Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Fireware XTM
Web UI
v11.3 Guía del Usuario
WatchGuard XTM Devices
Firebox X Peak e-Series
Firebox X Core e-Series
Firebox X Edge e-Series
Acerca de esta Guía del usuario
La Guía del usuario de la interfaz de usuario web del Fireware XTM se actualiza con cada lanzamiento de
producto importante. Para lanzamientos de productos menores, sólo se actualiza el sistema de Ayuda de la
interfaz de usuario web del Fireware XTM. El sistema de Ayuda también incluye ejemplos de
implementación específicos, basados en tareas que no están disponibles en la Guía del usuario.
Para acceder a la documentación del producto más reciente, consulte la Ayuda de la interfaz de usuario
web del Fireware XTM en el sitio web de WatchGuard en:
http://www.watchguard.com/help/documentation/.
La información de esta guía está sujeta a cambios sin previo aviso. Las empresas, los nombres y los datos
utilizados en los ejemplos de este documento son ficticios, salvo indicación en contrario. Ninguna parte de
esta guía podrá reproducirse ni transmitirse en ninguna forma y por ningún medio, electrónico o mecánico,
para ningún propósito, sin el consentimiento expreso por escrito de WatchGuard Technologies, Inc.
Acerca de WatchGuard
WatchGuard ofrece soluciones de seguridad de contenido y red todo
en uno a un precio accesible, las cuales ofrecen protección en
profundidad y ayudan a satisfacer los requisitos de cumplimiento Dirección
reglamentarios. La línea WatchGuard XTM combina firewall, VPN,
505 Fifth Avenue South
GAV, IPS, bloqueo de spam y filtrado de URL para proteger su red de
Suite 500
spam, virus, malware e intrusiones. La nueva línea XCS ofrece
Seattle, WA 98104
seguridad para contenido web y correo electrónico combinada con
prevención de pérdida de datos. Las soluciones extensibles de Soporte
WatchGuard se adaptan para ofrecer seguridad en la medida justa, www.watchguard.com/support
desde pequeñas empresas hasta empresas con más de 10,000 EE. UU. y Canadá +877.232.3531
empleados. WatchGuard crea dispositivos de seguridad simples, Todos los demás países +1.206.521.3575
confiables y sólidos que incluyen rápida implementación,
Ventas
administración integral y herramientas para la presentación de
informes. Empresas del mundo entero confían en nuestras exclusivas EE. UU. y Canadá +1.800.734.9905
cajas rojas para maximizar la seguridad sin sacrificar la eficiencia y la Todos los demás países +1.206.613.0895
productividad.
Para obtener más información, comuníquese al 206.613.6600 o visite
www.watchguard.com.
ii Fireware XTM Web UI
Índice
Introducción a la seguridad de red 1
Acerca de firewall 6
Acerca de puertos 8
Servicio y soporte 17
LiveSecurity® Service 17
Introducción 21
Antes de empezar 21
Concluya su instalación 32
Utilice una unidad USB para realizar copias de respaldo y restaurar el sistema 42
iv Fireware XTM Web UI
Restablecer un dispositivo Firebox X Edge e-Series o WatchGuard XTM 2 Series a las
configuraciones predeterminadas de fábrica 49
Reiniciar su Firebox 56
Crear una contraseña, una clave de cifrado o una clave compartida segura 64
Definir las configuraciones globales de ajuste de tamaño máximo del segmento TCP 70
Consola externa 71
Actualizar el Firebox 78
Configuración de red 79
Modos de red 79
Tipos de interfaz 80
Modo Bridge 94
vi Fireware XTM Web UI
Acerca de la Configuraciones de interfaz 100
Acerca de 106
Acerca del Protocolo "Abrir Camino Más Curto Primero" (OSPF) 194
Autenticación 209
x Fireware XTM Web UI
Use la autenticación para restringir el tráfico entrante 212
Políticas 251
Cronogramas 261
Acerca de acciones de proxy definidas por el usuario y predefinidas Acciones de proxy 280
Configure el proxy SMTP para colocar mensajes de correo electrónico en cuarentena 319
Autenticaciones 369
Conexiones 372
Diagnósticos 374
Interfaces 377
LiveSecurity 378
Memoria 379
Procesos 379
Syslog 381
Certificates 385
Use certificados autenticados para el túnel VPN Mobile con IPSec 399
Otras razones por las cuales usar una 1-to-1 NAT por una VPN 441
Ejemplo 442
Activar un dispositivo WatchGuard para enviar tráfico de multidifusión a través de un túnel 451
Active el otro dispositivo WatchGuard para recibir tráfico de multidifusión a través de un túnel
453
Configurar enrutamiento de difusión para el Firebox en el otro extremo del túnel 455
xx Fireware XTM Web UI
Regenerar clave de túneles BOVPN 458
¿Cómo configuro más que el número de túneles VPN permitido en mi Edge? 460
Autenticación 467
Configurar políticas para permitir el tráfico de Mobile VPN con PPTP 473
Configurar políticas para permitir el tráfico de Mobile VPN con PPTP 474
Opciones de acceso a Internet a través de un túnel de Mobile VPN con PPTP 475
Configuración de VPN de ruta predeterminada para Mobile VPN with PPTP 476
Configuración de VPN de túnel dividido para Mobile VPN with PPTP 476
Preparar una computadora cliente con Windows NT o 2000: Instalar MSDUN y los paquetes de
servicio 477
Crear y conectar una Mobile VPN with PPTP para Windows Vista 478
Cree y conecte una Mobile VPN with PPTP para Windows 2000 480
Opciones de acceso a Internet a través de un túnel de Mobile VPN con IPSec 482
Configurar Mobile VPN with IPSec para una dirección IP dinámica 510
Instrucciones de usuario final para la instalación del cliente VPN Mobile con IPSec de
WatchGuard 526
Los requisitos del cliente Mobile VPN WM Configurator y de IPSec de Windows Mobile 531
Configurar el dispositivo Firebox o XTM para Mobile VPN with SSL 543
Configurar políticas para controlar el acceso de clientes de Mobile VPN con SSL 549
Opciones de acceso a Internet a través de un túnel de Mobile VPN con SSL 551
Se debe distribuir e instalar en forma manual el software cliente de Mobile VPN con SSL y el
archivo de configuración 558
WebBlocker 561
Defina la acción para las sitios que no tienen coincidencias Excepciones 572
spamBlocker 577
Acerca del Gateway AntiVirus/la Intrusion Prevention y las políticas de proxy 614
Aunque las redes como Internet brindan acceso a una gran cantidad de información y oportunidades
comerciales, también pueden exponer la red a atacantes. Muchas personas creen que sus equipos no
guardan información importante o que un hacker no estará interesado en sus equipos. Se equivocan. Un
hacker puede utilizar su equipo como plataforma para atacar a otros equipos o redes. La información de su
organización, incluida la información personal acerca de usuarios, empleados o clientes, también es valiosa
para los hackers.
El dispositivo WatchGuard y la suscripción a LiveSecurity pueden ayudar a prevenir estos ataques. Una
buena política de seguridad de red o un conjunto de reglas de acceso para usuarios y recursos, también
pueden ayudar a detectar y prevenir ataques a su equipo o red. Recomendamos configurar el Firebox para
que coincida con la política de seguridad y considerar las amenazas tanto internas como externas de la
organización.
Una conexión a Internet de alta velocidad, como módem por cable o DSL (línea de suscriptor digital), se
conoce como conexión de banda ancha. Las conexiones de banda ancha son mucho más rápidas que las
conexiones telefónicas. El ancho de banda de una conexión telefónica es inferior a .1 Mbps, mientras que
una conexión de módem por cable puede ser de 5 Mbps o más.
Las velocidades típicas para los módem por cable en general son inferiores a las velocidades máximas,
porque cada equipo en un barrio es miembro de una LAN. Cada equipo en esa LAN usa parte del ancho de
banda. Debido a este sistema de medio compartido, las conexiones de módem por cable pueden volverse
lentas cuando más usuarios están en la red.
Las conexiones DSL proveen ancho de banda constante, pero en general son más lentas que las conexiones
de módem por cable. Además, el ancho de banda sólo es constante entre el hogar u oficina y la oficina
central de DSL. La oficina central de DSL no puede garantizar una buena conexión a un sitio web o red.
Un protocolo también indica el modo en que los datos se envían a través de una red. Los protocolos
utilizados con más frecuencia son TCP (Protocolo de control de transmisión) y UDP (Protocolo de datagrama
de usuario). TCP/IP es el protocolo básico utilizado por los equipos que se conectan a Internet.
Se deben conocer algunas de las configuraciones de TCP/IP cuando se configura el dispositivo WatchGuard.
Para obtener más información sobre TCP/IP, consulte Buscar las propiedades TCP/IP en la página 36.
2 Fireware XTM Web UI
Introducción a la seguridad de red
Una dirección IP consta de cuatro octetos (secuencias de números binarios de 8 bits) expresados en
formato decimal y separados por puntos. Cada número entre los puntos debe estar en el rango de 0 a 255.
Algunos ejemplos de direcciones IP son:
n 206.253.208.100
n 4.2.2.2
n 10.0.4.1
En general, la puerta de enlace predeterminada es un enrutador que se encuentra entre la red del usuario
e Internet. Después de instalar el Firebox en la red, se convierte en la puerta de enlace predeterminada
para todos los equipos conectados a sus interfaces de confianza u opcionales.
La subnet mask o máscara de red de una dirección IP de red es una serie de bits que enmascaran secciones
de la dirección IP que identifican qué partes de la dirección IP son para la red y qué partes son para el host.
Una puede escribirse del mismo modo que una dirección IP o en notación diagonal o CIDR (enrutamiento
de interdominios sin clases).
Por ejemplo, el usuario desea escribir la dirección IP 192.168.42.23 con una máscara de subred de
255.255.255.0 en notación diagonal.
La siguiente tabla muestra máscaras de red comunes y sus equivalentes en notación diagonal.
255.0.0.0 /8
255.255.0.0 /16
255.255.255.0 /24
255.255.255.128 /25
255.255.255.192 /26
255.255.255.224 /27
255.255.255.240 /28
255.255.255.248 /29
255.255.255.252 /30
Por ejemplo si ingresa la dirección IP 172.16.1.10, no ingrese un espacio después de ingresar 16. No intente
colocar el cursor después del decimal subsiguiente para ingresar 1. Ingrese un decimal directamente después
de 16 y luego ingrese 1.10. Presione la tecla de barra inclinada (/) para desplazarse a la máscara de red.
4 Fireware XTM Web UI
Introducción a la seguridad de red
Direcciones IP estáticas
Una dirección IP estática es una dirección IP que permanece siempre igual. Si tiene un servidor web, un
servidor FTP u otro recurso de Internet que debe tener una dirección que no puede cambiar, puede
obtener una dirección IP estática de su ISP. Una dirección IP estática generalmente es más costosa que una
dirección IP dinámica. Algunos ISP no proveen direcciones IP estáticas. La dirección IP estática debe
configurarse en forma manual.
Direcciones IP dinámicas
Una dirección IP dinámica es una dirección IP que el ISP permite utilizar en forma temporal a un usuario. Si
una dirección dinámica no está en uso, puede ser asignada automáticamente a un dispositivo diferente. Las
direcciones IP dinámicas se asignan a través de DHCP o PPPoE.
Acerca de DHCP
El Protocolo de Configuración Dinámica de Host (DHCP) es un protocolo de Internet que los equipos en red
utilizan para obtener direcciones IP y otra información como la puerta de enlace predeterminada. Cuando
el usuario se conecta a Internet, un equipo configurado como un servidor DHPC en el ISP le asigna
automáticamente una dirección IP. Podría ser la misma dirección IP que tenía anteriormente o podría ser
una nueva. Cuando se cierra una conexión a Internet que usa una dirección IP dinámica, el ISP puede
asignar esa dirección IP a un cliente diferente.
El dispositivo WatchGuard se puede configurar como servidor DHCP para las redes detrás del dispositivo. Se
asigna un rango de direcciones para que el servidor DHCP use.
Acerca de PPPoE
Algunos ISP asignan direcciones IP a través del Protocolo punto a punto por Ethernet (PPPoE). PPPoE agrega
algunas de las funciones de Ethernet y del protocolo punto a punto (PPP) a una conexión de acceso
telefónico estándar. Este protocolo de red permite al ISP utilizar los sistemas de facturación, autenticación y
seguridad de su infraestructura telefónica con productos DSL de módem y de módem por cable.
Un servidor DNS es un servidor que realiza esta traducción. Muchas organizaciones tienen un servidor DNS
privado en su red que responde a solicitudes de DNS. También se puede usar un servidor DNS en la red
externa, como un servidor DNS proporcionado por el ISP (proveedor de servicios de Internet).
Acerca de firewall
Un dispositivo de seguridad de red, como un firewall, separa a las redes internas de las conexiones de la
red externa para disminuir el riesgo de un ataque externo. La siguiente figura muestra el modo en que el
firewall protege de Internet a los equipos de una red de confianza.
Los firewall usan políticas de acceso para identificar y filtrar diferentes tipos de información. También
pueden controlar qué políticas o puertos pueden usar los equipos protegidos en Internet (acceso saliente).
Por ejemplo, muchos firewall tienen políticas de seguridad de prueba que permiten sólo tipos de tráfico
específicos. Los usuarios pueden seleccionar la política más conveniente para ellos. Otros firewall, por
ejemplo los dispositivos WatchGuard como el Firebox, permiten al usuario personalizar estas políticas.
Para más informaciones, vea Acerca de servicios y políticas en la página 7 y Acerca de puertos en la página 8
6 Fireware XTM Web UI
Introducción a la seguridad de red
Los firewall pueden ser hardware o software. Un firewall protege a las redes privadas de usuarios no
autorizados en Internet y examina el tráfico que ingresa a redes protegidas o sale de éstas. El firewall
rechaza el tráfico de red que no coincide con los criterios o políticas de seguridad.
En algunos firewall cerrados o de rechazo predeterminado, todas las conexiones de red son rechazadas a
menos que exista una regla específica para permitir la conexión. Para implementar este tipo de firewall, se
debe tener información detallada acerca de las aplicaciones de red requeridas para satisfacer las
necesidades de una organización. Otros firewall permiten todas las conexiones de red que no han sido
rechazadas explícitamente. Este tipo de firewall abierto es más fácil de implementar, pero no es tan seguro.
Cuando se autoriza o se rechaza un servicio, se debe agregar una política a la configuración del dispositivo
WatchGuard. Cada política que se agrega también puede sumar un riesgo de seguridad. Para enviar y recibir
datos, se debe abrir una puerta en la computadora, lo cual pone en riesgo a la red. Recomendamos agregar
sólo las políticas necesarias para la empresa.
Como ejemplo del modo en que se utiliza una política, supongamos que el administrador de red de una
empresa desea activar una conexión de servicios de terminal de Windows al servidor web público de la
empresa en la interfaz opcional del Firebox. Periódicamente administra el servidor web con una conexión
de Escritorio Remoto. Al mismo tiempo desea asegurarse de que ningún otro usuario de la red pueda
utilizar los servicios de terminal del Protocolo de Escritorio Remoto a través del Firebox. El administrador
de red debe agregar una política que permita conexiones RDP sólo desde la dirección IP de su propio
equipo de escritorio a la dirección IP del servidor web público.
Cuando se configura el dispositivo WatchGuard con el Quick Setup Wizard, el asistente sólo agrega
conectividad saliente limitada. Si el usuario tiene más aplicaciones de software y tráfico de red para que
examine Firebox, debe:
Acerca de puertos
Aunque los equipos tienen puertos de hardware que se utilizan como puntos de conexión, los puertos
también son números utilizados para asignar tráfico a un proceso particular en un equipo. En estos puertos,
también llamados puertos TCP y UDP los programas transmiten datos. Si una dirección IP es como la
dirección de una calle, un número de puerto es como un número de departamento o edificio dentro de
esa calle. Cuando un equipo envía tráfico a través de Internet a un servidor u otro equipo, utiliza una
dirección IP para identificar al servidor o equipo remoto y un número de puerto para identificar el proceso
en el servidor o equipo que recibe los datos.
Por ejemplo, supongamos que deseamos ver una página web en particular. El explorador web intenta crear
una conexión en el puerto 80 (el puerto utilizado para tráfico HTTP) para cada elemento de la página web.
Cuando el explorador recibe los datos que solicita al servidor HTTP, como una imagen, cierra la conexión.
Muchos puertos se usan sólo para un tipo de tráfico, como el puerto 25 para SMTP (Protocolo simple de
transferencia de correo ). Algunos protocolos, como SMTP, tienen puertos con números asignados. A otros
programas se les asignan números de puerto en forma dinámica para cada conexión. IANA (Internet
Assigned Numbers Authority) mantiene una lista de puertos conocidos. Se puede acceder a esta lista a
través de:
http://www.iana.org/assignments/port-numbers
La mayoría de las políticas que se agregan a la configuración del Firebox tienen un número de puerto entre
0 y 1024, pero los números de puerto posibles pueden ser entre 0 y 65535.
Los puertos están abiertos o cerrados. Si un puerto está abierto, el equipo acepta información y utiliza el
protocolo identificado con ese puerto para crear conexiones a otros equipos. Sin embargo, un puerto
abierto es un riesgo de seguridad. Para protegerse contra riesgos creados por los puertos abiertos, se
pueden bloquear los puertos utilizados por los hackers para atacar a la red. Para más informaciones, vea
Acerca de los puertos bloqueados en la página 347.
8 Fireware XTM Web UI
Introducción a la seguridad de red
las redes de confianza y opcionales. Si se enruta todo el tráfico para los equipos de confianza combinada a
través de la red opcional, se puede aumentar la seguridad para esas conexiones a fin de sumar más
flexibilidad a la solución de seguridad. Por ejemplo, los clientes con frecuencia usan la red opcional para los
usuarios remotos o para servidores públicos como un servidor web o un servidor de correo electrónico.
Algunos clientes que adquieren un dispositivo WatchGuard no conocen demasiado sobre redes
informáticas o seguridad de red. La Web UI (interfaz de usuario basada en la web) de Fireware XTM provee
muchas herramientas de autoayuda para estos clientes. Los clientes con más experiencia pueden utilizar la
integración avanzada y las múltiples funciones de soporte WAN del Fireware Appliance Software XTM Pro
para conectar un dispositivo WatchGuard a una red de área ancha mayor. El dispositivo WatchGuard se
conecta a un módem por cable, DSL de módem o enrutador ISDN.
La Web UI puede utilizarse para administrar sin percances las configuraciones de seguridad de red desde
diferentes ubicaciones y en cualquier momento. Así se obtiene más tiempo y recursos para utilizar en otros
equipos de la empresa.
Posiblemente sea necesario utilizar más de una aplicación Fireware XTM para configurar la red de una
organización. Por ejemplo, si se tiene sólo un producto Firebox X Edge e-Series, la mayoría de las tareas de
configuración pueden realizarse con la Fireware XTM Web UI o la Command Line Interface de Fireware
XTM. Sin embargo, para funciones de administración y registro más avanzadas, se debe utilizar WatchGuard
Server Center. Si el usuario administra más de un dispositivo WatchGuard o si ha comprado Fireware XTM
con una actualización Pro, recomendamos utilizar WatchGuard System Manager (WSM). Si el usuario decide
administrar y monitorear la configuración con la Fireware XTM Web UI , algunas funciones no pueden
configurarse.
Para obtener más información acerca de estas limitaciones, consulte Limitaciones de la Fireware XTM Web
UI en la página 31.
Para obtener más información acerca de cómo conectarse a Firebox con el WatchGuard System Manager o
la Command Line Interface de Fireware XTM, consulte la Ayuda en línea o la Guía del usuario para esos
productos. Se puede visualizar y descargar la documentación más reciente para estos productos en la
página Documentación del producto de Fireware XTM:
http://www.watchguard.com/help/documentation/xtm.asp.
Policy Manager
Se puede utilizar el Policy Manager para configurar el firewall. El Policy Manager incluye un conjunto
completo de filtrados de paquetes preconfigurados, políticas de proxy y puertas de enlace de la
capa de aplicación (ALG). El usuario también puede establecer un filtrado de paquetes
personalizado, una política de proxy o ALG en los cuales se configuran los puertos, los protocolos y
otras opciones. Otras funciones del Policy Manager ayudan a detener los intentos de intrusión en la
red, como ataques de congestión del servidor SYN, ataques de suplantación de paquetes y sondeos
de espacio entre puertos o direcciones.
El Firebox System Manager provee una interfaz para monitorear todos los componentes del
dispositivo WatchGuard. Desde FSM, se puede ver el estado en tiempo real de Firebox y su
configuración.
12 Fireware XTM Web UI
Introducción a Fireware XTM
HostWatch
HostWatch es un monitor de conexión en tiempo real que muestra el tráfico de red entre
diferentes interfaces de Firebox. HostWatch también muestra información acerca de usuarios,
conexiones, puertos y servicios.
LogViewer
El LogViewer es la herramienta del WatchGuard System Manager usada para ver datos del archivo
de registro. Puede mostrar los datos de registro página por página, o buscar y exhibir por palabras
claves o campos de registro especificados.
Report Manager
El Report Manager puede usarse para generar informes de los datos reunidos desde los Log Servers
para todos los dispositivos WatchGuard. Desde el Report Manager, se pueden ver los Informes
WatchGuard disponibles para los dispositivos WatchGuard.
Administrador de CA
Management Server
El Management Server funciona en un equipo Windows. Con este servidor, se pueden administrar
todos los dispositivos de firewall y crear túneles de red privada virtual (VPN) utilizando una simple
función de arrastrar y soltar. Las funciones básicas del Management Server son:
n Autoridad de certificación para distribuir certificados para túneles de seguridad del protocolo
de Internet (IPSec).
n Administración de la configuración del túnel VPN.
n Administración de múltiples dispositivos Firebox y Firebox X Edge.
Log Server
El Log Server reúne los mensajes de registro de cada Firebox de WatchGuard. Estos mensajes de
registro están cifrados cuando se envían al Log Server. El formato del mensaje de registro es XML
(texto sin formato). La información reunida de dispositivos de firewall incluye los siguientes
mensajes de registro: tráfico, evento, alarma, depuración (diagnóstico) y estadística.
WebBlocker Server
El WebBlocker Server funciona con el proxy HTTP del Firebox para denegar el acceso de usuarios a
categorías específicas de sitios web. Durante la configuración del Firebox, el administrador establece
las categorías de sitios web para permitir o bloquear.
Para obtener más información sobre WebBlocker y el WebBlocker Server, consulte Acerca de las
WebBlocker en la página 561.
Quarantine Server
El Quarantine Server reúne y aísla mensajes de correo electrónico que según la sospecha de
spamBlocker son spam o pueden tener un virus.
Para más informaciones, vea Página Acerca de Quarantine Server en la página 635.
Report Server
El Report Server periódicamente agrupa los datos reunidos por los Log Servers en los dispositivos
WatchGuard y luego genera informes en forma periódica. Una vez que los datos se encuentran en el
Report Server, se puede utilizar el Report Manager para generar y ver los informes.
Para más informaciones, vea Acerca del Fireware XTM Web UI en la página 30.
Core/Peak e-Series
Core e- Edge e- Edge e-Series
Función y XTM XTM 1050
Series Series (Pro)
(Pro)
FireCluster X
75 máx. (Core)
VLANs 75 máx. 200 máx. (Peak/XTM 20 máx. 50 máx.
1050)
14 Fireware XTM Web UI
Introducción a Fireware XTM
Para adquirir Fireware XTM con una actualización Pro, comuníquese con su revendedor local.
LiveSecurity® Service
Su dispositivo WatchGuard incluye una suscripción al innovador LiveSecurity® Service, que se activa en línea
cuando registra el producto. En el momento de la activación, la suscripción de LiveSecurity® Service le
otorga acceso a un programa de soporte y mantenimiento sin comparación en la industria.
Una suscripción activa de LiveSecurity extiende la garantía de hardware de un año incluida con cada
dispositivo WatchGuard. Su suscripción además ofrece el reemplazo de hardware avanzado para
minimizar el tiempo de inactividad en caso de una falla de hardware. Si tiene una falla de hardware,
WatchGuard le enviará una unidad de reemplazo antes de que tenga que enviar el hardware
original.
Actualizaciones de software
Soporte técnico
Cuando necesita asistencia, nuestros equipos expertos están listos para ayudarlo:
n Acceso a foros para usuarios en línea moderados por ingenieros generales de soporte
LiveSecurity®
Características del servicio LiveSecurity® Service
Service Gold
Actualizaciones de software Sí Sí
Transmisiones de LiveSecurity Sí Sí
18 Fireware XTM Web UI
Servicio y soporte
* En la región del pacífico asiático, los horarios de soporte estándar son de lunes a viernes, de 9.00 a. m. a 9.00 p. m.
(GMT +8).
Antes de empezar
Antes de empezar el proceso de instalación, asegúrese de concluir las tareas descritas en las siguientes
secciones.
Si registra su dispositivo WatchGuard antes de usar el Quick Setup Wizard, puede pegar una copia de su
tecla de función en el asistente. El asistente entonces la aplica a su dispositivo. Si no pega su tecla de función
en el asistente, aún puede finalizarlo. Hasta que se agregue la tecla de función, sólo una conexión es
permitida a Internet.
También se obtiene una nueva tecla de función para cualquier producto o servicio opcional cuando los
compra. Después de registrar su dispositivo WatchGuard o cualquier nueva función, puede sincronizar su
tecla de función del dispositivo WatchGuard con las teclas guardadas en su perfil de registro en el sitio de
LiveSecurity de WatchGuard. Puede usar Fireware XTM Web UI en cualquier momento para obtener su
tecla de función.
Para saber cómo registrar su dispositivo WatchGuard y obtener una tecla de función, vea Obtener una tecla
de función junto a LiveSecurity en la página 52.
WatchGuard usa la notación diagonal para mostrar la Subnet Mask. Para más informaciones, vea Acerca de
las Notación diagonal en la página 3. Para más información acerca de las direcciones IP, vea Acerca de las
Direcciones IP en la página 3.
_____._____._____._____
_____._____._____._____
Use la segunda tabla para sus direcciones IP de red después de poner su dispositivo WatchGuard en
funcionamiento.
Interfaz externa
Interfaz de confianza
Conecta a la red interna o LAN (red de área local) privada que desea proteger.
22 Fireware XTM Web UI
Introducción
Interfaz opcional
Generalmente conecta a un área de confianza combinada de su red, tales como servidores en DMZ
(zona desmilitarizada). Puede usar interfaces opcionales para crear zonas en la red con diferentes
niveles de acceso.
Muchas redes funcionan mejor con la configuración de enrutamiento combinado, pero recomendamos el
modo directo si:
Esa tabla y las descripciones abajo de ella muestran tres condiciones que pueden ayudar a seleccionar el
modo configuración del firewall.
Para más información acerca del modo directo, vea Acerca de la configuración de red en modo directo en
la página 89.
Para más información acerca del modo de enrutamiento combinado, vea Modo de enrutamiento
combinado en la página 82.
El dispositivo WatchGuard también soporta un tercer modo configuración llamado modo puente. Ese modo
es usado con menos frecuencia. Para más información acerca del modo puente, vea Modo Bridge en la
página 94.
Nota Puede usar el Web Setup Wizard o el Quick Setup Wizard del WSM para crear su
configuración inicial. Cuando ejecuta el Web Setup Wizard, la configuración
firewall es automáticamente definida en modo de enrutamiento combinado.
Cuando ejecuta el Quick Setup Wizard del WSM, puede configurar el dispositivo en
modo de enrutamiento combinado o modo directo.
Ahora puede iniciar el Quick Setup Wizard. Para más informaciones, vea Acerca del Quick Setup Wizard en
la página 24.
Cuando configura su dispositivo WatchGuard con el Quick Setup Wizard, se definen sólo las políticas básicas
(TCP y UDP salientes), filtrado de paquetes del FTP, ping y WatchGuard) y direcciones IP de interfaz. Si tiene
más aplicaciones de software y tráfico de red para que el dispositivo busque, debe:
n Configurar las políticas en el dispositivo WatchGuard para dejar pasar el tráfico necesario
n Definir las propiedades y hosts aprobados para cada política
n Balancear el requisito para proteger su red contra los requisitos de sus usuarios para conectarse a
recursos externos
Para instrucciones acerca de cómo ejecutar el asistente a partir del explorador web, vea Ejecutar el Web
Setup Wizard en la página 24.
Puede usar el Web Setup Wizard para hacer una configuración básica en un dispositivo WatchGuard XTM o
Firebox X e-Series. El Web Setup Wizard automáticamente configura el Firebox en el modo de
enrutamiento combinado.
24 Fireware XTM Web UI
Introducción
Para usar el Web Setup Wizard, debe hacer una conexión de red directa hacia el dispositivo WatchGuard y
usar un explorador web para iniciar el asistente. Cuando configura su dispositivo WatchGuard, él usa DHCP
para enviar una nueva dirección IP a su equipo.
n Para un dispositivo Firebox X Core, Peak e-Series, o XTM, la interfaz de confianza es la número 1
n Para un Firebox X Edge E-Series, la interfaz de confianza es la LAN0
2. Conecte el cable de energía a la entrada de energía del dispositivo WatchGuard y a una fuente de
energía.
3. Inicie el Firebox en modo predeterminado de fábrica. En los modelos Core, Peak y XTM, eso se
conoce como modo seguro.
Para más informaciones, vea Restablecer un dispositivo Firebox o XTM a una configuración anterior
o nueva en la página 48.
4. Asegúrese de que su equipo esté configurado para aceptar una dirección IP asignada por DHCP.
Para más informaciones, vea Desactive el proxy de HTTP en el explorador en la página 39.
6. Abra el explorador web e ingrese la dirección IP predeterminada de fábrica de interfaz 1.
Para un Firebox X Core o Peak, o un dispositivo WatchGuard XTM, la dirección IP es:
https://10.0.1.1:8080 .
Para un Firebox X Edge, la dirección es: https://192.168.111.1:8080 .
Si usa el Internet Explorer, asegúrese de ingresar el https:// al principio de la dirección IP. Eso
establece una conexión HTTP segura entre su equipo de administración y el dispositivo WatchGuard.
El Web Setup Wizard se inicia automáticamente.
7. Registre las credenciales de cuenta del administrador:
Nombre de usuario: admin
Frase de contraseña: lecturaescritura
8. Complete las siguientes pantallas del asistente.
El Web Setup Wizard incluye ese grupo de cuadros de diálogo. Algunos cuadros de diálogo aparecen
sólo si selecciona ciertos métodos de configuración:
Ingresar
Ingresar con las credenciales de cuenta del administrador. Para Nombre de usuario, seleccione
admin. Para Frase de contraseña, use la frase: lecturaescritura.
Bienvenido
Seleccione si prefiere crear una nueva configuración o restaurar una configuración a partir de
una imagen de copia de seguridad guardada.
Acuerdo de licencia
Si su Firebox todavía no tiene una tecla de función, el asistente provee opciones para que
descargue o importe una tecla de función. El asistente sólo puede descargar una tecla de
función si tiene una conexión a Internet. Si descargó una copia local de la tecla de función a su
equipo, puede pegarla en el asistente de configuración.
Advertencia
Si no aplica una tecla de función en el Web Setup Wizard, debe registrar el
dispositivo y aplicar la tecla de función en el Fireware XTM Web UI. La
funcionalidad del dispositivo es limitada hasta que se aplique una tecla de función.
Seleccione el método que su ISP usa para asignar su dirección IP. Las opciones son DHCP, PPPoE
o estática.
Ingresar las direcciones de DNS de dominio y servidor WINS que desea que el Firebox utilice
26 Fireware XTM Web UI
Introducción
Ingrese la dirección IP de la interfaz de confianza. Como opción, puede activar el servidor DHCP
para la interfaz de confianza.
Para más informaciones, vea Acerca de configuraciones de radio en Firebox X Edge e-Series
inalámbrico en la página 181.
Ingrese una frase de contraseña para el estado (sólo lectura) y cuentas de administración
admin (lectura/escritura) en el Firebox.
Active la administración remota si desea administrar ese dispositivo desde la interfaz externa.
Si deja el Web Setup Wizard ocioso por 15 minutos o más, debe volver al Paso 3 e iniciar nuevamente.
n Para más información acerca de como concluir la instalación de su dispositivo WatchGuard después
que se concluye el Web Setup Wizard, vea Concluya su instalación en la página 32.
n Para más información acerca de cómo conectarse al Fireware XTM Web UI, vea Conéctese al
Fireware XTM Web UI en la página 28.
n El archivo del software de la aplicación Fireware XTM descargado del sitio web LiveSecurity podría
estar corrompido. Si la imagen del software está corrompida, en un dispositivo Firebox X Core, Peak
o XTM , este mensaje aparece en la interfaz de LCD: Error de archivo truncado.
Si ese mensaje aparece, descargue el software nuevamente y pruebe el asistente una vez más.
n Si usa el Internet Explorer 6, limpie el caché del archivo en el explorador web e intente
nuevamente.
Para limpiar el caché, en el Internet Explorer seleccione Herramientas > Opciones de Internet >
Borrar archivos.
De manera predeterminada, el puerto utilizado para la Web UI es 8080. La URL para conectarse a la Web UI
en su explorador es:
https://<firebox-ip-address>:8080
El usuario puede cambiar la dirección IP de la red de confianza a una dirección IP diferente. Para más
informaciones, vea Configuraciones de interfaz comunes en la página 95.
Por ejemplo, para usar la URL predeterminada para conectarse a un Firebox X Edge:
28 Fireware XTM Web UI
Introducción
3. Cuando observe la advertencia del certificado, haga clic en Continuar a este sitio web (IE 7) o
Agregar excepción (Firefox 3).
Esta advertencia aparece porque el certificado que utiliza el dispositivo WatchGuard está firmado
por la autoridad de certificación de WatchGuard, que no figura en la lista de autoridades de
confianza de su explorador.
Nota Esta advertencia aparece cada vez que el usuario se conecta al dispositivo
WatchGuard a menos que se acepte el certificado en forma permanente o se
genere e importe un certificado para uso del dispositivo. Para más informaciones,
vea Acerca de los certificados en la página 385.
Debido a que no es necesario instalar ningún software, se puede utilizar la Web UI desde cualquier equipo
que tenga conectividad TCP/IP y un explorador. Esto significa que el usuario puede administrar Firebox
desde un equipo que tenga Windows, Linux, Mac OS o cualquier otra plataforma, siempre que tenga un
explorador compatible con Adobe Flash 9 y conectividad de red.
La Web UI es una herramienta de administración en tiempo real. Esto significa que cuando utiliza la Web UI
para realizar cambios en un dispositivo, los cambios realizados generalmente tienen efecto inmediato. La
Web UI no permite generar una lista de cambios a un archivo de configuración guardado localmente, para
enviar muchos cambios al dispositivo de una sola vez en un momento posterior. Esto difiere del Policy
Manager de Fireware XTM, lo cual es una herramienta de configuración fuera de línea. Los cambios
realizados a un archivo de configuración guardado localmente utilizando el Policy Manager sólo tienen
efecto después de que se guarda la configuración en el dispositivo.
Nota Se debe completar el Quick Setup Wizard para poder ver la Fireware XTM Web UI .
Para más informaciones, vea Ejecutar el Web Setup Wizard en la página 24.
También se debe utilizar una cuenta con privilegios de acceso administrativos
totales para ver y cambiar las páginas de configuración.
En el lado izquierdo de la Fireware XTM Web UI se encuentra la navigation bar del menú principal que se
utiliza para seleccionar un grupo de páginas de configuración.
El elemento superior en la navigation bar es el Panel de control, que permite regresar a la página Panel de
control de Fireware XTM , la cual se ve en cuanto el usuario se conecta a la Fireware XTM Web UI.
30 Fireware XTM Web UI
Introducción
Todos los demás elementos de la navigation bar contienen elementos de menú secundarios que se usan
para configurar las propiedades de esa función.
n Para visualizar estos elementos de menú secundarios, haga clic en el nombre del elemento de
menú. Por ejemplo, si hace clic en Autenticación, aparecen estos elementos de menú secundarios:
Servidores, Configuración, Usuarios y grupos, Certificado de servidor web y Single Sign-On.
n Para ocultar los elementos de menú secundarios, haga clic nuevamente en el elemento de menú de
nivel superior.
Para mostrar los elementos de menú que se amplían o en los que se hace clic, la documentación utiliza el
símbolo de flecha derecha (>). Los nombres de menús aparecen en negrita. Por ejemplo, el comando para
abrir la página Configuración de autenticación aparece en el texto como Configuración de >Autenticación.
Algunas de las tareas que puede completar en el Policy Manager, pero no con la Web UI incluyen:
n Algunas otras opciones de configuración proxy no están disponibles (varían según el proxy).
El grupo de aplicaciones incorporadas en WatchGuard System Manager incluye muchas otras herramientas
para monitoreo e informes. Algunas de las funciones proporcionadas por HostWatch, LogViewer, Report
Manager y WSM tampoco están disponibles en la Web UI.
Para utilizar algunas funciones de Fireware XTM relacionadas con servidores WatchGuard, es necesario
instalar WatchGuard Server Center. No es necesario utilizar WatchGuard System Manager para instalar
WatchGuard Server Center. Los siguientes servidores WatchGuard pueden configurarse utilizando
WatchGuard Server Center:
n Management Server
n Log Server
n Report Server
n Quarantine Server
n WebBlocker Server
Para aprender cómo configurar funciones no admitidas en la Web UI o cómo utilizar WatchGuard Server
Center, consulte la Ayuda de Fireware XTM WatchGuard System Manager v11 en
http://www.watchguard.com/help/docs/wsm/11/es-ES/index.html.
Para conocer más acerca de la CLI, consulte la Referencia de Command Line Interface de WatchGuard en
http://www.watchguard.com/help/documentation.
Concluya su instalación
Despuésde concluir el WebSetup Wizard, debe concluir lainstalación de su dispositivoWatchGuard ensu red.
3. Para conectarse a su dispositivo WatchGuard con la interfaz del usuario web de Fireware XTM, abra
un explorador web e ingrese:
https//[dirección IP de la interfaz de confianza del dispositivo
WatchGuard]:8080 .
32 Fireware XTM Web UI
Introducción
4. Si usa una configuración enrutada, asegúrese de alterar la puerta de enlace puerta de enlace
predeterminada en todos los equipos que se conectan a su dispositivo WatchGuard para que la
dirección IP coincida con la de la interfaz de confianza del dispositivo WatchGuard.
5. Personalice su configuración según sea necesario para fines de seguridad de su empresa.
Cuando haya concluido el Quick Setup Wizard, el archivo de configuración creado sólo era una
configuración básica. Se puede modificar esa configuración para que esté de acuerdo con su política de
seguridad de su negocio y los requisitos de seguridad de su empresa. Puede agregar políticas de proxy y
filtrado de paquetes para definir qué puede entrar y salir de su red. Cada política puede tener efectos
diferentes sobre su red. Las políticas que aumentan su seguridad de red pueden disminuir el acceso a ella.
A su vez, las políticas que aumentan el acceso a su red pueden poner en riesgo la seguridad de la misma.
Para más informaciones acerca de políticas, vea Acerca de políticas en la página 251.
Para una nueva instalación, recomendamos que use solo políticas de filtrado de paquetes hasta que todos
sus sistemas estén funcionando correctamente. Según sea necesario, puede agregar políticas de proxy.
n Asegura de que tenga la protección de red más reciente con las actualizaciones de software
también más recientes
n Provee soluciones a sus problemas con recursos completos de soporte técnico
n Previene interrupciones de servicio con mensajes y ayuda de configuración para los problemas de
seguridad más recientes
n Ayuda a aprender más acerca de seguridad de red a través de recursos de capacitación
n Extiende su seguridad de red con software y otras funciones
n Extiende la garantía de su hardware con sustitución avanzada
Para más información acerca del LiveSecurity Service, vea Acerca de las Soporte de WatchGuard en la
página 17.
cuando hay discrepancia entre la dirección IP o nombre del host solicitado y la dirección IP o nombre de
host en el certificado. Por defecto, su Firebox usa un certificado autofirmado que se puede usar para
configurar su red rápidamente. No obstante, cuando los usuarios se conectan a Firebox con un explorador
web, aparece un mensaje de aviso Error en la conexión segura.
Para evitar ese mensaje de error, recomendamos que agregue un certificado válido firmado por una CA
(autoridad de certificación) para su configuración. Ese certificado de CA también puede ser usado para
mejorar la seguridad de la autenticación por VPN. Para obtener más informaciones sobre el uso de
certificados con los dispositivos Firebox, vea Acerca de los certificados en la página 385.
Si continúa a usar el certificado autofirmado predeterminado, puede agregar una excepción para Firebox
en cada equipo cliente. Las versiones actuales de la mayoría de los exploradores web ofrecen un enlace en
el mensaje de aviso en el cual el usuario puede hacer clic para autorizar la conexión. Si su empresa usa
Mozilla Firefox v3, los usuarios pueden agregar una excepción de certificado permanente antes de
conectarse al Firebox.
Nota Una excepción de certificado no deja su equipo menos seguro. Todo el tráfico de
red entre su equipo y el dispositivo WatchGuard permanece cifrado de modo
seguro con SSL.
Hay dos métodos para agregar una excepción. Debe poder enviar tráfico al Firebox para agregar una
excepción.
34 Fireware XTM Web UI
Introducción
Para una descripción de lo básico de red, vea Acerca de redes y seguridad de red en la página 1.
Puede usar una dirección IP estática, DHCP o PPPoE para configurar la interfaz externa del dispositivo
WatchGuard. Para obtener más información acerca de las direcciones de red, vea Configurar una interfaz
externa en la página 82.
Su equipo debe tener un explorador web. El explorador web es usado para configurar y administrar el
dispositivo WatchGuard. Su equipo debe tener una dirección IP en la misma red que el dispositivo
WatchGuard.
para que use DHCP y después puede conectarse al dispositivo para administrarlo. También puede otorgar
una dirección IP estática a su equipo que esté en la misma red que la dirección IP de confianza del
dispositivo WatchGuard. Para más informaciones, vea Configure su equipo para conectarse a su dispositivo
WatchGuard en la página 37.
n Dirección IP
n Máscara de subred
n Puerta de enlace predeterminada
n Dirección IP estática o dinámica del equipo
n Direcciones IP principales y secundarias de los servidores DNS
Nota Si el ISP asigna al equipo del usuario una dirección IP que empieza con 10, 192.168
ó 172.16 a 172.31, entonces el ISP utiliza NAT (Traducción de dirección de red) y su
dirección IP es privada. Recomendamos obtener una dirección IP pública para la
dirección IP externa de Firebox. Si el usuario tiene una dirección IP privada, puede
tener problemas con algunas funciones como la conexión a red privada virtual.
Para buscar las propiedades TCP/IP para el sistema operativo del equipo, se deben seguir las instrucciones
de las secciones siguientes.
36 Fireware XTM Web UI
Introducción
1. Seleccione el Menú Apple> Preferencias del sistema o seleccione el ícono desde el dock.
Aparece el cuadro de diálogo Preferencias del sistema.
2. Haga clic en el ícono Red.
Aparece el cuadro Preferencia de red.
3. Seleccione el adaptador de red que utiliza para conectarse a Internet.
4. Anote los valores que se observan para el adaptador de red.
1. Lea la guía del sistema operativo para encontrar las configuraciones TCP/IP.
2. Anote los valores que se observan para el adaptador de red principal.
Usar DHCP
Si su equipo no usa el sistema operativo Windows XP, lea la ayuda del sistema operativo para obtener
instrucciones acerca de cómo configurar su equipo para usar el DHCP.
Para configurar un equipo con Windows XP para usar una dirección IP estática:
38 Fireware XTM Web UI
Introducción
Use esas instrucciones para desactivar el proxy HTTP en Firefox, Safari o Internet Explorer. Si está usando un
explorador diferente, use el sistema de Ayuda del explorador para encontrar la información necesaria.
Muchos exploradores automáticamente desactivan la función de proxy del HTTP.
40 Fireware XTM Web UI
5 Información básica sobre
configuración y administración
Si no logra restaurar la imagen de Firebox con éxito, puede restablecer el Firebox. Dependiendo del
modelo de Firebox que tenga, puede restablecer el Firebox en sus configuraciones predeterminadas de
fábrica o ejecutar nuevamente el Quick Setup Wizard para crear una nueva configuración.
Para más informaciones, vea Restablecer un dispositivo Firebox o XTM a una configuración anterior o nueva
en la página 48.
En el caso de los dispositivos WatchGuard XTM 2 Series, 5 Series, 8 Series o XTM 1050, puede conectar una
unidad o un dispositivo de almacenamiento USB al puerto USB del dispositivo XTM para llevar a cabo los
procedimientos de copia de respaldo y restauración. Cuando guarda una imagen de respaldo del sistema en
una unidad USB conectada, puede restaurar su dispositivo XTM a un estado conocido con mayor rapidez.
Nota No puede utilizar esta función en un dispositivo e-Series, porque los dispositivos e-
Series no tienen puerto USB.
42 Fireware XTM Web UI
Información básica sobre configuración y administración
Puede utilizar la misma imagen de respaldo para más de un dispositivo, si todos los dispositivos pertenecen
a la misma familia de modelos de WatchGuard XTM. Por ejemplo, puede utilizar una imagen de respaldo
guardada en un XTM 530 como la imagen de respaldo de cualquier otro dispositivo XTM 5 Series.
44 Fireware XTM Web UI
Información básica sobre configuración y administración
Advertencia
Si su dispositivo XTM ha utilizado una versión del sistema operativo Fireware XTM
anterior a la v11.3, debe actualizar la imagen de software del modo de
recuperación en el dispositivo a la v11.3 de la función de restauración automática
a operar. Vea las Notas de versión de Fireware XTM 11.3 para obtener
instrucciones de actualización.
Si la unidad USB no contiene una imagen de restauración automática válida para esta familia de modelos de
dispositivos XTM, el dispositivo no se reinicia y, en cambio, se inicia en modo de recuperación. Si vuelve a
reiniciar el dispositivo, éste utilizará su configuración actual. Cuando el dispositivo está en modo de
recuperación, puede utilizar el WSM Quick Setup Wizard para crear una nueva configuración básica.
Para obtener más información acerca WSM Quick Setup Wizard, vea Ejecutar el Quick Setup Wizard del WSM.
Si la unidad USB no contiene una imagen de restauración automática válida para 2 Series, la restauración
automática fallará y el dispositivo no se reiniciará. Si el proceso de restauración automática no resulta
exitoso, debe desconectar y volver a conectar la fuente de alimentación para iniciar el dispositivo 2 Series
con las configuraciones predeterminadas de fábrica.
Para obtener información sobre las configuraciones predeterminadas de fábrica, vea Acerca de las
configuraciones predeterminadas de fábrica.
En cada dispositivo, la estructura del directorio en el dispositivo USB es la siguiente, donde sn se reemplaza
con el número de serie del dispositivo XTM:
\sn\flash-images\
\sn\configs\
\sn\feature-keys\
\sn\certs\
También hay un directorio en el nivel de raíz de la estructura del directorio que se utiliza para almacenar la
imagen de respaldo de restauración automática designada.
\auto-restore\
Cuando designa una imagen de respaldo para utilizarla para la restauración automática, una copia de la
imagen de respaldo seleccionada se cifra y almacena en el directorio \auto-restore con el nombre de
archivo auto-restore.fxi . Sólo puede tener una imagen de restauración automática guardada en cada
unidad USB. Puede utilizar la misma imagen de respaldo de restauración automática para más de un
dispositivo, si ambos dispositivos pertenecen a la misma familia de modelos WatchGuard XTM. Por ejemplo,
puede utilizar una imagen de restauración automática guardada en un XTM 530 como la imagen de
restauración automática de cualquier otro dispositivo XTM 5 Series.
Debe utilizar el comando Sistema > Unidad USB para crear una imagen de restauración automática. Si copia
y renombra una imagen de respaldo manualmente y la almacena en este directorio, el proceso de
restauración automática no funciona correctamente.
46 Fireware XTM Web UI
Información básica sobre configuración y administración
Si usa el comando Sistema > Unidad USB para hacer esto, los archivos se guardarán automáticamente en el
directorio adecuado de la unidad USB. Si utiliza el comando Sistema > Imagen de respaldo , o si utiliza
Windows u otro sistema operativo para copiar manualmente los archivos de configuración al dispositivo
USB, debe crear manualmente el número de serie correcto y los directorios de imágenes flash para cada
dispositivo (si todavía no existen).
Antes de empezar
Antes de empezar, es importante que comprenda la Estructura del directorio de la unidad USB utilizada por
la función de respaldo y restauración USB. Si no guarda la imagen de respaldo en la ubicación correcta, es
posible que el dispositivo no la encuentre cuando le conecte la unidad USB.
Para una descripción de las configuraciones predeterminadas de fábrica, vea Acerca de las configuraciones
predeterminadas de fábrica en la página 49.
Nota Si tiene un dispositivo WatchGuard XTM, también puede utilizar el modo seguro
para restaurar automáticamente una imagen de respaldo del sistema desde un
dispositivo de almacenamiento USB. Para más informaciones, vea Restaurar
automáticamente una imagen de respaldo desde un dispositivo USB.
48 Fireware XTM Web UI
Información básica sobre configuración y administración
Para más informaciones, vea Acerca del Quick Setup Wizard en la página 24.
Firebox está configurado para asignar direcciones IP a equipos en la red de confianza a través de
DHCP. Por defecto, esas direcciones IP pueden ir desde 192.168.111.2 a 192.168.111.254.
La dirección IP predeterminada para la red de confianza es 10.0.1.1. La Subnet Mask para la red de
confianza es 255.255.255.0.
Firebox está configurado para asignar direcciones IP a equipos en la red de confianza a través de
DHCP. Por defecto, esas direcciones IP puede ir desde 10.0.1.2 a 10.0.1.254..
Red externa
Red opcional
Configuraciones de firewall
Todas las políticas entrantes son negadas. La política saliente permite todo el tráfico saliente. Se
niegan las solicitudes de ping recibidas en la red externa.
Firebox posee cuentas de administrador acopladas admin (acceso de lectura y escritura) y estado
(acceso sólo lectura). La primera vez que configura el dispositivo con el Quick Setup Wizard, define
las frases de contraseña de estado y configuración. Después de concluir el Quick Setup Wizard,
puede iniciar sesión en el Fireware XTM Web UI sea con la cuenta de administrador admin o estado.
Para tener acceso completo de administrador, inicie sesión con el nombre de usuario de admin e
ingrese la frase de contraseña de configuración. Para acceso de sólo lectura, inicie sesión con el
nombre de usuario de estado e ingrese la frase de contraseña de sólo lectura.
Por defecto, Firebox está configurado para administración local desde la red de confianza
solamente. Los cambios adicionales de configuración deben ser realizados para permitir la
administración desde la red externa.
Opciones de actualización
Para habilitar las opciones de actualización, como WebBlocker, spamBlocker y Gateway AV/IPS,
debe pegar o importar la tecla de función que habita esas funciones en la página de configuración o
usar el comando Obtener Tecla de Función para activar las opciones de actualización. Si inicia el
Firebox en modo seguro, no es necesario importar la tecla de función nuevamente.
50 Fireware XTM Web UI
Información básica sobre configuración y administración
52 Fireware XTM Web UI
Información básica sobre configuración y administración
Cuando va al sitio web de LiveSecurity para retener su tecla de función, puede elegir entre descargar una o
más teclas de función en un archivo comprimido. Si selecciona múltiples dispositivos, el archivo
comprimido contiene un archivo de tecla de función para cada dispositivo.
Para retener una tecla de función actual del sitio web de Live Security:
Las funciones que están disponibles con esa tecla de función aparecenen esa página. Esa página
también incluye:
n Si la función está activada o no
n Un valor asignado a la función, tal como número de interfaces VLAN permitidas
n La fecha de caducidad de la función
n El tiempo que falta para que la función caduque
54 Fireware XTM Web UI
Información básica sobre configuración y administración
Reiniciar su Firebox
Puede usar el Fireware XTM Web UI para reiniciar su Firebox desde un equipo en la red de confianza. Si
permite el acceso externo, también puede reiniciar el Firebox desde un equipo en Internet. Puede
determinar la hora del día en la cual su Firebox se reinicia automáticamente.
56 Fireware XTM Web UI
Información básica sobre configuración y administración
Para reiniciar el Firebox desde el Fireware XTM Web UI, debe iniciar sesión con acceso de lectura-escritura.
En el Firebox X Edge:
Para más informaciones, vea Administrar un Firebox desde una ubicación remota en la página 72.
Para iniciar el Firebox de forma remota a partir del Fireware XTM Web UI:
Para usar NTP, la configuración de su Firebox debe permitir DNS. El DNS es permitido en la configuración
predeterminada por la política Saliente. También debe configurar los servidores DNS para la interfaz
externa antes de configurar el NTP.
Para obtener más información acerca de esas direcciones, vea Agregar direcciones de servidor DNS y WINS.
58 Fireware XTM Web UI
Información básica sobre configuración y administración
modelo de Firebox
Modelo y modelo de Firebox, tal como determinado por el Quick Setup Wizard.Si agrega una
nueva tecla de función al Firebox con una actualización de modelo, el modelo de Firebox en la
configuración del dispositivo es automáticamente actualizado.
Nombre
El nombre descriptivo del Firebox. Puede otorgar a Firebox un nombre descriptivo que
aparecerá en sus informes y archivos de registro. De lo contrario, los informes y archivos de
registro usan la dirección IP del la interfaz externa de Firebox. Muchos clientes usan un domain
name totalmente cualificado como nombre descriptivo, caso registren ese nombre en el
sistema DNS. Debe otorgar un nombre descriptivo al Firebox si usa el Management Server para
configurar los certificados y túneles VPN.
Ubicación, Contacto
Ingrese cualquier información que podría ser útil para identificar y hacer el mantenimiento del
Firebox. Esos campos son llenados por el Quick Setup Wizard, caso haya insertado esa
información allí.
Zona horaria
Seleccione la zona horaria para la ubicación física del Firebox. La configuración de zona horaria
controla la fecha y hora que aparecen en el archivo de registro y en las herramientas como el
LogViewer, Informes WatchGuard y WebBlocker.
Hay dos tipos de MIBs: estándar y empresarial. Las MIBs estándares son definiciones de eventos de
hardware y red usadas por diversos dispositivos. Las MIBs empresariales son usados para dar información
acerca de eventos específicos a un fabricante determinado. Su Firebox soporta ocho MIBs estándares: IP-
MIB, IF-MIB, TCP-MIB, UDP-MIB, SNMPv2-MIB, SNMPv2-SMI, RFC1213-MIB y RFC1155 SMI-MIB. También
soporta dos MIBs empresariales: WATCHGUARD-PRODUCTS-MIB y WATCHGUARD-SYSTEM-CONFIG-MIB.
Una captura SNMP es una notificación de evento que su Firebox envía a un sistema de administración de
SNMP. La captura identifica cuando ocurre una condición específica, tal como un valor que sea exceda su
umbral predefinido. Su Firebox puede enviar una captura para cualquier política en el Policy Manager.
Una solicitud de informe de SNMP es similar a una captura, pero el receptor envía una respuesta. Si su
Firebox no obtiene una respuesta, él envía la solicitud de informe nuevamente hasta que el administrador
de SNMP envíe una respuesta. Se envía una captura sólo una vez, y el receptor no envía ningún tipo de
acuse de recibo al recibir la captura.
MIBs Estándares
Las MIBs estándares son definiciones de eventos de hardware y red usadas por diversos dispositivos.
Su dispositivo WatchGuard soporta ocho MIBs estándares:
n IP-MIB
n IF-MIB
n TCP-MIB
n UDP-MIB
n SNMPv2-MIB
n SNMPv2-SMI
n RFC1213-MIB
n RFC1155 SMI-MIB
Esas MIBs incluyen datos acerca de la información de red estándar, tal como direcciones IP y
configuración de interfaz de red.
MIBs Empresariales
Las MIBs empresariales son usados para dar información acerca de eventos específicos a un
fabricante determinado. Su Firebox soporta las siguientes MIBs empresariales:
n WATCHGUARD-PRODUCTS-MIB
n WATCHGUARD-SYSTEM-CONFIG-MIB
n UCD-SNMP-MIB
Esas MIBs incluyen datos más específicos acerca del hardware del dispositivo.
60 Fireware XTM Web UI
Información básica sobre configuración y administración
2. Para activar el SNMP, en la lista desplegable Versión, seleccione v1, v2c, o v3.
3. Si seleccionó la v1 o v2c para la versión del SNMP, ingrese la Cadena de comunidad que el servidor
SNMP usa cuando se contacta con el Firebox. La cadena de comunidad es como un ID de usuario y
contraseña que permite el acceso a las estadísticas de un dispositivo.
Si seleccionó la v3 para la versión del SNMP, ingrese el Nombre del usuario que el servidor SNMP
usa cuando se contacta con el Firebox.
4. Si su servidor SNMP usa autenticación, en la lista desplegable Protocolo de autenticación,
seleccione MD5 o SHA e ingrese la Contraseña de autenticación dos veces.
5. Si su servidor SNMP usa cifrado, en la lista desplegable Protocolo de Privacidad, seleccione DES e
ingrese la Contraseña de cifrado dos veces.
6. Haga clic en Guardar.
Para habilitar su Firebox para que pueda recibir sondeos de SNMP, se debe agregar una política de SNMP.
Una solicitud de informe de SNMP es similar a una captura, pero el receptor envía una respuesta. Si su
dispositivo WatchGuard no obtiene una respuesta, él envía la solicitud de informe nuevamente hasta que el
administrador de SNMP envíe una respuesta. Se envía una captura sólo una vez, y el receptor no envía
ningún tipo de acuse de recibo al recibir la captura.
Una solicitud de informe es más confiable que una captura porque su dispositivo WatchGuard sabe si la
solicitud de informe fue recibida. No obstante, las solicitudes de informe consumen muchos recursos. Son
guardadas en la memoria hasta que el remitente obtenga una respuesta. Si se debe enviar una solicitud de
informe más de una vez, los reintentos aumentan el tráfico. Recomendamos que considere si vale la pena
usar la memoria del enrutador para cada notificación de SNMP y aumentar el tráfico de red.
Para activar las solicitudes de informe de SNMP, debe usar SNMPv2 o SNMPv3. SNMPv1 sólo soporta
capturas, pero no solicitudes de informe.
62 Fireware XTM Web UI
Información básica sobre configuración y administración
2. En la lista desplegable Capturas de SNMP, seleccione la versión de la captura o informe que desea
usar.
SNMPv1 sólo soporta capturas, pero no solicitudes de informe.
3. En el cuadro de texto Estaciones de Administración deSNMP , ingrese la dirección IP de su servidor
SNMP. Haga clic en Agregar.
4. Para remover un servidor de la lista, seleccione la entrada y haga clic en Remover.
5. Haga clic en Guardar.
8. En el cuadro de texto al lado, inserte la dirección IP de su servidor SNMP y después haga clic en
Aceptar.
9. Remueva la entrada Cualquiera de Confianza de la lista De.
10. En la sección Hasta, haga clic en Agregar.
Aparece la ventana Agregar miembro.
11. En el cuadro de diálogo Agregar miembro, seleccione Firebox. Haga clic en OK.
12. Remueva la entrada Cualquiera Externo de la lista Para.
13. Haga clic en Guardar.
Como medida de seguridad adicional, se recomienda cambiar las contraseñas, las claves de cifrado y las
claves compartidas a intervalos regulares.
64 Fireware XTM Web UI
Información básica sobre configuración y administración
La frase de contraseña o contraseña de sólo lectura que permite acceso al Firebox. Cuando inicia
sesión con esta frase de contraseña, puede revisar su configuración, pero no puede guardar los
cambios en el Firebox. La frase de contraseña de estado está asociada al estado del nombre de
usuario.
La frase de contraseña o contraseña de sólo lectura que permite a un administrador tener acceso
pleno al Firebox. Debe utilizar esta frase de contraseña para guardar los cambios de configuración
en el Firebox. Ésta es también la frase de contraseña que debe utilizar para cambiar sus frases de
contraseña de Firebox. La frase de contraseña de configuración está asociada al nombre de usuario
del administrador.
Cada una de estas frase de contraseña de Firebox debe tener al menos ocho caracteres.
Una vez que configura esta frase de contraseña de usuario, los caracteres se enmascaran y la frase
de contraseña no vuelve a aparecer en texto simple. Si se pierde la frase de contraseña, debe
configurar una nueva frase de contraseña. El rango permitido para esta frase de contraseña es de
entre ocho y 32 caracteres.
Una vez que configura esta frase de contraseña de usuario, no vuelve a aparecer en el cuadro de
diálogo Propiedades de usuario y de grupo. Si se pierde la frase de contraseña, debe configurar una
nueva frase de contraseña. Esta frase de contraseña debe tener al menos ocho caracteres.
La frase de contraseña del administrador se utiliza para controlar el acceso a WatchGuard Server
Center. También puede utilizar esta frase de contraseña cuando se conecta a su Management Server
desde WatchGuard System Manager (WSM). Esta frase de contraseña debe tener al menos ocho
caracteres. La frase de contraseña del administrador está relacionada con la admin del nombre de
usuario.
El secreto compartido es la clave que Firebox y el servidor de autenticación utilizan para asegurar la
información de autenticación que se transfiere entre ellos. El secreto compartido distingue
mayúsculas de minúsculas y debe ser el mismo en Firebox que en el servidor de autenticación. Los
servidores RADIUS, SecurID y VASCO utilizan una clave compartida.
La clave de cifrado se utiliza para crear una conexión segura entre Firebox y los Log Servers, y para
evitar ataques “man-in-the-middle” (o de intrusos). El rango permitido para la clave de cifrado es de
8 a 32 caracteres. Puede usar todos los caracteres, excepto los espacios o barras diagonales o
invertidas (/ o \).
Ésta es la clave de cifrado que usted crea para cifrar un archivo de respaldo de su configuración de
Firebox. Al restablecer un archivo de respaldo, utilice la clave de cifrado que seleccionó cuando
creó el archivo de respaldo de configuración. Si pierde o olvida la clave de cifrado, no puede
restaurar el archivo de copia de seguridad. La clave de cifrado debe tener al menos ocho caracteres
y no puede tener más de 15 caracteres.
La clave compartida es una contraseña utilizada por dos dispositivos para cifrar y descifrar los datos
que pasan a través del túnel. Los dos dispositivos usan la misma frase de contraseña. Si los
dispositivos no tienen la misma frase de contraseña, no pueden encriptar o descifrar los datos
correctamente.
La frase de contraseña o contraseña de sólo lectura que permite a un administrador tener acceso
pleno al Firebox.
Para obtener más información acerca de las frases de contraseña, vea Acerca de las frases de contraseña,
claves de cifrado y claves compartidas de WatchGuard en la página 64.
66 Fireware XTM Web UI
Información básica sobre configuración y administración
2. Ingrese y confirme las frases de contraseña de nuevo estado (sólo lectura) y confirmación
(lectura/escritura). La frase de contraseña de estado debe ser diferente de la frase de contraseña de
configuración.
3. Haga clic en Guardar.
2. Configure las diferentes categorías de las configuraciones globales como se describe en las
siguientes secciones.
3. Haga clic en Guardar.
El Firebox envía un mensaje de error ICMP cada vez que ocurre un evento que coincide con uno de los
parámetros seleccionados. Estos mensajes son herramientas convenientes para utilizar cuando se
resuelven problemas, pero también pueden reducir la seguridad porque exponen información acerca de la
red. Si el usuario rechaza estos mensajes ICMP, puede aumentar la seguridad al impedir los sondeos de red,
pero esto también puede generar demoras del tiempo de espera para conexiones incompletas, lo cual
puede causar problemas en las aplicaciones.
68 Fireware XTM Web UI
Información básica sobre configuración y administración
Seleccione esta casilla de verificación para permitir los mensajes "Se requiere fragmentación" de
ICMP. El Firebox utiliza estos mensajes para encontrar la ruta MTU.
Tiempo excedido
Seleccione esta casilla de verificación para permitir mensajes de "Tiempo excedido" de ICMP. Un
enrutador en general envía estos mensajes cuando ocurre un bucle en la ruta.
Seleccione esta casilla de verificación para permitir mensajes "No se puede alcanzar la red" de
ICMP. Un enrutador en general envía estos mensajes cuando un enlace de red está roto.
Seleccione esta casilla de verificación para permitir mensajes "No se puede alcanzar el host" de
ICMP. La red en general envía estos mensajes cuando no puede utilizar un host o servicio.
Seleccione esta casilla de verificación para permitir mensajes "No se puede alcanzar el puerto" de
ICMP. Un host o firewall en general envía estos mensajes cuando un servicio de red no está
disponible o no está permitido.
Seleccione esta casilla de verificación para permitir mensajes "No se puede alcanzar el protocolo"
de ICMP.
Para anular estas configuraciones globales de ICMP para una política específica: Fireware XTM Web UI:
Ajuste automático
El dispositivo Firebox o XTM examina todas las negociaciones de tamaño máximo del segmento
(MSS) y cambia el valor de MSS al correspondiente.
Sin ajustes
Limitar a
Seleccione la casilla de verificación Activar todas las funciones de administración de tráfico y QoS.
Desmarque la casilla de verificación Activar todas las funciones de administración de tráfico y QoS.
Reinicio automático
Puede programar el dispositivo Firebox o XTM para que se reinicie automáticamente en el día y la hora
especificados.
70 Fireware XTM Web UI
Información básica sobre configuración y administración
Consola externa
Esta opción sólo está disponible para los dispositivos y configuraciones Firebox X Edge. Seleccione esta
casilla de verificación para usar el puerto serie para conexiones de consola, como la CLI (interfaz de línea
de comandos) del Fireware XTM. El puerto serie no puede usarse para conmutación por error de módem
cuando esta opción está seleccionada y es necesario reiniciar el dispositivo para cambiar esta configuración.
Cuando utiliza Fireware XTM Web UI para administrar su Firebox o dispositivos XTM, también puede elegir
utilizar los servidores WatchGuard System Manager y WatchGuard Server Center. Para obtener más
información sobre WatchGuard System Manager, los servidores WatchGuard System Manager y
WatchGuard Server Center, consulte Ayuda de Fireware XTM WatchGuard System Manager v11.x y la Guía
de usuario de WatchGuard System Manager v11.x de Fireware XTM.
n Management Server
n Log Server
n Report Server
n Quarantine Server
n WebBlocker Server
Para obtener más información sobre WatchGuard System Manager y los servidores WatchGuard, consulte
Ayuda de Fireware XTM WatchGuard System Manager v11.x o la Guía de usuario v11.x.
Management Server
El Management Server funciona en un equipo Windows. Con este servidor, puede manejar todos los
dispositivos firewall y crear túneles de red privada virtual (VPN) con sólo arrastrar y soltar. Las
funciones básicas del Management Server son:
n Autoridad de certificación para distribuir certificados para túneles de seguridad del protocolo
de Internet (IPSec).
Para obtener más información acerca del Management Server, consulte Acerca del WatchGuard
Management Server la Ayuda de Fireware XTM WatchGuard System Manager v11.x o la Guía de
usuario v11.x..
Log Server
El Log Servers recopila mensajes de registro para cada dispositivo Firebox y XTM, y los guarda en una
base de datos PostgreSQL. Los mensajes de registro se cifran cuando se envían al Log Servers. El
formato del mensaje de registro es XML (texto sin formato). Los tipos de mensajes de registro que el
Log Servers recopila incluyen mensajes de registro de tráfico, mensajes de registro de eventos,
alarmas y mensajes de diagnóstico.
Para obtener más información sobre los Log Servers, consulte la Ayuda de Fireware XTM
WatchGuard System Manager v11.x o la Guía de usuario v11.x..
Report Server
El Report Server agrupa periódicamente los datos recopilados por sus Log Server desde sus
dispositivos Firebox y XTM, y los almacena en una base de datos PostgreSQL. El Report Server luego
genera los reportes que usted especifica. Cuando los datos se encuentran en el Report Server,
puede revisarlos con el Report Manager o la Web UI (interfaz de usuario) de reporte.
Para obtener más información acerca de cómo utilizar la Reporting Web UI, consulte la Ayuda de la
Reporting Web UI.
Para obtener más información sobre el Report Server, consulte la Ayuda de Fireware XTM
WatchGuard System Manager v11.x o la Guía de usuario v11.x.
Quarantine Server
El Quarantine Server recopila y aísla mensajes de correo electrónico que spamBlocker identifica
como posible spam.
Para obtener más información sobre el Quarantine Server, consulte Página Acerca de Quarantine
Server en la página 635.
WebBlocker Server
El WebBlocker Server funciona con el proxy HTTP para denegar el acceso de usuario a categorías
especificadas de sitios web. Cuando configura Firebox, establece las categorías de sitio web que
desea permitir o bloquear.
Para obtener más información sobre WebBlocker y el WebBlocker Server, consulte Acerca de las
WebBlocker en la página 561.
72 Fireware XTM Web UI
Información básica sobre configuración y administración
La política WatchGuard controla el acceso al Firebox en esos cuatro puertos TCP: 4103, 4105, 4117, 4118.
Cuando permite las conexiones en la política WatchGuard, permite las conexiones a cada uno de esos
cuatro puertos.
Antes de modificar la política WatchGuard, recomendamos que considere conectarse al Firebox con una
VPN. Eso aumenta enormemente la seguridad de la conexión. Caso no sea posible, recomendamos que
permita el acceso desde la red externa sólo a determinados usuarios autorizados y al número de equipos
más pequeño posible. Por ejemplo, su configuración es más segura si permite conexiones desde un equipo
simple en vez de desde el alias "Cualquier-externo".
4. Agregar la dirección del equipo externo que se conecta al Firebox: en la lista desplegable Tipo de
miembro, seleccione IP del host, y haga clic en Aceptar. Después, ingrese la dirección IP.
5. Si desea otorgar acceso a un usuario autorizado en la lista desplegable Tipo de miembro seleccione
Alias.
Para obtener información sobre cómo crear un alias, vea Crear un alias en la página 258.
74 Fireware XTM Web UI
Información básica sobre configuración y administración
Ahora puede agregar el dispositivo a la Management Server configuration. Cuando agrega ese Firebox a la
Management Server configuration, éste automáticamente se conecta a la dirección IP estática y configura el
Firebox como un cliente Firebox administrado.
76 Fireware XTM Web UI
Información básica sobre configuración y administración
Ese nombre distingue mayúsculas de minúsculas y debe coincidir con el nombre usado al agregar el
dispositivo a la Management Server configuration.
4. En la ventana Dirección(es) IP del Management Server , seleccione la dirección IP del Management
Server caso tenga una dirección IP pública.
O seleccione la dirección IP pública del Firebox de puerta de enlace para el Management Server.
5. Para agregar una dirección, haga clic en Agregar.
El Firebox que protege el Management Server automáticamente monitorea todos los puertos
usados por el Management Server y envía cualquier conexión de esos puertos hacia el Management
Server configurado. Cuando usa el Management Server Setup Wizard, el Asistente añade una política
WG-Mgmt-Server a su configuración para cuidar de esas conexiones. Si no usó el Management
Server Setup Wizard en el Management Server o si saltó el paso Firebox de Puerta de Enlace en el
asistente, debe añadir manualmente la política WG-Mgmt-Server a la configuración de su Firebox de
puerta de enlace.
6. En los campos Shared Secret y Confirmar, ingrese el secreto compartido.
El secreto compartido ingresado aquí debe coincidir con aquél ingresado al agregar el Firebox a la
Management Server configuration.
7. Copie el texto de su archivo de certificado CA del Management Server, y péguelo en el campo
Certificado de Management Server.
8. Haga clic Guardar.
Cuando guarda la configuración en el Firebox, éste queda activado como dispositivo administrado. El
Firebox administrado intenta conectarse a la dirección IP del Management Server en el puerto TCP 4110.
Las conexiones de administración no son permitidas a partir del Management Server para este dispositivo
Firebox.
Ahora puede agregar el dispositivo a la Management Server configuration. Para obtener más información
acerca de la Ayuda del WatchGuard System Manager o Guía del usuario.
También puede usar el WSM para configurar el modo de administración de su dispositivo. Para obtener más
información acerca de la Ayuda del WatchGuard System Manager o Guía del usuario.
2. Inicie el archivo descargado desde el sitio web de LiveSecurity y use el procedimiento en pantalla
para instalar el archivo de actualización del Fireware XTM en el directorio de instalación de
WatchGuard en su equipo de administración.
Por defecto, el archivo es instalado en una carpeta en:
C:\Program Files\Common Files\WatchGuard\resources\FirewareXTM\11.0
Actualizar el Firebox
1. Seleccione Sistema > Imagen de copia de seguridad para guardar una imagen de copia de
seguridad de su Firebox.
Para más informaciones, vea Hacer una copia de seguridad de la imagen de Firebox en la página 41.
2. Seleccione Sistema > Actualizar OS.
3. Ingrese el nombre de archivo o haga clic en Examinar para seleccionar el archivo de actualización
desde el directorio en el que está instalado.
El nombre del archivo termina con .sysa_dl.
4. Haga clic en Actualizar.
Si su dispositivo WatchGuard estuvo funcionando por algún tiempo antes de la actualización, puede ser
necesario reiniciar el dispositivo antes de iniciar la actualización, para que se limpie la memoria temporal.
El archivo de configuración es guardado en un archivo en formato comprimido (.gz). Antes que pueda usar
ese archivo con el Policy Manager de Fireware XTM, debe extraer el archivo zipeado hacia una carpeta en
su equipo.
Para obtener más información acerca del Policy Manager, vea la Ayuda del WatchGuard System Manager.
78 Fireware XTM Web UI
6 Configuración de red
El dispositivo WatchGuard separa físicamente a las redes en la red de área local (LAN) de las que se
encuentran en la red de área ancha (WAN) como Internet. El dispositivo utiliza enrutamiento para enviar
paquetes desde las redes que protege a redes fuera de la organización. Para hacerlo, el dispositivo debe
conocer qué redes están conectadas en cada interfaz.
Recomendamos registrar la información básica acerca de la configuración de red y VPN en caso de que
necesite contactar a soporte técnico. Esta información puede ayudar al técnico a resolver su problema con
rapidez.
Modos de red
El dispositivo WatchGuard admite varios modos de red:
En el modo de enrutamiento combinado, se puede configurar Firebox para que envíe tráfico de red
entre una amplia variedad de interfaces de red física y virtual. Éste es el modo de red
predeterminado y ofrece la mayor flexibilidad para diferentes configuraciones de red. Sin embargo,
cada interfaz debe configurarse por separado y es posible que deba cambiarse la configuración de
red para cada computadora o cliente protegido por Firebox. Firebox utiliza la traducción de
dirección de red (NAT) para enviar información entre interfaces de red.
Para obtener más información, consulte Acerca de la Traducción de dirección de red (NAT) en la
página 137.
n Todas las interfaces del dispositivo WatchGuard deben configurarse en diferentes subnet. La
configuración mínima incluye a las interfaces externas y de confianza. También puede
configurar una o más interfaces opcionales.
n Todas las computadoras conectadas a las interfaces opcionales y de confianza deben tener una
dirección IP de esa red.
Modo directo
En una configuración directa, el dispositivo WatchGuard está configurado con la misma dirección IP
en todas las interfaces. Puede colocar el dispositivo WatchGuard entre el enrutador y la LAN y no
será necesario cambiar la configuración de ninguna computadora local. Esta configuración se
conoce como modo directo porque el dispositivo WatchGuard se coloca en una red existente.
Algunas funciones de red, como puentes y VLAN ( redes virtuales de área local) no están disponibles
en este modo.
Para más informaciones, vea Acerca de la configuración de red en modo directo en la página 89.
Modo puente
El modo puente es una función que permite ubicar al dispositivo WatchGuard entre una red
existente y su puerta de enlace para filtrar o administrar el tráfico de red. Cuando se activa esta
función, el dispositivo WatchGuard procesa y reenvía todo el tráfico de red entrante a la gateway IP
address especificada. Cuando el tráfico llega a la puerta de enlace, parece haber sido enviado desde
el dispositivo original. En esta configuración, el dispositivo WatchGuard no puede realizar varias
funciones que requieren una dirección IP pública y única. Por ejemplo, no se puede configurar un
dispositivo WatchGuard en modo puente para que funcione como extremo para una VPN (red
privada virtual).
Tipos de interfaz
Se utilizan tres tipos de interfaz para configurar la red en enrutamiento combinado o modo directo:
Interfaces externas
Una interfaz externa se usa para conectar el dispositivo WatchGuard a una red fuera de la
organización. Con frecuencia, una interfaz externa es el método mediante el cual se conecta Firebox
a Internet. Se puede configurar un máximo de cuatro (4) interfaces externas físicas.
80 Fireware XTM Web UI
Configuración de red
Cuando se configura una interfaz externa, se debe elegir el método que usa el proveedor de
servicios de Internet (ISP) para otorgar una dirección IP a su Firebox. Si no conoce el método, solicite
esta información a su ISP o administrador de red.
Interfaces de confianza
Las interfaces de confianza se conectan a la LAN (red de área local) privada o a la red interna de la
organización. Una interfaz de confianza en general provee conexiones a los empleados y recursos
internos seguros.
Interfaces opcionales
Las interfaces opcionales son entornos combinados-de confianza o DMZ que están separados de la
red de confianza. Ejemplos de computadoras que a menudo se encuentran en una interfaz opcional
son los servidores web públicos, servidores FTP y servidores de correo electrónico.
Para obtener más información sobre tipos de interfaz, consulte Configuraciones de interfaz comunes en la
página 95.
Si tiene un Firebox X Edge, puede utilizar la interfaz de usuario web de Firebox XTM para configurar la
conmutación por error con un módem externo en el puerto serie.
Para más informaciones, vea Conmutación por error de módem serie en la página 128.
Cuando se configuran las interfaces en el dispositivo WatchGuard, se debe utilizar notación diagonal para
indicar la subnet mask. Por ejemplo, se ingresa el rango de red 192.168.0.0 subnet mask 255.255.255.0
como 192.168.0.0/24. Una interfaz de confianza con la dirección IP de 10.0.1.1/16 tiene una subnet mask
de 255.255.0.0.
Para obtener más información sobre notación diagonal, consulte Acerca de las Notación diagonal en la
página 3.
Número de
Etiqueta de interfaz en el hardware de Firebox X Edge e-
interfaz en
Series
Fireware XTM
0 WAN 1
2 WAN 2
3 Op
Las interfaces con etiqueta LAN 0, LAN 1 y LAN 2 pueden considerarse como un concentrador de red de
tres interfaces que se conecta a una única interfaz de Firebox. En Fireware XTM, estas interfaces se
configuran juntas como Interfaz 1.
Una configuración de red básica en el modo de enrutamiento combinado utiliza por lo menos dos
interfaces. Por ejemplo, puede conectar una interfaz externa a un módem por cable u otra conexión a
Internet y una interfaz de confianza a un enrutador interno que conecta a miembros internos de la
organización. En esa configuración básica, puede agregar una red opcional que protege a los servidores
pero permite un mayor acceso desde redes externas, configurar VLAN y otras funciones avanzadas o
configurar opciones de seguridad adicionales como restricciones de dirección MAC. También puede definir
el modo en que el tráfico de red se envía entre las interfaces.
En el modo de enrutamiento combinado es fácil olvidar las direcciones IP y puntos de conexión en la red ,
especialmente si se usan VLAN (redes virtuales de área local), secondary networks y otras funciones
avanzadas. Recomendamos registrar la información básica acerca de la configuración de red y VPN en caso
de que necesite contactar a soporte técnico. Esta información puede ayudar al técnico a resolver su
problema con rapidez.
Cuando se configura una interfaz externa, se debe elegir el método que usa el proveedor de servicios de
Internet (ISP) para otorgar una dirección IP a su dispositivo. Si no conoce el método, solicite esta
información a su ISP o administrador de red.
Para obtener información acerca de los métodos utilizados para configurar y distribuir direcciones IP,
consulte estáticas y dinámicas Direcciones IP en la página 4.
82 Fireware XTM Web UI
Configuración de red
7. Haga clic en Configuración avanzada de PPPoE para configurar opciones de PPPoE adicionales.
El ISP puede informarle si debe cambiar los valores de tiempo de espera o LCP.
8. Si el ISP requiere la etiqueta de host único para paquetes de descubrimiento de PPPoE, seleccione
la casilla de verificación Utilizar etiqueta de host único en paquetes de descubrimiento de PPPoE.
9. Seleccionar cuándo el dispositivo se conecta al servidor PPPoE:
n Siempre activo: el dispositivo Firebox o XTM mantiene una conexión PPPoE constante. No es
necesario para el tráfico de red atravesar la interfaz externa.
n Marcar a demanda: el dispositivo Firebox o XTM se conecta al servidor PPPoE sólo cuando
recibe una solicitud de enviar tráfico a una dirección IP en la interfaz externa. Si el ISP
restablece la conexión en forma regular, seleccione esta opción.
10. En el cuadro de texto Falla en eco de LCP en , ingrese o seleccione el número de solicitudes de eco
de LCP permitidas antes de que la conexión PPPoE se considere inactiva y se cierre.
11. En el cuadro de texto Tiempo de espera del eco de LCP en , ingrese o seleccione la cantidad de
tiempo, en segundos, en la que debe recibirse la respuesta a cada tiempo de espera del eco.
12. Para configurar el dispositivo Firebox o XTM para que reinicie automáticamente la conexión PPPoE
en forma diaria o semanal, seleccione la casilla de verificación Programar tiempo para reinicio
automático.
84 Fireware XTM Web UI
Configuración de red
13. En la lista desplegable Programar tiempo para reinicio automático, seleccione Diario para reiniciar
la conexión al mismo tiempo cada día o seleccione un día de la semana para un reinicio semanal.
Seleccione la hora y minutos del día (en formato de 24 horas) para reiniciar automáticamente la
conexión PPPoE.
14. En el cuadro de texto Nombre del servicio , ingrese un nombre del servicio PPPoE.
Las opciones son el nombre del ISP o una clase de servicio que esté configurada en el servidor
PPPoE. En general, esta opción no se usa. Selecciónela sólo si hay más de un concentrador de
acceso o si sabe que debe utilizar un nombre de servicio específico.
15. En el cuadro de texto Nombre del concentrador de acceso , ingrese el nombre de un concentrador
de acceso PPPoE, conocido también como servidor PPPoE. En general, esta opción no se usa.
Seleccione esta opción sólo si sabe que hay más de un concentrador de acceso.
16. En el cuadro de texto Reintentos de autenticación , ingrese o seleccione el número de veces que
el dispositivo Firebox o XTM puede intentar realizar una conexión.
El valor predeterminado es de tres (3) intentos de conexión.
17. En el cuadro de texto Tiempo de espera de autenticación , ingrese un valor para la cantidad de
tiempo entre los reintentos.
El valor predeterminado es 20 segundos entre cada intento de conexión.
18. Haga clic en Volver a las configuraciones principales de PPPoE.
19. Guarde su configuración.
Usar DHCP
1. En la lista desplegable Modo configuración , seleccione DHCP.
2. Si el ISP o el servidor DHCO externo requiere un identificador de cliente, como una dirección MAC,
ingrese esta información en el cuadro de texto Cliente .
3. Para especificar un nombre de hostpara identificación,ingréselo enel cuadrode textoNombre dehost .
4. Para asignar una dirección IP en forma manual a la interfaz externa, ingrésela en el cuadro de texto
Utilizar esta dirección IP .
Para configurar esta interfaz para que obtenga una dirección IP automáticamente, desmarque el
cuadro de texto Utilizar esta dirección IP.
5. Para cambiar el tiempo de concesión, seleccione la casilla de verificación Tiempo de concesión y
seleccione el valor deseado en la lista desplegable adyacente.
Las direcciones IP que asigna un servidor DHCP tienen un tiempo de concesión predeterminado de
un día; cada dirección es válida por un día.
Si el dispositivo WatchGuard está configurado en modo directo, consulte Configurar DHCP en modo directo
en la página 91.
Configurar DHCP
1. Seleccione Interfaces de> red.
2. Seleccione una interfaz de confianza u opcional. Haga clic en Configurar.
86 Fireware XTM Web UI
Configuración de red
4. Para agregar un grupo de direcciones IP para asignar usuarios en esta interfaz, ingrese una dirección
IP de inicio y una dirección IP de finalización desde la misma subnet, luego haga clic en Agregar.
El grupo de direcciones debe pertenecer ya sea a la subnet IP principal o secundaria de la interfaz.
Se puede configurar un máximo de seis rangos de direcciones. Los grupos de direcciones se usan desde el
primero al último. Las direcciones en cada grupo se asignan por número, de menor a mayor.
5. Para cambiar el tiempo de concesión predeterminado, seleccione una opción diferente en la lista
desplegable Tiempo de concesión.
Es el intervalo de tiempo en el que un cliente DHCP puede usar una dirección IP que recibe del servidor DHCP.
Cuando el tiempo de concesión se está por agotar, el cliente envía datos al servidor DHCP para obtener una
nueva concesión.
6. De manera predeterminada, cuando el dispositivo WatchGuard está configurado como servidor
DHCP, revela la información del servidor DNS y WINS configurada en la pestaña Configuración de
red > WINS/DNS. Para especificar información diferente para que el dispositivo asigne cuando
revela las direcciones IP, haga clic en ,pestaña DNS/WINS..
1. Ingrese un nombre para la reserva, la dirección IP que desea reservar y la dirección MAC de la
tarjeta de red del cliente.
Para obtener más información sobre el servicio DNS dinámico o para crear una cuenta DynDNS, ingrese en
http://www.dyndns.com.
88 Fireware XTM Web UI
Configuración de red
n dyndns; envía actualizaciones para un nombre de host DNS dinámico. Use la opción dyndns
cuando no tenga control sobre la dirección IP (por ejemplo, no es estática y cambia en forma
regular).
n custom; envía actualizaciones para un nombre de host DNS personalizado. Las empresas que
pagan para registrar sus dominios en dyndns.com utilizan con frecuencia esta opción.
Para acceder a una explicación de cada opción, consulte http://www.dyndns.com/services/.
8. En el campo Opciones, ingrese una o más de estas opciones:
n mx=mailexchanger& ; especifica un Mail eXchanger (MX) para usar con el nombre de host.
n backmx=YES|NO& ; solicita que el MX en el parámetro anterior esté configurado como MX de
copia de seguridad (incluye al host como MX con un valor de preferencia menor).
n wildcard=ON|OFF|NOCHG& ; activa o desactiva comodines para este host (ON [encendido] para
activar).
n offline=YES|NO ; establece al nombre de host en modo desconectado. Pueden enlazarse una
o más opciones con el signo &. Por ejemplo:
&mx=backup.kunstlerandsons.com&backmx=YES&wildcard=ON
En modo directo:
n Se debe asignar la misma dirección IP principal a todas las interfaces en Firebox (externa, de
confianza y opcional).
n Pueden asignarse secondary networks en cualquier interfaz.
n Lasmismas direccionesIP ypuertas de enlace predeterminadaspueden mantenerse para loshost enlas
redesde confianzay opcionales,y se puede agregar una direcciónde secondarynetwork ala interfaz
externaprincipal paraque Fireboxpueda enviar tráfico correctamente a loshost de estas redes.
n Los servidores públicos detrás de Firebox pueden continuar utilizando las direcciones IP públicas. La
traducción de dirección de red (NAT) no se utiliza para enrutar tráfico desde el exterior de la red
hacia los servidores públicos.
En algunas ocasiones es necesario Limpiar caché de ARP de cada computadora protegida por Firebox, pero
esto no es frecuente.
Nota Si se mueve una dirección IP de una computadora que se encuentra detrás de una
interfaz a una computadora que se encuentra detrás de una interfaz diferente,
pueden transcurrir varios minutos antes de que el tráfico de red se envíe a la nueva
ubicación. Firebox debe actualizar su tabla de enrutamiento interna antes de que
este tráfico pueda circular. Los tipos de tráfico que se ven afectados incluyen
registro, SNMP y conexiones de administración de Firebox.
Las interfaces de red pueden configurarse en modo directo cuando se ejecuta el Quick Setup Wizard. Si ya
ha creado una configuración de red, puede usar el Policy Manager para cambiar al modo directo.
Para más informaciones, vea Ejecutar el Web Setup Wizard en la página 24.
90 Fireware XTM Web UI
Configuración de red
3. Desmarque la casilla de verificación para cualquier interfaz en la que desee agregar una entrada de
host relacionado.
4. En el cuadro de texto Host, ingrese la dirección IP del dispositivo para el cual desea construir una
ruta estática desde Firebox. Seleccione la Interfaz en la lista desplegable adyacente y luego haga clic
en Agregar. Repita este paso para agregar otros dispositivos.
Usar DHCP
De manera predeterminada, Firebox revela la información de configuración del servidor DNS/WINS cuando
está configurado como servidor DHCP. La información DNS/WINS de esta página puede configurarse para
anular la configuración global. Para obtener más información, consulte las instrucciones en Agregar
servidores WINS y Direcciones del servidor DNS en la página 98.
4. Para agregar un grupo de direcciones desde el cual Firebox puede entregar direcciones IP: en los
cuadros de texto IP de inicio e IP de finalización, ingrese un rango de direcciones IP que se
encuentren en la misma subnet que la dirección IP directa. Haga clic en Agregar.
Repita este paso para agregar más grupos de direcciones.
Se puede configurar un máximo de seis grupos de direcciones.
92 Fireware XTM Web UI
Configuración de red
5. Para reservar una dirección IP específica de un grupo de direcciones para un dispositivo o cliente,
en la sección Direcciones reservadas:
4. Ingrese la dirección IP del servidor DHCP en el campo relacionado. Asegúrese de Agregue una ruta
estática al servidor DHCP, si es necesario.
5. Haga clic en Guardar. Haga clic en Guardar nuevamente.
Puede especificar una configuración DHCP diferente para cada interfaz opcional o de confianza en su
configuración. Para modificar estas configuraciones:
Para desactivar DHCP para clientes en esa interfaz de red, seleccione Desactivar DHCP.
Para configurar diferentes opciones de DHCP para clientes en una secondary network, seleccione
Utilizar servidor DHCP para secondary network.
5. Para agregar grupos de direcciones IP , configurar el tiempo de concesión predeterminado y
administrar servidores DNS/WINS, complete los Pasos 3-6 de la sección Utilizar DHCP.
6. Haga clic en OK.
Modo Bridge
El modo Bridge es una función que le permite instalar su dispositivo Firebox o XTM entre una red existente
y su puerta de enlace para filtrar o administrar el tráfico de red. Cuando se activa esta función, el dispositivo
Firebox o XTM procesa y reenvía todo el tráfico de red a otros dispositivos de la puerta de enlace. Cuando el
tráfico llega a la puerta de enlace desde el dispositivo Firebox o XTM, parece haber sido enviado desde el
dispositivo original.
Para utilizar el modo Bridge, debe especificar una dirección IP utilizada para administrar el dispositivo
Firebox o XTM. El dispositivo también utiliza esta dirección IP para obtener actualizaciones para el Gateway
Antivirus/IPS y para generar rutas a servidores DNS, NTP o WebBlocker internos según sea necesario.
Debido a esto, asegúrese de asignar una dirección IP que pueda enrutarse por Internet.
Cuando utiliza el modo Bridge, el dispositivo Firebox o XTM no puede completar algunas funciones que
requieren que el dispositivo funcione como puerta de enlace. Estas funciones incluyen:
n WAN múltiple
n VLAN (redes virtuales de área local)
n Puentes de red
n Rutas estáticas
n FireCluster
n Secondary networks
n Servidor DHCP o retransmisión DHCP
n Conmutación por error de módem serial (Firebox X Edge únicamente)
n 1 a 1 NAT, dinámica o estática
n Enrutamiento dinámico (OSPF, BGP o RIP)
n Cualquier tipo de VPN para la cual el dispositivo Firebox o XTM sea un extremo o puerta de enlace
n Algunas funciones proxy, incluido el Servidor de caché de Internet HTTP
Si ya ha configurado estas funciones o estos servicios, se desactivarán cuando cambie a modo Bridge. Para
utilizar estas funciones o servicios nuevamente, debe usar un modo de red diferente. Si vuelve al modo de
enrutamiento combinado o directo, es posible que deba configurar algunas funciones nuevamente.
Nota Cuando se activa el modo Bridge, se desactiva cualquier interfaz con un puente de
red o VLAN configurado previamente. Para utilizar esas interfaces, primero debe
cambiar a modo de enrutamiento combinado o directo y configurar la interfaz
como externa, opcional o de confianza y luego volver al modo Bridge. Las
funciones inalámbricas de los dispositivos inalámbricos Firebox o XTM funcionan
correctamente en el modo Bridge.
94 Fireware XTM Web UI
Configuración de red
3. Si se le indica que desactive las interfaces, haga clic en Sí para desactivar las interfaces o en No para
volver a la configuración anterior.
4. Ingrese la dirección IP del dispositivo Firebox o XTM en notación diagonal.
Para obtener más información sobre notación diagonal, consulte Acerca de las Notación diagonal
en la página 3.
5. Ingrese la dirección IP de puerta de enlace que recibe todo el tráfico de red desde el dispositivo.
6. Haga clic en Guardar.
2. Seleccione la interfaz que desea configurar y después haga clic en Configurar. Las opciones
disponibles dependen del tipo de interfaz seleccionada.
Aparece el cuadro de diálogo de interfaz Configuración.
n Para obtener más información acerca de cómo asignar una dirección IP a una interfaz externa,
consulte Configurar una interfaz externa en la página 82. Para configurar la dirección IP de una
interfaz de confianza u opcional, ingrese la dirección IP en notación diagonal.
n Para asignar direcciones IP en forma automática a clientes en una interfaz de confianza u
opcional, consulte Configurar el DHCP en modo de enrutamiento mixto en la página 86 o
Configurar retransmisión de DHCP en la página 97.
n Para usar más de una dirección IP en una única interfaz de red física, consulte Configurar una
secondary network en la página 99.
n Para obtener más información acerca de configuraciones LAN, consulte Acerca de redes
virtuales de área local (VLAN) en la página 108.
n Para quitar una interfaz de su configuración, consulte Desactivar una interfaz en la página 96.
6. Configure la interfaz como se describe en uno de los temas anteriores.
7. Haga clic en Guardar.
96 Fireware XTM Web UI
Configuración de red
En el cuadro de diálogo Configuración de red, el tipo de interfaz ahora aparece como Desactivada.
Si el servidor DHCP que desea utilizar no se encuentra en una red protegida por el dispositivo WatchGuard,
debe configurar un túnel VPN entre el dispositivo WatchGuard y el servidor DHCP para que esta función
opere correctamente.
Esta función es especialmente útil para prevenir cualquier acceso no autorizado a la red desde una
ubicación dentro de su oficina. Sin embargo, se debe actualizar la lista de control de acceso MAC para cada
interfaz cuando se agrega a la red una nueva computadora autorizada.
Nota Si decide restringir el acceso mediante la dirección MAC, debe incluir la dirección
MAC de la computadora que usa para administrar el dispositivo WatchGuard.
2. Seleccione la interfaz en la que desea activar el control de acceso MAC y luego haga clic en
Configurar.
Aparece la página Configuración de interfaz.
3. Seleccione la pestaña Control de acceso MAC.
n El Firebox utiliza el servidor DNS para resolver nombres con las direcciones IP de las VPN de IPSec y
para que las funciones spamBlocker, antivirus (AV) de puerta de enlace e IPS funcionen
correctamente.
n Los usuarios de Mobile VPN y los clientes DHCP utilizan las entradas de WINS y DNS en las redes de
confianza o en las redes opcionales para resolver las consultas de DNS.
Asegúrese de utilizar sólo un servidor WINS y DNS interno para DHCP y Mobile VPN. Esto ayuda a garantizar
que no se creen políticas con propiedades de configuración que impidan a los usuarios conectarse con el
servidor DNS.
98 Fireware XTM Web UI
Configuración de red
3. En el cuadro de texto Servidor DNS o Servidor WINS, ingrese las direcciones principal y secundaria
para cada servidor WINS y DNS.
4. Haga clic en Agregar.
5. Repita los pasos 3 al 4 para especificar hasta tres servidores DNS.
6. (Opcional) En el cuadro de texto Domain name, ingrese un domain name para que un cliente DHCP
use con nombres no calificados como watchguard_mail.
Por ejemplo, si configura un dispositivo Firebox o XTM en modo Drop-in, le otorga a cada interfaz del
dispositivo Firebox o XTM la misma dirección IP. Sin embargo, probablemente use un conjunto de
direcciones IP diferente en su red de confianza. Puede agregar esta red privada como secondary network a
la interfaz de confianza del dispositivo Firebox o XTM. Cuando se agrega una secondary network, se crea
una ruta desde una dirección IP en la secondary network a la dirección IP de la interfaz del dispositivo
Firebox o XTM.
Si su dispositivo Firebox o XTM está configurado con una dirección IP estática, puede agregar una dirección
IP en la misma subnet que la interfaz externa principal como secondary network. Luego se puede
configurar NAT estática para más de un tipo de servidor igual. Por ejemplo, configure una secondary
network externa con una segunda dirección IP pública si tiene dos servidores SMTP públicos y desea
configurar una regla NAT estática para cada uno.
Puede agregar hasta 2048 secondary networks por interfaz del dispositivo Firebox o XTM. Puede utilizar
secondary networks con una configuración de red directa o enrutada. También puede agregar una
secondary network a una interfaz externa de un dispositivo Firebox o XTM si la interfaz externa está
configurada para obtener su dirección IP a través de PPPoE o DHCP.
n Una dirección IP sin utilizar en la secondary network para asignársela a la interfaz del dispositivo
Firebox o XTM.
n Una dirección IP sin utilizar en la misma red que la interfaz externa del dispositivo Firebox o XTM.
Establece la velocidad y los parámetros dobles para las interfaces de Firebox en configuración
automática o manual. Recomendamos mantener la velocidad de enlace configurada para
negociación automática. Si usa la opción de configuración manual, debe asegurarse de que el
dispositivo al que se conecta Firebox también esté manualmente configurado a la misma velocidad y
parámetros dobles que Firebox. Utilice la opción de configuración manual sólo cuando deba anular
los parámetros de interfaz automáticos de Firebox para operar con otros dispositivos en la red.
Cuando utiliza configuraciones de administración de tráfico para garantizar ancho de banda a las
políticas, esta configuración verifica que no se garantice más ancho de banda del que efectivamente
existe para una interfaz. Esta configuración ayuda a asegurar que la suma de configuraciones de
ancho de banda garantizado no complete el enlace de manera tal que el tráfico no garantizado no
pueda circular.
Crea diferentes clasificaciones de servicio para distintos tipos de tráfico de red. Puede establecer el
comportamiento de marcado predeterminado a medida que el tráfico sale de una interfaz. Estas
configuraciones pueden ser anuladas por las configuraciones definidas para una política.
Utiliza direcciones de hardware (MAC) de la computadora para controlar el acceso a una interfaz de
Firebox.
5. En el cuadro de texto Unidad Máxima de Transmisión (MTU) , seleccione el tamaño máximo del
paquete, en bytes, que pueden enviarse a través de la interfaz. Recomendamos utilizar el valor
predeterminado, 1500 bytes, a menos que el equipo de red requiera un tamaño de paquete
diferente.
Puede configurar la MTU desde un mínimo de 68 a un máximo de 9000.
6. Para cambiar la dirección MAC de la interfaz externa, seleccione la casilla de verificación Cancelar
dirección MAC e ingrese la nueva dirección MAC.
Para obtener más información acerca de direcciones MAC, consulte la siguiente sección.
7. Haga clic en Guardar.
8. Haga clic en Guardar nuevamente.
n La dirección MAC debe usar 12 caracteres hexadecimales. Los caracteres hexadecimales tienen un
valor entre 0 y 9 o entre "a" y "f".
n La dirección MAC debe funcionar con:
o Una o más direcciones en la red externa.
o La dirección MAC de la red de confianza para el dispositivo.
o La dirección MAC de la red opcional para el dispositivo.
Si la casilla de verificación Cancelar dirección MAC no está seleccionada cuando se reinicia el dispositivo
WatchGuard, el dispositivo utiliza la dirección MAC predeterminada para la red externa.
Para reducir los problemas con direcciones MAC, el dispositivo WatchGuard verifica que la dirección MAC
que usted asigna a la interfaz externa sea única en su red. Si el dispositivo WatchGuard encuentra un
dispositivo que usa la misma dirección MAC, vuelve a cambiar a la dirección MAC estándar para la interfaz
externa y se inicia nuevamente.
Copiar
Seleccione Copiar para aplicar la configuración DF bit del marco original al paquete cifrado IPSec. Si
un marco no tiene configurado DF bit, Fireware XTM no configura DF bit y fragmenta el paquete si es
necesario. Si un marco está configurado para no ser fragmentado, Fireware XTM encapsula el marco
completo y configura DF bit del paquete cifrado para que coincida con el marco original.
Determinar
Limpiar
Seleccione Borrar para dividir el marco en partes que puedan integrarse a un paquete IPSec con el
encabezado ESP o AH, independientemente de la configuración de bit original.
La Path Maximum Transmission Unit (PMTU) controla la cantidad de tiempo en que Firebox disminuye la
unidad máxima de transmisión (MTU) para un túnel VPN IPSec cuando recibe una solicitud de ICMP de
fragmentar un paquete desde un enrutador con una configuración de MTU más baja en Internet.
También se puede utilizar esta función para restringir todo el tráfico de red a los dispositivos que coinciden
con las direcciones MAC e IP en esta lista. Esto es similar a la función de control de acceso MAC.
Para más informaciones, vea Restringir el tráfico de red mediante la dirección MAC en la página 97.
1. Seleccione Interfaces de > red. Seleccione una interfaz y después haga clic en Configurar.
2. Haga clic en Avanzado.
3. Ingrese un par de dirección IP y dirección MAC. Haga clic en Agregar. Repita este paso para agregar
otros pares.
4. Si desea que esta interfaz transmita sólo tráfico que coincida con una entrada en la lista vínculo de
dirección MAC/IP estático, seleccione la casilla de verificación Sólo permitir tráfico enviado desde
o hacia estas direcciones MAC/IP.
Si no desea bloquear tráfico que no coincide con una entrada de la lista, desmarque esta casilla de
verificación.
1. Desde la línea de comando de la computadora cuya dirección MAC desea averiguar, ingrese
ipconfig /all (Windows) o ifconfig (OS X o Linux).
2. Busque la entrada de "dirección física" de la computadora. Este valor es la dirección MAC o de
hardware de la computadora.
Si desea establecer un puente entre todo el tráfico de dos interfaces, recomendamos utilizar el modo
puente para la configuración de red.
Acerca de
Una ruta es la secuencia de dispositivos a través de los cuales se envía el tráfico de red. Cada dispositivo en
esta secuencia, en general llamado enrutador, almacena información acerca de las redes a las que está
conectado en una tabla de enrutamiento. Esta información se utiliza para reenviar el tráfico de red al
siguiente enrutador en la ruta.
Se pueden crear rutas estáticas para enviar el tráfico a host o redes específicas. El enrutador puede
entonces enviar el tráfico desde la ruta especificada al destino correcto. Si tiene una red completa detrás
de un enrutador en la red local, agregue una ruta de red. Si no agrega una ruta a una red remota, todo el
tráfico a esa red se envía a la puerta de enlace predeterminada del Firebox.
Antes de comenzar, debe comprender la diferencia entre una ruta de red y una ruta de host. Una ruta de
red es una ruta a una red completa detrás de un enrutador ubicado en la red local. Utilice una ruta de host
si hay sólo un host detrás del enrutador o si desea que el tráfico se dirija sólo a un host.
n Seleccione IP de red si tiene una red completa detrás de un enrutador en la red local.
n Seleccione IP de host si hay sólo un host detrás del enrutador o si desea que el tráfico se dirija
sólo a un host.
3. En el cuadro de texto Ruta hacia, ingrese la dirección IP de destino.
4. En el cuadro de texto Puerta de enlace, ingrese la dirección IP de la interfaz local del enrutador.
La dirección IP de la puerta de enlace debe ser una dirección IP administrada por el dispositivo
WatchGuard.
5. En el cuadro de texto Métrica, ingrese o seleccione una métrica para la ruta. Las rutas con las
métricas más bajas tienen mayor prioridad.
6. Haga clic en Agregar.
7. Para agregar otra ruta estática, repita los pasos 2 al 4.
Para eliminar una ruta estática, seleccione la dirección IP en la lista y haga clic en Eliminar.
8. Haga clic en Guardar.
Las VLAN permiten dividir la red en grupos con una agrupación o estructura jerárquica lógica en lugar de
una física. Esto ayuda a liberar al personal de TI de las restricciones del diseño de red y la infraestructura de
cableado existentes. Las VLAN facilitan el diseño, la implementación y la administración de la red. Debido a
que las VLAN se basan en software, la red se puede adaptar de manera rápida y sencilla a incorporaciones,
reubicaciones y reorganizaciones.
Las VLAN utilizan puentes y conmutadores, entonces los broadcast son más eficientes porque se dirigen
sólo a personas en la VLAN y no a todos los conectados. En consecuencia, se reduce el tráfico a través de
los enrutadores, lo cual implica una reducción en la latencia del enrutador. Firebox puede configurarse para
funcionar como servidor DHCP para dispositivos en la VLAN o puede utilizar retransmisión DHCP con un
servidor DHCP separado.
Nota Si define VLAN, puede ignorar mensajes con el texto “802.1d unknown version”
(802.1d versión desconocida). Esto puede ocurrir porque la implementación de
VLAN de WatchGuard no es compatible con el protocolo de administración de
enlaces Spanning Tree (árbol de expansión).
Cuando se define una nueva VLAN, se agrega une entrada en la tabla Configuración de VLAN. Se puede
cambiar la vista de esta tabla:
n Haga clic en el encabezado de columna para ordenar la tabla según los valores de esa columna.
n La tabla puede ordenarse de mayor a menor o de menor a mayor.
n Los valores en la columna Interfaz muestran las interfaces físicas que son miembros de esta VLAN.
n El número de interfaz en negrita es la interfaz que envía datos no etiquetados a esa VLAN.
Puede configurar Firebox como servidor DHCP para las computadoras en la red VLAN.
1. En la pestaña Red, seleccione Servidor DHCP en la lista desplegable Modo DHCP. para configurar el
Firebox como servidor DHCP para la red VLAN. Si es necesario, ingrese el domain name para
proporcionarlo a los clientes DHCP .
2. Para agregar un conjunto de direcciones IP, Ingrese la primera y la última dirección IP en el grupo.
Haga clic en Agregar.
Se puede configurar un máximo de seis grupos de direcciones.
3. Para reservar una dirección IP específica para un cliente, Ingrese la dirección IP, el nombre de
reserva y la dirección MAC del dispositivo. Haga clic en Agregar.
Ahora puede realizar los siguientes pasos y Asignar interfaces a (red de área local virtual).
En este ejemplo, los equipos en ambas VLAN se conectan al mismo interruptor 802.1Q y el interruptor se
conecta a la interfaz 3 del dispositivo Firebox o XTM.
18. Ahora, ambas VLAN aparecen en la lista y están configuradas para utilizar la interfaz de VLAN
definida.
1. Configure la interfaz externa en el dispositivo WatchGuard para obtener su dirección con PPPoE.
Asegúrese de configurar el nombre de usuario PPPoE/contraseña en público/público. Para obtener
más información acerca de cómo configurar la interfaz externa para PPPoE, consulte Configurar una
interfaz externa en la página 82.
2. Active la tarjeta de datos de banda ancha. Consulte las instrucciones incluidas en la tarjeta de datos
de banda ancha para obtener más información.
3. Prepare el bridge inalámbrico 3G Extend:
n Inserte la tarjeta de datos de banda ancha en la ranura del bridge inalámbrico 3G Extend.
n Conecte la energía eléctrica al bridge inalámbrico 3G Extend.
n Verifique que las luces LED estén activas.
4. Use un cable Ethernet para conectar el bridge inalámbrico 3G Extend a la interfaz externa del
dispositivo WatchGuard.
n Para operar correctamente con el dispositivo WatchGuard, el bridge inalámbrico 3G Extend debe
configurarse para ejecutarse en modo "Autoconexión". Todos los dispositivos 3G Extend/MB5000K
están preconfigurados para ejecutarse en este modo de manera predeterminada. Para verificar si el
dispositivo 3G Extend está configurado en modo Autoconexión, conéctese directamente al
dispositivo y seleccione Interfaces > Acceso a Internet. Seleccione la interfaz WAN#0. En el sección
Red, asegúrese de que el modo Conectar de la lista desplegable esté configurado en Auto.
n Si la tarjeta inalámbrica 3G funciona en la red celular GPRS , puede ser necesario agregar un inicio
de sesión de red y contraseña a la configuración del dispositivo 3G Extend. Para agregar un inicio de
sesión de red red y contraseña, conéctese al bridge inalámbrico 3G Extend y seleccione Servicios >
Bridge administrable.
n Para restablecer las configuraciones predeterminadas de fábrica en el MB5000K, conéctese al
bridge inalámbrico 3G Extend y seleccione Sistema> Configuraciones predeterminadas de fábrica.
Haga clic en Sí.
El dispositivo 3G Extend admite más de 50 tarjetas de módem y opciones de plan ISP. Para obtener
información detallada acerca del producto Top Global, incluida la Guía del usuario del MB5000, ingrese en
http://www.topglobaluse.com/support_mb5000.htm.
1. Siga las instrucciones en la Guía de inicio rápido del Cradlepoint CBA250 para configurar el
dispositivo Cradlepoint.
2. Configure la interfaz externa en el dispositivo WatchGuard para obtener su dirección con DHCP. Para
aprender cómo configurar la interfaz externa para PPPoE, consulte Configurar una interfaz externa
en la página 82.
3. Use un cable Ethernet para conectar el dispositivo Cradlepoint a la interfaz externa de Firebox.
4. Inicie (o reinicie) el dispositivo WatchGuard.
Cuando Firebox se inicia, recibe una dirección DHCP del dispositivo Cradlepoint. Después de que se asigna una
dirección IP , Firebox puede conectarse a Internet a través de la red de banda ancha celular.
El Cradlepoint admite un gran número de USB o dispositivos inalámbricos de banda ancha ExpressCard.
Para obtener una lista de dispositivos admitidos, consulte http://www.cradlepoint.com/support./cba250.
Con la función WAN múltiple, puede configurar hasta cuatro interfaces externas, cada una en una subred
diferente. Eso permite conectar su Firebox a más de un Proveedor de servicios de Internet (ISP). Cuando
configura una segunda interfaz, la función de WAN múltiple es automáticamente activada.
n Si tiene una política configurada con un alias de interfaz externa individual en su configuración, debe
alterarla para usar el alias Cualquiera-Externo, u otro alias configurado para interfaces externas. Si no
lo hace, puede ser que sus políticas de firewall nieguen algún tráfico.
n La configuración de WAN múltiple no se aplica al tráfico entrante. Cuando configura una política
para tráfico entrante, puede ignorar todas las configuraciones de WAN múltiple.
n Para anular la configuración de WAN múltiple en cualquier política individual, active el enrutamiento
basado en la política para la política en cuestión. Para más información acerca del enrutamiento
basado en la política, vea Configurar el enrutamiento basado en la política en la página 269.
n Asigne el Domain Name totalmente cualificado de su empresa a la dirección IP de interfaz externa
del orden más bajo. Si añade un dispositivo WatchGuard de WAN múltiple a la Management Server
configuration, debe usar la interfaz externa de orden más inferior para identificarlo cuando agrega
el dispositivo.
n Para usar WAN múltiple, debe usar el modo de enrutamiento combinado para la configuración de
red. Esa función no opera en las configuraciones de red de modo directo o puente.
n Para usar el método de desbordamiento en la interfaz, debe tener el Fireware XTM con una
actualización Pro. También debe tener una licencia Pro de Fireware XTM si usa el método de
operación por turnos y configura diferentes pesos para las interfaces externas del dispositivo
WatchGuard.
Puede usar una de las cuatro opciones de configuración de WAN múltiple para administrar su tráfico de red.
Nota Debe tener un Fireware XTM con una actualización Pro para usar la enrutamiento
basado en la política.
Si tiene un Fireware XTM con actualización Pro, puede asignar un peso para cada interfaz usada en su
configuración de operación por turnos. Por defecto y para todos los usuarios de Fireware XTM, cada
interfaz tiene un peso 1. El peso se refiere a la proporción de carga que el dispositivo WatchGuard envía a
través de una interfaz. Si tiene un Fireware XTM Pro y asigna un peso de 2 a una interfaz determinada, se
duplica la parte de tráfico que pasará por esa interfaz, comparada a la interfaz con peso 1.
Por ejemplo, si tienen tres interfaces externas con 6M, 1.5M y .075 de ancho de banda y desea balancear el
tráfico en las tres interfaces, se podría usar 8, 2 y 1 como pesos para esas tres interfaces. El Fireware
intentará distribuir las conexiones de modo que 8/11, 2/11 y 1/11 del tráfico total fluya por cada una de las
tres interfaces.
Para más informaciones, vea Configurar la opción de operación por turnos de WAN múltiple en la página 122.
Se controla lo que el dispositivo WatchGuard debe hacer con las conexiones existentes; éstas pueden
conmutar por recuperación inmediatamente o continuar a usar la interfaz de resguardo hasta que la
conexión esté concluida. La conmutación por error de WAN múltiple y el FireCluster son configurados
separadamente. La conmutación por error de WAN múltiple provocada por una conexión con fallas hacia
un host de monitor de enlace no desencadena la conmutación por error del FireCluster. La conmutación
por error del FireCluster ocurre solamente cuando la interfaz física está desactivada o no responde. La
conmutación por error del FireCluster tiene precedencia sobre la conmutación por error de WAN múltiple.
Paramás informaciones,vea Configurar la opciónde conmutaciónpor error de WAN múltiple enla página124.
Desbordamiento en la interfaz
Cuando usa el método de configuración de WAN múltiple de desbordamiento en la interfaz, selecciona el
orden que desea que el dispositivo WatchGuard envíe tráfico por las interfaces externas y configura cada
interfaz con un valor de umbral de ancho de banda. El dispositivo WatchGuard comienza a enviar el tráfico
por la primera interfaz externa en su lista de configuración de desbordamiento en la interfaz. Cuando el
tráfico por esa interfaz alcanza el umbral de ancho de banda definido, el dispositivo WatchGuard comienza a
enviar tráfico a la siguiente interfaz externa configurada en la lista de configuración de desbordamiento en
la interfaz.
Ese método de configuración de WAN múltiple permite que la cantidad de tráfico enviada por cada interfaz
WAN sea restringido a un límite de ancho de banda especificado. Para determinar el ancho de banda, el
dispositivo WatchGuard examina la cantidad de paquetes enviados (TX) y recibidos (RX) y usa el número
más alto. Cuando configura el umbral ancho de banda para cada interfaz, debe considerar las necesidades
de su red para la interfaz en cuestión y definir el valor de umbral según esas necesidades. Por ejemplo, si su
ISP es asimétrico y define el umbral de ancho de banda según una tasa alta de TX, el desbordamiento en la
interfaz no será desencadenado por una alta tasa de RX.
Si todas las interfaces WAN llegaron al límite de ancho de banda, el dispositivo WatchGuard usa el algoritmo
de enrutamiento ECMP (Protocolo de múltiples rutas de igual costo) para encontrar la mejor ruta.
Nota Es necesario tener el Fireware XTM con actualización Pro para usar ese método de
enrutamiento de WAN múltiple.
Para más informaciones, vea Configurar WAN múltiple Opción de desbordamiento en la interfaz en la
página 125.
Tabla de enrutamiento
Cuando selecciona la opción de tabla de enrutamiento para su configuración de WAN múltiple, el
dispositivo WatchGuard usa las rutas en su tabla de enrutamiento interna o las rutas que obtiene de los
procesos de dynamic routing para enviar paquetes por la interfaz externa correcta. Para ver si una ruta
específica existe para un destino de paquete, el dispositivo WatchGuard examina su tabla de enrutamiento
desde el topo hacia abajo de la lista de rutas. Puede ver la lista de rutas en la tabla de enrutamiento en la
pestaña Estado del Firebox System Manager. La opción de tabla de enrutamiento es de WAN múltiple
predeterminada.
Si su dispositivo WatchGuard no encuentra una ruta especificada, él selecciona qué ruta usar según los
valores hash del IP de destino y origen del paquete, usando el algoritmo de ECMP (Protocolo de múltiples
rutas de igual costo) especificado en:
http://www.ietf.org/rfc/rfc2992.txt
Con el ECMP, el dispositivo WatchGuard usa un algoritmo para decidir cuál salto siguiente (ruta) usar para
enviar cada paquete. Ese algoritmo no tiene en cuenta la carga de tráfico actual.
Para más informaciones, vea Cuando usar los métodos de WAN múltiple y enrutamiento en la página 127.
Para más informaciones, vea Conmutación por error de módem serie en la página 128.
Configurar interfaces
1. Seleccione Red > WAN múltiple.
2. En la lista desplegable de la sección Modo de WAN múltiple, seleccione Operación por turnos.
3. Si tiene un Fireware XTM con actualización Pro, puede modificar el peso asociado a cada interfaz.
Elija una interfaz, después ingrese o seleccione un nuevo valor en el campo Peso al lado. El valor
predeterminado es 1 para cada interfaz.
Para más información acerca del peso de interfaz, vea Descubra cómo asignar pesos a interfaces en
la página 123.
4. Para asignar una interfaz a la configuración de WAN múltiple, seleccione una interfaz y haga clic en
Configurar.
5. Seleccione la casilla de verificación Participar en WAN múltiple y haga clic en Aceptar.
6. Para concluir su configuración, debe añadir información del monitor de enlace, tal como se describe
en Acerca del Estado de la interfaz de WAN en la página 134.
Solo números enteros pueden ser usados como pesos de interfaz; fracciones o decimales no son
permitidos. Para un balance de carga óptimo, puede ser necesario hacer cálculos para saber el peso en
número entero que asignar a cada interfaz. Use un multiplicador común, así se define la proporción relativa
de ancho de banda dada por cada conexión externa en números enteros.
Por ejemplo, supongamos que tiene tres conexiones a Internet. Un ISP tiene 6 Mbps, otros ISP tiene 1,5
Mbps, y un tercero tiene 769 Kpbs. Convierta la proporción en números enteros:
n Primero, convierta 768 Kbps a aproximadamente 0,75 Mbps, para usar la misma unidad de medida
para las tres líneas. Sus tres líneas tienen la proporción de 6, 1,5 y 0,75 Mbps.
n Multiplique cada valor por 100 para quitar los decimales. Proporcionalmente, eso equivale a: [6 : 1,5
: 0,75] es la misma razón que [600 : 150 : 75]
n Encuentre el mayor divisor común de los tres números. En este caso, 75 es el número más alto que
divide igualmente los tres números, 600, 150 y 75.
n Divida cada uno de los números por el mayor divisor común.
Los resultados son 8, 2 y 1. Podría usar esos números como pesos en una configuración de WAN múltiple
de operación por turnos.
Configurar interfaces
1. Seleccione Red > WAN múltiple.
2. En la lista desplegable Modo de WAN Múltiple, seleccione Conmutación por error.
3. Seleccione una interfaz en la lista y haga clic Arriba o Abajo para definir el orden de la conmutación
por error. La primera interfaz de la lista es la principal.
4. Para concluir su configuración, debe añadir información del monitor de enlace, tal como se describe
en Acerca del Estado de la interfaz de WAN en la página 134.
Para más información acerca de las opciones avanzadas de configuración de WAN múltiple, vea
Acerca de la configuración avanzada de WAN múltiple en la página 132.
5. Haga clic en Guardar.
Configurar interfaces
1. Seleccione Red > WAN múltiple.
2. En la lista desplegable Modo WAN múltiple, seleccione Desbordamiento en la interfaz.
3. En el campo Umbral para cada interfaz, ingrese o seleccione la cantidad de tráfico de red en
megabits por segundo (Mbps) que la interfaz debe cargar antes de enviar el tráfico a otras
interfaces.
4. Para definir el orden de la operación de interfaz, seleccione una interfaz en la tabla y haga clic en
Arriba y Abajo para cambiar el orden. Las interfaces son usadas desde la primera a la última en la lista.
5. Para concluir su configuración, debe añadir información, tal como se describe en Acerca del Estado
de la interfaz de WAN en la página 134.
Para más información acerca de las opciones avanzadas de configuración de WAN múltiple, vea Acerca de
la configuración avanzada de WAN múltiple.
Configurar interfaces
1. Seleccione Red > WAN múltiple.
2. En la lista desplegable Modo de WAN múltiple, seleccione Tabla de enrutamiento.
3. Para asignar interfaces a la configuración de WAN múltiple, seleccione una interfaz y haga clic en
Configurar.
4. Seleccione la casilla de verificación Participar de WAN múltiple . Haga clic en OK.
5. Para concluir su configuración, debe añadir información del monitor de enlace, tal como se describe
en Acerca del Estado de la interfaz de WAN en la página 134.
Para más información acerca de las opciones avanzadas de configuración de WAN múltiple, vea Acerca de
la configuración avanzada de WAN múltiple.
n Las rutas que el Firebox aprende de los procesos de dynamic routing en el dispositivo (RIP, OSPF y
BGP), si activa el dynamic routing.
n Las rutas de redes permanentes o rutas de host que se añaden.
n Las rutas que el Firebox crea automáticamente cuando lee la información de configuración de red.
Si su Firebox detecta que una interfaz externa está inactiva, él remueve las rutas estáticas o dinámicas que
usan esa interfaz. Eso es así si los hosts especificados en el Monitor de enlaces no responden y si un enlace
físico de Ethernet está inactivo.
Para más información acerca de actualizaciones de tabla de enrutamiento y estado de interfaz, vea Acerca
del Estado de la interfaz de WAN en la página 134.
n Activa el dynamic routing (RIP, OSPF o BGP) y los enrutadores en la red externa encaminan rutas al
dispositivo WatchGuard para que el dispositivo pueda aprender las mejores rutas hacia las
ubicaciones externas.
n Debe tener acceso a un sitio externo o red externa a través de una ruta específica en una red
externa. Los ejemplos incluyen:
n Tener un circuito privado que usa un enrutador de frame relay en la red externa.
n Preferir que todo el tráfico a una ubicación externa siempre pase por una interfaz externa del
dispositivo WatchGuard.
El método de tabla de enrutamiento es la forma más rápida de balancear carga de más de una ruta a
Internet. Después de activar esa opción, el algoritmo de ECMP administra todas las decisiones de conexión.
No son necesarias configuraciones adicionales en el dispositivo WatchGuard.
Puede configurar el Firebox X Edge o el XTM 2 Series para enviar tráfico a través de un módem serial
cuando no logra enviar tráfico con alguna interfaz externa. Debe tener una cuenta de marcado con ISP
(Proveedor de servicios de Internet) y un módem externo conectado al puerto serie (Edge) o puerto USB
(2 Series) para usar esa opción.
En el caso de un módem serial, use un adaptador USB a serial para conectar el módem al dispositivo XTM 2
Series.
3. Completar la configuración Cuenta, DNS, Marcado y Monitor de enlace, tal como se describe en las
siguientes secciones.
4. Haga clic en Guardar.
Configuraciones de la cuenta
1. Seleccione la pestaña Cuenta.
2. En el cuadro de texto Número de teléfono, ingrese el número de teléfono de su ISP.
3. Si tiene otro número para su ISP, en el cuadro de texto Número de teléfono alternativo, ingréselo.
4. En el cuadro de texto Nombre de la cuenta , ingrese el nombre de su cuenta de marcado.
5. Si inicia sesión en su cuenta con un domain name en el cuadro de texto Dominio de cuenta, ingrese
el domain name.
Un ejemplo de domain name es msn.com.
6. En el cuadro de texto Contraseña de cuenta , ingrese la contraseña que utiliza para conectarse a su
cuenta de marcado.
7. Si tiene problemas con su conexión, seleccione la casilla de verificación Activar rastreo de
depuración de módem y PPP. Cuando esa opción está seleccionada, el Firebox envía registros
detallados para la función de conmutación por error del módem serial al archivo de registro del
evento.
Configuraciones de DNS
Si su ISP de marcado no ofrece información del servidor DNS, o si debe usar un servidor DNS diferente,
puede agregar manualmente las direcciones IP para que un servidor DNS use después que ocurre una
conmutación por error.
2. Seleccione la casilla de verificación Configurar manualmente las direcciones IP del servidor DNS.
3. En el cuadro de texto Servidor DNS principal , ingrese la dirección IP del servidor DNS principal.
4. Si tiene un servidor DNS secundario, en el cuadro de texto Servidor DNS secundario, ingrese la
dirección IP para el servidor secundario.
5. En el cuadro de texto MTU , para fines de compatibilidad, puede definir la Unidad Máxima de
Transmisión (MTU, en sus siglas en inglés) en un valor diferente. La mayoría de los usuarios
mantienen la configuración predeterminada.
Configuración de marcado
1. Seleccione la pestaña Marcado.
Aparece la página "Opciones de marcado".
Configuraciones avanzadas
Algunos ISPs requieren que se especifique una o más opciones de ppp para establecer conexión. En China,
por ejemplo, algunos ISPs requieren el uso de la opción de ppp de recibir-todos. La opción de recibir-todos
hace que el ppp acepte todos los caracteres de control del punto.
2. En el cuadro de texto Opciones de PPP, ingrese las opciones requeridas de PPP. Para especificar
más de una opción de PPP, separe cada opción con una coma.
3. Para enviar un ping a una ubicación o dispositivo en la red externa, seleccione la casilla Ping e
ingrese una dirección IP o nombre de host en el cuadro de texto al lado.
4. Para crear una conexión TCP a una ubicación o dispositivo en la red externa, seleccione la casilla TCP
e ingrese una dirección IP o nombre de host en el cuadro de texto al lado. También puede ingresar
o seleccionar un Número depuerto.
El número de puerto predeterminado es 80 (HTTP).
5. Para que el ping y las conexiones TCP tengan éxito antes que una interfaz sea marcada como activa,
seleccione la casilla Ping y TCP deben tener éxito.
6. Para cambiar el intervalo de tiempo entre los intentos de conexión, en el cuadro de texto Probar
intervalo , ingrese o seleccione un número diferente.
La configuración predeterminada es de 15 segundos.
7. Para cambiar el número de fallas que marcan una interfaz como inactiva, en el cuadro de texto
Desactivar después de, ingrese o seleccione un número diferente.
El valor predeterminado es de tres (3) intentos de conexión.
8. Para cambiar el número de conexiones exitosas que marcan una interfaz como activa, en el cuadro
de texto Reactivar después de , ingrese o seleccione un número diferente.
El valor predeterminado es de tres (3) intentos de conexión.
9. Haga clic en OK.
Si una definición de política contiene una configuración de sticky connection, esa configuración es usada en
lugar de la configuración global.
Para cambiar la duración de sticky connection global para un protocolo o conjunto de protocolos:
Si define una duración de sticky connection en una política, puede anular la duración de sticky connection
global. Para más informaciones, vea Defina la duración de sticky connection para una política en la página 272.
n Failback inmediata — Seleccione esta opción si desea que el dispositivo WatchGuard detenga
inmediatamente todas las conexiones existentes.
n Failback gradual — Seleccione esta opción si desea que el dispositivo WatchGuard siga usando la
interfaz de conmutación por error para conexiones existentes hasta que cada conexión esté
completa.
El proceso de actualización es mucho más rápido cuando su Firebox detecta una desconexión física del
puerto de Ethernet. Cuando eso ocurre, el dispositivo WatchGuard actualiza su tabla de enrutamiento
inmediatamente. Cuando su Firebox detecta que la conexión de Ethernet está activa nuevamente, él
actualiza su tabla de enrutamiento dentro de 20 segundos.
3. Seleccione las casillas de verificación para cada método de monitor de enlace que desea que el
Firebox use para verificar el estado de cada interfaz externa:
n Ping — Agregue una dirección IP o domain name para que el Firebox envíe un ping para
verificar el estado de la interfaz.
n TCP — Agregue una dirección IP o domain name de un equipo con el que el Firebox puede
negociar un protocolo de enlace de TCP para verificar el estado de la interfaz de WAN.
n Ping y TCP deben tener éxito — La interfaz es considerada inactiva excepto si tanto el ping
como la conexión TCP son concluidos con éxito.
Si una interfaz externa es miembro de una configuración de FireCluster, una conmutación por error
de WAN múltiple provocada por una falla de conexión hacia un host de monitor de enlace no
desencadena la conmutación por error del FireCluster. La conmutación por error del FireCluster
ocurre solamente cuando la interfaz física está desactivada o no responde. Si agrega un domain
name para que el Firebox envíe un ping y alguna de las interfaces externas tiene una dirección IP
estática, debe configurar un servidor DNS, tal como se describe en Agregar direcciones de servidor
DNS y WINS.
4. Para configurar la frecuencia con la que desea que el Firebox verifique el estado de la interfaz,
ingrese o seleccione una configuración de Probar después de.
La configuración predeterminada es de 15 segundos.
5. Para cambiar el número de fallas de pruebas consecutivas que debe ocurrir antes de una
conmutación por error, ingrese o seleccione una configuración de Desactivar después de.
La configuración predeterminada es de tres (3). Después del número de fallas seleccionado, el Firebox intenta
enviar el tráfico a través de la siguiente interfaz especificada en la lista de conmutación por error de WAN
múltiple.
6. Para cambiar el número de pruebas consecutivas exitosas a través de una interfaz antes que la
interfaz previamente inactiva se vuelva activa nuevamente, ingrese o seleccione una configuración
de Reactivar después de.
7. Repita esos pasos para cada interfaz externa.
8. Haga clic en Guardar.
El objetivo principal de NAT es aumentar el número de computadoras que pueden funcionar partiendo de
una única dirección IP públicamente enrutable y ocultar las direcciones IP privadas de host en su LAN.
Cuando se usa NAT, la dirección IP de origen se cambia en todos los paquetes que se envían.
NAT se puede aplicar como configuración de firewall general o como una configuración en una política. Las
configuraciones de NAT firewall no se aplican a las políticas BOVPN.
Si tiene Fireware XTM con una actualización Pro, puede usar la función de Balance de carga en el servidor
como parte de una regla NAT estática. La función de balance de carga en el servidor está diseñada para
ayudarle a aumentar la escalabilidad y el rendimiento de una red de alto tráfico con múltiples servidores
públicos protegidos por el dispositivo WatchGuard. Con el balance de carga en el servidor, puede
determinar que el dispositivo WatchGuard controle el número de sesiones iniciadas en hasta diez
servidores para cada política de firewall que configure. El dispositivo WatchGuard controla la carga según el
número de sesiones en uso en cada servidor. El dispositivo WatchGuard no mide ni compara el ancho de
banda que usa cada servidor.
Para obtener más información sobre el balance de carga en el servidor, consulte Configurar Balance de
carga en el servidor en la página 154.
Tipos de NAT
El dispositivo WatchGuard admite tres tipos diferentes de NAT. Su configuración puede usar más de un tipo
de NAT al mismo tiempo. Se aplican algunos tipos de NAT a todo el tráfico de firewall y otros tipos como
configuración en una política.
NAT dinámico
NAT dinámico también se conoce como enmascaramiento IP. El dispositivo WatchGuard puede
aplicar su dirección IP pública a los paquetes salientes para todas las conexiones o para servicios
específicos. Esto oculta a la red externa la dirección IP real de la computadora que es el origen del
paquete. NAT dinámica en general se usa para ocultar las direcciones IP de host internos cuando
tienen acceso a servicios públicos.
Para más informaciones, vea Acerca de la dinámica basada en políticas en la página 138.
NAT estática
NAT estática, conocida también como reenvío de puerto, se configura cuando se configuran las
políticas. NAT estática es una NAT de puerto-a-host. Un host envía un paquete desde la red externa a
un puerto en una interfaz externa. NAT estática cambia esta dirección IP a una dirección IP y puerto
detrás del firewall.
1-to-1 NAT
1-to-1 NAT crea una asignación entre direcciones IP en una red y direcciones IP en una red
diferente. Este tipo de NAT con frecuencia se usa para que las computadoras externas tengan
acceso a los servidores internos públicos.
Para más informaciones, vea Acerca de las 1-to-1 NAT en la página 142.
Muchas computadoras pueden conectarse a Internet desde una dirección IP pública. NAT dinámica ofrece
más seguridad para host internos que usan Internet porque oculta las direcciones IP de host en su red. Con
NAT dinámica, todas las conexiones deben iniciarse desde detrás de Firebox. Los host maliciosos no pueden
iniciar conexiones a las computadoras detrás de Firebox cuando éste está configurado para NAT dinámica.
En la mayoría de las redes, la política de seguridad recomendada es aplicar NAT a todos los paquetes
salientes. Con Fireware, NAT dinámica está activada de manera predeterminada en el cuadro de diálogo
Red > NAT. También está activada de manera predeterminada en cada política que se crea. Puede anular la
configuración de firewall para NAT dinámica en las políticas individuales, como se describe en Aplicar
reglas NAT en la página 271.
n 192.168.0.0/16 – Cualquiera-externo
n 172.16.0.0/12 – Cualquiera-externo
n 10.0.0.0/8 – Cualquiera-externo
Estas tres direcciones de red son las redes privadas reservadas por Internet Engineering Task Force (IETF) y
en general se usan para las direcciones IP en LAN. Para activar NAT dinámica para direcciones IP privadas
distintas de éstas, debe agregar una entrada para ellas. El dispositivo WatchGuard aplica reglas NAT
dinámicas en la secuencia en la que aparecen en la lista Entradas de NAT dinámica. Recomendamos colocar
las reglas en una secuencia que coincida con el volumen de tráfico al que se aplican las reglas.
3. En la sección Desde , haga clic en la lista desplegable Tipo de miembro para seleccionar el tipo de
dirección a utilizar para especificar el origen de los paquetes salientes: IP de host, IP de red, Rango
de host o Alias.
4. En la sección Desde , debajo de la lista desplegable Tipo de miembro, ingrese la dirección IP de
host, la dirección IP de red o el rango de direcciones IP de host o seleccione un alias en la lista
desplegable.
Debe ingresar una dirección de red en notación diagonal.
Para obtener más información sobre alias del dispositivo WatchGuard incorporados, consulte Acerca
de los alias en la página 257.
5. En la sección Hasta, haga clic en la lista desplegable Tipo de miembro para seleccionar el tipo de
dirección a utilizar para especificar el destino de los paquetes salientes.
6. En la sección Hasta, debajo de la lista desplegable Tipo de miembro, ingrese la dirección IP de host,
la dirección IP de red o el rango de direcciones IP de host , o seleccione un alias en la lista
desplegable.
7. Haga clic en Guardar.
La nueva entrada aparece en la lista Entradas de NAT dinámica.
Para que NAT dinámica basada en políticas funcione correctamente, utilice la pestaña Política del cuadro de
diálogo Editar propiedades de políticas para asegurarse de que la política esté configurada para permitir el
tráfico saliente sólo a través de una interfaz de Firebox.
Las reglas de 1-to-1 NAT tienen mayor prioridad que las reglas de NAT dinámica.
Cuando selecciona una dirección IP de origen, cualquier tráfico que usa esta política muestra una
dirección específica de su rango de direcciones IP externas o públicas como el origen. Esto se utiliza
con más frecuencia para obligar al tráfico SMTP saliente a mostrar la dirección de registro MX para
su dominio cuando la dirección IP en la interfaz externa del dispositivo WatchGuard no coincide con
la dirección IP de registro MX. Esta dirección de origen debe estar en la misma subnet que la
interfaz especificada para el tráfico saliente.
Recomendamos no utilizar la opción Establecer IP de origen si tiene más de una interfaz externa
configurada en su dispositivo WatchGuard.
Si no selecciona la casilla de verificación Establecer IP de origen, el dispositivo WatchGuard cambia
la dirección IP de origen para cada paquete a la dirección IP de la interfaz desde la cual se envía el
paquete.
6. Haga clic en Guardar.
1-to-1 NAT con frecuencia se utiliza cuando se tiene un grupo de servidores internos con direcciones IP
privadas que deben hacerse públicas. Se puede usar 1-to-1 NAT para asignar direcciones IP públicas a los
servidores internos. No es necesario cambiar la dirección IP de los servidores internos. Cuando se tiene un
grupo de servidores similares (por ejemplo, un grupo de servidores de correo electrónico),1-to-1 NAT es
más fácil de configurar que NAT estática para el mismo grupo de servidores.
La empresa ABC tiene un grupo de cinco servidores de correo electrónico con direcciones privadas detrás
de la interfaz de confianza de su dispositivo WatchGuard. Estas direcciones son:
10.1.1.1
10.1.1.2
10.1.1.3
10.1.1.4
10.1.1.5
La empresa ABC selecciona cinco direcciones IP públicas de la misma dirección de red como interfaz
externa de su dispositivo WatchGuard y crea registros DNS para que los servidores de correo electrónico
resuelvan.
50.1.1.1
50.1.1.2
50.1.1.3
50.1.1.4
50.1.1.5
La empresa ABC configura una regla 1-to-1 NAT para sus servidores de correo electrónico. La regla 1-to-1
NAT crea una relación estática, bidireccional entre los pares correspondientes de direcciones IP. La relación
tiene el siguiente aspecto:
Cuando se aplica la regla 1-to-1 NAT, el dispositivo WatchGuard crea el enrutamiento bidireccional y la
relación NAT entre el grupo de direcciones IP privadas y el grupo de direcciones públicas. 1-to-1 NAT
también funciona en tráfico enviado desde redes que protege el dispositivo WatchGuard.
1-to-1 NAT se configura para un túnel VPN al configurar el túnel VPN y no en Red> NAT. página.
3. En la lista desplegable Tipo de asignación, seleccione IP única (para asignar un host), Rango de IP
(para asignar un rango de hosts) o Subnet IP (para asignar una subnet).
Si selecciona Rango de IP o Subnet IP, no incluya más de 256 direcciones IP en ese rango o subnet.
Para aplicar NAT a más de 256 direcciones IP , debe crear más de una regla.
Para obtener más información acerca de cómo usar estos campos, consulte la siguiente sección
Definir una regla de 1-to-1 NAT.
5. Haga clic en Guardar.
Después de configurar una regla de 1-to-1 NAT global, debe agregar las direcciones IP NAT a las políticas
correspondientes.
n Si su política administra tráfico saliente, agregue las direcciones IP de la base real a la sección Desde
de la configuración de políticas.
n Si su política administra tráfico entrante, agregue las direcciones IP de base NAT a la sección Hasta
de la configuración de políticas.
En el ejemplo anterior, donde usamos 1-to-1 NAT para otorgar acceso a un grupo de servidores de correo
electrónico descritos en Acerca de las 1-to-1 NAT en la página 142, debemos configurar la política SMTP
para permitir el tráfico SMTP. Para completar esta configuración, debe cambiar la configuración de la
política para permitir el tráfico desde la red externa al rango de dirección IP 10.1.1.1-10.1.1.5.
Nota Para conectarse a una computadora ubicada en una interfaz diferente que usa 1-
to-1 NAT, debe usar la dirección IP pública (base de NAT) de esa computadora. Si
esto es un problema, puede desactivar 1-to-1 NAT y usar NAT estática.
Interfaz
El nombre de la interfaz Ethernet en la cual se aplica 1-to-1 NAT. Su dispositivo WatchGuard aplica 1-
to-1 NAT a paquetes enviados hacia y desde la interfaz. En nuestro ejemplo anterior, la regla se
aplica a la interfaz externa.
Base de NAT
Cuando se configura una regla de 1-to-1 NAT, la regla se configura con un rango de direcciones IP
desde y un rango hasta. La base de NAT es la primera dirección IP disponible en el rango de
direcciones hasta. La dirección IP base de NAT es la dirección a la que cambia la dirección IP de base
real cuando se aplica 1-to-1 NAT. No se puede usar la dirección IP de una interfaz Ethernet existente
como base de NAT. En nuestro ejemplo anterior, la base de NAT es 50.50.50.1.
Base real
Cuando se configura una regla de 1-to-1 NAT, la regla se configura con un rango de direcciones IP
desde y un rango hasta. La base real es la primera dirección IP disponible en el rango de direcciones
desde. Es la dirección IP asignada a la interfaz Ethernet física de la computadora a la cual se aplicará
la política de 1-to-1 NAT. Cuando los paquetes de una computadora con una dirección de base real
atraviesan la interfaz especificada, se aplica la acción 1 a 1. En nuestro ejemplo anterior, la base real
es 10.0.1.50.
También puede usar 1-to-1 NAT cuando debe crear un túnel VPN entre dos redes que usan la misma
dirección de red privada. Cuando se crea un túnel VPN, las redes en cada extremo del túnel VPN deben
tener rangos de direcciones de red diferentes. Si el rango de dirección en la red remota es el mismo que
en la red local, se pueden configurar ambas puertas de enlace para que usen 1-to-1 NAT. Luego, se puede
crear el túnel VPN y no cambiar las direcciones IP de un lado del túnel. 1-to-1 NAT se configura para un
túnel VPN al configurar el túnel VPN y no en el cuadro de diálogo Red> NAT.
Para observar un ejemplo de cómo usar 1-to-1 NAT, consulte Ejemplo de 1-to-1 NAT.
4. Desmarque la casilla de verificación 1-to-1 NAT para desactivar NAT para el tráfico controlado por
esta política.
5. Haga clic en Guardar.
El siguiente ejemplo ayuda a comprender cómo configurar el bucle invertido de NAT cuando se usa NAT
estática:
La empresa ABC tiene un servidor HTTP en la interfaz de confianza de Firebox. La empresa utiliza NAT
estática para asignar la dirección IP pública al servidor interno. La empresa desea permitir a los usuarios de
la red de confianza el uso de la dirección IP pública o el domain name para acceder a este servidor público.
La sección Hasta de la política contiene una ruta NAT estática desde la dirección IP pública del servidor
HTTP a la dirección IP real de ese servidor.
Para obtener más información acerca de NAT estática, consulte Acerca de la NAT estática en la página 153.
Si utiliza 1-to-1 NAT para enrutar tráfico a servidores dentro de su red, consulte Bucle invertido de NAT y 1-
to-1 NAT en la página 150.
Para comprender cómo configurar el bucle invertido de NAT cuando usa 1-to-1 NAT, proponemos este
ejemplo:
La empresa ABC tiene un servidor HTTP en la interfaz de confianza de Firebox. La empresa utiliza una regla
1-to-1 NAT para asignar la dirección IP pública al servidor interno. La empresa desea permitir a los usuarios
de la interfaz de confianza el uso de la dirección IP pública o el domain name para acceder a este servidor
público.
n Un servidor con la dirección IP pública 100.100.100.5 está asignado con una regla 1-to-1 NAT a un
host en la red interna.
En este ejemplo, para permitir el bucle invertido de NAT a todos los usuarios conectados a la interfaz de
confianza, es necesario:
1. Asegurarse de que exista una entrada 1-to-1 NAT para cada interfaz que usa ese tráfico cuando las
computadoras internas obtienen acceso a la dirección IP pública 100.100.100.5 con una conexión
Se debe agregar una asignación más de 1-to-1 NAT para aplicar al tráfico que se inicia en la interfaz
de confianza. La nueva asignación 1 a 1 es igual a la anterior, excepto que la Interfaz está
configurada en De confianza en lugar de Externa.
Después de agregar la segunda entrada 1-to-1 NAT, la sección de la pestaña 1-to-1 NAT cuadro de
diálogo Configuración de página muestra dos asignaciones de 1-to-1 NAT : una para Externa y una
para De confianza.
En la sección 1-to-1 NAT de la página de configuración de NAT, agregue estas dos entradas:
2. Agregue una entrada NAT dinámica para cada red en la interfaz a la que está conectado el servidor.
El campo Desde para la entrada NAT dinámica es la dirección IP de red de la red desde la cual las
computadoras obtienen acceso a la dirección IP de 1-to-1 NAT con bucle invertido de NAT.
Elcampo Hasta para laentrada NATdinámica esla direcciónbase de NAT enla asignaciónde 1-to-1NAT.
En este ejemplo, la interfaz de confianza tiene dos redes definidas y se desea permitir a los usuarios
de ambas redes obtener acceso al servidor HTTP con la dirección IP pública o nombre de host del
servidor. Se deben agregar dos entradas NAT dinámica.
10.0.1.0/24 - 100.100.100.5
192.168.2.0/24 - 100.100.100.5
3. Agregue una política para permitir a los usuarios en su red de confianza utilizar la dirección IP
pública o el domain name para obtener acceso al servidor público en la red de confianza. Para este
ejemplo:
De
Cualquiera de confianza
Para
100.100.100.5
La dirección IP pública a la que los usuarios desean conectarse es 100.100.100.5. Esta dirección IP
está configurada como dirección IP secundaria en la interfaz externa.
En la sección Hasta de la política, agregue 100.100.100.5.
Para obtener más información acerca de cómo configurar NAT estática, consulte Acerca de la NAT estática
en la página 153.
Para obtener más información acerca de cómo configurar 1-to-1 NAT, consulte Configurar el firewall 1-to-1
NAT en la página 144.
Cuando se usa NAT estática, se utiliza una dirección IP externa de Firebox en lugar de la dirección IP de un
servidor público. Se puede optar por esta posibilidad o se puede utilizar en caso de que el servidor público
no tenga una dirección IP pública. Por ejemplo, se puede ubicar el servidor de correo electrónico SMTP
detrás del dispositivo WatchGuard con una dirección IP privada y configurar NAT estática en su política
SMTP. El dispositivo WatchGuard recibe conexiones en el puerto 25 y se asegura de que todo el tráfico
SMTP se envíe al servidor SMTP real detrás de Firebox.
Nota NAT estática sólo está disponible para políticas que usan un puerto específico, que
incluye TCP y UDP. Una política que utiliza un protocolo diferente no puede usar
NAT estática entrante. El botón NAT en el cuadro de diálogo Propiedades de esa
política no está disponible. También se puede usar NAT estática con la política
Cualquiera.
6. En la lista desplegable Dirección IP externa, seleccione la dirección IP externa o alias que desea
utilizar en esta política.
Por ejemplo, puede usar NAT estática en esta política para paquetes recibidos en sólo una dirección
IP externa. O bien, puede usar NAT estática para paquetes recibidos en cualquier dirección IP
externa si selecciona el alias Cualquiera externo.
7. Ingrese la dirección IP interna. Es el destino en la red opcional o de confianza.
8. Si es necesario, seleccione la casilla de verificación Determinar puerto interno para un puerto
diferente . Esto activa la traducción de dirección de puerto (PAT).
Esta función permite cambiar el destino del paquete no sólo a un host interno específico sino
también a un puerto diferente. Si selecciona esta casilla de verificación, ingrese el número de
puerto o haga clic en la flecha hacia arriba o hacia abajo para seleccionar el puerto que desea
utilizar. En general, esta función no se utiliza.
9. Haga clic en OK para cerrar el cuadro de diálogo Agregar NAT estática.
La ruta de NAT estática aparece en la lista Miembros y Direcciones.
La función de balance de carga en el servidor en Fireware XTM está diseñada para ayudarle a aumentar la
escalabilidad y el rendimiento de una red de alto tráfico con múltiples servidores públicos. Con el balance
de carga en el servidor, puede activar al dispositivo WatchGuard para que controle el número de sesiones
iniciadas en hasta diez servidores para cada política de firewall que configure. El dispositivo WatchGuard
controla la carga según el número de sesiones en uso en cada servidor. El dispositivo WatchGuard no mide
ni compara el ancho de banda que usa cada servidor.
El balance de carga en el servidor se configura como parte de una regla NAT estática. El dispositivo
WatchGuard puede balancear conexiones entre sus servidores con dos algoritmos diferentes. Cuando se
configura el balance de carga en el servidor, se debe elegir el algoritmo al que desea que se aplique el
dispositivo WatchGuard.
Si selecciona esta opción, el dispositivo WatchGuard distribuye las sesiones entrantes entre los
servidores que se especifican en la política en orden de operación por turnos. La primera conexión
se envía al primer servidor especificado en su política. La próxima conexión se envía al siguiente
servidor en su política y así sucesivamente.
Conexión menor
Si selecciona esta opción, el dispositivo WatchGuard envía cada nueva sesión al servidor en la lista
que actualmente tiene el número más bajo de conexiones abiertas al dispositivo. El dispositivo
WatchGuard no puede determinar cuántas conexiones abiertas tiene el servidor en otras interfaces.
Se pueden aplicar pesos a los servidores en la configuración del balance de carga en el servidor para
asegurarse de que los servidores con más capacidad reciban la carga más pesada. De manera
predeterminada, cada interfaz tiene un peso de uno. El peso se refiere a la proporción de carga que
el dispositivo WatchGuard envía a un servidor. Si se asigna un peso de 2 a un servidor, se duplica en
número de sesiones que el dispositivo WatchGuard envía a ese servidor, en comparación con un
servidor con un peso de 1.
n Se puede configurar el balance de carga en el servidor para cualquier política a la cual se puede
aplicar NAT estática.
n Si se aplica el balance de carga en el servidor a una política, no se puede configurar el enrutamiento
basado en políticas u otras reglas de NAT en la misma política.
n Cuando se aplica el balance de carga en el servidor a una política, se puede agregar un máximo de
10 servidores a la política.
n El dispositivo WatchGuard no modifica al remitente o la dirección IP de origen del tráfico enviado a
estos dispositivos. Mientras que el tráfico se envía directamente desde el dispositivo WatchGuard,
cada dispositivo que forma parte de la configuración de balance de carga en el servidor ve la
dirección IP de origen original del tráfico de red.
n Si se usa balance de carga en el servidor en una configuración de FireCluster activa/pasiva, no
ocurre la sincronización en tiempo real entre los miembros del cluster cuando ocurre un evento de
conmutación por error. Cuando la copia de seguridad principal pasiva se convierte en cluster
principal activo, envía conexiones a todos los servidores en la lista de balance de carga en el servidor
para ver cuáles servidores están disponibles. Entonces aplica el algoritmo de balance de carga del
servidor a todos los servidores disponibles.
1. Seleccione Firewall >Políticas de Firewall. Seleccione la política que dese modificar y haga clic en
Editar.
O bien, agregue una nueva política.
4. En la lista desplegable Dirección IP externa, seleccione la dirección IP externa o alias que desea
utilizar en esta política.
Por ejemplo, se puede determinar que el dispositivo WatchGuard aplique el balance de carga en el
servidor para esta política a paquetes recibidos en sólo una dirección IP externa. O bien, se puede
determinar que el dispositivo WatchGuard aplique el balance de carga en el servidor a paquetes
recibidos en cualquier dirección IP externa si selecciona el alias Cualquiera externo.
5. En la lista desplegable Método, seleccione el algoritmo deseado para que use el dispositivo
WatchGuard para el balance de carga en el servidor: Operación por turnos o Conexión menor.
6. Haga clic en Agregar para agregar las direcciones IP de sus servidores internos para esta política.
Puede agregar un máximo de 10 servidores a una política. También puede agregar peso al servidor.
De manera predeterminada, cada servidor tiene un peso de 1. El peso se refiere a la proporción de
carga que el dispositivo WatchGuard envía a un servidor. Si se asigna un peso de 2 a un servidor, se
duplica en número de sesiones que el dispositivo WatchGuard envía a ese servidor, en comparación
con un servidor con un peso de 1.
7. Para establecer sticky connections para los servidores internos, seleccione la casilla de verificación
Activar sticky connection y configure el período en los campos Activar sticky connection.
Una sticky connection es una conexión que continúa usando el mismo servidor durante un período
definido. Esta cohesión garantiza que todos los paquetes entre un par de direcciones de origen y de
destino se envíen al mismo servidor durante el período especificado.
8. Haga clic en Guardar.
Ejemplos de NAT
Ejemplo de 1-to-1 NAT
Cuando se activa 1-to-1 NAT, el dispositivo Firebox o XTM cambia y enruta todos los paquetes entrantes y
salientes enviados desde un rango de direcciones a un rango de direcciones diferente.
Considere una situación en la que se tiene un grupo de servidores internos con direcciones IP privadas,
cada una de las cuales debe mostrar una dirección IP pública diferente al mundo exterior. Puede usar 1-to-
1 NAT para asignar direcciones IP públicas a los servidores internos y no tiene que cambiar las direcciones
IP de sus servidores internos. Para comprender cómo configurar 1-to-1 NAT, considere este ejemplo:
Una empresa tiene un grupo de tres servidores con direcciones privadas detrás de una interfaz opcional de
su Firebox. Las direcciones de estos servidores son:
10.0.2.11
10.0.2.12
10.0.2.13
El administrador selecciona tres direcciones IP públicas de la misma dirección de red como interfaz externa
de su Firebox y crea registros DNS para que los servidores resuelvan. Estas direcciones son:
50.50.50.11
50.50.50.12
50.50.50.13
Ahora el administrador configura una regla 1-to-1 NAT para los servidores. La regla 1-to-1 NAT crea una
relación estática, bidireccional entre los pares correspondientes de direcciones IP. La relación tiene el
siguiente aspecto:
Cuando se aplica la regla 1-to-1 NAT, Firebox crea el enrutamiento bidireccional y la relación NAT entre el
grupo de direcciones IP privadas y el grupo de direcciones públicas.
Para conocer los pasos para definir una regla 1-to-1 NAT, consulte Configurar el firewall 1-to-1 NAT.
Antes de configurar el acceso a la red inalámbrica, consulte Antes de empezar en la página 161.
Para obtener información sobre cómo configurar la interfaz externa en modo inalámbrico,
consulte Configurar la interfaz externa como interfaz inalámbrica en la página 178.
Para más informaciones, vea Acerca de las configuración del punto de acceso inalámbrico en la
página 160.
Para más informaciones, vea Acerca de configuraciones de radio en Firebox X Edge e-Series
inalámbrico en la página 181 y Acerca de las configuraciones de radio inalámbrico en el dispositivo
inalámbrico WatchGuard XTM 2 Series en la página 183.
4. Haga clic en Guardar.
Antes de activar el dispositivo inalámbrico WatchGuard como un punto de acceso inalámbrico, debe
examinar cuidadosamente los usuarios inalámbricos que se conectan con el dispositivo y determinar el
nivel de acceso que desea para cada tipo de usuario. Hay tres tipos de acceso inalámbrico que puede
habilitar:
Cuando habilita conexiones inalámbricas a través de una interfaz de confianza, los dispositivos
inalámbricos tienen acceso total a todas las computadoras en las redes opcionales y de confianza, así
como acceso total a Internet según las reglas que usted configure para el acceso saliente en su
dispositivo WatchGuard. Si activa el acceso inalámbrico a través de una interfaz de confianza, se
recomienda especialmente que active y utilice la función de restricción de MAC para habilitar el
acceso a través del dispositivo WatchGuard sólo para los dispositivos que agregue a la lista de
direcciones MAC habilitadas.
Para obtener más información sobre cómo restringir el acceso a través de direcciones MAC,
consulte Usar vínculo de dirección MAC estático en la página 103.
Cuando habilita conexiones inalámbricas a través de una interfaz opcional, esos dispositivos
inalámbricos tienen acceso total a todas las computadoras en la red opcional, así como acceso total a
Internet según las reglas que configure para el acceso saliente en su dispositivo WatchGuard.
Las computadoras que se conectan con la Wireless Guest Network se conectan a través del
dispositivo WatchGuard a Internet según las reglas que configure para el acceso saliente en su
dispositivo WatchGuard. Estos dispositivos no tienen acceso a las computadoras de su red opcional o
de confianza.
Para obtener más información sobre cómo configurar una Wireless Guest Network, consulte Activar
una red inalámbrica para invitados en la página 170.
Antes de configurar el acceso a la red inalámbrica, consulte Antes de empezar en la página 161.
Para habilitar conexiones inalámbricas a su red opcional o de confianza, consulte Habilitar conexiones
inalámbricas a la red opcional o de confianza en la página 167.
Antes de empezar
Los dispositivos inalámbricos WatchGuard cumplen con las pautas 802.11n, 802.11b y 802.11g establecidas
por el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE). Al instalar un dispositivo inalámbrico
WatchGuard:
Acerca de configuraciones
Cuando activa el acceso a la red opcional, de confianza o inalámbrica para invitados, algunas configuraciones
se definen del mismo modo para cada una de las tres zonas de seguridad. Éstas pueden configurarse con
distintos valores para cada zona.
Para obtener información sobre la configuración de SSID de broadcast y responder a las consultas sobre la
configuración del SSID, consulte Activar/desactivar Broadcasts de SSID en la página 163.
Para obtener información sobre cómo configurar el Nombre de red (SSID), consulte Cambiar la SSID en la
página 163.
Para obtener información sobre la configuración Registrar eventos de autenticación, consulte Registro
eventos de autenticación en la página 163.
Para obtener información sobre el Umbral de RTS, consulte Cambiar la Umbral de RTS en la página 165.
Para obtener información sobre las configuraciones de Autenticación y de Cifrado, consulte Acerca de
configuraciones de seguridad en la página 166.
Para configurar una interfaz inalámbrica de dispositivo WatchGuard a fin de enviar y responder a estas
solicitudes, seleccione la casilla de verificación Broadcast de SSID y responder a consultas SSID. Por
razones de seguridad, active esta opción únicamente cuando se encuentre configurando computadoras en
su red a fin de conectar el dispositivo inalámbrico WatchGuard. Desactive esta opción una vez que todos sus
clientes estén configurados. Si utiliza la función de servicios inalámbricos para invitados, quizá deba habilitar
broadcasts de SSID en la operación estándar.
Cambiar la SSID
El SSID (Identificador de conjunto de servicios) es el nombre específico de su red inalámbrica. Para utilizar
la red inalámbrica desde la computadora de un cliente, la tarjeta de red inalámbrica en la computadora
debe tener el mismo SSID que la red inalámbrica WatchGuard a la cual se conecta la computadora.
El SO Fireware XTM asigna automáticamente un SSID a cada red inalámbrica. Este SSID utiliza un formato
que contiene el nombre de la interfaz, y los dígitos entre el quinto y el noveno del número de serie del
dispositivo inalámbrico WatchGuard. Para cambiar el SSID, ingrese un nuevo nombre en el campo SSID para
identificar específicamente su red inalámbrica.
Hay más posibilidades de que los marcos más grandes choquen entre sí que los pequeños. Para reducir los
paquetes inalámbricos, debe disminuir el umbral de fragmentación en el dispositivo inalámbrico
WatchGuard. Si disminuye el tamaño máximo de los marcos, esto puede reducir la cantidad de
transmisiones de repetición ocasionadas por los choques y disminuir la sobrecarga ocasionada por las
transmisiones de repetición.
Los marcos más pequeños introducen más sobrecarga en la red. Esto ocurre particularmente en las redes
inalámbricas debido a que cada marco fragmentado enviado desde un dispositivo inalámbrico a otro
requiere que el dispositivo receptor reconozca el marco. Cuando las tasas de error de los paquetes son
altas (mayores a un porcentaje de choques o de errores del cinco o del diez por ciento), puede mejorar el
rendimiento de la red inalámbrica si disminuye el umbral de fragmentación. El tiempo que se ahorra al
reducir las transmisiones de repetición puede ser suficiente para compensar la sobrecarga adicional que
agregan los paquetes más pequeños. Esto puede dar como resultado una mayor velocidad.
Si la tasa de error de los paquetes es baja y usted reduce el umbral de fragmentación, el rendimiento de la
red inalámbrica disminuye. Esto se produce debido a que cuando usted disminuye el umbral, se agrega
sobrecarga del protocolo y la eficiencia del protocolo se reduce.
Si desea experimentar, comience con el máximo predeterminado 2346 y disminuya el umbral de a una
pequeña cantidad por vez. Para lograr un buen aprovechamiento, debe monitorear los errores de los
paquetes de la red en diferentes momentos del día. Compare el efecto que un umbral más pequeño
produce en el rendimiento de la red cuando los errores son muy altos con el efecto en el rendimiento
cuando los errores son moderadamente altos.
2. Seleccione la red inalámbrica que desea configurar. Junto al Punto de acceso 1, al Punto de acceso
2 o a Invitado inalámbrico, haga clic en Configurar.
Aparecen los ajustes de configuración automática para esa red inalámbrica.
Si debe cambiar el umbral de RTS, ajústelo en forma gradual. Redúzcalo de a una pequeña cantidad por vez.
Luego de cada cambio, aguarde el tiempo necesario para decidir si el cambio en el rendimiento de la red es
positivo antes de cambiarlo nuevamente. Si reduce demasiado este valor, puede introducir más latencia en
la red, ya que las solicitudes de envío se incrementan tanto que el medio compartido se reserva con más
frecuencia que la necesaria.
Tanto WEP como WPA utilizan claves compartidas iniciales. WPA y WPA2 utilizan un algoritmo para cambiar
la clave de cifrado a intervalos regulares, lo que mantiene la seguridad de los datos enviados en una
conexión inalámbrica.
Para proteger la privacidad, puede utilizar estas funciones junto con otros mecanismos de seguridad de
LAN, tales como protección de contraseña, túneles VPN y autenticación de usuario.
Sistema abierto
La autenticación de sistema abierto permite a cualquier usuario autenticar el punto de acceso. Este
método se puede utilizar sin cifrado o con cifrado de privacidad equivalente por cable (WEP).
Clave compartida
Cuando utiliza WPA (Wi-Fi Protected Access) con claves compartidas iniciales, se otorga a cada
usuario inalámbrico la misma contraseña para autenticar el punto de acceso inalámbrico.
WPA/WPA2 (PSK)
Cuando selecciona la autenticación WPA/WPA2 (PSK), Edge acepta conexiones desde dispositivos
inalámbricos configurados para utilizar WPA o WPA2.
La autenticación WPA2 con claves compartidas iniciales implementa la norma 802.11i completa y es
el método de autenticación más seguro. No funciona con algunas tarjetas de red inalámbrica
anteriores.
1. Si utiliza el cifrado WEP, en los cuadros de texto Clave, ingrese caracteres hexadecimales o ASCII. No
todos los controladores de adaptadores inalámbricos admiten caracteres ASCII. Puede tener un
máximo de cuatro claves.
n Una clave WEP hexadecimal de 64 bits debe tener 10 caracteres hexadecimales (0-f).
n Una clave WEP ASCII de 40 bits debe tener 5 caracteres.
n Una clave WEP hexadecimal de 128 bits debe tener 26 caracteres hexadecimales (0-f).
n Una clave WEP ASCII de 128 bits debe tener 13 caracteres.
2. Si ingresó más de una clave, en la lista desplegable Índice de claves, seleccione la clave que desea
utilizar de manera predeterminada.
El dispositivo Firebox o XTM inalámbrico sólo puede usar una encryption key por vez. Si seleccionó
una clave distinta de la primera clave en la lista, también debe configurar su cliente inalámbrico para
que utilice la misma clave.
n TKIP — Sólo use TKIP (Protocolo de integridad de clave temporal) para el cifrado. Esta opción no
está disponible para los modos inalámbricos que admiten 802.11n.
n AES — Sólo utilice AES (Estándar de cifrado avanzado) para el cifrado.
n TKIP o AES — Utilice TKIP o AES.
Le recomendamos que seleccione TKIP o AES. Esto permite que el dispositivo inalámbrico Firebox o XTM
acepte conexiones de clientes inalámbricos configurados para utilizar cifrado TKIP o AES. En el caso de los
clientes inalámbricos 802.11n, le recomendamos que configure el cliente inalámbrico para utilizar el
cifrado AES.
De confianza
Cualquier cliente inalámbrico en la red de confianza tiene acceso total a las computadoras en
las redes opcionales y de confianza, y acceso a Internet según lo definen las reglas de firewall
saliente en su dispositivo WatchGuard.
Si el cliente inalámbrico configura la dirección IP en su tarjeta de red inalámbrica con DHCP, el servidor
DHCP en la red opcional de Edge debe estar activo y configurado.
Opcional
Cualquier cliente inalámbrico en la red opcional tiene acceso total a las computadoras en la red
opcional y acceso a Internet según lo definen las reglas de firewall saliente en su dispositivo
WatchGuard.
Si el cliente inalámbrico configura la dirección IP en su tarjeta de red inalámbrica con DHCP, el servidor
DHCP en la red opcional de Edge debe estar activo y configurado.
6. Para configurar la interfaz inalámbrica para enviar y responder a las solicitudes de SSID, seleccione la
casilla de verificación Broadcast de SSID y responder a consultas SSID.
Para obtener información sobre esta configuración, consulte Activar/desactivar Broadcasts de SSID
en la página 163.
7. Seleccione la casilla de verificación Registrar eventos de autenticación si desea que el dispositivo
WatchGuard envíe un mensaje de registro al archivo de registro cada vez que una computadora
inalámbrica intenta conectase con la interfaz.
Para más informaciones acerca de registros, vea Registro eventos de autenticación en la página 163.
8. Para requerir que los usuarios inalámbricos utilicen Mobile VPN con el cliente IPSec, seleccione la
casilla de verificación Requerir Mobile VPN cifrado con conexiones IPSec para clientes
inalámbricos.
Cuando selecciona esta casilla de verificación, los únicos paquetes que Firebox habilita a través de la
red inalámbrica son DHCP, ICMP, IKE (UDP puerto 500), ARP e IPSec (protocolo IP 50). Si requiere
que los usuarios inalámbricos utilicen Mobile VPN con el cliente IPSec, se puede incrementar la
seguridad para los clientes inalámbricos si no selecciona WPA o WPA2 como el método de
autenticación inalámbrica.
9. En el cuadro de texto Nombre de red (SSID), ingrese un nombre específico para su red opcional
inalámbrica o utilice el nombre predeterminado.
Para obtener información sobre cómo cambiar el SSID, consulte Cambiar la SSID en la página 163.
10. Para cambiar el umbral de fragmentación, en el cuadro de texto Umbral de fragmentación ingrese
un valor: 256–2346. No se recomienda cambiar esta configuración.
Para obtener más información sobre esta configuración, consulte Cambiar la umbral de
fragmentación en la página 163.
11. En la lista desplegable Autenticación, seleccione el tipo de autenticación para activar las conexiones
inalámbricas con la interfaz opcional. Recomendamos utilizar WPA2 si los dispositivos inalámbricos
de la red son compatibles con WPA2.
Para obtener más información sobre esta configuración, consulte Definir inalámbricos método de
autenticación.
12. En la lista desplegable Cifrado, seleccione el tipo de cifrado que desea utilizar para la conexión
inalámbrica y agregue las claves o las contraseñas requeridas para el tipo de cifrado que seleccione.
Si selecciona una opción de cifrado con claves compartidas iniciales, se genera una clave compartida
inicial aleatoria para usted. Puede usar esta clave o ingresar una propia.
Para configurar una Wireless Guest Network sin acceso a las computadoras en sus redes opcionales o de
confianza, consulte Activar una red inalámbrica para invitados en la página 170.
Se permiten conexiones inalámbricas a Internet a través del dispositivo WatchGuard según las reglas
que usted haya configurado para el acceso saliente en su dispositivo. Estas computadoras no tienen
acceso a las computadoras de su red opcional o de confianza.
5. En el cuadro de texto Dirección IP, ingrese la dirección IP privada que utilizará con la Wireless Guest
Network. La dirección IP que ingrese no debe estar en uso en una de sus interfaces de red.
6. En el cuadro de diálogo Máscara de subred, ingrese la máscara de subred. El valor correcto
generalmente es 255.255.255.0.
7. Para configurar el dispositivo WatchGuard como un servidor DHCP cuando un dispositivo
inalámbrico intenta realizar una conexión, seleccione la casilla de verificación Activar servidor DHCP
en la Wireless Guest Network.
Para obtener más información sobre cómo establecer la configuración para el servidor DHCP,
consulte Configurar el DHCP en modo de enrutamiento mixto en la página 86.
8. Haga clic en la pestaña Inalámbrica para ver las configuraciones de seguridad para la Wireless Guest
Network.
Aparecen las configuraciones inalámbricas.
9. Seleccione la casilla de verificación SSID de broadcast y responder a consultas SSID para que su
nombre de Wireless Guest Network esté visible para los usuarios invitados.
Para obtener información sobre esta configuración, consulte Activar/desactivar Broadcasts de SSID
en la página 163.
10. Para enviar un mensaje de registro al archivo de registro cada vez que una computadora inalámbrica
intenta conectarse con la Wireless Guest Network, seleccione la casilla de verificación Registrar
eventos de autenticación.
Para más informaciones acerca de registros, vea Registro eventos de autenticación en la página 163.
11. Para permitir que los usuarios inalámbricos invitados se envíen tráfico entre sí, desmarque la casilla
de verificación Prohibir tráfico de red inalámbrica de cliente a cliente.
12. En el cuadro de texto Nombre de red (SSID), ingrese un nombre específico para su Wireless Guest
Network o utilice el nombre predeterminado.
Para obtener información sobre cómo cambiar el SSID, consulte Cambiar la SSID en la página 163.
13. Para cambiar el umbral de fragmentación, en el cuadro de texto Umbral de fragmentación ingrese
un valor: 256–2346. No se recomienda cambiar esta configuración.
Para obtener más información sobre esta configuración, consulte Cambiar la umbral de
fragmentación en la página 163.
14. En la lista desplegable Autenticación, seleccione el tipo de autenticación para activar las conexiones a
la Wireless Guest Network. La configuración que elija dependerá del tipo de acceso a los invitados que
desee proveer y de si desea requerir que sus invitados ingresen una contraseña para utilizar la red.
Para obtener más información sobre esta configuración, consulte Definir inalámbricos método de
autenticación en la página 166.
15. En la lista desplegable Cifrado, seleccione el tipo de cifrado que desea utilizar para la conexión
inalámbrica y agregue las claves o las contraseñas requeridas para el tipo de cifrado que seleccione.
Si selecciona una opción de cifrado con claves compartidas iniciales, se genera una clave compartida
inicial aleatoria para usted. Puede usar esta clave o ingresar una propia.
También puede restringir el acceso a la red invitada mediante una dirección MAC . Haga clic en la pestaña
Control de acceso MAC para activar el control de acceso MAC. Debe utilizar esta pestaña de la misma
manera en que restringe el tráfico de red en una interfaz según se describe en Restringir el tráfico de red
mediante la dirección MAC en la página 97.
Cuando activa la función de hotspot inalámbrico, se crea automáticamente la política Permitir usuarios de
hotspot. Esta política permite las conexiones desde la interfaz inalámbrica para invitados a sus interfaces
externas. Esto provee a los usuarios del hotspot inalámbrico un acceso inalámbrico a Internet sin acceso a
las computadoras en sus redes opcionales o de confianza.
Antes de configurar un hotspot inalámbrico, debe establecer la configuración de su red inalámbrica para
invitados como se describe en Activar una red inalámbrica para invitados.
Como mínimo, debe especificar el Título de la página y los Términos y condiciones para activar esta
función.
1. En el cuadro de texto Título de la página, ingrese el título que desea que aparezca en la página de
presentación del hotspot.
n Color del texto: Éste es el color para el texto en la pantalla de presentación del hotspot. El color
predeterminado es el #000000 (negro). El color configurado aparece en un recuadro
adyacente al cuadro de texto Color del texto. Haga clic en el recuadro coloreado para
seleccionar un color diferente en la paleta de colores. O bien, ingrese el código de color HTML
en el cuadro de texto Color del texto.
n Color de fondo: Éste es el color utilizado para el fondo de la pantalla de presentación del
hotspot. El color predeterminado es el #FFFFFF (blanco). El color configurado aparece en un
recuadro adyacente al cuadro de texto Color de fondo. Haga clic en el recuadro coloreado para
seleccionar un color diferente en la paleta de colores. O bien, ingrese el código de color HTML
en el cuadro de texto Color de fondo.
7. Haga clic en la Vista previa de la pantalla de presentación.
Aparece una vista previa de la pantalla de presentación en una nueva ventana del navegador.
1. Utilice un cliente inalámbrico para conectase a su red inalámbrica para invitados. Utilice el SSID y
cualquier otra configuración que haya establecido para la red inalámbrica para invitados.
2. Abra un explorador web. Navegue a cualquier sitio web.
Aparecerá la pantalla de presentación del hotspot inalámbrico en el navegador.
Para desconectar a un cliente hotspot inalámbrico, desde la página Clientes hotspot inalámbricospage:
Configuración manual
Para usar una dirección IP estática, seleccione esta opción. Ingrese la Dirección IP, Máscara de
subred y Puerta de enlace predeterminada.
Cliente DHCP
Para configurar la interfaz externa como cliente DHCP , seleccione esta opción. Ingrese la
configuración de DHCP.
Para obtener más información acerca de cómo configurar la interfaz externa para usar una
dirección IP estática o DHCP, consulte Configurar una interfaz externa en la página 82.
5. Haga clic en la pestaña Inalámbrico.
Aparece la configuración de cliente inalámbrico.
6. En el cuadro de texto Nombre de red (SSID), ingrese un nombre único para la red externa
inalámbrica.
7. En la lista desplegable Autenticación, seleccione el tipo de autenticación que desea activar para las
conexiones inalámbricas. Recomendamos utilizar WPA2 si los dispositivos inalámbricos de la red son
compatibles con WPA2.
Para obtener más información acerca de los métodos de autenticación inalámbrica, consulte Acerca
de configuraciones de seguridad en la página 166.
8. En la lista desplegable Cifrado, seleccione el tipo de cifrado que desea utilizar para la conexión
inalámbrica y agregue las claves o las contraseñas requeridas para el tipo de cifrado que seleccione.
Si selecciona una opción de cifrado con claves compartidas iniciales, se genera una clave compartida
inicial aleatoria para usted. Puede usar esta clave o ingresar una propia.
Para obtener información acerca de cómo configurar un túnel BOVPN, consulte Acerca de túneles BOVPN
manuales en la página 418.
1. En la lista desplegable Región operativa, seleccione la región operativa que mejor describa la
ubicación de su dispositivo.
La lista de regiones operativas inalámbricas que puede seleccionar en su Firebox puede ser
diferente según dónde lo haya adquirido.
2. En la lista desplegable Canal, seleccione un canal o seleccione Automático.
Debido a los requisitos normativos de las distintas partes del mundo, no todos los canales inalámbricos están
disponibles en todas las regiones. Esta tabla incluye los canales disponibles para cada región operativa
compatible en Firebox X Edge e-Series inalámbrico.
Europa,
Frecuencia Australia Medio República
Canal central América Asia &Nueva Oriente y Francia Israel Japón Taiwán Popular
(MHz) Zelanda África de China
(EMEA)
1 2412 Sí Sí Sí Sí -- -- Sí Sí Sí
2 2417 Sí Sí Sí Sí -- -- Sí Sí Sí
3 2422 Sí Sí Sí Sí -- Sí Sí Sí Sí
4 2427 Sí Sí Sí Sí -- Sí Sí Sí Sí
5 2432 Sí Sí Sí Sí -- Sí Sí Sí Sí
6 2437 Sí Sí Sí Sí -- Sí Sí Sí Sí
7 2442 Sí Sí Sí Sí -- Sí Sí Sí Sí
8 2447 Sí Sí Sí Sí -- Sí Sí Sí Sí
9 2452 Sí Sí Sí Sí -- Sí Sí Sí Sí
10 2457 Sí Sí Sí Sí Sí -- Sí Sí Sí
11 2462 Sí Sí Sí Sí Sí -- Sí Sí Sí
12 2467 -- -- Sí Sí Sí -- Sí -- Sí
13 2472 -- -- Sí Sí Sí -- Sí -- Sí
14 2484 -- -- -- -- -- -- Sí -- --
802.11b solamente
Este modo limita el dispositivo inalámbrico WatchGuard para que se conecte con dispositivos que
estén sólo en el modo 802.11b.
802.11g solamente
Este modo limita el dispositivo inalámbrico WatchGuard para que se conecte con dispositivos que
estén sólo en el modo 802.11g.
802.11g y 802.11b
Si el dispositivo 2 Series aún no tiene una región configurada o si la región no está actualizada, puede forzar
el dispositivo para actualizar la región de radio inalámbrico.
Éste es el modo predeterminado en la banda 2.4 GHz y es la configuración recomendada. Este modo
le permite al dispositivo WatchGuard conectarse con los dispositivos que utilizan 802.11n, 802.11g u
802.11b.
802.11g y 802.11b
Este modo le permite al dispositivo inalámbrico WatchGuard conectarse con los dispositivos que
utilizan 802.11g u 802.11b.
SÓLO 802.11b
Este modo le permite al dispositivo inalámbrico WatchGuard conectarse solamente con los
dispositivos que utilizan 802.11b.
Éste es el modo predeterminado en la banda 5 GHz. Este modo le permite al dispositivo inalámbrico
WatchGuard conectarse con los dispositivos que utilizan 802.11a u 802.11n.
SÓLO 802.11a
Este modo le permite al dispositivo inalámbrico WatchGuard conectarse solamente con los
dispositivos que utilizan 802.11a.
Nota Si elige un modo inalámbrico que admite varias normas 802.11, el rendimiento
general puede disminuir considerablemente. Esto se debe en parte a la necesidad
de admitir protocolos de protección para la retrocompatibilidad cuando los
dispositivos que utilizan modos más lentos están conectados. Además, los
dispositivos más lentos tienden a dominar la velocidad porque puede llevar mucho
más tiempo enviar o recibir la misma cantidad de datos a los dispositivos que
utilizan un modo más lento.
La banda 5 GHz provee más rendimiento que la banda 2.4 GHz, pero puede no ser compatible con todos los
dispositivos inalámbricos. Seleccione la banda y el modo según las tarjetas inalámbricas de los dispositivos
que se conectarán con el dispositivo inalámbrico WatchGuard.
Seleccionar el canal
Los canales disponibles dependen del país y del modo inalámbrico que seleccione. En forma
predeterminada, el Canal se configura en Automático. Cuando el canal se configura en Automático, el
dispositivo inalámbrico 2-Series selecciona automáticamente un canal silencioso de la lista disponible en la
banda que usted ha seleccionado. O puede seleccionar un canal específico de la lista desplegable Canal.
Si la red utiliza cifrado, ingrese la clave de red dos veces en el cuadro de texto Conexión de red
inalámbrica y haga clic en Conectar nuevamente.
10. Configure la computadora inalámbrica para utilizar la configuración dinámica de host (DHCP).
Nota El soporte para algunos protocolos de dynamic routing está disponible sólo en el
Fireware XTM con actualización Pro. El dynamic routing no es soportado en el
Firebox X Edge E-Series.
El Fireware XTM soporta los protocolos RIP v1 y RIP v2. El Fireware XTM con actualización Pro soporta los
protocolos RIP v1, RIP v2, OSPF y BGP v4.
n Los caracteres "!" y "#" son puestos antes de los comentarios, que son líneas de texto en archivos de
configuración que explican la función de los comandos siguientes. Si el primer caracter de una línea
El RIP es mejor para redes pequeñas. Eso es así porque la transmisión de la tabla de enrutamiento completa
a cada 30 segundos puede poner una carga grande de tráfico en la red y porque las tablas de RIP se limitan
a 15 saltos. El OSPF es una mejor opción para grandes redes.
Hay dos versiones del RIP. RIP v1 usa la difusión de UDP a través del puerto 520 para enviar actualizaciones
a las tablas de enrutamiento. RIP v2 usa la multidifusión para enviar actualizaciones de tabla de
enrutamiento.
interfaz-pasiva eth[N]
interfaz-pasiva predeterminada
red [A.B.C.D/M]
vecino [A.B.C.D/M]
redistribuir mapa-ruta conectado Redistribuir rutas de todas las interfaces hacia puntos
[NOMBREMAPA] RIP, con un filtro de mapa de ruta (nombremapa)
redistribuir mapa-ruta ospf Redistribuir rutas desde OSPF a RIP, con un filtro de
[NOMBREMAPA] mapa de ruta (nombremapa).
redistribuir mapa-ruta bgp Redistribuir rutas desde BGP a RIP, con un filtro de
[NOMBREMAPA] mapa de ruta (nombremapa).
coincidir dirección ip
[NOMBRELISTA]
4. Seleccione Activar .
5. Copie y pegue el texto del archivo de configuración del demonio de enrutamiento en la ventana.
6. Haga clic en Guardar.
Entonces puede añadir la autenticación y restringir la política de RIP para analizar sólo las interfaces
correctas.
4. Seleccione Activar .
Entonces puede añadir la autenticación y restringir la política de RIP para analizar sólo las interfaces
correctas.
Los comandos opcionales son comentados con el caracter "!" . Para activar un comando, elimine el "!" y
modifique las variables, según sea necesario.
!! SECCIÓN 1: Configurar claves de autenticación MD5.
! Definir el nombre de la clave de autenticación MD5 (CLAVE), el número de la
clave (1),
! y la cadena de la clave de autenticación (CLAVEAUT).
! clave CLAVE
! clave 1 ! cadena-clave CLAVEAUT
!! SECCIÓN 2: Configure las propiedades de interfaz.
! Definir autenticación para interfaz (eth1).
! interfaz eth1
!
! Definir la contraseña de autenticación simple de RIP (CLAVECOMPARTIDA).
! ip rip cadena de autenticación CLAVECOMPARTIDA
!
! Definir autenticación MD5 de RIP y clave MD5 (CLAVE).
! ip rip modo autenticación md5
El OSPF (Abrir camino más curto primero) es un protocolo de enrutador interior usado en grandes redes.
Con el OSPF, un enrutador que ve una alteración en su tabla de enrutamiento o que detecta un cambio en
la red inmediatamente envía una actualización de multidifusión a todos los otros enrutadores en la red.
OSPF es diferente del RIP porque:
n El OSPF envía sólo la parte de la tabla de enrutamiento que fue alterada en la transmisión. El RIP
envía la tabla de enrutamiento completa todas las veces.
n El OSPF envía una multidifusión sólo cuando su información fue alterada. El RIP envía una tabla de
enrutamiento a cada 30 segundos.
n Si tiene más de un área de OSPF, una debe ser área 0.0.0.0 (el área del backbone).
n Todas las áreas deben ser adyacentes al área de backbone. Si no lo son, debe configurar un enlace
virtual al área de backbone.
Comandos de OSPF
Para crear o modificar un archivo de configuración de enrutamiento, debe usar los comandos correctos de
enrutamiento. La tabla siguiente es un catálogo de comandos de enrutamiento soportados por OSPF. Las
secciones deben aparecer en el archivo de configuración en el mismo orden que aparecen en esta tabla.
También puede usar el texto de muestra encontrados en Muestra de archivo de configuración del
enrutamiento OSPF en la página 199.
Configurar interfaz
ip ospf clave-autenticación
Definir contraseña de autenticación de OSPF
[CONTRASEÑA]
interfaz
ancho de banda de referencia de Definir costo global (vea tabla de costo de OSPF
costo-auto[0-429495] abajo); no use con el comando "ip ospf [COSTO]"
La variable "área" puede ser ingresada en dos formatos: [W.X.Y.Z]; o como un número entero [Z].
área [Z] enlace-virtual [W.X.Y.Z] Definir vecino de enlace virtual para área 0.0.0.Z
Redistribuir rutas OSPF
coincidir dirección ip
[NOMBRELISTA]
Ethernet 1G 128M 1
4. Seleccione Activar .
Para más información acerca de cómo definir las direcciones de origen y destino para una política,
vea Definir reglas de acceso a una política en la página 267.
4. Haga clic en Guardar.
5. Configurar el enrutador seleccionado en el Paso 3.
6. Después de configurar el enrutador, seleccione Estado del Sistema >Rutas y verifique si el Firebox
y el enrutador están enviando actualizaciones el uno al otro.
Entonces puede añadir la autenticación y restringir la política de OSPF para analizar sólo las
interfaces correctas.
Los comandos opcionales son comentados con el caracter "!" . Para activar un comando, elimine el "!" y
modifique las variables, según sea necesario.
!! SECCIÓN 1: Configure las propiedades de interfaz.
! Definir propiedades para interfaz eth1.
! interfaz eth1
!
! Definir la contraseña de autenticación simple (CLAVECOMPARTIDA).
! ip ospf clave-autenticación CLAVECOMPARTIDA
!
! Definir el IP de clave de autenticación MD5 (10) y clave de autenticación MD5
(CLAVEAUT).
! ip ospf clave-resumen-mensaje 10 md5 CLAVEAUT
!
! Definir costo de enlace en 1000 (1-65535) en la interfaz eth1.
! para tabla de costo de enlace OSPF. ! ip ospf costo 1000
!
! Definir intervalo de hello en 5 segundos (1-65535); el predeterminado es 10
segundos.
! ip ospf intervalo-hello 5
!
! Definir intervalo de muerto en 15 segundos (1-65535); el predeterminado es 40
segundos.
! ip ospf intervalo-muerto 15
!
! Definir intervalo entre retransmisiones de anuncios de enlace-estado (LSA)
! en 10 segundos (1-65535); el predeterminado es 5 segundos.
! ip ospf intervalo-retransmitir 10
!
! Definir intervalo de actualización LSA en 3 segundos (1-3600); el
predeterminado es 1 segundo.
! ip ospf transmitir-retraso 3
!
! Definir alta prioridad (0-255) para aumentar a elegibilidad para convertirse en
! enrutador asignado (DR).
! ip ospf prioridad 255
!! SECCIÓN 2: Iniciar OSFP y definir propiedades de demonio.
! Activar demonio OSPF. Debe estar activado para todas las configuraciones
de OSPF.
! router ospf
!
! Definir el ID del enrutador manualmente en 100.100.100.20. Si no definirlo, el
firewall lo hará
! definir el propio ID basado en una dirección IP de interfaz.
! ospf router-id 100.100.100.20
!
! Activar compatibilidad RFC 1583 (aumenta la probabilidad de bucles de
enrutamiento).
! ospf rfc1583compatibilidad
!
! Definir tipo de enrutador de adyacencia de área (ABR) en cisco, ibm, acceso
directo o estándar.
! Más información acerca de los tipos ABR en draft-ietf-ospf-abr-alt-05.txt.
! ospf abr-tipo cisco
!
! Desactivar anuncio de OSPF en interfaz eth0.
! interfaz pasiva eth0
!
! Definir costo global en 1000 (0-429495).
! ancho de banda de referencia de costo-auto 1000
!
! Definir retraso de cronograma de SPF en 25 (0-4294967295) segundos y sostener
! 20 (0-4294967295) segundos; predeterminado es 5 y 10 segundos. ! temporizadores
spf 25 20
!! SECCIÓN 3: Definir propiedades de área y red. Definir áreas con notación
W.X.Y.Z
!! o Z.
! Anunciar OSPF en la red 192.168.253.0/24 para área 0.0.0.0.
! red 192.168.253.0/24 área 0.0.0.0
!
! Crear área 0.0.0.1 y definir un rango de redes de clase (172.16.254.0/24)
! para el área (configuraciones de red de interfaz y rango deben coincidir).
! área 0.0.0.1 rango 172.16.254.0/24
!
El Border Gateway Protocol (BGP) es un protocolo de dynamic routing usado en la Internet por grupos de
enrutadores para compartir información de enrutamiento. El BGP usa parámetros de ruta o atributos para
definir políticas de enrutamiento y crear un ambiente estable de enrutamiento. Ese protocolo permite que
divulgue más de un camino hacia y desde la Internet a su red y recursos, lo que le ofrece caminos
redundantes y puede aumentar su tiempo de actividad.
Los hosts que usan BGP usan TCP para enviar información de tabla de enrutamiento actualizada cuando un
host encuentra una alteración. El Host envía sólo la parte de la tabla de enrutamiento que tiene la
alteración. El usa el enrutamiento interdominios sin clase (CIDR) para reducir el volumen de las tables de
enrutamiento de Internet. El volumen de la tabla de enrutamiento de BGP en el Fireware XTM está definido
en 32 K.
El volumen de la red de área amplia (WAN) típica del cliente WatchGuard es más adecuado para el dynamic
routing de OSPF. Una WAN también puede usar el border gateway protocol externo (EBGP) cuando más de
una puerta de enlace hacia Internet esté disponible. EBGP le permite aprovechar al máximo la posible
redundancia con una red "multi-homed".
Para participar en un BGP con un ISP, debe tener un número de sistema autónomo (ASN). Debe obtener un
ASN junto a uno de los registros regionales en la tabla abajo. Después de que se le asigne su propio ASN,
debe contactar cada ISP para obtener sus ASNs y otras informaciones necesarias.
Comandos BGP
Para crear o modificar un archivo de configuración de enrutamiento, debe usar los comandos correctos de
enrutamiento. La tabla siguiente es un catálogo de comandos de enrutamiento de BGP. Las secciones deben
aparecer en el archivo de configuración en el mismo orden que aparecen en esta tabla.
vecino [A.B.C.D] versión 4 o Definir versión de BGP (4, 4+, 4-) para comunicación con
posterior vecino; la predeterminada es la 4
vecino [A.B.C.D] actualizar- Definir la sesión BGP para que use una interfaz específica
fuente [PALABRA] para las conexiones TCP
vecino [A.B.C.D]
Anunciar ruta predeterminada para vecino BGP [A,B,C,D]
predeterminado-originar
Listas de comunidades
Filtrado de punto
Reflexión de ruta
vecino [W.X.Y.Z] ruta-reflector- Para configurar el enrutador como reflector de ruta BGP y
cliente configurar el vecino especificado como su cliente
ip prefijo-listas PRELISTA
Definir lista de prefijos
permitir A.B.C.D/E
acceso-lista NOMBRE
Definir lista de acceso
[negar|permitir] A.B.C.D/E
4. Seleccione Activar .
5. Copie y pegue el archivo de configuración del demonio de enrutamiento en la ventana.
Entonces puede añadir la autenticación y restringir la política de BGP para analizar sólo las interfaces
correctas.
Los comandos opcionales son comentados con el caracter "!" . Para activar un comando, elimine el "!" y
modifique las variables, según sea necesario.
!! SECCIÓN 1: Iniciar demonio de BGP y anunciar bloqueos de red a vecinos de BGP
! Activar BGP y definir ASN local en 100 enrutador bgp 100
! Divulgar red local 64.74.30.0/24 a todos los vecinos definidos en la sección 2
64.74.30.0/24
! Redistribuir ospf
CCIÓN 6: Reflexión de ruta
! Definir ID de clúster y firewall como un cliente de servidor de reflector de ruta
51.210.0.254
! bgp clúster-id A.B.C.D
! vecino 51.210.0.254 ruta-reflector-cliente
Puede crear políticas de firewall para dar acceso a recursos específicos de red a usuarios y grupos. Eso es
útil en los ambientes de red donde varios usuarios comparten un único equipo o dirección IP.
Puede configurar su Firebox como servidor de autenticación local o usar su servidor de Active Directory
Authentication, LDAP o RADIUS existente. Cuando usa la autenticación de Firebox por el puerto 4100, los
privilegios de cuenta pueden estar basados en el nombre de usuario. Cuando usa una autenticación de
terceros, los privilegios de cuenta para los usuarios que autentican a servidores de autenticación de
terceros están basados en la participación en un grupo.
La función de autenticación de usuario de WatchGuard permite que un nombre de usuario esté asociado a
una dirección IP específica para ayudarlo a autenticarse y rastrear conexiones de usuarios a través del
dispositivo. Con el dispositivo, la pregunta fundamental que cada conexión realiza es "¿debo permitir el
tráfico de la origen X hacia el destino Y?" Para que la función de autenticación de WatchGuard funcione
correctamente, la dirección IP del equipo del usuario no debe cambiar mientras el usuario esté autenticado
al dispositivo.
En gran parte de los ambientes, la relación entre una dirección IP y el equipo de usuario es bastante estable
como para ser usada para la autenticación. Los ambientes en los cuales la asociación entre el usuario y una
dirección IP no sea consistente, como en terminales o redes en las cuales las aplicaciones sean ejecutadas
desde un servidor de terminal, no suelen ser muy aptos para una utilización exitosa de la función de
autenticación de usuario.
WatchGuard soporta control de Autenticación, Cuentas y Acceso (AAA, en sus siglas en inglés) en los
productos de firewall, basado en el asociación estable entre la dirección IP y la personal.
Si controla el acceso de SSO con una lista blanca y administra tiempos de espera de inactividad, tiempos de
espera de sesión y quiénes están autorizados a autenticarse, puede mejorar su control de autenticación,
cuentas y control de acceso.
Para evitar que un usuario se autentique, debe desactivar la cuenta para aquel usuario en el servidor de
autenticación.
Para autenticarse, un usuario debe conectarse a la página web del portal de autenticación en el dispositivo
WatchGuard.
1. Diríjase a:
https://[dirección IP de la interfaz del dispositivo]:4100/
o
https://[nombre del host del dispositivo]:4100
Aparece la página web de autenticación.
2. Ingrese un nombre de usuario y contraseña.
3. Seleccione el servidor de autenticación en la lista desplegable, si más de un tipo de autenticación
está configurado.
El dispositivo WatchGuard envía el nombre y contraseña al servidor de autenticación usando un PAP (Protocolo
de Autenticación de Contraseña, según sus siglas en inglés).
Cuando autenticado, el usuario está autorizado a usar los recursos aprobados de red.
Nota Como el Fireware XTM usa un certificado autofirmado por defecto para HTTPS, se
recibe una advertencia de seguridad de su explorador web cuando se autentica.
Puede ignorar esa advertencia de seguridad sin mayor riesgo. Si desea quitar esa
advertencia, puede usar un certificado externo o crear un certificado
personalizado que coincida con la dirección IP o domain name usado para la
autenticación.
Nota Si la página web del portal de autenticación está configurada para redireccionar
automáticamente hacia otra página web, el portal lo redirecciona algunos
segundos después que lo abre. Asegúrese de salir antes que la página lo
redireccione.
Después de autenticarse, puede usar las políticas configuradas para usted en el dispositivo.
Para enviar una solicitud de autenticación a través de un Firebox de puerta de enlace a un dispositivo
diferente, debe tener una política que permita el tráfico de autenticación en el dispositivo de puerta de
enlace. Si se niega el tráfico de autenticación en el dispositivo de puerta de enlace, agregar la política de
WG-Autoriz. Esa política controla el tráfico en el puerto TCP 4100. Debe configurar la política para permitir
el tráfico hacia la dirección IP del dispositivo de destino.
Para más informaciones sobre la configuración de autenticación de usuario y Configurar usuario de Firebox
página, vea Definir un nuevo usuario para autenticación en Firebox en la página 225.
Para usuarios autenticados por servidores externos, los tiempos de espera definidos en esos servidores
también anulan los tiempos de espera de autenticación global.
Los valores de tiempos de espera de autenticación no se aplican a usuarios de Mobile VPN con PPTP.
El período de tiempo máximo que un usuario puede enviar tráfico a una red externa. Si define este
campo en cero (0) segundos, minutos, horas o días, la sesión no expira y el usuario puede seguir
conectado por el tiempo que desee.
El período de tiempo máximo que el usuario puede permanecer autenticado cuando esté inactivo
(sin transmitir cualquier tráfico a la red externa). Si define este campo en cero (0) segundos,
minutos, horas o días, la sesión no termina cuando está inactiva y el usuario puede seguir conectado
por el tiempo que desee.
Para usuarios de Mobile VPN with IPSec y Mobile VPN with SSL, las sesiones de inicio simultáneas de la
misma cuenta siempre son compatibles, esté la casilla seleccionada o no. Esos usuarios deben iniciar sesión
desde diferentes direcciones IP para el inicio de sesión simultáneo, es decir, no pueden usar la misma
cuenta para iniciar sesión si están detrás de un Firebox que usa NAT. Los usuarios de Mobile VPN con PPTP
no tienen esa restricción.
Al marcar esta casilla de verificación, todos los usuarios que todavía no están autenticados serán
redireccionados automáticamente al portal de inicio de sesión de autenticación cuando intenten
acceder a Internet. Si no seleccionar esa casilla de verificación, los usuarios no autenticados deben
navegar manualmente al portal de inicio de sesión de autenticación.
Para más información acerca de autenticación de usuario, vea Usuario pasos de autenticación en la
página 210.
El período de tiempo máximo que un usuario puede enviar tráfico a una red externa. Si define este
campo en cero (0) segundos, minutos, horas o días, la sesión no expira y el usuario puede seguir
conectado por el tiempo que desee.
El período de tiempo máximo que el usuario puede permanecer autenticado cuando esté inactivo
(sin transmitir cualquier tráfico a la red externa). Si define ese campo en cero (0) segundos, minutos,
horas o días, la sesión no termina cuando el usuario está inactivo y puede seguir conectado por el
tiempo que desee.
Si desea enviar una solicitud de autenticación a través de un dispositivo de puerta de enlace hacia un
dispositivo diferente, puede ser necesario agregar la política WG-Autoriz manualmente. Si el tráfico de
autenticación es negado en el dispositivo de puerta de enlace, debe usar el Policy Manager para agregar la
política WG-Autoriz. Modifique esa política para permitir el tráfico hacia la dirección IP del dispositivo de
destino.
Para obtener más información sobre cuando modificar la política de autenticación de WatchGuard, vea Use
la autenticación para restringir el tráfico entrante en la página 212.
El SSO de WatchGuard es una solución en dos partes, que incluye el agente SSO y los servicios de cliente
SSO. Para que SSO funcione, el software del agente SSO debe estar instalado en un equipo en su dominio. El
software cliente SSO es opcional y está instalado en el equipo cliente de cada usuario.
El software del agente SSO hace un llamado al equipo cliente por el puerto 4116 para verificar quién está
registrado en el momento. Si no hay respuesta, el agente SSO retorna al protocolo anterior de las versiones
anteriores a WSM 10.2.4, y hace un llamadoNetWkstaUserEnum al equipo cliente. Entonces usa la
información recibida para autenticar un usuario en Single Sign-On.
Si el cliente SSO no está instalado, el agente SSO puede obtener más de una respuesta del equipo que
consulta. Eso puede ocurrir si más de un usuario inicia sesión en el mismo equipo, o debido a los accesos
por lotes o servicio que ocurren en el equipo. El agente SSO usa sólo la primera respuesta recibida del
equipo y reporta aquel usuario a Firebox como el usuario que está registrado. El dispositivo puede
comparar la información del usuario con todas las políticas definidas para aquel usuario y/o grupo de
usuarios de una sola vez. El agente SSO, por defecto, pone en caché esos datos por unos 10 minutos para
que no sea necesario generar una consulta para cada conexión.
Cuando el software cliente SSO está instalado, recibe un llamado del agente SSO y devuelve información
precisa sobre el usuario que está actualmente registrado en la estación de trabajo. El agente SSO no
establece contacto con el servidor de Active Directory para obtener credenciales del usuario, porque
recibe la información correcta sobre quién está registrado actualmente en un equipo y a cuáles grupos de
Active Directory el usuario pertenece, desde el cliente SSO.
Si trabaja en un ambiente donde más de una persona usa un equipo, recomendamos que instale el
software cliente SSO. Si no usa el cliente SSO, hay limitaciones de control de acceso a las que se debe
prestar atención. Por ejemplo, para servicios instalados en un equipo cliente (tal como un cliente antivirus
administrado de modo central) que hayan sido desplegados para que el inicio de sesión se hiciera con las
credenciales de la cuenta de dominio, Firebox ofrece derechos de acceso a todos los usuarios definidos a
partir del primer usuario registrado (y los grupos a los cuales ese usuario pertenece), y no las credenciales
de usuarios individuales que inician sesión interactivamente. Además, todos los mensajes de registro
generados a partir de la actividad de usuario muestran el nombre de usuario de la cuenta de servicio y no el
usuario individual.
Nota Si no instala el cliente SSO, recomendamos que no use el SSO en ambientes donde
los usuarios se registran a equipos con inicio de sesión por lote o de servicio.
Cuando más de un usuario está asociado a una dirección IP, los permisos de red
pueden no funcionar correctamente. Eso puede representar un riesgo de
seguridad.
Antes de empezar
n Debe tener un Active Directory Server configurado en una red de confianza u opcional.
n Su Firebox debe estar configurado para usar la Active Directory Authentication.
n Cada usuario debe tener una cuenta configurada en el Active Directory Server.
n Cada usuario debe registrarse en una cuenta de dominio para que Single Sign-On (SSO) funcione
correctamente. Si los usuarios se registran a una cuenta que existe sólo en sus equipos locales, sus
credenciales no son verificadas y el Firebox no reconoce que están registrados.
n Si usa un software de firewall de terceros en sus equipos en red, asegúrese de que el puerto TCP
445 (Samba/Windows Network) esté abierto en cada cliente.
n Asegúrese de que la opción de compartir impresoras y archivos esté habilitada en todos los equipos
desde los cuales los usuarios se autentican con SSO.
n Asegúrese de que los puertos NetBIOS y SMS no estén bloqueados en todos los equipos desde los
cuales los usuarios se autentican con SSO. NetBIOS usa puertos TCP/UDP 137, 138 y 139. SMB usa el
puerto TCP 445.
n Asegúrese de que el puerto 4116 esté abierto en los equipos cliente.
n Asegúrese de que todos los equipos desde los cuales los usuarios se autentican con SSO sean
miembros del dominio con relaciones de confianza absoluta.
Configurar SSO
Para usar el SSO, debe instalar el software del agente SSO. Recomendamos que también instale el cliente
SSO en los equipos de los usuarios. Aunque sólo pueda usar el SSO con el agente SSO, la seguridad y el
control de acceso aumentan cuando también se usa el cliente SSO.
o versión posterior.
Nota Para usar Single Sign-On en su Firebox, debe instalar el agente SSO en un equipo
dominio con dirección IP estática. Recomendamos que instale el agente SSO en su
controlador de dominio.
Antes de instalar
El servicio del agente SSO debe ser ejecutado como cuenta de usuario, no como cuenta de administrador.
Recomendamos que cree una nueva cuenta de usuario para esa finalidad. Para que el servicio del agente
SSO funcione correctamente, configure la cuenta de usuario con estas propiedades:
Como el instalador del cliente SSO es un archivo MSI, se puede elegir instalarlo automáticamente en los
equipos de los usuarios cuando inician sesión en el dominio. Puede usar la Política de Grupo de Active
Directory para instalar el software automáticamente cuando los usuarios inicien sesión en su dominio. Para
obtener más información acerca del despliegue de instalación del software para los objetos de política de
grupo de Active Directory, vea la documentación de su sistema operativo.
Para ver cuáles unidades están disponibles para instalar el cliente y cuánto espacio está disponible
en cada una de las unidades, haga clic en Costo de Disco.
3. Para cerrar el asistente, haga clic en Cerrar.
2. Seleccione la casilla de verificación Activar Single Sign-On (SSO) con Active Directory.
3. En el cuadro de texto Dirección IP de Agente SSO , ingrese la dirección IP de su Agente SSO.
4. En el cuadro de texto Poner datos en caché por , ingrese o seleccione el período de tiempo que se
guardan los datos del agente SSO en caché.
5. En la lista Excepciones de SSO , agregar o remover las direcciones IP del host para las cuales no
desea que el dispositivo envíe consultas de SSO.
Para obtener más información sobre excepciones de SSO, vea la sección siguiente.
6. Haga clic Guardar para guardar los cambios.
Puede configurar uno o más tipos de servidor de autenticación para un dispositivo WatchGuard. Si usa más
de un tipo de servidor de autenticación, los usuarios deben seleccionar el tipo de servidor de autenticación
en una lista desplegable cuando se autentican.
Cuando se crea un grupo, se define el procedimiento de autenticación para los usuarios, el tipo de sistema
e información que pueden acceder. Un usuario puede ser una red o un equipo. Si su empresa cambia, se
puede agregar o quitar usuarios de sus grupos.
El servidor de autenticación de Firebox está activado por defecto. No necesita activarlo antes de agregar
usuarios y grupos.
n Firewall autenticación
n de conexiones de Mobile VPN with PPTP
n Configurar el Firebox para Mobile VPN with IPSec
n Conexiones de Mobile VPN con SSL
n Nombre de usuario
n Grupo (o grupos) de usuarios de Firebox del cual el usuario es un miembro
n Dirección IP del equipo usado para autenticarse
n Dirección IP virtual del equipo usado para conectarse a Mobile VPN
Firewall autenticación
Se crean cuentas y grupos de usuarios para permitirles que se autentiquen. Cuando un usuario se autentica
con Firebox, sus credenciales y dirección IP del equipo son usadas para encontrar si alguna política se aplica
al tráfico que el equipo envía y recibe.
Para autenticarse con una conexión HTTPS al Firebox a través del puerto 4100:
Como el Firebox permite la conexión PPTP desde cualquier usuario Firebox que ofrezca las credenciales
correctas, es importante que se haga una política para sesiones de PPTP que incluya sólo usuarios que
desea autorizar el envío de tráfico a través de la sesión PPTP. También puede añadir un grupo o usuario
individual a una política que restrinja el acceso a los recursos detrás de Firebox. Firebox crea un grupo
preconfigurado denominado usuarios PPTP para esa finalidad.
Cuando el equipo del usuario está correctamente configurado, el usuario hace la configuración de Mobile
VPN. Si las credenciales usadas para la autenticación coinciden con una entrada en la base de datos de
usuarios de Firebox, y si el usuario está en el grupo de Mobile VPN creado, la sesión de Mobile VPN es
autenticada.
Como el Firebox permite la conexión SSL desde cualquiera de sus usuarios que ofrezca las credenciales
correctas, es importante que se haga una política para sesiones de SSL que incluya sólo usuarios que desea
autorizar que envíen tráfico a través de la sesión SSL. También se puede agregar esos usuarios a un Grupo
de Usuarios de Firebox y crear una política que permita el tráfico sólo desde ese grupo. Firebox crea un
grupo preconfigurado denominado usuarios SSLVPN para esa finalidad.
1. En el Fireware XTM Web UI, seleccione VPN> Mobile VPN with SSL.
Aparece la página "Configuración de Mobile VPN con SSL".
2. Configurar el dispositivo Firebox o XTM para Mobile VPN with SSL.
5. En el campo Tiempo de espera de sesión, defina el período máximo de tiempo que el usuario
puede enviar tráfico a la red externa.
La configuración mínima para este campo es de un (1) segundos, minutos, horas o días. El valor
máximo es de 365 días.
6. En el campo Tiempo de espera inactivo, establezca la cantidad de tiempo que el usuario puede
permanecer autenticado mientras está inactivo (sin transmitir tráfico hacia la red externa).
La configuración mínima para este campo es de un (1) segundos, minutos, horas o días. El valor
máximo es de 365 días.
7. Para agregar un usuario a un Grupo de Autenticación de Firebox, seleccione el nombre de usuario
en la lista Disponible.
8. Haga clic en para desplazar el nombre a la lista Miembro.
O bien, puede hacer doble clic en el nombre de usuario en la lista Disponible.
El usuario es agregado a la lista de usuarios. Puede entonces agregar más usuarios.
9. Para cerrar el cuadro de diálogo Configurar usuario de Firebox, haga clic en Aceptar.
Aparece la pestaña "Usuarios de Firebox" con un listado de los nuevos usuarios.
Ahora puede configurar políticas y autenticación con esos usuarios y grupos, tal como se describe en Use
los usuarios y grupos autorizados en políticas en la página 248.
Para más información acerca de la autenticación por RADIUS, vea Como la autenticación del servidor
RADIUS funciona en la página 230.
Clave de autenticación
Los mensajes de autenticación hacia y desde el servidor RADIUS usan una clave de autenticación, no una
contraseña. Esa clave de autenticación, o shared secret, debe ser la misma en el cliente y servidor RADIUS.
Sin esa clave, no puede haber comunicación entre cliente y servidor.
Para autenticación con PPTP, RADIUS soporta sólo MSCHAPv2 ( Protocolo de autenticación por desafío
mutuo de Microsoft versión 2).
Antes de empezar
Antes de configurar su dispositivo WatchGuard para usar el servidor de autenticación RADIUS, es necesario
tener esta información:
n Agregar la dirección IP del dispositivo WatchGuard al servidor RADIUS, tal como se describe en la
documentación de su proveedor RADIUS.
n Activar y especificar el servidor RADIUS en la configuración de su dispositivo WatchGuard.
n Agregar nombres de usuario o nombres de grupo RADIUS a sus políticas.
3. Para activar el servidor RADIUS y activar los campos en este cuadro de diálogo, seleccione la casilla
de verificación Activar servidor .
4. En el cuadro de texto Dirección IP, ingrese la dirección IP del servidor RADIUS.
5. En el campo Puerto, asegúrese de que aparezca el número de puerto que RADIUS usa para
autenticación. El número de puerto predeterminado es 1812. Los servidores RADIUS más antiguos
pueden usar puerto 1645.
6. En el frase de contraseña secreta , ingrese el secreto compartido entre el dispositivo WatchGuard y
el servidor RADIUS.
El secreto compartido distingue mayúsculas de minúsculas, y debe ser igual en el dispositivo
WatchGuard y en el servidor RADIUS.
7. En el cuadro de texto ConfirmarFrase de contraseña, ingrese el secreto compartido nuevamente.
8. Ingrese o seleccione el valor de tiempo de espera.
El valor del atributo Grupo es usado para definir el atributo que lleva la información de grupo de
usuarios. Debe configurar el servidor RADIUS para que incluya la cadena FilterID en el mensaje de
autenticación de usuario que envía al dispositivo WatchGuard. Por ejemplo, ingenieroGrupo o
finanzaGrupo. Esa información luego es utilizada para control de acceso. El dispositivo WatchGuard
hace coincidir la cadena de FilterID con el nombre de grupo configurado en las políticas del
dispositivo WatchGuard.
11. En el cuadro de texto Tiempo muerto , ingrese o seleccione el período de tiempo a partir del cual
un servidor inactivo queda marcado como activo nuevamente. Seleccione minutos o horas de la
lista desplegable al lado para alterar la duración.
Después que un servidor de autenticación no haya respondido por un período de tiempo, éste
queda marcado como inactivo. Este servidor no realizará intentos seguidos de autenticación hasta
que esté marcado como activo nuevamente.
12. Para agregar un servidor RADIUS de resguardo, seleccione la pestaña Configuración del servidor
secundario y seleccione .Activar servidor RADIUS secundario .
13. Repetir los pasos 4 - 11 para agregar la información en los campos requeridos. Asegúrese de que el
secreto compartido sea el mismo en el servidor RADIUS principal y de resguardo.
Para más informaciones, vea Use un servidor de autenticación de resguardo en la página 222.
14. Haga clic en Guardar.
1. El usuario intenta autenticarse, sea a través de una conexión de HTTPS por el explorador al Firebox
por el puerto 4100 o a través de una conexión usando Mobile VPN with PPTP o IPSec. Firebox lee el
nombre de usuario y contraseña.
2. Firebox crea un mensaje llamado mensajes Acceso-Solicitar y lo envía al servidor RADIUS. Firebox
usa el secreto compartido de RADIUS en el mensaje. La contraseña siempre está cifrada en el
mensaje Acceso-Solicitar.
3. El servidor RADIUS se asegura de que el mensaje Acceso-Solicitar sea de un cliente conocido (el
Firebox). Si el servidor RADIUS no está configurado para aceptar Firebox como cliente, el servidor
rechaza el mensaje Acceso-Solicitar y no retorna el mensaje.
4. Si Firebox es un cliente conocido del servidor RADIUS y el secreto compartido está correcto, el
servidor encuentra el método solicitado de autenticación en el mensaje Acceso-Solicitar.
10. Firebox lee el valor de cualquier atributo FilterID en el mensaje. Conecta el nombre de usuario con
el atributo FilterID para poner el usuario en un grupo RADIUS.
11. El servidor RADIUS puede incluir grandes volúmenes de información adicional en el mensaje
Acceso-Aceptar. Firebox ignora gran parte de esa información, como los protocolos que el usuario
está permitido usar (como PPP o SLIP), los puertos a los que el usuario puede acceder, tiempo de
espera de inactividad y otros atributos.
12. El único atributo que Firebox busca en el mensaje Acceso-Aceptar es el atributo FilterID (atributo
RADIUS número 11). El FilterID es una cadena de texto que se configura el servidor RADIUS para
incluir en el mensaje Acceso-Aceptar. Ese atributo es necesario para que Firebox asigne el usuario a
un grupo RADIUS.
Para obtener más informaciones sobre grupos RADIUS, vea la siguiente sección.
Cuando Firebox recibe el mensaje de Acceso-Aceptar de RADIUS, lee el valor del atributo FilterID y usa ese
valor para asociar el usuario a un grupo RADIUS. (Debe configurar el FilterID manualmente en su
configuración de RADIUS.) Por lo tanto, el valor del atributo FilterIP es el nombre del grupo RADIUS donde
el Firebox pone el usuario.
Los grupos RADIUS que usa en Fireware XTM Web UI no son los mismos que los grupos Windows definidos
en su controlador de dominio o cualquier otro grupo existente en su base de datos de usuarios de dominio.
Un grupo RADIUS es sólo un grupo lógico de usuarios utilizado por Firebox. Asegúrese de que la cadena de
texto FilterID esté seleccionada. Puede hacer que el valor de FilterID coincida con el nombre de un grupo
local o grupo de dominio en su organización, pero eso no es necesario. Recomendamos que use un nombre
descriptivo que lo ayude a recordar cómo definió sus grupos de usuarios.
Por ejemplo, cuando María se autentica, la cadena FilterID que RADIUS envía es Ventas, así que Firebox
pone a María en el grupo RADIUS de Ventaspor el tiempo que ella esté autenticada. Si los usuarios Juan y
Alicia se autentican concomitantemente, y RADIUS pone el mismo valor FilterID Ventas en los mensajes
Acceso-Aceptar para Juan y Alicia, entonces, María, Juan y Alicia están todos en el mismo grupo Ventas.
Puede crear una política en Fireware XTM Web UI que permita al grupo Ventas acceder a un recurso.
Puede configurar RADIUS para enviar resultados de un FilterID diferente, tal como Soporte de TI, para los
miembros de su organización de soporte interno. También puede crear una política diferente para permitir
que los usuarios de Soporte de TI accedan a recursos.
Por ejemplo, puede permitir que el grupo Ventas acceda a Internet usando una política de HTTP filtrada.
También puede filtrar su acceso web con WebBlocker. Una política diferente en el Policy Manager puede
permitir que los usuarios de Soporte de TI accedan a Internet con la política de HTTP no filtrada, para que
puedan acceder a Internet sin el filtro de WebBlocker. Use el nombre del grupo RADIUS (o nombres de
usuario) en el campo De de un política para mostrar cuáles grupos (o cuáles usuarios) pueden usar la
política.
Firebox envía un mensaje Acceso-Solicitar al primer servidor RADIUS en la lista. Si no hay respuesta, Firebox
espera el número de segundos definido en el cuadro Tiempo de espera y entonces envía otro Acceso-
Solicitar. Eso continúa por el número de veces indicado en el cuadro Reintento (o hasta que haya una
respuesta válida). Si no hay una respuesta válida del servidor RADIUS, o si el secreto compartido de RADIUS
no coincide, Fireware XTM lo considera un intento fallido de autenticación.
Después de tres intentos fallidos de autenticación, Fireware XTM usa el servidor RADIUS secundario para el
siguiente intento de autenticación. Si el servidor secundario tampoco logra contestar después de tres
intentos de autenticación, Fireware XTM espera diez minutos para que el administrador corrija el problema.
Después de diez minutos, Fireware XTM intenta usar el servidor RADIUS principal nuevamente.
Para usar la autenticación por servidor VASCO con su dispositivo WatchGuard, debe:
n Agregar la dirección IP del dispositivo WatchGuard al VACMAN Middleware Server, tal como se
describe en la documentación de su proveedor VASCO.
n Activar y especificar el VACMAN Middleware Server en la configuración de su dispositivo
WatchGuard.
n Agregar nombres de usuario y de grupo a las políticas en el Policy Manager.
La autenticación por servidor VASCO es configurada usando las configuraciones del servidor RADIUS. El
cuadro de diálogo Servidores de autenticación no tiene una pestaña separada para servidores VACMAN
Middleware Server.
3. Para activar el VACMAN Middleware Server y activar los campos en ese cuadro de diálogo,
seleccione la casilla de verificación Servidor.
4. En el cuadro de texto Dirección IP, ingrese la dirección IP del VACMAN Middleware Server.
5. En el cuadro de texto Puerto, asegúrese de que apareza el número de puerto que VASCO usa para
autenticación. El número de puerto predeterminado es 1812.
6. En el cuadro de texto frase de contraseña secreta , inserte el secreto compartido entre el
dispositivo WatchGuard y el VACMAN Middleware Server.
El valor del atributo Grupo es usado para definir cuál atributo lleva la información de grupo de
usuarios. Debe configurar el servidor VASCO para que incluya la cadena FilterID en el mensaje de
autenticación de usuario que envía al dispositivo WatchGuard. Por ejemplo, ingenieroGrupo o
finanzaGrupo. Esa información luego es utilizada para control de acceso. El dispositivo WatchGuard
hace coincidir la cadena de FilterID con el nombre de grupo configurado en las políticas del
dispositivo WatchGuard.
11. En el cuadro de texto Tiempo muerto , ingrese o seleccione el período de tiempo a partir del cual
un servidor inactivo queda marcado como activo nuevamente. Seleccione minutos o horas de la
lista desplegable al lado para alterar la duración.
Después que un servidor de autenticación no haya respondido por un período de tiempo, éste
queda marcado como inactivo. Intentos seguidos de autenticación, no intente conectarse a este
servidor hasta que esté marcado como activo nuevamente.
12. Para agregar un VACMAN Middleware Server de resguardo, seleccione la pestaña Configuraciones
de Servidor Secundario, y seleccione Activar servidor RADIUS secundario .
13. Repetir los pasos 4 - 11 para agregar la información en los campos requeridos. Asegúrese de que el
secreto compartido sea el mismo en el VACMAN Middleware Server principal y de resguardo.
Para más informaciones, vea Use un servidor de autenticación de resguardo en la página 222.
14. Haga clic en Guardar.
3. Seleccione Activar SecurID Server casilla de verificación para activar el servidor SecurID y activar los
campos en ese cuadro de diálogo.
4. En el cuadro de texto Dirección IP, ingrese la dirección IP del servidor SecurID.
5. Haga clic en el campo Puerto para subir o bajar, hasta definir el número de puerto para usar en la
autenticación de SecurID.
El número predeterminado es 1812.
6. En el frases de contraseña cuadro de texto, ingrese el secreto compartido entre el dispositivo
WatchGuard y el servidor SecurID. El secreto compartido distingue mayúsculas de minúsculas, y
debe ser igual en el dispositivo WatchGuard y en el servidor SecurID.
7. En el cuadro de texto Confirmar , ingrese nuevamente el secreto compartido.
8. En el cuadro de texto Tiempo de espera, inserte o seleccione el período de tiempo que el
dispositivo WatchGuard espera la respuesta del servidor de autenticación antes de intentar
establecer una nueva conexión.
9. En el Reintentos , inserte o seleccione el número de veces que el dispositivo WatchGuard intenta
conectarse al servidor de autenticación antes de reportar una conexión fallida por un intento de
autenticación.
10. En el cuadro de texto atributo Grupo , ingrese o seleccione un valor del atributo Grupo.
Recomendamos que no altere ese valor.
El valor del atributo Grupo es usado para definir el atributo que lleva la información de grupo de
usuarios. Cuando el servidor SecurID envía un mensaje al dispositivo WatchGuard al cual el usuario
está autenticado, también envía una cadena de grupo de usuarios. Por ejemplo, ingenieroGrupo o
finanzaGrupo. Esa información luego es utilizada para control de acceso.
11. En el cuadro de texto Tiempo muerto , ingrese o seleccione el período de tiempo a partir del cual
un servidor inactivo queda marcado como activo nuevamente. Seleccione minutos o horas en la
lista desplegable al lado para determinar la duración.
Después que un servidor de autenticación no haya respondido por un período de tiempo, éste
queda marcado como inactivo. Intentos seguidos de autenticación, no use este servidor hasta que
esté marcado como activo nuevamente, después que se alcance el valor del tiempo muerto.
12. Para agregar un servidor SecurID de resguardo, seleccione la pestaña Configuración del servidor
secundario y seleccione Activar un servidor SecurID secundario.Server .
13. Repetir los pasos 4 - 11 para agregar la información en los campos requeridos. Asegúrese de que el
secreto compartido sea el mismo en el servidor SecurID principal y de resguardo.
Para más informaciones, vea Use un servidor de autenticación de resguardo en la página 222.
14. Haga clic en OKGuardar.
3. Seleccionar la casilla de verificación Activar LDAPServer para activar el servidor de LDAP y activar
los campos en ese cuadro de diálogo.
4. En el cuadro de texto Dirección IP, ingrese la dirección IP del servidor de LDAP principal a la cual el
dispositivo WatchGuard debe contactarse para solicitudes de autenticación.
El servidor de LDAP puede estar ubicado en cualquier interfaz del dispositivo WatchGuard. También
puede configurar su dispositivo para usar un servidor de LDAP en una red remota a través de un
túnel VPN.
5. En el cuadro de texto Puerto, seleccione el número del puerto TCP para ser usado por el dispositivo
WatchGuard para conectar con el servidor de LDAP. El número de puerto predeterminado es 389.
LDAP por TLS no está soportado.
6. En el cuadro de texto Base de búsqueda , ingrese las configuraciones de base de búsqueda.
El formato estándar es: ou=unidad organizacional,dc=primera parte del nombre de distinción del
servidor,dc=cualquier parte del nombre de distinción del servidor que aparece después del punto.
Se determina una base de búsqueda para imponer límites a los directorios en el servidor de
autenticación en los que el dispositivo WatchGuard busca para que haya una coincidencia de
autenticación. Por ejemplo, si las cuentas de usuario están en una OU (unidad organizativa) a la que
se refiere como cuentas y el domain name es ejemplo.com, su base de búsqueda es:
ou=cuentas,dc=ejemplo,dc=com
Esa cadena de atributos contiene datos de grupo de usuarios en el servidor de LDAP. En muchos
servidores de LDAP, la cadena predeterminada de grupo es uniqueMember, en otros servidores es
member.
8. En el cuadro de texto DN del usuario de búsqueda , inserte el Nombre de Distinción (DN) para una
operación de búsqueda.
El atributo de inicio de sesión es el nombre usado para vincular a la base de datos de LDAP. El
atributo de inicio de sesión predeterminado es uid. Si usa uid, el campo DN de usuario buscando y
el campo Contraseña de Usuario buscando pueden estar vacíos.
11. En el cuadro de texto Tiempo muerto, ingrese o seleccione el período de tiempo a partir del cual
un servidor inactivo esté marcado como activo nuevamente. Seleccione minutos o horas en la lista
desplegable al lado para determinar la duración.
Después que un servidor de autenticación no haya respondido por un período de tiempo, éste
queda marcado como inactivo. Intentos seguidos de autenticación, no intente con este servidor
hasta que esté marcado como activo nuevamente.
12. Para agregar un servidor de LDAP de resguardo, seleccione la pestaña Configuraciones de Servidor
de Resguardo, y seleccione Activar un servidor de LDAP secundario .
13. Repetir los pasos 4 - 11 para agregar la información en los campos requeridos. Asegúrese de que el
secreto compartido sea el mismo en el servidor de LDAP principal y de resguardo.
Para más informaciones, vea Use un servidor de autenticación de resguardo en la página 222.
14. Haga clic en Guardar.
Para más informaciones, vea Usar las configuraciones opciones de Active Directory o de LDAP en la página 243.
Puede usar un servidor de Active Directory Authentication para que los usuarios puedan autenticar el
dispositivo WatchGuard con sus credenciales actuales de red. Debe configurar el dispositivo y el Active
Directory Server.
Antes de empezar, asegúrese de que sus usuarios puedan autenticarse con éxito en el Active Directory
Server.
El Active Directory Server puede estar ubicado en cualquier interfaz del dispositivo WatchGuard.
También es posible configurar el dispositivo para usar un Active Directory Server disponible a través
de un túnel VPN.
5. En el cuadro de texto Puerto , ingrese o seleccione el número de puerto de TCP a ser usado por el
dispositivo para conectarse al Active Directory Server. El número de puerto predeterminado es 389.
Si su Active Directory Server es un servidor de catálogo global, puede ser útil alterar el puerto
predeterminado. Para más informaciones, vea Alterar el puerto predeterminado de Active Directory
Server en la página 242.
6. En el cuadro de texto Base de búsqueda, inserte la ubicación en el directorio para empezar la
búsqueda.
No es necesario insertar nada en este cuadro de texto si mantiene el atributo de inicio de sesión de
sAMAccountName . Si altera el atributo del inicio de sesión, debe agregar un valor en el campoDN del
usuario de búsqueda para su configuración. Puede usar cualquier DN de usuario con el privilegio de
búsqueda en el Active Directory/LDAP, como un Administrador. No obstante, un DN de usuario más
débil, sólo con un privilegio de búsqueda, suele ser suficiente.
9. En el cuadro de texto Contraseña de usuario de búsqueda , inserte el nombre de distinción (DN)
para una operación de búsqueda.
10. En el atributo de inicio de sesión lista desplegable, seleccione un atributo de inicio de sesión de
Active Directory para ser usado para autenticación.
El atributo de inicio de sesión es el nombre usado para vincular a la base de datos del Active
Directory. El atributo de inicio de sesión predeterminado es sAMAccountName. Si usa el
sAMAccountName, el campoDN de usuario de búsqueda y el campo Contraseña de usuario de
búsqueda pueden estar vacíos.
11. En el cuadro de texto Tiempo muerto, ingrese o seleccione una hora a partir de la cual un servidor
inactivo esté marcado como activo nuevamente. Seleccione minutos o horas en la lista desplegable
al lado para determinar la duración.
Después que un servidor de autenticación no haya respondido por un período de tiempo, éste
queda marcado como inactivo. Intentos seguidos de autenticación, no intente con este servidor
hasta que esté marcado como activo nuevamente.
12. Para agregar un Active Directory Server de resguardo, seleccione la pestaña Configuración de
servidor de resguardo y seleccione la casilla Activar Active Directory Server secundario.
13. Repetir los pasos 4 - 11 para agregar la información en los campos requeridos. Asegúrese de que el
secreto compartido sea el mismo en el Active Directory Server principal y de resguardo.
Para más informaciones, vea Use un servidor de autenticación de resguardo en la página 222.
14. Haga clic en Guardar.
Para más informaciones, vea Usar las configuraciones opciones de Active Directory o de LDAP en la página 243.
Antes de empezar, debe tener un Active Directory Server operativo que contenga los datos de cuenta de
todos los usuarios para los cuales desea configurar autenticación en el dispositivo WatchGuard.
Los componentes del domain name tienen el formato dc=componente de domain name, están
incluidos al final de la cadena de base de búsqueda y están separados por comas.
Para cada nivel del domain name, debe incluir un componente de domain name separado en su
base de búsqueda de Active Directory. Por ejemplo, si su domain name es prefijo.ejemplo.com, el
componente del domain name en su base de búsqueda es DC=prefijo,DC=ejemplo,DC=com .
DC=kunstlerandsons,DC=com
Si usa un valor diferente para Atributo de inicio de sesión, el usuario que intente autenticarse da un
formato diferente del nombre de usuario. En ese caso, debe agregar Credenciales de usuario de búsqueda a
la configuración de su Firebox.
Un servidor de catálogo global es un controlador de dominio que almacena informaciones sobre todos los
objetos en el bosque. Eso permite que las aplicaciones busquen en el Active Directory, pero sin tener que
referirse a controladores de dominio específicos que almacenan los datos solicitados. Si tiene sólo un
dominio, Microsoft recomienda que configure todos los controladores de dominio como servidores de
catálogo global.
Si la casilla de verificación Catálogo Global está seleccionada, el Active Directory Server está
configurado para ser un catálogo global.
Antes de empezar
Para usar esas configuraciones opcionales es necesario:
n Ampliar el esquema de directorio para agregar nuevos atributos para esos elementos.
n Hacer que los nuevos atributos estén disponibles para la clase de objeto a la que pertenecen las
cuentas de usuario.
n Otorgar valores a los atributos para los objetos de usuario que deberían usarlos.
2. Haga clic en la pestaña LDAP o en Active Directory y asegúrese de que el servidor está activado.
4. Ingrese los atributos que desea incluir en la búsqueda del directorio en los campos de cadenas.
Cadena de atributos de IP
Ingrese el nombre del atributo para que Fireware XTM lo use para asignar una dirección IP
virtual al cliente de Mobile VPN. Debe ser un atributo de valor único y una dirección IP en
formato decimal. La dirección IP debe estar dentro del grupo de direcciones IP virtuales que
son especificadas en la creación del Grupo de Mobile VPN.
Ingrese el nombre del atributo para que Fireware XTM lo use para asignar una Subnet Mask a la
dirección IP virtual del cliente de Mobile VPN. Debe ser un atributo de valor único y una Subnet
Mask en formato decimal.
Ingrese el nombre del atributo que Fireware XTM usa para asignar una o más direcciones de
DNS al cliente de Mobile VPN para el período de duración de la sesión de Mobile VPN. Eso
puede ser un atributo de múltiples valores y debe ser una dirección IP decimal normal con
puntos. Si Firebox no encuentra el atributo de DNS en el resultado de búsqueda, o si no se
especifica un atributo en Fireware XTM Web UI, él usa las direcciones WINS insertadas cuando
Configurado servidores WINS y DNS..
Ingrese el nombre del atributo que Fireware XTM debería usar para asignar una o más
direcciones WINS al cliente de Mobile VPN para el período de duración de la sesión de Mobile
VPN. Eso puede ser un atributo de múltiples valores y debe ser una dirección IP decimal
normal con puntos. Si Firebox no encuentra el atributo de WINS en el resultado de búsqueda, o
si no se especifica un atributo en Fireware XTM Web UI, él usa las direcciones WINS insertadas
cuando Configurado servidores WINS y DNS..
Eso se aplica a los clientes de Mobile VPN y a clientes que usan autenticación por firewall.
Ingrese el nombre del atributo para que Fireware XTM use para controlar la duración máxima
que un usuario puede permanecer autenticado (tiempo de espera de sesión). Después de ese
período de tiempo, el usuario es removido de la lista de usuarios autenticados. Debe ser un
atributo de valor único. Fireware XTM interpreta el valor del atributo como un número decimal
de segundos. Interpreta un valor cero como nunca se agota el tiempo de espera.
Eso se aplica a los clientes de Mobile VPN y a clientes que usan autenticación por firewall.
Ingrese el nombre del atributo que Fireware XTM usa para controlar el período de tiempo que
un usuario puede permanecer autenticado cuando no se transmite tráfico hacia el Firebox
desde el usuario (tiempo de espera inactivo). Si no se envía tráfico al dispositivo por ese
período de tiempo, el usuario es removido de la lista de usuarios autenticados. Debe ser un
atributo de valor único. Fireware XTM interpreta el valor del atributo como un número decimal
de segundos. Interpreta un valor cero como nunca se agota el tiempo de espera.
Mobile VPN puede enviar tráfico a través de un túnel de Mobile VPN. Aunque el usuario sólo de Mobile
VPN pueda autenticarse y abrir un túnel PPTP, no puede enviar el tráfico a través de ese túnel.
Si usa la autenticación por Active Directory y la membresía a un grupo para el usuario no coincide con la
política de Mobile VPN, encuentra un mensaje de error que dice que el Tráfico descifrado no coincide con
ninguna política. Si encuentra ese mensaje de error, asegúrese de que el usuario esté en un grupo con el
mismo nombre que su grupo de Mobile VPN.
El término usuarios y grupos autorizados se refiere a usuarios y grupos que están autorizados a acceder a
los recursos de red.
Las opciones disponibles incluyen Cualquiera, Firebox-DB, RADIUS (para autenticación a través de
un servidor RADIUS o VACMAN Middleware Server ), SecurID, LDAP, o Active Directory.
7. Haga clic en Agregar.
8. Haga clic Guardar.
5. En la lista desplegable a la izquierda Tipo, seleccione si el usuario o grupo está autorizado como
usuario de firewall, VPN SSL o PPTP.
Para más información sobre esos tipos de autenticación, vea Tipos de autenticación de Firebox en la
página 223.
6. De la lista desplegable Tipo a la derecha, seleccione Usuario o Grupo.
7. Si el usuario o grupo aparece en la lista Grupos, seleccione el usuario o grupo y haga clic en
Seleccionar.
Reaparece el cuadro de diálogo "Agregar dirección" con el usuario o grupo en el cuadro Miembros o
Direcciones Seleccionados.
Haga clic en Aceptar para cerrar el cuadro de diálogo Editar Propiedades de Política.
8. Si el usuario o grupo no aparece en la lista en el cuadro de diálogo Agregar Usuarios o Grupos
Autorizados, vea Definir un nuevo usuario para autenticación en Firebox en la página 225, Definir un
nuevo grupo para autenticación de Firebox en la página 227, o el procedimiento anterior Definir
usuarios y grupos para autenticación externa.
Después que se agrega un usuario o grupo a una configuración de políticas, Fireware XTM Web UI agrega
automáticamente una política de autenticación de WatchGuard a su configuración de Firebox. Use esa
política para controlar el acceso a la página web del portal de autenticación.
Para obtener instrucciones para editar esa política, vea Use la autenticación para restringir el tráfico
entrante en la página 212.
Acerca de políticas
La política de seguridad de una empresa es un conjunto de definiciones para proteger la red de equipos y la
información que la recorre. El Firebox rechaza todos los paquetes que no están específicamente
permitidos. Cuando se agrega una política al archivo de configuración del Firebox, se agrega un conjunto de
reglas que indican al Firebox que debe permitir o rechazar tráfico en función de factores como el origen y
el destino del paquete o el puerto TCP/IP o el protocolo utilizado para el paquete.
Como ejemplo del modo en que puede usarse una política, supongamos que el administrador de red de
una empresa desea conectarse en forma remota a un servidor web protegido por el Firebox. El
administrador de red administra el servidor web con una conexión de Escritorio Remoto. Al mismo tiempo,
el administrador de red desea asegurarse de que ningún otro usuario de la red pueda utilizar el Escritorio
Remoto. Para crear esta configuración, el administrador de red agrega una política que permite conexiones
RDP sólo desde la dirección IP de su propio equipo de escritorio a la dirección IP del servidor web.
Una política también puede aportar al Firebox más instrucciones sobre cómo administrar el paquete. Por
ejemplo, el usuario puede definir configuraciones de registro y notificación que se aplican al tráfico o usar
NAT (Traducción de dirección de red) para cambiar la dirección IP de origen y el puerto del tráfico de red.
Un proxy examina tanto la información del encabezado como el contenido de cada paquete para
asegurarse de que las conexiones sean seguras. Esto también se denomina inspección profunda de
paquetes. Si la información del encabezado del paquete es legítima y el contenido del paquete no se
considera una amenaza, entonces Firebox acepta el paquete. De lo contrario, Firebox lo rechaza.
Cuando se configura Firebox con el Quick Setup Wizard, el asistente agrega varios filtrados de paquetes:
Saliente (TCP-UDP), FTP, ping y hasta dos políticas de administración de WatchGuard. Si el usuario tiene más
aplicaciones de software y tráfico de red para que examine Firebox, debe:
n Configurar las políticas en Firebox para que permitan la circulación del tráfico necesario.
n Definir las propiedades y hosts aprobados para cada política
n Equilibrar el requisito para proteger la red contra los requisitos de los usuarios de obtener acceso a
recursos externos.
Acción
La acción que toma la política para el tráfico que coincide con la definición de la política. El símbolo en
esta columna también indica si la política es una política de filtro de paquetes o una política de proxy.
Nombre de la política
Tipo de política
El protocolo que la política administra. Los servidores proxy incluyen el protocolo y "-proxy".
Tipo de tráfico
Registro
Alarma
De
Direcciones desde las cuales se aplica el tráfico para esta política (direcciones de origen).
Para
Direcciones desde las cuales se aplica el tráfico para esta política (direcciones de destino).
PBR
Indica si la política utiliza enrutamiento basado en políticas. Si éste es el caso y no está habilitada la
conmutación por error, aparece el número de interfaz. Si el enrutamiento basado en la política y la
conmutación por error están habilitados, aparece una lista de números de interfaz, con la interfaz
principal en el primer lugar de la lista.
Para más información acerca del enrutamiento basado en políticas, vea Configurar el enrutamiento
basado en la política en la página 269.
Puerto
De manera predeterminada, la Fireware XTM Web UI clasifica a las políticas desde la más específica hasta la
más general. El orden determina cómo fluye el tráfico a través de las políticas. Si desea establecer el orden
de las políticas de manera manual, junto a El orden automático está activado, haga clic en Desactivar.
Para obtener más información sobre el orden de las políticas, consulte Acerca de la precedencia de
políticas.
El Firebox incluye una definición predeterminada para cada política incluida en la configuración del Firebox.
La definición predeterminada consiste en configuraciones que son apropiadas para la mayoría de las
instalaciones. Sin embargo, pueden modificarse de acuerdo con los fines comerciales específicos o si se
desea incluir propiedades de política especiales como acciones de administración de tráfico y cronogramas
operativos.
Para obtener más información sobre la configuración de políticas, consulte Acerca de propiedades de
políticas en la página 265.
Para obtener más información sobre propiedades de políticas, consulte Acerca de propiedades de políticas
en la página 265.
n Cualquiera: cualquier alias de origen o destino correspondiente a interfaces del Firebox, como De
confianza o Externa.
n Firebox: un alias para todas las interfaces del Firebox.
n Cualquiera de confianza: un alias para todas las interfaces del Firebox configuradas como interfaces
de confianza y cualquier red a la que se puede obtener acceso a través de estas interfaces.
n Cualquiera externa: un alias para todas las interfaces del Firebox configuradas como externas y
cualquier red a la que se puede obtener acceso a través de estas interfaces.
n Cualquiera opcional: un alias para todas las interfaces del Firebox configuradas como opcionales y
cualquier red a la que se puede obtener acceso a través de estas interfaces.
n Cualquiera BOVPN: un alias para cualquier túnel BOVPN (IPSec).
Cuando se utiliza el asistente de la política BOVPN para crear una política para permitir el tráfico a
través de un túnel BOVPN, el asistente automáticamente crea alias .in y .out para los túneles
entrantes y salientes.
Los nombres de alias son diferentes de los nombres de usuario o grupo utilizados en la autenticación de
usuario. Con la autenticación de usuario, se puede monitorear una conexión con un nombre y no como una
dirección IP. La persona se autentica con un nombre de usuario y una contraseña para obtener acceso a los
protocolos de Internet.
Para más información acerca de autenticación de usuario, vea Acerca de la autenticación de usuario en la
página 209.
Miembros de alias
Puede agregarse estos objetos a un alias:
n IP de host
n IP de red
Crear un alias
Para crear un alias para utilizar con las políticas de seguridad:
3. En el cuadro de texto Nombre de alias ingrese un nombre único para identificar al alias.
Este nombre aparece en listas cuando se configura una política de seguridad.
4. En el campo Descripción, ingrese una descripción del alias.
5. Haga clic en Guardar.
Para quitar una entrada de la lista de miembros, seleccione la entrada y haga clic en Eliminar miembro.
1. Especificidad de la política
2. Protocolos configurados para el tipo de política
3. Reglas de tráfico del campo Hasta
4. Reglas de tráfico del campo Desde
5. Acción de firewall (permitido, negado o negado (enviar restablecer)) aplicada a las políticas
6. Cronogramas aplicados a las políticas
7. Secuencia alfanumérica basada en el tipo de política
8. Secuencia alfanumérica basada en el nombre de la política
Las secciones subsiguientes incluyen más detalles acerca de lo que hace el dispositivo Firebox o XTM dentro
de estos ocho pasos.
Reglas de tráfico
El dispositivo Firebox o XTM utiliza estos criterios en secuencia para comparar la regla de tráfico más
general de una política con la regla de tráfico más general de una segunda política. Asigna mayor
precedencia a la política con la regla de tráfico más detallada.
1. Rango de direcciones IP de la
2. dirección de host (menor al de la subnet con la que se compara)
3. Rango de direcciones IP de la
4. subnet (mayor al de la subnet con la que se compara)
5. Nombre de usuario de autenticación
6. Grupo de autenticación
7. Interfaz, dispositivo Firebox o XTM
8. Cualquiera externa, Cualquiera de confianza, Cualquiera opcional
9. Cualquier
De confianza es la entrada más general para HTTP-1. Cualquiera-De confianza es la entrada más general
para HTTP-2. Debido a que De confianza se incluye dentro del alias Cualquiera-De confianza, HTTP-1 es la
regla de tráfico más detallada. Esto es correcto a pesar de que HTTP-2 incluye una dirección IP, porque el
dispositivo Firebox o XTM compara la regla de tráfico más general de una política con la regla de tráfico más
general de la segunda política para establecer la precedencia.
Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara las reglas de tráfico,
examina las acciones de firewall.
Acciones de firewall
El dispositivo Firebox o XTM compara las acciones de firewall de dos políticas para establecer la
precedencia. La precedencia de acciones de firewall de mayor a menor es:
Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara las acciones de
firewall, examina los cronogramas.
Cronogramas
El dispositivo Firebox o XTM compara los cronogramas de dos políticas para establecer la precedencia. La
precedencia de cronogramas de mayor a menor es:
1. Siempre desactivado
2. A veces activo
3. Siempre activo
Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara los cronogramas,
examina los nombres y tipos de políticas.
Por ejemplo, una organización desea restringir ciertos tipos de tráfico de red durante el horario comercial
normal. El administrador de red podría crear un cronograma que se active en los días laborables y
establecer cada política en la configuración para que use el mismo cronograma.
1. Seleccione Firewall> Programación.
Aparece la página Programación.
2. Para crear un nuevo cronograma, haga clic en Agregar.
Para modificar un cronograma, haga clic en Editar.
3. En el cuadro de texto Nombre, ingrese un nombre o una descripción para el cronograma. Este
nombre no puede modificarse después de guardar el cronograma.
4. Seleccione los horarios en los que desea que el cronograma funcione para cada día de la semana.
5. Haga clic en Guardar.
1. Seleccione Firewall> Programación.
Aparece la página Programación.
n Puertos TCP
n Puertos UDP
n Un protocolo IP que no sea TCP o UDP, como GRE, AH, ESP, ICMP, IGMP y OSPF. El usuario identifica
un protocolo IP que no es TCP o UDP con el número de protocolo IP.
Para crear una política personalizada, primero debe crear o editar una plantilla de política personalizada
que especifique los puertos y protocolos utilizados por políticas de ese tipo. Luego, crea una o más políticas
a partir de esa plantilla para establecer reglas de acceso, registro, QoS y otras configuraciones.
Nota Fireware XTM no circula tráfico multicast IGMP a través de Firebox o entre
interfaces de Firebox. Circula tráfico multicast IGMP sólo entre una interfaz y
Firebox.
10. En la lista desplegable Puerto de servidor, seleccione el puerto para esta nueva política.
Si selecciona Intervalo de puertos, elija un puerto de servidor de inicio y un puerto de servidor de
finalización.
11. Haga clic en Guardar.
La plantilla de la política se agrega a la carpeta Políticas personalizadas.
Ahora puede utilizar la plantilla de la política que creó para agregar una o más políticas personalizadas a su
configuración. Siga el mismo procedimiento que para una política predefinida.
Las políticas de Mobile VPN se crean y funcionan del mismo modo que las políticas de firewall. Sin
embargo, se debe especificar un grupo de Mobile VPN al que se aplica la política.
Para configurar las propiedades de una política, en la página Políticas de Firewall, haga doble clic en la
política para abrir la página Configuración de políticas. O bien, si acaba de agregar una política a la
configuración, aparece automáticamente la página Configuración de políticas.
Pestaña Política
Utilice la pestaña Política para definir información básica acerca de una política, como si permite o rechaza
tráfico y cuáles dispositivos administra. Las configuraciones de la pestaña Política pueden utilizarse para
crear reglas de acceso para una política o configurar el enrutamiento basado en la política, NAT estática o el
balance de carga en el servidor.
Para obtener más información sobre las opciones para esta pestaña, consulte los siguientes temas:
Pestaña Propiedades
La pestaña Propiedades muestra el puerto y el protocolo al que se aplica la política, además de una
descripción de la política configurada. Las configuraciones en esta pestaña pueden utilizarse para definir las
preferencias de registro, notificaciones, bloque automático y tiempo de espera.
Para obtener más información sobre las opciones para esta pestaña, consulte los siguientes temas:
Pestaña Avanzada
La pestaña Avanzada incluye configuraciones para NAT y Administración de tráfico (QoS), además de
opciones de WAN múltiples e ICMP.
Para obtener más información sobre las opciones para esta pestaña, consulte los siguientes temas:
Configuraciones de proxy
Cada política de proxy tiene configuraciones específicas de la conexión que pueden personalizarse. Para
conocer más acerca de las opciones para cada proxy, consulte el tema Acerca de para el protocolo
deseado.
Acerca del DNS proxy en la página 280 Página Acerca de Proxy POP3 en la página 305
El campo Las conexiones están define si el tráfico que coincide con las reglas de la política está permitido o
negado. Para configurar el modo en que se administra el tráfico, utilice estas configuraciones:
Permitido
El Firebox permite el tráfico que usa esta política si coincide con las reglas establecidas en la política.
El usuario puede configurar la política para crear un mensaje de registro cuando el tráfico de red
coincide con la política.
Negado
Firebox rechaza todo el tráfico que coincide con las reglas de esta política y no envía una notificación
al dispositivo que envió el tráfico. El usuario puede configurar la política para crear un mensaje de
registro cuando un equipo intenta utilizar esta política. La política también puede agregar
automáticamente un equipo o red a la lista de Sitios bloqueados si intenta establecer una conexión
con esta política.
Para más informaciones, vea Bloquear sitios temporalmente con configuración de políticas en la
página 346.
El Firebox rechaza todo el tráfico que coincide con las reglas de esta política. El usuario puede
configurar la política para crear un mensaje de registro cuando un equipo intenta utilizar esta
política. La política también puede agregar automáticamente un equipo o red a la lista de Sitios
bloqueados si intenta establecer una conexión con esta política.
Para más informaciones, vea Bloquear sitios temporalmente con configuración de políticas en la
página 346.
Con esta opción, el Firebox envía un paquete para informar al dispositivo que envió el tráfico de red
que la sesión se rechazó y la conexión se cerró. El usuario puede configurar una política para
informar otros errores en cambio, que indican al dispositivo que el puerto, el protocolo, la red o el
host no pueden alcanzarse. Recomendamos utilizar estas opciones con precaución para asegurarse
de que la red funciona correctamente con otras redes.
n Una lista Desde (u origen) que especifica quién puede enviar (o no puede enviar) tráfico de red con
esta política.
n Una lista Hasta (o destino) que especifica a quién el Firebox puede enrutar tráfico si el tráfico
coincide (o no coincide) con las especificaciones de la política.
Por ejemplo, puede configurar un filtro de paquetes ping para permitir el tráfico de ping desde todos los
equipos de la red externa a un servidor web de la red opcional. Sin embargo, cuando se abre la red de
destino a conexiones a través del puerto o puertos que la política controla, la red puede volverse
vulnerable. Asegúrese de configurar las políticas con cuidado para evitar vulnerabilidades.
1. Para agregar miembros a sus especificaciones de acceso, haga clic en Agregar junto a la lista de
miembros Desde o Hasta.
Aparece el cuadro de diálogo Agregar miembro.
2. El contiene a los miembros que el usuario puede agregar a las listas Desde o Hasta. Un miembro
puede ser un alias, usuario, grupo, dirección IP o rango de direcciones IP .
3. En la lista desplegable Tipo de miembro, especifique el tipo de miembro que desea agregar al
cuadro.
4. Seleccione el miembro que desea agregar y haga clic en Agregar o haga doble clic en una entrada
de esta ventana.
5. Para agregar otros miembros al campo Desde o Hasta, repita los pasos anteriores.
6. Haga clic en OK.
El origen y el destino pueden ser una dirección IP de host, un rango de host, un nombre de host, una
dirección de red, un nombre de usuario, un alias, un túnel VPN o cualquier combinación de esos objetos.
Para obtener más información sobre los alias que aparecen como opciones en la lista Desde y Hasta,
consulte el tema Acerca de los alias en la página 257.
Para obtener más información acerca de cómo crear un nuevo alias, consulte Crear un alias en la página 258.
El enrutamiento basado en la política puede usarse cuando hay más de una interfaz externa y Firebox se ha
configurado para WAN múltiples. Con el enrutamiento basado en la política, el usuario puede asegurarse de
que todo el tráfico para una política siempre atraviese la misma interfaz externa, aunque la configuración
de WAN múltiples esté definida para enviar tráfico en una configuración de operación por turnos. Por
ejemplo, si el usuario desea que el correo electrónico se enrute a través de una interfaz particular, puede
usar el enrutamiento basado en la política en la definición de proxy POP3 o SMTP.
Nota Para usar enrutamiento basado en la política, debe tener Fireware XTM con una
actualización Pro. También debe configurar por lo menos dos interfaces externas.
Las configuraciones de failback (definidas en la pestaña WAN múltiples del cuadro de diálogo Configuración
de red) también se aplican al enrutamiento basado en la política. Si ocurre un evento de conmutación por
error y la interfaz original luego pasa a estar disponible, Firebox puede enviar conexiones activas a la
interfaz de conmutación por error o puede retornar a la interfaz original. Las nuevas conexiones se envían a
la interfaz original.
4. Para especificar la interfaz para enviar tráfico saliente que coincida con la política, seleccione el
nombre de la interfaz en la lista desplegable adyacente. Asegúrese de que la interfaz seleccionada
sea miembro del alias o red definido en el campo Hasta de la política.
5. (Opcional) Configurar el enrutamiento basado en la política con conmutación por error de WAN
múltiples, como se describe a continuación. Si no selecciona Conmutación por error y la interfaz
definida para esta política pasa a estar inactiva, el tráfico se rechaza hasta que la interfaz vuelva a
estar disponible.
6. Haga clic en Guardar.
Para cambiar las configuraciones de administración de errores de ICMP para la política actual:
Para obtener más información sobre configuraciones de ICMP , consulte Defina las configuraciones
globales del Firebox en la página 67.
1-to-1 NAT
Con este tipo de NAT, el dispositivo WatchGuard utiliza rangos de direcciones IP públicas y privadas
configurados por el usuario, según se describe en Acerca de las 1-to-1 NAT en la página 142.
NAT dinámico
Con este tipo de NAT, el dispositivo WatchGuard asigna direcciones IP privadas a direcciones IP públicas.
Todas las políticas tienen NAT dinámica activada de manera predeterminada.
Seleccione Usar configuraciones NAT de red si desea utilizar las reglas de NAT dinámica establecidas para
el dispositivo WatchGuard.
Seleccione Todo el tráfico en esta política si desea aplicar NAT a todo el tráfico en esta política.
En el campo Configurar IP de origen, puede seleccionar una dirección IP de origen NAT dinámica para
cualquier política que use NAT dinámica. De este modo se garantiza que cualquier tráfico que usa esta
política muestra una dirección específica de su rango de direcciones IP externas o públicas como el origen.
Esto resulta útil si se desea obligar al tráfico SMTP saliente a mostrar la dirección de registro MX para su
dominio cuando la dirección IP en la interfaz externa del dispositivo WatchGuard no coincide con la
dirección IP de registro MX.
Las reglas de 1-to-1 NAT tienen mayor prioridad que las reglas de NAT dinámica.
Una política de proxy o ALG abre cada paquete en secuencia, elimina el encabezado del nivel de red y
examina la carga del paquete. Un proxy luego reescribe la información de la red y envía el paquete a su
destino, mientras que una ALG restablece la información de la red original y reenvía el paquete. Como
resultado, un proxy o ALG puede encontrar contenido prohibido o malicioso oculto o integrado en la carga
de datos. Por ejemplo, un proxy SMTP examina todos los paquetes SMTP (correo electrónico) entrantes
para encontrar contenido prohibido, como programas o archivos ejecutables escritos en lenguajes de
script. Los atacantes con frecuencia usan estos métodos para enviar virus informáticos. Un proxy o ALG
puede imponer una política que prohíbe estos tipos de contenido, mientras el filtro de paquetes no puede
detectar el contenido no autorizado en la carga de datos del paquete.
Configuración de proxy
Al igual que los filtrados de paquetes, las políticas de proxy incluyen opciones comunes para administrar el
tráfico de red, incluidas las funciones de administración del tráfico y programación. Sin embargo, las
políticas de proxy también incluyen configuraciones que se relacionan con el protocolo de red específico.
Por ejemplo, puede configurar una política de proxy DNS para permitir sólo las solicitudes que coinciden
con la clase IN o configurar un proxy SMTP para denegar los mensajes de correo electrónico si los
encabezados no están definidos correctamente. Estas opciones pueden configurarse en las pestañas
General y Contenido de cada política de proxy.
Fireware XTM admite políticas de proxy para muchos protocolos comunes, entre ellos DNS, FTP, H.323,
HTTP, HTTPS, POP3, SIP, SMTP y TCP-UDP. Para obtener más información sobre una política de proxy,
consulte la sección para dicha política.
Acerca del DNS proxy en la página 280 Página Acerca de Proxy POP3 en la página 305
Página Acerca de Proxy FTP en la página
Página Acerca de Proxy SIP en la página 309
284
Página Acerca de ALG H.323 en la página
Página Acerca de Proxy SMTP en la página 314
287
Página Acerca de Proxy HTTP en la página
Página Acerca de Proxy de TCP-UDP en la página 319
292
Página Acerca de Proxy HTTPS en la página
301
Nota El Application Blocker no puede bloquear las sesiones de Skype que ya están
activas. Para más informaciones, vea Acerca de Skype y el Application Blocker.
n BitTorrent
n Ed2k (eDonkey2000)
n Gnutella
n Kazaa
n Napster
n Winny
Nota No se requiere que el Intrusion Prevention service utilice la función del Application
Blocker.
Aplicaciones de IM
Seleccione la casilla de selección adyacente a una o más aplicaciones de IM. Luego, seleccione
Permitir o Eliminar en la lista desplegable Cuando se detecta una aplicación de IM. Si
selecciona Permitir, se bloquearán las aplicaciones que no haya marcado. Si selecciona
Eliminar, se permitirán las aplicaciones que no haya marcado.
Por ejemplo, la captura de pantalla anterior muestra que las aplicaciones AIM, ICQ y Yahoo!
están seleccionadas. Como la acción está configurada para Eliminar, el proxy de TCP-UDP
permite el tráfico de IM de IRC, Skype y MSN.
Aplicaciones de P2P
Seleccione la casilla de selección adyacente a una o más aplicaciones de P2P. Luego, seleccione
Permitir o Eliminar en la lista desplegable Cuando se detecta una aplicación de P2P. Si
selecciona Permitir, se bloquearán las aplicaciones que no haya marcado. Si selecciona
Eliminar, se permitirán las aplicaciones que no haya marcado.
Por ejemplo, la captura de pantalla anterior muestra que las aplicaciones Kazaa, Ed2k, Napster y
Gnutella están seleccionadas. Como la acción está configurada para Eliminar, el proxy permite
cualquier otro tipo de tráfico P2P.
Para obtener información acerca de dónde establecer las configuraciones del Application Blocker en los
servidores proxy HTTP y TCP-UDP, consulte:
El Application Blocker puede configurarse para bloquear el inicio de sesión de un usuario en la red de
Skype. Es importante comprender que el Application Blocker sólo puede bloquear el proceso inicio de
sesión en Skype. No puede bloquear el tráfico para un cliente de Skype que ya ha iniciado sesión y tiene
una conexión activa. Por ejemplo:
n Si un usuario remoto inicia sesión en Skype cuando el equipo no está conectado a la red y luego el
usuario se conecta a la red mientras el cliente de Skype aún está activo, el Application Blocker no
puede bloquear el tráfico de Skype hasta que el usuario cierre la sesión de la aplicación de Skype o
reinicie el equipo.
n Cuando se configura el Application Blocker por primera vez para bloquear Skype, cualquier usuario
que ya esté conectado a la red de Skype no puede bloquearse hasta que cierre la sesión en Skype o
reinicie su equipo.
Cuando el Application Blocker bloquea un inicio de sesión en Skype, agrega las direcciones IP de los
servidores Skype a la lista de Sitios bloqueados. Para estas direcciones IP bloqueadas, el Origen activador es
"admin" y el Motivo es "manejo predeterminado de paquetes". Además, aparece un mensaje de registro
en Control de tráfico que muestra que el acceso al servidor de Skype fue denegado porque la dirección
está en la lista de Sitios bloqueados.
Nota Debido a que la lista de Sitios bloqueados bloquea el tráfico entre los servidores de
Skype y todos los usuarios de su red, el acceso a Skype se bloquea para todos los
usuarios.
Las direcciones IP del servidor de Skype permanecen en la lista de Sitios bloqueados durante el período
especificado por el usuario en el cuadro de texto Duración de sitios bloqueados automáticamente en la
configuración de Sitios bloqueados. La duración predeterminada es 20 minutos. Si se bloquea Skype y luego
se cambia la configuración para dejar de bloquear Skype, las direcciones IP del servidor de Skype en la lista
de Sitios bloqueados permanecerán bloqueadas hasta que venza el bloqueo o hasta quitarlas de la lista de
Sitios bloqueados en forma manual.
Para obtener más información acerca de cómo crear una configuración del Application Blocker, consulte
Acerca de las configuraciones de Application Blocker en la página 274.
Pueden usarse las configuraciones predeterminadas de la política de proxy o ALG o pueden cambiarse estas
configuraciones para adaptarlas al tráfico de red de su organización. También pueden crearse políticas de
proxy o ALG adicionales para administrar diferentes partes de la red.
Es importante recordar que una política de proxy o ALG requiere más capacidad de procesamiento que un
filtro de paquetes. Si se agrega un gran número de políticas de proxy o ALG a la configuración, las
velocidades del tráfico de red podrían disminuir. Sin embargo, un proxy o ALG utiliza métodos que los filtros
de paquetes no pueden utilizar para capturar paquetes peligrosos. Cada política de proxy incluye varias
configuraciones que pueden ajustarse para crear un equilibrio entre los requisitos de seguridad y
rendimiento.
Puede usar Fireware XTM Web UI para agregar una política de proxy.
Para obtener más información sobre las propiedades básicas de todas las políticas, consulte Acerca de
propiedades de políticas en la página 265.
Para obtener más información acerca de las configuraciones predeterminadas para una política de proxy o
ALG, consulte el tema "Acerca de" para el tipo de política agregada.
Acerca del DNS proxy en la página 280 Página Acerca de Proxy POP3 en la página 305
Página Acerca de Proxy FTP en la página
Página Acerca de Proxy SIP en la página 309
284
Página Acerca de ALG H.323 en la página
Página Acerca de Proxy SMTP en la página 314
287
Pueden crearse muchas acciones de proxy diferentes tanto para clientes como para servidores o para un
tipo de política de proxy específico. Sin embargo, puede asignarse sólo una acción de proxy a cada política
de proxy. Por ejemplo, una política POP3 está vinculada a una acción de proxy POP3-Cliente. Si desea crear
una acción de proxy POP3 para un servidor POP3 o una acción de proxy adicional para clientes POP3,
deben agregarse nuevas políticas de proxy POP3 que usen esas nuevas acciones de proxy al Policy
Manager.
Para cambiar una acción de proxy para una política de proxy existente, haga clic en el botón Cambiar en la
parte superior de la página, luego seleccione la acción deseada en la lista desplegable y haga clic en OK.
Para obtener más información sobre las configuraciones de acciones de proxy para cada proxy, consulte el
tema Acerca de para ese proxy.
Acerca del DNS proxy en la página 280 Página Acerca de Proxy POP3 en la página 305
Página Acerca de Proxy FTP en la página
Página Acerca de Proxy SIP en la página 309
284
Página Acerca de ALG H.323 en la página
Página Acerca de Proxy SMTP en la página 314
287
Página Acerca de Proxy HTTP en la página Página Acerca de Proxy de TCP-UDP en la página 319
292
Página Acerca de Proxy HTTPS en la página
301
Por ejemplo, si desea modificar una configuración en la acción de proxy HTTP Cliente, debe guardarla con
un nombre diferente, como HTTP Cliente.1. Esto es necesario sólo cuando se realizan modificaciones en los
conjuntos de reglas. Si se realizan cambios en configuraciones generales como los orígenes o destinos
permitidos o las configuraciones NAT para una política, no es necesario guardarlas con un nuevo nombre.
Cuando se crea un nuevo archivo de configuración, éste automáticamente incluye una política de filtrado
de paquetes salientes que admite todas las conexiones TCP y UDP desde las redes de confianza y opcional a
las externas. Esto permite a los usuarios conectarse a un servidor DNS externo con los puertos TCP 53 y
UDP 53 estándar. Dado que Saliente es un filtro de paquetes, no puede ofrecer protección contra troyanos
salientes UDP comunes, explotaciones de DNS y otros problemas que ocurren cuando se abre todo el
tráfico UDP saliente de las redes de confianza. El proxy DNS tiene funciones para proteger la red de estas
amenazas. Si se utilizan servidores DNS externos para la red, el conjunto de reglas DNS Saliente ofrece
métodos adicionales de controlar los servicios disponibles a la comunidad de red.
Para agregar el proxy DNS a la configuración de Firebox, consulte Agregar una política de proxy a la
configuración en la página 277.
Pestaña Política
n Las conexiones DNS Servidor proxy están: especifica si las conexiones están Permitidas, Negadas o
Negadas (enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaña Política
de la definición de proxy). Vea Definir reglas de acceso a una política en la página 267.
n Usar el enrutamiento basado en la política: consulte Configurar el enrutamiento basado en la
política en la página 269.
n También puede configurarse NAT estática o el balance de carga en el servidor. Vea Acerca de la NAT
estática en la página 153 y Configurar Balance de carga en el servidor en la página 154.
Pestaña Propiedades
n Para definir el registro para una política, haga clic en Registro y Determinar preferencias de registro
y notificación en la página 360.
n Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas
(enviar restablecer), se pueden bloquear sitios que intentan usar DNS. Vea Bloquear sitios
temporalmente con configuración de políticas en la página 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de
autenticación, Configurar un tiempo de espera inactivo personalizado en la página 270.
Pestaña Avanzada
Pueden usarse varias otras opciones en la definición de proxy:
Tipos de consulta
Esta lista muestra cada tipo de registro DNS y su valor. Para denegar solicitudes de registro DNS
de un tipo específico, desmarque la casilla de verificación adyacente.
Nombres de consulta
Para denegar solicitudes DNS por patrón, seleccione la casilla de verificación Denegar estos
nombres de consulta. Ingrese un nombre de host en el campo de texto adyacente y haga clic
en Agregar.
Para borrar una entrada de la lista Nombres de consulta, seleccione la entrada y haga clic en
Eliminar.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.
La mayoría de las solicitudes DNS utilizan la clase IN o Internet. Muchos ataques, en cambio,
utilizan las clases CH (caos) o HS (Hesiod). Sin embargo, algunas configuraciones de red
requieren que estas clases funcionen correctamente. Por ejemplo, se puede usar el servicio de
nombres Hesiod para distribuir automáticamente información de usuarios y grupos a través de
una red con el sistema operativo Unix. La acción predeterminada es denegar estas solicitudes.
Seleccione una opción para solicitudes DNS que usan las clases CH o HS:
n Permitir
n Denegar
n Descartar
n Bloquear: todas las solicitudes futuras de ese dispositivo se bloquean automáticamente
durante un período determinado. Seleccione la opción apropiada en la lista desplegable
adyacente.
Un atacante pueden intentar enviar solicitudes DNS que no coinciden con los estándares del
protocolo para obtener el control de la red. Sin embargo, otras aplicaciones a veces pueden
enviar solicitudes con formato inadecuado que son necesarias para la organización.
Recomendamos utilizar la configuración predeterminada y denegar las solicitudes DNS con
formato inadecuado.
n Permitir
n Denegar
n Descartar
n Bloquear: todas las solicitudes futuras de ese dispositivo se bloquean automáticamente
durante un período determinado. Seleccione la opción apropiada en la lista desplegable
adyacente.
Para enviar un mensaje de registro para cada solicitud de conexión administrada por el DNS-
Servidor proxy, seleccione esta casilla de verificación. Debe activar esta opción para crear
informes precisos sobre el tráfico DNS Servidor proxy.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.
n Establecer la longitud máxima del nombre de usuario, la longitud de la contraseña, la longitud del
nombre de archivo y la longitud de la línea de comandos permitidas a través del proxy para ayudar a
proteger la red de ataques de fallas en la memoria intermedia.
n Controlar el tipo de archivos que el proxy FTP permite para cargas y descargas.
El proxy TCP/UDP está disponible para protocolos en puertos no estándares. Cuando el FTP utiliza un puerto
que no es el puerto 20, el proxy TCP/UDP retransmite el tráfico al proxy FTP. Para obtener información
sobre el proxy TCP/UDP, consulte Página Acerca de Proxy de TCP-UDP en la página 319.
Para agregar el proxy FTP a la configuración de Firebox, consulte Agregar una política de proxy a la
configuración en la página 277.
Pestaña Política
La pestaña Política se utiliza para definir reglas de acceso y otras opciones.
n Las conexiones FTP-Servidor proxy están: especifica si las conexiones están Permitidas, Negadas o
Negadas (enviar restablecer). Defina quién figura en la lista Desde y Hasta (en la pestaña Política de
la definición de proxy).
Para más informaciones, vea Definir reglas de acceso a una política.
n Usar el enrutamiento basado en la política: Configurar el enrutamiento basado en la política.
n También puede configurarse NAT estática o el balance de carga en el servidor.
Para obtener más información, consulte Acerca de la NAT estática en la página 153 o Configurar
Balance de carga en el servidor en la página 154.
Pestaña Propiedades
n Para definir el registro para una política, haga clic en Registro y Determinar preferencias de registro
y notificación en la página 360.
n Si configura la lista desplegable Las conexiones de FTP Servidor proxy están (en la pestaña Política)
en Negadas o Negadas (enviar restablecer), se pueden bloquear sitios que intentan usar FTP.
Para más informaciones, vea Bloquear sitios temporalmente con configuración de políticas en la
página 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de
autenticación, Configurar un tiempo de espera inactivo personalizado en la página 270.
Pestaña Avanzada
Pueden usarse varias otras opciones en la definición de proxy:
Defina el número máximo de caracteres que un usuario puede enviar en un comando FTP. Los
usuarios envían comandos a un servidor FTP para completar tareas con archivos. Los comandos
muy extensos pueden ser signo de un ataque de fallas en la memoria intermedia.
Defina el número máximo de veces que un usuario puede intentar iniciar sesión antes de que
se denieguen las conexiones. Los múltiples intentos de inicio de sesión fallidos pueden ser
resultado de un atacante que utiliza ataques de diccionario para obtener acceso al servidor.
Para enviar un mensaje de registro para cada solicitud de conexión administrada por el FTP
Servidor proxy, seleccione esta casilla de verificación. Debe activar esta opción para crear
informes precisos sobre el tráfico FTP Servidor proxy.
4. Para bloquear automáticamente conexiones que no coinciden con la configuración en esa opción,
seleccione la casilla de verificación adyacente Bloqueo automático.
5. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
6. Haga clic en Guardar.
H.323 en general se usa en equipos de videoconferencia e instalaciones de voz más antiguos. SIP es un
estándar más nuevo que es más común en entornos hospedados, donde sólo dispositivos extremos como
teléfonos están hospedados en la ubicación de la empresa y un proveedor de VoIP administra la
conectividad. Si es necesario se pueden usar ALG H.323 y SIP al mismo tiempo. Para determinar qué ALG
agregar, consulte la documentación para los dispositivos o aplicaciones VoIP.
Componentes de VoIP
Es importante comprender que en general VoIP se implementa mediante el uso de:
En una conexión punto a punto, cada uno de los dos dispositivos conoce la dirección IP del otro
dispositivo y se conecta al otro directamente. Si los dos puntos se encuentran detrás de Firebox,
éste puede enrutar el tráfico de llamada correctamente.
Conexiones hospedadas
Con H.323, el componente clave de la gestión de llamadas se conoce como gatekeeper. Un gatekeeper
gestiona las llamadas VoIP para un grupo de usuarios y puede encontrarse en una red protegida por el
dispositivo WatchGuard o en una ubicación externa. Por ejemplo, algunos proveedores VoIP hospedan un
gatekeeper en la red a la que el usuario debe conectarse antes de que éste pueda realizar una llamada
VoIP. Otras soluciones requieren que el usuario configure y mantenga un gatekeeper en su red.
La coordinación del gran número de componentes de una instalación VoIP puede ser compleja.
Recomendamos asegurarse de que las conexiones VoIP funcionen en forma satisfactoria antes de agregar
una ALG H.323 o SIP. Esto puede ayudar al usuario a resolver cualquier problema.
Funciones de ALG
Cuando se activa una ALG H.323, el dispositivo WatchGuard:
Muchos dispositivos y servidores VoIP utilizan NAT (traducción de dirección de red) para abrir y cerrar
puertos automáticamente. Las ALG H.323 y SIP también cumplen esta función. Se debe desactivar NAT en
los dispositivos VoIP si se configura una ALG H.323 o SIP .
Pestaña Política
n Las conexiones ALG-H.323 están: especifica si las conexiones están Permitidas, Negadas o Negadas
(enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaña Política de la
definición de ALG).
Para más informaciones, vea Definir reglas de acceso a una política en la página 267.
n Usar el enrutamiento basado en la política : si desea utilizar el enrutamiento basado en la política en
la definición de proxy, consulte Configurar el enrutamiento basado en la política en la página 269.
n También puede configurarse NAT estática o el balance de carga en el servidor.
Para más informaciones, vea Acerca de la NAT estática en la página 153 y Configurar Balance de
carga en el servidor en la página 154.
Pestaña Propiedades
n Para definir el registro para una política, haga clic en Registro y Determinar preferencias de registro
y notificación en la página 360.
n Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas
(enviar restablecer), se pueden bloquear sitios que intentan usar DNS.
Para más informaciones, vea Bloquear sitios temporalmente con configuración de políticas en la
página 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de
autenticación, Configurar un tiempo de espera inactivo personalizado.
Pestaña Avanzada
También puede usar estas opciones en la definición de proxy:
Codecs negados
Utilice esta función para denegar uno o más codecs VoIP . Cuando se abre una conexión VoIP
H.323 que usa un codec especificado en esta lista, el dispositivo WatchGuard cierra la conexión
automáticamente. Esta lista está vacía de manera predeterminada. Recomendamos agregar un
codec a esta lista si consume demasiado ancho de banda, presenta un riesgo de seguridad o si
es necesario lograr que la solución VoIP funcione correctamente. Por ejemplo, pude optar por
denegar los codecs G.711 o G.726 porque usan más de 32 Kb/seg de ancho de banda o puede
optar por denegar el codec Speex porque es utilizado por un codec VoIP no autorizado.
n En el cuadro de texto Codecs, ingrese el nombre del codec o el patrón de texto único.
No use caracteres comodín ni sintaxis de expresión regular. Los patrones de codec
distinguen mayúsculas de minúsculas.
n Haga clic en Agregar.
Seleccione esta casilla de verificación para activar la función de control de acceso. Cuando esté
activada, la ALG H.323 permite o restringe llamadas según las opciones configuradas.
Configuración predeterminada
n Seleccione la casilla de verificación Iniciar llamadas VoIP para permitir que todos los
usuarios VoIP inicien llamadas de manera predeterminada.
n Seleccione la casilla de verificación Recibir llamadas VoIP para permitir que todos los
usuarios VoIP reciban llamadas de manera predeterminada.
n Seleccione la casilla de verificación adyacente Registro para crear un mensaje de
registro para cada conexión VoIP H.323 iniciada o recibida.
Niveles de acceso
Se puede permitir que los usuarios inicien llamadas únicamente, reciban llamadas
únicamente, inicien y reciban llamadas o denegarles el acceso VoIP. Estas configuraciones se
aplican sólo al tráfico VoIP H.323.
Las conexiones realizadas por usuarios que tienen una excepción de nivel de acceso se
registran de manera predeterminada. Si no desea registrar conexiones realizadas por un
usuario con una excepción de nivel de acceso, desmarque la casilla de verificación Registro
cuando cree la excepción.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.
Seleccione esta casilla de verificación para asegurarse de que los atacantes no puedan robar
información de usuarios a gatekeepers VoIP protegidos por Firebox. Esa opción es activada por
defecto.
Sesiones máximas
Esta función para restringe el número máximo de sesiones de audio o video que pueden
crearse con una única llamada VoIP . Por ejemplo, si el usuario define el número de sesiones
máximas en una y participa en una llamada VoIP con audio y video, la segunda conexión se
descarta. El valor predeterminado es dos sesiones y el valor máximo es cuatro sesiones.
Firebox crea una entrada de registro cuando niega una sesión multimedia por encima de este
número.
Para identificar el tráfico H.323 saliente como un cliente específico, ingrese una nueva cadena
de agente usuario en el cuadro de texto Reescribir agente usuario como.
Tiempos de espera
Cuando no se envían datos durante un período determinado en un canal VoIP de audio, video
o datos, Firebox cierra esa conexión de red. El valor predeterminado es 180 segundos (tres
minutos) y el valor máximo es 3600 segundos (60 minutos). Para especificar un intervalo de
tiempo diferente, ingrese el número en segundos en el cuadro de texto Canales de medios
inactivos.
Seleccione esta casilla de verificación para enviar un mensaje de registro para cada solicitud de
conexión administrada por la ALG H.323. Esta opción es necesaria para que Informes
WatchGuard cree informes precisos sobre el tráfico H.323. Esa opción es activada por defecto.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.
El proxy HTTP es un filtro de contenido de alto rendimiento. Examina el tráfico web para identificar
contenido sospechoso que puede ser un virus u otro tipo de intrusión. También puede proteger de ataques
a su servidor HTTP.
n Ajuste los tiempos de espera y los límites de duración de las solicitudes y respuestas HTTP para
evitar el mal desempeño de la red, como también varios ataques.
n Personalizar el deny message que los usuarios ven cuando intentan conectarse a un sitio web
bloqueado por el proxy HTTP.
n Filtrar tipos MIME de contenido web.
También se puede usar el proxy HTTP con la suscripción de seguridad WebBlocker. Para más información,
vea Acerca de las WebBlocker en la página 561.
El proxy TCP/UDP está disponible para protocolos en puertos no estándares. Cuando HTTP utiliza un puerto
que no es el puerto 80, el proxy TCP/UDP envía el tráfico al proxy HTTP. Para obtener información sobre el
proxy TCP/UDP, consulte Página Acerca de Proxy de TCP-UDP en la página 319.
Para agregar el proxy HTTP a la configuración del dispositivo Firebox o XTM, consulte Agregar una política
de proxy a la configuración en la página 277.
Pestaña Política
n Las conexiones HTTP Servidor proxy están E specifique si las conexiones están Permitidas, Negadas
o Negadas (enviar restablecer) y seleccione los usuarios, equipos o redes que aparecen en las listas
Desde y Hasta (en la pestaña Política de la definición de proxy). Para más información, vea Definir
reglas de acceso a una política en la página 267.
n Usar el enrutamiento basado en políticas Para utilizar el enrutamiento basado en políticas en la
definición de proxy, consulte Configurar el enrutamiento basado en la política en la página 269.
n También puede configurarse NAT estática o el balance de carga en el servidor.
Para más información, vea Acerca de la NAT estática en la página 153 y Configurar Balance de carga
en el servidor en la página 154.
Pestaña Propiedades
n Para definir el registro para una política, haga clic en Generación de registros y Determinar
preferencias de registro y notificación .
n Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas
(enviar restablecer), se pueden bloquear los dispositivos que intentan conectarse por el puerto 80.
Para más información, vea Bloquear sitios temporalmente con configuración de políticas en la
página 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por el dispositivo Firebox o
XTM o el servidor de autenticación, Configurar un tiempo de espera inactivo personalizado.
Pestaña Avanzada
Pueden usarse varias otras opciones en la definición de proxy:
Vea también
1. Asegúrese de que Firebox permita conexiones salientes en el puerto 443 y el puerto 80.
Estos son los puertos que usan los equipos para contactar a los servidores Windows Update.
2. Seleccione la pestaña Configuración de la política de proxy HTTPS.
3. En el cuadro de texto a la izquierda del botón Agregar , ingrese o pegue cada uno de estos dominios
y haga clic en Agregar después de cada uno:
windowsupdate.microsoft.com
download.windowsupdate.com
update.microsoft.com
download.microsoft.com
ntservicepack.microsoft.com
wustat.windows.com
v4.windowsupdate.microsoft.com
v5.windowsupdate.microsoft.com
4. Haga clic en Guardar.
Microsoft no limita las actualizaciones sólo a estos dominios. Examine los registros de tráfico negado a un
dominio de propiedad de Microsoft. Busque el tráfico negado por el proxy HTTP. La línea de registro debe
incluir el dominio. Agregue cualquier nuevo dominio de Microsoft a la lista de excepciones de proxy HTTP y
luego vuelva a ejecutar Windows Update.
Tipo de contenido
Cuando un servidor web envía tráfico HTTP, en general agrega un tipo MIME o tipo de contenido al
encabezado del paquete que muestra el tipo de contenido que incluye el paquete. El encabezado HTTP en
el tren de datos contiene este tipo MIME. Se agrega antes de enviar los datos.
El formato de un tipo MIME es tipo/subtipo. Por ejemplo, si desea permitir imágenes JPEG, debe agregar
imagen/jpg a la definición de proxy. También puede usar el asterisco (*) como comodín. Para permitir
cualquier formato de imagen, se agrega imagen/* .
1. Seleccione la casilla de verificación Permitir sólo los tipos de contenido seguro si desea limitar los
tipos de contenido permitidos a través a través del proxy. De manera predeterminada se incluye
una lista de tipos de MIME comunes.
2. Para agregar tipos de contenido comunes a la lista, en la lista Tipos de contenido predefinidos ,
seleccione el tipo de MIME y haga clic en <.
3. Para agregar otros tipos de contenido, en el cuadro de texto Tipos de contenido, ingrese un tipo de
contenido y haga clic en Agregar.
4. Para eliminar un tipo de contenido, selecciónelo en la lista Tipos de contenido y haga clic en
Eliminar.
No se pueden eliminar tipos de contenido predefinidos.
n Para bloquear todas las páginas que tienen el nombre de host www.prueba.com, ingrese el patrón:
www.prueba.com*
n Para bloquear todas las rutas que contienen la palabra sexo, en todos los sitios web, ingrese: *sexo*
n Para bloquear rutas de URL que terminan en *.prueba, en todos los sitios web, ingrese: *.prueba
1. Para usar reglas de rutas de URL para filtrar el contenido del host, la ruta y los componentes de la
cadena de consulta de una URL, seleccione la casilla de verificación Denegar los patrones de nombres
de archivos no seguros.
El nombre especifica los nombres de archivos pero cualquier patrón que se ingresa se aplica a toda la ruta de URL .
2. Para agregar un nuevo patrón de ruta, ingrese la ruta y haga clic en Agregar.
3. Para eliminar un patrón de ruta, seleccione el patrón y haga clic en Eliminar.
Cookies
Las cookies HTTP son pequeños archivos de texto alfanumérico que los servidores web ponen en los
clientes web. Las cookies controlan la página en la que está un cliente web para permitir al servidor web
enviar más páginas en la secuencia correcta. Los servidores web también usan cookies para reunir
información acerca de un usuario final. Muchos sitios web usan cookies para autenticación y otras funciones
legítimas y no pueden funcionar correctamente sin cookies.
El proxy HTTP busca paquetes según el dominio asociado con la cookie. El dominio puede especificarse en
la cookie. Si la cookie no contiene un dominio, el proxy usa el nombre de host en la primera solicitud. Por
ejemplo, para bloquear todas las cookies para nosy-adware-site.com, use el patrón: *.nosy-adware-
site.com . Si desea rechazar cookies de todos los subdominios en un sitio web, use el símbolo comodín (*)
antes y después del dominio. Por ejemplo, *google.com* bloquea todos los subdominios de google.com,
como images.google.com y mail.google.com.
1. Para bloquear cookies de un sitio en particular, seleccione la casilla de verificación Denegar las
cookies de estos sitios.
2. En el siguiente cuadro de texto, ingrese el domain name del sitio web o dominios parcial con
comodines.
3. Haga clic en Agregar.
4. Haga clic en Enviar.
Solicitudes HTTP
Tiempo de espera de conexión inactivo
Determina el tiempo que la conexión TCP de la sesión HTTP permanece abierta cuando no han
circulado paquetes a través de ella. Si ningún paquete atraviesa la conexión TCP durante el tiempo
especificado, la conexión TCP se cierra. Dado que toda sesión de TCP utiliza una pequeña cantidad
de memoria en Firebox y los exploradores y servidores no siempre cierran las sesiones HTTP
correctamente, esta opción se usa para controlar el rendimiento. En el campo adyacente, ingrese la
cantidad de minutos antes de que el proxy se desconecte.
Define el número máximo de caracteres permitidos en una URL. En esta área del proxy, URL incluye
a todo lo que compone a la dirección web después del dominio de nivel superior. Esto incluye el
carácter diagonal pero no el nombre de host (www.miejemplo.com o miejemplo.com). Por ejemplo,
la URL www.miejemplo.com/productos cuenta diez caracteres para este límite porque /productos
tiene diez caracteres.
El valor predeterminado de 2048 en general es suficiente para cualquier URL solicitado por un
equipo detrás de Firebox. Una URL que es muy larga puede indicar un intento de comprometer a un
servidor web. La extensión mínima es de 15 bytes. Se recomienda mantener esta configuración
activada con las configuraciones predeterminadas. Esto ayuda a protegerse contra clientes web
infectados en las redes que protege el proxy HTTP.
Seleccione esta casilla de verificación para enviar un mensaje de registro para cada solicitud de
conexión administrada por el HTTP Servidor proxy. Esta opción es necesaria para que Informes
WatchGuard cree informes precisos sobre el tráfico HTTP.
Respuestas HTTP
Tiempo de espera
Controla durante cuánto tiempo el proxy HTTP espera que el servidor web envíe la página web.
Cuando un usuario hace clic en un hipervínculo o ingresa una URL en la barra de dirección del
explorador web, envía una solicitud HTTP a un servidor remoto para obtener el contenido. En la
mayoría de los exploradores, la barra de estado muestra, Contactando al sitio... o un mensaje
similar. Si el servidor remoto no responde, el cliente HTTP continúa enviando la solicitud hasta que
recibe una respuesta o hasta que la solicitud ingresa en tiempo de espera. Al mismo tiempo, el
proxy HTTP continúa controlando la conexión y usa recursos de red valiosos.
Controla la extensión máxima permitida de una línea de caracteres en los encabezados de respuesta
HTTP. Defina este valor para proteger a sus equipos contra explotaciones por fallas en la memoria
intermedia. Dado que las URL para muchos sitios de comercio continúan aumentando la extensión
con el tiempo, es posible que en el futuro necesite ajustar este valor.
Seleccione esta casilla de verificación para enviar un mensaje de registro para cada solicitud de
conexión administrada por el HTTP Servidor proxy. Debe activar esta opción para crear informes
precisos sobre el tráfico HTTP Servidor proxy.
Mensaje de negación
Cuando se niega el contenido, el dispositivo WatchGuard envía un deny message predeterminado que
reemplaza al contenido negado. El usuario puede escribir un nuevo deny message para reemplazar el deny
message predeterminado. Puede personalizar el deny message con HTML estándar. También puede usar
caracteres Unicode (UTF-8) en el mensaje de negación. La primera línea del deny message es un
componente del encabezado HTTP. Debe incluir una línea vacía entre la primera línea y el cuerpo del
mensaje.
El deny message de Firebox aparece en el explorador web cuando el usuario realiza una solicitud que el
proxy HTTP no permite. También recibe un deny message cuando la solicitud está permitida, pero el proxy
HTTP niega la respuesta del servidor web remoto. Por ejemplo, si un usuario intenta descargar un archivo
.exe y se ha bloqueado ese tipo de archivo, el usuario visualiza un deny message en el explorador web. Si el
usuario intenta descargar una página web que tiene tipo de contenido desconocido y la política de proxy
está configurada para bloquear tipos MIME desconocidos, el usuario visualiza un mensaje de error en el
explorador web. El deny message predeterminado puede verse en el campo Mensaje de negación. Para
cambiar este mensaje por otro personalizado, utilice estas variables:
%(transacción)%
Incluye Solicitud o Respuesta en el deny message para mostrar qué lado de la transacción causó la
negación del paquete.
%(motivo)%
%(método)%
%(Host de URL)%
Incluye el nombre de host del servidor de la URL negada. Si no se incluyó un nombre de host, se
incluye la dirección IP del servidor.
%(ruta de URL)%
El usuario puede agregar nombres de host o patrones como excepciones de proxy HTTP. Por ejemplo, si
bloquea todos los sitios web terminados en .prueba pero desea permitir que los usuarios visiten el sitio
www.ejemplo.com, puede agregar www.ejemplo.com como una excepción de proxy HTTP.
El usuario especifica la dirección IP o el domain name de los sitios que desea permitir. El domain name (o
host) es la parte de un URL que termina en .com, .net, .org, .biz, .gov o .edu. Los domain names también
pueden terminar en un código de país, como .de (Alemania) o .jp (Japón).
Para agregar un domain name, ingrese el patrón de URL sin el inicio http://. Por ejemplo, para permitir que
los usuarios visiten el sitio web de WatchGuard http://www.watchguard.com, ingrese
www.watchguard.com . Si desea permitir todos los subdominios que contienen watchguard.com, puede
usar el asterisco (*) como carácter comodín. Por ejemplo, para permitir que los usuarios visiten
watchguard.com, www.watchguard.com y support.watchguard.com, ingrese:
*.watchguard.com
1. En el cuadro de texto adyacente a Agregar, ingrese la dirección IP de host o el domain name del
sitio web que desea permitir.
2. Haga clic en Agregar.
Repita este proceso para cada host o domain name adicional que desea agregar.
3. Si desea que se grabe un mensaje de registro en el archivo de registro cada vez que ocurre una
transacción web en un sitio web en la lista de excepciones, seleccione la casilla de verificación
Registrar cada excepción de HTTP.
En la pestaña Application Blocker, seleccione los tipos de aplicación IM y P2P a detectar y sus acciones
asociadas.
Para obtener información acerca de estas configuraciones, consulte Acerca de las configuraciones de
Application Blocker en la página 274.
HTTPS es más seguro que HTTP porque usa un certificado digital para cifrar y descifrar solicitudes de página
del usuario además de las páginas reenviadas por el servidor web. Debido a que el tráfico HTTPS está
cifrado, Firebox debe descifrarlo para poder examinarlo. Después de examinar el contenido, Firebox cifra
el tráfico con un certificado y lo envía al destino previsto.
El usuario puede exportar el certificado predeterminado creado por Firebox para esta función o importar
un certificado para que Firebox use. Si se usa el proxy HTTPS para examinar el tráfico web solicitado por los
usuarios de la red, se recomienda exportar el certificado predeterminado y distribuirlo a cada usuario para
que no reciban advertencias del explorador acerca de certificados que no son de confianza. Si se usa el
proxy HTTPS para asegurar un servidor web que acepta solicitudes de una red externa, se recomienda
importar el certificado del servidor web existente por la misma razón.
Cuando un cliente o servidor HTTPS usa un puerto distinto del puerto 443 en la empresa, se puede usar el
proxy TCP/UDP para retransmitir el tráfico al proxy HTTPS. Para obtener información sobre el proxy
TCP/UDP , consulte Página Acerca de Proxy de TCP-UDP en la página 319.
Pestaña Política
n Las conexiones HTTPS Servidor proxy están: especifica si las conexiones están Permitidas, Negadas
o Negadas (enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaña
Política de la definición de proxy). Para más informaciones, vea Definir reglas de acceso a una
política en la página 267.
n Usar el enrutamiento basado en la política : para utilizar el enrutamiento basado en la política en la
definición de proxy, consulte Configurar el enrutamiento basado en la política en la página 269.
n También puede configurarse NAT estática o el balance de carga en el servidor
. Para obtener más información, consulte Acerca de la NAT estática en la página 153 y Configurar
Balance de carga en el servidor en la página 154.
Pestaña Propiedades
n Para definir el registro para una política, haga clic en Registro y Determinar preferencias de registro
y notificación .
n Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas
(enviar restablecer), se pueden bloquear sitios que intentan usar HTTPS. Para más informaciones,
vea Bloquear sitios temporalmente con configuración de políticas en la página 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de
autenticación, Configurar un tiempo de espera inactivo personalizado.
Pestaña Avanzada
Pueden usarse varias otras opciones en la definición de proxy:
Proxy de HTTPS: Contenido
Cuando se agrega una política de proxy HTTPS, se pueden configurar opciones adicionales relacionadas con
el protocolo HTTPS.
Cuando esta casilla de verificación está seleccionada, Firebox descifra el tráfico HTTPS, examina
el contenido y vuelve a cifrar el tráfico con un nuevo certificado. La política de proxy HTTP que
se elige en esta página examina el contenido.
Nota Si otro tipo de tráfico usa el puerto HTTPS, como el tráfico SSL VPN , se
recomienda evaluar esta opción con atención. El proxy de HTTPS intenta examinar
todo el tráfico en el puerto 443 de TCP de la misma manera. Para asegurarse de
que otras fuentes de tráfico funcionen correctamente, se recomienda agregar esas
fuentes a la lista de derivación. Para obtener más información consulte la siguiente
sección.
Para más informaciones, vea Acerca de los certificados en la página 385 o Usar Certificados
para el proxy de HTTPS en la página 397.
Acción de proxy
Seleccione una política de proxy HTTP para que Firebox use cuando inspecciona contenido
HTTPS descifrado.
Para más información en la configuración del WebBlocker, vea Acerca de las WebBlocker en la
página 561.
Seleccione esta casilla de verificación para que Firebox automáticamente verifique las
revocaciones de certificados con OCSP (Protocolo de estado de certificado en línea). Cuando
esta función está activada, Firebox usa información en el certificado para contactar a un
servidor OCSP que mantiene un registro del estado del certificado. Si el servidor OCSP
responde que el certificado ha sido revocado, Firebox desactiva el certificado.
Si selecciona esta opción, puede ocurrir una demora de varios segundos mientras Firebox
solicita una respuesta del servidor OCSP . Firebox guarda entre 300 y 3000 respuestas de OCSP
para mejorar el rendimiento para sitios web visitados con frecuencia. El modelo de Firebox
determina el número de respuestas guardadas en el caché.
Cuando esta opción está seleccionada y un respondedor OCSP no envía una respuesta a una
solicitud de estado de revocación, Firebox considera el certificado original como no válido o
revocado. Esta opción puede hacer que los certificados se consideren no válidos si hay un error
de enrutamiento o un problema con la conexión de red.
Lista de derivación
Firebox no inspecciona contenido enviado hacia o desde direcciones IP en esta lista. Para
agregar un sitio web o nombre de host, ingrese la dirección IP en el cuadro de texto y haga clic
en el botón Agregar.
Para más información en la configuración del WebBlocker, vea Acerca de las WebBlocker en la
página 561.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.
Seleccione esta casilla de verificación para cerrar conexiones HTTPS que no han enviado o
recibido tráfico durante el tiempo especificado. Para cambiar el límite de tiempo, ingrese o
seleccione un número en el cuadro de texto adyacente.
El usuario puede permitir o negar el acceso a sitios web cuando el certificado coincide con un
patrón de esta lista desplegable. Esta función actúa aunque no se use la inspección de
contenido profunda para descifrar el tráfico de red HTTPS.
n Permitir: seleccione esta opción para permitir tráfico desde sitios que coinciden con los
patrones en la lista Nombres del certificado.
n Negar : seleccione esta opción para rechazar conexiones de sitios que coinciden y enviar
un deny message al sitio.
n Descartar : seleccione esta opción para rechazar conexiones sin un mensaje de
negación.
n Bloquear : seleccione esta opción para descartar conexiones y automáticamente agregar
el sitio a la lista Sitios bloqueados.
Para agregar un sitio web, ingrese el domain name (en general la URL) del certificado en el
cuadro de texto adyacente y haga clic en Agregar.
Seleccione esta casilla de verificación para enviar un mensaje de registro para cada solicitud de
conexión administrada por el HTTPS Servidor proxy. Debe activar esta opción para crear
informes precisos sobre el tráfico HTTPS Servidor proxy.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.
n Ajustar los límites de tiempo de espera y extensión de línea para asegurarse de que el proxy POP3
no use demasiados recursos de red y para impedir algunos tipos de ataques.
n Personalizar el deny message que los usuarios ven cuando se bloquea un mensaje de correo
electrónico que se les envía.
n Filtrar contenido integrado en el mensaje de correo electrónico con tipos MIME.
n Bloquear patrones de ruta y URL especificados.
Para agregar el proxy POP3 a la configuración de Firebox, consulte Agregar una política de proxy a la
configuración en la página 277.
Pestaña Política
n Las conexiones POP3-Servidor proxy están: especifica si las conexiones están Permitidas, Negadas
o Negadas (enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaña
Política de la definición de proxy). Para más informaciones, vea Definir reglas de acceso a una
política en la página 267.
n Usar el enrutamiento basado en la política : para utilizar el enrutamiento basado en la política en la
definición de proxy, consulte Configurar el enrutamiento basado en la política en la página 269.
n También puede configurarse NAT estática o el balance de carga en el servidor.
Para más informaciones, vea Acerca de la NAT estática en la página 153 y Configurar Balance de
carga en el servidor en la página 154.
Pestaña Propiedades
n Para definir el registro para una política, haga clic en Registro y Determinar preferencias de registro
y notificación en la página 360.
n Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas
(enviar restablecer), se pueden bloquear sitios que intentan usar POP3.
Para más informaciones, vea Bloquear sitios temporalmente con configuración de políticas en la
página 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de
autenticación, Configurar un tiempo de espera inactivo personalizado.
Pestaña Avanzada
Pueden usarse varias otras opciones en la definición de proxy:
En la lista Tipos de contenido, el usuario puede configurar valores para el filtrado de contenido
y la acción a seguir para tipos de contenido que no coinciden con los criterios. Para la política
de proxy de POP3 servidor, se definen los valores para el filtrado de contenido entrante. Para la
política de proxy de POP3 cliente, se definen los valores para el filtrado de contenido saliente.
El formato de un tipo MIME es tipo/subtipo. Por ejemplo, si desea permitir imágenes JPEG, se
agrega imagen/jpg . También puede usar el asterisco (*) como comodín. Para permitir
cualquier formato de imagen, se agrega imagen/* a la lista.
Este conjunto de reglas se usa en una acción de proxy POP3 servidor para poner límites en los
nombres de archivo para adjuntos de correo electrónico entrante. Este conjunto de reglas se
usa en una acción de proxy POP3 cliente para poner límites en los nombres de archivo para
adjuntos de correo electrónico saliente. El usuario puede agregar, eliminar o modificar reglas.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.
Tiempo de espera
Utilice esta configuración para limitar la cantidad de minutos en los que el cliente de correo
electrónico intenta abrir una conexión con el servidor de correo electrónico antes de que la
conexión se cierre. Esto impide que el proxy use demasiados recursos de red cuando el
servidor POP3 está lento o no se puede alcanzar.
Utilice esta configuración para impedir algunos tipos de ataques de fallas en la memoria
intermedia. Las extensiones de línea muy largas pueden causar fallas en la memoria intermedia
en algunos sistemas de correo electrónico. La mayoría de los clientes y sistemas de correo
electrónico envían líneas relativamente cortas, pero algunos sistemas de correo electrónico
web envían líneas muy extensas. Sin embargo, es poco probable que el usuario tenga que
cambiar esta configuración, a menos que evite el acceso a correo electrónico legítimo. La
configuración predeterminada es 1000 bytes.
Mensaje de negación
En el cuadro de texto Mensaje de negación, puede escribir un mensaje de texto sin cifrar
personalizado en HTML estándar que aparece en el correo electrónico del destinatario cuando
el proxy bloquea ese correo electrónico. Se pueden usar las siguientes variables:
Seleccione esta casilla de verificación para enviar un mensaje de registro para cada solicitud de
conexión administrada por el POP3 Servidor proxy. Debe activar esta opción para crear
informes precisos sobre el tráfico POP3 Servidor proxy.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.
H.323 en general se usa en equipos de videoconferencia e instalaciones de voz más antiguos. SIP es un
estándar más nuevo que es más común en entornos hospedados, donde sólo dispositivos extremos como
teléfonos están hospedados en la ubicación de la empresa y un proveedor de VoIP administra la
conectividad. Si es necesario se pueden usar ALG H.323 y SIP al mismo tiempo. Para determinar cuál ALG
necesita agregar, consulte la documentación para dispositivos o aplicaciones VoIP.
Nota El proxy SIP admite conexiones SIP de tipo amigo pero no de tipo par.
Componentes de VoIP
Es importante comprender que en general VoIP se implementa con:
En una conexión punto a punto, cada uno de los dos dispositivos conoce la dirección IP del otro
dispositivo y se conecta al otro directamente. Si los dos puntos se encuentran detrás de Firebox,
éste puede enrutar el tráfico de llamada correctamente.
Conexiones hospedadas
En el SIP estándar, dos componentes clave de la gestión de llamadas son el Log Server SIP y el Proxy SIP.
Juntos, estos componentes administran las conexiones hospedadas por el sistema de gestión de llamadas.
La SIP-ALG de WatchGuard abre y cierra los puertos necesarios para que funcione SIP. La SIP-ALG de
WatchGuard puede admitir tanto al Log Server SIP como al Proxy SIP cuando se usan con un sistema de
gestión de llamadas externo a Firebox. En esta versión, no se admite SIP cuando el sistema de gestión de
llamadas está protegido por Firebox.
La coordinación del gran número de componentes de una instalación VoIP puede ser compleja.
Recomendamos asegurarse de que las conexiones VoIP funcionen en forma satisfactoria antes de agregar
una ALG H.323 o SIP . Esto puede ayudar al usuario a resolver cualquier problema.
Funciones de ALG
Cuando se activa una SIP-ALG, Firebox:
Muchos dispositivos y servidores VoIP utilizan NAT (traducción de dirección de red) para abrir y cerrar
puertos automáticamente. Las ALG H.323 y SIP también cumplen esta función. Se debe desactivar NAT en
los dispositivos VoIP si se configura una ALG H.323 o SIP .
Para agregar la SIP ALG a la configuración de Firebox, consulte Agregar una política de proxy a la
configuración en la página 277.
Pestaña Política
n Las conexionesSIP-ALG están: especifica silas conexionesestán Permitidas,Negadas oNegadas
(enviar restablecer)y define el contenidode lalista Desdey Hasta (en lapestaña Política de la definición
de ALG).Para másinformaciones, veaDefinir reglasde accesoa unapolítica enla página267.
n Usar el enrutamiento basado en la política: para utilizar el enrutamiento basado en la política en la
definición de ALG, consulte Configurar el enrutamiento basado en la política en la página 269.
n También puede configurarse NAT estática o el balance de carga en el servidor.
Para más informaciones, vea Acerca de la NAT estática en la página 153 y Configurar Balance de
carga en el servidor en la página 154.
Pestaña Propiedades
n Para definir el registro para una política, haga clic en Registro y Determinar preferencias de registro
y notificación .
n Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas
(enviar restablecer), se pueden bloquear sitios que intentan usar SIP. Para más informaciones, vea
Bloquear sitios temporalmente con configuración de políticas en la página 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de
autenticación, consulte Configurar un tiempo de espera inactivo personalizado en la página 270.
Pestaña Avanzada
Pueden usarse varias otras opciones en la definición de ALG:
Codecs negados
Utilice esta función para denegar uno o más codecs VoIP . Cuando se abre una conexión SIP
VoIP que usa un codec especificado en esta lista, el dispositivo WatchGuard cierra la conexión
automáticamente. Esta lista está vacía de manera predeterminada. Recomendamos agregar un
codec a esta lista si consume demasiado ancho de banda, presenta un riesgo de seguridad o si
es necesario para que la solución VoIP funcione correctamente. Por ejemplo, pude optar por
denegar los codecs G.711 o G.726 porque usan más de 32 Kb/seg de ancho de banda o puede
optar por denegar el codec Speex porque es utilizado por un codec VoIP no autorizado.
Para agregar un codec a la lista, ingrese el nombre del codec o el patrón de texto único en el
cuadro de texto y haga clic en Agregar. No use caracteres comodín ni sintaxis de expresión
regular. Los patrones codec distinguen mayúsculas de minúsculas.
Seleccione esta casilla de verificación para activar la función de control de acceso. Cuando esté
activada, la SIP ALG permite o restringe llamadas según las opciones configuradas.
Configuración predeterminada
Seleccione la casilla de verificación Iniciar llamadas VoIP para permitir que todos los usuarios
VoIP inicien llamadas de manera predeterminada. Seleccione la casilla de verificación Recibir
llamadas VoIP para permitir que todos los usuarios VoIP reciban llamadas de manera
predeterminada. Seleccione la casilla de verificación adyacente Registro para crear un mensaje
de registro para cada conexión SIP VoIP iniciada o recibida.
Niveles de acceso
Se puede permitir que los usuarios inicien llamadas únicamente, reciban llamadas
únicamente, inicien y reciban llamadas o denegarles el acceso VoIP. Estas configuraciones se
aplican sólo al tráfico SIP VoIP.
Las conexiones realizadas por usuarios que tienen una excepción de nivel de acceso se
registran de manera predeterminada. Si no desea registrar conexiones realizadas por un
usuario con una excepción de nivel de acceso, desmarque la casilla de verificación Registro
cuando cree la excepción.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.
Seleccione esta casilla de verificación para negar encabezados SIP extremadamente largos o
malformados. Aunque estos encabezados a menudo indican un ataque en Firebox, si es
necesario se puede desactivar esta opción para que la solución VoIP funcione correctamente.
Esta función reescribe los encabezados de tráfico SIP para eliminar información de red privada,
como direcciones IP . Recomendamos mantener esta opción activada, salvo que tenga un
dispositivo de puerta de enlace VoIP actual que realice la ocultación de topología.
Seleccione esta casilla de verificación para asegurarse de que los atacantes no puedan robar
información de usuarios a gatekeepers VoIP protegidos por Firebox. Esa opción es activada por
defecto.
Sesiones máximas
Utilice esta función para restringir el número máximo de sesiones de audio o video que
pueden crearse con una única llamada VoIP . Por ejemplo, si el usuario define el número de
sesiones máximas en una y participa en una llamada VoIP con audio y video, la segunda
conexión se descarta. El valor predeterminado es dos sesiones y el valor máximo es cuatro
sesiones. Firebox crea una entrada de registro cuando niega una sesión multimedia por encima
de este número.
Seleccione esta casilla de verificación para enviar un mensaje de registro para cada solicitud de
conexión administrada por la SIP ALG. Debe activar esta opción para crear informes precisos
sobre el tráfico SIP.
Para identificar el tráfico SIP saliente como un cliente específico, ingrese una nueva cadena de
agente usuario en el cuadro de texto Reescribir agente usuario como. Para eliminar el agente
usuario falso, desmarque el cuadro de texto.
Cuando no se envían datos durante un período determinado en un canal VoIP de audio, video
o datos, Firebox cierra esa conexión de red. El valor predeterminado es 180 segundos (tres
minutos) y el valor máximo es 600 segundos (diez minutos). Para especificar un intervalo de
tiempo diferente, ingrese el número en segundos en el cuadro de texto Canales de medios
inactivos.
3. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
4. Haga clic en Guardar.
n Ajustar los límites de tiempo de espera, tamaño máximo del correo electrónico y extensión de línea
para asegurarse de que el proxy SMTP no use demasiados recursos de red y pueda impedir algunos
tipos de ataques.
n Personalizar el deny message que los usuarios ven cuando se bloquea un mensaje de correo
electrónico que intentan recibir.
n Filtrar contenido integrado en el mensaje de correo electrónico con tipos MIME y patrones de
nombre.
n Limitar las direcciones de correo electrónico a las que se pueden enviar mensajes de correo
electrónico y automáticamente bloquear mensajes de correo electrónico de remitentes específicos.
Para agregar el proxy SMTP a la configuración de Firebox, consulte Agregar una política de proxy a la
configuración en la página 277.
Pestaña Política
n Las conexiones SMPT Servidor proxy están: especifica si las conexiones están Permitidas, Negadas
o Negadas (enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaña
Política de la definición de proxy). Para más informaciones, vea Definir reglas de acceso a una
Pestaña Propiedades
n Para definir el registro para una política, haga clic en Registro y Determinar preferencias de registro
y notificación .
n Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas
(enviar restablecer), se pueden bloquear sitios que intentan usar SMTP. Para más informaciones,
vea Bloquear sitios temporalmente con configuración de políticas en la página 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de
autenticación, consulte Configurar un tiempo de espera inactivo personalizado en la página 270.
Pestaña Avanzada
Pueden usarse varias otras opciones en la definición de proxy:
Seleccione esta casilla de verificación para limitar quiénes pueden enviar mensajes de correo
electrónico a destinatarios en su red. Para agregar un remitente a la lista, ingrese la dirección
de correo electrónico en el cuadro de texto adyacente y haga clic en el botón Agregar. El
asterisco (*) puede usarse como carácter comodín para hacer coincidir más de un remitente.
Seleccione esta casilla de verificación para permitir que sólo usuarios especificados reciban
mensajes de correo electrónico. Para agregar un destinatario a la lista, ingrese la dirección de
correo electrónico en el cuadro de texto adyacente y haga clic en el botón Agregar. El asterisco
(*) puede usarse como carácter comodín para hacer coincidir más de un destinatario.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.
Para permitir sólo los tipos MIME configurados en la lista Tipos de contenido, seleccione esta
casilla de verificación.
Para agregar un nuevo tipo de contenido, ingrese el tipo MIME en la lista adyacente y haga clic
en Agregar. El asterisco (*) puede usarse como carácter comodín para hacer coincidir más de
un tipo MIME al mismo tiempo.
Para eliminar un tipo de contenido, seleccione la entrada y haga clic en Eliminar. No pueden
eliminarse tipos de contenido en la lista Tipos de contenido predefinidos.
Seleccione esta casilla de verificación para negar mensajes de correo electrónico con adjuntos
que tienen nombres de archivo que coinciden con un patrón en la lista adyacente.
Para eliminar un patrón de nombre de archivo, selecciónelo en la lista y haga clic en Eliminar.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.
Tiempo de espera
El usuario puede establecer la cantidad de tiempo que una conexión SMTP entrante puede
estar inactiva antes de que la conexión se cierre. El valor predeterminado es 10 minutos.
Utilice esta opción para configurar la extensión máxima de los mensajes SMTP entrantes. El
valor predeterminado es de 10.000.000 bytes o 10 MB.
La codificación puede aumentar la extensión de los archivos incluso en un tercio. Por ejemplo,
para permitir mensajes de hasta 10 KB, debe configurar este campo en un mínimo de 1.334
bytes para asegurarse de recibir los mensajes de 10 KB .
Puede configurar la extensión máxima de línea para las líneas de los mensajes SMTP. Las
extensiones de línea muy largas pueden causar fallas en la memoria intermedia en algunos
sistemas de correo electrónico. La mayoría de los clientes de correo electrónico envían
extensiones de línea cortas, pero algunos sistemas de correo electrónico Web envían líneas
muy largas.
Para permitir extensiones de línea de cualquier tamaño, configure el valor en cero (0).
Seleccione esta casilla de verificación para enviar un mensaje de registro por cada solicitud de
conexión administrada mediante el proxy SMTP. Debe activar esta opción para crear informes
precisos acerca del tráfico proxy SMTP.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.
Para configurar el proxy SMTP para colocar mensajes de correo electrónico en cuarentena:
También se puede seleccionar la acción Cuarentena para mensajes de correo electrónico identificados por
la Virus Outbreak Detection como portadores de virus. Para más informaciones, vea Configurar acciones de
Virus Outbreak Detection para una política en la página 593.
Para agregar el proxy de TCP-UDP a su configuración de Firebox, consulte Agregar una política de proxy a
la configuración en la página 277.
Pestaña Política
n Las conexiones del proxy de TCP-UDP están — Especifique si las conexiones están Permitidas,
Negadas o Negadas (enviar restablecer), y defina quién aparece en la lista De y A (en la pestaña
Política de la definición de proxy). Para obtener más información, consulte Definir reglas de acceso
a una política en la página 267.
n Usar el enrutamiento basado en la política : para utilizar el enrutamiento basado en la política en la
definición de proxy, consulte Configurar el enrutamiento basado en la política en la página 269.
n También puede configurarse NAT estática o el balance de carga en el servidor.
Para más informaciones, vea Acerca de la NAT estática en la página 153 y Configurar Balance de
carga en el servidor en la página 154.
Pestaña Propiedades
n Para definir el registro para una política, haga clic en Registro y Determinar preferencias de registro
y notificación .
n Si configuró la lista desplegable Las conexiones están (en la pestaña Política) como Negadas o
Negadas (enviar restablecer), puede bloquear los sitios que intenten utilizar el TCP-UDP. Vea
Bloquear sitios temporalmente con configuración de políticas en la página 346.
n Si desea utilizar un tiempo de espera inactivo distinto de configurado por el dispositivo WatchGuard
o el servidor de autenticación, Configurar un tiempo de espera inactivo personalizado.
Pestaña Avanzada
Pueden usarse varias otras opciones en la definición de proxy:
En la pestaña Contenido, marque la casilla de selección para los tipos de aplicación IM y P2P que desea que
el proxy TCP-UDP detecte, como también la acción asociada.
Para más información, vea Acerca de las configuraciones de Application Blocker en la página 274.
Para especificar las políticas de proxy que filtran distintos tipos de tráfico de red:
El proxy de TCP-UDP puede pasar el tráfico HTTP, HTTPS, SIP y FTP a políticas de proxy que ya
haya creado cuando este tráfico se envíe por puertos no estándar. En el caso de cada uno de
estos protocolos, en las listas desplegables adyacentes, seleccione la política de proxy que
desea para administrar este tráfico.
Si no desea que su Firebox utilice una política de proxy para filtrar un protocolo, seleccione
Permitir o Negar en la lista desplegable adyacente.
Seleccione esta casilla de verificación para enviar un mensaje de registro por cada solicitud de
conexión administrada mediante el proxy TCP-UDP. Debe activar esta opción para crear
informes precisos acerca del tráfico proxy TCP-UDP.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.
Para aplicar la administración de tráfico a las políticas, usted define una acción de administración de tráfico,
que es una colección de configuraciones que puede aplicar a una o más definiciones de la política. De esta
manera, no necesita ajustar la configuración de la administración de tráfico de manera independiente en
cada política. Puede definir acciones de administración de tráfico adicionales si desea aplicar diferentes
configuraciones a diferentes políticas.
2. Seleccione la casilla de verificación Activar todas las funciones de administración de tráfico y QoS.
3. Haga clic en Guardar.
Por ejemplo, supongamos que la compañía tiene un servidor FTP en una red externa y desea garantizar que
el FTP siempre tenga por lo menos 200 kilobytes por segundo (KBps) mediante la interfaz externa. También
puede considerar la configuración de un ancho de banda mínimo para la interfaz de confianza para
asegurarse de que la conexión tenga un ancho de banda garantizado de extremo a extremo. Para hacer
esto, debería crear una acción de administración de tráfico que defina un mínimo de 200 KBps para el
tráfico FTP en la interfaz externa. Entonces, crearía una política FTP y aplicaría la acción de administración
de tráfico. Esto permitirá ejecutar el comando ftp put a 200 KBps. Si desea permitir la ejecución del
comando ftp get a 200 KBps, debe configurar el tráfico FTP en la interfaz de confianza para que también
tenga un mínimo de 200 KBps.
Como ejemplo adicional, supongamos que su compañía utiliza materiales multimedia (streaming media)
para capacitar a clientes externos. Estos materiales multimedia utilizan RTSP mediante el puerto 554. Tiene
cargas frecuentes al FTP de la interfaz de confianza a la interfaz externa y no desea que estas cargas
compitan con la capacidad de los clientes para recibir los materiales multimedia. Para garantizar el ancho de
banda suficiente, puede aplicar una acción de administración de tráfico a la interfaz externa para el puerto
de materiales multimedia.
Marcado QoS
El marcado QoS crea diferentes clases de servicio para distintos tipos de tráfico de red saliente. Cuando
marca el tráfico, puede cambiar hasta seis bits en los campos del encabezado del paquete definidos para
este fin. Otros dispositivos pueden utilizar este marcado para administrar un paquete de la manera
adecuada mientras viaja de un punto a otro de la red.
Puede activar el marcado QoS para una interfaz individual o una política individual. Cuando define el
marcado QoS para una interfaz, cada paquete que abandona la interfaz está marcado. Cuando define el
marcado QoS para una política, todo el tráfico que utiliza esa política también está marcado.
Prioridad de tráfico
Puede asignar diferentes niveles de prioridad a las políticas o al tráfico de una interfaz en particular. La
priorización del tráfico en el firewall le permite administrar cosas de clase de servicio (CoS) múltiples y
reservar la prioridad más alta para los datos en tiempo real o la transmisión de datos. Una política con alta
prioridad puede extraer ancho de banda de las conexiones existentes de baja prioridad cuando el enlace
está congestionado; entonces, el tráfico debe competir por el ancho de banda.
Después de configurar este límite, Firebox completa las tareas de priorización básica sobre el tráfico de red
para evitar problemas de tráfico excesivo en la interfaz especificada. Además, aparece una advertencia en
Fireware XTM Web UI si asigna demasiado ancho de banda al crear o ajustar las acciones de administración
de tráfico.
Si no cambia la configuración de Ancho de banda de interfaz saliente en ninguna interfaz del valor
predeterminado en 0, está configurada para autonegociar la velocidad de enlace para esa interfaz.
La función de QoS debe poder diferenciar los varios tipos de secuencias de datos que fluyen por su red.
Entonces, debe marcar los paquetes de datos. El marcado QoS crea diferentes clasificaciones de servicio
para distintos tipos de tráfico de red. Cuando marca el tráfico, puede cambiar hasta seis bits en los campos
del encabezado del paquete definidos para este fin. Firebox y otros dispositivos aptos para QoS pueden
utilizar este marcado para administrar un paquete de la manera adecuada mientras viaja de un punto a otro
de la red.
Fireware XTM soporta dos tipos de marcado QoS: Marca de precedencia IP (también conocida como Clase de
servicio) y marca de Differentiated Service Code Point (DSCP). Para obtener más información acerca de estos
tipos de marcado y los valores que puede configurar, consulte Marcado: tipos y valores en la página 328.
Antes de empezar
n Asegúrese de que su equipo de LAN soporte el marcado y la administración QoS. Es posible que
también deba asegurarse de que su ISP soporte el marcado QoS.
n El uso de procedimientos de QoS en una red requiere una planificación exhaustiva. Primero puede
identificar el ancho de banda teórico disponible y luego determinar qué aplicaciones de red son de
alta prioridad, especialmente sensibles a la latencia y la oscilación o ambas opciones.
Por ejemplo, supongamos que su Firebox recibe tráfico con marcado QoS de una red de confianza y lo
envía a una red externa. La red de confianza ya tiene aplicado el marcado QoS, pero usted desea que el
tráfico a su equipo ejecutivo obtenga una prioridad más alta que el resto del tráfico de red de la interfaz de
confianza. Primero, configure el marcado QoS de la interfaz de confianza en un valor determinado. Luego,
agregue una política con configuración de marcado QoS para el tráfico a su equipo ejecutivo con un valor
más alto.
También puede elegir si desea preservar el marcado existente cuando se encapsula un paquete marcado
en un encabezado IPSec.
Los valores de DSCP se pueden expresar de forma numérica o mediante nombres de palabras clave
especiales que corresponden al comportamiento por salto (PHB). El comportamiento por salto es la
prioridad aplicada a un paquete cuando viaja de un punto a otro dentro de una red. La marca DSCP de
Fireware soporta tres tipos de comportamiento por salto:
Mejor esfuerzo
El Assured Forwarding se recomienda para el tráfico que requiere mejor confiabilidad que el
servicio de mejor esfuerzo. Dentro del tipo de comportamiento por salto denominado Assured
Forwarding (AF), el tráfico puede asignarse a tres clases: baja, media y alta.
Este tipo tiene la prioridad más alta. Generalmente se reserva para el tráfico crítico de la misión y en
tiempo real.
Los puntos de código del selector de clase (CSx) se definen como compatibles con las versiones anteriores
de los valores de precedencia IP. CS1 a CS7 son idénticos a los valores de precedencia IP 1 a 7.
La tabla subsiguiente muestra los valores de DSCP que usted puede seleccionar, el valor de precedencia IP
correspondiente (que es igual al valor CS) y la descripción en palabras clave de PHB.
8 1 Scavenger*
10 AF Clase 1 - Baja
12 AF Clase 1 - Media
14 AF Clase 1 - Alta
16 2
18 AF Clase 2 - Baja
20 AF Clase 2 - Media
22 AF Clase 2 - Alta
24 3
26 AF Clase 3 - Baja
28 AF Clase 3 - Media
30 AF Clase 3 - Alta
32 4
34 AF Clase 4 - Baja
36 AF Clase 4 - Media
38 AF Clase 4 - Alta
40 5
46 EF
48 6 Control de Internet
56 7 Control de red
* La clase Scavenger se utiliza para el tráfico de prioridad más baja (por ejemplo, para compartir medios o
utilizar aplicaciones de juegos). Este tráfico tiene una prioridad más baja que Mejor esfuerzo.
Para obtener más información acerca de los valores de DSCP consulte esta referencia: http://www.rfc-
editor.org/rfc/rfc2474.txt
n Preservar: no cambiar el valor actual del bit. Firebox prioriza el tráfico sobre la base de este valor.
n Asignar: asignarle al bit un nuevo valor.
8. Si seleccionó Asignar en el paso anterior, seleccione un valor de marcado.
Si seleccionó el tipo de marcado Precedencia IP puede seleccionar valores de 0 (prioridad normal)
a 7 (prioridad más alta).
Si seleccionó el tipo de marcado DSCP, los valores son de 0 a 56.
Para obtener más información acerca de estos valores, consulte Marcado: tipos y valores en la
página 328.
9. Seleccione la casilla de verificación Priorizar tráfico basado en el marcado QoS.
10. Haga clic en Guardar.
4. Seleccione la casilla de verificación Cancelar configuraciones por interfaz para activar otros campos
de marcado QoS y priorización.
5. Complete la configuración como se describe en las secciones subsiguientes.
6. Haga clic en Guardar.
n Preservar: no cambiar el valor actual del bit. Firebox prioriza el tráfico sobre la base de este valor.
n Asignar: asignarle al bit un nuevo valor.
3. Si seleccionó Asignar en el paso anterior, seleccione un valor de marcado.
Si seleccionó el tipo de marcado Precedencia IP puede seleccionar valores de 0 (prioridad normal)
a 7 (prioridad más alta).
Si seleccionó el tipo de marcado DSCP, los valores son de 0 a 56.
4. En la lista desplegable Priorizar tráfico basado en, seleccione Marcado QoS.
Configuración de priorización
Se pueden utilizar muchos algoritmos para priorizar el tráfico de red. Fireware XTM utiliza un método de
cola de alto rendimiento según la clase basado en el algoritmo de marcado jerárquico de paquetes
(Hierarchical Token Bucket, HTB). La priorización en el Fireware XTM se aplica por política y es equivalente a
los niveles de 0 a 7 de CoS (clase de servicio), donde 0 es la prioridad normal (predeterminada) y 7 es la
prioridad más alta. El nivel 5 comúnmente se utiliza para transmitir datos como VoIP o videoconferencias.
Reserve los niveles 6 y 7 para las políticas que permiten las conexiones de administración del sistema, para
asegurarse de que estén siempre disponibles y evitar la interferencia de otro tráfico de red de alta
prioridad. Utilice la tabla de niveles de prioridad como guía cuando asigne las prioridades.
Niveles de prioridad
Le recomendamos asignar una prioridad superior a 5 sólo a las políticas administrativas de WatchGuard,
como la política WatchGuard, la política WG-Logging o la política WG-Mgmt-Server. El tráfico comercial de
alta prioridad deberá obtener una prioridad de 5 o menor.
Prioridad Descripción
1 Prioridad
2 Inmediata (DNS)
4 Cancelar Flash
5 Crítica (VoIP)
el ancho de banda máximo teórico para esa red. También debe considerar tanto las necesidades de envío
como de recepción de una interfaz y configurar el valor de umbral sobre la base de estas necesidades. Si su
conexión a Internet es asimétrica, utilice el ancho de banda del enlace ascendente establecido por su ISP
como el valor de umbral.
Todas las políticas que utilizan una acción de administración de tráfico comparten su tasa de conexión y sus
configuraciones de ancho de banda. Cuando son creadas, las políticas pertenecen automáticamente a la
acción de administración de tráfico predeterminada, que no impone restricciones ni reservas. Si crea una
acción de administración de tráfico para configurar un ancho de banda máximo de 10 Mbps y se la aplica a
una política FTP y a una política HTTP, todas las conexiones manejadas por esas políticas deben compartir 10
Mbps. Si más tarde aplica la misma acción de administración de tráfico a una política SMTP, las tres políticas
deberán compartir 10 Mbps. Esto también se aplica a los límites de la tasa de conexión y al ancho de banda
mínimo garantizado. El ancho de banda garantizado sin utilizar reservado por una acción de administración
de tráfico puede ser utilizado por otras acciones.
3. Ingrese un Nombre y una Descripción (opcional) para la acción. Utilizará el nombre de la acción para
hacer referencia a ésta cuando la asigne a una política.
4. En la lista desplegable, seleccione una interfaz. Ingrese el ancho de banda mínimo y máximo para
esa interfaz en los cuadros de texto adyacentes.
5. Haga clic en Agregar.
Ahora puede aplicar esta acción de administración de tráfico a una o más políticas.
3. En la columna adyacente, haga clic en la lista desplegable y seleccione una acción de administración
de tráfico.
4. Para configurar una acción para otras políticas, repita los pasos 2 al 3.
5. Haga clic en Guardar.
Nota Si tiene una configuración multi-WAN, los límites de ancho de banda se aplican de
manera independiente a cada interfaz.
Si utiliza un ancho de banda limitado en una interfaz para varias aplicaciones, cada una con puertos únicos,
es posible que necesite que todas las conexiones de alta prioridad compartan una acción de administración
de tráfico. Si tiene mucho ancho de banda libre, podría crear acciones de administración de tráfico
independientes para cada aplicación.
Con la protección contra amenazas predeterminada, el firewall examina el origen y el destino de cada
paquete que recibe. Mira la dirección IP y el número de puerto y monitorea los paquetes en busca de
patrones que muestran si su red está en riesgo. Si existe algún riesgo, puede configurar el dispositivo
WatchGuard para bloquear automáticamente un posible ataque. Ese método proactivo de detección de
intrusión y prevención mantiene a los atacantes fuera de su red.
También puede adquirir una actualización para su dispositivo WatchGuard para usar Intrusion Prevention
basada en firmas. Para más informaciones, vea Acerca de las Gateway AntiVirus y prevención de intrusiones
en la página 613.
n Rechazar un paquete que podría ser un riesgo de seguridad, incluyendo paquetes que podrían ser
parte de un ataque de suplantación de paquetes o ataque de congestión del servidor SYN.
n Bloquear automáticamente todo el tráfico hacia y desde una dirección IP
n Agregar un evento al archivo de registro
n Enviar una captura SNMP al Management Server de SNMP
n Enviar una notificación de posibles riesgos de seguridad
2. Seleccione las casillas para los patrones de tráfico contra los cuales desea tomar medidas, tal como
se explicó en esos tópicos:
La configuración predeterminada del dispositivo WatchGuard busca abandonar los ataques de suplantación
de paquetes. Para alterar la configuración de esa función:
La configuración predeterminada del dispositivo WatchGuard busca abandonar los ataques de ruta de
origen de IP. Para alterar la configuración de esa función:
Cuando las casillas Bloquear sondeos de espacio entre puertos y Bloquear sondeos de espacio de dirección
están seleccionadas, todo el tráfico entrante en cualquier interfaz externa es examinado por el dispositivo
WatchGuard. No se puede desactivar esas funciones para direcciones IP específicas o por diferentes
períodos de tiempo.
2. Seleccione o limpie las casillas Bloquear sondeos de espacio entre puertos y Bloquear sondeos de
espacios de dirección.
3. Para cada dirección IP de origen, haga clic en las flechas para seleccionar el número máximo de
sondeos de dirección o puerto permitidos por segundo. El valor predeterminado para cada uno es
de 10 por segundo. Eso significa que el origen es bloqueado si establece conexiones a 10 puertos o
hosts diferentes en un segundo.
4. Haga clic en Guardar.
Para bloquear atacantes más rápidamente, se puede definir en un valor mínimo el umbral de número
máximo permitido de sondeos de dirección o puerto por segundo. Si el número está definido en
demasiado bajo, el dispositivo WatchGuard también podrían negar tráfico legítimo de red. Es menos
probable que bloquee tráfico legítimo de red si usa un número más alto, pero el dispositivo WatchGuard
debe enviar paquetes de restablecer TCP para cada conexión que abandona. Eso consume ancho de banda
y recursos en el dispositivo WatchGuard y provee información al atacante acerca de su firewall.
n IPSec
n IKE
n Protocolo de control de mensajes en Internet (ICMP)
n SYN
n Protocolo de datagrama de usuario (UDP)
Los ataques de congestión también son conocidos como ataques de negación de servicio (DoS). La
configuración predeterminada del dispositivo WatchGuard busca bloquear ataques de congestión.
Para cambiar las configuraciones para esa función, o para cambiar el número máximo de conexiones
permitidas por segundo:
Por ejemplo, se define el umbral del ataque de congestión del servidor de SYN en 18 paquetes/seg. Cuando
el dispositivo WatchGuard recibe 18 paquetes/seg, le informa un posible ataque de congestión del servidor
de SYN, pero no abandona ningún paquete. Si el dispositivo recibe 20 paquetes por segundo, abandona el
25% de los paquetes recibidos (5 paquetes). Si el dispositivo recibe 36 paquetes o más, los últimos 18 o más
son abandonados.
Seleccione para enviar un restablecer TCP o error de ICMP de vuelta al cliente cuando el
dispositivo WatchGuard recibe un paquete no controlado.
La configuración predeterminada del dispositivo WatchGuard busca bloquear ataques DDoS. Puede cambiar
configuraciones para esa función y también el número máximo de conexiones permitidas por segundo.
2. Seleccione o limpie las casillas de verificación Cuota por cliente o Cuota por servidor.
3. Haga clic en las flechas para definir el número máximo de conexiones permitidas por segundo
desde una dirección IP de origen protegida por el dispositivo WatchGuard (Cuota por cliente) o una
dirección IP de destino protegida por el dispositivo WatchGuard (Cuota por servidor): Las
conexiones que exceden esa cuota son desechadas.
representan un riesgo de seguridad. Después de encontrar la fuente del tráfico sospechoso, puede
bloquear todas las conexiones desde esa dirección IP. También puede configurar el dispositivo WatchGuard
para enviar un mensaje de registro cada vez que la fuente intenta establecer conexión con su red. A partir
del archivo de registro, puede ver los servicios que las fuentes usan para lanzar los ataques.
El Firebox niega todo el tráfico a partir de una dirección IP bloqueada. Puede definir dos tipos diferentes de
direcciones IP bloqueadas: permanente y bloqueo automático.
Para bloquear automáticamente los sitios que envían tráfico negado, vea Bloquear sitios temporalmente con
configuración de políticas en la página 346.
También puede bloquear automáticamente sitios que sean fuente de paquetes que no coincidan con ninguna
regla de política. Para más informaciones, vea Acerca de los paquetes no controlados en la página 342.
2. En la lista desplegable Elegir tipo, seleccione si desea insertar una dirección IP de host, una
dirección de red o rango de direcciones IP.
3. Ingrese un valor en el cuadro de texto siguiente y haga clic en Agregar. Si debe bloquear un rango
de direcciones que incluya una o más direcciones IP asignadas al dispositivo WatchGuard, primero
debe añadir esas direcciones IP a la lista de excepciones de sitios bloqueados.
Para añadir excepciones, vea Crear Excepciones sitios bloqueados en la página 345.
4. Haga clic en Guardar.
3. En la lista desplegable Elegir tipo, seleccione si desea insertar una dirección IP de host, una
dirección de red o rango de direcciones IP.
4. Ingrese un valor en el cuadro de texto siguiente y haga clic en Agregar.
5. Haga clic en Guardar.
1. En el Fireware XTM Web UI, seleccione Firewall > Políticas de Firewall. Haga doble clic en una
política para editarla.
Aparece el cuadro de diálogo "Configuración de políticas".
También puede usar la configuración de políticas para bloquear automáticamente sitios que intenten usar
un servicio negado. Para más informaciones, vea Bloquear sitios temporalmente con configuración de
políticas en la página 346.
Para definir el período de tiempo que los sitios son automáticamente bloqueados:
3. Para alterar el período de tiempo que un sitio es bloqueado automáticamente, en el cuadro de texto
Duración para sitios de bloqueo automático, ingrese o seleccione el número de minutos para
bloquear un sitio. El tiempo predeterminado es de 20 minutos.
4. Haga clic en Guardar.
Cuando bloquea un puerto, se anulan todas las reglas en sus definiciones de políticas. Para bloquear un
puerto, vea Bloquear un puerto en la página 349.
Diversas versiones del X Windows operan los servidores de fuentes X. Los servidores de fuentes X
funcionan como un superusuario en algunos hosts.
El NFS (Sistema de archivos de red) es un servicio de TCP/IP en el cual muchos usuarios usan los
mismos archivos en una red. Las nuevas versiones tienen problemas graves de seguridad y
autenticación. Proveer NFS por Internet puede ser muy peligroso.
Nota El servicio portmap suele usar el puerto 2049 para NFS. Si usa NFS, asegúrese de el
NFS usa el puerto 2049 en todos sus sistemas.
Esos servicios ofrecen acceso remoto a otros equipos. Representan un riesgo de seguridad y
muchos atacantes sondean esos servicios.
Los servicios RPC usan el puerto 111 para encontrar qué puertos un servidor RPC determinado
utiliza. Los servicios RPC son fáciles de atacar a través de Internet.
puerto 8000
Muchos proveedores usan ese puerto y muchos problemas de seguridad están relacionados a él.
puerto 1
El servicio PCPmux usa el puerto 1, pero no con frecuencia. Se puede bloquearlo para dificultar el
análisis de los puertos por esas herramientas.
puerto 0
Ese puerto siempre está bloqueado por el dispositivo WatchGuard. No se puede permitir el tráfico
en el puerto 0 a través del dispositivo.
Bloquear un puerto
Nota Tenga mucho cuidado se bloquea números de puerto superiores a 1023. Los
clientes suelen usar esos números de puerto de origen.
Un archivo de registro es una lista de eventos, junto con la información acerca de esos eventos. Un evento
es una actividad que ocurre en el dispositivo Firebox o XTM. Un ejemplo de un evento es cuando el
dispositivo niega un paquete. Su dispositivo Firebox o XTM también puede capturar información acerca de
eventos permitidos para darle una imagen más completa de la actividad en su red.
El sistema de mensaje de registro tiene varios complementos, que están descritos abajo.
Log Servers
Hay dos métodos para salvar los archivos de registro con el Fireware XTM Web UI:
Ese es un componente del WatchGuard System Manager (WSM). Si tiene un Firebox III, Firebox X
Core o Firebox X Peak, Firebox X Edge con Fireware XTM o WatchGuard XTM 2 Series, 5 Series, 8
Series o 1050, puede configurar un Log Server principal para recoger mensajes de registro.
Syslog
Ésta es una interfaz de registro desarrollada para UNIX pero que también es utilizada en muchos
otros sistemas computarizados. Si utiliza un host de syslog, puede configurar su dispositivo Firebox o
XTM para que envíe mensajes de registro a su servidor de syslog. Para encontrar un servidor de
syslog compatible con su sistema operativo, ingrese una búsqueda en Internet para "syslog
daemon".
Si su dispositivo Firebox o XTM está configurado para enviar archivos de registro a un WatchGuard Log
Server y la conexión falla, los archivos de registro no son recogidos. Es posible configurar su dispositivo para
también enviar mensajes de registro a un host de syslog que esté en la red de confianza local para prevenir
la pérdida de archivos de registro.
Para más información acerca del envío de mensajes de registro a un WatchGuard Log Server, vea Enviar
mensajes de registro al WatchGuard Log Server en la página 353.
Para más información acerca del envío de mensajes de registro a un host de syslog, vea Enviar información
de registro a un host de Syslog en la página 355.
Para más informaciones, vea Use el Syslog para ver los datos de mensaje de registro en la página 361.
n Tráfico
n Alarma
n Evento
n Depurar
n Estadística
Hay ocho categorías de mensajes de registro de Alarma: Sistema, IPS, AV, Política, Proxy, Contador,
Negación de Servicio y Tráfico. El Firebox no envía más de 10 alarmas en 15 minutos para las mismas
condiciones.
Si el Firebox no puede conectarse al Log Server principal, intenta conectarse al siguiente Log Server en la
lista de prioridad. Se el Firebox examina cada Log Server en la lista y no puede conectar, él intenta
conectarse al primer Log Server en la lista nuevamente. Cuando el Log Server principal no está disponible,
el Firebox se conecta al Log Server de resguardo, el Firebox intenta reconectarse al Log Server principal a
cada 6 minutos. Eso no afecta la conexión de Firebox con el Log Server de resguardo hasta que el Log
Server principal esté disponible.
Para más información acerca de los WatchGuard Log Servers e instrucciones para configurar el Log Server
para que acepte mensajes de registro, vea el Guía del usuario del WatchGuard System Manager.
2. Para enviar mensajes de registro a uno o más WatchGuard Log Servers, seleccione la casilla de
verificación Enviar mensajes de registro a WatchGuard Log Servers.
3. En el campo Dirección de Log Server, ingrese la dirección IP del Log Server principal.
4. En el campo Encryption Key, ingrese la Log Server encryption key.
5. En el campo Confirmar, ingrese la clave de cifrado nuevamente.
6. Haga clic en Agregar.
La información para el Log Server aparece en la lista Log Server.
7. Repita los pasos 3 a 6 para agregar más Log Servers a la lista Servidor.
8. Para alterar la prioridad de un Log Server en la lista, seleccione una dirección IP en la lista y haga clic
en Arriba o Abajo.
El número de prioridad cambia a medida que la dirección IP sube o baja en la lista.
9. Haga clic en Guardar.
Para configurar el dispositivo WatchGuard para que envíe mensajes de registro a un host de syslog, debe
tener un host de syslog configurado, en funcionamiento y listo para recibir mensajes de registro.
Si selecciona NINGUNO, los detalles para ese tipo de mensaje no son enviados al host de syslog.
Para más información acerca de los diferentes tipos de mensajes, vea Tipos de mensajes de registro
en la página 352.
El recurso de syslog se refiere a uno de los campos en el paquete syslog y también al archivo al cual
syslog envía un mensaje de registro. Puede usar Local0 para mensajes syslog de alta prioridad, como
alarmas. Puede usar Local1–Local7 para asignar prioridades para otros tipos de mensajes de registro
(números inferiores tienen mayor prioridad). Vea su documentación de syslog para más
información acerca de los recursos de registro.
6. Haga clic en Guardar.
Nota Como el tráfico de syslog no es cifrado, los mensajes de syslog que son enviados a
través de Internet disminuyen la seguridad de la red de confianza. Es más seguro si
pone su host de syslog en su red de confianza.
Configurar Registros
Es posible elegir guardar los mensajes de registro en su Firebox y seleccionar las estadísticas de desempeño
que incluir en sus archivos de registro.
n Apagado
n Error
n Advertencia
n Información
n Depurar
Cuando Apagado (el nivel más bajo) esté seleccionado, los mensajes de diagnóstico para esa
categoría están desactivados.
4. Haga clic en Guardar.
4. En la sección Registros, defina los parámetros para que coincidan con su política de seguridad.
Para más información acerca de los campos en la sección Registros, vea Determinar preferencias de
registro y notificación en la página 360.
5. Haga clic en Guardar.
Cuando selecciona esa casilla de verificación, el Firebox envía un mensaje de registro cuando ocurre
un evento.
Cuando selecciona esa casilla de verificación, el Firebox envía una notificación de evento al sistema
de administración del SNMP. El Protocolo de Administración de Red Simple (SNMP, en sus siglas en
inglés) es un conjunto de herramientas usado para monitorear y administrar redes. Una captura
SNMP es una notificación de evento que el Firebox envía al sistema de administración de SNMP
cuando una condición especificada ocurre.
Para más información acerca del SNMP, vea Acerca del SNMP en la página 59.
Para activar las capturas SNMP o solicitudes de informes, vea Activar Capturas y estaciones de
administración de SNMP en la página 62.
Enviar notificación
Cuando selecciona esa casilla, el Firebox envía una notificación cuando el evento especificado
ocurre. Por ejemplo, cuando una política permite un paquete.
El intervalo de lanzamiento controla los intervalos de tiempo entre cada evento (1, 2, 3, 4 y 5). Eso
se definió en 5 minutos. Multiplique el "repetir conteo" por el intervalo de lanzamiento. Ese es el
intervalo de tiempo que un evento debe continuar para que se inicie la repetición de notificación.
Cuando usa el campo Filtrar para especificar cuáles mensajes de registro aparecen, los resultados de
búsqueda por filtro incluyen todas las entradas que son coincidencias parciales para el filtro seleccionado.
2. Para ver sólo un tipo de mensaje de registro, en la lista desplegable Tipo de cuadro, seleccione un
tipo de mensaje:
n Tráfico
n Alarma
n Evento
n Depurar
n Estadística
3. Para ver todos los tipos de mensaje de registro nuevamente, en la lista desplegable Tipo de cuadro,
seleccione Todos.
4. Para ordenar los mensajes de registro por un tipo de dato, haga clic en el encabezado de la columna
para ver el tipo de dato en cuestión. Las columnas diferentes aparecen según el tipo de mensaje de
registro seleccionado en la lista desplegable Tipo de cuadro.
5. Para ver sólo mensajes de registro con un detalle de mensaje específico, en el cuadro de texto Filtro
, ingrese el detalle deseado.
La pantalla del Syslog se actualiza automáticamente para mostrar sólo los mensajes de registro que incluyen
en detalle especificado. Si ningún mensaje coincide con el filtro insertado, la página del Syslog queda en
blanco.
Por ejemplo, si sólo desea ver mensajes de registro del usuarioAdmin, ingrese IDusuario=Admin .
Los resultados incluyen mensajes de registro con el usuario Admin, Admins, Administrador y
cualquier otro nombre de usuario que incluya los caracteres Admin.
6. Para remover un filtro, limpie todos los detalles del cuadro de texto Filtro .
La pantalla de Syslog se actualiza automáticamente.
7. Para copiar los datos del mensaje de registro de la lista, seleccione uno o más ítems en la lista y haga
clic en Copiar.
Monitorear su Firebox
Para monitorear el estado y la actividad en el dispositivo Firebox o XTM, utilice las páginas de Panel de
control y Estado del sistema.
El Panel de control
El Panel de control incluye dos páginas: la página Sistema y la página Servicios de suscripción.
La página Sistema incluye una vista rápida del estado del dispositivo. Si tiene acceso a la configuración (de
lectura y escritura), puede reiniciar el dispositivo desde esta página. La página Sistema del panel de control
aparece automáticamente al conectarse a la Fireware XTM Web UI .
Para consultar las estadísticas de un período más prolongado o para ver más detalles acerca de las
estadísticas en el Panel de control:
También puede ver información acerca de las suscripciones al Gateway AntiVirus, el Intrusion Prevention
Service, WebBlocker y spamBlocker.
Para obtener más información acerca de actualizaciones de firma manuales, consulte Ver estado de
servicios de suscripción y actualizar firmas manualmente en la página 623.
Las páginas Estado del sistema están configuradas para actualizarse automáticamente cada 30 segundos.
1. Para modificar el intervalo de actualización, haga clic y arrastre el triángulo en la barra deslizante
Intervalo de actualización.
2. Para detener las actualizaciones en forma temporal, haga clic en Pausa.
3. Para forzar una actualización inmediata, haga clic en Pausa y luego haga clic en Reiniciar.
Los números en el eje x de las tablas indican la cantidad de minutos atrás. Las tablas estadísticas en el Panel
de control muestran datos de los últimos 20 minutos.
Tabla ARP
Para ver la tabla ARP para Firebox:
La página Tabla ARP incluye dispositivos que han respondido a una solicitud ARP (Protocolo de resolución
de dirección) de Firebox:
Dirección IP
Tipo HW
Marcadores
Nota Una dirección de hardware válida puede mostrarse brevemente como no válida
mientras Firebox espera una respuesta a la solicitud ARP.
Dirección HW
La dirección MAC de la tarjeta de interfaz de red que está asociada con la dirección IP.
Dispositivo
La interfaz de Firebox donde se encontró la dirección de hardware para esa dirección IP. El nombre
de núcleo Linux para la interfaz se muestra entre paréntesis.
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en
la página 365.
Autenticaciones
Para ver la lista de usuarios autenticados para Firebox:
La página Lista de autenticación incluye información acerca de cada usuario actualmente autenticado para
Firebox.
Usuario
Tipo
Dominio de autenticación
Hora de inicio
Última actividad
Dirección IP
La dirección IP interna que utiliza el usuario; en el caso de usuarios móviles, esta dirección IP es la
dirección IP que Firebox les ha asignado.
De dirección
La dirección IP en el equipo a partir del cual el usuario se autentica. Para los usuarios móviles, esa
dirección IP es la misma que en el equipo utilizado para conectarse al Firebox. Para los usuarios de
firewall, la dirección IP y la Dirección De son las mismas.
Para obtener más información acerca de la autenticación, consulte Acerca de la autenticación de usuario
en la página 209.
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en
la página 365.
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en
la página 365.
La página Sitios bloqueados incluye una lista de direcciones IP que actualmente se encuentran el la lista de
Sitios bloqueados, el motivo por el que se agregaron a la lista y el tiempo de vencimiento (cuando se
elimina al sitio de la lista Sitios bloqueados).
IP
Origen
El origen del sitio bloqueado. Los sitios agregados en la página Estado del sistema> Sitios
bloqueados se muestran como administración, mientras que los sitios agregados desde la página
Firewall> Sitios bloqueados se muestran como configuración.
Motivo
Tiempo de espera
Caducidad
La cantidad de tiempo que falta hasta que termine el período de tiempo de espera.
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en
la página 365.
Suma de comprobación
Para ver la suma de comprobación de los archivos del OS (sistema operativo) instalado actualmente en
Firebox:
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en
la página 365.
Conexiones
Para monitorear las conexiones a Firebox:
La página Conexiones incluye un número de conexiones que atraviesan a Firebox. El número actual de
conexiones para cada protocolo aparece en la columna Conexiones.
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en
la página 365.
Lista de componentes
Para ver una lista de los componentes de software instalados en Firebox:
n Nombre
n Versión
n Build
n Fecha
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en
la página 365.
Uso de CPU
Para monitorear el uso de CPU en Firebox:
En la página Panel de control aparece una versión más pequeña de este gráfico.
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en
la página 365.
La página Concesiones de DHCP incluye al servidor DHCP y las concesiones utilizadas por Firebox, con las
reservas de DHCP .
Interfaz
Dirección IP
La dirección IP de la concesión.
Host
El nombre de host. Si no hay un nombre de host disponible, este campo está vacío.
Dirección MAC
Hora de inicio
Hora de finalización
Tipo de hardware
El tipo de hardware.
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en
la página 365.
Diagnósticos
Se puede utilizar la página Diagnósticos para hacer ping a una dirección IP o host, trazar la ruta a una
dirección IP o host, buscar información de DNS para el host o visualizar información acerca de los paquetes
transmitidos a través de la red (Depósito de protocolo de control de transmisión, TCP).
n Ping
n Rastrear ruta
n Buscar DNS
n Volcado de TCP
Si selecciona ping, traceroute o dnslookup , aparece el campo Dirección.
Si selecciona tcpdump , aparece el campo Interfaz.
2. En el campo Dirección, ingrese una dirección IP o nombre de host.
O seleccione Interfaz en la lista desplegable.
3. Haga clic en Ejecutar tarea.
El resultado del comando aparece en la ventana Resultados y aparece el botón Detener tarea.
4. Para detener la tarea de diagnóstico, haga clic en Detener tarea.
n Ping
n Rastrear ruta
n Buscar DNS
n Volcado de TCP
2. Seleccione la casilla de verificación Opciones avanzadas.
El campo Argumentos está activado y el campo Dirección o Interfaz está desactivado.
3. En el campo Argumentos, ingrese los argumentos del comando.
Para ver los argumentos disponibles para un comando, deje el campo Argumentos en blanco.
4. Haga clic en Ejecutar tarea.
El resultado del comando aparece en la ventana Resultados y aparece el botón Detener tarea.
5. Para detener la tarea de diagnóstico, haga clic en Detener tarea.
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en
la página 365.
DNS dinámico
Para ver la tabla de rutas de DNS dinámico:
La página DNS dinámico contiene la tabla de rutas DNS con la siguiente información:
Nombre
El nombre de la interfaz.
Usuario
Dominio
Sistema
Agregar
IP
Último
Siguiente fecha
Estado
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en
la página 365.
Tecla de función
La tecla de función es una licencia que le permite utilizar diversas funciones en su dispositivo WatchGuard.
Al comprar una opción o actualización y obtener una nueva tecla de función, aumenta la funcionalidad de
su dispositivo.
n Número de serie del dispositivo WatchGuard al cual esa tecla de función se aplica
n ID y nombre del dispositivo WatchGuard
n Modelo y número de versión de dispositivo
n Funciones disponibles
Para ver información acerca de las funciones con licencia para el dispositivo WatchGuard:
2. Para ver información para cada función, utilice la barra de desplazamiento en la pestaña Tecla de
función.
Aparece la siguiente información:
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en
la página 365.
Interfaces
Para ver información sobre las interfaces de red de Firebox:
Alias
El nombre de la interfaz.
Activado
Puerta de enlace
IP
Dirección MAC
Nombre
El número de interfaz.
Máscara de red
Zona
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en
la página 365.
LiveSecurity
La Fireware XTM Web UI incluye una página con las notificaciones de alertas más recientes enviadas desde
LiveSecurity Service de WatchGuard. Las alertas de LiveSecurity proveen información que se aplica al
dispositivo, como las notificaciones acerca de las actualizaciones de software disponibles. Las notificaciones
de alertas se envían no más de una vez al día.
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en
la página 365.
Memoria
Para monitorear el uso de memoria en Firebox:
En la página Panel de control también puede verse una versión más pequeña de este gráfico.
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en
la página 365.
La tecla de función para su dispositivo Firebox X Edge activa el dispositivo para que tenga un número
específico de direcciones IP con acceso de salida. La Web UI de Fireware XTM puede usarse para ver el
número máximo de direcciones IP que tienen permitido acceso saliente y las direcciones IP que
actualmente tienen acceso saliente. También puede remover las direcciones IP de la lista de acceso de
salida, que permite que otra dirección IP remplace aquélla removida. Eso ayuda si tiene un número
limitado de direcciones IP con acceso de salida. Fireware XTM limpia automáticamente todas las
direcciones IP de la Lista de acceso saliente una vez por hora.
La información acerca del número máximo de direcciones IP con acceso saliente también está disponible
en la tecla de función. Para más información, vea Acerca de las teclas de función en la página 51.
Nota Esta función se aplica solo a los dispositivos Firebox X Edge con Fireware XTM. Si
no tiene un dispositivo Firebox X Edge con Fireware XTM, esta página no aparece
en la Web UI.
2. Para quitar una o más direcciones IP de la lista, seleccione las direcciones y haga clic en Eliminar.
3. Para quitar todas las direcciones IP de la lista, haga clic en Borrar lista.
4. Para copiar la información de determinados elementos de la lista, seleccione los elementos y haga
clic en Copiar.
5. Para cambiar la frecuencia con la que se actualiza la información de la página, deslice el control
Intervalo de actualización.
6. Para detener temporalmente la actualización de información en la página, haga clic en Pausa.
Procesos
Para ver una lista de procesos que se ejecutan en Firebox:
La página Procesos incluye información acerca de todos los procesos que se ejecutan en Firebox.
La identificación del proceso es un número único que muestra cuándo se inició el proceso.
NOMBRE
ESTADO
R: en ejecución
S: suspendido
D,Z: inactivo
RSS
PARTE
HORA
El tiempo que ha utilizado el proceso después de la última vez que se inició el dispositivo.
CPU
El porcentaje de tiempo de CPU que el proceso ha utilizado después del último reinicio del
dispositivo.
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en
la página 365.
Rutas
Para ver la tabla de rutas para Firebox:
Destino
Interfaz
Puerta de enlace
Marca
Indicador
Máscara
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en
la página 365.
Syslog
Se puede usar syslog para ver los datos de registro en el archivo de registro de Firebox.
Para obtener más información sobre cómo utilizar esta página, consulte Use el Syslog para ver los datos de
mensaje de registro en la página 361.
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en
la página 365.
Administración de tráfico
Para ver las estadísticas de administración de tráfico:
Interfaz
Bytes (%)
Bytes/segundo
Paquetes
Paquetes/segundo
Para obtener información acerca de la administración de tráfico, consulte Acerca de las Administración de
tráfico y QoS en la página 323.
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en
la página 365.
Estadísticas de VPN
Para ver estadísticas acerca de túneles VPN :
Nombre
Local
Remoto
Puerta de enlace
Entrada de paquetes
Entrada de bytes
Salida de paquetes
Salida de bytes
Reingresos
2. Para forzar a un túnel BOVPN a reingresar, seleccione un túnel BOVPN y haga clic en el botón
Reingresar túnel BOVPN seleccionado.
Para más informaciones, vea Regenerar clave de túneles BOVPN en la página 458.
3. Para ver información adicional para usar en la solución de problemas, haga clic en Depurar.
Recomendamos utilizar esta función cuando se resuelve un problema de VPN con un representante
de soporte técnico.
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en
la página 365.
Estadísticas inalámbricas
Para ver estadísticas acerca de la red inalámbrica:
El resumen incluye:
Si el dispositivo es un WatchGuard XTM 2 Series modelo inalámbrico, en esta página también se puede
actualizar la información del país inalámbrica para este dispositivo. Las opciones disponibles para la
configuración de radio inalámbrica se basan en los requisitos normativos del país en el cual el dispositivo
detecta que se encuentra.
Para obtener más información acerca de las configuraciones de radio en el dispositivo WatchGuard XTM 2
Series, consulte Acerca de las configuraciones de radio inalámbrico en el dispositivo inalámbrico
WatchGuard XTM 2 Series.
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en
la página 365.
Para obtener más información acerca de cómo activar la función de hotspot inalámbrico, consulte Activar
un hotspot inalámbrico.
Para obtener más información acerca de cómo administrar las conexiones hotspot inalámbricas, consulte
Consulte Conexiones hotspot inalámbricas.
La clave privada usada para firmar un certificado puede ser del mismo par de claves usado para generar el
certificado o de un par de claves diferentes. Si la clave privada es el mismo par de claves usado para crear
el certificado, el resultado se llama certificado autofirmado. Si la clave privada es de un par de claves
diferentes, el resultado es un certificado común. Los certificados con claves privadas que pueden ser
utilizados para firmar otros certificados son llamados Certificados CA (Autoridad de Certificación, en sus
siglas en inglés). Una autoridad de certificación es una organización o aplicación que firma o revoca los
certificados.
Si su organización tiene una configuración de PKI (infraestructura de clave pública) , usted mismo puede
firmar certificados como CA. La mayoría de las aplicaciones y dispositivos automáticamente aceptan
certificados de CAs de confianza y relevantes. Los certificados que no son firmados por CAs relevantes, tal
como un certificado autofirmado, no son aceptados automáticamente por diversos servidores o programas
y no funcionan correctamente con algunas funciones del Fireware XTM.
También podría ser necesario importar todos esos certificados en cada dispositivo cliente para que el
último certificado también sea de confianza para los usuarios.
Para más informaciones, vea Ver y administrar certificados de FireboxVer y administrar Certificados de
Firebox en la página 393.
Por defecto, su Firebox crea certificados autofirmados para proteger los datos de sesión de administración
e intentos de autenticación para el Fireware XTM Web UI y para la inspección de contenido proxy de HTTPS.
Para asegurar que el certificado usado para la inspección de contenido HTTPS sea único, su nombre incluye
el número de serie de su dispositivo y la hora en la cual el certificado fue creado. Como esos certificados no
son firmados por una CA de confianza, los usuarios en su red ven alertas en sus exploradores web.
1. Puede importar certificados firmados por una CA en los cuales su organización confía, tal como un
PKI ya configurado para su organización, para ser usado con esas funciones. Recomendamos que use
esa opción si posible.
2. Puede crear un certificado autofirmado personalizado que coincida con el nombre y ubicación de su
organización.
3. Puede usar el certificado autofirmado predeterminado.
En la segunda y tercera opciones, puede pedir que los clientes de red acepten esos certificados
autofirmados manualmente cuando se conectan al Firebox. O puede exportar los certificados y distribuirlos
con las herramientas de administración de red. Debe tener el WatchGuard System Manager instalado para
exportar certificados.
A veces la CA revoca o desactiva los certificados antes que caduquen. Su Firebox mantiene una lista
actualizada de esos certificados revocados, llamada Lista de Revocación de Certificados (CRL, las siglas en
inglés), para verificar que los certificados usados por una autenticación de VPN son válidos. Si tiene el
WatchGuard System Manager instalado, esa lista puede ser actualizada manualmente con el Firebox System
Manager (FSM), o automáticamente con la información de un certificado. Cada certificado incluye un
número único usado para identificarlo. Si el número único en un certificado de servidor web, BOVPN o
Mobile VPN with IPSec coincide con un identificador de su CRL asociado, el Firebox desactiva el certificado.
Para más informaciones acerca de las opciones de OCSP, vea Proxy de HTTPS: Contenido en la página 302.
Si desea crear un certificado para ser usado con la funciones de inspección de contenido proxy de HTTPS,
debe ser un certificado CA que pueda firmar nuevamente otros certificados. Si crea una CSR con el Firebox
System Manager y lo firma por una CA relevante, esa CSR puede ser usada como un certificado CA.
Si no tiene un PKI configurado en su organización recomendamos que elija una CA relevante para firmar las
CSRs usadas, excepto para el certificado CA del proxy de HTTPS. Si una CA relevante firma sus certificados,
éstos son automáticamente considerados de confianza por la mayoría de los usuarios. WatchGuard probó
los certificados firmados por VeriSign, Microsoft CA Server, Entrust y RSA KEON. También puede importar
certificados adicionales para que su Firebox confíe en otras CAs.
Para obtener una lista completa de las CAs automáticamente de confianza, vea Autoridades de Certificación
confiadas por Firebox en la página 387.
Si tiene instalado el WatchGuard System Manager, una copia de cada certificado es almacenada en su disco
duro en:
C:\Documents and Settings\WatchGuard\wgauth\certs\README
Tanusitvanykiado/direcciónEmail=info@netlock.hu
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 1999 VeriSign, Inc.
- Sólo para uso autorizado, CN=VeriSign Class 2 Public Primary Certification
Authority - G3
C=us, ST=Utah, L=Salt Lake City, O=Digital Signature Trust Co., OU=DSTCA X2,
CN=DST RootCA X2/direcciónEmail=ca@digsigtrust.com
C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA CLASE3 Certification
Authority, CN=IPS CA CLASE3 Certification Authority/direcciónEmail=ips@m
IPSail.ips.es
O=RSA Security Inc, OU=RSA Security 1024 V3
C=US, O=Equifax Secure, OU=Equifax Secure eBusiness CA-2
C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte,
Inc. - Sólo para uso autorizado, CN=thawte Primary Root CA
C=us, ST=Utah, L=Salt Lake City, O=Digital Signature Trust Co., OU=DSTCA X1,
CN=DST RootCA X1/direcciónEmail=ca@digsigtrust.com
C=US, O=Network Solutions L.L.C., CN=Network Solutions Certificate Authority
C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification
Services Division, CN=Thawte Server CA/direcciónEmail=server-certs@thawte.com
C=US, O=VeriSign, Inc., OU=Class 4 Public Primary Certification Authority -
G2, OU=(c) 1998 VeriSign, Inc. - Sólo para uso autorizado, OU=VeriSign Trust
Network
C=NL, O=DigiNotar, CN=DigiNotar Root CA CA/=info@diginotar.nl
C=US, O=America Online Inc., CN=America Online Root Certification Authority 2
C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA Timestamping Certification
Authority, CN=IPS CA Timestamping Certification
Authority/direcciónEmail=ips@mail.ips.es
C=US, O=DigiCert Inc., CN=DigiCert Security Services CA
C=US, O=Digital Signature Trust, OU=DST ACES, CN=DST ACES CA X6
C=DK, O=TDC, CN=TDC OCES CA
C=US, O=VeriSign, Inc., OU=Class 1 Public Primary Certification Authority
C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA CLASEA3 Certification
Authority, CN=IPS CA CLASEA3 Certification
Authority/direcciónEmail=ips@mail.ips.es
C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network,
OU=http://www.usertrust.com, CN=UTN-USERFirst-Correo electrónico y
autenticación del cliente
C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA CA Limited, CN=AAA
Certificate Services
L=ValiCert Validation Network, O=ValiCert, Inc., OU=ValiCert Class 1 Policy
Validation Authority,
CN=http://www.valicert.com//direcciónEmail=info@valicert.com
C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA CLASE1 Certification
Authority, CN=IPS CA CLASE1 Certification
Authority/direcciónEmail=ips@mail.ips.es
C=BM, O=QuoVadis Limited, OU=Root Certification Authority, CN=QuoVadis Root
Certification Authority
C=US, O=Network Solutions L.L.C., CN=Network Solutions Certificate Authority
C=CH, O=SwissSign AG, CN=SwissSign Silver CA - G2
C=US, O=Digital Signature Trust Co., OU=DSTCA E2
Nota Debe usar el Firebox System Manager (FSM) para crear solicitudes de firma de
certificado (CSRs), importar listas de revocación de certificado (CRLs), remover o
eliminar certificados.
Para obtener más información, vea el sistema de Ayuda del WatchGuard System
Manager.
Para más informaciones, vea Acerca de los certificados en la página 385 y Usar Certificados para el proxy de
HTTPS en la página 397.
n Autoridad proxy de HTTPS (para inspección profunda de paquetes) - Seleccione esta opción si
el certificado es para una política de proxy de HTTPS que administra el tráfico web solicitado
por los usuarios en una red de confianza u opcional desde un servidor web en una red externa,
seleccione Un certificado importado con esa finalidad debe ser un certificado CA. Antes de
importar el certificado CA usado para reencriptar el tráfico con un proxy de HTTPS, asegúrese
de que el certificado CA usado para reencriptar firmar ese certificado haya sido importado con
la categoría Otro.
n Servidor proxy de HTTPS - Seleccione esta opción si el certificado es para una política de proxy
de HTTPS que administra el tráfico web solicitado por usuarios en una red externa desde un
servidor web protegido por el Firebox. Antes de importar el certificado CA usado para
reencriptar el tráfico desde el servidor web de HTTPS, asegúrese de que el certificado CA
utilizado para firmar ese certificado haya sido importado con la categoría Otro .
n CA de confianza para proxy de HTTPS - Seleccione esta opción para un certificado usado para
confiar en tráfico HTTPS que no sea reencriptado por el proxy de HTTPS. Por ejemplo, un
certificado raíz o de CA intermediario usado para firmar el certificado de un servidor web
externo.
n IPSec, Servidor web, Otro - Seleccione esta opción si el certificado es para autenticación u
otros propósitos, o si desea importar un certificado para crear una cadena de confianza para un
certificado que sea usado para reencriptar el tráfico de red con un proxy de HTTPS.
4. Copie y pegue los contenidos del certificado en el cuadro de texto grande. Si el certificado incluye
una clave privada, ingrese la contraseña para descifrar la clave.
5. Haga clic en Importar certificado.
Se agrega el certificado al Firebox.
3. Para crear un nuevo certificado para la autenticación Firebox, seleccione Personalizar certificado
firmado por Firebox.
4. Ingrese un domain name o dirección IP de una interfaz en su Firebox en el cuadro de texto en la
parte inferior del cuadro de diálogo. Haga clic en Agregar. Cuando haya añadido todos los domain
names deseados, haga clic en Aceptar.
5. Ingrese el nombre común de su organización. Éste suele ser su domain name.
También puede ingresar un nombre de organización y un nombre de departamento de la
organización (ambos opcionales) para identificar la parte de su organización que creó el certificado.
6. Haga clic en Guardar.
Para crear un certificado temporal y autofirmado hasta que la CA emita su certificado firmado:
Ese comando crea un certificado dentro de su directorio actual que caduca en 30 días con la clave privada y
la CSR creada en el procedimiento anterior.
Cada solicitud de firma de certificado (CSR) debe ser firmada por una autoridad de certificación (CA) antes
que sea usada para autenticación. Al crear un certificado con ese procedimiento, uno actúa como la CA y
firma digitalmente su propia CSR. No obstante, por cuestiones de compatibilidad, recomendamos que envíe
su CSR a una CA ampliamente conocida. Los certificados raíces para esas organizaciones están inslados por
defecto en la mayoría de los exploradores de Internet y dispositivos WatchGuard, así no hace falta que uno
mismo distribuya los certificados raíces.
Se puede usar la mayoría de los sistemas operativos de Windows Server para completar una CSR y crear un
certificado. Las instrucciones siguientes son para el Windows Server 2003.
Emitir el certificado
1. Conéctese al servidor donde esté instalada la Autoridad de Certificación, si necesario.
2. Seleccione Inicio > Panel de control> Herramientas administrativas > Autoridad de certificación.
3. En el árbol Autoridad de certificación (Local), seleccione Su domain name> Solicitudes pendientes.
4. Seleccione la CSR en el panel de navegación derecho.
5. En el menu Acción, seleccione Todas las tareas > Emitir.
6. Cierre la ventana de Autoridad de Certificación.
Descargar el certificado
1. Abra su explorador web. En la ubicación o barra de dirección, ingrese la dirección IP del servidor
donde esté instalada la autoridad de certificación, seguido de certsrv.
Ejemplo: http://10.0.2.80/certsrv
2. Haga clic en el enlace Ver el estado de una solicitud de certificado pendiente.
3. Haga clic en la solicitud de certificado con la hora y fecha que fue enviada.
4. Para elegir el formato PKCS10 o PKCS7, seleccione Codificación de base 64.
5. Haga clic en Descargar certificado para guardar el certificado en su disco duro.
Por defecto, el Firebox cifra nuevamente el contenido inspeccionado con un certificado autofirmado
generado automáticamente. Los usuarios sin una copia de ese certificado ven un alerta de certificado
cuando se conectan a una sitio web seguro con HTTPS. Si un sitio web remoto usa un certificado vencido, o
si ese certificado está firmado por una CA (Autoridad de Certificación) que el Firebox no reconoce, éste
forma nuevamente el contenido como Fireware HTTPS Proxy: Certificado no reconocido o simplemente
Certificado inválido.
Esta sección incluye información acerca de cómo exportar un certificado desde el Firebox e importarlo en
un sistema con Microsoft Windows o Mac OS X para que funcione con el proxy de HTTPS. Para importar el
certificado en otros dispositivos, sistemas operativos o aplicaciones, vea la documentación de sus
fabricantes.
Para más informaciones, vea Ver y administrar certificados de FireboxVer y administrar Certificados de
Firebox en la página 393.
Si su organización ya tiene un PKI (Infraestructura de Clave Pública) configurado con una CA de confianza,
entonces puede importar un certificado en el Firebox que esté firmado por la CA de su organización. Si el
certificado CA no es automáticamente confiable, debe importar cada certificado previo en la cadena de
confianza para que ese recurso funcione correctamente. Para más informaciones, vea Ver y administrar
certificados de FireboxVer y administrar Certificados de Firebox en la página 393.
Antes de activar esa función, recomendamos que provea el(los) certificado(s) usado(s) para firmar el tráfico
HTTPS para todos los clientes en su red. Puede poner los certificados en un adjunto de correo electrónico
con las instrucciones, o usar el software de administración de red para instalar los certificados
automáticamente. También recomendamos que pruebe el proxy de HTTPS con un pequeño número de
usuarios para asegurarse de que funciona correctamente antes de aplicarlo al tráfico en una red grande.
Cuando activa la inspección de contenido, las configuraciones de WebBlocker de la acción del proxy de
HTTP anulan las configuraciones de WebBlocker del proxy de HTTPS. Si añade direcciones IP a la lista de
Derivaciones, se filtra el tráfico de esos sitios con las configuraciones WebBlocker del proxy de HTTPS.
Para más información en la configuración del WebBlocker, vea Acerca de las WebBlocker en la página 561.
Si el certificado proxy de HTTPS usado para la inspección de contenido requiere otro certificado CA
intermediario o raíz antes que sea de confianza para los clientes de la red, también debe exportar esos
certificados. También puede copiar los certificados de la fuente original para distribución.
Si importó el certificado anteriormente en un cliente, puede exportar ese certificado directamente del
sistema operativo o tienda del certificado del explorador. En la mayoría de los casos, eso exporta el
certificado en el formato x.509. Los usuarios de Windows y Mac OS X pueden hacer doble clic en un
certificado de formato x.509 para importarlo.
Para más informaciones, vea Importar un certificado en un dispositivo cliente en la página 404.
Si las conexiones hacia los servidores web remotos se interrumpen a menudo, asegúrese de que fueron
importados todos los certificados necesarios para confiar en el certificado CA usado para reencriptar el
contenido HTTPS, así como los certificados necesarios para confiar en el certificado del servidor web
original. Debe importar todos esos certificados en el Firebox y cada dispositivo cliente para que las
conexiones tengan éxito.
Para obtener más información acerca de la Ayuda del WatchGuard System Manager.
Para usar los certificados para un nuevo túnel de Mobile VPN con IPSec:
Para más informaciones, vea Configurar el Firebox para Mobile VPN with IPSec en la página 483.
Para cambiar un túnel de Mobile VPN existente para que use certificados para autenticación:
Cuando usa certificados, debe otorgar tres archivos a cada usuario de Mobile VPN:
Copie todos los archivos en el mismo directorio. Cuando el usuario de Mobile VPN importa el archivo .wgx,
los certificados cliente y raíz en los archivos cacert.pem y .p12 son cargados automáticamente.
Paramás informacionesacerca de Mobile VPN con IPSec,vea Acercadel MobileVPN conIPSec enla página481.
2. En la sección Puertas de enlace, haga clic enAgregar para crear nueva puerta de enlace.
O seleccione una puerta de enlace existente y haga clic en Editar.
3. Seleccione Utilizar Firebox Certificate de IPSec.
4. Seleccione el certificado que desea usar.
5. Defina otros parámetros, según sea necesario.
6. Haga clic en Guardar.
n El Firebox System Manager debe reorganizar el certificado como un certificado de tipo IPSec.
n Asegúrese de que los certificados para los dispositivos en cada gateway endpoint usen el mismo
algoritmo. Ambos extremos deben usar o DSS o RSA. El algoritmo para los certificados aparece en el
cuadro en la página Puerta de enlace.
n Si no tiene un certificado de terceros o autofirmado, debe usar una autoridad de certificación en un
WatchGuard Management Server.
Nota Si normalmente usa el Fireware XTM Web UI, debe instalar el Firebox System
Manager antes de exportar los certificados.
1. En el menú Inicio del Windows, ingrese certmgr.msc en el cuadro de texto Buscar y presione
Entrar.
Si se le solicita que autentique como administrador, inserte su contraseña o confirme su acceso.
Cuando tiene más de un dispositivo Firebox que usa un certificado autofirmado para inspección de
contenido HTTPS, los clientes en su red deben importar una copia de cada Firebox Certificate. No obstante,
los certificados de Firebox autofirmados predeterminados usan el mismo nombre y el Mozilla Firefox sólo
reconoce el primer certificado importado cuando más de un certificado tiene el mismo nombre.
Recomendamos que remplace los certificados autofirmados por el certificado firmado por una CA
diferente, y luego distribuya esos certificados a cada cliente.
Introducción a VPNs
Para que los datos se transfieren con seguridad entre dos redes por una red desprotegida, como es la
Internet, puede crear una red privada virtual (VPN). También puede usar una VPN para establecer una
conexión segura entre un host y una red. Las redes y hosts en los extremos de una VPN pueden ser sedes
corporativas, sucursales o usuarios remotos. Las VPNs usan el cifrado para proteger datos y la autenticación
para identificar el emisor y el destinatario de los datos. Si la información de autenticación está correcta, los
datos son cifrados. Sólo el emisor y el destinatario del mensaje pueden leer los datos enviados por la VPN.
Un túnel VPN es una ruta virtual entre dos redes privadas de VPN Nos referimos a esa ruta como túnel
porque se usa un protocolo de túnel, como IPSec, SSL o PPTP, para proteger el envío de paquetes de datos.
La puerta de enlace o PC que usa una VPN usa ese túnel para enviar paquetes de datos por la Internet
pública hacia direcciones IP privadas detrás de una puerta de enlace de VPN.
BOVPN manual
Puede usar el Policy Manager o el Fireware XTM Web UI para configurar manualmente una BOVPN
entre dos dispositivos que soportan protocolos de VPN de IPSec.
Para más informaciones, vea Acerca de túneles BOVPN manuales en la página 418.
BOVPN administrada
Puede usar el WatchGuard System Manager para configurar una BOVPN administrada en dos
dispositivos WatchGuard.
Para obtener más información, vea el Guía del usuario del WatchGuard System Manager o el
sistema de ayuda online.
Todas las BOVPNs de WatchGuard usan el conjunto de protocolo IPSec para proteger el túnel BOVPN.
Para obtener más información acerca de las VPNs de IPSec, vea Acerca de la VPNs de IPSec en la página 408.
Mobile VPN
Una Mobile VPN es una conexión cifrada entre un dispositivo de hardware exclusivo y un PC de escritorio o
laptop. Una Mobile VPN permite que sus empleados trabajen a distancia y viajen y se conecten con
seguridad a la red corporativa. WatchGuard soporta tres tipos de Mobile VPNs:
Para comparar las soluciones de Mobile VPN, vea Seleccione una Mobile VPN en la página 413.
Algoritmos de cifrado
Los algoritmos de cifrado protegen los datos para que no puedan ser leídos por terceros mientras estén en
tránsito. El Fireware XTM soporta tres algoritmos de cifrado:
n DES (Estándar de Cifrado de Datos) — Usa una clave de cifrado con extensión de 56 bits. Ese es el
más débil de los tres algoritmos.
n 3DES(Triple-DES) —Un algoritmode cifradobasado enDES que usa DES paracifrar losdatos tresveces.
n AES (Estándar de Cifrado Avanzado) — El algoritmo de cifrado más fuerte que existe. Fireware XTM
puede usar claves de cifrado AES para esas extensiones: 128, 192, o 256 bits.
Algoritmos de autenticación
Los algoritmos de autenticación verifican la integridad y autenticidad de los datos de un mensaje. El
Fireware XTM soporta dos algoritmos de autenticación:
Protocolo IKE
Definido en RFC2409, IKE (siglas en inglés para intercambio de clave de Internet) es un protocolo usado
para configurar las asociaciones de seguridad para IPSec. Esas asociaciones de seguridad establecen
secretos de sesión compartidos a partir de los cuales se derivan las claves para el cifrado de datos en túnel.
El IKE también es usado para autenticar los dos puntos de IPSec.
Un grupo de clave Diffie-Hellman es un grupo de números enteros usados para el intercambio de clave
Diffie-Hellman. Fireware XTM puede usar grupos DH 1, 2 y 5. Los números más altos del grupo ofrecen
seguridad más fuerte.
Para más informaciones, vea Acerca de los grupos Diffie-Hellman en la página 429.
AH
Definido en RFC 2402, el AH (Encabezado de autenticación) es un protocolo que puede usar en las
negociaciones de VPN de Fase 2 de BOVPN manual. Para ofrecer seguridad, el AH agrega información de
autenticación al datagrama de IP. La mayoría de los túneles VPN no usan AH porque no ofrece cifrado.
ESP
Definido en RFC 2406, el ESP (Carga de seguridad de encapsulación) ofrece autenticación y cifrado de datos.
El ESP toma la carga original de un paquete de datos y la reemplaza por datos cifrados. Añade verificaciones
de integridad para asegurar que los datos no sean alterados en tránsito y que vienen de una fuente
adecuada. Recomendamos que use el ESP en negociaciones de Pase 2 de BOVPN porque el ESP es más
seguro que el AH. El Mobile VPN with IPSec siempre usa ESP.
Configuraciones
El principal propósito de la Fase 1 es configurar un canal cifrado seguro a través del cual los dos
puntos pueden negociar la Fase 2. Cuando la Fase 1 termina con éxito, los puntos pasan rápidamente
hacia las negociaciones de Fase 2. Si la Fase 1 falla, los dispositivos no pueden empezar la Fase 2.
Fase 2
El propósito de las negociaciones de Fase 2 es que los dos puntos concuerden en un conjunto de
parámetros que definen qué tráfico puede pasar por la VPN y cómo encriptar y autenticar el tráfico.
Ese acuerdo se llama Asociación de Seguridad.
Las configuraciones de Fase 1 y Fase 2 deben coincidir en los dispositivos en ambos extremos del túnel.
Negociaciones de Fase 1
En las negociaciones de Fase 1, los dos puntos intercambian credenciales. Los dispositivos se identifican y
negocian para encontrar un conjunto común de configuraciones de Fase 1 que usar. Cuando se concluyen
las negociaciones de Fase 1, los dos puntos tienen una Asociación de Seguridad (SA) de Fase 1. Esa SA es
válida sólo por un período de tiempo determinado. Después que la SA de Fase 1 caduca, si dos los puntos
deben concluir las negociaciones de Fase 2 nuevamente, también deben negociar la Fase 1 nuevamente.
Las credenciales pueden ser un certificado o una clave precompartida. Ambos extremos de puerta
de enlace deben usar el mismo método de credenciales. Si un punto usa una clave precompartida,
el otro punto también debe usar una y las claves deben coincidir. Si un punto usa un certificado, el
otro también debe usar un certificado.
2. Los dispositivos se identifican uno al otro.
Cada dispositivo ofrece un identificador de Fase 1, que puede ser una dirección IP, domain name,
información de dominio o nombre de X500. La configuración de VPN en cada punto contiene un
identificador de Fase 1 del dispositivo local y del remoto, y las configuraciones deben coincidir.
3. Los puntos deciden si usar el Modo Principal o Modo Agresivo.
Las negociaciones de Fase 1 pueden usar uno de los dos modos: Modo Principal o Modo Agresivo. El
dispositivo que inicia las negociaciones IKE (el iniciador) envía una propuesta de Modo Principal o
una propuesta de Modo Agresivo. El respondedor puede rechazar la propuesta caso no esté
configurado para usar ese modo. Las comunicaciones de Modo Agresivo ocurren con menos
intercambios de paquetes. El Modo Agresivo es menos seguro, pero más rápido que el Modo
Principal.
4. Los puntos concuerdan respecto a los parámetros de Fase 1.
Negociaciones de Fase 2
Después que dos puntos de IPSec concluyen las negociaciones de Fase 1, empiezan las negociaciones de
Fase 2. Las negociaciones de Fase 2 establecen la SA de Fase 2 (a veces denominada SA de IPSec). La SA de
IPSec es un conjunto de especificaciones de tráfico que informan al dispositivo qué tráfico enviar por la
VPN y cómo cifrarlo y autenticarlo. En las negociaciones de Fase 2, los dos puntos concuerdan en un
conjunto de parámetros de comunicación. Cuando configura el túnel BOVPN en el Policy Manager o en el
Fireware XTM Web UI, especifica los parámetros de Fase 2.
Como los puntos usan la SA de Fase 1 para proteger las negociaciones de Fase 2, y define las
configuraciones de SA de Fase 1 en las configuraciones de puerta de enlace de BOVPN, debe especificar la
puerta de enlace que usar para cada túnel.
Las negociaciones de Fase 2 sólo pueden empezar después que se haya establecido la SA de Fase 1.
2. Los pares intercambian identificadores de Fase 2 (IDs).
Los IDs de Fase 2 siempre son enviados como un par en una propuesta de Fase 2: uno indica cuáles
direcciones IP detrás del dispositivo local pueden enviar tráfico por la VPN y el otro indica cuáles
direcciones IP detrás del dispositivo remoto pueden enviar tráfico por la VPN. Eso también se
conoce como una ruta de túnel. Puede especificar los IDs de Fase 2 para el punto local y remoto
como una dirección IP de host, una dirección IP de red o un rango de direcciones IP.
3. Los puntos concuerdan respecto al uso del Perfect Forward Secrecy (PFS).
El PFS especifica cómo se derivan las claves de Fase 2. Cuando se selecciona el PFS, ambos pares IKE
deben usar el PFS, sino la regeneración de claves de Fase 2 falla. El PFS garantiza que si una clave de
cifrado usada para proteger la transmisión de datos está comprometida, un atacante puede acceder
sólo a los datos protegidos por aquella clave, no por claves siguientes. Si los puntos concuerdan con
usar el PFS, deben también concordar con el grupo de claves Diffie-Hellman que usar para el PFS.
4. Los puntos concuerdan con una propuesta de Fase 2.
La propuesta de Fase 2 incluye las direcciones IP que pueden enviar tráfico por el túnel, y un grupo
de parámetros de cifrado y autenticación. El Fireware XTM envía esos parámetros en una propuesta
de Fase 2. La propuesta incluye el algoritmo que usar para autenticar datos, para cifrar datos y con
qué frecuencia generar nuevas claves de cifrado de Fase 2.
Los ítems que puede definir en una propuesta de Fase 2 incluyen:
Tipo
Para un BOVPN manual, puede seleccionar el tipo de protocolo que usar: Encabezado de
autenticación (AH) o Carga de seguridad de encapsulación (ESP). El ESP ofrece autenticación y
cifrado de los datos. El AH ofrece autenticación sin el cifrado. Recomendamos que seleccione
ESP. La BOVPN administrada y el Mobile VPN with IPSec siempre usan ESP.
Autenticación
Cifrado
El cifrado mantiene los datos confidenciales. Puede seleccionar el DES, 3DES o AES. El AES es el
más seguro.
Para asegurarse de que las claves de cifrado de Fase 2 cambian periódicamente, siempre active
la caducidad de clave. Cuanto más tiempo una clave de cifrado de Fase 2 esté en uso, más datos
un atacante puede recoger para usar en un ataque contra la clave.
Para más información acerca del la configuración de Fase 1 y Fase 2 de BOVPN, vea:
Para más información acerca de cómo usar un certificado para autenticación de túnel, vea:
Cuando una Mobile VPN, primero configura su Firebox y después configura los equipos de clientes
remotos. El Policy Manager o el Fireware XTM Web UI son usados para configurar cada usuario o grupo de
usuarios. Para la Mobile VPN with IPSec y Mobile VPN with SSL, se usa el Policy Manager o la interfaz de
usuario web para crear un archivo de configuración de perfil de usuario final que incluya todas las
configuraciones necesarias para conectarse al Firebox. También puede configurar sus políticas para permitir
o negar tráfico desde clientes Mobile VPN. Los usuarios de Mobile VPN se autentican en la base de datos de
usuario de Firebox o en un servidor de autenticación externo.
Nota En el caso del Mobile VPN con SSL, puede elegir un puerto y protocolo diferentes.
Para más informaciones, vea Elegir un puerto y protocolo para Mobile VPN with
SSL en la página 550
El tipo de Mobile VPN que selecciona depende mucho de su infraestructura existente y sus preferencias de
política de red. El Firebox puede administrar tres tipos de Mobile VPN simultáneamente. Un equipo cliente
puede ser configurado para usar uno o más métodos. Algunos de los aspectos que considerar cuando
seleccione qué tipo de Mobile VPN usar están descritos en las siguientes secciones.
Para el número máximo y básico de túneles soportados por Mobile VPN with IPSec y Mobile VPN with SSL,
vea las especificaciones detalladas para su modelo de dispositivo WatchGuard.
Vasco
Mobile RSA Active
Firebox RADIUS Vasco/ RADIUS Challenge LDAP
VPN SecurID Directory
Response
Mobile
VPN with Sí Sí No No No No No
PPTP
Mobile
VPN with Sí Sí Sí N/A Sí Sí Sí
IPSec
Mobile
VPN with Sí Sí Sí N/A Sí Sí Sí
SSL
Debe instalar el cliente Mobile VPN con IPSec de WatchGuard y manualmente importar el perfil del
usuario final. El cliente Mobile VPN con IPSec requiere más pasos para ser configurado que el
cliente Mobile VPN con SSL.
Compatible con: Windows XP SP2 (32 bits y 64 bits), Windows Vista (32 bits y 64 bits) y Windows 7
(32 bits y 64 bits).
Debe instalar el cliente Mobile VPN con SSL de WatchGuard y el archivo de configuración.
Compatible con: Windows XP SP2 (32 bits solamente), Windows Vista (32 bits solamente), Windows
7 (32 bits y 64 bits), Mac OS X 10.6 Snow Leopard y Mac OS X 10.5 Leopard
Forzar todo el tráfico de cliente a través del túnel (VPN de ruta predeterminada)
La opción más segura es requerir que todo el tráfico de Internet del usuario remoto sea enrutado a
través del túnel VPN hacia el dispositivo WatchGuard. Después, el tráfico es enviado de vuelta a
Internet. Con esa configuración (conocida como VPN de ruta predeterminada), el dispositivo
WatchGuard puede examinar todo el tráfico y ofrecer mayor seguridad, aunque se use más
potencia de procesamiento y ancho de banda.
Al usar una VPN de ruta predeterminada con Mobile VPN para IPSec o Mobile VPN para PPTP, una
política de NAT dinámica debe incluir el tráfico saliente de la red remota. Eso permite que los
usuarios remotos naveguen en Internet cuando envían todo el tráfico al dispositivo WatchGuard.
Otra opción de configuración es activar el túnel dividido. Con esa opción, los usuarios pueden
navegar en Internet, pero el tráfico de Internet no es enviado a través del túnel VPN. El túnel
dividido mejora el desempeño de red, pero disminuye la seguridad debido a que las políticas
creadas no son aplicadas al tráfico de Internet. Si usa el túnel dividido, recomendamos que cada
equipo cliente tenga un firewall de software.
Para más información específica para cada tipo de Mobile VPN, vea:
n En el caso del Mobile VPN con IPSec y Mobile VPN con SSL, instale el software cliente y el
archivo de configuración.
n Para el Mobile VPN con PPTP, configure manualmente la conexión de PPTP en la configuración
de red del equipo cliente.
Para más información y pasos detallados para configurar cada tipo de Mobile VPN, vea:
n Debe tener dos dispositivos WatchGuard o un dispositivo WatchGuard y un segundo dispositivo que
usa estándares IPSec. Debe activar la opción VPN en otro dispositivo si todavía no está activa.
n Debe tener una conexión de Internet.
n El ISP para cada dispositivo de VPN debe permitir el tráfico IPSec en sus redes.
Algunos ISPs no permiten la creación de túneles VPN en sus redes excepto si actualiza su servicio de
Internet para un nivel que soporte túneles VPN. Hable con un representante de cada ISP para
asegurarse de que esos puertos y protocolos están permitidos:
n Puerto UDP 500 (Intercambio de clave de red o IKE)
n Si en el otro extremo del túnel VPN hay un dispositivo WatchGuard y cada dispositivo es
administrado, puede usar la opción Managed VPN. La Managed VPN es más fácil de configurar que
la "Manual VPN". Para usar esa opción, debe obtener información junto al administrador del
dispositivo WatchGuard en el otro extremo del túnel VPN.
n Debe saber si la dirección IP asignada a la interfaz externa de su dispositivo WatchGuard es estática o
dinámica.
Para obtener más información acerca de las direcciones IP, vea Acerca de las Direcciones IP en la
página 3.
n Su modelo de dispositivo WatchGuard informa el número máximo de túneles VPN que puede crear.
Si su modelo de Firebox puede ser actualizado, puede adquirir la actualización del modelo que
aumente el número máximo de túneles VPN soportados.
n Si se conecta a dos redes Microsoft Windows NT, ambas deben estar en el mismo dominio de
Microsoft Windows o deben ser dominios de confianza. Esa es una cuestión de Microsoft
Networking, no una limitación de Firebox.
n Si desea usar los servidores DNS y WINS de la red en el otro extremo del túnel VPN, debe conocer
las dirección IP de esos servidores.
El Firebox puede dar direcciones IP de WINS y DNS a equipos en su red de confianza si éstos
obtienen sus direcciones IP de Firebox con DHCP.
n Si desea dar a los equipos las direcciones IP de los servidores WINS y DNS en el otro extremo de la
VPN, puede ingresarlas en las configuraciones de DHCP en la configuración de la red de confianza.
Para más información acerca de cómo configurar el Firebox para distribuir las dirección IP con
DHCP, vea Configurar el DHCP en modo de enrutamiento mixto en la página 86.
n Debe conocer la dirección de red de las redes privadas (de confianza) detrás de su Firebox y de la
red detrás del otro dispositivo de VPN, así como de sus máscaras de subred.
Nota Las direcciones IP privadas de los equipos detrás de su Firebox no pueden ser las
mismas que las direcciones IP de los equipos en el otro extremo del túnel VPN. Si su
red de confianza usa las mismas direcciones IP que la oficina hacia la cual se
establecerá un túnel VPN, entonces su red o la otra red debe cambiar los ajustes de
dirección IP para evitar conflictos de dirección IP.
Las Redes Privadas Virtuales de Sucursal (BOVPN, en las siglas en inglés) permiten a las organizaciones
ofrecer conectividad segura y cifrada entre oficinas separadas geográficamente. Las redes y hosts en un
túnel BOVPN pueden ser sedes corporativas, sucursales, usuarios remotos o trabajadores a distancia. Esas
comunicaciones suelen contener tipos de datos críticos intercambiados dentro de un firewall corporativo.
En ese panorama, una BOVPN ofrece conexiones confidenciales entre esas oficinas. Eso optimiza la
comunicación, reduce el costo de líneas exclusivas y mantiene la seguridad en cada extremidad.
Manual Los Túneles BOVPN son creados con el Fireware XTM Web UI, ofreciendo diversas opciones
adicionales de túneles. Otro tipo de túnel es un túnel BOVPN administrado, que es un túnel BOVPN que se
crea en el WatchGuard System Manager con el procedimiento de arrastrar y soltar, un asistente y el uso de
plantillas. Para más información acerca de ese tipo de túnel, vea el Guía del Usuario o el sistema de ayuda
online de WatchGuard System Manager.
n Debe saber si la dirección IP asignada al otro dispositivo VPN es estática o dinámica. Si el otro
dispositivo VPN tiene una dirección IP dinámica, su Firebox debe encontrar el otro dispositivo por el
domain name y el otro dispositivo debe usar DNS Dinámico.
n Se debe conocer la clave compartida (frase de contraseña) del túnel. La misma clave compartida
debe ser usada por cada dispositivo.
n Se debe conocer el método de cifrado usado en el túnel (D 3DESES, 3DES, AES 128 bits, AES 192 bits
o AES 256 bits). Los dos dispositivos de VPN deben usar el mismo método de cifrado.
n Se debe conocer el método de autenticación de cada extremo del túnel (MD5 o SHA-1). Los dos
dispositivos de VPN deben usar el mismo método de autenticación.
Para más informaciones, vea Lo que necesita para crear un BOVPN en la página 417.
Recomendamos que tome nota de su configuración de Firebox y la información relacionada para el otro
dispositivo. Vea Muestra cuadro de información de dirección de VPN en la página 420 para registrar esa
información.
1. Definir puertasde enlace—puntos de conexión tantoen laextremidad localcomo enla remotadel túnel.
2. Establezca túneles entre los extremos de puertas de enlace— configure rutas para el túnel,
especifique cómo los dispositivos controlan la seguridad y cree una política para el túnel.
Algunas otras opciones pueden ser usadas para los túneles BOVPN están descritas en las secciones abajo.
Failover de VPN
Los túneles VPN automáticamente hacen la conmutación por error para la interfaz WAN de resguardo
durante la conmutación por error de WAN. Puede configurar túneles BOVPN para hacer conmutación por
error a un extremo de punto de resguardo si el extremo principal deja de estar disponible. Para hacer eso,
debe definir al menos un extremo de resguardo, tal como se describe en Configurar Failover de VPN en la
página 456.
Para cambiar esas configuraciones, en el Fireware XTM Web UI, seleccione VPN > Configuraciones
Globales. Para más informaciones acerca de esas configuraciones, vea Acerca de las configuraciones de
VPN Global en la página 438.
Sitio B: 68.130.44.15
Dirección usada para identificar una red local. Esas son las
direcciones IP de los equipos en cada extremo que están
autorizados a enviar tráfico a través del túnel VPN.
Recomendamos que use una dirección de uno de los
rangos reservados:
10.0.0.0/8—255.0.0.0
172.16.0.0/12—255.240.0.0
Ejemplo:
Sitio A: 192.168.111.0/24
Sitio B: 192.168.222.0/24
Asignado
Elemento Descripción
por
Ejemplo:
Sitio A: OurSharedSecret
Sitio B: OurSharedSecret
Ejemplo:
n Método de credencial - claves precompartidas o un Firebox Certificate IPSec. Para más información
acerca de cómo usar certificados para autenticación BOVPN, vea Usar un certificado para
autenticación del túnel BOVPN en la página 400.
n Ubicación de los extremos de la puerta de enlace remota y local, sea por dirección IP o por
información de dominio.
n Las configuraciones la Fase 1 de la negociación de Intercambio de Claves de Internet (IKE). Esa fase
define la asociación de seguridad o protocolos y configuraciones que los extremos de la puerta de
enlace usarán para comunicarse, para proteger datos que son transmitidos en la negociación.
1. En el Fireware XTM Web UI, seleccione VPN> VPN de Sucursal.
Aparece la página de configuración de VPN de Sucursal, con la lista de Puertas de Enlace en el topo.
2. Para agregar una puerta de enlace, haga clic en Agregar al lado de la lista Puertas de enlace.
Aparece la página de configuraciones Puerta de enlace.
3. En el cuadro de texto Nombre de la puerta de enlace, ingrese un nombre para identificar la puerta
de enlace para este Firebox.
4. En lapágina Puerta de enlace, seleccione o Usar clave precompartida o Usar Firebox Certificate de
IPSec para identificar el procedimiento de autenticación utilizado por ese túnel.
ingrese o pegue la clave compartida. Debe usar la misma clave compartida en el dispositivo
remoto. Esa clave compartida debe usar sólo caracteres ASCII estándares.
La tabla abajo del botón de radio muestra los certificados actuales en el Firebox. Seleccione el
certificado que usar para la puerta de enlace.
Para más informaciones, vea Usar un certificado para autenticación del túnel BOVPN en la página 400.
Cualquier interfaz externa puede ser un gateway endpoint. Si tiene más de una interfaz externa, puede
configurar múltiples puertas de enlace para Configurar Failover de VPN.
1. En la sección Extremos de la puerta de enlace del cuadro de diálogo Puerta de enlace página, haga
clic en Agregar.
Aparece el cuadro de diálogo Configuraciones de extremos de la nueva puerta de enlace.
n Por dirección IP - Seleccione el botón de radio Por dirección IP. Ingrese la dirección IP de la
dirección IP de la interfaz de Firebox .
n Por domain name - Ingrese su domain name.
n Por ID de usuario en dominio - Ingrese el nombre de usuario y dominio con el
formatoNombreUsuario@NombreDominio .
n Por nombre x500-Ingrese el nombre x500.
3. En la lista desplegable Interfaz externa, seleccione la interfaz en el Firebox con la dirección IP o
dominio que elige para el ID de puerta de enlace.
n Dirección IP estática - Seleccione esta opción si el dispositivo remoto tiene una dirección IP
estática. Para dirección IP, ingrese la dirección IP o selecciónela en la lista desplegable.
n Dirección IP dinámica - Seleccione esta opción si el dispositivo remoto tiene una dirección IP
dinámica.
2. Seleccione el ID de la puerta de enlace.
n Por dirección IP - Seleccione el botón de radio Por dirección IP. Ingrese la dirección IP.
n Por domain name - Ingrese el domain name.
n Por ID de usuario en dominio - Ingrese el ID de usuario y dominio.
n Por nombre x500-Ingrese el nombre x500.
Nota Si el extremo de la VPN remota usa DHCP o PPPoE para obtener su dirección IP
externa, defina el tipo de ID de la puerta de enlace remota en Nombre del dominio.
Defina el campo del nombre del punto en domain name totalmente cualificado del
extremo de la VPN remota. El Firebox usa la dirección IP y el domain name para
encontrar el extremo del VPN. Asegúrese de que el servidor DNS usado por Firebox
pueda identificar el nombre.
Haga clic en Aceptar para cerrar el cuadro de diálogo Configuraciones de extremos de la nueva puerta de
enlace. El Puerta de enlace página . Aparece el par de la puerta de enlace definido en la lista de extremos
de la puerta de enlace. Vaya a Configurar modo y transformaciones (Configuraciones de la Fase 1) para
configurar la Fase 1 para esa puerta de enlace.
Un intercambio de Fase 1 puede usar o el Modo Principal o el Modo Agresivo. El modo determina el tipo y
el número de intercambios de mensajes realizados durante esa fase.
Una transformación es un conjunto de protocolos de seguridad y algoritmos usados para proteger los datos
de VPN. Durante la negociación IKE, los puntos hacen un acuerdo para usar determinada transformación.
Se puede definir un túnel para que ofrezca un punto más de un conjunto de transformación para
negociación. Para más informaciones, vea Agregar una transformación de Fase 1 en la página 428.
Modo principal
Ese modo es un modo seguro y utiliza tres intercambios de mensajes separados para un total
de seis mensajes. Los dos primeros mensajes negocian la política, los dos siguientes
intercambian datos de Diffie-Hellman y los últimos dos autentican el intercambio Diffie-
Hellman. El Modo Principal soporta grupos Diffie-Hellman 1, 2 y 5. Ese modo también le
permite usar transformaciones múltiples, tal como se describe en Agregar una transformación
de Fase 1 en la página 428.
Modo Agresivo
Ese modo es más rápido porque usa sólo tres mensajes, que intercambian Acerca de los grupos
Diffie-Hellman datos e identifican los dos extremos de la VPN. La identificación de los extremos
de la VPN hace el Modo Agresivo menos seguro.
El Firebox intenta el intercambio con el Modo Principal. Si falla la negociación, utiliza el Modo
Agresivo.
3. Si desea crear un túnel BOVPN entre el Firebox y otro dispositivo que esté detrás de un dispositivo
NAT, seleccione la casilla de verificación NAT Traversal. NAT Traversal o Encapsulación de UDP
permite que el tráfico llegue a los destinos correctos.
4. Para que el Firebox envíe mensajes a su par de IKE para mantener el túnel VPN abierto, seleccione
la casilla de verificación IKE keep-alive. Para determinar el Intervalo de mensajes, ingrese el
número de segundos o use el control de valores para seleccionar el número de segundos que
desea.
Nota El IKE keep-alive sólo es utilizado por los dispositivos WatchGuard. No actívelo si el
extremo remoto es un dispositivo IPSec de terceros.
5. Para definir un número máximo de veces que el Firebox intenta enviar un mensaje de IKE keep-
alive antes de intentar negociar la Fase 1 nuevamente, inserte el número deseado en el cuadro
Máx. Fallas.
6. Use la casilla de verificación Dead Peer Detection para activar o desactivar la Dead Peer Detection
basada en tráfico. Cuando se activa la detección de punto puerto, Firebox se conecta a un punto sólo
si no se recibe el tráfico del punto por un período determinado de tiempo y si se está esperando
que un paquete sea enviado al punto. Ese método es más escalable que los mensajes de IKE keep-
alive.
Si desea cambiar los valores predeterminados de Firebox, ingrese el período de tiempo (en
segundos) en el campo tiempo de espera inactivo de tráfico antes que el Firebox intente
conectarse al punto. En el campo Máx. de reintentos, ingrese el número de veces que Firebox
debería intentar conectarse antes que el punto sea considerado inactivo.
La Dead Peer Detection es un estándar usado por la mayoría de los dispositivos IPSec.
Recomendamos que seleccione la Dead Peer Detection si ambos dispositivos extremos lo soportan.
Nota Si configura un failover de VPN, debe activar la Dead Peer Detection. Para más
información acerca del failover de VPN, vea Configurar Failover de VPN en la
página 456
Puede incluir un máximo de nuevo conjuntos de transformaciones. Debe especificar el Modo Principal en
las configuraciones de Fase 1 para usar transformaciones múltiples.
5. En la lista desplegable Grupo de Claves, seleccione el grupo Diffie-Hellman que desea. El Fireware
XTM soporta grupos 1, 2 y 5.
Los grupos Diffie-Hellman determinan la fuerza de la clave maestra usada en el proceso de
intercambio de claves. Cuanto más alto el número del grupo, más fuerte la seguridad pero se
requiere más tiempo para hacer las claves. Para más informaciones, vea Acerca de los grupos Diffie-
Hellman en la página 429.
6. Se puede agregar hasta nueve conjuntos de transformaciones. Se puede seleccionar una
transformación y hacer clic en Arriba o Abajo para cambiar su prioridad. El conjunto de
transformaciones en la parte superior de la lista es usado primero.
7. Haga clic en OK.
Ambos puntos en un intercambio de VPN deben usar el mismo grupo DH, que es negociado durante la Fase
1 del proceso de negociación de IPSec. Cuando define un túnel BOVPN manual, se especifica el grupo
Diffie-Hellman como parte de la Fase 1 de la creación de una conexión IPSec. Es ahí donde los dos puntos
forman un canal seguro y autenticado que pueden usar para comunicar.
Además de la Fase 2, también se puede especificar el grupo Diffie-Hellman en la Fase 2 de una conexión
IPSec. La configuración de Fase 2 incluye las configuraciones para una asociación de seguridad (SA), o cómo
los paquetes de datos son protegidos cuando pasan entre dos extremos. Se especifica el grupo Diffie-
Hellman en la Fase 2 sólo cuando selecciona el Perfect Forward Secrecy (PFS).
PFS vuelve las claves más seguras porque las nuevas claves no están hechas de las claves anteriores. Si una
clave está comprometida, las claves de la nueva sesión aún estarán seguras. Cuando especifica un PFS
durante la Fase 2, ocurre un intercambio Diffie-Hellman cada vez que una nueva SA es negociada.
El grupo DH que elige para Fase 2 no necesita coincidir con el grupo que elige para la Fase 1.
El grupo DH predeterminado tanto para Fase 1 como para Fase 2 es el grupo Diffie-Hellman 1. Ese grupo
ofrece seguridad básica y buen desempeño. Si la velocidad para la inicialización del túnel y la regeneración
de clave no es una preocupación, use el Grupo 2 o Grupo 5. La velocidad real inicialización y de
regeneración de clave dependen de diversos factores. Puede querer intentar el Grupo DH 2 o 5 y luego
decidir si el tiempo de desempeño más lento es un problema para su red. Si el desempeño no es aceptable,
cambie por un grupo DH inferior.
Análisis de desempeño
La siguiente tabla muestra el resultado de una aplicación de software que genera 2000 valores Diffie-
Hellman. Esos números son para un CPU Pentium 4 Intel 1.7GHz.
Para eliminar una puerta de enlace, seleccione la puerta de enlace y haga clic en Remover.
Para desactivar el inicio automático para túneles que usan una puerta de enlace
Los dispositivos que no hacen NAT suelen tener algunas funciones básicas de firewall. Para establecer un
túnel VPN hacia su Firebox cuando el Firebox está instalado detrás de un dispositivo que hace NAT, el
dispositivo NAT debe dejar que pase el tráfico. Esos puertos y protocolos deben estar abiertos en el
dispositivo NAT:
Vea la documentación de su dispositivo NAT para obtener información acerca de cómo abrir esos puertos y
protocolos en el dispositivo NAT.
Si la interfaz externa de su Firebox tiene una dirección IP privada, no puede usar una dirección IP como tipo
de ID local en las configuraciones de Fase 1.
n Si el dispositivo NAT al cual Firebox está conectado tiene una dirección IP pública dinámica:
n Primero, defina el dispositivo en modo puente. Para más informaciones, vea Modo
Servicio DNS dinámico en la página 88. En las configuraciones de Fase 1 del Manual VPN,
defina el tipo de ID local en Domain Name. Ingrese el domain name de DynDNS como el
ID local. El dispositivo remoto debe identificar su Firebox por domain name y debe usar
el domain name DynDNS asociado a su Firebox en su configuración de Fase 1.
n Si el dispositivo NAT al cual Firebox está conectado tiene una dirección IP pública estática:
n En las configuraciones de Fase 1 de la Manual VPN, defina en la lista desplegable el tipo
n Definir un túnel
n Configuraciones de Fase 2 para la negociación de Intercambio de Claves de Internet (IKE). Esa fase
define las asociaciones de seguridad para el cifrado de paquetes de datos.
Definir un túnel
1. En el Fireware XTM Web UI, seleccione VPN> VPN para Sucursales.
Aparece la página VPN de Sucursal.
Ahora puede Agregar rutas para un túnel, Configuraciones de Fase 2o Activar enrutamiento de
multidifusión a través de un túnel BOVPN.
Para eliminar un túnel de la página BOVPN, seleccione el túnel y haga clic en Remover.
2. En la sección IP local, seleccione el tipo de dirección local en la lista desplegable Elegir tipo.
Después, ingrese el valor en el cuadro de texto abajo. Puede ingresar una dirección IP de host,
dirección de red, un rango de direcciones IP de host o nombre DNS.
3. En la sección IP remoto, seleccione el tipo de dirección remota en la lista desplegable Elegir tipo.
Después, ingrese el valor en el cuadro de texto abajo. Puede ingresar una dirección IP de host,
dirección de red, un rango de direcciones IP de host o nombre DNS.
4. En la lista desplegable Dirección, seleccione la dirección del túnel. La dirección del túnel determina
cuál extremo del túnel VPN puede iniciar una conexión VPN a través del túnel.
5. Se puede usar la pestaña NAT para activar la 1-to-1 NAT y NAT dinámica para el túnel si los tipos de
dirección y el sentido del túnel seleccionado son compatibles. Para más informaciones, vea
Configurar NAT dinámica saliente a través de un túnel BOVPN y Usar 1-to-1 NAT a través de un
túnel BOVPN en la página 440.
6. Haga clic en OK.
Configuraciones de Fase 2
Las configuraciones de Fase 2 incluyen los ajustes para una asociación de seguridad (SA), que define cómo
los paquetes de datos son protegidos cuando pasan entre dos extremos. La SA mantiene toda la
información necesaria para que Firebox sepa qué debería hacer con el tráfico entre los extremos. Los
parámetros en SA pueden incluir:
2. Seleccione la casilla PFS si desea activar el Perfect Forward Secrecy (PFS). Si activa el PFS, seleccione
el grupo Diffie-Hellman.
El Perfect Forward Secrecy ofrece más protección a las claves creadas en una sesión. Las claves
hechas con PFS no son hechas a partir de una clave anterior. Si una clave anterior está
comprometida después de una sesión, las claves de su nueva sesión quedan protegidas. Para más
informaciones, vea Acerca de los grupos Diffie-Hellman en la página 429.
3. El Firebox contiene una propuesta predeterminada que aparece en la lista Propuestas de IPSec. Esa
propuesta especifica el método de protección de datos de ESP, cifrado AES y autenticación SHA1.
Puede:
n Hacer clic en Agregar para agregar una propuesta predeterminada.
n Agregar una propuesta adicional, tal como se explica en Agregar una Propuesta de Fase 2 en
la página 436.
Si planea usar la función de puerto de transferencia IPSec, debe usar una propuesta con ESP (Carga de
seguridad de encapsulación) como método de propuesta. El puerto de transferencia IPSec soporta ESP,
pero no AH. Para más información acerca del puerto de transferencia IPSec, vea Acerca de las
configuraciones de VPN Global en la página 438.
Para agregar una nueva propuesta, haga clic en la pestaña Configuraciones de Fase 2 en el página Túnel .
1. En la página Túneles en la sección Propuestas IPSec, seleccione la propuesta que desea añadir.
2. Haga clic en Agregar.
En el cuadro de texto Descripción, ingrese una descripción que identifique esa propuesta (opcional).
3. En la lista desplegable Tipo, seleccione ESP o AH, como método de propuesta. Recomendamos que
use el ESP (Carga de seguridad de encapsulación). Las diferencias entre ESP y AH (Encabezado de
autenticación) son:
están puestos en cero, el Firebox intenta usar la hora del caducidad de la clave definida para el
punto. Si ésta también está desactivada o en cero, Firebox usa una hora predeterminada de
caducidad de clave de 8 horas.
El tiempo máximo antes de forzar la caducidad de clave es de un año.
7. Haga clic en Guardar.
2. Seleccione un túnel y haga clic en Subir o Bajar para ir hacia arriba o abajo en la lista.
Cuando crea una propuesta de Fase 2 y planea usar la función de puerto de transferencia IPSec, debe
especificar el ESP (Carga de seguridad de encapsulación) como método de propuesta. El puerto de
transferencia IPSec soporta IPSec, pero no AH (Encabezado de autenticación). Para informaciones acerca de
cómo crear una propuesta de Fase 2, vea Agregar una Propuesta de Fase 2 en la página 436.
Cuando activa el puerto de transferencia de IPSec, se agrega automáticamente una política llamada
WatchGuard IPSec al Policy Manager. La política permite el tráfico desde cualquier red de confianza u
opcional hacia cualquier destino. Cuando desactiva el puerto de transferencia de IPSec, la política
WatchGuard IPSec es automáticamente eliminada.
Si no seleccionar la casilla de verificación Activar TOS para IPSec, todos os paquetes IPSec no tienen los
señaladores TOS. Si los señaladores TOS fueron definidos anteriormente, ellos son removidos cuando
Fireware encapsula el paquete en un encabezado IPSec.
Cuando está seleccionada la casilla de verificación Activar TOS para IPSec y el paquete original tiene
señaladores TOS y el Fireware los mantiene cuando encapsula el paquete en un encabezado IPSec. Si el
paquete original no tiene señaladores TOS definidos, Fireware no define el indicador TOS cuando encapsula
el paquete en un encabezado IPSec.
Analice la configuración de esta casilla de verificación si desea aplicar un marcado QoS al tráfico de IPSec. El
marcado QoS puede cambiar la configuración del señalador TOS. Para más informaciones sobre el marcado
QoS, vea Acerca de las Marcado QoS en la página 327.
La 1-to-1 NAT asigna una o más direcciones IP en un rango a un segundo rango de dirección IP del mismo
tamaño. Cada dirección IP en el primer rango asigna a una dirección IP en el segundo rango. En este
documento, llamamos al primer rango de direcciones IP reales y al segundo rango direcciones IP
enmascaradas. Para más informaciones acerca de 1-to-1 NAT, vea Acerca de las 1-to-1 NAT en la página 142.
n Cuando un equipo en su red envía tráfico a un equipo en la red remota, el Firebox cambia la
dirección IP de origen del tráfico para una dirección IP en el rango de IPs enmascaradas. La red
remota ve las direcciones IP enmascaras como el origen del tráfico.
n Cuando un equipo en la red remota envía tráfico a un equipo en su red a través de VPN, la oficina
remota envía el tráfico al rango de dirección de IP enmascarada. El Firebox cambia la dirección IP de
destino a la dirección correcta en el rango de dirección IP real y después envía el tráfico al destino
correcto.
La 1-to-1 NAT por una VPN sólo afecta el tráfico que pasa por esa VPN. Las reglas que ve en Fireware XTM
Web UIRed >NAT no afectan al tráfico que pasa por una VPN.
Otras razones por las cuales usar una 1-to-1 NAT por una VPN
Además de la situación anterior, también podría usar una 1-to-1 NAT por una VPN si la red a la cual desea
establecer un túnel VPN ya tiene una VPN a una red que usa las mismas direcciones IP privadas usadas en
su red. Un dispositivo IPSec no puede enrutar tráfico a dos redes remotas diferentes cuando dos redes usan
las mismas direcciones IP privadas. Se usa 1-to-1 NAT por VPN para que los equipos en su red parezcan
tener direcciones IP diferentes (enmascaradas). No obstante, al contrario de la situación descrita al
principio de este tópico, necesita usar el NAT sólo en su lado de la VPN y no en ambos extremos.
Una situación similar se da cuando dos oficinas remotas usan las mismas direcciones IP privadas y ambas
desean hacer una VPN hacia su Firebox. En ese caso, una de las oficinas remotas debe usar NAT por la VPN
hacia su Firebox para solucionar el conflicto de direcciones IP.
El número de direcciones IP en el cuadro de texto debe ser exactamente el mismo que el número de
direcciones IP en el cuadro de texto Local en el topo del cuadro de diálogo. Por ejemplo, si usa la
notación diagonal para indicar un subred, el valor después de la barra diagonal debe ser igual en
ambos cuadros de texto. Para más informaciones, vea Acerca de las Notación diagonal en la página 3.
No es necesario definir nada en las configuraciones Red> NAT en el Fireware XTM Web UI. Esas
configuraciones no afectan el tráfico de VPN.
Ejemplo
Supongamos que dos empresas, Sitio A y Sitio B, desean hacer una VPN de Sucursal entre sus redes de
confianza. Ambas empresas usan un Firebox con Fireware XTM. Ambas empresas usan las mismas
direcciones IP para sus redes de confianza, 192.168.1.0/24. El Firebox de cada empresa usa una 1-to-1 NAT
a través de la VPN. El Sitio A envía tráfico al rango enmascarado del Sitio B y el tráfico sale de la subred local
del Sitio A. Además, el Sitio B envía tráfico al rango enmascarado que el Sitio A utiliza. Esa solución resuelve
el conflicto de direcciones IP en ambas redes. Las dos empresas aceptan que:
n El Sitio A hace que su red de confianza parezca venir del rango 192.168.100.0/24 cuando el tráfico
pasa por la VPN. Ese es el rango de direcciones IP enmascaradas de Sitio B para esa VPN.
n El Sitio B hace que su red de confianza parezca venir del rango 192.168.200.0/24 cuando el tráfico
pasa por la VPN. Ese es el rango de direcciones IP enmascaradas de Sitio B para esa VPN.
El primer paso es crear una puerta de enlace que identifique el dispositivo IPSec remoto. Cuando crea una
puerta de enlace, ella aparece en la lista de puertas de enlace en Fireware XTM Web UI. Para ver a lista de
puertas de enlace en el Fireware XTM Web UI, seleccione VPN> VPN de Sucursal.
7. En la sección IP local , seleccione IP de red en la lista desplegable Elegir tipo. En IP de red , ingrese
el rango de direcciones IP reales de los equipos locales que usan ese VPN. Este ejemplo usa
192.168.1.0/24.
8. En la sección Remoto, seleccione IP de red en la lista desplegable Elegir tipo. En el cuadro de texto
IP de red ingrese el rango de direcciones IP privadas a las cuales los equipos locales envían tráfico.
En este ejemplo, el Sitio B de oficina remota usa 1-to-1 NAT por su VPN. Eso hace que los equipos
del Sitio B parezcan venir del rango enmascarado del Sitio B, 192.168.200.0/24. Los equipos locales
en Sitio A envían tráfico al rango de dirección IP enmascarado del Sitio B. Si la red remota no usa
NAT por su VPN, ingrese el rango de direcciones IP reales en el cuadro de texto Remoto.
9. Haga clic en la pestaña NAT. Seleccione la casilla de verificación 1-to-1 NAT e ingrese el rango de
direcciones IP enmascaradas para esa oficina. Ese es el rango de direcciones IP que los equipos
protegidos por ese Firebox muestran como dirección IP de origen, cuando el tráfico viene de ese
Firebox y va hacia el otro extremo de la VPN. La casilla de verificación 1-to-1 NAT queda activada
después que inserta una dirección IP de host válida, una dirección IP de red válida o un rango de
direcciones IP de host válido en el cuadro de texto Local en la pestaña Direcciones.) El Sitio A usa
192.168.100.0/24 para su rango de direcciones IP enmascaradas.
10. Haga clic en OK. El Firebox agrega un nuevo túnel a las políticas BOVPN-Allow.out y BOVPN-Allow.in.
11. Guardar el archivo de configuración.
Si necesita una 1-to-1 NAT en su extremo de la VPN solamente, puede parar aquí. El dispositivo en el otro
extremo de la VPN debe configurar su VPN para aceptar tráfico desde su rango enmascarado.
4. Haga clic en la pestaña NAT. Seleccione la casilla de verificación 1-to-1 NAT e ingrese el rango de
direcciones IP enmascaradas de ese sitio. Ese es el rango de direcciones IP que los equipos de ese
Firebox muestran como dirección IP de origen, cuando el tráfico viene de ese Firebox y va al otro
extremo del VPN. El Sitio B usa 192.168.200.0/24 para su rango de direcciones IP enmascaradas.
5. Haga clic en OK. El Firebox agrega un nuevo túnel a las políticas BOVPN-Allow.out y BOVPN-Allow.in.
Cuando defina una ruta predeterminada a través de un túnel BOVPN, se deben hacer tres cosas:
n Configurar una BOVPN en el Firebox remoto (cuyo tráfico desea enviar a través del túnel) para
enviar todo el tráfico desde su propia dirección de red hacia 0.0.0.0/0.
n Configurar una BOVPN en el Firebox central para permitir que el tráfico pase por él hacia el Firebox
remoto.
n Agregar una ruta en el Firebox central desde 0.0.0.0/0 hacia la dirección de red del Firebox remoto.
Antes de empezar los procedimientos en este tópico, ya se debe haber creado una Branch Office VPN
(BOVPN) manual entre los Fireboxes central y remoto. Para más información acerca de cómo hacer eso,
vea Acerca de túneles BOVPN manuales en la página 418.
4. En IP local, en el cuadro de texto IP del host, ingrese la dirección de red de confianza del Firebox
remoto.
5. En IP remoto, seleccione IP de red en la lista desplegable Elegir tipo. En el cuadro de texto IP de
host, ingrese 0.0.0.0/0 y haga clic en Aceptar.
6. Seleccione cualquier otro túnel hacia el Firebox central y haga clic en Remover.
7. Haga clic en Guardar para guardar el cambio de configuración.
192.168.0.0/16 - Cualquiera-Externa
172.16.0.0/12 - Cualquiera-Externa
10.0.0.0/8 - Cualquiera-Externa
Cuando configura una ruta predeterminada a través de un túnel Branch Office VPN (BOVPN) hacia otro
Firebox, debe agregar una entrada de NAT dinámica para la subred detrás del Firebox remoto si sus
direcciones IP no se encuentran dentro de uno de los tres rangos de red privada.
Advertencia
El enrutamiento de multidifusión a través de un túnel BOVPN sólo es soportado
entre dispositivos WatchGuard.
Cuando activa el enrutamiento de multidifusión a través de un túnel BOVPN, el túnel envía el tráfico de
multidifusión desde una única dirección IP en un lado del túnel a una dirección IP de grupo de
multidifusión. Se configura la multidifusión en el túnel para enviar el tráfico de multidifusión a esa dirección
IP de grupo de multidifusión a través del túnel.
Debe configurar la multidifusión en cada Firebox de modo diferente. Debe configurar el túnel en un Firebox
para enviar el tráfico de multidifusión a través del túnel y hacer las configuraciones del túnel en el otro
Firebox para recibir el tráfico de multidifusión. Puede configurar sólo una dirección IP de origen por túnel.
10. En la sección Direcciones auxiliares , ingrese las direcciones IP para cada extremo del túnel de
multidifusión. El Firebox usa esas direcciones como extremos de túnel GRE de
difusión/multidifusión dentro del túnel BOVPN de IPSec. Puede definir el IP local y el IP remoto en
cualquier dirección IP no utilizada. Recomendamos que use direcciones IP que no sean usadas en
ninguna red conocida por Firebox.
n En el campo IP local, ingrese una dirección IP para ser usada por el extremo local del túnel.
n En el campo IP remoto, ingrese una dirección IP para ser usada por el extremo remoto del túnel.
n En el campo IP local, ingrese la dirección IP que insertó en el campo IP remoto para el Firebox
en el otro extremo del túnel.
n En el campo IP remoto, ingrese la dirección IP que insertó en el campo IP Local para el Firebox
en el otro extremo del túnel.
Puede configurar su Firebox para que soporte enrutamiento de difusión limitado a través de un túnel
Branch Office VPN (BOVPN). Cuando activa el enrutamiento de difusión, el túnel soporta la difusión para
direcciones IP de difusión limitada, 255.255.255.255. El tráfico de difusión de subred no es enrutado por el
túnel. El enrutamiento de difusión soporta la difusión sólo de una red a otra a través de un túnel BOVPN.
Para un ejemplo que muestre cuáles difusiones pueden ser enrutadas a través de un túnel BOVPN, vea
Ejemplo: Enrutamiento de difusión a través de un túnel BOVPN.
Algunas aplicaciones de software requieren la posibilidad de hacer la difusión hacia otros dispositivos de
red para que funcionen. Si los dispositivos que necesitan comunicarse de esa forman están en redes
conectadas por un túnel BOVPN, puede activar el enrutamiento de difusión a través del túnel para que la
aplicación pueda encontrar dispositivos en la red en el otro extremo del túnel.
4. Haga clic en la casilla de verificación Activar enrutamiento de difusión por el túnel. Haga clic en OK.
Vuelva al cuadro de diálogo página Túnel. Aparecen Direcciones auxiliares en la parte inferior de la pestaña
Direcciones.
5. En la sección Direcciones auxiliares, ingrese las direcciones IP para cada extremo del túnel de
difusión. El Firebox usa esas direcciones como extremos de túnel GRE de difusión/multidifusión
dentro del túnel BOVPN de IPSec. Puede definir el IP local y el IP remoto en cualquier dirección IP
no utilizada. Recomendamos que use direcciones IP que no sean usadas en ninguna red conocida
por Firebox.
n En el campo IP local, ingrese una dirección IP para ser usada por el extremo local del túnel.
n En el campo IP remoto, ingrese una dirección IP para ser usada por el extremo remoto del túnel.
n En el campo IP local, ingrese la dirección IP que insertó en el campo IP remoto para el Firebox
en el otro extremo del túnel.
n En el campo IP remoto, ingrese la dirección IP que insertó en el campo IP Local para el Firebox
en el otro extremo del túnel.
Cuando tiene una conmutación por error de WAN múltiple configurada, los túneles VPN automáticamente
hacen la conmutación por error hacia una interfaz externa de resguardo, caso ocurra una falla. Puede
configurar túneles VPN para hacer conmutación por error a un extremo de resguardo si el extremo
principal queda no disponible.
n Un enlace físico está inactivo. El Firebox monitorea el estado de la puerta de enlace de la VPN y los
dispositivos identificados en la configuración del monitor de enlace de WAN múltiple. Si en enlace
físico está inactivo, ocurre un failover de VPN.
n El Firebox detecta el par de VPN que no esté activo.
Cuando ocurre una conmutación por error, si el túnel usa el IKE keep-alive, éste continúa a enviar los
paquetes activos de Fase 1 al punto. Cuando obtiene una respuesta, IKE desencadena la failback hacia la
puerta de enlace de la VPN principal. Si el túnel usa Dead Peer Detection, la failback ocurre cuando se
recibe una respuesta de una puerta de enlace de la VPN principal.
Cuando ocurre un evento de conmutación por error, gran parte de las conexiones nuevas y existentes
hacen la conmutación por error automáticamente. Por ejemplo, si inicia un comando "PUT" de FTP y la ruta
de la VPN principal queda inactiva, la conexión de FTP continua en la ruta de la VPN de resguardo. No se ha
perdido la conexión, pero hay demora. Observe que sólo puede ocurrir un failover de VPN si:
n Los dispositivos Firebox en cada extremo del túnel tienen el Fireware v11.0 o posterior instalado.
n La conmutación por error de WAN múltiples está configurada, tal como se describe en Acerca de
usar múltiples interfaces externas en la página 119.
n Las interfaces de su Firebox figuran como pares de puerta de enlace en el Firebox remoto. Si ya
configuró la conmutación por error de WAN múltiples, sus túneles VPN automáticamente harán la
conmutación por error hacia la interfaz de resguardo.
n Si la puerta de enlace está activada en las configuraciones de Fase 1 para la puerta de enlace de
sucursal en cada extremo del túnel.
El failover de VPN no ocurre para los túneles BOVPN con NAT dinámica habilitada como parte de su
configuración de túnel. Para los túneles BOVPN que no usan NAT, el failover de VPN ocurre y la sesión de
BOVPN continua. Con los túneles de Mobile VPN, la sesión no continúa. Debe autenticar su cliente de
Mobile VPN nuevamente para hacer un nuevo túnel de Mobile VPN.
externas en cada lado del túnel. Por ejemplo, suponga que su extremo local principal sea 23.23.1.1/24 con
un resguardo en 23.23.2.2/24. Su extremo remoto principal es el 50.50.1.1/24 con un resguardo en
50.50.2.1/24. Para un failover completo de VPN, necesitaría definir esos cuatro pares de puertas de enlace:
23.23.1.1 - 50.50.1.1
23.23.1.1 - 50.50.2.1
23.23.2.1 - 50.50.1.1
23.23.2.1 - 50.50.2.1
1. Seleccione VPN >VPN para sucursales . Haga clic en Agregar al lado de la listaPuertas de enlace
para agregar una nueva puerta de enlace. Asigne un nombre a la puerta de enlace y defina el
método de credenciales, tal como se describe en Definir puertas de enlace en la página 421.
2. En la sección Extremos de la Puerta de enlace la página de configuraciones Puerta de enlace., haga
clic en Agregar.
El Aparece el cuadro de diálogo "Configuraciones de extremos de puerta de enlace".
3. Especifique la ubicación de las puertas de enlace local y remota. Seleccione el nombre de la interfaz
externa que coincida con la dirección IP o domain name de puerta de enlace local que agregue.
Se puede agregar tanto una dirección IP como un ID de puerta de enlace para la puerta de enlace
remota. Eso puede ser necesario si la puerta de enlace remota está detrás de un dispositivo NAT y
requiera más información para autenticarse en la red detrás del dispositivo NAT.
4. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuraciones de extremos de la nueva
puerta de enlace.
El Aparece el cuadro de diálogo "Puerta de enlace". Aparece el par de la puerta de enlace definido en la lista
de extremos de la puerta de enlace.
5. Repita ese procedimiento para definir pares adicionales de puertas de enlace. Se puede agregar
hasta nueve pares de puertas de enlace. Puede seleccionar un par y hacer clic en Subir o Bajar para
cambiar el orden en el cual Firebox intenta establecer conexiones.
6. Haga clic en Guardar.
Para más informaciones, vea Regenerar clave de túneles BOVPN en la página 458.
3. Para ver información adicional para usar en la solución de problemas, haga clic en Depurar.
Preguntas relacionadas
¿Por qué necesito una dirección externa estática?
Para establecer una conexión de VPN, cada dispositivo debe conocer la dirección IP del otro dispositivo. Si
la dirección para un dispositivo es dinámica, la dirección IP puede cambiar. Si la dirección IP cambia, no se
pueden establecer las conexiones entre los dispositivos excepto si los dos dispositivos saben como
encontrarse mutuamente.
Puede usar un DNS Dinámico si no puede obtener una dirección IP externa. Para más informaciones, vea
Página Acerca de Servicio DNS dinámico en la página 88.
Por ejemplo, en el Sitio A, envíe un ping a la dirección IP del Sitio B. Si no recibe una respuesta,
asegúrese de que estén correctas las configuraciones de la red externa del Sitio B. El Sitio B debe ser
configurado para responder a las solicitudes de ping en aquella interfaz. Si las configuraciones está
correctas, asegúrese que los equipos en el Sitio B tengan conexión a Internet. Si los equipos en el
Sitio B no logran conectarse, hable con su administrador de red o ISP.
2. Si puede enviar un ping a la dirección externa de cada Firebox, intente enviar un ping a la dirección
local en la red remota.
Desde un equipo en el Sitio A, envíe un ping a la dirección IP de la interfaz interna del Firebox
remoto. Si el túnel VPN está activo, el Firebox remoto retorna el ping. Si no recibe una respuesta,
asegúrese de que la configuración local esté correcta. Cerciórese de que los rangos de dirección de
DHCP local para las dos redes conectadas por el túnel VPN no usan direcciones IP similares. Las dos
redes conectadas por el túnel no deben usar las mismas direcciones IP.
Gran parte de los túneles BOVPN permanecen disponibles para el pasaje de tráfico en todos los momentos.
Los problemas suelen estar asociados a una o más de estas tres condiciones:
n Una o ambas extremidades poseen conexiones externas no confiables. Alta latencia, alta
fragmentación de paquetes y alta pérdida de paquetes pueden convertir una conexión en no
confiable. Esos factores tienen un impacto más fuerte en el tráfico de BOVPN que en otro tráfico
común, como HTTP y SMTP. Con el tráfico de BOVPN, los paquetes cifrados deben llegar a la
extremidad de destino, ser decodificados y luego rearmados antes que el tráfico no cifrado sea
enrutado a la dirección IP de destino.
n Un extremo no es un dispositivo WatchGuard o es uno más antiguo con un software de sistema
anterior. Las pruebas de compatibilidad entre los productos WatchGuard y dispositivos más antiguos
se hacen con el software más reciente disponible para dispositivos más antiguos. Con el software
más antiguo puede haber problemas que ya hayan sido arreglados en la versión más reciente del
software.
Como están basados en el estándar IPSec, los dispositivos WatchGuard son compatibles con la
mayoría de los extremos de terceros. No obstante, algunos dispositivos de extremos de terceros no
son compatibles con IPSec debido a problemas de software o configuraciones con derechos de
autor.
n Si hay un volumen bajo de tráfico a través del túnel o si hay largos períodos de tiempo sin que pase
tráfico por el túnel, algunos extremos terminan la conexión de la VPN. Los dispositivos WatchGuard
que ejecutan los dispositivos Fireware y WatchGuard Edge no hacen eso. Algunos dispositivos de
terceros y dispositivos WatchGuard con versiones más antiguas del software WFS usan esa condición
como forma de cerrar los túneles que parecen estar muertos.
Es posible instalar el sistema operativo más reciente y el software de administración en todos los
dispositivos WatchGuard, pero todas las otras condiciones en esa lista están fuera de su control. Sin
embargo, puede tomar ciertas medidas para mejorar la disponibilidad del BOVPN.
Tanto las configuraciones de IKE keep-alive como Dead Peer Detection pueden mostrar cuando un
túnel está desconectado. Cuando encuentran un túnel desconectado, inician una nueva negociación de
Fase 1. Si selecciona tanto IKE keep-alive como Dead Peer Detection, la renegociación de Fase 1 que se
inicia puede hacer que el otro identifique el túnel como desconectado e inicie una segunda
negociación de Fase 1. Cada negociación de Fase 1 detiene todo el tráfico del túnel hasta que éste haya
sido negociado. Para mejorar la estabilidad del túnel, seleccione o IKE keep-alive o Dead Peer
Detection. No seleccione ambas.
La configuración de IKE keep-alive es usada solamente por los dispositivos WatchGuard. No usar si
el extremo remoto es un dispositivo IPSec de terceros.
Cuando habilita IKE keep-alive, Firebox envía un mensaje a un dispositivo de puerta de enlace
remota en un intervalo regular y espera una respuesta. El intervalo de mensaje determina con
qué frecuencia se envía un mensaje. Fallas máx. indica cuántas veces el dispositivo de puerta
de enlace remota puede presentar fallas al responder antes que Firebox intente renegociar la
conexión de Fase 1.
La Dead Peer Detection es un estándar usado por la mayoría de los dispositivos IPSec. Seleccione la
Dead Peer Detection si ambos dispositivos extremos la soportan.
Al activar la Dead Peer Detection, Firebox monitorea el tráfico de túnel para identificar si un
túnel está activo. Si no se activó el tráfico desde el punto remoto para el período de tiempo
insertado en tiempo de espera inactivo de tráfico, y un paquete está esperando para ser
enviado al punto, el Firebox envía una consulta. Si no hay respuestas después del número de
Máx. reintentos, Firebox renegocia la conexión de Fase 1. Para más informaciones acerca de la
Dead Peer Detection, vea http://www.ietf.org/rfc/rfc3706.txt.
Las configuraciones de IKE keep-alive y Dead Peer Detection forman parte de las configuraciones de
Fase 1.
Configuraciones generales
Configuraciones generales
NAT Traversal Sí
Grupo Diffie-Hellman 2
Tipo ESP
Si no hay tráfico a través del túnel por un período de tiempo, un extremo puede decidir que el otro no
está disponible y no intenta renegociar el túnel VPN inmediatamente. Una forma de asegurar que el
tráfico no deje de pasar por el túnel es configurar el Firebox para que envíe registro de tráfico a través
del túnel. No necesita que un Log Server reciba y mantenga los registros de tráfico. En ese caso, se
configura intencionadamente el Firebox para enviar el tráfico de registro a un Log Server que no
existe. Eso crea un pequeño pero consistente volumen de tráfico enviado a través del túnel, lo que
puede ayudar a mantenerlo más estable.
Hay dos tipos de datos de registro: registro WatchGuard y registro syslog. Si el Firebox está configurado
para enviar datos de registro tanto al WatchGuard Log Server como al servidor de syslog, no se puede
usar ese método para enviar el tráfico por el túnel.
Debe elegir una dirección IP del Log Server a la cual enviar los datos de registro. Para elegir la
dirección IP, use estas directrices.
n La dirección IP del Log Server utilizada debe ser una dirección IP que esté incluida en las
configuraciones de ruta de túnel. Para más informaciones, vea Agregar rutas para un túnel en
la página 434.
n La dirección IP del Log Server no debería ser una dirección IP usada por un dispositivo real.
Registro de WatchGuard
No se envía ningún dato de registro hasta que Firebox se haya conectado al Log Server. Los
únicos tipos de tráfico enviados a través del túnel son intentos de conectase al Log Server,
enviados a cada tres minutos. Eso puede ser un volumen de tráfico suficiente para ayudar en la
estabilidad del túnel con un mínimo impacto en otro tráfico de BOVPN.
Registro de syslog
Los datos de registro son enviados inmediatamente a la dirección IP del servidor de syslog. El
volumen de datos de registro depende del tráfico que Firebox maneja. El registro de syslog
suele generar bastante tráfico para que siempre estén pasando paquetes por el túnel. El
volumen de tráfico puede a veces hacer que el tráfico normal de BOVPN quede más lento,
pero eso no es común.
Para mejorar la estabilidad y tener menor impacto sobre el tráfico de BOVPN, intente primero la
opción de Registro de WatchGuard. Si eso no mejora la estabilidad del túnel BOVPN, intente el registro
de syslog. Los procedimientos siguientes suponen que ambos dispositivos extremos son dispositivos
Firebox de WatchGuard y que ningún extremo está configurado para enviar datos de registro ni al
WatchGuard Log Server ni a un servidor de syslog. Si el extremo ya está configurado para enviar datos
de registro que son recogidos por un servidor, no cambie esas configuraciones de registro.
n Configurar un extremo para enviar tráfico de registro WatchGuard a través del túnel.
n Configurar el otro extremo para enviar tráfico de registro de WatchGuard a través del túnel.
n Configurar ambos extremos para enviar tráfico de registro de WatchGuard a través del túnel.
n Configurar un extremo para enviar tráfico de registro de syslog a través del túnel.
n Configurar sólo el otro extremo para enviar tráfico de registro de syslog a través del túnel.
n Configurar ambos extremos para enviar tráfico de registro de syslog a través del túnel.
n Las direcciones IP para que el cliente remoto use para las sesiones de Mobile VPN con PPTP.
Paratúneles de Mobile VPN con PPTP,el dispositivoWatchGuard ofrece a cadausuario remotouna
direcciónIP virtual.Estas direccionesIP nopueden ser direcciones que utilice lared detrásdel
dispositivoWatchGuard. Elprocedimiento másseguro paraasignar direccionesa usuariosde Mobile
VPN es instalar una secondarynetwork "marcadorade posición".Luego, seleccione una direcciónIP de
ese rango de red. Por ejemplo, cree una nuevasubnet comosecondary networken sured de confianza
10.10.0.0/24.Seleccione lasdirecciones IPen estasubnet parasu rangode direccionesPPTP.
n Las direcciones IP de los servidores DNS y WINS que determinan los nombres de host para las
direcciones IP.
n Los nombres de usuario y contraseñas de los usuarios autorizados a conectarse al dispositivo
WatchGuard con Mobile VPN with PPTP.
Niveles de cifrado
Para Mobile VPN with PPTP, se puede seleccionar un cifrado de 128 bits o un cifrado de 40 bits. Las
versiones de software de Windows XP en los Estados Unidos tienen activado un cifrado de 128 bits. Puede
obtener un parche de cifrado de alta seguridad de Microsoft para otras versiones de Windows. Firebox
siempre intenta utilizar cifrado de 128 bits en primer lugar. Puede configurarse para usar cifrado de 40 bits
si el cliente no puede usar una conexión cifrada de 128 bits.
Para obtener más información sobre cómo admitir el cifrado de 40 bits consulte Configurar Mobile VPN
with PPTP en la página 466.
Si no reside en los Estados Unidos y desea tener cifrado de alta seguridad activado en su cuenta
LiveSecurity Service, envíe un mensaje de correo electrónico a supportid@watchguard.com e incluya toda
la información que se indica a continuación:
Si reside en los Estados Unidos y aún no utiliza WatchGuard System Manager (WSM) con cifrado de alta
seguridad, debe descargar el software de cifrado de alta seguridad de la página de Descargas de software
en el sitio web de LiveSecurity Service.
Antes de instalar el software de WatchGuard System Manager con cifrado de alta seguridad, debe
desinstalar de su computadora cualquier otra versión de WatchGuard System Manager.
Autenticación
Los usuarios de Mobile VPN con PPTP pueden autenticarse en la base de datos interna de Firebox o usar
autenticación extendida en un servidor RADIUS o VACMAN Middleware Server como alternativa a Firebox.
Las instrucciones para usar un VACMAN Middleware Server son idénticas a las instrucciones para usar un
servidor RADIUS.
Para usar la base de datos interna de Firebox, no seleccione la casilla de verificación Usar autenticación
RADIUS para usuarios de PPTP .
Nota Para establecer la conexión de PPTP , el usuario debe ser miembro de un grupo
denominado PPTP-Users (usuarios de PPTP). Cuando el usuario ya está
autenticado, Firebox mantiene una lista de todos los grupos del que el usuario es
miembro. Use cualquiera de los grupos en una política para controlar el tráfico
para el usuario.
Configuraciones de cifrado
Las versiones nacionales estadounidenses de Windows XP tienen activado un cifrado de 128 bits. Puede
obtener un parche de cifrado de alta seguridad de Microsoft para otras versiones de Windows.
n Si desea solicitar el cifrado de 128 bits para todos los túneles PPTP, seleccione Solicitar cifrado de
128 bits.
Recomendamos utilizar cifrado de 128 bits para VPN.
n Para permitir que los túneles bajen el cifrado de 128 bits a 40 bits para conexiones menos
confiables, seleccione Permitir bajar cifrado de 128 bits a 40 bits.
Firebox siempre intenta utilizar cifrado de 128 bits en primer lugar. Se utiliza el cifrado de 40 bits si
el cliente no puede usar la conexión cifrada de 128 bits. En general, sólo los clientes fuera de los
Estados Unidos seleccionan esta casilla de verificación.
n Para permitir tráfico que no está cifrado a través de la VPN, seleccione No requiere cifrado.
Debe configurar dos o más direcciones IP para que PPTP funcione correctamente.
1. En la sección Conjunto de direcciones IP, en la lista desplegable Elegir tipo, seleccioneIP de host
(para una sola dirección IP) o Rango de host (para un rango de direcciones IP).
rango es Hasta.
3. Haga clic en Agregar para agregar la dirección IP de host o el rango de host al conjunto de
direcciones IP.
Se pueden configurar hasta 50 direcciones IP.
Si selecciona IP de host, debe agregar por lo menos dos direcciones IP.
Si selecciona Rango de host y agrega un rango de direcciones IP superior a 50 direcciones, Mobile
VPN with PPTP utiliza las primeras 50 direcciones del rango.
4. Repita los pasos 1al 3 para configurar todas las direcciones para usar con Mobile VPN with PPTP.
Puede definir dos configuraciones de tiempo de espera para túneles PPTP si usa autenticación RADIUS:
El período de tiempo máximo que un usuario puede enviar tráfico a una red externa. Si configura
este campo en cero (0) segundos, minutos, horas o días, no se usa tiempo de espera de sesión y el
usuario puede permanecer conectado durante el tiempo que desee.
El tiempo máximo que el usuario puede permanecer autenticado cuando está inactivo (sin tráfico
hacia la interfaz de red externa). Si configura este campo en cero (0) segundos, minutos, horas o
días, no se usa tiempo de espera inactivo y el usuario puede permanecer inactivo durante el tiempo
que desee.
Si no usa RADIUS para autenticación, el túnel PPTP usa la configuración de tiempo de espera especificada
por usted para cada usuario de Firebox. Para obtener más información acerca de la configuración de
usuario de Firebox, consulte Definir un nuevo usuario para autenticación en Firebox en la página 225.
Otras configuraciones
Los tamaños de la Unidad máxima de transmisión (MTU) o Unidad máxima de recepción (MRU) se envían al
cliente como parte de los parámetros de PPTP para usar durante la sesión de PPTP. No modifique los valores
de MTU o MRU a menos que esté seguro de que la modificación soluciona un problema en la configuración.
Los valores de MTU o MRU incorrectos ocasionan la falla del tráfico a través de la VPN with PPTP.
Para más información acerca de grupos Firebox, vea Configure su Firebox como servidor de autenticación
en la página 223.
4. Ingrese un Nombre y una Frase de contraseña para el nuevo usuario. Ingrese la frase de contraseña
nuevamente para confirmarla.
No se requiere una descripción. Recomendamos no cambiar los valores predeterminados para el tiempo de
espera de sesión y el tiempo de espera inactivo.
5. En la lista Disponible, seleccione Usuarios de PPTP y haga clic .
Usuarios de PPTP aparece en la lista de Miembros.
6. Haga clic en OK.
7. Haga clic en Guardar.
Configurarpolíticasparapermitirel tráficodeMobileVPNcon
PPTP
Los usuarios de Mobile VPN con PPTP no tienen privilegios de acceso a través de un Firebox en forma
predeterminada. Para permitir a usuarios remotos el acceso a recursos de red específicos, se deben
agregar nombres de usuarios o el grupo de usuarios de PPTP, como orígenes y destinos en las definiciones
de política individual.
Para más informaciones, vea Use los usuarios y grupos autorizados en políticas en la página 248.
Para usar WebBlocker para controlar el acceso de usuarios remotos, agregue usuarios de PPTP o el grupo
de usuarios de PPTP a una política de proxy que controle a WebBlocker.
Nota Si se asignan direcciones desde una red de confianza a usuarios de PPTP, el tráfico
desde el usuario de PPTP no se considera de confianza. De manera
predeterminada, todo tráfico de Mobile VPN con PPTP no es de confianza.
Independientemente de las direcciones IP asignadas, se deben crear políticas para
permitir a los usuarios de PPTP obtener acceso a los recursos de red.
Nota Si se asignan direcciones desde una red de confianza a usuarios de PPTP, el tráfico
desde el usuario de PPTP no se considera de confianza. De manera
predeterminada, todo tráfico de Mobile VPN con PPTP no es de confianza.
Independientemente de la dirección IP asignada, se deben crear políticas para
permitir a los usuarios de PPTP obtener acceso a los recursos de red.
13. En la lista Miembros seleccionados, seleccione Cualquiera de confianza y haga clic en OK.
14. Haga clic en Guardar.
Para más informaciones acerca de políticas, vea Agregar políticas en la configuración en la página 254.
Para obtener más información sobre cómo utilizar usuarios y grupos en políticas, consulte Use los usuarios y
grupos autorizados en políticas en la página 248.
Nota Si usa los comandos "route print" o "ipconfig" después de iniciar un túnel Mobile
VPN en una computadora que tiene instalado Microsoft Windows, verá
información incorrecta de la puerta de enlace predeterminada. La información
correcta se encuentra en la pestaña Detalles del cuadro de diálogo Estado de la
conexión privada virtual.
n Asegúrese de que las direcciones IP que ha agregado al conjunto de direcciones PPTP estén
incluidas en la configuración de NAT dinámica en el dispositivo WatchGuard.
Desde el Administrador de la política, seleccione Red > NAT.
n Modifique la configuración de la política para permitir conexiones desde el grupo de usuarios de
PPTP a través de la interfaz externa.
Por ejemplo, si usa WebBlocker para controlar el acceso web, agregue el grupo de usuarios de PPTP
a la política de proxy que está configurada con WebBlocker activado.
1. Para Windows Vista, XP o 2000, ingrese en Panel de control> Conexiones de red y haga clic con el
botón derecho en la conexión VPN.
2. Seleccione Propiedades.
Aparece el cuadro de diálogo de propiedades de VPN.
3. Seleccione la pestaña Red .
4. Seleccione Protocolo de Internet (TCP/IP) en el menú y haga clic en Propiedades.
Aparece el cuadro de diálogo "Protocolo de internet (TCP/IP)".
5. En la pestaña General , haga clic en Avanzada.
Aparece el cuadro de diálogo Configuración avanzada de TCP/IP.
6. Windows XP y Windows 2000: en la pestaña General (XP y Windows 2000), desmarque la casilla de
verificación Usar puerta de enlace predeterminada en red remota.
Windows Vista: en la pestaña Configuración (XP y Windows 2000), desmarque la casilla de
verificación Usar puerta de enlace predeterminada en red remota.
n Instalar la versión necesaria del Acceso telefónico a redes de Microsoft y los paquetes de servicio
necesarios.
n Preparar el sistema operativo para conexiones de VPN.
n Instalar un adaptador de VPN (no es necesario en todos los sistemas operativos).
Para Mobile VPN with PPTP, deben tenerse instaladas las siguientes actualizaciones:
Para instalar estas actualizaciones o paquetes de servicio, ingrese al sitio web del Centro de descargas de
Microsoft en:
http://www.microsoft.com/downloads/
Los pasos para configurar y establecer una conexión PPTP son diferentes para cada versión de Microsoft
Windows.
Para establecer una conexión PPTP en Windows Vista, consulte: Crear y conectar una Mobile VPN with
PPTP para Windows Vista en la página 478
Para establecer una conexión PPTP en Windows XP, consulte: Cree y conecte una Mobile VPN with PPTP
para Windows XP en la página 479
Para establecer una conexión PPTP en Windows 2000, consulte: Cree y conecte una Mobile VPN with PPTP
para Windows 2000 en la página 480
Crear y conectar una Mobile VPN with PPTP para Windows Vista
Crear una conexión PPTP
Para preparar una computadora cliente con Windows Vista, debe configurar la conexión PPTP en la
configuración de red.
1. Haga clic en Inicio > Configuración > Conexiones de red > [nombre de la conexión]
El botón de Inicio de Windows Vista se encuentra en el extremo inferior izquierdo de la pantalla.
2. Ingrese el nombre de usuario y la contraseña para la conexión y haga clic en Conectar.
3. La primera vez que se conecta, debe seleccionar una ubicación de red. Seleccione Ubicación
pública.
O
n Para una conexión por módem, seleccione Marcar automáticamente esta conexión inicial y
Cree y conecte una Mobile VPN with PPTP para Windows 2000
Parapreparar unhost remotocon Windows2000, debe configurar laconexión PPTPen laconfiguración de red.
1. Desde el menú Inicio de Windows, seleccione Configuración> Conexiones de red> Crear una
conexión nueva.
Aparece el asistente de conexión nueva.
2. Haga clic en Siguiente.
3. Seleccione Conectarse a la red desde su lugar de trabajo y haga clic en Siguiente.
4. Haga clic en Conexión de red privada virtual.
5. Ingrese un nombre para la conexión nueva (como "Conectarse con Mobile VPN") y haga clic en
Siguiente.
6. Seleccione no marcar (para conexión de banda ancha) o marcar esta conexión en forma automática
(para conexión con módem) y haga clic en Siguiente.
7. Ingrese el nombre de host o la dirección IP de la interfaz externa de Firebox y haga clic en Siguiente.
8. Seleccione Agregar acceso directo a esta conexión en mi escritorio y haga clic en Finalizar.
Para agregar una política, consulte Agregar políticas en la configuración en la página 254.
Esos tópicos incluyen instrucciones para ayudar a configurar un túnel Mobile VPN entre el cliente de
Mobile VPN con IPSec y un dispositivo WatchGuard con Fireware XTM instalado.
En el Fireware XTM Web UI, seleccione , seleccione >VPN Mobile VPN con IPSec.
El usuario debe ser un miembro de un grupo de Mobile VPN para poder establecer una conexión de
Mobile VPN con IPSec. Cuando agrega un grupo de Mobile VPN, se agrega una política Cualquiera a las
Políticas de Mobile VPN> de Firewall que permite que el tráfico pase hacia y desde el usuario autenticado
de Mobile VPN.
Haga clic en el botón Generar para crear un perfil de usuario final (archivo .wgx) que puede guardar.
El usuario debe tener ese archivo .wgx para configurar el equipo cliente de Mobile VPN. Si usa un
certificado para autenticación, también se generan los archivos .p12 y cacert.pem. Esos archivos pueden
ser encontrados en la misma ubicación que el perfil de usuario final de .wgx.
Para restringir el acceso del cliente Mobile VPN, elimine la política Cualquiera y añada políticas a Firewall
>Políticas de Mobile VPN que permitan el acceso a recursos.
Cuando el dispositivo WatchGuard esté configurado, el equipo cliente debe ser configurado con el software
cliente Mobile VPN con IPSec. Para más información acerca de cómo instalar el software cliente Mobile
VPN con IPSec, vea Instalar el software cliente de Mobile VPN con IPSec en la página 512.
Cuando el equipo del usuario esté correctamente configurado, el usuario hace la configuración de Mobile
VPN. Si las credenciales usadas para la autenticación coinciden con una entrada en la base de datos de
usuarios del dispositivo WatchGuard, y si el usuario está en el grupo Mobile VPN creado, la sesión Mobile
VPN es autenticada.
Puede instalar el Mobile VPN con software cliente IPSec en cualquier computadora con Windows
2000 Professional, Windows XP (32 bits y 64 bits) o Windows Vista (32 bits y 64 -bits). Antes de
instalar el software cliente, asegúrese de que el equipo remoto no tenga un software cliente Mobile
User VPN de IPSec instalado. También debe desinstalar cualquier software de firewall de escritorio
(que no sea el software de firewall de Microsoft) de cada equipo remoto. Para más informaciones,
vea Requisitos del cliente en la página 512.
Nota Sólo necesita usar WatchGuard System Manager si desea distribuir el perfil de
usuario final como archivo cifrado (.wgx). Se recomienda esta acción. Puede usar
la Fireware XTM Web UI para configurar el Mobile VPN with IPSec y generar el
perfil de usuario final sin cifrar (.ini). Para obtener más información sobre los dos
tipos de archivos de configuración de perfil de usuario final, consulte Acerca de
archivos de configuración de cliente MobileVPN en la página 483.
Para más información acerca de NAT dinámica, vea Agregar firewall a entradas de NAT dinámicas en la
página 138.
El archivo .wgx está cifrado con una frase de contraseña con ocho caracteres de extensión o más. Tanto el
administrador como el usuario remoto deben conocer esa frase de contraseña. Cuando usa el software
cliente de Mobile VPN con IPSec para importar el archivo .wgx, la frase de contraseña es usada para
descifrar el archivo y configurar el cliente. El archivo .wgx no configura la Administración de Línea.
El archivo de configuración .ini no está cifrado. Sólo debe ser usado si la configuración de Administración
de Línea fue alterada para algo diferente de Manual. Para más información, vea Administración de Línea
en la pestaña Avanzado en Modificar un perfil de grupo existente de Mobile VPN con IPSec en la página 493.
Puede crear o recrear el archivo .wgx e .ini en cualquier momento. Para más informaciones, vea Archivos
de configuración de Mobile VPN con IPSec en la página 507.
Si desea bloquear los perfiles para usuarios móviles, puede convertirlos en solo lectura. Para más
informaciones, vea Bloquear un perfil del usuario final en la página 506.
Servidor de autenticación
Seleccione el autenticación que usar para ese grupo de Mobile VPN. Puede autenticar usuarios
con la base de datos interna de Firebox (Firebox-DB) o con un servidor RADIUS, VASCO,
SecurID, LDAP o Active Directory Server. Asegúrese de que el método de autenticación elegido
está activado.
frases de contraseña
Ingrese una frase de contraseña para cifrar el perfil de Mobile VPN (archivo .wgx) que
dinstribuye en ese grupo. La clave compartida puede contener sólo caracteres ASCII
estándares. Si usa un certificado para autenticación, ese es el PIN para el certificado.
Confirmar
Dirección IP externa
Ingrese la dirección IP externa principal a la cual los usuarios de Mobile VPN en ese grupo
pueden conectarse.
Dirección IP de resguardo
Ingrese la dirección IP externa de resguardo a la cual los usuarios de Mobile VPN en ese grupo
pueden conectarse. Esa dirección IP de resguardo es opcional. Si añade una dirección IP de
resguardo, asegúrese de que sea una dirección IP asignada a una interfaz externa de Firebox.
Seleccione el tiempo máximo en minutos por el cual una sesión de Mobile VPN puede estar
activa.
Seleccione el tiempo en minutos antes que el Firebox cierre una sesión ociosa de Mobile VPN.
Los valores de tiempo de espera inactivo y sesión son valores predeterminados de tiempo de
espera si el servidor de autenticación no tiene sus propios valores de tiempo de espera. Si usa
el Firebox como servidor de autenticación, los tiempos de espera para el grupo de Mobile VPN
son siempre ignorados porque se definen los tiempos de espera para cada cuenta de usuario
de Firebox.
La sesión y los tiempos de espera inactivos no pueden ser más extensos que el valor en el
campo de Duración de SA.
Para definir ese valor, en el cuadro de diálogo Configuración de Mobile VPN con IPSec, haga
clic en la pestaña Túnel IPSec y haga clic en Avanzado para Configuración de Fase 1. El valor
predeterminado es de 8 horas.
6. Configure:
Utilice la frase de contraseña del perfil del usuario final como clave precompartida
Seleccione esa opción para usar la frase de contraseña del perfil del usuario final como la clave
precompartida para la autenticación de túnel. Debe usar la misma clave compartida en el
dispositivo remoto. Esa clave compartida puede contener sólo caracteres ASCII estándares.
Usar un certificado
Dirección IP de CA
Si usa un certificado, ingrese la dirección IP del Management Server que fue configurado como
autoridad de certificación.
Tiempo de espera
Si usa un certificado, ingrese el tiempo en segundos antes del cual el cliente de Mobile VPN
with IPSec deja de intentar conectarse si no hay respuesta de la autoridad de certificación.
Recomendamos que se mantenga el valor predeterminado.
Configuraciones de Fase 1
Seleccione los métodos de autenticación y cifrado para los túneles VPN. Esa configuración debe
ser la misma para ambos extremos de VPN. Para realizar configuraciones avanzadas, tal como
NAT Traversal o grupo de clave, haga clic en Avanzado y vea Definir configuraciones avanzadas
de Fase 1 en la página 501.
Las opciones de Cifrado están en la lista en orden del más simple y menos seguro al más
complejo y más seguro:
DES
3DES
Configuraciones de Fase 2
Seleccione el PFS (Perfect Forward Secrecy) para activar el PFS y definir el grupo Diffie-
Hellman.
Para cambiar otra configuración de propuestas, haga clic en Avanzado y vea Definir
configuraciones avanzadas Configuraciones de Fase 2 en la página 503.
8. Configure:
Para enviar todo el tráfico de Internet de usuario de Mobile VPN a través del túnel VPN,
seleccione esa casilla de verificación.
Si seleccione esa casilla, el tráfico de Internet del usuario de Mobile VPN es enviado a través de
la VPN. Eso es más seguro, pero disminuye el desempeño de la red.
Si no seleccione esa casilla, el tráfico de Internet del usuario de Mobile VPN es enviado
directamente a Internet. Eso es menor seguro, pero los usuarios pueden navegar por Internet
más rápidamente.
Esa lista incluye los recursos a los cuales los usuarios en el grupo de autenticación de Mobile
VPN puede acceder en la red.
Para agregar una dirección IP o una dirección IP de red a la lista de recursos de red, seleccione
IP del host o IP de red, ingrese la dirección y haga clic en Agregar.
Esa lista incluye las direcciones IP internas que son usadas por los usuarios de Mobile VPN por
el túnel. Esas direcciones no pueden ser usadas por ningún dispositivo de red ni por otro grupo
de Mobile VPN.
Para agregar una dirección IP o una dirección IP de red al conjunto de direcciones IP virtuales,
seleccione IP de host o IP de red, ingrese la dirección y haga clic en Agregar.
Para quitarla del conjunto de direcciones IP virtuales, seleccione un host o una dirección IP de
red y haga clic en Remover.
Modo de conexión
Manual — En ese modo, el cliente no intenta reiniciar el túnel VPN automáticamente caso esté
desactivado. Esa es la configuración predeterminada.
Para reiniciar el túnel VPN, debe hacer clic en el botón Conectar en el Monitor de Conexión, o
hacer clic con el botón derecho en el icono de Mobile VPN en la barra de herramientas del
escritorio Windows y hacer clic en Conectar.
Automático — En ese modo, el cliente intenta iniciar la conexión cuando su equipo envía
tráfico a un destino que puede alcanzar a través de la VPN. El cliente también intenta reiniciar
el túnel VPN automáticamente caso esté quede sin disponibilidad.
Variable — En ese modo, el cliente intenta reiniciar el túnel VPN automáticamente hasta que
se haga clic en Desconectar. Después de desconectar, el cliente no intenta reiniciar el túnel
VPN nuevamente hasta que se haga clic en Conectar.
Los usuarios que son miembros del grupo creado no pueden conectarse hasta que importen el archivo de
configuración correcto en el software cliente Mobile VPN con IPSec. Se debe generar el archivo de
configuración y luego proveerlo a los usuarios finales.
Nota El Fireware XTM Web UI sólo puede generar el archivo de configuración .ini de
usuario móvil. Si desea generar el archivo .wgx, debe usar el Policy Manager.
Si usa Active Directory como su servidor de autenticación, los usuarios deben pertenecer a un grupo de
seguridad de Active Directory con el mismo nombre que el nombre de grupo configurado para Mobile VPN
with IPSec.
Para RADIUS, VASCO o SecurID, asegúrese de que el servidor RADIUS envía un atributo Filtro-Id (atributo 11
de RADIUS) cuando un usuario se autentica con éxito, para informar al Firebox a qué grupo el usuario
pertenece. El valor del atributo Filter-Id debe coincidir con el nombre del grupo Mobile VPN como aparece
en las configuraciones del servidor de autenticación de Fireware XTM RADIUS. Todos los usuarios de Mobile
VPN que se autentiquen en el servidor deben pertenecer a ese grupo.
Para más información acerca de grupos Firebox, vea Tipos de autenticación de Firebox en la página 223.
Para añadir usuarios a un grupo caso use un servidor de autenticación de terceros, use las instrucciones en
la documentación de su proveedor.
4. Ingrese un Nombre y una Frase de contraseña para el nuevo usuario. La frase de contraseña debe
tener al menos 8 caracteres de extensión. Ingrese la frase de contraseña nuevamente para
confirmarla.
La descripción no es obligatoria. Recomendamos que no cambie los valores de Tiempo de espera de sesión y
Tiempo de espera inactivo.
5. En la sección Grupo de autenticación de Firebox , en la lista Disponible, seleccione el nombre de
grupo y haga clic en .
6. Haga clic en OK.
El cuadro de diálogo "Configurar Usuario de Firebox" se cierra. Aparece el nuevo usuario en la página
"Servidores de autenticación" en la lista Usuarios.
7. Haga clic en Guardar.
Servidor de autenticación
Seleccione el autenticación que usar para ese grupo de Mobile VPN. Puede autenticar usuarios
al Firebox (Firebox-DB) o a un servidor RADIUS, VASCO, SecurID, LDAP o Active Directory
Server. Asegúrese de que ese método de autenticación está activado.
frases de contraseña
Para cambiar la frase de contraseña que cifra el archivo .wgx, ingrese una nueva frase de
contraseña. La clave compartida puede contener sólo caracteres ASCII estándares. Si usa un
certificado para autenticación, ese es el PIN para el certificado.
Confirmar
Principal
Ingrese la dirección IP externa principal o dominio al cual los usuarios de Mobile VPN en ese
grupo pueden conectarse.
Resguardo
Ingrese la dirección IP externa de resguardo o dominio al cual los usuarios de Mobile VPN en
ese grupo pueden conectarse. Esa dirección IP de resguardo es opcional. Si añade una
dirección IP de resguardo, asegúrese de que sea una dirección IP asignada a una interfaz
externa de Firebox.
Seleccione el tiempo máximo en minutos por el cual una sesión de Mobile VPN puede estar
activa.
Seleccione el tiempo en minutos antes que el Firebox cierre una sesión ociosa de Mobile VPN.
Los valores de tiempo de espera inactivo y sesión son valores predeterminados de tiempo de
espera si el servidor de autenticación no emite valores específicos de tiempo de espera. Si usa
el Firebox como servidor de autenticación, los tiempos de espera para el grupo de Mobile VPN
son siempre ignorados porque se definen los tiempos de espera para cada cuenta de usuario
de Firebox.
La sesión y los tiempos de espera inactivos no pueden ser más extensos que el valor en el
campo de Duración de SA .
Para definir ese valor, en el cuadro de diálogo Configuración de Mobile VPN con IPSec, haga
clic en la pestaña Túnel IPSec y haga clic en Avanzado para Configuración de Fase 1. El valor
predeterminado es de 8 horas.
Use la frase de contraseña del perfil de usuario final como la clave precompartida
Seleccione esa configuración para usar la frase de contraseña del perfil del usuario final como
la clave precompartida para la autenticación de túnel. La frase de contraseña es definida en la
pestaña General en la sección Frase de contraseña. Debe usar la misma clave compartida en el
dispositivo remoto y esa clave puede contener solamente caracteres ASCII estándares.
Usar un certificado
Dirección IP de CA
Si elige usar un certificado, ingrese la dirección IP del Management Server que fue configurado
como autoridad de certificación.
Tiempo de espera
Si elige usar un certificado, ingrese el tiempo en segundos antes del cual el cliente de Mobile
VPN with IPSec deja de intentar conectarse a la autoridad de certificación que no responde.
Recomendamos que use la configuración predeterminada.
Configuraciones de Fase 1
Seleccione los métodos de autenticación y cifrado para los túneles de Mobile VPN.
Para realizar configuraciones avanzadas, tal como NAT Traversal o grupo de clave, haga clic en
Avanzado y Definir configuraciones avanzadas de Fase 1.
Las opciones de Cifrado aparecen en la lista en orden del más simple y menos seguro al más
complejo y más seguro.
DES
3DES
Configuraciones de Fase 2
Seleccione el PFS (Perfect Forward Secrecy) para activar el PFS y definir el grupo Diffie-
Hellman.
Para alterar otra configuración de propuesta, haga clic en Avanzado y Definir configuración
avanzada de Fase 2.
Para enviar todo el tráfico de Internet de usuario de Mobile VPN a través del túnel VPN,
seleccione esa casilla de verificación.
Si seleccione esa casilla, el tráfico de Internet del usuario de Mobile VPN es enviado a través de
la VPN. Eso es más seguro, pero el acceso al sitio web puede ser lento.
Si no seleccione esa casilla, el tráfico de Internet del usuario de Mobile VPN es enviado
directamente a Internet. Eso es menor seguro, pero los usuarios pueden navegar por Internet
más rápidamente.
Esa lista incluye los recursos de red que están disponibles a los usuarios en el grupo Mobile VPN.
Para agregar una dirección IP o una dirección IP de red a la lista de recursos de red, seleccione
IP del host o IP de red, ingrese la dirección y haga clic en Agregar.
Las direcciones IP internas que son usadas por los usuarios de Mobile VPN por el túnel
aparecen en esa lista. Esas direcciones no pueden ser usadas por ningún dispositivo de red ni
por otro grupo de Mobile VPN.
Para agregar una dirección IP o una dirección IP de red al conjunto de direcciones IP virtuales,
seleccione IP de host o IP de redo ingrese la dirección y haga clic en Agregar.
Para quitarla del conjunto de direcciones IP virtuales, seleccione un host o una dirección IP de
red y haga clic en Remover.
Modo de conexión
Manual — En ese modo, el cliente no intenta reiniciar el túnel VPN automáticamente caso esté
desactivado. Esa es la configuración predeterminada.
Para reiniciar el túnel VPN, debe hacer clic en Conectar en el Monitor de Conexión, o hacer
clic con el botón derecho en el icono de Mobile VPN en la barra de herramientas del escritorio
Windows y hacer clic en Conectar.
Automático — En ese modo, el cliente intenta iniciar la conexión cuando su equipo envía
tráfico a un destino que puede alcanzar a través de la VPN. El cliente también intenta reiniciar
el túnel VPN automáticamente caso esté quede sin disponibilidad.
Variable — En ese modo, el cliente intenta reiniciar el túnel VPN automáticamente hasta que
se haga clic en Desconectar. Después de desconectar, el cliente no intenta reiniciar el túnel
VPN nuevamente hasta que se haga clic en Conectar.
Si define el Modo de conexión en Automático o Variable, el software cliente Mobile VPN with
IPSec no intenta renegociar la conexión de VPN por el tiempo especificado.
Los usuarios finales que son miembros del grupo editado no pueden conectarse hasta que importen el
archivo de configuración correcto en el software cliente Mobile VPN con IPSec. Se debe generar el archivo
de configuración y luego proveerlo a los usuarios finales.
Nota El Fireware XTM Web UI sólo puede generar el archivo de configuración .ini de
usuario móvil. Si desea generar el archivo .wgx, debe usar el Policy Manager.
1. En la página Editar Mobile VPN with IPSec, haga clic en la pestaña Túnel IPSec.
2. En la sección Configuración de Fase 1, haga clic en Avanzado.
Aparece la "Configuración Avanzada de Fase 1".
3. Configurar las opciones para el grupo, tal como se describe en las siguientes secciones.
Recomendamos que use las configuraciones predeterminadas.
4. Haga clic en Guardar.
Opciones de Fase 1
Duración de SA
Grupo de claves
NAT Traversal
Seleccione esta casilla de verificación para establecer un túnel de Mobile VPN entre el Firebox y
otro dispositivo que esté detrás de un dispositivo NAT. La NAT Traversal, o la Encapsulación de UDP,
permite que el tráfico sea enrutado a los destinos correctos.
IKE keep-alive
Seleccione esta casilla de verificación solo si este grupo se conecta a un dispositivo WatchGuard más
antiguo y no soporta la Dead Peer Detection. Todos los dispositivos WatchGuard con Fireware v9.x o
inferior, Edge v8.x o inferior y todas las versiones del WFS no soportan la Dead Peer Detection. Para
esos dispositivos, seleccione esta casilla de verificación para activar el Firebox para que envíe
mensajes a su punto IKE para mantener el túnel VPN abierto. No seleccionar IKE keep-alive y
Detección de punto.
Intervalo de mensajes
Máx. de fallas
Estipule un número máximo de veces que el Firebox espera una respuesta de los mensajes de
mantener conexión IKE antes de terminar la conexión de VPN e iniciar nueva negociación de Fase 1.
Seleccione esta casilla de verificación para activar la Dead Peer Detection (DPD). Ambos extremos
deben soportar la DPD. Todos los dispositivos WatchGuard con Fireware v10.x y Edge v10.x o
superior soportan la DPD. No seleccionar IKE keep-alive y Detección de punto.
La DPD está basada en RFC 3706 y usa estándares de tráfico de IPSec para determinar si una
conexión está disponible antes que se envíe un paquete. Cuando selecciona la DPD, se envía un
mensaje al punto cuando no se recibió ningún tráfico del punto dentro del período de tiempo
seleccionado. Si la DPD determina que un punto no está disponible, no se hacen intentos adicionales
de conexión.
Defina el número de segundos que el Firebox espera antes de verificar si el otro dispositivo está
activo.
Defina el número máximo de veces que el Firebox intenta conectarse antes de determinar que el
punto no está disponible, terminar la conexión de VPN e iniciar nueva negociación de Fase 1.
1. En la página Editar Mobile VPN with IPSec, haga clic en la pestaña Túnel IPSec.
2. En la sección Configuración de Fase 2, haga clic en Avanzado.
Aparece la "Configuración Avanzada de Fase 2".
Opciones de Fase 2
Tipo
Las dos opciones de método de propuesta son ESP o AH. Sólo el ESP es compatible actualmente.
Autenticación
Cifrado
Seleccione un método de cifrado. Las opciones están en la lista en orden del más simple y menos
seguro al más complejo y más seguro.
n DES
n 3DES
n AES(128 bits)
n AES (192 bits)
n AES (256 bits)
Para regenerar los extremos de puerta de enlace e intercambiar nuevas claves después de un
período de tiempo o después que pase una cantidad de tráfico por la puerta de enlace, seleccione
esa casilla de verificación.
En el campo Forzar caducidad de clave, seleccione la período de tiempo y número de kilobytes que
puede pasar antes que la clave caduque.
Si Forzar caducidad de Clave está desactivado, o si está activado y la hora y el número de kilobytes
está puestos en cero, el Firebox usa la hora de caducidad de la clave definida para el punto. Si ésta
también está desactivada o en cero, Firebox usa una hora predeterminada de caducidad de clave de
8 horas. El período máximo de tiempo que puede pasar antes que caduque una clave es un año.
Asegúrese de utilizar sólo un servidor DNS interno. No utilice servidores DNS externos.
2. En el cuadro de texto Domain name, ingrese un domain name para el servidor DNS.
3. En los cuadros de texto Servidores DNS y Servidores WINS , ingrese las direcciones de los servidores
WINS y DNS.
4. Haga clic en Guardar.
Nota Esa configuración se aplica solamente a archivos .wgx. Debe usar el Policy
Manager para generar archivos .wgx para sus usuarios.
.wgx
Los archivos .wgx son cifrados y pueden ser configurados para que el usuario final no pueda cambiar
las configuraciones en el software cliente Mobile VPN con IPSec. Un archivo .wgx no puede
configurar la Administración de Línea en el software cliente. Si define la Administración de Línea en
otro modo que no sea Manual, debe usar un archivo de configuración .ini.
.ini
Para más información, vea Administración de Línea en la pestaña Avanzado Modificar un perfil de
grupo existente de Mobile VPN con IPSec.
Cuando configura un grupo Mobile VPN with IPSec por primera vez, o si hace un cambio en las
configuraciones de un grupo, debe generar el archivo de configuración para el grupo y proveerlo a los
usuarios finales.
Para usar el Fireware XTM Web UI para generar un perfil de usuario final para un grupo:
Nota El Fireware XTM Web UI sólo puede generar el archivo de configuración .ini de
usuario móvil. Si desea generar el archivo .wgx, debe usar el Policy Manager.
Nota La frase de contraseña, nombre de usuario y contraseña del perfil de usuario final
son informaciones confidenciales. Por cuestiones de seguridad, recomendamos
que no ofrezca esa información por correo electrónico. Como el correo electrónico
no es seguro, un usuario no autorizado puede usar la información para obtener
acceso a su red interna. Ofrezca la información al usuario a través de un método
que no permita que personas no autorizadas la intercepten.
Para más información acerca de cómo activar políticas, vea Acerca de políticas en la página 251.
Como la política de IPSec activa un túnel para el servidor de IPSec y no realiza ninguna verificación de
seguridad en el firewall, agregue a esa política sólo los usuarios en los que confía.
Para cambiar esa configuración, en el Fireware XTM Web UI, seleccione VPN > Configuraciones Globales..
Para más informaciones acerca de esas configuraciones, vea Acerca de las configuraciones de VPN Global
en la página 438.
2. Deslice hacia abajo hasta Usuarios de Mobile VPN en la columna Función, y busque el número en la
columna Valor. Ese es el número máximo de usuarios de Mobile VPN que pueden conectarse al
mismo tiempo.
Las licencias están disponibles a través de su revendedor local o en el sitio web de WatchGuard:
http://www.watchguard.com/sales
Si la conmutación por error (failover) de VPN está configura y ocurre una conmutación por error, las
sesiones de Mobile VPN no tienen continuidad. Debe autenticar su cliente de Mobile VPN nuevamente
para hacer un nuevo túnel de Mobile VPN.
Si ninguna de esas opciones es posible y la dirección IP externa del Firebox cambia, debe otorgar un nuevo
archivo de configuración .wgx a los usuarios de IPSec remoto o pedirles que editen la configuración cliente
para que ésta incluya la nueva dirección IP siempre que la dirección IP cambie. De lo contrario, los usuarios
IPSec no pueden conectarse hasta que obtengan el nuevo archivo de configuración o dirección IP.
Use estas instrucciones para configurar el Firebox y dar soporte a los usuarios del cliente IPSec si el Firebox
tiene una dirección IP dinámica y no puede usar un DNS dinámico.
Esa es la dirección IP guardada en los archivos de configuración .wgx. Cuando los usuarios remotos dicen
que no pueden conectarse, verifique la dirección IP externa del Firebox para ver si la dirección IP cambió.
n Otorgue un nuevo archivo de configuración .wgx a los usuarios remotos para que lo importen.
n Solicite a los usuarios remotos que editen manualmente la configuración del cliente IPSec. Para esa
opción, debe configurar el Firebox para que los usuarios remotos puedan editar la configuración.
Para más informaciones, vea Bloquear un perfil del usuario final en la página 506.
1. En el Fireware XTM Web UI, seleccione VPN >Mobile VPN with IPSec.
2. Seleccione un grupo de usuarios de Mobile VPN y haga clic en Generar para crear y descargar los
archivos .wgx.
3. Distribuya los archivos .wgx a los usuarios remotos.
4. Solicite que los usuarios remotos Importar el perfil de usuario final.
1. Otorgue a los usuarios remotos la nueva dirección IP externa del Firebox y solicite que sigan los
próximos cinco pasos.
2. En el equipo cliente IPSec seleccione Inicio > Todos los programas > WatchGuard Mobile VPN >
Mobile VPN Monitor.
3. Seleccione Configuración > Configuración de perfil.
4. Seleccione el perfil y haga clic en Configurar.
El cliente Mobile VPN crea un túnel cifrado hacia sus redes de confianza y opcional, que están protegidas
por un Firebox de WatchGuard. El cliente Mobile VPN permite proveer acceso remoto a sus redes internas
y no comprometer su seguridad.
Debe configurar su Firebox para que funcione con Mobile VPN with IPSec. Si todavía no lo hizo, vea los
tópicos que describen cómo configurar su Firebox para usar Mobile VPN.
n Puede instalar el software cliente Mobile VPN con IPSec en cualquier equipo con Windows 2000,
Windows XP (32 bits y 64 bits), Windows Vista (32 bits y 64 bits) o Windows 7 (32 bits y 64 bits).
Antes de instalar el software cliente, asegúrese de que el equipo remoto no tenga un software
cliente Mobile User VPN de IPSec instalado. También debe desinstalar cualquier software de
firewall de escritorio (que no sea el software de firewall de Microsoft) de cada equipo remoto.
n Si el equipo cliente usa Windows XP, debe iniciar sesión usando una cuenta que tenga derechos de
administrador para instalar el software cliente Mobile VPN e importar el archivo de configuración
.wgx o .ini. Después que el cliente haya sido instalado y configurado, los derechos de administrador
no son requeridos para conectarse.
n Si el equipo cliente usa Windows Vista, debe iniciar sesión usando una cuenta que tenga derechos
de administrador para instalar el software cliente Mobile VPN. Los derechos de administrador no
son necesarios para importar un archivo .wgx o .ini o para conectarse después que el cliente haya
sido instalado.
n Recomendamos que se asegure de que todos los service packs disponibles estén instalados antes de
instalar el software cliente Mobile VPN.
n Se obtiene la configuración de WINS y DNS para el cliente Mobile VPN en el perfil del cliente que
importa cuando configura su cliente Mobile VPN.
n Recomendamos que no altere la configuración de ningún cliente Mobile VPN que no esté
explícitamente descrita en esta documentación.
n frases de contraseña
n Un archivo cacert.pem y un .p12 (si usa certificados para autenticar)
n Nombre de usuario y contraseña
Nota Tome nota de la clave compartida y manténgala en un lugar seguro. Debe usarla
durante los pasos finales del procedimiento de instalación.
1. Copie el archivo de instalación de Mobile VPN en el equipo remoto y extraiga los contenidos del
archivo.
2. Copie el perfil del usuario final (el archivo .wgx o .ini) en el directorio raíz en el equipo remoto
(cliente o usuario). No ejecute el software de instalación a partir de un CD u otra unidad externa.
Si usa certificados para autenticarse, copie los archivos cacert.pem y .p12 en el directorio raíz.
3. Haga doble clic en el archivo .exe extraído en el Paso 1. Eso inicia el WatchGuard Mobile VPN
Installation wizard. Debe reiniciar su equipo cuando el asistente de instalación se reinicia.
Para instrucciones detalladas para usuarios finales clientes de Mobile VPN con IPSec, vea Instrucciones de
usuario final para la instalación del cliente VPN Mobile con IPSec de WatchGuard en la página 526.
¡No hay perfil para el marcado de VPN! ¿Desea usar el asistente de configuración
para crear un perfil ahora?
Para apagar la funcionalidad de inicio automático del Connection Monitor, seleccione Ver > Inicio
automático > No iniciar automáticamente.
1. En el escritorio del Windows, seleccione Inicio > Todos los programas > WatchGuard Mobile VPN >
Monitor de Mobile VPN.
2. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuración > Importar perfil.
Se inicia el Asistente de Importación de Perfil.
3. En la pantalla Seleccionar perfil de usuario, vaya hacia la ubicación del archivo de configuración .wgx
o .ini.
4. Haga clic en Siguiente.
5. Si usa un archivo .wgx, en la pantalla Descifrar persil de usuario, ingrese la frase de contraseña. La
frase de contraseña distingue mayúsculas de minúsculas.
6. Haga clic en Siguiente.
7. En la pantalla Sobrescribir o agregar perfil, puede seleccionar sobrescribir un perfil con el mismo
nombre. Eso es útil si su administrador de red le ofrece un nuevo archivo .wgx para importar.
8. Haga clic en Siguiente.
Antes de iniciar, desconecte todos los túneles y cierre el Mobile VPN Connection Monitor. Desde el
escritorio de Windows:
5. Haga clic en Aceptar para remover completamente todos los componentes. Si no selecciona esa
casilla de verificación al final de la desinstalación, la próxima vez que instala el software Mobile VPN,
la configuración de conexión de esa instalación será usada para la nueva instalación.
Establezca su conexión a Internet a través de una conexión de red de marcado o una conexión LAN. Luego,
use las instrucciones abajo para seleccionar su perfil, conectar y desconectar, haciendo clic con el botón
derecho en el icono en su barra de herramientas de Windows.
1. En el escritorio del Windows, seleccione Inicio > Todos los programas > WatchGuard Mobile VPN >
Monitor de Mobile VPN.
2. En la lista desplegable Perfil, seleccione el nombre del perfil creado para sus conexiones de Mobile
VPN al Firebox.
Para definir manualmente el comportamiento del cliente Mobile VPN cuando el túnel VPN deja de estar
disponible:
4. Use la lista desplegable Modo de conexión para definir un comportamiento de conexión para ese
perfil.
n Manual — Cuando selecciona el modo de conexión manual, el cliente no intenta
reiniciar el túnel VPN automáticamente caso esté desactivado. Para reiniciar el túnel
VPN, debe hacer clic en el botón Conectar en el Monitor de Conexión, o hacer clic con el
botón derecho en el icono de Mobile VPN en la barra de herramientas del escritorio
Windows y hacer clic en Conectar.
Para ver los mensajes de registro de Mobile VPN, seleccione Registro> Libro de registro del Monitor de
Conexión.
Aparece el cuadro de diálogo "Libro de Registros".
Firewall de enlace
El firewall de enlace no está activado por defecto. Cuando el firewall de enlace está activado, su
equipo desecha los paquetes recibidos de otros equipos. Puede elegir activar el firewall de enlace
sólo cuando un túnel de Mobile VPN esté activo, manténgalo habilitado todo el tiempo.
Firewall de escritorio
Ese firewall completo puede controlar las conexiones hacia y desde su equipo. Puede definir redes
conocidas y definir reglas de acceso separadamente para redes desconocidas o conocidas.
Redes VPN
Redes desconocidas
Redes conocidas
Para más información acerca de cómo activar un firewall de escritorio, vea Activar firewall de escritorio en
la página 519.
conexiones hacia o desde su equipo, excepto si creó una regla para permitir la conexión.
n Configuración básica abierta — Cuando activa ese modo, el firewall permite todas las
Para más información acerca de cómo definir redes conocidas y crear reglas de firewall, vea Definir redes
conocidas en la página 520 y Crear reglas de firewall en la página 521.
La función de detección automática de Red Conocida no funciona correctamente en esta versión del
software cliente Mobile VPN con IPSec.
Seleccione o limpie las casillas de verificación abajo Ver configuración para mostrar o ocultar categorías de
reglas de firewall. Algunas opciones no están disponibles en el Mobile VPN para la versión de Windows
Mobile del firewall de escritorio.
Para crear una regla, haga clic en Agregar. Use las cuatro pestañas en el cuadro de diálogo Entrada de regla
de firewall para definir el tráfico que desea controlar:
n Pestaña General
n Pestaña Local
n Pestaña Remoto
n Pestaña Aplicaciones
Pestaña General
Puede definir las propiedades básicas de sus reglas de firewall en la pestaña General del cuadro de diálogo
Entrada de regla de firewall.
Nombre de la regla
Ingrese un nombre descriptivo para esa regla. Por ejemplo, puede crear una regla llamada
"navegación web" que incluya tráfico en puertos de TCP 80 (HTTP), 8080 (HTTP alternativo) y 443
(HTTPS).
Estado
Para hacer que una regla esté inactiva, seleccione Desactivar. Las nuevas reglas son activas por
defecto.
Dirección
Para aplicar la regla al tráfico proveniente de su equipo, seleccione saliente. Para aplicar la regla al
tráfico que es enviado a su equipo, seleccione entrante. Para aplicar la regla a todo el tráfico,
seleccione bidireccional.
Asignar regla a
Seleccionar las casillas al lado de los tipos de red a los que se aplica esa regla.
Protocolo
Use esa lista desplegable para seleccionar el tipo de tráfico de red que desea controlar.
Pestaña Local
Puede definir los puertos y las direcciones IP locales que son controlados por su regla de firewall en la
pestaña Local en el cuadro de diálogo Entrada de regla de firewall. Recomendamos que, en cualquier
regla, configure las Direcciones IP locales para activar el botón de radio Cualquier dirección IP. Si configura
una política entrante, puede añadir los puertos con los cuales controlar esa política en la configuración de
Puertos Locales. Si desea controlar más de un puerto a en la misma política, seleccione Varios puertos o
rangos. Haga clic en Nuevo para agregar cada puerto.
Si seleccione el botón de radio Explicitar dirección IP, asegúrese de que especifica una dirección IP. La
dirección IP no debe estar definida en 0.0.0.0.
Pestaña Remoto
Puede definir los puertos y direcciones IP remotas que son controlados por esa regla en la pestaña Remoto
del cuadro de diálogo Entrada de regla de firewall.
Por ejemplo, si su firewall está definido para que niegue todo el tráfico y desea crear una regla para
permitir conexiones POP3 salientes, agregue la dirección IP de su servidor POP3 como Explicitar dirección
IP en la sección Direcciones IP remotas. Después, en la sección Puertos remotos, especifique el puerto
110 como un Explicitar puerto para esa regla.
Si seleccione el botón de radio Explicitar dirección IP, asegúrese de que especifica una dirección IP. La
dirección IP no debe estar definida en 0.0.0.0.
Pestaña Aplicaciones
Puede limitar su regla de firewall para que se aplique solo cuando se usa un programa especificado.
2. Haga clic en Seleccionar aplicación para examinar su equipo local en busca de una lista de
aplicaciones disponibles.
3. Haga clic en OK.
El cliente Mobile VPN con IPSec de WatchGuard crea una conexión cifrada entre su equipo y el Firebox con
una conexión a Internet estándar. El cliente Mobile VPN le permite tener acceso a recursos protegidos de
red desde cualquier ubicación remota con una conexión a Internet.
n Puede instalar el software cliente Mobile VPN con IPSec en cualquier equipo con Windows 2000
Pro, Windows XP (32 bits y 64 bits) o Windows Vista (32 bits y 64 bits).
n Asegúrese de que el equipo no tenga ningún otro software cliente Mobile User VPN de IPSec
instalado.
n Desinstale cualquier software de firewall de escritorio (que no sea el software de firewall de
Microsoft) de su equipo.
n Si el equipo cliente usa el Windows XP para instalar el software cliente Mobile VPN y para importar
el archivo de configuración .wgx, debe iniciar sesión con una cuenta que tenga derechos de
administrador. Después que el cliente haya sido instalado y configurado, los derechos de
administrador no son requeridos para conectarse.
n Si el equipo cliente usa Windows Vista, para instalar el software cliente Mobile VPN, debe iniciar
sesión usando una cuenta que tenga derechos de administrador. Los derechos de administrador no
son necesarios para importar un archivo .wgx o .ini o para conectarse después que el cliente haya
sido instalado.
n Recomendamos que se asegure de que todos los service packs disponibles estén instalados antes de
instalar el software cliente Mobile VPN.
n Recomendamos que no altere la configuración de ningún cliente Mobile VPN que no esté
explícitamente descrita en esta documentación.
Después de instalar el software cliente, reinstale el software del firewall de escritorio o configure el firewall
que forme parte del software cliente. Si usa un firewall de escritorio de terceros, asegúrese de configurarlo
para permitir que el tráfico establezca el túnel VPN y que fluya tráfico por ese túnel. Contacte su
administrador de red para obtener instrucciones.
1. En el escritorio del Windows, seleccione Inicio > Todos los programas > WatchGuard Mobile VPN >
Monitor de Mobile VPN.
2. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuración > Importar perfil.
Se inicia el Asistente de Importación de Perfil.
3. En la pantalla Seleccionar perfil de usuario, vaya hacia la ubicación del archivo de configuración .wgx
o .ini.
4. Haga clic en Siguiente.
5. Si usa un archivo .wgx, en la pantalla Descifrar persil de usuario, ingrese la frase de contraseña. La
frase de contraseña distingue mayúsculas de minúsculas.
6. Haga clic en Siguiente.
7. En la pantalla Sobrescribir o agregar perfil, puede seleccionar sobrescribir un perfil con el mismo
nombre. Eso es útil si su administrador de red le ofrece un nuevo archivo .wgx para importar.
8. Haga clic en Siguiente.
9. En la pantalla Autenticación, puede seleccionar si desea ingresar el nombre de usuario y contraseña
que usa para autenticar el túnel VPN.
Si mantiene esos campos vacíos, debe insertar su nombre de usuario y contraseña siempre que se
conecte.
Si inserta su nombre de usuario y contraseña, el Firebox los almacena y no hace falta inserir esa
información siempre que se conecte. No obstante, eso representa un riesgo de seguridad. También
puede ingresar sólo su nombre de usuario y mantener el campo contraseña vacío.
10. Haga clic en Siguiente.
11. Haga clic en Finalizar.
1. En el escritorio del Windows, seleccione Inicio > Todos los programas > WatchGuard Mobile VPN >
Monitor de Mobile VPN.
Aparece el cuadro de diálogo Mobile VPN de WatchGuard.
2. En la lista desplegable Perfil, seleccione el nombre del perfil importado.
Nota Si importa un archivo .ini para configurar el software cliente, no altere ninguna
configuración de la Administración de Línea. El archivo .ini realiza esas
configuraciones.
Para definir el comportamiento del cliente Mobile VPN cuando el túnel VPN deja de estar disponible:
4. Use la lista desplegable Modo de conexión para definir un comportamiento de conexión para ese
perfil.
o Manual — Cuando selecciona el modo de conexión manual, el cliente no intenta reiniciar el
túnel VPN automáticamente caso esté desactivado.
Para reiniciar el túnel VPN, debe hacer clic en el botón Conectar en el Monitor de Conexión,
o hacer clic con el botón derecho en el icono de Mobile VPN en la barra de herramientas del
escritorio Windows y hacer clic en Conectar.
El El icono del Mobile User VPN aparece en la bandeja de sistema de Windows mostrando el estado de la
conexión de VPN. Puede hacer clic con el botón derecho en el icono para reconectar y desconectar el
Mobile VPN y para ver el perfil en uso.
El Mobile VPN para Windows Mobile usa los mismos archivos .wgx de perfil de usuario final que son usados
para configurar el Mobile VPN with IPSec. Para crear el perfil de usuario final, vea Configurar el Firebox
para Mobile VPN with IPSec en la página 483.
Debe Configurar el Firebox para Mobile VPN with IPSec. Ese proceso crea el perfil del usuario final
necesario para configurar el software cliente de Windows Mobile.
Nota Los dispositivos de esa lista fueron probados con el Mobile VPN de WatchGuard
para Windows Mobile. Para aprender si otros usuarios configuraron otro
dispositivo con éxito, verifique el Foro de Usuario WatchGuard, en
http://forum.watchguard.com/.
Para instalar el Mobile VPN WM Configurator de Windows Mobile en algunos sistemas operativos, debe
iniciar sesión en el equipo con una cuenta con derechos de administrador e importar el archivo de
configuración .wgx. Los derechos de administrador no son necesarios para subir el cliente y la configuración
al dispositivo Windows Mobile.
Nota Tome nota de la clave compartida y manténgala en un lugar seguro. Debe usarla
cuando importe el perfil de usuario final.
1. Copie el archivo .zip del Mobile VPN WM Configurafor en el equipo y extraiga los contenidos de
archivo.
2. Copie el perfil del usuario final (archivo .wgx) en el directorio raíz del equipo remoto.
3. Haga doble clic en el archivo .exe extraído en el Paso 1. Eso inicia el WatchGuard Mobile VPN WM
Installation Wizard.
4. Siga los pasos en el asistente. En el cuadro de diálogo Asistente InstallShield Concluido mantenga el
casilla de verificación Iniciar instalación de PDA seleccionado sólo si el dispositivo Windows Mobile
está actualmente conectado a través del ActiveSync.
1. Seleccione Inicio > Todos los programas > WatchGuard Mobile VPN> WatchGuard Mobile VPN
WM para iniciar el Configurator.
2. Seleccione Configuración > Importar perfil.
Se inicia el Asistente de Importación de Perfil.
3. En la pantalla Seleccionar perfil de usuario, navegue hasta la ubicación del archivo de configuración
.wgx provisto por su administrador de red. Haga clic en Siguiente.
4. En la pantalla Descifrar Perfil del usuario, ingrese la clave compartida o frase de contraseña provista
por su administrador de red. La clave compartida distingue mayúsculas de minúsculas. Haga clic en
Siguiente.
5. En la pantalla Sobrescribir o agregar perfil, puede seleccionar sobrescribir un perfil con el mismo
nombre. Eso es útil si su administrador de red le ofrece un nuevo archivo .wgx y hace falta
importarlo nuevamente. Haga clic en Siguiente.
6. En la pantalla Autenticación, puede ingresar el el nombre de usuario y contraseña que usa para
autenticar el túnel VPN. Si inserta su nombre de usuario y contraseña aquí, el Firebox los almacena y
no hace falta ingresar esa información siempre que se conecte. No obstante, eso representa un
riesgo de seguridad. Puede ingresar sólo su nombre de usuario y mantener el campo contraseña
vacío. Eso minimiza la cantidad de datos necesarios para la conexión de VPN.
Si mantiene esos campos vacíos, debe ingresar su nombre de usuario y contraseña la primera vez
que se conecta a la VPN. La vez siguiente, el campo del nombre de usuario estará automáticamente
llenado con el último nombre de usuario insertado.
Nota Si la contraseña que usa es la misma del Active Directory o del Servidor de LDAP y
elije almacenarla, la contraseña se vuelve inválida cuando cambia en el servidor de
autenticación.
Nota Después que el software WatchGuard Mobile VPN esté instalado en su dispositivo
Windows Mobile, debe reiniciarlo.
2. Para iniciar el Configurator, seleccione Inicio > Todos los programas > WatchGuard Mobile VPN>
WatchGuard Mobile VPN WM.
3. Si el software WatchGuard Mobile VPN WM todavía no fue instalado en el dispositivo Windows
Mobile, se abre el cuadro de diálogo Confirmación. Haga clic en Sí.
5. El software cliente WatchGuard Mobile VPN WM se ejecuta en el dispositivo Windows Mobile. Haga
clic en OK.
Si la VPN usa un certificado para autenticarse, debe cargarlo en el dispositivo Windows Mobile. Antes de
cargar el certificado, el Configurator debe ser configurado para usar el certificado.
Conecteydesconecteel ClienteMobileVPNparaWindows
Mobile
El software cliente WatchGuard Mobile VPN para Windows Mobile usa la conexión de datos del dispositivo
Windows Mobile para establecer una conexión segura a las redes protegidas por un Firebox. El dispositivo
Windows Mobile debe poder establecer una conexión de datos a Internet.
1. En el dispositivo Windows Mobile, seleccione Inicio > Programas > WatchGuard Mobile VPN
Monitor.
Si el WatchGuard Mobile VPN Servive no está en ejecución, se abre un cuadro de diálogo. Haga clic
en Sí para iniciar servicio.
2. Se abre el cuadro de diálogo WatchGuard Mobile VPN. Seleccione el perfil del usuario final de la
lista desplegable en la parte superior del cuadro de diálogo de WatchGuard Mobile VPN.
3. Haga clic en Conectar e ingrese su nombre de usuario y contraseña. Haga clic en OK.
Nota Después de establecer la primera conexión VPN con éxito, el cliente guarda el
nombre de usuario y sólo solicita una contraseña. Para alterar el nombre de
usuario, haga clic en Aceptar con el área del contraseña limpia. Se abre un cuadro
de diálogo en el cual puede ingresar un nombre de usuario y contraseña
diferentes.
4. Aparece una línea amarilla con la palabra Conectando entre teléfono y equipo en el cuadro de
diálogo de WatchGuard Mobile VPN. La línea se pone verde cuando el túnel VPN esté listo.
1. En el dispositivo Windows Mobile, seleccione Inicio > Programas > WatchGuard Mobile VPN
Monitor.
2. Haga clic en Desconectar. La línea verde cambia al amarillo.
Cuando no hay una línea entre el teléfono y el equipo, la VPN está desconectada.
Firewall de enlace
El firewall de enlace no está activado por defecto. Cuando el firewall de enlace está activado, su
dispositivo Windows Mobile desecha los paquetes recibidos desde otros equipos. Puede elegir
activar el firewall de enlace sólo cuando un túnel de Mobile VPN esté activo, manténgalo habilitado
todo el tiempo.
Firewall de escritorio
Ese firewall completo puede controlar las conexiones hacia y desde su dispositivo Windows Mobile.
Puede definir redes conocidas y definir reglas de acceso separadamente para redes desconocidas o
conocidas.
Para más informaciones, vea Activar el firewall del enlace en la página 518 y Activar firewall de escritorio en
la página 519.
1. En el dispositivo Windows Mobile, seleccione Inicio > Programas > WatchGuard Mobile VPN
Service.
2. Se abre el cuadro de diálogo WatchGuard Mobile VPN. Haga clic en Sí para detener el servicio.
n Seleccione Bridge de tráfico de VPN para el bridge del tráfico de VPN con SSL a una red que
especifique. Esta es la configuración predeterminada para Firebox X Edge. Cuando selecciona
esta opción, no puede filtrar el tráfico entre los usuarios de VPN con SSL y la red a la que se
conecta el tráfico de VPN con SSL.
n Seleccione Tráfico de VPN enrutado para enrutar el tráfico de VPN hacia redes y recursos
específicos. Esta es la configuración predeterminada para los dispositivos Firebox X Core o Peak
e-Series y WatchGuard XTM.
2. Seleccione o desmarque la casilla de selección Forzar todo el tráfico de cliente a través del túnel.
n Seleccione Forzar todo el tráfico de cliente a través del túnel para enviar todo el tráfico de
red privada e Internet a través del túnel. Esta opción envía todo el tráfico externo a través de
las políticas del dispositivo Firebox o XTM que usted crea y ofrece una seguridad constante a los
usuarios móviles. Sin embargo, debido a que requiere mayor capacidad de procesamiento en
el dispositivo Firebox o XTM, el acceso a los recursos de Internet puede ser muy lento para el
usuario móvil. Para permitir a los clientes acceder a Internet cuando esta opción está
seleccionada, consulte Opciones de acceso a Internet a través de un túnel de Mobile VPN con
SSL en la página 551.
n Desmarque la casilla de selección Forzar todo el tráfico de cliente a través del túnel para
enviar sólo la información de la red privada a través del túnel. Esta opción permite a los
usuarios una mejor velocidad de red al enrutar sólo el tráfico necesario a través del dispositivo
Firebox o XTM, pero el acceso a los recursos de Internet no está restringido por las políticas del
dispositivo Firebox o XTM. Para restringir el acceso del cliente de Mobile VPN con SSL sólo a los
dispositivos especificados en su red privada, seleccione el botón de radioEspecificar recursos
autorizados. Ingrese la dirección IP del recurso de red en notación diagonal y haga clic en
Agregar.
3. Configurar las direcciones IP que el dispositivo Firebox o XTM asigna a las conexiones de los clientes
de Mobile VPN with SSL. Las direcciones IP virtuales en este conjunto de direcciones no pueden
formar parte de una red protegida por el dispositivo Firebox o XTM, ninguna red a la que se accede
a través de una ruta o BOVPN, asignada por DHCP a un dispositivo detrás del dispositivo Firebox o
XTM, o utilizada para conjuntos de direcciones de Mobile VPN with IPSec o Mobile VPN with SSL.
Las direcciones IP virtuales en este conjunto de direcciones no pueden formar parte de una
red protegida por el dispositivo Firebox o XTM, ninguna red a la que se accede a través de
una ruta o BOVPN, asignada por DHCP a un dispositivo detrás del dispositivo Firebox o XTM, o
utilizada para conjuntos de direcciones de Mobile VPN with IPSec o Mobile VPN with PPTP.
En la lista desplegable Bridge a interfaz, seleccione el nombre de la interfaz con la que desea
conectar. En los campos Inicio y Finalización, ingrese la primera y la última dirección IP en el
rango asignado a las conexiones cliente de Mobile VPN con SSL. Las direcciones IP de Inicio y
Finalización deben encontrarse en la misma subred que la interfaz puenteada.
Nota La opción Bridge a interfaz no conecta el tráfico de VPN con SSL a ninguna
secondary network en la interfaz seleccionada.
4. Haga clic en Guardar para guardar los cambios en el dispositivo Firebox o XTM.
Después de guardar los cambios en el dispositivo Firebox o XTM, debe configurar la autenticación de
usuario para Mobile VPN with SSL antes de que los usuarios puedan descargar e instalar el software. Todo
cambio que realice se distribuye a los clientes en forma automática la próxima vez que se conectan
utilizando Mobile VPN with SSL.
Para obtener más información sobre el uso de notación diagonal, consulte Acerca de las Notación diagonal
en la página 3.
Autenticación
Método de autenticación utilizado para establecer la conexión. Las opciones son MD5, SHA, SHA-1,
SHA-256 y SHA-512.
Cifrado
Algoritmo que se utiliza para cifrar el tráfico. Las opciones son Blowfish, DES, 3DES, AES (128 bits),
AES (192 bits) o AES (256 bits). Los algoritmos se muestran en orden del de menor seguridad al de
mayor seguridad, con la excepción de Blowfish, que usa una clave de 128 bits para cifrado de alta
seguridad.
Para un rendimiento óptimo con un alto nivel de cifrado, recomendamos seleccionar autenticación
MD5 con cifrado Blowfish.
Canal de datos
El protocolo y puerto Mobile VPN with SSL se utiliza para enviar datos después de establecer una
conexión de VPN. Puede utilizar el protocolo TCP o UDP. Luego, seleccione un puerto. El protocolo
y puerto predeterminado para Mobile VPN with SSL es el puerto TCP 443. Éste es también el
protocolo y puerto estándar para tráfico HTTPS. La Mobile VPN with SSL puede compartir el puerto
443 con HTTPS.
Para más información, vea Elegir un puerto y protocolo para Mobile VPN with SSL en la página 550.
Canal de configuración
El protocolo y puerto Mobile VPN with SSL se utiliza para negociar el canal de datos y para descargar
archivos de configuración. Si configura el protocolo del canal de datos en TCP, el canal de
configuración utiliza automáticamente el mismo puerto y protocolo. Si configura el protocolo del
canal de datos en UDP, puede establecer el protocolo del canal de configuración en TCP o UDP y
puede utilizar un puerto diferente al canal de datos.
Mantener conexión
Define la frecuencia con la que el dispositivo Firebox o XTM envía tráfico a través del túnel para
mantener la actividad del túnel cuando no se envía otro tráfico a través del túnel.
Tiempo de espera
Define durante cuánto tiempo el dispositivo Firebox o XTM espera una respuesta. Si no hay
respuesta antes del valor de tiempo de espera, el túnel se cierra y el cliente debe volver a
conectarse.
Si una conexión Mobile VPN with SSL ha estado activa durante la cantidad de tiempo especificada en
el cuadro de texto Renegociar el canal de datos, el cliente de Mobile VPN con SSL debe crear un
túnel nuevo. El valor mínimo es de 60 minutos.
Puede utilizar servidores DNS y WINS para determinar las direcciones IP de recursos que están
protegidos por el dispositivo Firebox o XTM. Si desea que los clientes de Mobile VPN with SSL usen
un servidor DNS o WINS detrás del dispositivo Firebox o XTM en lugar de los servidores asignados
por la red remota a la que están conectados, ingrese el domain name y las direcciones IP de los
servidores DNS y WINS en su red. Para obtener más información sobre DNS y WINS, consulte
Determinación del nombre para Mobile VPN with SSL en la página 552.
Haga clic en la pestaña Avanzada para restablecer los valores predeterminados. Se elimina toda la
información de los servidores DNS y WINS en la pestaña Avanzada.
Los usuarios deben ser miembros del grupo Usuarios-SSLVPN para establecer una conexión de Mobile VPN
con SSL. Los usuarios no pueden conectarse si son miembros de un grupo que forma parte del grupo
Usuarios-SSLVPN. El usuario debe ser miembro directo del grupo Usuarios-SSLVPN.
Para más información, vea Configure su Firebox como servidor de autenticación en la página 223 y Acerca
de la utilización de servidores de autenticación de terceros en la página 222.
Nota Si asigna direcciones de una red de confianza a usuarios de Mobile VPN con SSL, el
tráfico desde el usuario de Mobile VPN con SSL no se considera de confianza. De
manera predeterminada, todo tráfico de Mobile VPN con SSL no es de confianza.
Independientemente de la dirección IP asignada, deben crearse políticas para
permitir el acceso de los usuarios de Mobile VPN con SSL a los recursos de red.
Permitir a los usuarios de Mobile VPN con SSL el acceso a una red de
confianza
En este ejemplo, se utiliza Fireware XTM Web UI para agregar la opción Cualquier política para otorgar
acceso a los recursos a todos los miembros del grupo Usuarios-SSLVPN en todas las redes de confianza.
Para más información acerca de políticas, vea Agregar políticas en la configuración en la página 254.
Usar otros grupos o usuarios en una política de Mobile VPN con SSL
Los usuarios deben ser miembros del grupo Usuarios-SSLVPN para establecer una conexión de Mobile VPN
con SSL. Puede usar políticas con otros grupos para restringir acceso a recursos después de que el usuario
se conecta. Puede usar Fireware XTM Web UI para seleccionar un usuario o grupo distinto de Usuarios-
SSLVPN.
Para obtener más información sobre cómo utilizar usuarios y grupos en políticas, consulte Use los usuarios y
grupos autorizados en políticas en la página 248.
Las configuraciones de red comunes que requieren el uso de TCP 443 incluyen:
Si tiene una dirección IP externa adicional que no acepta conexiones de puerto TCP 443 entrantes, puede
configurarla como dirección IP principal para Mobile VPN with SSL.
Nota El tráfico de Mobile VPN con SSL siempre se cifra utilizando SSL, aunque utilice un
puerto o protocolo diferente.
Mobile VPN with PPTP y Mobile VPN con IPSec utilizan protocolos y puertos específicos que algunas
conexiones de Internet pública bloquean. De manera predeterminada, Mobile VPN with SSL
funciona en el protocolo y puerto utilizado para el tráfico de sitio web cifrado (HTTPS) para evitar el
bloqueo. Ésta es una de las principales ventajas de SSL VPN sobre otras opciones de Mobile VPN.
Recomendamos seleccionar el puerto TCP 80 (HTTP), el puerto TCP 53 o el puerto UDP 53 (DNS)
para mantener esta ventaja.
Casi todas las conexiones de Internet admiten estos puertos. Si el sitio de acceso utiliza filtrados de
paquetes, el tráfico de SSL debería pasar. Si el sitio de acceso utiliza servidores proxy, es probable
que el tráfico de SSL sea rechazado porque no cumple con los protocolos de comunicación estándar
HTTP o DNS.
Normalmente TCP funciona al igual que UDP, pero TCP puede ser mucho más lento si la conexión ya
es lenta o poco confiable. La latencia adicional surge por la verificación de error que forma parte del
protocolo TCP. Debido a que la mayoría del tráfico que pasa a través de un túnel VPN utiliza TCP, la
suma de la verificación de error de TCP a la conexión VPN es redundante. Con conexiones lentas y
poco confiables, los tiempos de espera de la verificación de error de TCP hacen que el tráfico de
VPN se envíe cada vez con mayor lentitud. Si esto sucede en forma repetida, el usuario percibe el
rendimiento deficiente de la conexión.
UDP es una buena opción si la mayoría del tráfico generado por los clientes de MVPN con SSL se
basa en TCP. Los protocolos HTTP, HTTPS, SMTP SMTP, POP3 y Microsoft Exchange utilizan TCP de
manera predeterminada. Si la mayoría del tráfico generado por los clientes de Mobile VPN con SSL
es UDP, recomendamos seleccionar TCP para el protocolo MVPN con SSL.
tráfico va directamente a Internet y a la red a la que está conectada el usuario SSL VPN remoto. Esta opción
puede afectar su seguridad porque cualquier tráfico enviado a Internet o a la red cliente remota no está
cifrado ni sujeto a las políticas configuradas en Firebox.
La política de proxy HTTP prevalece sobre la política Cualquiera. Puede dejar que la política Cualquiera
administre el tráfico que no sea HTTP o puede seguir estos mismos pasos con otra política para administrar
el tráfico desde los clientes SSL.
Para obtener más información sobre cómo configurar una política de proxy HTTP, consulte Página Acerca
de Proxy HTTP en la página 292.
Un servidor WINS mantiene una base de datos de determinación de nombres NetBIOS para la red
local. DNS funciona de un modo similar. Si el dominio utiliza sólo el Active Directory , debe usar DNS
para la determinación de nombres.
Archivo LMHOSTS
Un archivo LMHOSTS es un archivo creado en forma manual que se instala en todas las
computadoras que tienen instalado Mobile VPN with SSL. El archivo contiene una lista de nombres
de recursos y sus direcciones IP asociadas.
Si aún no tiene un servidor WINS, el archivo LMHOSTS es una forma rápida de proporcionar la
determinación de nombres a clientes de Mobile VPN con SSL. Lamentablemente es un archivo estático y
debe editarlo en forma manual cada vez que se produzca un cambio. Además, los pares nombre de
recurso/dirección IP en el archivo LMHOSTS se aplican a todas las conexiones de red, no sólo a la conexión
de Mobile VPN con SSL.
ConfigurarunarchivoLMHOSTS paraproporcionardeterminaciónde
nombre
Cuando usa un archivo LMHOSTS para obtener determinación de nombres para sus clientes MUVPN, no se
requieren cambios en Firebox ni en el software cliente MUVPN. A continuación se muestran instrucciones
básicas para ayudarle a crear un archivo LMHOSTS. Para obtener más información sobre archivos LMHOSTS,
consulte http://support.microsoft.com/kb/q150800/.
n Microsoft Windows 7
n Microsoft Windows Vista
n Microsoft Windows XP
n Mac OS X 10.5 (Leopard)
Si la computadora cliente tiene Windows Vista o Windows XP, debe ingresar con una cuenta que tenga
derechos de administrador para instalar el software cliente de Mobile VPN con SSL. No se requieren
derechos de administrador para conectarse después de que el cliente de SSL ha sido instalado y
configurado. En Windows XP Professional, el usuario debe ser miembro del grupo Operadores de
configuración de red para ejecutar el cliente de SSL.
Si la computadora cliente tiene Mac OS X, no se requieren derechos de administrador para instalar o utilizar
el cliente de SSL.
3. Haga clic en el botón Descargar en el instalador que desea utilizar. Las opciones disponibles son dos:
Windows (WG-MVPN-SSL.exe) y Mac OS X (WG-MVPN-SSL.dmg).
4. Guarde el archivo en su escritorio u otra carpeta que desee.
Nota También puede conectarse a Firebox en el puerto 4100 para descargar el software
cliente de VPN SSL.
Para Mac OS X:
Después de descargar e instalar el software cliente, el software cliente de Mobile VPN automáticamente se
conecta al dispositivo WatchGuard. Cada vez que se conecta al dispositivo WatchGuard, el software cliente
verifica las actualizaciones de configuración.
1. Utilice uno de los tres métodos siguientes para iniciar el software cliente:
o En el Menú Inicio, seleccione Todos los programas > WatchGuard > Cliente de Mobile VPN
con SSL > Cliente de Mobile VPN con SSL.
o Haga doble clic en el ícono de Mobile VPN con SSL en su escritorio.
o Haga clic en el ícono de Mobile VPN con SSL en la barra de herramientas del inicio rápido.
2. Ingrese la información del dispositivo WatchGuard al que desea conectarse y el nombre de usuario y
contraseña del usuario.
Para Mac OS X:
1. Abra una ventana del Buscador. Ingrese en Aplicaciones > WatchGuard y haga doble clic en la
aplicación Mobile VPN with SSL WatchGuard.
Aparece el ícono de Mobile VPN con SSL WatchGuard en la barra de menú.
2. Haga clic en el ícono en la barra de menú y seleccione Conectar.
3. Ingrese la información del dispositivo WatchGuard al que desea conectarse y el nombre de usuario y
contraseña del usuario.
El usuario cliente de SSL debe ingresar sus credenciales de inicio de sesión. Mobile VPN with SSL no es
compatible con ningún servicio de Single Sign-On (SSO). Si la conexión entre el cliente SSL y el dispositivo
WatchGuard se pierde momentáneamente, el cliente SSL intenta restablecer la conexión.
Para ver la lista de controles del cliente, haga clic con el botón derecho en el ícono de Mobile VPN con SSL
en la bandeja del sistema (Windows) o haga clic en el ícono de Mobile VPN con SSL en la barra de menú
(Mac OS X). Puede seleccionar las siguientes acciones:
Conectar/Desconectar
Ver registros
Propiedades
Windows: Seleccione Iniciar programa en el inicio para iniciar al cliente cuando se inicia Windows.
Ingrese un número de Nivel de registro para cambiar el nivel de detalle incluido en los registros.
Mac OS X: Muestra información detallada sobre la conexión SSL VPN. También puede establecer el
nivel de registro.
Acerca de las
Se abre el cuadro de diálogo de Mobile VPN WatchGuard con información acerca del software
cliente.
Para obtener el archivo de configuración de Mobile VPN con SSL , debe instalar el WatchGuard System
Manager. Luego puede usar el Firebox System Manager para obtener el archivo. Para obtener más
información, consulte el capítulo Mobile VPN para SSL en la Ayuda o Guía del usuario del WatchGuard
System Manager.
6. Haga doble clic en sslvpn-client.wgssl para configurar el software cliente de Mobile VPN con SSL.
Para Mac OS X:
Mac OS X
1. En una ventana del Buscador, ingrese en la carpeta Aplicaciones > WatchGuard.
2. Haga doble clic en la aplicación Desinstalar WG SSL VPN para iniciar el programa de desinstalación.
Se inicia el programa para desinstalar el cliente de Mobile VPN con SSL.
3. Haga clic en OK en el cuadro de diálogo Advertencia.
4. Haga clic en OK en el cuadro de diálogo Listo.
5. En una ventana del Buscador, ingrese en la carpeta Aplicaciones.
6. Arrastre la carpeta WatchGuard a la Papelera de reciclaje.
WebBlocker utiliza una base de datos de direcciones de sitios web controlada por SurfControl, una
compañía líder en filtros web. Cuando un usuario de su red intenta conectarse a un sitio web, el dispositivo
WatchGuard examina la base de datos de WebBlocker. Si el sitio web no está en la base de datos y no está
bloqueado, la página se abre. Si el sitio web está en la base de datos de WebBlocker y está bloqueado,
aparece una notificación y el sitio web no se muestra.
WebBlocker funciona con servidores proxy HTTP y HTTPS para filtrar la navegación web. Si no configuró un
proxy HTTP o HTTPS, el proxy se configura y activa de manera automática cuando activa WebBlocker.
El WebBlocker Server alberga la base de datos de WebBlocker que el dispositivo WatchGuard utiliza para
filtrar el contenido web. Si utiliza WebBlocker en un dispositivo WatchGuard cualquiera distinto de Edge,
primero debe configurar un WebBlocker Server local en su estación de administración. Por defecto,
WebBlocker en Edge utiliza un WebBlocker Server albergado y mantenido por WatchGuard.
El WebBlocker Server se instala como parte de la instalación de WatchGuard System Manager. Para
aprender a configurar un WebBlocker Server, consulte la ayuda de WatchGuard System Manager en
http://www.watchguard.com/help/docs/fireware/11/es-ES/index.html.
Para configurar WebBlocker en el dispositivo WatchGuard, debe tener una license key de WebBlocker y
registrarla en el sitio web de LiveSecurity. Después de registrar la License Key, LiveSecurity le otorgará una
tecla de función.
Para obtener más información acerca de las teclas de función, consulte Acerca de las teclas de función en la
página 51.
Para utilizar WebBlocker en un Firebox Core o Peak, o en un dispositivo WatchGuard XTM, primero debe
configurar un WebBlocker Server en su red local. Para utilizar WebBlocker en un Firebox X Edge, no es
necesario que configure un servidor local de WebBlocker. De manera predeterminada, WebBlocker en
Firebox X Edge se conecta con un WebBlocker Server mantenido por WatchGuard.
Para instalar su WebBlocker Server propio, debe descargar e instalar el software WatchGuard System
Manager.
Para aprender a configurar un servidor local de WebBlocker, consulte la ayuda de WatchGuard System
Manager en http://www.watchguard.com/help/docs/wsm/11/es-ES/index.html.
Después de instalar un WebBlocker Server en una computadora de su red local, debe cambiar sus perfiles
de WebBlocker para utilizar su Servidor local de WebBlocker.
Para obtener instrucciones para cambiar sus perfiles de WebBlocker, consulte Activación de WebBlocker en
la página 562.
Activación de WebBlocker
Para utilizar WebBlocker, debe definir las acciones de WebBlocker por lo menos para un perfil de
WebBlocker, que especifica el WebBlocker Server a utilizar y las categorías de contenido a bloquear. Luego,
puede aplicar el perfil de WebBlocker a una política de proxy HTTP o HTTP.
Cuando un usuario intenta visitar un sitio web, Firebox le envía una solicitud al WebBlocker Server para
averiguar si el usuario puede acceder a ese sitio web sobre la base de la categoría del sitio. El resultado de
esta solicitud se guarda en una memoria caché. Puede cambiar el tamaño de esta memoria caché para
mejorar el rendimiento.
Antes de empezar
En el caso de todos los dispositivos WatchGuard a excepción de Firebox X Edge, debe instalar un servidor
WebBlocker local antes de poder configurar WebBlocker en Firebox.
Para más informaciones, vea Configurar un WebBlocker Server local en la página 562.
Ingrese la cantidad de segundos para intentar conectarse con el WebBlocker Server antes de
que se agote el tiempo de espera del dispositivo WatchGuard.
El tráfico está
Para permitir que el usuario vea el sitio web si el dispositivo WatchGuard no puede conectarse
con el WebBlocker Server, seleccione Permitido.
Para bloquear el sitio web para el usuario si el dispositivo WatchGuard no puede conectarse
con el WebBlocker Server, seleccione Negado.
Para enviar un mensaje al archivo de registro cuando WebBlocker niega el acceso a un sitio
porque el dispositivo WatchGuard no puede conectarse con el WebBlocker Server, marque la
casilla de verificación Registrar sitios negados.
5. Para controlar si los usuarios de su red pueden acceder a los sitios web si WebBlocker está activado
pero expira la suscripción de seguridad de WebBlocker, en la lista desplegable Cuando la licencia de
WebBlocker expira, el acceso a todos los sitios está, seleccione una de estas opciones:
Negado
Seleccione esta opción para bloquear el acceso a todos los sitios web cuando la licencia del
WebBlocker expira.
Permitido
Seleccione esta opción para permitir el acceso a todos los sitios web cuando la licencia del
WebBlocker expira.
Por defecto, la derivación de licencia está configurada para bloquear el acceso a todos los sitios web
si la suscripción de seguridad de WebBlocker expiró. Ésta es la opción más segura si debe bloquear a
sus usuarios de tipos de contenido específicos.
Para obtener información acerca de cómo renovar su suscripción de seguridad, consulte Renovar
suscripciones de seguridad en la página 575.
6. Para mejorar el rendimiento de WebBlocker, aumente el valor del Tamaño de caché.
7. En la sección Servidores WebBlocker, configure un WebBlocker Server.
Puede agregar un segundo WebBlocker Server para utilizarlo como servidor de respaldo si Firebox
no puede conectarse con el servidor principal. Siga los mismos pasos para agregar un WebBlocker
Server de respaldo. El primer servidor de la lista es el servidor principal.
n Para desplazar un servidor hacia arriba o hacia abajo en la lista, haga clic en la dirección IP del
servidor y luego en Mover hacia arriba o en Mover hacia abajo.
n Para eliminar un servidor de la lista, selecciónelo y haga clic en Eliminar.
Para permitir que los usuarios eludan WebBlocker si tienen la frase de contraseña correcta:
1. En la sección Anulación local, marque la casilla de verificación Utilizar esta frase de contraseña y el
tiempo de espera de inactividad para permitir la anulación local de WebBlocker.
2. En el cuadro de texto Frase de contraseña, ingrese la frase de contraseña.
3. En el cuadro de texto Confirmar, vuelva a ingresar la misma contraseña.
4. (Opcional) Cambie el valor del Tiempo de espera de inactividad.
2. Marque las casillas de verificación adyacentes a las categorías de sitios web que desea bloquear en
este perfil de WebBlocker.
Para obtener más información acerca de las categorías de WebBlocker, consulte Acerca de las
Categorías de WebBlocker en la página 569.
3. Para crear un mensaje de registro cuando se niega un sitio web sobre la base de una categoría que
decidió bloquear, marque la casilla de verificación Registrar esta acción.
4. Haga clic en Guardar.
La política de WebBlocker se agrega a la lista.
En la página de WebBlocker:
1. En la sección Acciones de WebBlocker, en la lista Acciones HTTP y HTTPS, junto a cada acción de
proxy, haga clic en la lista desplegable y seleccione un perfil de WebBlocker.
Para obtener más información acerca de cómo agregar excepciones de WebBlocker, consulte Agregar
WebBlocker Excepciones en la página 573.
Cuando un usuario intenta dirigirse a un sitio bloqueado por la política de WebBlocker, si está activada la
anulación local, el usuario ve un deny message en el navegador.
Para obtener acceso al sitio solicitado, el usuario debe ingresar el destino de anulación y la contraseña de
anulación.
1. En el cuadro de texto Destino de anulación, ingrese la URL a la cual desea permitir el acceso. Por
defecto, el destino de anulación se configura como la URL que se bloqueó. Puede utilizar comodines
en el destino de anulación para otorgar acceso a más de un sitio o a más páginas de un mismo sitio.
Ejemplos de destinos de anulación que utilizan comodines:
*.amazon.com
permite acceder a todos los domain names que terminan con amazon.com, como images-
amazon.com
www.amazon.com/books-used-books-textbooks/*
Después de que el usuario ingresa la contraseña de anulación correcta, Firebox le permite acceder al
destino de anulación hasta que un usuario autenticado cierre sesión o hasta que no haya tráfico a un sitio
con coincidencia durante la cantidad de tiempo especificada en el tiempo de espera de inactividad de
anulación local de WebBlocker. La anulación local se activa y el tiempo de espera de inactividad de la
anulación local se configura en el perfil de WebBlocker..
Para obtener más información acerca de cómo configurar la anulación local de WebBlocker, consulte
Activación de WebBlocker en la página 562.
Un sitio web se agrega a una categoría cuando los contenidos del sitio web coinciden con el criterio
correcto. Los sitios web que ofrecen opiniones o material educativo acerca del tema de la categoría no
están incluidos. Por ejemplo, la categoría Drogas ilegales niega los sitios que indican cómo utilizar la
marihuana. No niegan los sitios que contienen información acerca del consumo histórico de marihuana.
SurfControl periódicamente agrega nuevas categorías de sitios web. Las nuevas categorías no aparecen en
la página de configuración de WebBlocker hasta que WatchGuard actualiza el software para agregar las
nuevas categorías.
Para bloquear los sitios que cumplen con los criterios para una nueva categoría de SurfControl que todavía
no forma parte de una actualización del software de WebBlocker, seleccione la categoría Otro.
Para bloquear los sitios que no cumplen con los criterios para ninguna otra categoría, seleccione la
categoría Sin categorizar.
Las excepciones de WebBlocker se aplican solamente al tráfico HTTP. Si niega un sitio con WebBlocker, el
sitio no se agrega automáticamente a la lista de Sitios bloqueados.
Para agregar excepciones de WebBlocker, consulte Agregar WebBlocker Excepciones en la página 573.
También puede elegir no utilizar las categorías en absoluto y en cambio, utilizar reglas de excepción sólo para
restringir el acceso a sitios web. Para hacer esto, haga clic en el botón de radio Negar acceso al sitio web.
Para bloquear las URL que contengan la palabra “sexo” en la ruta, puede ingresar “*/*sexo*”. Para
bloquear las URL que contengan la palabra “sexo” en la ruta o en el nombre de host, ingrese “*sexo*”.
Puede bloquear los puertos de una URL. Por ejemplo, observe la URL
http://www.hackerz.com/warez/index.html:8080. Esta URL hace que el navegador utilice el protocolo
HTTP en el puerto TCP 8080 en lugar del método predeterminado que utiliza el puerto TCP 80. Puede
bloquear el puerto al generar la coincidencia *8080.
1. Desde la Fireware XTM Web UI, seleccione Servicios de suscripción > WebBlocker.
Aparece la página de WebBlocker.
2. En la sección Perfiles de WebBlocker, junto a la política de WebBlocker, haga clic en Configurar.
Aparecerá la configuración de la política de WebBlocker.
4. En el cuadro de texto debajo de la lista Sitios permitidos, ingrese la URL exacta o el patrón de URL
de un sitio al cual desee permitir el acceso siempre. Haga clic en Agregar para agregarlo a la lista de
excepciones de Sitios permitidos.
5. En el cuadro de texto debajo de la lista Sitios negados, ingrese la URL exacta o el patrón de URL de
un sitio al cual desee negar el acceso siempre. Haga clic en Agregar para agregarlo a la lista de Sitios
negados.
Nota Cuando ingrese una excepción de URL, no incluya “http://” al comienzo. Puede
utilizar el símbolo comodín, *, para buscar coincidencia de cualquier carácter. Por
ejemplo, la excepción www.algunsitio.com/* generará coincidencias de todas las
rutas de URL en el sitio web www.algunsitio.com. Puede utilizar más de un
comodín en una excepción de URL.
6. En la sección Usar lista de categoría, puede configurar la acción que desea realizar si la URL no
coincide con las excepciones que configura. La configuración predeterminada es que el botón de
radio Use la lista de categoría de WebBlocker para determinar accesibilidad esté seleccionado y
WebBlocker compare los sitios contra las categorías seleccionadas en la pestaña Categorías para
determinar la accesibilidad.
También puede elegir no utilizar las categorías en absoluto y en cambio, utilizar reglas de excepción
sólo para restringir el acceso a sitios web. Para hacer esto, haga clic en el botón de radio Negar
acceso al sitio web.
7. Haga clic en Guardar.
Para ver la fecha de vencimiento de sus servicios de suscripción, en la Web UI de Fireware XTM, seleccione
Sistema > Tecla de función. La columna Vencimiento muestra la fecha de vencimiento de la suscripción.
Cuando renueva la suscripción de seguridad, debe actualizar la tecla de función del dispositivo WatchGuard.
Para actualizar la tecla de función, desde la Web UI de Fireware XTM, seleccione Sistema > Tecla de
función.
Para obtener más información acerca de las teclas de función, consulte Acerca de las teclas de función en la
página 51.
Los filtros de correo comerciales utilizan muchos métodos para detectar el spam. Las listas negras guardan
una lista de dominios que son utilizados por fuentes de spam conocidas y son relés abiertos para el spam.
Los filtros de contenido buscan palabras clave en el encabezado y en el cuerpo del mensaje de correo
electrónico. La detección de URL compara una lista de dominios utilizados por fuentes de spam conocidas
con el enlace publicitado en el cuerpo del mensaje de correo electrónico. No obstante, todos estos
procedimientos escanean cada mensaje de correo electrónico individual. Los atacantes pueden evitar
fácilmente esos algoritmos fijos. Pueden enmascarar la dirección del emisor para evitar una lista negra,
cambiar las palabras clave, integrar palabras en una imagen o utilizar múltiples idiomas. También pueden
crear una cadena de servidores proxy para camuflar la URL publicitada.
spamBlocker además proporciona una función opcional de Virus Outbreak Detection. Para más
informaciones, vea Active y configure los parámetros de la Virus Outbreak Detection (VOD) en la página 601.
Para ver las estadísticas de la actividad actual de spamBlocker, seleccione Panel de instrumentos > Servicios
de suscripción.
n Una tecla de función de spamBlocker: para obtener una tecla de función, comuníquese con su
revendedor de WatchGuard o diríjase al sitio web de WatchGuard LiveSecurity en:
http://www.watchguard.com/store
n Un servidor de correo electrónico POP3 o SMTP: spamBlocker trabaja con los servidores proxy
SMTP entrantes y POP3 de WatchGuard para escanear su correo electrónico. Si no configuró el
proxy POP3 o SMTP, estos se activarán cuando configure el servicio de spamBlocker. Si tiene más de
una política de proxy para POP3 o para SMTP, spamBlocker trabajará con todas.
n El DNS debe estar configurado en su Firebox: en la Fireware XTM Web UI, seleccione Red >
Interfaces. En la lista Servidores DNS, agregue las direcciones IP de los servidores DNS que su
dispositivo WatchGuard utiliza para resolver los nombres de host.
n Una conexión a Internet disponible
Permitir
Permitir que el mensaje de correo electrónico pase por Firebox pero insertar texto en la línea de
asunto del mensaje de correo electrónico para marcarlo como spam o posible spam. Puede
mantener las etiquetas predeterminadas o personalizarlas, como se describe en la sección de
etiquetas de spamBlocker a continuación. También puede crear reglas en su lector de correo
electrónico para clasificar el spam de manera automática, como se describe en Cree reglas para su
lector de correo electrónico en la página 602.
Enviar el mensaje de correo electrónico al Quarantine Server. Tenga en cuenta que la opción Poner
en cuarentena está admitida sólo si utiliza spamBlocker con el proxy SMTP. El proxy POP3 no admite
esta opción.
Evita que el mensaje de correo electrónico sea entregado al servidor de correo. Firebox envía este
mensaje SMTP 571 al servidor de correo electrónico enviante: Entrega no autorizada, mensaje
rechazado. La opción Negar se admite sólo si utiliza spamBlocker con el proxy SMTP. El proxy POP3
no admite esta opción.
Etiquetas de spamBlocker
Si selecciona la acción de spamBlocker para agregar una etiqueta a determinados mensajes de correo
electrónico, Firebox agrega una cadena de texto a la línea de asunto del mensaje. Puede utilizar las
etiquetas predeterminadas provistas o crear etiquetas personalizadas. La longitud máxima de la etiqueta es
de 30 caracteres.
Este ejemplo muestra la línea de sujeto de un mensaje de correo electrónico confirmado como spam. La
etiqueta que se agregó fue la predeterminada: ***SPAM***.
Asunto: ***SPAM*** Cotización gratuita de seguro automotor
La categoría Spam confirmado incluye los mensajes de correo electrónico que vienen de emisores de
spam conocidos. Si utiliza spamBlocker con el proxy SMTP, le recomendamos que utilice la acción Negar
para este tipo de correo electrónico. Si utiliza spamBlocker con el proxy POP3, le recomendamos que
utilice la acción Agregar etiqueta de asunto para este tipo de correo electrónico.
La categoría Masivo incluye a los mensajes de correo electrónico que no provienen de emisores conocidos
pero que coinciden con algunos patrones de estructura de spam conocidos. Le recomendamos que utilice
la acción Agregar etiqueta de asunto para este tipo de correo electrónico, o bien, la acción Poner en
cuarentena si utiliza spamBlocker con el proxy SMTP.
La categoría Sospechoso incluye a los mensajes de correo electrónico que parecen poder asociarse con un
nuevo ataque de spam. Con frecuencia, estos mensajes son mensajes de correo electrónico legítimos. Le
recomendamos que considere los mensajes de correo electrónico sospechosos como un falso positivo y en
consecuencia, no como spam, a menos que haya verificado que no se trata de un falso positivo para su red.
También le recomendamos que utilice la acción Permitir para el correo electrónico sospechoso, o bien, la
acción Poner en cuarentena si utiliza spamBlocker con el proxy SMTP.
Para encontrar la calificación de spam de un mensaje, abra el encabezado completo del mensaje de correo
electrónico.
Si tiene Microsoft Outlook, abra el mensaje, seleccione Ver > Opciones y busque en el cuadro de diálogo
Encabezados de Internet.
La calificación de spam aparece en esta línea:
X-WatchGuard-Spam_Score:
Por ejemplo:
X-WatchGuard-Spam-Score: 3, masivo; 0, sin virus
El primer número en esta línea es la categoría de spam. Este número tiene uno de estos valores:
0 - limpio
1 - limpio
2 - sospechoso
3 - masivo
4 - spam
0 - sin virus
1 - sin virus
2 - posible amenaza de virus
3 - alta amenaza de virus
Configurado spamBlocker
Para configurar spamBlocker para un proxy SMTP o POP3:
n Si configura esta opción como Negado para el proxy POP3 o SMTP, esto causará un conflicto
con Microsoft Outlook. Cuando Outlook inicia una conexión con el servidor de correo
electrónico, spamBlocker intenta comunicarse con el servidor de spamBlocker. Si el servidor
de spamBlocker no está disponible, spamBlocker detiene la descarga de correos electrónicos.
Cuando esto ocurre, comienza un ciclo. Outlook intenta descargar los correos electrónicos y
spamBlocker detiene la descarga. Esto continúa hasta que el dispositivo WatchGuard logra
conectarse al servidor de spamBlocker, se abandona la solicitud porque se vencen los tiempos
de proxy o usted cancela la solicitud.
Nota Si tiene algún firewall perimetral entre el dispositivo WatchGuard que utiliza
spamBlocker e Internet, éste no debe bloquear el tráfico HTTP. El protocolo HTTP se
utiliza para enviar solicitudes desde el dispositivo WatchGuard hasta el servidor de
spamBlocker.
Después de activar spamBlocker para una acción o política de proxy, puede definir la configuración global
de spamBlocker. Estos ajustes se aplican a todas las configuraciones de spamBlocker. Haga clic en
Configuración para ver o modificar la configuración global de spamBlocker. Para más informaciones, vea
Configure los parámetros globales de spamBlocker en la página 597.
Asegúrese de utilizar la dirección real del emisor, que figura en el campo “Correo de” en el encabezado del
mensaje de correo electrónico, que posiblemente no coincida con la dirección del campo “De:” que ve en
la parte superior del mensaje de correo electrónico. Para obtener la dirección real para la excepción,
busque el encabezado completo del mensaje de correo electrónico (desde Microsoft Outlook, con el
mensaje abierto, seleccione Ver > Opciones y busque en el cuadro Encabezados de Internet). Las
direcciones del emisor y el destinatario están en estas líneas:
X-WatchGuard-Mail-From:
X-WatchGuard-Mail-Recipients:
Tenga cuidado cuando agrega comodines a una excepción. Los emisores de spam pueden replicar la
información del encabezado. Cuanto más específicas sean las direcciones de su lista de excepciones, más
difícil será replicarlas.
Para agregar una regla de excepción, consulte Agregar spamBlocker reglas de excepciones en la página 589.
Para cambiar el orden de las reglas enumeradas en el cuadro de diálogo, consulte Cambiar el orden de las
Excepciones en la página 591.
3. Desde la lista desplegable Acción, seleccione una acción de la regla: Permitir, Agregar etiqueta de
asunto, Poner en cuarentena, Negar o Abandonar. (Recuerde que el proxy POP3 sólo admite las
acciones Permitir y Agregar etiqueta de asunto en spamBlocker).
Las excepciones se procesan en el mismo orden en que aparecen en la lista. De ser necesario, haga clic en
los botones Arriba y Abajo para Cambiar el orden de las Excepciones.
Para cambiar el orden de las reglas, seleccione la regla cuyo orden desea cambiar. Haga clic en el botón
Arriba o Abajo para desplazar la regla seleccionada hacia arriba o abajo de la lista.
4. Desde la lista desplegable Cuando se detecta un virus, seleccione la acción que debe realizar el
dispositivo WatchGuard si VOD detecta un virus en un mensaje de correo electrónico.
5. Desde la lista desplegable Cuando ocurre un error de escaneo, seleccione la acción que debe
realizar el dispositivo WatchGuard cuando VOD no puede escanear un mensaje de correo
electrónico o un adjunto.
Los adjuntos que no se pueden escanear incluyen mensajes codificados de BinHex, determinados
El proxy SMTP admite las acciones Permitir, Bloquear, Eliminar, Poner en cuarentena, Abandonar y
Bloquear. El proxy POP3 sólo admite las acciones Permitir, Bloquear y Eliminar.
Para obtener más información acerca de estas acciones, consulte Acciones, etiquetas y categorías de
spamBlocker en la página 581.
2. Cuando configura las acciones que spamBlocker aplicará a las diferentes categorías de correo
electrónico (como se describe en Configurado spamBlocker en la página 583), asegúrese de
seleccionar la acción Poner en cuarentena por lo menos para una de las categorías.
También puede seleccionar la acción Poner en cuarentena para los mensajes de correo electrónico
identificados por Virus Outbreak Detection como portadores de virus. Para más informaciones, vea
Configurar acciones de Virus Outbreak Detection para una política en la página 593.
Si desea utilizar más de una política de proxy con spamBlocker, su red debe utilizar una de estas
configuraciones:
Para mejorar la precisión de la calificación del spam, puede ingresar uno o más nombres de host o domain
names de servidores de correo electrónico en los cuales confíe para que reenvíen el correo electrónico a
su servidor de correo electrónico. Si utiliza un servidor SMTP, ingrese uno o más nombres de host o domain
names de los servidores de correo electrónico SMTP en los cuales confíe para que reenvíen los mensajes a
su servidor de correo electrónico. Si utiliza un servidor POP3, ingrese los domain names de proveedores
POP3 conocidos o comúnmente utilizados en los cuales confía para descargar sus mensajes por medio de
ellos.
3. (Opcional) Repita el paso 2 para agregar más reenviadores de correo electrónico de confianza.
4. Haga clic en Guardar.
VOD utiliza el valor mayor de los tamaños de archivo máximos configurados para la VOD o el spamBlocker.
Si el valor global para spamBlocker del campo Tamaño máximo de archivo para escanear configurado en ,
pestaña Configuración es mayor que el valor de Tamaño máximo de archivo VOD para escanear, VOD
utilizará el valor global para spamBlocker. Para obtener información acerca de la configuración global de
spamBlocker, consulte Configure los parámetros globales de spamBlocker en la página 597.
En las definiciones de proxy para spamBlocker, puede configurar las acciones que desea que spamBlocker
realice cuando encuentre un virus, como se describe en Configurar acciones de Virus Outbreak Detection
para una política en la página 593.
Para obtener información acerca de cómo configurar el tamaño máximo del archivo a escanear mediante
spamBlocker y la VOD, consulte Configure los parámetros globales de spamBlocker en la página 597 y
Active y configure los parámetros de la Virus Outbreak Detection (VOD) en la página 601
Como puede utilizar una etiqueta diferente para cada categoría de spamBlocker, puede configurar una
regla diferente para cada categoría. Por ejemplo, puede configurar una regla para trasladar todos los
mensajes de correo electrónico que contengan la etiqueta ***MASIVO*** en la línea de asunto a una
subcarpeta para correos masivos en su bandeja de entrada. Puede configurar otra regla que elimine todos
los mensajes de correo electrónico que contengan la etiqueta ***SPAM*** en la línea de asunto.
Para obtener instrucciones acerca de cómo configurar el cliente de correo electrónico Microsoft Outlook,
consulte Enviar correos electrónicos spam o masivos a carpetas especiales en Outlook en la página 603.
Para obtener información acerca de cómo utilizar este procedimiento en otros tipos de clientes de correo
electrónico, consulte la documentación del usuario de esos productos.
Antes de comenzar, asegúrese de configurar spamBlocker para agregar una etiqueta a los correos
electrónicos spam y masivos. Puede utilizar las etiquetas predeterminadas o crear etiquetas personalizadas.
Los siguientes pasos describen cómo crear carpetas con las etiquetas predeterminadas.
Repita estos pasos para crear una regla para el correo electrónico masivo, utilizando la etiqueta correo
electrónico masivo. Puede enviar el correo electrónico masivo a la misma carpeta o crear una carpeta
independiente para el correo electrónico masivo.
Nota No envíe un informe acerca de un falso positivo cuando el correo electrónico fue
asignado a la categoría Sospechoso. Como ésta no es una categoría permanente,
Commtouch no investiga los informes de error de spam sospechoso.
Debe tener acceso al mensaje de correo electrónico para enviar un informe de falso positivo o falso
negativo a Commtouch. También debe conocer la categoría (Spam confirmado, Masivo) en la cual
spamBlocker colocó el mensaje de correo electrónico. Si no conoce la categoría, consulte la sección
"Buscar la categoría a la cual está asignado un mensaje" a continuación.
Si tiene muchos mensajes acerca de los cuales desea informar a Commtouch, puede incluirlos a todos en
un archivo Zip. No coloque el archivo Zip dentro de un archivo Zip. El archivo Zip sólo se puede comprimir
un nivel para que Commtouch pueda analizarlo de manera automática.
Para ver los encabezados de los correos electrónicos si utiliza Microsoft Outlook:
Para ver los encabezados de los correos electrónicos si utiliza Microsoft Outlook Express:
1. Abra el mensaje de correo electrónico en una ventana nueva o resáltelo en Outlook Express.
2. Si abre el correo electrónico en una ventana independiente, seleccione Archivo > Propiedades.
Si destaca el correo electrónico en Outlook Express, haga clic derecho sobre éste y seleccione
Propiedades.
3. Haga clic en la pestaña Detalles para ver los encabezados.
Para ver los encabezados de los correos electrónicos si utiliza Mozilla Thunderbird:
La RED de WatchGuard utiliza un servidor de reputación de WatchGuard basado en nube que asigna una
calificación de reputación entre 1 y 100 a cada URL. Cuando un usuario se dirige a un sitio web, la RED envía
la dirección web (o URL) solicitada al servidor de reputación de WatchGuard. El servidor de WatchGuard
responde con una calificación de reputación para esa URL. Sobre la base de la calificación de reputación y
de los umbrales configurados localmente, la RED determina si el dispositivo XTM debe eliminar el tráfico,
permitir el tráfico y escanearlo de manera local o permitirlo sin un escaneo local. Esto aumenta el
rendimiento, porque el Gateway AntiVirus no necesita escanear las URL que tienen una reputación buena o
mala reconocida.
Umbrales de reputación
Puede configurar dos umbrales de calificación de reputación:
n Umbral de reputación mala — Si la calificación de una URL supera el umbral de reputación Mala, el
proxy HTTP niega el acceso sin inspeccionar nada más.
n Umbral de reputación buena — Si la calificación de una URL es inferior al umbral de reputación
Buena y el Gateway AntiVirus está activado, el proxy HTTP deriva el escaneo del Gateway Antivirus.
Si la calificación de una URL es igual o se encuentra entre los umbrales de reputación configurados y el
Gateway Antivirus está activado, el contenido es escaneado en busca de virus.
Calificaciones de reputación
La calificación de reputación de una URL se basa en los comentarios recolectados de dispositivos de todo el
mundo. Incorpora los resultados de escaneo de dos motores contra el malware principales: Kaspersky y
AVG. La Defensa de reputación activada utiliza la inteligencia colectiva de la nube para mantener la
seguridad de la navegación por Internet y optimizar el rendimiento en la puerta de enlace.
Una calificación de reputación más cercana a 100 indica que es bastante probable que la URL contenga una
amenaza. Una calificación de reputación más cercana a 1 indica que es mucho menos probable que la URL
contenga una amenaza. Si el servidor de la RED no tiene una calificación previa para una dirección web
determinada, le asignará una calificación neutral de 50. La calificación de reputación cambia desde la
calificación predeterminada de 50 sobre la base de una cantidad de factores.
Estos factores pueden hacer que la calificación de reputación de una URL aumente, o se desplace hacia el 100:
Estos factores pueden hacer que la calificación de reputación de una URL disminuya, o se desplace hacia el 1:
Las calificaciones de reputación pueden cambiar con el paso del tiempo. Para un mejor rendimiento, el
dispositivo XTM almacena las calificaciones de reputación de las direcciones web a las que se accedió
recientemente en una caché local.
Le recomendamos que active la carga de los resultados de escaneo local a WatchGuard para mejorar la
cobertura y precisión general de la Defensa de reputación activada.
Antes de empezar
La Defensa de reputación activada es un servicio de suscripción. Antes de configurar la RED, debe Obtener
una tecla de función junto a LiveSecurity en la página 52 y Agregar una tecla de función a su Firebox en la
página 54.
2. Seleccione una acción de proxy HTTP definida por el usuario y haga clic en Configurar. No puede
configurar la Defensa de reputación activada para las acciones de proxy predefinidas.
Aparece la configuración de la Defensa de reputación activada para esa acción de proxy.
3. Marque la casilla de selección Bloquear de inmediato las URL que tengan mala reputación para
bloquear el acceso a los sitios con calificaciones superiores al umbral de reputación Mala
configurado.
4. Marque la casilla de selección Derivar cualquier escaneo de virus configurado para las URL que
tengan buena reputación para hacer que el Gateway AntiVirus ignore los sitios que tengan una
calificación inferior al umbral de reputación Buena configurado.
5. Si desea activar una alarma para la acción, marque la casilla de selección Alarma para esa acción de
la RED. Si no desea utilizar la alarma, desmarque la casilla de selección Alarma para esa acción.
6. Si desea guardar los mensajes de registro de la acción, marque la casilla de selección Registro para
esa acción de la RED. Si no desea guardar los mensajes de registro para una respuesta de la RED,
limpie la casilla de selección Registro para esa acción.
Para ver o cambiar la configuración de comentarios, seleccione Servicios de suscripción > Defensa de
reputación activada.
La casilla de selección Enviar resultados de escaneo cifrados a los servidores de WatchGuard para
mejorar la cobertura y precisión general controla el hecho de si el dispositivo XTM envía los resultados de
escaneo del Gateway AntiVirus a los servidores de WatchGuard. Esta casilla de selección se marca de forma
predeterminada cuando configura la Defensa de reputación activada.
n Marque esta casilla de selección para enviar los resultados de escaneo del Gateway AntiVirus a
WatchGuard.
n Limpie esta casilla de selección si no desea enviar los resultados de escaneo del Gateway AntiVirus.
Le recomendamos que permita que el dispositivo XTM envíe los resultados de escaneo del antivirus a
WatchGuard. Esto puede ayudar a mejorar el rendimiento, porque los resultados de escaneo ayudan a
mejorar la precisión de las calificaciones de reputación. Todo comentario enviado al servicio de Defensa de
reputación activada de WatchGuard será cifrado.
Los virus, incluidos los gusanos y los troyanos, son programas de computadora maliciosos que se
autorreplican y colocan copias de sí mismos en otros códigos ejecutables o documentos de su
computadora. Cuando una computadora está infectada, el virus puede destruir archivos o registrar
pulsaciones.
Las intrusiones son ataques directos a su computadora. Por lo general, el ataque explota una vulnerabilidad
en una aplicación. Estos ataques son creados para dañar su red, obtener información importante o utilizar
sus computadoras para atacar otras redes.
Para ayudar a proteger su red de virus e intrusiones, puede adquirir el Gateway AntiVirus/Intrusion
Prevention Service (Gateway AntiVirus/IPS) opcional para que el dispositivo de WatchGuard identifique y
evite los ataques. El servicio de Intrusion Prevention y el Gateway AntiVirus funcionan con los servidores
proxy SMTP, POP3, HTTP, FTP y TCP-UDP. Cuando se identifica un nuevo ataque, se registran las
características que hacen único a ese ataque de virus o intrusión. Estas características registradas se
conocen como la firma. El Gateway AntiVirus/IPS utiliza estas firmas para detectar virus y ataques de
intrusiones cuando son escaneados por el proxy.
Cuando activa el Gateway AntiVirus/IPS para un proxy, el Gateway AntiVirus/IPS escanea los tipos de
contenido configurados para ese proxy.
Nota Con el objetivo de mejorar el rendimiento, Firebox X Edge e-Series no escanea los
siguientes tipos de contenido cuando utiliza el Gateway AntiVirus con el proxy
El Gateway AntiVirus/IPS puede escanear estos tipos de archivo comprimido: .zip, .gzip, .tar, .jar, .rar, .chm,
.lha, .pdf, contenedor XML/HTML, contenedor OLE (documentos de Microsoft Office), MIME
(principalmente los mensajes de correo electrónico en formato EML), .cab, .arj, .ace, .bz2 (Bzip), .swf (flash;
con soporte limitado).
Puede adquirir la actualización del Gateway AntiVirus/IPS para utilizar estos servicios. Para obtener más
información visite el sitio web WatchGuard LiveSecurity en http://www.watchguard.com/store o
comuníquese con su revendedor de WatchGuard.
Puede observar las estadísticas acerca de la actividad actual del Gateway AntiVirus y el servicio de Intrusion
Prevention en la página Panel de instrumentos > Servicios de suscripción, como se describe en Ver estado
de servicios de suscripción y actualizar firmas manualmente en la página 623.
En Internet, aparecen con frecuencia nuevos virus y métodos de intrusión. Para asegurarse de que el
Gateway AntiVirus/IPS le proporcione la mejor protección, debe actualizar las firmas con frecuencia. Puede
configurar el dispositivo WatchGuard para actualizar las firmas automáticamente desde WatchGuard, como
de describe en Configurar el servidor de actualización del Gateway AntiVirus/IPS en la página 622. También
puede Ver estado de servicios de suscripción y actualizar firmas manualmente.
El Gateway AntiVirus y el IPS pueden escanear distintos tipos de tráfico conforme a con qué políticas de
proxy usted utiliza la característica:
n Proxy SMTP o POP3: El Gateway AntiVirus/IPS busca virus e intrusiones codificados con métodos de
adjuntos de correo electrónico utilizados con frecuencia. También puede utilizar el Gateway
AntiVirus y el proxy SMTP para enviar correos electrónicos infectados con virus al Quarantine
Server. Para más informaciones, vea Página Acerca de Quarantine Server en la página 635 y
Configurado Gateway AntiVirus a colocar mensajes de correo electrónico en cuarentena en la
página 619.
n Proxy HTTP: El Gateway AntiVirus/IPS busca virus e intrusiones en los sitios web que los usuarios
intentan descargar.
n Proxy de TCP-UDP: Este proxy escanea el tráfico en los puertos dinámicos. Reconoce el tráfico de
muchos tipos de servidores proxy diferentes, incluidos los servidores proxy HTTP y FTP. El proxy
TCP-UDP luego envía el tráfico al proxy adecuado para escanearlo y detectar virus e intrusiones.
También puede utilizar el proxy TCP-UDP para bloquear los servicios de mensajería instantánea (IM)
o punto a punto (P2P).
n Proxy FTP: El Gateway AntiVirus/IPS busca virus e intrusiones en los archivos cargados o
descargados.
n Proxy DNS: El Gateway AntiVirus/IPS busca intrusiones en los paquetes DNS.
Cada proxy que utiliza el Gateway AntiVirus/IPS está configurado con opciones especiales para ese proxy.
Por ejemplo, las categorías de elementos que puede escanear son diferentes para cada proxy.
En todos los servidores proxy, usted puede limitar el escaneo de archivos a un conteo de kilobytes
especificado. El límite de escaneo predeterminado y los límites de escaneo máximos son diferentes para
cada modelo de dispositivo WatchGuard. Firebox escanea el comienzo de cada archivo hasta el conteo de
kilobytes especificado. Esto permite que los archivos de gran tamaño pasen con un escaneo parcial.
Para obtener más información acerca de los límites de escaneo predeterminados y máximos para cada
modelo de dispositivo WatchGuard, consulte Acerca de los límites de escaneo del Gateway AntiVirus en la
página 620.
Nota Para asegurarse de que el Gateway AntiVirus tenga firmas actualizadas, puede
activar las actualizaciones automáticas para el servidor del Gateway AntiVirus,
como se describe en Configurar el servidor de actualización del Gateway
AntiVirus/IPS en la página 622.
1. Obtener una tecla de función del Gateway AntiVirus/IPS. Comuníquese con su revendedor de
WatchGuard o diríjase al sitio web de WatchGuard LiveSecurity en:
http://www.watchguard.com/store.
2. Agregar una tecla de función a su Firebox.
2. Para actualizar la configuración global, haga clic en Configuración y Actualice la configuración del
Gateway AntiVirus/IPS.
3. Para configurar acciones para una acción de proxy específica, seleccione una acción de proxy y haga
clic en Configurar. Para obtener información acerca de la configuración del Gateway AntiVirus,
consulte Configurar acciones del Gateway AntiVirus.
Permitir
Bloquear el adjunto. Es una buena opción para archivos que el dispositivo WatchGuard no puede
escanear. El usuario no puede abrir fácilmente un archivo bloqueado. Sólo el administrador puede
desbloquear el archivo. El administrador puede usar una herramienta de antivirus diferente para
escanear el archivo y examinar el contenido del adjunto. Para aprender a desbloquear un archivo
bloqueado por el Gateway AntiVirus, consulte la ayuda de WatchGuard System Manager en
http://www.watchguard.com/help/docs/wsm/11/es-ES/Content/es-ES/services/gateway_av/av_
unlock_file_wsm.html.
Cuando utiliza el proxy SMTP con la suscripción de seguridad de spamBlocker, puede enviar los
mensajes de correo electrónico que contengan virus o posibles virus al Quarantine Server. Para
obtener más información sobre el Quarantine Server, consulte Página Acerca de Quarantine Server
en la página 635. Para obtener información sobre cómo configurar el Gateway AntiVirus para que
funcione con el Quarantine Server, consulte Configurado Gateway AntiVirus a colocar mensajes de
correo electrónico en cuarentena en la página 619.
Configure las medidas del Gateway AntiVirus para una acción de proxy
1. Desde la Web UI de Fireware XTM, seleccione Servicios de suscripción > Gateway AntiVirus.
Aparece la página de configuración del Gateway AntiVirus.
2. Seleccione una acción de proxy definida por el usuario y haga clic en Configurar. No puede
modificar la configuración del Gateway AntiVirus para las acciones de proxy predefinidas.
Aparece la configuración del Gateway AntiVirus para esa acción de proxy.
3. Seleccione la casilla de verificación Activar Gateway AntiVirus para activar el Gateway AntiVirus
para esta acción de proxy.
4. Desde la lista desplegable Cuando se detecta un virus, seleccione la acción que debe realizar el
dispositivo WatchGuard si se detecta un virus en un mensaje de correo electrónico, en un archivo o
en una página web. Consulte el comienzo de esta sección para obtener una descripción de las
acciones.
5. Desde la lista desplegable Cuando ocurre un error de escaneo, seleccione la acción que debe
realizar el dispositivo WatchGuard cuando no puede escanear un objeto o un adjunto. Los adjuntos
que no se pueden escanear incluyen mensajes codificados de BinHex, determinados archivos
cifrados o archivos que utilizan un tipo de compresión no admitido por el Gateway AntiVirus como
los archivos Zip protegidos por contraseña. Consulte el comienzo de esta sección para obtener una
descripción de las acciones.
6. Si desea guardar los mensajes de registro de la acción, seleccione la casilla de verificación Registro
para la respuesta del antivirus. Si no desea guardar los mensajes de registro de una respuesta del
antivirus, desmarque la casilla de verificación Registro.
7. Si desea activar una alarma para la acción, seleccione la casilla de verificación Alarma para la
respuesta del antivirus. Si no desea utilizar la alarma, desmarque la casilla de verificación Alarma
para esa acción.
8. El Gateway AntiVirus escanea cada archivo hasta un total de kilobytes específico. Todos los bytes
adicionales en el archivo no se examinan. Esto permite al proxy escanear parcialmente archivos
muy grandes sin ocasionar un efecto considerable en el rendimiento. Ingrese el límite de escaneo
de archivos en el campo Limitar el escaneo a primero
Para obtener información sobre los límites de escaneo predeterminados y máximos para cada
modelo de dispositivo WatchGuard, consulte Acerca de los límites de escaneo del Gateway AntiVirus
en la página 620.
Para configurar el tipo de alarma que desea utilizar para una política de proxy:
1. Desde la Fireware XTM Web UI, seleccione Firewall > Políticas de firewall.
2. Haga doble clic sobre una política para editarla.
3. Haga clic en la pestaña Propiedades
4. Establezca la configuración de notificación como se describe en Determinar preferencias de registro
y notificación en la página 360.
Para configurar el Gateway AntiVirus para que ponga correos electrónicos en cuarentena:
1. Cuando configura el Gateway AntiVirus (como se describe en Configurar acciones del Gateway
AntiVirus en la página 616), debe asegurarse de activar el Gateway AntiVirus para el proxy SMTP. El
proxy POP3 no admite el Quarantine Server.
2. Cuando configura las acciones que spamBlocker aplicará a las diferentes categorías de correo
electrónico (como se describe en Configurado spamBlocker en la página 583), asegúrese de
seleccionar la acción Poner en cuarentena por lo menos para una de las categorías. Cuando se
selecciona esta acción, se le solicita que configure el Quarantine Server si aún no lo ha hecho.
También puede seleccionar la acción Poner en cuarentena para los mensajes de correo electrónico
identificados por Virus Outbreak Detection como portadores de virus. Para más informaciones, vea
Configurar acciones de Virus Outbreak Detection para una política en la página 593.
Para obtener información acerca de cómo configurar el límite de escaneo, consulte Configurar acciones del
Gateway AntiVirus en la página 616.
Es importante que actualice las firmas del Gateway AntiVirus/Intrusion Prevention Service. Las firmas de
estos servicios no se actualizan automáticamente de manera predeterminada. Puede actualizar las firmas
de dos maneras:
n Configurar el servidor de actualización del Gateway AntiVirus/IPS para activar las actualizaciones
automáticas
n Actualice las firmas manualmente en el Firebox System Manager, como se describe en Ver estado
de servicios de suscripción y actualizar firmas manualmente en la página 623.
1. Desde la Web UI de Fireware XTM, seleccione Servicios de suscripción > Gateway AntiVirus.
Aparece la página de configuración del Gateway AntiVirus.
2. Haga clic en Configuraciones.
Aparece la página Configuración global del Gateway AntiVirus.
3. Para escanear el interior de los adjuntos comprimidos, seleccione la casilla de verificación Activar
descompresión. Seleccione o ingrese el número de niveles de descompresión que desea escanear.
Si activa la descompresión en un dispositivo Firebox X Core, Peak o WatchGuard XTM , le
recomendamos que mantenga la configuración predeterminada de los niveles de diagrama, a
menos que su organización deba utilizar un valor mayor. Si especifica un número mayor, es posible
que el dispositivo WatchGuard envíe el tráfico con demasiada lentitud. El Gateway AntiVirus admite
hasta seis niveles. Si el Gateway AntiVirus detecta que la profundidad del archivo es superior al valor
configurado en este campo, generará un error de escaneo para el contenido.
Los adjuntos que no se pueden escanear incluyen archivos cifrados o archivos que utilizan un tipo de
compresión que no admitimos como los archivos Zip protegidos por contraseña. Para configurar la
acción que desea que Firebox realice cuando encuentre un mensaje que no pueda escanear,
seleccione una acción para Cuando ocurre un error de escaneo en la categoría General de la
configuración de la política.
4. Haga clic en Restaurar la configuración predeterminada si desea restablecer la interfaz del usuario
a su configuración predeterminada.
5. Haga clic en Guardar.
1. Desde la Web UI de Fireware XTM, seleccione Servicios de suscripción > Gateway AntiVirus.
O bien, seleccione Servicios de suscripción > IPS.
2. Haga clic en Configuraciones.
Aparece la página de configuración del Gateway AntiVirus o IPS.
3. Desde la lista desplegable Intervalo, ingrese el número de horas que debe transcurrir entre las
actualizaciones automáticas.
4. Las actualizaciones automáticas para el Gateway AntiVirus/IPS no están activadas de manera
predeterminada. Para activar las actualizaciones automáticas en el intervalo de actualización
seleccionado, haga clic en las casillas de verificación.
Para ver el estado del sistema de servicios de suscripción, desde la Fireware XTM Web UI, seleccione Panel
de instrumentos > Servicios de suscripción. La página de estado Servicios de suscripción muestra
estadísticas acerca de los servicios de suscripción. En esta página también puede ver información acerca de
la firma actualmente instalada y consultar si hay una nueva versión disponible.
Desde la página de estado Servicios de suscripción, haga clic en Actualizar para el servicio que desea
actualizar. El dispositivo WatchGuard descarga la actualización de firmas más reciente que se encuentre
disponible para el Gateway AntiVirus o el servicio de protección de intrusiones.
Para obtener más información acerca de los gráficos de esta página, consulte Monitorear su Firebox en la
página 365.
Cuando el IPS bloquea una intrusión, el nombre de la intrusión aparece en el archivo de registro.
Antes de empezar
Antes de activar el Intrusion Prevention Service, debe:
1. Obtener una tecla de función del Gateway AntiVirus/IPS. Comuníquese con su revendedor de
WatchGuard o diríjase al sitio web de WatchGuard LiveSecurity en:
http://www.watchguard.com/store.
2. Agregar una tecla de función a su Firebox.
2. Para actualizar la configuración global, haga clic en Configuración y Actualice la configuración del
Gateway AntiVirus/IPS.
3. Para configurar las acciones del Gateway AntiVirus para una acción de proxy específica, seleccione
una acción de proxy definida por el usuario y haga clic en Configurar.
No puede modificar la configuración del IPS para las acciones de proxy predefinidas.
Para obtener información acerca de la configuración del IPS, consulte Configurar acciones del IPS.
2. Seleccione una acción de proxy definida por el usuario y haga clic en Configurar. No puede
modificar la configuración del IPS para las acciones de proxy predefinidas.
Aparece la configuración del IPS para esa acción de proxy.
Nota El IPS utiliza un conjunto de firmas diferente para proteger a los clientes que el que
utiliza para proteger a los servidores. El tipo de protección determina qué conjunto
de firmas utilizará el IPS con el proxy. En el caso de los servidores proxy DNS, FTP,
HTTP, SMTP y POP3, el tipo de protección se configura de manera automática. En
el caso del proxy TCP-UDP, puede configurar el tipo de protección como Cliente o
Servidor. Cliente es la opción predeterminada y suele ser la mejor opción.
5. (Sólo para servidores proxy HTTP y TCP-UDP) Para activar la protección contra el spyware,
seleccione la casilla de verificación Protección contra spyware.
En el caso del proxy TCP-UDP, sólo puede activar la protección contra spyware si seleccionó Cliente
como el tipo de protección. Cuando activa la protección contra spyware, el motor del IPS utiliza las
firmas de protección contra spyware del proyecto de fuente abierta denominado Emerging Threats
(Amenazas emergentes) además de las firmas del IPS.
8. Para configurar un nivel de severidad mínimo para las acciones de AUTOBLOQUEAR, ABANDONAR
o PERMITIR (CON REGISTRO), en el cuadro de texto Severidad de amenaza, ingrese o seleccione el
número del umbral de severidad de amenaza para cada acción. Las amenazas de intrusos son
clasificadas en una escala de severidad creciente del 1 al 100. De manera predeterminada, todas las
amenazas se abandonan y los eventos se graban en el archivo de registro.
9. Para enviar un mensaje de registro por una acción de proxy, seleccione la casilla de verificación
Registro para la acción del IPS.
Si no desea enviar un mensaje de registro por una respuesta del IPS, desmarque la casilla de
verificación Registro.
8. Para activar una alarma para una acción de proxy, seleccione la casilla de verificación Alarma para la
acción del IPS.
Si no desea utilizar la alarma, desmarque la casilla de verificación Alarma para esa acción.
3. Haga clic en la pestaña Configuración y configure las actualizaciones automáticas de las Firmas de
Intrusion Prevention y el servidor de actualizaciones automáticas. Esta configuración se aplica tanto
al Gateway AntiVirus como al IPS.
Para obtener más información acerca de esta configuración, consulte Configurar el servidor de
actualización del Gateway AntiVirus/IPS en la página 622.
4. Haga clic en la pestaña Excepciones y cree excepciones a las firmas de prevención de intrusiones.
Cada firma utilizada por el IPS tiene un número de ID único. Puede encontrar el número de ID de una firma
mediante la herramienta Firebox System Manager. Para obtener información acerca de cómo encontrar la
ID de una firma del IPS en el Firebox System Manager, consulte la ayuda de WatchGuard System Manager.
4. En el cuadro de texto ID de firma, ingrese la ID de firma de la firma que desea desactivar. Haga clic
en Agregar.
5. Haga clic en Guardar.
El Quarantine Server ofrece herramientas tanto para los usuarios como para los administradores. Los
usuarios reciben notificaciones periódicas por correo electrónico del Quarantine Server cuando tienen
correos electrónicos almacenados en el Quarantine Server. Luego, pueden hacer clic en el enlace que
aparece en el mensaje de correo electrónico para dirigirse al sitio web del Quarantine Server. En el sitio
web del Quarantine Server, pueden ver el emisor y el asunto de los mensajes de correo electrónico
sospechosos. Desde correo electrónico spam, el usuario puede liberar los mensajes de correo electrónico
que desee recibir en su bandeja de entrada y eliminar los demás mensajes. Los administradores pueden
configurar el Quarantine Server para eliminar automáticamente los futuros mensajes de un dominio o
emisor específico, o aquellos que contengan un texto específico en la línea de asunto.
El administrador puede ver estadísticas acerca de la actividad del Quarantine Server, como por ejemplo, la
cantidad de mensajes en cuarentena durante un intervalo de fechas específico y la cantidad de mensajes
que posiblemente sean spam.
El proxy SMTP agrega los mensajes a diferentes categorías sobre la base de los análisis realizados por
spamBlocker y por el Gateway AntiVirus. El Quarantine Server muestra estas clasificaciones para los
mensajes en cuarentena:
n Spam sospechoso: El mensaje puede ser spam, pero no hay suficiente información para decidir con
seguridad.
n Spam confirmado: El mensaje es spam.
n Masivo: El mensaje fue enviado como correo electrónico masivo comercial.
n Virus: El mensaje contiene un virus.
n Posible virus: Es posible que el mensaje contenga un virus, pero no hay suficiente información para
decidir con seguridad.
Usted instala el Quarantine Server como parte de la instalación de WatchGuard System Manager.
Para aprender a configurar un Quarantine Server, consulte la Guía del usuario de WSM en
http://www.watchguard.com/help/documentation/.
1. Configurar la dirección IP del Quarantine Server como se describe en Definir la ubicación del
Quarantine Server en Firebox en la página 636.
2. Configurar las acciones de spamBlocker y el Gateway AntiVirus para que el proxy SMTP ponga
correos electrónicos en cuarentena.
Para más informaciones, vea Configure spamBlocker para colocar mensajes de correo electrónico en
cuarentena en la página 595, y Configurado Gateway AntiVirus a colocar mensajes de correo
electrónico en cuarentena en la página 619.
1. Desde la Web UI (interfaz de usuario) de Fireware XTM, seleccione Servicios de suscripción >
Quarantine Server.
Aparece la página de configuración del Quarantine Server.
2. Ingrese la dirección IP del Quarantine Server. Le recomendamos que no cambie el puerto del
Quarantine Server a menos que se lo solicite un representante de WatchGuard Technical Support.
3. Haga clic en Guardar.