el número máximo de conexiones permitidas por segundo.


2. Seleccione o limpie las casillas de verificación Cuota por cliente o Cuota por servidor.3. Haga clic en las flechas para definir el número máximo de conexiones permitidas por segundo

desde una dirección IP de origen protegida por el dispositivo WatchGuard (Cuota por cliente) o unadirección IP de destino protegida por el dispositivo WatchGuard (Cuota por servidor): Lasconexiones que exceden esa cuota son desechadas.

Acerca de los sitios bloqueadosUn sitio bloqueado es una dirección IP que no puede establecer una conexión a través del dispositivoWatchGuard. Se solicita al dispositivo WatchGuard que bloquee sitios específicos que sabe o supone que

representan un riesgo de seguridad. Después de encontrar la fuente del tráfico sospechoso, puedebloquear todas las conexiones desde esa dirección IP. También puede configurar el dispositivo WatchGuardpara enviar un mensaje de registro cada vez que la fuente intenta establecer conexión con su red. A partirdel archivo de registro, puede ver los servicios que las fuentes usan para lanzar los ataques.

El Firebox niega todo el tráfico a partir de una dirección IP bloqueada. Puede definir dos tipos diferentes dedirecciones IP bloqueadas: permanente y bloqueo automático.

Sitios permanentemente bloqueados

El tráfico de red desde sitios permanentemente bloqueados siempre es negado. Esas direcciones IP sonalmacenadas en la lista de Sitios Bloqueados y deben ser añadidas manualmente. Por ejemplo, puede añadiruna dirección IP que constantemente intenta explorar su red según la lista de Sitios Bloqueados para evitarexploraciones de puertos desde aquel sitio.

Para bloquear un sitio, vea Bloquear un sitio permanentemente en la página 344.

Lista de Sitios de bloqueo automático/Sitios temporalmentebloqueados

Los paquetes desde los sitios de bloqueo automático son negados por el período de tiempo especificado. ElFirebox usa las reglas de manejo de paquetes especificadas para cada política para determinar si bloquear ono un sitio. Por ejemplo, si crea una política que niega todo el tráfico en un puerto 23 (Telnet), cualquierdirección IP que intente enviar tráfico Telnet a través de ese puerto es automáticamente bloqueada por elperíodo de tiempo especificado.

Para bloquear automáticamente los sitios que envían tráfico negado, vea Bloquear sitios temporalmente conconfiguración de políticas en la página 346.

Tambiénpuede bloquear automáticamente sitiosque sean fuente de paquetesque no coincidan conningunareglade política.Paramás informaciones, veaAcerca de lospaquetesno controladosen lapágina342.

Ver y editar los sitios en la lista de Sitios Bloqueados

Para ver una lista de todos los sitios actualmente en la lista de sitios bloqueados, seleccione Estado delsistema > Sitios bloqueados.Para más informaciones, vea Estado de sitios bloqueados en la página 370.

Bloquear un sitio permanentemente

1. En el Fireware XTM Web UI, seleccione Firewall >Sitios bloqueados.





2. En la lista desplegable Elegir tipo, seleccione si desea insertar una dirección IP de host, unadirección de red o rango de direcciones IP.

3. Ingrese un valor en el cuadro de texto siguiente y haga clic en Agregar. Si debe bloquear un rangode direcciones que incluya una o más direcciones IP asignadas al dispositivo WatchGuard, primerodebe añadir esas direcciones IP a la lista de excepciones de sitios bloqueados.Para añadir excepciones, vea Crear Excepciones sitios bloqueados en la página 345.


Crear Excepciones sitios bloqueados

Cuando añade un sitio a la lista de Excepciones sitios bloqueados, el tráfico hacia ese sitio no es bloqueadopor la función de bloqueo automático.

1. En el Fireware XTM Web UI, seleccione Firewall >Sitios bloqueados.2. Haga clic en la pestaña Excepciones sitios bloqueados.

3. En la lista desplegable Elegir tipo, seleccione si desea insertar una dirección IP de host, unadirección de red o rango de direcciones IP.

4. Ingrese un valor en el cuadro de texto siguiente y haga clic en Agregar.5. Haga clic en Guardar.

Bloquear sitios temporalmente con configuración de políticas

Puede usar la configuración de políticas para bloquear temporalmente sitios que intenten usar un servicionegado. Las direcciones IP de los paquetes negados son agregadas a la lista de sitios bloqueadostemporalmente por 20 minutos (por defecto).

1. En el Fireware XTM Web UI, seleccione Firewall > Políticas de Firewall. Haga doble clic en unapolítica para editarla.Aparece el cuadro de diálogo "Configuración de políticas".

2. En la pestaña Política, asegúrese de definir la lista desplegable Conexiones están en Negadas oNegadas (enviar restablecer).

3. En la pestaña Propiedades, seleccione la casilla Automáticamente bloquear sitios que intentenconectarse. Por defecto, las direcciones IP de los paquetes negados son agregadas a la lista de sitiosbloqueados temporalmente por 20 minutos.





Cambiar la duración de los sitios que son bloqueadosautomáticamente

Nota Para ver una lista de direcciones IP que son bloqueadas automáticamente por eldispositivo WatchGuard, seleccione Estado del sistema >Sitios bloqueados. Puedeusar la lista "Sitios temporalmente bloqueados" y sus mensajes de registro paraayudarlo a decidir cuáles direcciones IP bloquear permanentemente.

Para activar la función de bloqueo automático:

En el Fireware XTM Web UI, seleccione Firewall > Administración de paquetes predeterminada.

Para más informaciones, vea Acerca de los paquetes no controlados en la página 342.

También puede usar la configuración de políticas para bloquear automáticamente sitios que intenten usarun servicio negado. Para más informaciones, vea Bloquear sitios temporalmente con configuración depolíticas en la página 346.

Para definir el período de tiempo que los sitios son automáticamente bloqueados:

1. En el Fireware XTM Web UI, seleccione Firewall >Sitios bloqueados.

2. Seleccione la pestaña Bloqueoautomático.

3. Para alterar el período de tiempo que un sitio es bloqueado automáticamente, en el cuadro de textoDuración para sitios de bloqueo automático, ingrese o seleccione el número de minutos parabloquear un sitio. El tiempo predeterminado es de 20 minutos.


Acerca de los puertos bloqueadosEs posible bloquear los puertos que se sabe que pueden ser usados para atacar su red. Eso detieneservicios de red externa específicos. Bloquear los puertos puede proteger sus servicios más sensibles.

Cuando bloquea un puerto, se anulan todas las reglas en sus definiciones de políticas. Para bloquear unpuerto, vea Bloquear un puerto en la página 349.

Puertos bloqueados predeterminados

En la configuración predeterminada, el dispositivo WatchGuard bloquea algunos destination ports. Engeneral no es necesario cambiar esa configuración predeterminada. Los paquetes TCP y UDP sonbloqueados para estos puertos:

X Window System (puertos 6000-6005)

La conexión cliente del X Window System (o X-Windows) no es cifrada y es peligroso usarla enInternet.

X Font Server (puerto 7100)

Diversas versiones del X Windows operan los servidores de fuentes X. Los servidores de fuentes Xfuncionan como un superusuario en algunos hosts.

NFS (puerto 2049)

El NFS (Sistema de archivos de red) es un servicio de TCP/IP en el cual muchos usuarios usan losmismos archivos en una red. Las nuevas versiones tienen problemas graves de seguridad yautenticación. Proveer NFS por Internet puede ser muy peligroso.

Nota El servicio portmap suele usar el puerto 2049 para NFS. Si usa NFS, asegúrese de elNFS usa el puerto 2049 en todos sus sistemas.

rlogin, rsh, rcp (puertos 513, 514)

Esos servicios ofrecen acceso remoto a otros equipos. Representan un riesgo de seguridad ymuchos atacantes sondean esos servicios.

Servicio portmap RPC (puerto 111)

Los servicios RPC usan el puerto 111 para encontrar qué puertos un servidor RPC determinadoutiliza. Los servicios RPC son fáciles de atacar a través de Internet.

puerto 8000

Muchos proveedores usan ese puerto y muchos problemas de seguridad están relacionados a él.

puerto 1

El servicio PCPmux usa el puerto 1, pero no con frecuencia. Se puede bloquearlo para dificultar elanálisis de los puertos por esas herramientas.

puerto 0

Ese puerto siempre está bloqueado por el dispositivo WatchGuard. No se puede permitir el tráficoen el puerto 0 a través del dispositivo.

Nota Si debe autorizar el tráfico a través de cualquiera de los puertos bloqueadospredeterminados para usar aplicaciones de software asociadas, recomendamosque permita el tráfico sólo a través de un túnel VPN o use SSH (Secure Shell) en esospuertos.





Bloquear un puerto

Nota Tenga mucho cuidado se bloquea números de puerto superiores a 1023. Losclientes suelen usar esos números de puerto de origen.

1. En el Fireware XTM Web UI, seleccione Firewall > Puertos bloqueados.2. Haga clic en las flechas del campo Puerto o ingrese el número de puerto para bloquear.3. Haga clic en Agregar.

El nuevo número de puerto aparece en la lista de "Puertos bloqueados".

Bloquear direcciones IP que intenten usar puertos bloqueados

Puede configurar el dispositivo WatchGuard para bloquear automáticamente un equipo externo queintente usar un puerto bloqueado. En el cuadro de diálogo Puertos bloqueados páginaseleccione la casillaBloquear automáticamente los sitios que intenten utilizar puertos bloqueados.


16 Registro y Notificación

Acerca de la generación de registros y archivos deregistroUna función importante de la seguridad de red es recoger mensajes de sus sistemas de seguridad,examinar esos registros con frecuencia y mantenerlos en un archivo para futuras consultas. El sistema demensaje de registro de WatchGuard crea archivos de registro con información acerca de seguridadreferente a eventos que se puede revisar para monitorear la actividad y seguridad de su red, identificarriesgos de seguridad y solucionarlos.

Un archivo de registro es una lista de eventos, junto con la información acerca de esos eventos. Un eventoes una actividad que ocurre en el dispositivo Firebox o XTM. Un ejemplo de un evento es cuando eldispositivo niega un paquete. Su dispositivo Firebox o XTM también puede capturar información acerca deeventos permitidos para darle una imagen más completa de la actividad en su red.

El sistema de mensaje de registro tiene varios complementos, que están descritos abajo.

Log Servers

Hay dos métodos para salvar los archivos de registro con el Fireware XTMWeb UI:

WatchGuard Log Server

Ese es un componente del WatchGuard System Manager (WSM). Si tiene un Firebox III, Firebox XCore o Firebox X Peak, Firebox X Edge con Fireware XTM oWatchGuard XTM 2 Series, 5 Series, 8Series o 1050, puede configurar un Log Server principal para recoger mensajes de registro.

Syslog

Ésta es una interfaz de registro desarrollada para UNIX pero que también es utilizada en muchosotros sistemas computarizados. Si utiliza un host de syslog, puede configurar su dispositivo Firebox oXTM para que envíe mensajes de registro a su servidor de syslog. Para encontrar un servidor desyslog compatible con su sistema operativo, ingrese una búsqueda en Internet para "syslog

daemon".

Si su dispositivo Firebox o XTM está configurado para enviar archivos de registro a un WatchGuard LogServer y la conexión falla, los archivos de registro no son recogidos. Es posible configurar su dispositivo paratambién enviar mensajes de registro a un host de syslog que esté en la red de confianza local para prevenirla pérdida de archivos de registro.

Para más información acerca del envío de mensajes de registro a un WatchGuard Log Server, vea Enviarmensajes de registro al WatchGuard Log Server en la página 353.

Para más información acerca del envío de mensajes de registro a un host de syslog, vea Enviar informaciónde registro a un host de Syslog en la página 355.

Syslog de estado del sistema

La página Syslog de la Fireware XTMWeb UI exhibe información de mensaje de registro en tiempo real queincluye datos acerca de la mayoría de las actividades recientes en el dispositivo Firebox o XTM.

Para más informaciones, vea Use el Syslog para ver los datos de mensaje de registro en la página 361.

Generación de registros y notificación en aplicaciones yservidores

El Log Server puede recibir mensajes de registro de su dispositivo Firebox o XTM o de un servidorWatchGuard. Después de configurar su dispositivo Firebox o XTM y el Log Server, el dispositivo envíamensajes de registro al Log Server. Puede activar la generación de registros en diversas aplicaciones ypolíticas de WSM que haya definido para que su dispositivo Firebox o XTM controle el nivel de registros quese ve. Si elige enviar mensajes de registro desde otro servidor WatchGuard al Log Server, primero debeactivar la generación de registros en aquel servidor.

Acerca de las mensajes de registro

Su dispositivo Firebox o XTM envía mensajes de registro al Log Server. También puede enviar mensajes deregistro a un servidor de syslog o guardar los registros localmente en el dispositivo Firebox o XTM. Se puedeelegir enviar los registros a una o a ambas ubicaciones.

Tipos de mensajes de registro

El Firebox envía varios tipos de mensajes de registro. El tipo aparece en el texto del mensaje. Los tipos demensajes de registro son:

n Tráficon Alarman Eventon Depurarn Estadística

Registro y Notificación




Mensajes de registro de tráfico

El Firebox envía mensajes de registro de tráfico mientras aplica el filtrado de paquetes y reglas de proxy altráfico que pasa por el dispositivo.

Mensajes de registro de alarma

Los mensajes de registro de alarma son enviados cuando ocurre un evento que desencadena la ejecuciónde un comando en Firebox. Cuando la condición de alarma coincide, el dispositivo envía un mensaje deregistro de Alarma al Log Server o servidor de syslog, y después realiza la acción especificada.

Hay ocho categorías de mensajes de registro de Alarma: Sistema, IPS, AV, Política, Proxy, Contador,Negación de Servicio y Tráfico. El Firebox no envía más de 10 alarmas en 15 minutos para las mismascondiciones.

Mensajes de registro de Evento

El Firebox envía mensajes de registro de eventos debido a la actividad del usuario. Las acciones que puedenhacer que el Firebox envíe un mensaje de registro de eventos incluyen:

n Inicio y apagado del dispositivon Autenticación de VPN y dispositivon Inicio y apagado de proceson Problemas con los componentes de hardware del dispositivon Cualquier tarea realizada por el administrador del dispositivo

Mensajes de registro de depuración

Los mensajes de registro de depuración incluyen información de diagnóstico que puede usar para ayudar asolucionar problemas. Hay 27 componentes de producto diferentes que pueden enviar mensajes deregistro de depuración.

Mensajes de registro de estadística

Los mensajes de registro de estadística incluyen información acerca del desempeño de Firebox. Pordefecto, el dispositivo envía mensajes de registro acerca de las estadísticas de desempeño de la interfazexterna y ancho de banda de VPN a su archivo de registro. Puede usar esos registros para cambiar susconfiguraciones de Firebox, según sea necesario para mejorar el desempeño.

Enviarmensajesde registro alWatchGuard LogServerEl El WatchGuard Log Server es un componente del WatchGuard System Manager. Si tiene el WatchGuardSystem Manager, puede configurar el Log Server principal y de resguardo para recoger mensajes deregistro de sus dispositivos Firebox. Se define un Log Server como el principal (Prioridad 1) y otros LogServers como servidores de resguardo.

Si el Firebox no puede conectarse al Log Server principal, intenta conectarse al siguiente Log Server en lalista de prioridad. Se el Firebox examina cada Log Server en la lista y no puede conectar, él intentaconectarse al primer Log Server en la lista nuevamente. Cuando el Log Server principal no está disponible,el Firebox se conecta al Log Server de resguardo, el Firebox intenta reconectarse al Log Server principal acada 6 minutos. Eso no afecta la conexión de Firebox con el Log Server de resguardo hasta que el LogServer principal esté disponible.

Para más información acerca de los WatchGuard Log Servers e instrucciones para configurar el Log Serverpara que acepte mensajes de registro, vea el Guía del usuario del WatchGuard System Manager.

Agregar, editar o alterar la prioridad de Log Servers

Para enviar mensajes de registro de su Firebox al WatchGuard Log Server:

1. Seleccione Sistema > Registros.Aparece la página Registro.

2. Para enviar mensajes de registro a uno o más WatchGuard Log Servers, seleccione la casilla deverificación Enviar mensajes de registro a WatchGuard Log Servers.

3. En el campo Dirección de Log Server, ingrese la dirección IP del Log Server principal.4. En el campo Encryption Key, ingrese la Log Server encryption key.5. En el campo Confirmar, ingrese la clave de cifrado nuevamente.6. Haga clic en Agregar.

La información para el Log Server aparece en la lista Log Server.7. Repita los pasos 3 a 6 para agregar más Log Servers a la lista Servidor.





8. Para alterar la prioridad de un Log Server en la lista, seleccione una dirección IP en la lista y haga clicen Arriba o Abajo.El número de prioridad cambia a medida que la dirección IP sube o baja en la lista.


Enviar información de registro a un host de SyslogSyslog es una interfaz de registro desarrollada para UNIX, pero también usada por diversos otros sistemasinformáticos. Es posible configurar el dispositivo WatchGuard para enviar información de registro a unservidor syslog. Un dispositivo WatchGuard puede enviar mensajes de registro a un WatchGuard Log Servero a un servidor syslog o a ambos a la vez. Los mensajes de registro syslog no son cifrados. Recomendamosque no seleccione un host de syslog en la interfaz externa.

Para configurar el dispositivo WatchGuard para que envíe mensajes de registro a un host de syslog, debetener un host de syslog configurado, en funcionamiento y listo para recibir mensajes de registro.


2. Seleccione la pestaña Servidor Syslog.

3. Seleccione la casilla de verificación Activar salida Syslog para ese servidor.4. En el campo Activar salida Syslog para ese servidor, ingrese la dirección IP del host de syslog.5. En la sección Configuración, para seleccionar un recurso de syslog para cada tipo de mensaje de

registro, haga clic en las listas desplegables al lado.

Si seleccionaNINGUNO, los detalles para ese tipo de mensaje no son enviados al host de syslog.

Para más información acerca de los diferentes tipos de mensajes, vea Tipos de mensajes de registroen la página 352.

El recurso de syslog se refiere a uno de los campos en el paquete syslog y también al archivo al cualsyslog envía un mensaje de registro. Puede usar Local0 para mensajes syslog de alta prioridad, comoalarmas. Puede usar Local1–Local7 para asignar prioridades para otros tipos de mensajes de registro(números inferiores tienen mayor prioridad). Vea su documentación de syslog para másinformación acerca de los recursos de registro.


Nota Como el tráfico de syslog no es cifrado, los mensajes de syslog que son enviados através de Internet disminuyen la seguridad de la red de confianza. Es más seguro sipone su host de syslog en su red de confianza.

Configurar RegistrosEs posible elegir guardar los mensajes de registro en su Firebox y seleccionar las estadísticas de desempeñoque incluir en sus archivos de registro.


2. Haga clic en la pestaña Configuración.





3. Para almacenar mensajes de registro en su dispositivo WatchGuard, seleccione la casilla deverificación Enviar mensaje de registro al almacenamiento interno de Firebox.

4. Para incluir estadísticas de desempeño en sus archivos de registro, seleccione la casilla deverificación Insertar estadísticas de interfaz externa y ancho de banda VPN en el archivo deregistro.

5. Para enviar un mensaje de registro cuando el archivo de configuración de Firebox es alterado,seleccione la casilla de verificación Enviar mensajes de registro cuando se altera la configuraciónde este Firebox.

6. Para enviar mensajes de registro acerca del tráfico enviado por Firebox, seleccione la casilla deverificación Activar registros de tráfico enviado por el propio Firebox.


Defina el nivel de registro de diagnósticoDe Fireware XTMWeb UI puede seleccionar el nivel de registros de diagnóstico para ser grabado en suarchivo de registro. No recomendamos que seleccione el nivel de registros más alto excepto si unrepresentante del soporte técnico se lo solicite mientras se soluciona un problema. Cuando usa el nivel deregistro de diagnóstico más alto, el archivo de registro puede llenarse muy rápidamente y el desempeñodel dispositivo WatchGuard suele reducirse.

1. Seleccione Sistema > Registro de diagnóstico.Aparece la página "Nivel de registro de diagnóstico".

2. Use la barra de desplazamiento para encontrar la categoría.3. En la lista desplegable para la categoría, defina el nivel de detalles que incluir en el mensaje de

registro para la categoría:

n Apagadon Errorn Advertencian Informaciónn Depurar

Cuando Apagado (el nivel más bajo) esté seleccionado, los mensajes de diagnóstico para esacategoría están desactivados.






Configurar registros y notificación para unapolítica


2. Agregue o haga clic en una política.Aparece la página de Configuración de Política.

3. Haga clic en la pestaña Propiedades.

4. En la sección Registros, defina los parámetros para que coincidan con su política de seguridad.

Para más información acerca de los campos en la sección Registros, vea Determinar preferencias deregistro y notificación en la página 360.


Determinar preferencias de registro y notificación

Las configuraciones para registro y notificación son similares en toda la configuración del Firebox. Para cadalugar donde se definan las preferencias de registros y notificación, prácticamente todos los campos escritosabajo están disponibles.

Enviar mensaje de registro

Cuando selecciona esa casilla de verificación, el Firebox envía un mensaje de registro cuando ocurreun evento.

Puede seleccionar enviar mensajes de registro a un almacenamiento interno de Firebox,WatchGuard Log Server o Servidor Syslog. Para obtener pasos detallados para seleccionar un destinopara sus mensajes de registro, vea Configurar Registros en la página 356.

Enviar captura SNMP

Cuando selecciona esa casilla de verificación, el Firebox envía una notificación de evento al sistemade administración del SNMP. El Protocolo de Administración de Red Simple (SNMP, en sus siglas eninglés) es un conjunto de herramientas usado para monitorear y administrar redes. Una capturaSNMP es una notificación de evento que el Firebox envía al sistema de administración de SNMPcuando una condición especificada ocurre.

Nota Si selecciona la casilla Enviar captura SNMP y todavía no configuró el SNMP,aparece un cuadro de diálogo que solicita que lo haga. Haga clic en Sí para ir alcuadro de diálogo Configuración de SNMP. No puede enviar capturas SNMP si notiene el SNMP configurado.

Para más información acerca del SNMP, vea Acerca del SNMP en la página 59.

Para activar las capturas SNMP o solicitudes de informes, vea Activar Capturas y estaciones deadministración de SNMP en la página 62.





Enviar notificación

Cuando selecciona esa casilla, el Firebox envía una notificación cuando el evento especificadoocurre. Por ejemplo, cuando una política permite un paquete.

Puede seleccionar cómo el Firebox envía la notificación:

n Correoelectrónico—ElLogServerenvíaunmensajedecorreoelectrónicocuandoocurreeleventon Ventana emergente — El Log Server abre un cuadro de diálogo cuando ocurre el evento.

Definir:

n Intervalo de lanzamiento— El tiempo mínimo (en minutos) entre diferentesnotificaciones. Ese parámetro evita que más de una notificación sea enviada en unespacio corto de tiempo para el mismo evento.

n Repetir conteo— Esa configuración controla con qué frecuencia ocurre un evento.Cuando el número de eventos alcanza el valor seleccionado, una notificación especial derepetición se inicia. Esa notificación crea una entrada de registro repetida acerca deaquella notificación especificada. La notificación empieza nuevamente después queocurre el número de eventos especificado en ese campo.

Por ejemplo, defina el Intervalo de lanzamiento en 5 minutos y el Repetir conteo en 4. Un sondeode espacio entre puertos se inicia a las 10:00 y sigue a cada minuto. Eso da inicio a los mecanismosde registro y notificación.Esas acciones ocurren en esos momentos:

n 10:00 — Sondeo de espacio entre puertos inicial (primer evento)n 10:01 — Inicia primera notificación (un evento)n 10:06 — Inicia segunda notificación (reporta cinco eventos)n 10:11 — Inicia tercera notificación (reporta cinco eventos)n 10:16 — Inicia cuarta notificación (reporta cinco eventos)

El intervalo de lanzamiento controla los intervalos de tiempo entre cada evento (1, 2, 3, 4 y 5). Esose definió en 5 minutos. Multiplique el "repetir conteo" por el intervalo de lanzamiento. Ese es elintervalo de tiempo que un evento debe continuar para que se inicie la repetición de notificación.

Use el Syslog para ver los datos de mensaje deregistroPuede ver los datos de mensaje de registro en tiempo real en la página Syslog. Puede elegir ver sólo un tipode mensaje de registro o filtrar todos los mensajes de registro según detalles específicos. También puedecontrolar la frecuencia con la que los datos del mensaje de registro se actualizan.

Cuando usa el campo Filtrar para especificar cuáles mensajes de registro aparecen, los resultados debúsqueda por filtro incluyen todas las entradas que son coincidencias parciales para el filtro seleccionado.

Ver, Ordenar y Filtrar datos de mensaje de registro

Puede elegir ver sólo tipos específicos de mensajes de registro y aplicar filtros para refinar los datos queaparecen en los mensajes de registro de Syslog.

1. Seleccione Estado del sistema > Syslog.Aparece la página Syslog con una lista completa de mensajes de registro en tiempo real para todos los tipos demensajes.

2. Para ver sólo un tipo de mensaje de registro, en la lista desplegable Tipo de cuadro, seleccione untipo de mensaje:

n Tráficon Alarman Evento





n Depurarn Estadística

3. Para ver todos los tipos de mensaje de registro nuevamente, en la lista desplegable Tipo de cuadro,seleccione Todos.

4. Para ordenar los mensajes de registro por un tipo de dato, haga clic en el encabezado de la columnapara ver el tipo de dato en cuestión. Las columnas diferentes aparecen según el tipo de mensaje deregistro seleccionado en la lista desplegable Tipo de cuadro.

5. Para ver sólo mensajes de registro con un detalle de mensaje específico, en el cuadro de texto Filtro, ingrese el detalle deseado.La pantalla del Syslog se actualiza automáticamente para mostrar sólo los mensajes de registro que incluyenen detalle especificado. Si ningún mensaje coincide con el filtro insertado, la página del Syslog queda enblanco.

Por ejemplo, si sólo desea ver mensajes de registro del usuarioAdmin, ingrese IDusuario=Admin.Los resultados incluyen mensajes de registro con el usuario Admin, Admins, Administrador ycualquier otro nombre de usuario que incluya los caracteres Admin.

6. Para remover un filtro, limpie todos los detalles del cuadro de texto Filtro .La pantalla de Syslog se actualiza automáticamente.

7. Para copiar los datos del mensaje de registro de la lista, seleccione uno o más ítems en la lista y hagaclic en Copiar.

Actualizar datos de mensaje de registro

n Para alterar la frecuencia con la cual se actualizan los datos de mensaje de registro en la pantalla,defina Intervalo de actualización.

n Para desactivar temporalmente la opción de actualizar pantalla, haga clic en Pausar.n Para activar la actualización de la pantalla nuevamente, haga clic en Reiniciar.


17 Monitorear su Firebox

Monitorear su FireboxPara monitorear el estado y la actividad en el dispositivo Firebox o XTM, utilice las páginas de Panel decontrol y Estado del sistema.

El Panel de control

El Panel de control incluye dos páginas: la página Sistema y la página Servicios de suscripción.

La página Sistema incluye una vista rápida del estado del dispositivo. Si tiene acceso a la configuración (delectura y escritura), puede reiniciar el dispositivo desde esta página. La página Sistema del panel de controlaparece automáticamente al conectarse a la Fireware XTMWeb UI .

Para abrir la página Sistema desde otra página en laWeb UI:

Seleccione Panel de Control> Sistema.

La página Sistema del Panel de control muestra:

n Información del dispositivo:

n Nombre del dispositivon Versión de software del sistema operativo de Fireware XTMn Número de modelo del dispositivon Número de serie del dispositivon Tiempo de funcionamiento desde el último reinicio

n Información de la interfaz de red:

n Estado del enlacen Alias: el nombre de la interfazn IP: la dirección IP asignada a la interfazn Puerta de enlace: la puerta de enlace de la interfaz

Monitorear su Firebox




n Memoria y CPU : estadísticas de uso

Para consultar las estadísticas de un período más prolongado o para ver más detalles acerca de lasestadísticas en el Panel de control:

En la parte inferior de un elemento del Panel de control, haga clic en Zoom.Aparece la página Estado del sistema, con más información y opciones.

También puede ver información acerca de las suscripciones al Gateway AntiVirus, el Intrusion PreventionService, WebBlocker y spamBlocker.

Seleccione Panel de control> Servicios de suscripción.Aparece la página Servicios de suscripción.

La página Servicios de suscripción, muestra:

n Tráfico analizado, infectado y omitido, monitoreado por el Gateway AntiVirus.n Tráfico analizado, detectado e impedido, monitoreado por el Intrusion Prevention Service.n Versión de firma e información de actualización del Gateway AntiVirus y el Intrusion Prevention

Service.n Tráfico y solicitudes HTTP rechazados por WebBlocker.n Correo limpio, confirmado, masivo y sospechoso identificado por spamBlocker.

Para obtener más información acerca de actualizaciones de firmamanuales, consulte Ver estado deservicios de suscripción y actualizar firmas manualmente en la página 623.

Páginas Estado del sistema

Las páginas Estado del sistema incluyen una lista de categorías de monitoreo. En estas páginas se puedenmonitorear todos los componentes del dispositivo Firebox o XTM .

Las páginas Estado del sistema están configuradas para actualizarse automáticamente cada 30 segundos.

Para modificar estas configuraciones:

1. Para modificar el intervalo de actualización, haga clic y arrastre el triángulo en la barra deslizanteIntervalo de actualización.

2. Para detener las actualizaciones en forma temporal, haga clic en Pausa.3. Para forzar una actualización inmediata, haga clic en Pausa y luego haga clic en Reiniciar.

Los números en el eje x de las tablas indican la cantidad de minutos atrás. Las tablas estadísticas en el Panelde control muestran datos de los últimos 20 minutos.

Algunas páginas de Estado del sistema tienen la función Copiar.

Para copiar información de una lista:

1. Seleccione uno o más elementos de la lista.2. Haga clic en Copiar.3. Pegue los datos en otra aplicación.

Tabla ARPPara ver la tabla ARP para Firebox:

Seleccione Estado del sistema> Tabla ARP.

La página Tabla ARP incluye dispositivos que han respondido a una solicitud ARP (Protocolo de resoluciónde dirección) de Firebox:

Dirección IP

La dirección IP del equipo que responde a la solicitud ARP.

Tipo HW

El tipo de conexión de Ethernet que la dirección IP usa para conectarse.





Marcadores

Si la dirección de hardware de IP se resuelve, se marca como válida. De lo contrario, se marca comono válida.

Nota Una dirección de hardware válida puede mostrarse brevemente como no válidamientras Firebox espera una respuesta a la solicitud ARP.

Dirección HW

La dirección MAC de la tarjeta de interfaz de red que está asociada con la dirección IP.

Dispositivo

La interfaz de Firebox donde se encontró la dirección de hardware para esa dirección IP. El nombrede núcleo Linux para la interfaz se muestra entre paréntesis.

Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox enla página 365.

AutenticacionesPara ver la lista de usuarios autenticados para Firebox:

Seleccione Estado del sistema> Lista de autenticación.

La página Lista de autenticación incluye información acerca de cada usuario actualmente autenticado paraFirebox.

Usuario

El nombre del usuario autenticado.

Tipo

El tipo de usuario que se autenticó: usuario móvil o de firewall.

Dominio de autenticación

El servidor de autenticación que autenticó al usuario.

Hora de inicio

La cantidad de tiempo desde que el usuario se autenticó.

Última actividad

La cantidad de tiempo desde la última actividad del usuario.

Dirección IP

La dirección IP interna que utiliza el usuario; en el caso de usuarios móviles, esta dirección IP es ladirección IP que Firebox les ha asignado.

De dirección

La dirección IP en el equipo a partir del cual el usuario se autentica. Para los usuarios móviles, esadirección IP es la misma que en el equipo utilizado para conectarse al Firebox. Para los usuarios defirewall, la dirección IP y la Dirección De son las mismas.

Para ordenar la Lista de Autenticación:

Haga clic en el encabezado de la columna.

Para finalizar una sesión de usuario:

Haga clic en el nombre de usuario y seleccione Cerrar sesión de usuarios.

Para obtener más información acerca de la autenticación, consulte Acerca de la autenticación de usuarioen la página 209.


Medidor de ancho de bandaEsta página del Medidor de ancho de banda muestra las estadísticas de velocidad en tiempo real para todaslas interfaces de Firebox a través del tiempo. El eje Y (vertical) muestra la velocidad. El eje X (horizontal)muestra la hora.

Para monitorear el uso de ancho de banda para interfaces de Firebox:

1. Seleccione Estado del sistema> Medidor de ancho de banda.2. Para ver el valor de cada punto de datos, mueva el mouse sobre las líneas del gráfico.


Estado de sitios bloqueadosPara ver una lista de direcciones IP actualmente bloqueadas por Firebox:

Seleccione Estado del sistema> Sitios bloqueados.

La página Sitios bloqueados incluye una lista de direcciones IP que actualmente se encuentran el la lista deSitios bloqueados, el motivo por el que se agregaron a la lista y el tiempo de vencimiento (cuando seelimina al sitio de la lista Sitios bloqueados).

La tabla incluye la siguiente información para cada sitio bloqueado:

IP

La dirección IP del sitio bloqueado.

Origen

El origen del sitio bloqueado. Los sitios agregados en la página Estado del sistema> Sitiosbloqueados se muestran como administración, mientras que los sitios agregados desde la páginaFirewall> Sitios bloqueados se muestran como configuración.





Motivo

El motivo por el que se bloqueó el sitio.

Tiempo de espera

La cantidad de tiempo total de bloqueo del sitio.

Caducidad

La cantidad de tiempo que falta hasta que termine el período de tiempo de espera.

Nota Los sitios bloqueados que muestran unMotivo de IP estática bloqueada ymuestran un Tiempo de espera y Vencimiento de Nunca se vence estánbloqueados permanentemente. No se puede eliminar o editar un sitio bloqueadopermanentemente de esta página. Para agregar o quitar un sitio bloqueadopermanentemente, seleccione Firewall> Sitios bloqueados como se describe enBloquear un sitio permanentemente en la página 344.

Agregar o editar sitios bloqueados temporalmente

En la página Estado del sistema Sitios bloqueados, el usuario también puede agregar o quitar sitiosbloqueados temporalmente de la lista de sitios bloqueados y cambiar el vencimiento de esos sitios.

Para agregar un sitio bloqueado temporalmente a la lista de sitios bloqueados:

1. Haga clic en Agregar.Aparece el cuadro de diálogo Agregar sitio bloqueado temporalmente.

2. Ingrese la dirección IP del sitio que desea bloquear.3. En el cuadro de texto y la lista desplegable Vence luego de, seleccione cuánto tiempo desea que

este sitio permanezca en la lista de sitios bloqueados.4. Haga clic en OK.

Para cambiar el vencimiento de un sitio bloqueado temporalmente:

1. En la Lista de conexiones, seleccione el sitio.2. Haga clic en Cambiar vencimiento.

Aparece el cuadro de diálogo Editar sitio bloqueado temporalmente.3. En el cuadro de texto y la lista desplegable Vence luego de, seleccione cuánto tiempo desea que

este sitio permanezca en la lista de sitios bloqueados.4. Haga clic en OK.

Para quitar un sitio bloqueado temporalmente de la lista de sitios bloqueados:

1. Seleccione el sitio en la Lista de conexiones.2. Haga clic en Eliminar.

El sitio bloqueado se quita de la lista.


Suma de comprobaciónPara ver la suma de comprobación de los archivos del OS (sistema operativo) instalado actualmente enFirebox:

Seleccione Estado del sistema > Suma de comprobación.

Firebox calcula la suma de comprobación para el OS instalado. Firebox puede tardar algunosminutos en completar el cálculo de la suma de comprobación. La suma de comprobación aparececon la fecha y la hora en que se completó el cálculo de la suma de comprobación.


ConexionesPara monitorear las conexiones a Firebox:

Seleccione Estado del sistema> Conexiones.

La página Conexiones incluye un número de conexiones que atraviesan a Firebox. El número actual deconexiones para cada protocolo aparece en la columna Conexiones.


Lista de componentesPara ver una lista de los componentes de software instalados en Firebox:

Seleccione Estado del sistema> Lista de componentes.

La página Componentes incluye una lista del software instalado en Firebox.

La lista de software incluye estos atributos:

n Nombren Versiónn Buildn Fecha






Uso de CPUPara monitorear el uso de CPU en Firebox:

1. Seleccione Estado del sistema> Uso de CPU.La página Uso de CPU contiene gráficos que muestran el uso de CPU y la carga promedio en unperíodo determinado.

2. Para ver el valor de cada punto de datos, mueva el mouse sobre las líneas del gráfico.3. Para seleccionar un período, haga clic en la lista desplegable Uso de CPU.

n El eje X indica el número de minutos atrás.n La escala del eje Y es el porcentaje de capacidad de CPU utilizado.

En la página Panel de control aparece una versión más pequeña de este gráfico.


Concesiones de protocolo de configuracióndinámica de host (DHCP)Para ver una lista de las concesiones de protocolo de configuración dinámica de host (DHCP) para Firebox:

Seleccione Estado del sistema> Concesiones de DHCP.

La página Concesiones de DHCP incluye al servidor DHCP y las concesiones utilizadas por Firebox, con lasreservas de DHCP .

Interfaz

La interfaz de Firebox a la que está conectado el cliente.

Dirección IP

La dirección IP de la concesión.

Host

El nombre de host. Si no hay un nombre de host disponible, este campo está vacío.

Dirección MAC

La dirección MAC asociada con la concesión.

Hora de inicio

El tiempo por el que el cliente solicitó la concesión.

Hora de finalización

La hora en que vence la concesión.

Tipo de hardware

El tipo de hardware.


DiagnósticosSe puede utilizar la página Diagnósticos para hacer ping a una dirección IP o host, trazar la ruta a unadirección IP o host, buscar información de DNS para el host o visualizar información acerca de los paquetestransmitidos a través de la red (Depósito de protocolo de control de transmisión, TCP).

Seleccione Estado del sistema > Diagnósticos.

Ejecutar un comando de diagnóstico básico

1. En la lista desplegable Tarea, seleccione el comando que desea ejecutar:

n Pingn Rastrear rutan Buscar DNSn Volcado de TCP

Si selecciona ping, traceroute o dnslookup , aparece el campo Dirección.

Si selecciona tcpdump , aparece el campo Interfaz.

2. En el campo Dirección, ingrese una dirección IP o nombre de host.O seleccione Interfaz en la lista desplegable.

3. Haga clic en Ejecutar tarea.El resultado del comando aparece en la ventana Resultados y aparece el botón Detener tarea.

4. Para detener la tarea de diagnóstico, haga clic en Detener tarea.

Utilizar argumentos de comandos

1. En la lista desplegable Tarea, seleccione el comando que desea ejecutar:





n Pingn Rastrear rutan Buscar DNSn Volcado de TCP

2. Seleccione la casilla de verificación Opciones avanzadas.El campo Argumentos está activado y el campo Dirección o Interfaz está desactivado.

3. En el campo Argumentos, ingrese los argumentos del comando.

Para ver los argumentos disponibles para un comando, deje el campo Argumentos en blanco.

4. Haga clic en Ejecutar tarea.El resultado del comando aparece en la ventana Resultados y aparece el botón Detener tarea.

5. Para detener la tarea de diagnóstico, haga clic en Detener tarea.


DNS dinámicoPara ver la tabla de rutas de DNS dinámico:

Seleccione Estado del sistema> DNS dinámico.

La página DNS dinámico contiene la tabla de rutas DNS con la siguiente información:

Nombre

El nombre de la interfaz.

Usuario

El nombre de usuario de la cuenta de DNS dinámico.

Dominio

El dominio para el cual se provee el DNS dinámico.

Sistema

El tipo de servicio DNS dinámico.

Agregar

La dirección IP asociada al dominio.

IP

La dirección IP actual de la interfaz.

Último

La última vez que se actualizó el DNS.

Siguiente fecha

La próxima fecha programada para actualización del DNS .

Estado

El estado de DNS dinámico.


Tecla de funciónLa tecla de función es una licencia que le permite utilizar diversas funciones en su dispositivo WatchGuard.Al comprar una opción o actualización y obtener una nueva tecla de función, aumenta la funcionalidad desu dispositivo.

Cuando compra una nueva función

Cuando compra una nueva función para su dispositivo WatchGuard, debe:

n Obtener una tecla de función junto a LiveSecurityn Agregar una tecla de función a su Firebox

Ver las funciones disponibles con la actual tecla de función

Su dispositivo WatchGuard siempre tiene una tecla de función activa actualmente. Se puede utilizar laFireware XTMWeb UI para ver las funciones disponibles con esta tecla de función. También puedenrevisarse los detalles de la tecla de función actual.

Los detalles disponibles incluyen:

n Número de serie del dispositivo WatchGuard al cual esa tecla de función se aplican ID y nombre del dispositivo WatchGuardn Modelo y número de versión de dispositivon Funciones disponibles

Para ver información acerca de las funciones con licencia para el dispositivo WatchGuard:

1. Seleccione Estado del sistema> Tecla de función.Aparece la página Tecla de función, con información básica acerca de las funciones habilitadas por la tecla defunción para este dispositivo.





2. Para ver información para cada función, utilice la barra de desplazamiento en la pestaña Tecla defunción.Aparece la siguiente información:

n Función: el nombre de la función con licencia.n Valor: la función que la licencia habilita. Por ejemplo, una capacidad o número de usuarios.n Vencimiento: fecha en la que vence la licencia.n Tiempo restante: la cantidad de días hasta el vencimiento de la licencia.

3. Para ver los detalles de la tecla de función, haga clic en la pestaña Texto de la tecla de función.Aparecen las funciones con licencia del dispositivo.


InterfacesPara ver información sobre las interfaces de red de Firebox:

Seleccione Estado del sistema> Interfaces.

La página Interfaces incluye información para cada interfaz:

Estado del enlace

Si la interfaz está activa, aparece Activada. Si no está activa, aparece Desactivada.

Alias

El nombre de la interfaz.

Activado

Incluye información sobre si cada interfaz está activada.

Puerta de enlace

La puerta de enlace definida para cada interfaz.

IP

La dirección IP configurada para cada interfaz.

Dirección MAC

La dirección MAC para cada interfaz.

Nombre

El número de interfaz.

Máscara de red

Máscara de red para cada interfaz.

Zona

La zona de confianza para cada interfaz.


LiveSecurityLa Fireware XTMWeb UI incluye una página con las notificaciones de alertas más recientes enviadas desdeLiveSecurity Service de WatchGuard. Las alertas de LiveSecurity proveen información que se aplica aldispositivo, como las notificaciones acerca de las actualizaciones de software disponibles. Las notificacionesde alertas se envían no más de una vez al día.

Para ver las alertas desde WatchGuard:

1. Seleccione Estado del sistema> LiveSecurity.2. Haga clic en Actualizar para verificar las nuevas alertas.






MemoriaPara monitorear el uso de memoria en Firebox:

1. Seleccione Estado del sistema> Memoria.Aparece un gráfico que muestra el uso de memoria de núcleo Linux a lo largo de un período.

2. Para ver el valor de cada punto de datos, mueva el mouse sobre las líneas del gráfico.3. Para seleccionar el período para el gráfico, haga clic en la lista desplegable Memoria.

n El eje X indica el número de minutos atrás.n La escala del eje Y es la cantidad de memoria utilizada en megabytes.

En la página Panel de control también puede verse una versión más pequeña de este gráfico.


Lista de acceso saliente(Esta función se aplica sólo a los dispositivos Firebox X Edge e-Series con Fireware XTM.)

La tecla de función para su dispositivo Firebox X Edge activa el dispositivo para que tenga un númeroespecífico de direcciones IP con acceso de salida. La Web UI de Fireware XTM puede usarse para ver elnúmero máximo de direcciones IP que tienen permitido acceso saliente y las direcciones IP queactualmente tienen acceso saliente. También puede remover las direcciones IP de la lista de acceso desalida, que permite que otra dirección IP remplace aquélla removida. Eso ayuda si tiene un númerolimitado de direcciones IP con acceso de salida. Fireware XTM limpia automáticamente todas lasdirecciones IP de la Lista de acceso saliente una vez por hora.

La información acerca del número máximo de direcciones IP con acceso saliente también está disponibleen la tecla de función. Para más información, vea Acerca de las teclas de función en la página 51.

Nota Esta función se aplica solo a los dispositivos Firebox X Edge con Fireware XTM. Sino tiene un dispositivo Firebox X Edge con Fireware XTM, esta página no apareceen la Web UI.

Para ver la Lista de acceso de salida:

1. Seleccione Estado del sistema> Lista de acceso saliente.Aparece la página Lista de acceso saliente.

2. Para quitar una o más direcciones IP de la lista, seleccione las direcciones y haga clic en Eliminar.3. Para quitar todas las direcciones IP de la lista, haga clic en Borrar lista.4. Para copiar la información de determinados elementos de la lista, seleccione los elementos y haga

clic en Copiar.5. Para cambiar la frecuencia con la que se actualiza la información de la página, deslice el control

Intervalo de actualización.6. Para detener temporalmente la actualización de información en la página, haga clic en Pausa.

ProcesosPara ver una lista de procesos que se ejecutan en Firebox:

Seleccione Estado del sistema> Procesos.

La página Procesos incluye información acerca de todos los procesos que se ejecutan en Firebox.

Identificador de procesos (PID)

La identificación del proceso es un número único que muestra cuándo se inició el proceso.

NOMBRE

El nombre del proceso.

ESTADO

El estado del proceso:

R: en ejecución

S: suspendido

D,Z: inactivo

RSS

El número total de kilobytes de memoria física que utiliza el proceso.

PARTE

El número total de kilobytes de memoria compartida que utiliza el proceso.

HORA

El tiempo que ha utilizado el proceso después de la última vez que se inició el dispositivo.

CPU

El porcentaje de tiempo de CPU que el proceso ha utilizado después del último reinicio deldispositivo.


RutasPara ver la tabla de rutas para Firebox:

Seleccione Estado del sistema> Rutas.

La tabla de rutas incluye esta información acerca de cada ruta:

Destino

La red para la que fue creada la ruta.

Interfaz

La interfaz asociada a la ruta.

Puerta de enlace

La puerta de enlace que utiliza la red.





Marca

Las marcas establecidas para cada ruta.

Indicador

El indicador establecido para esta ruta en la tabla de enrutamiento.

Máscara

La máscara de red para la ruta.


SyslogSe puede usar syslog para ver los datos de registro en el archivo de registro de Firebox.

Seleccione Estado del sistema>Syslog.La página Syslog aparece con las entradas más recientes en el archivo de registro de Firebox.

Para obtener más información sobre cómo utilizar esta página, consulte Use el Syslog para ver los datos demensaje de registro en la página 361.


Administración de tráficoPara ver las estadísticas de administración de tráfico:

Seleccione Estado del sistema> Administración de tráfico.Aparecen las estadísticas asociadas con cada acción de administración de tráfico que se ha configurado.

La página Administración de tráfico incluye las siguientes estadísticas:

Acción de administración de tráfico (TM)

El nombre de la acción de administración de tráfico

Interfaz

La interfaz del dispositivo WatchGuard a la que se aplica la acción de tráfico.

Bytes (%)

El número total de bytes.

Bytes/segundo

Los bits por segundo actuales (estimador de velocidad).

Paquetes

El número total de paquetes.

Paquetes/segundo

Los paquetes por segundo actuales (estimador de velocidad).

Para obtener información acerca de la administración de tráfico, consulte Acerca de las Administración detráfico y QoS en la página 323.


Estadísticas de VPNPara ver estadísticas acerca de túneles VPN :

1. Seleccione Estado del sistema> VPN Estadística.Aparecen las estadísticas de tráfico para túneles Branch Office VPN (BOVPN) y Mobile VPN with IPSec.

Para cada túnel VPN, esta página incluye:

Nombre

Nombre del túnel.

Local

La dirección IP en el extremo local del túnel.

Remoto

La dirección IP en el extremo remoto del túnel.

Puerta de enlace

Los extremos de la puerta de enlace utilizados por este túnel.

Entrada de paquetes

El número de paquetes recibidos a través del túnel.

Entrada de bytes

El número de bytes recibidos a través del túnel.

Salida de paquetes

El número de paquetes enviados a través del túnel.

Salida de bytes

El número de bytes enviados a través del túnel.

Reingresos

El número de reingresos para el túnel.

2. Para forzar a un túnel BOVPN a reingresar, seleccione un túnel BOVPN y haga clic en el botónReingresar túnel BOVPN seleccionado.

Para más informaciones, vea Regenerar clave de túneles BOVPN en la página 458.





3. Para ver información adicional para usar en la solución de problemas, haga clic en Depurar.

Recomendamos utilizar esta función cuando se resuelve un problema de VPN con un representantede soporte técnico.


Estadísticas inalámbricasPara ver estadísticas acerca de la red inalámbrica:

Seleccione Estado del sistema> Estadísticas inalámbricas.Aparece un resumen de la configuración inalámbrica y algunas estadísticas acerca del tráfico inalámbrico.

El resumen incluye:

n Información de la configuración inalámbrican Estadísticas de la interfazn Clavesn Velocidades de bitn Frecuencias

Si el dispositivo es un WatchGuard XTM 2 Series modelo inalámbrico, en esta página también se puedeactualizar la información del país inalámbrica para este dispositivo. Las opciones disponibles para laconfiguración de radio inalámbrica se basan en los requisitos normativos del país en el cual el dispositivodetecta que se encuentra.

Para actualizar la información de país inalámbrico:

haga clic en Actualizar la información del país.El dispositivo 2 Series contacta el servidor WatchGuard para determinar la región actual de operación.

Para obtener más información acerca de las configuraciones de radio en el dispositivo WatchGuard XTM 2Series, consulte Acerca de las configuraciones de radio inalámbrico en el dispositivo inalámbricoWatchGuard XTM 2 Series.


Conexiones hotspot inalámbricasCuando activa la función de hotspot inalámbrico para su dispositivo inalámbrico WatchGuard XTM 2 Series oFirebox X Edge e-Series, puede consultar información acerca de la cantidad de clientes que estánconectados. También puede desconectar clientes inalámbricos.

Para obtener más información acerca de cómo activar la función de hotspot inalámbrico, consulte Activarun hotspot inalámbrico.

Para ver las conexiones hotspot inalámbricas:

1. Conéctese al Fireware XTMWeb UI para su dispositivo inalámbrico.2. Seleccione Estado del sistema > Hotspot inalámbrico.

Aparecerá la dirección IP y la dirección MAC para cada cliente inalámbrico conectado.

Para obtener más información acerca de cómo administrar las conexiones hotspot inalámbricas, consulteConsulte Conexiones hotspot inalámbricas.




18 Certificates

Acerca de los certificadosLos certificados hacen coincidir la identidad de una persona u organización con un método para que otrosverifiquen la identidad y la seguridad de las comunicaciones. Usan un método de cifrado llamado par declaves, o dos números relacionados matemáticamente llamados clave privada y la clave pública. Uncertificado incluye tanto una afirmación de identidad como una clave pública y es firmado por una claveprivada.

La clave privada usada para firmar un certificado puede ser del mismo par de claves usado para generar elcertificado o de un par de claves diferentes. Si la clave privada es el mismo par de claves usado para crearel certificado, el resultado se llama certificado autofirmado. Si la clave privada es de un par de clavesdiferentes, el resultado es un certificado común. Los certificados con claves privadas que pueden serutilizados para firmar otros certificados son llamados Certificados CA (Autoridad de Certificación, en sussiglas en inglés). Una autoridad de certificación es una organización o aplicación que firma o revoca loscertificados.

Si su organización tiene una configuración de PKI (infraestructura de clave pública) , usted mismo puedefirmar certificados como CA. La mayoría de las aplicaciones y dispositivos automáticamente aceptancertificados de CAs de confianza y relevantes. Los certificados que no son firmados por CAs relevantes, talcomo un certificado autofirmado, no son aceptados automáticamente por diversos servidores o programasy no funcionan correctamente con algunas funciones del Fireware XTM.

Usar múltiples certificados para determinar la confianza

Se pueden usar diversos certificados juntos para crear una cadena de confianza. Por ejemplo, el certificadoCA al principio de la cadena es de una CA relevante y es usado para firmar otro certificado CA para una CAmás pequeña. Esa CA más pequeña puede, luego, firmar otro certificado CA usado por su organización.Finalmente, su organización puede usar ese certificado CA para firmar otro certificado para ser usado con lafunción de inspección de contenido proxy de HTTPS. No obstante, para usar ese certificado final en elextremo de la cadena de confianza, primero se debe importar todos los certificados en la cadena deconfianza en el siguiente orden:

1. Certificado CA de la CA relevante (como tipo "Otro")2. Certificado CA de la CA más pequeño (como tipo "Otro")3. Certificado CA de la organización (como tipo "Otro")4. Certificado usado para reencriptar contenido proxy de HTTPS después de la inspección (como tipo

"Autoridad proxy de HTTPS")

También podría ser necesario importar todos esos certificados en cada dispositivo cliente para que elúltimo certificado también sea de confianza para los usuarios.

Para más informaciones, vea Ver y administrar certificados de FireboxVer y administrar Certificados deFirebox en la página 393.

Cómo el Firebox usa certificados

Su Firebox usa certificados para varios propósitos:

n Los datos de la sesión de administración está protegidos con un certificado.n Los túneles BOVPN o Mobile VPN with IPSec puede usar certificados para autenticación.n Cuando se habilita la inspección de contenido, el proxy de HTTPS usa un certificado para cifrar

nuevamente el tráfico HTTPS entrante después de ser descifrado para inspección.n Puede usar un certificado con el proxy de HTTPS para proteger un servidor web en su red.n Cuando un usuario se autentica con el Firebox para cualquier finalidad, tal como una anulación del

WebBlocker, la conexión queda protegida con un certificado.

Por defecto, su Firebox crea certificados autofirmados para proteger los datos de sesión de administracióne intentos de autenticación para el Fireware XTMWeb UI y para la inspección de contenido proxy de HTTPS.Para asegurar que el certificado usado para la inspección de contenido HTTPS sea único, su nombre incluyeel número de serie de su dispositivo y la hora en la cual el certificado fue creado. Como esos certificados noson firmados por una CA de confianza, los usuarios en su red ven alertas en sus exploradores web.

Hay tres opciones para remover ese alerta:

1. Puede importar certificados firmados por una CA en los cuales su organización confía, tal como unPKI ya configurado para su organización, para ser usado con esas funciones. Recomendamos que useesa opción si posible.

2. Puede crear un certificado autofirmado personalizado que coincida con el nombre y ubicación de suorganización.

3. Puede usar el certificado autofirmado predeterminado.

En la segunda y tercera opciones, puede pedir que los clientes de red acepten esos certificadosautofirmados manualmente cuando se conectan al Firebox. O puede exportar los certificados y distribuirloscon las herramientas de administración de red. Debe tener el WatchGuard System Manager instalado paraexportar certificados.

CRLs y caducidad de certificados

Cada certificado tiene una caducidad determinada cuando es creado. Cuando el certificado llega al fin de lacaducidad definida, se vence y ya no puede ser usado automáticamente. También puede remover loscertificados manualmente con el Firebox System Manager (FSM).

Certificates


Certificates


A veces la CA revoca o desactiva los certificados antes que caduquen. Su Firebox mantiene una listaactualizada de esos certificados revocados, llamada Lista de Revocación de Certificados (CRL, las siglas eninglés), para verificar que los certificados usados por una autenticación de VPN son válidos. Si tiene elWatchGuard System Manager instalado, esa lista puede ser actualizada manualmente con el Firebox SystemManager (FSM), o automáticamente con la información de un certificado. Cada certificado incluye unnúmero único usado para identificarlo. Si el número único en un certificado de servidor web, BOVPN oMobile VPN with IPSec coincide con un identificador de su CRL asociado, el Firebox desactiva el certificado.

Cuando se activa la inspección de contenido en un proxy de HTTPS, el Firebox puede verificar elrespondedor de OCSP (Protocolo de estado del certificado online) asociado a los certificados usados parafirmar el contenido de HTTPS. El respondedor de OCSP envía el estado de la revocación del certificado. ElFirebox acepta la respuesta del OCSP si ésta está firmada por un certificado en el cual Firebox confía. Si larespuesta del OCSP no está firmada por un certificado en el que Firebox confía, o si el respondedor del OCSP no envía una respuesta, entonces se puede configurar el Firebox para que acepte o rechace elcertificado original.

Para más informaciones acerca de las opciones de OCSP, vea Proxy de HTTPS: Contenido en la página 302.

Solicitudes de firmas y autoridades de certificación

Para crear un certificado autofirmado, se pone parte de un par de claves criptográficos en una solicitud defirma de certificado (CSR) y envía la solicitud a una CA. Es importante usar un nuevo par de claves para cadaCSR creada. La CA emite un certificado después de recibir la CSR y verificar su identidad. Si tiene el softwaredel FSM o Management Server instalado, puede usar esos programas para crear una CSR para su Firebox.También puede usar otras herramientas, tal como OpenSSL o el Microsoft CA Server que viene con lamayoría de los sistemas operativos de Windows Server.

Si desea crear un certificado para ser usado con la funciones de inspección de contenido proxy de HTTPS,debe ser un certificado CA que pueda firmar nuevamente otros certificados. Si crea una CSR con el FireboxSystem Manager y lo firma por una CA relevante, esa CSR puede ser usada como un certificado CA.

Si no tiene un PKI configurado en su organización recomendamos que elija una CA relevante para firmar lasCSRs usadas, excepto para el certificado CA del proxy de HTTPS. Si una CA relevante firma sus certificados,éstos son automáticamente considerados de confianza por la mayoría de los usuarios. WatchGuard probólos certificados firmados por VeriSign, Microsoft CA Server, Entrust y RSA KEON. También puede importarcertificados adicionales para que su Firebox confíe en otras CAs.

Para obtener una lista completa de las CAs automáticamente de confianza, vea Autoridades de Certificaciónconfiadas por Firebox en la página 387.

Crear una CSR con el OpenSSL

Autoridades de Certificación confiadas por Firebox

Por defecto, su Firebox confía en la mayoría de las autoridades de certificación (CAs) que los exploradoresweb actuales. Recomendamos que importe certificados firmados por una CA en esa lista para el proxy deHTTPS o Fireware XTM Web UI, para que los usuarios no vean los alertas de certificado en su exploradorweb cuando usan esas funciones. Sin embargo, también se puede importar certificados de otras CAs paraque sus certificados sean de confianza.

Si tiene instalado el WatchGuard System Manager, una copia de cada certificado es almacenada en su discoduro en:

C:\Documents and Settings\WatchGuard\wgauth\certs\README

Lista de Autoridades de Certificación

C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification Authority - G2,OU=(c) 1998 VeriSign, Inc. - Sólo para uso autorizado, OU=VeriSign TrustNetworkC=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting, OU=CertificationServices Division, CN=Thawte Personal Premium CA/direcció[email protected]=ES, L=C/ Muntaner 244 Barcelona, CN=Autoridad de CertificacionFirmaprofesional CIF A62634068/direcció[email protected]=HU, ST=Hungría, L=Budapest, O=NetLock Halozatbiztonsagi Kft.,OU=Tanusitvanykiadok, CN=NetLock Kozjegyzoi (Class A) TanusitvanykiadoC=ZA, ST=Western Cape, L=Durbanville, O=Thawte, OU=Thawte Certification,CN=Thawte Timestamping CAC=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 1999 VeriSign, Inc.- Sólo para uso autorizado, CN=VeriSign Class 4 Public Primary CertificationAuthority - G3C=SE, O=AddTrust AB, OU=AddTrust TTP Network, CN=AddTrust Qualified CA RootC=DK, O=TDC Internet, OU=TDC Internet Root CAC=US, O=VeriSign, Inc., OU=Class 2 Public Primary Certification Authority -G2, OU=(c) 1998 VeriSign, Inc. - Sólo para uso autorizado, OU=VeriSign TrustNetworkC=US, O=Wells Fargo, OU=Wells Fargo Certification Authority, CN=Wells FargoRoot Certificate AuthorityOU=GlobalSign Root CA - R2, O=GlobalSign, CN=GlobalSignCN=Test-Only CertificateC=US, O=Entrust, Inc., OU=www.entrust.net/CPS está incluido como referencia,OU=(c) 2006 Entrust, Inc., CN=Entrust Root Certification AuthorityC=SE, O=AddTrust AB, OU=AddTrust TTP Network, CN=AddTrust Class 1 CA RootC=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODOCertification AuthorityO=RSA Security Inc, OU=RSA Security 2048 V3C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting, OU=CertificationServices Division, CN=Thawte Personal Basic CA/direcció[email protected]=FI, O=Sonera, CN=Sonera Class1 CAO=VeriSign Trust Network, OU=VeriSign, Inc., OU=VeriSign International ServerCA - Class 3, OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97VeriSignC=ZA, O=Thawte Consulting (Pty) Ltd., CN=Thawte SGC CAC=US, O=Equifax Secure Inc., CN=Equifax Secure eBusiness CA-1C=JP, O=SECOM Trust.net, OU=Security Communication RootCA1C=US, O=America Online Inc., CN=America Online Root Certification Authority 1C=HU, L=Budapest, O=NetLock Halozatbiztonsagi Kft., OU=Tanusitvanykiadok,CN=NetLock Uzleti (Class B) TanusitvanykiadoC=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network,OU=http://www.usertrust.com, CN=UTN - DATACorp SGCC=BE, O=GlobalSign nv-sa, OU=Root CA, CN=GlobalSign Root CA

Certificates


Certificates


C=US, O=VeriSign, Inc., OU=Class 2 Public Primary Certification AuthorityC=CH, O=SwissSign AG, CN=SwissSign Gold CA - G2C=US, O=RSA Data Security, Inc., OU=Secure Server Certification AuthorityC=IE, O=Baltimore, OU=CyberTrust, CN=Baltimore CyberTrust RootC=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 1999 VeriSign, Inc.- Sólo para uso autorizado, CN=VeriSign Class 3 Public Primary CertificationAuthority - G3C=US, OU=www.xrampsecurity.com, O=XRamp Security Services Inc, CN=XRampGlobal Certification AuthorityC=PL, O=Unizeto Sp. z o.o., CN=Certum CA CAC=US, O=Entrust.net, OU=www.entrust.net/CPS incorp. by ref. (limitaresponsabilidad.), OU=(c) 1999 Entrust.net Limited, CN=Entrust.net SecureServer Certification AuthorityL=ValiCert Validation Network, O=ValiCert, Inc., OU=ValiCert Class 3 PolicyValidation Authority,CN=http://www.valicert.com//[email protected]=CH, O=SwissSign AG, CN=SwissSign Platinum CA - G2OU=GlobalSign Root CA - R2, O=GlobalSign, CN=GlobalSignO=Digital Signature Trust Co., CN=DST Root CA X3C=US, O=AOL Time Warner Inc., OU=America Online Inc., CN=AOL Time Warner RootCertification Authority 1C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA Limited, CN=SecureCertificate ServicesO=VeriSign, Inc., OU=VeriSign Trust Network, OU=Terms of use athttps://www.verisign.com/rpa (c)00, CN=VeriSign Time Stamping Authority CAO=Entrust.net, OU=www.entrust.net/GCCA_CPS incorp. by ref. (limita respons.),OU=(c) 2000 Entrust.net Limited, CN=Entrust.net Client CertificationAuthorityC=US, O=SecureTrust Corporation, CN=Secure Global CAC=US, O=Equifax, OU=Equifax Secure Certificate AuthorityO=beTRUSTed, OU=beTRUSTed Root CAs, CN=beTRUSTed Root CA - RSA ImplementationC=WW, O=beTRUSTed, CN=beTRUSTed Root CAs, CN=beTRUSTed Root CAC=US, O=GeoTrust Inc., CN=GeoTrust Primary Certification AuthorityC=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification AuthorityC=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=CertificationServices Division, CN=Thawte Premium Server CA/direcció[email protected]=US, O=SecureTrust Corporation, CN=SecureTrust CAOU=Extended Validation CA, O=GlobalSign, CN=GlobalSign Extended Validation CAC=US, O=GeoTrust Inc., CN=GeoTrust Global CA 2C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden Root CAC=IL, ST=Israel, L=Eilat, O=StartCom Ltd., OU=CA Authority Dep., CN=Free SSLCertification Authority/direcció[email protected]=US, O=VISA, OU=Visa International Service Association, CN=Visa eCommerceRootO=beTRUSTed, OU=beTRUSTed Root CAs, CN=beTRUSTed Root CA - EntrustImplementationC=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 2006 VeriSign, Inc.- Sólo para uso autorizado, CN=VeriSign Class 3 Public Primary CertificationAuthority - G5C=US, O=Equifax Secure Inc., CN=Equifax Secure Global eBusiness CA-1C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,[email protected] C.I.F. B-60929452, OU=IPS CA Chained CAs Certification

Authority, CN=IPS CA Chained CAs Certification Authority/direcció[email protected]=com, DC=microsoft, DC=corp, DC=redmond, CN=Microsoft Secure ServerAuthorityC=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network,OU=http://www.usertrust.com, CN=UTN-USERFirst-HardwareC=BM, O=QuoVadis Limited, CN=QuoVadis Root CA 3C=TW, O=Government Root Certification AuthorityC=GB, ST=Greater Manchester, L=Salford, O=Comodo CA Limited, CN=TrustedCertificate ServicesC=US, O=GeoTrust Inc., CN=GeoTrust Universal CA 2C=US, O=Entrust.net, OU=www.entrust.net/Client_CA_Info/CPS incorp. by ref.limits liab., OU=(c) 1999 Entrust.net Limited, CN=Entrust.net ClientCertification AuthorityC=FR, O=Certplus, CN=Class 2 Primary CAC=US, O=Starfield Technologies, Inc., OU=Starfield Class 2 CertificationAuthorityC=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting, OU=CertificationServices Division, CN=Thawte Personal Freemail CA/[email protected]=Entrust.net, OU=www.entrust.net/CPS_2048 incorp. by ref. (limita respons.),OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Certification Authority(2048)C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,[email protected] C.I.F. B-60929452, OU=IPS CA CLASEA1 CertificationAuthority, CN=IPS CA CLASEA1 CertificationAuthority/direcció[email protected]=US, O=AOL Time Warner Inc., OU=America Online Inc., CN=AOL Time Warner RootCertification Authority 2C=US, O=VeriSign, Inc., OU=Class 1 Public Primary Certification Authority -G2, OU=(c) 1998 VeriSign, Inc. - Sólo para uso autorizado, OU=VeriSign TrustNetworkC=US, O=VISA, OU=Visa International Service Association, CN=GP Root 2C=US, O=GeoTrust Inc., CN=GeoTrust Global CAC=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Términos de uso enhttps://www.verisign.com/rpa (c)06, CN=VeriSign Class 3 Extended ValidationSSL CAC=EU, O=AC Camerfirma SA CIF A82743287, OU=http://www.chambersign.org,CN=Global Chambersign RootC=DE, ST=Hamburg, L=Hamburg, O=TC TrustCenter for Security in Data NetworksGmbH, OU=TC TrustCenter Class 2 CA/direcció[email protected]=US, O=GTE Corporation, OU=GTE CyberTrust Solutions, Inc., CN=GTE CyberTrustGlobal RootC=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Términos de utilizaciónen https://www.verisign.com/rpa (c)05, CN=VeriSign Class 3 Secure Server CAC=US, O=GTE Corporation, CN=GTE CyberTrust RootC=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 1999 VeriSign, Inc.- Sólo para uso autorizado, CN=VeriSign Class 1 Public Primary CertificationAuthority - G3C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network,OU=http://www.usertrust.com, CN=UTN-USERFirst-Network ApplicationsC=HU, L=Budapest, O=NetLock Halozatbiztonsagi Kft., OU=Tanusitvanykiadok,CN=NetLock Minositett Kozjegyzoi (Class QA)

Certificates


Certificates


Tanusitvanykiado/direcció[email protected]=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 1999 VeriSign, Inc.- Sólo para uso autorizado, CN=VeriSign Class 2 Public Primary CertificationAuthority - G3C=us, ST=Utah, L=Salt Lake City, O=Digital Signature Trust Co., OU=DSTCA X2,CN=DST RootCA X2/direcció[email protected]=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,[email protected] C.I.F. B-60929452, OU=IPS CA CLASE3 CertificationAuthority, CN=IPS CA CLASE3 Certification Authority/direcció[email protected]=RSA Security Inc, OU=RSA Security 1024 V3C=US, O=Equifax Secure, OU=Equifax Secure eBusiness CA-2C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte,Inc. - Sólo para uso autorizado, CN=thawte Primary Root CAC=us, ST=Utah, L=Salt Lake City, O=Digital Signature Trust Co., OU=DSTCA X1,CN=DST RootCA X1/direcció[email protected]=US, O=Network Solutions L.L.C., CN=Network Solutions Certificate AuthorityC=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=CertificationServices Division, CN=Thawte Server CA/direcció[email protected]=US, O=VeriSign, Inc., OU=Class 4 Public Primary Certification Authority -G2, OU=(c) 1998 VeriSign, Inc. - Sólo para uso autorizado, OU=VeriSign TrustNetworkC=NL, O=DigiNotar, CN=DigiNotar Root CA CA/[email protected]=US, O=America Online Inc., CN=America Online Root Certification Authority 2C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,[email protected] C.I.F. B-60929452, OU=IPS CA Timestamping CertificationAuthority, CN=IPS CA Timestamping CertificationAuthority/direcció[email protected]=US, O=DigiCert Inc., CN=DigiCert Security Services CAC=US, O=Digital Signature Trust, OU=DST ACES, CN=DST ACES CA X6C=DK, O=TDC, CN=TDC OCES CAC=US, O=VeriSign, Inc., OU=Class 1 Public Primary Certification AuthorityC=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,[email protected] C.I.F. B-60929452, OU=IPS CA CLASEA3 CertificationAuthority, CN=IPS CA CLASEA3 CertificationAuthority/direcció[email protected]=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network,OU=http://www.usertrust.com, CN=UTN-USERFirst-Correo electrónico yautenticación del clienteC=GB, ST=Greater Manchester, L=Salford, O=Comodo CA CA Limited, CN=AAACertificate ServicesL=ValiCert Validation Network, O=ValiCert, Inc., OU=ValiCert Class 1 PolicyValidation Authority,CN=http://www.valicert.com//direcció[email protected]=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,[email protected] C.I.F. B-60929452, OU=IPS CA CLASE1 CertificationAuthority, CN=IPS CA CLASE1 CertificationAuthority/direcció[email protected]=BM, O=QuoVadis Limited, OU=Root Certification Authority, CN=QuoVadis RootCertification AuthorityC=US, O=Network Solutions L.L.C., CN=Network Solutions Certificate AuthorityC=CH, O=SwissSign AG, CN=SwissSign Silver CA - G2C=US, O=Digital Signature Trust Co., OU=DSTCA E2

C=US, O=Digital Signature Trust Co., OU=DSTCA E1C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root CAC=US, ST=Arizona, L=Scottsdale, O=GoDaddy.com, Inc.,OU=http://certificates.godaddy.com/repository, CN=Go Daddy SecureCertification Authority/númeroSerie=07969287C=EU, O=AC Camerfirma SA CIF A82743287, OU=http://www.chambersign.org,CN=Chambers of Commerce RootC=BM, O=QuoVadis Limited, CN=QuoVadis Root CA 2C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert High Assurance EV RootCAC=US, ST=DC, L=Washington, O=ABA.ECOM, INC., CN=ABA.ECOM RootCA/direcció[email protected]=ES, ST=BARCELONA, L=BARCELONA, O=IPS Seguridad CA CA, OU=Certificaciones,CN=IPS SERVIDORES/direcció[email protected]=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Assured ID Root CAC=ch, O=Swisscom, OU=Digital Certificate Services, CN=Swisscom Root CA 1CN=T\xC3\x9CRKTRUST Elektronik Sertifika HizmetSa\xC4\x9Flay\xC4\xB1c\xC4\xB1s\xC4\xB1, C=TR, L=ANKARA, O=(c) 2005T\xC3\x9CRKTRUST Bilgi \xC4\xB0leti\xC5\x9Fim ve Bili\xC5\x9FimG\xC3\xBCvenli\xC4\x9Fi Hizmetleri A.\xC5\x9E.C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 2006 VeriSign, Inc.- Sólo para uso autorizado, CN=VeriSign Class 3 Public Primary CertificationAuthority - G5C=DE, ST=Hamburg, L=Hamburg, O=TC TrustCenter for Security in Data NetworksGmbH, OU=TC TrustCenter Class 3 CA/direcció[email protected]=HU, L=Budapest, O=NetLock Halozatbiztonsagi Kft., OU=Tanusitvanykiadok,CN=NetLock Expressz (Class C) TanusitvanykiadoC=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network,OU=http://www.usertrust.com, CN=UTN-USERFirst-ObjectC=US, O=The Go Daddy Group, Inc., OU=Go Daddy Class 2 Certification AuthorityC=US, O=Akamai Technologies Inc, CN=Akamai Subordinate CA 3C=US, O=Network Solutions L.L.C., CN=Network Solutions Certificate AuthorityC=SE, O=AddTrust AB, OU=AddTrust TTP Network, CN=AddTrust Public CA RootCN=T\xC3\x9CRKTRUST Elektronik Sertifika HizmetSa\xC4\x9Flay\xC4\xB1c\xC4\xB1s\xC4\xB1, C=TR, L=Ankara, O=T\xC3\x9CRKTRUSTBilgi \xC4\xB0leti\xC5\x9Fim ve Bili\xC5\x9Fim G\xC3\xBCvenli\xC4\x9FiHizmetleri A.\xC5\x9E. (c) Kas\xC4\xB1m 2005C=US, O=GeoTrust Inc., CN=GeoTrust Universal CAC=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Términos de utilizaciónen https://www.verisign.com/rpa (c)06, CN=VeriSign Class 3 ExtendedValidation SSL SGC CAO=Entrust.net, OU=www.entrust.net/SSL_CPS incorp. por ref. (limita respons.),OU=(c) 2000 Entrust.net Limited, CN=Entrust.net Secure Server CertificationAuthorityCN=Microsoft Internet AuthorityL=ValiCert Validation Network, O=ValiCert, Inc., OU=ValiCert Class 2 PolicyValidation Authority,CN=http://www.valicert.com//direcció[email protected]=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network,OU=http://www.usertrust.com, CN=UTN-USERFirst-HardwareC=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust ExternalCA RootC=FI, O=Sonera, CN=Sonera Class2 CA

Certificates


Certificates


O=beTRUSTed, OU=beTRUSTed Root CAs, CN=beTRUSTed Root CA-BaltimoreImplementationC=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartComCertification Authority

Ver y administrar Certificados de Firebox

Puede usar el Fireware XTM Web UI para ver y administrar sus certificados de Firebox. Eso incluye:

n Ver un listado de los certificados actuales de Firebox y sus propiedadesn Importar un certificadon Seleccionar un certificado del servidor web para la autenticación de Fireboxn Seleccionar un certificado para ser usado con una VPN para Sucursales o VPN de usuario móvil

Nota Debe usar el Firebox System Manager (FSM) para crear solicitudes de firma decertificado (CSRs), importar listas de revocación de certificado (CRLs), remover oeliminar certificados.Para obtener más información, vea el sistema de Ayuda del WatchGuard SystemManager.

Ver los certificados actuales

Para ver el listado actual de certificados:

1. Seleccione Sistema > Certificados.Aparece la lista "Certificados", con todos los certificados y solicitudes de firma de certificado (CSRs).

La lista Certificados incluye:

n El estado y tipo del certificado.n El algoritmo usado por el certificado.n El nombre del sujeto o identificador del certificado.

Por defecto, los certificados CA de confianza no están incluidos en esta lista.

2. Para mostrar todos los certificados en CAs de confianza, seleccione la casillaMostrar CAs deconfianza para proxy de HTTPS.

3. Para ocultar los certificados CA de confianza, limpie la casillaMostrar CAs de confianza para proxyde HTTPS.

Importar un certificado desde un archivo

Se puede importar un certificado desde el portapapeles de Windows o desde un archivo en su PC local. Loscertificados deben tener el formato PEM (base64). Antes de importar un certificado para ser usado con lafunción de inspección de contenido proxy de HTTPS, debe importar cada certificado anterior en la cadenade confianza con el tipo Otro. Eso configura el Firebox para que confíe en el certificado. Debe importar esoscertificados desde el primero hacia el último, o desde el más relevante hacia el menos relevante, para queel Firebox pueda conectar los certificados en la cadena de confianza adecuadamente.

Para más informaciones, vea Acerca de los certificados en la página 385 y Usar Certificados para el proxy deHTTPS en la página 397.

1. Seleccione Sistema > Certificados.Aparece la página "Certificados".

2. Haga clic en Importar.3. Seleccione la opción que coincida con la función del certificado:

n Autoridad proxy de HTTPS (para inspección profunda de paquetes) - Seleccione esta opción siel certificado es para una política de proxy de HTTPS que administra el tráfico web solicitadopor los usuarios en una red de confianza u opcional desde un servidor web en una red externa,seleccione Un certificado importado con esa finalidad debe ser un certificado CA. Antes deimportar el certificado CA usado para reencriptar el tráfico con un proxy de HTTPS, asegúresede que el certificado CA usado para reencriptar firmar ese certificado haya sido importado conla categoría Otro.

n Servidor proxy de HTTPS - Seleccione esta opción si el certificado es para una política de proxyde HTTPS que administra el tráfico web solicitado por usuarios en una red externa desde unservidor web protegido por el Firebox. Antes de importar el certificado CA usado parareencriptar el tráfico desde el servidor web de HTTPS, asegúrese de que el certificado CAutilizado para firmar ese certificado haya sido importado con la categoría Otro .

n CA de confianza para proxy de HTTPS - Seleccione esta opción para un certificado usado paraconfiar en tráfico HTTPS que no sea reencriptado por el proxy de HTTPS. Por ejemplo, uncertificado raíz o de CA intermediario usado para firmar el certificado de un servidor webexterno.

n IPSec, Servidor web, Otro - Seleccione esta opción si el certificado es para autenticación uotros propósitos, o si desea importar un certificado para crear una cadena de confianza para uncertificado que sea usado para reencriptar el tráfico de red con un proxy de HTTPS.

4. Copie y pegue los contenidos del certificado en el cuadro de texto grande. Si el certificado incluyeuna clave privada, ingrese la contraseña para descifrar la clave.

5. Haga clic en Importar certificado.Se agrega el certificado al Firebox.

Usar un certificado del servidor web para autenticación

Para usar un certificado de terceros para ese propósito, primero debe importar ese certificado. Vea elprocedimiento anterior para más información. Si usa un certificado personalizado firmado por el Firebox,recomendamos que exporte el certificado y luego lo importe en cada dispositivo cliente que se conecta alFirebox.

1. Seleccione Autenticación > Certificado de Servidor Web .Aparece la página de Certificado del servidor web de autenticación.

2. Para usar un certificado de terceros importado, seleccione Certificado de terceros y seleccione elcertificado en la lista desplegable.Haga clic en Guardar y no siga los otros pasos en este procedimiento.

Certificates


Certificates


3. Para crear un nuevo certificado para la autenticación Firebox, seleccione Personalizar certificadofirmado por Firebox.

4. Ingrese un domain name o dirección IP de una interfaz en su Firebox en el cuadro de texto en laparte inferior del cuadro de diálogo. Haga clic en Agregar. Cuando haya añadido todos los domainnames deseados, haga clic en Aceptar.

5. Ingrese el nombre común de su organización. Éste suele ser su domain name.También puede ingresar un nombre de organización y un nombre de departamento de laorganización (ambos opcionales) para identificar la parte de su organización que creó el certificado.


Crear una CSR con el OpenSSLPara crear un certificado, primero necesita crear una Solicitud de firma de certificado (CSR). Puede enviaruna CSR a una autoridad de certificación o usarla para un certificado autofirmado.

Usar OpenSSL para generar una CSR

El OpenSSL está instalado en la mayoría de las distribuciones de GNU/Linux. Para descargar el código fuenteo un archivo binario de Windows, vaya a http://www.openssl.org/ y siga las instrucciones de instalaciónpara su sistema operativo. Puede usar el OpenSSL para convertir certificados y solicitudes de firma decertificado de un formato a otro. Para más información, vea la página principal de OpenSSL o ladocumentación online.

1. Abra un terminal de command line interface.2. Para generar un archivo de clave privada llamado privkey.pem en su directorio actual de trabajo,

ingrese:openssl genrsa-out privkey.pem 1024

3. Ingrese:openssl req -new -key privkey.pem -out request.csrEste comando genera una CSR en el formato PEM en su directorio de trabajo actual.

4. Cuando le solicitan la información del atributo de nombre común x509, ingrese el domain namecompleto (FQDN). Use otra información, según convenga.

5. Siga las instrucciones de su autoridad de certificación para enviar la CSR.

Para crear un certificado temporal y autofirmado hasta que la CA emita su certificado firmado:

1. Abra un terminal de command line interface.2. Ingrese:

openssl x509 -req -days 30 -in request.csr -key privkey.pem -out sscert.cert

Ese comando crea un certificado dentro de su directorio actual que caduca en 30 días con la clave privada yla CSR creada en el procedimiento anterior.

Nota No se puede usar un certificado autofirmado para la autenticación de puerta deenlace remota de VPN. Recomendamos que use certificados firmados por unaAutoridad de Certificación de confianza.

http://www.openssl.org/

Firme un certificado con Microsoft CAAunque pueda crear un certificado autofirmado con el Firebox System Manager u otras herramientas,también se puede crear un certificado con el Microsoft Certificate Authority (CA).

Cada solicitud de firma de certificado (CSR) debe ser firmada por una autoridad de certificación (CA) antesque sea usada para autenticación. Al crear un certificado con ese procedimiento, uno actúa como la CA yfirma digitalmente su propia CSR. No obstante, por cuestiones de compatibilidad, recomendamos que envíesu CSR a una CA ampliamente conocida. Los certificados raíces para esas organizaciones están inslados pordefecto en la mayoría de los exploradores de Internet y dispositivos WatchGuard, así no hace falta que unomismo distribuya los certificados raíces.

Se puede usar la mayoría de los sistemas operativos de Windows Server para completar una CSR y crear uncertificado. Las instrucciones siguientes son para el Windows Server 2003.

Enviar la solicitud de certificado

1. Abra su explorador web. En la ubicación o barra de dirección, ingrese la dirección IP del servidordonde esté instalada la Autoridad de Certificación, seguido de certsrv.Por ejemplo: http://10.0.2.80/certsrv

2. Haga clic en el enlace Solicitar un certificado.3. Haga clic en el enlace Solicitud avanzada de certificado.4. Haga clic en Enviar un certificado.5. Pegue los contenidos de su archivo de CSR en el cuadro de texto Solicitud guardada.6. Haga clic en OK.7. Cierre su explorador web.

Emitir el certificado

1. Conéctese al servidor donde esté instalada la Autoridad de Certificación, si necesario.2. Seleccione Inicio > Panel de control> Herramientas administrativas > Autoridad de certificación.3. En el árbol Autoridad de certificación (Local), seleccione Su domain name> Solicitudes pendientes.4. Seleccione la CSR en el panel de navegación derecho.5. En el menu Acción, seleccione Todas las tareas > Emitir.6. Cierre la ventana de Autoridad de Certificación.

Descargar el certificado

1. Abra su explorador web. En la ubicación o barra de dirección, ingrese la dirección IP del servidordonde esté instalada la autoridad de certificación, seguido de certsrv.Ejemplo: http://10.0.2.80/certsrv

2. Haga clic en el enlace Ver el estado de una solicitud de certificado pendiente.3. Haga clic en la solicitud de certificado con la hora y fecha que fue enviada.4. Para elegir el formato PKCS10 o PKCS7, seleccione Codificación de base 64.5. Haga clic en Descargar certificado para guardar el certificado en su disco duro.

La Autoridad de Certificación es distribuida como componente en el Windows Server 2003. Si la Autoridadde Certificación no está instalada en la carpeta Herramientas Administrativas del Panel de Control siga lasinstrucciones del fabricante para instalarla.

Certificates


Certificates


Usar Certificados para el proxy de HTTPSMuchos sitios web usan protocolos HTTP y HTTPS para enviar información a usuarios. Cuando el tráfico HTTP puede ser fácilmente examinado, el tráfico HTTPS es cifrado. Para examinar el tráfico HTTPS solicitadopor un usuario en su red, se debe configurar su Firebox para que descifre la información y luego la cifre conun certificado firmado por una CA confiada por todos los usuarios de la red.

Por defecto, el Firebox cifra nuevamente el contenido inspeccionado con un certificado autofirmadogenerado automáticamente. Los usuarios sin una copia de ese certificado ven un alerta de certificadocuando se conectan a una sitio web seguro con HTTPS. Si un sitio web remoto usa un certificado vencido, osi ese certificado está firmado por una CA (Autoridad de Certificación) que el Firebox no reconoce, ésteforma nuevamente el contenido como Fireware HTTPS Proxy: Certificado no reconocido o simplementeCertificado inválido.

Esta sección incluye información acerca de cómo exportar un certificado desde el Firebox e importarlo enun sistema con Microsoft Windows o Mac OS X para que funcione con el proxy de HTTPS. Para importar elcertificado en otros dispositivos, sistemas operativos o aplicaciones, vea la documentación de susfabricantes.

Proteger un servidor HTTPS privado

Para proteger un servidor de HTTPS en su red, primero debe importar el certificado CA usado para firmarel certificado del servidor de HTTPS y, luego, importar el certificado del servidor de HTTPS con su claveprivada asociada. Si el certificado CA usado para firmar el certificado del servidor del HTTPS no esautomáticamente confiable, debe importar cada certificado de confianza en secuencia para que esterecurso funcione correctamente. Después de importar todos los certificados, configure el proxy de HTTPS.


1. Seleccione Firewall > Políticas de Firewall.Aparece la página "Políticas de Firewall".

2. Haga clic en Agregar.Aparece la página "Seleccionar un tipo de política.

3. Expanda la categoría Proxies y seleccione HTTPS-proxy.4. Haga clic en Agregar política.5. Seleccione la pestaña Contenido.6. Seleccione la casilla de verificación Activar inspección profunda de contenido HTTPS.7. Elija la acción proxy de HTTPS que desea usar para inspeccionar el contenido de HTTPS.8. Limpie las dos casillas de verificación para validación de OCSP.9. En la Lista de derivación, ingrese las direcciones IP de los sitios web para los cuales no desea

inspeccionar el tráfico.10. Haga clic en Guardar.

Para más informaciones, vea Ver y administrar certificados de FireboxVer y administrar Certificados deFirebox en la página 393.

Examinar contenido de los servidores HTTPS externos

Nota Si tiene otro tráfico que usa el puerto HTTPS, tal como el tráfico SSL VPN,recomendamos que evalúe la función de inspección de contenido cuidadosamente.El proxy de HTTPS intenta examinar todo el tráfico en el puerto 443 de TCP de lamisma manera. Para asegurar que otras fuentes de tráfico operan correctamente,recomendamos que agregue esas direcciones IP a la lista de Derivación.Para más informaciones, vea Proxy de HTTPS: Inspección de contenidoProxy de HTTPS: Contenido en la página 302.

Si su organización ya tiene un PKI (Infraestructura de Clave Pública) configurado con una CA de confianza,entonces puede importar un certificado en el Firebox que esté firmado por la CA de su organización. Si elcertificado CA no es automáticamente confiable, debe importar cada certificado previo en la cadena deconfianza para que ese recurso funcione correctamente. Para más informaciones, vea Ver y administrarcertificados de FireboxVer y administrar Certificados de Firebox en la página 393.

Antes de activar esa función, recomendamos que provea el(los) certificado(s) usado(s) para firmar el tráficoHTTPS para todos los clientes en su red. Puede poner los certificados en un adjunto de correo electrónicocon las instrucciones, o usar el software de administración de red para instalar los certificadosautomáticamente. También recomendamos que pruebe el proxy de HTTPS con un pequeño número deusuarios para asegurarse de que funciona correctamente antes de aplicarlo al tráfico en una red grande.

Si su organización no tiene un PKI, debe copiar el certificado predeterminado o autofirmado personalizadodesde el Firebox hacia cada dispositivo cliente.


1. Seleccione Firewall > Políticas de Firewall.Aparece la página "Políticas de Firewall".

2. Haga clic en Agregar.Aparece la página "Seleccionar un tipo de política".

3. Expanda la categoría Proxies y seleccione HTTPS-proxy.4. Haga clic en Agregar política.5. Seleccione la pestaña Contenido.6. Seleccione la casilla de verificación Activar inspección profunda de contenido HTTPS.7. Elija la acción proxy de HTTPS que desea usar para inspeccionar el contenido de HTTPS.8. Seleccione las opciones que desea para la validación del certificado OCSP.9. En la Lista de derivación, ingrese las direcciones IP de los sitios web para los cuales no desea

inspeccionar el tráfico.10. Haga clic en Guardar.

Cuando activa la inspección de contenido, las configuraciones de WebBlocker de la acción del proxy deHTTP anulan las configuraciones de WebBlocker del proxy de HTTPS. Si añade direcciones IP a la lista deDerivaciones, se filtra el tráfico de esos sitios con las configuraciones WebBlocker del proxy de HTTPS.

Para más información en la configuración del WebBlocker, vea Acerca de las WebBlocker en la página 561.

Exportar el certificado de inspección de contenido HTTPS

Ese procedimiento exporta un certificado de su Firebox en el formato PEM.

Certificates


Certificates


1. Abra el Firebox System Manager y conéctese a su Firebox.2. Seleccione Ver > Certificados.3. Seleccione el certificado CA Autoridad proxy de HTTPS en la lista y haga clic en Exportar.4. Ingrese un nombre y seleccione una ubicación para guardar el certificado localmente.5. Copie el certificado guardado en el equipo cliente.

Si el certificado proxy de HTTPS usado para la inspección de contenido requiere otro certificado CAintermediario o raíz antes que sea de confianza para los clientes de la red, también debe exportar esoscertificados. También puede copiar los certificados de la fuente original para distribución.

Si importó el certificado anteriormente en un cliente, puede exportar ese certificado directamente delsistema operativo o tienda del certificado del explorador. En la mayoría de los casos, eso exporta elcertificado en el formato x.509. Los usuarios de Windows y Mac OS X pueden hacer doble clic en uncertificado de formato x.509 para importarlo.

Importar los certificados en dispositivos clientes

Para usar certificados instalados en el Firebox con los dispositivos clientes, debe exportar los certificadoscon el FSM y luego importarlos en cada cliente.

Para más informaciones, vea Importar un certificado en un dispositivo cliente en la página 404.

Solucionar problemas con la inspección de contenido HTTPS

El Firebox suele crear mensajes de registro cuando hay un problema con un certificado usado para lainspección de contenido de HTTPS. Recomendamos que verifique esos mensajes de registro para másinformación.

Si las conexiones hacia los servidores web remotos se interrumpen a menudo, asegúrese de que fueronimportados todos los certificados necesarios para confiar en el certificado CA usado para reencriptar elcontenido HTTPS, así como los certificados necesarios para confiar en el certificado del servidor weboriginal. Debe importar todos esos certificados en el Firebox y cada dispositivo cliente para que lasconexiones tengan éxito.

Use certificados autenticados para el túnel VPNMobile con IPSecCuando se crea un túnel de Mobile VPN, la identidad de cada extremo debe ser verificada con una clave.Esa clave puede ser o una frase de contraseña o una clave precompartida (PSK) conocida por ambosextremos, o un certificado del Management Server. Su dispositivo WatchGuard debe ser un clienteadministrado para usar un certificado para la autenticación de Mobile VPN. Debe usar el WatchGuardSystem Manager para configurar su dispositivo WatchGuard como un cliente administrado.

Para obtener más información acerca de la Ayuda del WatchGuard System Manager.

Para usar los certificados para un nuevo túnel de Mobile VPN con IPSec:

1. Seleccione VPN > Mobile VPN with IPSec.2. Haga clic en Agregar.3. Haga clic en la pestaña Túnel IPSec.






4. En la sección Túnel IPSec, seleccione Usar un certificado.5. En el cuadro de texto Dirección IP CA, ingrese la dirección IP de su Management Server.6. En el cuadro de texto Tiempo de espera, ingrese o seleccione el tiempo en segundos que el cliente

de Mobile VPN with IPSec espera la respuesta de la autoridad de certificación antes de detener lastentativas de conexión. Recomendamos que se mantenga el valor predeterminado.

7. Realice la configuración del grupo de Mobile VPN.

Para más informaciones, vea Configurar el Firebox para Mobile VPN with IPSec en la página 483.

Para cambiar un túnel de Mobile VPN existente para que use certificados para autenticación:

1. Seleccione VPN > Mobile VPN with IPSec.2. Seleccione grupo de Mobile VPN que desea cambiar. Haga clic en Editar.3. Haga clic en la pestaña Túnel IPSec.4. En la sección Túnel IPSec, seleccione Usar un certificado.5. En el cuadro de texto Dirección IP CA, ingrese la dirección IP de su Management Server.6. En el cuadro de texto Tiempo de espera, ingrese o seleccione el tiempo en segundos que el cliente

de Mobile VPN with IPSec espera la respuesta de la autoridad de certificación antes de detener lastentativas de conexión. Recomendamos que se mantenga el valor predeterminado.


Cuando usa certificados, debe otorgar tres archivos a cada usuario de Mobile VPN:

n El perfil del usuario final (.wgx)n El certificado del cliente (.p12)n El certificado raíz de CA (.pem)

Copie todos los archivos en el mismo directorio. Cuando el usuario de Mobile VPN importa el archivo .wgx,los certificados cliente y raíz en los archivos cacert.pem y .p12 son cargados automáticamente.

Paramás informacionesacercadeMobile VPNcon IPSec,veaAcercadelMobileVPN conIPSec enlapágina481.

Usarun certificadopara autenticación del túnelBOVPNCuando se crea un túnel BOVPN, el protocolo de IPSec verifica la identidad de cada extremo o con unaclave precompartida (PSK) o un certificado importado y almacenado en el Firebox.

Para usar un certificado para autenticación del túnel BOVPN:

1. Seleccione VPN >Branch Office VPN (BOVPN).

2. En la sección Puertas de enlace, haga clic enAgregar para crear nueva puerta de enlace.O seleccione una puerta de enlace existente y haga clic en Editar.

3. Seleccione Utilizar Firebox Certificate de IPSec.4. Seleccione el certificado que desea usar.5. Defina otros parámetros, según sea necesario.6. Haga clic en Guardar.

Si usa un certificado para autenticación de BOVPN:

n Primero debe importar el certificado.Para más informaciones, vea Ver y administrar Certificados de Firebox en la página 393.

Certificates


Certificates


n El Firebox System Manager debe reorganizar el certificado como un certificado de tipo IPSec.n Asegúrese de que los certificados para los dispositivos en cada gateway endpoint usen el mismo

algoritmo. Ambos extremos deben usar o DSS o RSA. El algoritmo para los certificados aparece en elcuadro en la página Puerta de enlace.

n Si no tiene un certificado de terceros o autofirmado, debe usar una autoridad de certificación en unWatchGuard Management Server.

Verificar el certificado con el FSM

1. Seleccione Sistema > Certificados.Aparece la página "Certificados".

2. En la columna Insertar, aparece la verificación de IPSec o IPSec/Web.

Verificar los certificados de VPN con servidor de LDAP

Puede usar un servidor de LDPA para verificar automáticamente certificados para la autenticación de VPNsi tiene acceso al servidor. Debe tener datos de la cuenta de LDAP ofrecidos por un servicio de CA deterceros para usar esta función.

1. Seleccione VPN > Configuraciones Globales.Aparece la página Configuraciones globales de VPN.

2. Seleccione la casilla Activar servidor de LDAP para verificación de certificado.3. En el cuadro de texto Servidor, ingrese el nombre o dirección del servidor de LDAP.4. (Opcional) Ingrese el número de Puerto.5. Haga clic en Guardar.

Su Firebox verifica el CRL almacenado en el servidor de LDAP cuando se solicita la autenticación del túnel.

Configure el certificado del servidor web para laautenticación de FireboxCuando los usuarios se conectan a su dispositivo WatchGuard con un explorador web, suelen ver un alertade seguridad. Ese alerta aparece porque el certificado predeterminado no es de confianza o porque elcertificado no coincide con la dirección IP o domain name usado para la autenticación. Si tiene un FirewareXTM con actualización Pro, puede usar un certificado autofirmado o de terceros que coincida con el IP odomain name para autenticación de usuarios. Debe importar ese certificado en cada dispositivo oexplorador cliente para evitar los alertas de seguridad.

Para configurar el certificado del servidor web para la autenticación de Firebox:

1. Seleccione > Autenticación Certificado de autenticación web.

Certificates


Certificates


2. Para usar el certificado predeterminado, seleccione Certificado predeterminado firmado porFirebox y continúe hasta el último paso de ese procedimiento.

3. Para usar un certificado previamente importado, seleccione Certificado de terceros.4. Seleccione un certificado en la lista desplegable al lado y siga hasta el último paso de ese

procedimiento.Ese certificado debe ser reconocido como un certificado Web.

5. Si desea crear un certificado personalizado, firmado por su Firebox, seleccione Certificadopersonalizado firmado por su Firebox.

6. Ingrese el nombre común de su organización. Éste suele ser su domain name.

(Opcional) También puede ingresar un nombre de organización y un nombre de departamento dela organización para identificar la parte de su organización que creó el certificado.

7. Para crear más nombres de sujetos o direcciones IP de interfaces para direcciones IP para las cualesse usará el certificado, ingrese un Domain Name.

8. Haga clic en el botón Agregar al lado del cuadro de texto, para añadir cada entrada9. Repita los pasos 7 a 8 para añadir más domain names.


Importar un certificado en un dispositivo clienteAl configurar su Firebox para usar un certificado de terceros o personalizado para autenticación oinspección de contenido HTTPS, debe importar ese certificado hacia cada cliente en su red para evitar losalertas de seguridad. Eso también permite que servicios como Windows Update funcionen correctamente.

Nota Si normalmente usa el Fireware XTM Web UI, debe instalar el Firebox SystemManager antes de exportar los certificados.

Importar un certificado en formato PEM con el Windows XP

Este proceso permite que el Internet Explorer, Windows Update y otros programas o servicios usen latienda de certificados Windows en el Microsoft Windows XP para acceder al certificado.

1. En el menú de Windows Inicio, seleccione Ejecutar.2. Ingrese mmc y haga clic en Aceptar.

Aparece el Windows Management Console.3. Seleccione Archivo >Agregar/Remover encaje.4. Haga clic en Agregar.5. Seleccione Certificados y después haga clic en Agregar.6. Seleccione Cuenta del equipo y haga clic en Siguiente.7. Haga clic en Finalizar, Cerrar o Aceptar para añadir el módulo de certificados.8. En la ventana Raíz de Consola, haga clic en el icono de más (+) para expandir el árbol Certificados.9. Expanda el objeto Autoridades de Certificación de raíz de confianza.

10. En el objeto Autoridades de certificación de raíz de confianza, haga clic con el botón derecho enCertificados y seleccione Todas las tareas> Importar.

11. Haga clic en Siguiente. Haga clic en Examinar para encontrar y seleccionar el certificado CA deAutoridad de Proxy de HTTPS previamente exportado. Haga clic en OK.

12. Haga clic en Siguiente y después en Finalizar para concluir el asistente.

Importar un certificado en formato PEM con el Windows Vista

Este proceso permite que el Internet Explorer, Windows Update y otros programas o servicios usen latienda de certificados Windows en el Microsoft Windows Vista para acceder al certificado.

1. En el menú Inicio del Windows, ingrese certmgr.msc en el cuadro de texto Buscar y presioneEntrar.Si se le solicita que autentique como administrador, inserte su contraseña o confirme su acceso.

Certificates


Certificates


2. Seleccione el objeto Autoridades de certificación de raíz de confianza.3. En el menú Acción, seleccione Todas las tareas> Importar.4. Haga clic en Siguiente. Haga clic en Examinar para encontrar y seleccionar el certificado CA de

Autoridad de Proxy de HTTPS previamente exportado. Haga clic en OK.5. Haga clic en Siguiente y después en Finalizar para concluir el asistente.

Importar un certificado en formato PEM con Mozilla Firefox 3.x

Mozilla Firefox usa una tienda de certificados privados en vez de una tienda de certificados de sistemaoperativo. Si los clientes en su red usan el explorador Firefox, debe importar el certificado en la tienda decertificados de Firefox aunque ya haya importado el certificado en el sistema operativo del host.

Cuando tiene más de un dispositivo Firebox que usa un certificado autofirmado para inspección decontenido HTTPS, los clientes en su red deben importar una copia de cada Firebox Certificate. No obstante,los certificados de Firebox autofirmados predeterminados usan el mismo nombre y el Mozilla Firefox sóloreconoce el primer certificado importado cuando más de un certificado tiene el mismo nombre.Recomendamos que remplace los certificados autofirmados por el certificado firmado por una CAdiferente, y luego distribuya esos certificados a cada cliente.

1. En el Firefox, seleccione Herramientas > Opciones.Aparece el cuadro de diálogo "Opciones".

2. Haga clic en el icono Avanzado.3. Seleccione la pestaña Cifrado y después haga clic en Ver certificados.

Aparece el cuadro de diálogo "Administrador de Certificados".4. Seleccione la pestaña Autoridades y después haga clic en Importar.5. Examine para seleccionar el archivo de certificado y después haga clic en Abrir.6. En el cuadro de diálogo Descargando certificado, seleccione la casilla Confiar en esta CA para

identificar los sitios web. Haga clic en OK.7. Haga doble clic en Aceptar para cerrar los cuadros de diálogo Administrador de Certificados y

Opciones .8. Reinicie el Mozilla Firefox.

Importar un certificado en formato PEM con el Mac OS X 10.5

Ese proceso permite que el Safari u otros programas o servicios usen la tienda de certificados de Mac OS Xpara acceder al certificado.

1. Abra la aplicación Acceso a claves.2. Seleccione la categoría Certificados.3. Haga clic en el icono de más (+) en la barra de herramientas inferior y después encuentre y

seleccione el certificado.4. Seleccione la clave Sistema y haga clic en Abrir. También puede seleccionar la clave "Sistema" y

arrastrar y soltar el archivo del certificado hacia la lista.5. Haga clic con el botón derecho en el certificado y seleccione Obtener datos.

Aparece la ventana de datos del certificado.6. Expanda la categoría Confianza.7. En la lista desplegable Cuando esté usando este certificado, seleccione Confiar siempre.8. Cerrar la ventana de datos del certificado.9. Ingrese la contraseña del administrador para confirmar sus cambios.

Certificates



19 Redes Privada Virtual (VPN)

Introducción a VPNsPara que los datos se transfieren con seguridad entre dos redes por una red desprotegida, como es laInternet, puede crear una red privada virtual (VPN). También puede usar una VPN para establecer unaconexión segura entre un host y una red. Las redes y hosts en los extremos de una VPN pueden ser sedescorporativas, sucursales o usuarios remotos. Las VPNs usan el cifrado para proteger datos y la autenticaciónpara identificar el emisor y el destinatario de los datos. Si la información de autenticación está correcta, losdatos son cifrados. Sólo el emisor y el destinatario del mensaje pueden leer los datos enviados por la VPN.

Un túnel VPN es una ruta virtual entre dos redes privadas de VPN Nos referimos a esa ruta como túnelporque se usa un protocolo de túnel, como IPSec, SSL o PPTP, para proteger el envío de paquetes de datos.La puerta de enlace o PC que usa una VPN usa ese túnel para enviar paquetes de datos por la Internetpública hacia direcciones IP privadas detrás de una puerta de enlace de VPN.

Branch Office VPN (BOVPN)

Una VPN para Sucursales (BOVPN) es una conexión cifrada entre dos dispositivos exclusivos de hardware.Es usada con más frecuencia para asegurar la protección de comunicaciones entre redes en dos oficinas.WatchGuard ofrece dos métodos para configurar una BOVPN:

BOVPN manual

Puede usar el Policy Manager o el Fireware XTM Web UI para configurar manualmente una BOVPNentre dos dispositivos que soportan protocolos de VPN de IPSec.

Para más informaciones, vea Acerca de túneles BOVPN manuales en la página 418.

BOVPN administrada

Puede usar el WatchGuard System Manager para configurar una BOVPN administrada en dosdispositivos WatchGuard.

Para obtener más información, vea el Guía del usuario del WatchGuard System Manager o elsistema de ayuda online.

Todas las BOVPNs de WatchGuard usan el conjunto de protocolo IPSec para proteger el túnel BOVPN.

Paraobtener más información acercade lasVPNs de IPSec, veaAcerca de la VPNsde IPSec en lapágina 408.

Mobile VPN

UnaMobile VPN es una conexión cifrada entre un dispositivo de hardware exclusivo y un PC de escritorio olaptop. UnaMobile VPN permite que sus empleados trabajen a distancia y viajen y se conecten conseguridad a la red corporativa. WatchGuard soporta tres tipos de Mobile VPNs:

n Mobile VPN with IPSecn Mobile VPN with PPTPn Mobile VPN with SSL

Para comparar las soluciones de Mobile VPN, vea Seleccione una Mobile VPN en la página 413.

Acerca de la VPNs de IPSecLa VPN para Sucursales de WatchGuard y el Mobile VPN with IPSec usan el conjunto de protocolo IPSecpara establecer VPNs entre dispositivos o usuarios móviles. Antes de configurar una VPN de IPSec,principalmente si configura un túnel BOVPN manual, es útil comprender cómo las VPNs de IPSecfuncionan.

Para más información, vea:

n Acerca de los algoritmos y protocolos de IPSecn Acerca de las negociaciones VPN de IPSecn Configuraciones de Fase 1 y Fase 2

Acerca de los algoritmos y protocolos de IPSec

IPSec es un conjunto de servicios basado en criptografía y protocolos de seguridad que protegen lacomunicación entre dispositivos que envían tráfico por una red no confiable. Como el IPSec está construidoa partir de un conjunto de protocolos y algoritmos conocidos, se puede crear una VPN de IPSec entre sudispositivo WatchGuard y muchos otros dispositivos que soportan esos protocolos estándares. Losprotocolos y algoritmos usados por IPSec son abordados en las siguientes secciones.

Algoritmos de cifrado

Los algoritmos de cifrado protegen los datos para que no puedan ser leídos por terceros mientras estén entránsito. El Fireware XTM soporta tres algoritmos de cifrado:

n DES (Estándar de Cifrado de Datos) — Usa una clave de cifrado con extensión de 56 bits. Ese es elmás débil de los tres algoritmos.

n 3DES(Triple-DES)—Unalgoritmode cifradobasadoenDESqueusaDES paracifrar losdatos tresveces.n AES (Estándar de Cifrado Avanzado) — El algoritmo de cifrado más fuerte que existe. Fireware XTM

puede usar claves de cifrado AES para esas extensiones: 128, 192, o 256 bits.

Redes Privada Virtual (VPN)




Algoritmos de autenticación

Los algoritmos de autenticación verifican la integridad y autenticidad de los datos de un mensaje. ElFireware XTM soporta dos algoritmos de autenticación:

n HMAC-SHA1 (Código de autenticación de mensaje hash — Secure Hash Algorithm 1) — SHA-1produce un resumen de mensaje de 160 bits (20 bytes). Aunque sea más lento que el MD5, esearchivo más grande es más fuerte contra los ataques de fuerza bruta.

n HMAC-MD5 (Código de autenticación de mensaje hash — Algoritmo 5 de resumen de mensaje) — ElMD5 produce un resumen de mensaje de 128 bits (16 bytes), que lo hace más rápido que SHA-1.

Protocolo IKE

Definido en RFC2409, IKE (siglas en inglés para intercambio de clave de Internet) es un protocolo usadopara configurar las asociaciones de seguridad para IPSec. Esas asociaciones de seguridad establecensecretos de sesión compartidos a partir de los cuales se derivan las claves para el cifrado de datos en túnel.El IKE también es usado para autenticar los dos puntos de IPSec.

Algoritmo de intercambio de clave Diffie-Hellman

El algoritmo de intercambio de clave Diffie-Hellman (DH) es un método usado para que una clave de cifradocompartida esté disponible a dos entidades sin el intercambio de la clave. La clave de cifrado para los dosdispositivos es usada como una clave simétrica para encriptar datos. Solamente las dos partes involucradasen el intercambio de clave DH pueden deducir la clave compartida, y la clave nunca es enviada por cable.

Un grupo de clave Diffie-Hellman es un grupo de números enteros usados para el intercambio de claveDiffie-Hellman. Fireware XTM puede usar grupos DH 1, 2 y 5. Los números más altos del grupo ofrecenseguridad más fuerte.

Para más informaciones, vea Acerca de los grupos Diffie-Hellman en la página 429.

AH

Definido en RFC 2402, el AH (Encabezado de autenticación) es un protocolo que puede usar en lasnegociaciones de VPN de Fase 2 de BOVPN manual. Para ofrecer seguridad, el AH agrega información deautenticación al datagrama de IP. La mayoría de los túneles VPN no usan AH porque no ofrece cifrado.

ESP

Definido en RFC 2406, el ESP (Carga de seguridad de encapsulación) ofrece autenticación y cifrado de datos.El ESP toma la carga original de un paquete de datos y la reemplaza por datos cifrados. Añade verificacionesde integridad para asegurar que los datos no sean alterados en tránsito y que vienen de una fuenteadecuada. Recomendamos que use el ESP en negociaciones de Pase 2 de BOVPN porque el ESP es másseguro que el AH. El Mobile VPN with IPSec siempre usa ESP.

Acerca de las negociaciones VPN de IPSec

Los dispositivos en ambos extremos de un túnel VPN de IPSec son puntos de IPSec. Cuando dos puntos deIPSec quieren establecer una VPN entre sí, ellos intercambian una serie de mensajes acerca de cifrado yautenticación, e intentan aceptar diversos parámetros diferentes. Ese proceso es conocido comonegociaciones de VPN. Un dispositivo en la secuencia de negociación es el iniciador mientras que el otro esel respondedor.

Las negociaciones de VPN ocurren en dos fases distintas: Fase 1 y Fase 2.

Configuraciones

El principal propósito de la Fase 1 es configurar un canal cifrado seguro a través del cual los dospuntos pueden negociar la Fase 2. Cuando la Fase 1 termina con éxito, los puntos pasan rápidamentehacia las negociaciones de Fase 2. Si la Fase 1 falla, los dispositivos no pueden empezar la Fase 2.

Fase 2

El propósito de las negociaciones de Fase 2 es que los dos puntos concuerden en un conjunto deparámetros que definen qué tráfico puede pasar por la VPN y cómo encriptar y autenticar el tráfico.Ese acuerdo se llama Asociación de Seguridad.

Las configuraciones de Fase 1 y Fase 2 deben coincidir en los dispositivos en ambos extremos del túnel.

Negociaciones de Fase 1

En las negociaciones de Fase 1, los dos puntos intercambian credenciales. Los dispositivos se identifican ynegocian para encontrar un conjunto común de configuraciones de Fase 1 que usar. Cuando se concluyenlas negociaciones de Fase 1, los dos puntos tienen una Asociación de Seguridad (SA) de Fase 1. Esa SA esválida sólo por un período de tiempo determinado. Después que la SA de Fase 1 caduca, si dos los puntosdeben concluir las negociaciones de Fase 2 nuevamente, también deben negociar la Fase 1 nuevamente.

Las negociaciones de Fase 1 incluyen estos pasos:

1. Los dispositivos intercambian credenciales.

Las credenciales pueden ser un certificado o una clave precompartida. Ambos extremos de puertade enlace deben usar el mismo método de credenciales. Si un punto usa una clave precompartida,el otro punto también debe usar una y las claves deben coincidir. Si un punto usa un certificado, elotro también debe usar un certificado.

2. Los dispositivos se identifican uno al otro.

Cada dispositivo ofrece un identificador de Fase 1, que puede ser una dirección IP, domain name,información de dominio o nombre de X500. La configuración de VPN en cada punto contiene unidentificador de Fase 1 del dispositivo local y del remoto, y las configuraciones deben coincidir.

3. Los puntos deciden si usar el Modo Principal o Modo Agresivo.





Las negociaciones de Fase 1 pueden usar uno de los dos modos: Modo Principal o Modo Agresivo. Eldispositivo que inicia las negociaciones IKE (el iniciador) envía una propuesta de Modo Principal ouna propuesta de Modo Agresivo. El respondedor puede rechazar la propuesta caso no estéconfigurado para usar ese modo. Las comunicaciones de Modo Agresivo ocurren con menosintercambios de paquetes. El Modo Agresivo es menos seguro, pero más rápido que el ModoPrincipal.

4. Los puntos concuerdan respecto a los parámetros de Fase 1.

n Si usar NAT Traversaln Si enviar mensajes de IKE keep-alive (soportado entre dispositivos WatchGuard solamente)n Si usar la Dead Peer Detection (RFC 3706)

5. Los puntos concuerdan respecto a las configuraciones de Transformación de Fase 1.

Las configuraciones de transformación incluyen un conjunto de parámetros de cifrado yautenticación, y el período máximo de tiempo para la SA de Fase 1. Las configuraciones en latransformación de Fase 1 deben coincidir exactamente con la transformación de Fase 1 en el puntoIKE, sino las negociaciones de IKE fallan.

Los ítemes que puede definir en la transformación son:

n Autenticación — El tipo de autenticación (SHA1 o MD5).n Cifrado — El tipo de algoritmo de cifrado (DES, 3DES o AES).n Duración de SA — El período de tiempo hasta que se caduque la Asociación de Seguridad (SA)

de Fase 1.n Grupo de clave — El grupo de clave Diffie-Hellman.

Negociaciones de Fase 2

Después que dos puntos de IPSec concluyen las negociaciones de Fase 1, empiezan las negociaciones deFase 2. Las negociaciones de Fase 2 establecen la SA de Fase 2 (a veces denominada SA de IPSec). La SA deIPSec es un conjunto de especificaciones de tráfico que informan al dispositivo qué tráfico enviar por laVPN y cómo cifrarlo y autenticarlo. En las negociaciones de Fase 2, los dos puntos concuerdan en unconjunto de parámetros de comunicación. Cuando configura el túnel BOVPN en el Policy Manager o en elFireware XTM Web UI, especifica los parámetros de Fase 2.

Como los puntos usan la SA de Fase 1 para proteger las negociaciones de Fase 2, y define lasconfiguraciones de SA de Fase 1 en las configuraciones de puerta de enlace de BOVPN, debe especificar lapuerta de enlace que usar para cada túnel.

Las negociaciones de Fase 2 incluyen estos pasos:

1. Los puntos usan la SA de Fase 1 para proteger las negociaciones de Fase 2.

Las negociaciones de Fase 2 sólo pueden empezar después que se haya establecido la SA de Fase 1.

2. Los pares intercambian identificadores de Fase 2 (IDs).

Los IDs de Fase 2 siempre son enviados como un par en una propuesta de Fase 2: uno indica cuálesdirecciones IP detrás del dispositivo local pueden enviar tráfico por la VPN y el otro indica cuálesdirecciones IP detrás del dispositivo remoto pueden enviar tráfico por la VPN. Eso también seconoce como una ruta de túnel. Puede especificar los IDs de Fase 2 para el punto local y remotocomo una dirección IP de host, una dirección IP de red o un rango de direcciones IP.

3. Los puntos concuerdan respecto al uso del Perfect Forward Secrecy (PFS).

El PFS especifica cómo se derivan las claves de Fase 2. Cuando se selecciona el PFS, ambos pares IKEdeben usar el PFS, sino la regeneración de claves de Fase 2 falla. El PFS garantiza que si una clave decifrado usada para proteger la transmisión de datos está comprometida, un atacante puede accedersólo a los datos protegidos por aquella clave, no por claves siguientes. Si los puntos concuerdan conusar el PFS, deben también concordar con el grupo de claves Diffie-Hellman que usar para el PFS.

4. Los puntos concuerdan con una propuesta de Fase 2.

La propuesta de Fase 2 incluye las direcciones IP que pueden enviar tráfico por el túnel, y un grupode parámetros de cifrado y autenticación. El Fireware XTM envía esos parámetros en una propuestade Fase 2. La propuesta incluye el algoritmo que usar para autenticar datos, para cifrar datos y conqué frecuencia generar nuevas claves de cifrado de Fase 2.

Los ítems que puede definir en una propuesta de Fase 2 incluyen:

Tipo

Para un BOVPN manual, puede seleccionar el tipo de protocolo que usar: Encabezado deautenticación (AH) o Carga de seguridad de encapsulación (ESP). El ESP ofrece autenticación ycifrado de los datos. El AH ofrece autenticación sin el cifrado. Recomendamos que seleccioneESP. La BOVPN administrada y el Mobile VPN with IPSec siempre usan ESP.

Autenticación

La autenticación asegura que la información recibida es exactamente la lista que la informaciónenviada. Puede usar el SHA o MD5 como algoritmo que los puntos usan para autenticarmensajes IKE uno del otro. SHA1 es el más seguro.

Cifrado

El cifrado mantiene los datos confidenciales. Puede seleccionar el DES, 3DES o AES. El AES es elmás seguro.

Forzar Caducidad de Clave

Para asegurarse de que las claves de cifrado de Fase 2 cambian periódicamente, siempre activela caducidad de clave. Cuanto más tiempo una clave de cifrado de Fase 2 esté en uso, más datosun atacante puede recoger para usar en un ataque contra la clave.

Configuraciones de Fase 1 y Fase 2

Se configura la Fase 1 y Fase 2 para cada VPN de IPSec configurada.

Branch Office VPN (BOVPN)

Para una Branch Office VPN (BOVPN) (BOVPN), se configura la Fase 1 cuando define una puerta de enlacede Sucursal y configura la Fase 2 cuando define un túnel de Sucursal.

Para más información acerca del la configuración de Fase 1 y Fase 2 de BOVPN, vea:

n Definir puertas de enlace en la página 421n Definir un túnel en la página 431





Mobile VPN with IPSec

En el caso del Mobile VPN con IPSec, se configura la Fase 1 y Fase 2 cuando agrega o edita unaconfiguración de Mobile VPN con IPSec.

Para más información, vea:

n Configurar el Firebox para Mobile VPN with IPSecn Modificar un perfil de grupo existente deMobile VPN con IPSec

Usar un certificado para autenticación de túnel VPN de IPSec

Cuando se crea un túnel IPSec, el protocolo de IPSec verifica la identidad de cada extremo o con una claveprecompartida (PSK) o un certificado importado y almacenado en el Firebox. Se configura el método deautenticación de túnel en la configuración de Fase 1 de VPN.

Para más información acerca de cómo usar un certificado para autenticación de túnel, vea:

n Usar un certificado para autenticación del túnel BOVPNn Use certificados autenticados para el túnel VPN Mobile con IPSec

Acerca de Mobile VPNsUnaMobile VPN permite que sus empleados trabajen a distancia y viajen y se conecten con seguridad a lared corporativa. El Fireware XTM soporta tres tipos de redes privadas virtuales de usuario remoto: MobileVPN with IPSec, Mobile VPN with PPTP y Mobile VPN with SSL.

Cuando unaMobile VPN, primero configura su Firebox y después configura los equipos de clientesremotos. El Policy Manager o el Fireware XTM Web UI son usados para configurar cada usuario o grupo deusuarios. Para la Mobile VPN with IPSec y Mobile VPN with SSL, se usa el Policy Manager o la interfaz deusuario web para crear un archivo de configuración de perfil de usuario final que incluya todas lasconfiguraciones necesarias para conectarse al Firebox. También puede configurar sus políticas para permitiro negar tráfico desde clientes Mobile VPN. Los usuarios de Mobile VPN se autentican en la base de datos deusuario de Firebox o en un servidor de autenticación externo.

Seleccione una Mobile VPN

El Fireware XTM soporta tres tipos de Mobile VPN. Cada tipo usa diferentes puertos, protocolos yalgoritmos de cifrado.

Mobile VPN with PPTP

n PPTP (Protocolo de túnel punto a punto) — Protege el túnel entre dos extremosn Puerto 1723 TCP — Establece el túneln Protocolo 47 IP — Cifra los datosn Algoritmos de cifrado — 40 bits ó 128 bits


n IPSec (Seguridad de protocolo de Internet) — Protege el túnel entre dos extremosn Puerto 500 UDP (IKE) — Establece el túneln Puerto 4500 UDP (NAT Traversal) — Usado si el Firebox está configurado para NAT

n Protocolo 50 IP (ESP) o Protocolo 51 IP (AH) — Cifra los datosn Algoritmos de cifrado — DES, 3DES o AES (128, 192 ó 256 bits)

Mobile VPN with SSL

n SSL (Secure Sockets Layer) — Protege el túnel entre dos extremosn Puerto 443 TCP o Puerto 443 UDP — Establece el túnel y cifra los datosn Algoritmos de cifrado — Blowfish, DES, 3DES o AES (128, 192 ó 256 bits)

Nota En el caso del Mobile VPN con SSL, puede elegir un puerto y protocolo diferentes.Para más informaciones, vea Elegir un puerto y protocolo para Mobile VPN withSSL en la página 550

El tipo de Mobile VPN que selecciona depende mucho de su infraestructura existente y sus preferencias depolítica de red. El Firebox puede administrar tres tipos de Mobile VPN simultáneamente. Un equipo clientepuede ser configurado para usar uno o más métodos. Algunos de los aspectos que considerar cuandoseleccione qué tipo de Mobile VPN usar están descritos en las siguientes secciones.

Licencias y capacidad del túnel VPN

Cuando selecciona un tipo de túnel, asegúrese de considerar el número de túneles que su dispositivosoporta y si puede adquirir una actualización para aumentar el número de túneles.

Mobile VPN Máximo de túneles VPN

Mobile VPN withPPTP

50 túneles

Mobile VPN withIPSec

n Los túneles máximos y básicos varía según el modelo deldispositivo WatchGuard.

n Es necesaria la compra de licencia para activar el número máximode túneles.

Mobile VPN withSSL

n Los túneles máximos y básicos varían según el modelo deldispositivo WatchGuard.

n La actualización Pro para el Fireware XTM OS es necesaria para elmáximo de túneles VPN de SSL.

n Para soportar más de un túnel VPN de SSL debe tener unaactualización Pro.

Para el número máximo y básico de túneles soportados por Mobile VPN with IPSec y Mobile VPN with SSL,vea las especificaciones detalladas para su modelo de dispositivo WatchGuard.

Compatibilidad del servidor de autenticación

Cuando selecciona una solución de Mobile VPN, asegúrese de elegir una solución que soporte el tipo deservidor de autenticación utilizado.





MobileVPN

Firebox RADIUS Vasco/ RADIUSVascoChallengeResponse

RSA SecurID

LDAPActiveDirectory

MobileVPN withPPTP

Sí Sí No No No No No

MobileVPN withIPSec

Sí Sí Sí N/A Sí Sí Sí

MobileVPN withSSL

Sí Sí Sí N/A Sí Sí Sí

Pasos de configuración del cliente y compatibilidad del sistemaoperativo

Los pasos de configuración que el cliente debe seguir son diferentes para cada solución de Mobile VPN.Cada solución de VPN también es compatible con sistemas operativos diferentes.

Mobile VPN with PPTP

No instale el software cliente de VPN de WatchGuard. Debe configurar manualmente laconfiguración de red en cada equipo cliente para establecer una conexión de PPTP.

Compatible con: Windows XP y Windows Vista.


Debe instalar el cliente Mobile VPN con IPSec de WatchGuard y manualmente importar el perfil delusuario final. El cliente Mobile VPN con IPSec requiere más pasos para ser configurado que elcliente Mobile VPN con SSL.

Compatible con: Windows XP SP2 (32 bits y 64 bits), Windows Vista (32 bits y 64 bits) y Windows 7(32 bits y 64 bits).

Mobile VPN with SSL

Debe instalar el cliente Mobile VPN con SSL de WatchGuard y el archivo de configuración.

Compatible con: Windows XP SP2 (32 bits solamente), Windows Vista (32 bits solamente), Windows7 (32 bits y 64 bits), Mac OS X 10.6 Snow Leopard y Mac OS X 10.5 Leopard

Opciones de acceso a Internet para usuarios de Mobile VPN

Para los tres tipos deMobile VPN, tiene dosopciones de acceso a Internet parasus usuariosde Mobile VPN:

Forzar todo el tráfico de cliente a través del túnel (VPN de ruta predeterminada)

La opción más segura es requerir que todo el tráfico de Internet del usuario remoto sea enrutado através del túnel VPN hacia el dispositivo WatchGuard. Después, el tráfico es enviado de vuelta aInternet. Con esa configuración (conocida como VPN de ruta predeterminada), el dispositivoWatchGuard puede examinar todo el tráfico y ofrecer mayor seguridad, aunque se use máspotencia de procesamiento y ancho de banda.

Al usar una VPN de ruta predeterminada con Mobile VPN para IPSec o Mobile VPN para PPTP, unapolítica de NAT dinámica debe incluir el tráfico saliente de la red remota. Eso permite que losusuarios remotos naveguen en Internet cuando envían todo el tráfico al dispositivo WatchGuard.

Permitir acceso directo a Internet (dividir VPN de túnel)

Otra opción de configuración es activar el túnel dividido. Con esa opción, los usuarios puedennavegar en Internet, pero el tráfico de Internet no es enviado a través del túnel VPN. El túneldividido mejora el desempeño de red, pero disminuye la seguridad debido a que las políticascreadas no son aplicadas al tráfico de Internet. Si usa el túnel dividido, recomendamos que cadaequipo cliente tenga un firewall de software.

Para más información específica para cada tipo de Mobile VPN, vea:

n Opciones de acceso a Internet a través de un túnel de Mobile VPN con IPSecn Opciones de acceso a Internet a través de un túnel de Mobile VPN con PPTPn Opciones de acceso a Internet a través de un túnel de Mobile VPN con SSL

Descripción de configuración de Mobile VPN

Cuando configura unaMobile VPN, primero debe configurar el dispositivo WatchGuard y después losequipos clientes. Independientemente del tipo de Mobile VPN elegido, debe concluir los mismos cincopasos de configuración. Los detalles para cada paso son diferentes según el tipo de VPN.

1. Activar la Mobile VPN en el Policy Manager.2. Definir las configuraciones de VPN para el nuevo túnel.3. Seleccionar y configurar el método de autenticación para los usuarios de Mobile VPN.4. Definir políticas y recursos.5. Configurar los equipos clientes.

n En el caso del Mobile VPN con IPSec y Mobile VPN con SSL, instale el software cliente y elarchivo de configuración.

n Para el Mobile VPN con PPTP, configure manualmente la conexión de PPTP en la configuraciónde red del equipo cliente.

Para más información y pasos detallados para configurar cada tipo de Mobile VPN, vea:

n Acerca del Mobile VPN con IPSecn Acerca del Mobile VPN con PPTPn Acerca del Mobile VPN con SSL




20 Túneles de BOVPN manuales

Lo que necesita para crear un BOVPNAntes de configurar una red Branch Office VPN (BOVPN) en su dispositivo WatchGuard, lea esos requisitos:

n Debe tener dos dispositivos WatchGuard o un dispositivo WatchGuard y un segundo dispositivo queusa estándares IPSec. Debe activar la opción VPN en otro dispositivo si todavía no está activa.

n Debe tener una conexión de Internet.n El ISP para cada dispositivo de VPN debe permitir el tráfico IPSec en sus redes.

Algunos ISPs no permiten la creación de túneles VPN en sus redes excepto si actualiza su servicio deInternet para un nivel que soporte túneles VPN. Hable con un representante de cada ISP paraasegurarse de que esos puertos y protocolos están permitidos:

n Puerto UDP 500 (Intercambio de clave de red o IKE)n Puerto UDP 4500 (NAT Traversal)n Protocolo IP 50 (Carga de seguridad de encapsulación o ESP)

n Si en el otro extremo del túnel VPN hay un dispositivo WatchGuard y cada dispositivo esadministrado, puede usar la opción Managed VPN. La Managed VPN es más fácil de configurar quela "Manual VPN". Para usar esa opción, debe obtener información junto al administrador deldispositivo WatchGuard en el otro extremo del túnel VPN.

n Debe saber si la dirección IP asignada a la interfaz externa de su dispositivo WatchGuard es estática odinámica.Para obtener más información acerca de las direcciones IP, vea Acerca de las Direcciones IP en lapágina 3.

n Su modelo de dispositivo WatchGuard informa el número máximo de túneles VPN que puede crear.Si su modelo de Firebox puede ser actualizado, puede adquirir la actualización del modelo queaumente el número máximo de túneles VPN soportados.

n Si se conecta a dos redes Microsoft Windows NT, ambas deben estar en el mismo dominio deMicrosoft Windows o deben ser dominios de confianza. Esa es una cuestión de MicrosoftNetworking, no una limitación de Firebox.

n Si desea usar los servidores DNS y WINS de la red en el otro extremo del túnel VPN, debe conocerlas dirección IP de esos servidores.El Firebox puede dar direcciones IP de WINS y DNS a equipos en su red de confianza si éstosobtienen sus direcciones IP de Firebox con DHCP.

n Si desea dar a los equipos las direcciones IP de los servidores WINS y DNS en el otro extremo de laVPN, puede ingresarlas en las configuraciones de DHCP en la configuración de la red de confianza.Para más información acerca de cómo configurar el Firebox para distribuir las dirección IP conDHCP, vea Configurar el DHCP en modo de enrutamiento mixto en la página 86.

n Debe conocer la dirección de red de las redes privadas (de confianza) detrás de su Firebox y de lared detrás del otro dispositivo de VPN, así como de sus máscaras de subred.

Nota Las direcciones IP privadas de los equipos detrás de su Firebox no pueden ser lasmismas que las direcciones IP de los equipos en el otro extremo del túnel VPN. Si sured de confianza usa las mismas direcciones IP que la oficina hacia la cual seestablecerá un túnel VPN, entonces su red o la otra red debe cambiar los ajustes dedirección IP para evitar conflictos de dirección IP.

Acerca de túneles BOVPN manualesUna VPN (Red Privada Virtual) establece conexiones seguras entre equipos y redes en diferentesubicaciones. Cada conexión es conocida como un túnel. Cuando se crea un túnel VPN, las dos extremidadesdel túnel autentican una a la otra. Los datos en el túnel son cifrados. Sólo el remitente y el destinatario deltráfico pueden leerlos.

Las Redes Privadas Virtuales de Sucursal (BOVPN, en las siglas en inglés) permiten a las organizacionesofrecer conectividad segura y cifrada entre oficinas separadas geográficamente. Las redes y hosts en untúnel BOVPN pueden ser sedes corporativas, sucursales, usuarios remotos o trabajadores a distancia. Esascomunicaciones suelen contener tipos de datos críticos intercambiados dentro de un firewall corporativo.En ese panorama, una BOVPN ofrece conexiones confidenciales entre esas oficinas. Eso optimiza lacomunicación, reduce el costo de líneas exclusivas y mantiene la seguridad en cada extremidad.

Manual Los Túneles BOVPN son creados con el Fireware XTM Web UI, ofreciendo diversas opcionesadicionales de túneles. Otro tipo de túnel es un túnel BOVPN administrado, que es un túnel BOVPN que secrea en el WatchGuard System Manager con el procedimiento de arrastrar y soltar, un asistente y el uso deplantillas. Para más información acerca de ese tipo de túnel, vea el Guía del Usuario o el sistema de ayudaonline de WatchGuard System Manager.

Lo que necesita para crear un VPN

Además de los requisitos de VPN, debe tener esa información para crear un túnel Manual VPN:

n Debe saber si la dirección IP asignada al otro dispositivo VPN es estática o dinámica. Si el otrodispositivo VPN tiene una dirección IP dinámica, su Firebox debe encontrar el otro dispositivo por eldomain name y el otro dispositivo debe usar DNS Dinámico.

n Se debe conocer la clave compartida (frase de contraseña) del túnel. La misma clave compartidadebe ser usada por cada dispositivo.

n Se debe conocer el método de cifrado usado en el túnel (D 3DESES, 3DES, AES 128 bits, AES 192 bitso AES 256 bits). Los dos dispositivos de VPN deben usar el mismo método de cifrado.

Túneles de BOVPN manuales




n Se debe conocer el método de autenticación de cada extremo del túnel (MD5 o SHA-1). Los dosdispositivos de VPN deben usar el mismo método de autenticación.

Para más informaciones, vea Lo que necesita para crear un BOVPN en la página 417.

Recomendamos que tome nota de su configuración de Firebox y la información relacionada para el otrodispositivo. VeaMuestra cuadro de información de dirección de VPN en la página 420 para registrar esainformación.

Cómo crear un túnel BOVPN manual

El procedimiento básico para crear un túnel manual requiere estos pasos:

1. Definir puertasdeenlace—puntosdeconexión tantoen laextremidad localcomoenla remotadel túnel.2. Establezca túneles entre los extremos de puertas de enlace— configure rutas para el túnel,

especifique cómo los dispositivos controlan la seguridad y cree una política para el túnel.

Algunas otras opciones pueden ser usadas para los túneles BOVPN están descritas en las secciones abajo.

Túneles de una dirección

Configurar NAT dinámica saliente a través de un túnel BOVPN si desea mantener el túnel VPN abierto sóloen una dirección. Eso puede ser útil cuando establece un túnel para un sitio remoto donde todo el tráficode VPN viene desde una dirección IP pública.

Failover de VPN

Los túneles VPN automáticamente hacen la conmutación por error para la interfaz WAN de resguardodurante la conmutación por error de WAN. Puede configurar túneles BOVPN para hacer conmutación porerror a un extremo de punto de resguardo si el extremo principal deja de estar disponible. Para hacer eso,debe definir al menos un extremo de resguardo, tal como se describe en Configurar Failover de VPN en lapágina 456.

Configuraciones de VPN Global

Las configuraciones de VPN Global en su Firebox se aplican a todos los túneles BOVPN, túnelesadministrados y túneles de Mobile VPN. Puede usar esas configuraciones para:

n Activar puerto de transferencia IPSecn Limpiar o mantener las configuraciones de paquetes con conjunto de bits de Tipo de Servicio (TOS)n Usar un servidor de LDAP para verificar los certificadosn Hacer que el Firebox envíe una notificación cuando un túnel BOVPN esté inactivo (sólo túneles

BOVPN).

Para cambiar esas configuraciones, en el Fireware XTM Web UI, seleccione VPN > ConfiguracionesGlobales. Para más informaciones acerca de esas configuraciones, vea Acerca de las configuraciones deVPN Global en la página 438.

../../../../../Content/es-419/bovpn/manual/bovpn_set_outgoing_nat_c.html










Estado del túnel BOVPN

Para ver el estado actual de los túneles BOVPN. En el Fireware XTM Web UI, seleccione Estado del sistema> Estadísticas de VPN. Para más informaciones, vea Estadísticas de VPN en la página 382.

Regenerar clave de túneles BOVPN

Puede usar el Fireware WebUI paragenerar nuevas claves inmediatamente para los túneles BOVPN en vezde esperar que caduquen. Paramás informaciones, vea Regenerar clave de túneles BOVPN en lapágina 458.

Muestra cuadrode información de dirección deVPN

Elemento DescripciónAsignado

por

Dirección IP externa

La dirección IP que identifica el dispositivo compatible conIPSec en la Internet. ISP ISP

Ejemplo:

Sitio A: 207.168.55.2

Sitio B: 68.130.44.15

ISP ISP

Dirección de redlocal

Dirección usada para identificar una red local. Esas son lasdirecciones IP de los equipos en cada extremo que estánautorizados a enviar tráfico a través del túnel VPN.Recomendamos que use una dirección de uno de losrangos reservados:

10.0.0.0/8—255.0.0.0

172.16.0.0/12—255.240.0.0

192.168.0.0/16—255.255.0.0

Los números después de las barras diagonales indican lasmáscaras de subred. /24 significa que la Subnet Mask parala red de confianza es 255.255.255.0. Para másinformación acerca de la notación diagonal, vea Acerca delas Notación diagonal en la página 3.

Ejemplo:

Sitio A: 192.168.111.0/24

Sitio B: 192.168.222.0/24

Usted





Elemento DescripciónAsignado

por

Clave compartida

La clave compartida es una frase de contraseña usada pordos dispositivos compatibles con IPSec para cifrar ydescifrar los datos que pasan por el túnel VPN. Los dosdispositivos usan la misma frase de contraseña. Si losdispositivos no tienen la misma frase de contraseña, nopueden encriptar o descifrar los datos correctamente.

Use una frase de contraseña que contenga números,símbolos, letras en minúsculas y mayúsculas para mejorseguridad. Por ejemplo, "Gu4c4mo!3" es mejor que"guacamole".

Ejemplo:

Sitio A: OurSharedSecret

Sitio B: OurSharedSecret

Usted

Método de cifrado

DES usa cifrado de 56 bits. 3DES usa cifrado de 168 bits. Elcifrado AES está disponible en 128, 192 y 256 bits. AES de256 bits es el cifrado más seguro. Los dos dispositivosdeben usar el mismo método de cifrado.

Ejemplo:

Sitio A: 3DES; Sitio B: 3DES

Usted

Autenticación

Los dos dispositivos deben usar el mismo método deautenticación.

Ejemplo:

Sitio A: MD5 (o SHA-1)

Sitio B: MD5 (o SHA-1)

Usted

Definir puertas de enlaceUn puerta de enlace es un punto de conexión para uno o más túneles. Para crear un túnel, debe configurarpuertas de enlace tanto en el dispositivo extremo local como en el remoto. Para configurar esas puertas deenlace, debe especificar:

n Método de credencial - claves precompartidas o un Firebox Certificate IPSec. Para más informaciónacerca de cómo usar certificados para autenticación BOVPN, vea Usar un certificado paraautenticación del túnel BOVPN en la página 400.

n Ubicación de los extremos de la puerta de enlace remota y local, sea por dirección IP o porinformación de dominio.

n Las configuraciones la Fase 1 de la negociación de Intercambio de Claves de Internet (IKE). Esa fasedefine la asociación de seguridad o protocolos y configuraciones que los extremos de la puerta deenlace usarán para comunicarse, para proteger datos que son transmitidos en la negociación.

1. En el Fireware XTM Web UI, seleccione VPN> VPN de Sucursal.Aparece la página de configuración de VPN de Sucursal, con la lista de Puertas de Enlace en el topo.

2. Para agregar una puerta de enlace, haga clic en Agregar al lado de la lista Puertas de enlace.Aparece la página de configuraciones Puerta de enlace.





3. En el cuadro de texto Nombre de la puerta de enlace, ingrese un nombre para identificar la puertade enlace para este Firebox.

4. En lapágina Puerta de enlace, seleccione o Usar clave precompartida o Usar Firebox Certificate deIPSec para identificar el procedimiento de autenticación utilizado por ese túnel.

Si seleccionó Usar clave precompartida

ingrese o pegue la clave compartida. Debe usar la misma clave compartida en el dispositivoremoto. Esa clave compartida debe usar sólo caracteres ASCII estándares.

Si seleccionó Usar Firebox Certificate de IPSec

La tabla abajo del botón de radio muestra los certificados actuales en el Firebox. Seleccione elcertificado que usar para la puerta de enlace.

Paramás informaciones, veaUsar un certificado para autenticación del túnel BOVPN en lapágina400.

Ahora puede Definir extremos de puerta de enlace.

Definir extremos de puerta de enlace

Los extremos de puerta de enlace son puertas de enlace locales y remotas conectadas por una BOVPN. Esainformación explica a su dispositivo WatchGuard cómo identificar y comunicarse con el dispositivo delextremo remoto cuando negocia la BOVPN. También dice al dispositivo WatchGuard cómo identificarse alextremo remoto al negociar la BOVPN.

Cualquier interfaz externa puede ser un gateway endpoint. Si tiene más de una interfaz externa, puedeconfigurar múltiples puertas de enlace para Configurar Failover de VPN.

Puerta de enlace local

En la sección Puerta de Enlace local, configure el ID de la puerta de enlace y la interfaz a la cual la BOVPN seconecta en su dispositivo WatchGuard. Para el ID de la puerta de enlace, si tiene una dirección IP estática,puede seleccionar Por dirección IP. Use Por información de dominio si tiene un dominio que envía a ladirección IP la BOVPN que se conecte a su dispositivo WatchGuard.

1. En la sección Extremos de la puerta de enlace del cuadro de diálogo Puerta de enlace página, hagaclic en Agregar.Aparece el cuadro de diálogo Configuraciones de extremos de la nueva puerta de enlace.





2. Especifique el ID de la puerta de enlace.

n Por dirección IP - Seleccione el botón de radio Por dirección IP. Ingrese la dirección IP de ladirección IP de la interfaz de Firebox .

n Por domain name - Ingrese su domain name.n Por ID de usuario en dominio - Ingrese el nombre de usuario y dominio con el

[email protected] Por nombre x500-Ingrese el nombre x500.

3. En la lista desplegable Interfaz externa, seleccione la interfaz en el Firebox con la dirección IP odominio que elige para el ID de puerta de enlace.

Puerta de enlace remota

En el área de Puerta de enlace remota, configure el ID y la dirección IP de la puerta de enlace para eldispositivo del extremo remoto al que la BOVPN se conecta. La dirección IP de la puerta de enlace puedeser o una dirección IP estática o una dirección IP dinámica. El ID de la puerta de enlace puede ser Pordomain name, por ID de usuario en dominio, o Por nombre x500. El administrador del dispositivo depuerta de enlace remota puede determinar cuál usar.

1. Seleccione la dirección IP de la puerta de enlace remota.

n Dirección IP estática - Seleccione esta opción si el dispositivo remoto tiene una dirección IPestática. Para dirección IP, ingrese la dirección IP o selecciónela en la lista desplegable.

n Dirección IP dinámica - Seleccione esta opción si el dispositivo remoto tiene una dirección IPdinámica.

2. Seleccione el ID de la puerta de enlace.

n Por dirección IP - Seleccione el botón de radio Por dirección IP. Ingrese la dirección IP.n Por domain name - Ingrese el domain name.n Por ID de usuario en dominio - Ingrese el ID de usuario y dominio.n Por nombre x500-Ingrese el nombre x500.

Nota Si el extremo de la VPN remota usa DHCP o PPPoE para obtener su dirección IPexterna, defina el tipo de ID de la puerta de enlace remota en Nombre del dominio.Defina el campo del nombre del punto en domain name totalmente cualificado delextremo de la VPN remota. El Firebox usa la dirección IP y el domain name paraencontrar el extremo del VPN. Asegúrese de que el servidor DNS usado por Fireboxpueda identificar el nombre.

Haga clic en Aceptar para cerrar el cuadro de diálogo Configuraciones de extremos de la nueva puerta deenlace. El Puerta de enlace página . Aparece el par de la puerta de enlace definido en la lista de extremosde la puerta de enlace. Vaya a Configurar modo y transformaciones (Configuraciones de la Fase 1) paraconfigurar la Fase 1 para esa puerta de enlace.

Configurar modo y transformaciones (Configuraciones de laFase 1)

La Fase 1 del establecimiento de conexión IPSec es donde los dos puntos forman un canal autenticado yseguro que pueden usar para comunicarse. Eso es conocido como Asociación de Seguridad (SA) ISAKMP

Un intercambio de Fase 1 puede usar o elModo Principal o elModo Agresivo. El modo determina el tipo yel número de intercambios de mensajes realizados durante esa fase.

Una transformación es un conjunto de protocolos de seguridad y algoritmos usados para proteger los datosde VPN. Durante la negociación IKE, los puntos hacen un acuerdo para usar determinada transformación.

Se puede definir un túnel para que ofrezca un punto más de un conjunto de transformación paranegociación. Para más informaciones, vea Agregar una transformación de Fase 1 en la página 428.

1. En de la página Puerta de enlace, seleccione la pestaña Configuraciones de Fase 1.





2. En la lista desplegable Modo, seleccione Principal, Agresivo o Recurso de emergencia principal.

Modo principal

Ese modo es un modo seguro y utiliza tres intercambios de mensajes separados para un totalde seis mensajes. Los dos primeros mensajes negocian la política, los dos siguientesintercambian datos de Diffie-Hellman y los últimos dos autentican el intercambio Diffie-Hellman. El Modo Principal soporta grupos Diffie-Hellman 1, 2 y 5. Ese modo también lepermite usar transformaciones múltiples, tal como se describe en Agregar una transformaciónde Fase 1 en la página 428.

Modo Agresivo

Ese modo es más rápido porque usa sólo tres mensajes, que intercambian Acerca de los gruposDiffie-Hellman datos e identifican los dos extremos de la VPN. La identificación de los extremosde la VPN hace el Modo Agresivo menos seguro.

Recurso de emergencia principal hacia modo agresivo

El Firebox intenta el intercambio con el Modo Principal. Si falla la negociación, utiliza el ModoAgresivo.

3. Si desea crear un túnel BOVPN entre el Firebox y otro dispositivo que esté detrás de un dispositivoNAT, seleccione la casilla de verificación NAT Traversal. NAT Traversal o Encapsulación de UDPpermite que el tráfico llegue a los destinos correctos.

4. Para que el Firebox envíe mensajes a su par de IKE para mantener el túnel VPN abierto, seleccionela casilla de verificación IKE keep-alive. Para determinar el Intervalo de mensajes, ingrese elnúmero de segundos o use el control de valores para seleccionar el número de segundos quedesea.

Nota El IKE keep-alive sólo es utilizado por los dispositivos WatchGuard. No actívelo si elextremo remoto es un dispositivo IPSec de terceros.

5. Para definir un número máximo de veces que el Firebox intenta enviar un mensaje de IKE keep-alive antes de intentar negociar la Fase 1 nuevamente, inserte el número deseado en el cuadroMáx. Fallas.

6. Use la casilla de verificación Dead Peer Detection para activar o desactivar la Dead Peer Detectionbasada en tráfico. Cuando se activa la detección de punto puerto, Firebox se conecta a un punto sólosi no se recibe el tráfico del punto por un período determinado de tiempo y si se está esperandoque un paquete sea enviado al punto. Ese método es más escalable que los mensajes de IKE keep-alive.

Si desea cambiar los valores predeterminados de Firebox, ingrese el período de tiempo (ensegundos) en el campo tiempo de espera inactivo de tráfico antes que el Firebox intenteconectarse al punto. En el campoMáx. de reintentos, ingrese el número de veces que Fireboxdebería intentar conectarse antes que el punto sea considerado inactivo.

La Dead Peer Detection es un estándar usado por la mayoría de los dispositivos IPSec.Recomendamos que seleccione la Dead Peer Detection si ambos dispositivos extremos lo soportan.

Nota Si configura un failover de VPN, debe activar la Dead Peer Detection. Para másinformación acerca del failover de VPN, vea Configurar Failover de VPN en lapágina 456

7. El Firebox contiene un conjunto de transformaciones que aparece en la lista Configuración detransformaciones. Esa transformación especifica la autenticación de SHA-1, el cifrado de 3DES y elGrupo 2 de Diffie-Hellman.Se puede:

n Usar este conjunto de transformaciones predeterminadas.n Remover ese conjunto de transformaciones y reemplazarlo por uno nuevo.n Agregar una transformación adicional, tal como se explica en Agregar una

transformación de Fase 1 en la página 428.

Agregar una transformación de Fase 1

Se puede definir un túnel para ofrecer a un punto más de un conjunto de transformación para negociación.Por ejemplo, un conjunto de transformaciones puede incluir SHA1-DES-DF1 ([método de autenticación]-[método de cifrado]-[grupo de claves]) y una segunda transformación puede incluir MD5-3DES-DF2, con lastransformaciones SHA1-DES-DF1 definidas como el conjunto de prioridad más alta. Cuando se crea un túnel,Firebox puede usar SHA1-DES-DF1 o MD5-3DES-DF2 para que coincida con el conjunto de transformacionesdel otro extremo de la VPN.

Puede incluir un máximo de nuevo conjuntos de transformaciones. Debe especificar el Modo Principal enlas configuraciones de Fase 1 para usar transformaciones múltiples.

1. En la pestaña Configuraciones de Fase 1 de la página Puerta de enlace, encuentre el cuadroConfiguraciones de transformaciones en la parte inferior del cuadro de diálogo. Haga clic enAgregar.Aparece el cuadro de diálogo Configuraciones de transformación.

2. En la lista desplegable Autenticación, seleccione SHA1 oMD5 como tipo de autenticación.3. En la lista desplegable Cifrado , seleccione AES (128 bits), AES (192 bits), AES (256 bits), DES, o 3DES

como tipo de cifrado.4. Para cambiar la duración de SA (asociación de seguridad), ingrese un número en el campo Duración

de SA y seleccione Hora oMinuto en la lista desplegable al lado.





5. En la lista desplegable Grupo de Claves, seleccione el grupo Diffie-Hellman que desea. El FirewareXTM soporta grupos 1, 2 y 5.Los grupos Diffie-Hellman determinan la fuerza de la clave maestra usada en el proceso deintercambio de claves. Cuanto más alto el número del grupo, más fuerte la seguridad pero serequiere más tiempo para hacer las claves. Para más informaciones, vea Acerca de los grupos Diffie-Hellman en la página 429.

6. Se puede agregar hasta nueve conjuntos de transformaciones. Se puede seleccionar unatransformación y hacer clic en Arriba o Abajo para cambiar su prioridad. El conjunto detransformaciones en la parte superior de la lista es usado primero.

7. Haga clic en OK.

Acerca de los grupos Diffie-Hellman

LosgruposDiffie-Hellman (DH) determinan la fuerzade laclave usadaenel procesode intercambio de claves.Losmiembrosde gruposmásaltos sonmás seguros,pero se necesitamás tiempoparacomputar laclave.

Los dispositivos WatchGuard soportan grupos Diffie-Hellman 1, 2 y 5:

n Grupo DH 1: Grupo de 768 bitsn Grupo DH 2: Grupo de 1024 bitsn Grupo DH 5: Grupo de 1536 bits

Ambos puntos en un intercambio de VPN deben usar el mismo grupo DH, que es negociado durante la Fase1 del proceso de negociación de IPSec. Cuando define un túnel BOVPN manual, se especifica el grupoDiffie-Hellman como parte de la Fase 1 de la creación de una conexión IPSec. Es ahí donde los dos puntosforman un canal seguro y autenticado que pueden usar para comunicar.

Los grupos DH y Perfect Forward Secrecy (PFS)

Además de la Fase 2, también se puede especificar el grupo Diffie-Hellman en la Fase 2 de una conexiónIPSec. La configuración de Fase 2 incluye las configuraciones para una asociación de seguridad (SA), o cómolos paquetes de datos son protegidos cuando pasan entre dos extremos. Se especifica el grupo Diffie-Hellman en la Fase 2 sólo cuando selecciona el Perfect Forward Secrecy (PFS).

PFS vuelve las claves más seguras porque las nuevas claves no están hechas de las claves anteriores. Si unaclave está comprometida, las claves de la nueva sesión aún estarán seguras. Cuando especifica un PFSdurante la Fase 2, ocurre un intercambio Diffie-Hellman cada vez que una nueva SA es negociada.

El grupo DH que elige para Fase 2 no necesita coincidir con el grupo que elige para la Fase 1.

Cómo elegir un grupo Diffie-Hellman

El grupo DH predeterminado tanto para Fase 1 como para Fase 2 es el grupo Diffie-Hellman 1. Ese grupoofrece seguridad básica y buen desempeño. Si la velocidad para la inicialización del túnel y la regeneraciónde clave no es una preocupación, use el Grupo 2 o Grupo 5. La velocidad real inicialización y deregeneración de clave dependen de diversos factores. Puede querer intentar el Grupo DH 2 o 5 y luegodecidir si el tiempo de desempeño más lento es un problema para su red. Si el desempeño no es aceptable,cambie por un grupo DH inferior.

Análisis de desempeño

La siguiente tabla muestra el resultado de una aplicación de software que genera 2000 valores Diffie-Hellman. Esos números son para un CPU Pentium 4 Intel 1.7GHz.

Grupo DHNº de pares declaves

Tiempo necesarioTiempo por par declave

Grupo 1 2000 43 seg 21 ms

Grupo 2 2000 84 seg 42 ms

Grupo 5 2000 246 seg 123 ms

Editar y eliminar puertas de enlace

Para cambiar la definición de una puerta de enlace

1. Seleccione VPN > BOVPN.2. Seleccione la puerta de enlace y haga clic en Editar.

Aparece la página de configuraciones de Puerta de enlace.3. Realice los cambios y haga clic en Guardar.

Para eliminar una puerta de enlace, seleccione la puerta de enlace y haga clic en Remover.

Desactivar inicio automático de túnel

Los túneles BOVPN son automáticamente creados cada vez que se inicia el dispositivo WatchGuard. Puedequerer cambiar ese comportamiento predeterminado. Una razón común para cambiarlo sería si el extremoremoto usa un dispositivo de terceros que debe iniciar el túnel en vez del extremo local.

Para desactivar el inicio automático para túneles que usan una puerta de enlace

1. En el Fireware XTM Web UI, seleccione VPN> VPN de Sucursal.Aparece la página Configuración de VPN de Sucursal.

2. Seleccione la puerta de enlace y haga clic en Editar.Aparece la página Puerta de enlace.

3. Limpie la casilla de verificación Iniciar túnel de Fase 1 cuando Firebox se inicia en la parte inferiorde la página.

Si su Firebox está detrás de un dispositivo que hace NAT

El Firebox puede usar NAT Traversal. Eso significa que puede establecer túneles VPN si su ISP hace NAT(siglas en inglés para Traducción de Dirección de Red) o si la interfaz externa de su Firebox está conectada aun dispositivo que hace NAT. Recomendamos que la interfaz externa de Firebox tenga una dirección IPpública. Si eso no es posible, siga las instrucciones abajo.





Los dispositivos que no hacen NAT suelen tener algunas funciones básicas de firewall. Para establecer untúnel VPN hacia su Firebox cuando el Firebox está instalado detrás de un dispositivo que hace NAT, eldispositivo NAT debe dejar que pase el tráfico. Esos puertos y protocolos deben estar abiertos en eldispositivo NAT:

n Puerto UDP 500 (IKE)n Puerto UDP 4500 (NAT Traversal)n Protocolo IP 50 (ESP)

Vea la documentación de su dispositivo NAT para obtener información acerca de cómo abrir esos puertos yprotocolos en el dispositivo NAT.

Si la interfaz externa de su Firebox tiene una dirección IP privada, no puede usar una dirección IP como tipode ID local en las configuraciones de Fase 1.

n Si el dispositivo NAT al cual Firebox está conectado tiene una dirección IP pública dinámica:n Primero, defina el dispositivo en modo puente. Para más informaciones, veaModo

Bridge en la página 94. En modo puente, el Firebox obtiene la dirección IP pública en suinterfaz externa. Consulte la documentación para su dispositivo NAT para másinformación.

n Configure el DNS Dinámico en el Firebox. Para informaciones, vea Página Acerca deServicio DNS dinámico en la página 88. En las configuraciones de Fase 1 del Manual VPN,defina el tipo de ID local en Domain Name. Ingrese el domain name de DynDNS como elID local. El dispositivo remoto debe identificar su Firebox por domain name y debe usarel domain name DynDNS asociado a su Firebox en su configuración de Fase 1.

n Si el dispositivo NAT al cual Firebox está conectado tiene una dirección IP pública estática:n En las configuraciones de Fase 1 de la Manual VPN, defina en la lista desplegable el tipo

de ID local en Domain Name. Ingrese la dirección IP pública asignada a la interfaz externadel dispositivo NAT como ID local. El dispositivo remoto debe identificar su Firebox pordomain name y debe usar la misma dirección IP pública como domain name en suconfiguración de Fase 1.

Establezca túneles entre los extremos de puertasde enlaceDespués de definir los extremos de la puerta de enlace, puede establecer túneles entre ellos. Paraestablecer un túnel, debe:

n Definir un túneln Configuraciones de Fase 2 para la negociación de Intercambio de Claves de Internet (IKE). Esa fase

define las asociaciones de seguridad para el cifrado de paquetes de datos.

Definir un túnel

1. En el Fireware XTM Web UI, seleccione VPN> VPN para Sucursales.Aparece la página VPN de Sucursal.

2. Haga clic en Agregar al lado de la lista Túneles.Aparece el nuevo cuadro de diálogo Nuevo Túnel.





3. En el cuadro Nombre del túnel, ingrese un nombre para el túnel.Asegúrese de que no haya nombres idénticos de túneles, de grupo de Mobile VPN y de interfaz.

4. En la lista Puerta de enlace, seleccione la puerta de enlace a ser usada por este túnel.

5. Si desea agregar el túnel a las políticas BOVPN-Allow.in y BOVPN-Allow.out, seleccione la casillaAgregar este túnel a las políticas BOVPN-Allow. Esas políticas permiten todo el tráfico que coincidacon las rutas del túnel. Si desea restringir el tráfico a través del túnel, limpie esa casilla y crearpolíticas personalizadas para tipos de tráfico que desea autorizar que pase a través del túnel

Ahora puede Agregar rutas para un túnel, Configuraciones de Fase 2o Activar enrutamiento demultidifusión a través de un túnel BOVPN.

Editar y eliminar un túnel

Para alterar un túnel, seleccione VPN> Túneles para Sucursales seleccione VPN > BOVPN.

1. Seleccione el túnel y haga clic en Editar.Aparece la página "Túnel".

2. Realice las alteraciones y haga clic en Guardar.

Para eliminar un túnel de la página BOVPN, seleccione el túnel y haga clic en Remover.

Agregar rutas para un túnel

1. En la pestaña Direcciones del cuadro de diálogo Túnel, haga clic en Agregar.Aparece el cuadro de diálogo Configuraciones de Ruta de Túnel.

2. En la sección IP local, seleccione el tipo de dirección local en la lista desplegable Elegir tipo.Después, ingrese el valor en el cuadro de texto abajo. Puede ingresar una dirección IP de host,dirección de red, un rango de direcciones IP de host o nombre DNS.

3. En la sección IP remoto, seleccione el tipo de dirección remota en la lista desplegable Elegir tipo.Después, ingrese el valor en el cuadro de texto abajo. Puede ingresar una dirección IP de host,dirección de red, un rango de direcciones IP de host o nombre DNS.

4. En la lista desplegable Dirección, seleccione la dirección del túnel. La dirección del túnel determinacuál extremo del túnel VPN puede iniciar una conexión VPN a través del túnel.

5. Se puede usar la pestaña NAT para activar la 1-to-1 NAT y NAT dinámica para el túnel si los tipos dedirección y el sentido del túnel seleccionado son compatibles. Para más informaciones, veaConfigurar NAT dinámica saliente a través de un túnel BOVPN y Usar 1-to-1 NAT a través de untúnel BOVPN en la página 440.

6. Haga clic en OK.

Configuraciones de Fase 2

Las configuraciones de Fase 2 incluyen los ajustes para una asociación de seguridad (SA), que define cómolos paquetes de datos son protegidos cuando pasan entre dos extremos. La SA mantiene toda lainformación necesaria para que Firebox sepa qué debería hacer con el tráfico entre los extremos. Losparámetros en SA pueden incluir:















n Los algoritmos de cifrado y autenticación utilizados.n Duración de SA (en segundos o número de bytes, o ambos).n La dirección IP del dispositivo para el cual se establece la SA (el dispositivo que maneja el cifrado y

descifrado de IPSec en el otro lado de la VPN, no el PC por detrás que envía o recibe el tráfico).n Las direcciones IP de origen y de destino del tráfico al cual la SA se aplica.n Dirección del tráfico a la cual se aplica la SA (hay una SA para cada dirección de tráfico, entrante y

saliente).

1. En la página Túnel, haga clic en la pestaña Configuraciones de Fase 2.

2. Seleccione la casilla PFS si desea activar el Perfect Forward Secrecy (PFS). Si activa el PFS, seleccioneel grupo Diffie-Hellman.

El Perfect Forward Secrecy ofrece más protección a las claves creadas en una sesión. Las claveshechas con PFS no son hechas a partir de una clave anterior. Si una clave anterior estácomprometida después de una sesión, las claves de su nueva sesión quedan protegidas. Para másinformaciones, vea Acerca de los grupos Diffie-Hellman en la página 429.

3. El Firebox contiene una propuesta predeterminada que aparece en la lista Propuestas de IPSec. Esapropuesta especifica el método de protección de datos de ESP, cifrado AES y autenticación SHA1.Puede:

n Hacer clic en Agregar para agregar una propuesta predeterminada.n Seleccione una propuesta diferente en la lista desplegable y haga clic en Agregar.n Agregar una propuesta adicional, tal como se explica en Agregar una Propuesta de Fase 2 en

la página 436.

Si planea usar la función de puerto de transferencia IPSec, debe usar una propuesta con ESP (Carga deseguridad de encapsulación) como método de propuesta. El puerto de transferencia IPSec soporta ESP,pero no AH. Para más información acerca del puerto de transferencia IPSec, vea Acerca de lasconfiguraciones de VPN Global en la página 438.

Agregar una Propuesta de Fase 2

Se puede definir un túnel para ofrecer a un punto más de una propuesta para Fase 3 de IKE. Por ejemplo,se puede especificar ESP-3DES-SHA1 en un propuesta y ESP-DES-MD5 en la segunda propuesta. Cuando eltráfico pasa por el túnel, la asociación de seguridad puede usar o el ESP-3DES-SHA1 o el ESP-DES-MD5 paraque coincida con las configuraciones de transformación en el punto.

Se puede incluir un máximo de nueve propuestas.

Para agregar una nueva propuesta, haga clic en la pestaña Configuraciones de Fase 2 en el página Túnel .

Agregar una propuesta existente

Se puede elegir entre seis propuestas preconfiguradas. Los nombres siguen el formato <Type>-<Authentication>-<Encryption>. Para las seis, "Forzar caducidad de clave" está configurado en 8 horas ó128.000 kilobytes.

Para usar una de las seis propuestas preconfiguradas:

1. En la página Túneles en la sección Propuestas IPSec, seleccione la propuesta que desea añadir.2. Haga clic en Agregar.

Crear una nueva propuesta

1. En el Fireware XTM Web UI, seleccione VPN> VPN para Sucursales. En la sección Propuestas deFase 2, haga clic en Agregar.Aparece la página "Propuesta de Fase 2".





2. En el campo Nombre, ingrese un nombre para la nueva propuesta.

En el cuadro de texto Descripción, ingrese una descripción que identifique esa propuesta (opcional).3. En la lista desplegable Tipo, seleccione ESP o AH, como método de propuesta. Recomendamos que

use el ESP (Carga de seguridad de encapsulación). Las diferencias entre ESP y AH (Encabezado deautenticación) son:

n El ESP es una autenticación con cifrado.n El AH es sólo una autenticación. La autenticación de ESP no incluye la protección del

encabezado de IP, mientras que el AH sí lo incluye.n El puerto de transferencia IPSec soporta ESP, pero no AH. Si planea usar la función de puerto

de transferencia de IPSec, debe especificar el ESP como el método de propuesta. Para másinformación acerca del puerto de transferencia IPSec, vea Acerca de las configuraciones deVPN Global en la página 438.

4. En la lista desplegable Autenticación, seleccione SHA1,MD5 o Ninguno como el método deautenticación.

5. (Si seleccionó ESP en la lista desplegable Tipo) En la lista desplegable Cifrado, seleccione el métodode cifrado.Las opciones son DES, 3DES y AES de 128, 192 o 256 bits, que aparecen en la lista en orden del mássimple y menos seguro al más complejo y más seguro.

6. Para que los extremos de la puerta de enlace generen e intercambien nuevas claves después quepase un período de tiempo o cantidad de tráfico determinado, seleccione la casilla Forzar caducidadde clave En los campos abajo, ingrese un período de tiempo y un número de bytes después de loscuales una clave caduca.Si "Forzar caducidad de clave" está desactivado, o si está activado y la hora y el número de kilobytes

están puestos en cero, el Firebox intenta usar la hora del caducidad de la clave definida para elpunto. Si ésta también está desactivada o en cero, Firebox usa una hora predeterminada decaducidad de clave de 8 horas.El tiempo máximo antes de forzar la caducidad de clave es de un año.


Editar una propuesta

Sólo las propuestas definidas por usuario pueden ser editadas.

1. En el Fireware XTM Web UI, seleccione VPN> BOVPN.2. En la sección Propuestas de Fase 2, seleccione una propuesta y haga clic en Editar.3. Altere los campos tal como se describe en la sección Crear nueva propuesta de este tópico.

Cambiar el orden de túneles

El orden de los túneles VPN es especialmente importante cuando más de un túnel usa las mismas rutas ocuando las rutas se solapan. Un túnel en posición superior en la lista de túneles en el cuadro de diálogoTúneles IPSec para Sucursales tiene precedencia sobre el túnel de abajo, cuando el tráfico hace coincidirlas rutas de múltiples túneles.

Se puede cambiar el orden en el cual Firebox intenta las conexiones:

1. En el Fireware XTM Web UI, seleccione VPN> VPN para Sucursales.Aparece la página de configuración de BOVPN.

2. Seleccione un túnel y haga clic en Subir o Bajar para ir hacia arriba o abajo en la lista.

Acerca de las configuraciones de VPN GlobalPuede seleccionar configuraciones que se aplican a túneles BOVPN manuales, túneles BOVPNadministrados y túneles de Mobile VPN con IPSec.

1. En el Fireware XTMWeb UI, seleccione VPN > Configuraciones globales.Aparece la página Configuraciones globales de VPN.





2. Analice las configuraciones explicadas abajo para sus túneles VPN.

Activar puerto de transferencia IPSec

Para que un usuario haga conexiones de IPSec a un Firebox detrás de un Firebox diferente, debe mantenerla casilla de verificación Activar puerto de transferencia IPSec seleccionada. Por ejemplo, si los empleadosmóviles están en el local del cliente que tiene un Firebox, pueden usar el IPSec para hacer conexionesIPSec hacia su red. Para que el Firebox local permita correctamente la conexión de salida de IPSec, tambiéndebe agregar una política de IPSec al Policy Manager.

Cuando crea una propuesta de Fase 2 y planea usar la función de puerto de transferencia IPSec, debeespecificar el ESP (Carga de seguridad de encapsulación) como método de propuesta. El puerto detransferencia IPSec soporta IPSec, pero no AH (Encabezado de autenticación). Para informaciones acerca decómo crear una propuesta de Fase 2, vea Agregar una Propuesta de Fase 2 en la página 436.

Cuando activa el puerto de transferencia de IPSec, se agrega automáticamente una política llamadaWatchGuard IPSec al Policy Manager. La política permite el tráfico desde cualquier red de confianza uopcional hacia cualquier destino. Cuando desactiva el puerto de transferencia de IPSec, la políticaWatchGuard IPSec es automáticamente eliminada.

Activar TOS para IPSec

El Tipo de Servicio (TOS) es un conjunto de señaladores de cuatro bits en el encabezado del IP que puedesolicitar a los dispositivos de enrutamiento que den más o menos prioridad a un datagrama de IP que aotros. El Fireware le da la opción de permitir que los túneles IPSec limpien o mantengan las configuracionesen paquetes que tengan señaladores TOS. Algunos ISPs desechan todos los paquetes que tenganseñaladores TOS.

Si no seleccionar la casilla de verificación Activar TOS para IPSec, todos os paquetes IPSec no tienen losseñaladores TOS. Si los señaladores TOS fueron definidos anteriormente, ellos son removidos cuandoFireware encapsula el paquete en un encabezado IPSec.

Cuando está seleccionada la casilla de verificación Activar TOS para IPSec y el paquete original tieneseñaladores TOS y el Fireware los mantiene cuando encapsula el paquete en un encabezado IPSec. Si elpaquete original no tiene señaladores TOS definidos, Fireware no define el indicador TOS cuando encapsulael paquete en un encabezado IPSec.

Analice la configuración de esta casilla de verificación si desea aplicar un marcado QoS al tráfico de IPSec. Elmarcado QoS puede cambiar la configuración del señalador TOS. Para más informaciones sobre el marcadoQoS, vea Acerca de las Marcado QoS en la página 327.

Activar servidor LDAP para verificación de certificado

Al crear una puerta de enlace VPN, se especifica un método de credenciales para ser usado por los dosextremos de la VPN cuando se crea el túnel. Si elige usar un Firebox Certificate de IPSec, puede identificarun servidor de LDAP que valide el certificado. Ingrese la dirección IP para el servidor de LDAP. Tambiénpuede especificar un puerto si desea usar uno diferente del 389.

Esa configuración no se aplica a los túneles de Mobile VPN con IPSec.

Usar 1-to-1 NAT a través de un túnel BOVPNCuando crea un túnel VPN de sucursal entre dos redes que usan el mismo rango de direcciones IP privadas,ocurre un conflicto de direcciones IP. Para crear un túnel sin ese conflicto, ambas redes deben aplicar la 1-to-1 NAT a la VPN. La 1-to-1 NAT hace que las direcciones IP en sus equipos parezcan ser diferentes de lasverdaderas direcciones IP cuando el tráfico pasa por la VPN.

La1-to-1 NATasigna unao másdirecciones IP en un rango aun segundo rango de dirección IP del mismotamaño.Cada dirección IP en el primer rango asignaa unadirección IP en el segundo rango.En estedocumento, llamamos al primer rangode direcciones IP reales y al segundo rangodirecciones IPenmascaradas.Para más informaciones acercade 1-to-1 NAT, veaAcerca de las 1-to-1 NAT en la página142.

1-to-1 NAT y VPNs

Cuando usa 1-to-1 NAT a través de un túnel BOVPN:

n Cuando un equipo en su red envía tráfico a un equipo en la red remota, el Firebox cambia ladirección IP de origen del tráfico para una dirección IP en el rango de IPs enmascaradas. La redremota ve las direcciones IP enmascaras como el origen del tráfico.

n Cuando un equipo en la red remota envía tráfico a un equipo en su red a través de VPN, la oficinaremota envía el tráfico al rango de dirección de IP enmascarada. El Firebox cambia la dirección IP dedestino a la dirección correcta en el rango de dirección IP real y después envía el tráfico al destinocorrecto.

La 1-to-1 NAT por una VPN sólo afecta el tráfico que pasa por esa VPN. Las reglas que ve en Fireware XTMWeb UIRed >NAT no afectan al tráfico que pasa por una VPN.





Otras razones por las cuales usar una 1-to-1 NAT por una VPN

Además de la situación anterior, también podría usar una 1-to-1 NAT por una VPN si la red a la cual deseaestablecer un túnel VPN ya tiene una VPN a una red que usa las mismas direcciones IP privadas usadas ensu red. Un dispositivo IPSec no puede enrutar tráfico a dos redes remotas diferentes cuando dos redes usanlas mismas direcciones IP privadas. Se usa 1-to-1 NAT por VPN para que los equipos en su red parezcantener direcciones IP diferentes (enmascaradas). No obstante, al contrario de la situación descrita alprincipio de este tópico, necesita usar el NAT sólo en su lado de la VPN y no en ambos extremos.

Una situación similar se da cuando dos oficinas remotas usan las mismas direcciones IP privadas y ambasdesean hacer una VPN hacia su Firebox. En ese caso, una de las oficinas remotas debe usar NAT por la VPNhacia su Firebox para solucionar el conflicto de direcciones IP.

Alternativa al uso de NAT

Si su oficina usa un rango de direcciones IP privadas común, tal como 192.168.0.x ó 192.168.1.x, es muyprobable que tendrá problema de conflictos con direcciones IP en el futuro. Esos rangos de direcciones IPsuelen ser usados por enrutadores de banda ancha u otros dispositivos electrónicos en pequeñas oficinas oen casa. Debería considerar la posibilidad de cambiar hacia un rango de direcciones IP privadas menoscomún, tal como 10.x.x.x ó 172.16.x.x.

Cómo configurar la VPN

1. Seleccione un rango de direcciones IP que sus equipos muestren como direcciones IP de origencuando el tráfico viene desde su red y va hacia la red remota a través de la BOVPN. Consulte eladministrador de red acerca de la otra red para seleccionar un rango de direcciones IP que no estéen uso. No use ninguna dirección IP de:

n La red de confianza, opcional o externa conectada a su Fireboxn Una secondary network conectada a la interfaz externa, opcional o de confianza de su Fireboxn Una red enrutada configurada en su política Firebox (Red > Rutas)n Redes a las cuales ya tiene un túnel BOVPNn Grupos de direcciones IP virtuales de Mobile VPNn Redes que pueden ser alcanzadas por el dispositivo IPSec a través de sus interfaces, rutas de

red o rutas de VPN

2. Definir puertas de enlace para los dispositivos Firebox local y remoto.3. Establezca túneles entre los extremos de puertas de enlace. En el cuadro de diálogo Configuraciones

de Ruta de Túnel para cada Firebox, seleccione la casilla de verificación 1-to-1 NAT e ingrese surango de direcciones IP enmascaradas en el cuadro de texto al lado.

El número de direcciones IP en el cuadrode texto debe ser exactamente elmismo que el númerodedirecciones IP en el cuadro de texto Localen el topo del cuadro de diálogo. Por ejemplo, si usa lanotación diagonal para indicar un subred, el valor despuésde labarra diagonal debe ser igual enambos cuadros de texto. Paramás informaciones, vea Acerca de lasNotación diagonalen lapágina 3.

No es necesario definir nada en las configuraciones Red> NAT en el Fireware XTM Web UI. Esasconfiguraciones no afectan el tráfico de VPN.

Ejemplo

Supongamos que dos empresas, Sitio A y Sitio B, desean hacer una VPN de Sucursal entre sus redes deconfianza. Ambas empresas usan un Firebox con Fireware XTM. Ambas empresas usan las mismasdirecciones IP para sus redes de confianza, 192.168.1.0/24. El Firebox de cada empresa usa una 1-to-1 NATa través de la VPN. El Sitio A envía tráfico al rango enmascarado del Sitio B y el tráfico sale de la subred localdel Sitio A. Además, el Sitio B envía tráfico al rango enmascarado que el Sitio A utiliza. Esa solución resuelveel conflicto de direcciones IP en ambas redes. Las dos empresas aceptan que:

n El Sitio A hace que su red de confianza parezca venir del rango 192.168.100.0/24 cuando el tráficopasa por la VPN. Ese es el rango de direcciones IP enmascaradas de Sitio B para esa VPN.

n El Sitio B hace que su red de confianza parezca venir del rango 192.168.200.0/24 cuando el tráficopasa por la VPN. Ese es el rango de direcciones IP enmascaradas de Sitio B para esa VPN.

Definir una puerta de enlace de Sucursal en cada Firebox

El primer paso es crear una puerta de enlace que identifique el dispositivo IPSec remoto. Cuando crea unapuerta de enlace, ella aparece en la lista de puertas de enlace en Fireware XTM Web UI. Para ver a lista depuertas de enlace en el Fireware XTM Web UI, seleccione VPN> VPN de Sucursal.

Configurar el túnel local

1. En el Fireware XTM Web UI, seleccione VPN> VPN de Sucursal.Aparece la página VPN de Sucursal.

2. En la sección Túnel de la página BOVPN, haga clic en Agregar.Aparece la página de configuraciones Túnel.





3. Dar un nombre descriptivo al túnel. El ejemplo usa "TúnelPara_SitioB".4. En la lista desplegable Puerta de enlace, seleccione la puerta de enlace que señala el dispositivo

IPSec de la oficina remota. El ejemplo usa la puerta de enlace denominada "SitioB".5. Examinar la pestaña Configuraciones de Fase 2. Asegúrese de que las configuraciones de Fase 2

coincidan con las que la oficina remota usa para Fase 2.6. Haga clic en la pestaña Direcciones y haga clic en Agregar para agregar el par local-remota.

Aparece el cuadro de diálogo Configuraciones de Ruta de Túnel.

7. En la sección IP local , seleccione IP de red en la lista desplegable Elegir tipo. En IP de red , ingreseel rango de direcciones IP reales de los equipos locales que usan ese VPN. Este ejemplo usa192.168.1.0/24.

8. En la sección Remoto, seleccione IP de red en la lista desplegable Elegir tipo. En el cuadro de textoIP de red ingrese el rango de direcciones IP privadas a las cuales los equipos locales envían tráfico.

En este ejemplo, el Sitio B de oficina remota usa 1-to-1 NAT por su VPN. Eso hace que los equiposdel Sitio B parezcan venir del rango enmascarado del Sitio B, 192.168.200.0/24. Los equipos localesen Sitio A envían tráfico al rango de dirección IP enmascarado del Sitio B. Si la red remota no usaNAT por su VPN, ingrese el rango de direcciones IP reales en el cuadro de texto Remoto.

9. Haga clic en la pestañaNAT. Seleccione la casilla de verificación 1-to-1 NAT e ingrese el rango dedirecciones IP enmascaradas para esa oficina. Ese es el rango de direcciones IP que los equiposprotegidos por ese Firebox muestran como dirección IP de origen, cuando el tráfico viene de eseFirebox y va hacia el otro extremo de la VPN. La casilla de verificación 1-to-1 NAT queda activadadespués que inserta una dirección IP de host válida, una dirección IP de red válida o un rango dedirecciones IP de host válido en el cuadro de texto Local en la pestaña Direcciones.) El Sitio A usa192.168.100.0/24 para su rango de direcciones IP enmascaradas.





10. Haga clic en OK. El Firebox agrega un nuevo túnel a las políticas BOVPN-Allow.out y BOVPN-Allow.in.11. Guardar el archivo de configuración.

Si necesita una 1-to-1 NAT en su extremo de la VPN solamente, puede parar aquí. El dispositivo en el otroextremo de la VPN debe configurar su VPN para aceptar tráfico desde su rango enmascarado.

Configurar el túnel remoto

1. Siga los pasos 1 - 6 en el procedimiento anterior para agregar el túnel en el Firebox remoto.Asegúrese de hacer que las configuraciones de Fase 2 coincidan.

2. En la sección IP local , seleccione IP de red en la lista desplegable Elegir tipo. En el cuadro de textoIP de red , , ingrese el rango de direcciones IP reales de los equipos locales que usan esa VPN. Esteejemplo usa 192.168.1.0/24.

3. En la sección IP local , seleccione IP de red en la lista desplegable Elegir tipo. En el cuadro de textoIP de red, ingrese el rango de direcciones IP privadas a las cuales los equipos remotos envían tráfico.En nuestro ejemplo, el Sitio A hace una 1-to-1 NAT a través de esa VPN. Eso hace que los equipos enSitio A parezcan venir de su rango enmascarado, 192.168.100.0/24. Los equipos locales en Sitio Benvían tráfico al rango de dirección IP enmascarado del Sitio A.

4. Haga clic en la pestañaNAT. Seleccione la casilla de verificación 1-to-1 NAT e ingrese el rango dedirecciones IP enmascaradas de ese sitio. Ese es el rango de direcciones IP que los equipos de eseFirebox muestran como dirección IP de origen, cuando el tráfico viene de ese Firebox y va al otroextremo del VPN. El Sitio B usa 192.168.200.0/24 para su rango de direcciones IP enmascaradas.

5. Haga clic en OK. El Firebox agrega un nuevo túnel a las políticas BOVPN-Allow.out y BOVPN-Allow.in.





Definir una ruta para todo el tráfico hacia InternetCuando permite que los usuarios remotos accedan a Internet a través de un túnel VPN, la configuraciónmás segura es requerir que todo el tráfico de Internet sea enrutado a través de un túnel VPN hacia elFirebox. Desde el Firebox, el tráfico luego es enviado de vuelta a Internet. Con esa configuración (conocidacomo ruta de concentrador o VPN de ruta predeterminada), el Firebox puede examinar todo el tráfico yofrecer mayor seguridad, aunque se use más potencia de procesamiento y ancho de banda en el Firebox.Al usar una VPN de ruta predeterminada, una política de NAT dinámica debe incluir el tráfico saliente de lared remota. Eso permite que usuarios remotos naveguen en Internet cuando envían todo el tráfico hacia elFirebox.

Cuando defina una ruta predeterminada a través de un túnel BOVPN, se deben hacer tres cosas:

n Configurar una BOVPN en el Firebox remoto (cuyo tráfico desea enviar a través del túnel) paraenviar todo el tráfico desde su propia dirección de red hacia 0.0.0.0/0.

n Configurar una BOVPN en el Firebox central para permitir que el tráfico pase por él hacia el Fireboxremoto.

n Agregar una ruta en el Firebox central desde 0.0.0.0/0 hacia la dirección de red del Firebox remoto.

Antes de empezar los procedimientos en este tópico, ya se debe haber creado una Branch Office VPN(BOVPN) manual entre los Fireboxes central y remoto. Para más información acerca de cómo hacer eso,vea Acerca de túneles BOVPN manuales en la página 418.

Configurar el túnel BOVPN en el Firebox remoto

1. Inicie sesión en el Web UI para el Firebox remoto.2. Seleccione VPN >Branch Office VPN (BOVPN). Encuentre el nombre del túnel hacia el Firebox

central y haga clic en Editar.Aparece la página "Túnel".

3. Haga clic en Agregar.Aparece el cuadro de diálogo Configuraciones de Ruta de Túnel.

4. En IP local, en el cuadro de texto IP del host, ingrese la dirección de red de confianza del Fireboxremoto.

5. En IP remoto, seleccione IP de red en la lista desplegable Elegir tipo. En el cuadro de texto IP dehost, ingrese 0.0.0.0/0 y haga clic en Aceptar.

6. Seleccione cualquier otro túnel hacia el Firebox central y haga clic en Remover.7. Haga clic en Guardar para guardar el cambio de configuración.

Configurar el túnel BOVPN en el Firebox central

1. Inicie sesión en el Web UI para el Firebox central.2. Seleccione VPN >Branch Office VPN (BOVPN). Encuentre el nombre del túnel hacia el Firebox

remoto y haga clic en Editar.Aparece la página "Túnel".

3. Haga clic en Agregar.Aparece el cuadro de diálogo Configuraciones de Ruta de Túnel.

4. Haga clic en el botón al lado de la lista desplegable Local. Seleccione IP de red en la listadesplegable Elegir tipo. Ingresar 0.0.0.0/0 para Valor y haga clic en Aceptar. En IP local, seleccioneIP de red en la lista desplegable Elegir tipo. En el cuadro de texto IP de host , ingrese 0.0.0.0/0.

5. En el cuadro Remoto, ingrese la dirección de red de confianza del Firebox remoto y haga clic enAceptarEn IP remoto, ingrese la dirección de red de confianza del Firebox remoto y haga clic enAceptar

6. Seleccione cualquier otro túnel hacia el Firebox remoto y haga clic en Remover.7. Haga clic en Aceptar y Guardar el archivo de configuración. Haga clic en Guardar para guardar el

cambio de configuración.





Agregar una entrada de NAT dinámica en el Firebox central

Para permitir que un equipo con dirección IP privada acceda a Internet a través del Firebox, se debeconfigurar el Firebox central para que use NAT dinámica. Con la NAT dinámica, el Firebox reemplaza ladirección IP privada incluida en un paquete enviado desde un PC protegido por Firebox con la dirección IPpública del propio Firebox. Por defecto, la NAT dinámica está habilitada y activa para tres direcciones de redprivada aprobadas por RFC:

192.168.0.0/16 - Cualquiera-Externa172.16.0.0/12 - Cualquiera-Externa10.0.0.0/8 - Cualquiera-Externa

Cuando configura una ruta predeterminada a través de un túnel Branch Office VPN (BOVPN) hacia otroFirebox, debe agregar una entrada de NAT dinámica para la subred detrás del Firebox remoto si susdirecciones IP no se encuentran dentro de uno de los tres rangos de red privada.

1. En el Fireware XTM Web UI, seleccione Red> NAT.Aparece la página NAT.

2. En la sección NAT Dinámica de la páginaNAT, haga clic en Agregar.Aparece la página de configuración de NAT Dinámica.

3. En la sección De, seleccione IP de red en la lista desplegableTipo de miembro.4. Inserte la dirección IP de red de la red detrás del Firebox remoto.5. En la sección Para, seleccione Cualquiera-externo en la segunda lista desplegable.6. Haga clic en Guardar.

Activar enrutamiento de multidifusión a través deun túnel BOVPNPuede activar un enrutamiento de multidifusión a través de un túnel BOVPN para suportar streams demultidifusión de una dirección entre las redes protegidas por los dispositivos WatchGuard. Por ejemplo,puede usar un enrutamiento de multidifusión a través de un túnel BOVPN para reproducir medios porstream de un servidor de video por demanda (VOD) a los usuarios en la red en el otro extremo de un túnelBranch Office VPN (BOVPN).

AdvertenciaEl enrutamiento de multidifusión a través de un túnel BOVPN sólo es soportadoentre dispositivos WatchGuard.

Cuando activa el enrutamiento de multidifusión a través de un túnel BOVPN, el túnel envía el tráfico demultidifusión desde una única dirección IP en un lado del túnel a una dirección IP de grupo demultidifusión. Se configura la multidifusión en el túnel para enviar el tráfico de multidifusión a esa direcciónIP de grupo de multidifusión a través del túnel.

Debe configurar lamultidifusión en cada Firebox de mododiferente. Debe configurar el túnel en un Fireboxparaenviar el tráfico demultidifusión através del túnel y hacer las configuraciones del túnel en el otroFirebox para recibir el tráfico de multidifusión.Puede configurar sólo unadirección IP de origenpor túnel.





Al activar el enrutamiento de multidifusión a través de un túnel BOVPN, el dispositivo WatchGuard crea untúnel GRE dentro del túnel VPN de IPSec entre las redes. El Firebox envía el tráfico de multidifusión a travésdel túnel GRE. El túnel GRE requiere una dirección IP no utilizada en cada extremo del túnel. Debeconfigurar direcciones IP auxiliares para cada extremo del túnel BOVPN.

Activar un dispositivo WatchGuard para enviar tráfico demultidifusión a través de un túnel

En el Firebox desde el cual se envía el tráfico de multidifusión, edite la configuración de túnel para activar eldispositivo para que envíe tráfico de multidifusión a través del túnel BOVPN.

1. En el Fireware XTM Web UI, seleccione VPN> VPN de Sucursal.

2. Seleccione un túnel y haga clic en Editar.3. De la página Túnel, haga clic en la pestaña Configuraciones de multidifusión.

4. Seleccione la casilla de verificación Activar enrutamiento de multidifusión a través del túnel5. En el cuadro de texto IP de origen , ingrese la dirección IP del originador de tráfico.6. En el cuadro de texto IP de grupo , ingrese la dirección IP de multidifusión para recibir el tráfico.

7. Seleccione el botón de radio Activar dispositivo para enviar tráfico de multidifusión.8. En la lista desplegable Interfaz de entrada, seleccione la interfaz desde la cual se origina el tráfico

de multidifusión.9. Haga clic en la pestaña Direcciones.

Aparecen las configuraciones Extremos de túnel de difusión/multidifusión en la parte inferior de la pestaña

Direcciones.

10. En la sección Direcciones auxiliares , ingrese las direcciones IP para cada extremo del túnel demultidifusión. El Firebox usa esas direcciones como extremos de túnel GRE dedifusión/multidifusión dentro del túnel BOVPN de IPSec. Puede definir el IP local y el IP remoto encualquier dirección IP no utilizada. Recomendamos que use direcciones IP que no sean usadas enninguna red conocida por Firebox.

n En el campo IP local, ingrese una dirección IP para ser usada por el extremo local del túnel.n Enel campo IP remoto, ingrese unadirección IP paraser usadapor el extremo remotodel túnel.





Active el otro dispositivo WatchGuard para recibir tráfico demultidifusión a través de un túnel

En el Firebox en la red en la cual desea recibir el tráfico de multidifusión, configure la multidifusión paraactivar el dispositivo para que reciba tráfico de multidifusión a través del túnel.

1. En el Fireware XTM Web UI, seleccione VPN> VPN para Sucursales.

2. Seleccione un túnel y haga clic en Editar.3. De la página Túnel, haga clic en la pestaña Configuraciones de multidifusión.4. Seleccione la casilla de verificación Activar enrutamiento de multidifusión a través del túnel5. En el campo IP de origen , ingrese la dirección IP del originador de tráfico.6. En el campo IP de grupo, ingrese la dirección IP de multidifusión para recibir el tráfico.7. Seleccione el botón de radio Activar dispositivo para recibir tráfico de multidifusión.8. Use las casillas de verificación para seleccionar cuáles interfaces reciben el tráfico de multidifusión.9. Haga clic en la pestaña Direcciones.

Aparecen las configuraciones Extremos de túnel de difusión/multidifusión en la parte inferior de la pestaña

Direcciones.10. En la sección Direcciones auxiliares, ingrese las direcciones IP opuestas insertadas en la

configuración del otro extremo del túnel.

n En el campo IP local, ingrese la dirección IP que insertó en el campo IP remoto para el Fireboxen el otro extremo del túnel.

n En el campo IP remoto, ingrese la dirección IP que insertó en el campo IP Local para el Fireboxen el otro extremo del túnel.

Activar el enrutamiento de difusión a través de untúnel BOVPN

Nota El enrutamiento de difusión a través de un túnel BOVPN sólo es soportado entredispositivos WatchGuard.

Puede configurar su Firebox para que soporte enrutamiento de difusión limitado a través de un túnelBranch Office VPN (BOVPN). Cuando activa el enrutamiento de difusión, el túnel soporta la difusión paradirecciones IP de difusión limitada, 255.255.255.255. El tráfico de difusión de subred no es enrutado por eltúnel. El enrutamiento de difusión soporta la difusión sólo de una red a otra a través de un túnel BOVPN.

El enrutamiento de difusión a través de un túnel BOVPN no soporta estos tipos de difusión:

n Difusión de Protocolo DHCP/Bootstrap (bootp)n Difusión de NetBIOSn Difusión de Bloqueo de Mensajes del Servidor (SMB)

Para un ejemplo que muestre cuáles difusiones pueden ser enrutadas a través de un túnel BOVPN, veaEjemplo: Enrutamiento de difusión a través de un túnel BOVPN.

Algunas aplicaciones de software requieren la posibilidad de hacer la difusión hacia otros dispositivos dered para que funcionen. Si los dispositivos que necesitan comunicarse de esa forman están en redesconectadas por un túnel BOVPN, puede activar el enrutamiento de difusión a través del túnel para que laaplicación pueda encontrar dispositivos en la red en el otro extremo del túnel.

Al activar el enrutamiento de difusión a través de un túnel BOVPN, el dispositivo WatchGuard crea un túnel GRE dentro del túnel VPN de IPSec entre las redes. El Firebox envía el tráfico de difusión a través del túnel GRE. El túnel GRE requiere una dirección IP no utilizada en cada extremo del túnel. Por lo tanto, debeconfigurar direcciones IP auxiliares para cada extremo del túnel BOVPN.

Activar el enrutamiento de difusión para el Firebox local

1. En el Fireware XTM Web UI, seleccione VPN> VPN de Sucursal.

2. Seleccione un túnel y haga clic en Editar.3. De la página Túnel, seleccione la ruta de túnel y haga clic en Editar.

Aparece el cuadro de diálogo Configuraciones de Ruta de Túnel.

4. Haga clic en la casilla de verificación Activar enrutamiento de difusión por el túnel. Haga clic en OK.Vuelva al cuadro de diálogo página Túnel. Aparecen Direcciones auxiliares en la parte inferior de la pestañaDirecciones.





5. En la sección Direcciones auxiliares, ingrese las direcciones IP para cada extremo del túnel dedifusión. El Firebox usa esas direcciones como extremos de túnel GRE de difusión/multidifusióndentro del túnel BOVPN de IPSec. Puede definir el IP local y el IP remoto en cualquier dirección IPno utilizada. Recomendamos que use direcciones IP que no sean usadas en ninguna red conocidapor Firebox.

n En el campo IP local, ingrese una dirección IP para ser usada por el extremo local del túnel.n Enel campo IP remoto, ingrese unadirección IP paraser usadapor el extremo remotodel túnel.

Configurar enrutamiento de difusión para el Firebox en el otroextremo del túnel

1. Repita los pasos 1-4 arriba para activar el enrutamiento de difusión para el Firebox en el otroextremo del túnel.

2. En la sección Direcciones auxiliares, ingrese las direcciones opuestas insertadas en la configuracióndel otro extremo del túnel.

n En el campo IP local, ingrese la dirección IP que insertó en el campo IP remoto para el Fireboxen el otro extremo del túnel.

n En el campo IP remoto, ingrese la dirección IP que insertó en el campo IP Local para el Fireboxen el otro extremo del túnel.

Configurar Failover de VPNLa conmutación por error (failover) es una función importante de redes que necesitan alta disponibilidad.

Cuando tiene una conmutación por error de WAN múltiple configurada, los túneles VPN automáticamentehacen la conmutación por error hacia una interfaz externa de resguardo, caso ocurra una falla. Puedeconfigurar túneles VPN para hacer conmutación por error a un extremo de resguardo si el extremoprincipal queda no disponible.

Ocurre un failover de VPN cuando se da uno de esos dos eventos:

n Un enlace físico está inactivo. El Firebox monitorea el estado de la puerta de enlace de la VPN y losdispositivos identificados en la configuración del monitor de enlace de WAN múltiple. Si en enlacefísico está inactivo, ocurre un failover de VPN.

n El Firebox detecta el par de VPN que no esté activo.

Cuando ocurre una conmutación por error, si el túnel usa el IKE keep-alive, éste continúa a enviar lospaquetes activos de Fase 1 al punto. Cuando obtiene una respuesta, IKE desencadena la failback hacia lapuerta de enlace de la VPN principal. Si el túnel usa Dead Peer Detection, la failback ocurre cuando serecibe una respuesta de una puerta de enlace de la VPN principal.

Cuando ocurre un evento de conmutación por error, gran parte de las conexiones nuevas y existenteshacen la conmutación por error automáticamente. Por ejemplo, si inicia un comando "PUT" de FTP y la rutade la VPN principal queda inactiva, la conexión de FTP continua en la ruta de la VPN de resguardo. No se haperdido la conexión, pero hay demora. Observe que sólo puede ocurrir un failover de VPN si:

n Los dispositivos Firebox en cada extremo del túnel tienen el Fireware v11.0 o posterior instalado.n La conmutación por error de WAN múltiples está configurada, tal como se describe en Acerca de

usar múltiples interfaces externas en la página 119.n Las interfaces de su Firebox figuran como pares de puerta de enlace en el Firebox remoto. Si ya

configuró la conmutación por error de WAN múltiples, sus túneles VPN automáticamente harán laconmutación por error hacia la interfaz de resguardo.

n Si la puerta de enlace está activada en las configuraciones de Fase 1 para la puerta de enlace desucursal en cada extremo del túnel.

El failover de VPN no ocurre para los túneles BOVPN con NAT dinámica habilitada como parte de suconfiguración de túnel. Para los túneles BOVPN que no usan NAT, el failover de VPN ocurre y la sesión deBOVPN continua. Con los túneles de Mobile VPN, la sesión no continúa. Debe autenticar su cliente deMobile VPN nuevamente para hacer un nuevo túnel de Mobile VPN.

Definir múltiples pares de puertas de enlace

Para configurar túneles BOVPN manualmente para que hagan la conmutación por error hacia un extremode resguardo, se debe definir más de un conjunto de extremos local y remoto (pares de puertas de enlace)para cada puerta de enlace. Para la funcionalidad completa de conmutación por error para unaconfiguración de VPN, debe definir pares de puerta de enlace para cada combinación de interfaces





externas en cada lado del túnel. Por ejemplo, suponga que su extremo local principal sea 23.23.1.1/24 conun resguardo en 23.23.2.2/24. Su extremo remoto principal es el 50.50.1.1/24 con un resguardo en50.50.2.1/24. Para un failover completo de VPN, necesitaría definir esos cuatro pares de puertas de enlace:

23.23.1.1 - 50.50.1.1

23.23.1.1 - 50.50.2.1

23.23.2.1 - 50.50.1.1

23.23.2.1 - 50.50.2.1

1. Seleccione VPN >VPN para sucursales . Haga clic en Agregar al lado de la listaPuertas de enlacepara agregar una nueva puerta de enlace. Asigne un nombre a la puerta de enlace y defina elmétodo de credenciales, tal como se describe en Definir puertas de enlace en la página 421.

2. En la sección Extremos de la Puerta de enlace la página de configuraciones Puerta de enlace., hagaclic en Agregar.El Aparece el cuadro de diálogo "Configuraciones de extremos de puerta de enlace".

3. Especifique la ubicación de las puertas de enlace local y remota. Seleccione el nombre de la interfazexterna que coincida con la dirección IP o domain name de puerta de enlace local que agregue.Se puede agregar tanto una dirección IP como un ID de puerta de enlace para la puerta de enlace

remota. Eso puede ser necesario si la puerta de enlace remota está detrás de un dispositivo NAT yrequiera más información para autenticarse en la red detrás del dispositivo NAT.

4. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuraciones de extremos de la nuevapuerta de enlace.El Aparece el cuadro de diálogo "Puerta de enlace". Aparece el par de la puerta de enlace definido en la listade extremos de la puerta de enlace.

5. Repita ese procedimiento para definir pares adicionales de puertas de enlace. Se puede agregarhasta nueve pares de puertas de enlace. Puede seleccionar un par y hacer clic en Subir o Bajar paracambiar el orden en el cual Firebox intenta establecer conexiones.


Vea Estadísticas de VPNPuede usar el Fireware XTM Web UI para monitorear el tráfico de la VPN de Firebox y solucionar losproblemas de configuración de la VPN.

1. Seleccione Estado del sistema> Estadísticas deVPN.Aparece la página "Estadísticas de VPN".

2. Para forzar el túnel BOVPN a regenerar una clave, haga clic en el botón Regenerar clave para túnel BOVPN seleccionado.

Para más informaciones, vea Regenerar clave de túneles BOVPN en la página 458.

3. Para ver información adicional para usar en la solución de problemas, haga clic en Depurar.

Para más informaciones, vea Estadísticas de VPN en la página 382.

Regenerar clave de túneles BOVPNLos extremos de la puerta de enlace de los túneles BOVPN deben generar e intercambiar nuevas claves seadespués de un período de tiempo determinado o después que una cantidad de tráfico pase por el túnel. Sidesea generar nuevas claves inmediatamente antes que caduquen, puede regenerar nueva clave para untúnel BOVPN para forzarlo a caducar inmediatamente. Eso puede ser útil cuando se está solucionandoproblemas en el túnel.

Para regenerar clave para un túnel BOVPN:

1. Seleccione Estado del sistema> VPN Estadística.Aparece la página Estadística de VPN.

2. En la tabla Túneles VPN para Sucursales, haga clic en un túnel para seleccionarlo.3. Haga clic en Regenerar clave de túnel BOVPN seleccionado.





Preguntas relacionadas

¿Por qué necesito una dirección externa estática?

Para establecer una conexión de VPN, cada dispositivo debe conocer la dirección IP del otro dispositivo. Sila dirección para un dispositivo es dinámica, la dirección IP puede cambiar. Si la dirección IP cambia, no sepueden establecer las conexiones entre los dispositivos excepto si los dos dispositivos saben comoencontrarse mutuamente.

Puede usar un DNS Dinámico si no puede obtener una dirección IP externa. Para más informaciones, veaPágina Acerca de Servicio DNS dinámico en la página 88.

¿Cómo obtengo una dirección IP externa estática?

Obtiene la dirección IP externa para su PC o red junto a su administrador de red o ISP. Muchos ISPs usandirecciones IP dinámicas para facilitar la configuración de sus redes y la utilización por muchos usuarios. Lamayoría de los ISPs puede ofrecerle una dirección IP estática como una opción.

¿Cómo soluciono problemas de la conexión?

Si puede enviar un ping a la interfaz de confianza del Firebox remoto y a equipos en la red remota, el túnelVPN está activo. Otra causa posible de otros problemas es la configuración del software de red o de lasaplicaciones de software.

¿Por qué el ping no está funcionando?

Si no puede enviar un ping a la dirección IP de interfaz local del Firebox remoto, siga estos pasos:

1. Envíe un ping a la dirección externa del Firebox remoto.

Por ejemplo, en el Sitio A, envíe un ping a la dirección IP del Sitio B. Si no recibe una respuesta,asegúrese de que estén correctas las configuraciones de la red externa del Sitio B. El Sitio B debe serconfigurado para responder a las solicitudes de ping en aquella interfaz. Si las configuraciones estácorrectas, asegúrese que los equipos en el Sitio B tengan conexión a Internet. Si los equipos en elSitio B no logran conectarse, hable con su administrador de red o ISP.

2. Si puede enviar un ping a la dirección externa de cada Firebox, intente enviar un ping a la direcciónlocal en la red remota.

Desde un equipo en el Sitio A, envíe un ping a la dirección IP de la interfaz interna del Fireboxremoto. Si el túnel VPN está activo, el Firebox remoto retorna el ping. Si no recibe una respuesta,asegúrese de que la configuración local esté correcta. Cerciórese de que los rangos de dirección deDHCP local para las dos redes conectadas por el túnel VPN no usan direcciones IP similares. Las dosredes conectadas por el túnel no deben usar las mismas direcciones IP.

¿Cómo configuro más que el número de túneles VPN permitidoen mi Edge?

El número de túneles VPN que pueden ser creados en su Firebox X Edge E-Series es determinado por elmodelo Edge que tiene. Puede adquirir la actualización de un modelo para su Edge para hacer más túnelesVPN junto a un revendedor o en el sitio web de WatchGuard:http://www.watchguard.com/products/purchaseoptions.asp

Mejorar la disponibilidad del túnel BOVPNHay instalaciones de BOVPN en las cuales todas las configuraciones está correctas, pero las conexiones deBOVPN no siempre funcionan correctamente. Puede usar la información abajo para ayudarlo a solucionarlos problemas de disponibilidad de túneles de BOVPN. Esos procedimientos no mejoran el desempeñogeneral de los túneles BOVPN.

Gran parte de los túneles BOVPN permanecen disponibles para el pasaje de tráfico en todos los momentos.Los problemas suelen estar asociados a una o más de estas tres condiciones:

n Una o ambas extremidades poseen conexiones externas no confiables. Alta latencia, altafragmentación de paquetes y alta pérdida de paquetes pueden convertir una conexión en noconfiable. Esos factores tienen un impacto más fuerte en el tráfico de BOVPN que en otro tráficocomún, como HTTP y SMTP. Con el tráfico de BOVPN, los paquetes cifrados deben llegar a laextremidad de destino, ser decodificados y luego rearmados antes que el tráfico no cifrado seaenrutado a la dirección IP de destino.

n Un extremo no es un dispositivo WatchGuard o es uno más antiguo con un software de sistemaanterior. Las pruebas de compatibilidad entre los productos WatchGuard y dispositivos más antiguosse hacen con el software más reciente disponible para dispositivos más antiguos. Con el softwaremás antiguo puede haber problemas que ya hayan sido arreglados en la versión más reciente delsoftware.Como están basados en el estándar IPSec, los dispositivos WatchGuard son compatibles con lamayoría de los extremos de terceros. No obstante, algunos dispositivos de extremos de terceros noson compatibles con IPSec debido a problemas de software o configuraciones con derechos deautor.

n Si hay un volumen bajo de tráfico a través del túnel o si hay largos períodos de tiempo sin que pasetráfico por el túnel, algunos extremos terminan la conexión de la VPN. Los dispositivos WatchGuardque ejecutan los dispositivos Fireware y WatchGuard Edge no hacen eso. Algunos dispositivos deterceros y dispositivos WatchGuard con versiones más antiguas del software WFS usan esa condicióncomo forma de cerrar los túneles que parecen estar muertos.

Es posible instalar el sistema operativo más reciente y el software de administración en todos losdispositivos WatchGuard, pero todas las otras condiciones en esa lista están fuera de su control. Sinembargo, puede tomar ciertas medidas para mejorar la disponibilidad del BOVPN.

Seleccionar IKE keep-alive o Dead Peer Detection, pero no ambas

Tanto las configuraciones de IKE keep-alive como Dead Peer Detection pueden mostrar cuando un



http://www.watchguard.com/products/purchaseoptions.asp



túnel está desconectado. Cuando encuentran un túnel desconectado, inician una nueva negociación deFase 1. Si selecciona tanto IKE keep-alive como Dead Peer Detection, la renegociación de Fase 1 que seinicia puede hacer que el otro identifique el túnel como desconectado e inicie una segundanegociación de Fase 1. Cada negociación de Fase 1 detiene todo el tráfico del túnel hasta que éste hayasido negociado. Para mejorar la estabilidad del túnel, seleccione o IKE keep-alive o Dead PeerDetection. No seleccione ambas.

Observe lo siguiente acerca de esas configuraciones:

La configuración de IKE keep-alive es usada solamente por los dispositivos WatchGuard. No usar siel extremo remoto es un dispositivo IPSec de terceros.

Cuando habilita IKE keep-alive, Firebox envía un mensaje a un dispositivo de puerta de enlaceremota en un intervalo regular y espera una respuesta. El intervalo de mensaje determina conqué frecuencia se envía un mensaje. Fallas máx. indica cuántas veces el dispositivo de puertade enlace remota puede presentar fallas al responder antes que Firebox intente renegociar laconexión de Fase 1.

La Dead Peer Detection es un estándar usado por la mayoría de los dispositivos IPSec. Seleccione laDead Peer Detection si ambos dispositivos extremos la soportan.

Al activar la Dead Peer Detection, Firebox monitorea el tráfico de túnel para identificar si untúnel está activo. Si no se activó el tráfico desde el punto remoto para el período de tiempoinsertado en tiempo de espera inactivo de tráfico, y un paquete está esperando para serenviado al punto, el Firebox envía una consulta. Si no hay respuestas después del número deMáx. reintentos, Firebox renegocia la conexión de Fase 1. Para más informaciones acerca de laDead Peer Detection, vea http://www.ietf.org/rfc/rfc3706.txt.

Las configuraciones de IKE keep-alive y Dead Peer Detection forman parte de las configuraciones deFase 1.

1. En el Fireware XTM Web UI, seleccione VPN> BOVPN.2. Seleccione la puerta de enlace y haga clic en Editar.3. Haga clic en la pestaña Configuraciones de Fase 1.

Usar las configuraciones predeterminadas

Las configuraciones de BOVPN predeterminadas ofrecen la mejor combinación de seguridad yvelocidad. Use esas configuraciones predeterminadas siempre que posible. Si un dispositivo extremoremoto no soporta una de las configuraciones predeterminadas de WatchGuard, configure eldispositivo WatchGuard para que utilice la configuración predeterminada del extremo remoto. Esasson las configuraciones predeterminadas paraWSM 11.x:

Nota Si no se exhibe una configuración en las páginas de configuración de VPN> BOVPN , no se puede cambiarla.

Configuraciones generales

ModoPrincipal (Seleccionar Agresivo si uno de los dispositivosposee una dirección IP externa dinámica).

http://www.ietf.org/rfc/rfc3706.txt

Configuraciones generales

NAT Traversal Sí

Intervalo de keep-alive de NAT Traversal

20 segundos

IKE keep-alive Desactivado

Intervalo de mensaje de IKE keep-alive

Ninguno

Máx. Fallas de IKE keep-alive Ninguno

Dead Peer Detection (RFC3706) Activado

Tiempo de espera inactivo de tráficopara Dead Peer Detection

20 segundos

Máx. de reintentos de Dead PeerDetection

5

Configuraciones de transformación de FASE 1

Algoritmo de autenticación SHA-1

Algoritmo de cifrado 3DES

Caducidad de negociación o duración de SA (horas) 8

Caducidad de negociación o duración de SA (kilobytes) 0

Grupo Diffie-Hellman 2

Configuraciones de propuesta de FASE 2

Tipo ESP

Algoritmo de autenticación SHA-1

Algoritmo de cifrado AES (256 bit)

Forzar Caducidad de Clave Activar

Caducidad de Clave Fase 2 (horas) 8

Caducidad de Clave Fase 2 (kilobytes) 128000

Activar Perfect Forward Secrecy No

Grupo Diffie-Hellman Ninguno

Configurar Firebox para enviar tráfico de registro a través del túnel

Si no hay tráfico a través del túnel por un período de tiempo, un extremo puede decidir que el otro no





está disponible y no intenta renegociar el túnel VPN inmediatamente. Una forma de asegurar que eltráfico no deje de pasar por el túnel es configurar el Firebox para que envíe registro de tráfico a travésdel túnel. No necesita que un Log Server reciba y mantenga los registros de tráfico. En ese caso, seconfigura intencionadamente el Firebox para enviar el tráfico de registro a un Log Server que noexiste. Eso crea un pequeño pero consistente volumen de tráfico enviado a través del túnel, lo quepuede ayudar a mantenerlo más estable.

Hay dos tipos de datos de registro: registro WatchGuard y registro syslog. Si el Firebox está configuradopara enviar datos de registro tanto al WatchGuard Log Server como al servidor de syslog, no se puedeusar ese método para enviar el tráfico por el túnel.

Debe elegir una dirección IP del Log Server a la cual enviar los datos de registro. Para elegir ladirección IP, use estas directrices.

n La dirección IP del Log Server utilizada debe ser una dirección IP que esté incluida en lasconfiguraciones de ruta de túnel. Para más informaciones, vea Agregar rutas para un túnel enla página 434.

n La dirección IP del Log Server no debería ser una dirección IP usada por un dispositivo real.

Los dos tipos de registro generan diferentes volúmenes de tráfico.

Registro deWatchGuard

No se envía ningún dato de registro hasta que Firebox se haya conectado al Log Server. Losúnicos tipos de tráfico enviados a través del túnel son intentos de conectase al Log Server,enviados a cada tres minutos. Eso puede ser un volumen de tráfico suficiente para ayudar en laestabilidad del túnel con un mínimo impacto en otro tráfico de BOVPN.

Registro de syslog

Los datos de registro son enviados inmediatamente a la dirección IP del servidor de syslog. Elvolumen de datos de registro depende del tráfico que Firebox maneja. El registro de syslogsuele generar bastante tráfico para que siempre estén pasando paquetes por el túnel. Elvolumen de tráfico puede a veces hacer que el tráfico normal de BOVPN quede más lento,pero eso no es común.

Para mejorar la estabilidad y tener menor impacto sobre el tráfico de BOVPN, intente primero laopción de Registro de WatchGuard. Si eso no mejora la estabilidad del túnel BOVPN, intente el registrode syslog. Los procedimientos siguientes suponen que ambos dispositivos extremos son dispositivosFirebox de WatchGuard y que ningún extremo está configurado para enviar datos de registro ni alWatchGuard Log Server ni a un servidor de syslog. Si el extremo ya está configurado para enviar datosde registro que son recogidos por un servidor, no cambie esas configuraciones de registro.

Algunas de las opciones que puede intentar son:

n Configurar un extremo para enviar tráfico de registro WatchGuard a través del túnel.n Configurar el otro extremo para enviar tráfico de registro de WatchGuard a través del túnel.n Configurar ambos extremos para enviar tráfico de registro de WatchGuard a través del túnel.n Configurar un extremo para enviar tráfico de registro de syslog a través del túnel.n Configurar sólo el otro extremo para enviar tráfico de registro de syslog a través del túnel.n Configurar ambos extremos para enviar tráfico de registro de syslog a través del túnel.

Enviar datos de registro de WatchGuard a través del túnel

1. En el Fireware XTM Web UI, seleccione Sistema > Registro.Aparece la página Registro.

2. Seleccione la casilla de verificación Activar registro WatchGuard para esos servidores.3. En el campo Dirección de Log Server, ingrese la dirección IP seleccionada para el Log Server en

el campo Dirección IP del Log Server.4. Ingrese una clave de cifrado en el campo Encryption Key y confírmela en el campo Confirmar.

El rango permitido para la clave de cifrado es de 8 a 32 caracteres. Puede usar todos los caracteres,excepto los espacios o barras diagonales o invertidas (/ o \).

5. Haga clic en Agregar. Haga clic en Guardar.

Enviar datos de syslog a través del túnel

1. En el Fireware XTM Web UI, seleccione Sistema > Registro.Aparece la página Registro.

2. Haga clic en la pestaña Servidor de Syslog.3. Seleccione la casilla de verificación Activar registro Syslog para esos servidores.4. Ingrese la dirección IP elegida para el servidor de syslog en el campo al lado.5. Haga clic en Guardar.




21 Mobile VPN con PPTP

Acerca del Mobile VPN con PPTPLa conexión a red privada virtual móvil (Mobile VPN) con protocolo de túnel punto a punto (PPTP) crea unaconexión segura entre un equipo remoto y los recursos de red detrás del dispositivo WatchGuard. Cadadispositivo WatchGuard admite hasta 50 usuarios al mismo tiempo. Los usuarios de Mobile VPN con PPTPpueden autenticarse en el dispositivo WatchGuard o en un servidor de autenticación RADIUS o VACMAN.Para usar Mobile VPN con PPTP, debe configurar el dispositivo WatchGuard y las computadoras clienteremotas.

Requisitos de Mobile VPN con PPTPAntes de configurar el dispositivo WatchGuard para usar Mobile VPN with PPTP, asegúrese de tener estainformación:

n Las direcciones IP para que el cliente remoto use para las sesiones de Mobile VPN con PPTP.

ParatúnelesdeMobile VPNconPPTP,el dispositivoWatchGuard ofreceacadausuario remotounadirecciónIP virtual.EstasdireccionesIP nopueden serdireccionesqueutilice lareddetrásdeldispositivoWatchGuard.Elprocedimientomásseguroparaasignar direccionesausuariosdeMobileVPNes instalarunasecondarynetwork "marcadorade posición".Luego, seleccioneunadirecciónIP deeserangodered.Porejemplo, creeunanuevasubnetcomosecondary networken sureddeconfianza10.10.0.0/24.Seleccione lasdirecciones IPen estasubnetparasu rangode direccionesPPTP.

n Las direcciones IP de los servidores DNS y WINS que determinan los nombres de host para lasdirecciones IP.

n Los nombres de usuario y contraseñas de los usuarios autorizados a conectarse al dispositivoWatchGuard con Mobile VPN with PPTP.

Niveles de cifrado

Para Mobile VPN with PPTP, se puede seleccionar un cifrado de 128 bits o un cifrado de 40 bits. Lasversiones de software de Windows XP en los Estados Unidos tienen activado un cifrado de 128 bits. Puedeobtener un parche de cifrado de alta seguridad de Microsoft para otras versiones de Windows. Fireboxsiempre intenta utilizar cifrado de 128 bits en primer lugar. Puede configurarse para usar cifrado de 40 bitssi el cliente no puede usar una conexión cifrada de 128 bits.

Para obtener más información sobre cómo admitir el cifrado de 40 bits consulte Configurar Mobile VPNwith PPTP en la página 466.

Si no reside en los Estados Unidos y desea tener cifrado de alta seguridad activado en su cuentaLiveSecurity Service, envíe un mensaje de correo electrónico a [email protected] e incluya todala información que se indica a continuación:

n Número de clave de LiveSecurity Servicen Fecha de compra del producto WatchGuardn Nombre de su empresan Dirección de correo postal de la empresan Número de teléfono y nombre de contacton Dirección de correo electrónico

Si reside en los Estados Unidos y aún no utiliza WatchGuard System Manager (WSM) con cifrado de altaseguridad, debe descargar el software de cifrado de alta seguridad de la página de Descargas de softwareen el sitio web de LiveSecurity Service.

1. Abra un explorador web y visite www.watchguard.com.2. Ingrese en su cuenta de LiveSecurity Service.3. Haga clic en Soporte.

Aparece el Centro de Soporte de WatchGuard.4. En la sección Administración de sus productos, haga clic en Descargas de software.5. En la lista Seleccionar familia de productos, seleccione su dispositivo WatchGuard.

Aparece la página de Descargas de software.6. Descargue WatchGuard System Manager con cifrado de alta seguridad.

Antes de instalar el software de WatchGuard System Manager con cifrado de alta seguridad, debedesinstalar de su computadora cualquier otra versión de WatchGuard System Manager.

Nota Para mantener la configuración actual del dispositivo WatchGuard, no use elQuick Setup Wizard cuando instale el nuevo software. Abra el WatchGuard SystemManager, conéctese al dispositivo WatchGuard y guarde el archivo deconfiguración. Las configuraciones con una versión de cifrado diferente soncompatibles.

Configurar Mobile VPN with PPTPPara configurar el dispositivo WatchGuard para aceptar conexiones PPTP , primero debe activar y realizarlas configuraciones para Mobile VPN with PPTP.

1. Seleccione VPN > Mobile VPN with PPTP.

Mobile VPN con PPTP


mailto:[email protected]

http://www.watchguard.com/

Mobile VPN con PPTP


2. Seleccione la casilla de verificación Activar Mobile VPN with PPTP.Esto permite configurar a los usuarios remotos de PPTP y automáticamente crea una política dePPTP de WatchGuard para permitir el tráfico de PPTP al dispositivo WatchGuard. Recomendamos nomodificar las propiedades predeterminadas de la política de PPTP de WatchGuard.

3. Realice las configuraciones de autenticación como se describe en las secciones siguientes.4. Haga clic en Guardar.

Autenticación

Los usuarios de Mobile VPN con PPTP pueden autenticarse en la base de datos interna de Firebox o usarautenticación extendida en un servidor RADIUS o VACMAN Middleware Server como alternativa a Firebox.Las instrucciones para usar un VACMAN Middleware Server son idénticas a las instrucciones para usar unservidor RADIUS.

Para usar la base de datos interna de Firebox, no seleccione la casilla de verificación Usar autenticaciónRADIUS para usuarios de PPTP .

Para usar un servidor RADIUS o VACMAN Middleware para autenticación:

1. Seleccione la casilla de verificación Usar autenticación RADIUS para usuarios de PPTP.2. Configurar autenticación de servidor RADIUS o Configurado autenticación de servidor VASCO.3. En el servidor RADIUS, cree un grupo de usuarios de PPTP y agregue nombres o grupos de usuarios

de PPTP.

Nota Para establecer la conexión de PPTP , el usuario debe ser miembro de un grupodenominado PPTP-Users (usuarios de PPTP). Cuando el usuario ya estáautenticado, Firebox mantiene una lista de todos los grupos del que el usuario esmiembro. Use cualquiera de los grupos en una política para controlar el tráficopara el usuario.

Configuraciones de cifrado

Las versiones nacionales estadounidenses de Windows XP tienen activado un cifrado de 128 bits. Puedeobtener un parche de cifrado de alta seguridad de Microsoft para otras versiones de Windows.

n Si desea solicitar el cifrado de 128 bits para todos los túneles PPTP, seleccione Solicitar cifrado de128 bits.Recomendamos utilizar cifrado de 128 bits para VPN.

n Para permitir que los túneles bajen el cifrado de 128 bits a 40 bits para conexiones menosconfiables, seleccione Permitir bajar cifrado de 128 bits a 40 bits.Firebox siempre intenta utilizar cifrado de 128 bits en primer lugar. Se utiliza el cifrado de 40 bits siel cliente no puede usar la conexión cifrada de 128 bits. En general, sólo los clientes fuera de losEstados Unidos seleccionan esta casilla de verificación.

n Para permitir tráfico que no está cifrado a través de la VPN, seleccione No requiere cifrado.

Agregar al conjunto de direcciones IP

Mobile VPN with PPTP admite hasta 50 usuarios al mismo tiempo. Firebox otorga una dirección IP abierta acada usuario de Mobile VPN entrante dentro de un grupo de direcciones IP disponibles. Esto continúa hastaque todas las direcciones están en uso. Después de que un usuario cierra una sesión, la dirección vuelve acolocarse en el grupo disponible. El siguiente usuario que ingresa obtiene esta dirección.

Debe configurar dos o más direcciones IP para que PPTP funcione correctamente.

1. En la sección Conjunto de direcciones IP, en la lista desplegable Elegir tipo, seleccioneIP de host(para una sola dirección IP) o Rango de host (para un rango de direcciones IP).

2. En el cuadro de texto IP de host, ingrese una dirección IP.Si seleccionó Rango de host, la primera dirección IP del rango es Desde y la última dirección IP del

Mobile VPN con PPTP


Mobile VPN con PPTP


rango es Hasta.3. Haga clic en Agregar para agregar la dirección IP de host o el rango de host al conjunto de

direcciones IP.Se pueden configurar hasta 50 direcciones IP.Si selecciona IP de host, debe agregar por lo menos dos direcciones IP.Si selecciona Rango de host y agrega un rango de direcciones IP superior a 50 direcciones, MobileVPN with PPTP utiliza las primeras 50 direcciones del rango.

4. Repita los pasos 1al 3 para configurar todas las direcciones para usar con Mobile VPN with PPTP.

Configuraciones de pestañas avanzadas

1. En la páginaMobile VPN with PPTP , haga clic en la pestaña Avanzada.2. Realice la configuración de tiempo de espera y las configuraciones de Unidad máxima de

transmisión (MTU) y Unidad máxima de recepción (MRU) como se describe en las siguientessecciones.Recomendamos mantener las configuraciones predeterminadas.

Configuración de tiempo de espera

Puede definir dos configuraciones de tiempo de espera para túneles PPTP si usa autenticación RADIUS:


El período de tiempo máximo que un usuario puede enviar tráfico a una red externa. Si configuraeste campo en cero (0) segundos, minutos, horas o días, no se usa tiempo de espera de sesión y elusuario puede permanecer conectado durante el tiempo que desee.


El tiempo máximo que el usuario puede permanecer autenticado cuando está inactivo (sin tráficohacia la interfaz de red externa). Si configura este campo en cero (0) segundos, minutos, horas odías, no se usa tiempo de espera inactivo y el usuario puede permanecer inactivo durante el tiempoque desee.

Si no usa RADIUS para autenticación, el túnel PPTP usa la configuración de tiempo de espera especificadapor usted para cada usuario de Firebox. Para obtener más información acerca de la configuración deusuario de Firebox, consulte Definir un nuevo usuario para autenticación en Firebox en la página 225.

Otras configuraciones

Los tamaños de la Unidadmáxima de transmisión (MTU)o Unidadmáxima de recepción (MRU) se envían alcliente como parte de losparámetros de PPTP parausar durante la sesión de PPTP.No modifique los valoresdeMTU o MRU amenosque esté seguro de que lamodificación solucionaun problemaen laconfiguración.Los valores deMTU o MRU incorrectosocasionan la falla del tráfico a través de la VPNwith PPTP.

Para modificar los valores de MTU o MRU :

1. En la páginaMobile VPN with PPTP , haga clic en la pestaña Avanzada.2. En la sección Otras configuraciones, ingrese o seleccione los valores de la Unidad máxima de

transmisión (MTU) o Unidad máxima de recepción (MRU) .

Configurar servidores WINS y DNSLos clientes de Mobile VPN con PPTP utilizan direcciones de servidor compartidas del Servicio WindowsInternet Naming (WINS) y el Sistema de domain name (DNS). El DNS cambia los nombres de host adirecciones IP, mientras que WINS cambia los nombres de NetBIOS a direcciones IP. La interfaz deconfianza de Firebox debe tener acceso a estos servidores.

1. Seleccione Interfaces de > red.Aparece la página de Interfaces de red. Las configuraciones de WINS y DNS se encuentran en la parte inferior.

Mobile VPN con PPTP


Mobile VPN con PPTP


2. En la sección Servidores DNS, ingrese un domain name para el servidor DNS.3. En el cuadro de texto Servidor DNS, ingrese la dirección IP para el servidor DNS y haga clic en

Agregar.Pueden agregarse hasta tres direcciones para servidores DNS.

4. En el cuadro de texto Servidores WINS, ingrese la dirección IP para un servidor WINS y haga clic enAgregar.Pueden agregarse hasta dos direcciones para servidores WINS.


Agregarnuevosusuarios al grupode usuariosdePPTPPara crear un túnel VPN PPTP con Firebox, los usuarios móviles ingresan sus nombres de usuario y frases decontraseña para autenticarse. Firebox utiliza esta información para autenticar al usuario.

Cuando activa PPTP en su configuración de Firebox, automáticamente se crea un grupo de usuariospredeterminado. Este grupo de usuarios se denomina PPTP_Users (usuarios de PPTP). Este nombre degrupo se muestra al crear un nuevo usuario o agregar nombres de usuario a las políticas.

Para más información acerca de grupos Firebox, vea Configure su Firebox como servidor de autenticaciónen la página 223.


2. Haga clic en la pestaña Firebox .

3. En la sección Usuarios, haga clic en Agregar.Aparece el cuadro de diálogo "Configurar Usuario de Firebox".

Mobile VPN con PPTP


Mobile VPN con PPTP


4. Ingrese un Nombre y una Frase de contraseña para el nuevo usuario. Ingrese la frase de contraseñanuevamente para confirmarla.No se requiere una descripción. Recomendamos no cambiar los valores predeterminados para el tiempo deespera de sesión y el tiempo de espera inactivo.

5. En la lista Disponible, seleccione Usuarios de PPTP y haga clic .Usuarios de PPTP aparece en la lista de Miembros.

6. Haga clic en OK.7. Haga clic en Guardar.

Configurarpolíticasparapermitirel tráficodeMobileVPNconPPTP

Los usuarios de Mobile VPN con PPTP no tienen privilegios de acceso a través de un Firebox en formapredeterminada. Para permitir a usuarios remotos el acceso a recursos de red específicos, se debenagregar nombres de usuarios o el grupo de usuarios de PPTP, como orígenes y destinos en las definicionesde política individual.

Para más informaciones, vea Use los usuarios y grupos autorizados en políticas en la página 248.

Para usar WebBlocker para controlar el acceso de usuarios remotos, agregue usuarios de PPTP o el grupode usuarios de PPTP a una política de proxy que controle aWebBlocker.

Nota Si se asignan direcciones desde una red de confianza a usuarios de PPTP, el tráficodesde el usuario de PPTP no se considera de confianza. De manerapredeterminada, todo tráfico deMobile VPN con PPTP no es de confianza.Independientemente de las direcciones IP asignadas, se deben crear políticas parapermitir a los usuarios de PPTP obtener acceso a los recursos de red.

Configurar políticas para permitir el tráfico deMobile VPN con PPTPLos usuarios de Mobile VPN con PPTP no tienen privilegios de acceso a través de un Firebox en formapredeterminada. Debe configurar las políticas para permitir que los usuarios de PPTP obtengan acceso arecursos de red. Puede agregar políticas nuevas o editar las políticas existentes.

Nota Si se asignan direcciones desde una red de confianza a usuarios de PPTP, el tráficodesde el usuario de PPTP no se considera de confianza. De manerapredeterminada, todo tráfico deMobile VPN con PPTP no es de confianza.Independientemente de la dirección IP asignada, se deben crear políticas parapermitir a los usuarios de PPTP obtener acceso a los recursos de red.

Permitir a los usuarios de PPTP acceder a una red de confianza

En este ejemplo, se agrega la opción Cualquier política para permitir a todos los miembros del grupo deusuarios de PPTP el acceso total a los recursos en todas las redes de confianza.

1. Seleccione Firewall > Políticas de Firewall. Haga clic en Agregar.2. Amplíe la carpeta Filtrados de paquetes.

Aparece una lista de plantillas para filtrados de paquetes.3. Seleccione Cualquiera y haga clic en Agregar.

Aparece la página "Configuración de Política".4. En el cuadro de texto Nombre, ingrese un nombre para la política.

Elija un nombre que le ayude a identificar esta política en su configuración.5. En la pestaña Política, en la sección Desde , seleccione Cualquiera de confianza y haga clic en

Remover.6. En la pestaña Política, en la sección Desde , haga clic en Agregar.

Aparece el cuadro de diálogo "Agregar Dirección".7. En la lista desplegable Tipo de miembro, seleccioneGrupo de PPTP.8. Seleccione Usuarios de PPTP y haga clic en Seleccionar.

Después de Usuarios de PPTP aparece el nombre del método de autenticación entre paréntesis.9. Haga clic en OK para cerrar el cuadro de diálogo Agregar miembro.

10. En el área Hasta, haga clic en Agregar.Aparece el cuadro de diálogo "Agregar Dirección".

11. En la secciónMiembros y direcciones seleccionados , seleccione Cualquiera externo y haga clic enRemover.

12. En la sección Hasta, haga clic en Agregar.Aparece el cuadro de diálogo Agregar miembro.

Mobile VPN con PPTP


Mobile VPN con PPTP


13. En la listaMiembros seleccionados, seleccione Cualquiera de confianza y haga clic en OK.14. Haga clic en Guardar.

Para más informaciones acerca de políticas, vea Agregar políticas en la configuración en la página 254.

Usar otros grupos o usuarios en una política de PPTP

Los usuarios deben ser miembros del grupo Usuarios de PPTP para realizar una conexión PPTP. Cuando seconfigura una política para otorgar acceso a los usuarios de PPTP a recursos de red, se puede usar elnombre de usuario individual o cualquier otro grupo del que el usuario sea miembro.

Para seleccionar un usuario o grupo distinto de Usuarios de PPTP:

1. Seleccione Firewall > Políticas de Firewall.2. Haga doble clic en la política a la que desea agregar el usuario o grupo.3. En la pestaña Política, en la sección Desde , haga clic en Agregar.

Aparece el cuadro de diálogo "Agregar miembro".4. En la lista desplegable Tipo de miembro, seleccione Usuario de Firewall o Grupo de Firewall.5. Seleccione el usuario o grupo que desea agregar y haga clic en OK.6. Haga clic en Guardar.

Para obtener más información sobre cómo utilizar usuarios y grupos en políticas, consulte Use los usuarios ygrupos autorizados en políticas en la página 248.

Opciones de acceso a Internet a través de untúnel de Mobile VPN con PPTPPuede permitir que usuarios remotos accedan a Internet a través de un túnel Mobile VPN. Esta opciónafecta su seguridad porque este tráfico de Internet no está filtrado ni cifrado. Tiene dos opciones de rutasde túnel de Mobile VPN: la VPN de ruta predeterminada y la VPN de túnel dividido.

VPN de ruta predeterminada

La opción más segura es requerir que todo el tráfico de Internet del usuario remoto sea enrutado a travésdel túnel VPN hacia el dispositivo WatchGuard. Después, el tráfico es enviado de vuelta a Internet. Con estaconfiguración (conocida como VPN de ruta predeterminada), Firebox puede examinar todo el tráfico yproporcionar mayor seguridad, aunque utiliza más capacidad de procesamiento y ancho de banda. Al usaruna VPN de ruta predeterminada, una política de NAT dinámica debe incluir el tráfico saliente de la redremota. Esto permite a los usuarios remotos navegar por Internet cuando envían todo el tráfico aldispositivo WatchGuard.

Nota Si usa los comandos "route print" o "ipconfig" después de iniciar un túnel MobileVPN en una computadora que tiene instalado Microsoft Windows, veráinformación incorrecta de la puerta de enlace predeterminada. La informacióncorrecta se encuentra en la pestaña Detalles del cuadro de diálogo Estado de laconexión privada virtual.

Dividir VPN de túnel

Otra opción de configuración es activar el túnel dividido. Esta configuración permite a los usuarios navegarpor Internet sin necesidad de enviar tráfico de Internet a través del túnel VPN . El túnel dividido mejora eldesempeño de red, pero disminuye la seguridad debido a que las políticas creadas no son aplicadas altráfico de Internet. Si usa el túnel dividido, recomendamos que cada equipo cliente tenga un firewall desoftware.

Configuración de VPN de ruta predeterminada para Mobile VPNwith PPTP

En Windows Vista, XP y 2000, la configuración predeterminada para una conexión PPTP es default-route(ruta predeterminada). Firebox debe estar configurado con NAT dinámica para recibir el tráfico desde unusuario de PPTP. Cualquier política que administre tráfico hacia Internet desde detrás del dispositivoWatchGuard debe estar configurada para permitir el tráfico del usuario de PPTP.

Cuando configura la VPN de ruta predeterminada:

n Asegúrese de que las direcciones IP que ha agregado al conjunto de direcciones PPTP esténincluidas en la configuración de NAT dinámica en el dispositivo WatchGuard.Desde el Administrador de la política, seleccione Red > NAT.

n Modifique la configuración de la política para permitir conexiones desde el grupo de usuarios dePPTP a través de la interfaz externa.Por ejemplo, si usaWebBlocker para controlar el acceso web, agregue el grupo de usuarios de PPTPa la política de proxy que está configurada con WebBlocker activado.

ConfiguracióndeVPNdetúneldivididoparaMobileVPNwithPPTP

En la computadora cliente, edite las propiedades de conexión de PPTP para que no envíen todo el tráfico através de la VPN.

1. ParaWindows Vista, XP o 2000, ingrese en Panel de control> Conexiones de red y haga clic con elbotón derecho en la conexión VPN.

2. Seleccione Propiedades.Aparece el cuadro de diálogo de propiedades de VPN.

3. Seleccione la pestaña Red .4. Seleccione Protocolo de Internet (TCP/IP) en el menú y haga clic en Propiedades.

Aparece el cuadro de diálogo "Protocolo de internet (TCP/IP)".5. En la pestaña General , haga clic en Avanzada.

Aparece el cuadro de diálogo Configuración avanzada de TCP/IP.6. Windows XP y Windows 2000: en la pestaña General (XP y Windows 2000), desmarque la casilla de

verificación Usar puerta de enlace predeterminada en red remota.Windows Vista: en la pestaña Configuración (XP y Windows 2000), desmarque la casilla deverificación Usar puerta de enlace predeterminada en red remota.

Mobile VPN con PPTP


Mobile VPN con PPTP


Preparar computadoras cliente para PPTPAntes de poder usar las computadoras clientes como host remotos de Mobile VPN con PPTP, primero sedebe preparar el acceso a Internet en cada computadora. Luego, puede usar las instrucciones en lassiguientes secciones para:

n Instalar la versión necesaria del Acceso telefónico a redes de Microsoft y los paquetes de servicionecesarios.

n Preparar el sistema operativo para conexiones de VPN.n Instalar un adaptador de VPN (no es necesario en todos los sistemas operativos).

Preparar una computadora cliente con Windows NT o 2000:Instalar MSDUN y los paquetes de servicio

A veces es necesario instalar estas opciones para la configuración correcta de Mobile VPN con PPTP enWindows NT y 2000:

n Actualizaciones de MSDUN (Acceso telefónico a redes)n Otras extensionesn Paquetes de servicio

Para Mobile VPN with PPTP, deben tenerse instaladas las siguientes actualizaciones:

Cifrado Plataforma Aplicación

Base Windows NT SP4 de 40 bits

Alta seguridad Windows NT SP4 de 128 bits

Base Windows 2000 SP2* de 40 bits

Alta seguridad Windows 2000 SP2* de 128 bits

El cifrado de 40 bits es la configuración predeterminada en Windows 2000. Si realiza la actualización desdeWindows 98 con cifrado de alta seguridad, Windows 2000 automáticamente establece el cifrado de altaseguridad para la nueva instalación.

Para instalar estas actualizaciones o paquetes de servicio, ingrese al sitio web del Centro de descargas deMicrosoft en:

http://www.microsoft.com/downloads/

Los pasos para configurar y establecer una conexión PPTP son diferentes para cada versión de MicrosoftWindows.

Para establecer una conexión PPTP en Windows Vista, consulte: Crear y conectar una Mobile VPN withPPTP para Windows Vista en la página 478

Para establecer una conexión PPTP en Windows XP, consulte: Cree y conecte una Mobile VPN with PPTPpara Windows XP en la página 479

Para establecer una conexión PPTP en Windows 2000, consulte: Cree y conecte una Mobile VPN with PPTPpara Windows 2000 en la página 480

http://www.microsoft.com/downloads

Crear y conectar una Mobile VPN with PPTP paraWindows Vista

Crear una conexión PPTP

Para preparar una computadora cliente con Windows Vista, debe configurar la conexión PPTP en laconfiguración de red.

1. Desde el menú Inicio de Windows, seleccione Configuración> Panel de control.El menú Inicio en Windows Vista se encuentra en el extremo inferior izquierdo de la pantalla.

2. Haga clic en Red e Internet.Aparece el Centro de redes y recursos compartidos.

3. En la columna de la izquierda, debajo de Tareas, haga clic en Conectarse a una red.Se inicia el asistente de conexión nueva.

4. Seleccione Conectarse a un lugar de trabajo y haga clic en Siguiente.Aparece el cuadro de diálogo Conectarse a un lugar de trabajo.

5. Seleccione No, crear una conexión nueva y haga clic en Siguiente.Aparece el cuadro de diálogo Cómo desea conectarse.

6. Haga clic en Usar mi conexión a Internet (VPN).Aparece el cuadro de diálogo Ingrese la dirección de Internet a la que se conectará.

7. Ingrese el nombre del host o la dirección IP de la interfaz externa de Firebox en el campo Direcciónde Internet.

8. Ingrese un nombre para la Mobile VPN (como "PPTP para Firebox") en el cuadro de texto Nombrede destino.

9. Seleccione si desea que otras personas puedan usar esta conexión.10. Seleccione la casilla de verificación No conectarse ahora; configurar para poder conectarse más

tarde para que la computadora cliente no intente conectarse en este momento.11. Haga clic en Siguiente.

Aparece el cuadro de diálogo Ingrese su nombre de usuario y contraseña.12. Ingrese el Nombre de usuario y la contraseña para este cliente.13. Haga clic en Crear.

Aparece el cuadro de diálogo La conexión está lista para usar.14. Para probar la conexión, haga clic en Conectarse ahora.

Establecer la conexión PPTP

Para conectar una computadora cliente con Windows Vista reemplace [nombre de la conexión] con elnombre real que usó para configurar la conexión PPTP. El nombre de usuario y la contraseña se refiere auno de los usuarios que agregó al grupo de usuarios de PPTP. Para más informaciones, vea Agregar nuevosusuarios al grupo de usuarios de PPTP en la página 471.

Asegúrese de tener una conexión activa a Internet antes de comenzar.

1. Haga clic en Inicio > Configuración > Conexiones de red > [nombre de la conexión]El botón de Inicio de Windows Vista se encuentra en el extremo inferior izquierdo de la pantalla.

2. Ingrese el nombre de usuario y la contraseña para la conexión y haga clic en Conectar.3. La primera vez que se conecta, debe seleccionar una ubicación de red. Seleccione Ubicación

pública.

Mobile VPN con PPTP


Mobile VPN con PPTP


Cree y conecte una Mobile VPN with PPTP para Windows XP

Para preparar una computadora cliente con Windows XP, debe configurar la conexión PPTP en laconfiguración de red.

Cree la Mobile VPN with PPTP

Desde el escritorio de Windows de la computadora cliente:

1. Desde el menú Inicio de Windows, seleccione Panel de control> Conexiones de red.2. Haga clic en Crear una conexión nueva en el menú de la izquierda.

O bien, haga clic en Asistente de conexión nueva en la vista clásica de Windows.Aparece el asistente de conexión nueva.

3. Haga clic en Siguiente.4. Seleccione Conectarse a la red desde su lugar de trabajo y haga clic en Siguiente.5. Seleccione Conexión de red privada virtual y haga clic en Siguiente.6. Ingrese un nombre para la conexión nueva (como "Conectarse con Mobile VPN") y haga clic en

Siguiente.7. Seleccione si Windows asegura que la red pública está conectada:

n Paraunaconexióndebandaancha,seleccioneNomarcarlaconexióninicial.O

n Para una conexión por módem, seleccione Marcar automáticamente esta conexión inicial yluego seleccione un nombre de conexión dentro de la lista desplegable.

8. Haga clic en Siguiente.Aparece la pantalla de Selección del Servidor VPN. El asistente incluye esta pantalla si usa Windows XP SP2. Notodos los usuarios de Windows XP ven esta pantalla.

9. Ingrese el nombre de host o la dirección IP de la interfaz externa de Firebox y haga clic en Siguiente.Aparece la pantalla de Tarjeta inteligente.

10. Seleccione si usará la tarjeta inteligente con este perfil de conexión y haga clic enSiguiente.Aparece la pantalla Disponibilidad de conexión.

11. Seleccione quién puede usar este perfil de conexión y haga clic en Siguiente.12. Seleccione Agregar un acceso directo a esta conexión en mi escritorio.13. Haga clic en Finalizar.

Conectarse con la Mobile VPN with PPTP

1. Inicie la conexión a Interneta travésde la red telefónicao directamente a travésde unaLAN oWAN.2. Haga doble clic en el acceso directo a la conexión nueva en su escritorio.

O bien, seleccione Panel de control> Conexiones de red y seleccione su conexión nueva desde lalista de red privada virtual.

3. Ingrese el nombre de usuario y la frase de contraseña para la conexión.Para obtener más información acerca del nombre de usuario y la frase de contraseña, consulteAgregar nuevos usuarios al grupo de usuarios de PPTP en la página 471.

4. Haga clic en Conectar.

Cree y conecte una Mobile VPN with PPTP para Windows 2000

Parapreparar unhost remotoconWindows2000,debeconfigurar laconexión PPTPen laconfiguración dered.

Cree la Mobile VPN with PPTP

Desde el escritorio de Windows de la computadora cliente:

1. Desde el menú Inicio de Windows, seleccione Configuración> Conexiones de red> Crear unaconexión nueva.Aparece el asistente de conexión nueva.

2. Haga clic en Siguiente.3. Seleccione Conectarse a la red desde su lugar de trabajo y haga clic en Siguiente.4. Haga clic en Conexión de red privada virtual.5. Ingrese un nombre para la conexión nueva (como "Conectarse con Mobile VPN") y haga clic en

Siguiente.6. Seleccione no marcar (para conexión de banda ancha) o marcar esta conexión en forma automática

(para conexión con módem) y haga clic en Siguiente.7. Ingrese el nombre de hosto ladirección IP de la interfaz externade Firebox y hagaclic en Siguiente.8. Seleccione Agregar acceso directo a esta conexión en mi escritorio y haga clic en Finalizar.

Conectarse con la Mobile VPN with PPTP

1. Inicie la conexión a Internet a través de la red telefónica o conéctese directamente a través de unaLAN o WAN.

2. Haga doble clic en el acceso directo a la conexión nueva en su escritorio.O bien, seleccione Panel de control> Conexiones de red y seleccione su conexión nueva desde lalista de red privada virtual.

3. Ingrese el nombre de usuario y la frase de contraseña para la conexión.Para obtener más información acerca del nombre de usuario y la frase de contraseña, consulteAgregar nuevos usuarios al grupo de usuarios de PPTP en la página 471.


Realizar conexiones PPTP salientes desde detrásde un FireboxSi es necesario, puede realizar una conexión PPTP a un Firebox desde detrás de un Firebox diferente. Porejemplo, uno de los usuarios remotos va a la oficina de un cliente que tiene un Firebox. El usuario puedeconectarse a su red con una conexión PPTP. Para que el Firebox local permita la conexión PPTP saliente enforma correcta, agregue la política de PPTP y permita el tráfico desde la red en la que se encuentra elusuario al alias Any-External (cualquiera externo).

Para agregar una política, consulte Agregar políticas en la configuración en la página 254.

Mobile VPN con PPTP



22 Mobile VPN con IPSec

Acerca del Mobile VPN con IPSecEl Mobile VPN with IPSec es una aplicación de software cliente instalada en un equipo remoto. El clientehace una conexión segura desde el equipo remoto hacia su red protegida a través de una red desprotegida,tal como la Internet. El cliente Mobile VPN usa la Seguridad de Protocolo de Internet (IPSec) para protegerla conexión.

Esos tópicos incluyen instrucciones para ayudar a configurar un túnel Mobile VPN entre el cliente deMobile VPN con IPSec y un dispositivo WatchGuard con Fireware XTM instalado.

Configurar una conexión de Mobile VPN con IPSec

Puede configurar el dispositivo WatchGuard para que funcione como un extremo para los túneles MobileVPN con IPSec.

En el Fireware XTM Web UI, seleccione , seleccione >VPN Mobile VPN con IPSec.

El usuario debe ser un miembro de un grupo de Mobile VPN para poder establecer una conexión deMobile VPN con IPSec. Cuando agrega un grupo de Mobile VPN, se agrega una política Cualquiera a lasPolíticas de Mobile VPN> de Firewall que permite que el tráfico pase hacia y desde el usuario autenticadode Mobile VPN.

Haga clic en el botón Generar para crear un perfil de usuario final (archivo .wgx) que puede guardar.

El usuario debe tener ese archivo .wgx para configurar el equipo cliente de Mobile VPN. Si usa uncertificado para autenticación, también se generan los archivos .p12 y cacert.pem. Esos archivos puedenser encontrados en la misma ubicación que el perfil de usuario final de .wgx.

Para restringir el acceso del cliente Mobile VPN, elimine la política Cualquiera y añada políticas a Firewall>Políticas de Mobile VPN que permitan el acceso a recursos.

Cuando el dispositivo WatchGuard esté configurado, el equipo cliente debe ser configurado con el softwarecliente Mobile VPN con IPSec. Para más información acerca de cómo instalar el software cliente MobileVPN con IPSec, vea Instalar el software cliente deMobile VPN con IPSec en la página 512.

Cuando el equipo del usuario esté correctamente configurado, el usuario hace la configuración de MobileVPN. Si las credenciales usadas para la autenticación coinciden con una entrada en la base de datos deusuarios del dispositivo WatchGuard, y si el usuario está en el grupo Mobile VPN creado, la sesión MobileVPN es autenticada.

Requisitos del sistema

Antes de configurar su dispositivo WatchGuard para Mobile VPN with IPSec, asegúrese de comprender losrequisitos del sistema para la computadora de administración de WatchGuard y la computadora del clienteusuario móvil.

WatchGuard System Manager con cifrado de alta seguridad

Debido a que se aplican estrictas restricciones de exportación en el software de alto cifrado,WatchGuard System Manager se ofrece con dos niveles de cifrado. Para generar un perfil de usuariofinal para Mobile VPN with IPSec, debe asegurarse de configurar su dispositivo WatchGuard con elWatchGuard System Manager con cifrado de alta seguridad. El estándar IPSec requiere un cifradomínimo de 56 bits. Para más informaciones, vea Instale el software WatchGuard System Manager.

Computadora del cliente usuario móvil

Puede instalar el Mobile VPN con software cliente IPSec en cualquier computadora con Windows2000 Professional, Windows XP (32 bits y 64 bits) o Windows Vista (32 bits y 64 -bits). Antes deinstalar el software cliente, asegúrese de que el equipo remoto no tenga un software cliente MobileUser VPN de IPSec instalado. También debe desinstalar cualquier software de firewall de escritorio(que no sea el software de firewall de Microsoft) de cada equipo remoto. Para más informaciones,vea Requisitos del cliente en la página 512.

Nota Sólo necesita usar WatchGuard System Manager si desea distribuir el perfil deusuario final como archivo cifrado (.wgx). Se recomienda esta acción. Puede usarla Fireware XTM Web UI para configurar el Mobile VPN with IPSec y generar elperfil de usuario final sin cifrar (.ini). Para obtener más información sobre los dostipos de archivos de configuración de perfil de usuario final, consulte Acerca dearchivos de configuración de cliente MobileVPN en la página 483.

Opciones de acceso a Internet a través de un túnel de MobileVPN con IPSec

Puede permitir que los usuarios remotos accedan a Internet a través de un túnel de Mobile VPN. Esaopción afecta su seguridad porque el tráfico de Internet no es filtrado ni cifrado. Tiene dos opciones derutas de túnel de Mobile VPN: la VPN de ruta predeterminada y la VPN de túnel dividido.

Mobile VPN con IPSec




VPN de ruta predeterminada

La opción más segura es requerir que todo el tráfico de Internet del usuario remoto sea enrutado a travésdel túnel VPN hacia el Firebox. Desde el Firebox, el tráfico luego es enviado de vuelta a Internet. Con esaconfiguración (conocida como VPN de ruta predeterminada), el Firebox puede examinar todo el tráfico yofrecer mayor seguridad, aunque se use más potencia de procesamiento y ancho de banda. Al usar unaVPN de ruta predeterminada, una política de NAT dinámica debe incluir el tráfico saliente de la red remota.Eso permite que usuarios remotos naveguen en Internet cuando envían todo el tráfico hacia el Firebox.

Para más información acerca de NAT dinámica, vea Agregar firewall a entradas de NAT dinámicas en lapágina 138.

Dividir VPN de túnel

Otra opción de configuración es activar el túnel dividido. Esa configuración permite que los usuariosnaveguen por Internet normalmente. El túnel dividido disminuye la seguridad porque las políticas deFirebox no son aplicadas al tráfico de Internet, pero el desempeño aumenta. Si usa el túnel dividido, susequipos clientes deberían tener un firewall de software.

Acerca de archivos de configuración de cliente MobileVPN

Con Mobile VPN with IPSec, el administrador de seguridad de red controla los perfiles del usuario final. ElPolicy Manager es usado para crear el grupo de Mobile VPN con IPSec y crear un perfil de usuario final, conla extensión .wgx o .imi. Los archivos .wgx e .ini contienen la clave compartida, identificación del usuario,direcciones IP y configuraciones usadas para crear un túnel seguro entre el equipo remoto y el dispositivoWatchGuard.

El archivo .wgx está cifrado con una frase de contraseña con ocho caracteres de extensión o más. Tanto eladministrador como el usuario remoto deben conocer esa frase de contraseña. Cuando usa el softwarecliente de Mobile VPN con IPSec para importar el archivo .wgx, la frase de contraseña es usada paradescifrar el archivo y configurar el cliente. El archivo .wgx no configura la Administración de Línea.

El archivo de configuración .ini no está cifrado. Sólo debe ser usado si la configuración de Administraciónde Línea fue alterada para algo diferente de Manual. Para más información, vea Administración de Líneaen la pestaña Avanzado enModificar un perfil de grupo existente deMobile VPN con IPSec en la página 493.

Puede crear o recrear el archivo .wgx e .ini en cualquier momento. Para más informaciones, vea Archivosde configuración deMobile VPN con IPSec en la página 507.

Si desea bloquear los perfiles para usuarios móviles, puede convertirlos en solo lectura. Para másinformaciones, vea Bloquear un perfil del usuario final en la página 506.

Configurar el Firebox para Mobile VPN with IPSec

Puede activar el Mobile VPN with IPSec para un grupo de usuarios creado, o puede crear un nuevo grupode usuarios. Los usuarios en el grupo pueden autenticarse sea en el Firebox o en un servidor deautenticación de terceros incluido en su configuración del Firebox.

Configurar un grupo de Mobile VPN con IPSec

1. Seleccione VPN > Mobile VPN with IPSec.Aparece la página de "Mobile VPN with IPSec".

2. Haga clic en Agregar.Aparece la página de "Configuración de VPN de Usuario Móvil con IPSec".





3. Ingrese un nombre de grupo en el cuadro de texto Nombre de grupo .Puede ingresar el nombre de un grupo existente o el nombre de un nuevo grupo de Mobile VPN.Asegúrese que el nombre es exclusivo entre los nombres de grupo de VPN, así como todos losnombres de túneles VPN e interfaces.

4. Hacer esas configuraciones para editar el perfil del grupo:

Servidor de autenticación

Seleccione el autenticación que usar para ese grupo de Mobile VPN. Puede autenticar usuarioscon la base de datos interna de Firebox (Firebox-DB) o con un servidor RADIUS, VASCO,SecurID, LDAP o Active Directory Server. Asegúrese de que el método de autenticación elegidoestá activado.

frases de contraseña

Ingrese una frase de contraseña para cifrar el perfil de Mobile VPN (archivo .wgx) quedinstribuye en ese grupo. La clave compartida puede contener sólo caracteres ASCIIestándares. Si usa un certificado para autenticación, ese es el PIN para el certificado.

Confirmar

Ingrese la frase de contraseña nuevamente.

Dirección IP externa

Ingrese la dirección IP externa principal a la cual los usuarios de Mobile VPN en ese grupopueden conectarse.

Dirección IP de resguardo

Ingrese la dirección IP externa de resguardo a la cual los usuarios de Mobile VPN en ese grupopueden conectarse. Esa dirección IP de resguardo es opcional. Si añade una dirección IP deresguardo, asegúrese de que sea una dirección IP asignada a una interfaz externa de Firebox.


Seleccione el tiempo máximo en minutos por el cual una sesión de Mobile VPN puede estaractiva.


Seleccione el tiempo en minutos antes que el Firebox cierre una sesión ociosa de Mobile VPN.Los valores de tiempo de espera inactivo y sesión son valores predeterminados de tiempo deespera si el servidor de autenticación no tiene sus propios valores de tiempo de espera. Si usael Firebox como servidor de autenticación, los tiempos de espera para el grupo de Mobile VPNson siempre ignorados porque se definen los tiempos de espera para cada cuenta de usuariode Firebox.

La sesión y los tiempos de espera inactivos no pueden ser más extensos que el valor en elcampo de Duración de SA.Para definir ese valor, en el cuadro de diálogo Configuración de Mobile VPN con IPSec, hagaclic en la pestaña Túnel IPSec y haga clic en Avanzado para Configuración de Fase 1. El valorpredeterminado es de 8 horas.

5. Haga clic en la pestaña Túnel IPSec.Se abre la página Túnel IPSec.





6. Configure:

Utilice la frase de contraseña del perfil del usuario final como clave precompartida

Seleccione esa opción para usar la frase de contraseña del perfil del usuario final como la claveprecompartida para la autenticación de túnel. Debe usar la misma clave compartida en eldispositivo remoto. Esa clave compartida puede contener sólo caracteres ASCII estándares.

Usar un certificado

Seleccione esa opción para usar un certificado para autenticación de túnel.Para más informaciones, vea Use certificados autenticados para el túnel VPN Mobile con IPSecen la página 399.

Dirección IP de CA

Si usa un certificado, ingrese la dirección IP del Management Server que fue configurado comoautoridad de certificación.

Tiempo de espera

Si usa un certificado, ingrese el tiempo en segundos antes del cual el cliente de Mobile VPNwith IPSec deja de intentar conectarse si no hay respuesta de la autoridad de certificación.Recomendamos que se mantenga el valor predeterminado.


Seleccione los métodos de autenticación y cifrado para los túneles VPN. Esa configuración debeser la misma para ambos extremos de VPN. Para realizar configuraciones avanzadas, tal comoNAT Traversal o grupo de clave, haga clic en Avanzado y vea Definir configuraciones avanzadasde Fase 1 en la página 501.

Las opciones de Cifrado están en la lista en orden del más simple y menos seguro al máscomplejo y más seguro:

DES

3DES

AES (128 bits)

AES (192 bits)

AES (256 bit)


Seleccione el PFS (Perfect Forward Secrecy) para activar el PFS y definir el grupo Diffie-Hellman.

Para cambiar otra configuración de propuestas, haga clic en Avanzado y vea Definirconfiguraciones avanzadas Configuraciones de Fase 2 en la página 503.

7. Haga clic en la pestaña Recursos.Aparece la página Recursos.





8. Configure:

Permitir todo el tráfico a través del túnel

Para enviar todo el tráfico de Internet de usuario de Mobile VPN a través del túnel VPN,seleccione esa casilla de verificación.Si seleccione esa casilla, el tráfico de Internet del usuario de Mobile VPN es enviado a través dela VPN. Eso es más seguro, pero disminuye el desempeño de la red.Si no seleccione esa casilla, el tráfico de Internet del usuario de Mobile VPN es enviadodirectamente a Internet. Eso es menor seguro, pero los usuarios pueden navegar por Internetmás rápidamente.

Lista de Recursos Permitidos

Esa lista incluye los recursos a los cuales los usuarios en el grupo de autenticación de MobileVPN puede acceder en la red.

Para agregar una dirección IP o una dirección IP de red a la lista de recursos de red, seleccioneIP del host o IP de red, ingrese la dirección y haga clic en Agregar.

Para eliminar la dirección IP seleccionada o la dirección IP de red de la lista de recursos,seleccione un recurso y haga clic en Remover.

Conjunto de direcciones IP virtuales

Esa lista incluye las direcciones IP internas que son usadas por los usuarios de Mobile VPN porel túnel. Esas direcciones no pueden ser usadas por ningún dispositivo de red ni por otro grupode Mobile VPN.

Para agregar una dirección IP o una dirección IP de red al conjunto de direcciones IP virtuales,seleccione IP de host o IP de red, ingrese la dirección y haga clic en Agregar.

Para quitarla del conjunto de direcciones IP virtuales, seleccione un host o una dirección IP dered y haga clic en Remover.

9. Haga clic en la pestaña Avanzado.Aparece la página "Avanzado".

10. Configurar la Administración de Línea:

Modo de conexión

Manual— En ese modo, el cliente no intenta reiniciar el túnel VPN automáticamente caso estédesactivado. Esa es la configuración predeterminada.

Para reiniciar el túnel VPN, debe hacer clic en el botón Conectar en el Monitor de Conexión, ohacer clic con el botón derecho en el icono de Mobile VPN en la barra de herramientas delescritorio Windows y hacer clic en Conectar.

Automático— En ese modo, el cliente intenta iniciar la conexión cuando su equipo envíatráfico a un destino que puede alcanzar a través de la VPN. El cliente también intenta reiniciarel túnel VPN automáticamente caso esté quede sin disponibilidad.

Variable — En ese modo, el cliente intenta reiniciar el túnel VPN automáticamente hasta quese haga clic en Desconectar. Después de desconectar, el cliente no intenta reiniciar el túnelVPN nuevamente hasta que se haga clic en Conectar.

Tiempo de espera de inactividad





Si elModo de conexión está definido en Automático o Variable, el software cliente MobileVPN with IPSec no intenta renegociar la conexión de VPN hasta que no haya tráfico desde losrecursos de red disponibles a través del túnel por el período de tiempo insertado en Tiempo deespera de inactividad.

Nota Las configuraciones predeterminadas de Administración de Línea sonManual y 0segundos. Si alterar una de ellas, debe usar el archivo .ini para configurar elsoftware cliente.

11. Haga clic en Guardar.La página Mobile VPN with IPSec se abre y el nuevo grupo IPSec aparece en la lista Grupos.


Los usuarios que son miembros del grupo creado no pueden conectarse hasta que importen el archivo deconfiguración correcto en el software cliente Mobile VPN con IPSec. Se debe generar el archivo deconfiguración y luego proveerlo a los usuarios finales.

Para generar los perfiles de usuario final para el grupo editado:


2. Haga clic en Generar.

Nota El Fireware XTM Web UI sólo puede generar el archivo de configuración .ini deusuario móvil. Si desea generar el archivo .wgx, debe usar el Policy Manager.

Configurar el servidor de autenticación externo

Si crea un grupo de usuarios Mobile VPN que se autentica en un servidor externo, asegúrese de crear ungrupo en el servidor que tenga el mismo nombre que se añadió al asistente para el grupo Mobile VPN.

Si usa Active Directory como su servidor de autenticación, los usuarios deben pertenecer a un grupo deseguridad de Active Directory con el mismo nombre que el nombre de grupo configurado para Mobile VPNwith IPSec.

Para RADIUS, VASCO o SecurID, asegúrese de que el servidor RADIUS envía un atributo Filtro-Id (atributo 11de RADIUS) cuando un usuario se autentica con éxito, para informar al Firebox a qué grupo el usuariopertenece. El valor del atributo Filter-Id debe coincidir con el nombre del grupo Mobile VPN como apareceen las configuraciones del servidor de autenticación de Fireware XTM RADIUS. Todos los usuarios de MobileVPN que se autentiquen en el servidor deben pertenecer a ese grupo.

Agregar usuarios a un grupo de Mobile VPN de Firebox

Para abrir un túnel de Mobile VPN con el Firebox, los usuarios remotos ingresan su nombre de usuario ycontraseña para autenticarse. El software del WatchGuard System Manager usa esa información paraautenticar el usuario en el Firebox. Para autenticarse, los usuarios deben formar parte del grupo añadido enel Asistente para agregar VPN de usuario móvil.

Para más información acerca de grupos Firebox, vea Tipos de autenticación de Firebox en la página 223.

Para añadir usuarios a un grupo caso use un servidor de autenticación de terceros, use las instrucciones enla documentación de su proveedor.

Para añadir usuarios a un grupo caso use la autenticación de Firebox:


2. Seleccione la pestaña Firebox.3. Para agregar un nuevo usuario, en la sección Usuarios, haga clic en Agregar.

Aparece el cuadro de diálogo "Configurar Usuario de Firebox".





4. Ingrese un Nombre y una Frase de contraseña para el nuevo usuario. La frase de contraseña debetener al menos 8 caracteres de extensión. Ingrese la frase de contraseña nuevamente paraconfirmarla.La descripción no es obligatoria. Recomendamos que no cambie los valores de Tiempo de espera de sesión yTiempo de espera inactivo.

5. En la sección Grupo de autenticación de Firebox , en la lista Disponible, seleccione el nombre de

grupo y haga clic en .6. Haga clic en OK.

El cuadro de diálogo "Configurar Usuario de Firebox" se cierra. Aparece el nuevo usuario en la página"Servidores de autenticación" en la lista Usuarios.


Modificar un perfil de grupo existente deMobile VPN con IPSec

Después de crear un grupo de Mobile VPN con IPSec, puede editar el perfil en:

n Cambiar la clave compartidan Agregar acceso a más hosts y redesn Restringir acceso a un único destination port, puerto de origen o protocolon Cambiar las configuraciones de Fase 1 y Fase 2

Configurar un grupo de Mobile VPN con IPSec


2. Seleccione el grupo que desea editar y haga clic en Editar.Aparece la página de "Configuración de VPN de Usuario Móvil con IPSec".





3. Configure esas opciones para editar el perfil del grupo:

Servidor de autenticación

Seleccione el autenticación que usar para ese grupo de Mobile VPN. Puede autenticar usuariosal Firebox (Firebox-DB) o a un servidor RADIUS, VASCO, SecurID, LDAP o Active DirectoryServer. Asegúrese de que ese método de autenticación está activado.

frases de contraseña

Para cambiar la frase de contraseña que cifra el archivo .wgx, ingrese una nueva frase decontraseña. La clave compartida puede contener sólo caracteres ASCII estándares. Si usa uncertificado para autenticación, ese es el PIN para el certificado.

Confirmar

Ingrese la nueva frase de contraseña nuevamente.

Principal

Ingrese la dirección IP externa principal o dominio al cual los usuarios de Mobile VPN en esegrupo pueden conectarse.

Resguardo

Ingrese la dirección IP externa de resguardo o dominio al cual los usuarios de Mobile VPN enese grupo pueden conectarse. Esa dirección IP de resguardo es opcional. Si añade unadirección IP de resguardo, asegúrese de que sea una dirección IP asignada a una interfazexterna de Firebox.


Seleccione el tiempo máximo en minutos por el cual una sesión de Mobile VPN puede estaractiva.


Seleccione el tiempo en minutos antes que el Firebox cierre una sesión ociosa de Mobile VPN.Los valores de tiempo de espera inactivo y sesión son valores predeterminados de tiempo deespera si el servidor de autenticación no emite valores específicos de tiempo de espera. Si usael Firebox como servidor de autenticación, los tiempos de espera para el grupo de Mobile VPNson siempre ignorados porque se definen los tiempos de espera para cada cuenta de usuariode Firebox.

La sesión y los tiempos de espera inactivos no pueden ser más extensos que el valor en elcampo de Duración de SA .

Para definir ese valor, en el cuadro de diálogo Configuración de Mobile VPN con IPSec, hagaclic en la pestaña Túnel IPSec y haga clic en Avanzado para Configuración de Fase 1. El valorpredeterminado es de 8 horas.

4. Haga clic en la pestaña Túnel IPSec.





5. Configure esas opciones para editar el IPSec:

Use la frase de contraseña del perfil de usuario final como la clave precompartida

Seleccione esa configuración para usar la frase de contraseña del perfil del usuario final comola clave precompartida para la autenticación de túnel. La frase de contraseña es definida en lapestaña General en la sección Frase de contraseña. Debe usar la misma clave compartida en eldispositivo remoto y esa clave puede contener solamente caracteres ASCII estándares.

Usar un certificado

Seleccione esa opción para usar un certificado para autenticación de túnel.Para más informaciones, vea Use certificados autenticados para el túnel VPN Mobile con IPSecen la página 399.

Dirección IP de CA

Si elige usar un certificado, ingrese la dirección IP del Management Server que fue configuradocomo autoridad de certificación.

Tiempo de espera

Si elige usar un certificado, ingrese el tiempo en segundos antes del cual el cliente de MobileVPN with IPSec deja de intentar conectarse a la autoridad de certificación que no responde.Recomendamos que use la configuración predeterminada.


Seleccione los métodos de autenticación y cifrado para los túneles de Mobile VPN.

Para realizar configuraciones avanzadas, tal como NAT Traversal o grupo de clave, haga clic enAvanzado y Definir configuraciones avanzadas de Fase 1.

Las opciones de Cifrado aparecen en la lista en orden del más simple y menos seguro al máscomplejo y más seguro.

DES

3DES

AES (128 bits)

AES (192 bits)

AES (256 bit)


Seleccione el PFS (Perfect Forward Secrecy) para activar el PFS y definir el grupo Diffie-Hellman.

Para alterar otra configuración de propuesta, haga clic en Avanzado y Definir configuraciónavanzada de Fase 2.

6. Haga clic en la pestaña Recursos.





7. Defina esas opciones para editar las configuraciones:

Permitir todo el tráfico a través del túnel

Para enviar todo el tráfico de Internet de usuario de Mobile VPN a través del túnel VPN,seleccione esa casilla de verificación.Si seleccione esa casilla, el tráfico de Internet del usuario de Mobile VPN es enviado a través dela VPN. Eso es más seguro, pero el acceso al sitio web puede ser lento.Si no seleccione esa casilla, el tráfico de Internet del usuario de Mobile VPN es enviadodirectamente a Internet. Eso es menor seguro, pero los usuarios pueden navegar por Internetmás rápidamente.

Lista de Recursos Permitidos

Esa lista incluye los recursosde redque estándisponibles a los usuariosen el grupo Mobile VPN.

Para agregar una dirección IP o una dirección IP de red a la lista de recursos de red, seleccioneIP del host o IP de red, ingrese la dirección y haga clic en Agregar.

Para eliminar la dirección IP o la dirección IP de red de la lista de recursos, seleccione unrecurso y haga clic en Remover.

Conjunto de direcciones IP virtuales

Las direcciones IP internas que son usadas por los usuarios de Mobile VPN por el túnelaparecen en esa lista. Esas direcciones no pueden ser usadas por ningún dispositivo de red nipor otro grupo de Mobile VPN.

Para agregar una dirección IP o una dirección IP de red al conjunto de direcciones IP virtuales,seleccione IP de host o IP de redo ingrese la dirección y haga clic en Agregar.

Para quitarla del conjunto de direcciones IP virtuales, seleccione un host o una dirección IP dered y haga clic en Remover.


9. Configurar la Administración de Línea:

Modo de conexión

Manual— En ese modo, el cliente no intenta reiniciar el túnel VPN automáticamente caso estédesactivado. Esa es la configuración predeterminada.

Para reiniciar el túnel VPN, debe hacer clic en Conectar en el Monitor de Conexión, o hacerclic con el botón derecho en el icono de Mobile VPN en la barra de herramientas del escritorioWindows y hacer clic en Conectar.

Automático— En ese modo, el cliente intenta iniciar la conexión cuando su equipo envíatráfico a un destino que puede alcanzar a través de la VPN. El cliente también intenta reiniciarel túnel VPN automáticamente caso esté quede sin disponibilidad.

Variable — En ese modo, el cliente intenta reiniciar el túnel VPN automáticamente hasta quese haga clic en Desconectar. Después de desconectar, el cliente no intenta reiniciar el túnelVPN nuevamente hasta que se haga clic en Conectar.

Tiempo de espera de inactividad

Si define elModo de conexión en Automático o Variable, el software cliente Mobile VPN withIPSec no intenta renegociar la conexión de VPN por el tiempo especificado.





Nota Las configuraciones predeterminadas de Administración de Línea sonManual y 0segundos. Si alterar una de ellas, debe usar el archivo .ini para configurar elsoftware cliente.

10. Haga clic en Guardar.Aparece la página de "Mobile VPN with IPSec".


Los usuarios finales que son miembros del grupo editado no pueden conectarse hasta que importen elarchivo de configuración correcto en el software cliente Mobile VPN con IPSec. Se debe generar el archivode configuración y luego proveerlo a los usuarios finales.

Para generar los perfiles de usuario final para el grupo editado:


2. Haga clic en Generar.


Definir configuraciones avanzadas de Fase 1

Puede definir las configuraciones avanzadas de Fase 1 para su perfil del usuario de Mobile VPN.

1. En la página Editar Mobile VPN with IPSec, haga clic en la pestaña Túnel IPSec.2. En la sección Configuración de Fase 1, haga clic en Avanzado.

Aparece la "Configuración Avanzada de Fase 1".

3. Configurar las opciones para el grupo, tal como se describe en las siguientes secciones.Recomendamos que use las configuraciones predeterminadas.


Opciones de Fase 1

Duración de SA

Seleccione una duración de SA (asociación de seguridad) y seleccione Hora oMinuto en la listadesplegable. Cuando la SA caduca, se inicia una nueva negociación de Fase 1. Una duración máscorta de SA es más segura pero la negociación de SA puede producir errores en las conexionesexistentes.

Grupo de claves

Seleccione un grupo Diffie-Hellman. WatchGuard soporta grupos 1, 2 y 5.Los grupos Diffie-Hellman determinan la fuerza de la clave maestra usada en el proceso deintercambio de claves. Cuando más alto sean los números, más seguro, pero se usa más tiempo yrecursos en el equipo cliente y el Firebox debe generar las claves.





NAT Traversal

Seleccione esta casilla de verificación para establecer un túnel de Mobile VPN entre el Firebox yotro dispositivo que esté detrás de un dispositivo NAT. La NAT Traversal, o la Encapsulación de UDP,permite que el tráfico sea enrutado a los destinos correctos.

IKE keep-alive

Seleccione esta casilla de verificación solo si este grupo se conecta a un dispositivo WatchGuard másantiguo y no soporta la Dead Peer Detection. Todos los dispositivos WatchGuard con Fireware v9.x oinferior, Edge v8.x o inferior y todas las versiones del WFS no soportan la Dead Peer Detection. Paraesos dispositivos, seleccione esta casilla de verificación para activar el Firebox para que envíemensajes a su punto IKE para mantener el túnel VPN abierto. No seleccionar IKE keep-alive yDetección de punto.

Intervalo de mensajes

Seleccione el número de segundos para el intervalo de mensajes de mantener conexión IKE.

Máx. de fallas

Estipule un número máximo de veces que el Firebox espera una respuesta de los mensajes demantener conexión IKE antes de terminar la conexión de VPN e iniciar nueva negociación de Fase 1.

Dead Peer Detection

Seleccione esta casilla de verificación para activar la Dead Peer Detection (DPD). Ambos extremosdeben soportar la DPD. Todos los dispositivos WatchGuard con Fireware v10.x y Edge v10.x osuperior soportan la DPD. No seleccionar IKE keep-alive y Detección de punto.

La DPD está basada en RFC 3706 y usa estándares de tráfico de IPSec para determinar si unaconexión está disponible antes que se envíe un paquete. Cuando selecciona la DPD, se envía unmensaje al punto cuando no se recibió ningún tráfico del punto dentro del período de tiemposeleccionado. Si la DPD determina que un punto no está disponible, no se hacen intentos adicionalesde conexión.

Tiempo de espera inactivo de tráfico

Defina el número de segundos que el Firebox espera antes de verificar si el otro dispositivo estáactivo.

Cantidad máxima de reintentos

Defina el número máximo de veces que el Firebox intenta conectarse antes de determinar que elpunto no está disponible, terminar la conexión de VPN e iniciar nueva negociación de Fase 1.

Definir configuraciones avanzadas Configuraciones de Fase 2

Puede definir las configuraciones avanzadas de Fase 2 para su perfil del usuario de Mobile VPN.

1. En la página Editar Mobile VPN with IPSec, haga clic en la pestaña Túnel IPSec.2. En la sección Configuración de Fase 2, haga clic en Avanzado.

Aparece la "Configuración Avanzada de Fase 2".

3. Configurar las opciones de Fase 2, tal como se describe en la siguiente sección.Recomendamos que use las configuraciones predeterminadas.


Opciones de Fase 2

Tipo

Las dos opciones de método de propuesta son ESP o AH. Sólo el ESP es compatible actualmente.

Autenticación

Seleccione el método de autenticación: SHA1 oMD5.

Cifrado

Seleccione un método de cifrado. Las opciones están en la lista en orden del más simple y menosseguro al más complejo y más seguro.

n DESn 3DESn AES(128 bits)n AES (192 bits)n AES (256 bits)





Forzar Caducidad de Clave

Para regenerar los extremos de puerta de enlace e intercambiar nuevas claves después de unperíodo de tiempo o después que pase una cantidad de tráfico por la puerta de enlace, seleccioneesa casilla de verificación.

En el campo Forzar caducidad de clave, seleccione la período de tiempo y número de kilobytes quepuede pasar antes que la clave caduque.

Si Forzar caducidad de Clave está desactivado, o si está activado y la hora y el número de kilobytesestá puestos en cero, el Firebox usa la hora de caducidad de la clave definida para el punto. Si éstatambién está desactivada o en cero, Firebox usa una hora predeterminada de caducidad de clave de8 horas. El período máximo de tiempo que puede pasar antes que caduque una clave es un año.

Configurado servidores WINS y DNS.

Los clientes de Mobile VPN dependen de direcciones compartidas de servidores Windows Internet NameServer (WINS) y Sistema de domain name (DNS). DNS traduce los nombres de host en direcciones IP. WINSdetermina los nombres NetBIOS en direcciones IP. Estos servidores deben ser accesibles desde la interfazde confianza Firebox.

Asegúrese de utilizar sólo un servidor DNS interno. No utilice servidores DNS externos.


2. En el cuadro de texto Domain name, ingrese un domain name para el servidor DNS.3. En los cuadros de texto Servidores DNS y Servidores WINS , ingrese las direcciones de los servidores

WINS y DNS.4. Haga clic en Guardar.

Bloquear un perfil del usuario final

Puede usar la configuración global para bloquear el perfil del usuario final para que los usuarios puedan veralgunas configuraciones, pero no alterarlas, y ocultar otras configuraciones para que los usuarios no puedanalterarlas. Recomendamos que bloquee todos los perfiles, para que los usuarios no puedan haceralteraciones en sus perfiles. Esa configuración es para los archivos de perfil del usuario final .wgx. No sepuede transformar los archivos .ini de perfil del usuario final en solo lectura.

1. Seleccione VPN > Mobile VPN with IPSec.2. Para dar a los usuarios móviles acceso de solo lectura a sus perfiles, seleccione la casilla

Transformar las políticas de seguridad en solo lectura en el cliente de Mobile VPN.





Nota Esa configuración se aplica solamente a archivos .wgx. Debe usar el PolicyManager para generar archivos .wgx para sus usuarios.

Archivos de configuración de Mobile VPN con IPSec

Para configurar el cliente Mobile VPN con IPSec, se importa un archivo de configuración. El archivo deconfiguración también se llama perfil del usuario final. Hay dos tipos de archivos de configuración.

.wgx

Los archivos .wgx son cifrados y pueden ser configurados para que el usuario final no pueda cambiarlas configuraciones en el software cliente Mobile VPN con IPSec. Un archivo .wgx no puedeconfigurar la Administración de Línea en el software cliente. Si define la Administración de Línea enotro modo que no seaManual, debe usar un archivo de configuración .ini.

Para más informaciones, vea Bloquear un perfil del usuario final.

.ini

El archivo .ini es usado solo si no se define la Administración de Línea enManual. El archivo deconfiguración .ini no está cifrado.

Para más información, vea Administración de Línea en la pestaña Avanzado Modificar un perfil degrupo existente de Mobile VPN con IPSec.

Cuando configura un grupo Mobile VPN with IPSec por primera vez, o si hace un cambio en lasconfiguraciones de un grupo, debe generar el archivo de configuración para el grupo y proveerlo a losusuarios finales.

Para usar el Fireware XTM Web UI para generar un perfil de usuario final para un grupo:

1. Seleccione VPN > Mobile VPN> IPSec.2. Seleccione el grupo Mobile VPN y haga clic en Generar.3. Seleccione una ubicación para guardar el archivo de configuración .ini.

Ahora puede distribuir el archivo de configuración a los usuarios finales.


Configurar políticas para filtrar tráfico de Mobile VPN

En una configuración predeterminada, los usuarios de Mobile VPN con IPSec tienen acceso completo a losrecursos de Firebox con la política Cualquiera. La política Cualquiera permite el tráfico en todos los puertosy protocolos entre el usuario de Mobile VPN y los recursos de red disponibles a través del túnel MobileVPN. Para restringir el tráfico del usuario de la VPN por puerto y protocolo, puede eliminar la política

Cualquiera y remplazarla por políticas para restringir acceso.

Agregar una política individual

1. Seleccione Firewall> Políticas de Mobile VPN.2. Debe seleccionar un grupo antes de añadir una política.3. Agregar, editar y eliminar políticas, tal como se describe en Acerca de políticas en la página 251.

Distribuir el software y los perfiles

WathGuard recomienda que distribuya los perfiles del usuario final a través de correo electrónico cifrado uotro método seguro. Cada equipo cliente debe tener:

n Paquete de instalación de software

El paquete de instalaciónWatchGuard Mobile VPN with IPSec está ubicado en el sitio web deLiveSecurity Service en:https://www.watchguard.com/archive/softwarecenter.aspPara descargar el software, debe registrarse en el sitio con su nombre de usuario y contraseña deLiveSecurity Service.

n El perfil de usuario final

Ese archivo contiene el nombre del grupo, la clave compartida y las configuraciones que permitenque un equipo remoto se conecte con seguridad por Internet a una red privada y protegida. El perfilde usuario final tiene el nombre de archivo nombregrupo.wgx. La ubicación predeterminada delarchivo .wgx es:C:\Documents and Settings\All Users\Shared WatchGuard \muvpn\<IP address ofFirebox>\<Mobile VPN with IPSec nombre grupo\wgx

n Dos archivos de certificado, si está autenticando con certificados

Esos son el archivo .p12, que es un archivo cifrado con el certificado, y el cacert.pem, que contieneel certificado raíz (CA). Los archivos .p12 y cacert.pem pueden ser encontrados en la mismaubicación que el .wgx del perfil de usuario final.

n Documentación del usuario

La documentación para ayudar el usuario remoto a instalar el cliente de Mobile VPN e importar elarchivo de configuración de Mobile VPN puede ser encontrada en los Acerca de archivos deconfiguración de cliente MobileVPN tópicos.

n Frases de contraseña

Para importar el perfil de usuario final, el usuario debe ingresar una frase de contraseña. Esa clavedescifra el archivo e importa la política de seguridad en el cliente de Mobile VPN. La frase decontraseña es definida cuando se crea el grupo Mobile VPN en el Policy Manager.

Para más información acerca de cómo cambiar la clave compartida, veaModificar un perfil de grupoexistente deMobile VPN con IPSec en la página 493.



https://www.watchguard.com/archive/softwarecenter.asp



Nota La frase de contraseña, nombre de usuario y contraseña del perfil de usuario finalson informaciones confidenciales. Por cuestiones de seguridad, recomendamosque no ofrezca esa información por correo electrónico. Como el correo electrónicono es seguro, un usuario no autorizado puede usar la información para obteneracceso a su red interna. Ofrezca la información al usuario a través de un métodoque no permita que personas no autorizadas la intercepten.

Tópicos adicionales de Mobile VPN

Esa sección describe los tópicos especiales para Mobile VPN with IPSec.

Estableciendo conexiones salientes de IPSec detrás de un Firebox

Un usuario puede tener que hacer conexiones de IPSec hacia un Firebox detrás de otro Firebox. Porejemplo, si un empleado móvil viaja al local del cliente que tiene un Firebox, él puede hacer conexiones deIPSec hacia su red. Para que el Firebox local administre correctamente la conexión saliente de IPSec, debeconfigurar una política de IPSec que incluya el filtro de paquetes de IPSec.

Para más información acerca de cómo activar políticas, vea Acerca de políticas en la página 251.

Como la política de IPSec activa un túnel para el servidor de IPSec y no realiza ninguna verificación deseguridad en el firewall, agregue a esa política sólo los usuarios en los que confía.

Terminar conexiones de IPSec

Para detener completamente las conexiones de VPN, el Firebox debe ser reiniciado. Las conexionesactuales no se detienen cuando quita la política de IPSec.

Configuraciones de VPN Global

Las configuraciones de VPN Global en su Firebox se aplican a todos los túneles BOVPN, túnelesadministrados y túneles de Mobile VPN. Puede usar esas configuraciones para:

n Activar puerto de transferencia IPSec.n Limpie o mantennga las configuraciones de paquetes con conjunto de señaladores de Tipo de

Servicio (TOS).n Usar un servidor de LDAP para verificar los certificados.

Para cambiar esa configuración, en el Fireware XTM Web UI, seleccione VPN > Configuraciones Globales..Para más informaciones acerca de esas configuraciones, vea Acerca de las configuraciones de VPN Globalen la página 438.

Ver el número de licencias de Mobile VPN

Puede ver el número de licencias de Mobile VPN que están instaladas en la Tecla de Función.

1. En el Fireware XTM Web UI, seleccione Sistema > Tecla de función.Aparece la página "Tecla de Función".

2. Deslice hacia abajo hasta Usuarios de Mobile VPN en la columna Función, y busque el número en lacolumna Valor. Ese es el número máximo de usuarios de Mobile VPN que pueden conectarse almismo tiempo.

Adquirir licencias adicionales de Mobile VPN

El Mobile VPN with IPSec de WatchGuard es una función opcional. Cada dispositivo Firebox X incluyealgunas licencias de Mobile VPN. Es posible adquirir más licencias para Mobile VPN.

Las licencias están disponibles a través de su revendedor local o en el sitio web de WatchGuard:http://www.watchguard.com/sales

Agregar teclas de función

Para más información acerca de cómo añadir teclas de función, vea Acerca de las teclas de función en lapágina 51.

Mobile VPN y failover de VPN

Puede configurar túneles VPN para hacer conmutación por error a un extremo de resguardo si el extremoprincipal queda no disponible. Para más información acerca del failover de VPN, vea Configurar Failover deVPN en la página 456.

Si la conmutación por error (failover) de VPN está configura y ocurre una conmutación por error, lassesiones de Mobile VPN no tienen continuidad. Debe autenticar su cliente de Mobile VPN nuevamentepara hacer un nuevo túnel de Mobile VPN.

Para configurar un failover de VPN para túneles de Mobile VPN:

1. En el Fireware XTM Web UI , seleccione VPN > Mobile VPN with IPSec.Aparece la página de "Configuración de Mobile VPN con IPSec".

2. Seleccione un grupo de usuarios móviles en la lista y haga clic en Editar.Aparece el cuadro de diálogo de "Editar Mobile VPN with IPSec".

3. Seleccione la pestaña General.4. En la sección Direcciones IP de Firebox, ingrese la dirección IP de interfaz WAN de resguardo en el

campo Dirección IP de resguardo .Puede especificar sólo una interfaz de resguardo hacia la cual los túneles conmutan por error,aunque tenga interfaces WAN adicionales.

Configurar Mobile VPN with IPSec para una dirección IPdinámica

Recomendamos que use o una dirección IP estática para un Firebox que sea un extremo de VPN o use DNSdinámico. Para más información acerca del DNS dinámico, vea Página Acerca de Servicio DNS dinámico enla página 88.



http://www.watchguard.com/sales



Si ninguna de esas opciones es posible y la dirección IP externa del Firebox cambia, debe otorgar un nuevoarchivo de configuración .wgx a los usuarios de IPSec remoto o pedirles que editen la configuración clientepara que ésta incluya la nueva dirección IP siempre que la dirección IP cambie. De lo contrario, los usuariosIPSec no pueden conectarse hasta que obtengan el nuevo archivo de configuración o dirección IP.

Use estas instrucciones para configurar el Firebox y dar soporte a los usuarios del cliente IPSec si el Fireboxtiene una dirección IP dinámica y no puede usar un DNS dinámico.

Mantenga un registro de la dirección IP actual

Use ese procedimiento para encontrar la dirección IP actual de la interfaz externa de Firebox:

1. En el Fireware XTM Web UI, seleccione Estado del sistema> Interfaces.2. Busque la interfaz con el alias Externo y busque la dirección IP en la columna IP . Esa es la dirección

IP externa del Firebox.

Esa es la dirección IP guardada en los archivos de configuración .wgx. Cuando los usuarios remotos dicenque no pueden conectarse, verifique la dirección IP externa del Firebox para ver si la dirección IP cambió.

Configurar los equipos clientes Firebox e IPSec

El Firebox debe tener una dirección IP asignada a la interfaz externa antes que se descarguen los archivos.wgx. Esa es la única diferencia de la configuración normal de los equipos clientes Firebox e IPSec.

Actualizar las configuración del cliente cuando cambia la dirección

Cuando la dirección IP externa del Firebox cambia, los equipos clientes de Mobile VPN con IPSec remoto nopueden conectarse hasta que sean configurados con una nueva dirección IP. Se puede cambiar la direcciónIP de dos maneras.

n Otorgue un nuevo archivo de configuración .wgx a los usuarios remotos para que lo importen.n Solicite a los usuarios remotos que editen manualmente la configuración del cliente IPSec. Para esa

opción, debe configurar el Firebox para que los usuarios remotos puedan editar la configuración.Para más informaciones, vea Bloquear un perfil del usuario final en la página 506.

Para otorgar un nuevo archivo de configuración .wgx a los usuarios remotos:

1. En el Fireware XTM Web UI, seleccione VPN >Mobile VPN with IPSec.

2. Seleccione un grupo de usuarios de Mobile VPN y haga clic en Generar para crear y descargar losarchivos .wgx.

3. Distribuya los archivos .wgx a los usuarios remotos.4. Solicite que los usuarios remotos Importar el perfil de usuario final.

Para que los usuarios editen manualmente la configuración cliente:

1. Otorgue a los usuarios remotos la nueva dirección IP externa del Firebox y solicite que sigan lospróximos cinco pasos.

2. En el equipo cliente IPSec seleccione Inicio > Todos los programas > WatchGuard Mobile VPN >Mobile VPN Monitor.

3. Seleccione Configuración > Configuración de perfil.4. Seleccione el perfil y haga clic en Configurar.

5. En la columna de la izquierda, seleccione Configuración general de IPSec.6. Para Puerta de enlace, ingrese la nueva dirección IP externa del Firebox.

Página Acerca de cliente Mobile VPN with IPSecEl cliente Mobile VPN con IPSec de WatchGuard es instalado en un equipo cliente móvil, caso el usuarioviaje o trabaje desde su casa. El usuario se conecta con una conexión a Internet estándar y activa el clienteMobile VPN para acceder a los recursos protegidos de red.

El cliente Mobile VPN crea un túnel cifrado hacia sus redes de confianza y opcional, que están protegidaspor un Firebox de WatchGuard. El cliente Mobile VPN permite proveer acceso remoto a sus redes internasy no comprometer su seguridad.

Requisitos del cliente

Antes de instalar el cliente, asegúrese que entiende esos requisitos y recomendaciones.

Debe configurar su Firebox para que funcione con Mobile VPN with IPSec. Si todavía no lo hizo, vea lostópicos que describen cómo configurar su Firebox para usar Mobile VPN.

n Puede instalar el software cliente Mobile VPN con IPSec en cualquier equipo con Windows 2000,Windows XP (32 bits y 64 bits), Windows Vista (32 bits y 64 bits) o Windows 7 (32 bits y 64 bits).Antes de instalar el software cliente, asegúrese de que el equipo remoto no tenga un softwarecliente Mobile User VPN de IPSec instalado. También debe desinstalar cualquier software defirewall de escritorio (que no sea el software de firewall de Microsoft) de cada equipo remoto.

n Si el equipo cliente usaWindows XP, debe iniciar sesión usando una cuenta que tenga derechos deadministrador para instalar el software cliente Mobile VPN e importar el archivo de configuración.wgx o .ini. Después que el cliente haya sido instalado y configurado, los derechos de administradorno son requeridos para conectarse.

n Si el equipo cliente usaWindows Vista, debe iniciar sesión usando una cuenta que tenga derechosde administrador para instalar el software cliente Mobile VPN. Los derechos de administrador noson necesarios para importar un archivo .wgx o .ini o para conectarse después que el cliente hayasido instalado.

n Recomendamos que se asegure de que todos los service packs disponibles estén instalados antes deinstalar el software cliente Mobile VPN.

n Se obtiene la configuración de WINS y DNS para el cliente Mobile VPN en el perfil del cliente queimporta cuando configura su cliente Mobile VPN.

n Recomendamos que no altere la configuración de ningún cliente Mobile VPN que no estéexplícitamente descrita en esta documentación.

Instalar el software cliente de Mobile VPN con IPSec

El proceso de instalación consiste de dos partes: instalar el software cliente en el equipo remoto e importarel perfil de usuario final en el cliente. Antes de iniciar la instalación, asegúrese de tener los siguientescomponentes de instalación:

n El archivo de instalación de Mobile VPNn Un perfil de usuario final, con una extensión de archivo .wgx o .ini





n frases de contraseñan Un archivo cacert.pem y un .p12 (si usa certificados para autenticar)n Nombre de usuario y contraseña

Nota Tome nota de la clave compartida y manténgala en un lugar seguro. Debe usarladurante los pasos finales del procedimiento de instalación.

Para instalar el cliente:

1. Copie el archivo de instalación de Mobile VPN en el equipo remoto y extraiga los contenidos delarchivo.

2. Copie el perfil del usuario final (el archivo .wgx o .ini) en el directorio raíz en el equipo remoto(cliente o usuario). No ejecute el software de instalación a partir de un CD u otra unidad externa.Si usa certificados para autenticarse, copie los archivos cacert.pem y .p12 en el directorio raíz.

3. Haga doble clic en el archivo .exe extraído en el Paso 1. Eso inicia el WatchGuard Mobile VPNInstallation wizard. Debe reiniciar su equipo cuando el asistente de instalación se reinicia.

Para instrucciones detalladas para usuarios finales clientes de Mobile VPN con IPSec, vea Instrucciones deusuario final para la instalación del cliente VPN Mobile con IPSec deWatchGuard en la página 526.

Importar el perfil de usuario final

Cuando el equipo se reinicia, abre el cuadro de diálogo WatchGuard Mobile VPN Connection Monitor.Cuando el software se inicia por primera vez después de instalarlo, encuentra este mensaje:

¡No hay perfil para el marcado de VPN! ¿Desea usar el asistente de configuraciónpara crear un perfil ahora?

Haga clic en No.

Para apagar la funcionalidad de inicio automático del Connection Monitor, seleccione Ver > Inicioautomático > No iniciar automáticamente.

Para importar un archivo .wgx o .ini de configuración de Mobile VPN:

1. En el escritorio del Windows, seleccione Inicio > Todos los programas > WatchGuard Mobile VPN >Monitor de Mobile VPN.

2. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuración > Importar perfil.Se inicia el Asistente de Importación de Perfil.

3. En la pantalla Seleccionar perfil de usuario, vaya hacia la ubicación del archivo de configuración .wgxo .ini.

4. Haga clic en Siguiente.5. Si usa un archivo .wgx, en la pantalla Descifrar persil de usuario, ingrese la frase de contraseña. La

frase de contraseña distingue mayúsculas de minúsculas.6. Haga clic en Siguiente.7. En la pantalla Sobrescribir o agregar perfil, puede seleccionar sobrescribir un perfil con el mismo

nombre. Eso es útil si su administrador de red le ofrece un nuevo archivo .wgx para importar.8. Haga clic en Siguiente.

9. En la pantalla Autenticación, puede seleccionar si desea ingresar el nombre de usuario y contraseñaque usa para autenticar el túnel VPN.Si mantiene esos campos vacíos, se solicita que inserte su nombre de usuario y contraseña siempreque se conecte.Si inserta su nombre de usuario y contraseña, el Firebox los almacena y no hace falta inserir esainformación siempre que se conecte. No obstante, eso representa un riesgo de seguridad. Tambiénpuede ingresar sólo su nombre de usuario y mantener el campo contraseña vacío.

10. Haga clic en Siguiente.11. Haga clic en Finalizar.

El equipo ahora está listo para usar el Mobile VPN with IPSec.

Seleccione un certificado e ingrese el PIN

Si usa certificados para autenticación, debe seleccionar el certificado correcto para la conexión. Debe tenerun archivo cacert.pem y un .p12.

1. Seleccione Configuración> Certificados.2. Haga doble clic en una configuración de certificado para abrirla.3. En la pestaña Certificado de usuario, seleccione del archivo PKS#12 en la lista desplegable

Certificado.4. Al lado del cuadro de texto Nombre de archivo PKS#12, haga clic en el botón y examine la ubicación

del archivo .p12.5. Haga clic en OK.6. Seleccione Conexión > Insertar PIN.7. Ingrese el PIN y haga clic en Aceptar.

El PIN es la frase de contraseña insertada para cifrar el archivo cuando esté ejecutando el "Add Mobile UserVPN Wizard".

Desinstalar el cliente Mobile VPN

Puede ser necesario desinstalar el cliente Mobile VPN. Recomendamos que use la herramienta deWindows Agregar/Quitar programas para desinstalar el cliente Mobile VPN. Después que se instala elsoftware cliente Mobile VPN por primera vez, no es necesario desinstalarlo antes de aplicar unaactualización al software cliente.

Antes de iniciar, desconecte todos los túneles y cierre el Mobile VPN Connection Monitor. Desde elescritorio de Windows:

1. Haga clic en Inicio > Configuración > Panel de control.Aparece la ventana "Panel de control".

2. Haga doble clic en el icono de Agregar/Quitar Programas.Aparece la ventana Agregar/Quitar Programas.

3. Seleccione WatchGuard Mobile VPN y haga clic en Alterar/Quitar.Aparece la venta del Asistente InstallShield.

4. Haga clic en Quitar y después en Siguiente.Aparece el cuadro de diálogo Confirmar eliminación de archivo.





5. Haga clic en Aceptar para remover completamente todos los componentes. Si no selecciona esacasilla de verificación al final de la desinstalación, la próxima vez que instala el software Mobile VPN,la configuración de conexión de esa instalación será usada para la nueva instalación.

Conecte y desconecte el cliente Mobile VPN

El software cliente Mobile VPN con IPSec de WatchGuard establece una conexión segura por Internetdesde un equipo remoto hacia su red protegida. Para iniciar esa conexión, debe conectarse a Internet yusar el cliente Mobile VPN para conectarse a la red protegida.

Establezca su conexión a Internet a través de una conexión de red de marcado o una conexión LAN. Luego,use las instrucciones abajo para seleccionar su perfil, conectar y desconectar, haciendo clic con el botónderecho en el icono en su barra de herramientas de Windows.


2. En la lista desplegable Perfil, seleccione el nombre del perfil creado para sus conexiones de MobileVPN al Firebox.

3. Haga clic en para conectarse.

Desconectar el cliente Mobile VPN

En el cuadro de diálogo Monitor de Mobile VPN, haga clic en para desconectar.

Controlar el comportamiento de conexión

Para cada perfil importado, puede controlar la acción que el software cliente Mobile VPN toma cuando eltúnel VPN deja de estar disponible por cualquier motivo. Puede hacer esas configuraciones en el dispositivoWatchGuard y usar un archivo .ini para configurar el software cliente. Un archivo .wgx no cambia esasconfiguraciones.

Para definir manualmente el comportamiento del cliente Mobile VPN cuando el túnel VPN deja de estardisponible:

1. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuración > Perfiles.2. Seleccione el nombre del perfil y haga clic en Editar.

3. En el panel izquierdo, seleccione Administración de línea.

4. Use la lista desplegable Modo de conexión para definir un comportamiento de conexión para eseperfil.

n Manual— Cuando selecciona el modo de conexiónmanual, el cliente no intentareiniciar el túnel VPN automáticamente caso esté desactivado. Para reiniciar el túnelVPN, debe hacer clic en el botón Conectar en el Monitor de Conexión, o hacer clic con elbotón derecho en el icono de Mobile VPN en la barra de herramientas del escritorioWindows y hacer clic en Conectar.





n Automático— Cuando selecciona el modo de conexión automático, el cliente intentainiciar la conexión cuando su equipo envía tráfico a un destino que puede alcanzar através de la VPN. El cliente también intenta reiniciar el túnel VPN automáticamente casoesté desactivado.

n Variable — Cuando selecciona el modo de conexión variable, el cliente intenta reiniciarel túnel VPN automáticamente hasta que se haga clic en Desconectar. El cliente nointenta reiniciar el túnel VPN nuevamente hasta que se haga clic en Conectar.

5. Haga clic en OK.

Icono del cliente Mobile User VPN

El El icono de Mobile User VPN aparece en la bandeja de sistema del escritorio de Windows mostrando elestado del firewall de escritorio, del firewall de enlace y de la red VPN. Puede hacer clic con el botónderecho en el icono para conectar y desconectar el Mobile VPN y ver cuál perfil está en uso.

Vea los mensajes de registro del Mobile VPN

Puede usar el archivo de registro del cliente Mobile VPN para solucionar problemas con la conexión delcliente VPN.

Para ver los mensajes de registro de Mobile VPN, seleccione Registro> Libro de registro del Monitor deConexión.Aparece el cuadro de diálogo "Libro de Registros".

Proteger su equipo con el firewall de Mobile VPN

El cliente Mobile VPN con IPSec de WatchGuard incluye dos componentes de firewall:

Firewall de enlace

El firewall de enlace no está activado por defecto. Cuando el firewall de enlace está activado, suequipo desecha los paquetes recibidos de otros equipos. Puede elegir activar el firewall de enlacesólo cuando un túnel de Mobile VPN esté activo, manténgalo habilitado todo el tiempo.

Firewall de escritorio

Ese firewall completo puede controlar las conexiones hacia y desde su equipo. Puede definir redesconocidas y definir reglas de acceso separadamente para redes desconocidas o conocidas.

Activar el firewall del enlace

Cuando el firewall de enlace está activado, el software cliente Mobile VPN desecha los paquetes enviados asu equipo desde otros hosts. Sólo permite paquetes enviados a su equipo en respuesta a paquetes a su vezenviados por su equipo. Por ejemplo, si envía una solicitud a un servidor HTTP a través de un túnel desde suequipo, el tráfico de respuesta desde el servidor HTTP está permitido. Si un host intenta enviar una solicitudHTTP a su equipo a través del túnel, ésta es negada.

Para activar el firewall de enlace:

1. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuración > Perfiles.2. Seleccione el perfil para el cual desea activar el firewall de enlace y seleccione Editar.3. En el panel izquierdo, seleccione Firewall de enlace.

4. En la lista desplegable Inspección de estado, seleccione cuando conectado o siempre. Si selecciona"cuando conectado", el firewall de enlace funciona solo cuando el túnel VPN está activo para esteperfil.Si selecciona siempre, el firewall de enlace está siempre activo, esté el túnel VPN activo o no.

5. Haga clic en OK.





Página Acerca de firewall de escritorio

Cuando activa una regla en sus configuraciones de firewall, debe especificar a qué tipo de red la regla seaplica. En el cliente Mobile VPN, hay tres tipos diferentes de redes:

Redes VPN

Redes definidas para el cliente en el perfil del cliente que importan.

Redes desconocidas

Cualquier rede no especificada en el firewall.

Redes conocidas

Cualquier red especificada en el firewall como conocida.

Para más información acerca de cómo activar un firewall de escritorio, vea Activar firewall de escritorio enla página 519.

Activar firewall de escritorio

Para activar el firewall de escritorio completo:

1. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuración > Firewall.El firewall está desactivado por defecto.

2. Cuando activa el firewall, debe elegir entre dos modos de firewall:n Configuración básica bloqueada — Cuando activa ese modo, el firewall niega todas las

conexiones hacia o desde su equipo, excepto si creó una regla para permitir la conexión.n Configuración básica abierta — Cuando activa ese modo, el firewall permite todas las

conexiones, excepto si creó una regla para negar la conexión.

3. Haga clic en OK.

Después de activar el firewall de escritorio, puede configurar su firewall.

Para más información acerca de cómo definir redes conocidas y crear reglas de firewall, vea Definir redesconocidas en la página 520 y Crear reglas de firewall en la página 521.

Definir redes conocidas

Puede generar un conjunto de reglas de firewall para redes conocidas específicas que usted defina. Porejemplo, si desea usar el cliente Mobile VPN en una red local en la cual desea que su equipo estédisponible para otros equipos, puede añadir la dirección de red de esa LAN como red conocida. Eso haceque las reglas de firewall para esa LAN sean diferentes de las reglas de firewall creadas para conexioneshacia Internet y redes VPN remotas.

1. En el cuadro de diálogo Configuración de firewall, haga clic en la pestaña Redes conocidas.2. Haga clic en Agregar para añadir una nueva red conocida.

La función de detección automática de Red Conocida no funciona correctamente en esta versión delsoftware cliente Mobile VPN con IPSec.





Crear reglas de firewall

Puede crear excepciones al modo de firewall definido en la activación del firewall en la pestaña Reglas defirewall del cuadro de diálogo Configuración de firewall. Por ejemplo, si seleccionó Configuración básicabloqueada al activar el firewall, entonces las reglas creadas aquí permiten el tráfico. Si seleccionóConfiguración básica abierta, las reglas creadas aquí niegan el tráfico. Las reglas de firewall pueden incluirmúltiples números de puerto desde un único protocolo.

Seleccione o limpie las casillas de verificación abajo Ver configuración para mostrar o ocultar categorías dereglas de firewall. Algunas opciones no están disponibles en el Mobile VPN para la versión de WindowsMobile del firewall de escritorio.

Para crear una regla, haga clic en Agregar. Use las cuatro pestañas en el cuadro de diálogo Entrada de reglade firewall para definir el tráfico que desea controlar:

n Pestaña Generaln Pestaña Localn Pestaña Remoton Pestaña Aplicaciones

Pestaña General

Puede definir las propiedades básicas de sus reglas de firewall en la pestaña General del cuadro de diálogoEntrada de regla de firewall.

Nombre de la regla

Ingrese un nombre descriptivo para esa regla. Por ejemplo, puede crear una regla llamada"navegación web" que incluya tráfico en puertos de TCP 80 (HTTP), 8080 (HTTP alternativo) y 443(HTTPS).

Estado

Para hacer que una regla esté inactiva, seleccione Desactivar. Las nuevas reglas son activas pordefecto.

Dirección

Para aplicar la regla al tráfico proveniente de su equipo, seleccione saliente. Para aplicar la regla altráfico que es enviado a su equipo, seleccione entrante. Para aplicar la regla a todo el tráfico,seleccione bidireccional.

Asignar regla a

Seleccionar las casillas al lado de los tipos de red a los que se aplica esa regla.

Protocolo

Use esa lista desplegable para seleccionar el tipo de tráfico de red que desea controlar.





Pestaña Local

Puede definir los puertos y las direcciones IP locales que son controlados por su regla de firewall en lapestaña Local en el cuadro de diálogo Entrada de regla de firewall. Recomendamos que, en cualquierregla, configure las Direcciones IP locales para activar el botón de radio Cualquier dirección IP. Si configurauna política entrante, puede añadir los puertos con los cuales controlar esa política en la configuración dePuertos Locales. Si desea controlar más de un puerto a en la misma política, seleccione Varios puertos orangos. Haga clic en Nuevo para agregar cada puerto.

Si seleccione el botón de radio Explicitar dirección IP, asegúrese de que especifica una dirección IP. Ladirección IP no debe estar definida en 0.0.0.0.

Pestaña Remoto

Puede definir los puertos y direcciones IP remotas que son controlados por esa regla en la pestaña Remotodel cuadro de diálogo Entrada de regla de firewall.

Por ejemplo, si su firewall está definido para que niegue todo el tráfico y desea crear una regla parapermitir conexiones POP3 salientes, agregue la dirección IP de su servidor POP3 como Explicitar direcciónIP en la sección Direcciones IP remotas. Después, en la sección Puertos remotos, especifique el puerto110 como un Explicitar puerto para esa regla.

Si seleccione el botón de radio Explicitar dirección IP, asegúrese de que especifica una dirección IP. Ladirección IP no debe estar definida en 0.0.0.0.





Pestaña Aplicaciones

Puede limitar su regla de firewall para que se aplique solo cuando se usa un programa especificado.

1. En la pestaña Aplicaciones en el cuadro de diálogo "Entrada de regla de firewall", seleccione lacasilla Vincular regla a la aplicación abajo. Esa pestaña no está disponible en el Mobile VPN para laversión de Windows Mobile del firewall de escritorio.

2. Haga clic en Seleccionar aplicación para examinar su equipo local en busca de una lista deaplicaciones disponibles.

3. Haga clic en OK.

Instrucciones de usuario final para la instalación del clienteVPN Mobile con IPSec de WatchGuard

Nota Esas instrucciones están escritas para usuarios finales del cliente Mobile VPN conIPSec. Ellas informan a los usuarios finales que contacten a su administrador dered para obtener instrucciones acerca de cómo instalar un firewall de escritorio oconfigurar el firewall que forme parte del software cliente, y para obtener laconfiguración para controlar el comportamiento de conexión caso no usen unarchivo .ini. Puede imprimir esas instrucciones o usarlas para crear un conjunto deinstrucciones para sus usuarios finales.

El cliente Mobile VPN con IPSec de WatchGuard crea una conexión cifrada entre su equipo y el Firebox conuna conexión a Internet estándar. El cliente Mobile VPN le permite tener acceso a recursos protegidos dered desde cualquier ubicación remota con una conexión a Internet.

Antes de instalar el cliente, asegúrese de entender esos requisitos y recomendaciones:





n Puede instalar el software cliente Mobile VPN con IPSec en cualquier equipo con Windows 2000Pro, Windows XP (32 bits y 64 bits) o Windows Vista (32 bits y 64 bits).

n Asegúrese de que el equipo no tenga ningún otro software cliente Mobile User VPN de IPSecinstalado.

n Desinstale cualquier software de firewall de escritorio (que no sea el software de firewall deMicrosoft) de su equipo.

n Si el equipo cliente usa el Windows XP para instalar el software cliente Mobile VPN y para importarel archivo de configuración .wgx, debe iniciar sesión con una cuenta que tenga derechos deadministrador. Después que el cliente haya sido instalado y configurado, los derechos deadministrador no son requeridos para conectarse.

n Si el equipo cliente usaWindows Vista, para instalar el software cliente Mobile VPN, debe iniciarsesión usando una cuenta que tenga derechos de administrador. Los derechos de administrador noson necesarios para importar un archivo .wgx o .ini o para conectarse después que el cliente hayasido instalado.

n Recomendamos que se asegure de que todos los service packs disponibles estén instalados antes deinstalar el software cliente Mobile VPN.

n Recomendamos que no altere la configuración de ningún cliente Mobile VPN que no estéexplícitamente descrita en esta documentación.

Antes de iniciar la instalación, asegúrese de tener los siguientes componentes de instalación:

n Archivo de instalación del software Mobile VPN with IPSecn Perfil de usuario final, con una extensión de archivo .wgx o .ini.n Frase de contraseña (caso el perfil de usuario final sea un archivo .wgx o la conexión use certificados

para autenticación)n Nombre de usuario y contraseñan Archivo de certificado cacert.pem y .p12 (caso la conexión use certificados para autenticación)

Instale el software cliente

1. Copie el archivo .zip del Mobile VPN en el equipo remoto y extraiga los contenidos del archivo haciael directorio raíz en el equipo remoto (cliente o usuario). No ejecute el software de instalación apartir de un CD u otra unidad externa.

2. Copie el perfil del usuario final (archivo .wgx o .ini) en el directorio raíz.Si usa certificados para autenticarse, copie también los archivos cacert.pem e .p12 en el directorio raíz.

3. Haga doble clic en el archivo .exe extraído en el Paso 1. Eso inicia el Asistente de Instalación delMobile VPN de WatchGuard. Debe reiniciar su equipo cuando el asistente de instalación se reinicia.

4. Haga clic en la secuencia del asistente y acepte todas las configuraciones predeterminadas.5. Reinicie su equipo cuando el asistente de instalación se concluye.6. Cuando el equipo se reinicia, aparece el cuadro de diálogo WatchGuard Mobile VPN Connection

Monitor. Cuando el software se inicia por primera vez después de instalarlo, encuentra estemensaje:

¡No hay perfil para el marcado de VPN!¿Desea usar el asistente de configuración para crear un perfil ahora?

7. Haga clic en No.8. Seleccione Ver >Inicio automático > No iniciar automáticamente para que el programa no se

ejecute automáticamente.

Después de instalar el software cliente, reinstale el software del firewall de escritorio o configure el firewallque forme parte del software cliente. Si usa un firewall de escritorio de terceros, asegúrese de configurarlopara permitir que el tráfico establezca el túnel VPN y que fluya tráfico por ese túnel. Contacte suadministrador de red para obtener instrucciones.

Importar el perfil del usuario final

El archivo del perfil del usuario final configura el cliente Mobile VPN con los ajustes necesarios para crearun túnel VPN.

Para importar un archivo .wgx o .ini de configuración de Mobile VPN:


2. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuración > Importar perfil.Se inicia el Asistente de Importación de Perfil.

3. En la pantalla Seleccionar perfil de usuario, vaya hacia la ubicación del archivo de configuración .wgxo .ini.

4. Haga clic en Siguiente.5. Si usa un archivo .wgx, en la pantalla Descifrar persil de usuario, ingrese la frase de contraseña. La

frase de contraseña distingue mayúsculas de minúsculas.6. Haga clic en Siguiente.7. En la pantalla Sobrescribir o agregar perfil, puede seleccionar sobrescribir un perfil con el mismo

nombre. Eso es útil si su administrador de red le ofrece un nuevo archivo .wgx para importar.8. Haga clic en Siguiente.9. En la pantalla Autenticación, puede seleccionar si desea ingresar el nombre de usuario y contraseña

que usa para autenticar el túnel VPN.

Si mantiene esos campos vacíos, debe insertar su nombre de usuario y contraseña siempre que seconecte.

Si inserta su nombre de usuario y contraseña, el Firebox los almacena y no hace falta inserir esainformación siempre que se conecte. No obstante, eso representa un riesgo de seguridad. Tambiénpuede ingresar sólo su nombre de usuario y mantener el campo contraseña vacío.

10. Haga clic en Siguiente.11. Haga clic en Finalizar.

Seleccione un certificado e ingrese el frase de contraseña

Complete esa sección sólo si tiene un archivo cacert.pem y un .p12.

1. Seleccione Configuración> Certificados.2. En la pestaña Certificado de usuario, seleccione del archivo PKS#12 en la lista desplegable

Certificado.3. Al lado del cuadro de texto Nombre de archivo PKS#12, haga clic en el botón y examine la ubicación

del archivo .p12.4. Haga clic en OK.5. Seleccione Conexión > Insertar PIN.6. Ingrese su frase de contraseña y haga clic en Aceptar.





Conecte y desconecte el cliente Mobile VPN

Conéctese a Internet a través de una conexión de red de marcado o una conexión LAN. Luego, use lasinstrucciones abajo para seleccionar su perfil, conectarse y desconectarse.

Para seleccionar su perfil y conectarse al cliente Mobile VPN:

1. En el escritorio del Windows, seleccione Inicio > Todos los programas > WatchGuard Mobile VPN >Monitor de Mobile VPN.Aparece el cuadro de diálogo Mobile VPN de WatchGuard.

2. En la lista desplegable Perfil, seleccione el nombre del perfil importado.

3. Haga clic en para conectarse.El icono del cliente Mobile User VPN aparece en la bandeja de sistema de Windows cuando está conectado.

Para desconectar el cliente Mobile VPN:

1. Cuadro de diálogo Restaurar el Monitor de Mobile VPN.2. Haga clic en para desconectarse.

Controlar comportamiento de conexión

El comportamiento de conexión controla la acción que el software cliente Mobile VPN toma cuando eltúnel VPN se vuelve no disponible por cualquier motivo. Por defecto, debe reconectar manualmente. Nose requiere que altere el comportamiento de conexión, pero puede seleccionar reconectar de formaautomática o variable. Contacte su administrador de red para obtener una sugerencia de configuración.

Nota Si importa un archivo .ini para configurar el software cliente, no altere ningunaconfiguración de la Administración de Línea. El archivo .ini realiza esasconfiguraciones.

Para definir el comportamiento del cliente Mobile VPN cuando el túnel VPN deja de estar disponible:

1. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuración > Perfiles.2. Seleccione el nombre del perfil y haga clic en Editar.

3. En el panel izquierdo, seleccione Administración de línea.

4. Use la lista desplegable Modo de conexión para definir un comportamiento de conexión para eseperfil.

o Manual— Cuando selecciona el modo de conexiónmanual, el cliente no intenta reiniciar eltúnel VPN automáticamente caso esté desactivado.Para reiniciar el túnel VPN, debe hacer clic en el botón Conectar en el Monitor de Conexión,o hacer clic con el botón derecho en el icono de Mobile VPN en la barra de herramientas delescritorio Windows y hacer clic en Conectar.





o Automático— Cuando selecciona el modo de conexión automático, el cliente intenta iniciarla conexión cuando su equipo envía tráfico a un destino que puede alcanzar a través de laVPN. El cliente también intenta reiniciar el túnel VPN automáticamente caso esté desactivado.

o Variable — Cuando selecciona el modo de conexión variable, el cliente intenta reiniciar eltúnel VPN automáticamente hasta que se haga clic en Desconectar. Después de desconectar,el cliente no intenta reiniciar el túnel VPN nuevamente hasta que se haga clic en Conectar.

5. Haga clic en OK.

Icono del cliente Mobile User VPN

El El icono del Mobile User VPN aparece en la bandeja de sistema de Windows mostrando el estado de laconexión de VPN. Puede hacer clic con el botón derecho en el icono para reconectar y desconectar elMobile VPN y para ver el perfil en uso.

Configuración delMobile VPNparaWindowsMobileEl Mobile VPN de WatchGuard paraWindows Mobile usa la conexión de datos en un dispositivo que ejecutael sistema operativo de Windows Mobile para establecer una conexión de VPN segura a redes protegidaspor un Firebox compatible con el Mobile VPN with IPSec. El Mobile VPN paraWindows Mobile tiene doscomponentes:

n El WatchGuard Mobile VPN WM Configurator es ejecutado en un equipo que puede estableceruna conexión con el dispositivo Windows Mobile usando el Microsoft ActiveSync. El Configuratorconfigura y sube el software cliente al dispositivo Windows Mobile.

n El software cliente Mobile VPN de WatchGuard se ejecuta en el dispositivo Windows Mobile. ElWatchGuard Mobile VPN Service debe estar en ejecución para que se establezca una conexión deVPN. El WatchGuard Mobile VPN Monitor permite seleccionar un perfil de usuario final cargado yconectarse a la VPN.

El Mobile VPN paraWindows Mobile usa los mismos archivos .wgx de perfil de usuario final que son usadospara configurar el Mobile VPN with IPSec. Para crear el perfil de usuario final, vea Configurar el Fireboxpara Mobile VPN with IPSec en la página 483.

Los requisitos del cliente Mobile VPN WM Configurator y deIPSec de Windows Mobile

Antes de instalar el cliente, asegúrese que entiende esos requisitos y recomendaciones para trabajar con elMobile VPN with IPSec. Si todavía no lo hizo, vea los tópicos que describen cómo configurar su Firebox parausar Mobile VPN.

Debe Configurar el Firebox para Mobile VPN with IPSec. Ese proceso crea el perfil del usuario finalnecesario para configurar el software cliente de Windows Mobile.

Los requisitos de sistema del Mobile VPN WMConfigurator son:

Sistema Operativo (OS) Microsoft ActiveSync Versión

Windows 2000 4.5 o posterior

Windows XP (32 bits y 64 bits) 4.5 o posterior

Windows Vista 6.1

Los requisitos del dispositivo cliente de IPSec de Windows Mobile son:

n Windows Mobile 5.0n Windows Mobile 6.0

Los dispositivos compatibles incluyen:

n Symbol MC70 (Windows Mobile 5 Premium Phone)n T-Mobile Dash (Windows Mobile 6 Smartphone)n Samsung Blackjack (Windows Mobile 5 Smartphone)

Nota Los dispositivos de esa lista fueron probados con el Mobile VPN deWatchGuardpara Windows Mobile. Para aprender si otros usuarios configuraron otrodispositivo con éxito, verifique el Foro de Usuario WatchGuard, enhttp://forum.watchguard.com/.

Para instalar el Mobile VPN WM Configurator de Windows Mobile en algunos sistemas operativos, debeiniciar sesión en el equipo con una cuenta con derechos de administrador e importar el archivo deconfiguración .wgx. Los derechos de administrador no son necesarios para subir el cliente y la configuraciónal dispositivo Windows Mobile.

Instalar el software Mobile VPN WM Configurator

El software Mobile VPN WMConfigurator debe ser instalado en un equipo que puede conectarse aldispositivo Windows Mobile a través de ActiveSync. Antes de iniciar la instalación, asegúrese de tener estoscomponentes de instalación:

n El archivo de instalación del Mobile VPN WMConfigurator de WatchGuardn Un perfil de usuario final, con una extensión de archivo .wgxn Clave compartidan Un archivo de certificado .p12 (si la VPN se conecta a un Firebox X Core o Peak y usa certificado

para autenticarse)n Nombre de usuario y contraseña (si la VPN se conecta a un Firebox X Core o Peak y usa

Autenticación Extendida)

Nota Tome nota de la clave compartida y manténgala en un lugar seguro. Debe usarlacuando importe el perfil de usuario final.

Para instalar el Configurator:

1. Copie el archivo .zip del Mobile VPN WMConfigurafor en el equipo y extraiga los contenidos dearchivo.

2. Copie el perfil del usuario final (archivo .wgx) en el directorio raíz del equipo remoto.



http://forum.watchguard.com/



3. Haga doble clic en el archivo .exe extraído en el Paso 1. Eso inicia el WatchGuard Mobile VPN WMInstallation Wizard.

4. Siga los pasos en el asistente. En el cuadro de diálogo Asistente InstallShield Concluidomantenga elcasilla de verificación Iniciar instalación de PDA seleccionado sólo si el dispositivo Windows Mobileestá actualmente conectado a través del ActiveSync.

Seleccione un certificado e ingrese el PIN

Si la VPN usa un certificado para autenticarse, debe:

1. Guardar el archivo .p12 en el directorio \certs\. La ubicación predeterminada es C:\ProgramFiles\WatchGuard\Mobile VPN WM\certs\.

2. Seleccione Inicio > Todos los programas > WatchGuard Mobile VPN> WatchGuard Mobile VPNWM para iniciar el Configurator.

3. Seleccione Configuración> Certificados.4. En la pestaña Certificado de usuario, seleccione del archivo PKS#12 en la lista desplegable

Certificado.5. Al lado del cuadro de textoNombre de archivo PKS#12, ingrese

%installdir%\certs\mycert.p12. Reemplace mycert.p12 por el nombre de su archivo .p12.Haga clic en OK.

6. Seleccione Conexión > Insertar PIN.7. Ingrese el PIN y haga clic en Aceptar.

El PIN es la clave compartida ingresada para cifrar el archivo en el Add Mobile User VPN Wizard.

Importar un perfil del usuario final

Para importar un archivo .wgx de configuración de Mobile VPN:

1. Seleccione Inicio > Todos los programas > WatchGuard Mobile VPN> WatchGuard Mobile VPNWM para iniciar el Configurator.

2. Seleccione Configuración > Importar perfil.Se inicia el Asistente de Importación de Perfil.

3. En la pantalla Seleccionar perfil de usuario, navegue hasta la ubicación del archivo de configuración.wgx provisto por su administrador de red. Haga clic en Siguiente.

4. En la pantalla Descifrar Perfil del usuario, ingrese la clave compartida o frase de contraseña provistapor su administrador de red. La clave compartida distingue mayúsculas de minúsculas. Haga clic enSiguiente.

5. En la pantalla Sobrescribir o agregar perfil, puede seleccionar sobrescribir un perfil con el mismonombre. Eso es útil si su administrador de red le ofrece un nuevo archivo .wgx y hace faltaimportarlo nuevamente. Haga clic en Siguiente.

6. En la pantalla Autenticación, puede ingresar el el nombre de usuario y contraseña que usa paraautenticar el túnel VPN. Si inserta su nombre de usuario y contraseña aquí, el Firebox los almacena yno hace falta ingresar esa información siempre que se conecte. No obstante, eso representa unriesgo de seguridad. Puede ingresar sólo su nombre de usuario y mantener el campo contraseñavacío. Eso minimiza la cantidad de datos necesarios para la conexión de VPN.

Si mantiene esos campos vacíos, debe ingresar su nombre de usuario y contraseña la primera vezque se conecta a la VPN. La vez siguiente, el campo del nombre de usuario estará automáticamentellenado con el último nombre de usuario insertado.

7. Haga clic en Siguiente.

Nota Si la contraseña que usa es la misma del Active Directory o del Servidor de LDAP yelije almacenarla, la contraseña se vuelve inválida cuando cambia en el servidor deautenticación.

8. Haga clic en Finalizar.

Instale el software cliente del Windows Mobile en eldispositivo Windows Mobile

Después de importar el perfil del usuario final hacia el Configurator, conecte el Configurator al dispositivoWindows Mobile. El equipo y el dispositivo Windows Mobile deben tener una conexión de ActiveSynccuando inicia el Configurator.

Nota Después que el softwareWatchGuard Mobile VPN esté instalado en su dispositivoWindows Mobile, debe reiniciarlo.

1. Conecte su dispositivo Windows Mobile a su equipo con el Microsoft ActiveSync.

2. Para iniciar el Configurator, seleccione Inicio > Todos los programas > WatchGuard Mobile VPN> WatchGuard Mobile VPN WM.

3. Si el software WatchGuard Mobile VPN WM todavía no fue instalado en el dispositivo WindowsMobile, se abre el cuadro de diálogo Confirmación. Haga clic en Sí.





4. Se abre un cuadro de diálogo de Información. Haga clic en OK.

5. El software cliente WatchGuard Mobile VPN WM se ejecuta en el dispositivo Windows Mobile. Hagaclic en OK.

6. Reiniciar el dispositivo Windows Mobile.

Cargarel perfil de usuario final en el dispositivoWindowsMobile

Después que el software Windows Mobile esté instalado, puede cargar el perfil de usuario final en eldispositivo Windows Mobile.

1. Conecte su dispositivo Windows Mobile a su equipo con el Microsoft ActiveSync.2. Seleccione Inicio > Todos los programas > WatchGuard Mobile VPN > WatchGuard Mobile VPN

WM para iniciar el Configurator.3. En la lista desplegable Perfil, seleccione el perfil que desea cargar en el dispositivo Windows Mobile.

4. Haga clic en Cargar.5. Cuando se termine de cargar, el áreade estadodel Configuratormuestra ¡Carga realizada conéxito!





Si la VPN usa un certificado para autenticarse, debe cargarlo en el dispositivo Windows Mobile. Antes decargar el certificado, el Configurator debe ser configurado para usar el certificado.

Para obtener más información, vea seleccionar un certificado e insertar el PIN.

Para cargar un certificado:

1. En el Configurator, seleccione Configuración > Cargar archivo PKS#12.2. Examinar para encontrar archivo PKS#12 y seleccionarlo. Haga clic en Abrir.

ConecteydesconecteelClienteMobileVPNparaWindowsMobile

El software cliente WatchGuard Mobile VPN paraWindows Mobile usa la conexión de datos del dispositivoWindows Mobile para establecer una conexión segura a las redes protegidas por un Firebox. El dispositivoWindows Mobile debe poder establecer una conexión de datos a Internet.

1. En el dispositivo Windows Mobile, seleccione Inicio > Programas > WatchGuard Mobile VPNMonitor.Si el WatchGuard Mobile VPN Servive no está en ejecución, se abre un cuadro de diálogo. Haga clicen Sí para iniciar servicio.

2. Se abre el cuadro de diálogo WatchGuard Mobile VPN. Seleccione el perfil del usuario final de lalista desplegable en la parte superior del cuadro de diálogo de WatchGuard Mobile VPN.

3. Haga clic en Conectar e ingrese su nombre de usuario y contraseña. Haga clic en OK.





Nota Después de establecer la primera conexión VPN con éxito, el cliente guarda elnombre de usuario y sólo solicita una contraseña. Para alterar el nombre deusuario, haga clic en Aceptar con el área del contraseña limpia. Se abre un cuadrode diálogo en el cual puede ingresar un nombre de usuario y contraseñadiferentes.

4. Aparece una línea amarilla con la palabra Conectando entre teléfono y equipo en el cuadro dediálogo de WatchGuard Mobile VPN. La línea se pone verde cuando el túnel VPN esté listo.

Para desconectar el cliente Mobile VPN:

1. En el dispositivo Windows Mobile, seleccione Inicio > Programas > WatchGuard Mobile VPNMonitor.

2. Haga clic en Desconectar. La línea verde cambia al amarillo.

Cuando no hay una línea entre el teléfono y el equipo, la VPN está desconectada.

Proteger su dispositivo Windows Mobile con el firewall deMobile VPN

El Mobile VPN de WatchGuard paraWindows Mobile incluye dos componentes de firewall:

Firewall de enlace

El firewall de enlace no está activado por defecto. Cuando el firewall de enlace está activado, sudispositivo Windows Mobile desecha los paquetes recibidos desde otros equipos. Puede elegiractivar el firewall de enlace sólo cuando un túnel de Mobile VPN esté activo, manténgalo habilitadotodo el tiempo.

Firewall de escritorio

Ese firewall completo puede controlar las conexiones hacia y desde su dispositivo Windows Mobile.Puede definir redes conocidas y definir reglas de acceso separadamente para redes desconocidas oconocidas.

Para más informaciones, vea Activar el firewall del enlace en la página 518 y Activar firewall de escritorio enla página 519.

Detener el WatchGuard Mobile VPN Service

El WatchGuard Mobile VPN Service debe estar en ejecución en el dispositivo Windows Mobile para usar elWatchGuard Mobile VPN Monitor para crear túneles VPN. Cuando cierra el Monitor, el Service no sedetiene. Debe detener el servicio manualmente.

1. En el dispositivo Windows Mobile, seleccione Inicio > Programas > WatchGuard Mobile VPNService.





2. Se abre el cuadro de diálogo WatchGuard Mobile VPN. Haga clic en Sí para detener el servicio.

Desinstalar el Configurator, Service y Monitor

Para desinstalar el WatchGuard Mobile VPN paraWindows Mobile, debe desinstalar el software de su PCcon Windows y de su dispositivo Windows Mobile.

Desinstalar el Configurator de su PC con Windows

1. En su PC con Windows, seleccione Inicio > Panel de control.2. Haga doble clic en Agregar/Quitar Programas.3. Haga clic enWatchGuard Mobile VPN WM y haga clic en Alterar/Quitar.4. Haga clic en Sí para desinstalar la aplicación.5. Haga clic en Aceptar cuando la desinstalación esté concluida.

Desinstale el WatchGuard Mobile VPN Service y Monitor de sudispositivo Windows Mobile.

1. En su dispositivo Windows Mobile, seleccione Inicio > Configuración.2. En Configuración, haga clic en la pestaña Sistema y doble clic en Quitar programas.

3. Seleccione WatchGuard Mobile VPN y haga clic en Quitar.4. Se abre el cuadro de diálogo Quitar programa. Haga clic en Sí para quitar el software.5. Un cuadro de diálogo pregunta si desea reiniciar el dispositivo ahora. Haga clic en Sí para reiniciar el

dispositivo. Haga clic en No para reiniciar más tarde. La deinstalación del programa no se terminahasta que se reinicie el dispositivo.




23 Mobile VPN con SSL

Acerca del Mobile VPN con SSLEl cliente de Mobile VPN con SSL WatchGuard es una aplicación de software que está instalada en unequipo remoto. El cliente hace una conexión segura desde el equipo remoto hacia su red protegida a travésde una red desprotegida, tal como la Internet. El cliente de Mobile VPN utiliza SSL (nivel de seguridad en lasconexiones) para asegurar la conexión.

Configurar el dispositivo Firebox o XTM paraMobile VPN with SSLDe Fireware XTMWeb UI, cuando se activa Mobile VPN con SSL, se crean un grupo de usuarios "SSLVPN-Users" y una política "WatchGuard SSLVPN" para permitir conexiones VPN con SSL desde Internet a suinterfaz externa.

Realizar configuraciones de autenticación y conexión

1. Seleccione >VPN Mobile VPN with SSL.Se abre la página Configuración de Mobile VPN con SSL.

2. Seleccione la casilla de selección Activar Mobile VPN with SSL de WatchGuard.3. Seleccione un servidor de autenticación en la lista desplegable de Servidores de autenticación.

Puede autenticar usuarios con la base de datos interna del dispositivo Firebox o XTM (Firebox-DB) ocon un servidor RADIUS, VACMAN Middleware, SecurID, LDAP o de Active Directory.Asegúrese de que el método de autenticación esté activado (seleccione Autenticación >Servidoresde autenticación). Para obtener más información, consulte Configurar autenticación de usuario paraMobile VPN with SSL.

4. Si selecciona RADIUS o SecurID como servidor de autenticación, puede seleccionar la casilla deverificación Forzar usuarios a autenticar después que se pierde una conexión para obligar a losusuarios a autenticarse después de perder la conexión con Mobile VPN with SSL. Recomendamosseleccionar esta casilla de selección si usa autenticación de dos factores con contraseña de un solouso, como SecurID o Vasco.Si no obliga a los usuarios a autenticarse después de perder la conexión, el intento de conexiónautomática puede fallar. El cliente de Mobile VPN con SSL automáticamente intenta reconectarsedespués de perder la conexión con la contraseña de un solo uso que el usuario ingresóoriginalmente, lo cual ya no es correcto.

5. En la lista desplegable Principal, seleccione o ingrese un domain name o una dirección IP pública.Los clientes de Mobile VPN con SSL se conectan a esta dirección IP o domain name en formapredeterminada.

6. Si su dispositivo Firebox o XTM tiene más de una conexión WAN, seleccione una dirección IP públicadiferente en la lista desplegable Copia de respaldo. Un cliente de Mobile VPN con SSL se conecta ala dirección IP de copia de respaldo cuando no puede establecer una conexión con la dirección IPprincipal.

Realice las configuraciones de Red y Conjunto de direcciones IP

En la sección Configuraciones de red y conjunto de direcciones IP, configure los recursos de red que losclientes de Mobile VPN with SSL pueden usar.

Mobile VPN con SSL


Mobile VPN con SSL


1. Desde la lista desplegable en la sección Configuraciones de red y conjunto de direcciones IP,seleccione el método que utilizará el dispositivo Firebox o XTM para enviar tráfico a través de lostúneles VPN.

n Seleccione Bridge de tráfico de VPN para el bridge del tráfico de VPN con SSL a una red queespecifique. Esta es la configuración predeterminada para Firebox X Edge. Cuando seleccionaesta opción, no puede filtrar el tráfico entre los usuarios de VPN con SSL y la red a la que seconecta el tráfico de VPN con SSL.

n Seleccione Tráfico de VPN enrutado para enrutar el tráfico de VPN hacia redes y recursosespecíficos. Esta es la configuración predeterminada para los dispositivos Firebox X Core o Peake-Series y WatchGuard XTM.

2. Seleccione o desmarque la casilla de selección Forzar todo el tráfico de cliente a través del túnel.

n Seleccione Forzar todo el tráfico de cliente a través del túnel para enviar todo el tráfico dered privada e Internet a través del túnel. Esta opción envía todo el tráfico externo a través delas políticas del dispositivo Firebox o XTM que usted crea y ofrece una seguridad constante a losusuarios móviles. Sin embargo, debido a que requiere mayor capacidad de procesamiento enel dispositivo Firebox o XTM, el acceso a los recursos de Internet puede ser muy lento para elusuario móvil. Para permitir a los clientes acceder a Internet cuando esta opción estáseleccionada, consulte Opciones de acceso a Internet a través de un túnel de Mobile VPN conSSL en la página 551.

n Desmarque la casilla de selección Forzar todo el tráfico de cliente a través del túnel paraenviar sólo la información de la red privada a través del túnel. Esta opción permite a losusuarios una mejor velocidad de red al enrutar sólo el tráfico necesario a través del dispositivoFirebox o XTM, pero el acceso a los recursos de Internet no está restringido por las políticas deldispositivo Firebox o XTM. Para restringir el acceso del cliente de Mobile VPN con SSL sólo a losdispositivos especificados en su red privada, seleccione el botón de radioEspecificar recursosautorizados. Ingrese la dirección IP del recurso de red en notación diagonal y haga clic enAgregar.

3. Configurar las direcciones IP que el dispositivo Firebox o XTM asigna a las conexiones de los clientesde Mobile VPN with SSL. Las direcciones IP virtuales en este conjunto de direcciones no puedenformar parte de una red protegida por el dispositivo Firebox o XTM, ninguna red a la que se accedea través de una ruta o BOVPN, asignada por DHCP a un dispositivo detrás del dispositivo Firebox oXTM, o utilizada para conjuntos de direcciones de Mobile VPN with IPSec o Mobile VPN with SSL.

Tráfico de VPN enrutado

Para el conjunto de direcciones IP virtuales, mantenga la configuración predeterminada de192.168.113.0/24 o ingrese un rango diferente. Ingrese la dirección IP de la subnet ennotación diagonal. Las direcciones IP de esta subnet se asignan automáticamente aconexiones cliente de Mobile VPN con SSL. No puede asignar una dirección IP a un usuario.

Las direcciones IP virtuales en este conjunto de direcciones no pueden formar parte de unared protegida por el dispositivo Firebox o XTM, ninguna red a la que se accede a través deuna ruta o BOVPN, asignada por DHCP a un dispositivo detrás del dispositivo Firebox o XTM, outilizada para conjuntos de direcciones de Mobile VPN with IPSec o Mobile VPN with PPTP.

Bridge de tráfico de VPN

En la lista desplegable Bridge a interfaz, seleccione el nombre de la interfaz con la que deseaconectar. En los campos Inicio y Finalización, ingrese la primera y la última dirección IP en elrango asignado a las conexiones cliente de Mobile VPN con SSL. Las direcciones IP de Inicio yFinalización deben encontrarse en la misma subred que la interfaz puenteada.

Nota La opción Bridge a interfaz no conecta el tráfico de VPN con SSL a ningunasecondary network en la interfaz seleccionada.

4. Haga clic en Guardar para guardar los cambios en el dispositivo Firebox o XTM.

Después de guardar los cambios en el dispositivo Firebox o XTM, debe configurar la autenticación deusuario para Mobile VPN with SSL antes de que los usuarios puedan descargar e instalar el software. Todocambio que realice se distribuye a los clientes en forma automática la próxima vez que se conectanutilizando Mobile VPN with SSL.

Para obtener más información sobre el uso de notación diagonal, consulte Acerca de las Notación diagonalen la página 3.

Mobile VPN con SSL


Mobile VPN con SSL


Realizar configuraciones avanzadas para Mobile VPN with SSL

1. Seleccione >VPN Mobile VPN with SSL.Se abre la página Configuración de Mobile VPN con SSL.

2. Haga clic en la pestaña Avanzado.Las opciones que puede configurar en esta pestaña incluyen:

Autenticación

Método de autenticación utilizado para establecer la conexión. Las opciones sonMD5, SHA, SHA-1,SHA-256 y SHA-512.

Cifrado

Algoritmo que se utiliza para cifrar el tráfico. Las opciones son Blowfish, DES, 3DES, AES (128 bits),AES (192 bits) o AES (256 bits). Los algoritmos se muestran en orden del de menor seguridad al demayor seguridad, con la excepción de Blowfish, que usa una clave de 128 bits para cifrado de altaseguridad.

Para un rendimiento óptimo con un alto nivel de cifrado, recomendamos seleccionar autenticaciónMD5 con cifrado Blowfish.

Canal de datos

El protocolo y puerto Mobile VPN with SSL se utiliza para enviar datos después de establecer unaconexión de VPN. Puede utilizar el protocolo TCP o UDP. Luego, seleccione un puerto. El protocoloy puerto predeterminado para Mobile VPN with SSL es el puerto TCP 443. Éste es también elprotocolo y puerto estándar para tráfico HTTPS. La Mobile VPN with SSL puede compartir el puerto443 con HTTPS.

Para más información, vea Elegir un puerto y protocolo para Mobile VPN with SSL en la página 550.

Canal de configuración

El protocolo y puerto Mobile VPN with SSL se utiliza para negociar el canal de datos y para descargararchivos de configuración. Si configura el protocolo del canal de datos en TCP, el canal deconfiguración utiliza automáticamente el mismo puerto y protocolo. Si configura el protocolo delcanal de datos en UDP, puede establecer el protocolo del canal de configuración en TCP o UDP ypuede utilizar un puerto diferente al canal de datos.

Mantener conexión

Define la frecuencia con la que el dispositivo Firebox o XTM envía tráfico a través del túnel paramantener la actividad del túnel cuando no se envía otro tráfico a través del túnel.

Tiempo de espera

Define durante cuánto tiempo el dispositivo Firebox o XTM espera una respuesta. Si no hayrespuesta antes del valor de tiempo de espera, el túnel se cierra y el cliente debe volver aconectarse.

Renegociar el canal de datos

Si una conexión Mobile VPN with SSL ha estado activa durante la cantidad de tiempo especificada enel cuadro de texto Renegociar el canal de datos, el cliente de Mobile VPN con SSL debe crear untúnel nuevo. El valor mínimo es de 60 minutos.

Servidores DNS y WINS

Puede utilizar servidores DNS y WINS para determinar las direcciones IP de recursos que estánprotegidos por el dispositivo Firebox o XTM. Si desea que los clientes de Mobile VPN with SSL usenun servidor DNS o WINS detrás del dispositivo Firebox o XTM en lugar de los servidores asignadospor la red remota a la que están conectados, ingrese el domain name y las direcciones IP de losservidores DNS y WINS en su red. Para obtener más información sobre DNS y WINS, consulteDeterminación del nombre para Mobile VPN with SSL en la página 552.

Restablecer valores predeterminados

Haga clic en la pestaña Avanzada para restablecer los valores predeterminados. Se elimina toda lainformación de los servidores DNS y WINS en la pestaña Avanzada.

Mobile VPN con SSL


Mobile VPN con SSL


Configurar la autenticación de usuario paraMobile VPNwith SSL

Para permitir a los usuarios autenticarse en el dispositivo Firebox o XTM y conectarse con Mobile VPN withSSL, debe configurar la autenticación de usuario en el dispositivo Firebox o XTM. Puede configurar eldispositivo Firebox o XTM como servidor de autenticación o usar un servidor de autenticación de terceros.Cuando activa Mobile VPN with SSL, automáticamente se crea un grupo Usuarios-SSLVPN.

Los usuarios deben ser miembros del grupo Usuarios-SSLVPN para establecer una conexión de Mobile VPNcon SSL. Los usuarios no pueden conectarse si son miembros de un grupo que forma parte del grupoUsuarios-SSLVPN. El usuario debe ser miembro directo del grupo Usuarios-SSLVPN.

Para más información, vea Configure su Firebox como servidor de autenticación en la página 223 y Acercade la utilización de servidores de autenticación de terceros en la página 222.

Configurar políticas para controlar el acceso de clientes deMobile VPN con SSL

Cuando se activa Mobile VPN with SSL, se agrega una política Permitir Usuarios-SSLVPN. No tienerestricciones respecto del tráfico que permite desde clientes SSL a recursos de red protegidos por eldispositivo Firebox o XTM. Para restringir el acceso de clientes de Mobile VPN con SSL, desactive la políticaPermitir Usuarios-SSLVPN. Luego, agregue nuevas políticas a su configuración o agregue el grupo conacceso Mobile VPN with SSL a la sección Desde de políticas existentes.

Nota Si asigna direcciones de una red de confianza a usuarios de Mobile VPN con SSL, eltráfico desde el usuario deMobile VPN con SSL no se considera de confianza. Demanera predeterminada, todo tráfico deMobile VPN con SSL no es de confianza.Independientemente de la dirección IP asignada, deben crearse políticas parapermitir el acceso de los usuarios de Mobile VPN con SSL a los recursos de red.

Permitir a los usuarios de Mobile VPN con SSL el acceso a una red deconfianza

En este ejemplo, se utiliza Fireware XTMWeb UI para agregar la opción Cualquier política para otorgaracceso a los recursos a todos los miembros del grupo Usuarios-SSLVPN en todas las redes de confianza.

1. Seleccione Firewall >Políticas de Firewall. Haga clic en Agregar.

2. Amplíe la carpeta Filtros de paquetes.Aparece una lista de plantillas para filtros de paquetes.

3. Seleccione Cualquiera y haga clic en Agregar.Aparece la página Configuración de políticas.

4. Ingrese un nombre para la política en el cuadro de texto Nombre. Elija un nombre que le ayude aidentificar esta política en su configuración.

5. En la pestaña Política, en la sección Desde , seleccione Cualquiera de confianza y haga clic enRemover.

6. En la sección Desde, haga clic en Agregar.Aparece el cuadro de diálogo Agregar miembro.

7. En la lista desplegable Tipo de miembro, seleccione Grupo SSLVPN.

8. Seleccione Usuarios-SSLVPN, y haga clic en OK..Después de Usuarios-SSLVPN se encuentra el nombre del método de autenticación entre paréntesis.

9. Haga clic en OK para cerrar el cuadro de diálogo Agregar miembro .10. En la sección Desde, seleccione Cualquiera externo y haga clic en Remover.11. En la sección Hasta, haga clic en Agregar.

Aparece el cuadro de diálogo Agregar miembro.12. En el Seleccionar miembros seleccione Cualquiera de confianzay haga clic en OK..13. Haga clic en Guardar para guardar los cambios en el dispositivo Firebox o XTM.

Para más información acerca de políticas, vea Agregar políticas en la configuración en la página 254.

Usar otros grupos o usuarios en una política de Mobile VPN con SSL

Los usuarios deben ser miembros del grupo Usuarios-SSLVPN para establecer una conexión de Mobile VPNcon SSL. Puede usar políticas con otros grupos para restringir acceso a recursos después de que el usuariose conecta. Puede usar Fireware XTMWeb UI para seleccionar un usuario o grupo distinto de Usuarios-SSLVPN.

1. Seleccione Firewall >Políticas de Firewall.2. Haga doble clic en la política a la que desea agregar el usuario o grupo.3. En la pestaña Política, haga clic en Agregar en el área Desde.

Aparece el cuadro de diálogo Agregar miembro.4. En la lista desplegable Tipo de miembro, seleccione Usuario de firewall o Grupo de firewall.5. Seleccione el usuario o grupo que desea agregar y haga clic en OK.6. Haga clic en Guardar.

Para obtener más información sobre cómo utilizar usuarios y grupos en políticas, consulte Use los usuarios ygrupos autorizados en políticas en la página 248.

Elegir un puerto y protocolo para Mobile VPN with SSL

El protocolo y puerto predeterminado para Mobile VPN with SSL es el puerto TCP 443. Si intenta configurarFirebox para usar un protocolo y puerto que ya está en uso, aparecerá un mensaje de error.

Las configuraciones de red comunes que requieren el uso de TCP 443 incluyen:

n Firebox protege a un servidor web que utiliza HTTPS.n Firebox protege a un servidor Microsoft Exchange que tiene configurado Outlook Web Access.

Si tiene una dirección IP externa adicional que no acepta conexiones de puerto TCP 443 entrantes, puedeconfigurarla como dirección IP principal para Mobile VPN with SSL.

Nota El tráfico deMobile VPN con SSL siempre se cifra utilizando SSL, aunque utilice unpuerto o protocolo diferente.

Cómo elegir un protocolo y puerto diferente

Si necesita cambiar el protocolo o puerto predeterminado para Mobile VPN with SSL, recomendamosseleccionar un protocolo y puerto que no esté normalmente bloqueado. Algunas consideracionesadicionales incluyen:

Mobile VPN con SSL


Mobile VPN con SSL


Seleccionar un protocolo y puerto común

Mobile VPN with PPTP y Mobile VPN con IPSec utilizan protocolos y puertos específicos que algunasconexiones de Internet pública bloquean. De manera predeterminada, Mobile VPN with SSLfunciona en el protocolo y puerto utilizado para el tráfico de sitio web cifrado (HTTPS) para evitar elbloqueo. Ésta es una de las principales ventajas de SSL VPN sobre otras opciones de Mobile VPN.Recomendamos seleccionar el puerto TCP 80 (HTTP), el puerto TCP 53 o el puerto UDP 53 (DNS)para mantener esta ventaja.

Casi todas las conexiones de Internet admiten estos puertos. Si el sitio de acceso utiliza filtrados depaquetes, el tráfico de SSL debería pasar. Si el sitio de acceso utiliza servidores proxy, es probableque el tráfico de SSL sea rechazado porque no cumple con los protocolos de comunicación estándarHTTP o DNS.

UDP en comparación con TCP

Normalmente TCP funciona al igual que UDP, pero TCP puede ser mucho más lento si la conexión yaes lenta o poco confiable. La latencia adicional surge por la verificación de error que forma parte delprotocolo TCP. Debido a que la mayoría del tráfico que pasa a través de un túnel VPN utiliza TCP, lasuma de la verificación de error de TCP a la conexión VPN es redundante. Con conexiones lentas ypoco confiables, los tiempos de espera de la verificación de error de TCP hacen que el tráfico deVPN se envíe cada vez con mayor lentitud. Si esto sucede en forma repetida, el usuario percibe elrendimiento deficiente de la conexión.

UDP es una buena opción si la mayoría del tráfico generado por los clientes de MVPN con SSL sebasa en TCP. Los protocolos HTTP, HTTPS, SMTP SMTP, POP3 y Microsoft Exchange utilizan TCP demanera predeterminada. Si la mayoría del tráfico generado por los clientes de Mobile VPN con SSLes UDP, recomendamos seleccionar TCP para el protocolo MVPN con SSL.

Opciones de acceso a Internet a través de un túnel de MobileVPN con SSL

Forzar todo el tráfico de cliente a través del túnel

Ésta es la opción más segura. Requiere que todo el tráfico de Internet de usuarios remotos se enrute através del túnel VPN a Firebox. Desde el Firebox, el tráfico luego es enviado de vuelta a Internet. Con estaconfiguración (conocida también como VPN de ruta-predeterminada), Firebox puede examinar todo eltráfico y proveer mayor seguridad. Sin embargo, esto requiere más capacidad de procesamiento y anchode banda de Firebox, lo cual puede afectar el rendimiento de la red si tiene un número grande de usuariosde VPN. De manera predeterminada, una política denominada Permitir Usuarios-SSLVPN permite el accesoa todos los recursos internos y a Internet.

Permitir acceso directo a Internet

Si selecciona Tráfico de VPN enrutado en la configuración de Mobile VPN con SSL y no se fuerza todo eltráfico cliente a través del túnel, se deben configurar los recursos permitidos para los usuarios de SSL VPN.Si selecciona Especificar recursos permitidos o Permitir acceso a redes conectadas a través de redes deconfianza, opcional y VLAN, sólo el tráfico a esos recursos se envía a través del túnel VPN. Todo el resto del

tráfico va directamente a Internet y a la red a la que está conectada el usuario SSL VPN remoto. Esta opciónpuede afectar su seguridad porque cualquier tráfico enviado a Internet o a la red cliente remota no estácifrado ni sujeto a las políticas configuradas en Firebox.

Utilizar el proxy HTTP para controlar el acceso a Internet para usuariosde Mobile VPN con SSL

Si configura Mobile VPN with SSL para forzar todo el tráfico cliente a través del túnel, puede usar políticasde proxy HTTP para restringir el acceso a Internet. La política Permitir Usuarios-SSLVPN predeterminada notiene restricciones en el tráfico que permite de clientes SSL a Internet. Para restringir el acceso a Internet,puede utilizar la política de proxy HTTP que ya ha configurado o agregar una nueva política de proxy HTTPpara clientes SSL.

1. En Fireware XTM Web UI, seleccione Firewall >Políticas de firewall.2. Haga doble clic en la política para abrir la página Configuración de políticas.3. En la pestaña Política, haga clic en Agregar en el área Desde.4. En la lista desplegable Tipo de miembro, seleccione Grupo SSLVPN.5. Seleccione Usuarios-SSLVPN y haga clic en OK.6. Haga clic en Guardar.

La política de proxy HTTP prevalece sobre la política Cualquiera. Puede dejar que la política Cualquieraadministre el tráfico que no sea HTTP o puede seguir estos mismos pasos con otra política para administrarel tráfico desde los clientes SSL.

Para obtener más información sobre cómo configurar una política de proxy HTTP, consulte Página Acercade Proxy HTTP en la página 292.

Determinación del nombre para Mobile VPN with SSL

El objetivo de una conexión Mobile VPN es permitir a un usuario conectarse a recursos de red como siestuviera conectado localmente. Con una conexión de red local, el tráfico NetBIOS en la red le permiteconectarse a dispositivos utilizando el nombre del dispositivo. No es necesario conocer la dirección IP decada dispositivo de red. Sin embargo, los túneles de Mobile VPN no pueden circular tráfico de difusión yNetBIOS depende del tráfico de difusión para funcionar correctamente. Debe utilizarse un métodoalternativo para la determinación de nombres.

Métodos de determinación de nombres a través de una conexión deMobile VPN con SSL

Debe elegir uno de estos dos métodos para la determinación de nombres:

WINS/DNS (Windows Internet Name Service/Sistema de domain name)

Un servidor WINS mantiene una base de datos de determinación de nombres NetBIOS para la redlocal. DNS funciona de un modo similar. Si el dominio utiliza sólo el Active Directory , debe usar DNSpara la determinación de nombres.

Mobile VPN con SSL


Mobile VPN con SSL


Archivo LMHOSTS

Un archivo LMHOSTS es un archivo creado en formamanual que se instala en todas lascomputadoras que tienen instalado Mobile VPN with SSL. El archivo contiene una lista de nombresde recursos y sus direcciones IP asociadas.

Seleccione el mejor método para su red.

Debido a los requisitos de administración limitados y la información actualizada que provee, WINS/DNS es lasolución preferida para la determinación de nombres a través de un túnel MVPN. El servidor WINS escuchaa la red local en forma constante y actualiza su información. Si un recurso cambia su dirección IP o se agregaun nuevo recurso, no debe realizarse ningún cambio en el cliente SSL. Cuando el cliente intenta obteneracceso a un recurso por nombre, se envía una solicitud a los servidores WINS/DNS y se entrega lainformación más actualizada.

Si aún no tiene un servidor WINS, el archivo LMHOSTS es una forma rápida de proporcionar ladeterminación de nombres a clientes de Mobile VPN con SSL. Lamentablemente es un archivo estático ydebe editarlo en formamanual cada vez que se produzca un cambio. Además, los pares nombre derecurso/dirección IP en el archivo LMHOSTS se aplican a todas las conexiones de red, no sólo a la conexiónde Mobile VPN con SSL.

Configurar WINS o DNS para determinación de nombres

Cada red es única en los recursos disponibles y las habilidades de los administradores. El mejor recurso paraaprender cómo configurar un servidor WINS es la documentación de su servidor, como el sitio web deMicrosoft. Cuando configure el servidor WINS o DNS, tenga en cuenta que:

n El servidor WINS debe configurarse para ser un cliente en sí.n Su Firebox debe ser la puerta de enlace predeterminada de los servidores WINS y DNS.n Debe asegurarse de que los recursos de red no tengan más de una dirección IP asignada a una sola

interfaz de red. NetBIOS sólo reconoce la primera dirección IP asignada a una NIC. Para obtener másinformación, consulte http://support.microsoft.com/kb/q131641/.

AgregarservidoresWINSyDNSaunaconfiguracióndeMobile VPNconSSL

1. Seleccione VPN > Mobile VPN with SSL.2. Haga clic en la pestaña Avanzado.

Aparece la página de la pestaña Avanzada de Mobile VPN con SSL.3. En el área Servidores WINS y DNS, ingrese las direcciones principal y secundaria para los servidores

WINS y DNS. También puede ingresar un sufijo de dominio en el cuadro de texto Domain name paraque un cliente use con nombres no calificados.

4. Haga clic en Guardar.5. La próxima vez que una computadora cliente SSL se autentique en Firebox, la nueva configuración

se aplicará a la conexión.

http://support.microsoft.com/kb/q131641/

ConfigurarunarchivoLMHOSTSparaproporcionardeterminacióndenombre

Cuando usa un archivo LMHOSTS para obtener determinación de nombres para sus clientes MUVPN, no serequieren cambios en Firebox ni en el software cliente MUVPN. A continuación se muestran instruccionesbásicas para ayudarle a crear un archivo LMHOSTS. Para obtener más información sobre archivos LMHOSTS,consulte http://support.microsoft.com/kb/q150800/.

Editar un archivo LMHOSTS

1. Busque un archivo LMHOSTS en la computadora cliente de MUVPN. El archivo LMHOSTS (a vecesdenominado lmhosts.sam) generalmente se encuentra en:C:\WINDOWS\system32\drivers\etc

2. Si encuentra un archivo LMHOSTS en esa ubicación, ábralo con un editor de texto como Notepad. Sino puede encontrar un archivo LMHOSTS, cree un nuevo archivo en un editor de texto.

3. Para crear una entrada en el archivo LMHOSTS, ingrese la dirección IP de un recurso de red, cincoespacios y luego el nombre del recurso. El nombre del recurso debe tener 15 caracteres o menos.El aspecto debe ser similar a éste:192.168.42.252 server_name

4. Si comenzó con un archivo LMHOSTS anterior, guarde el archivo con su nombre original. Si creó unnuevo archivo en Notepad, guárdelo con el nombre lmhost en el directorioC:\WINDOWS\system32\drivers\etc. También debe seleccionar el tipo "Todos los archivos" en elcuadro de diálogo Guardar o Notepad añade ".txt" al nombre de archivo.

5. Reinicie la computadora cliente SSL para que el archivo LMHOSTS se active.

Instalar y conectar el cliente deMobile VPN con SSLEl software de Mobile VPN con SSL permite a los usuarios conectarse, desconectarse, reunir másinformación sobre la conexión y salir o dejar al cliente. El cliente de Mobile VPN con SSL agrega un ícono ala bandeja del sistema en el sistema operativo Windows o un ícono en la barra de menú en Mac OS X.Puede usar este ícono para controlar el software cliente.

Para usar Mobile VPN with SSL debe:

1. Verificar los requisitos del sistema.2. Descargar el software cliente.3. Instale el software cliente4. Conectarse a su red privada.

Nota Si un usuario no puede conectarse al dispositivo WatchGuard o no puededescargar el instalador desde el dispositivo WatchGuard, Se debe distribuir einstalar en forma manual el software cliente deMobile VPN con SSL y el archivo deconfiguración.

Mobile VPN con SSL


http://support.microsoft.com/kb/q150800/

Mobile VPN con SSL


Requisitos de la computadora cliente

Puede instalar el software cliente de Mobile VPN con SSL en computadoras con los siguientes sistemasoperativos:

n Microsoft Windows 7n Microsoft Windows Vistan Microsoft Windows XPn Mac OS X 10.5 (Leopard)

Si la computadora cliente tiene Windows Vista o Windows XP, debe ingresar con una cuenta que tengaderechos de administrador para instalar el software cliente de Mobile VPN con SSL. No se requierenderechos de administrador para conectarse después de que el cliente de SSL ha sido instalado yconfigurado. En Windows XP Professional, el usuario debe ser miembro del grupo Operadores deconfiguración de red para ejecutar el cliente de SSL.

Si la computadora cliente tiene Mac OS X, no se requieren derechos de administrador para instalar o utilizarel cliente de SSL.

Descargar el software cliente

1. Conectarse a la siguiente dirección con un navegador de Internet:

https://<IP address of a Firebox interface>/sslvpn.htmlorhttps://<Host name of the Firebox>/sslvpn.html

2. Ingrese su nombre de usuario y contraseña para autenticarse en el dispositivo WatchGuard.Aparece la página de descargas para clientes de VPN SSL .

3. Haga clic en el botón Descargar en el instalador que desea utilizar. Las opciones disponibles son dos:Windows (WG-MVPN-SSL.exe) y Mac OS X (WG-MVPN-SSL.dmg).

4. Guarde el archivo en su escritorio u otra carpeta que desee.

Nota También puede conectarse a Firebox en el puerto 4100 para descargar el softwarecliente de VPN SSL.

Desinstalar el software cliente

Para Microsoft Windows:

1. Haga doble clic enWG-MVPN-SSL.exe.Se inicia el Asistente de Configuración del cliente de Mobile VPN con SSL.

2. Acepte las configuraciones predeterminadas en cada pantalla del asistente.3. Si desea agregar un ícono de escritorio o un ícono de inicio rápido, seleccione la casilla de

verificación correspondiente a esta opción en el asistente. No es necesario un ícono de escritorio ode inicio rápido.

4. Finalice y salga del asistente.

Para Mac OS X:

1. Haga doble clic enWG-MVPN-SSL.dmg.En su escritorio se crea un volumen con el nombre WatchGuard Mobile VPN (Mobile VPN WatchGuard).

2. En el volumen Mobile VPN WatchGuard, haga doble clic enWatchGuard Mobile VPN with SSLInstaller V15.mpkg.Se inicia el instalador del cliente.

3. Acepte las configuraciones predeterminadas en cada pantalla del instalador.4. Finalice y salga del instalador.

Después de descargar e instalar el software cliente, el software cliente de Mobile VPN automáticamente seconecta al dispositivo WatchGuard. Cada vez que se conecta al dispositivo WatchGuard, el software clienteverifica las actualizaciones de configuración.

Conectarse a su red privada


1. Utilice uno de los tres métodos siguientes para iniciar el software cliente:o En elMenú Inicio, seleccione Todos los programas > WatchGuard > Cliente de Mobile VPN

con SSL > Cliente de Mobile VPN con SSL.o Haga doble clic en el ícono de Mobile VPN con SSL en su escritorio.o Haga clic en el ícono de Mobile VPN con SSL en la barra de herramientas del inicio rápido.

2. Ingrese la información del dispositivo WatchGuard al que desea conectarse y el nombre de usuario ycontraseña del usuario.

El servidor es la dirección IP de la interfaz externa principal del dispositivo WatchGuard. Si configuróMobile VPN with SSL para que use un puerto distinto del puerto 443 predeterminado, en el campoServidor ingrese la interfaz externa principal seguida de dos puntos y el número de puerto. Porejemplo, si Mobile VPN with SSL está configurada para usar el puerto 444 y la dirección IP externaprincipal es 50.50.50.1., el Servidor es 50.50.50.1:444.


Para Mac OS X:

Mobile VPN con SSL


Mobile VPN con SSL


1. Abra una ventana del Buscador. Ingrese en Aplicaciones > WatchGuard y haga doble clic en laaplicaciónMobile VPN with SSL WatchGuard.Aparece el ícono de Mobile VPN con SSL WatchGuard en la barra de menú.

2. Haga clic en el ícono en la barra de menú y seleccione Conectar.3. Ingrese la información del dispositivo WatchGuard al que desea conectarse y el nombre de usuario y

contraseña del usuario.

El servidor es la dirección IP de la interfaz externa principal del dispositivo WatchGuard. Si configuróMobile VPN with SSL para que use un puerto distinto del puerto 443 predeterminado, en el campoServidor ingrese la interfaz externa principal seguida de dos puntos y el número de puerto. Porejemplo, si Mobile VPN with SSL está configurada para usar el puerto 444 y la dirección IP externaprincipal es 50.50.50.1., el Servidor es 50.50.50.1:444.


El usuario cliente de SSL debe ingresar sus credenciales de inicio de sesión. Mobile VPN with SSL no escompatible con ningún servicio de Single Sign-On (SSO). Si la conexión entre el cliente SSL y el dispositivoWatchGuard se pierde momentáneamente, el cliente SSL intenta restablecer la conexión.

Controles del cliente de Mobile VPN con SSL

Cuando se ejecuta el cliente de Mobile VPN con SSL, aparece el ícono de Mobile VPN con SSL WatchGuarden la bandeja del sistema (Windows) o a la derecha de la barra de menú (Mac OS X). La lupa del íconomuestra el estado de conexión de VPN.

n No se establece la conexión de VPN.n Se ha establecido la conexión de VPN. Puede conectarse en forma segura con los recursos detrás

del dispositivo WatchGuard.n El cliente está en proceso de conexión o desconexión.

Para ver la lista de controles del cliente, haga clic con el botón derecho en el ícono de Mobile VPN con SSLen la bandeja del sistema (Windows) o haga clic en el ícono de Mobile VPN con SSL en la barra de menú(Mac OS X). Puede seleccionar las siguientes acciones:

Conectar/Desconectar

Iniciar o detener la conexión SSL VPN.

Ver registros

Abrir el archivo de registro de conexión

Propiedades

Windows: Seleccione Iniciar programa en el inicio para iniciar al cliente cuando se inicia Windows.Ingrese un número de Nivel de registro para cambiar el nivel de detalle incluido en los registros.

Mac OS X: Muestra información detallada sobre la conexión SSL VPN. También puede establecer elnivel de registro.

Acerca de las

Se abre el cuadro de diálogo de Mobile VPN WatchGuard con información acerca del softwarecliente.

Salir (Windows o Mac OS X)

Desconéctese del dispositivo WatchGuard y apague al cliente.

Se debe distribuir e instalar en forma manual el softwarecliente de Mobile VPN con SSL y el archivo de configuración

Si por algún motivo los usuarios no pueden descargar el software cliente desde Firebox, puedeproporcionarles el software cliente y el archivo de configuración en formamanual. Puede descargar elsoftware cliente de Mobile VPN con SSL desde la sección Descargas de software del sitio web deWatchGuard LiveSecurity. Siga los pasos a continuación para obtener el archivo de configuración de VPNSSL para distribuir.

Obtener el archivo de configuración desde Firebox

Debe configurar Firebox para usar Mobile VPN with SSL antes de utilizar este procedimiento.

Para obtener el archivo de configuración de Mobile VPN con SSL , debe instalar el WatchGuard SystemManager. Luego puede usar el Firebox System Manager para obtener el archivo. Para obtener másinformación, consulte el capítulo Mobile VPN para SSL en la Ayuda o Guía del usuario del WatchGuardSystem Manager.

Instale y configure el cliente SSL utilizando el software de instalación yel archivo de configuración.

Debe tener dos archivos:

n Software de instalación del cliente Mobile VPN con SSL VPNWG-MVPN-SSL.exe (Microsoft Windows) o WG-MVPN-SSL.dmg (Mac OS X)

n Archivo de configuración de Mobile VPN con SSL VPNsslvpn_client.wgssl


1. Haga doble clic enWG-MVPN-SSL.exe.Se inicia el Asistente de Configuración del cliente de Mobile VPN con SSL.

2. Acepte las configuraciones predeterminadas en cada pantalla del asistente.3. Si desea agregar un ícono de escritorio o un ícono de inicio rápido, seleccione la casilla de

verificación correspondiente a esa opción.No es necesario un ícono de escritorio o de inicio rápido. El ícono de cliente se agrega al menú de Inicio deWindows de manera predeterminada.

4. Finalice y salga del asistente.5. Utilice uno de los tres métodos siguientes para iniciar el software cliente:

o En elMenú Inicio, seleccione Todos los programas > WatchGuard > Cliente de Mobile VPNcon SSL > Cliente de Mobile VPN con SSL.Se inicia el instalador del cliente.

o Haga doble clic en el ícono de cliente de Mobile VPN con SSL en el escritorio.o Haga clic en el ícono de cliente de Mobile VPN con SSL en la barra de herramientas del inicio

Mobile VPN con SSL






Mobile VPN con SSL


6. Haga doble clic en sslvpn-client.wgssl para configurar el software cliente de Mobile VPN con SSL.

Para Mac OS X:

1. Haga doble clic enWG-MVPN-SSL.dmg.En el escritorio se crea un volumen con el nombre WatchGuard Mobile VPN (Mobile VPN WatchGuard).

2. En el volumen Mobile VPN WatchGuard, haga doble clic enWatchGuard Mobile VPN with SSLInstaller V15.mpkg.Se inicia el instalador del cliente.

3. Acepte la configuración predeterminada en el instalador.4. Finalice y salga del instalador.5. Inicie el software cliente. Abra una ventana del Buscador e ingrese en Aplicaciones > WatchGuard.6. Haga doble clic en la aplicaciónMobile VPN with SSL WatchGuard .

Aparece el logotipo de Mobile VPN con SSL WatchGuard en la barra de menú.7. Haga doble clic en sslvpn-client.wgssl para configurar el software cliente de Mobile VPN con SSL.

Actualizar la configuración de una computadora que no puedeconectarse al dispositivo WatchGuard

Debe tener un archivo sslvpn-client.wgssl actualizado. Para recibir información sobre cómo obtener elarchivo sslvpn-client.wgssl, consulte Obtener el archivo de configuración desde Firebox.

1. Haga doble clic en sslvpn-client.wgssl.Se inicia el cliente SSL.

2. Ingrese su nombre de usuario y contraseña. Haga clic en Conectar.

El SSL VPN se conecta con la nueva configuración.

Desinstale el cliente de Mobile VPN con SSL.

Puede usar la aplicación desinstalar para eliminar al cliente de Mobile VPN con SSL de una computadora.

Windows Vista y Windows XP

1. En elMenú Inicio, seleccione Todos los programas > WatchGuard > Cliente de Mobile VPN con SSL> Desinstalar cliente de Mobile VPN con SSL.Se inicia el programa para desinstalar el cliente de Mobile VPN con SSL.

2. Haga clic en Sí para eliminar el cliente de Mobile VPN con SSL y todos sus componentes.3. Cuando el programa haya terminado, haga clic en OK.

Mac OS X

1. En una ventana del Buscador, ingrese en la carpeta Aplicaciones > WatchGuard.2. Haga doble clic en la aplicación Desinstalar WG SSL VPN para iniciar el programa de desinstalación.

Se inicia el programa para desinstalar el cliente de Mobile VPN con SSL.3. Haga clic en OK en el cuadro de diálogo Advertencia.4. Haga clic en OK en el cuadro de diálogo Listo.5. En una ventana del Buscador, ingrese en la carpeta Aplicaciones.6. Arrastre la carpetaWatchGuard a la Papelera de reciclaje.

Mobile VPN con SSL



24 WebBlocker

Acerca de las WebBlockerSi les otorga a los usuarios acceso ilimitado a los sitios web, es posible que su compañía sufra una pérdida deproductividad y una reducción en el ancho de banda. La navegación en Internet sin controles tambiénpuede aumentar los riesgos de seguridad y las responsabilidades legales. La suscripción de seguridad deWebBlocker le brinda el control de los sitios web que están disponibles para sus usuarios.

WebBlocker utiliza una base de datos de direcciones de sitios web controlada por SurfControl, unacompañía líder en filtros web. Cuando un usuario de su red intenta conectarse a un sitio web, el dispositivoWatchGuard examina la base de datos de WebBlocker. Si el sitio web no está en la base de datos y no estábloqueado, la página se abre. Si el sitio web está en la base de datos de WebBlocker y está bloqueado,aparece una notificación y el sitio web no se muestra.

WebBlocker funciona con servidores proxy HTTP y HTTPS para filtrar la navegación web. Si no configuró unproxy HTTP o HTTPS, el proxy se configura y activa de manera automática cuando activaWebBlocker.

El WebBlocker Server alberga la base de datos de WebBlocker que el dispositivo WatchGuard utiliza parafiltrar el contenido web. Si utiliza WebBlocker en un dispositivo WatchGuard cualquiera distinto de Edge,primero debe configurar un WebBlocker Server local en su estación de administración. Por defecto,WebBlocker en Edge utiliza un WebBlocker Server albergado y mantenido por WatchGuard.

El WebBlocker Server se instala como parte de la instalación de WatchGuard System Manager. Paraaprender a configurar un WebBlocker Server, consulte la ayuda de WatchGuard System Manager enhttp://www.watchguard.com/help/docs/fireware/11/es-ES/index.html.

Para configurar WebBlocker en el dispositivo WatchGuard, debe tener una license key de WebBlocker yregistrarla en el sitio web de LiveSecurity. Después de registrar la License Key, LiveSecurity le otorgará unatecla de función.

Para obtener más información acerca de las teclas de función, consulte Acerca de las teclas de función en lapágina 51.

http://www.watchguard.com/help/docs/fireware/11/es-ES/index.html

http://www.watchguard.com/help/docs/fireware/11/es-ES/index.html

Configurar un WebBlocker Server localCuando utiliza WebBlocker en su Firebox, éste se conecta a un WebBlocker Server para comprobar si unsitio web coincide con una categoría de WebBlocker.

Para utilizar WebBlocker en un Firebox Core o Peak, o en un dispositivo WatchGuard XTM, primero debeconfigurar un WebBlocker Server en su red local. Para utilizar WebBlocker en un Firebox X Edge, no esnecesario que configure un servidor local de WebBlocker. De manera predeterminada, WebBlocker enFirebox X Edge se conecta con un WebBlocker Server mantenido por WatchGuard.

Para instalar su WebBlocker Server propio, debe descargar e instalar el software WatchGuard SystemManager.

Para aprender a configurar un servidor local de WebBlocker, consulte la ayuda de WatchGuard SystemManager en http://www.watchguard.com/help/docs/wsm/11/es-ES/index.html.

Después de instalar un WebBlocker Server en una computadora de su red local, debe cambiar sus perfilesde WebBlocker para utilizar su Servidor local de WebBlocker.

Para obtener instrucciones para cambiar sus perfiles de WebBlocker, consulte Activación deWebBlocker enla página 562.

Activación de WebBlockerPara utilizar WebBlocker, debe definir las acciones de WebBlocker por lo menos para un perfil deWebBlocker, que especifica el WebBlocker Server a utilizar y las categorías de contenido a bloquear. Luego,puede aplicar el perfil de WebBlocker a una política de proxy HTTP o HTTP.

Cuando un usuario intenta visitar un sitio web, Firebox le envía una solicitud al WebBlocker Server paraaveriguar si el usuario puede acceder a ese sitio web sobre la base de la categoría del sitio. El resultado deesta solicitud se guarda en una memoria caché. Puede cambiar el tamaño de esta memoria caché paramejorar el rendimiento.

Antes de empezar

En el caso de todos los dispositivos WatchGuard a excepción de Firebox X Edge, debe instalar un servidorWebBlocker local antes de poder configurar WebBlocker en Firebox.

Para más informaciones, vea Configurar un WebBlocker Server local en la página 562.

Cree perfiles de WebBlocker

1. Seleccione Servicios de suscripción > WebBlocker.Aparece la página de WebBlocker.

WebBlocker




WebBlocker


2. En la sección Perfiles de WebBlocker, haga clic en Nuevo.Aparece la página Configuración de WebBlocker.

3. En el cuadro de texto Nombre de perfil, ingrese un nombre para el perfil de WebBlocker.4. En la sección Configuración de WebBlocker, establezca la configuración de agotamiento del tiempo

de espera del servidor:

Si no se puede establecer la comunicación con el servidor en

Ingrese la cantidad de segundos para intentar conectarse con el WebBlocker Server antes deque se agote el tiempo de espera del dispositivo WatchGuard.

El tráfico está

Para permitir que el usuario vea el sitio web si el dispositivo WatchGuard no puede conectarsecon el WebBlocker Server, seleccione Permitido.

Para bloquear el sitio web para el usuario si el dispositivo WatchGuard no puede conectarsecon el WebBlocker Server, seleccione Negado.

Registrar sitios negados

Para enviar un mensaje al archivo de registro cuando WebBlocker niega el acceso a un sitioporque el dispositivo WatchGuard no puede conectarse con el WebBlocker Server, marque lacasilla de verificación Registrar sitios negados.

WebBlocker


WebBlocker


5. Para controlar si los usuarios de su red pueden acceder a los sitios web si WebBlocker está activadopero expira la suscripción de seguridad de WebBlocker, en la lista desplegable Cuando la licencia deWebBlocker expira, el acceso a todos los sitios está, seleccione una de estas opciones:

Negado

Seleccione esta opción para bloquear el acceso a todos los sitios web cuando la licencia delWebBlocker expira.

Permitido

Seleccione esta opción para permitir el acceso a todos los sitios web cuando la licencia delWebBlocker expira.

Por defecto, la derivación de licencia está configurada para bloquear el acceso a todos los sitios websi la suscripción de seguridad de WebBlocker expiró. Ésta es la opción más segura si debe bloquear asus usuarios de tipos de contenido específicos.

Para obtener información acerca de cómo renovar su suscripción de seguridad, consulte Renovarsuscripciones de seguridad en la página 575.

6. Para mejorar el rendimiento de WebBlocker, aumente el valor del Tamaño de caché.7. En la sección Servidores WebBlocker, configure un WebBlocker Server.

Si su dispositivo WatchGuard es un Firebox X Edge, puede utilizar un WebBlocker Server albergadopor WatchGuard o un servidor WebBlocker local. Para utilizar el WebBlocker Server albergado porWatchGuard, marque la casilla de verificación Utilizar WebBlocker Server albergado porWatchGuard. Esta opción sólo está disponible si su dispositivo es un Firebox X Edge.

Para agregar una entrada para un WebBlocker Server local:

n En el cuadro de texto IP, ingrese la dirección IP de su WebBlocker Server.n En el cuadro de texto Puerto, ingrese o seleccione el número de puerto. El número de puerto

predeterminado para el servidor WebBlocker es 5003.n Para agregar al servidor WebBlocker a la lista, haga clic en Agregar.

Puede agregar un segundo WebBlocker Server para utilizarlo como servidor de respaldo si Fireboxno puede conectarse con el servidor principal. Siga los mismos pasos para agregar un WebBlockerServer de respaldo. El primer servidor de la lista es el servidor principal.

n Para desplazar un servidor hacia arriba o hacia abajo en la lista, haga clic en la dirección IP delservidor y luego enMover hacia arriba o enMover hacia abajo.

n Para eliminar un servidor de la lista, selecciónelo y haga clic en Eliminar.

Activar anulación local

Cuando permite la anulación local de WebBlocker, al usuario que intente conectarse con un sitio negadopor WebBlocker se le solicitará que ingrese la contraseña de anulación. Cuando el usuario ingresa lacontraseña correcta, WebBlocker le permite acceder al sitio web de destino hasta que alcance el tiempo deespera de inactividad o hasta que cierre sesión un usuario autenticado. Esta función se admite solamentecon las políticas de proxy HTTP. Para obtener más información acerca de la anulación local, consulte Usaranulación local deWebBlocker en la página 568.

Para permitir que los usuarios eludan WebBlocker si tienen la frase de contraseña correcta:

1. En la sección Anulación local, marque la casilla de verificación Utilizar esta frase de contraseña y eltiempo de espera de inactividad para permitir la anulación local de WebBlocker.

2. En el cuadro de texto Frase de contraseña, ingrese la frase de contraseña.3. En el cuadro de texto Confirmar, vuelva a ingresar la misma contraseña.4. (Opcional) Cambie el valor del Tiempo de espera de inactividad.

Seleccione categorías para bloquear

1. Haga clic en la pestaña Categorías.Aparece la lista de categorías de WebBlocker.

WebBlocker


WebBlocker


2. Marque las casillas de verificación adyacentes a las categorías de sitios web que desea bloquear eneste perfil de WebBlocker.

Para obtener más información acerca de las categorías de WebBlocker, consulte Acerca de lasCategorías deWebBlocker en la página 569.

3. Para crear un mensaje de registro cuando se niega un sitio web sobre la base de una categoría quedecidió bloquear, marque la casilla de verificación Registrar esta acción.

4. Haga clic en Guardar.La política de WebBlocker se agrega a la lista.

UtiliceelperfildeWebBlockerconservidoresproxyHTTPyHTTPS

Puede utilizar el perfil de WebBlocker que creó con los servidores proxy HTTP y HTTPS.

En la página de WebBlocker:

1. En la sección Acciones de WebBlocker, en la lista Acciones HTTP y HTTPS, junto a cada acción deproxy, haga clic en la lista desplegable y seleccione un perfil de WebBlocker.


Agregar excepciones de WebBlocker

Si desea permitir o negar siempre el acceso a sitios web específicos, independientemente de la categoríade WebBlocker, haga clic en la pestaña Excepciones. Puede agregar la URL o el patrón de URL de los sitiosque desea que WebBlocker permita o niegue siempre.

Para obtener más información acerca de cómo agregar excepciones de WebBlocker, consulte AgregarWebBlocker Excepciones en la página 573.

Usar anulación local de WebBlockerLa anulación local de WebBlocker es una función que permite que un usuario ingrese una contraseña deanulación para dirigirse a un sitio web que está bloqueado por una política de WebBlocker. Por ejemplo, enuna escuela, un maestro podría utilizar la contraseña de anulación para permitir que un estudiante acceda aun sitio aprobado que está bloqueado por las categorías de contenido de WebBlocker.

Cuando un usuario intenta dirigirse a un sitio bloqueado por la política de WebBlocker, si está activada laanulación local, el usuario ve un deny message en el navegador.

WebBlocker


WebBlocker


Si el dispositivo WatchGuard utiliza un certificado autofirmado para la autenticación, es posible que elusuario también vea una advertencia de certificado. Le recomendamos que instale un certificado deconfianza en Firebox con este fin, o importe el certificado autofirmado en el dispositivo de cada cliente.

Para obtener acceso al sitio solicitado, el usuario debe ingresar el destino de anulación y la contraseña deanulación.

1. En el cuadro de texto Destino de anulación, ingrese la URL a la cual desea permitir el acceso. Pordefecto, el destino de anulación se configura como la URL que se bloqueó. Puede utilizar comodinesen el destino de anulación para otorgar acceso a más de un sitio o a más páginas de un mismo sitio.Ejemplos de destinos de anulación que utilizan comodines:

*.amazon.com

permite acceder a todos los subdominios de amazon.com

*amazon.com

permite acceder a todos los domain names que terminan con amazon.com, como images-amazon.com

www.amazon.com/books-used-books-textbooks/*

permite acceder solamente a las páginas que se encuentran en esa ruta

2. En el cuadro de texto Contraseña de anulación, ingrese la contraseña de anulación configurada enel perfil de WebBlocker.


Después de que el usuario ingresa la contraseña de anulación correcta, Firebox le permite acceder aldestino de anulación hasta que un usuario autenticado cierre sesión o hasta que no haya tráfico a un sitiocon coincidencia durante la cantidad de tiempo especificada en el tiempo de espera de inactividad deanulación local de WebBlocker. La anulación local se activa y el tiempo de espera de inactividad de laanulación local se configura en el perfil de WebBlocker..

Para obtener más información acerca de cómo configurar la anulación local de WebBlocker, consulteActivación deWebBlocker en la página 562.

Acerca de las Categorías de WebBlockerLa base de datos de WebBlocker contiene nueve grupos de categorías, con 54 categorías de sitios web.

Un sitio web se agrega a una categoría cuando los contenidos del sitio web coinciden con el criteriocorrecto. Los sitios web que ofrecen opiniones o material educativo acerca del tema de la categoría noestán incluidos. Por ejemplo, la categoría Drogas ilegales niega los sitios que indican cómo utilizar lamarihuana. No niegan los sitios que contienen información acerca del consumo histórico de marihuana.

SurfControl periódicamente agrega nuevas categorías de sitios web. Las nuevas categorías no aparecen enla página de configuración de WebBlocker hasta que WatchGuard actualiza el software para agregar lasnuevas categorías.

Para bloquear los sitios que cumplen con los criterios para una nueva categoría de SurfControl que todavíano forma parte de una actualización del software de WebBlocker, seleccione la categoríaOtro.

Para bloquear los sitios que no cumplen con los criterios para ninguna otra categoría, seleccione lacategoría Sin categorizar.

Consultar si un sitio está categorizado

Para ver si WebBlocker niega el acceso a un sitio web como parte de un bloque de categoría, diríjase a lapágina Probar un sitio en el sitio web de SurfControl.

1. Abra un explorador web y diríjase a:http://mtas2.surfcontrol.com/mtas/WatchGuardTest-a-Site_MTAS.asp.Se abre la página Probar un sitio de WatchGuard.

2. Ingrese la URL o dirección IP del sitio que desea probar.3. Haga clic en Probar sitio.

Aparece la página Resultados de Probar un sitio de WatchGuard.

WebBlocker


http://mtas2.surfcontrol.com/mtas/WatchGuardTest-a-Site_MTAS.asp




WebBlocker


Agregar, eliminar o cambiar una categoría

Si recibe un mensaje que indica que la URL que ingresó no figura en la lista de SurfControl, puede enviarlaen la página Resultados de prueba.

1. En la página Resultados de prueba, haga clic en Enviar un sitio.Aparece la página Enviar un sitio.

2. Seleccione si desea Agregar un sitio, Borrar un sitio o Cambiar la categoría.3. Ingrese la URL del sitio.4. Si desea solicitar que se cambie la categoría a la cual fue asignado un sitio, seleccione la nueva

categoría desde el menú desplegable.5. Haga clic en Enviar.

Acerca de las Excepciones de WebBlockerWebBlocker podría negar un sitio web que es necesario para su negocio. Usted puede anular aWebBlockercuando define un sitio web que WebBlocker suele negar como una excepción para permitir que losusuarios tengan acceso a éste. Por ejemplo, supongamos que los empleados de su compañía utilizan confrecuencia sitios web que contienen información médica. Algunos de estos sitios web están prohibidos porWebBlocker porque recaen en la categoría de educación sexual. Para anular aWebBlocker, especifique ladirección IP domain name. También puede negar sitios que WebBlocker suele permitir

Las excepciones de WebBlocker se aplican solamente al tráfico HTTP. Si niega un sitio con WebBlocker, elsitio no se agrega automáticamente a la lista de Sitios bloqueados.

Para agregar excepciones de WebBlocker, consulte Agregar WebBlocker Excepciones en la página 573.

Defina la acción para las sitios que no tienen coincidenciasExcepciones

En la sección Usar lista de categoría debajo de la lista de reglas de excepción, puede configurar la acciónque desea que ocurra si la URL no coincide con las excepciones que configura. Por defecto, el botón deradio Use la lista de categoría de WebBlocker para determinar accesibilidad está seleccionado yWebBlocker compara los sitios contra las categorías seleccionadas en la pestaña Categorías paradeterminar la accesibilidad.

Tambiénpuede elegir no utilizar las categorías en absoluto y en cambio, utilizar reglas de excepción sólo pararestringir el acceso a sitiosweb. Parahacer esto,haga clic en el botón de radio Negar acceso al sitio web.

Registrar esta acciónSeleccione para enviar un mensaje al archivo de registro cuando Firebox niega una excepción deWebBlocker.

Componentes de las reglas de excepción

Puede hacer que el dispositivo WatchGuard bloquee o permita una URL que contenga una coincidenciaexacta. Por lo general, es más conveniente que el dispositivo WatchGuard busque patrones de URL. Lospatrones de URL no incluyen "http://" al comienzo. Para generar coincidencias de rutas de URL en todos lossitios web, el patrón debe contener “/*” como rastro.

Excepciones con parte de una URL

Puede crear excepciones de WebBlocker mediante el uso de cualquier parte de una URL. Puede configurarun número de puerto, nombre de ruta o cadena que debe bloquearse para un sitio web en especial. Porejemplo, si es necesario bloquear sólo www.espaciocompartido.com/~dave porque contiene fotografíasinapropiadas, ingrese “www.espaciocompartido.com/~dave/*”. Esto permite que los usuarios puedannavegar a www.espaciocompartido.com/~julia, que puede tener contenidos que desea que sus usuariospuedan ver.

Para bloquear las URL que contengan la palabra “sexo” en la ruta, puede ingresar “*/*sexo*”. Parabloquear las URL que contengan la palabra “sexo” en la ruta o en el nombre de host, ingrese “*sexo*”.

WebBlocker


WebBlocker


Puede bloquear los puertos de una URL. Por ejemplo, observe la URLhttp://www.hackerz.com/warez/index.html:8080. Esta URL hace que el navegador utilice el protocoloHTTP en el puerto TCP 8080 en lugar del método predeterminado que utiliza el puerto TCP 80. Puedebloquear el puerto al generar la coincidencia *8080.

Agregar WebBlocker Excepciones

Puede agregar una excepción, que es una coincidencia exacta de una URL, o puede utilizar el símbolocomodín "*" en la URL para que coincida con cualquier carácter. Por ejemplo, si agrega"www.algunsitio.com" a la lista de Sitios permitidos y un usuario ingresa "www.algunsitio.com/noticias", lasolicitud resultará negada. Si agrega "www.algunsitio.com/*" a la lista de Sitios permitidos, WebBlockerpermite que las solicitudes se dirijan a todas las rutas de URL en el sitio web www.algunsitio.com.

Para agregar excepciones:

1. Desde la Fireware XTMWeb UI, seleccione Servicios de suscripción > WebBlocker.Aparece la página de WebBlocker.

2. En la sección Perfiles de WebBlocker, junto a la política de WebBlocker, haga clic en Configurar.Aparecerá la configuración de la política de WebBlocker.

3. Haga clic en la pestaña Excepciones.

4. En el cuadro de texto debajo de la lista Sitios permitidos, ingrese la URL exacta o el patrón de URLde un sitio al cual desee permitir el acceso siempre. Haga clic en Agregar para agregarlo a la lista deexcepciones de Sitios permitidos.

5. En el cuadro de texto debajo de la lista Sitios negados, ingrese la URL exacta o el patrón de URL deun sitio al cual desee negar el acceso siempre. Haga clic en Agregar para agregarlo a la lista de Sitiosnegados.

Nota Cuando ingrese una excepción de URL, no incluya “http://” al comienzo. Puedeutilizar el símbolo comodín, *, para buscar coincidencia de cualquier carácter. Porejemplo, la excepción www.algunsitio.com/* generará coincidencias de todas lasrutas de URL en el sitio web www.algunsitio.com. Puede utilizar más de uncomodín en una excepción de URL.

6. En la sección Usar lista de categoría, puede configurar la acción que desea realizar si la URL nocoincide con las excepciones que configura. La configuración predeterminada es que el botón de

WebBlocker


WebBlocker


radio Use la lista de categoría de WebBlocker para determinar accesibilidad esté seleccionado yWebBlocker compare los sitios contra las categorías seleccionadas en la pestaña Categorías paradeterminar la accesibilidad.

También puede elegir no utilizar las categorías en absoluto y en cambio, utilizar reglas de excepciónsólo para restringir el acceso a sitios web. Para hacer esto, haga clic en el botón de radio Negaracceso al sitio web.


Renovar suscripciones de seguridadLos servicios de suscripción de WatchGuard (el Gateway AntiVirus, el Intrusion Prevention Service,WebBlocker y spamBlocker) deben recibir actualizaciones periódicas para funcionar con eficiencia.

Para ver la fecha de vencimiento de sus servicios de suscripción, en la Web UI de Fireware XTM, seleccioneSistema > Tecla de función. La columna Vencimientomuestra la fecha de vencimiento de la suscripción.

Cuando renueva la suscripción de seguridad, debe actualizar la tecla de función del dispositivo WatchGuard.Para actualizar la tecla de función, desde la Web UI de Fireware XTM, seleccione Sistema > Tecla defunción.

Para obtener más información acerca de las teclas de función, consulte Acerca de las teclas de función en lapágina 51.

Acerca del vencimiento de los servicios desuscripción de WebBlockerSi su sitio utiliza WebBlocker, debe renovar o desactivar su suscripción de WebBlocker cuando venza paraevitar una interrupción en la navegación web. WebBlocker tiene una configuración predeterminada quebloquea todo el tráfico cuando se agota el tiempo de espera de las conexiones con el servidor. Cuando suWebBlocker se vence, ya no se comunica con el servidor. Para Firebox, esto aparece como el agotamientodel tiempo de espera del servidor. Todo el tráfico HTTP se bloquea a menos que esta configuraciónpredeterminada se cambie antes del vencimiento.

Para cambiar esta configuración, diríjase a la pestaña Configuración de la página de configuración deWebBlocker y cambie la configuración de la sección Derivación de licencia a Permitida.

WebBlocker



25 spamBlocker

Acerca de las spamBlockerLos correos electrónicos no deseados, también conocidos como spam, llenan una bandeja de entradapromedio a una velocidad asombrosa. Un gran volumen de spam disminuye el ancho de banda, degrada laproductividad del empleado y desperdicia recursos de red. La opción spamBlocker de WatchGuard utilizauna tecnología de detección de patrones líder en la industria proporcionada por Commtouch para bloquearel spam en su puerta de enlace de Internet y mantenerlo alejado de su Servidor de correo electrónico.

Los filtros de correo comerciales utilizan muchos métodos para detectar el spam. Las listas negras guardanuna lista de dominios que son utilizados por fuentes de spam conocidas y son relés abiertos para el spam.Los filtros de contenido buscan palabras clave en el encabezado y en el cuerpo del mensaje de correoelectrónico. La detección de URL compara una lista de dominios utilizados por fuentes de spam conocidascon el enlace publicitado en el cuerpo del mensaje de correo electrónico. No obstante, todos estosprocedimientos escanean cada mensaje de correo electrónico individual. Los atacantes pueden evitarfácilmente esos algoritmos fijos. Pueden enmascarar la dirección del emisor para evitar una lista negra,cambiar las palabras clave, integrar palabras en una imagen o utilizar múltiples idiomas. También puedencrear una cadena de servidores proxy para camuflar la URL publicitada.

spamBlocker utiliza la solución Detección de patrones recurrentes (Recurrent-Pattern Detection, RPD)creada por Commtouch para detectar estos ataques de spam difíciles de advertir. La RPD es un métodoinnovador que navega Internet para detectar los ataques de spam en tiempo real. La RPD detecta lospatrones del ataque, no sólo el patrón de mensajes de spam individuales. Como no utiliza el contenido ni elencabezado de un mensaje, puede identificar el spam en cualquier idioma, formato o codificación. Para verun ejemplo de análisis de ataque de spam en tiempo real, visite el Monitor de ataques de Commtouch en:http://www.commtouch.com/Site/ResearchLab/map.asp

spamBlocker además proporcionauna funciónopcional de Virus OutbreakDetection. Paramásinformaciones, vea Activey configure los parámetrosde la Virus OutbreakDetection (VOD) en la página601.

Para ver las estadísticas de la actividad actual de spamBlocker, seleccione Panel de instrumentos > Serviciosde suscripción.

http://www.commtouch.com/Site/ResearchLab/map.asp

spamBlocker



Requisitos de spamBlocker

Antes de activar spamBlocker, debe tener:

n Una tecla de función de spamBlocker: para obtener una tecla de función, comuníquese con surevendedor de WatchGuard o diríjase al sitio web de WatchGuard LiveSecurity en:http://www.watchguard.com/store

n Un servidor de correo electrónico POP3 o SMTP: spamBlocker trabaja con los servidores proxySMTP entrantes y POP3 de WatchGuard para escanear su correo electrónico. Si no configuró elproxy POP3 o SMTP, estos se activarán cuando configure el servicio de spamBlocker. Si tiene más deuna política de proxy para POP3 o para SMTP, spamBlocker trabajará con todas.

n El DNS debe estar configurado en su Firebox: en la Fireware XTMWeb UI, seleccione Red >Interfaces. En la lista Servidores DNS, agregue las direcciones IP de los servidores DNS que sudispositivo WatchGuard utiliza para resolver los nombres de host.

n Una conexión a Internet disponible

http://www.watchguard.com/store


Acciones, etiquetas y categorías de spamBlocker

El dispositivo WatchGuard utiliza las acciones de spamBlocker para aplicar decisiones acerca de la entregade mensajes de correo electrónico. Cuando un mensaje es asignado a una categoría, se aplica la acciónrelacionada. No se admiten todas las acciones cuando utiliza spamBlocker con el proxy POP3.

Permitir

Permitir que el mensaje de correo electrónico pase por Firebox.

Agregar etiqueta de asunto

Permitir que el mensaje de correo electrónico pase por Firebox pero insertar texto en la línea deasunto del mensaje de correo electrónico para marcarlo como spam o posible spam. Puedemantener las etiquetas predeterminadas o personalizarlas, como se describe en la sección deetiquetas de spamBlocker a continuación. También puede crear reglas en su lector de correoelectrónico para clasificar el spam de manera automática, como se describe en Cree reglas para sulector de correo electrónico en la página 602.

Poner en cuarentena (sólo SMTP)

Enviar el mensaje de correo electrónico al Quarantine Server. Tenga en cuenta que la opción Poneren cuarentena está admitida sólo si utiliza spamBlocker con el proxy SMTP. El proxy POP3 no admiteesta opción.

Negar (sólo SMTP)

Evita que el mensaje de correo electrónico sea entregado al servidor de correo. Firebox envía estemensaje SMTP 571 al servidor de correo electrónico enviante: Entrega no autorizada, mensajerechazado. La opción Negar se admite sólo si utiliza spamBlocker con el proxy SMTP. El proxy POP3no admite esta opción.

Abandonar (sólo SMTP)

Abandonar la conexión inmediatamente. El dispositivo WatchGuard no le brinda ningún mensaje deerror al servidor enviante. La opción Abandonar está admitida sólo si utiliza spamBlocker con elproxy SMTP. El proxy POP3 no admite esta opción.

Etiquetas de spamBlocker

Si selecciona la acción de spamBlocker para agregar una etiqueta a determinados mensajes de correoelectrónico, Firebox agrega una cadena de texto a la línea de asunto del mensaje. Puede utilizar lasetiquetas predeterminadas provistas o crear etiquetas personalizadas. La longitud máxima de la etiqueta esde 30 caracteres.

Este ejemplo muestra la línea de sujeto de un mensaje de correo electrónico confirmado como spam. Laetiqueta que se agregó fue la predeterminada: ***SPAM***.Asunto: ***SPAM*** Cotización gratuita de seguro automotor

Este ejemplo muestra una etiqueta personalizada: [SPAM]Asunto: [SPAM] ¡Ha sido aprobado!

Categorías de spamBlocker

La solución Detección de patrones recurrentes (RPD) de Commtouch (RPD) clasifica los ataques de spampor severidad en su base de datos Centro de detección anti-spam. spamBlocker consulta esta base de datosy le asigna una categoría a cada mensaje de correo electrónico.

spamBlocker tiene tres categorías:

La categoría Spam confirmado incluye los mensajes de correo electrónico que vienen de emisores despam conocidos. Si utiliza spamBlocker con el proxy SMTP, le recomendamos que utilice la acción Negarpara este tipo de correo electrónico. Si utiliza spamBlocker con el proxy POP3, le recomendamos queutilice la acción Agregar etiqueta de asunto para este tipo de correo electrónico.

La categoríaMasivo incluye a los mensajes de correo electrónico que no provienen de emisores conocidospero que coinciden con algunos patrones de estructura de spam conocidos. Le recomendamos que utilicela acción Agregar etiqueta de asunto para este tipo de correo electrónico, o bien, la acción Poner encuarentena si utiliza spamBlocker con el proxy SMTP.

La categoría Sospechoso incluye a los mensajes de correo electrónico que parecen poder asociarse con unnuevo ataque de spam. Con frecuencia, estos mensajes son mensajes de correo electrónico legítimos. Lerecomendamos que considere los mensajes de correo electrónico sospechosos como un falso positivo y enconsecuencia, no como spam, a menos que haya verificado que no se trata de un falso positivo para su red.También le recomendamos que utilice la acción Permitir para el correo electrónico sospechoso, o bien, laacción Poner en cuarentena si utiliza spamBlocker con el proxy SMTP.

Consulte la categoría de spamBlocker de un mensaje

Después de que spamBlocker categoriza un mensaje, agrega la categoría de spam al encabezado delmensaje de correo electrónico completo como una calificación de spam.

Para encontrar la calificación de spam de un mensaje, abra el encabezado completo del mensaje de correoelectrónico.

Si tiene Microsoft Outlook, abra el mensaje, seleccione Ver > Opciones y busque en el cuadro de diálogoEncabezados de Internet.La calificación de spam aparece en esta línea:

X-WatchGuard-Spam_Score:

Por ejemplo:

X-WatchGuard-Spam-Score: 3, masivo; 0, sin virus

El primer número en esta línea es la categoría de spam. Este número tiene uno de estos valores:

0 - limpio

1 - limpio

2 - sospechoso

3 - masivo

4 - spam



Si activa la Virus Outbreak Detection (VOD) en su configuración de spamBlocker, la calificación de spam enel encabezado del mensaje de correo electrónico tendrá un número secundario, la categoría de VOD. Estenúmero tiene uno de estos valores:

0 - sin virus

1 - sin virus

2 - posible amenaza de virus

3 - alta amenaza de virus

Configurado spamBlockerPara configurar spamBlocker para un proxy SMTP o POP3:

1. Desde laWeb UI de Fireware XTM, seleccione Servicios de suscripción > spamBlocker.Aparece la página de configuración de spamBlocker, con una lista de las acciones de proxy SMTP y POP3 en sudispositivo WatchGuard y una indicación de si spamBlocker está activado para cada una.

2. Seleccione la política que desea configurar y haga clic en Configurar.Aparece la página de configuración de spamBlocker para esa política.

3. Seleccione la casilla de verificación Activar spamBlocker.4. Configure las acciones que spamBlocker aplicará para cada categoría de correo electrónico en las

listas desplegables adyacentes a spam ConfirmadoMasivo y Sospechoso. Si selecciona Agregaretiqueta de asunto para cualquier categoría, puede cambiar la etiqueta predeterminada queaparece en el cuadro de texto a la derecha de la lista desplegable.Para obtener más información acerca de las etiquetas de spamBlocker, consulte Acciones, etiquetasy categorías de spamBlocker en la página 581.

5. Si desea enviar un mensaje de registro cada vez que spamBlocker realiza una acción, seleccione lacasilla de verificación Enviar un mensaje de registro de la acción que corresponde. Si no deseagrabar los mensajes de registro de una acción, desmarque esta casilla de verificación.

6. La lista desplegable Cuando el servidor de spamBlocker no está disponible especifique cómo debeadministrar el correo electrónico entrante el dispositivo WatchGuard cuando no se puedecomunicar con el servidor de spamBlocker. Le recomendamos que utilice la acción predeterminadaPermitido.

n Si configura esta opción como Negado para el proxy POP3 o SMTP, esto causará un conflictocon Microsoft Outlook. Cuando Outlook inicia una conexión con el servidor de correoelectrónico, spamBlocker intenta comunicarse con el servidor de spamBlocker. Si el servidorde spamBlocker no está disponible, spamBlocker detiene la descarga de correos electrónicos.Cuando esto ocurre, comienza un ciclo. Outlook intenta descargar los correos electrónicos yspamBlocker detiene la descarga. Esto continúa hasta que el dispositivo WatchGuard lograconectarse al servidor de spamBlocker, se abandona la solicitud porque se vencen los tiemposde proxy o usted cancela la solicitud.



n Si configura esta opción como Negado con el proxy SMTP, el dispositivo WatchGuard envía estemensaje SMTP 450 al servidor de correo electrónico enviante: “La casilla de correo no estádisponible por el momento”.

7. La casilla de verificación Enviar mensaje de registro para cada correo electrónico clasificado comono spam especifica si se agrega un mensaje al archivo de registro si un mensaje de correoelectrónico es escaneado por spamBlocker pero no es designado como spam Confirmado, Masivo niSospechoso. Seleccione esta casilla de verificación si desea agregar un mensaje al archivo deregistro en esta situación.

8. (Opcional) Agregue reglas de excepción a spamBlocker, como se describe en Acerca de lasExcepciones de spamBlocker en la página 587.

9. Configure las acciones de Virus Outbreak Detection, como se describe en Configurar acciones deVirus Outbreak Detection para una política en la página 593.


Nota Si tiene algún firewall perimetral entre el dispositivo WatchGuard que utilizaspamBlocker e Internet, éste no debe bloquear el tráfico HTTP. El protocolo HTTP seutiliza para enviar solicitudes desde el dispositivo WatchGuard hasta el servidor despamBlocker.

Después de activar spamBlocker para una acción o política de proxy, puede definir la configuración globalde spamBlocker. Estos ajustes se aplican a todas las configuraciones de spamBlocker. Haga clic enConfiguración para ver o modificar la configuración global de spamBlocker. Para más informaciones, veaConfigure los parámetros globales de spamBlocker en la página 597.


Acerca de las Excepciones de spamBlocker

Puede crear una lista de excepciones a las acciones generales de spamBlocker que se base en la direccióndel emisor o del destinatario. Por ejemplo, si desea permitir un boletín de noticias que spamBlockeridentifica como correo electrónico masivo, puede agregar a ese emisor a la lista de excepciones y utilizar laacción Permitir independientemente de la categoría de spamBlocker a la cual esté asignado el emisor. Obien, si desea aplicar una etiqueta a un emisor que spamBlocker designa como seguro, también puedeagregar eso a la lista de excepciones.

Asegúrese de utilizar la dirección real del emisor, que figura en el campo “Correo de” en el encabezado delmensaje de correo electrónico, que posiblemente no coincida con la dirección del campo “De:” que ve enla parte superior del mensaje de correo electrónico. Para obtener la dirección real para la excepción,busque el encabezado completo del mensaje de correo electrónico (desde Microsoft Outlook, con elmensaje abierto, seleccione Ver > Opciones y busque en el cuadro Encabezados de Internet). Lasdirecciones del emisor y el destinatario están en estas líneas:

X-WatchGuard-Mail-From:

X-WatchGuard-Mail-Recipients:

Tenga cuidado cuando agrega comodines a una excepción. Los emisores de spam pueden replicar lainformación del encabezado. Cuanto más específicas sean las direcciones de su lista de excepciones, másdifícil será replicarlas.

Para agregar una regla de excepción, consulte Agregar spamBlocker reglas de excepciones en la página 589.

Para cambiar el orden de las reglas enumeradas en el cuadro de diálogo, consulte Cambiar el orden de lasExcepciones en la página 591.


Agregar spamBlocker reglas de excepciones

Después de activar spamBlocker, puede definir excepciones que permitan que los correos electrónicos deemisores específicos deriven a spamBlocker.

1. Desde la Web UI de Fireware XTM, seleccione Servicios de suscripción > spamBlocker.Aparece la página de configuración de spamBlocker.

2. Seleccione una política de proxy y haga clic en Configurar. Haga clic en la pestaña Excepciones.Aparece la página de configuración de spamBlocker y muestra la lista de excepciones de spamBlocker.

3. Desde la lista desplegable Acción, seleccione una acción de la regla: Permitir, Agregar etiqueta deasunto, Poner en cuarentena, Negar o Abandonar. (Recuerde que el proxy POP3 sólo admite lasacciones Permitir y Agregar etiqueta de asunto en spamBlocker).

4. Ingrese un emisor, un destinatario o ambos. Puede ingresar la dirección de correo electrónicocompleta o utilizar comodines.Asegúrese de utilizar la dirección real del emisor. Puede encontrar esta dirección en el campo“Correo de” en el encabezado del correo electrónico. Es posible que esta dirección no coincida conla que aparece en el campo “De:” que ve en la parte superior del mensaje de correo electrónico.Para obtener la dirección real para la excepción, busque el encabezado completo del mensaje decorreo electrónico (desde Microsoft Outlook, con el mensaje abierto, seleccione Ver > Opciones ybusque en el cuadro Encabezados de Internet). Las direcciones del emisor y el destinatario estánen estas líneas:X-WatchGuard-Mail-From:

X-WatchGuard-Mail-Recipients:

Tenga cuidado cuando agrega comodines a una excepción. Los emisores de spam pueden replicar

la información del encabezado. Cuanto más específicas sean las direcciones de su lista deexcepciones, más difícil será replicarlas.

5. Haga clic en Agregar.La excepción se agrega en la parte inferior de la lista de excepciones.

6. Si desea enviar un mensaje de registro cada vez que un correo electrónico coincida con una de lasexcepciones, haga clic en la casilla de verificaciónRegistrar excepciones.

Las excepciones se procesan en el mismo orden en que aparecen en la lista. De ser necesario, haga clic enlos botones Arriba y Abajo para Cambiar el orden de las Excepciones.



Cambiar el orden de las Excepciones

El orden de aparición de las reglas de excepciones de spamBlocker en el cuadro de diálogo refleja el ordenen que los mensajes de correo electrónico se comparan con las reglas. La política de proxy compara losmensajes con la primera regla de la lista y continúa secuencialmente desde arriba hacia abajo. Cuando unmensaje coincide con una regla, el dispositivo WatchGuard realiza la acción relacionada. No realiza ningunaotra acción, incluso aunque el mensaje coincida con una o más reglas posteriores de la lista.

Para cambiar el orden de las reglas, seleccione la regla cuyo orden desea cambiar. Haga clic en el botónArriba o Abajo para desplazar la regla seleccionada hacia arriba o abajo de la lista.


Configurar acciones de Virus Outbreak Detection para unapolítica

La Virus Outbreak Detection (VOD) es una tecnología que utiliza el análisis del tráfico para identificar losataques de virus por correo electrónico en todo el mundo en pocos minutos y luego ofrece proteccióncontra esos virus. Suministrada por Commtouch, un líder de la industria en protección contra spam y virusen correos electrónicos, la VOD está incorporada en el servicio de suscripción de spamBlocker. Después deactivar spamBlocker, puede configurar la Virus Outbreak Detection.

Para configurar las acciones de Virus Outbreak Detection:

1. Desde laWeb UI de Fireware XTM, seleccione Servicios de suscripción > spamBlocker.

2. Asegúrese de que la Virus Outbreak Detection esté activada:

n En spamBlocker página, haga clic en Configuración.n En la página Configuración de spamBlocker, haga clic en la pestaña VOD.n Seleccione la casilla de verificación Activar Virus Outbreak Detection (VOD).

Para más informaciones, vea Active y configure los parámetros de la Virus Outbreak Detection(VOD) en la página 601.

n Haga clic en Guardar.

3. En spamBlocker página, seleccione una política de proxy y haga clic en Configurar. Haga clic en lapestaña Virus Outbreak Detection.

4. Desde la lista desplegable Cuando se detecta un virus, seleccione la acción que debe realizar eldispositivo WatchGuard si VOD detecta un virus en un mensaje de correo electrónico.

5. Desde la lista desplegable Cuando ocurre un error de escaneo, seleccione la acción que deberealizar el dispositivo WatchGuard cuando VOD no puede escanear un mensaje de correoelectrónico o un adjunto.Los adjuntos que no se pueden escanear incluyen mensajes codificados de BinHex, determinados

archivos cifrados o archivos que utilizan un tipo de compresión no admitido como los archivos Zipprotegidos por contraseña.

6. Seleccione las casillas de verificación Registrar esta acción para enviar un mensaje de registrocuando se detecta un virus o cuando ocurre un error de escaneo.

El proxy SMTP admite las acciones Permitir, Bloquear, Eliminar, Poner en cuarentena, Abandonar yBloquear. El proxy POP3 sólo admite las acciones Permitir, Bloquear y Eliminar.

Para obtener más información acerca de estas acciones, consulte Acciones, etiquetas y categorías despamBlocker en la página 581.



Configure spamBlocker para colocar mensajes de correoelectrónico en cuarentena


Para configurar spamBlocker para que ponga correos electrónicos en cuarentena:

1. Cuando configura spamBlocker (como se describe en Configurado spamBlocker en la página 583),debe asegurarse de activar spamBlocker para el proxy SMTP.

2. Cuando configura las acciones que spamBlocker aplicará a las diferentes categorías de correoelectrónico (como se describe en Configurado spamBlocker en la página 583), asegúrese deseleccionar la acción Poner en cuarentena por lo menos para una de las categorías.

También puede seleccionar la acción Poner en cuarentena para los mensajes de correo electrónicoidentificados por Virus Outbreak Detection como portadores de virus. Para más informaciones, veaConfigurar acciones de Virus Outbreak Detection para una política en la página 593.


Acerca de la utilización spamBlocker con servidores proxymúltiples

Puede configurar más de una política de proxy SMTP o POP3 para utilizar spamBlocker. Esto le permitecrear reglas personalizadas para grupos diferentes dentro de una organización. Por ejemplo, puedepermitir todos los correos electrónicos para sus empleados administrativos y utilizar una etiqueta de spampara el equipo de mercadeo.

Si desea utilizar más de una política de proxy con spamBlocker, su red debe utilizar una de estasconfiguraciones:

n Cadapolíticadeproxydebeenviar loscorreoselectrónicosaunservidordecorreoelectrónicointernodiferente.o

n Debeconfigurar lasfuentesexternasquepuedenenviarcorreoselectrónicosparacadapolíticadeproxy.

Configure los parámetros globales despamBlockerPuede usar configuración global de spamBlocker para optimizar spamBlocker para su propia instalación.Como la mayoría de estos parámetros afectan la cantidad de memoria que utiliza spamBlocker en eldispositivo WatchGuard, debe equilibrar el rendimiento de spamBlocker con las demás funciones de sudispositivo WatchGuard.

Nota Para realizar las configuraciones globales de spamBlocker, debe activarspamBlocker por lo menos para una política de proxy.

1. Desde laWeb UI de Fireware XTM, seleccione Servicios de suscripción > spamBlocker.2. Haga clic en Configuraciones.

Aparece la página de configuración de spamBlocker.

3. spamBlocker crea una conexión para cada mensaje que procesa. Esta conexión incluye informaciónacerca del mensaje que se utiliza para generar su calificación de spam. spamBlocker establece unnúmero máximo predeterminado de conexiones que pueden analizarse simultáneamente conmemoria intermedia según el modelo de su dispositivo WatchGuard. Puede utilizar el campoNúmero máximo de conexiones para aumentar o reducir este valor. Si la cantidad de tráfico queadministran sus políticas de proxy es reducida, puede aumentar el número de conexiones admitidaspara spamBlocker sin afectar el rendimiento. Si tiene memoria disponible limitada en el dispositivoWatchGuard, es posible que desee reducir el valor de este campo.

4. Utilice el campo Tamaño máximo de archivo para escanear para configurar la cantidad de bytesque debe tener un mensaje de correo electrónico para que pase a escanearse en spamBlocker. Porlo general, de 20 a 40 K resultan suficientes para que spamBlocker detecte el spam correctamente.No obstante, si el spam a base de imágenes representa un problema para su organización, puedeaumentar el tamaño máximo del archivo para bloquear más mensajes de spam a base de imágenes.Para obtener información sobre los límites de escaneo predeterminados y máximos para cadamodelo de dispositivo WatchGuard, consulte Acerca de spamBlocker y los límites de escaneo de laVOD en la página 602.



5. En el campo Tamaño de caché, ingrese el número de entradas que spamBlocker almacenalocalmente para los mensajes que fueron categorizados como spam y masivos. Un caché localpuede mejorar el rendimiento porque no requiere tráfico de red a Commtouch. Por lo general, notiene que cambiar este valor.Puede configurar el campo Tamaño de caché en 0 para que todos los correos electrónicos seenvíen a Commtouch. Normalmente, esto sólo se utiliza para detectar y solucionar problemas.

6. Desmarque la casilla de verificación Activado al lado de Patrones proactivos si desea desactivar lafunción de Patrones proactivos del motor de CT de Commtouch. Esta función está activada demanera automática. Utiliza una gran cantidad de memoria mientras se actualiza la base de datoslocal. Si tiene recursos de memoria o procesador limitados, es posible que desee desactivar estafunción.

7. El cuadro de texto Anulación de cadena de conexión sólo se utiliza cuando debe detectar ysolucionar un problema de spamBlocker con un representante de soporte técnico. No cambie estevalor a menos que se le solicite que proporcione información de depuración adicional para unproblema de soporte técnico.

8. También puede definir varios parámetros opcionales más para spamBlocker:

n Active y configure los parámetros de la Virus Outbreak Detection (VOD)n Utilice un servidor proxy HTTP para spamBlockern Agregar reenviadores de correo electrónico de confianza para mejorar la precisión de

calificación del spam


Utilice un servidor proxy HTTP para spamBlocker

Si spamBlocker debe utilizar un servidor proxy HTTP para conectarse con el servidor de CommTouch através de Internet, debe configurar el servidor proxy HTTP desde Configuraciones de spamBlocker página.

1. En el la página de spamBlocker, haga clic en Configuración.2. Haga clic en la pestaña Servidor proxy HTTP.

3. En la pestaña Servidor proxy HTTP, seleccione la casilla de verificación Contactar el servidor despamBlocker usando un servidor proxy HTTP.

4. Utilice los otros campos de esta pestaña para configurar los parámetros del servidor proxy, queincluyen la dirección del servidor proxy, el puerto que debe utilizar el dispositivo WatchGuard paracomunicarse con el servidor proxy y las credenciales de autenticación que debe utilizar eldispositivo WatchGuard para las conexiones con el servidor proxy (si el servidor proxy las requiere).

Agregar reenviadores de correo electrónico de confianza paramejorar la precisión de calificación del spam

Parte de la calificación de spam de un mensaje de correo electrónico se calcula mediante la dirección IP delservidor desde el cual se recibió el mensaje. Si se utiliza un servicio de reenvío de correo electrónico, ladirección IP del servidor reenviante se utiliza para calcular la calificación del spam. Como el servidorreenviante no es el servidor de correo electrónico fuente inicial, es posible que la calificación del spam nosea precisa.

Para mejorar la precisión de la calificación del spam, puede ingresar uno o más nombres de host o domainnames de servidores de correo electrónico en los cuales confíe para que reenvíen el correo electrónico asu servidor de correo electrónico. Si utiliza un servidor SMTP, ingrese uno o más nombres de host o domainnames de los servidores de correo electrónico SMTP en los cuales confíe para que reenvíen los mensajes asu servidor de correo electrónico. Si utiliza un servidor POP3, ingrese los domain names de proveedoresPOP3 conocidos o comúnmente utilizados en los cuales confía para descargar sus mensajes por medio deellos.



Después de que agrega un reenviador de correo electrónico de confianza o varios, spamBlocker ignora alreenviador de correos electrónicos de confianza en los encabezados de los mensajes de correoelectrónico. La calificación del spam se calcula utilizando la dirección IP del servidor de correo electrónicofuente.

1. Desde la página Configuración de spamBlocker, haga clic en la pestaña Configuración.2. Debajo de la lista Reenviadores de correo electrónico de confianza, ingrese un nombre de host o

de dominio en el cuadro de texto. Haga clic en Agregar.Si agrega un domain name, asegúrese de agregar un punto al principio (.) del nombre, como en.firebox.net.

3. (Opcional) Repita el paso 2 para agregar más reenviadores de correo electrónico de confianza.4. Haga clic en Guardar.

Active y configure los parámetros de la Virus OutbreakDetection (VOD)

La Virus Outbreak Detection (VOD) es una tecnología que identifica los ataques de virus por correoelectrónico de todo el mundo en minutos y luego ofrece protección contra esos virus. Ofrecida porCommtouch, un líder de la industria en lo que respecta a protección contra virus y spam por correoelectrónico, VOD atrapa los virus incluso más rápido que los sistemas basados en firmas.

Para activar y configurar VOD:

1. Desde la página Configuración de spamBlocker, haga clic en la pestaña VOD.

2. Seleccione la casilla de verificación Activar Virus Outbreak Detection (VOD).3. De modo predeterminado, VOD analiza los mensajes de correo electrónico entrantes hasta un límite

de tamaño predeterminado que resulta óptimo para el modelo de Firebox. Puede aumentar oreducir este límite mediante las flechas adyacentes a Tamaño máximo de archivo VOD paraescanear.Para obtener información sobre los límites de escaneo predeterminados y máximos para cadamodelo de dispositivo WatchGuard, consulte Acerca de spamBlocker y los límites de escaneo de laVOD en la página 602.

VOD utiliza el valor mayor de los tamaños de archivo máximos configurados para la VOD o el spamBlocker.Si el valor global para spamBlocker del campo Tamaño máximo de archivo para escanear configurado en ,pestaña Configuración es mayor que el valor de Tamaño máximo de archivo VOD para escanear, VODutilizará el valor global para spamBlocker. Para obtener información acerca de la configuración global despamBlocker, consulte Configure los parámetros globales de spamBlocker en la página 597.

En las definiciones de proxy para spamBlocker, puede configurar las acciones que desea que spamBlockerrealice cuando encuentre un virus, como se describe en Configurar acciones de Virus Outbreak Detectionpara una política en la página 593.

Acerca de spamBlocker y los límites de escaneo de la VOD

spamBlocker escanea cada archivo hasta un conteo de kilobytes específico. Todos los bytes adicionales en elarchivo no se examinan. Esto permite al proxy escanear parcialmente archivos muy grandes sin ocasionarun efecto considerable en el rendimiento. Los límites de escaneo predeterminado y máximo son diferentespara cada modelo de dispositivo WatchGuard.

Límites de escaneo del archivo por modelo de dispositivo WatchGuard,en kilobytes

Modelo Mínimo Máximo Predeterminado

Firebox X Edge e-Series 1 40 40

Firebox X Core e-Series 1 2000 60

Firebox X Peak e-Series 1 2000 100

WatchGuard XTM XTM Serie 2 1 1000 60

WatchGuard XTM 5 Series 1 2000 100

WatchGuard XTM 8 Series 1 2000 100

WatchGuard XTM 1050 1 2000 100

Para obtener información acerca de cómo configurar el tamaño máximo del archivo a escanear mediantespamBlocker y la VOD, consulte Configure los parámetros globales de spamBlocker en la página 597 yActive y configure los parámetros de la Virus Outbreak Detection (VOD) en la página 601

Cree reglas para su lector de correo electrónicoPara utilizar la acción de Etiqueta en spamBlocker, lo mejor es que configure su lector de correoelectrónico para clasificar los mensajes. La mayoría de los lectores de correo electrónico, como Outlook,Thunderbird y Mac Mail, le permiten configurar reglas que envían automáticamente los mensajes de correoelectrónico etiquetados a una subcarpeta. Algunos lectores de correo electrónico además permiten crearuna regla para eliminar los mensajes automáticamente.

Como puede utilizar una etiqueta diferente para cada categoría de spamBlocker, puede configurar unaregla diferente para cada categoría. Por ejemplo, puede configurar una regla para trasladar todos losmensajes de correo electrónico que contengan la etiqueta ***MASIVO*** en la línea de asunto a unasubcarpeta para correos masivos en su bandeja de entrada. Puede configurar otra regla que elimine todoslos mensajes de correo electrónico que contengan la etiqueta ***SPAM*** en la línea de asunto.

Para obtener instrucciones acerca de cómo configurar el cliente de correo electrónico Microsoft Outlook,consulte Enviar correos electrónicos spam o masivos a carpetas especiales en Outlook en la página 603.Para obtener información acerca de cómo utilizar este procedimiento en otros tipos de clientes de correoelectrónico, consulte la documentación del usuario de esos productos.



Nota Si utiliza spamBlocker con el proxy SMTP, puede hacer que los correos electrónicosspam se envíen al Quarantine Server. Para obtener más información sobre elQuarantine Server, consulte Página Acerca de Quarantine Server en la página 635.

Enviar correos electrónicos spam o masivos a carpetasespeciales en Outlook

Este procedimiento le muestra los pasos para crear reglas para los correos electrónicos masivos ysospechosos en Microsoft Outlook. Puede hacer que los correos electrónicos que contienen las etiquetas“spam” o “masivo” se envíen directamente a carpetas especiales en Outlook. Cuando cree estas carpetas,mantendrá los correos electrónicos que posiblemente sean spam fuera de sus carpetas habituales deOutlook pero podrá acceder a ellos si fuera necesario.

Antes de comenzar, asegúrese de configurar spamBlocker para agregar una etiqueta a los correoselectrónicos spam y masivos. Puede utilizar las etiquetas predeterminadas o crear etiquetas personalizadas.Los siguientes pasos describen cómo crear carpetas con las etiquetas predeterminadas.

1. En su bandeja de entrada de Outlook, seleccione Herramientas > Reglas y alertas.2. Haga clic en Nueva regla para iniciar el asistente Reglas.3. Seleccione Comenzar desde una regla en blanco.4. Seleccione Comprobar los mensajes cuando llegan. Haga clic en Siguiente.5. Seleccione la casilla de verificación de condición: con palabras específicas en el asunto. Luego, en

el panel inferior, edite la descripción de la regla haciendo clic en especificar.6. En el cuadro de diálogo Buscar texto, ingrese la etiqueta de spam como ***SPAM***. Si utiliza una

etiqueta personalizada, ingrésela aquí en lugar de la anterior.7. Haga clic en Agregar y luego haga clic en OK.8. Haga clic en Siguiente.9. El asistente le pregunta qué desea hacer con el mensaje. Seleccione la casilla de verificación

moverlo a la carpeta especificada. Luego, en el panel inferior, haga clic en especificada paraseleccionar la carpeta de destino.

10. En el cuadro de diálogo Elegir una carpeta, haga clic en Nueva.11. En el campo de nombre de la carpeta, ingrese Spam. Haga clic en OK.12. Haga clic en Siguiente dos veces.13. Para completar la configuración de la regla, ingrese un nombre para su regla de spam y haga clic en

Terminar.14. Haga clic en Aplicar.

Repita estos pasos para crear una regla para el correo electrónico masivo, utilizando la etiqueta correoelectrónico masivo. Puede enviar el correo electrónico masivo a la misma carpeta o crear una carpetaindependiente para el correo electrónico masivo.

Enviar un informe acerca de falsos positivos ofalsos negativosUn mensaje de correo electrónico falso positivo es un mensaje legítimo que spamBlocker identificaincorrectamente como spam. Un mensaje de correo electrónico falso negativo es un mensaje de spam quespamBlocker no identifica correctamente como spam. Si encuentra un mensaje de correo electrónico falsopositivo o falso negativo, puede enviar un informe directamente a Commtouch. También puede enviar uninforme acerca de un falso positivo para un mensaje de correo electrónico masivo solicitado. Éste es unmensaje que spamBlocker identifica como correo masivo cuando un usuario en realidad solicitó el mensajede correo electrónico.

Nota No envíe un informe acerca de un falso positivo cuando el correo electrónico fueasignado a la categoría Sospechoso. Como ésta no es una categoría permanente,Commtouch no investiga los informes de error de spam sospechoso.

Debe tener acceso al mensaje de correo electrónico para enviar un informe de falso positivo o falsonegativo a Commtouch. También debe conocer la categoría (Spam confirmado, Masivo) en la cualspamBlocker colocó el mensaje de correo electrónico. Si no conoce la categoría, consulte la sección"Buscar la categoría a la cual está asignado un mensaje" a continuación.

1. Guarde el mensaje de correo electrónico como un archivo .msg o .eml.No puede reenviar el correo electrónico inicial porque Commtouch debe ver el encabezado delcorreo electrónico. Si utiliza un software de correo electrónico como Microsoft Outlook o MozillaThunderbird, puede arrastrar y soltar el mensaje de correo electrónico hasta una carpeta en elescritorio de la computadora. Si utiliza un software de correo electrónico que no tiene la función dearrastrar y soltar, debe seleccionar Archivo > Guardar como para guardar el mensaje de correoelectrónico en una carpeta.

2. Cree un mensaje de correo electrónico nuevo destinado a:[email protected] para los falsos [email protected] para los falsos [email protected] para los correos electrónicos masivos solicitados que se detectan comofalsos positivos

3. Ingrese lo siguiente en la línea de asunto de su mensaje de correo electrónico:Informe de FP <Your Company Name> <Date of submission> para los falsos positivosInforme de FN <Your Company Name> <Date of submission> para los falsos negativosInforme de FP <Your Company Name> <Date of submission> para los correos electrónicosmasivos solicitados que se detectan como falsos positivos

4. Adjunte el archivo .msg o .eml al mensaje de correo electrónico y envíelo.

Si tiene muchos mensajes acerca de los cuales desea informar a Commtouch, puede incluirlos a todos enun archivo Zip. No coloque el archivo Zip dentro de un archivo Zip. El archivo Zip sólo se puede comprimirun nivel para que Commtouch pueda analizarlo de manera automática.



Utilice el registro RefID en lugar de un mensaje de texto

Si desea enviarle un informe a Commtouch pero no puede enviar el mensaje de correo electrónico inicialporque la información del mensaje es confidencial, puede utilizar el registro RefID desde el encabezado delcorreo electrónico en su lugar. El registro RefID es el número de referencia de la transacción entre Fireboxy el Centro de detección de Commtouch.

spamBlocker le agrega un encabezado de X-WatchGuard-Spam-ID a cada correo electrónico. El encabezadotiene este aspecto:X-WatchGuard-Spam-ID: 0001.0A090202.43674BDF.0005-G-gg8BuArWNRyK9/VKO3E51A==

La larga secuencia de números y letras después de la parte X-WatchGuard-Spam-ID: del encabezado esel registro RefID.

En lugar de adjuntar el correo electrónico inicial, coloque el registro de referencia en el cuerpo de sumensaje de correo electrónico. Si tiene más de un mensaje de correo electrónico acerca del cual deseaenviar un informe, coloque cada registro RefID en una línea independiente.

Para ver los encabezados de los correos electrónicos si utiliza Microsoft Outlook:

1. Abra el mensaje de correo electrónico en una ventana nueva o selecciónelo en Outlook.2. Si abre el correo electrónico en una ventana independiente, seleccione Ver > Opciones.

Si resalta el correo electrónico en Outlook, haga clic con el botón derecho sobre el mensaje decorreo electrónico y seleccione Opciones.Los encabezados aparecen en la parte inferior de la ventana Opciones de mensaje.

Para ver los encabezados de los correos electrónicos si utiliza Microsoft Outlook Express:

1. Abra el mensaje de correo electrónico en una ventana nueva o resáltelo en Outlook Express.2. Si abre el correo electrónico en una ventana independiente, seleccione Archivo > Propiedades.

Si destaca el correo electrónico en Outlook Express, haga clic derecho sobre éste y seleccionePropiedades.

3. Haga clic en la pestaña Detalles para ver los encabezados.

Para ver los encabezados de los correos electrónicos si utiliza Mozilla Thunderbird:

1. Abra los mensajes de correo electrónico en una ventana nueva.2. Seleccione Ver > Encabezados > Todos.

Buscar la categoría a la cual está asignado un mensaje

Las etiquetas de los mensajes representan la única forma de saber a qué categoría está asignado unmensaje. Cambie la acción a Agregar etiqueta de asunto y utilice una secuencia única de caracteres paraagregar al comienzo de la línea de asunto del correo electrónico. Para obtener más información acerca decómo utilizar las etiquetas de spamBlocker, consulte Acciones, etiquetas y categorías de spamBlocker en lapágina 581.


34 La Defensa de reputaciónactivada

Acerca de la Defensa de reputación activadaEn los dispositivos WatchGuard XTM 2 Series, 5 Series, 8 Series o XTM 1050, puede utilizar la suscripción deseguridad de Defensa de reputación activada (RED) para aumentar el desempeño y mejorar la seguridad desu dispositivo XTM.

Nota La Defensa de reputación activada no se admite en los modelos Firebox X e-Series.

La RED de WatchGuard utiliza un servidor de reputación de WatchGuard basado en nube que asigna unacalificación de reputación entre 1 y 100 a cada URL. Cuando un usuario se dirige a un sitio web, la RED envíala dirección web (o URL) solicitada al servidor de reputación de WatchGuard. El servidor de WatchGuardresponde con una calificación de reputación para esa URL. Sobre la base de la calificación de reputación yde los umbrales configurados localmente, la RED determina si el dispositivo XTM debe eliminar el tráfico,permitir el tráfico y escanearlo de manera local o permitirlo sin un escaneo local. Esto aumenta elrendimiento, porque el Gateway AntiVirus no necesita escanear las URL que tienen una reputación buena omala reconocida.

Umbrales de reputación

Puede configurar dos umbrales de calificación de reputación:

n Umbral de reputación mala — Si la calificación de una URL supera el umbral de reputación Mala, elproxy HTTP niega el acceso sin inspeccionar nada más.

n Umbral de reputación buena — Si la calificación de una URL es inferior al umbral de reputaciónBuena y el Gateway AntiVirus está activado, el proxy HTTP deriva el escaneo del Gateway Antivirus.

Si la calificación de una URL es igual o se encuentra entre los umbrales de reputación configurados y elGateway Antivirus está activado, el contenido es escaneado en busca de virus.

Calificaciones de reputación

La calificación de reputación de una URL se basa en los comentarios recolectados de dispositivos de todo elmundo. Incorpora los resultados de escaneo de dos motores contra el malware principales: Kaspersky yAVG. La Defensa de reputación activada utiliza la inteligencia colectiva de la nube para mantener laseguridad de la navegación por Internet y optimizar el rendimiento en la puerta de enlace.

Una calificación de reputación más cercana a 100 indica que es bastante probable que la URL contenga unaamenaza. Una calificación de reputación más cercana a 1 indica que es mucho menos probable que la URLcontenga una amenaza. Si el servidor de la RED no tiene una calificación previa para una dirección webdeterminada, le asignará una calificación neutral de 50. La calificación de reputación cambia desde lacalificación predeterminada de 50 sobre la base de una cantidad de factores.

Estos factorespuedenhacer que lacalificación de reputación de unaURL aumente,o se desplace haciael 100:

n Resultados de escaneo negativosn Resultados de escaneo negativos para un enlace remitido

Estos factores puedenhacer que la calificación de reputación de unaURL disminuya,o se desplace haciael 1:

n Múltiples escaneos limpiosn Escaneos limpios recientes

Las calificaciones de reputación pueden cambiar con el paso del tiempo. Para un mejor rendimiento, eldispositivo XTM almacena las calificaciones de reputación de las direcciones web a las que se accediórecientemente en una caché local.

Comentario sobre la Defensa de reputación activada

Si el Gateway AntiVirus está activado, puede elegir si desea enviar los resultados de los escaneos locales delGateway Antivirus al servidor de WatchGuard. También puede elegir si desea cargar los resultados deescaneo del Gateway Antivirus en WatchGuard incluso si la Defensa de reputación activada no está activadao no tiene licencia en su dispositivo. Se cifran todas las comunicaciones entre su red y el servidor deDefensa de reputación activada.

Le recomendamos que active la carga de los resultados de escaneo local a WatchGuard para mejorar lacobertura y precisión general de la Defensa de reputación activada.

Configurar la Defensa de reputación activadaPuede activar la Defensa de reputación activada (RED) para aumentar la seguridad y el rendimiento de laspolíticas de proxy HTTP de su dispositivo XTM. No puede activar esta función en un dispositivo e-Series.

Antes de empezar

La Defensa de reputación activada es un servicio de suscripción. Antes de configurar la RED, debe Obteneruna tecla de función junto a LiveSecurity en la página 52 y Agregar una tecla de función a su Firebox en lapágina 54.

La Defensa de reputación activada




Configurar la Defensa de reputación activada para una acciónde proxy

1. Seleccione Serviciosde suscripción> Defensa de reputaciónactivada.Aparece la página de configuración de laDefensa de reputación activada, con una lista de acciones de proxyHTTP.

2. Seleccione una acción de proxy HTTP definida por el usuario y haga clic en Configurar. No puedeconfigurar la Defensa de reputación activada para las acciones de proxy predefinidas.Aparece la configuración de la Defensa de reputación activada para esa acción de proxy.

3. Marque la casilla de selección Bloquear de inmediato las URL que tengan mala reputación parabloquear el acceso a los sitios con calificaciones superiores al umbral de reputación Malaconfigurado.

4. Marque la casilla de selección Derivar cualquier escaneo de virus configurado para las URL quetengan buena reputación para hacer que el Gateway AntiVirus ignore los sitios que tengan unacalificación inferior al umbral de reputación Buena configurado.

5. Si desea activar una alarma para la acción, marque la casilla de selección Alarma para esa acción dela RED. Si no desea utilizar la alarma, desmarque la casilla de selección Alarma para esa acción.

6. Si desea guardar los mensajes de registro de la acción, marque la casilla de selección Registro paraesa acción de la RED. Si no desea guardar los mensajes de registro para una respuesta de la RED,limpie la casilla de selección Registro para esa acción.

Configurar los umbrales de reputación

Puede cambiar los umbrales de reputación en la configuración avanzada.

1. el cuadro de diálogo de configuración de la Defensa de reputación activada página, haga clic enAvanzado.Aparece el cuadro de diálogo Configuración Avanzada.

2. En el cuadro de texto Umbral de mala reputación, ingrese o seleccione la calificación de umbralpara la mala reputación.El proxy puede bloquear el acceso a los sitios que tengan una reputación superior a este umbral.

3. En el cuadro de texto Umbral de buena reputación, ingrese o seleccione la calificación de umbralpara la buena reputación.El proxy puede derivar el escaneo del Gateway AntiVirus para los sitios que tienen una calificación dereputación inferior a este umbral.

4. Haga clic en Restaurar la configuración predeterminada si desea restablecer los umbrales dereputación a los valores predeterminados.

5. Haga clic en Aceptar





Enviar los resultados de escaneo del GatewayAntivirus a WatchGuardCuando activa la Defensa de reputación activada, la configuración predeterminada permite que sudispositivo XTM envíe los resultados de los escaneos locales del Gateway AntiVirus a los servidores deWatchGuard. Esta acción ayuda a mejorar los resultados de la Defensa de reputación activada para todos losusuarios de Fireware XTM. Si tiene el Gateway AntiVirus, pero no tiene la Defensa de reputación activada,aún así puede enviar los resultados de escaneo del Gateway AntiVirus aWatchGuard.

Para ver o cambiar la configuración de comentarios, seleccione Servicios de suscripción > Defensa dereputación activada.

La casilla de selección Enviar resultados de escaneo cifrados a los servidores de WatchGuard paramejorar la cobertura y precisión general controla el hecho de si el dispositivo XTM envía los resultados deescaneo del Gateway AntiVirus a los servidores de WatchGuard. Esta casilla de selección se marca de formapredeterminada cuando configura la Defensa de reputación activada.

n Marque esta casilla de selección para enviar los resultados de escaneo del Gateway AntiVirus aWatchGuard.

n Limpie esta casilla de selección si no desea enviar los resultados de escaneo del Gateway AntiVirus.

Le recomendamos que permita que el dispositivo XTM envíe los resultados de escaneo del antivirus aWatchGuard. Esto puede ayudar a mejorar el rendimiento, porque los resultados de escaneo ayudan amejorar la precisión de las calificaciones de reputación. Todo comentario enviado al servicio de Defensa dereputación activada de WatchGuard será cifrado.


35 Gateway AntiVirus e IntrusionPrevention

Acerca de las Gateway AntiVirus y prevención deintrusionesLos piratas informáticos pueden utilizar muchos métodos para atacar computadoras mediante Internet. Lasdos categorías principales de ataque son los virus y las intrusiones.

Los virus, incluidos los gusanos y los troyanos, son programas de computadora maliciosos que seautorreplican y colocan copias de sí mismos en otros códigos ejecutables o documentos de sucomputadora. Cuando una computadora está infectada, el virus puede destruir archivos o registrarpulsaciones.

Las intrusiones son ataques directos a su computadora. Por lo general, el ataque explota una vulnerabilidaden una aplicación. Estos ataques son creados para dañar su red, obtener información importante o utilizarsus computadoras para atacar otras redes.

Para ayudar a proteger su red de virus e intrusiones, puede adquirir el Gateway AntiVirus/IntrusionPrevention Service (Gateway AntiVirus/IPS) opcional para que el dispositivo de WatchGuard identifique yevite los ataques. El servicio de Intrusion Prevention y el Gateway AntiVirus funcionan con los servidoresproxy SMTP, POP3, HTTP, FTP y TCP-UDP. Cuando se identifica un nuevo ataque, se registran lascaracterísticas que hacen único a ese ataque de virus o intrusión. Estas características registradas seconocen como la firma. El Gateway AntiVirus/IPS utiliza estas firmas para detectar virus y ataques deintrusiones cuando son escaneados por el proxy.

Cuando activa el Gateway AntiVirus/IPS para un proxy, el Gateway AntiVirus/IPS escanea los tipos decontenido configurados para ese proxy.

Nota Con el objetivo de mejorar el rendimiento, Firebox X Edge e-Series no escanea lossiguientes tipos de contenido cuando utiliza el Gateway AntiVirus con el proxy

HTTP: texto/*, imagen/*, audio/*, video/*, aplicación/javascript, aplicación/x-javascript y aplicación/x-shockwave-flash. Los tipos de contenido aparecen en laconfiguración de la acción de proxy del cliente HTTP para Edge, pero el GatewayAntiVirus no escanea estos tipos de contenido.

El Gateway AntiVirus/IPS puede escanear estos tipos de archivo comprimido: .zip, .gzip, .tar, .jar, .rar, .chm,.lha, .pdf, contenedor XML/HTML, contenedor OLE (documentos de Microsoft Office), MIME(principalmente los mensajes de correo electrónico en formato EML), .cab, .arj, .ace, .bz2 (Bzip), .swf (flash;con soporte limitado).

Nota WatchGuard no puede garantizar que el Gateway AntiVirus/IPS pueda detenertodos los virus o todas las intrusiones o evitar los daños a sus sistemas o redescausados por un ataque de virus o intrusiones.

Puede adquirir la actualización del Gateway AntiVirus/IPS para utilizar estos servicios. Para obtener másinformación visite el sitio web WatchGuard LiveSecurity en http://www.watchguard.com/store ocomuníquese con su revendedor de WatchGuard.

Puede observar las estadísticas acerca de la actividad actual del Gateway AntiVirus y el servicio de IntrusionPrevention en la página Panel de instrumentos > Servicios de suscripción, como se describe en Ver estadode servicios de suscripción y actualizar firmas manualmente en la página 623.

Instale y actualice el Gateway AntiVirus/IPS

Para instalar el Gateway AntiVirus o el Intrusion Prevention Service, debe Obtener una tecla de funciónjunto a LiveSecurity en la página 52 y Agregar una tecla de función a su Firebox en la página 54.

En Internet, aparecen con frecuencia nuevos virus y métodos de intrusión. Para asegurarse de que elGateway AntiVirus/IPS le proporcione la mejor protección, debe actualizar las firmas con frecuencia. Puedeconfigurar el dispositivo WatchGuard para actualizar las firmas automáticamente desde WatchGuard, comode describe en Configurar el servidor de actualización del Gateway AntiVirus/IPS en la página 622. Tambiénpuede Ver estado de servicios de suscripción y actualizar firmas manualmente.

Acerca del Gateway AntiVirus/la Intrusion Prevention y laspolíticas de proxy

El Gateway AntiVirus puede trabajar con los servidores proxy SMTP, POP3, HTTP, FTP y TCP-UDP deWatchguard. La Intrusion Prevention puede trabajar con esos servidores proxy además de hacerlo con elproxy DNS. Cuando activa el Gateway AntiVirus o la prevención de intrusiones, estos servidores proxyexaminan varios tipos de tráfico y realizan una acción especificada por usted, como abandonar la conexióno bloquear el paquete y agregar su dirección de origen a la lista de Sitios bloqueados.

El Gateway AntiVirus y el IPS pueden escanear distintos tipos de tráfico conforme a con qué políticas deproxy usted utiliza la característica:

n Proxy SMTP o POP3: El Gateway AntiVirus/IPS busca virus e intrusiones codificados con métodos deadjuntos de correo electrónico utilizados con frecuencia. También puede utilizar el GatewayAntiVirus y el proxy SMTP para enviar correos electrónicos infectados con virus al Quarantine

Gateway AntiVirus e Intrusion Prevention





Server. Para más informaciones, vea Página Acerca de Quarantine Server en la página 635 yConfigurado Gateway AntiVirus a colocar mensajes de correo electrónico en cuarentena en lapágina 619.

n Proxy HTTP: El Gateway AntiVirus/IPS busca virus e intrusiones en los sitios web que los usuariosintentan descargar.

n Proxy de TCP-UDP: Este proxy escanea el tráfico en los puertos dinámicos. Reconoce el tráfico demuchos tipos de servidores proxy diferentes, incluidos los servidores proxy HTTP y FTP. El proxyTCP-UDP luego envía el tráfico al proxy adecuado para escanearlo y detectar virus e intrusiones.También puede utilizar el proxy TCP-UDP para bloquear los servicios de mensajería instantánea (IM)o punto a punto (P2P).

n Proxy FTP: El Gateway AntiVirus/IPS busca virus e intrusiones en los archivos cargados odescargados.

n Proxy DNS: El Gateway AntiVirus/IPS busca intrusiones en los paquetes DNS.

Cada proxy que utiliza el Gateway AntiVirus/IPS está configurado con opciones especiales para ese proxy.Por ejemplo, las categorías de elementos que puede escanear son diferentes para cada proxy.

En todos los servidores proxy, usted puede limitar el escaneo de archivos a un conteo de kilobytesespecificado. El límite de escaneo predeterminado y los límites de escaneo máximos son diferentes paracada modelo de dispositivo WatchGuard. Firebox escanea el comienzo de cada archivo hasta el conteo dekilobytes especificado. Esto permite que los archivos de gran tamaño pasen con un escaneo parcial.

Para obtener más información acerca de los límites de escaneo predeterminados y máximos para cadamodelo de dispositivo WatchGuard, consulte Acerca de los límites de escaneo del Gateway AntiVirus en lapágina 620.

Nota Para asegurarse de que el Gateway AntiVirus tenga firmas actualizadas, puedeactivar las actualizaciones automáticas para el servidor del Gateway AntiVirus,como se describe en Configurar el servidor de actualización del GatewayAntiVirus/IPS en la página 622.

Configurar el servicio del Gateway AntiVirusPuede configurar el Gateway AntiVirus para que trabaje con los servidores proxy SMTP, POP3, HTTP, FTP yTCP-UDP de Watchguard.

Antes de activar el servicio del Gateway AntiVirus, debe:

1. Obtener una tecla de función del Gateway AntiVirus/IPS. Comuníquese con su revendedor deWatchGuard o diríjase al sitio web de WatchGuard LiveSecurity en:http://www.watchguard.com/store.

2. Agregar una tecla de función a su Firebox.

Configure el servicio del Gateway AntiVirus

1. Seleccione Servicios de suscripción > Gateway AntiVirus.Aparece la página del Gateway AntiVirus.


2. Para actualizar la configuración global, haga clic en Configuración y Actualice la configuración delGateway AntiVirus/IPS.

3. Para configurar acciones para una acción de proxy específica, seleccione una acción de proxy y hagaclic en Configurar. Para obtener información acerca de la configuración del Gateway AntiVirus,consulte Configurar acciones del Gateway AntiVirus.

Configurar acciones del Gateway AntiVirus

Cuando activa el Gateway AntiVirus, debe configurar las medidas a tomar si se encuentra un virus o unerror en un mensaje de correo electrónico (mediante un servidor proxy SMTP o POP3), sitio web (proxyHTTP) o archivo cargado o descargado (proxy FTP).

Las opciones para acciones de antivirus son:

Permitir

Permitir que el paquete se envíe al receptor, aunque el contenido incluya un virus.

Negar (sólo proxy FTP)

Niega el archivo y envía un mensaje de negación.





Bloquear (sólo servidores proxy SMTP y POP3)

Bloquear el adjunto. Es una buena opción para archivos que el dispositivo WatchGuard no puedeescanear. El usuario no puede abrir fácilmente un archivo bloqueado. Sólo el administrador puededesbloquear el archivo. El administrador puede usar una herramienta de antivirus diferente paraescanear el archivo y examinar el contenido del adjunto. Para aprender a desbloquear un archivobloqueado por el Gateway AntiVirus, consulte la ayuda de WatchGuard System Manager enhttp://www.watchguard.com/help/docs/wsm/11/es-ES/Content/es-ES/services/gateway_av/av_unlock_file_wsm.html.

Poner en cuarentena (sólo proxy SMTP)

Cuando utiliza el proxy SMTP con la suscripción de seguridad de spamBlocker, puede enviar losmensajes de correo electrónico que contengan virus o posibles virus al Quarantine Server. Paraobtener más información sobre el Quarantine Server, consulte Página Acerca de Quarantine Serveren la página 635. Para obtener información sobre cómo configurar el Gateway AntiVirus para quefuncione con el Quarantine Server, consulte Configurado Gateway AntiVirus a colocar mensajes decorreo electrónico en cuarentena en la página 619.

Eliminar (sólo servidores proxy SMTP y POP3)

Elimina el adjunto y permite que se envíe el mensaje al destinatario.

Abandonar (no admitido en proxy POP3)

Descartar el paquete y descartar la conexión. No se envía información al origen del mensaje.

Bloquear (no admitido en proxy POP3)

Se bloquea el paquete y se agrega la dirección IP del remitente a la lista de sitios bloqueados.

Nota Si la configuración se define para permitir adjuntos, la configuración es menossegura.

Configure las medidas del Gateway AntiVirus para una acción de proxy

1. Desde laWeb UI de Fireware XTM, seleccione Servicios de suscripción > Gateway AntiVirus.Aparece la página de configuración del Gateway AntiVirus.

http://www.watchguard.com/help/docs/wsm/11/es-ES/Content/es-ES/services/gateway_av/av_unlock_file_wsm.html







2. Seleccione una acción de proxy definida por el usuario y haga clic en Configurar. No puedemodificar la configuración del Gateway AntiVirus para las acciones de proxy predefinidas.Aparece la configuración del Gateway AntiVirus para esa acción de proxy.





3. Seleccione la casilla de verificación Activar Gateway AntiVirus para activar el Gateway AntiViruspara esta acción de proxy.

4. Desde la lista desplegable Cuando se detecta un virus, seleccione la acción que debe realizar eldispositivo WatchGuard si se detecta un virus en un mensaje de correo electrónico, en un archivo oen una página web. Consulte el comienzo de esta sección para obtener una descripción de lasacciones.

5. Desde la lista desplegable Cuando ocurre un error de escaneo, seleccione la acción que deberealizar el dispositivo WatchGuard cuando no puede escanear un objeto o un adjunto. Los adjuntosque no se pueden escanear incluyen mensajes codificados de BinHex, determinados archivoscifrados o archivos que utilizan un tipo de compresión no admitido por el Gateway AntiVirus comolos archivos Zip protegidos por contraseña. Consulte el comienzo de esta sección para obtener unadescripción de las acciones.

6. Si desea guardar los mensajes de registro de la acción, seleccione la casilla de verificación Registropara la respuesta del antivirus. Si no desea guardar los mensajes de registro de una respuesta delantivirus, desmarque la casilla de verificación Registro.

7. Si desea activar una alarma para la acción, seleccione la casilla de verificación Alarma para larespuesta del antivirus. Si no desea utilizar la alarma, desmarque la casilla de verificación Alarmapara esa acción.

8. El Gateway AntiVirus escanea cada archivo hasta un total de kilobytes específico. Todos los bytesadicionales en el archivo no se examinan. Esto permite al proxy escanear parcialmente archivosmuy grandes sin ocasionar un efecto considerable en el rendimiento. Ingrese el límite de escaneode archivos en el campo Limitar el escaneo a primeroPara obtener información sobre los límites de escaneo predeterminados y máximos para cadamodelo de dispositivo WatchGuard, consulte Acerca de los límites de escaneo del Gateway AntiVirusen la página 620.

Configure la notificación de alarma para las acciones del antivirus

Una alarma es un mecanismo para informar a los usuarios cuando una regla de proxy se aplica al tráfico dered.Si activa las alarmas para una acción del antivirus de proxy, también debe configurar el tipo de alarmaque desea utilizar en la política de proxy.

Para configurar el tipo de alarma que desea utilizar para una política de proxy:

1. Desde la Fireware XTMWeb UI, seleccione Firewall > Políticas de firewall.2. Haga doble clic sobre una política para editarla.3. Haga clic en la pestaña Propiedades4. Establezca la configuración de notificación como se describe en Determinar preferencias de registro

y notificación en la página 360.

Configurado Gateway AntiVirus a colocar mensajes de correoelectrónico en cuarentena


Para configurar el Gateway AntiVirus para que ponga correos electrónicos en cuarentena:

1. Cuando configura el Gateway AntiVirus (como se describe en Configurar acciones del GatewayAntiVirus en la página 616), debe asegurarse de activar el Gateway AntiVirus para el proxy SMTP. Elproxy POP3 no admite el Quarantine Server.

2. Cuando configura las acciones que spamBlocker aplicará a las diferentes categorías de correoelectrónico (como se describe en Configurado spamBlocker en la página 583), asegúrese deseleccionar la acción Poner en cuarentena por lo menos para una de las categorías. Cuando seselecciona esta acción, se le solicita que configure el Quarantine Server si aún no lo ha hecho.

También puede seleccionar la acción Poner en cuarentena para los mensajes de correo electrónicoidentificados por Virus Outbreak Detection como portadores de virus. Para más informaciones, veaConfigurar acciones de Virus Outbreak Detection para una política en la página 593.

Acerca de los límites de escaneo del Gateway AntiVirus

El Gateway AntiVirus escanea cada archivo hasta un total de kilobytes específico. Todos los bytes adicionalesen el archivo no se examinan. Esto permite al proxy escanear parcialmente archivos muy grandes sinocasionar un efecto considerable en el rendimiento. Los límites de escaneo predeterminado y máximo sondiferentes para cada modelo de dispositivo WatchGuard.

Límites de escaneo del archivo por modelo de dispositivo WatchGuard,en kilobytes

Modelo Mínimo Máximo Predeterminado

Firebox X Edge e-Series 250 1024 250

Firebox X Core e-Series 250 20.480 1024

Firebox X Peak e-Series 250 30.720 1024

WatchGuard XTM XTM Serie 2 250 5120 512

WatchGuard XTM Serie 5 250 30.720 1024

WatchGuard XTM Serie 8 250 30.720 1024

WatchGuard XTM 1050 250 30.720 1024

Para obtener información acerca de cómo configurar el límite de escaneo, consulte Configurar acciones delGateway AntiVirus en la página 616.

Actualice la configuración del GatewayAntiVirus/IPSEl dispositivo de WatchGuard tiene varias configuraciones para el motor del Gateway AntiVirusindependientemente de con qué proxy esté configurado para funcionar. Para más informaciones, veaEstablezca la configuración de descompresión del Gateway AntiVirus en la página 621.





Es importante que actualice las firmas del Gateway AntiVirus/Intrusion Prevention Service. Las firmas deestos servicios no se actualizan automáticamente de manera predeterminada. Puede actualizar las firmasde dos maneras:

n Configurar el servidor de actualización del Gateway AntiVirus/IPS para activar las actualizacionesautomáticas

n Actualice las firmas manualmente en el Firebox System Manager, como se describe en Ver estadode servicios de suscripción y actualizar firmas manualmente en la página 623.

Si utiliza un cliente antivirus de terceros

Si utiliza un servicio de antivirus de terceros en computadoras protegidas por su dispositivo WatchGuard,podría tener problemas con las actualizaciones del servicio de terceros. Cuando el cliente de ese serviciosecundario intenta actualizar su base de datos de firmas en el puerto 80, el servicio de GatewayAntiVirus/IPS de Watchguard, trabajando mediante el proxy HTTP, reconoce las firmas y las destruye antesde que puedan descargarse al cliente. El servicio secundario no puede actualizar su base de datos. Paraevitar este problema, debe agregar Excepciones de proxy HTTP a la política que niega el tráfico deactualización. Debe conocer el nombre de host de la base de datos de firmas del tercero. Luego, podráagregar ese nombre de host como una excepción permitida.

Establezca la configuración de descompresión del GatewayAntiVirus

El Gateway AntiVirus puede escanear el interior de los archivos comprimidos si activa la descompresión enla configuración del Gateway AntiVirus.

1. Desde la Web UI de Fireware XTM, seleccione Servicios de suscripción > Gateway AntiVirus.Aparece la página de configuración del Gateway AntiVirus.

2. Haga clic en Configuraciones.Aparece la página Configuración global del Gateway AntiVirus.

3. Para escanear el interior de los adjuntos comprimidos, seleccione la casilla de verificación Activardescompresión. Seleccione o ingrese el número de niveles de descompresión que desea escanear.Si activa la descompresión en un dispositivo Firebox X Core, Peak o WatchGuard XTM , lerecomendamos que mantenga la configuración predeterminada de los niveles de diagrama, amenos que su organización deba utilizar un valor mayor. Si especifica un número mayor, es posibleque el dispositivo WatchGuard envíe el tráfico con demasiada lentitud. El Gateway AntiVirus admitehasta seis niveles. Si el Gateway AntiVirus detecta que la profundidad del archivo es superior al valorconfigurado en este campo, generará un error de escaneo para el contenido.Los adjuntos que no se pueden escanear incluyen archivos cifrados o archivos que utilizan un tipo decompresión que no admitimos como los archivos Zip protegidos por contraseña. Para configurar laacción que desea que Firebox realice cuando encuentre un mensaje que no pueda escanear,

../../../../../Content/es-419/proxies/http/http_proxy_exceptions_c.html




seleccione una acción para Cuando ocurre un error de escaneo en la categoría General de laconfiguración de la política.

4. Haga clic en Restaurar la configuración predeterminada si desea restablecer la interfaz del usuarioa su configuración predeterminada.


Nota Le recomendamos no activar la descompresión en el dispositivo Firebox X Edge e-Series porque esto puede reducir su rendimiento.

Configurar el servidor de actualización del GatewayAntiVirus/IPS

El Gateway AntiVirus y el IPS utilizan el mismo servidor de actualización. Cuando configure el servidor deactualización para el Gateway AntiVirus o para el IPS, la configuración se aplicará a ambos servicios.

1. Desde la Web UI de Fireware XTM, seleccione Servicios de suscripción > Gateway AntiVirus.O bien, seleccione Servicios de suscripción > IPS.

2. Haga clic en Configuraciones.Aparece la página de configuración del Gateway AntiVirus o IPS.

3. Desde la lista desplegable Intervalo, ingrese el número de horas que debe transcurrir entre lasactualizaciones automáticas.

4. Las actualizaciones automáticas para el Gateway AntiVirus/IPS no están activadas de manerapredeterminada. Para activar las actualizaciones automáticas en el intervalo de actualizaciónseleccionado, haga clic en las casillas de verificación.





n Seleccione la casilla de verificación Firmas de prevención de intrusiones si desea que eldispositivo WatchGuard descargue un nuevo juego de firmas IPS en el intervalo deactualizaciones automáticas.

n Seleccione la casilla de verificación Firmas del Gateway AntiVirus si desea que eldispositivo WatchGuard descargue un nuevo juego de firmas del Gateway AntiVirus en elintervalo de actualizaciones automáticas.

5. No cambie la URL del servidor de actualizaciones para el Gateway AntiVirus o el IPS a menos queWatchGuard le indique hacerlo. Si cambia la URL por accidente o incorrectamente, haga clic enRestaurar para restablecer la configuración predeterminada.


Conéctese al servidorde actualizacionesmediante un servidorproxyHTTP

Si su dispositivo WatchGuard debe conectarse mediante un proxy HTTP para acceder al servidor deactualizaciones del Gateway AntiVirus/IPS, debe agregar la información acerca del servidor proxy HTTP a laconfiguración del Gateway AntiVirus/IPS.

1. Desde la página de configuración Gateway AntiVirus o IPS, haga clic en Configuración.

2. Seleccione la casilla de verificación Comunicarse con el servidor de actualizaciones del GatewayAntiVirus/Intrusion Prevention mediante un servidor proxy HTTP.

3. Desde la lista desplegable Dirección del servidor, seleccione si desea identificar el servidor proxyHTTP por nombre de host o dirección IP. Ingrese el nombre de host o la dirección IP en el campoadjunto.

4. La mayoría de los servidores proxy HTTP reciben las solicitudes en el puerto 8080. Si su proxy HTTPutiliza un puerto diferente, ingréselo en el campo Puerto del servidor.

5. Desde la lista desplegable Autenticación del servidor, seleccione el tipo de autenticación que utilizasu servidor proxy HTTP. Seleccione Sin autenticación si su servidor proxy no requiere autorización.Si su servidor proxy HTTP requiere autenticación NTLM o Básica, ingrese su nombre de usuario,dominio de usuario y contraseña en los campos correctos.


Bloquee el acceso desde la red de confianza hacia el servidor deactualización

Si no desea permitir que todos los usuarios de su red de confianza tengan acceso sin filtrar a la dirección IPde la base de datos de firmas, puede utilizar un servidor interno en su red de confianza para recibir lasactualizaciones. Puede crear una nueva política de proxy HTTP con Excepciones de proxy HTTP o unapolítica de filtrado de paquetes HTTP que sólo permita el tráfico desde la dirección IP de su servidor internohacia la base de datos de firmas.

Ver estado de servicios de suscripción y actualizar firmasmanualmente

Los servicios de suscripción pueden configurarse para actualizar las firmas de manera automática, como sedescribe en Configurar el servidor de actualización del Gateway AntiVirus/IPS en la página 622. Tambiénpuede actualizar las firmas de manera manual. Si las firmas del dispositivo WatchGuard no estánactualizadas, usted no está protegido de los últimos virus e intrusiones.





Para ver el estado del sistema de servicios de suscripción, desde la Fireware XTMWeb UI, seleccione Panelde instrumentos > Servicios de suscripción. La página de estado Servicios de suscripciónmuestraestadísticas acerca de los servicios de suscripción. En esta página también puede ver información acerca dela firma actualmente instalada y consultar si hay una nueva versión disponible.

Desde la página de estado Servicios de suscripción, haga clic en Actualizar para el servicio que deseaactualizar. El dispositivo WatchGuard descarga la actualización de firmas más reciente que se encuentredisponible para el Gateway AntiVirus o el servicio de protección de intrusiones.

Para obtener más información acerca de los gráficos de esta página, consulte Monitorear su Firebox en lapágina 365.

Configurar el Intrusion Prevention ServiceEl Intrusion Prevention Service (IPS) incluye un conjunto de firmas asociadas con comandos específicos otexto que se encuentra en comandos, que podría ser perjudicial. El servicio de Intrusion Prevention trabajaen forma conjunta con los servidores proxy SMTP, POP3, HTTP y FTP. Si no configuró estos servidores proxy,se configurarán de manera automática cuando e el Gateway AntiVirus o IPS para ese protocolo.

Cuando el IPS bloquea una intrusión, el nombre de la intrusión aparece en el archivo de registro.

Para ver los datos del archivo de registro:

Seleccione Estado del sistema>Syslog.





Para encontrar las estadísticas generales del Gateway AntiVirus/IPS:

Seleccione Servicios de suscripción > Gateway AntiVirus.O bien, seleccione Servicios de suscripción > IPS.

Para encontrar informes de tendencias del Gateway AntiVirus/IPS:

Seleccione Panel de instrumentos > Servicios de suscripción.

Antes de empezar

Antes de activar el Intrusion Prevention Service, debe:

1. Obtener una tecla de función del Gateway AntiVirus/IPS. Comuníquese con su revendedor deWatchGuard o diríjase al sitio web de WatchGuard LiveSecurity en:http://www.watchguard.com/store.

2. Agregar una tecla de función a su Firebox.

Configurar el Intrusion Prevention Service

1. Seleccione Servicios de suscripción > IPS.Aparece la página de configuración del IPS, con una lista de acciones de proxy.


2. Para actualizar la configuración global, haga clic en Configuración y Actualice la configuración delGateway AntiVirus/IPS.

3. Para configurar las acciones del Gateway AntiVirus para una acción de proxy específica, seleccioneuna acción de proxy definida por el usuario y haga clic en Configurar.No puede modificar la configuración del IPS para las acciones de proxy predefinidas.

Para obtener información acerca de la configuración del IPS, consulte Configurar acciones del IPS.




Configurar acciones del IPS

Puede utilizar la Web UI de Fireware XTM para configurar el IPS para una acción de proxy.

1. Seleccione Servicios de suscripción > IPS.Aparece la página de configuración del IPS.

2. Seleccione una acción de proxy definida por el usuario y haga clic en Configurar. No puedemodificar la configuración del IPS para las acciones de proxy predefinidas.Aparece la configuración del IPS para esa acción de proxy.

3. Para activar el IPS para esta acción de proxy, seleccione la casilla de verificación Activar laprevención de intrusiones.

4. (sólo proxy TCP-UDP) Seleccione el Tipo de protección: Cliente o Servidor. Los puntos terminalesdel cliente y el servidor tienen conjuntos de firmas diferentes.

Nota El IPS utiliza un conjunto de firmas diferente para proteger a los clientes que el queutiliza para proteger a los servidores. El tipo de protección determina qué conjuntode firmas utilizará el IPS con el proxy. En el caso de los servidores proxy DNS, FTP,HTTP, SMTP y POP3, el tipo de protección se configura de manera automática. Enel caso del proxy TCP-UDP, puede configurar el tipo de protección como Cliente oServidor. Cliente es la opción predeterminada y suele ser la mejor opción.

5. (Sólo para servidores proxy HTTP y TCP-UDP) Para activar la protección contra el spyware,seleccione la casilla de verificación Protección contra spyware.

En el caso del proxy TCP-UDP, sólo puede activar la protección contra spyware si seleccionó Clientecomo el tipo de protección. Cuando activa la protección contra spyware, el motor del IPS utiliza lasfirmas de protección contra spyware del proyecto de fuente abierta denominado Emerging Threats(Amenazas emergentes) además de las firmas del IPS.



Para obtener más información acerca del proyecto Emerging Threats, consultehttp://www.emergingthreats.net.

6. (Sólo proxy HTTP) Seleccione la casilla de verificación Escaneo del contenido del texto. Esto ofreceuna protección más potente pero puede reducir el rendimiento.

7. Para seleccionar las acciones que desea que el proxy realice para amenazas de diferentes niveles degravedad, en la lista Acción , seleccione una o más casillas de comprobación.

n AUTOBLOQUEAR: si el contenido coincide con una firma de un nivel de severidad igual osuperior al nivel de severidad de umbral que usted estableció, abandone la conexión y agreguela dirección IP del emisor a la lista de sitios bloqueados. No puede seleccionarAUTOBLOQUEAR para el proxy SMTP.

n ABANDONAR: si el contenido coincide con una firma de un nivel de severidad dentro del rangode severidad que usted estableció, abandone la conexión. No se envía información al origen delmensaje.

n PERMITIR (CON REGISTRO): permitir la transacción incluso si el contenido coincide con unafirma de un nivel de severidad dentro del rango de severidad que usted seleccionó. Lastransacciones que se realicen dentro de este rango de severidad se registrarán de maneraautomática.

n PERMITIR (SIN REGISTRO): si configuró un valor que permite las amenazas sobre un nivel deseveridad mínima, las transacciones que alcancen un nivel de severidad inferior a ese númerose permitirán de manera automática y no serán registradas. Los números que aparecen en lalista Severidad de amenaza para esta acción no pueden cambiarse.

Nota Si cambia el umbral de severidad mínimo para la acción PERMITIR (CONREGISTRO) a un número superior a 1, todas las transacciones que coinciden conuna firma de amenaza de menor severidad se permitirán y no serán registradas.

8. Para configurar un nivel de severidad mínimo para las acciones de AUTOBLOQUEAR, ABANDONARo PERMITIR (CON REGISTRO), en el cuadro de texto Severidad de amenaza, ingrese o seleccione elnúmero del umbral de severidad de amenaza para cada acción. Las amenazas de intrusos sonclasificadas en una escala de severidad creciente del 1 al 100. De manera predeterminada, todas lasamenazas se abandonan y los eventos se graban en el archivo de registro.

9. Para enviar un mensaje de registro por una acción de proxy, seleccione la casilla de verificaciónRegistro para la acción del IPS.

Si no desea enviar un mensaje de registro por una respuesta del IPS, desmarque la casilla deverificación Registro.

8. Para activar una alarma para una acción de proxy, seleccione la casilla de verificación Alarma para laacción del IPS.

Si no desea utilizar la alarma, desmarque la casilla de verificación Alarma para esa acción.

http://www.emergingthreats.net/


Establezca la configuración del IPS

Para establecer la configuración del IPS:

1. Seleccione Servicios de suscripción > IPS.2. Haga clic en Configuraciones.

Aparece la página Configuración del IPS.

3. Haga clic en la pestaña Configuración y configure las actualizaciones automáticas de las Firmas deIntrusion Prevention y el servidor de actualizaciones automáticas. Esta configuración se aplica tantoal Gateway AntiVirus como al IPS.

Para obtener más información acerca de esta configuración, consulte Configurar el servidor deactualización del Gateway AntiVirus/IPS en la página 622.

4. Haga clic en la pestaña Excepciones y cree excepciones a las firmas de prevención de intrusiones.

Para más informaciones, vea Configurado excepciones de firma en la página 633.



Configurado excepciones de firma

Cuando activa la característica del IPS en una política de proxy, ésta examina el tráfico para detectarpatrones de tráfico que coincidan con las firmas de intrusiones conocidas. Cuando ocurre una coincidenciade firma del IPS, el dispositivo WatchGuard niega el contenido y se bloquea la intrusión. Si desea permitir eltráfico bloqueado por la característica del IPS, puede buscar el número de identificación de la firma yagregarla a la lista de excepciones del IPS.

Cada firma utilizada por el IPS tiene un número de ID único. Puede encontrar el número de ID de una firmamediante la herramienta Firebox System Manager. Para obtener información acerca de cómo encontrar laID de una firma del IPS en el Firebox System Manager, consulte la ayuda de WatchGuard System Manager.

Agregue una excepción de firmas del IPS

1. Desde laWeb UI de Fireware XTM, seleccione Servicios de suscripción > IPS.Aparece la página de configuración del IPS.

2. Haga clic en Configuraciones.Aparece la página Configuración del IPS.

3. Haga clic en la pestaña Excepciones.Aparece la lista de excepciones del IPS.

4. En el cuadro de texto ID de firma, ingrese la ID de firma de la firma que desea desactivar. Haga clicen Agregar.



39 Quarantine Server

Página Acerca de Quarantine ServerEl WatchGuard Quarantine Server ofrece un mecanismo seguro para poner en cuarentena cualquiermensaje de correo electrónico que se sospeche o se sepa que es spam o contiene virus. El QuarantineServer es un depósito para los mensajes de correo electrónico que el proxy SMTP decide poner encuarentena sobre la base del análisis de spamBlocker o del Gateway AntiVirus. El control granular lepermite configurar preferencias de eliminación de correos, asignación de almacenamiento y otrosparámetros.

Nota El proxy SMTP requiere un Quarantine Server si lo configura para poner encuarentena los correos electrónicos que spamBlocker clasifique como spam o siconfigura el Gateway AntiVirus para poner en cuarentena los correos electrónicosde una categoría específica.

El Quarantine Server ofrece herramientas tanto para los usuarios como para los administradores. Losusuarios reciben notificaciones periódicas por correo electrónico del Quarantine Server cuando tienencorreos electrónicos almacenados en el Quarantine Server. Luego, pueden hacer clic en el enlace queaparece en el mensaje de correo electrónico para dirigirse al sitio web del Quarantine Server. En el sitioweb del Quarantine Server, pueden ver el emisor y el asunto de los mensajes de correo electrónicosospechosos. Desde correo electrónico spam, el usuario puede liberar los mensajes de correo electrónicoque desee recibir en su bandeja de entrada y eliminar los demás mensajes. Los administradores puedenconfigurar el Quarantine Server para eliminar automáticamente los futuros mensajes de un dominio oemisor específico, o aquellos que contengan un texto específico en la línea de asunto.

El administrador puede ver estadísticas acerca de la actividad del Quarantine Server, como por ejemplo, lacantidad de mensajes en cuarentena durante un intervalo de fechas específico y la cantidad de mensajesque posiblemente sean spam.

El proxy SMTP agrega los mensajes a diferentes categorías sobre la base de los análisis realizados porspamBlocker y por el Gateway AntiVirus. El Quarantine Server muestra estas clasificaciones para losmensajes en cuarentena:

n Spam sospechoso: El mensaje puede ser spam, pero no hay suficiente información para decidir conseguridad.

n Spam confirmado: El mensaje es spam.n Masivo: El mensaje fue enviado como correo electrónico masivo comercial.n Virus: El mensaje contiene un virus.n Posible virus: Es posible que el mensaje contenga un virus, pero no hay suficiente información para

decidir con seguridad.

Usted instala el Quarantine Server como parte de la instalación de WatchGuard System Manager.

Para aprender a configurar un Quarantine Server, consulte la Guía del usuario de WSM enhttp://www.watchguard.com/help/documentation/.

Configure Firebox para que ponga correoselectrónicos en cuarentenaDespués de instalar y configurar el Quarantine Server, deberá actualizar la configuración de Firebox parautilizar el Quarantine Server.

Esta acción requiere dos pasos:

1. Configurar la dirección IP del Quarantine Server como se describe en Definir la ubicación delQuarantine Server en Firebox en la página 636.

2. Configurar las acciones de spamBlocker y el Gateway AntiVirus para que el proxy SMTP pongacorreos electrónicos en cuarentena.Para más informaciones, vea Configure spamBlocker para colocar mensajes de correo electrónico encuarentena en la página 595, y Configurado Gateway AntiVirus a colocar mensajes de correoelectrónico en cuarentena en la página 619.

Definir la ubicación del Quarantine Server enFireboxDebe definir la ubicación del Quarantine Server en la configuración de Firebox. Firebox envía los mensajesde correo electrónico que deben ponerse en cuarentena al Quarantine Server ubicado en esta dirección IP.

1. Desde la Web UI (interfaz de usuario) de Fireware XTM, seleccione Servicios de suscripción >Quarantine Server.Aparece la página de configuración del Quarantine Server.

Quarantine Server



Quarantine Server


2. Ingrese la dirección IP del Quarantine Server. Le recomendamos que no cambie el puerto delQuarantine Server a menos que se lo solicite un representante de WatchGuard Technical Support.


Quarantine Server
