Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
20
Sumario
Tendencias y Retos Introduccin al ZLD v2.20 Prestaciones Bsicas del ZLD v2.20
Seguridad en el Extremo Final Control granular sobre las aplicaciones de redes sociales VoIP amigable Windows 7 ready Nuevo Interfaz Grfico (GUI) ms intuitivo
Apndice:
IP PBX
DMZ Server
Internet
Sucursal
ZyWALL USG 300 L2 Switch IP PBX
IPSec VPN
Acceso Remoto
ZyWALL USG 50
Garantizar el Acceso Remoto y Facilitar la Gestin Copyright2010 ZyXEL Communications Corporation. All rights reserved.
Seguridad en la Empresa
Refuerzo Contra Acciones De la Poltica De Violacin de la Poltica de usuario de que permite Poltica de granularidad en el Seguridad acceso Seguridad
Problemas
Menor productividad Utilizacin en zonas menos visibles Todos los usuarios deben cumplir la poltica de seguridad Trabajo en entorno Windows 7
VoIP Amigable
Conectividad Segura
Windows 7 ready
Conectividad Segura
Seguridad en la Empresa
Refuerzo de la Poltica de Seguridad Gestin y recuperacin de Red
Interna
Empleado - Invitado 1. Firma actualizada?
Externa
Teletrabajador - Desde casa - Desde el hotel
Cmo asegurarse de que todos los usuarios cumplen con la poltica de seguridad
Conectividad Segura
Seguridad en la Empresa
Refuerzo de la poltica de Seguridad Gestin y Recuperacin de Red
ZyWALL USG
Internet
Tnel SSL-VPN
Sistema BI
Tnel SSL-VPN
Externa
Empleado accediendo desde el aeropuerto/hotel
El administrador puede identificar rpidamente clientes inseguros, bloqueando el acceso a Internet/DMZ y forzndoles as a solucionar el problema, p.e. instalando un parche o software AV o actualizando la firma. USGs EPS puede verificar: Software Anti-Virus Software Cortafuegos Nivel de Servicio OS
Conectividad Segura
Enterprise Security
Las encuentas indican que el 77% de los usuarios de Facebook acceden a la red en horas de trabajo Computerworld (Julio)
Disminucin de la Productividad
Copyright2010 ZyXEL Communications Corporation. All rights reserved.
Conectividad Segura
Seguridad en la Empresa
Refuerzo de la Poltica de Seguridad Gestin y Recuperacin de Red
Todas a la Vez
Juego de Facebook
Una a una
Conectividad Segura
Seguridad en la Empresa
VoIP ms amigable
Conectividad Segura
Seguridad en la Empresa
La extensin SSLVPN Secure soporta Windows 7 (32/64 bits) Tambin se soporta Windows 7 con IE8
Conectividad Segura
Seguridad en la Empresa
Refuerzo de Poltica de Seguridad Gestin y Recuperacin de Red
USG 1000
USG 300
USG 200
RBL/DNSBL 2 incluidos
USG 100
RBL/DNSBL
RBL/DNSBL
RBL/DNSBL
5 -> 250
5 -> 750 50 -> 250 50 -> 750 250 -> 750
5 -> 50
25 -> 50 5 -> 250 25 -> 250 50 -> 250
Conectividad Segura
Seguridad en la Empresa
Refuerzo de la Poltica de Seguridad Gestin y Recuperacin de Red
Dispositivo Virtual
GUI Antiguo GUI Nuevo
Conectividad Segura
Seguridad en la Empresa
Refuerzo de la Poltica de Seguridad Gestin y Recuperacin de Red
Virtual Device
El Administrador puede monitorizar el dispositivo virtual para control/gestin remota Muestra Informacin de Interfaz (Ethernet, PPPoE, USB) Muestra Informacin de los LEDs (SYS, PWR)
Pantalla Personalizable
GUI Antiguo
GUI Nuevo
Conectividad Segura
Seguridad en la Empresa
Refuerzo de la Poltica de Seguridad Gestin y Recuperacin de Red
Permite al administrador crear una pgina GUI personalizada para mostrar cualquier dispositivo.
Referencia a Objetos
Conectividad Segura
Seguridad en la Empresa
Refuerzo de la Poltica de Seguridad Gestin y Recuperacin de Red
Esto es porque el objeto est relacionado con una determinada poltica y un objeto en uso no se puede eliminar.
En la versin anterior no haba mecanismos para que los administradores averiguaran si un objeto estaba relacionado con una poltica determinada. Ahora los administradores pueden averiguar de una manera sencilla la referencia de los objetos.
Conectividad Segura
Seguridad en la Empresa
Refuerzo de la Poltica de Seguridad Gestin y Recuperacin de Red
Conectividad Segura
Seguridad en la Empresa
Refuerzo de la Poltica de Seguridad Gestin y Recuperacin de Red
Conectividad Segura
Seguridad en la Empresa
Refuerzo de la Poltica de Seguridad Gestin y Recuperacin de Red
Conectividad Segura
Seguridad en la Empresa
auto-creacin prioridad
Conectividad Segura
Seguridad en la Empresa
Refuerzo de la Poltica de Seguridad Gestin y Recuperacin de Red
Si se dispone de ms de una IP pblica para acceder a Internet, se puede usar el NAT Varios hacia N.
Internet
LAN User A
LAN User B
Conectividad Segura
Seguridad en la Empresa
Refuerzo de la Poltica de Seguridad Gestin y Recuperacin de Red
Empleado teletrabajador
1 a --1
varios 1 to --1
Internet
Empleado teletrabajador
LAN
Conectividad Segura
Seguridad en la Empresa
Refuerzo de la Poltica de Seguridad Gestin y Recuperacin de Red
1 a --1
Empleado teletrabajador
1 a --1
varios 1 to --1
Internet
Empleado teletrabajador
LAN
Partner autorizado Cliente autorizado
NAT Loopback
Copyright2010 ZyXEL Communications Corporation. All rights reserved.
Conectividad Segura
Seguridad en la Empresa
Refuerzo de la Poltica de Seguridad Gestin y Recuperacin de Red
Integracin Completa MS AD
Cuando se despliega el USG en entornos de PyMEs y/o empresas, los administradores utilizarn el servidor de directorios existente para gestionar los usuarios.
Conectividad Segura
Seguridad en la Empresa
Refuerzo de la Poltica de Seguridad Gestin y Recuperacin de Red
En el diseo actual, la agrupacin de usuarios externos no es amigable El USG utiliza un grupo grande para representar a todos los usuarios externos y los miembros del grupo se tienen que teclear a mano.
Soporta tantos escenarios como sean necesarios. (ver pg. Sig) Se necesitan muy pocos pasos de configuracin
Soporte de dos identificadores diferentes para el login de usuario: . E.g. se puede usar name o e-mail address para login. Soporta el test de configuracin de usuario AAA; MIS verifica si la configuracin es correcta.
Conectividad Segura
Seguridad en la Empresa
Refuerzo de la Poltica de Seguridad Gestin y Recuperacin de Red
2
Autnomo
3
Autnomo
Maestro/Backup
Group 2
Group 3
Internet
AD server
ZyWALL USG
El usuario puede usar nombre direccin de correo electronico para iniciar la sesin
Intranet
ZyXEL le ayuda
Asegurar redes convergentes y otras aplicaciones crticas de negocios
Conectividad Segura
Red de Empresa
Refuerzo de la Poltica de Seguridad
Gestin y Recuperacin de Red
PyME
7/1/07
10/1/07
1/1/08
4/1/08
7/1/08
10/1/08
1/1/09
4/1/09
7/1/09
10/1/09
1/1/10
4/1/10
7/1/10
PNeg
5/31/07
7/31
ZLD 2.10 con USG100/200/2000 - Dual AV: KAV & ZAV - 3G & WLAN - Ms DDNS: No-IP, DyNU; Peanut - Prioridad de trfico SIP - HA: Virtual Mac - Usabilidad: GUI simplificado Copyright2010 ZyXEL Communications Corporation. All rights reserved. - AS (RBL/DNSBL)
ZLD 2.20 con la serie USG - Usabilidad mejorada - Mejora BWM - Windows 7 ready - Seguridad en el punto final - Mejora AAA - Mejora SIP/ALG - Sencilla resolucin de incidencias - Nuevo diseo del GUI (look & feel mejorado)
Diseo de Interfaz Unificado Referencia a Objetos Mejora CF BWM DSCP Seguridad en el Punto Final
Estilo consistente con todos los interfaces USG Muestra Dnde se utiliza para cada objeto Prueba de Bypass CF en VPN IPSec Qu mejora? Etiquetado Diff SERV BWM por marca DSCP Qu mejora? Prueba de seguridad en el punto final contra SSLVPN Soporta Kaspersky y muchos otros clientes Qu mejora?
Copyright2010 ZyXEL SSLVPN Soporte de Windows 7 en tnelesCommunications Corporation. All rights reserved.
Mejora HA
Mejora ALG SIP ALG Mtodo requerimiento DNS Mejora enrutamiento
Usabilidad Mejorada
- Paquete ZLD 2.0 - Mejora de Interfaz Unificada - Mejora de CF - Referencia a Objetos
El mapeo 1:1 necesita utilizar polticas de enrutamiento (policy routing) NAT loop back necesita utilizar polticas de enrutamiento (policy routing) No dispone de soporte Varios uno a uno Si el mapeo IP es device unowned IP, el dispositivo crear un interfaz virtual para la regla de servidor virtual (Se necesita una solucin mejor). El usuario necesita crear polticas de enrutamiento (policy routing) (e.g. trfico lan , trfico wlan) La ruta directa siempre tiene una prioridad mayor que la poltica de enrutamiento Establecer SNAT con device unowned IP en la poltica de enrutamiento no funciona
Enrutamiento
NAT Mejorado
Soporta NAT 1 a 1 y varios 1 a 1 Nueva implementacin de NAT loopback Cambio en el diseo de la Tabla NAT
alta
Haciendo SNAT
SNAT 1 a 1 (incluyendo varios 1 a 1) Poltica de enrutamiento SNAT NAT Loopback SNAT 1 a 1 (incluyendo varios 1 a 1) SNAT por defecto
baja
SNAT
Scenarios (Example)
Internal external
Internal internal external Internal external external
On
Off Off Off
LAN WAN
Access Internet LAN DMZ Access Server WAN LAN Serving Internet access WAN WAN Dynamic Route
Copyright2010 ZyXEL Communications Corporation. All rights reserved.
Enlace up/down
Interfaz habilitado/deshabilitado
Prueba de conectividad IP objeto o no
Proporciona un diseo ms flexible y amigable Unifica los formatos de configuracin de toda la Serie USG
Propiedad de interfaz
Interfaz PPP por defecto de sistema Cambio en diseo de Zona/Enlace
USG300/1000/2000, ZW1050
Interfaz
Ethernet: ge1(wan1), ge2(wan2), ge3(lan1) VLAN, PPP Bridge WLAN, Cellular Aux
Presentacin
P1, P2, P3, Muestra el puerto fsico, tal como P1, P2 n/a Mustra la localizacin, tal como shot1/shot2 or USB1/USB2 aux
Copyright2010 ZyXEL Communications Corporation. All rights reserved.
Propiedad de interfaz
Diferencia los interfaces en varios grupos Diferente programacin para propiedades diferentes
Tipo Modelo
No Soportado
Soportado Soportado No Soportado No Soportado No Soportado No Soportado
Soportado
No Soportado No Soportado Soportado Soportado Soportado Soportado
Soportado
Soportado Soportado Soportado Soportado Soportado Soportado
Tipo ZONA
USG 100/200
a. ZONA fija: - WAN, - LAN1, - LAN2, - WLAN, - DMZ, - OPT(slo para USG200), - SSL_VPN, - IPSec VPN b. El usuario no puede crear/borrar ZONA El usuario puede crear/borrar ZONA
USG 300/1000/2000
a. ZONE por defecto de sistema: - WAN, - LAN1, - LAN2, - WLAN, - DMZ, - OPT(slo para USG200), - SSL_VPN, - IPSec VPN b. El usuario puede crear/borrar ZONA
ENLACE
a. Limitado a 5 ENLACES : -WAN_TRUNK, -WAN_TRUNK2, -WAN_TRUNK3, -WAN_TRUNK4, -WAN_TRUNK5 b. El usuario no puede aadir/borrar ENLACE existente
USG 100/200
USG 300/1000/2000
Referencia a objeto
Modelo actual:
Cuando el usuario intenta eliminar un objeto usado, el sistema le enviar un mensaje de error, pero no informacin adicional.
Nuevo diseo:
Mejora de CF
Algunos usuarios requieren no hacer verificacin de filtrado de contenido cuando atraviesan un tnel VPN
Aade un comando CLI al filtro CF Bypass/Inspeccin en trfico VPN
BWM
- Etiquetado Diff SERV
- BWM mediante marca DSCP
Caracteriza el conformado y Guarantee traffic QoS level based on DSCP marcado del trfico y el control administrativo
Diseo DSCP
Objetivo
Acondicionamiento, conformado y marcado del trfico a travs de DSCP Soporte del marcado DSCP basado en la capa de aplicacin Marcado: clasificacin del trfico segn los valores DSCP de acuerdo con la aplicacin o direccin IP de origen/destino, servicio o tipo de usuario. Gestin de ancho de banda: Los paquetes con DSCP diferente recibirn BWM diferenciado. Enrutamiento: Paquetes con etiquetas DSCP diferentes pueden obtener enrutamiento o NAT distintos
Empresa
LDAP,RADIUS, Directorio activo
Internet
Servidor de Archivos
Windows 7 ready
- Mejora de VPN SSL
Soporte de Windows 7
Elementos tcnicos/Especs.
(4Q'09)
Despliegue Top-down
(1Q'10) (2Q'10)
Nota
ZLD 2.21 s
ZLD 2.12 patch x Tnel completo SSLVPN: Ejecutar SecuExtender en Windows 7 Modo proxy SSLVPN : El usuario ejecuta IE8 en Windows 7 Gestin de dispositivo: El Administrador usa IE8 en Windows 7 EPS: Establecer regla para detectar Windows 7 s
ZLD 2.20 s
no (4Q'09)
s (2Q'10) s
s (4Q'10) s
Aspecto mejorado
- GUI 2.0
Altas prestaciones, UI personalizables Modelo de componentes bien diseado, documentado y extensible Buena compatibilidad con navegadores
Dispositivo Virtual
Tablero
Monitorizacin
Configuracin Mantenimiento
Dispositivo Virtual
Configuracin Rpida
LOG
Soporta una columna adicional de log
El usuario XXX de MSN ha hecho log in. El usuario XXX de MSN ha hecho log out.
Herramienta de depuracin
Simplifica la resolucin de incidencias Dispone de una pgina en el GUI para la captura de paquetes Soporta interfaces mltiples para la captura de paquetes Descarga el resultado de la captura de paquetes desde el GUI
Varios
Mejora AAA
En el diseo actual del ZLD, la agrupacin de usuarios externos no es amigable
Utilizacin de un grupo grande (i.e. ldap-users) para representar todos los usuarios externos Los miembros de grupos definidos por el usuario se tienen que introducir a mano
El nuevo diseo:
Representa a cada usuario independientemente, en vez de agruparlos en grupos de cientos Soporta tantos escenarios como sean necesarios Necesita menos pasos de configuracin
Los servicios que soportan AAA externa autentican a los usuarios mediante un servidor AAA externo
Los servicios conscientes de la existencia de usuario (useraware) notifican las caractersticas del usuario acerca del estado de login/logout.
weblogin
Copyright2010 ZyXEL Communications Corporation. All rights reserved.
Control de Uso: 3G
Control de uso de las redes 3G mediante:
Acciones soportadas:
Log/Alert
Cada de conexin
Fall Back
HQ: 172.23.38.1
Escucha de puertos UDP ports sobre SIP: mx 8 puertos Conexiones SIP relacionadas Ayuda al Agente APP a monitorizar las conexiones SIP NAT ALG Modificacin de paquetes en entornos NAT Ayuda a los clientes a constituir conexiones multimedia en entornos NAT
Comportamientos:
Controles personalizados
Copyright2010 ZyXEL Communications Corporation. All rights reserved.
Problema actual:
El servidor DNS de destino del encaminador de zona se decide mediante el dominio de la FQDN requerida
Problema:
Las entradas de enrutamiento determinan el interfaz desde el que se enviar la Peticin DNS La Peticin DNS no ser atendida si el servidor DNS de destino que solicita la Peticin DNS tiene que proceder de su red ISP
Algunos requerimientos DNS con dominio especfico necesitan asociarse a un interfaz determinado
Nombre de interfaz (ge1, ge2 ..) El servidor DNS del ISP o el servidor DNS personalizado. La peticin DNS estar asociada al interfaz configurado anyServidor DNS Personalizador. El interfaz de salida para la peticin DNS depende de la decisin de enrutamiento tnelServidor DNS en la red remota. La peticin DNS atravesar el tnel
DNS Server xyz
Cumple!
Zone Forwarder Table: Domain Server Via abc.com abc WAN2 xyz.com xyz WAN1
WAN1
ISP xyz
Internet
WAN2
ISP abc
DNS Server abc
Mejora RIP/OSPF