Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Firewall
NetDefendOS
SeguridadSeguridad
Ver. 2.40.00
D-Link Corporation
Nº 289, Sinhu tercera Rd, Neihu Distrito, la ciudad de Taipei 114, Taiwán ROC
http://www.DLink.com
Publicado 2011-09-06
Derechos de autor © 2011
Manual de usuario
DFL-260E / 860E / 1660/2560 / 2560G
Publicado 2011-09-06
Copyright © 2011
Aviso de copyright
Esta publicación, incluyendo todas las fotografías, ilustraciones y el software, está protegido por las leyes internacionales de derechos de autor,
todos los derechos reservados. Ni este manual, ni ninguno de los materiales contenidos en este documento, puede ser reproducida sin el
consentimiento por escrito de D-Link.
Renuncia
La información contenida en este documento está sujeta a cambios sin previo aviso. D-Link no hace representaciones o garantías con
respecto al contenido de este documento y rechaza específicamente cualquier garantía implícita de comerciabilidad o aptitud para un
propósito particular. D-Link se reserva el derecho de revisar esta publicación ya realizar cambios de vez en cuando en el contenido de la
misma, sin ninguna obligación de notificar a ninguna persona o partes de dichas revisiones o modificaciones.
Limitaciones de responsabilidad
resultante
D-LINK es de la aplicación
informado de laoposibilidad
uso IMPROPIA DEL
de tales PRODUCTO
daños. D-LINK
ADEMÁS, O NO
D-LINK FALLO
SERÁDEL PRODUCTO, AUNQUE
RESPONSABLE DE
RECLAMACIONES DE TERCEROS AL CLIENTE por pérdidas o daños. D-LINK no será en ningún caso será
responsable por cualquier daño EN exceso de la cantidad D-LINK recibido de la USUARIO FINAL DEL
PRODUCTO.
Tabla de contenido
Prefacio ................................................. .................................................. ............15
1. Descripción general NetDefendOS .............................................. ...................................... 17
1.1. Caracteristicas ................................................. ............................................... 17
1.2. NetDefendOS Arquitectura ................................................ ...................... 20
1.2.1. Arquitectura basada en el estado .............................................. ................. 20
1.2.2. NetDefendOS Building Blocks ............................................... ........ 20
1.2.3. Flujo básico de paquetes ............................................... ......................... 21
1.3. Flujo de paquetes Motor NetDefendOS Estado ........ ..................................... ........ 24
2. Gestión y Mantenimiento ............................................. ............................... 29
2.1. NetDefendOS gestión de ................................................ .......................... 29
2.1.1. Visión de conjunto ................................................. .................................. 29
2.1.2. La cuenta de administrador predeterminada ....... ....................................... ... 30
2.1.3. La Interfaz Web ............................................... ........................ 30
2.1.4. La CLI ................................................ ..................................... 36
2.1.5. Secuencias de comandos de la CLI ................................................ ................................. 44
2.1.6. Secure Copy ................................................ ............................... 48
2.1.7. El menú de la consola de arranqu
e .............................................. ................. 50
2.1.8. Gestión de Configuración avanzada ....... ........................................ ...... 52
2.1.9. Trabajar con Configuraciones ............................................... .......... 53
2.2. Eventos y registro ............................................... ................................. 59
2.2.1. Visión de conjunto ................................................. .................................. 59
2.2.2. Mensajes de registro ................................................ ............................. 59
2.2.3. La creación de Receptores Log............................................... .................. 60
2.2.4. Registrar en MemoryLogReceiver ............................................... ..... 60
2.2.5. Ingreso a los ejércitos Syslog ... ........................................... ................. 60
2.2.6. Severidad de filtro y Mensaje Excepciones .......... ................................. 62
2.2.7. SNMP Traps ................................................ ............................... 62
2.2.8. Avanzadas Configuración de registro ............................................... .................. 64
2.3. Radio de la contabilidad ................................................ ..............................sesenta y cinco
2.3.1. Visión de conjunt o ................................................. ..................................sesenta y cinco
2.3.2. Los mensajes RADIUS Accounting ............................................... .......sesenta y cinco
2.3.3. Los mensajes de Contabilidad provisionales ............................................... ......... 67
2.3.4. La activación de Radio de la contabilidad ............................................... ...... 67
2.3.5. RADIUS Seguridad Contabilidad ............................................... ......... 68
2.3.6. Radio de la contabilidad y de alta disponibilidad ...................................... 68
2.3.7. Manejo de servidores RADIUS que no responden ......................................... 68
2.3.8. Contabilidad y apagados del sistema .............................................. ... 69
2.3.9. Limitaciones con NAT ............................................... .................... 69
2.3.10. RADIUS Configuración avanzada ............................................... ......... 69
2.4. Supervisión ................................................. ........................................... 71
2.4.1. El Monitor de Enlace ............................................... ......................... 71
2.4.2. Monitoreo SNMP ................................................ ....................... 73
2.4.3. Monitorización de hardware ................................................ ................... 76
2.4.4. Supervisión de la memoria Ajustes ............................................... .......... 78
2.5. los pcapdump Comando ................................................. ....................... 80
2.6. Mantenimiento ................................................. ......................................... 83
4
Manual de usuario
5
Manual de usuario
6
Manual de usuario
7
Manual de usuario
8
Manual de usuario
9
Lista de Figuras
1.1. Esquema de flujo de paquetes Parte I ............................................. .............................. 24
1.2. Esquema de flujo de paquetes Parte II ............................................. ............................. 25
1.3. Paquete de flujo esquemático de la ParteIII............................................. ............................ 26
1.4. Expandido aplicar reglas Lógica ................................................. ........................... 27
3.1. Conexiones VLAN ................................................ ...................................... 116
3.2. Un ARP Publicar trama Ethernet ............................................. ........................ 130
3.3. Simplificada NetDefendOS Flujo de Tráfico ....... ....................................... ............... 138
4.1. Un escenario de enrutamiento Típica .............................................. ............................. 166
4.2. Utilizando Dirección IP local Sin consolidar con una red ............................................ 168
4.3. Un escenario de ruta de conmutación por error de ISP de acceso ........................................... .............. 174
4.4. Un Proxy ARP Ejemplo .............................................. .................................... 181
4.5. La RLB Round Robin Algoritmo ............................................. ...................... 191
4.6. La RLB Spillover Algoritmo .............................................. ........................... 192
4.7. Un escenario Ruta de equilibrio de carga ............................................. ...................... 194
4.8. Un escenario simple OSPF .............................................. ................................. 197
4.9. Proporcionar OSPF Ruta redundancia .............................................. ................... 198
4.10. Enlaces virtuales conectan las áreas .... .......................................... ...................... 202
4.11. Enlaces virtuales con Backbone con particiones ............................................. ............ 203
4.12. Objetos NetDefendOS OSPF ............................................... ......................... 204
4.13. Los objetos dinámicos regla de enrutamiento .............................................. ....................... 211
4.14. Reenvío de multidifusión - Sin traducción de direcciones de ............................................ .... 222
4.15. Reenvío de multidifusión - Traducción de Direcciones de ............................................. ....... 224
4.16. Modo de multidifusión Snoop ............................................... .................................. 226
4.17. Modo Proxy multidifusión ............................................... .................................. 226
4.18. Acceso a Internet de modo no transparente ....... ..................................... ............... 238
4.19. El acceso a Internet transparente Modo ..... ......................................... ................... 238
4.20. Transparente Escenario Modo 1 .............................................. .......................... 240
4.21. Transparente Escenario Modo 2 .............................................. .......................... 241
4.22. Un escenario de ejemplo BPDU retransmisión ............................................. .............. 244
5.1. Objetos del servidor DHCP ............................................... .................................... 253
6.1. La implementación de unALG ............................................... ........................................ 266
6.2. HTTP ALG procesamiento de pedidos .............................................. ........................... 269
6.3. FTP ALG Modo híbrido .............................................. ................................... 271
6.4. SMTP ALG procesamiento de pedidos .............................................. ........................... 282
6.5. Anti-Spam Filtrado .............................................. ........................................ 284
6.6. El uso de PPTP ALG ............................................... ......................................... 290
6.7. Terminación TLS ................................................ .......................................... 317
6.8. Flujo de filtrado de contenido dinámico ...
........................................... ....................... 323
6.9. La actualización de base de datos IDP ............................................... .................................. 344
6.10. Selección Firma IDP ............................................... ................................ 346
7.1. NAT Traducción de direcciones IP . ............................................. ............................ 364
7.2. A Ejemplo NAT ............................................... ........................................... 366
7.3. Anonimizar con NAT ............................................... ................................. 368
7.4. El papel de la DMZ ............................................. ....................................... 373
8.1. Normal de autenticación LDAP ............................................... ......................... 395
8.2. LDAP para PPP con CHAP, MS-CHAPv1 o MS-CHAPv2 ................... ............... 396
9.1. El protocolo AH ............................................... ........................................... 431
9.2. PPTP
9.3. El protocolo
uso delESP ...............................................
cliente ..........................................
............................................... 431
........................................ 465
9.4. VPN SSL Navegador de opciones de conexión ............................................. ............... 469
9.5. La sesión SSL VPN Client ............................................. ............................... 470
9.6. Las estadísticas de clientes VPN SSL . ............................................ ........................... 471
9.7. Certificado de componentes de validación ............................................... ................... 475
10.1. Reglas de tubería determinar el uso de tuberías ............................................. ..................... 487
10.2. FwdFast Reglas de derivación Traffic Shaping .............................................. ............. 488
10.3. Límites diferenciadas Uso de Cadenas .............................................. .................. 491
10.4. Los ocho precedencias de tubería .............................................
. ............................ 492
10.5. Mínima y máxima del tubo Precedencia ............................................. .......... 494
10
Manual de usuario
11
Lista de ejemplos
1. Ejemplo de notación .............................................. ...............................................15
2.1. Que permite la gestión remota a través de HTTPS ............................................. .............. 35
2.2. La activación de SSH de acceso remoto .............................................. ............................ 41
2.3. Lista de objetos de configuración ............................................... ............................ 53
2.4. Viendo un objeto de configuración .............................................. ....................... 54
2.5. Edición de un objeto de configuración .............................................. ........................... 55
2.6. Adición de un objeto de configuración .............................................. ........................... 55
2.7. La eliminación de un objeto de configuración .............................................. .......................... 56
2.8. Restauración de un objeto de configuración............................................
.. ...................... 56
2.9. Modificado lista de objetos de configuración ........ ...................................... ................ 57
2.10. Activación y confirmación de una configuración ............ ................................. .......... 57
2.11. Habilitar el registro a un host Syslog ...... ...................................... ......................... 61
2.12. El envío de mensajes de alerta SNMP a un receptor de captura SNMP ....... ................................... ..... 63
2.13. Configuración del servidor RADIUS Contabilidad .............................................. .................... 70
2.14. Habilitación de SNMP Monitoreo ... ............................................ ............................ 74
2.15. La realización de una copia de seguridad completa ............................................. ............... 85
2.16. Restablecimiento de hardware completa a los valores de fábrica ..... ....................................... ....... 85
3.1. Adición de una dirección de host IP ............................................. ................................. 89
3.2. Adición de una red IP .............................................. ....................................... 89
3.3. La adición de un rango de IP .............................................. .......................................... 90
3.4. La eliminación de un objeto de dirección .............................................. ................................ 90
3.5. Adición de una dirección Ethernet .. ............................................ ............................... 91
3.6. Adición de direcciones de host IPv6 .............................................. .............................. 93
3.7. Habilitación de IPv6 a nivel mundial ............................................... .................................... 94
3.8. Habilitación de IPv6 en una interfaz ...........................................
.. .............................. 94
3.9. Habilitación de IPv6 Anuncios ............................................... ........................... 95
3.10. Una lista de los servicios disponibles .............................................. ........................... 98
3.11. Visualización de un servicio específico .............................................. ............................... 99
3.12. La creación de un / UDP servicio personalizado TCP........................................... .................. 102
3.13. Adición de un servicio de protocolo IP ............................................. ......................... 104
3.14. La definición de una VLAN ............................................... ........................................ 117
3.15. Configuración de un cliente PPPoE .............................................. ........................... 120
3.16. Creación de un grupo de interfaz .............................................. ............................ 124
3.17. Viendo la caché ARP .............................................. ............................. 127
3.18. Vaciar la caché ARP .............................................. ................................ 127
3.19. Definición de una entrada ARP estática ............................................. ............................ 128
3.20. Adición de una Permitir Regla IP ................................................ .............................. 141
3.21. La creación de una política de seguridad Time-programada .......................................... ......... 147
3.22. Carga de un certificado ............................................... ................................. 150
3.23. La asociación de certificados con túneles IPsec ...........
.................................. ........ 151
3.24. Ajuste de la fecha y hora actuales ............................................ ..................... 153
3.25. Ajuste del huso horario .............................................. ................................... 154
3.26. Activación DST ................................................ ............................................ 154
3.27. Habilitación de sincronización de tiempo SNTP usando ............................................. ....... 155
3.28. La activación manual de un tiempo de sincronización ............................................. ..... 156
3.29. Modificar el valor de ajuste máximo ............................................. ....... 156
3.30. Forzar sincronización de tiempo ............................................... ....................... 157
12
Manual de usuario
13
Manual de usuario
14
Prefacio
Público destinatario
El público objetivo de esta guía de referencia está administradores que son responsables de la configuración y administración de
servidores de seguridad NetDefend que se ejecutan el sistema operativo los NetDefendOS. Esta guía asume que el lector tiene un
conocimiento básico de las redes y seguridad de la red.
Cuando un enlace de "Ver capítulo / sección" (como por ejemplo: ver Capítulo 9, VPN) se proporciona en el texto principal, esto se puede hacer clic para
llevar al lector directamente a esa referencia.
El texto que pueden aparecer en la interfaz de usuario del producto se designa por estar en caso negrita.Cuando se está introduciendo un término
por primera vez o que es tensionada que puede aparecer en cursiva.
Donde la interacción de la consola se muestra en el texto principal en el exterior de un ejemplo, que aparecerá en una caja con un fondo gris.
Donde se muestra una referencia de dirección Web en el texto, al hacer clic se abrirá la URL especificada en un navegador en una nueva
ventana (algunos sistemas pueden no permitir esto). Por ejemplo, http://www.dlink.com.
Imágenes
Esta guía contiene un mínimo de capturas de pantalla. Esto es deliberado y se realiza porque las ofertas manuales
específicamente con NetDefendOS y administradores tienen la opción de gestión de interfaces de usuario. Se decidió que el
manual sería menos claro y más fácil de leer si se concentra en describir cómo NetDefendOS funciones en lugar de incluir un gran
número de capturas de pantalla que muestran cómo se utilizan los diversos interfaces. Se dan ejemplos, pero estos son en gran
medida las descripciones textuales de uso de la interfaz de gestión.
Ejemplos
Ejemplos en el texto se indican mediante el encabezado Ejemploy aparecen con un fondo gris, como se muestra a continuación. Contienen
un ejemplo de la CLI y / o un ejemplo Interfaz Web según el caso. (Los NetDefendOS Guía de referencia de la CLI documentos de todos los
comandos de la CLI).
Información sobre lo que el ejemplo está tratando de lograr aquí se encuentra, a veces con una imagen explicativa.
Interfaz de línea de comandos
El ejemplo de interfaz de línea de comandos aparecería aquí. Sería comenzar con el símbolo del sistema seguido por el comando:
Interfaz web
15
1.2.3. Flujo básico de paquetes Capítulo 1. Visión general NetDefendOS
Por último, las reglas que se definen por el administrador en los distintos conjuntos de reglas se utilizan para la aplicación real de las políticas de
seguridad NetDefendOS. El conjunto más fundamental de reglas son las Reglas IP,
que se utilizan para definir la política de filtrado de capa 3 IP, así como llevar a cabo la traducción de direcciones y balanceo de carga del servidor. Las
Reglas de la modulación del tráfico definen la política de gestión de ancho de banda, las Reglas de desplazados internos controlan el comportamiento
del motor de prevención de intrusiones y así sucesivamente.
Esta sección describe el flujo básico en el estado-motor para los paquetes recibidos y transmitidos por NetDefendOS. La siguiente
descripción se simplifica y puede que no sea plenamente aplicable en todos los escenarios, sin embargo, los principios básicos serán
válidas para todas las implementaciones NetDefendOS.
1. Un marco Ethernet se recibe en una de las interfaces Ethernet en el sistema. validación trama Ethernet básica se lleva a
cabo y el paquete se descarta si el marco es válido.
2. El paquete está asociado con una interfaz de srcen. La interfaz de srcen se determina como sigue:
• Si la trama de Ethernet contiene un ID de VLAN (Identificador de LAN Virtual), el sistema comprueba una interfaz VLAN
configurado con un ID de VLAN correspondiente. Si se encuentra uno, que la interfaz VLAN se convierte en la interfaz de srcen
para el paquete. Si no se encuentra una interfaz de juego, el paquete se descarta y se registra el suceso.
• Si la trama Ethernet contiene una carga útil de PPP, el sistema comprueba una interfaz PPPoE coincidente. Si se encuentra
uno, esa interfaz se convierte en la interfaz de srcen para el paquete. Si no se encuentra una interfaz de juego, el paquete se
descarta y se registra el suceso.
• Si ninguno de lo anterior es cierto, la interfaz Ethernet de recepción se convierte en la interfaz de srcen para el paquete.
3. El datagrama IP dentro del paquete se pasa a la NetDefendOS Comprobador de coherencia. El comprobador de coherencia realiza una serie de
comprobaciones de validez en el paquete, incluyendo la validación de las sumas de comprobación, banderas de protocolo, la longitud del
paquete y así sucesivamente. Si las comprobaciones de coherencia fallan, el paquete se cae y se registra el suceso.
4. NetDefendOS ahora trata de las operaciones de búsqueda una conexión existente, haciendo coincidir los parámetros del paquete
entrante. Una serie de parámetros se utilizan en el intento partido, incluyendo la interfaz de srcen, fuente y direcciones IP de
destino y el protocolo IP.
Si un partido no puede ser encontrado, un proceso de establecimiento de la conexión se inicia el cual incluye los pasos de aquí a 9 abajo. Si se
encuentra una coincidencia, el proceso continúa en la etapa de reenvío 10 abajo.
5. El Reglas de acceso son evaluados para averiguar si la dirección IP de srcen de la nueva conexión es
permitidos en la interfaz recibido. Si no hay regla de acceso coincide entonces una consulta de rutas inversa se hará en las tablas de
enrutamiento.
En otras palabras, por defecto, una interfaz sólo aceptará direcciones IP de srcen que pertenecen a redes enrutadas a través de esa
interfaz. UN búsqueda inversa significa que nos fijamos en las tablas de enrutamiento para confirmar que hay una ruta en la que si esta
Si la búsqueda de regla de acceso o la búsqueda de ruta inversa determinan que la IP de srcen no es válida, el paquete se
descarta y se registra el suceso.
6. Una consulta de rutas está siendo hecha usando la tabla de enrutamiento apropiado. La interfaz de destino para la conexión ha
determinado ahora.
7. Las normas de PI están buscado una regla que coincide con el paquete. Los siguientes parámetros son parte del proceso de
correspondencia:
21
1.2.3. Flujo básico de paquetes Capítulo 1. Visión general NetDefendOS
• tipos ICMP
Si se encuentra una regla que coincide con la nueva conexión, elAcción parámetros de la regla decide qué NetDefendOS debe
hacer con la conexión. Si la acción es la gota, el paquete se descarta y el evento se registra de acuerdo con la configuración del
registro para la regla.
Si la acción es Permitir, el paquete se permite a través del sistema. Un estado correspondiente se añadirá a la tabla de conexión
para hacer coincidir los paquetes posteriores que pertenecen a la misma conexión. Además, el objeto de servicio que se
correspondía con el protocolo IP y los puertos podría haber contenido una referencia a una puerta de enlace de objeto de capa de
aplicación (ALG). Esta información se registra en el estado de modo que NetDefendOS sabrán que el procesamiento de capa de
aplicación tendrá que ser realizado en la conexión.
Por último, la apertura de la nueva conexión se registra de acuerdo con la configuración del registro de la regla.
En realidad, hay una serie de medidas adicionales disponibles como traducción de direcciones y balanceo de
carga del servidor. El concepto básico de goteo y permitiendo que el tráfico sigue siendo el mismo.
8. La detección de intrusiones y Normas de Prevención (IDP) están ahora evaluaron de una manera similar a las normas IP. Si se
encuentra una coincidencia, los datos IDP se registra con el estado. Al hacer esto, NetDefendOS sabrán que IDP exploración se
supone que debe ser llevado a cabo en todos los paquetes que pertenecen a esta conexión.
9. El Traffic Shaping y los conjuntos de reglas límite del umbral se buscaron ahora. Si se encuentra una coincidencia, la
información correspondiente se registra en el estado. Esto permitirá una gestión adecuada del tráfico en la conexión.
10. A partir de la información en el estado, NetDefendOS ahora sabe qué hacer con el paquete entrante:
• Si la información ALG está presente o si se va a realizar la exploración IDP, la carga útil del paquete está cuidado por el
subsistema TCP Pseudo-montaje, que a su vez hace uso de las diferentes puertas de enlace de capa de aplicación, la capa
7 motores de análisis y así sucesivamente , para analizar más o transformar el tráfico.
• Si el contenido del paquete se encapsula (tal como con IPsec, PPTP / L2TP o algún otro tipo de protocolo de túnel),
entonces las listas de interfaz se comprueban para una interfaz coincidente. Si se encuentra uno, el paquete se
decapsulated y la carga útil (el texto en claro) se envía en NetDefendOS otra vez, ahora con interfaz de srcen siendo la
interfaz de túnel emparejado. En otras palabras, el proceso continúa en el paso 3 anterior.
• Si la información de gestión del tráfico está presente, el paquete podría obtener en cola o de otra manera ser s ometido a acciones
relacionadas con la gestión del tráfico.
11. Finalmente, el paquete será reenviado a cabo en la interfaz de destino de acuerdo con el estado.
22
1.2.3. Flujo básico de paquetes Capítulo 1. Visión general NetDefendOS
Si la interfaz de destino es una interfaz de túnel o una sub-interfaz física, el procesamiento adicional tal como el
cifrado o encapsulación pudiera ocurrir.
La siguiente sección proporciona un conjunto de diagramas que ilustran el flujo de paquetes a través de NetDefendOS.
23
1.3. Flujo de paquetes Motor Estado NetDefendOS Capítulo 1. Visión general NetDefendOS
Los diagramas de esta sección proporcionan un resumen del flujo de paquetes a través del estado del motor NetDefendOS. Hay
tres diagramas, cada uno que fluye en el siguiente. No es necesario entender estos diagramas, sin embargo, pueden ser útiles
como referencia para configurar NetDefendOS en ciertas situaciones.
24
2.1.3. La Interfaz Web Capítulo 2. Gestión y Mantenimiento
Para obtener información sobre el nombre de usuario y contraseña por defecto, consulte Sección 2.1.2, “La cuenta pre determinada del administrador”.
El acceso a la interfaz web se rige por la política de gestión remota configurada. Por defecto, el
sistema sólo permitirá acceso a la web de la red interna.
diseño de interfaz
A. barra de menú La barra de menús situada en la parte superior de la interfaz web contiene una serie de botones y menús
desplegables que se utilizan para realizar tareas de configuración, así como para la navegación a varias
herramientas y páginas de estado.
• Configuración
• Herramientas Contiene
- una serie de herramientas que son útiles para el mantenimiento del sistema.
• status -Proporciona varias páginas de estado que se pueden utilizar para el diagnóstico del sistema.
33
2.1.3. La Interfaz Web Capítulo 2. Gestión y Mantenimiento
• Mantenimiento
v. Actualización Actualizar
- el firmware del servidor de seguridad.
SEGUNDO.Navegador El navegador se encuentra en el lado izquierdo de la interfaz web contiene una representación del árbol
de la configuración del sistema. El árbol se divide en varias secciones que corresponden a los
principales bloques de construcción de la configuración. El árbol puede ser ampliado para exponer las
secciones adicionales y el conjunto de objetos seleccionados se muestran en, ventana principal central
de la Interfaz Web.
DO. Ventana principal La ventana principal contiene de configuración o estado detalles correspondientes a la sección
seleccionada en el navegador o la barra de menú.
Cuando se muestran las tablas de información en la ventana principal, haciendo clic derecho en una línea (por
ejemplo, una regla IP) hará que aparezca un menú contextual.
Este menú contextual se puede utilizar para añadir un nuevo objeto, elimine el actual, cambiar el
orden y otras operaciones. los Clon función se utiliza para hacer una copia completa del objeto actual
y luego añadirlo como el último objeto en la tabla. A continuación se muestra un ejemplo típico del
menú contextual.
34
2.1.3. La Interfaz Web Capítulo 2. Gestión y Mantenimiento
Por defecto, la interfaz web sólo es accesible desde la red interna. Si se requiere tener acceso desde otras partes de la
red, esto se puede hacer mediante la modificación de la política de gestión remota.
Interfaz web
2. Introduzca una Nombrepara la política de gestión remota HTTP / HTTPS, por ejemplo,https
• Interfaz:alguna
Se proporciona el ejemplo anterior sólo tiene fines informativos. Nunca se recomienda para exponer
cualquier interfaz de gestión a cualquier usuario de Internet.
Después de terminar el trabajo con la interfaz web, es recomendable cerrar la sesión siempre para evitar que otros usuarios con acceso a la
estación de trabajo de conseguir el acceso no autorizado a NetDefendOS. Salir se consigue haciendo clic en Cerrar
el sesiónbotón en la parte
derecha de la barra de menú.
35
2.1.4. la CLI Capítulo 2. Gestión y Mantenimiento
Si hay un problema con la interfaz de administración cuando se comunica junto túneles VPN, consulte la tabla de
enrutamiento principal y buscar una todas las redes deruta al túnel VPN. el tráfico de administración puede ser
mediante esta ruta.
Si hay una ruta específica está configurado para la interfaz de gestión a continuación, todo el tráfico procedente de
la gestión NetDefendOS automáticamente se dirigirá hacia el túnel VPN. Si este es el caso, entonces una ruta se
debe agregar por el administrador para el tráfico de gestión de rutas con destino a la red de gestión de la interfaz
correcta.
2.1.4. la CLI
NetDefendOS proporciona una Interfaz de línea de comandos ( CLI) para los administradores que prefieren o requieren un enfoque de línea de
comandos para la administración, o que necesitan un control más detallado de la configuración del sistema. El CLI está disponible de forma local
a través del puerto de consola serie (conexión a esto se describe más adelante), o de forma remota a través de una interfaz Ethernet utilizando el Cubierta
segura ( SSH) protocolo de un cliente SSH.
La CLI proporciona un amplio conjunto de comandos que permiten la visualización y modificación de datos de configuración, así como permitir
que los datos de tiempo de ejecución que se mostrarán y permitiendo que las tareas de mantenimiento del sistema a realizar.
Esta sección sólo proporciona un resumen para el uso de la CLI. Para una referencia completa para todos los comandos de la CLI, consulte el
documento adjunto D-LinkGuía de referencia de la CLI.
• añadir - Añade un objeto tal como una dirección IP o una regla para una configuración NetDefendOS.
• set - Establece una propiedad de un objeto a un valor. Por ejemplo, esto podría ser utilizado para establecer la interfaz de srcen en una norma IP.
• espectáculo - Muestra las categorías actuales o mostrar los valores de un objeto en particular.
Los comandos de CLI por lo general comienzan con la estructura: < comando> <tipo_objeto> <object_name>. Por ejemplo, para mostrar
un objeto de dirección IP llamada mi dirección, el comando sería:
La segunda parte del comando especifica eltipo de objeto y es necesario identificar qué categoría de objeto el nombre del objeto se
refiere a (tener en cuenta que el mismo nombre puede existir en dos categorías diferentes).
Un comando como añadir también puede incluir propiedades del objeto. Para añadir un nuevo objeto IP4Address con una dirección IP de 10.49.02.01,
el comando sería:
36
2.1.4. la CLI Capítulo 2. Gestión y Mantenimiento
Al igual que la consola en muchas versiones de Microsoft Windows ™, las teclas de flecha arriba y abajo permiten al usuario desplazarse por la
lista de comandos en elhistorial de comandos CLI. Por ejemplo, al pulsar la tecla de flecha hacia arriba una vez hará que el último comando
ejecutado aparece en el indicador CLI actual. Después de que aparezca un comando que se puede volver a ejecutar en su forma srcinal o
modificado antes de la ejecución.
del tabulador
Recordando a todos los comandos y sus opciones puede ser difícil. NetDefendOS proporciona una función llamada la implementación del
tabulador lo que significa que al presionar la tecla de tabulación causará automáticamente la terminación de la parte actual del comando. Si la
terminación no es posible, pulsando la tecla de tabulación, alternativamente, se mostrará las posibles opciones de comandos que están
disponibles.
La implementación del tabulador no funciona con parámetros opcionales hasta que se hayan introducido todos los parámetros obligatorios.
Por ejemplo, al crear una regla de IP para un conjunto de reglas IP en particular, la línea de comandos podría comenzar:
añadir iprule
los Nombre parámetro no está en esta lista ya que no es obligatoria ya que las reglas pueden ser referenciados con su número de índice. Del
mismo modo, podría introducir lo siguiente:
añadir iprule Na
Si la tecla de tabulación está presionado, las letras N / A No se completará a ser name = porque Nombre es opcional y se deben introducir todos los
parámetros obligatorios antes de la implementación del tabulador funciona para parámetros opcionales.
Si la tecla de tabulación está presionado, las letras N / A ahora será completado para ser name = porque todo el
37
2.1.4. la CLI Capítulo 2. Gestión y Mantenimiento
Incluso cuando es opcional, se recomienda que una Nombre valor se asigna a una regla. Esto hace que el examen y
la comprensión de la configuración más sencilla.
El período "." personaje antes de una ficha se puede utilizar para rellenar automáticamente el valor predeterminado para una propiedad de objeto. Por
ejemplo:
Esta lista de gravedad se puede editar con las teclas de flecha y la tecla de retroceso de la espalda. Un valor por defecto no siempre está disponible.
Por ejemplo, el Acción de una regla IP tiene ningún valor predeterminado.
Otro uso del carácter de punto antes de una pestaña es para rellenar automáticamente el valor actual de una propiedad de objeto en una línea
de comandos. Por ejemplo, podríamos haber escrito el comando sin terminar:
Si ahora escribimos "" seguido de una pestaña, NetDefendOS mostrará el valor actual para elDirección
parámetro. Si ese valor es, por ejemplo, 10.6.58.10 a continuación, la línea de comandos sin terminar se convertirá automáticamente en:
NetDefendOS inserta automáticamente el valor actual de10.6.58.10 y esto, entonces se puede cambiar con la tecla de retroceso o teclas de
flecha hacia atrás antes de completar el comando.
Categorías de objetos
Se ha mencionado que los objetos están agrupados por tipo, como IP4Address. Tipos mismos están agrupados por categoría. El tipo IP4Address
pertenece a la categoría Dirección. El uso principal de las categorías está en la implementación del tabulador cuando se busca el tipo de
objeto derecho de uso.
Si un comando como añadir se introduce y luego se presiona la tecla de tabulación, NetDefendOS muestra todas las categorías disponibles. Al
elegir una categoría y luego pestaña pulsando de nuevo todos los tipos de objetos de esa categoría se muestra. El uso de categorías significa que
el usuario tiene una forma sencilla de especificar qué tipo de objeto que están tratando de especificar y se muestran un número manejable de
opciones después de pulsar la pestaña.
No todos los tipos de objetos pertenecen a una categoría. El tipo de objeto UserAuthRule es un tipo sin una categoría y aparecerá en la lista de
categorías después de pestaña presionando al comienzo de un comando.
Con algunas categorías, es necesario elegir primero un miembro de esa categoría con los cc ( cambio de categoría) de comandos
antes de objetos individuales pueden ser manipulados. Este es el caso, por ejemplo,
38
2.1.4. la CLI Capítulo 2. Gestión y Mantenimiento
con las rutas. No puede haber más de una tabla de enrutamiento, por lo que cuando la adición o la manipulación de una ruta que primero tendrá que
utilizar el cc comando para identificar qué tabla de enrutamiento que nos interesa.
GW-mundo: / principal>
Observe que los cambios de símbolo del sistema para indicar la categoría actual. La ruta ahora se puede añadir:
GW-mundo: / principal> Agregar ruta Name = new_route1 Interfaz de red LAN = = Lannet
GW-mundo: / principal> cc
GW-mundo: />
Las categorías que requieren una inicial cc comando antes de la manipulación de objetos tiene un carácter "/" después de sus nombres cuando
se ordenan por una espectáculo mando. Por ejemplo: Tabla de ruteo/.
A veces una propiedad de comandos puede tener varios valores. Por ejemplo, algunos comandos utilizan la propiedad AccountingServers
y más de un valor se puede especificar para esta propiedad. Al especificar múltiples valores, deben estar separados por una coma
"" carácter. Por ejemplo, si tres servidores server1, server2, servidor3 es necesario especificar entonces la asignación de
propiedad en el comando sería:
listas de reglas tales como el conjunto de reglas IP tienen un ordenamiento que es importante. Al agregar mediante la CLI
añadir comando, el valor predeterminado es añadir una nueva regla al final de una lista. Cuando la colocación en una posición particular es
crucial, la añadir comando puede incluir la index = parámetro como una opción. Inserción en la primera posición en una lista se especifica con
el parámetro Index = 1 en una añadir comando, la segunda posición con el parámetroIndex = 2 y así.
El nombramiento de algunos objetos es opcional y se realiza con laname = parámetro en una añadir mando. Un objeto, como una regla de
umbral, siempre tendrá una Índice valor que indica su posición en la lista de reglas, pero opcionalmente se puede asignar un nombre
también. la manipulación posterior de una norma de este tipo puede hacerse ya sea refiriéndose a ella por su índice, es decir, su posición
los Guía de referencia de la CLI enumera las opciones de los parámetros disponibles para cada objeto, incluyendo el NetDefendOS
name = y index
= Opciones.
Para mayor comodidad y claridad, se recomienda que se asigna un nombre a todos los objetos de manera que pueda ser utilizado como referencia, si
es necesario. Referencia por su nombre es particularmente útil cuando se escriben los guiones de la CLI.
39
2.1.4. la CLI Capítulo 2. Gestión y Mantenimiento
Para más información sobre esto ver los guiones Sección 2.1.5, “Secuencias de comandos de la CLI”.
La CLI hará cumplir denominación única dentro de un tipo de objeto. Por razones de compatibilidad con versiones anteriores a NetDefendOS
comunicados, existe una excepción a las normas de propiedad intelectual que pueden tener nombres duplicados, sin embargo se recomienda para
evitar esto. Si se utiliza un nombre de regla IP duplicada en dos reglas IP a continuación, sólo el Índice valor puede identificar de manera única cada
regla IP en los comandos de la CLI posteriores. Hacer referencia a una regla de IP con un nombre duplicado va a fallar y dar lugar a un mensaje de
error.
Para ciertos comandos de la CLI, las direcciones IP opcionalmente se pueden especificar como un nombre de host textual en lugar de un objeto
IP4Address o la dirección IP en bruto tal como 192.168.1.10. Cuando se hace esto, el nombre de host debe tener el prefijo con las letras DNS: para
indicar que una búsqueda de DNS se debe hacer para resolver el nombre de host a una dirección IP. Por ejemplo, el nombre de host host.company.com
se especificaría como
DNS: host.company.com en el CLI.
Los parámetros donde los URN podrían utilizarse con la CLI son:
Cuando la búsqueda de DNS que hay que hacer, al menos un servidor DNS público debe estar configurado en NetDefendOS de nombres
de host que se traducen a direcciones IP.
El puerto serie de consola es un puerto local RS-232 en el Firewall NetDefend que permite el acceso directo a la NetDefendOS CLI a
través de una conexión en serie a un PC o terminal. Para localizar el puerto de consola serie en el hardware de D-Link, consulte la Guía
de inicio rápido D-Link.
• Un terminal o un ordenador con un puerto serie y la capacidad de emular un terminal (como el uso de la Hiper terminal software
incluido en algunas ediciones de Microsoft Windows ™). El puerto de consola serie utiliza la siguiente configuración predeterminada: 9600
bps, sin paridad, 8 bits de datos y 1 bit de parada.
• Un cable RS-232 con conectores apropiados. Un paquete de electrodomésticos incluye un cable de módem nulo RS-232.
2. Conecte uno de los conectores del cable RS-232 directamente al puerto de consola del sistema NetDefend
Firewall.
3. Conectar el otro extremo del cable a la terminal o el conector serie del equipo que ejecuta el software de
comunicaciones.
4. presione el entrar clave en el terminal. Los NetDefendOS indicador de conexión debe aparecer en la pantalla del terminal.
El protocolo SSH (Secure Shell) se puede utilizar para acceder a la CLI través de la red desde un host remoto. SSH es un protocolo utilizado
principalmente para la comunicación segura a través de redes inseguras, proporcionando fuerte autenticación e integridad de datos. clientes
SSH están libremente disponibles para casi todo el hardware
40
2.1.4. la CLI Capítulo 2. Gestión y Mantenimiento
plataformas.
NetDefendOS soporta la versión 1, 1,5 y 2 del protocolo SSH. acceso SSH está regulada por la política de gestión remota en
NetDefendOS, y está desactivado por defecto.
Este ejemplo muestra cómo habilitar el acceso remoto SSH desde el Lannetred a través de la lan interfaz mediante la adición de una regla a la política
de gestión remota.
Interfaz web
• Interfaz:lan
• Red: Lannet
Cuando el acceso a la CLI se ha establecido a través de la consola NetDefendOS serial o un cliente SSH, el administrador tendrá que iniciar
sesión en el sistema antes de poder ejecutar cualquier comando CLI. Este paso es necesario para garantizar la autenticación que sólo los
usuarios de confianza pueden acceder al sistema, así como proporcionar información de usuario para la auditoría.
Al acceder a la CLI de forma remota a través de SSH, NetDefendOS responderá con un mensaje de login. Introduzca el nombre de usuario y
pulse el Entrar clave, seguido de la contraseña y luego Entrar de nuevo.
GW-mundo: />
Si un mensaje de bienvenida se ha establecido a continuación, se mostrará inmediatamente después del inicio de sesión. Por razones de seguridad, es
recomendable desactivar cualquiera o anonimizar el mensaje de bienvenida de la CLI.
Se recomienda cambiar la contraseña predeterminada de la administración cuenta desde administración a otra cosa tan pronto como sea posible
después de la puesta en marcha inicial. Las contraseñas de usuario puede ser cualquier combinación de caracteres y no puede ser mayor de 256
caracteres de longitud. Se recomienda utilizar sólo caracteres imprimibles.
Para cambiar la contraseña, por ejemplo,mi contraseña Se utilizan los siguientes comandos CLI. En primer lugar debemos cambiar la
categoría actual a ser el LocalUserDatabase llamado (adminusers que existe por defecto):
41
2.1.4. la CLI Capítulo 2. Gestión y Mantenimiento
GW-mundo: / adminusers> cc
La contraseña que se puede configurar para proteger el acceso directo de la consola serie es una contraseña separada y no se
debe confundir con las contraseñas relacionadas con las cuentas de usuario. La contraseña de la consola se describe en Sección
2.1.7, “Menú La consola de arranque”.
GW-mundo: />
dónde Dispositivo es el número de modelo del NetDefend Firewall. Esto se puede modificar para requisitos particulares, por ejemplo, a mi-prompt: />, utilizando
el comando de la CLI:
los Guía de referencia de la CLI utiliza el símbolo del sistema GW-mundo: />en todo.
Cuando el indicador de línea de comandos se cambia a un nuevo valor de cadena, esta cadena también aparece como el nuevo
nombre del dispositivo en el nodo de nivel superior de la WebUI de vista de árbol.
Si se realiza algún cambio en la configuración actual a través de la CLI, esos cambios no se subirán a NetDefendOS
hasta que el comando:
Si una cometer comando no se emite dentro de un período de tiempo predeterminado de 30 segundos después los cambios se revierten
automáticamente y la configuración antigua restaurada.
42
2.1.4. la CLI Capítulo 2. Gestión y Mantenimiento
Esto es suficiente para la mayoría de las situaciones que requieren un reinicio del sistema. Para apagar y reiniciar ambos NetDefendOS
y reinicializar completamente el hardware, incluyendo el cargador NetDefendOS (equivalente a cambiar el hardware de ahí en adelante)
utiliza el comando:
Un posible efecto secundario de confirmar los cambios aunque la CLI es que cualquier sesión del navegador Interfaz Web que se registra
en el momento de la confirmación, será necesario que el usuario inicie sesión de nuevo. Esto se debe a la vista de la interfaz Web de la
Esto hará que NetDefendOS para escanear la configuración a punto de ser activado y la lista de cualquier problema. Un posible problema que podría
encontrarse de esta manera es una r eferencia a un objeto IP en la libreta de direcciones que no existe una copia de seguridad de configuración
restaurada.
Después de terminar el trabajo con la CLI, se recomienda cerrar la sesión con el fin de evitar que cualquier persona obtener acceso no autorizado al
sistema. Cierre la sesión mediante el uso de la salida o el cerrar sesión mando.
puede necesitar ser configurado a través de la CLI de acceso de administración remota. Supongamos que es el acceso de administración a ser a través
de la interfaz Ethernet IF2 que tiene una dirección IP 10.8.1.34.
En primer lugar, establecemos los valores de los objetos de dirección IPv4 para IF2 que ya existen en el libro NetDefendOS dirección,
comenzando con el IP de la interfaz:
En este ejemplo, las direcciones IP locales se utilizan para la ilustración, pero estos podrían ser públicas las direcciones IPv4 en su lugar.
HTTP_if2:
A continuación, crear un acceso a objetos de gestión remota HTTP, en este ejemplo se llama
Si ahora activar y cometer la nueva configuración, acceso de gestión a distancia a través de la IPv4
43
2.1.5. Secuencias de comandos de la CLI Capítulo 2. Gestión y Mantenimiento
dirección 10.8.1.34 es ahora posible utilizando un navegador web. Si se requiere acceso SSH a continuación, una gestión
RemoteMgmtSSHobjeto
debe ser añadido.
El supuesto hecho con los comandos anteriores es que una todas las redes de ruta existe para la puerta de enlace del ISP. En otras palabras, el
acceso a Internet se ha habilitado para la NetDefend Firewall.
La CLI proporciona un comando llamado SessionManager para la gestión de sesiones de gestión propios. El comando se utiliza
para gestionar todos los tipos de sesiones de gestión, incluyendo:
El comando sin ninguna opción da un resumen de las sesiones abiertas en ese momento:
Para ver una lista de todas las sesiones utilizan el - lista opción. A continuación se muestra una cierta salida típica que muestra la sesión de consola
local:
Si el usuario tiene privilegios de administrador completos, que pueden poner fin a la fuerza a otra sesión de gestión utilizando el - desconectar
de la opción SessionManager mando.
Para permitir que el administrador para almacenar y ejecutar conjuntos de comandos de la CLI fácilmente, NetDefendOS proporciona una función
llamada secuencias de comandos CLI.UN escritura de la CLI es una secuencia predefinida de comandos de la CLI que se pueden ejecutar después de
que se guardan en un archivo y el archivo se sube a la NetDefend Firewall.
Los pasos para crear una secuencia de comandos CLI son los siguientes:
1. Crear un archivo de texto con un editor de texto que contiene una lista secuencial de los comandos de la CLI, uno por línea.
La convención recomendada D-Link es que estos archivos utilizan la extensión de archivo.SGS ( S eguridad
GRAMO ateway S cripta). El nombre de archivo, incluyendo la extensión, no debe contener más de 16 caracteres.
2. Sube el archivo en el servidor de seguridad NetDefend usando Secure Copy (SCP). Los archivos de comandos deben ser almacenados
44
2.1.5. Secuencias de comandos de la CLI Capítulo 2. Gestión y Mantenimiento
la CLI guión comando es la herramienta utilizada para la gestión de la escritura y ejecución. La sintaxis completa del comando se
describe en el Guía de referencia de la CLI y ejemplos específicos de uso se detallan en las siguientes secciones. Ver también Sección
2.1.4, “El CLI” en este manual.
Si aparece cualquier otro comando en un archivo de script, se ignora durante la ejecución y un mensaje de advertencia se emite. Por
ejemplo, el silbido comando será ignorado.
Como se mencionó anteriormente, la -execute guión comando inicia un archivo script llamado que se ha cargado previamente a la
NetDefend Firewall. Por ejemplo, para ejecutar el archivo de scriptmy_script.sgs
que ya ha sido cargado, el comando CLI sería:
Un archivo de script puede contener cualquier número de variables de proceso que se denominan:
$ 1, $ 2, $ 3, $ 4 ...... $ n
Los valores sustituidos para estos nombres de variables se especifican como una lista al final de la -execute guión
línea de comando. El número norte en el nombre de la variable indica la posición del valor de la variable en esta lista.
$ 1 es lo primero, $ 2 ocupa el segundo lugar y así sucesivamente.
Observe que el nombre de la primera variable es de $ 1. La variable $ 0 está reservado y siempre se sustituye antes de la
ejecución por el nombre del archivo de secuencia de comandos.
Por ejemplo, un script llamado my_script.sgs está para ser ejecutado con la dirección IP 126.12.11.01 reemplazando todas las ocurrencias de $ 1 en el
archivo de secuencia de comandos y la cadenadirección IF1 reemplazando todas las ocurrencias de $ 2.
Para ejecutar este archivo de comandos después de la carga, el comando CLI sería:
45
2.1.5. Secuencias de comandos de la CLI Capítulo 2. Gestión y Mantenimiento
Cuando se ejecuta el archivo de comandos, la sustitución variables significaría que el archivo se convierte en:
secuencias de comandos de la CLI no son, por defecto, validado. Esto significa que el pedido por escrito de la secuencia de comandos no importa. No
puede ser una referencia a un objeto de configuración en el comienzo de una secuencia de comandos que sólo se crea al final de la secuencia de
comandos. Aunque esto puede parecer ilógico, que se hace para mejorar la legibilidad de los guiones. Si hay algo que siempre tiene que ser creado
antes de que se hace referencia a continuación, esto puede resultar en un archivo de script confuso y desarticulado y en grandes archivos de
comandos a menudo es preferible agrupar los comandos de la CLI que son similares.
Manejo de errores
Si un archivo de secuencia de comandos CLI ejecutando encuentra una condición de error, el comportamiento por defecto es que el guión para
terminar. Este comportamiento puede ser anulado por el uso de la - fuerza opción. Para ejecutar un archivo script llamado
my_script2.sgs De esta manera, el comando CLI es:
Si - fuerza se utiliza, el script continuará ejecutando incluso si los errores son devueltos por un comando en el archivo de script.
salida de la escritura
Cualquier salida de la ejecución del script aparecerá en la consola CLI. Normalmente esta salida sólo se compone de cualquier mensaje
de error que se producen durante la ejecución. Para ver la confirmación de cada orden de terminar, la - verboso opción debe utilizarse:
Cuando un archivo de script se carga en el servidor de seguridad NetDefend, se mantuvo inicialmente sólo en la memoria RAM temporal. Si
NetDefendOS reinicia entonces cualquier script subidas se perderán de esta memoria volátil y deben subirse de nuevo a correr. Para almacenar un
guión entre puestas en marcha, deberá haber sido expresamente se trasladó a NetDefendOS no volátiles disco mediante el uso de la memoria -store
guión mando.
Por otra parte, todos los scripts se pueden mover a la memoria no volátil con el comando:
46
2.1.5. Secuencias de comandos de la CLI Capítulo 2. Gestión y Mantenimiento
los guión por sí solo, el comando sin ningún parámetro, se enumeran todas las secuencias de comandos disponibles en la actualidad y se indica el
tamaño de cada secuencia de comandos, así como el tipo de memoria donde reside (residencia en la memoria no volátil se indica mediante la palabra
" Disco" en el Memoria columna).
Para listar el contenido de un archivo de script cargado específica, por ejemplo,my_script.sgs el comando sería:
Cuando tiene que ser copiado entre varios servidores de seguridad NetDefend, a continuación, una manera de hacer esto con la CLI de los mismos
objetos de configuración es crear un archivo de secuencia de comandos que crea los objetos requeridos y luego subir a ejecutar y el mismo guión en
cada dispositivo.
Si ya tenemos una instalación NetDefendOS que ya tiene los objetos configurados que necesitan ser copiados, a continuación, ejecutar el-create
guión comando en la instalación que proporciona una forma de crear automáticamente el archivo de secuencia de comandos necesaria.
Este archivo de script puede ser descargado en la estación de trabajo de gestión local y se ha cargado y ejecutado en otros servidores de
seguridad NetDefend duplicar los objetos.
Por ejemplo, supongamos que el requisito es crear el mismo conjunto de IP4Addressobjetos en varios Firewalls NetDefend
que ya existen en una sola unidad. El administrador se conectaría a la unidad individual con la CLI y ejecute el comando:
Esto crea un archivo script llamadonew_script_sgs que contiene todos los comandos de la CLI necesario para crear todos
IP4Addressdirección
de objetos en la configuración de dicha unidad. el contenido del archivo creado podrían, por ejemplo, ser:
"""
El archivo new_script_sgs a continuación, se puede descargar en la SCP a la estación de trabajo de gestión local y luego cargado y ejecutado en los
otros servidores de seguridad NetDefend. El resultado final es que todas las unidades tendrán el mismo IP4Addressobjetos en su libreta de
direcciones.
El nombre del archivo creado usando el - crear opción no puede ser mayor que 16 caracteres de longitud (incluyendo la extensión) y
el tipo de archivo debe ser. SGS.
47
2.1.6. Secure Copy Capítulo 2. Gestión y Mantenimiento
Para una lista de los comandos CLI creado en la consola en lugar de guardar en un archivo, dejar de lado la opción - name
= en el -create guiónmando.
Ciertos aspectos de una configuración que son dependientes del hardware no puede tener una entrada del archivo de secuencia de comandos creada
cuando se utiliza el - crear opción. Esto es cierto cuando el tipo de nodo en el CLI
-create guión
comando es uno de:
• COMPortDevice
• Ethernet
• EthernetDevice
• Dispositivo
Estos tipos de nodos se omiten cuando se crea el archivo de comandos y NetDefendOS da el mensajeNo hay objetos de categoría o tipo
seleccionado.
Cualquier línea en un archivo de secuencia de comandos que se inicia con el # carácter se trata como un comentario. Por ejemplo:
NetDefendOS permite que el archivo de script my_script2.sgs para ejecutar otro archivo de guión y así sucesivamente. La profundidad máxima de este
anidación guión es 5.
sintaxis del comando SCP es sencillo para la mayoría de los clientes basados en la consola. El comando básico que se utiliza aquí es SCP seguido por
la fuente y destino para la transferencia de archivos.
48
2.1.6. Secure Copy Capítulo 2. Gestión y Mantenimiento
Por ejemplo: admin@10.62.11.10: config.bak. la < nombre_usuario> debe ser un usuario NetDefendOS definido en el grupo de usuario del
administrador.
SCP normalmente pedirá la contraseña de usuario después de la línea de comandos, pero que no está pronta se muestra en
los ejemplos que se dan aquí.
En la siguiente tabla se resumen las operaciones que se pueden realizar entre un cliente y NetDefendOS SCP:
Copia de seguridad del sistema (full.bak) Sí (también con WebUI) Sí (también con WebUI)
NetDefendOS mantiene una sencilla estructura de directorios de nivel 2 que consiste en el nivel superior raíz y un número de subdirectorios. Sin
embargo, estos "directorios", tales como sshlclientkey se debe pensar más correctamente como de tipos de objetos. Todos los archivos
almacenados en la raíz NetDefendOS, así como todos los tipos de objetos se pueden visualizar utilizando el comando CLI ls.
GW-mundo: /> ls
HTTPALGBanners /
HTTPAuthBanners /
certificado / full.bak
config.bak script /
sshclientkey /
Además de los archivos individuales, los tipos de objetos que figuran son:
• HTTPALGBanners / -Los archivos HTML de la bandera para la autenticación de usuarios. La posibilidad de subir estos se describe
adicionalmente en Sección 6.3.4.4, “Personalización de WCF HTML Pages”.
• HTTPAuthBanner / - Los archivos de banner para el filtrado de contenido dinámico HTML ALG. La posibilidad de subir estos se describe
adicionalmente en Sección 6.3.4.4, “Perso nalización de WCF HTML Pages”.
49
2.1.7. El menú de la consola de arranque Capítulo 2. Gestión y Mantenimiento
• script / - El tipo de objeto para todas las secuencias de comandos de la CLI. Scripts se describen adicionalmente en Sección 2.1.5, “Secuencias de
comandos de la CLI”.
En algunos casos, un archivo se encuentra en la raíz NetDefendOS. El archivo de licencia ( license.lic) entra en esta categoría, así como los archivos de
copia de seguridad para las configuraciones ( config.bak) y el sistema completo ( full.bak).
Al subir, estos archivos contienen una cabecera única que identifica cuáles son. NetDefendOS comprueba esta cabecera y asegura que el
archivo se almacena sólo en la raíz (todos los archivos no tienen un encabezado).
Si un nombre de usuario administrador es admin1 y la dirección IPv4 del servidor de seguridad es NetDefend
10.5.62.11 a continuación, para cargar una copia de seguridad de configuración, el comando SCP sería:
Para descargar una copia de seguridad de configuración en el directorio actual, el comando sería:
Para cargar un archivo a un tipo de objeto en la raíz, el comando es un poco diferente. Si tenemos un archivo local escritura CLI llamadamy_script.sgs
a continuación, el comando de carga sería:
Si tenemos el mismo archivo de comandos CLI llamada my_scripts.sgs almacenado en el servidor de seguridad NetDefend entonces el comando de
descarga sería:
La activación de Cargas
Al igual que todos los cambios de configuración, sólo subirá SCP se activa después de que los comandos de la CLI activar
se han emitido y esto debe ser seguido por cometer para hacer el cambio permanente.
Subidas de actualizaciones de firmware (empaquetados en. UPG archivos) o una copia de seguridad completa del sistema ( full.bak) son la excepción.
Ambos de estos tipos de archivo se traducirá en un reinicio automático del sistema. La otra excepción es para la carga de secuencias de comandos que
no afectan a la configuración.
los NetDefendOS cargador es el software de base sobre la cual corre NetDefendOS y la interfaz directa del administrador para esto se
llama el menú de arranque de la consola ( también conocido simplemente como la
menú de arranque). Esta sección analiza las opciones del menú de arranque.
El menú de arranque sólo se puede acceder a través de un dispositivo de consola conectada directamente a la consola de serie ubicado en la
NetDefend Firewall. Se puede acceder a través de la consola después de la NetDefend Firewall está encendido y antes de NetDefendOS esté
totalmente activado.
Pulse
Después de encender el NetDefend Firewall, hay un segundo intervalo de 3 antes de NetDefendOS se pone en marcha y en ese tiempo el mensaje
cualquier tecla para abortar y menú de arranque de carga se visualiza como se muestra
50
2.1.7. El menú de la consola de arranque Capítulo 2. Gestión y Mantenimiento
abajo:
Si se pulsa cualquier tecla de la mesa durante estos 3 segundos y luego hace una pausa de inicio y la NetDefendOS
menú de arranque de la consolase visualiza.
Cuando NetDefendOS se inicia por primera vez sin la contraseña de la consola fija para acceso a la consola a continuación se muestra el conjunto
completo de opciones de menú de arranque, como se muestra a continuación:
1. iniciar cortafuegos
Esto inicia la puesta en marcha completa del software NetDefendOS en el NetDefend Firewall.
Esta opción restaurará el hardware a su estado inicial de fábrica. Las operaciones que se realizan si se selecciona esta opción son
los siguientes:
Esto sólo se restablecerá la configuración a ser el, archivo de configuración por defecto NetDefendOS srcinales. Otras opciones, como la
seguridad de la consola, no se verán afectados.
Establecer una contraseña para el acceso a la consola. Hasta que se establece una contraseña, cualquier persona puede utilizar la consola
para seleccionar configuración de la contraseña tan pronto como sea posible se recomienda. Una vez configurada, la consola le pedirá la
contraseña antes de permitir el acceso a cualquiera el menú de inicio o la interfaz de línea de comandos (CLI).
Si una contraseña de l a consola se establece a continuación, las opciones iniciales que aparecen cuando NetDefendOS carga se interrumpe con una
pulsación de tecla se muestra a continuación.
51
2.1.8. Configuración avanzada de gestión Capítulo 2. Gestión y Mantenimiento
Una vez que la contraseña de la consola se establece que se puede eliminar mediante la selección de la Configurar contraseña de la consola opción en
el menú de inicio y entrar nada como la contraseña y simplemente presionando el Entrar clave para el indicador.
La contraseña establecida para la consola no está conectada a las combinaciones de nombre de usuario / contraseña de gestión utilizados para el
acceso de administrador a través de un navegador web. Es válido sólo para acceso a la consola.
Defecto: Activado
Defecto: Activado
Número de segundos de inactividad hasta que el usuario consola local se registra de forma automática.
Defecto: 900
Especifica la cantidad de segundos de espera para que el administrador iniciar sesión antes de volver a la configuración anterior.
Defecto: 30
52
2.1.9. Trabajar con Configuraciones Capítulo 2. Gestión y Mantenimiento
Defecto: 80
Defecto: 443
Certificado HTTPS
Especifica el certificado a utilizar para el tráfico HTTPS. Sólo los certificados RSA son compatibles.
Defecto: HTTPS
Objetos de configuración
La configuración del sistema se construye por Objetos de configuración, donde cada objeto representa un elemento configurable de ningún tipo.
Ejemplos de objetos de configuración son entradas de enrutamiento de mesa, las entradas de la libreta de direcciones, las definiciones de servicio,
reglas de IP y así sucesivamente. Cada objeto de configuración tiene un número de propiedades que constituyen los valores del objeto.
Tipos de objetos
Un objeto de configuración tiene un tipo bien definido. El tipo define las propiedades que están disponibles para el objeto de
configuración, así como l as restricciones para esas propiedades. Por ejemplo, l a IP4Address
tipo se utiliza para todos los objetos de configuración que representan una dirección IPv4 nombrado.
Organización de objetos
En la interfaz web de configuración de los objetos se organizan en una estructura de árbol basado en el tipo de objeto.
En la CLI, tipos de objetos de configuración similares se agrupan juntos en una categoría. Estas categorías son diferentes de la estructura
utilizada en la Interfaz Web para permitir un acceso rápido a los objetos de configuración de la CLI. Los tipos IP4Address, IP4Group y
direccionethernet son, por ejemplo, agrupadas en una categoría denominada Dirección, ya que todos ellos representan diferentes direcciones. En
consecuencia, los objetos Ethernet VLAN y se agrupan en una categoría denominada Interfaz, como lo son todos los objetos de la interfaz. Las
categorías tienen en realidad ningún impacto en la configuración del sistema; que se proporcionan simplemente como un medio para simplificar
la administración.
Para averiguar qué existen objetos de configuración, puede recuperar una lista de los objetos. Este ejemplo muestra cómo enumerar todos los objetos de servicio.
Se mostrará una lista de todos los servicios, agrupados por su respectivo tipo.
53
2.1.9. Trabajar con Configuraciones Capítulo 2. Gestión y Mantenimiento
Interfaz web
1. Ir a: Objetos> Servicios
2. Se presentará la página web una lista de todos los servicios. Una lista
• Añadir Botón -Muestra un menú desplegable al hacer clic. El menú mostrará una lista de todos los tipos de elementos de configuración que se pueden agregar a la lista.
• cabecera -La fila de encabezado muestra los títulos de las columnas de la lista. Las diminutas imágenes flecha situada junto a cada título se pueden utilizar para
clasificar la lista según esa columna.
• filas -Cada fila de la lista corresponde a un elemento de configuración. Por lo general, cada fila comienza con el nombre del objeto (si el
elemento tiene un nombre), seguido por los valores de las columnas de la lista. Una sola fila de la lista se puede seleccionar haciendo clic en la fila
en un lugar donde no hay ningún hipervínculo. El color de fondo de la fila se vuelve azul oscuro. Haga clic en la fila se mostrará un menú que le da
la opción de editar o eliminar el objeto, así como modificar el orden de los objetos.
El valor de la propiedad
-- -- -- -- -- -- -- -- - -- -- -- -
Nombre: telnet
DestinationPorts: 23
SourcePorts TCP:: Tipo
0-65535
SYNRelay: No
PassICMPReturn: No
ALG: (ninguno)
MaxSessions: 1000
Comentarios: Telnet
La columna Propiedad enumera los nombres de todas las propiedades de la clase ServiceTCPUDP y la columna Valor muestra los valores de propiedad
correspondientes.
Interfaz web
1. Ir a: Objetos> Servicios
Nota
Cuando se accede a través de la CLI objeto se puede omitir el nombre de la categoría y sólo tiene que utilizar el nombre del
tipo. El comando CLI en el ejemplo anterior, por ejemplo, podría simplificarse a:
54
2.1.9. Trabajar con Configuraciones Capítulo 2. Gestión y Mantenimiento
Cuando se cambia el comportamiento de NetDefendOS, lo más probable es necesario modificar uno o varios objetos de configuración. Este ejemplo muestra
cómo editar elcomentariospropiedad de la telnetServicio.
El valor de la propiedad
-- -- -- -- -- -- -- -- - -- -- -- -
Nombre: telnet
DestinationPorts: 23
SourcePorts TCP:: Tipo
0-65535
SYNRelay: No
PassICMPReturn: No
ALG: (ninguno)
MaxSessions: 1000
Comentarios: Comentario Modificado
Interfaz web
1. Ir a: Objetos> Servicios
Los cambios en un objeto de configuración no se pueden aplicar a un sistema en funcionamiento hasta que se active la
configuración nuevos NetDefendOS.
Este ejemplo muestra cómo añadir un nuevo IP4Addressobjeto, aquí la creación de la dirección IPv4 192.168.10.10,a la libreta de direcciones.
El valor de la propiedad
--- -- --- -- --- --- -- --- --- --- -- --- --
Nombre: myhost Dirección:
192.168.10.10 UserAuthGroups: (ninguno)
NoDefinedCredentials: No
Comentarios: (ninguno)
55
2.1.9. Trabajar con Configuraciones Capítulo 2. Gestión y Mantenimiento
Interfaz web
Interfaz web
La fila se representa con una línea de penetración lo que indica que el objeto está marcado para eliminación.
Un objeto eliminado siempre puede ser restaurada hasta que la configuración se ha activado y comprometido. Este ejemplo muestra cómo restaurar el
objeto IP4Address borrado se muestra en el ejemplo anterior.
Interfaz web
Después de modificar varios objetos de configuración, es posible que desee ver una lista de los objetos que se han cambiado, añadir y eliminar
desde la última confirmación.
56
2.2.5. Ingreso a los ejércitos Syslog Capítulo 2. Gestión y Mantenimiento
Visión de conjunto
syslog es un protocolo estandarizado para el envío de datos de registro, aunque no existe un formato estandarizado para los mensajes
de registro en sí. El formato utilizado por NetDefendOS se adapta bien a tratamiento automatizado, filtrado y búsqueda.
Aunque el formato exacto de cada entrada de registro depende de cómo funciona un receptor Syslog, la mayoría son muy parecidos. La forma en que
se leen registros también depende de cómo funciona el receptor syslog. demonios de registro del sistema en servidores UNIX suele conectarse a
archivos de texto, línea por línea.
La mayoría de los receptores Syslog prefacio cada entrada de registro con una marca de tiempo y la dirección IP de la máquina que envía los datos de
registro:
Con el fin de facilitar el procesamiento automatizado de todos los mensajes, NetDefendOS escribe todos los datos de registro a una sola línea de texto.
Todos los datos siguientes del texto inicial se presenta en el formato nombre = valor. Esto permite a los filtros automáticos para encontrar fácilmente los
valores que están buscando sin asumir que una parte específica de los datos está en una ubicación específica en la entrada de registro.
los prio = campo en los mensajes Syslog contiene la misma información que Gravedad
la campo para los mensajes de
D-Link Logger. Sin embargo, el orden de la numeración se invierte.
Para habilitar el registro de todos los eventos con una gravedad mayor que o igual a la Guía para un servidor Syslog con la dirección IP
195.11.22.55, siga los pasos que se indican a continuación:
Interfaz web
4. Seleccionar una instalación adecuada de la Instalacioneslista - el nombre de la instalación se utiliza comúnmente como un parámetro de filtro en
la mayoría de los demonios de registro del sistema.
El sistema será ahora registrando todos los eventos con una gravedad mayor que o igual a la Guía para el servidor syslog en
195.11.22.55.
61
2.2.6. Filtrar gravedad y Mensaje Capítulo 2. Gestión y Mantenimiento
Excepciones
El servidor syslog puede tener que ser configurado para recibir mensajes de registro de NetDefendOS. Por favor,
consulte la documentación de servidores Syslog específicos con el fin de configurar correctamente.
El Filtro de Gravedad
los Filtro de Gravedad es un medio de especificar qué niveles de gravedad, en su caso, se envían al receptor. Por defecto, todos los mensajes
excepto log Depurar se envían. Esto puede ser aún más restringido así, por ejemplo, sólo
Alerta de emergencia y Crítico los mensajes se envían.
Después se aplica el filtro gravedad, cualquier Entrar excepciones de mensajes se aplican a los mensajes generados. No puede haber más de una
excepción de mensajes para un receptor de registro y cada uno se compone de los siguientes:
• Categoría e ID
Esto especifica los mensajes de registro que se verán afectados por la excepción. Si no se especifica el número de identificación del mensaje de
registro a continuación, todos los mensajes de registro para la categoría especificada se incluirán.
• Tipo
yo. Excluir -Esto excluirá el mensaje de registro especificado (s), incluso si se les permite por el filtro de la gravedad.
ii. incluir -Esto incluirá el mensaje de registro especificado (s), incluso si están excluidos por el filtro de la gravedad.
además, el Gravedaddel mensaje (s) incluido puede ser especificado. Si esto se establece en
Defecto se utiliza la gravedad srcinales. De lo contrario, la gravedad se establece en el valor especificado. Esto proporciona la capacidad
de subir (o bajar) la gravedad de los mensajes de registro específicos.
El protocolo SNMP
Protocolo Simple de Manejo de Red (SNMP) es un medio para la comunicación entre un Sistema de Gestión de Red
Leer
(NMS) y un dispositivo gestionado. SNMP define 3 tipos de mensajes: una
de comandos para un NMS para examinar un dispositivo gestionado, una Escribir comando para modificar el estado de un dispositivo gestionado y una Trampa
que es utilizado por los dispositivos gestionados para enviar mensajes de forma asíncrona a un NMS sobre un cambio de estado.
62
2.2.8. Configuración de registro avanzada Capítulo 2. Gestión y Mantenimiento
NetDefendOS lleva el concepto de un SNMP Trap un paso más allá al permitir alguna mensaje de evento que se enviará como una trampa
SNMP. Esto significa que el administrador puede configurar SNMP notificación de captura de eventos que se consideran importantes en el
funcionamiento de una red.
El archivo DFLNNN-TRAP.MIB ( dónde NNN indica el número de modelo del firewall) es proporcionado por D-Link y define los
objetos SNMP y tipos de datos que se utilizan para describir un SNMP Trap recibió de NetDefendOS.
Nota
Hay un archivo MIB diferente para cada modelo de NetDefend Firewall. Asegúrese de que se utiliza el archivo correcto.
Para cada modelo NetDefend Firewall no es un objeto genérico llamado trampa DLNNNosGenericTrap,
que se utiliza para todas las trampas (dondeNNN indica el número de modelo). Este objeto incluye los siguientes parámetros:
Esta información puede ser una referencia cruzada a la Entrar Guía de referencia.
NetDefendOS envía trampas SNMP que se basa en el estándar SNMPv2c como se define en
RFC1901, RFC1905 y RFC1906.
Para habilitar la generación de trampas SNMP para todos los eventos con una gravedad mayor que o igual a Alert a una trampa SNMP receptor con una dirección IP de
195.11.22.55, siga los pasos que se indican a continuación:
Interfaz web
El sistema será ahora el envío de capturas SNMP para todos los eventos con una gravedad mayor que o igual a Alert a un receptor de trampas SNMP al
195.11.22.55.
63
2.2.8. Configuración de registro avanzada Capítulo 2. Gestión y Mantenimiento
Las siguientes opciones avanzadas para NetDefendOS registro de eventos están disponibles para el administrador:
Enviar Límite
Esta configuración especifica los mensajes de registro máximos que NetDefendOS enviará por segundo. Este valor no debe ser
demasiado baja ya que esto puede resultar en eventos importantes no están registrados, ni tampoco debe ser demasiado alto. Cuando se
supera el máximo, los mensajes en exceso se eliminan y no se almacenan.
El administrador debe hacer caso por caso un juicio acerca de la carga de mensajes que ingrese servidores pueden tratar. A menudo, esto puede
depender de la plataforma de hardware de servidor que se utiliza y si los recursos de la plataforma están siendo compartidos con otras tareas.
Defecto: 2000
El retraso en segundos entre las al armas cuando se usa una alarma continua. Como se discutió en
Sección 2.4.3, “Monitorización de hardware”, los mensa jes de sucesos de registro generados por monitoreo de hardware son continuas y este
ajuste se deben utilizar para limitar la frecuencia de esos mensajes.
Defecto: 60 ( un minuto)
64
2.3. Radio de la contabilidad Capítulo 2. Gestión y Mantenimiento
Dentro de un entorno de red que contiene un gran número de usuarios, es ventajoso tener una o un grupo de servidores centrales que
mantienen la información de la cuenta de usuario y son responsables de las tareas de autenticación y autorización. La base de datos
central que residen en dichos servidores dedicados contiene todas las credenciales de usuario, así como detalles de las conexiones.
los La autenticación remota telefónica de servicio de usuario ( RADIUS) es una Autenticación, autorización y contabilidad ( AAA) de protocolo
ampliamente utilizado para implementar este enfoque base de datos central y es utilizado por NetDefendOS para implementar el control de usuarios.
RADIUS Arquitectura
El protocolo RADIUS se basa en una arquitectura cliente / servidor. El NetDefend Firewall actúa como el cliente del servidor RADIUS,
crear y enviar peticiones a un servidor (s) dedicado. En la terminología de RADIUS el servidor de seguridad actúa como el Network
Access Server ( NAS).
Para la autenticación de usuario, el servidor RADIUS recibe las solicitudes, verifica la información del usuario mediante la consulta de la base
de datos y devuelve o una "aceptar" o "rechazar" respuesta al cliente solicitante.
Con el estándar RFC 2866, RADIUS se amplió para manejar la entrega de la información contable y este es el estándar seguido por
NetDefendOS para la contabilidad de usuario. De esta manera, todos los beneficios de los servidores centralizados de este modo se
extendieron a la contabilidad de conexión de usuario.
El uso de RADIUS para la autenticación NetDefendOS se discute enSección 8.2, “Configuración de la autenticación”.
mensaje Generación
Estadísticas, como el número de bytes enviados y recibidos, y el número de paquetes enviados y recibidos son actualizados y almacenados a lo largo
sesiones RADIUS. Todas las estadísticas se actualizan para un usuario autenticado cada vez que una conexión relacionada con un usuario
autenticado está cerrado.
Cuando una nueva sesión de cliente se inicia por un usuario establecer una nueva conexión a través del servidor de seguridad
NetDefend, NetDefendOS envía unaAccountingRequest COMIENZOmensaje a un servidor RADIUS nominado, para registrar el inicio
de la nueva sesión. información de la cuenta del usuario también se entrega al servidor RADIUS. El servidor enviará de vueltaAccountingResponse
un
mensaje a NetDefendOS, reconociendo que el mensaje ha sido recibido.
Cuando un usuario ya no está autenticado, por ejemplo, después de que el usuario cierra la sesión o el tiempo de la sesión expira, una AccountingRequest
DETENER mensaje es enviado por NetDefendOS que contienen las estadísticas de la sesión pertinentes. La información incluida en estas estadísticas
es configurable por el usuario. El contenido de la COMIENZOy DETENER mensajes se describen en detalle a continuación:
• Tipo -Marcas esta AccountingRequest como indica el comienzo del servicio (START).
sesenta y cinco
2.3.2. Los mensajes RADIUS Accounting Capítulo 2. Gestión y Mantenimiento
• CARNÉ DE IDENTIDAD Un
- identificador único para permitir la adaptación de un AccountingRequest con juego Acct-Status-Type a la posición
STOP.
• Nombre de usuario El
- nombre de usuario del usuario autenticado.
• La dirección IP NAS La
- dirección IP del servidor de seguridad NetDefend.
• NAS Puerto -El puerto de la NAS en que haya sido autenticado el usuario (esto es una interfaz física y no un puerto
TCP o UDP).
• Tiempo de retardo El - retardo de tiempo (en segundos) desde el paquete AccountingRequest se envió y se recibió el acuse de
recibo de autenticación. Esto puede restarse de la hora de llegada en el servidor para encontrar el tiempo aproximado del hecho
generador de este AccountingRequest. Tenga en cuenta que esto no refleja retrasos en la red. El primer intento tendrá este
parámetro se establece en 0.
• Marca de tiempo El
- número de segundos desde el 1 de enero de 1970. Se utiliza para establecer una marca de tiempo cuando este paquete fue
enviado desde NetDefendOS.
• Tipo -Marca esta solicitud de contabilidad como indica el final de una sesión (STOP).
• CARNÉ DE IDENTIDAD Un
- identificador de búsqueda de un paquete AccountingRequest enviado previamente, con Acct-Status-Type SET para
iniciar.
• Nombre de usuario El
- nombre de usuario del usuario autenticado.
• La dirección IP NAS La
- dirección IP del servidor de seguridad NetDefend.
• NAS Puerto El
- puerto en el NAS en que haya sido autenticado el usuario. (Esta es una interfaz física y no un puerto
TCP o UDP).
• Bytes de entrada El
- número de bytes recibidos por el usuario. (*)
• Bytes de salida El
- número de bytes enviados por el usuario. (*)
• Tiempo de sesión El
- número de segundos que duró esta sesión. (*)
• Terminación Causa La
- razón por la cual se dio por terminada la sesión.
66
2.3.3. Los mensajes de Contabilidad provisionales Capítulo 2. Gestión y Mantenimiento
• Marca de tiempo El
- número de segundos desde 1970-01-01. Se utiliza para establecer una marca de tiempo cuando este paquete fue enviado
desde el servidor de seguridad NetDefend. Además, dos atributos más pueden ser enviados:
• Gigawords de entradaIndica - cuántas veces el contador de bytes de entrada ha envuelto. Esto sólo se envía si Bytes de entrada ha
envuelto, y si se envía el atributo de entrada Bytes.
• Gigawords de salidaIndica - cuántas veces la salida Bytes contador ha envuelto. Esto sólo se envía si la Salida Bytes
ha envuelto, y si se envía el atributo de bytes de salida.
El símbolo asterisco (*) después de una entrada en la lista anterior indica que el envío del parámetro es opcional y
se puede configurar.
Además deCOMIENZOy DETENER mensajes NetDefendOS opcionalmente pueden enviar periódicamente Los mensajes de Contabilidad
provisionales para actualizar el servidor de contabilidad con el estado actual de un usuario autenticado.
Un mensaje de contabilidad intermedia puede ser visto como una instantánea de los recursos de red que un usuario autenticado ha utilizado
hasta un punto dado. Con esta característica, el servidor RADIUS puede realizar un seguimiento de la cantidad de bytes y paquetes de un usuario
autenticado ha enviado y recibido hasta el momento en que se envió el último mensaje.
Un mensaje de contabilidad provisional contiene los valores actuales de las estadísticas para un usuario autenticado. Contiene más o menos los
mismos parámetros que se encuentran en una solicitud de contabilidadDETENERmensaje, excepto que elAcct-Terminate-Cause no se incluye
(como el usuario no se ha desconectado todavía).
Frecuencia de mensajes
La frecuencia de los mensajes de cuentas provisionales se puede especificar en el servidor de autenticación o en NetDefendOS.
Cambio de la configuración en NetDefendOS anulará la configuración en el servidor de contabilidad.
• Un objeto de autenticación de usuario debe tener una regla asociada a ella, donde se especifica un servidor RADIUS.
Al configurar el servidor RADIUS en sí para comunicarse con NetDefendOS, es necesario introducir un valor
para el ID de proveedor vid).
( Este valor debe especificarse como
5089.
67
2.3.5. RADIUS Seguridad Contabilidad Capítulo 2. Gestión y Mantenimiento
• El mismo servidor RADIUS no tiene que manejar tanto la autenticación y contabilidad; un servidor puede ser responsable de la
autenticación mientras que otro es responsable de las tareas de contabilidad.
• Los servidores RADIUS múltiples se pueden configurar en NetDefendOS para tratar el caso cuando el servidor primario es
inalcanzable.
El secreto compartido entre mayúsculas y minúsculas, puede contener hasta 100 caracteres, y se debe escribir exactamente lo mismo para
NetDefendOS y para el servidor RADIUS.
Los mensajes se envían utilizando el protocolo UDP y el número de puerto predeterminado utilizado se 1813 aunque esto es configurable por el
usuario.
Dos hechos contables especiales también son utilizados por la unidad activa para mantener la unidad pasiva sincronizado:
• Un AccountingStartevento es enviado al miembro inactivo en una configuración de HA cada vez que una respuesta ha sido recibida desde el
servidor de contabilidad. Esto especifica que la información contable debe ser almacenado para un usuario autenticado específica.
• Un problema con la contabilidad de la sincronización de información podría ocurrir si una unidad activa tiene un usuario autenticado para
los que los tiempos de conexión asociados fuera antes de que se sincroniza en la unidad inactiva.
Para solucionar este problema, un especialAccountingUpdateevento se envía a la unidad pasiva en un tiempo de espera y esto
contiene la información contable más reciente para las conexiones.
Sólo después de NetDefendOS ha hecho tres intentos de alcanzar el servidor va a la conclusión de que el servidor de contabilidad es
inalcanzable. El administrador puede utilizar las avanzadas de configuración de NetDefendOS
68
2.3.8. Contabilidad y apagados del Capítulo 2. Gestión y Mantenimiento
sistema
En el caso de que el administrador del servidor de seguridad NetDefend emite un comando de apagado mientras que los usuarios autenticados
están todavía en línea, la AccountingRequest DETENER potencialmente no enviará paquetes. Para evitar esto, la configuración avanzada
Cerrar
sesión en el apagado
Permite al administrador especificar explícitamente que NetDefendOS deben enviar primero una DETENER mensaje para
los usuarios autenticados a cualquier servidor RADIUS configurado antes de comenzar con el apagado.
Esto puede suceder, por ejemplo, cuando varios usuarios están detrás de la misma red utilizando NAT para permitir el acceso a la
red a través de una única dirección IP externa. Esto significa que tan pronto como un usuario se autentica, el tráfico que viene a
través de esa dirección IP NAT podría asumirse que puede venir desde que un usuario autenticado a pesar de que puede venir de
otros usuarios en la misma red. Por lo tanto, NetDefendOS Radio de la contabilidad se reúnen estadísticas de todos los usuarios de
la red juntos como si fueran un solo usuario en lugar de individuos.
Si no hay respuesta por parte de una contabilidad RADIUS configurado el servidor al enviar los datos de contabilidad para un usuario que ya
ha sido autenticado, a continuación, habilitar esta configuración significa que el usuario continuará estar conectado.
La desactivación del ajuste significará que el usuario se registra si el servidor RADIUS de contabilidad no puede ser alcanzado a
pesar de que el usuario ha sido autenticado previamente.
Defecto: Activado
Si hay un cierre ordenado de la NetDefend Firewall por el administrador, entonces NetDefendOS retrasará la desconexión hasta que se
haya enviado la contabilidad RADIUS DETENERmensajes a cualquier servidor RADIUS configurado.
Si esta opción no está activada, NetDefendOS se apagará a pesar de que puede haber sesiones de contabilidad RADIUS que
no se han eliminado correctamente. Esto podría llevar a la situación de que el servidor RADIUS asumirá los usuarios todavía
se registran en sus sesiones a pesar de que se han terminado.
Defecto: Activado
69
2.3.10. Configuración avanzada de RADIUS Capítulo 2. Gestión y Mantenimiento
El número máximo de contextos permitidos con RADIUS. Esto se aplica a RADIUS utilizar tanto con la contabilidad y la
autenticación.
Defecto: 1024
Este ejemplo muestra configuración de un servidor RADIUS local conocido como radio-contablecon la dirección IP
123.04.03.01utilizando el puerto 1813.
Interfaz web
2. Ahora ingrese:
• Nombre:radio-contable
• Dirección IP:123.04.03.01
• Puerto:1813
• Secreto compartido:
Ingrese una contraseña
• Confirmar secreto:
vuelva a introducir la contraseña
• Tabla de ruteo:
principal
70
2.4. Supervisión Capítulo 2. Gestión y Mantenimiento
2.4. Supervisión
El rendimiento en tiempo real de NetDefendOS se puede controlar en un número de maneras. Son:
Visión de conjunto
los enlace monitor es una característica NetDefendOS que permite la monitorización de la conectividad a una o más direcciones IP
externa a la NetDefend Firewall. Este seguimiento se realiza mediante solicitudes ICMP estándar "ping" y permite NetDefendOS para
evaluar la disponibilidad de las vías de la red a estas direcciones IP. El administrador puede seleccionar una de una serie de acciones
que se produzca debería aparecer a ser roto por alguna razón una vía.
La función de supervisión de enlace sólo está disponible con el D-Link DFL-NetDefend 1600,
1660, 2500, 2560 y 2560G.
Si suficientes respuestas no se reciben a Monitor de Enlace de votación, NetDefendOS hace la suposición de que el enlace común a los que la
dirección IP es hacia abajo y luego puede iniciar una de las 3 acciones configurables:
• A NetDefendOS reconfiguran.
El reconfigure que puede ser desencadenada por el Monitor de Enlace tiene un aspecto especial para ella. El reconfigure Enlace Monitor tiene la acción
adicional de reiniciar todas las interfaces. Esto significa que si hay un problema relacionado con una tarjeta de red Ethernet en particular, tal vez debido
a una sobrecarga, entonces esto se puede borrar la inicialización de interfaz. Esto da como resultado solamente un retraso momentáneo en el
rendimiento, mientras que la reconfiguración se lleva a cabo.
• Un dispositivo externo se desarrolla un problema ocasional con su enlace a la NetDefend Firewall y el enlace físico necesita ser
renegociado. Tales problemas pueden ocurrir a veces con algunos equipos más antiguos, tales como ADSL Módems. Para esta
acción escenario 1. Reconfigurardebe ser seleccionado.
A reconfigure significa que la configuración NetDefendOS se volverá a cargar. Todas las conexiones y los estados se guardan para la
reconfiguración pero volver a cargar significa que todo el tráfico se suspende durante un corto
71
2.4.1. El Monitor de Enlace Capítulo 2. Gestión y Mantenimiento
período y todos los enlaces de interconexión con los dispositivos externos se vuelven a negociar.
• En una configuración de clúster de alta disponibilidad, el enlace desde el maestro a la Internet externa (u otra parte de una r ed) puede ser
monitoreado continuamente por lo que si el enlace falla, el esclavo se hará cargo de (suponiendo que el esclavo tiene una conexión física
diferente a la dirección supervisado). La acción elegida para HA debe ser 2. conmutación por error
o 3. conmutación por error y
reconfigurar.
Si la primera opción de acción 1. Reconfigurarse elige en un clúster de alta disponibilidad, entonces el reconfigure también causará una
conmutación por error, ya que suspenderá temporalmente la operación del maestro, mientras que la reconfiguración se lleva a cabo y el
esclavo se hará cargo cuando detecta esta inactividad. Si reconfiguración con conmutación por error es deseable que es mejor seleccionar la
opción 3. conmutación por error y reconfigurar
ya que esto hace la conmutación por error y la primera es casi instantánea, casi sin
interrupción del tráfico. Reconfigurar primera es más lenta y los resultados de alguna interrupción del tráfico.
Para preservar todos los túneles VPN en un escenario, lo mejor es elegir el 2. conmutación por error
opción ya una reconfiguración puede
causar algunos túneles que se pierdan.
El uso más común para la supervisión enlace está en el escenario de clúster HA descrito anteriormente. Es importante que el maestro y
el esclavo no duplican la misma condición que provocó el Monitor de Enlace. Por ejemplo, si un router en particular conectado a la
maestro NetDefend Firewall estaba siendo "ping" por Link Control, el esclavo no se debe también conectado a ese enrutador. Si lo es, por
continuación del disparo de una reconfiguración por el Monitor de Enlace luego hacer que el esclavo de conmutación por error al maestro,
que a su vez la conmutación por error de vuelta al esclavo de nuevo y así sucesivamente.
Si es importante para no permitir una conmutación por error durante la reconfiguración de la unidad activo en un clúster HA entonces la configuración
avanzada Reconf Tiempo de conmutación por e rror
se debe establecer en un valor que no es ni demasiado baja o demasiado alta.
Más información sobre los grupos se pueden encontrar en Capítulo 11, de alta disponibilidad.
72
2.4.2. Monitoreo SNMP Capítulo 2. Gestión y Mantenimiento
Pérdida máxima Un único host se considera inalcanzable si este número de respuestas de ping
consecutivos a ese host no se contestan a.
Periodo de gracia No permita que el monitor de enlace para desencadenar una acción para este número de
segundos después de la última reconfiguración. Esto evita falsos positivos durante la
negociación del enlace inicial. El valor predeterminado es de 45 segundos.
Envíe de dirección IP compartida Esta opción sólo aparece en un clúster de alta disponibilidad y se debe utilizar si las
direcciones IPv4 públicas individuales no están disponibles para los dispositivos en un clúster.
Visión de conjunto
Protocolo Simple de Manejo de Red ( SNMP) es un protocolo estandarizado para la gestión de dispositivos de red. Un cliente
compatible SNMP puede conectarse a un dispositivo de red que soporte el protocolo SNMP para consultar y controlarlo.
NetDefendOS soporta SNMP versión 1 y 2. La conexión puede realizarse por cualquier cliente compatibles con SNMP a los dispositivos
con NetDefendOS. Sin embargo, sólo se permiten operaciones de consulta por razones de seguridad. Específicamente, NetDefendOS
admite las siguientes operaciones solicitud SNMP por un cliente:
El MIB NetDefendOS
los Base de Información de Gestión ( MIB) es una base de datos, por lo general en forma de un archivo de texto, que define los parámetros en
un dispositivo de red que un cliente SNMP puede consultar o cambiar. El archivo MIB para un dispositivo que ejecuta NetDefendOS se
distribuye con el paquete de distribución NetDefendOS norma como un archivo con el nombre DFLNNN-TRAP.MIB ( dónde NNN indica el
número de modelo del servidor de seguridad).
Este archivo MIB debe ser transferido al disco duro de la estación de trabajo que va a ejecutar el cliente de SNMP para que pueda ser importado
por el software de cliente. Cuando el cliente SNMP se ejecuta, el archivo MIB se lee y le dice al cliente qué valores se pueden consultar en un
dispositivo NetDefendOS.
acceso SNMP se define a través de la definición de un NetDefendOSRemoto objeto con una Modo valor de SNMP. El objeto remoto
• comunidad La
- cadena de comunidad que proporciona seguridad de contraseñas para los accesos.
La cadena de comunidad
73
2.4.2. Monitoreo SNMP Capítulo 2. Gestión y Mantenimiento
Seguridad para SNMP versiones 1 y 2c es manejado por el cadena de comunidadque es lo mismo que una contraseña para el acceso
SNMP. La cadena de comunidad debe ser difícil de adivinar y por lo tanto debe ser construido de la misma manera que cualquier otra
contraseña, usando combinaciones de letras mayúsculas y minúsculas junto con los dígitos.
La configuración avanzada SNMP Antes de Reglascontroles si la regla IP establecida cheques todos los accesos por los clientes SNMP. Esta es
desactivada de forma predeterminada y la recomendación es para que siempre este ajuste.
El efecto de la activación de este valor es añadir un invisible Permitirregla en la parte superior del c onjunto de reglas IP que permite
automáticamente accede en el puerto 161 de la red y en la interfaz especificada para el acceso SNMP. El puerto 161 se utiliza generalmente
para SNMP y NetDefendOS siempre espera que el tráfico SNMP en ese puerto.
Cabe señalar que el SNMP versión 1 ó 2c acceso significa que la cadena de comunidad se enviará como texto sin formato en una red.
Esto es claramente inseguro si un cliente remoto se comunica a través de Internet pública. Por tanto, es aconsejable disponer de
acceso remoto tienen lugar sobre un túnel VPN encriptado o los medios de comunicación de manera similar seguras.
Este ejemplo permite el acceso SNMP a través de la internal an de interfaz de la redMGMT-netel uso de la cadena de comunidadMg1RQqR.
Dado que el cliente es la gestión de la red interna, no hay necesidad de que se comunique a través de un túnel VPN.
Interfaz web
• Comunidad:Mg1RQqR
• Interfaz:lan
• Red: MGMT-net
74
2.4.2. Monitoreo SNMP Capítulo 2. Gestión y Mantenimiento
Los siguientes ajustes avanzados de SNMP se pueden encontrar bajo la Gestión remotala sección de la interfaz web. También se
Defecto: Activado
El número máximo de solicitudes SNMP que serán procesadas cada segundo por NetDefendOS. En caso de solicitudes SNMP superan esta tasa
a continuación, el exceso de solicitudes serán ignorados por NetDefendOS.
Defecto: 100
Defecto: N / A
Defecto: N / A
sistema de Localización
Defecto: N / A
Defecto: Nombre
interfaz de Alias
75
2.4.3. Monitorización de hardware Capítulo 2. Gestión y Mantenimiento
Defecto: Hardware
disponibilidad de funciones
Ciertos modelos de hardware D-Link permiten al administrador utilizar la CLI para consultar el valor actual de los parámetros de funcionamiento
diferentes de hardware, tales como la temperatura actual dentro del firewall. Esta característica se conoce como Monitorización de hardware.
La función de monitoreo de hardware sólo está disponible en el D-Link DFL-NetDefend 1660, 2560
y 2560G.
Configurar y realizar la monitorización del hardware puede hacerse ya sea a través de la CLI o a través de la interfaz web.
los Sistema> Monitorización de hardware sección de la interfaz web proporciona al administrador la siguiente configuración para permitir
la monitorización del hardware cuando está disponible:
Habilitar Sensores
Defecto: Discapacitado
Intervalo de encuesta
Intervalo de sondeo para el Monitor de Hardware, que es el retardo en milisegundos entre las lecturas de valores de monitorización hardware.
Para obtener una lista de los valores actuales de todos los sensores disponibles, el siguiente comando se puede utilizar:
Algunos salida típica de este comando para dos sensores de temperatura se muestra a continuación:
76
2.4.3. Monitorización de hardware Capítulo 2. Gestión y Mantenimiento
los SYS la temperatura es la temperatura global dentro de la unidad de hardware. los UPC temperatura se refiere específicamente a
procesador central de la unidad que puede ser inferior a la temperatura global debido al método de enfriamiento.
El "(x)" en el lado de cada línea del sensor, indica que el sensor está activado.
Los - verboso opción muestra los valores actuales, además de los rangos configurados:
Cada atributo físico que aparece a la izquierda se le da un rango mínimo y máximo dentro del cual debe funcionar. Cuando el valor
devuelto después de sondeo cae fuera de este rango, NetDefendOS genera opcionalmente un mensaje de registro que se envía a los
servidores de registro configurados.
Cada modelo de hardware puede tener un conjunto diferente de sensores y un rango de operación diferente. La salida de
arriba y sus valores son sólo para ilustración.
Un sensor se identifica en la interfaz web mediante la especificación de una combinación única de los siguientes parámetros:
• Tipo
Este es el tipo del sensor que se muestra en la salida CLI anterior y se presenta como una lista de opciones en la interfaz web. Por
ejemplo, Temperatura.
• Sensor
Este es el número del sensor como se muestra en la salida CLI anteriormente. Por ejemplo, el Temperatura SYS
número es 0.
• Nombre
Este es el Nombre del sensor como se muestra en la salida CLI anteriormente. Por ejemplo, Temperatura SYS.
• Activado
Un sensor individual puede ser activado o desactivado utiliza esta configuración. Cuando está activada, una "( x)" es
77
2.4.4. Configuración de monitoreo de memoria Capítulo 2. Gestión y Mantenimiento
La frecuencia máxima de generación de eventos de registro cuando los valores de monitoreo de hardware caen fuera de su rango preestablecido se
puede limitar el uso de la AlarmRepeatInterval en el establecimiento de LOGSETTINGS objeto. Este ajuste se utiliza debido a que los valores
monitorizados son continuas.
Por ejemplo, para cambiar el intervalo del valor predeterminado de 60 segundos a un nuevo valor de 900 segundos, utilice el comando de la CLI:
Esto significa que un nuevo mensaje de evento ahora debe esperar 900 segundos después de la anterior ha sido enviado.
Todas las opciones para LOGSETTINGS puede encontrarse en Sección 2.2.8, “Configuración Avanzada Entrar”.
los Sistema> Monitorización de hardware sección de la interfaz web proporciona al administrador con una serie de ajustes relacionados
con el seguimiento de la memoria disponible. Estos son:
intervalo de sondeo de memoria, que es el retraso en minutos entre lecturas de valores de memoria. Mínimo 1, máximo
200.
Defecto: 15 minutos
Cierto Si el monitor de memoria utiliza un porcentaje como la unidad de monitorización, Falso si se utilizan megabytes. Se aplica a nivel de
alerta, nivel crítico y nivel de advertencia.
Defecto: Cierto
¿Hay que enviar un mensaje de registro para cada r esultado de la encuesta que se encuentra en el nivel de alerta, advertencia o crítico, o debemos
enviar sólo cuando se alcanza un nuevo nivel. Si es verdad, se envía un mensaje cada vez que la memoria Intervalo de sondeo se dispara. Si es falso,
se envía un mensaje cuando un valor pasa de un nivel a otro.
Defecto: Falso
Nivel de alerta
Generar un mensaje de registro de alertas si la memoria libre es inferior a este número de bytes. Desactivar ajustando a 0. El valor máximo es de
10.000.
Defecto: 0
Nivel crítico
78
2.4.4. Configuración de monitoreo de memoria Capítulo 2. Gestión y Mantenimiento
Generar un mensaje de registro crítico si la memoria libre es inferior a este número de bytes. Desactivar mediante el establecimiento de
0. El valor máximo es de 10.000.
Defecto: 0
Nivel de alerta
Generar un mensaje de registro de un aviso si la memoria libre está por debajo de este número de bytes. Desactivar mediante el establecimiento de
0. El valor máximo 10.000.
Defecto: 0
79
3.4.5. Los túneles GRE Capítulo 3. Fundamentos
GRE no proporciona características de seguridad, pero esto significa que su uso tiene muy bajo costo operativo.
usando GRE
GRE se utiliza típicamente para proporcionar un método de conectar dos redes entre sí a través de una tercera red, tal
como Internet. Las dos redes están conectadas entre sí comunican con un protocolo común que se túnel usando GRE
través de la red intermedia. Ejemplos de uso GRE son:
• Cuando un flujo de datos UDP es ser multidifusión y es necesario para el tránsito a través de un dispositivo de red que no
soporta la multidifusión. GRE permite un túnel a través del dispositivo de red.
Un túnel GRE no utiliza ningún tipo de cifr ado para la comunicación y por lo tanto no es, en sí mismo, seguro. Ninguna
seguridad debe venir del protocolo que se está túnel. La ventaja de l a falta de cifrado de GRE es el alto rendimiento que se
puede lograr debido a la sobrecarga de baja procesamiento de tráfico.
La falta de cifrado puede ser aceptable en algunas circunstancias si el túnel se realiza a través de una red interna que no
es pública.
Configuración de GRE
Al igual que otros túneles en NetDefendOS tales como un túnel IPsec, un túnel GRE se trata como una interfaz lógica por NetDefendOS, con las
capacidades de filtrado de mismo, para la conformación de tráfico y de configuración como una interfaz estándar. Las opciones GRE son:
• Dirección IP
Esta es la dirección IPv4 del interior del túnel en el lado local. Esto no puede dejarse en blanco y se debe dar un
valor.
yo. un ICMP Silbido puede ser enviado a este punto final del túnel.
ii. Registrar los mensajes relacionados con el túnel será generado con esta dirección IP como la fuente.
Iii. Si NAT está siendo utilizado entonces no será necesario ajustar la IP de srcen en la norma IP que realiza NAT
en el tráfico a través del túnel. Esta dirección IP se utiliza como dirección de srcen para NAT.
• Red remota
Esta es la dirección IPv4 del dispositivo remoto que el túnel se conectará con.
Un número único opcionalmente se puede especificar para el túnel. Esto permite que más de un túnel GRE para funcionar entre los
mismos dos puntos finales. losclave de sesiónvalor se utiliza para distinguir
121
3.4.5. Los túneles GRE Capítulo 3. Fundamentos
entre ellos.
El protocolo GRE permite una suma de comprobación adicional por encima de la suma de comprobación IPv4. Esto proporciona una
comprobación adicional de la integridad de los datos.
• Añadir automáticamente la ruta para la red remota Esta- opción normalmente se comprueba con el fin de que la tabla de
enrutamiento se actualiza automáticamente. La alternativa es crear manualmente la ruta a seguir.
• Dirección a utilizar como IP de srcenEs - posible especificar una dirección IP en particular como el IP interfaz de srcen para el
túnel GRE. aparecerá ser iniciado por esta dirección IP en lugar de la dirección IPv4 de la interfaz que realmente establece el túnel
de la configuración del túnel.
Esto podría hacerse si, por ejemplo, si se está utilizando la publicación de ARP y el túnel es configurar mediante un ARP publicó
dirección IP.
Un túnel GRE establecida no significa automáticamente que todo el tráfico que viene desde o hacia el túnel GRE es de
confianza. Por el contrario, el tráfico de red procedente del túnel GRE será transferido a la regla NetDefendOS IP establecida
para su evaluación. La interfaz de srcen del tráfico de la red será el nombre del túnel GRE asociado.
Lo mismo es cierto para el tráfico en la dirección opuesta, es decir, entrar en un túnel GRE. Además, una
Ruta tiene que ser definido de manera NetDefendOS sabe qué direcciones IP deben ser aceptados y enviados a través del túnel.
El diagrama anterior muestra un típico escenario GRE, donde dos NetDefend FirewallsUN y segundodeben comunicarse
entre sí a través de l a red interna intervenir 172.16.0.0/16.
Todo el tráfico que pasa entre UN y segundoes un túnel a través de la red de intervención utilizando un túnel GRE y ya que
la red es interno y no pública no hay necesidad de cifrado.
122
3.4.5. Los túneles GRE Capítulo 3. Fundamentos
Suponiendo que la red 192.168.10.0/24 es Lannet sobre el lan interfaz, el procedimiento para la instalación de NetDefendOSUN son:
• remote_net_B:192.168.11.0/24
• remote_gw:172.16.1.1
• ip_GRE:192.168.0.1
• Dirección IP:ip_GRE
3. Definir una ruta en el principal la tabla de enrutamiento que enruta todo el tráfico remote_net_Bsobre el
GRE_to_BInterfaz GRE. Esto no es necesario si la opción Añadir ruta para la red remota
está activado en el Avanzadopestaña, ya que esto añadirá la ruta de forma automática.
4. Crear las siguientes reglas en el conjunto de reglas IP que permite que el tráfico pase por el túnel:
Nombre Acción src Int src neto dest Int dest Net Servicio
Suponiendo que la red 192.168.11.0/24 es Lannet sobre el lan interfaz, el procedimiento para la instalación de NetDefendOS segundoson como
sigue:
• remote_net_A:192.168.10.0/24
• remote_gw:172.16.0.1
• ip_GRE:192.168.0.2
• Dirección IP:ip_GRE
123
3.4.6. Grupos de interfaz Capítulo 3. Fundamentos
3. Definir una ruta en el principal la tabla de enrutamiento que enruta todo el tráfico remote_net_Asobre el
GRE_to_AInterfaz GRE. Esto no es necesario si la opción Añadir ruta para la red remota
está activado en el Avanzadopestaña, ya que esto añadirá la ruta de forma automática.
4. Crear las siguientes reglas en el conjunto de reglas IP que permite que el tráfico pase por el túnel:
Nombre Acción src Int src neto dest Int dest Net Servicio
túneles IPsec tienen un estatus de ser ya sea hacia arriba o no hacia arriba. Con túneles GRE en NetDefendOS esto no se aplica
realmente. El túnel GRE es de hasta si existe en la configuración.
Sin embargo, podemos comprobar en el lo que está pasando con un túnel GRE. Por ejemplo, si el túnel se llama gre_interface entonces
podemos utilizar el ifstat comando CLI:
Esto nos mostrará lo que está sucediendo con el túnel y elifstat opciones de comando pueden proporcionar diversos detalles.
Un grupo puede consistir en interfaces Ethernet ordinarias o podría consistir en otros tipos tales como interfaces de VLAN o
túneles VPN. Además, los miembros de un grupo no tienen que ser del mismo tipo. Un grupo podría consistir, por ejemplo, de
una combinación de dos interfaces Ethernet y cuatro interfaces VLAN.
Al crear un grupo de interfaz, la opción Seguridad / Equivalente Transporte puede ser activado (que está desactivado por defecto). Al
activar la opción significa que el grupo puede ser usado como la interfaz de destino en las reglas NetDefendOS donde podrían
necesitar ser movido entre dos interfaces de conexiones. Por ejemplo, la interfaz podría cambiar con conmutación por error ruta o
OSPF.
Si una conexión se mueve de una interfaz a otra dentro de un grupo ySeguridad / Equivalente Transporte está activada,
NetDefendOS no se compruebe la conexión contra los conjuntos de reglas NetDefendOS con la nueva interfaz.
Con la opción de desactivar, una conexión no se puede mover a otra interfaz en el grupo y en su lugar se cayó y se debe volver a
abrir. Esta nueva conexión se comprueba en los conjuntos de reglas NetDefendOS. En algunos casos, como una interfaz
alternativa que es mucho más lento, puede que no sea razonable para permitir que ciertas conexiones a través de la nueva
interfaz.
124
3.4.6. Grupos de interfaz Capítulo 3. Fundamentos
Interfaz web
125
3.5. ARP Capítulo 3. Fundamentos
3.5. ARP
3.5.1. Visión de conjunto
Protocolo de resolucion de DIRECCION ( ARP) permite la asignación de un protocolo de capa de red (capa OSI 3) Dirección a una dirección de
hardware de capa de enlace de datos (capa OSI 2). En las redes de datos que se utiliza para resolver una dirección IP en su dirección Ethernet
correspondiente. ARP opera en la capa OSI 2, la capa de enlace de datos, y se encapsula por cabeceras de Ethernet para su transmisión.
Un host en una red Ethernet puede comunicarse con otro host sólo si se conoce la dirección Ethernet (dirección MAC) de dicho host.
protocolos de nivel superior, tales como IP hacen uso de direcciones IP que son fundamentalmente diferentes de un esquema de
hardware de nivel inferior se ocupó como la dirección MAC. ARP se utiliza para recuperar la dirección MAC de Ethernet de un host
utilizando su dirección IP.
Cuando un host tiene que resolver una dirección IP a la dirección Ethernet correspondiente, difunde un paquete de solicitud de
ARP. El paquete de petición ARP contiene la dirección MAC de srcen, la dirección IP de srcen y la dirección IP de destino. Cada
host en la red local recibe este paquete. El host con la dirección IP de destino especificado, envía un paquete de respuesta ARP
para el host de srcen con su dirección MAC.
NetDefendOS utiliza una caché ARP exactamente de la misma forma que otros equipos de la red. Inicialmente, la caché está vacío en el
arranque NetDefendOS y se puebla con las entradas como las vías de circulación.
Los contenidos típicos de una tabla mínima de caché ARP puede tener un aspecto similar al siguiente:
• La primera entrada en este caché ARP es una entrada ARP dinámica que nos dice que la dirección IP
192.168.0.10 está asignada a una dirección Ethernet de 08: 00: 10: 0F: BC: A5.
• La segunda entrada en la tabla asigna dinámicamente la dirección IPv4 193.13.66.77 a la dirección Ethernet 0a: 46: 42: 4f: ac: 65.
• La tercera entrada es una unión de la dirección IPv4 entrada ARP estática 10.5.16.3 a la dirección Ethernet
4a: 32: 12: 6c: 89: a4.
126
3.5.2. La caché ARP NetDefendOS Capítulo 3. Fundamentos
La tercera columna de la tabla, expira, se utiliza para indicar cuánto tiempo más la entrada ARP será válido para.
Por ejemplo, la primera entrada tiene un valor de expiración del 45 lo que significa que esta entrada se representará no válida y
se elimina de la caché ARP en 45 segundos. Si el tráfico va a ser enviado a la
192.168.0.10 dirección IP después de la expiración, NetDefendOS emitirá una nueva petición ARP.
El tiempo de expiración por defecto para las entradas dinámicas ARP es de 900 segundos (15 minutos). Esto se puede cambiar modificando la
configuración avanzada ARP caduca.
Si un host en una red se reemplaza con un nuevo hardware y conserva la misma dirección IP, entonces es probable que tenga una
nueva dirección MAC. Si NetDefendOS tiene una vieja entrada ARP para el host en su caché ARP entonces que la entrada no será
válida debido a la dirección MAC cambiado y esto hará que los datos sean enviados al host a través de Ethernet, que nunca llegará a
su destino.
Después del tiempo de caducidad de una entrada ARP, NetDefendOS aprenderá la nueva dirección MAC de la máquina, pero a veces puede ser
necesario forzar manualmente la actualización. La forma más fácil de lograrlo es mediante la
enrojecimiento la caché ARP. Esto elimina todas las entradas ARP dinámicas de la caché y fuerza a NetDefendOS emitir nuevas consultas
ARP para descubrir las asignaciones de direcciones MAC / IP para los hosts conectados.
Este ejemplo muestra cómo vaciar la caché ARP desde el interior de la CLI.
Por defecto, el caché ARP es capaz de mantener 4.096 entradas ARP al mismo tiempo. Esto es adecuado para la mayoría de los escenarios,
pero en raras ocasiones, como cuando hay varias redes locales muy grandes directamente
127
3.5.3. La creación de objetos ARP Capítulo 3. Fundamentos
conectado al servidor de seguridad, puede ser necesario ajustar este valor hacia arriba. Esto se puede hacer mediante la modificación de la
configuración avanzada de ARP Tamaño de la caché ARP.
Las tablas hash se utilizan para buscar rápidamente las entradas en la caché ARP. Para una eficacia máxima, una tabla hash debe ser dos veces
mayor que las entradas que es la indexación, por lo que si el mayor directamente conectada a internet contiene 500 direcciones IP, el tamaño de la
tabla hash de entrada ARP debe ser al menos 1000. El administrador puede modificar el configuración avanzada de ARP ARP Hash Tamaño
para
reflejar los requisitos específicos de la red. El valor predeterminado de esta configuración es 512.
• Publicar - Publicar una dirección IP en una dirección MAC particular (o esta interfaz).
• XPublish - Publicar una dirección IP en una dirección MAC particular y "mentira" sobre la
dirección MAC envío de la trama Ethernet contiene la respuesta ARP.
UN Estático objeto ARP inserta una asignación particular, dirección de MAC / IP en la caché ARP NetDefendOS.
El uso más frecuente de objetos ARP estáticas es en situaciones en algún dispositivo de red externa no está respondiendo a las peticiones ARP
correctamente y está informando una dirección MAC incorrecta. Algunos dispositivos de red, tales como módems inalámbricos, pueden tener este
tipo de problemas.
También puede ser usado para bloquear una dirección IP a una dirección MAC específica para aumentar la seguridad o para evitar ataques de
denegación de servicio si hay usuarios deshonestos en una red. Sin embargo, esta protección sólo se aplica a los paquetes que se envían a esa
dirección IP. No se aplica a los paquetes que se envían desde esa dirección IP.
En este ejemplo se creará una asignación estática entre la dirección IP 192.168.10.15y la dirección Ethernet
sobre el lan interfaz:
4b: 86: f6: c5: a2: 14
128
3.5.3. La creación de objetos ARP Capítulo 3. Fundamentos
Interfaz web
• Modo:Estático
• Interfaz:lan
3. Introduzca la siguiente:
• Dirección IP:192.168.10.15
• MAC: 4b-86-f6-c5-A2-14
4. Haga clic DE ACUERDO
Publicar ARP
soportes NetDefendOS publicación direcciones IP en una interfaz particular, opcionalmente junto con una dirección específica MAC en lugar
de la dirección MAC de la interfaz. NetDefendOS enviará entonces a cabo estos como respuestas ARP para cualquier ARP solicitudes
recibidas en la interfaz de las direcciones IP publicados.
• Para dar la impresión de que una interfaz en NetDefendOS tiene más de una dirección IP.
Esto es útil si hay varios tramos IP separadas en una sola LAN. Los anfitriones de cada lapso de IP pueden entonces utilizar una puerta de
enlace en su propio lapso cuando estas direcciones de puerta de enlace se publican en la interfaz NetDefendOS correspondiente.
• Otro uso es la publicación de varias direcciones en una interfaz externa, lo que permite NetDefendOS para abordar de forma estática traducir
el tráfico a estas direcciones y enviarlo hacia adelante a los servidores internos con direcciones IPv4 privadas.
• Un objetivo menos común es ayudar a los equipos de la red cerca de responder a ARP de una manera incorrecta.
Modos de edición
Hay dos modos de publicación disponibles cuando se publica un par de direcciones MAC / IP:
• Publicar
• XPublish
En ambos casos, una dirección IP y una dirección MAC asociada se especifican. Si no se especifica la dirección MAC (es todo ceros),
2. La dirección de MAC en la respuesta ARP que está contenida dentro de este marco. Este suele ser el mismo que ( 1) la fuente
de la dirección MAC en la trama Ethernet, pero no tiene que ser.
129
3.5.4. Utilizando ARP Configuración avanzada Capítulo 3. Fundamentos
Estos se muestran en la siguiente ilustración de una trama de Ethernet que contiene una respuesta ARP:
los Publicar opción utiliza la dirección MAC real de la interfaz de envío para la dirección ( 1) en la trama Ethernet.
En casos raros, algunos equipos de la red requerirá que las direcciones MAC tanto en la respuesta ( 1 y
2 más arriba) son los mismos. En este casoXPublish se utiliza, ya que cambia ambas direcciones MAC en la respuesta a ser la dirección
MAC publicada. En otras palabras, XPublish " mentiras" acerca de la dirección de srcen de la respuesta ARP.
Si una dirección MAC publicada es la misma que la dirección MAC de la interfaz física, no hará ninguna diferencia siPublicar o XPublish
se selecciona, el resultado será el mismo.
Al utilizar las entradas ARP, las direcciones IP sólo se publicarán uno a la vez. Sin embargo, el administrador puede utilizar la
alternativa Proxy ARPen función NetDefendOS manejar publicación de redes completas (ver Sección 4.2.6, “proxy ARP”).
Esta sección presenta algunos de los ajustes avanzados relacionados con ARP. En la mayoría de los casos, estos ajustes no necesitan ser cambiados,
pero en algunas implementaciones, podrían ser necesarias modificaciones. Un resumen de todas las configuraciones avanzadas ARP se puede
encontrar en la siguiente sección.
Multicast y broadcast
peticiones ARP y respuestas ARP que contiene las direcciones de difusión o multidifusión son generalmente nunca correcta, con la excepción de
ciertos dispositivos de balanceo de carga y redundancia, que hacen uso de las direcciones de multidifusión de la capa de hardware.
El comportamiento predeterminado de NetDefendOS es dejar caer y registrar dichas peticiones ARP y respuestas ARP. Esto puede, sin embargo,
puede cambiar modificando la configuración avanzada ARP multidifusióny ARP Broadcast.
130
3.5.5. Configuración avanzada de ARP Capítulo 3. Fundamentos
Resumen
Es posible que un host en una red conectada para enviar una respuesta ARP a NetDefendOS a pesar de una solicitud ARP correspondiente
no se emitió. Esto se conoce como una respuesta ARP no solicitados.
De acuerdo con la especificación de ARP, el destinatario debe aceptar estos tipos de respuestas ARP. Sin embargo, ya que esto
podría ser un intento malicioso de secuestrar una conexión, NetDefendOS van a gota defecto y registro solicitado respuestas ARP.
Este comportamiento se puede cambiar modificando la configuración avanzada No solicitado respuestas ARP.
La especificación ARP establece que un anfitrión debe actualizar su caché ARP con datos de ARP solicitudes recibidas de otros hosts. Sin
embargo, ya que este procedimiento puede facilitar el secuestro de conexiones locales, NetDefendOS normalmente no permiten esto.
Para hacer que el comportamiento compatible con la especificación RFC 826, el administrador puede modificar la configuración
Las solicitudes
ARP. Incluso si esto se establece enSoltar ( lo que significa que el paquete se descarta sin ser almacenadas), NetDefendOS responderán a ella
siempre que otras reglas aprueban la solicitud.
Una respuesta ARP recibido o petición ARP, posiblemente, puede modificar una entrada existente en la caché ARP. Permitiendo que esto
ocurra puede permitir el secuestro de conexiones locales. Sin embargo, no permitir que esto puede causar problemas si, por ejemplo, se
sustituye un adaptador de red desde NetDefendOS no aceptarán la nueva dirección hasta que la anterior entrada de caché ARP ha agotado el
tiempo.
Un problema similar se produce cuando la información en respuestas ARP o peticiones ARP podría chocar con entradas estáticas en la
caché ARP. Esto no se debe permitir que esto ocurra y cambiando el ajuste
Cambios estática ARPpermite al administrador especificar
si o no este tipo de situaciones se registran.
IP del remitente0.0.0.0
NetDefendOS se pueden configurar para el manejo de las consultas ARP que tienen un remitente de IP 0.0.0.0. Tales direcciones IP del remitente no
son válidos como las respuestas, pero las unidades de red que todavía no han aprendido de su dirección IP a veces hacer preguntas ARP con una
dirección IP del remitente "no especificado". Normalmente, estas respuestas ARP se dejan caer y se registran, pero el comportamiento se puede
cambiar modificando el entorno La consulta ARP Sin remitente.
Por defecto, NetDefendOS, será necesario que la dirección del remitente a nivel Ethernet debe cumplir con la dirección Ethernet según
los datos de ARP. Si este no es el caso, la respuesta será dado de baja y se registra. El comportamiento se puede cambiar
modificando el entorno Remitente ARP Partido Ethernet.
131
3.5.5. Configuración avanzada de ARP Capítulo 3. Fundamentos
Resumen
Determina si NetDefendOS requerirán la dirección del remitente a nivel Ethernet para cumplir con la dirección de hardware según
los datos de ARP.
Defecto: DropLog
0.0.0.0. Tales direcciones IP del remitente no son válidos en las respuestas, pero las unidades
Maneja las consultas ARP que tienen un remitente de IP
de red que todavía no han aprendido de su dirección IP a veces hacen preguntas ARP con una dirección IP del remitente "no especificado".
Defecto: DropLog
Determina si la dirección IP del remitente debe cumplir con las normas de la sección de acceso.
Defecto: Validar
Determina cómo NetDefendOS manejarán ARP responde que no ha pedido. De acuerdo con la especificación de ARP, el destinatario
debe aceptar estos. Sin embargo, ya que esto puede facilitar el secuestro de conexiones locales, no está permitido normalmente.
Defecto: DropLog
Determina si NetDefendOS añadirán automáticamente los datos de las solicitudes ARP a su tabla ARP. La especificación ARP afirma que
esto se debe hacer, pero ya que este procedimiento puede facilitar el secuestro de conexiones locales, que normalmente no se permite.
Incluso si ARPRequests se establece en "Drop", lo que significa que el paquete se descarta sin ser almacenadas, NetDefendOS será,
siempre que otras reglas apruebe la solicitud, la respuesta recibida.
Defecto: soltar
Determina cómo se NetDefendOS hacer frente a situaciones en que la respuesta ARP recibido o petición ARP alteraría un elemento
existente en la tabla ARP. Permitiendo que esto ocurra puede facilitar el secuestro de conexiones locales. Sin embargo, no permitir que
esto puede causar problemas si, por ejemplo, se sustituye un adaptador de red, como NetDefendOS no aceptarán la nueva dirección
hasta que la entrada de la tabla ARP anterior ha caducado.
Defecto: AcceptLog
Determina cómo se NetDefendOS manejar situaciones en que la respuesta ARP recibido o petición ARP alteraría un elemento estático en la tabla
ARP. Por supuesto, esto nunca se permite que esto ocurra. Sin embargo, esta configuración hace que el administrador pueda especificar si o no
este tipo de situaciones son que estar conectado.
Defecto: DropLog
132
3.5.5. Configuración avanzada de ARP Capítulo 3. Fundamentos
Resumen
Esto determina si NetDefendOS registrará fallado solicitudes de resolución ARP o no. El registro puede ser utilizado para propósitos de monitoreo y
puede ser útil para la solución de problemas de red problemas relacionados. Sin embargo, puede deshabilitar el registro de prevenir los intentos de
"spam" receptores de registro con las solicitudes de resolución fallidos.
Defecto: Activado
ARP caducar
Especifica el tiempo que un elemento dinámico normales en la tabla ARP es para ser retenido antes de que se elimina de la tabla.
Especifica en segundos el tiempo que NetDefendOS es recordar las direcciones que no pueden ser alcanzadas. Esto se hace para asegurar
que NetDefendOS no solicita continuamente dichas direcciones.
Defecto: 3
ARP multidifusión
Determina cómo NetDefendOS es para hacer frente a las peticiones ARP y respuestas ARP ese estado que son las direcciones de multidifusión.
Tales demandas son generalmente nunca correcta, con la excepción de ciertos dispositivos de balanceo de carga y redundancia, que hacen uso de
direcciones de multidifusión de capa de hardware.
Defecto: DropLog
ARP Broadcast
Determina cómo NetDefendOS se ocupa de las peticiones ARP y respuestas ARP ese estado que se transmiten direcciones. Tales
afirmaciones son por lo general no correcta.
Defecto: DropLog
Defecto: 4096
Hashing se usa para buscar rápidamente entradas en una tabla. Para una máxima eficiencia, el tamaño de hash debe ser dos veces mayor que la
mesa es la indexación. Si la mayor LAN conectado directamente contiene 500 direcciones IP entonces el tamaño de la entrada de hash ARP debe
Defecto: 512
Hashing se usa para buscar rápidamente entradas en una tabla. Para una máxima eficiencia, el tamaño de hash debe ser dos veces mayor que la
mesa es la indexación, por lo que si la VLAN más grande conectado directamente contiene 500 direcciones IP, el tamaño de la entrada de hash ARP
debe ser de al menos 1000 entradas.
133
3.5.5. Configuración avanzada de ARP Capítulo 3. Fundamentos
Resumen
Defecto: 64
ARP IP de colisión
Determina el comportamiento cuando se recibe una solicitud ARP con una dirección IP del remitente que choca con uno ya utilizado en la
interfaz de recepción. Las acciones posibles: Caída o Notificar.
Defecto: soltar
134
3.6. Reglas IP Capítulo 3. Fundamentos
3.6. Reglas IP
3.6.1. Políticas de seguridad
Antes de examinar la regla IP fija en detalle, vamos a mirar primero el concepto genérico de políticas de seguridad
a la que pertenecen los conjuntos de reglas IP.
políticas de seguridad NetDefendOS son configurados por el administrador para regular la forma en que el tráfico puede fluir a través
de la NetDefend Firewall. Estas políticas se describen por el contenido de diferentes NetDefendOS conjuntos de reglas. Estos conjuntos
de reglas comparten un medio uniforme de especificar criterios de filtrado que determinan el tipo de tráfico a la que se aplicarán. Los
posibles criterios de filtrado consisten en lo siguiente:
de red de srcen La red que contiene la dirección IP de srcen del paquete. Esto podría ser un
objeto NetDefendOS IP, que podría definir una única dirección IP o intervalo de
direcciones.
Red de destino La red a la que la dirección IP de destino del paquete pertenece. Esto podría ser
un objeto NetDefendOS IP, que podría definir una única dirección IP o intervalo
de direcciones.
Servicio El tipo de protocolo a la que pertenece el paquete. objetos de servicio definen un tipo de
protocolo / puerto. Ejemplos de ello son HTTPy ICMP.
objetos de servicio también definen cualquier ALG, que se va a aplicar al tráfico
Ver Sección 3.3, “Servicios” Para obtenermás información acerca de este tema.
Los NetDefendOS principales conjuntos de reglas que definen las políticas de seguridad NetDefendOS, y que funcionen con los mismos parámetros de
filtrado descritos anteriormente (redes / las interfaces / servicio), incluyen:
• Reglas IP
Estos determinan la cual el tráfico se le permite pasar a través de la NetDefend Firewall, así como determinar si el tráfico está
sujeto a la traducción de direcciones. El filtro de red para estas reglas puede ser direcciones IPv4 o IPv6 (pero no ambos en una
sola regla). Ellos se describen más adelante en esta sección.
• Reglas de tuberías
Estos determinan que el tráfico desencadena formación de tráfico a tener lugar y se describen en
Sección 10.1, “Asignación de tráfico”.
135
3.6.1. Políticas de seguridad Capítulo 3. Fundamentos
Estas reglas determinan la tabla de enrutamiento para ser utilizado por el tráfico y se describen en Sección 4.3, “Enrutamiento basado en
directivas”. El filtro de red para estas reglas puede ser direcciones IPv4 o IPv6 (pero no ambos en una sola regla).
• Normas de autenticación
Estos determinan el que el tráfico provoca la autenticación a tener lugar (sólo fuente neta / interfaz) y se describen enCapítulo
8, la autenticación de usua rio.
conjuntos de reglas IP son los más importantes de estos conjuntos de reglas de política de seguridad. Ellos determinan la función de filtrado de
paquetes crítica de NetDefendOS, la regulación de lo que está permitido o no permite que pase a través de la NetDefend Firewall, y si es necesario,
cómo se aplican traducciones de direcciones como NAT. Por defecto, una regla NetDefendOS IP establecida siempre existirá y esto tiene el nombre principal.
Hay dos formas posibles de cómo el tráfico que atraviesa el NetDefend Firewall podría abordarse:
Para proporcionar la mejor seguridad, el primero de estos enfoques es adoptado por NetDefendOS. Esto significa que la primera vez que se
instala y se inicia, el NetDefendOS no tiene reglas definidas en el IP principal norma IP fija y por lo tanto todo el tráfico se redujo. Con el fin de
permitir cualquier tráfico para atravesar el NetDefend Firewall (así como permitiendo NetDefendOS para responder a ICMP Silbido solicitudes),
algunas reglas IP deben ser definidos por el administrador.
Cada regla IP que se agrega por el administrador definirá los siguientes criterios de filtrado básicas:
Al especificar los criterios de filtrado en cualquiera de los conjuntos de reglas de política, hay varios objetos de configuración predefinidos
útiles que pueden ser utilizados:
• Por un srcen o destino de red, la todas las redes deopción es equivalente a la dirección IP 0.0.0.0/0
• Para Fuente o interfaz de destino, el alguna opción se puede utilizar para que NetDefendOS no se preocupan
por la interfaz que el tráfico va o viene de.
• La interfaz de destino se puede especificar como núcleo.Esto significa que el tráfico, como por ejemplo un ICMP
Silbido, está destinado para el propio NetDefend Firewall y NetDefendOS responderá a ella.
Las nuevas conexiones que se inician por sí mismo NetDefendOS no necesitan una regla IP explícita, ya que están habilitados de forma
predeterminada. Por esta razón, la interfaznúcleono se utiliza como interfaz de srcen. Tales conexiones incluyen los necesarios para
conectarse a las bases de datos externos necesarios para tales
136
4.7.1. Visión de conjunto Capítulo 4. Enrutamiento
Para explicar mejor esto, consideremos una VLAN VLAN5 que se define en dos interfaces físicas llamadas IF1 y IF2. Ambas
interfaces físicas tienen interruptor dirige definen para que operen en modo transparente. Dos interfaces VLAN con el
mismo ID de VLAN se definen en las dos interfaces físicas y se llaman vlan5_if1 y vlan5_if2.
Para la VLAN para operar en modo transparente se crea una tabla de enrutamiento con el orden establecido en solamente
y que contiene las siguientes 2 rutas de conmutación:
Red Interfaz
todas las redes de vlan5_if1
todas las redes de vlan5_if2
En lugar de crear entradas individuales, un grupo de interfaz podría ser utilizado en la tabla de enrutamiento anteriormente.
No hay otras rutas no deben ser conmutada en esta tabla de enrutamiento porque el tráfico que s igue a estas rutas serán etiquetados de forma
incorrecta con el ID de VLAN.
Por último, hay que asociar esta tabla de enrutamiento con su interfaz de VLAN mediante la definición de una Política basada regla de enrutamiento.
La forma recomendada para habilitar el modo transparente es añadir rutas de conmutación, como se describió anteriormente. Un método alternativo es
para habilitar el modo transparente directamente en una interfaz (una casilla de verificación para este se proporciona en las interfaces gráficas de
usuario). Cuando se activa de esta manera, las rutas de conmutación por defecto se añaden automáticamente a la tabla de encaminamiento para la
interfaz y cualquier ruta no interruptor correspondiente se eliminan automáticamente. Este método se utiliza en los ejemplos detallados se dan más
adelante.
Rutas de conmutación no se pueden utilizar con alta disponibilidad y de modo transparente, por tanto, cierto no se puede implementar con un
clúster de alta disponibilidad NetDefendOS.
En lugar de interruptor dirige la solución en una configuración de alta disponibilidad es utilizar proxy ARP para separar dos redes. Esto se
describe adicionalmente en Sección 4.2.6, “proxy ARP”. La desventaja fundamental de este enfoque es que, en primer lugar, los clientes no
serán capaces de moverse entre las interfaces NetDefendOS, conservando la misma dirección IP. En segundo lugar, y más importante aún,
sus rutas de red tendrán que ser configurado manualmente para el proxy ARP.
En los escenarios del modo más transparente, la dirección IP de los usuarios está predefinido y fijo y no es inverosímil dinámicamente
mediante DHCP. De hecho, la ventaja clave de modo transparente es que estos usuarios pueden conectar en cualquier lugar y NetDefendOS
puede encaminar su tráfico correctamente después de determinar su paradero y su dirección IP a través de intercambios ARP.
Sin embargo, un servidor DHCP podría ser utilizado para asignar direcciones IP del usuario en una configuración de modo transparente si se desea.
Con conexiones de Internet, puede ser propio servidor DHCP del ISP que entregar direcciones IPv4 públicas a los usuarios. En este caso,
NetDefendOS DEBE ser configurado correctamente como una DHCP retransmisor para reenviar el tráfico DHCP entre los usuarios y el servidor
DHCP.
Puede ser el caso de que no se conoce la dirección IP exacta del servidor DHCP, pero lo que sí se sabe es la interfaz Ethernet a la que está
conectado el servidor DHCP. Para habilitar las peticiones DHCP a ser transmitida a través del cortafuegos, son necesarios los siguientes
pasos:
237
4.7.2. Activación del acceso a Internet Capítulo 4. Enrutamiento
La ruta no interruptor general se necesita para permitir el acceso a Internet sería la siguiente:
Ahora vamos a suponer que el NetDefend Firewall es para operar en modo transparente entre los usuarios y el ISP. La ilustración
siguiente muestra cómo, utilizando rutas de conmutación, la NetDefend Firewall está configurado para ser transparente entre la
red Ethernet física interna ( pn2) y la red Ethernet a la puerta de enlace del ISP ( pn1). Las dos redes Ethernet se tratan como una
única red IP lógica en modo transparente con un rango de direcciones común (en este ejemplo 192.168.10.0/24).
En esta situación, cualquier no-switch "normal" todas las redes de rutas de la tabla de enrutamiento deben ser retirados y reemplazados con una todas
las redes de ruta interruptor (no hacer esto es un error común durante la instalación). Esta ruta conmutador permitirá el tráfico de los usuarios locales
en la red Ethernet pn2 para encontrar la puerta de enlace del ISP.
Estos mismos usuarios también deben configurar el gateway de Internet en sus equipos locales para que sean los proveedores de Internet
238
4.7.3. Escenarios de modo transparente Capítulo 4. Enrutamiento
Dirección de la entrada. En el modo no transparente IP de la pasarela del usuario sería la dirección IP del NetDefend Firewall pero en modo
transparente de puerta de enlace del ISP está en la misma red IP lógico como los usuarios y por lo tanto serágw-ip.
El NetDefend Firewall también necesita encontrar la Internet pública si se va a realizar funciones tales como NetDefendOS búsqueda de DNS,
filtrado de contenido Web o Anti-Virus y actualización IDP. Para permitir esto, necesitan vías no de conmutación individuales "normales" que se
creará en la tabla de enrutamiento para cada dirección de IP que especifica la interfaz que lleva a la ISP y la dirección de puerta de enlace IP
ISPs.
Si las direcciones IPv4 que necesitan ser alcanzado por NetDefendOS son 85.12.184.39 y 194.142.215.15
a continuación, la tabla de enrutamiento completa para el ejemplo anterior sería:
También tendrá que ser añadido a la norma IP configurada para permitir el acceso a Internet a través del servidor de seguridad NetDefend las normas
de propiedad intelectual correspondientes.
La agrupación de direcciones IP
Puede ser más rápido cuando se trata de muchas direcciones IP para agrupar todas las direcciones en un solo grupo objeto IP y luego
usar ese objeto en una sola ruta definida. En el ejemplo anterior, 85.12.184.39 y
194.142.215.15 podrían agruparse en un único objeto de esta manera.
El uso de NAT
NAT no debe ser habilitado para NetDefendOS en modo transparente, ya que, como se ha explicado anteriormente, el NetDefend Firewall está
actuando como un interruptor de traducción y dirección de nivel 2 se realiza en la capa IP OSI superior.
La otra consecuencia de no usar NAT es que las direcciones IP de los usuarios que acceden a Internet en general tienen que ser direcciones IPv4
públicas.
Si NATing necesita ser realizado en el ejemplo anterior para ocultar las direcciones individuales de Internet, tendría que
ser hecho por un dispositivo (posiblemente otro NetDefend Firewall) entre el
192.168.10.0/24 la red y la Internet pública. En este caso, las direcciones IPv4 privadas internas, podrían ser utilizados por los usuarios
de la red Ethernet pn2.
escenario 1
El servidor de seguridad en modo transparente se coloca entre un router de acceso a Internet y la red interna. El router se utiliza
para compartir la conexión a Internet con una única dirección IPv4 pública. La red NATeado interna detrás del cortafuegos está en
el espacio de direcciones 10.0.0.0/24. Los clientes de la red interna se les permite acceder a Internet a través del protocolo HTTP.
239
4.7.3. Escenarios de modo transparente Capítulo 4. Enrutamiento
Interfaz web
2. Ahora ingrese:
• Dirección IP:10.0.0.1
• Red: 10.0.0.0/24
• Modo transparente:
Habilitar
5. Ahora i ntroduzca:
• Dirección IP:10.0.0.2
• Red: 10.0.0.0/24
• Modo transparente:
Habilitar
2. Ahora ingrese:
• Nombre:HTTPAllow
• Acción:Permitir
• Servicio:http
240
4.7.3. Escenarios de modo transparente Capítulo 4. Enrutamiento
• Interfaz de srcen:lan
• Interfaz de destino:
alguna
• Fuente de red:10.0.0.0/24
escenario 2
Aquí el NetDefend Firewall en modo transparente separa los recursos del servidor de una red interna mediante la conexión a una
interfaz independiente sin la necesidad de diferentes rangos de direcciones.
Todos los hosts conectados a la LAN y DMZ (el interfaces LAN y DMZ) comparten el 10.0.0.0/24 espacio de dirección. Ya que esto se configura
utilizando el modo transparente cualquier dirección IP se puede utilizar para los servidores, y no hay ninguna necesidad de que las máquinas
de la red interna para saber si un recurso está en la misma red o colocado en la zona de distensión. Las máquinas de la red interna se les
permite comunicarse con un servidor HTTP en DMZ mientras que el servidor HTTP en la zona de distensión se puede llegar a través de
Internet. El NetDefend Firewall es transparente entre la DMZ y LAN pero el tráfico sigue siendo controlada por el conjunto de reglas IP.
configurar una cambiar la rutasobre las interfaces LAN y DMZ para el rango de direcciones 10.0.0.0/24 (asume la interfaz WAN ya está
configurado).
Interfaz web
241
4.7.3. Escenarios de modo transparente Capítulo 4. Enrutamiento
2. Ahora ingrese:
• Dirección IP:10.0.0.1
• Red: 10.0.0.0/24
• Modo transparente:
Inhabilitar
• Dirección IP:10.0.0.2
• Red: 10.0.0.0/24
• Modo transparente:
Inhabilitar
2. Ahora ingrese:
• Nombre:TransparentGroup
Configurar el enrutamiento:
2. Ahora ingrese:
• Interfaces conmutadas:
TransparentGroup
• Red: 10.0.0.0/24
• Métrico:0
2. Ahora ingrese:
• Nombre:HTTP-LAN a DMZ
• Acción:Permitir
• Servicio:http
• Interfaz de srcen:lan
• Interfaz de destino:DMZ
• Fuente de red:10.0.0.0/24
• Red de destino:10.1.4.10
242
4.7.4. Abarcando Soporte Árbol BPDU Capítulo 4. Enrutamiento
5. Ahora i ntroduzca:
• Nombre:HTTP-WAN-a-DMZ
• Acción:SAB
• Servicio:http
• Interfaz de srcen:pálido
• Interfaz de destino:DMZ
• Fuente de red:todas las redes de
• Red de destino:wan_ip
• Traducir:Seleccionar destino IP
8. Ahora i ntroduzca:
• Nombre:HTTP-WAN-a-DMZ
• Acción:Permitir
• Servicio:http
• Interfaz de srcen:pálido
• Interfaz de destino:DMZ
• Red de destino:wan_ip
El siguiente diagrama ilustra una situación en la que se producirían mensajes BPDU si el administrador permite a los interruptores para
ejecutar el protocolo STP. Dos Firewalls NetDefend están desplegados en modo transparente entre los dos lados de la red. Los interruptores
en cada lado de la firewall necesitan comunicarse y requieren NetDefendOS para retransmitir conmutar mensajes BPDU con el fin de que los
paquetes no lo hacen bucle entre los servidores de seguridad.
243
4.7.5. Configuración avanzada de modo Capítulo 4. Enrutamiento
transparente
La aplicación retransmisión NetDefendOS BDPU sólo lleva mensajes STP. Estos mensajes STP pueden ser de tres tipos:
NetDefendOS comprueba el contenido de los mensajes BDPU para asegurarse de que se admite el tipo de contenido. Si no es así, la trama se dejó
caer.
BPDU retransmisión está desactivada por defecto y puede ser controlado a través de la configuración avanzada Retransmitir BPDU Spanning Tree.
Registro
de los mensajes BPDU también puede ser controlado a través de este ajuste. Cuando está activado, todas las llamadas entrantes STP, RSTP y MSTP
mensajes BPDU se transmiten a todas las interfaces transparentes en la misma tabla de enrutamiento, excepto la interfaz de entrada.
Activar esta opción si el servidor de seguridad debe ser capaz de aprender el destino de los ejércitos mediante la combinación de información de la
dirección de destino y la información que se encuentra en la tabla CAM.
244
4.7.5. Configuración avanzada de modo Capítulo 4. Enrutamiento
transparente
Defecto: Activado
decremento TTL
Active esta opción si el TTL debe ser disminuido cada vez que un paquete atraviesa el cortafuegos en modo transparente.
Defecto: Discapacitado
Este ajuste se puede utilizar para configurar manualmente el tamaño de la tabla CAM. Normalmente Dinámica es el valor preferido de usar.
Defecto: Dinámica
Tamaño CAM
Si el ajuste dinámico de la CAM Tamaño no está activado, entonces este es el número máximo de entradas en cada tabla CAM.
Defecto: 8192
Defecto: Activado
Tamaño de caché L3
Esta configuración se utiliza para configurar manualmente el tamaño de la caché de capa 3. Habilitación Tamaño dinámica L3C se prefiere
normalmente.
Defecto: Dinámica
Define el tiempo de vida de una entrada sin respuesta ARP Transacción Estado (ATS) en cuestión de segundos. Los valores válidos son de 1-60
segundos.
Defecto: 3 segundos
Define el número total máximo de entradas ARP Transacción del Estado (ATS). Los valores válidos son 128-65536 entradas.
Defecto: 4096
245
4.7.5. Configuración avanzada de modo Capítulo 4. Enrutamiento
transparente
Define qué hacer cuando se recibe un paquete que tiene la dirección de hardware remitente (MAC) en la cabecera Ethernet como nulas (0000:
0000: 0000). opciones:
Defecto: DropLog
Define qué hacer cuando se recibe un paquete que tiene la dirección de hardware remitente (MAC) en la cabecera Ethernet se establece en la
dirección de difusión Ethernet (FFFF: FFFF: FFFF). opciones:
Defecto: DropLog
Define qué hacer cuando se recibe un paquete que tiene la dirección de hardware remitente (MAC) en la cabecera Ethernet se establece en una
dirección Ethernet de multidifusión. opciones:
Defecto: DropLog
Cuando se establece en Ignorartodos los STP entrante, RSTP y MSTP BPDU se transmiten a todas las interfaces transparentes en la misma tabla
de enrutamiento, excepto la interfaz de entrada. opciones:
246
4.7.5. Configuración avanzada de modo Capítulo 4. Enrutamiento
transparente
Defecto: soltar
relé de MPLS
Cuando se establece enIgnorartodos los paquetes MPLS entrantes se transmiten en modo transparente. opciones:
Defecto: soltar
247
4.7.5. Configuración avanzada de modo Capítulo 4. Enrutamiento
transparente
248
Capítulo 5. Servicios DHCP
En este capítulo se describen los servicios DHCP en NetDefendOS.
Asignación de direcciones IP
UN servidor DHCP implementa la tarea de asignar direcciones IP a los clientes DHCP. Estas direcciones vienen de un grupo de direcciones IP
predefinido que gestiona DHCP. Cuando un servidor DHCP recibe una solicitud de un cliente DHCP, devuelve los parámetros de
configuración (como una dirección IP, una dirección MAC, un nombre de dominio, y un contrato de arrendamiento para la dirección IP) al
cliente en un mensaje unicast.
asignaciones DHCP
En comparación con la asignación estática, donde el cliente es dueño de la dirección, el direccionamiento dinámico por un servidor DHCP concede a la
dirección de cada cliente durante un periodo de tiempo predefinido. Durante la vida de un contrato de arrendamiento, el cliente tiene permiso para
mantener la dirección asignada y se garantiza que no tienen dirección de colisión con otros clientes.
caducidad de la concesión
Antes de la expiración del contrato de arrendamiento, el cliente tiene que renovar la concesión del servidor para que pueda seguir usando la
dirección IP asignada. El cliente también puede decidir en cualquier momento que ya no desee utilizar la dirección IP que se le asignó, y puede
terminar el contrato y liberar la dirección IP.
249
5.2. servidores DHCP Capítulo 5. Servicios DHCP
El administrador tiene la capacidad de configurar uno o más servidores DHCP lógicas en NetDefendOS. Filtrado de solicitudes de cliente
DHCP a diferentes servidores DHCP se basa en una combinación de:
• Interfaz
Cada interfaz NetDefendOS puede haber, como máximo, un solo servidor DHCP lógica asociada a ella. En otras palabras, pueden
NetDefendOS clientes DHCP prestación utilizando diferentes rangos de direcciones dependiendo de qué interfaz se encuentran en.
• retransmisor IP
La dirección IP relayer en el paquete IP también se utiliza para determinar el servidor. El valor por defecto de
todas las redes designifica que este todas las direcciones son aceptados y sólo la interfaz se considera en hacer una selección de servidor
DHCP. Las otras opciones para este parámetro se describen más adelante.
Múltiples servidores DHCP forman una lista a medida que se definen, el último definido estar en la parte superior de la lista. Cuando
NetDefendOS busca un servidor DHCP para atender una solicitud, que pasa a través de la lista de arriba a abajo y elige el primer servidor con
una combinación coincidente de interfaz y relayer valor de filtro IP. Si no hay ninguna coincidencia en la lista a continuación, se ignora la
solicitud.
El ordenamiento servidor DHCP en la lista puede, por supuesto, ser cambiada por una de las interfaces de usuario.
Como se explicó anteriormente un servidor DHCP se selecciona basándose en un partido de ambos filtro IP de la interfaz y relayer. Cada servidor
DNS debe tener un valor de filtro IP relayer especificado y los valores posibles son los siguientes:
El valor por defecto es todas las redes de (0.0.0.0/0). Esto significa que todas las peticiones DHCP coincidirán valor de este filtro sin tener en
cuenta si las solicitudes DHCP proviene de un cliente en la red local o ha llegado a través de un relayer DHCP.
• Un valor de0.0.0.0
El valor 0.0.0.0 coincidirá con las peticiones DHCP que vienen de solamente un cliente local. peticiones DHCP que han sido retransmitidos
por un relayer DHCP serán ignorados.
Esta es la dirección IP del relayer DHCP a través del cual ha llegado la solicitud de DHCP. se tendrán en cuenta las peticiones de los
clientes locales u otras relayers DHCP.
Opciones de DHCP
250
5.2. servidores DHCP Capítulo 5. Servicios DHCP
Parámetros generales
Nombre Un nombre simbólico para el servidor. Se utiliza como una referencia de interfaz pero también se utiliza como
referencia en los mensajes de registro.
Filtro interfaz La interfaz de srcen en el que NetDefendOS escuchará las peticiones DHCP. Esto puede
ser una interfaz única o un grupo de interfaces.
Dirección IP piscina Una gama, grupo o red IP que el servidor DHCP utilizará como un conjunto de direcciones IP para la
entrega de concesiones DHCP.
máscara de red La máscara de red que será enviada a los clientes DHCP.
Parámetros opcionales
GW por defecto Esto especifica qué IP debe ser enviada al cliente para su uso como la puerta de enlace
predeterminada (enrutador al que se conecta el cliente).
Tiempo de concesión El tiempo, en segundos, que se proporciona una concesión DHCP. Después de este tiempo el
cliente DHCP debe renovar el contrato de arrendamiento.
/ secundario NBNS / WINS primario IP del Windows Internet Name Service (WINS) que
se utilizan en entornos de Microsoft que utiliza el Servidores de Nombres NetBIOS ( NBNS)
para asignar direcciones IP a nombres de NetBIOS.
Siguiente servidor Especifica la dirección IP del servidor siguiente en el proceso de arranque. Esto suele ser
un servidor TFTP.
Existen dos configuraciones avanzadas que se aplican a todos los servidores DHCP:
El número de segundos entre automático de ahorro de la base de datos de arrendamiento en el disco. El valor por defecto es
86400 segundos.
251
5.2. servidores DHCP Capítulo 5. Servicios DHCP
Este ejemplo muestra cómo configurar un servidor DHCP llamada DHCPServer1que asigna y gestiona las direcciones IP de un conjunto de
direcciones IPv4 llamada DHCPRange1.
Interfaz web
2. Ahora ingrese:
• Nombre:DHCPServer1
• Filtro de interfaz:
lan
• Dirección IP Piscina:
DHCPRange1
• máscara de red:
255.255.255.0
Para visualizar las asignaciones de direcciones IP a direcciones MAC que resultan de las concesiones DHCP asignados, la servidor DHCP comando se
puede utilizar. A continuación se muestra un poco de salida típica:
El asterisco "*" antes de una dirección MAC significa que el servidor DHCP no hace un seguimiento del cliente utilizando la dirección MAC pero en su
lugar un seguimiento del cliente a través de una identificador de cliente el cual el cliente ha dado al servidor.
Para visualizar toda la información DHCP utiliza el servidor DHCP comando sin opciones. Cada servidor DHCP configurado de forma individual
se conoce como una Regla que se le da un número único. Este número se utiliza para identificar el contrato de alquiler corresponde a cada
servidor de la salida de CLI. Para ver sólo los servidores DHCP comfigured, utilice el comando:
252
6.2.8. La SIP ALG Capítulo 6. Mecanismos de seguridad
A continuación, el proxy y los clientes locales se ocultan detrás de la dirección IP del servidor de seguridad NetDefend. Los pasos de instalación son los
siguientes:
1. Definir un solo objeto SIP ALG usando las opciones descritas anteriormente.
2. Definir una Servicio objeto que está asociado con el objeto SIP ALG. El servicio debe tener:
• UN NAT gobernar para el tráfico saliente desde el proxy local y los clientes de la red interna a los clientes remotos en, por
ejemplo, Internet. La SIP ALG se hará cargo de todo la traducción de direcciones que necesita el NAT regla. Esta
traducción se producirá tanto en el nivel IP y el nivel de aplicación. Ni los clientes o los apoderados deben ser
conscientes de que los clientes locales están siendo NATeado.
Si Registro de carreteras está activado en el proxy SIP, el fuente la red de la NAT regla puede incluir sólo el proxy SIP, y
no a los clientes locales.
• UN SAB gobernar para redirigir el tráfico SIP entrante a la dirección IPv4 privada del proxy local NATeado. Esta regla
tendrá núcleocomo la interfaz de destino (en otras palabras NetDefendOS en sí), ya que el tráfico entrante será
enviado a la dirección IPv4 privada del proxy SIP.
Si Registro de carreteras está activada, el de red de srcen para el tráfico saliente de los usuarios de proxy puede ser restringido adicionalmente en las
reglas anteriores mediante el uso de " Proxy ip" como se indica.
Cuando se recibe una llamada entrante, el SIP ALG seguirá el SAB gobernar y reenviar la petición SIP al servidor
proxy. El proxy, a su vez, enviará la petición a su destino final, que es el cliente.
Si Registro de carreteras está deshabilitado en el servidor proxy, y dependiendo del estado de la sesión SIP, SIP ALG puede
reenviar mensajes SIP entrantes directamente al cliente, sin pasar por el proxy SIP. Esto sucederá automáticamente sin
configuración adicional.
Sin NAT, el s aliente NAT regla se sustituye por una Permitir regla. el entrante SAB y Permitir
normas se reemplazan por un solo Permitir regla.
298
6.2.8. La SIP ALG Capítulo 6. Mecanismos de seguridad
Si Registro de carreteras está activada, las redes en las reglas anteriores pueden estar más restringidos por el uso de "( Proxy ip)" como se indica.
escenario 3
La protección de los clientes proxy y locales - Proxy en la interfaz DMZ
Este escenario es similar al anterior, pero la principal diferencia es la ubicación del servidor proxy SIP local. El servidor se coloca en una
interfaz independiente y la red para los clientes locales. Esta configuración añade una capa adicional de seguridad ya que el tráfico SIP
inicial no se i ntercambia directamente entre un extremo remoto y l os clientes locales, protegidas.
La complejidad se incrementa en este escenario ya que los mensajes SIP fluyen a través de tres interfaces: la interfaz que recibe desde el
iniciador de llamada, la interfaz DMZ hacia el proxy y la interfaz de destino hacia el terminador de llamada. Esto los mensajes primeros
intercambios que tienen lugar cuando una llamada está configurado en este escenario se ilustra a continuación:
299
6.2.8. La SIP ALG Capítulo 6. Mecanismos de seguridad
• 1,2 - Una inicial INVITACIÓN se envía al servidor proxy local de salida en la zona de distensión.
• 3,4 - El servidor proxy envía los mensajes SIP hacia el destino en Internet.
Este escenario se puede implementar en una configuración de topología escondite con DMZ ( Una solución demás adelante), así como una
configuración sin NAT ( solución Babajo).
• La dirección IP del servidor proxy SIP debe ser una dirección IP globalmente enrutable. El NetDefend Firewall no es compatible con el
ocultamiento de proxy en la zona de distensión.
• La dirección IP de la i nterfaz DMZ debe ser una dirección IP globalmente enrutable. Esta dirección puede ser la misma dirección
que el utilizado en la i nterfaz externa.
1. Definir un solo objeto SIP ALG usando las opciones descritas anteriormente.
2. Definir una Servicio objeto que está asociado con el objeto SIP ALG. El servicio debe tener:
• UN NAT gobernar para el tráfico saliente de los clientes de la red interna para el proxy situado en la interfaz DMZ. La SIP
ALG se hará cargo de todo la traducción de direcciones que necesita elNAT regla. Esta traducción se producirá tanto
en el nivel IP y en el nivel de aplicación.
Nota
300
6.2.8. La SIP ALG Capítulo 6. Mecanismos de seguridad
• Un Permitir gobernar para el tráfico saliente desde el proxy detrás de la interfaz DMZ a los clientes remotos a través de Internet.
• Un Permitir gobernar para el tráfico SIP entrante desde el proxy SIP detrás de la interfaz DMZ a la dirección IP del servidor de
seguridad NetDefend. Esta regla tendrá núcleo (en otras palabras, NetDefendOS sí mismo) como la i nterfaz de destino.
La razón de esto es debido a laNAT regla anterior. Cuando se recibe una llamada entrante, NetDefendOS localiza
automáticamente el receptor local, realiza la traducción de direcciones y envía mensajes SIP para el receptor. Esto se
realiza con base en el estado interno del SIP ALG.
• Un Permitir gobernar para el tráfico entrante desde, por ejemplo Internet, al proxy detrás de la zona de distensión.
4. Si Registro de carreterases no habilitado en el proxy, el intercambio directo de mensajes SIP también debe permitir entre los clientes, sin pasar
Registro de carreterasestá desactivado:
por el proxy. por lo tanto, se necesitan las siguientes reglas adicionales cuando
• UN NAT gobernar para el tráfico saliente de los clientes de la red interna a los clientes externos y servidores proxy en, por
ejemplo, Internet. La SIP ALG se hará cargo de todo la traducción de direcciones que necesitaNAT el regla. La
traducción se producirá tanto en el nivel IP y el nivel de aplicación.
• Un Permitir gobernar para el tráfico SIP entrante desde, por ejemplo Internet, a la dirección IP de la interfaz DMZ. La razón
de esto es porque los clientes locales serán NATed utilizando la dirección IP de la interfaz DMZ al registrarse en el
proxy situado en la zona de distensión.
Esta regla tiene núcleocomo la interfaz de destino (en otras palabras, NetDefendOS sí mismo). Cuando se recibe una
llamada entrante, NetDefendOS utiliza la información de registro del receptor local para localizar automáticamente este
receptor, lleve a cabo los mensajes de traducción de direcciones y SIP hacia delante al receptor. Esto se hará en base al
estado interno de la SIP ALG.
Con Registro de carreteras personas con discapacidad, las siguientes reglas IP hay que añadir a los anteriores:
1. Definir un solo objeto SIP ALG usando las opciones descritas anteriormente.
2. Definir una Servicio objeto que está asociado con el objeto SIP ALG. El servicio debe tener:
301
6.2.9. El H.323 ALG Capítulo 6. Mecanismos de seguridad
• Un Permitir gobernar para el tráfico saliente de los clientes de la red interna para el proxy situado en la interfaz
DMZ.
• Un Permitir gobernar para el tráfico saliente desde el proxy detrás de la interfaz DMZ a los clientes remotos a través de Internet.
• Un Permitir gobernar para el tráfico SIP entrante desde el proxy SIP detrás de la interfaz DMZ a los clientes ubicados en la
red local, protegido.
• Un Permitir gobernar para el tráfico SIP entrante de clientes y servidores proxy en Internet al proxy detrás de la interfaz DMZ.
4. Si Registro de carreteras es no habilitado en el proxy, el intercambio directo de mensajes SIP también debe permitir entre los clientes, sin pasar por
el proxy. por lo tanto, son necesarios los siguientes dos reglas adicionales cuando Registro de carreteras está desactivado:
• Un Permitir gobernar para el tráfico saliente de los clientes en la red local a los clientes externos y servidores proxy en
Internet.
• Un Permitir gobernar para el tráfico SIP entrante desde Internet a los clientes de la red local.
Con Registro de carreteras personas con discapacidad, las siguientes reglas IP hay que añadir a los anteriores:
componentes H.323
terminales Los dispositivos utilizados para audio y vídeo opcional o comunicación de datos,
tales como teléfonos, unidades de conferencia, u
302
6.2.9. El H.323 ALG Capítulo 6. Mecanismos de seguridad
• Acción:Permitir
• Servicio:H323
• Interfaz de srcen:lan
• Interfaz de destino:
alguna
• Fuente de red:Lannet
Regla entrante:
2. Ahora ingrese:
• Nombre:H323AllowIn
• Acción:Permitir
• Servicio:H323
• Interfaz de srcen:alguna
• Interfaz de destino:lan
• Red de destino:Lannet
Este escenario consta de dos teléfonos H.323, cada uno conectado detrás del NetDefend firewall en una red con direcciones IPv4 privadas. Con el fin de realizar
llamadas en estos teléfonos a través de Internet, las siguientes reglas se deben agregar a la regla establecida en el servidor de seguridad. Asegúrese de que no
hay reglas rechazando o permitiendo que el mismo tipo de puertos / tráfico antes de estas reglas.
Como estamos usando direcciones IP privadas en los teléfonos, el tráfico de entrada necesita ser saciado como en el ejemplo siguiente. El objeto debe ser la IP
IP-teléfono
interna del teléfono H.323 detrás de cada servidor de seguridad.
Interfaz web
Regla de salida:
2. Ahora ingrese:
• Nombre:H323Out
• Acción:NAT
• Servicio:H323
• Interfaz de srcen:lan
• Interfaz de destino:
alguna
• Fuente de red:Lannet
308
6.2.9. El H.323 ALG Capítulo 6. Mecanismos de seguridad
Reglas de entrada:
2. Ahora ingrese:
• Nombre:H323In
• Acción:SAB
• Servicio:H323
• Interfaz de srcen:alguna
• Interfaz de destino:
núcleo
2. Ahora ingrese:
• Nombre:H323In
• Acción:Permitir
• Servicio:H323
• Interfaz de srcen:alguna
• Interfaz de destino:
núcleo
Para realizar una llamada al teléfono detrás de la NetDefend Firewall, realizar una llamada a la dirección IP externa en el servidor de seguridad. Si
hay varios teléfonos H.323 se colocan detrás del firewall, uno SAB regla tiene que ser configurado para cada teléfono. Esto significa que múltiples
direcciones externas tienen que ser utilizados. Sin embargo, es preferible utilizar un controlador de acceso H.323 ya que esto sólo requiere una
dirección externa.
En este escenario, un controlador de acceso H.323 se coloca en la DMZ de la NetDefend Firewall. Una regla se configura en el servidor de seguridad para
permitir el tráfico entre la red privada donde los teléfonos H.323 están conectados a la red interna y al Gatekeeper en la zona de distensión. El guardián de
puerta en la DMZ está configurado con una dirección privada. Las siguientes reglas se deben agregar a la lista de reglas en ambos cortafuegos, asegúrese de
que no hay reglas rechazando o permitiendo que el mismo tipo de puertos / tráfico antes de estas reglas.
309
6.2.9. El H.323 ALG Capítulo 6. Mecanismos de seguridad
Interfaz web
2. Ahora ingrese:
• Nombre:H323In
• Acción:SAB
• Servicio:H323-Gatekeeper
• Interfaz de srcen:alguna
• Interfaz de destino:
núcleo
• Comentario:regla SAT para la comunicación entrante con el controlador de acceso situada en ip-guardián
2. Ahora ingrese:
• Nombre:H323In
• Acción:Permitir
• Servicio:H323-Gatekeeper
• Interfaz de srcen:alguna
• Interfaz de destino:
núcleo
310
6.2.9. El H.323 ALG Capítulo 6. Mecanismos de seguridad
2. Ahora ingrese:
• Nombre:H323In
• Acción:Permitir
• Servicio:H323-Gatekeeper
• Interfaz de srcen:lan
• Interfaz de destino:DMZ
• Fuente de red:Lannet
• Red de destino:ip-guardián (dirección IP del gatekeeper)
No hay necesidad de especificar una regla específica para las llamadas salientes. NetDefendOS supervisa la comunicación
entre teléfonos "externos" y el guardián de puerta para asegurarse de que es posible para los teléfonos internos para llamar a
los teléfonos externos que están registrados con el gatekeeper.
Este escenario
guardián es muy
de puerta similar al
conectado escenario
a la zona de 3, con la diferencia
distensión debe serde que el NetDefend
configurado Firewall
exactamente protege
igual que enloselteléfonos
escenario"externos". El Firewall Firewall
3. El otro NetDefend NetDefend con el
debe
configurarse de la siguiente manera. Las normas tienen que ser añadido a la lista de reglas, y deben asegurarse de que no hay reglas rechazando o
permitiendo que el mismo tipo de puertos / tráfico antes de estas reglas.
Interfaz web
311
6.2.9. El H.323 ALG Capítulo 6. Mecanismos de seguridad
2. Ahora ingrese:
• Nombre:H323Out
• Acción:NAT
• Servicio:H323-Gatekeeper
• Interfaz de srcen:lan
• Interfaz de destino:
alguna
• Fuente de red:Lannet
• Red de destino:0.0.0.0/0 (todos-redes)
No hay necesidad de especificar una regla específica para las llamadas salientes. NetDefendOS supervisa la comunicación
entre teléfonos "externos" y el guardián de puerta para asegurarse de que es posible para los teléfonos internos para llamar a
los teléfonos externos que están registrados con el gatekeeper.
Este escenariodomicilio
de distensión es un ejemplo degatekeeper
social un una red másH.323
compleja que muestra
se coloca cómo
que puede el H.323
manejar ALGlos
todos seclientes
puede H.323
implementar en un entorno
en la cabeza-, rama-ycorporativo. En la zona
oficinas remotas. Esto
permitirá que toda la corporación de utilizar la red para la comunicación de voz y compartir aplicaciones. Se supone que los túneles VPN están
configurados correctamente y que todas las oficinas utilizan rangos de IP-privadas en sus redes locales. Todas las llamadas externas se realizan por la
red telefónica existente utilizando la pasarela (gateway ip) conectado a la red telefónica ordinaria.
312
6.3. Filtrado de Contenido Web Capítulo 6. Mecanismos de seguridad
el tráfico de Internet es una de las mayores fuentes de problemas de seguridad y uso indebido de Internet. hábitos de navegación inapropiada pueden
exponer a una red a muchas amenazas a la seguridad, así como las responsabilidades legales y reglamentarios. La productividad y el ancho de banda
de Internet también pueden verse afectadas.
A través de los protocolos HTTP ALG, NetDefendOS ofrece los siguientes mecanismos de filtrado de contenidos web que se considera
inadecuada para una organización o grupo de usuarios:
• Manipulación de contenido activo se puede utilizar para "depurar" las páginas web de contenido que el administrador considera una amenaza
potencial, tales como objetos ActiveX y applets de Java.
• Estática filtrado de contenido proporciona un medio para clasificar manualmente sitios web como "bueno" o "malo". Esto también se conoce
como URL listas negras y listas blancas.
• Filtrado de contenido dinámico es una potente característica que permite al administrador para permitir o bloquear el acceso a sitios
web en función de la categoría a la que se han clasificado en por un servicio de clasificación automática. filtrado de contenido dinámico
requiere un mínimo de esfuerzo de administración y tiene una precisión muy alta.
Todo el contenido del Web está habilitado el filtrado a través de los protocolos HTTP ALG que se describe en la Sección 6.2.2,
“El HTTP ALG”.
Algunos de los contenidos web puede contener código malicioso diseñado para dañar la estación de trabajo o la red desde donde el usuario
es el surf. Por lo general, dicho código se incrusta en diversos tipos de objetos o archivos que están incrustados en páginas web.
NetDefendOS incluye soporte para la eliminación de los siguientes tipos de objetos de contenido de la página web:
• applets de Java
• Galletas
• Formato no válido caracteres UTF-8 (el formato de URL no válida se pueden utilizar para atacar servidores web)
Los tipos de objetos que deben eliminarse se pueden seleccionar individualmente mediante la configuración de la correspondiente capa de aplicación
HTTP de puerta de enlace en consecuencia.
La consideración cuidadosa se debe dar antes de habilitar la eliminación de cualquier tipo de objeto de contenido web. Muchos
sitios web utilizan JavaScript y otros tipos de código del lado del cliente y en la mayoría de los casos, el código no es malicioso.
Los ejemplos más comunes de esto es el script utilizado para implementar menús desplegables así como mostrar y ocultar
elementos en las páginas web.
319
6.3.3. Estática filtrado de contenido Capítulo 6. Mecanismos de seguridad
La eliminación de dicho código legítimo podría, a lo sumo, hacer que el sitio web se vea distorsionada, en el peor, hacer que no
funciona en un navegador en absoluto. Manejo de contenido activo debe, por tanto, sólo se puede utilizar cuando las
consecuencias son bien entendidos.
Este ejemplo muestra cómo configurar una puerta de enlace de capa de aplicación HTTP para despojar a los applets de Java y ActiveX. El ejemplo
utilizará el content_filtering
ALG objeto y asume uno de los ejemplos anteriores se ha hecho.
Interfaz web
1. Ir a: Objetos> ALG
Además, filtrado de contenido estático se lleva a cabo antes de Filtrado dinámico de contenidos (descrito más adelante), lo que permite la
posibilidad de hacer manualmente excepciones del proceso de clasificación dinámica automática. En un escenario en el que los bienes
tienen que ser comprado en una tienda en particular en línea, filtrado de contenido dinámico puede estar configurado para impedir el
acceso a sitios de compras mediante el bloqueo de la categoría "Compras". Introduciendo la URL de la tienda on-line en la capa de
aplicación HTTP lista blanca de puerta de enlace, siempre se permite el acceso a esa URL, pasando por encima de filtrado de contenido
dinámico.
comodines
Tanto la lista negra de URL y el apoyo lista blanca URL comodín coincidente de URL a fin de ser más flexible. Esta coincidencia de
comodines es aplicable a la ruta siguiendo el nombre de host URL que significa que el filtrado puede ser controlado a un nivel de archivo
y directorio también.
A continuación se presentan algunas URL de ejemplo en la lista negra de buenos y malos utilizados para el bloqueo:
* . example.com/* Bueno. Esto bloqueará todos los hosts del example.com de dominio y todas las páginas web atendidos por
estos equipos.
www.example.com/* Bueno. Esto bloqueará la www.example.com sitio web y todas las páginas web
320
6.3.3. Estática filtrado de contenido Capítulo 6. Mecanismos de seguridad
* /*.gif Bueno. Esto bloqueará todos los archivos con. gif como la extensión del nombre de archivo.
www.example.com Malo. Esto sólo bloquear la primera solicitud al sitio web. surf hasta
www.example.com/index.html, por ejemplo, no será bloqueado.
* example.com/* Malo. Esto también hará que www.myexample.com a ser bloqueado ya que bloquea todos los sitios que
terminan con example.com.
contenido web filtrado de URL lista negra es un concepto separado de la sección 6.7, “Lista gra
ne
hosts y redes”.
Este ejemplo muestra el uso de filtrado de contenido estático en el que NetDefendOS pueden bloquear o permitir ciertas páginas web basadas en listas negras
y blancas. Como se ilustrará la usabilidad de filtrado de contenido estático, filtrado de contenido dinámico y la manipulación contenido activo no se habilitarán
en este ejemplo.
En este pequeño escenario de una política general surf evita que los usuarios descarguen archivos .exe. Sin embargo, el sitio web de D-Link proporciona archivos de
programa de seguros y necesarios que deben ser autorizados a descargar.
A continuación, cree un servidor HTTP ALG URL para configurar una lista negra:
Por último, hacer una excepción de la lista negra mediante la creación de una lista blanca específica:
Interfaz web
A continuación, crear una URL HTTP ALG para configurar una lista negra:
1. Ir a: Objetos> ALG
2. En la tabla, haga clic en el recién creado HTTP ALG para ver sus propiedades
321
6.3.4. Dinámica Filtrado de Contenido Web Capítulo 6. Mecanismos de seguridad
Por último, hacer una excepción de la lista negra mediante la creación de una lista blanca:
1. Ir a: Objetos> ALG
2. En la tabla, haga clic en el recién creado HTTP ALG para ver sus propiedades
Simplemente seguir añadiendo listas negras y blancas específicos hasta que el filtro satisface las necesidades.
NetDefendOS dinámica de WCF permite que la página web de bloqueo a ser automatizado por lo que no es necesario especificar manualmente de
antemano qué direcciones URL para bloquear o permitir. En lugar de ello, D-Link mantiene una infraestructura global de bases de datos que contienen
un gran número de direcciones URL de sitios web actuales que ya están clasificados y agrupados en una variedad de categorías tales como ir de
compras, noticias, deportes, orientado a los adultos y así sucesivamente.
Las bases de datos de URL dinámico WCF se actualizan casi a cada hora con nuevos, URLs categorizadas mientras que al mismo tiempo
mayores, las direcciones URL no válidas se dejan caer. El alcance de las URLs de las bases de datos es global, que abarca los sitios web en
muchos idiomas diferentes y alojados en servidores ubicados en diferentes países.
Cuando un usuario de un navegador web solicita acceso a un sitio web, NetDefendOS consulta las bases de datos dinámicas WCF con el fin
de recuperar la categoría del sitio solicitado. El acceso a la URL a continuación, puede ser permitido o denegado en base a la política de
filtrado que el administrador ha puesto en marcha para esa categoría.
Si se deniega el acceso, una página web se presenta al usuario que explica que el sitio solicitado ha sido bloqueado. Para que el proceso de consulta
lo más rápido posible NetDefendOS mantiene una caché local en memoria de las direcciones URL se ha accedido recientemente. El almacenamiento
en caché puede ser altamente eficiente, ya que una determinada comunidad de usuarios, como por ejemplo un grupo de estudiantes universitarios, a
menudo se encuentre navegando a una gama limitada de sitios web.
322
6.3.4. Dinámica Filtrado de Contenido Web Capítulo 6. Mecanismos de seguridad
Si la URL de la página web solicitada no está presente en las bases de datos, entonces el contenido de páginas web en la URL se
descargará automáticamente al almacén central de datos de D-Link y analizada de forma automática utilizando una combinación de
técnicas de software. Una vez clasificadas, la URL se distribuye a las bases de datos globales y NetDefendOS recibe la categoría de la
URL. Por lo tanto, dinámico WCF requiere un mínimo de esfuerzo de administración.
Nuevas direcciones URL, no categorizados enviados a la red D-Link se tratan como envíos anónimos y ningún registro
de la fuente de nuevas presentaciones se mantiene.
filtrado dinámico NetDefendOS clasifica las páginas web y no son los Sitios. En otras palabras, un sitio web puede contener determinadas
páginas que deberían ser bloqueados sin bloquear todo el sitio. NetDefendOS proporciona un bloqueo a nivel de página para que los usuarios
todavía pueden acceder a partes de los sitios web que no están bloqueados por la política de filtrado.
Activación
323
6.3.4. Dinámica Filtrado de Contenido Web Capítulo 6. Mecanismos de seguridad
Filtrado de contenido dinámico es una característica que se habilita mediante la suscripción de una suscripción por separado al servicio. Esta es una
adición a la licencia NetDefendOS normales.
Una vez que una suscripción se saca, una puerta de enlace (ALG) Objeto de capa de aplicación HTTP debe definirse con Dynamic filtrado
de contenido permitido. Este objeto se asocia entonces con un objeto de servicio y el objeto de servicio se asocia entonces con una norma
de la norma IP establecida para determinar qué tráfico debe estar sujeto a la filtración. Esto hace posible la creación de una política de
filtrado detallado basado en los parámetros de filtrado que se utilizan para las reglas en el conjunto de reglas IP.
Si el administrador desea que la política de filtrado de contenidos para variar dependiendo de la hora del día,
pueden hacer uso de un objeto Programación asociada con la regla IP correspondiente. Para obtener más
información, consulte la Sección 3.7, “Horarios”.
Existe la opción de configurar el ALG HTTP modo a prueba de la misma manera que se puede ajustar para algunos otros ALG y se aplica a WCF
igual que lo hace a funciones tales como el análisis antivirus. El ajuste del modo de falla determina lo que sucede cuando el filtrado de contenido
dinámico no puede funcionar y, por lo general, esto se debe a NetDefendOS es incapaz de llegar a las bases de datos externas para llevar a cabo
operaciones de búsqueda URL. Fallar modo puede tener uno de dos valores:
• Denegar -Si WCF es incapaz de funcionar las URL se les niega el acceso si la base de datos externa para verificar que no es posible. El
usuario verá un "acceso denegado" página web.
• Permitir -Si la base de datos de WCF externa no es accesible, las direcciones URL se permite a pesar de que podrían denegarse si las
bases de datos de WCF eran accesibles.
Este ejemplo muestra cómo configurar una política de filtrado de contenido dinámico para el tráfico HTTP desde
intneta todos-NET.La política se puede configurar para
bloquear todos los sitios de búsqueda, y este ejemplo se supone que el sistema está utilizando un único
NAT
gobernar para el tráfico HTTP desde intneta todos-NET.
Por último, modificar elNAT gobernar a utilizar el nuevo servicio. regla de suponer se llamaNATHttp:
Interfaz web
324
6.3.4. Dinámica Filtrado de Contenido Web Capítulo 6. Mecanismos de seguridad
5. En el Categorías bloqueados
lista, seleccione Los sitios de búsqueda
y haga clic en el botón >>.
1. Ir a: Reglas> Reglas IP
3. Seleccione el Serviciolengüeta
filtrado de contenido dinámico está ahora activado para todo el tráfico web desde Lanneta todos-NET.
3. Si todo está configurado correctamente, el navegador web presentará una página web que informa al usuario de que el sitio solicitado está
bloqueado.
Modo de auditoría
En Modo de auditoría,el sistema clasificar y registrar toda la surfear acuerdo con la política de filtrado de contenidos, pero los sitios web restringidos
todavía será accesible a los usuarios. Esto significa que la función de filtrado de contenido de NetDefendOS entonces se puede utilizar como una
herramienta de análisis para el análisis de lo categorías de sitios web se accede por una comunidad de usuarios y con qué frecuencia.
Después de ejecutar en modo auditoría para un cierto período de tiempo, es más fácil para luego tener una mejor comprensión del comportamiento de
navegación de los diferentes grupos de usuarios y también para comprender mejor el impacto potencial de activar la función de WCF.
El bloqueo de sitios web pueden molestar a los usuarios si se introduce de repente. Por tanto, se recomienda que el administrador introduce
gradualmente el bloqueo de determinadas categorías de una en una. Esto da tiempo a los usuarios individuales para acostumbrarse a la idea
de que existe bloqueo y podría evitar cualquier reacción adversa que pudiera ocurrir si demasiado se bloquea a la vez. introducción gradual
también hace que sea más fácil para evaluar si se están cumpliendo los objetivos de bloqueo de sitios.
325
6.3.4. Dinámica Filtrado de Contenido Web Capítulo 6. Mecanismos de seguridad
Este mecanismo puede ser activado en un nivel por ALG-HTTP, lo que significa que el administrador puede habilitar esta funcionalidad para los
usuarios regulares o sólo para un grupo de usuarios seleccionado.
Si reclasificación está habilitado y un usuario solicita una página web que está anulado, la página web de bloque incluirá una lista desplegable
que contiene todas las categorías disponibles. Si el usuario cree que el sitio web solicitada se clasifica erróneamente, se puede seleccionar una
categoría más apropiada de la lista desplegable, y lo presentarán como una propuesta.
La URL de la página web solicitada, así como la categoría propuesta serán enviadas al almacén de datos central de D-Link para la
inspección manual. Que la inspección puede resultar en el sitio web que se está reclasificado, ya sea de acuerdo a la categoría
propuesta oa una categoría que se siente ser correcta.
Este ejemplo muestra cómo un usuario puede proponer una reclasificación de un sitio web, si él cree que se clasifica erróneamente. Este mecanismo se
activa por cada nivel por HTTP ALG.
A continuación, seguir configurando el objeto de servicio y modificación de laNAT gobernar como lo hemos hecho en los ejemplos anteriores.
Interfaz web
5. En el Categorías bloqueados
lista, seleccione Los sitios de búsqueda
y haga clic en el botón >>
A continuación, seguir configurando el objeto de servicio y modificación de laNAT gobernar como lo hemos hecho en los ejemplos anteriores.
filtrado de contenido dinámico está ahora activado para todo el tráfico web desdeLanneta todas las redes dey el usuario es capaz de proponer la reclasificación de
sitios bloqueados. Validar la funcionalidad siguiendo estos pasos:
3. Si todo está configurado correctamente, el navegador web presentará una página de bloqueo, donde se incluye una lista desplegable que contiene todas las
categorías disponibles.
4. El usuario es ahora capaz de seleccionar una categoría más adecuada y proponer una reclasificación.
En esta sección se enumeran todas las categorías utilizadas con filtrado de contenido dinámico y describe el propósito de cada categoría.
327
6.3.4. Dinámica Filtrado de Contenido Web Capítulo 6. Mecanismos de seguridad
Un sitio web puede ser clasificado en la categoría de contenido para adultos si su contenido incluye la descripción o representación de actos
eróticos o sexuales o material de orientación sexual como la pornografía. Las excepciones a esto son los sitios web que contienen información
relacionada con la sexualidad y la salud sexual, que pueden clasificarse en los sitios de salud Categoría (21). Algunos ejemplos pueden ser:
• www.naughtychix.com
• www.fullonxxx.com
Categoría 2: Noticias
Un sitio web puede ser clasificado en l a categoría de Noticias si su contenido incluye artículos de información sobre los acontecimientos recientes
relacionados con los temas que rodean una localidad (por ejemplo, pueblo, ciudad o nación) o la cultura, incluyendo la información de predicción
meteorológica. Normalmente, esto incluiría la mayoría en tiempo r eal las publicaciones de noticias en línea y la tecnología o revistas comerciales. Esto
no incluye las cotizaciones financieras, se refieren a la categoría Sitios de inversión (11), o los deportes, se refieren a la categoría de Deportes (16).
Algunos ejemplos pueden ser:
• www.newsunlimited.com
• www.dailyscoop.com
Un sitio web puede ser clasificado en la categoría de búsqueda de empleo si su contenido incluye instalaciones para buscar o presentar solicitudes
de empleo en línea. Esto también incluye reanudar la escritura y la publicación y entrevistas, así como servicios de contratación y formación del
personal. Algunos ejemplos pueden ser:
• www.allthejobs.com
• www.yourcareer.com
Un sitio web puede ser clasificado en la categoría de juegos de azar si su contenido incluye la publicidad o promoción de, o instalaciones
que permitan la participar de cualquier forma de juego; Por dinero o de otra manera. Esto incluye los juegos en línea, las probabilidades
de apuestas y sitios web de lotería. Esto no incluye los juegos tradicionales o computadora basados; se refieren a la categoría Juegos
Sitios (10). Algunos ejemplos pueden ser:
• www.blackjackspot.com
• www.pickapony.net
Un sitio web puede ser clasificado en la categoría / Viajes Turismo si su contenido incluye información relacionada con las
actividades de viaje que incluye viajes de recreo y de reservas de viajes. Algunos ejemplos pueden ser:
• www.flythere.nu
328
6.3.4. Dinámica Filtrado de Contenido Web Capítulo 6. Mecanismos de seguridad
• www.reallycheaptix.com.au
Un sitio web puede ser clasificado en la categoría de compras si su contenido incluye cualquier forma de publicidad de mercancías o servicios a
ser canjeados por dinero, y también puede incluir las instalaciones para llevar a cabo la transacción en línea. Se incluyen en esta categoría son
las promociones de mercado, catálogo de venta y servicios de comercialización. Algunos ejemplos pueden ser:
• www.megamall.com
• www.buy-alcohol.se
Categoría 7: Entretenimiento
Un sitio web puede ser clasificado en la categoría de entretenimiento si su contenido incluye cualquier forma general de entretenimiento que no está
cubierto específicamente en otra categoría. Algunos ejemplos de esto son los sitios de música, películas, aficiones, intereses especiales, y clubes
de fans. Esta categoría también incluye páginas web personales, tales como los proporcionados por los ISP. Las siguientes categorías cubren más
específicamente diversos tipos de contenido de entretenimiento, pornografía / Sexo (1), Juegos de azar (4), salas de chat (8), sitios de juegos (10),
Deportes (16), Clubes y Sociedades (22) y descargas de música (23 ). Algunos ejemplos pueden ser:
• www.celebnews.com
• www.hollywoodlatest.com
• www.thetalkroom.org
• chat.yazoo.com
Un sitio web puede ser clasificado en la categoría de sitios de citas si su contenido incluye instalaciones para presentar y revisar los anuncios
personales, organizar reuniones románticas con otras personas, novia por correo / introducciones cónyuge extranjero y los servicios de escolta.
Algunos ejemplos pueden ser:
• adultmatefinder.com
• www.marriagenow.com
Un sitio web puede ser clasificado en la categoría de sitios del juego si su contenido se centra en o incluye la revisión de los juegos, basada
tradicional o computadora, o incorpora las instalaciones para la descarga de juegos de ordenador relacionado con el software, o jugar o
participar en juegos en línea. Algunos ejemplos pueden ser:
329
6.3.4. Dinámica Filtrado de Contenido Web Capítulo 6. Mecanismos de seguridad
• www.gamesunlimited.com
• www.gameplace.com
Un sitio web puede ser clasificado en la categoría Sitios de inversión si su contenido incluye información, servicios o instalaciones
relacionadas con la inversión personal. URL en esta categoría incluyen contenidos como servicios de corretaje, la configuración de la
cartera en línea, foros de manejo de dinero o las cotizaciones de bolsa. Esta categoría no incluye los centros de banca electrónica; se
refieren a la categoría E-Banking (12). Algunos ejemplos pueden ser:
• www.loadsofmoney.com.au
• www.putsandcalls.com
Un sitio web puede ser clasificado en la categoría E-Banking si su contenido incluye información o los servicios de banca electrónica. Esta
categoría no incluye contenidos relacionados con la inversión; se refieren a la categoría Sitios de inversión (11). Algunos ejemplos pueden
ser:
• www.nateast.co.uk
• www.borganfanley.com
• www.beatthecrook.com
Un sitio web puede clasificarse dentro de las Creencias Personales / Cultos categoría si su contenido incluye la descripción o representación
de, o instrucción en, sistemas de creencias y prácticas religiosas. Algunos ejemplos pueden ser:
• www.paganfed.demon.co.uk
• www.cultdeadcrow.com
Un sitio web puede ser clasificado en la categoría Política si su contenido incluye información u opiniones de carácter político,
la información electoral y que incluye grupos de discusión política. Algunos ejemplos pueden ser:
• www.democrats.org.au
330
6.3.4. Dinámica Filtrado de Contenido Web Capítulo 6. Mecanismos de seguridad
• www.political.com
Un sitio web puede ser clasificado en la categoría de deportes si su contenido incluye información o instrucciones relativas a los deportes
recreativos o profesionales, o comentarios en los eventos deportivos y los resultados deportivos. Algunos ejemplos pueden ser:
• www.sportstoday.com
• www.soccerball.com
Un sitio web puede ser clasificado en l a categoría www-Email Sitios si su contenido incluye servicios de correo electrónico en línea, basados en la web.
Algunos ejemplos pueden ser:
• www.coldmail.com
• mail.yazoo.com
Un sitio web puede ser clasificado en la categoría de violencia / no deseados si su contenido es extremadamente violenta o horrible en la
naturaleza. Esto incluye la promoción, descripción o representación de los actos violentos, así como los sitios web que tienen contenido no
deseado y no podrán ser clasificados en otro lugar. Algunos ejemplos pueden ser:
• www.itstinks.com
• www.ratemywaste.com
Un sitio web puede ser clasificado en la categoría malicioso si su contenido es capaz de causar daño a un entorno de ordenador o
computadora, incluyendo el consumo de ancho de banda de red malicioso. Esta categoría también incluye las direcciones URL "phishing"
que lo ha diseñado para capturar los detalles secretos de autenticación de usuario, haciéndose pasar por una organización legítima.
Algunos ejemplos pueden ser:
• hastalavista.baby.nu
Un sitio web puede ser clasificado en la categoría de sitios de búsqueda si su objetivo principal es proporcionar servicios de búsqueda de Internet
en línea. Consulte la sección de categorías únicas en el inicio de este documento. Algunos ejemplos pueden ser:
• www.zoogle.com
• www.yazoo.com
331
6.3.4. Dinámica Filtrado de Contenido Web Capítulo 6. Mecanismos de seguridad
Un sitio web puede ser clasificado en la categoría Sitios de salud si su contenido incluye información o servicios relacionados con la salud,
incluida la sexualidad y la salud sexual, así como grupos de apoyo, el hospital y la información quirúrgica y revistas médicas. Algunos
ejemplos pueden ser:
• www.thehealthzone.com
• www.safedrugs.com
Un sitio web puede ser clasificado en la categoría Clubes y Sociedades si su contenido incluye información o servicios de relación con
un club o sociedad. Esto incluye equipo de conferencias o sitios web. Algunos ejemplos pueden ser:
• www.sierra.org
• www.walkingclub.org
Un sitio web puede ser clasificado en la categoría de descargas de música si se ofrece la descarga de música en línea, cargar y compartir
instalaciones, así como la transmisión de audio de alto ancho de banda. Algunos ejemplos pueden ser:
• www.onlymp3s.com
• www.mp3space.com
Un sitio web puede ser clasificado en la categoría de negocios orientada a si su contenido es relevante para los negocios generales del día a
día o buen funcionamiento de Internet, por ejemplo, las actualizaciones del navegador Web. El ac ceso a los sitios web en esta categoría sería
en la mayoría de los casos no se considera improductivas o inapropiada.
Esta categoría está poblada por los URL especificados por una agencia gubernamental, y contiene las direcciones URL que se consideran no aptos
para ser vistos por el público en general a través de su naturaleza muy extremo. Algunos ejemplos pueden ser:
• www.verynastystuff.com
• www.unpleasantvids.com
Un sitio web clasificado en la categoría de Educación puede pertenecer a otras categorías, pero tiene contenido que se relaciona con los
servicios educativos o se haya considerado de valor educativo, o para ser un recurso educativo, por las organizaciones educativas. Esta
categoría está poblada por solicitud o presentación de
332
6.3.4. Dinámica Filtrado de Contenido Web Capítulo 6. Mecanismos de seguridad
• highschoolessays.org
• www.learn-at-home.com
Un sitio web puede ser clasificado en la categoría de publicidad si su foco principal incluye el suministro de información o servicios relacionados con
la publicidad. Algunos ejemplos pueden ser:
• www.admessages.com
• www.tripleclick.com
Un sitio web puede ser clasificado en la categoría de Drogas / Alcohol si su contenido incluye drogas y alcohol información o servicios
relacionados. Algunas URLs categorizadas bajo esta categoría también pueden clasificarse en la categoría de Salud. Algunos ejemplos
pueden ser:
• www.the-cocktail-guide.com
• www.stiffdrinks.com
Un sitio web puede ser clasificado en la categoría / IT Informática si su contenido incluye el cálculo de información o servicios relacionados.
Algunos ejemplos pueden ser:
• www.purplehat.com
• www.gnu.org
Un sitio web puede ser c lasificado en la categoría / Lencería / Modelos traje de baño si su contenido incluye información relacionada con o
imágenes de trajes de baño, lencería o modelos generales de moda. Algunos ejemplos pueden ser:
• www.vickys-secret.com
• sportspictured.cnn.com/features/2002/swimsuit
Un sitio web puede ser clasificado en l a categoría de spam, si se comprueba que deben figurar en granel o de spam correos electrónicos. Algunos
ejemplos pueden ser:
• kaqsovdij.gjibhgk.info
• www.pleaseupdateyourdetails.com
333
6.3.4. Dinámica Filtrado de Contenido Web Capítulo 6. Mecanismos de seguridad
sitios no clasificados y sitios que no encajan en una de las otras categorías serán colocados en esta categoría. Es inusual para bloquear esta
categoría ya que esto podría resultar en URL más inofensivos siendo bloqueados.
El Filtrado (WCF) característica del HTTP ALG contenido Web hace uso de un conjunto de archivos HTML para presentar información al usuario
whencertain se producen condiciones tales como intentar acceder a un sitio bloqueado. Estas páginas web son también conocidos como HTTP
Archivos Banner y se almacenan dentro de NetDefendOS pero puede ser personalizado para adaptarse a las necesidades de una instalación
particular. WebUI ofrece una forma sencilla de descargar, editar y subir estos archivos.
Nota
Los archivos de banner relacionados con reglas de autenticación y autenticación web son un tema aparte y se discuten
en la Sección 8.3, “Personalización de a utenticación HTML de páginas”.
• CompressionForbidden
• ContentForbidden
• URLForbidden
• RestrictedSiteNotice
• ReclassifyURL
Las páginas HTML contienen una serie de parámetros que pueden ser utilizados según sea necesario. Los parámetros disponibles son los siguientes:
Para llevar a cabo la personalización es necesario crear primero una nueva, llamadaALG Archivos Bannerobjeto. Este nuevo objeto
contiene automáticamente una copia de todos los archivos de laDefecto ALG objeto Banner archivos. Estos nuevos archivos pueden ser
Interfaz web
334
6.3.4. Dinámica Filtrado de Contenido Web Capítulo 6. Mecanismos de seguridad
6. Ahora editar el código HTML que aparece en el cuadro de texto de la página URL Prohibida
En el ejemplo anterior, más de un archivo HTML se pueden editar en una sesión, pero el
Salvar se debe presionar el botón para guardar todos los cambios antes de comenzar a editar otro archivo.
Es posible subir archivos nuevos Banner HTTP utilizando SCP. Los pasos para hacer esto son:
1. Desde SCP no se puede utilizar para descargar el código HTML srcinal por defecto, el código fuente se debe copiar en primer lugar de la
WebUI y pegar en un archivo de texto local que se edita a continuación, utilizando un editor apropiado.
2. Un nuevo ALG Archivos Banner objeto debe existir el cual el archivo (s) editado subido a. Si el
objeto se llama myTxt, el comando CLI para crear este objeto es:
Esto crea un objeto que contiene una copia de toda la Defecto Archivos de contenido de banner de filtrado.
El uso de los clientes de CPS se explica más adelante en Sección 2.1.6, “Secure Copy”.
4. Uso de la CLI, el correspondiente HTTP ALG ahora debe estar configurada para utilizar el myTxt archivos de banner. Si el
ALG nosotros llamamosmy_http_alg, el comando sería:
335
6.3.4. Dinámica Filtrado de Contenido Web Capítulo 6. Mecanismos de seguridad
5. Como es habitual, la activar Seguido por el cometer comandos de la CLI se deben utilizar para activar el
cambios en la NetDefend cortafuegos.
336
6.4. Scanning Anti-Virus Capítulo 6. Mecanismos de seguridad
El módulo NetDefendOS Anti-Virus protege contra código malicioso realizado en descargas de archivos. Los archivos pueden ser descargados como
parte de una página web en una transferencia HTTP, en una descarga FTP, o tal vez como un archivo adjunto a un correo electrónico entregado a
través de SMTP. El código malicioso en este tipo de descargas puede tener diferentes intenciones que van desde programas que sólo causan
molestias a los objetivos más siniestros como el envío de vuelta contraseñas, números de tarjetas de crédito y otra información sensible. El término
"virus" se puede utilizar como una descripción genérica para todas las formas de código malicioso realizadas en los archivos.
A diferencia de los desplazados internos, que se dirige principalmente a los ataques contra servidores, análisis antivirus se centra en las descargas
de los clientes. NetDefendOS Anti-Virus está diseñado para ser un complemento de la exploración antivirus estándar normalmente llevadas a cabo a
nivel local por software especializado instalado en los equipos cliente. IDP no pretende ser un sustituto completo para la exploración local, si no más
bien como un escudo adicional para impulsar la protección del cliente. Lo más importante es que puede actuar como un respaldo para cuando el
análisis antivirus cliente local no está disponible.
NetDefendOS Anti-Virus está habilitado en una base por ALG. Está disponible para la descarga de archivos asociados a
los siguientes ALG y se habilita en los propios ALG:
• La ALG HTTP
• El FTP ALG
• El POP3 ALG
• El SMTP ALG
6.4.2. Implementación
Transmisión
Como la transferencia de archivos se transmite a través de la NetDefend Firewall, NetDefendOS analizará el flujo de datos para detectar
la presencia de virus si el módulo Anti-Virus está habilitada. Dado que los archivos están siendo escuchados y no ser leídos por completo
en la memoria, se requiere una cantidad mínima de memoria y hay un efecto mínimo en el rendimiento global.
La coincidencia de patrones
El proceso de inspección se basa en la coincidencia de patrones contra una base de datos de patrones de virus conocidos y pueden determinar,
con un alto grado de certeza, si un virus se encuentra en proceso de ser descargado a un usuario detrás de la NetDefend Firewall. U na vez que
un virus se reconoce en el contenido de un archivo, la descarga puede ser terminado antes de que se complete.
Como se describió anteriormente, el análisis antivirus está habilitado en una base por ALG y puede escanear las descargas de archivos asociados con
los protocolos HTTP, FTP, SMTP y POP3 ALG. Más específicamente:
337
6.4.3. Activación Anti-Virus Scanning Capítulo 6. Mecanismos de seguridad
• Cualquier tipo de archivo sin comprimir transferido a través de estos ALG puede ser escaneado.
• Si la descarga se ha comprimido, descargas de archivos ZIP y GZIP se pueden escanear. El administrador tiene la opción de dejar siempre
archivos específicos, así como la opción de especificar un límite de tamaño de archivos escaneados. Si no se especifica un límite de tamaño, entonces
No hay un límite fijo de la cantidad de escaneos de antivirus pueden tener lugar simultáneamente en una sola NetDefend Firewall. Sin
embargo, la memoria libre disponible se puede poner un límite en el número de exploraciones simultáneas que se pueden iniciar.
Desde exploración Anti-Virus se implementa a través de unaApplication Gateway Nivel (ALG), características específicas del protocolo se
implementa en NetDefendOS. Con FTP, por ejemplo, la exploración es consciente de los canales de control y transferencia de datos duales
que se abren y se puede enviar una solicitud a través de la conexión de control para detener una descarga si se detecta un virus en la
descarga.
Una pregunta que a menudo se plantea es el "orden" de la exploración antivirus en relación con la exploración IDP. De hecho, el concepto
de ordenación no es relevante ya que los dos procesos de exploración pueden ocurrir simultáneamente y operar a diferentes niveles de
protocolo.
Si se habilita IDP, que escanea todos los paquetes designados por regla general IDP definido y no toma nota de protocolos de alto nivel,
tales como HTTP, que generan los flujos de paquetes. Sin embargo, anti-virus es consciente del protocolo de nivel superior y sólo se basa
en los datos involucrados en la transferencia de archivos. Análisis antivirus es una función que pertenece, por lo tanto, lógicamente, en un
ALG, mientras que IDP no pertenece allí.
La activación de la exploración Anti-Virus se logra a través de un ALG asociado con el protocolo orientado. Un objeto ALG
debe existir primero con la opción Anti-Virus habilitado. Como siempre, un ALG entonces debe estar asociado con un objeto
de servicio adecuado para el protocolo que va a escanear. El objeto de servicio se asocia entonces con una regla en el
conjunto de reglas IP que define el srcen y el destino del tráfico a la que la ALG se va a aplicar.
Puesto que las reglas de conjuntos de reglas IP son los medios por los cuales se implementa la función Anti-Virus, el despliegue puede política
ser
basada. normas IP pueden especificar que la ALG y su análisis anti-virus asociado pueden aplicarse a tráfico que va en una dirección dada y entre
las direcciones y / o redes IP de srcen y de destino específicas. La programación también se puede aplicar a la detección de virus para que se
lleva a cabo sólo en momentos específicos.
SafeStream
338
6.4.5. La suscripción al Servicio Capítulo 6. Mecanismos de seguridad
Anti-Virus D-Link
NetDefendOS análisis antivirus se implementa por D-Link utilizando el "SafeStream" base de datos de firmas de virus. se crea la base
de datos SafeStream y mantenido por Kaspersky, una empresa que es líder mundial en el campo de la detección de virus. La base de
datos ofrece protección contra amenazas de virus prácticamente todos conocidos, incluyendo troyanos, gusanos, exploits de puerta
trasera y otros. La base de datos también se prueba a fondo para proporcionar cerca de cero falsos positivos.
La base de datos se actualiza SafeStream diariamente con nuevas firmas de virus. firmas mayores rara vez se retiraron pero en cambio
se sustituyen con las firmas más genéricos que cubren varios virus. Los locales NetDefendOS copia de la base de datos SafeStream por
lo tanto, debe actualizarse con regularidad y este servicio de actualización está habilitado como parte de la suscripción de la suscripción
Anti-Virus de D-Link.
1. Opciones Generales
comportamiento modo a prueba Si un análisis de virus falla por cualquier razón, entonces la transferencia se puede caer o se deja,
con el evento que se está registrando. Si esta opción se establece enPermitir a continuación, una
condición como la base de datos de virus no estar disponibles o la licencia actual no es válida no
hará que los archivos que se retiren. En su lugar, se les permitirá a través de un mensaje de
registro y se generarán para indicar ha producido un fallo.
Ciertos tipos de archivos pueden ser excluidos expresamente de detección de virus, si eso es deseable. Esto puede aumentar el rendimiento
global si un tipo de archivo excluido es un tipo que comúnmente se encuentra en un escenario particular, tales como archivos de imagen en
descargas HTTP.
NetDefendOS realiza la comprobación de contenido MIME en todos los tipos de archivos que figuran en el Apéndice C, tipos de archivos Verified MIME establecer
cierto tipo de archivo del archivo y luego buscar ese tipo de archivo en la lista de excluidos. Si el tipo de archivo no puede establecerse a partir de su
contenido (y esto puede ocurrir con tipos de archivos no especificados en Apéndice C, tipos de archivos Verified MIME) a continuación, el tipo de archivo
en el nombre del ar chivo se utiliza cuando la lista de excluidos se comprueba.
339
6.4.6. Opciones de Anti-Virus Capítulo 6. Mecanismos de seguridad
Al escanear archivos comprimidos, NetDefendOS debe aplicar la descompresión para examinar el contenido del archivo. Algunos tipos de datos
pueden resultar en relaciones de compresión muy altas donde el archivo comprimido es una pequeña fracción del tamaño del archivo srcinal sin
comprimir. Esto puede significar que podría tener que ser descomprimido en un archivo mucho más grande que se puede colocar una carga excesiva
sobre los recursos y NetDefendOS notablemente el rendimiento desaceleración comparativamente pequeño archivo adjunto comprimido.
Para evitar esta situación, el administrador debe especificar una Índice de compresión límite. Si no se especifica el límite de la ración como 10 entonces
esto va a significar que si el archivo no comprimido es 10 veces más grande que el archivo comprimido, la acción especificada se debe tomar.
La acción puede ser uno de:
El tipo MIME identifica el tipo de un archivo. Por ejemplo, un archivo puede ser identificado como del tipo. gif
y por lo tanto debe contener datos de imágenes de ese tipo. Algunos virus pueden tratar de ocultar archivos dentro mediante el uso de un tipo de
archivo engañosa. Un archivo puede pretender ser un. gif archivo, pero los datos del archivo no coincidirán patrón de datos de ese tipo, ya que está
infectado con un virus.
Habilitación de esta función se recomienda para asegurarse de que esta forma de ataque no puede permitir que un virus para pasar. Los posibles
tipos MIME que se pueden comprobar se enumeran en Apéndice C, tipos de archivos Verified MIME.
Es importante que un NetDefendOS tiene la hora correcta del sistema establecer si la función de actualización automática en el módulo Anti-Virus
puede funcionar correctamente. Una hora incorrecta puede significar la actualización automática está desactivada.
El comando de la consola
mostrará el estado actual de la función de actualización automática. Esto también puede hacerse a través de la WebUI.
Actualización de las bases de datos Anti-Virus para ambos los Firewalls NetDefend en un Cluster HA se realiza automáticamente por NetDefendOS.
En un clúster siempre hay una activo unidad y un inactivo unidad. Sólo la unidad activa en el clúster llevará a cabo la comprobación periódica de
nuevas actualizaciones de bases de datos. Si una nueva actualización de base de datos que se disponga de la secuencia de eventos será el
siguiente:
1. La unidad activa determina que hay una nueva actualización y descarga los archivos necesarios para la actualización.
2. La unidad activa lleva a cabo una r econfiguración automática para actualizar su base de datos.
3. Esta reconfiguración provoca una conmutación por error por lo que la unidad pasiva se convierte en l a unidad activa.
4. Cuando se haya completado la actualización, la unidad recientemente activo también descarga los archivos para la actualización y realiza una
reconfiguración.
340
6.5.3. Reglas de desplazados Capítulo 6. Mecanismos de seguridad
Una nueva base de datos de firma actualizada se descarga automáticamente por el sistema NetDefendOS en un intervalo configurable.
Esto se hace a través de una conexión HTTP con el servidor de red D-Link que ofrece las últimas actualizaciones de la base de firmas. Si
la base de firmas del servidor tiene una versión más reciente de la base de datos actual, la nueva base de datos será descargado, en
sustitución de la versión anterior.
Los términos La detección y prevención de intrusiones ( IDP), Sistema de Prevención de Intrusión ( IDP) y
Sistema de detección de intrusos ( IDS) se utilizan indistintamente en la literatura de D-Link. Todos ellos se refieren a la misma característica, que es
IDP.
Es importante que un NetDefendOS tiene la hora correcta del sistema establecer si la función de actualización automática en el módulo de IDP puede
funcionar correctamente. Una hora incorrecta puede significar la actualización automática está desactivada.
El comando de la consola
mostrará el estado actual de la función de actualización automática. Esto también puede hacerse a través de la WebUI.
Actualización de las bases de datos de PDI, tanto para los Firewalls NetDefend en un Cluster HA se realiza automáticamente por NetDefendOS. En
un clúster siempre hay una activo unidad y un inactivo unidad. Sólo la unidad activa en el clúster llevará a cabo la comprobación periódica de
nuevas actualizaciones de bases de datos. Si una nueva actualización de base de datos que se disponga de la secuencia de eventos será el
siguiente:
1. La unidad activa determina que hay una nueva actualización y descarga los archivos necesarios para la actualización.
2. La unidad activa lleva a cabo una r econfiguración automática para actualizar su base de datos.
3. Esta reconfiguración provoca una conmutación por error por lo que la unidad pasiva se convierte en l a unidad activa.
4. Cuando se haya completado la actualización, la unidad recientemente activo también descarga los archivos para la actualización y realiza una
reconfiguración.
5. Esta segunda reconfiguración causa otra conmutación por error por lo que la unidad pasiva vuelve a estar activo de nuevo.
Estos pasos dan como resultado en ambos Firewalls NetDefend en un clúster que tiene bases de datos actualizadas y con los papeles activos / pasivos
srcinales. Para obtener más información acerca de los clústeres de HA consulte Capítulo 11, de alta disponibilidad.
componentes de reglas
Un Regla IDPdefine qué tipo de tráfico, o servicio, debe ser analizado. Una regla IDP es similar en composición a una regla de IP. Reglas de
desplazados internos están construidos como otras políticas de seguridad en NetDefendOS tales como las normas de PI. Una Regla IDP especifica
una fuente determinada combinación / interfaces de destino / direcciones, además de ser asociados con un objeto de servicio que define las reglas
de PDI que serán utilizados durante el escaneo de tráfico. Un calendario también puede estar asociado con una regla de IDP. Lo más importante,
una regla especifica el IDP Acción para asumir la detección de una intrusión en el destino del tráfico por la regla.
345
6.5.3. Reglas de desplazados Capítulo 6. Mecanismos de seguridad
Firmas de
Cuando se utiliza la interfaz web, todas las firmas de desplazados internos en la base de firmas locales se muestran en el epígrafe
desplazados internos.
Esto muestra un árbol de dos niveles de todas las firmas en función del grupo. Sin embargo, su propósito es sólo para
referencia y no es posible añadir firmas a través de este árbol.
En la interfaz web, la asociación de firmas con una regla de IDP se hace seleccionando la Acción lengüeta. Una captura de pantalla de una parte de
esta pestaña en la interfaz web se muestra a continuación.
Hay una opción de entrar firmas en el cuadro de texto superior o seleccionarlos a través del árbol bajo el cual recoge las firmas
juntos en sus respectivos grupos. Cuando las colecciones de firmas se seleccionan en el árbol, la definición de comodín
equivalente aparecerá automáticamente en el cuadro de arriba. firmas individuales no se pueden seleccionar a través del árbol y
sólo se pueden introducir en el cuadro de texto.
Lo que aparece en el cuadro de texto superior es equivalente a la forma en que las firmas se especifican cuando se utiliza la CLI para definir una regla
de IDP.
La normalización de HTTP
Cada regla IDP tiene una sección de configuración de la normalización de HTTP. Esto permite al administrador elegir las acciones que se deben
tomar cuando IDP encuentra inconsistencias en las URIs incrustados en las solicitudes HTTP entrantes. Algunos ataques al servidor se basan
en la creación de URIs con secuencias que pueden explotar las debilidades de algunos productos de servidor HTTP.
• inválida UTF8
Una secuencia hexadecimal válido es donde una muestra de porcentaje es seguido por dos valores hexadecimales para representar un
solo byte de datos. Una secuencia hexadecimal no válido sería el signo de porcentaje seguido de algo que no es un valor hexadecimal
válido.
• doble codificación
Esto se ve para cualquier secuencia hex que a su vez se codifica utilizando otras secuencias hex escape. Un ejemplo sería la
secuencia srcinal% 2526 dónde % 25 se podría entonces ser decodificado por el servidor HTTP a '%' y los resultados en la
secuencia '% 26' . Esto es, finalmente decodificado a '&'.
346
6.5.4. / Evasión prevención de ataques de Capítulo 6. Mecanismos de seguridad
inserción
1. Un paquete llega al servidor de seguridad y NetDefendOS realiza la verificación normal. Si el paquete es parte de una nueva
conexión, entonces se compara con la norma IP establecida antes de pasar al módulo de IDP. Si el paquete es parte de una
conexión existente se pasa directamente al sistema de IDP. Si el paquete no es parte de una conexión existente o es
rechazado por la norma IP fija entonces se deja caer.
2. La información fuente y de destino del paquete se compara con el conjunto de reglas de PDI definido por el administrador. Si se encuentra
una coincidencia, se pasa a la siguiente nivel de procesamiento IDP que es la coincidencia de patrones, que se describe en el paso a
continuación. Si no hay un partido contra una regla de IDP entonces el paquete es aceptado y el sistema IDP toma ninguna otra
acción si bien otras acciones definidas en el conjunto de reglas IP se aplican como traducción de direcciones y la explotación forestal.
La opción existe en NetDefendOS IDP para buscar intrusiones en todo el tráfico, incluso los paquetes que son rechazados por el conjunto de reglas de
comprobación de IP para nuevas conexiones, así como los paquetes que no son parte de una conexión existente. Esto proporciona al administrador
del servidor de seguridad con una forma de detectar cualquier tráfico que parece ser una intrusión. Con esta opción sólo es posible la acción de regla
IDP está registrando. Se debe por supuesto ser ejercida con esta opción ya que la carga de procesamiento puede ser mucho mayor cuando se
comprueban todos los paquetes de datos.
Visión de conjunto
Un Inserción /
Al definir una regla de IDP, el administrador puede activar o desactivar la opción Proteger contra el ataque de inserción / Evasión.
Ataque Evasión es una forma de ataque que está dirigido específicamente a evadir los mecanismos de PDI. Se aprovecha el hecho de que en una
transferencia de datos TCP / IP, el flujo de datos a menudo debe ser vuelto a montar a partir de piezas más pequeñas de datos, ya que las piezas
individuales o bien llegan en el orden equivocado o se fragmentan de alguna manera. Las inserciones o evasiones están diseñados para explotar este
proceso de montaje.
Un ataque de inserción consiste en insertar datos en una corriente de modo que la secuencia resultante de paquetes de datos es
aceptada por el subsistema de IDP pero será rechazado por la aplicación específica. Este resultado es dos flujos de datos diferentes.
Como un ejemplo, considerar un flujo de datos dividido en 4 paquetes: P1, P2, P3 y P4. El atacante podría enviar paquetes primero P1 y
P4 a la aplicación de destino. Estos se llevarán a cabo tanto por el subsistema de PDI y de la aplicación hasta que los paquetes P2 y P3
llegan rearmado de manera que se puede hacer. El atacante envía ahora deliberadamente dos paquetes, P2' y P3' , los cuales serán
rechazados por la aplicación, pero aceptadas por el sistema IDP. El sistema IDP es ahora capaz de completar el reensamblaje de los
paquetes y se cree que tiene la secuencia de datos completa. El atacante envía ahora otros dos paquetes, P2 y P3, que serán aceptadas
por la aplicación que se puede volver a montar ahora completa, pero que resulta en un flujo de datos diferente a la observada por el
subsistema de IDP.
Un ataque la evasión tiene un resultado final similar al ataque de inserción, ya que también genera dos flujos de datos
diferentes, uno que el subsistema IDP ve y que ve la aplicación de destino, pero
347
6.5.8. Registro SMTP receptor para Eventos de Capítulo 6. Mecanismos de seguridad
desplazados
Una regla de IDP llamada IDPMailSrvRulese creará, y el Servicioa utilizar es el servicio SMTP. Fuente de interfaz de red de srcen y define
dónde viene el tráfico, en este ejemplo la red externa. los Interfaz de destinoy Red de destinodefinir donde el tráfico se dirige a, en este
caso el servidor de correo. Red de destinoPor lo tanto, se debe establecer en el objeto de definir el servidor de correo.
Interfaz web
Esta regla se llama IDP IDPMailSrvRule,y se aplica al servicio SMTP. Fuente de interfaz de red de srcen y definen dónde viene el tráfico, en
este ejemplo, la red externa. La interfaz de destino y la red de destino definen donde el tráfico se dirige a, en este caso el servidor de correo.
Por lo tanto, la red de destino se debe establecer en el objeto de definir el servidor de correo.
2. Ahora ingrese:
• Nombre:IDPMailSrvRule
• Servicio:SMTP
• También inspeccione los paquetes perdidos: En caso de que todo el tráfico que coincide con esta regla debe ser escaneado (esto también significa que el tráfico que
el conjunto principal regla caería), laProteger contra ataques de inserción / evasión
casilla de verificación debe ser verificada, que es el caso en este ejemplo.
• Interfaz de srcen:pálido
• Fuente de red:Wannet
• Interfaz de destino:DMZ
353
6.5.8. Registro SMTP receptor para Eventos de Capítulo 6. Mecanismos de seguridad
desplazados
• Red de destino:ip_mailserver
• Haga
ACUERDO
clic DE
Especificar la acción:
Una acción se define ahora, especificando lo que las firmas de los IDP debe utilizar al escanear registro que satisfaga la regla, y qué NetDefendOS
debe hacer cuando se detecta una posible intrusión. En este ejemplo, los intentos de intrusión harán que la línea se desconecte, por lo Acciónse
establece en Proteger.los firmas opción se establece en
IPS_MAIL_SMTPcon el fin de utilizar firmas que describen los ataques desde la red externa que se basa en el protocolo SMTP.
2. Ahora ingrese:
• Acción:Proteger
• firmas: IPS_MAIL_SMTP
• Haga
ACUERDO
clic DE
En resumen, ocurrirá lo siguiente: Si se produce el tráfico de la red externa al servidor de correo, IDP se activará. Si el tráfico coincide con
alguna de las firmas en el IPS_MAIL_SMTPgrupo de firmas, se interrumpe la conexión, lo que protege el servidor de correo.
El ejemplo anterior utiliza todo un nombre de grupo IDP al habilitar IDP. Sin embargo, es posible especificar en lugar de firmas indvidual
o una lista de firmas para una regla de IDP. firmas individuales se identifican por su número de identificación único y múltiples firmas se
especifica como una lista separada por comas de estos ID se separaron.
Por ejemplo, para especificar las firmas con el ID 68343, la CLI en el ejemplo anterior se convertiría en:
Para especificar una lista que también incluye firmas 68345 y 68349:
PDI ofrece un excelente medio de la identificación de diferentes tipos de flujo de tráfico a través de NetDefendOS y las aplicaciones
responsables de los mismos. Esta capacidad se combina con las características de gestión del tráfico de NetDefendOS para proporcionar IDP
Traffic Shaping que puede imponer restricciones de ancho de banda y la prioridad de los flujos específicos identificados.
El tráfico IDP característica conformación se discute en profundidad enSección 10.2, “IDP de tráfico”.
354
6.6. Prevención de ataque de denegación de Capítulo 6. Mecanismos de seguridad
servicio
Al abrazar la Internet, las empresas experimentan nuevas oportunidades de negocio y crecimiento. La red de la empresa y las aplicaciones
que se ejecutan sobre él son crítica para el negocio. No sólo puede una empresa alcanzar un mayor número de clientes a través de Internet,
puede servir más rápido y más eficientemente. Al mismo tiempo, el uso de una red IP pública permite a las empresas reducir los costes
relacionados con la infraestructura.
Por desgracia, las mismas ventajas que Internet aporta a los negocios también se benefician los piratas informáticos que utilizan la misma
infraestructura pública para montar ataques. herramientas de ataque están fácilmente disponibles en Internet y desarrollo de estas herramientas a
menudo se divide en grupos de hackers novatos - a veces se denomina con nombres tales como "niños de la escritura -. repartidas por todo el
mundo, proporcionando una evolución de los métodos de ataque 24/7 Muchos técnicas de ataque más recientes utilizan la topología distribuida de
Internet para poner en marcha Negación de servicio ( DoS) contra las organizaciones resultantes en los servidores web paralizados que ya no
pueden responder a las peticiones de conexión legítimas.
Para estar en el lado receptor de un ataque DoS es probablemente la última cosa que cualquier administrador de red desea experimentar. Los
ataques pueden aparecer de la nada y las consecuencias pueden ser devastadoras con los servidores caídos, conexiones a Internet
atascadas y sistemas críticos de negocio en sobrecarga.
Esta sección se ocupa de NetDefend utilizando servidores de seguridad para proteger a las organizaciones contra estos ataques.
Un ataque de denegación de servicio puede ser perpetrada en un número de maneras, pero hay tres tipos básicos de ataque:
• El consumo de recursos computacionales, tales como ancho de banda, espacio en disco, o tiempo de CPU.
Uno de los métodos más comúnmente utilizado es el consumo de recursos computacionales que significa que el ataque DoS inunda
la red y ata los recursos críticos utilizados para ejecutar aplicaciones críticas de negocio. En algunos casos, las vulnerabilidades de
los sistemas operativos Unix y Windows son explotados a chocar intencionalmente el sistema, mientras que en otros casos grandes
cantidades de tráfico aparentemente válida se dirigen a sitios hasta que se sobrecargan y accidente.
• El ataque WinNuke
• El ataque Jolt2
El "ping de la muerte" es una de las primeras capas 3/4 ataques. Una de las formas más sencillas para ejecutarlo es ejecutar "ping -l
65510 1.2.3.4" en un sistema Windows 95, donde 1.2.3.4 es la dirección IP del
355
6.6.4. ataques de superposición de fragmentación: en forma Capítulo 6. Mecanismos de seguridad
de lágrima, Bonk, Boink y Nestea
víctima. "Sacudida" es simplemente un programa de propósito-escrito para generar dichos paquetes en sistemas operativos cuyos comandos de
ping negarse a generar paquetes de gran t amaño.
El factor desencadenante es que el último fragmento hace que el tamaño total del paquete excede de 65535 bytes, que es el número más
alto que un entero de 16 bits puede almacenar. Cuando el valor se desborda, salta de nuevo a un número muy pequeño. Lo que sucede
entonces es una función de lo bien que se implementa la pila IP de la víctima.
NetDefendOS nunca permitirá fragmentos a través de que resultaría en el tamaño total superior a 65535 bytes. Además de eso,
hay límites configurables para el tamaño de los paquetes IP en Configuración avanzada.
Ping de la muerte se mostrará en NetDefendOS troncos en forma de gotas con el nombre conjunto de reglas para "LogOversizedPackets".
La dirección IP del remitente puede ser falsa.
Teardrop y sus seguidores son los ataques de superposición de fragmentos. Muchas pilas IP han demostrado un comportamiento errático (agotamiento
de recursos excesiva o se bloquea) cuando se expone a fragmentos de superposición.
NetDefendOS protege completamente contra los ataques de la fragmentación de solapamiento. fragmentos solapantes nunca se les permite pasar a
través del sistema.
Lágrima y sus seguidores se mostrarán en NetDefendOS troncos en forma de gotas con el nombre conjunto de reglas para "IllegalFrags". La
dirección IP del remitente puede ser falsa.
a su vez genera una nueva respuesta a la misma, etc. Esto ya sea atascar la máquina de la víctima hacia abajo, o hacer que se bloquee.
El ataque se lleva a cabo mediante el uso de la dirección IP de la víctima en el campo de srcen de un paquete IP, así como en el campo de
destino.
NetDefendOS protege contra este ataque mediante la aplicación de protección IP spoofing a todos los paquetes. En su configuración por
defecto, simplemente comparar los paquetes que llegan a los contenidos de la tabla de enrutamiento; Si un paquete llega en una interfaz
que es diferente de la interfaz donde el sistema espera la fuente a ser, será dado de baja del paquete.
La tierra y los ataques LaTierra se mostrarán en NetDefendOS troncos en forma de gotas con el nombre de la regla establecida en "AutoAccess"
por defecto, o si la configuración contiene reglas de acceso personalizados, el nombre de la regla de acceso que dejó caer el paquete. La
dirección IP del remitente no es de interés aquí, ya que es siempre la misma que la dirección IP de destino.
Uno de esos servicios era el NetBIOS sobre servicio TCP / IP en máquinas Windows, lo que dio el ataque de su nombre.
• Con una política de entrada cuidado, la superficie de ataque se reduce considerablemente. Sólo servicios expuestos posiblemente
podrían ser víctimas del ataque, y los servicios públicos tienden a ser más bien escrito que los servicios previstos para servir sólo a la
red local.
356
6.6.7. ataques de amplificación: Pitufo, Capítulo 6. Mecanismos de seguridad
Papasmurf, Fraggle
• Al eliminar el bit URG por defecto de todos los segmentos TCP que atraviesan el sistema (configurable a través Configuración
avanzada> TCP> TCPUrg).
WinNuke ataques por lo general aparecen en los registros de NetDefendOS como gotas normales con el nombre de la regla IP que anuló
el intento de conexión.
Para conexiones permitidas a través del sistema, la categoría "DROP" "TCP" o (dependiendo de la
TCPUrg Marco) entradas aparecerán, con un nombre de la regla de "TCPUrg". La dirección IP del remitente no es probable que sea falso; un
enlace de tres vías completa debe completarse antes de segmentos de fuera de banda se pueden enviar.
• "Pitufo" y "Papasmurf" envían paquetes de eco I CMP a la dirección de difusión de las redes abiertas con muchas máquinas,
falsificar la dirección IP de srcen a la de la víctima. Todas las máquinas de la red abierta a continuación, "responden" a la víctima.
• "Fraggle" utiliza la misma idea general, pero en lugar de utilizar UDP echo (puerto 7) para realizar la tarea. Fraggle consigue
generalmente más bajos factores de amplificación, ya que hay un menor número de servidores en Internet que tienen el servicio de eco
UDP activado.
ataques Smurf se mostrarán en NetDefendOS registros como masas de paquetes de respuesta de eco ICMP abandonado. Las direcciones
IP de srcen serán los de las redes amplificador utilizado. ataques Fraggle se mostrarán en NetDefendOS registros como masas de
paquetes perdidos (o permitidos, según la política). Las direcciones IP de srcen serán los de las redes amplificador utilizado.
A pesar de que la peor parte de la corriente de ancho de banda es al lado de la víctima final, siendo seleccionada como una red de amplificador
también puede consumir grandes recursos. En su configuración predeterminada, NetDefendOS gotas explícitamente paquetes enviados para transmitir
dirección de redes conectadas directamente (configurable a través
Configuración avanzada> IP> DirectedBroadcasts).
Sin embargo, con una política de entrada razonable, no hay una red protegida debe nunca tiene
que preocuparse acerca de convertirse en un amplificador de pitufo.
Pitufo, y sus seguidores, son ataques de agotamiento de recursos en que utilizan la capacidad de conexión a Internet. En el caso general, el
servidor de seguridad está situado en el lado "equivocado" cuello de botella de la conexión a Internet para ofrecer mucha protección contra
este tipo de ataques. El daño ya se ha hecho en el momento en que los paquetes llegan al servidor de seguridad.
Sin embargo, NetDefendOS pueden ayudar a mantener el peso de encima de los servidores internos, haciéndolos disponibles para el servicio
interno, o tal vez el servicio a través de una conexión secundaria de Internet no se dirige el ataque.
• Pitufo y Papá Pitufo Tipo inundaciones serán vistos como respuestas de eco ICMP en el lado de la víctima. A no ser que FwdFast reglas
están en uso, tales paquetes nunca son permitidos para iniciar nuevas conexiones, independientemente de si hay o no hay reglas que
permitan el tráfico.
• Fraggle los paquetes pueden llegar en cualquier puerto de destino UDP dirigido por el atacante. Apretar el conjunto de reglas de entrada puede
ayudar.
357
6.6.8. Los ataques TCP SYN Flood Capítulo 6. Mecanismos de seguridad
los Traffic Shaping característica integrada en NetDefendOS también ayudar a absorber algo de la inundación antes de que alcance los servidores
protegidos.
NetDefendOS pueden proteger contra ataques TCP SYN Flood si el Protección contra inundaciones SYN opción está habilitada en un objeto de
servicio asociado a la regla en el conjunto de reglas IP que desencadena en el tráfico. Esto también se conoce a veces como el SYN Relay opción.
Protección contra las inundaciones se activa automáticamente en los servicios predefinidos http-in-https en, smtp-in,
y
ssh-in.Si un nuevo objeto de servicio personalizado está definido por el administrador, entonces la opción de protección contra inundaciones puede ser
activada o desactivada según se desee.
protección contra inundaciones SYN funciona completando el 3 vías apretón de manos con el cliente antes de hacer un segundo apretón de
manos de su cuenta con el servicio de destino. Las situaciones de sobrecarga tienen dificultad ocurrida en NetDefendOS debido a la gestión de
recursos superior y una ausencia de las restricciones normalmente colocado sobre otros sistemas operativos. Mientras que otros sistemas
operativos pueden presentar problemas con tan sólo 5 conexiones pendientes a medio abrir, NetDefendOS pueden llenar toda su tabla de
estado antes de que algo sucede fuera de lo común. Cuando la tabla de estado se llena, viejas conexiones SYN pendientes serán los primeros
en ser bajado a hacer espacio para nuevas conexiones.
ataques de inundación TCP SYN se mostrarán en los registros NetDefendOS como cantidades excesivas de nuevas conexiones (o
gotas, si el ataque está dirigido a un puerto cerrado). La dirección IP del remitente está casi siempre falsa.
Cabe señalar que la protección contra inundaciones SYN no tiene que estar habilitado explícitamente en un objeto de servicio que tiene un ALG
asociada a ella. ALG proporciona protección automática contra inundaciones SYN.
NetDefendOS completamente protegerá contra este ataque. El primer fragmento se pondrá en c ola, a la espera de los fragmentos anteriores
para llegar a fin de que puedan ser transmitidos en orden, pero es to nunca sucede, así que ni siquiera el primer fragmento consigue a través.
fragmentos subsiguientes se desechan, ya que son idénticas al primer fragmento.
Si el atacante elige un fragmento compensado mayor que los límites impuestos por la Configuración avanzada> LengthLim
en
NetDefendOS, los paquetes ni siquiera llegar tan lejos; serán retirados de inmediato. Jolt2 ataques pueden o no aparecer en los registros de
NetDefendOS. Si el atacante elige una compensación por el ataque demasiado alta fragmento, que se mostrarán en forma de gotas desde el
conjunto de reglas de "LogOversizedPackets". Si el fragmento de desplazamiento es lo suficientemente baja, no se producirá ningún registro.
La dirección IP del remitente puede ser falsa.
358
6.6.10. Los ataques de denegación de servicio distribuidos Capítulo 6. Mecanismos de seguridad
Una forma más sofisticada de DoS es la Denegación de Servicio Distribuida ( Ataque DOS. Los ataques DDoS implican romper en cientos
o miles de máquinas en todo el Internet que instala el software de DDoS en ellos, lo que permite al hacker controlar todas estas máquinas
burgled para lanzar ataques coordinados en los sitios de las víctimas. Estos ataques típicamente de ancho de banda de escape, la
capacidad de procesamiento del router, o recursos pila de red, rompiendo la conectividad de red a las víctimas.
A pesar de los recientes ataques DDoS se han lanzado desde ambos sistemas institucionales públicos y privados corporativos, los
hackers tienden a menudo prefieren universidad o redes institucionales debido a su naturaleza abierta y distribuida. Las
herramientas usadas para lanzar ataques DDoS incluyen Trin00, TribeFlood red (TFN), TFN2K y Stacheldraht.
359
6.7. Listas negras de máquinas y redes Capítulo 6. Mecanismos de seguridad
Visión de conjunto
NetDefendOS implementa una Lista negra de direcciones de host o IP de red que pueden utilizarse para proteger contra el tráfico
procedente de fuentes de Internet específicos.
Ciertos NetDefendOS subsistemas tienen la capacidad de opcionalmente lista negra un host o red cuando se encuentran ciertas
condiciones. Estos subsistemas son:
• Reglas umbral. (Disponible en ciertos modelos NetDefend - véase Sección 10.3, “Reglas de umbral” para detalles.)
La lista negra automática de un host o red se puede activar en IDP y en reglas de umbral especificando el Protegeracción para
cuando se activa una regla. Una vez activados, hay tres opciones de listas negras:
Tiempo de bloqueo de host / red en cuestión El anfitrión o red que es la fuente del tráfico permanecerá en la lista negra
de segundos durante el tiempo especificado y luego ser eliminados. Si la m isma fuente
desencadena otra entrada a la lista negra, entonces el tiempo de bloqueo se
renueva a su valor srcinal, completo (en otras palabras, no es acumulativo).
Bloquear solamente este Servicio Por defecto Lista negra bloquea todos los servicios para el anfitrión de disparo.
Eximir a las conexiones ya establecidas a Si no se establecen conexiones que tienen la misma fuente que esta nueva entrada
partir de listas negras de lista negra, entonces no se eliminará si se establece esta opción.
direcciones IP o redes se añaden a la lista a continuación, el tráfico de estos orígenes se bloquea a continuación, para el período de tiempo
especificado.
listas blancas
Para asegurar que el tráfico de Internet procedente de fuentes de confianza, como la estación de trabajo de gestión, no están en la lista negra, en
ningún caso, una Lista blanca también es mantenido por NetDefendOS. Cualquier objeto de dirección IP se puede añadir a esta lista blanca
Se recomienda añadir la propia NetDefend Firewall a la lista blanca, así como la dirección IP o la red de la
estación de trabajo de gestión desde una lista negra de cualquiera podría tener graves consecuencias para las
operaciones de red.
360
6.7. Listas negras de máquinas y redes Capítulo 6. Mecanismos de seguridad
También es importante entender que aunque las listas blancas impide una fuente particular de la lista negra, todavía no impide que
los mecanismos NetDefendOS tales como reglas de umbral por caídas o denegar conexiones desde esa fuente. Lo que hace es
evitar que las listas blancas que se añade una fuente a una lista negra si esa es la acción de una regla ha especificado.
Para más detalles sobre su uso, véase Sección 6.5.7, “Acciones de desplazados internos” y Sección 10.3, “Reglas de umbral”.
Contenido de la lista negra de filtrado es un tema aparte y utiliza una lista lógico separado (véase la Sección 6.3, “Filtrado
de Contenido Web”).
los lista negra comando se puede utilizar para mirar, así como manipular el contenido actual de la lista negra y la lista
blanca. La lista negra actual se puede ver con el comando:
Esta lista negra comando se puede utilizar para eliminar un host de la lista negra con el - desatascar opción.
En este ejemplo, añadiremos un objeto de dirección IP llamadawhite_ipa la lista blanca. Esto significará esta dirección IP no puede ser la lista negra.
Interfaz web
3. Seleccione el servicio all_tcppara ser asociado con esta entrada de lista blanca
361
6.7. Listas negras de máquinas y redes Capítulo 6. Mecanismos de seguridad
362
Capítulo 7. Traducción de direcciones
Este capítulo describe las capacidades de traducción de direcciones NetDefendOS.
La capacidad de transformar una dirección IP a otra puede tener muchos beneficios. Dos de los más importantes son:
• Las direcciones IPv4 privadas se pueden utilizar en una red protegida donde hosts protegidos necesitan tener acceso a la Internet
pública. También puede haber servidores con direcciones IPv4 privadas que deben ser accesibles a través de Internet pública.
• La seguridad se incrementa al hacer que sea más difícil que alguien pueda entender la topología de la red protegida.
traducción de direcciones oculta las direcciones IP internas que significa que un ataque procedente del "exterior" es más
difícil.
Tipos de Traducción
• NAT)
La traducción de direcciones de red dinámica (
La aplicación de los dos tipos de traducción depende de las políticas de seguridad especificados, lo que significa que se aplican al
tráfico específico basado en las reglas de filtrado que definen combinaciones de srcen / destino de red / interfaz, así como el
servicio. Hay dos tipos de reglas NetDefendOS IP, NAT
normas y SAB reglas se utilizan para configurar la traducción de direcciones.
363
7.2. NAT Capítulo 7. Traducción de direcciones
7.2. NAT
La traducción de direcciones de red dinámica NAT)
( proporciona un mecanismo para traducir las direcciones IP de las fuentes srcinales a
una dirección diferente. Los paquetes salientes a continuación, parecen venir de una dirección IP diferente y los paquetes entrantes de nuevo
a esa dirección tienen su dirección IP traduce de nuevo a la dirección IP srcinal.
• Las direcciones IP de los clientes y los hosts individuales pueden ser "ocultos" detrás de la dirección IP del servidor de seguridad.
• Sólo el servidor de seguridad necesita una dirección IPv4 pública para el acceso a Internet. Hosts y redes detrás del firewall se
pueden asignar direcciones IPv4 privada, pero aún pueden tener acceso a la Internet pública a través de la dirección IPv4 pública.
NAT proporciona
muchos-a-unoLa traducción de direcciones IP
NAT proporciona Traducción muchos-a-uno. Esto significa que cada NAT regla en el conjunto de reglas IP se traducirá entre varias
direcciones IP de srcen y una única dirección IP de srcen.
Para mantener la información de estado de sesión, cada conexión de forma dinámica direcciones traducidas utiliza un número de
puerto único y la combinación de dirección IP como su remitente. NetDefendOS realiza la traducción automática del número de
puerto de srcen, así como la dirección IP. En otras palabras, las direcciones IP de srcen para las conexiones están traducidos a la
misma dirección IP y las conexiones se distinguen entre sí por la asignación de un número de puerto único para cada conexión.
En la ilustración anterior, tres conexiones de direcciones IP A, B y do se NATed través de una dirección IP única fuenteNORTE. Los
números de puerto srcinales también se cambian.
El siguiente número de puerto de srcen asignado para una nueva conexión NAT será el primer puerto libre seleccionado al azar por
NetDefendOS. Los puertos se asignan al azar para aumentar la seguridad.
Aproximadamente 64.500 conexiones simultáneas NAT son posibles si se considera una "conexión" para ser un par único de
direcciones IP y números de puerto diferentes no se utilizan o se utiliza el mismo puerto de destino.
364
7.2. NAT Capítulo 7. Traducción de direcciones
Sin embargo, puesto que hay un posible rango de 64.500 puertos de srcen y el mismo número de puertos de destino, es teóricamente
posible tener más de 4 mil millones de conexiones entre dos direcciones IP si se utilizan todos los puertos.
Para aumentar el número de conexiones NAT que puede existir entre la NetDefend Firewall y un IP de host externo particular, los
NetDefendOS piscinas NATcaracterística se puede utilizar lo que puede hacer automáticamente el uso de direcciones IP
adicionales en el firewall.
Esto es útil en situaciones en las que un servidor r emoto requiere que todas las conexiones están a un solo número de puerto. En tales casos, se
aplicará el límite de 64.500 para los pares de direcciones IP únicas.
Ver Sección 7.3, “Piscinas NAT” Para obtenermás información acerca de este tema.
Hay tres opciones para la forma NetDefendOS determina la dirección IP de srcen que se usará para NAT:
Cuando se establece una nueva conexión, la tabla de enrutamiento es consultado para resolver la interfaz de salida para la conexión.
La dirección IP de la interfaz resuelto se utiliza entonces como la nueva dirección IP de srcen cuando NetDefendOS realiza la
traducción de direcciones. Esta es la forma predeterminada en que se determina la dirección IP.
Una dirección IP específica se puede especificar como la nueva dirección IP de srcen. La dirección IP especificada debe tener un
juego ARP Publicar entrada configurada para la interfaz de salida. De lo contrario, el tráfico de retorno no será recibido por el
NetDefend Firewall. Esta técnica podría ser utilizada cuando la IP de srcen es a variar según el srcen del tráfico. Por ejemplo, un
proveedor de Internet que utiliza NAT, podría utilizar diferentes direcciones IP para diferentes clientes.
UN NAT piscina, que es un conjunto de direcciones IP definidas por el administrador, puede ser utilizado. La siguiente dirección
disponible desde la piscina se puede utilizar como la dirección IP utilizada para NAT. No puede haber una o muchas piscinas NAT y una
única piscina se puede utilizar en más de una NAT regla. Este tema se discute en Sección 7.3, “Piscinas NAT”.
El siguiente ejemplo ilustra cómo se aplica NAT en la práctica en una nueva conexión:
1. El emisor en la dirección IP 192.168.1.5 envía un paquete desde un puerto asignado dinámicamente, para
ejemplo 1038, a un servidor, por ejemplo, 195.55.66.77 el puerto 80.
365
7.2. NAT Capítulo 7. Traducción de direcciones
4. NetDefendOS recibe el paquete y lo compara a su lista de conexiones abiertas. Una vez que encuentra la conexión en
cuestión, se restaura la dirección srcinal y reenvía el paquete.
A continuación se añadirán unaNAT regla que llevará a cabo la traducción de direcciones para todo el tráfico HTTP procedente de la red interna lan a medida
que fluye a la Internet pública en el
pálido interfaz. La dirección IP de la pálidointerfaz se utiliza como la dirección NATing para todas las conexiones.
NATAction = UseInterfaceAddress
366
7.2. NAT Capítulo 7. Traducción de direcciones
GW-mundo: / principal> cc
los NATActionopción podría quedar fuera ya que el valor predeterminado es utilizar la dirección de la interfaz. La alternativa es especificarUseSenderAddressy el
uso de la NATSenderAddress opción para especificar la dirección IP a usar. También tendrá que ser explícitamente ARP publicada en la interfaz de la dirección del
remitente.
Interfaz web
3. Ahora i ntroduzca:
• Acción:NAT
• Servicio:http
• Interfaz de srcen:lan
• Fuente de red:Lannet
• Interfaz de destino:pálido
• Red de destino:
todas las redes de
Tala opcionalmente puede ser habilitado para que esta regla de manera que se genera un mensaje de registro cada vez que se dispara.
traducción dinámica de direcciones es capaz de lidiar con los protocolos TCP, UDP e ICMP con un buen nivel de funcionalidad ya que el
algoritmo sabe qué valores se pueden ajustar para convertirse en único en los tres protocolos. Para otros protocolos de nivel IP,
conexiones únicas son identificados por sus direcciones de remitente, las direcciones de destino y los números de protocolo.
• Una máquina interna puede comunicarse con varios servidores externos utilizando el mismo protocolo IP.
• Una máquina interna puede comunicarse con varios servidores externos usando protocolos IP diferentes.
• Varias máquinas internas pueden comunicar con diferentes servidores externos utilizando el mismo protocolo IP.
• Varias máquinas internas pueden comunicarse con el mismo servidor utilizando protocolos IP diferentes.
• Varias máquinas internas pueden no comunicarse con el mismo servidor externo utilizando el mismo protocolo IP.
Estas restricciones se aplican sólo a los protocolos de nivel IP que no sean TCP, UDP e ICMP, como OSPF y
L2TP. Ellos no se aplican a los protocolos transportados por TCP, UDP e ICMP como Telnet, FTP, HTTP y
SMTP.
NetDefendOS pueden alterar el número de puerto en el TCP y UDP cabeceras para hacer que cada conexión
única, a pesar de que este tipo de conexiones han tenido sus direcciones de remitente convierten a la misma IP.
367
7.2. NAT Capítulo 7. Traducción de direcciones
Algunos protocolos, independientemente del medio de transporte utilizado, pueden causar problemas durante la traducción de direcciones.
Una aplicación útil de la f unción NAT en NetDefendOS es para los proveedores de servicios de anonimato para anonimizar tráfico entre clientes y
servidores a través de Internet público, por lo que la dirección IP pública del cliente no está presente en t odas las solicitudes de acceso al
servidor o de igual a igual tráfico.
Vamos a examinar el caso típico en el que el NetDefend Firewall actúa como un servidor PPTP y termina el túnel PPTP para
clientes PPTP. Los clientes que desean permanecer en el anonimato, se comunican con su ISP local usando PPTP. El tráfico se
dirige al proveedor de servicios de anonimato, donde se ha instalado un NetDefend Firewall para que actúe como servidor PPTP
para el cliente, que termina el túnel PPTP. Esta disposición se ilustra en el siguiente diagrama.
NetDefendOS está configurado con NAT reglas de la norma IP establecida por lo que toma el tráfico de comunicación que
viene del cliente y NAT TI a salir a Internet. La comunicación con el cliente es con el protocolo PPTP pero el túnel PPTP
desde el cliente termina en el firewall. Cuando este tráfico se transmite entre el firewall y el Internet, ya no es encapsulada
por PPTP.
Cuando una aplicación, como por ejemplo un servidor web, recibe ahora peticiones del cliente, parece como si están viniendo
desde la dirección IP externa del proveedor de servicios de anonimato y no IP del cliente. Por lo tanto, la aplicación envía sus
respuestas de vuelta al servidor de seguridad que transmite el tráfico de vuelta al cliente a través del túnel PPTP. La dirección IP
srcinal del cliente no se revela en el tráfico, ya que se transmite más allá de la terminación del túnel PPTP en los NetDefendOS.
Típicamente, todo el tráfico pasa a través de la misma interfaz física y que la interfaz tiene una única dirección IP pública. Múltiples interfaces
podrían utilizarse si las direcciones IPv4 públicas múltiples están disponibles. Es evidente que existe una pequeña sobrecarga de procesamiento
involucrado con el tráfico de anonimato, pero esto no tiene por qué ser un problema si se emplean los recursos de hardware suficientes para realizar
el anonimato.
Esta misma técnica también se puede utilizar con L2TP en lugar de las conexiones PPTP. Ambos protocolos se discuten en Sección
9.5.4, “Los clientes PPTP / L2TP”.
368
7.3. Piscinas NAT Capítulo 7. Traducción de direcciones
Visión de conjunto
Traducción de Direcciones de Red ( NAT) proporciona una manera de tener varios clientes internos y anfitriones con direcciones únicas IP privadas,
internas comunicarse con un ordenador remoto a través de una única dirección IPv4 pública externa (esto se discute en profundidad en Sección 7.2,
“NAT”). Cuando varias direcciones IP externas públicas están disponibles a continuación, una conjunto NAT objeto se puede utilizar para asignar
nuevas conexiones a través de estas direcciones IPv4 públicas.
Piscinas NAT se emplean generalmente cuando hay una necesidad de un gran número de conexiones de puerto exclusivos. El Puerto Maestro
NetDefendOS tiene un límite de aproximadamente 65.000 conexiones para una combinación única de direcciones IP de srcen y destino. Donde
gran número de clientes internos están utilizando aplicaciones como el software de intercambio de archivos, un gran número de puertos pueden
ser requeridos para cada cliente. La situación puede ser exigente de manera similar, si un gran número de clientes tienen acceso a Internet
mediante un servidor proxy. La limitación se supera el número de puerto mediante la asignación de direcciones IP externas adicionales para
acceso a Internet y el uso de NAT piscinas para asignar nuevas conexiones a través de ellos.
Un conjunto NAT puede ser uno de los siguientes tres tipos con cada asignación de nuevas conexiones de una manera diferente:
• stateful
• Apátrida
• Fijo
Cuando el stateful opción está seleccionada, NetDefendOS asigna una nueva conexión a la dirección IP externa que actualmente tiene el
menor número de conexiones enrutadas a través de él con la suposición de que es la menor carga. NetDefendOS mantiene un registro en
memoria de todas estas conexiones. Las conexiones posteriores que implican el mismo interno cliente / host A continuación, utilizar la
misma dirección IP externa.
La ventaja del enfoque de estado es que puede equilibrar las conexiones a través de varios enlaces ISP externos garantizando al mismo
tiempo que un host externo siempre se comunicará de nuevo a la misma dirección IP que será esencial con protocolos como HTTP
cuando se trata de cookies. La desventaja es la memoria adicional requerida por NetDefendOS para rastrear el uso en su tabla de estado
y la pequeña sobrecarga de procesamiento involucrado en el procesamiento de una nueva conexión.
Para asegurarse de que la tabla de estado no contiene entradas para las comunicaciones muertos que ya no están activos, una Estado
Keepaliveel tiempo puede ser especificado. Esta vez es el número de segundos de inactividad que deben ocurrir antes de que se elimina un
estado en la tabla de estado. Después de este período NetDefendOS no asume ningún tipo de comunicación más se srcinará desde el host
interno asociado. Una vez que se elimina el estado entonces la comunicación subsiguiente desde el host dará lugar a una nueva entrada de
tabla de estado y puede ser asignado a una dirección IP externa diferente en el NAT Pool.
La tabla de estado en sí ocupa de memoria por lo que es posible limitar su tamaño mediante Max
el Unidos el valor de un objeto de conjunto
NAT. La tabla de estado no se asigna a la vez, pero se incrementa en tamaño según sea necesario. Una entrada en la tabla de estado de
seguimiento de todas las conexiones para un único host detrás del NetDefend Firewall sin importar que albergan las preocupaciones externa de
conexión. Si Max Unidos se alcanza luego se sustituye un estado existente con el tiempo de inactividad más largo. Si todos los estados de la
mesa es activa, entonces la nueva conexión se interrumpe. Como regla general, cuanto Max Unidos valor debe ser al menos el número de hosts o
clientes locales que se conectará a Internet.
369
7.3. Piscinas NAT Capítulo 7. Traducción de direcciones
Sólo hay una tabla de estado por cada conjunto NAT de modo que si un solo conjunto NAT se reutiliza en varias reglas NAT IP que comparten la
misma tabla de estados.
los Apátrida opción significa que no hay tabla de estado se mantiene y la dirección IP externa elegido para cada nueva conexión es la
que tiene el menor número de conexiones ya asignados a la misma. Esto significa dos conexiones entre un host interno para el mismo
host externo puede utilizar dos direcciones IP externas diferentes.
La ventaja de una piscina sin estado NAT es que existe una buena difusión de nuevas conexiones entre las direcciones IP externas
sin necesidad de memoria asignada a una tabla de estados y hay menos tiempo de procesamiento necesario para la creación de
cada nueva conexión. La desventaja es que no es adecuada para la comunicación que requiere una dirección IP externa constante.
los Fijo opción significa que cada cliente interno o host se asigna una de las direcciones IP externas a través de un algoritmo de
hash. Aunque el administrador no tiene control sobre cuál de las conexiones externas se utilizará, este esquema asegura que un
cliente interno en particular o anfitrión siempre se comunicarán a través de la m isma dirección IP externa.
La opción Fijos tiene la ventaja de no requerir memoria para una tabla de estado y proporciona un procesamiento muy rápido para el nuevo
establecimiento de la conexión. Aunque el equilibrio de carga explícita no es parte de esta opción, debe haber divulgación de la carga a
través de las conexiones externas debido a la naturaleza aleatoria del algoritmo que se distribuyen.
Uso IP Pool
Cuando la asignación de direcciones IP externas a un conjunto NAT no es necesario indicar explícitamente estos. En cambio, un NetDefendOS IP Pool objeto
puede ser seleccionado. IP piscinas se reúnen colecciones de direcciones IP automáticamente a través de DHCP y, por tanto, pueden suministrar
direcciones IP externas de forma automática a un conjunto NAT. Ver Sección 5.4, “Conjuntos de IP” para más detalles sobre este tema.
Cuando un router externo envía consultas ARP a la NetDefend Firewall para resolver direcciones IP externas incluidas en un conjunto NAT,
NetDefendOS tendrán que enviar el ARP correcta responde a esta resolución se lleve a cabo a través de su mecanismo de proxy ARP por
lo que el router externo puede construir correctamente su tabla de ruteo.
Por defecto, el administrador debe especificar en la configuración del conjunto NAT qué interfaces serán utilizados por las piscinas NAT. Sin
embargo existe la opción para habilitar Proxy ARP para un conjunto NAT en todas las interfaces, pero esto puede causar problemas a veces por
la posible creación de rutas a interfaces en las que los paquetes no deben llegar. Por ello se recomienda que la interfaz (s) que debe utilizarse
para el mecanismo de NAT piscina Proxy ARP se especifican explícitamente.
Piscinas NAT se utilizan en combinación con una regla NAT IP normal. Al definir una NAT regla general, el diálogo incluye la opción de
seleccionar un conjunto NAT para usar con la regla. Esta asociación aporta el conjunto NAT en uso.
370
7.3. Piscinas NAT Capítulo 7. Traducción de direcciones
En este ejemplo se crea un grupo de NAT con el rango de direcciones IP externa10.6.13.10a 10.16.13.15que luego se utiliza en una NAT norma IP para el
tráfico HTTP en el pálidointerfaz.
Interfaz web
3. Introduzca 10.6.13.10-10.16.13.15
en el Dirección IPcaja de texto
(Una red tal como 10.6.13.0/24 podría utilizarse aquí - las 0 y 255 direcciones serán eliminados automáticamente)
2. Ahora ingrese:
• Nombre:stateful_natpool
• Tipo de piscina:stateful
• Rango de IP:nat_pool_range
2. Bajo Generalentrar:
• Acción:NAT
• Interfaz de srcen:int
• Fuente de red:int-net
• Interfaz de destino:pálido
• Red de destino:
todas las redes de
• Servicio:HTTP
• Seleccionar stateful_natpool
de la lista desplegable
371
7.4. SAB Capítulo 7. Traducción de direcciones
7.4. SAB
NetDefendOS pueden traducir rangos enteros de direcciones IP y / o números de puerto. Estas conversiones son transposiciones donde cada
dirección o puerto se asigna a una dirección o puerto correspondiente en una nueva gama, en lugar de la traducción de todos ellos a la misma
dirección o puerto. Esta funcionalidad se conoce como
La traducción de direcciones estáticas ( SAB).
Algunos proveedores de equipos de red utilizan el término " el reenvío de puertos"cuando se hace referencia a la SAT. Ambos
términos se refieren a la misma funcionalidad.
A diferencia de NAT, SAT requiere algo más que una sola regla IP por definir. UN SAB primera regla debe añadirse para especificar la traducción de
direcciones, pero NetDefendOS no termina la búsqueda conjunto de reglas después de encontrar una coincidencia SAB regla. En cambio, la
búsqueda de reglas IP continúa durante un juego Permitir, NAT
o FwdFast regla. Sólo cuando se ha encontrado una norma de este tipo no coincidente NetDefendOS ejecutar el srcinal SAB regla.
los SAB regla solamentedefine la traducción que ha de tener lugar. La segunda regla IP, asociado debe existir para permitir que en
realidad el tráfico atraviese el firewall.
Un principio importante a tener en cuenta al crear las reglas de propiedad intelectual para el SAT es que la segunda regla, por ejemplo, una Permitir
regla, debe gatillo de la sin traducirDirección IP de destino. Un error común es crear una regla que desencadena en la dirección traducida
propuesta por el SAB regla.
Por ejemplo, si una SAB regla traduce el destino de 1.1.1.1 a 2.2.2.2 entonces la segunda regla asociada debe permitir
que el tráfico pase al destino 1.1.1.1 y no 2.2.2.2.
Sólo después de la segunda regla se activa para permitir el tráfico, es la búsqueda de rutas a continuación, realizado por NetDefendOS en la
dirección traducida para elaborar la interfaz que los paquetes deben ser enviados desde.
En este punto, es relevante para analizar el papel de la red conocida como el Zona desmilitarizada
(DMZ) puesto que las reglas SAT se utiliza a menudo en permitir el acceso DMZ.
El propósito de la DMZ es tener una red donde el administrador puede poner los recursos que serán accesibles a los clientes externos,
no son de confianza y donde este acceso se realiza normalmente a través de la Internet pública. Estos servidores tienen la máxima
exposición a las amenazas externas y por lo tanto con mayor riesgo de verse comprometidos.
Mediante el aislamiento de estos servidores de la DMZ, estamos creando una separación distinta de las redes internas, locales más
sensibles. Esto permite un mejor control NetDefendOS a lo que los flujos de tráfico entre la DMZ y las redes internas y para aislar mejor los
errores de seguridad que pudieran producirse en los servidores de DMZ.
372
7.4.1. Traducción de una dirección IP Capítulo 7. Traducción de direcciones
única (1: 1)
La ilustración siguiente muestra una disposición típica de red con un servidor de seguridad NetDefend mediación de las
comunicaciones entre la Internet y los servidores de la DMZ y entre la DMZ y clientes locales en una red llamada LAN.
En todos los modelos de D-Link Hardware NetDefend, existe una interfaz Ethernet específico que se marca como
para el DMZ red. Aunque este es el uso previsto del puerto que podría ser utilizado para otros fines y cualquier
interfaz Ethernet también podría ser utilizado en lugar de una DMZ.
En este ejemplo, vamos a crear una política de SAT que se traducirá y permitir las conexiones de Internet a un servidor web situado en una DMZ. El
NetDefend Firewall está conectado a la Internet a través de la interfaz WAN con wan_ip objeto de dirección (definido como 195.55.66.77)como la
dirección IP. El servidor web tiene la dirección IPv4 10.10.10.5
y es accesible a través de la interfaz de DMZ.
373
7.4.1. Traducción de una dirección IP Capítulo 7. Traducción de direcciones
única (1: 1)
Interfaz web
3. Ahora i ntroduzca:
• Acción:SAB
• Servicio:http
• Interfaz de srcen:alguna
• Interfaz de destino:
núcleo
• Red de destino:wan_ip
3. Ahora i ntroduzca:
• Acción:Permitir
• Servicio:http
• Interfaz de srcen:alguna
• Interfaz de destino:
núcleo
• Red de destino:wan_ip
# Acción src de Iface src neto dest de Iface dest Net parámetros
1 SAB alguna todas las redes de núcleo wan_ip http SETDEST 10.10.10.5 80
2 Permitir alguna todas las redes de núcleo wan_ip http
Estas dos reglas permiten el acceso al servidor web a través de la dirección IP externa del NetDefend Firewall. Regla 1 establece que
374
7.4.1. Traducción de una dirección IP Capítulo 7. Traducción de direcciones
única (1: 1)
traducción de direcciones puede tener lugar si se ha permitido la conexión, y la regla 2 permite la conexión.
Una regla NAT también puede ser necesaria para permitir el acceso a los equipos internos de la Internet pública:
# Acción src de Iface src neto dest de Iface dest Net parámetros
1 SAB alguna todas las redes de núcleo wan_ip http SETDEST 10.10.10.5 80
2 Permitir alguna todas las redes de núcleo wan_ip http
3 NAT lan Lannet alguna todas las redes de Todas
El problema con este conjunto de reglas es que hace que las direcciones internas visibles para los equipos de la zona de distensión. Cuando las computadoras se conectan a
wan_ip puerto 80, se les permitirá proceder por la regla 2. Desde una perspectiva de seguridad, los hosts en la zona de distensión deben ser considerados como poco fiable.
2. Las disposiciones de cambiar 2 y 3 para que la NAT regla se lleva a cabo para el tráfico interno antes de la Permitirregla se activa.
¿Cuál de estas dos opciones es la mejor? Para esta configuración, no hace ninguna diferencia y ambos trabajan.
Sin embargo, suponemos que usamos otra interfaz, ext2, en el cortafuegos y conectarlo a otra red, tal vez a la de una empresa vecina para que
puedan comunicarse mucho más rápido con nuestros servidores.
# Acción src de Iface src neto dest de Iface dest Net parámetros
1 SAB alguna todas las redes de núcleo wan_ip http SETDEST 10.10.10.5 80
2 Permitir pálido todas las redes de núcleo wan_ip http
3 Permitir ext2 ext2net núcleo wan_ip http
4 NAT lan Lannet alguna todas las redes de all_services
Esto aumenta el número de reglas para cada interfaz permitido para comunicarse con el servidor web. Sin embargo, el ordenamiento regla no es importante, lo
que puede ayudar a evitar errores.
# Acción src de Iface src neto dest de Iface dest Net parámetros
1 SAB alguna todas las redes de núcleo wan_ip http SETDEST 10.10.10.5 80
2 NAT lan Lannet núcleo wan_ip all_services
3 Permitir alguna todas las redes de núcleo wan_ip http
Esto significa que no tiene que ser incrementado el número de reglas. Esto es bueno, siempre y cuando todas las interfaces pueden ser de confianza para comunicarse
con el servidor web. Sin embargo, si en un momento posterior añadimos una interfaz que no se puede confiar para comunicarse con el servidor web, porsoltar
separado
normas
tendrían que ser colocados antes de la norma que concede todas las máquinas de acceso al servidor web.
Determinar el mejor curso de acción debe hacerse sobre una base de caso por caso, teniendo en cuenta todas las circunstancias.
En este ejemplo, un servidor web con una dirección IPv4 privada se encuentra en una red interna. Este ejemplo ha sido elegido por su sencillez pero este
método no es aconsejable desde el punto de vista de seguridad como servidores web están mejor situados en una DMZ.
Para que los usuarios externos para acceder al servidor web, que deben ser capaces de comunicarse con ella mediante una dirección pública. En este ejemplo, hemos
elegido para convertir el puerto 80 en dirección externa del cortafuegos al puerto 80 en el servidor web:
375
8.2.5. Normas de autenticación Capítulo 8. La autenticación del usuario
Una regla de IP que permite el acceso de clientes a núcleo también se requiere con este tipo de agente.
Iii. XAUTH
Este es el método de autenticación IKE que se utiliza como parte de establecimiento de túnel VPN con IPsec.
Xauth es una extensión para el intercambio normal de IKE y proporciona una adición a la normalidad de seguridad IPsec que significa que
los clientes que acceden a una VPN debe proporcionar un nombre de usuario y la contraseña de inicio de sesión.
Cabe señalar que una interfaz valor no se introduce con una regla de autenticación XAuth ya que una sola regla con XAuth
como el agente se utilizará para todos los túneles IPsec. Sin embargo, este enfoque supone que se utiliza una sola fuente de
autenticación para todos los túneles.
• Fuente de autenticación
yo. LDAP - Los usuarios se buscan en una base de datos del servidor LDAP externo.
ii. RADIUS -Un servidor RADIUS externo se utiliza para las operaciones de búsqueda.
Iii. No permitir -Esta opción no permite explícitamente todas l as conexiones que desencadenan esta regla. Tal
conexiones nunca serán autenticados.
Alguna Rechazar reglas están mejor situados en el extremo del conjunto de reglas de autenticación.
iv. local -Una base de datos de usuario local definido dentro NetDefendOS se utiliza para buscar usuarios
cartas credenciales.
v. Permitir -Con esta opción, se pueden autenticar todas las conexiones que desencadenan esta regla
automáticamente. Sin consulta de base de datos se produce.
• Interfaz
La interfaz de srcen en el que las conexiones sean autenticados llegará. Esto se debe especificar.
• srcinador IP
La IP de srcen o de red desde la que llegarán nuevas conexiones. Para XAuth y PPP, este es el Originador IP.
• Terminator IP
La terminación IP con la que llegan las nuevas conexiones. Esto sólo se especifica en el
Agente de autenticación es PPP.
397
8.2.6. Procesamiento de autenticación Capítulo 8. La autenticación del usuario
Una regla de autenticación puede especificar los siguientes tiempos de espera relacionados con una sesión de usuario:
• Tiempo de inactividad
El tiempo que una conexión está inactiva antes de terminarse de forma automática (1800 segundos por defecto).
El tiempo máximo que puede existir una conexión (sin valor se especifica por defecto).
Si se utiliza un servidor de autenticación entonces la opción de Utilice los tiempos de espera recibidos desde el servidor de autenticación
puede
ser permitido tener estos valores establecidos desde el servidor.
varios accesos donde se manejan más de un usuario desde diferentes direcciones IP de srcen
Una regla de autenticación puede especificar cómo
tratar de iniciar sesión con el mismo nombre de usuario. Las opciones posibles son:
• Permitir múltiples inicios de sesión para que más de un cliente puede utilizar la misma combinación de nombre de usuario / contraseña.
• Permitir una entrada por cada nombre de usuario y cierre de sesión de un usuario existente con el mismo nombre si han estado inactivo durante
un período de tiempo específico cuando se produce el nuevo inicio de sesión.
• el tráfico HTTP
• el tráfico HTTPS
3. Si hay una regla coincide, se permite la conexión, siempre que el conjunto de reglas IP permite, y no pasa nada más en el
proceso de autenticación.
4. En base a la configuración de la regla de autenticación primer juego, NetDefendOS puede pedir al usuario con una solicitud de autenticación
que requiere un par nombre de usuario / contraseña que debe introducirse.
398
8.2.7. Un uso Grupo Ejemplo Capítulo 8. La autenticación del usuario
regla de autenticación. Esta será o bien una base de datos local de NetDefendOS, un servidor de base de datos externo RADIUS o un
servidor LDAP externo.
6. NetDefendOS luego permite más tráfico a través de esta conexión, siempre y cuando la autenticación se ha realizado correctamente y el
servicio solicitado es permitido por una regla en el conjunto de reglas IP. objeto de red de srcen de esa regla tiene ya sea la Sin
credenciales definidos
opción activada o, alternativamente, que se asocia con un grupo y el usuario es también un miembro de dicho
grupo.
7. Si se especifica una restricción de tiempo de espera en la regla de autenticación, el usuario autenticado será desconectado automáticamente
después de ese periodo de tiempo sin actividad.
Suponiendo que estamos utilizando la base de datos interna de usuarios como la fuente de autenticación, añadimos los usuarios a esta base de datos
con pares nombre de usuario / contraseña adecuadas y una específica Grupo cuerda. Un conjunto de los usuarios pueda ser asignado al grupo con el
nombre de confianzay la otra para el grupo con el nombre no es de confianza.
El paso final es la creación de las reglas de la norma IP establecida como se muestra a continuación:
# Acción Interfaz de red src src dest dest Red Interfaz Servicio
1 Permitir lan trusted_net int important_net all_services
2 Permitir lan untrusted_net DMZ regular_net all_services
Si quisiéramos permitir que el de confianzaagrupar usuarios también puedan acceder a la red regular se podría añadir una tercera regla para permitir
que esto:
# Acción Interfaz de red src src dest dest Red Interfaz Servicio
autenticación HTTP chocará con el servicio de gestión remota de la WebUI que también utiliza el puerto TCP 80 de forma
predeterminada. Para evitar este problema, el número de puerto WebUI debe cambiarse antes de configurar la autenticación.
399
8.2.8. La autenticación HTTP Capítulo 8. La autenticación del usuario
Lo mismo es cierto para la autenticación HTTPS y el número de puerto HTTPS predeterminado gestión del 443 también debe ser cambiado.
Para HTTP y HTTPS de autenticación existe un conjunto de opciones en una regla de autenticación de llamada Opciones de agente.Estos son:
yo. formulario HTML -El usuario se le presenta una página HTML para la autenticación que se llena
y en los datos enviados de vuelta a NetDefendOS con un POST.
formulario HTML se recomienda más de basicauthporque, en algunos casos, el navegador podría contener los datos de inicio de sesión
en su caché.
Iii. Autenticación MAC -La autenticación se realiza para los clientes HTTP y HTTPS sin
pantalla de ingreso al sistema. En cambio, la dirección MAC del cliente que se conecta se utiliza como nombre de usuario. La contraseña
es la dirección MAC o una cadena especificada.
Como se mencionó anteriormente, la NetDefendOS es posible autenticar a un servidor HTTP o HTTPS cliente automáticamente utilizando la
dirección MAC de la interfaz Ethernet del cliente que se conecta. Esto significa que la autenticación se basa únicamente en la identidad del
hardware del cliente.
Esto es útil si el administrador quiere asegurarse de que el acceso es sencillo para un dispositivo en particular y el usuario no va a ser
requred que escribir sus credenciales. Los siguientes puntos deben tenerse en cuenta acerca de este tipo de autenticación:
• El nombre de usuario enviado a la fuente de autenticación (por ejemplo, un servidor RADIUS) essiempre la dirección MAC del
cliente (o la dirección MAC de un enrutador entre los dos).
• Si el cliente se conecta al servidor de seguridad a través de un router, que es la dirección MAC del router y no el cliente que se envía a
la pasarela. Si la dirección MAC del router debe ser permitido como un sustituto de la dirección MAC del cliente, este debe ser
explícitamente habilitada con la opción de regla de autenticación
Permitir a los clientes detrás del router para conectarse.
NetDefendOS es capaz de determinar que el cliente está detrás de un router mediante la detección de la falta de correspondencia entre la
dirección IP de srcen y la dirección MAC del router.
• Por defecto, la contraseña enviada a la fuente de autenticación (por ejemplo, un servidor RADIUS) también es la dirección MAC del cliente
(o la dirección MAC de un enrutador entre los dos). Sin embargo, la utilización de contraseñas se puede especificar de forma explícita como
la propiedad regla de autenticación MAC autenticación secreta.
• La dirección MAC se introduce como una cadena de texto en la base de datos de la fuente de autenticación. Esta cadena de texto debe
seguir un formato específico para la dirección MAC. El formato correcto es una serie de
400
8.2.8. La autenticación HTTP Capítulo 8. La autenticación del usuario
seis dos valores de caracteres en minúscula hexadecimales separados por un guión ( "-") carácter. Por ejemplo:
00-0c-19-f9-14-6f
Reglas IP se necesitan
autenticación HTTP no puede funcionar a menos que se añade una regla para la regla IP establecida para permitir la autenticación explícita a tener
lugar. Esto también es ci erto con HTTPS.
Si consideramos el ejemplo de un número de clientes en la red local Lannet que quieren acceder a la Internet pública a través de la
pálido Interfaz entonces el conjunto de reglas IP contendría las siguientes reglas:
# Acción Interfaz de red src src dest dest Red Interfaz Servicio
La primera regla permite que el proceso de autenticación a tener lugar y se supone que el cliente está intentando tener acceso LAN_IP
a la
dirección IP, que es la dirección IP de la interfaz en la NetDefend Firewall, donde se conecta la red local.
La segunda regla permite la actividad normal del surf, pero no podemos simplemente usar Lannet como la red de srcen ya que la regla
desencadenaría para cualquier cliente no autenticada de esa red. En lugar de ello, la red de srcen es un administrador definido por el
objeto IP llama trusted_users que es la misma red que
Lannet pero tiene, además, ya sea la opción de autenticación Sin credenciales definidos habilitado o tiene un grupo de autenticación
Con esta configuración, cuando los usuarios no autenticados tratar de navegar a cualquier IP, excepto LAN_IP caerán a través de las
reglas y será dado de baja sus paquetes. Tener siempre estos usuarios llegan a la página de autenticación hay que añadir una SAB regla y
su asociado Permitir regla. El conjunto de reglas ahora se verá así:
# Acción Interfaz de red src src dest dest Red Interfaz Servicio
los SAB regla intercepta todas las solicitudes no autenticadas y debe ser configurado con una asignación de todos a una dirección que los
dirige a la dirección 127.0.0.1 que corresponde a núcleo ( NetDefendOS sí mismo).
401
8.2.8. La autenticación HTTP Capítulo 8. La autenticación del usuario
En el ejemplo de una dirección de objeto de autenticación en la libreta de direcciones, un grupo de usuarios "usuarios" se utiliza para habilitar la autenticación de
usuario en "Lannet". Este ejemplo muestra cómo configurar el grupo de usuarios en la base de datos NetDefendOS.
Interfaz web
Paso A
2. Ahora ingrese:
• Nombre:lannet_auth_users
paso B
2. Ahora ingrese:
• Nombre de usuario:
Introduce el nombre de la cuenta del usuario, por ejemplo, usuario1
• Confirmar contraseña:
Repita la contraseña
• grupos:Un usuario puede especificarse en más de un grupo - introducir los nombres de los grupos aquí separados por una coma - para este
usuarios
ejemplo
4. Repetir paso BPara añadir todas las Lannetlos usuarios que tienen los miembros deusuariosgrupo en el lannet_auth_users
carpeta
Las configuraciones siguientes muestran cómo habilitar la autenticación de usuario HTTP para el grupo de usuarios usuariosen Lannet.Sólo los usuarios que pertenecen al grupo usuarios
puede obtener el servicio de navegación por la web después de la autenticación, tal como se define en la norma IP.
Interfaz web
2. Ahora ingrese:
• Nombre: http_auth
• Acción:Permitir
• Servicio:HTTP
• Interfaz de srcen:lan
• Fuente de red:Lannet
402
8.2.8. La autenticación HTTP Capítulo 8. La autenticación del usuario
• Interfaz de destinonúcleo
• Red de destinoLAN_IP
2. Ahora ingrese:
• Nombre:HTTPLogin
• Agente:HTTP
• Fuente de autenticación:
Local
• Interfaz:lan
• IP de srcen: Lannet
C. Crear una regla de IP para permitir que los usuarios autenticados para navegar por la web.
2. Ahora ingrese:
• Nombre: Allow_http_auth
• Acción:NAT
• Servicio:HTTP
• Interfaz de srcen:lan
• Fuente de red:lannet_users
• Interfaz de destinoalguna
• Red de destino
todas las redes de
Los pasos siguientes ilustran cómo un servidor RADIUS está configurado normalmente.
Interfaz web
1. Autenticación de usuario> Bases de datos de los usuarios externos> Añadir> Base de datos de usuarios externos
2. Ahora ingrese:
do. Dirección IP:Introduzca la dirección IP del servidor, o introducir el nombre simbólico si el servidor se ha definido en el Directorio
re. Puerto:1812 (servicio RADIUS utiliza el puerto UDP 1812 por defecto)
403
8.3. Personalización de autenticación de páginas Capítulo 8. La autenticación del usuario
HTML
mi. Tiempo de espera de volver a intentar: 2 (NetDefendOS volverá a enviar la solicitud de autenticación al cortar si no hay
respuesta después del tiempo de espera, por ejemplo cada 2 segundos. Esto se volverá a intentar un máximo de 3 veces)
F. Secreto compartido:
Introducir una cadena de texto aquí para el cifrado básico de los mensajes RADIUS
• Cuando un usuario intenta utilizar un navegador para abrir una página web que se dirigen a una página de inicio de sesión (la
FormLogin página). Después de iniciar sesión correctamente, el usuario es llevado a la página solicitada srcinalmente.
• Después de iniciar sesión correctamente, sino que el usuario puede ser llevado a una página web específica.
• Después de iniciar sesión correctamente, el usuario es llevado a una página web en particular (el Inicio de sesión exitoso página) antes de ser
redirigido a la página solicitada srcinalmente.
Los archivos de página web, también conocida como archivos de banner HTTP, se almacenan dentro de NetDefendOS y ya existe por defecto en
NetDefendOS iniciales de arranque. Estos archivos se pueden personalizar para satisfacer las necesidades de una instalación en particular, ya sea
por la edición directa en la Interfaz Web o descargando y volviendo a cargar a través de un cliente de SCP.
Los archivos de autenticación web disponibles para la edición tienen los siguientes nombres:
• FormLogin
• Inicio de sesión exitoso
• Fallo de inicio de sesión
• LoginAlreadyDone
• LoginChallenge
• LoginChallengeTimeout
• Inicio de sesión exitoso
• LoginSuccessBasicAuth
• LogoutFailure
• Archivo no encontrado
WebUI ofrece una forma sencilla de descargar y editar los archivos y luego cargar el código HTML editado de nuevo a NetDefendOS.
404
8.3. Personalización de autenticación de páginas Capítulo 8. La autenticación del usuario
HTML
Para llevar a cabo la personalización es necesario crear primero un nuevo Auth Archivos Bannerobjeto con un nombre nuevo. Este nuevo
objeto contiene automáticamente una copia de todos los archivos de la Defecto Banner objeto Auth archivos. Estos nuevos archivos pueden ser
editados y subido de nuevo a NetDefendOS. El srcinal
Defecto objeto no puede editarse. El ejemplo dado a continuación pasa a través de los pasos de personalización.
Las páginas HTML para WebAuth puede contener un número de parámetros. Estos son:
• % REDIRHOST% El
- IP de la máquina que se ha solicitado.
Si falla la autenticación con la autenticación MAC, el% USUARIO% parámetro contendrá la dirección MAC del cliente
solicitante (o la dirección MAC del router intervenir más cercana del firewall).
Un parámetro típico conjunto de valores para la Fallo de inicio de sesión página cuando la autenticación de direcciones MAC se utiliza podría ser:
USUARIO: 00-0c-19-f9-14-6f
REDIRHOST: 10.234.56.71 REDIRURL:
/ Pruebas? User = usuario y pass = pase
REDIRURLENC: 2ftesting%%% 3fuser 3duser% 26pass% 3dpass IPADDR:
10.1.6.1
DEVICENAME: MyGateway
En ciertas páginas Web banner, el parámetro%REDIRURL% aparece. Este es un marcador de posición para la dirección URL srcinal que
fue solicitado antes de que apareciera la pantalla de inicio de sesión de usuario para un usuario no autenticado. Después de una
Ya que % REDIRURL% sólo tiene este propósito interno, no debe ser eliminado de las páginas web y debe estar presente en el FormLogin
si la página que se utiliza.
405
8.3. Personalización de autenticación de páginas Capítulo 8. La autenticación del usuario
HTML
Interfaz web
6. Ahora editar el código HTML que aparece en el cuadro de texto de la página URL Prohibida
En el ejemplo anterior, más de un archivo HTML se pueden editar en una sesión, pero el
Salvar se debe presionar el botón para guardar los cambios antes de comenzar la edición de otro archivo.
Es posible subir archivos nuevos Banner HTTP utilizando SCP. Los pasos para hacer esto son:
1. Desde SCP no se puede utilizar para descargar el código HTML srcinal por defecto, el código fuente se debe copiar en primer lugar de la
WebUI y pegar en un archivo de texto local que se edita a continuación, utilizando un editor apropiado.
2. Un nuevo Auth Archivos Banner objeto debe existir el cual el archivo (s) editado subido a. Si el
objeto se llama ua_html, el comando CLI para crear este objeto es:
Esto crea un objeto que contiene una copia de toda la Defecto archivos de la bandera de autenticación de usuario.
El uso de los clientes de CPS se explica más adelante en Sección 2.1.6, “Secure Copy”.
4. Uso de la CLI, la regla de autenticación de usuario relevante ahora debe estar configurado para utilizar el ua_html. Si el
Regla nos llamamos my_auth_rule, el comando sería:
406
8.3. Personalización de autenticación de páginas Capítulo 8. La autenticación del usuario
HTML
5. Como es habitual, utilice el activar Seguido por el cometer Comandos de la CLI para activar los cambios en
Firewall NetDefend.
407
8.3. Personalización de autenticación de páginas Capítulo 8. La autenticación del usuario
HTML
408
Capítulo 9. VPN
En este capítulo se describe la Red Privada Virtual (VPN) funcionalidad en NetDefendOS.
Es igualmente importante que el destinatario pueda verificar que nadie está falsificando datos, en otras palabras, haciéndose pasar por otra
persona. Redes privadas virtuales ( VPNs) satisfacer esta necesidad, proporcionando un medio muy rentable de establecer enlaces seguros
entre dos ordenadores que cooperan de manera que se pueden intercambiar datos de manera segura.
VPN permite la creación de una túnel entre dos dispositivos conocidos como puntos finales del túnel. Todos los datos que fluyen a través
del túnel es entonces seguro. El mecanismo que proporciona seguridad túnel es
encriptación.
409
9.1.2. cifrado VPN Capítulo 9. VPN
el
logrado por el cifrado. comunicación. confidencialidad es
Autenticación e integridad La prueba para el receptor que la comunicación haya sido enviado por el
remitente esperado, y que los datos no han sido modificados en tránsito. Esto
se logra mediante la autenticación, y con frecuencia se implementa mediante el
uso de hashing con clave criptográfica.
No repudio La prueba de que el emisor llega a enviar los datos; el emisor no puede negar
posteriormente haber enviado. No repudio es por lo general una
410
9.3.8. Listas de identificación Capítulo 9. VPN
GW-mundo: /> añadir PSK MyPSK Tipo = HEX PSKHex = <ingresar la clave aquí>
Interfaz web
1. Ir a: Interfaces> IPsec
Un escenario típico
En cuenta la situación de los empleados que viajan está dando acceso a las redes corporativas internas que utilizan los clientes VPN. La
organización administra su propia autoridad de certificación y los certificados han sido emitidos a los empleados. Los diferentes grupos de
empleados pueden tener acceso a diferentes partes de las redes internas. Por ejemplo, los miembros de la fuerza de ventas necesitan tener
acceso a los servidores que ejecutan el sistema de orden, mientras que los ingenieros técnicos necesitan tener acceso a bases de datos
técnicos.
El problema
Dado que las direcciones IP de los empleados que viajan clientes VPN no pueden ser conocidas de antemano, las conexiones VPN
entrantes de los clientes no pueden diferenciarse. Esto significa que el servidor de seguridad es incapaz de controlar el acceso a diversas
partes de las redes internas.
La solución lista de ID
El concepto de listas de identificación presenta una solución a este problema. Una lista de identificación contiene una o más identidades
(ID), donde cada identidad corresponde al campo sujeto en un certificado. listas de identificación de este modo se pueden utilizar para
regular lo que los certificados que se les da acceso a lo túneles IPsec.
435
9.3.8. Listas de identificación Capítulo 9. VPN
Este ejemplo muestra cómo crear y utilizar una lista de identificación para su uso en el túnel VPN. Esta lista de identificación contendrá un ID con el
tipo DN, nombre completo, como el identificador primario. Tenga en cuenta que este ejemplo no ilustra cómo agregar el objeto específico de túnel
IPsec.
EmailAddress=john.doe@D-Link.com
GW-mundo: / MyIDList> cc
Interfaz web
2. Seleccionar MyIDList
5. Ahora i ntroduzca:
• Nombre de la Organización:
D-Link
• Unidad organizacional:
Apoyo
• País: Suecia
436
9.3.8. Listas de identificación Capítulo 9. VPN
1. Ir a: Interfaces> IPsec
437
9.4. Los túneles IPsec Capítulo 9. VPN
Un túnel IPSec define un punto final de un túnel encriptado. Cada túnel IPsec se interpreta como una interfaz lógica por NetDefendOS,
con las capacidades de filtrado de mismo, para la conformación de tráfico y de configuración como interfaces regulares.
Cuando otro NetDefend Firewall u otro producto de red compatible con IPsec (también conocidos comopunto la final remoto) intenta
establecer un túnel IPSec VPN a un servidor de seguridad local NetDefend, se examina la lista de los túneles IPsec actualmente
definidos en la configuración NetDefendOS. Si se encuentra una definición de túnel coincidente, se abrió el túnel. El IKE asociado y las
negociaciones IPsec entonces tienen lugar, lo que resulta en el túnel está estableciendo al punto final remoto.
Alternativamente, un usuario en una red local protegido podría tratar de acceder a un recurso que se encuentra al final de un
túnel IPsec. En este caso, NetDefendOS ve que la ruta para la dirección IP del recurso es a través de un túnel IPsec definida y
el establecimiento del túnel se inicia entonces desde el NetDefend Firewall local.
Tenga en cuenta que un túnel IPsec establecida hace no significa automáticamente que todo el tráfico que fluye desde el túnel es de
confianza. Por el contrario, el tráfico de red que haya sido descodificada se cotejará con el conjunto de reglas IP. Al hacer esta
comprobación conjunto de reglas IP, la interfaz de srcen del tráfico será el túnel IPsec asociada desde túneles son tratados como
interfaces en NetDefendOS.
Además, una ruta o una regla de acceso pueden tener que ser definido para clientes de uso móvil con el fin de NetDefendOS para
aceptar direcciones IP de srcen específicas del túnel IPsec.
volviendo tráfico
Para el tráfico de red que va en la dirección opuesta, de nuevo en un túnel IPsec, un proceso inverso se lleva a cabo. En primer lugar,
el tráfico sin cifrar es evaluada por el conjunto de reglas. Si una regla de ruta y partidos, NetDefendOS trata de encontrar un túnel IPsec
establecido que coincide con los criterios. Si no lo encuentra, NetDefendOS tratarán de establecer un nuevo túnel a la terminal remota
especificada por una definición de túnel IPsec j uego.
Con túneles IPsec, el administrador generalmente establece reglas de IPsec que permiten tráfico sin cifrar fluya en el túnel (el túnel siendo tratada
como una interfaz NetDefendOS). Sin embargo, normalmente no es necesario establecer normas de propiedad intelectual que permiten
explícitamente los paquetes que implementan IPsec en sí.
paquetes IKE y ESP son de forma predeterminada tratados por el interior de NetDefendOS motor de IPsec y el conjunto de reglas IP no es
consultado.
438
9.4.1. Visión de conjunto Capítulo 9. VPN
los intentos de conexión procedentes de una determinada dirección IP o grupo de direcciones. Esto puede degradar el rendimiento del motor
NetDefendOS IPsec y soltando explícitamente este tipo de tráfico con una regla de IP es una manera eficaz de prevenir que de llegar al motor.
En otras palabras, las reglas IP se pueden utilizar para el control completo sobre todo el tráfico relacionado con el túnel.
Detección de Punto Inactivo (DPD) opcionalmente se puede habilitar para un túnel IPsec. DPD supervisa la vitalidad del túnel mediante la
búsqueda de tráfico que viene desde el par en el otro extremo del túnel. Si no hay ningún mensaje es visto dentro de un período de tiempo
(determinado por la configuración avanzadaDPD métrico)entonces NetDefendOS envíaDPD-RU-THERE mensajes a los pares para
determinar si todavía es alcanzable y vivo.
Si el interlocutor no responde a estos mensajes durante un período de tiempo (determinado por la configuración avanzada DPD Tiempo
caducar)a continuación, el par se considera muerta y el túnel es bajado. NetDefendOS tratará entonces de forma automática para volver a
establecer el túnel después de un período de tiempo (determinado por la configuración avanzada DPD Keep Time).
La configuración avanzada de DPD se describen además enSección 9.4.6, “Configuración avanzada” IPsec.
DPD está habilitado por defecto para los túneles IPsec NetDefendOS. Incapacitante no inhabilita a la capacidad para responder a las DPD-RU-THERE
de otro compañero.
Mantener viva
el IPsec Mantener viva opción garantiza que el túnel permanece establecido en absoluto posibles tiempos incluso si los flujos de tráfico.
Esto se logra mediante el envío de forma continua ICMP Silbido mensajes a través del túnel. Si las r espuestas a los mensajes de ping no se
reciben luego en el enlace del túnel se supone que está roto y se hace un intento automáticamente para restablecer el túnel. Esta función
sólo es útil para LAN a LAN túneles.
Un uso importante de mantenimiento de conexión es si un túnel de LAN a LAN con el tráfico de datos infrecuentes sólo puede establecerse a partir
de un lado, pero necesita ser mantenido con vida para las máquinas de los otros pares. Si los pares que establece el túnel utiliza keep-alive para
mantener el túnel establecido, cualquier host en el otro lado pueden utilizar el túnel a pesar de que el otro par no se puede establecer el túnel
cuando es necesario.
DPD y de mantenimiento de conexión se pueden considerar para realizar una función similar que detecta si un túnel IPsec es hacia abajo y el
restablecimiento de la misma. Sin embargo, hay diferencias:
• Keep-alive sólo se puede utilizar para LAN a LAN túneles IPsec. No se puede utilizar con los clientes móviles.
• Keep-alive es mucho más rápido en la detección de un túnel que está abajo y el restablecimiento de la misma. Por lo tanto, es una solución
Tener keep-alive y DPD habilitado simultáneamente para un túnel de LAN a LAN no es necesario ya que el DPD no se disparará si se están enviando
pings de mantenimiento de conexión.
Esta sección cubre los túneles IPsec con cierto detalle. Una lista de comprobación de inicio rápido de pasos de configuración para estos protocolos en
situaciones típicas se pueden encontrar en las siguientes secciones:
439
9.4.2. LAN a LAN Túneles con claves Capítulo 9. VPN
precompartidas
Además de la sección de inicio rápido, más explicación de la configuración del túnel es la siguiente.
La comunicación segura se logra mediante el uso de túnel IPsec, con el túnel que se extiende desde la pasarela VPN en un lugar
a la gateway VPN en otro lugar. Por consiguiente, el NetDefend Firewall es el ejecutor de la VPN, mientras que al mismo tiempo
la aplicación de vigilancia de seguridad normal de tráfico que pasa a través del túnel. En esta sección se ocupa específicamente
de la configuración de LAN a LAN túneles creados con una clave precompartida (PSK).
Se requiere un número de pasos para configurar la LAN a LAN túneles con PSK:
• Configurar el Ruta en el principal tabla de enrutamiento (u otra tabla de si se está utilizando un suplente).
Un empleado que está en movimiento que necesita acceder a un servidor de la empresa central de un ordenador portátil desde diferentes
lugares es un ejemplo típico de un cliente de uso móvil. Aparte de la necesidad de un acceso VPN seguro, el otro problema importante con los
clientes móviles es que la dirección IP del usuario móvil a menudo no se conoce de antemano. Para manejar la dirección IP desconocida los
NetDefendOS pueden añadir dinámicamente rutas de la tabla de enrutamiento que se establecen túneles.
Si la dirección IP del cliente no se conoce de antemano entonces el NetDefend Firewall necesita para crear una ruta en su tabla de enrutamiento de
forma dinámica a medida que cada cliente se conecta. En el siguiente ejemplo este es el caso y el túnel IPsec está configurado para añadir
dinámicamente rutas.
Si
Redlosremota
clientes se les debe permitir a vagar de todas partes, conIP:independencia
se debe establecer a todas las redes de Dirección
( de su dirección IP, entonces el
0.0.0.0/0) que permitirá a todas las direcciones IPv4 existentes para
conectarse a través del túnel.
Al configurar túneles VPN para clientes de uso móvil por lo general no es necesario añadir o modificar las listas de propuestas algoritmo
que están pre-configurados en NetDefendOS.
440
9.4.3. Los clientes en itinerancia Capítulo 9. VPN
Ejemplo 9.4. La creación de un túnel VPN basado PSK para clientes móviles
En este ejemplo se describe cómo configurar un túnel IPsec en la oficina central NetDefend Firewall para clientes móviles que se conectan a la
oficina para obtener acceso remoto. La red de la oficina central utiliza el lapso 10.0.1.0/24 de red con cortafuegos externo wan_ip IP.
Interfaz web
2. Ahora ingrese:
• Secreto compartido:
Ingrese una frase de contraseña secreta
• Confirmar secreto:
Introduzca la contraseña secreta de nuevo
2. Ahora ingrese:
• Nombre:RoamingIPsecTunnel
• Red local:10.0.1.0/24 (Esta es la red local que los usuarios móviles se conectarán a)
• Túnel
Modo de encapsulación:
5. En el marco delenrutamientolengüeta:
• Active la
laopción:
opción: Agregar dinámicamente ruta a la red remota cuando se establece un túnel.
C. Finalmente configurar la regla IP configurada para permitir el tráfico dentro del túnel.
Ejemplo 9.5. La creación de un túnel VPN basado en certificado autofirmado para clientes móviles
En este ejemplo se describe cómo configurar un túnel IPsec en la oficina central NetDefend F irewall para clientes móviles que se conectan a la
oficina para obtener acceso remoto. La red de la oficina central utiliza la red 10.0.1.0/24
441
9.4.3. Los clientes en itinerancia Capítulo 9. VPN
Interfaz web
El paso para crear realmente certificados con firma se lleva a cabo fuera de la Web UI usando un producto de software adecuado. El certificado debe
estar en el formato de archivo PEM (Privacy Enhanced Mail).
8. Crear un nuevo ID para cada cliente que se concede derechos de acceso, de acuerdo con las instrucciones anteriores
2. Ahora ingrese:
• Nombre:RoamingIPsecTunnel
• Red local:10.0.1.0/24 (Esta es la red local que los usuarios móviles se conectarán a)
• Túnel
Modo de encapsulación:
• Lista de identificación:
Seleccione la lista de ID que va a ser asociado con el túnel VPN. En este caso, será
ventas
5. En el marco delenrutamientolengüeta:
• Active la
laopción:
opción: Agregar dinámicamente ruta a la red remota cuando se establece un túnel.
442
9.4.3. Los clientes en itinerancia Capítulo 9. VPN
E. Finalmente configurar la regla IP c onfigurada para permitir el tráfico dentro del túnel.
La creación de túneles de cliente utilizando un certificado de CA emitido es en gran parte el mismo que el uso de certificados auto-firmados con la
excepción de un par de pasos.
Es la responsabilidad del administrador de adquirir el correspondiente certificado de una autoridad expedidora de túneles de cliente. Con
algunos sistemas, como Windows 2000 Server, no se encuentra incorporado el acceso a un servidor de CA (en Windows 2000 Server esto se
Para obtener más información sobre los certificados de servidor CA emitida ver Sección 3.8,
encuentra en Servicios de certificados).
“Certificados”.
Ejemplo 9.6. Configuración de certificado de CA del servidor túneles VPN basados en clientes móviles
En este ejemplo se describe cómo configurar un túnel IPsec en la oficina central NetDefend Firewall para clientes móviles que se conectan a la
oficina para obtener acceso remoto. La red de la oficina central utiliza el lapso 10.0.1.0/24 de red con cortafuegos externo wan_ip IP.
Interfaz web
8. Crear un nuevo ID para cada cliente que se concede derechos de acceso, de acuerdo con las instrucciones anteriores
2. Ahora ingrese:
• Nombre:RoamingIPsecTunnel
• Red local:10.0.1.0/24 (Esta es la red local que los usuarios móviles se conectarán a)
• Túnel
Modo de encapsulación:
443
9.4.3. Los clientes en itinerancia Capítulo 9. VPN
• Lista de identificación:
Seleccione la lista de ID que va a ser asociado con el túnel VPN. En este caso, será
ventas
5. En el marco delenrutamientolengüeta:
• Active la opción: Agregar dinámicamente ruta a la red remota cuando se establece un túnel
laopción:
D. Finalmente configurar la regla IP configurada para permitir el tráfico dentro del túnel.
Modo de configuración IKE ( Modo de configuración) es una extensión de IKE que permite NetDefendOS para proporcionar información de
configuración de LAN a clientes VPN remotos. Se utiliza para configurar dinámicamente los clientes IPsec con direcciones IP y máscaras
de red correspondientes, y para el intercambio de otros tipos de información asociada con DHCP. La dirección IP a un cliente puede ser o
bien basarse en un rango de direcciones IP estáticas predefinidas definidas para el modo de configuración o puede provenir de servidores
DHCP asociados a una IP Pool objeto.
Un conjunto de IP es una memoria caché de direcciones IP recogidos de los servidores DHCP y alquila en estas direcciones se renuevan
automáticamente cuando el tiempo de concesión está a punto de expirar. Conjuntos de IP también manejan información adicional, como DNS y WINS /
NBNS, al igual que un servidor DHCP normal haría. (Para obtener información detallada sobre piscinas esto ver Sección 5.4, “Conjuntos de IP”.)
Actualmente sólo hay un objeto Modo de configuración se puede definir en NetDefendOS y esto se conoce como la
Modo de configuración piscina objeto. Los parámetros clave asociados a ella son las siguientes:
Utilice predefinidas IP agrupación de objetos El objeto del inventario IP que proporciona las direcciones IP.
Utilice una piscina estático Como alternativa al uso de una piscina IP, un conjunto estático de direcciones IP se
puede definir.
DNS La dirección IP del DNS utilizados para la resolución de URL (ya provista por una
piscina de IP).
NBNS / WINS La dirección IP para NBNS resolución / WINS (ya provista por una piscina de IP).
DHCP Indica al anfitrión para enviar sus peticiones DHCP interno a esta dirección.
subredes Una lista de las subredes a las que puede acceder el cliente.
444
9.4.4. Obtención de las CRL desde un servidor LDAP Capítulo 9. VPN
alternativo
Interfaz web
2. El propiedades de los objetos página Web Modo de configuración de conjunto aparece ahora
Después de definir el objeto del modo de configuración, la acción único que queda es para habilitar el modo de configuración para su uso con el túnel
IPsec.
Suponiendo un túnel predefinido llamadovpn_tunnel1este ejemplo muestra cómo habilitar el modo de configuración para ese túnel.
Interfaz web
• Haga
ACUERDO
clic DE
Validación de IP
NetDefendOS siempre comprueba si la dirección IP de srcen de cada paquete dentro de un túnel IPsec es la misma que la dirección IP
asignada al cliente IPsec con el modo de config IKE. Si se detecta una falta de coincidencia el paquete siempre se deja caer y un mensaje
de registro genera con un nivel de gravedad Advertencia.Este mensaje incluye las dos direcciones IP, así como la identidad del cliente.
Opcionalmente, el SA afectada se puede eliminar automáticamente si falla la validación, permitiendo la configuración avanzada IPsecDeleteSAOnIPValidationFailure.
El valor predeterminado de esta configuración es Discapacitado.
Un certificado raíz por lo general incluye la dirección IP o el nombre de la autoridad de certificación en ponerse en contacto cuando los
certificados o CRLs necesitan ser descargado en el NetDefend Firewall. Lightweight Directory Access Protocol ( LDAP) se utiliza para
estas descargas.
Sin embargo, en algunos casos, esta información no está presente, o el administrador desea utilizar otro servidor LDAP. La sección de
configuración LDAP entonces se puede utilizar para especificar manualmente servidores LDAP alternativos.
445
9.4.5. Solución de problemas con ikesnoop Capítulo 9. VPN
Interfaz web
2. Ahora ingrese:
• Dirección IP:192.168.101.146
• Nombre de usuario:
mi nombre de usuario
• Contraseña:mi contraseña
• Confirmar contraseña:
mi contraseña
• Puerto:389
Cuando la creación de túneles IPsec, pueden surgir problemas debido a que la negociación inicial falla cuando los dispositivos en cada extremo de
un túnel VPN intentan pero no logran ponerse de acuerdo en el que se utilizarán los protocolos y métodos de cifrado. los ikesnoop comando de la
consola con el verboso opción es una herramienta que se puede utilizar para identificar el srcen de dichos problemas, mostrando los detalles de
esta negociación.
Utilizandoikesnoop
los ikesnoop comando se puede introducir a través de una consola CLI o directamente a través de la consola RS232.
Esto significa que la producción ikesnoop será enviada a la consola para cada túnel VPN negociación IKE. La salida puede ser
abrumador así para limitar la salida a una única dirección IP, por ejemplo la dirección de IP10.1.1.10, el comando sería:
la dirección IPv4 utilizado es la dirección IP del extremo remoto del túnel VPN (ya sea el IP del extremo remoto o el cliente
IP). Para desactivar la supervisión, el comando es:
446
13.8. Configuración de reensamblaje de fragmentos Capítulo 13. Configuración avanzada
locales
Max Concurrent
Defecto: 256
Tamaño máximo
Defecto: 10000
Número de grandes (más de 2K) reensamblaje buffers locales (del tamaño de arriba).
Defecto: 32
566
13.9. Otras configuraciones Capítulo 13. Configuración avanzada
Defecto: DropLog
puerto 0
¿Cómo tratar TCP / UDP con paquetes puerto de destino 0 y los paquetes TCP con el puerto de srcen 0.
Defecto: DropLog
tiempo de supervisión
Defecto: 180
Como una forma definitiva a cabo, NetDefendOS se reinicia automáticamente si sus buffers se han inundado por un largo tiempo. Este ajuste
especifica esta cantidad de tiempo.
Defecto: 3600
Conexiones Max
Paquete de re-ensamblaje recoge fragmentos IP en datagramas IP completo y, por TCP, reordena los segmentos de manera que se procesan
en el orden correcto y también para mantener un registro de segmento potencial superposiciones y para informar a otros subsistemas de tales
solapamientos. Los ajustes asociados límite de memoria utilizada por el subsistema de re-ensamblaje.
Este ajuste especifica el número de conexiones pueden utilizar el sistema de re-ensamblaje, al mismo tiempo. Se expresa como un
porcentaje del número total de conexiones permitidas. Mínimo 1, máximo 100.
Defecto: 80
memoria Max
Esta configuración especifica la cantidad de memoria que el sistema de re-ensamblaje puede asignar para procesar paquetes. Se
expresa como un porcentaje de la memoria total disponible. Mínimo 1, máximo 100.
Defecto: 3
El número máximo de usuarios de tubería para asignar. Como los usuarios de tubos solamente se realiza un seguimiento de 20 de un segundo, este
número por lo general no tiene que estar en cualquier lugar cerca del número real de usuarios, o el número de conexiones statefully rastreados. Si no
hay tubos configurados, ningún usuario de tuberías serán asignados, independientemente de este ajuste. Para obtener más información acerca de las
tuberías y los usuarios de tubos, véanse
Sección 10.1, “Asignación de tráfico”.
567
13.9. Otras configuraciones Capítulo 13. Configuración avanzada
Defecto: 512
568
13.9. Otras configuraciones Capítulo 13. Configuración avanzada
569
Apéndice A. Suscripción a Actualizaciones
Visión de conjunto
El módulo NetDefendOS Anti-Virus (AV), el módulo de detección de intrusiones y prevención (IDP) y el módulo de filtrado de contenido Web
dinámico usando todas las funciones de bases de datos externas D-Link que contienen detalles de los últimos virus, amenazas a la seguridad
y la categorización de URL. Estas bases de datos se actualizan constantemente y para tener acceso a las últimas actualizaciones de un
D-Link Actualización de seguridad de suscripción debe ser sacado. Esto se realiza mediante:
• En la compra, los clientes reciben un único código de activación para identificarlos como un usuario del servicio.
• Ir: Mantenimiento> Licencia En la interfaz web de su sistema NetDefend Firewall e introduzca el código de activación.
NetDefendOS indicarán el código es aceptado y se activará el servicio de actualización. (Asegúrese de que el acceso a la
Internet pública es posible cuando' hacer esto).
Un "Manual de Registro" paso a paso que explica los procedimientos de registro y actualización de servicios con más detalle
está disponible para su descarga desde el sitio web de D-Link.
Renovación de la suscripción
En la interfaz web ir a Mantenimiento> Licencia
para comprobar qué servicios de actualización se activan y cuando su suscripción está
extremos.
Renovar su suscripción antes de que finalice su suscripción actual! No lo deje para el último momento.
En la misma zona de la interfaz web también es posible iniciar manualmente la actualización seleccionando
Actualizar ahorapara descargar las últimas firmas de la base de datos.
Una actualización de base de datos IDP puede ser obligado en cualquier momento utilizando el comando:
570
Base de datos comandos de consola Apéndice A. Suscripción a Actualizaciones
Una actualización Anti-Virus Del mismo modo se puede iniciar con el comando:
Algunos problemas técnicos en el funcionamiento de cualquiera de los módulos Anti-Virus IDP o puede ser resuelto mediante la supresión de la base
de datos y volver a cargar. Para IDP esto se hace con el comando:
Una vez eliminado, todo el sistema debe ser reiniciado y una actualización de la base iniciada. También se recomienda la eliminación de la base de
datos si bien IDP o Anti-Virus no se utiliza durante períodos más largos de tiempo.
actualizaciones de la base antivirus requieren un par de segundos para optimizar una vez que se haya descargado una
actualización. Esto hará que el servidor de seguridad para hacer una pausa momentánea en su funcionamiento. Por lo tanto, puede
ser mejor para establecer el calendario de actualizaciones para estar en momentos de poco tráfico, como en las primeras horas de
la mañana. Eliminación de una base de datos puede causar una pausa similar en funcionamiento.
571
Apéndice B. IDP Firma Grupos
Para la exploración de desplazados internos, los siguientes grupos de la firma están disponibles para la selección. Estos grupos sólo están
disponibles para el Servicio Avanzado IDP D-Link. Hay una versión de cada grupo en los tres
tipos de IDS, IPSy Política.Para más información, véase Sección 6.5, “Detección y prevención de intrusiones”.
APP_ETHEREAL Etéreo
APP_ITUNES reproductor de Apple iTunes
APP_WINAMP WinAMP
APP_WMP MS Windows Media Player
AUTHENTICATION_GENERAL Authenticantion
AUTHENTICATION_KERBEROS Kerberos
AUTHENTICATION_XTACACS XTACACS
BACKUP_ARKEIA solución de copia de seguridad de r ed
BOT_GENERAL Las actividades relacionadas con los robots, incluyendo los controlados por canales de IRC
DCOM_GENERAL MS DCOM
DHCP_CLIENT actividades relacionadas con el cliente DHCP
572
Apéndice B. IDP Firma Grupos
IGMP_GENERAL IGMP
IMAP_GENERAL protocolo IMAP / implementación
IM_AOL AOL IM
IM_GENERAL implementaciones de mensajería instantánea
NFS_FORMAT Formato
573
Apéndice B. IDP Firma Grupos
PBX_GENERAL PBX
POP3_DOS Denegación de Servicio para POP
PORTMAPPER_GENERAL PortMapper
PRINT_GENERAL servidor de impresión LP: LPD LPR
REMOTEACCESS_GOTOMYPC PC Goto MI
REMOTEACCESS_PCANYWHERE PcAnywhere
REMOTEACCESS_RADMIN Remote Administrator (Radmin)
REMOTEACCESS_VNC-CLIENTE Ataques dirigidos a clientes VNC
REMOTEACCESS_VNC-SERVER Ataque dirigido a servidores VNC
REMOTEACCESS_WIN-TERMINAL Windows Terminal / Remote Desktop
RLOGIN_GENERAL protocolo y aplicación RLogin
RLOGIN_LOGIN-ATAQUE ataques de inicio de sesión
SECURITY_MCAFEE McAfee
SECURITY_NAV solución de Symantec AV
574
Apéndice B. IDP Firma Grupos
UPNP_GENERAL UPnP
VERSION_CVS CVS
VERSION_SVN Subversión
VIRUS_GENERAL Virus
VOIP_GENERAL protocolo VoIP y ejecución
VOIP_SIP protocolo SIP y la ejecución
WEB_CF-ARCHIVO-INCLUSIÓN inclusión de archivos de ColdFusion
575
Apéndice C. tipos de archivos Verified MIME
Algunas pasarelas capa de aplicación (ALG) NetDefendOS tienen la capacidad opcional para verificar que el contenido de un archivo
descargado coincide con el tipo que el tipo de archivo en el nombre del archivo indica. Los tipos de archivo MIME para los que la
verificación se puede hacer se enumeran en este apéndice y la ALG a los que se aplica este son:
• La ALG HTTP
• El FTP ALG
• El POP3 ALG
• El SMTP ALG
Los ALG mencionados anteriormente, también ofrecen la opción de permitir de forma explícita o bloquear ciertos tipos de archivos como descargas de
una lista de tipos. Esa lista es la misma que se encuentra en este apéndice.
Para una descripción más detallada de la verificación MIME y el bloque de tipo de archivo / permitir función, consulte
Sección 6.2.2, “El HTTP ALG”.
ab applix Constructor
as archivo de la ECA
576
Apéndice C. tipos de archivos Verified MIME
577
Apéndice C. tipos de archivos Verified MIME
578
Apéndice C. tipos de archivos Verified MIME
tnef Tnef
torrente archivos BitTorrent metainfo
579
Marco Apéndice D. El OSI
Visión de conjunto
los Sistemas abiertos de interconexión ( OSI modelo) define un marco para las comunicaciones entre la computadora. Se
clasifica protocolos diferentes para una gran variedad de aplicaciones de red en siete capas más pequeñas y manejables. El
modelo describe cómo los datos de una aplicación en un ordenador se pueden transferir a través de un medio de red a una
aplicación en otro equipo.
El control de tráfico de datos se transmite de una capa a la siguiente, a partir de la capa de aplicación en un ordenador, de proceder a la
capa inferior, atravesando el medio a otro ordenador y luego entregar hasta la parte superior de la jerarquía. Cada capa se encarga de un
cierto conjunto de protocolos, de modo que las tareas para el logro de una aplicación pueden ser distribuidos a diferentes capas y pueden
implementar de manera independiente. El modelo es relevante para la comprensión del funcionamiento de las muchas características
NetDefendOS tales como ARP, servicios y ALG.
capa 3 Red
capa 2 Enlace de datos
capa 1 Físico
Funciones de la capa
Capa 7 - Capa de aplicación Define la interfaz de usuario que soporta aplicaciones directamente.
Protocolos: HTTP, FTP, TFTP. DNS, SMTP, Telnet, SNMP y similares. La
ALG operar a este nivel.
Capa 6 - Capa de Presentación Traduce las diversas aplicaciones de red a los formatos uniformes que el
resto de las capas puede entender.
Capa 5 - Capa de Sesión Establece, mantiene y termina las sesiones de toda la red. Protocolos:
NetBIOS, RPC y similares.
Capa 4 - Capa de Transporte datos controla el flujo y proporciona control de errores. Protocolos: TCP, UDP y
similares.
Capa 3 - Capa de Red Realiza direccionamiento y encaminamiento. Protocolos: IP, OSPF, ICMP, IGMP y
similares.
Capa 2 - capa de enlace de datos Crea tramas de datos para la transmisión sobre la capa física e incluye
error de comprobación / corrección. Protocolos: Ethernet, PPP y s imilares.
ARP funciona a este nivel.
580
TFTP, 279
581
Índice alfabético
Agregar automáticamente multidifusión Ruta, 230 sistema cambio rápido, 42 NetDefendOS reiniciar,
autónomo (ver OSPF) Auto intervalo de ahorro de 42 shell seguro, 40 del tabulador,
configuración (DHCP), 258 Guardar automáticamente terminación 37 pestaña de datos, 38
Política de configuración (DHCP), 258 de actualización utilizando nombres de host, 40 secuencias
automática, 83 de comandos de la CLI, 44
segundo
creación automática, 47 pedidos
copias de seguridad de configuraciones, 83
de comando, control de errores
garantías de ancho de banda, los archivos
46, 46 ejecución, nombres de
495 de banner
archivos 45, 44, 47 perfil, la
personalización, 334, 404 para la
eliminación de 47, 46 ahorro, 46
autenticación web, 404 para el filtrado de
ajuste Tamaño CAM, 245 umbral) que limita la velocidad de conexión (ver reglas de umbral)
Para CAM caché L3 Dest aprendizaje estableciendo, 244 servidores de conexión Reemplazar configuración, 556 consecutiva
de CA producen errores, el establecimiento de 179 éxito consecutivo,
de acceso, 474, 475 de acceso de cliente de 179 consola
validación incapacitante, 476 de colocación
servidor privado, 475 certificados, 148
582
Índice alfabético
configuración TTL decremento, 245 regla por puerta de enlace predeterminada, 109
defecto de acceso, 169, 263 configuración incapacitante, 114 permitiendo, 114 dirección IP,
TTL predeterminado, 547 zona 109 diferencia lógica / física, 112 con DHCP, la
desmilitarizada (DMZ ver) denegación de prevención del ataque 109 evasión, 347 eventos,
servicio, 355 59
destino algoritmo de RLB, 190 DHCP,
249
mostrar información del servidor, 252
contratos, 249 log receptores de mensajes, 60
varios servidores, 250 a través de mensajes de registro, 59
Ethernet, 109 de configuración avanzada
de relé, 257 reinstalación, 256
F
la configuración avanzada de servidores, ajuste de reensamblaje de fragmentos fallado, 563 filetype
bloque de descarga / permitir
251 de la lista negra de servidores,
FTP ALG, 273 en HTTP ALG, el
servidores 253, 250
establecimiento de inundación 268 Hora de
asignación estática anfitrión, 253 con el
reinicio, 567 carpetas
modo transparente, 237 grupos DH, 428
herramientas de diagnóstico
con las normas de PI, 141 con la libreta
de direcciones, 92 de ajuste fragmentación
pcapdump, 80
de ICMP, FTP ALG 564, 270
Diffie-Hellman (DH ver Grupos) diffserv,
485
restricciones de mando, 272 opciones de conexión
ajuste Directed retransmisiones, 548
de restricción, restricciones de canal de control 272,
algoritmos distancia vector, 196 DMZ, 372
273, 273 de tipo de archivo de cheques modo
DNS, 160
híbrido, configuración IP del servidor 271 de
detección de virus pasiva, 279, 273 de reglas
de búsqueda dinámica, 161
FwdFast IP, 139
Listas negras DNS para el filtrado de correo no deseado,
284, 19 documentación
Ataque DoS (ver denegación de servicio) la descarga de
exclusión de la limitación de tráfico, 488 con las
archivos con SCP, 48 DPD caducar Tiempo de ajuste
normas múltiplex, 222
(IPsec), 456 DPD Mantener ajuste de la hora (IPsec),
ajuste de 455 DPD Métrico (IPsec), 455 caída de todo
dominio IP, 137 regla gota IP, 139 GRAMO
Generic Router encapsulación (ver GRE) ajuste del
tiempo de gracia, 179 generación ARP gratuito, 177
Los fragmentos cayeron de ajuste, 563 DSCP, ARP gratuito en fallar el ajuste, 177, 180 GRE, 120
485
en el establecimiento de precedencia, 492 DST Fin
ajuste de la fecha, 158 DST ajuste del offset, 158 de inicio suma de comprobación adicional, 121 y IP reglas,
de DST ajuste de la fecha, 158 configuración duplicada 122 configurar, ventajas de direcciones IP 121 de
Fragmento de datos, 562 configuración duplicados túnel, 121 Agrupación de ajuste de intervalo, 159
Fragmentos, 563 equilibrio dinámico (en tuberías), 498 grupos
configuración CAM Tamaño dinámico, 245 DNS dinámico,
161
objetos de configuración, 142 en la
autenticación, 387 en las tuberías, 496
L3C entorno dinámico Tamaño, 245 dinámico Max
configuración de conexiones, 557 reglas de enrutamiento
dinámico, 210, 212
MARIDO
acción OSPF, 212 acción de
enrutamiento, 213 servicio H.323 ALG, 302 HA (alta
DynDNS, 161
disponibilidad ver) de hardware
monitoreo, 76
mi frecuencia de monitoreo mensaje, 64, 78 latidos del
Habilitar ajuste Sensors, 76 final de los corazón (ver alta disponibilidad) alta disponibilidad, 523
procedimientos de la vida, 86
extensiones ESMTP, la interfaz 282 de la configuración avanzada, 537 y contables, 68
Ethernet, 108 ID de clúster, 532 deshabilitar el envío de los
cambio de direcciones IP, 111 Resumen de latidos del corazón, 525
los comandos CLI, 112
583
Índice alfabético
latidos del corazón, vidas, 424 de negociación, 424 parámetros, 425 IKE
525, 532 temas CRL ajuste de validez temporal, 454 configuración de la
el uso de monitor de enlace, 536 Ruta IKE Max CA, 455 IKE Enviar entorno CRL, 454 IKE
haciendo el trabajo de OSPF, 532 Enviar configuración de contacto inicial, 454 ikesnoop VPN
mecanismos, 525 solución de problemas, 446, 479 Fragmentos ilegales de
interconexión física, 523 unidades ajuste, 562 Silencio Inicial ajuste (HA), el ajuste 537 de
resincronizador, 527 configurar, 528 fallo inserción de prevención de ataques, 347 Interface Alias
de sincronización, 527 único compartido (SNMP), 75 Descripción de la interfaz de ajuste (SNMP), 75
MAC, 531 NetDefendOS de interfaces, 106
mejoramiento, 534 con IDP y anti-virus,
526 con IPv6, 97
ALG, 267
autenticación, 399 precedencia
lista blanca, 269 cartel HTTP, 161
en latidos de clúster, 532 objetos de dirección IP,
Certificado de configuración HTTPS, 53 URI HTTP IP 92 Tamaños opción de ajuste, 548 IP Otras opciones
normalización de IDP, 346 de ajuste, ajuste de la opción Fuente 548 / Retorno IP,
ajuste de 548 opciones IP marcas de tiempo, 548, 259
piscinas IP
yo
ICMP envía ajuste de Límite de Sec Per, 555 ICMP
mensaje inalcanzable, 140 normas IDENT e IP, 139
con el modo de configuración, ajuste de 444
listas de identificación, 435 IDP, 343
Bandera IP reservadas, configuración del router
584
Índice alfabético
configuración de IPsec máximo de túneles, 454 Acción entorno de baja difusión TTL, 549
IPv6, 93
añadir una dirección, 93 todo nets6-objeto de
METRO
dirección, 96 y el acceso de administración, 96
dirección MAC, 126
permitiendo a nivel mundial, 94 que permite en una
autenticación, 400 en la libreta
interfaz, 94 permitiendo de anuncio de enrutador,
de direcciones, 90 con ARP, 126
95 agrupación con IPv4, 96 en las normas de PI,
con ARP publicar, 129 interfaces
137 en reglas de encaminamiento, 186 con alta
de gestión, 29
disponibilidad , 97 con el comando ping, validación
96 ip
la configuración avanzada, 52 e IPv6, 96 Configuración del
acceso remoto, 43 NetDefendOS de gestión, 29 configuración de
la longitud máxima de AH, 560 Rutas Max Auto configuración
autenticación de inicio de sesión, 396 longitud de 549 Fragmento mínimo, 564 multidifusión,
mensajes de registro, 59 de ajuste no IP4 220
de registro, 546 Log apertura falla el
establecimiento, 556
Cerrar sesión al cerrar el sistema de ajuste (RADIUS), 69, 69 de
cierre de sesión de CLI, 43 traducción de direcciones, 224 reenvío,
Entrar ajuste de gran tamaño paquetes, 561 Log 221 IGMP, 225 de reenvío de rutas inversa,
Recibido TTL 0 ajuste, 546 Log Reverse Abre 220 ajuste Remitente Multicast Enet, ajuste
ajuste, ajuste 556 Violaciónes Log estatales, 556 246 Multicast Mismatch, 549
interfaces de bucle invertido, 106, 107
585
Índice alfabético
O configurar, 180
Open Shortest Path First (OSPF ver) OSPF, ajuste de seudo REASS Max concurrente, 562
196
agregados, 201, 209 Q
áreas, 200, 206
QoS (calidad de servicio ver) la calidad
sistema autónomo, 199 despliegue
del servicio, 485
de cheques, 215 comandos, 215
conceptos, 199
R
reglas de enrutamiento dinámico, 210 de RADIO
interfaz, 207 vecinos, 209 de proceso router, contabilidad, 65 configuración avanzada, 69 permiten el ajuste
la creación de 204, 213 enlaces virtuales, 201, de error, 68 autenticación, 389 servidores que no responden, 68 ID
209 Otros Ajuste de ralentí 559 vidas, filtrado de proveedor, 67, 389 reensamblado ajuste de Límite de Hecho,
de contenidos de primer orden, 326 564 El ajuste de carrera ilegal reensamblado, 564 ajuste de
reensamblaje de tiempo de espera, 564 reconf de conmutación por
error de tiempo (HA) establecer , 72, 537 Rechazar regla IP, 139
entorno MPLS Relay, 247 de ajuste de relés BPDU Spanning-Tree,
244, 246 NetDefendOS reiniciar, 42 Restaurar valores
predeterminados de fábrica, 85 restaurar copias de seguridad, 83
PAG
reenvío de ruta inversa (ver multidifusión) de búsqueda de ruta
flujo de paquetes
inversa, 138 , 169, 263, 440 clientes de uso móvil roundrobin
descripción, 24
algoritmo de RLB, 190 ruta de conmutación por error, 174
simplificado, 137 longitud de
la contraseña, 41 pcapdump,
80
la descarga de archivos de salida, archivo
81 de salida de limpieza, archivo 81 de salida
de denominación, formato de archivo 81 PCAP
(ver pcapdump) suplantación de identidad
(véase el filtrado de contenidos) Ping ajuste de
por vida inactivo, 558 ajuste del intervalo de
sondeo Ping, 179 reglas de tubería, 486 tubos,
monitoreo de acogida, balanceo
486 políticas, 135
de carga 177 ruta, 190
algoritmos, 190 y VPN,
195 entre ISPs, 193 de
Encuesta de ajuste de intervalo, 76 enrutamiento, 164
POP3 ALG, 289 Puerto 0 ajuste,
567
la adición de rutas, 172 configuración
traducción de direcciones de puerto (ver SAT) el
avanzada, 179 rutas centrales, 173
reenvío de puertos (ver SAT) copia de puertos (ver
predeterminado de ruta de puerta de enlace,
pcapdump) autenticación PPP con LDAP, 394
109, 172, 196 de uso dinámico IPv6, 173 de
PPPoE, 118
direcciones IP local, 167 métrica para las rutas
por defecto, 172
configuración del cliente, 118 de
soporte sin numeración, 119 con HA,
120
586
Índice alfabético
métricas, 165, 198, 174 especificando el número de puerto, 100 SYN protección contra
de vigilancia inundaciones, comando CLI 101 SessionManager, archivo 44 sgs
estrecho principio de congruencia, 167 extensión, 44 configuración silenciosamente dejan caer Estado ICMPErrors,
notación, 169 555 protocolo simple de administración de redes (SNMP ver) SIP ALG, 291
parámetro de ordenamiento, 187,
183 principios basados en políticas,
165
rutas añadidas en el arranque, 171, 185 y calidad de servicio, 292 equipos de
reglas incompatibilidad, 292 NAT transversal, 292
basadas en servicios, 183 Registro de carreteras, 294 escenarios
en la fuente, 183 estáticos, compatibles, 292 SLB (ver balanceo de carga)
165, 169, 183 mesas SMTP
operaciones permitidas, 49 copia de seguridad / RLB, 190 spoofing, 264 SSH, 40 SSH Antes
de establecer las reglas, las claves de
restauración de uso, formato de comando 84, 48
cliente 52 SSH, 389 aceleración SSL, 317
scripting (ver secuencias de comandos CLI)
SSL VPN, 396, 466
programación Secundaria servidor de tiempo, 158
copia segura (ver SCP)
587
Índice alfabético
588
Índice alfabético
navegadores recomendados, 31
configuración de estación de trabajo IP, 31
WebUI (véase la interfaz web) WebUI Antes de
establecer reglas, configuración del puerto
HTTP 52 WebUI, 52 WebUI HTTPS
configuración del puerto, 53 listas blancas
x
certificados X.509, 148 XAuth
(ver autenticación)
Z
ZoneDefense, 539
interruptores, 540 con
anti-virus, 341 con FTP
ALG, 274 con IDP, 351 con
SMTP ALG, 283
589