CONTENIDOS Prefacio Versión del Documento..xvii Extensión de responsabilidad xvii Acerca de este Documento. . . xvii Convenciones Tipográficas xviii Vista General del Producto 1 Capacidades 1.1 Características del Producto ......Introducción de Redes 2 El modelo OSI 3 Principios del Firewall...
Página 3
....8.4.1 Introducción a Certificados ..8.4.2 Certificados X.509 en los Firewalls D-Link Guía de Usuario de los Firewalls D-Link...
Página 4
9.1.1 Interfaces Ethernet ....9.1.2 Interfaces Ethernet en los Firewalls D-Link ..9.2 Virtual LAN (VLAN) .
Página 5
14.2.2 NAT ..... . 14.2.3 Traducción de dirección en los Firewalls D-Link 14.3 Escenarios: Configuración de Reglas IP..
Página 6
....182 19.1.2 Patron de coincidencia ..... . . 182 Guía de Usuario de los Firewalls D-Link...
Versión de Documento Version No.: 1.0 Advertencia La información en esta guía de usuario está sujeta a cambios sin previo aviso. Acerca de este Documento Esta Guía de Usuario esta diseñada para ser un manual de configuración útil así como una herramienta de aprendizaje de trabajo Internet y conocimientos de seguridad para los administradores de red.
Convenciones Tipográficas Ejemplo: Pasos de configuración para realizar ciertas funciones. WebUI Pasos ejemplo para WebUI. Nota Información adicional que el usuario debe tener en conocimiento. Sugerencias en la configuración que deben ser tomadas en consideración. Aviso Información crítica que el usuario debe seguir al llevar a cabo cierta acción. Advertencia Información critica que el usuario DEBE seguir para evitar un daño potencial xvii...
CAPITULO Capacidades Caracteristicas del Producto Las características claves de los firewalls D-Link pueden ser resumidas como: Asistente de arranque de fácil ejecución • Interfaz gráfica de usuario basado en web (WebUI) • Efectivo y de fácil mantención • Políticas de control completo de seguridad •...
Página 20
Capitulo 1. Capacidades Zona de Defensa • Alta Disponibilidad (Algunos modelos) • Detalles sobre cómo hacer funcionar estas características son encontradas en capítulos específicos en esta guía de usuario.
CAPITULO El modelo OSI El modelo Open System Interconnection (OSI) define un marco primario para comunicaciones inter-computacionales, a través de la categorización de diferentes protocolos para una gran variedad de aplicaciones de red, en siete pequeñas capas más manejables. El modelo describe cómo los datos de una aplicación en un computador pueden ser transferidas a través de un medio de red, a una aplicación en otro computador.
Página 23
– estructura los datos. Protocolos: Ethernet, PPP, etc. Capa Física – define los soportes de hardware. Los firewalls D-Link manejan el tráfico de red y despliegan diversas funciones para garantías de seguridad y soporte de aplicación a través de las 7 capas del modelo OSI.
Esto le permite instalar menos servicios de seguridad de red en sus redes protegidas y prevenir de que intrusos tengan acceso a éstos servicios. La mayoría de los firewalls, incluyendo los firewalls D-Link, aseguran que el tráfico de red...
Una protección completa sólo puede ser alcanzada a través una comprensión profunda de todas las debilidades posibles en los protocolos de red y en el software utilizado, y de la implementación de medidas apropiadas para compensar éstas. Guía de Usuario de los Firewalls D-Link...
Paginas HTML contenedoras de javascript o Java que atacan la red • ”desde el interior” cuando la página es vista en un buscador ó programa e-mail. La única protección posible contra esta clase de ataque, Guía de Usuario de los Firewalls D-Link...
Página 27
En el presente, las tareas más comunes para ataques de datos son: Servidores públicos tales como servidores mail, servidores DNS y servidores • web. Los servidores Web son claramente representados en esta categoría debido a su enorme complejidad. Guía de Usuario de los Firewalls D-Link...
Módems y Conexión VPN Un error común es creer que los módems y puertas de enlace VPN son tan seguros como la red protegida y pueden ser conectados directamente a ésta sin protección. Guía de Usuario de los firewalls D-Link...
Página 29
Aunque la llegada de extranets y comercio electrónico ha servido para conducir envíos desarrollados, y como mas y más compañías comienzan a hacer datos internos disponibles vía servidores web, los riesgos de seguridad como resultado son incrementados. Guía de Usuario de los Firewalls D-Link...
Página 30
DMZ y la red interna esta hecha en un protocolo no-dirigible como un NetBEUI. Nuevamente, el problema no son los paquetes que atraviesan redes inseguras hacia la red interna. Guía de Usuario de los Firewalls D-Link...
Página 31
La mejor manera de afrontar tal problema es mover la fuente afectada de datos a un segmento separado de red, y de este modo reducir el daño potencial en caso de intromisión. Guía de Usuario de los Firewalls D-Link...
Página 33
Esta parte cubre aspectos básicos de la gestión y administración de los Firewalls D-Link, incluyendo: Plataforma de Configuración • Registro • Mantenimiento • Ajustes Avanzados •...
Configurando Vía WebUI 4.1.1 Vista General Los firewalls D-Link pueden ser configurados utilizando una interfaz web. Una interfaz web es usualmente una manera rápida y eficiente para configurar un firewall, que no requiere que el administrador instale ningún programa específico para configurar éste.
Página 35
Capitulo 4. Plataforma de Configuración Figura 4.1: Ventana de Autentificación WebUI. Figura 4.2: Ventana Principal WebUI. Guía de Usuario de los Firewalls D-Link...
Página 36
- Routes: Despliega la actual tabla de ruteo. - DHCP Server: Despliega la información en uso para servidores DHCP. - IDS: Despliega el estado de información IDS. - SLB: Despliega el estado de información SLB. Guía de Usuario de los Firewalls D-Link...
Cuando el usuario ha configurado el firewall vía WebUI, la configuración deberá ser guardada y activada antes de que la nueva configuración sea utilizada por el firewall. Esto es realizado a través de la opción de barra menú ”Save and Activate” bajo ”Configuration”. Guía de Usuario de los Firewalls D-Link...
Apéndice A, Referencia de Comandos de Consola. Nota Actualmente, el CLI puede sólo ser utilizado para visualización de estadísticas y estados. El firewall no puede ser configurado a través de esta interfaz. Guía de Usuario de los Firewalls D-Link...
Registro Este capítulo trata de los principios de registro y entrega una breve introducción al diseño de los firewalls de registro D-Link. Para información acerca de cómo implementar la función de registro por el firewall, refiérase a 13, Ajustes de registro en la parte de Fundamentos.
5.1.2 Eventos Hay un número de situaciones diferentes que pueden causar que los firewalls D-Link generen y entreguen datos de registro. Cada una de tales ocasiones es referida como un evento.
Página 41
–mensajes de registro provenientes de la ingeniería de manejo fragmentada. OSPF/DYNROUTING • – información para el ruteodinámico. • – dirige eventos fail over. PPP/PPPOE/PPTP/L2TP/GRE/IPSEC • – eventos para diferentes túneles. USERAUTH • – eventos para la autentificación del usuario. Guía de Usuario de los Firewalls D-Link...
5.2.1 Receptor Syslog El Firewall D-Link puede enviar datos de registro a los receptores Syslog. El Syslog es un protocolo estandarizado para el envío de datos de registro a loghosts, aunque no haya un formato estandarizado para estos mensajes de registro.
Con el fin de facilitar el procesamiento automatizado de todos los mensajes, los Feb 5 2000 09:45:23 gateway.ourcompany.com FW: DROP: Firewalls D-Link copian todos los datos de registro a una sola línea del texto. Los datos siguientes al texto inicial son presentados en el formato nombre=valor. Esto permite a los filtros automáticos encontrar fácilmente los valores que están buscando...
”System Status”. 2. Descarga de Firmware Modernizado Diríjase al website de soporte D-Link y navegue en la sección de soporte de su modelo firewall. Revise si se encuentra disponible una modernización de la versión firmware que usted está actualmente corriendo en el firewall.
La carga del firmware tomará algunos minutos dependiendo de la velocidad de su conexión al firewall. Reset a Valores de Fábrica Hay tres maneras de reajustar el Firewall D-Link a sus ajustes firmware y configuración predeterminados de fábrica. 1. Reajuste a Ajustes Preestablecidos de Fábrica desde el WebUI →...
Página 46
”Press any key to abort and load boot menu” en la consola. Cuando aparezca el menu seleccione ”Reset to factory defaults”, confirme y espere a que el proceso de revertir se complete. El siguiente procedimiento sólo se aplica al DFL-800: 3. Reajuste a los ajustes predeterminados de Fábrica utilizando el Switch de Reajuste Reajuste el firewall.
Capítulo 6. Mantenimiento Respaldo de Configuración La configuración de los Firewalls D-Link puede ser respaldada y restaurada a solicitud. Esto puede por ejemplo ser utilizado para recordar ”last known good” configuración cuando se experimenta con diferentes ajustes de configuración. Para crear un respaldo de la configuración actual:...
CAPITULO Ajustes Avanzados Vista General Los Ajustes Avanzados contienen varios ajustes globales para un firewall en términos de límites de tamaño de paquetes, tiempos de desconexión, parámetros de protocolo, test de integridad estructural al que cada paquete debe ser sujeto, etc. Generalmente, los valores predeterminados entregados en estas secciones son apropiados para la mayoría de las instalaciones.
Página 50
Desde una perspectiva tanto física como lógica, esta parte introduce los componentes básicos de los firewalls D-Link, los cuales son construcciones de bloqueo para políticas de seguridad y funciones avanzadas. Los tópicos en esta parte incluyen: Objetos Logicos • Interfaces •...
CAPITULO Objetos Lógicos Los objetos lógicos son elementos básicos de red definidos en el firewall, refiriendo a las entidades que necesitan ser protegidas y también las fuentes inseguras y aplicaciones que deben ser monitoreadas por las políticas de seguridad. Libro de Direcciones Como un libro de contactos que registra los nombres de personas junto con el número telefónico y dirección email, el libro de direcciones en un Firewall es una lista de nombres simbólicos asociados con varios tipos de direcciones, incluyendo...
Página 52
Capítulo 8. Objetivos Lógicos. su localización. El libro de dirección en los firewalls D-Link permite al administrador nombrar Direcciones IP tanto para un solo anfitrión, una red, un par maestro/esclavo utilizado en Alta disponibilidad, o un grupo de computadores o interfaces. Una dirección ”0.0.0.0/0”...
Los Servicios son programas software que utilizan protocolo de definición para entregar varias aplicaciones a los usuarios de red. La mayoría de las aplicaciones cuentan con protocolos localizados en la capa 7 OSI – capa de Aplicación – para entregar comunicación desde Guía de Usuario de los Firewalls D-Link...
8.2.1 Tipos de servicio En los firewalls D-Link, los servicios pueden ser configurados a través de tres opciones: TCP/UDP, ICMP, y servicio de Protocolo IP. Un servicio es básicamente definido por un nombre descriptivo, el tipo de protocolo, y parámetros de protocolo.
Página 55
IP, y cada mensaje es un protocolo separado poseedor de un formato propio. Este contenido cambia dependiendo del Mensaje tipo y código. El tipo de mensaje ICMP que puede ser configurado en los firewalls D-Link junto con diversos códigos son enlistados a continuación: Echo Request –...
Página 56
Seleccione el tipo ICMP y especifique los códigos para el servicio. (Si es seleccionada la opción All ICMP Message Types, este servicio coincidirá con Todos los 256 posibles Tipos de Mensajes ICMP.) Haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 57
(Para mayor información acerca GRE, refiérase a 22.2 PPTP/L2TP WebUI → → → Objects Services IP Protocol Service General Ingrese lo siguiente y luego haga click en OK: Name: GRE IP Protocol: 47 Guía de Usuario de los Firewalls D-Link...
El permitir que cualquier mensaje ICMP entrante esté capacitado para tener estos mensajes de error remitidos no es por lo general Guía de Usuario de los Firewalls D-Link...
Página 59
DoS (Denial of Service) en particular. Para resolver este problema, los firewalls D-Link pueden ser configurados para pasar un mensaje de error ICMP sólo si está relacionado con una conexión existente a un servicio.
Start Date: Llene en el tiempo de inicio en un formato de ”aaaa-mm-dd hh:mm:ss” ó haga click en el icono de calendario y elija la fecha de la ventana emergente. End Date: (del mismo modo que ”Start Date” anterior) Y luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
8.4. Certificados X.509 Certificados X.509 Los firewalls D-Link soportan certificados que cumplen con el estándar internacional ITU-T X.509. Esta tecnología utiliza una jerarquía de certificado X.509 con una criptografía de clave pública (Véase 20.2, Introducción a la Criptografía) para conseguir la distribución de clave y autentificación de entidades.
Página 62
CA asignado. Antes de que un certificado sea aceptado, se siguen los siguientes pasos para verificar la validez del certificado: - La construcción de un trayecto de certificación hacia el CA de origen confiable. Guía de Usuario de los Firewalls D-Link...
- Se trae el CRL de cada certificado para verificar que ninguno de los certificados ha sido revocado. Listas de Identificación En adición a la verificación de las firmas de certificados, los firewalls D-Link también emplean listas de identificación (Véase 22.1.4, Identification Lists(IDLists)).
Una interfaz Ethernet representa un adaptador físico Ethernet utilizado en el firewall. La configuración de una interfaz Ethernet involucra la función de una dirección IP y otros parámetros, para hacer a la interfaz accesible a la capa de red. Cuando se instala el firewall D-Link, todos los adaptadores Ethernet soportados en el...
”any” respectivamente. ”core” se localiza en el corazón del firewall, todo el tráfico desde las interfaces físicas son reemitidas a ”core” para ser controladas por las políticas de seguridad. ”any” representa todas las interfaces posibles incluyendo ”core”. Guía de Usuario de los Firewalls D-Link...
Página 66
(Verificando estas opciones y especificando el valor métrico, la interfaz configurada Aquí será adherida a la Main Routing Table Como rutas para la información de dirección de destino. El valor métrico Predeterminado es 100.) High Availability: Selección de dirección IP Privada. Guía de Usuario de los Firewalls D-Link...
9.1. En este caso, un Firewall D-Link es configurado para tener 2 interfaces VLAN. Ahora, aunque los clientes y servidores se encuentren aún compartiendo el mismo medio físico, el Cliente A puede comunicarse sólo con el servidor D y el firewall desde que éstos son configurados...
Página 68
4096 VLANs en una red física. Sin embargo, todas están reservadas y todos los ceros indican la no asociación VLAN. Todos los otros identificadores pueden ser utilizados para indicar un VLAN particular. Guía de Usuario de los Firewalls D-Link...
VLAN. Los VLANs en los firewalls D-Link son útiles en varios escenarios diferentes, por ejemplo, cuando se necesita un filtro firewall entre diferentes departamentos de una organización, o cuando se necesita expandir el número de interfaces.
Utilizando LANs Virtuales para Expandir Interfaces Firewall Los LANs virtuales son excelentes herramientas para expandir el número de interfaces en los firewalls D-Link. Los Firewalls D-Link con interfaces Ethernet de gigabit pueden fácilmente ser expandidas con 16 nuevas interfaces utilizando un switch Ethernet de puerto-16 con puerto uplink gigabit y soporte de LAN Virtual.
Soporte de seguridad y control de acceso – se requiere autentificación • nombre de usuario/contraseña. El proveedor puede seguir la dirección IP a un usuario específico. Asignación automtico de dirección IP para usuarios PC (similar a DHCP 9.3). • Guía de Usuario de los Firewalls D-Link...
IP sobre el vínculo. Más información sobre aplicación y seguridad de PPP puede ser encontrada en la sección 22.2 PPTP/L2TP. 9.4.2 Configuración de Cliente PPPoE Los firewalls D-Link permiten a los usuarios una conexión segura y de fácil manejo al ISP. Guía de Usuario de los Firewalls D-Link...
Página 74
PPPoE. Es posible configurar cómo el firewall debe detectar actividad en la interfaz, tanto en tráfico saliente, tráfico entrante o ambos. Además es configurable el tiempo de espera de inactividad antes de que el túnel sea desconectado. Guía de Usuario de los Firewalls D-Link...
Página 75
Se mantienen los ajustes predeterminados para la autentificaciónn. Dial-on-demand Enable Dial-on-demand: Disable Advanced Si está habilitado ”Add route for remote network”, una nueva ruta será adherida parar Esta interfaz. Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Utilice el Grupo de Interfaz • Un grupo de interfaz puede ser utilizado en varias configuraciones objetivas. Por ejemplo, las reglas IP y reglas de autentificación del usuario pueden utilizar grupos de interfaz. Guía de Usuario de los Firewalls D-Link...
Asistir a los equipos cercanos de red respondiendo a ARP de una manera incorrecta. • Esta área de uso es la menos común. Entregar la impresión de que una interfaz del firewall tiene más de una dirección • Guía de Usuario de los Firewalls D-Link...
Página 78
Para que las direcciones IP publicadas trabajen correctamente podría ser necesario agregar una nueva ruta. (Véase 10 Routing) Si es agregada una dirección adicional para una interfaz, la interfaz central deberá probablemente ser especificada como la interfaz cuando se configure la ruta. Guía de Usuario de los Firewalls D-Link...
Página 79
Interface: Seleccione la interfaz que debe tener la dirección IP extra IP Address: Especifique la dirección IP que se agregará a la interfaz anterior. MAC: Determine como 00-00-00-00-00-00 para utilizar la dirección MAC de la interfaz. Luego haga click en OK Guia de Usuario de los Firewalls D-Link...
CAPITULO Routing 10.1 Vista General Routing es un rol mayor en la capa de red (capa 3 OSI), el cual determina cómo transportar paquetes desde el anfitrión inicial al receptor deseado. Los dispositivos que funcionan en la capa de red, tal como routers o firewalls, ejecutan el ruteo para conseguir dos tareas ante todo, la Determinación de Trayectoria y el Packet Switching.
ó a la red privada de una compañía. La organización está capacitada para correr y administrar sus redes con sus propias políticas y algoritmo de routing preferible, mientras aún es capaz de conectarse al mundo ”exterior” Guía de Usuario de los Firewalls D-Link...
En el caso en que el router no se encuentre apropiadamente configurado en la tabla de routing, el router buscará en la tabla la determinación de una trayectoria y al no encontrar una ruta adecuada, éste Guía de Usuario de los Firewalls D-Link...
Como es definido en este algoritmo, cada router transmite sus vínculos adjuntos y costos de vínculo a todos los demás Routers en la red. Un router, una vez que recepciona las transmisiones del resto, Guía de Usuario de los Firewalls D-Link...
Página 84
OSPF exige un alto costo relativo, ej. un mayor poder CPU y memoria, que un RIP, por consiguiente, puede ser más costoso de implementar. Los firewalls D-Link utilizan OSPF como el algoritmo de routing dinámico. Routing metrics Routing metrics(los costos) son los criterios que un algoritmo de routing utiliza para calcular la “mejor”...
óptimas. 10.3.3 OSPF OSPF es el algoritmo de routing dinámico incluído en los firewalls D-Link. Desde la sección previa, se pueden observar las principales características del OSPF como un Link state routing algorithm. A continuación observaremos la actual operación de este algoritmo.
Página 86
OSPF. La Router Priority que es configurable en base a cada interfaz, es el parámetro que controla la elección. El router con el mayor numero de prioridad se vuelve DR y el siguiente más alto se vuelve BDR. Si el número Guía de Usuario de los Firewalls D-Link...
Página 87
LSA a DR. El DR luego excederá la actualización a todos los routers participantes en el área para sincronizar la base de datos del link-state. Path determination – ”SPF” Guía de Usuario de los Firewalls D-Link...
Página 88
ARP. Es posible utilizar ambos métodos de monitoreo al mismo tiempo. Guía de usuario de los Firewalls D-Link...
Internet. ISP A es conectado a la interfaz WAN1 del firewall e ISP B es conectado a la interfaz WAN2. Con el fin de configurar el firewall D-Link para utilizar ISP A como ISP primario, e ISP B como ISP de respaldo, las rutas monitoreadas deberán ser configuradas.
Página 90
→ → → Routes Main Routing Table Route: Ingrese lo siguiente: General Interface: WAN2 Network: 0.0.0.0/0 Gateway: Default gateway of ISP B. Local IP Address: (None) Metric: 2 Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 91
Nota La ruta predeterminada para la interfaz WAN2 no será monitoreada. La razón para esto es que no se posee una ruta de respaldo para la ruta sobre la interfaz WAN2. Guía de Usuario de los Firewalls D-Link...
10.5. Implementación de Routing Dinámico 10.5 Implementación de Routing Dinámico En los firewalls D-Link, la implementación de routing dinámico involucra dos tareas primarias de configuración: OSPF process & dynamic routing policy. 10.5.1 Proceso OSPF Los procesos OSPF configurados en el firewall agrupan firewalls OSPF participantes y routers en areas OSPF.
(a excepción de las rutas para las 3 interfaces participantes en este proceso OSPF). Para controlar este intercambio de información, se necesita que las políticas de routing dinámico Guía de Usuario de los Firewalls D-Link...
Página 94
Luego haga click en OK 2. Area: – especificando un área para el proceso ”ospf-proc1”. En la página de configuración ”ospf-proc1”: → Area: General: Name: ”area0” Area ID: 0.0.0.0 Luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 95
Luego haga click en OK. Nota Asegúrese de que las reglas IP del firewall, las cuales permiten que el tráfico pase a través de estas interfaces, utilicen este grupo de interfaz como fuente de interfaz. Guía de Usuario de los Firewall D-Link...
Página 96
El resultado de esta configuración es que toda la información routing aprendida será añadida a la tabla routing principal en la medida que estas no invaliden ninguna ruta estática ó rutas predeterminadas previamente insertadas. Guía de Usuario de los Firewalls D-Link...
Página 97
Luego haga click en OK. 2. OSPF Actions: En la página de configuración ”exportDefRoute”: → → → OSPF Actions Export OSPF: General Export to process: Seleccionar ”ospf-proc1” desde la lista desplegable. Luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Network: Seleccione la dirección de red objetiva (192.168.2.0/24). Gateway: Seleccione la dirección de router objetivva (192.168.1.10). Luego haga click en OK. Esto permitirá al firewall dirigir el tráfico destinado para la red 192.168.2.0/24 a través del router en 192.168.1.10. Guía de Usuario de los Firewalls D-Link...
Además, los firewalls D-Link extienden los beneficios de futuros PBR no sólo buscando los paquetes uno por uno, sino también en información de estado, de modo que la política pueda entregar control tanto en la dirección de reenvío como en la de retorno.
– Todos los usuarios comparten un eje central activo común, pero pueden utilizar diferentes ISPs, suscribiéndose a diferentes flujos de proveedores de medios de comunicación. La implementación PBR en los firewalls D-Link consiste en dos elementos: Una o más denominadas tablas PBR en adición a la tabla de routing normal. •...
Página 101
Remove Interface IP Routes: Si está habilitado, las rutas de interfaz predeterminada Son removidas, ej. rutas a la interfaz central, las cuales son rutas al mismo firewall. Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
2-ISP, con la red 1.2.3.0/24 perteneciente a ”ISP A” y ”2.3.4.0/24” perteneciente a ”ISP B”. Las puertas de enlace ISP son 1.2.3.1 y 2.3.4.1, respectivamente. Todas las direcciones en este escenario son direcciones públicas, para un facil entendimiento • Guía de Usuario de los Firewalls D-Link...
Página 103
Contenidos de Policy-based Routing Policy: Source Source Dest. Dest. Service Forward Return Interface Range Interface Range LAN1 2.3.4.0/24 WAN2 0.0.0.0/0 <main> WAN2 0.0.0.0/0 LAN1 2.3.4.0/24 <main> Guía de Usuario de los Firewalls D-Link...
Página 104
Se necesita añadir dos políticas PBR de acuerdo a la lista de políticas mostradas anteriormente. → → → Routing Policy-based Routing Policy Policy-based Routing Rule: Ingrese la información encontrada en la lista de políticas desplegada con anterioridad. Repita este paso para añadir la segunda regla. Guía de Usuario de los Firewalls D-Link...
Página 105
Nota Sólo es posible el Proxy ARP en interfaces Ethernet y VLAN. Guía de Usuario de los Firewalls D-Link...
Página 106
CAPITULO Fecha & Tiempo El ajuste correcto de la fecha y hora es de gran importancia para que el producto opere apropiadamente. Por ejemplo, las políticas de programación de tiempo y auto-actualización de firmas IDS son dos características que requieren de una hora correctamente ajustada.
Para modificar la zona horaria, siga los pasos esbozados a continuación: WebUI → System Date and Time: Time zone and daylight saving time settings Time zone: seleccione la zona horaria apropiada en la lista desplegable. Luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 108
Offset: ingrese el número de minutos que el reloj debe ser adelantado durante el DST. Start Date: seleccione la fecha de inicio del período DST en la lista desplegable. End Date: seleccione la fecha de término. Luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Motores de búsqueda en el internet pueden ser utilizados para encontrar listas actualizadas de servidores de tiempo públicos disponibles. Guía de Usuario de los Firewalls D-Link...
Automatic time synchronization Marque Enable time synchronization. Seleccione lo siguiente de las listas desplegables: Time Server Type: SNTP Primary Time Server: dns:ntp1.sp.se Secondary Time Server: dns:ntp2.sp.se Tertiary Time Server: (None) Luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 111
Este ejemplo utiliza nombre de dominio en vez de direcciones IP. Por lo tanto, asegúrese de que los ajustes de cliente DNS del sistema se encuentran apropiadamente configurados como se describe en 12 DNS. Guía de Usuario de los Firewalls D-Link...
DNS configurados en el firewall a todos los clientes que soliciten un contrato IP. El ejemplo a continuación describe cómo configurar servidores DNS en los firewalls D-Link. Los servidores configurados son utilizados por los clientes DNS internos así como otros subsistemas tales como el servidor DHCP.
Para ajustar el registro en los firewalls D-Link, se requieren de los siguientes dos pasos: 1. Definir uno o varios destinatarios de registro. 2. Habilitar las funciones de registro en ciertas secciones.
Syslog de ”local0” a ”local7”. Severity es el grado de emergencia adjunto al mensaje de evento registrado por eliminación de fallos. Los firewalls D-Link pueden ser ajustados para enviar mensajes a diferentes niveles de intensidad. Clasificados desde una mayor importancia a una menor;...
Página 115
Para marcar los contenidos de archivo de registro almacenados por la memoria del receptor de registro, siga los pasos a continuación: WebUI → Menu Bar: Status Logging: Pueden ser desplegados 100 ítems de eventos nuevamente generados por página. Para ver eventos previos, presione next. Guía de Usuario de los Firewalls D-Link...
Página 117
Las políticas de seguridad regulan las formas en que las aplicaciones de red protegen del abuso y uso inapropiado. Los firewalls D-Link ofrecen varios mecanismos para ayudar a los administradores en la construcción de políticas de seguridad para la prevención de ataques, protección de privacidad, identificación, y control de...
Con el fin de entregar el mayor nivel de seguridad posible, default deny es la política predeterminada en los firewalls D-Link. El default deny es logrado sin una regla visible en la lista. Sin embargo, para propósitos de registro, la lista de regla comúnmente tiene una regla DropAll al pie con el registro habilitado.
Una regla es expresada en una forma definitiva, consistente en dos partes lógicas: los campos y la acción. Las sub-secciones a continuación explican los parámetros de una regla que está disponibles en los firewalls D-Link. 14.1.1 Campos Los campos son algunos objetos de red predefinidos y reutilizables, tales como direcciones y servicios, los cuales son utilizados en cada regla con propósitos de...
Ejemplo) ◦ Drop: Le indica al firewall que deseche inmediatamente el paquete. ◦ Reject: Actúa como Drop, pero devuelve un mensaje TCP–RST o ICMP–Unreachable, indicándole al remitente que el paquete ha sido deshabilitado. Guía de Usuario de los Firewalls D-Link...
Por consideraciones de funcionalidad y seguridad, la traducción de Direcciones de red(NAT) es generalmente aplicada para el actual uso en oficina y hogar. Los firewalls D-Link entregan soporte tanto para NAT Dinámico como para Estático. Estos dos tipos son representados por las reglas de ajuste NAT y SAT respectivamente.
Página 122
Red en varias más pequeñas. Las partes más pequeñas exponen sólo una dirección IP al exterior, lo cual significa que los computadores pueden ser añadidos o removidos sin causar impacto en las redes externas. Los firewalls D-Link contienen servidor DHCP, el cual permite a los clientes ser configurados automáticamente.
14.2.3 Traducción de dirección en los Firewalls D-Link Los firewalls D-Link soportan dos tipos de traducción de dirección: dinámico (NAT oculto), y estático (SAT). Traducción de Dirección de Red Dinámica El proceso de traducción de dirección dinámica involucra la traducción de direcciones de remitente múltiples en una o más direcciones de remitente, tal como direcciones IP...
Página 124
La dirección IP privada del servidor es mapeada a una dirección IP estática pública, la cual puede ser vista desde el Internet. En los firewalls D-Link, SAT es implementado para entregar muchas funciones importantes, Por ejemplo: - DMZ & Port Forwarding: SAT soporta el uso de red DMZ para entregar servicios públicos al Internet, mientras tanto protegiendo la red privada de una...
1. Define un servicio ICMP objetivo y lo denomina ”ping-inbound”. (Note que el Firewall D-Link es repartido con un servicio ”ping-inbound” configurado como predeterminado el cual puede ser utilizado) 2. Crea una Regla nueva con nombre ”Ping to Ext”, y permite el servicio desde cualquier interfaz en todas las nets para la interfaz central del firewall en la red ip ext .
Página 126
1. Crear Servicio HTTP Si ningún servicio http es definido, se necesita crear un nuevo servicio. → → → Objects Services TCP/UDP Service: Name: http Type: TCP Source: 0-65535 Destination: 80 Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 127
→ → → Rules IP Rules IP Rule: Name: DNS from LAN Action: NAT Service: dns-all Source Interface: LAN Source Network: lan-net Destination Interface: any Destination Network: all-nets Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 128
De este modo, se traslada el puerto 80 en la dirección externa del firewall al puerto 80 en el servidor web: 1. Añadir un servicio ”HTTP” objetivo que utilice el puerto 80 TCP. Guía de Usuario de los Firewalls D-Link...
Página 129
Action: SAT Service: http Source Interface: any Source Network: all-nets Destination Interface: core Destination Network: ip ext Translate the: Destination IP Address To New IP Address: ip webserver Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 130
FwdFast, o NAT, y esta segunda regla alineada debe ser ubicada bajo la regla SAT iniciada. La regla SAT iniciada no le hace nada a los datos actuales. Si hay una coincidencia con el paquete recibido y una regla SAT, el firewall continuará pasando los paquetes Guía de Usuario de los Firewalls D-Link...
Página 131
Dato La determinación del mejor curso de acción y el orden secuencial de las reglas debe ser realizada en base a caso a caso, tomando todas las circunstancias en cuenta. Guía de Usuario de los Firewalls D-Link...
CAPITULO Acceso (Anti-spoofing) 15.1 Vista General La función primaria de cualquier firewall es controlar el acceso a recursos de datos protegidos, de modo que la única conexión autorizada sea permitida. El control de acceso es básicamente direccionado en las reglas IP del firewall (introducidas en 14.
Para equipar el firewall con la habilidad Anti-spoofing, se necesita un filtro extra contra la verificación de dirección de fuente. Los firewalls D-Link entregan al administrador de red elecciones a para hacer el filtrado basado en IP por Reglas de Acceso.
Página 134
Accept. Si la interfaz no coincide, el paquete es desechado de la misma manera que la acción de Drop. El Registro puede ser habilitado en demanda para estas Acciones. (Refiérase a 5 Registro) Guía de Usuario de los Firewalls D-Link...
LAN. → → → Rules Access Access Rule: Name: LAN Access Action: Expect Interface: LAN Network: lan-net Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Internet a computadores DMZ sin contacto directo con el LAN interno. Obviamente, esta propuesta añade una capa extra de protección a la infraestructura Intranet–firewall–Internet. Los firewalls D-Link ofrecen soporte al planeamiento DMZ y protección a través de la Interfaz de red objetiva y configuración de Reglas.
Página 137
Por lo tanto, tal servicio debe ser localizado en un área de red distinta – DMZ. Figura 16.1: Un Servidor Web en DMZ En este ejemplo, se observa un firewall D-Link conectando un LAN privado, una subred DMZ, y el Internet, mostrado en la Figura 16.1.
Se utiliza un pequeño grupo de componentes para ilustrar las diferentes propuestas del planeamiento DMZ: Un firewall D-Link con 3 interfaces: Int net, DMZ net, y Ext net • Un computador privado: Cliente A •...
Dividir DMZ en diferentes zonas ayuda a restringir políticas de seguridad sobre • componentes que tienen diferentes funciones y niveles de seguridad. La escalabilidad de la arquitectura de red es incrementada ubicando • components en diferentes subredes. Guía de Usuario de los Firewalls D-Link...
CAPITULO Autentificación del Usuario 17.1 Vista General de Autentificación Antes de que cualquier solicitud de servicio de usuario sea autorizada de acuerdo a las políticas de seguridad del firewall, éste necesita verificar la identidad del usuario, para asegurar que el usuario corresponda es quien dice ser. Autentificación es el proceso para direccionar tal asunto.
La autentificación de Usuario es frecuentemente utilizada en servicios, tales como HTTP, y VPN. Los firewalls D-Link utilizan Nombre de Usuario/Contraseña como el método primario de autentificación, fortalecido por algoritmos de encriptación. El concepto básico de Encriptación es cubierto por...
Capa 2, los cuales aplican Encriptación en base a contraseñas introducidas por usuario (Ver 22.2 PPTP/L2TP). 17.1.3 Tipos de Usuario Los firewalls D-Link y proyectos de autentificación entregan soporte a diversos usuarios. los tipos de usuario pueden ser: administradores • Guía de Usuario de los Firewalls D-Link...
– grupo de usuarios que están sujetos al mismo criterio de regulación 17.2 Componentes de Autentificación Los firewalls D-Link pueden ser utilizados tanto como una base de datos almacenada localmente, o una base de datos en un servidor externo para entregar autentificación de usuario.
RADIUS es ahora soportado por VPN, puntos de acceso inalámbrico, y otros tipos de acceso de red. Un cliente RADIUS, ej. firewall D-Link, envía credenciales de usuario e información de parámetro de conexión en la forma de mensaje RADIUS a un servidor RADIUS.
Interfaz receptora, o fuente de red, como esta información no está disponible en la fase XAUTH. Por la misma razón, sólo una regla de autentificación de usuario XAUTH puede ser definido. XAUTH es sólo utilizado para ajustar túneles VPN IPsec. Guía de Usuario de los Firewalls D-Link...
17.3. Proceso de Autentificación 17.3 Proceso de Autentificación Un firewall D-Link continúa con la autentificación del usuario de acuerdo a lo siguiente: Un usuario se conecta al firewall para iniciar la autentificación. • El firewall recibe las solicitudes del usuario desde su interfaz, y registra en la regla de •...
Página 147
Presione los botones bajo el recuadro de editar de los Grupos para garantizar la membresía de estos grupos a un usuario. Guía de Usuario de los Firewalls D-Link...
Página 148
Allow de este primer paso. Como es explicado en 14 Reglas IP, todos lo otros tráficos que no son explícitamente permitidos por la regla IP, por ejemplo, el tráfico no autentificado proveniente desde la interfaz donde la autentificación es Guía de Usuario de los Firewalls D-Link...
Página 149
Filtro de Dirección Elija lo siguiente desde las listas desplegables: Source Destination Interface: lan core Network: lannet lan ip Comentarios: Permitir las conexiones HTTP al agente de autentificación del firewall. Haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 150
(Note que la fuente de red es aquí una dirección objetiva contenedora de información de autentificación de usuario.) Comments: Permitir ”users” autentificados desde ”lannet” al buscador Web en Internet. Haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 151
Si no se ha recibido tiempos de inactividad desde el servidor de autenticación, serán utilizados los valores de inactividad especificados anteriormente. 4. Otras restricciones de configuración son los Registros Múltiples de Nombre de Usuario. Son disponibles tres opciones como se explico anteriormente: Guía de Usuario de los Firewalls D-Link...
Página 152
Si es así, el antiguo será removido, y este nuevo usuario será registrado. Sino, la nueva solicitud de registro sera rechazada. El periodo de tiempo para esta opción puede ser definido en el recuadro de editar. Guía de Usuario de los Firewalls D-Link...
Página 154
En adición a la inspección de paquetes en la capa de red (OSI capa 3), los firewalls D-Link son capaces de examinar el contenido de cada paquete para entregar una protección más poderosa y flexible en capas superiores. Los Tópicos de esta parte incluyen: Application Layer Gateway (ALG) •...
Vista General Para complementar las limitaciones de filtrado de paquete, el cual sólo inspecciona en los paquetes headers, tales como IP, TCP, UDP, y ICMP headers, los firewalls D-Link incrustan una Application Layer Gateway (ALG) para soportar protocolos de alto nivel que tienen información de dirección dentro de la carga explosiva.
FTP en la red interna se conecta a través del firewall a un Servidor FTP en el Internet. La regla IP en el firewall es entonces configurada para permitir tráfico de red desde el cliente FTP al puerto 21 en el servidor FTP. Guía de Usuario de los Firewalls D-Link...
Página 157
Esta implementación resulta en que tanto, el cliente FTP y el servidor FTP trabajan en su modo más seguro. Naturalmente, la conversión también trabaja el otro camino, este es, con el cliente FTP utilizando modo activo y el servidor FTP utilizando modo pasivo. Guía de Usuario del Firewall D-Link...
Escenarios: Configuración ALG FTP Ejemplo: Protegiendo un Servidor FTP Figura 18.1: ALG FTP Escenario 1 En este ejemplo, un Servidor FTP es conectado al firewall D-Link en un DMZ con direcciones IP privadas, mostrado en Figura 18.1. Para hacer posible el conectarse...
Página 159
Marque Translate the Destination IP Address New IP Address: ftp-internal. (Se asume que esta dirección IP interna del servidor FTP ha sido definida en el Libro de Direccion objetiva.) New Port: 21. Luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 160
– Permitir las conexiones entrantes (SAT necesita una segunda regla Allow): → → → Rules IP Rules IP Rule: General: Name: Allow-ftp Action: Allow Service: ftp-inbound Address Filter: Source Destination Interface: any core Network: all-nets ip-ext Luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 161
Ingrese un nombre descriptivo para el ALG. Name: ftp-outbound Desmarque Allow client para utilizar el modo activo (inseguro para el cliente). Marque Allow server para utilizar el modo pasivo (inseguro para el servidor) Luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 162
– Permita las conexiones a servidores-FTP en el exterior: → → → Rules IP Rules IP Rule: General: Name: Allow-ftp-outbound Action: Allow Service: ftp-outbound Address Filter: Source Destination Interface: lan Network: lannet all-nets Luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Componentes & Asuntos de Seguridad Para habilitar funciones más avanzadas y extensiones a los servicios HTTP, algunos componentes añadidos, conocidos como ”active contents”, son usualmente acompañados con la respuesta HTTP al computador del cliente. Guía de Usuario del Firewall D-Link...
Esto puede además contener información confidencial. 18.3.2 Solucion El firewall D-Link direcciona las ultimas areas de seguridad mostradas en la sección previa por Stripping Contents and URL Filtering. Stripping Contents En la configuración D-Link HTTP ALG, algunos o todos los contenidos activos Mencionados previamente pueden ser apartados desde el tráfico HTTP sobre...
Página 165
Ejemplo: Configurando HTTP ALG En este ejemplo, un HTTP ALG en un firewall D-Link es creado. Este es configurado para deshacer complementos ActiveX, lo cual bloqueará visualizaciones tales como Macromedia flash y shockwave. Una dirección no deseada es añadida a la blacklist.
H.323 es considerado para ser el estándar de interoperabilidad en audio, video y transmisiones de datos así como un teléfono Internet y voice-over-IP (VoIP). 18.4.2 Componentes H.323 El H.323 estándar consiste en estos cuatro componentes principales: Terminals • Gateways • Gatekeepers • Guía de Usuario de los Firewalls D-Link...
H.225 RAS Signaling and Call Control (Setup) Signaling El protocolo H.225 es utilizado para la señal de llamado, esto significa que es utilizado Para establecer una conexión entre dos puntos de término(terminales) H.323. Este Guía de Usuario de los Firewalls D-Link...
Página 168
El H.323 ALG tiene las siguientes características: H.323 version 5 (H.225.0 v5, H.245 v10) • Application sharing (T.120) • Gatekeeper support • NAT, SAT • Guía de Usuario de los Firewalls D-Link...
Las tres definiciones de servicio utilizadas en estos escenarios son: → Gatekeeper (UDP ALL 1719) • → H323 (H.323 ALG, TCP ALL 1720) • → H323-Gatekeeper (H.323 ALG, UDP 1719) • Guía de Usuario de los Firewalls D-Link...
Página 170
Figura 18.3: H.323 Escenario 1. Utilizando Direcciones IP públicas En el primer escenario un teléfono H.323 es conectado a un Firewall D-Link en una red (lan-net) con direcciones IP públicas. Para hacer posible ubicar una llamada desde este teléfono a otro teléfono H.323 en el Internet, y para permitir teléfonos H.323 en el internet para llamar a este teléfono, se necesita configurar las reglas del firewall.
Página 171
Luego haga click en OK Utilizando direcciones Privadas IP En este teléfono un teléfono H.323 es conectado a un Firewall D-Link en una red con direcciones IP privadas. Para hacer posible ubicar una llamada desde este teléfono a otro teléfono H.323 en el internet, y permitir teléfonos H.323 en el Internet para llamar a este teléfono, se necesita configurar reglas firewall.
Página 172
IP Rule: Ingrese lo siguiente: Name: H323Out Action: NAT Service: H323 Source Interface: LAN Destination Interface: any Source Network: lan-net Destination Network: 0.0.0.0/0 (all-nets) Comment: Permitir llamadas salientes. Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 173
Comment: Permitir llamadas entrantes a teléfono H.323 en ip-phone. Luego haga click en OK Para ubicar una llamada al teléfono detrás del Firewall D-Link, haga una llamada a la dirección IP externa en el firewall. Si teléfonos H.323 múltiples son ubicados detrás del firewall, una regla SAT debe ser configurada para cada teléfono.
Página 174
Este escenario consiste en dos teléfonos H.323, cada uno conectado detrás de un Firewall D-Link en una red con direcciones IP públicas. Con el fin de hacer llamadas en estos teléfonos sobre el Internet, las siguientes reglas necesitan ser añadidas al listado de regla en ambos firewalls.
Página 175
Este escenario consiste en dos teléfonos H.323, cada uno conectado detrás de un Firewall D-Link en una red con direcciones IP privadas. Con el fin de hacer llamadas en estos teléfonos sobre el Internet, las siguientes reglas necesitan ser añadidas al listado de reglas en el firewall, asegúrese de que no hay reglas rechazando ó...
Página 176
Destination Network: ip-wan (IP externo del firewall) Comment: Permitir llamadas entrantes a teléfonos H.323 en ip-phone. Translate Destination IP Address: To New IP Address: ip-phone (dirección IP del teléfono) Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 177
Comment: Permitir llamadas entrantes al teléfono H.323 en ip-phone. Then click OK Para hacer llamadas al teléfono detrás del Firewall D-Link, haga una llamada a la dirección IP externa en el firewall. Si múltiples teléfonos H.323 son ubicados detrás del firewall, una regla SAT debe ser configurada para cada teléfono.
Página 178
Destination Network: ip-wan (IP externo del firewall) Comment: una regla SAT para comunicación entrante con el Gatekeeper localizado en ip-gatekeeper. Translate Destination IP Address: To New IP Address: ip-gatekeeper (dirección IP del gatekeeper) Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 179
Nota No hay necesidad de especificar una regla específica para llamadas salientes. El Firewall D-Link monitorea la comunicación entre teléfonos ”external” y el Gatekeeper para asegurar que es posible para los teléfonos internos llamar a los teléfonos externos que son registrados con el gatekeeper.
Página 180
H.323 con Gatekeeper y dos Firewalls D-Link Figura 18.6: H.323 Escenario 4. Este escenario es muy similar al escenario 3, con la diferencia de un Firewall D-Link protegiendo los teléfonos ”external”. El Firewall D-Link con el Gatekeeper conectado al DMZ debe ser configurado exactamente como en el escenario 3 (ver 18.4.5).
Página 181
Nota No hay necesidad de especificar una regla específica para llamadas salientes. El Firewall D-Link monitorea la comunicación entre teléfonos ”external” y el Gatekeeper para asegurar que es posible para teléfonos internos llamar a los teléfonos externos que son registrados con el gatekeeper.
Página 182
Configuración del Firewall de la Oficina Central La oficina central ha ubicado el Gatekeeper H.323 en el DMZ del Firewall D-Link corporativo. Este Firewall D-Link debe ser configurado como a continuación. Guía de Usuario de los Firewalls D-Link...
Página 183
Source Network: lan-net Destination Network: ip-gateway Comment: Permitir entidades H.323 en lan-net llamar a los teléfonos conectados al Gateway H.323 en el DMZ. Recuerde utilizar el servicio correcto. Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 184
Action: Allow Service: H323-Gatekeeper Source Interface: vpn-branch Destination Interface: DMZ Source Network: branch-net Destination Network: ip-gatekeeper, ip-gateway Comment: Permitir comunicación con el Gatekeeper en DMZ desde la red Sucursal Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 185
Firewall de Sucursal y Oficina Remota Los teléfonos de sucursal y oficina remota H.323 y aplicaciones serán configuradas para utilizar el Gatekeeper H.323 en la oficina central. Los Firewalls D-Link en las oficinas remotas y sucursales deben ser configuradas como a continuación.
Página 186
Oficina Central. Luego haga click en OK La sucursal del Firewall D-Link tiene un Gateway H.323 conectado a su DMZ. Con el fin de permitir al Gateway registrarse dentro del H.323 Gatekeeper en la Oficina Central, la siguiente regla debe ser configurada.
Página 187
Nota No hay necesidad de especificar una regla específica para llamadas salientes. El Firewall D-Link monitorea la comunicación entre teléfonos ”external” y el Gatekeeper para asegurarse de que es posible para los teléfonos internos llamar a los teléfonos externos que están registrados con el gatekeeper.
Detección de Intrusos es una tecnología importante para identificar y prevenir estas amenazas. Con el fin de hacer un IDS efectivo y confiable, el IDS D-Link va a través de tres niveles de procesamiento y dirige las siguientes preguntas: Qué...
Capítulo 19. Sistema de Detección de Intrusos (IDS) El IDS D-Link utiliza una combinación de Reglas de Detección de Intrusos, Patrón de Coincidencias, y Acciones, con el fin de responder las tres interrogantes mencionadas con anterioridad. 19.1.1 Reglas de Detección de Intrusos Una Regla de Detección de Intrusos define el tipo de tráfico-servicio que debe ser...
El tráfico es solamente pasado en el IDS si la regla de ajuste IP del firewall decide que es válido, mostrado en la Figura 19.1. Figura 19.1: Cadena de Eventos IDS Escenario 1 Guía de Usuario de los Firewalls D-Link...
2. La información de fuente y destino del nuevo paquete es comparado con la Regla de Detección de Intrusos. Si es encontrada una coincidencia, esta será pasada al siguiente nivel del procesamiento IDS – patrón de coincidencia. Si no, el paquete es desechado. Guía de Usuario de los Firewalls D-Link...
Página 192
19.2. Cadena de Eventos Figura 19.2: Cadena de Eventos IDS Escenario 2 Guía de Usuario de los Firewalls D-Link...
Esto es realizado a través de una conexión HTTP a un servidor D-Link, albergando el ultimo archivo de base de datos de firma. Si este archivo de base de datos de firma tiene una versión más nueva que la actual la nueva base de datos de firma será...
SMTP puede ser configurado. Este e-mail contiene una suma de eventos IDS que han ocurrido en un periodo de tiempo usuario-configurable. Cuando se ha producido un evento IDS, el firewall D-Link esperará por segundos de Tiempo en espera antes de enviar el e-mail de notificación. Sin embargo, el e-mail sólo será...
Página 195
2. Reglas IDS. – Habilitar el registro en la página de configuración ”Log Settings” para una regla específica IDS y utilizando Todos los receptores ó receptor específico ”smtp4IDS” configurado antes como receptor de registro. Guía de Usuario de los Firewalls D-Link...
La Interfaz de Destino y Red de Destino definen dónde es direccionado el tráfico, en este caso el servidor mail. La Red de Destino debe por lo tanto ser ajustada al Objeto definiendo el servidor mail. Guía de Usuario de los Firewalls D-Link...
Página 197
FROM EXT MAIL SMTP grupo de firma, la conexión será desechada, de este modo se protege el servidor mail. Si un receptor de registro ha sido configurado, el intento de intrusión será además registrado. Guía de Usuario de los Firewalls D-Link...
Página 199
VPNs, Redes Virtuales Privadas, entregan medios para establecer Links seguros a grupos. Es extendido sobre redes públicas vía la Aplicación de Encriptación y Autentificación, ofreciendo buena flexibilidad, protección efectiva, y eficiencia de costo en las conexiones sobre el Internet. Tópicos en esta parte incluyen: Introducción a VPN •...
CAPITULO VPN Básico 20.1 Introducción a VPN Hace un tiempo las redes corporativas eran islas separadas de conectividad local. Hoy en día la mayoría de las redes son conectadas entre sí por el Internet. Temas de protección de redes locales desde crimen basado en Internet e intrusión son resueltos por firewalls, sistemas de detección de intrusos, software anti-virus y otras inversiones de seguridad.
Página 201
- Podría alguno de ellos aceptar que sus confirmaciones de pedidos y entregas viajen a través de las manos de uno de sus competidores? - Difícilmente. Guía de Usuario de los Firewalls D-Link...
–decriptación, para volver a el texto sin formato original. Los algoritmos de Encriptación pueden ser clasificados en tres tipos – simétrico, asimétrico, Encriptación híbrida. Guía de Usuario de los Firewalls D-Link...
Página 203
Blowfish. • – Una medida bloqueada de 128-bit con longitudes de clave de 128-256 bits, una sonido alternativo al período DES. La implementación del VPN de firewall D-Link soporta todos los algoritmos anteriores. Guía de Usuario de los Firewalls D-Link...
Página 204
La clave resultante es común para ambos lados, y puede ser utilizada como una clave secreta compartida para la encriptación simétrica. De tal modo, Guía de Usuario de los Firewalls D-Link...
Página 205
Encriptación Asimétrica; esta no puede ser imitada por nadie más, y el remitente no puede rechazar fácilmente el mensaje que ha sido firmado. El procedimiento de producir una firma digital trabaja como a continuación: Guía de Usuario de los Firewalls D-Link...
Página 206
CA, para que un receptor pueda verificar que el certificado es real. El certificado digital es soportado por los Firewalls D-Link conforme al X.509 estándar. Guía de Usuario de los Firewalls D-Link...
Soporta la configuración a clientes roaming? ◦ ¿ Puede el firewall inspeccionar y registrar el tráfico que pasa dentro y fuera del VPN? ◦ ¿ Puede la configuración añadir puntos de fallo a la conexión Internet? Guía de Usuario de los Firewalls D-Link...
Requiere esto una configuración adicional al firewall o anfitriones participantes en el VPN? En los firewalls D-Link, la Puerta de enlace de Seguridad VPN es integrada en el firewall mismo. La razón de este diseño puede ser encontrada en el análisis de escenario presentado a continuación.
Página 209
Entre el Firewall y la Red Interna (Figura 20.3) ♦ Beneficios Soporta clientes roaming • No se necesita información especial de routing en el firewall • El firewall puede proteger la Puerta de Enlace de Seguridad • ♦ Inconvenientes Guía de Usuario de los Firewalls D-Link...
Página 210
El firewall no puede inspeccionar o registrar el texto sin formato desde el VPN • Se necesitan añadir rutas especiales al firewall o a todos los clientes internos • participantes en el VPN El soporte para clientes roaming es muy difícil de conseguir • Guía de Usuario de los Firewalls D-Link...
Página 211
♦ Beneficios El firewall puede proteger el subsistema de Puerta de Enlace de Seguridad • El firewall puede inspeccionar y registrar el texto sin formato desde el VPN • Soporta clientes roaming • Guía de Usuario de los Firewalls D-Link...
Página 212
Esta solución entrega el mas alto nivel de funcionalidad & seguridad y es elegida por los diseños D-Link. Todos los modos normales de operación son soportados y todo el tráfico debe ser inspeccionado y registrado por el firewall.
CAPITULO Planificación VPN 21.1 Consideraciones de Diseño VPN ”Una cadena no es nunca más fuerte que su eslabón más débil”. Un agresor que desea hacer uso de una conexión VPN no intentará romper la Encriptación VPN, ya que esto requiere grandes cantidades de cálculos y tiempo. mas bien, él/ella verá...
Es también importante recordar que las mismas restricciones colocadas en los computadores de hogar deben ser colocadas también el los computadores portátiles y de hogar que acceden a la red corporativa. Actualmente, las restricciones más altas deben ser colocadas en los clientes roaming. Guía de Usuario de los Firewalls D-Link...
Página 215
Esto incluye carpetas de e-mail cache. Actualmente, puede ser lo mejor si el mail es leído a través la web gateway, ya que ésto deja la minima cantidad de archivos en almacenaje local. Guía de Usuario de los Firewalls D-Link...
Página 217
VPN gateway, ¿Cómo debe ser almacenada la clave? ¿Debe estar en un floppy? ¿Cómo una frase de paso a memorizar? ¿En una tarjeta electrónica? ¿Si es físicamente tomada, cómo debe ser administrada? Guía de Usuario de los Firewalls D-Link...
Antes de que IPsec pueda comenzar con la encriptación y transferencia del flujo de datos, se necesita una negociación preliminar. Esto es logrado con el Internet Internet Key Exchange Protocol (IKE). En resumen, un VPN basado en IPsec, tal como D-Link VPN, es realizado en dos partes: Internet Key Exchange protocol (IKE) •...
AH entrega solo autentificación pero no encriptación a los paquetes de datos. AH no entrega confidenciabilidad a la transferencia de datos y es raramente utilizado; éste NO es soportado por los Firewalls D-Link. Dónde o no modifica el protocolo IPsec al header IP original depende de los modos IPsec.
SAs. Negociación IKE El proceso de parámetros de negociación de conexión consiste principalmente en dos fases: IKE Fase-1 – Negocia cómo debe ser protegido IKE para futuras negociaciones. Guía de Usuario de los Firewalls D-Link...
Página 221
Cuando se utiliza el modo agresivo, algunos parámetros de configuración, tales como, Grupos Diffie-Hellman, no pueden ser negociados, resultando de mayor importancia el tener configuraciones “compatibles” en ambos extremos de comunicación. Guía de Usuario de los Firewalls D-Link...
Página 222
IKE crea una nueva SA para cada SA IPsec necesitada. Guía de Usuario de los Firewalls D-Link...
Página 223
IKE intercambia la clave de encriptación simétrica utilizando el protocolo Diffie-Hellman de intercambio de clave. El nivel de seguridad que éste ofrece es configurable especificando el grupo Diffie-Hellman(DH). Los grupos Diffie-Hellman soportados por el VPN D-Link son: DH grupo 1 (768-bit) •...
Página 224
En la fase de negociación IKE, la Autentificación a los extremos comunicativos es llevada a cabo antes de cualquier transferencia actual de datos, y la integridad del mensaje negociado debe ser asegurada por algoritmos matemáticos. Los VPNs D-Link incluyen varios métodos para lograr estas tareas críticas, ej., funciones hash para integridad de mensaje, claves pre-compartidas y certificados X.509 basado en algoritmos de...
Página 225
La clave pre-compartida es una frase de paso secreta, normalmente una serie de caracteres ASCII o un set de números Hexadecimales aleatorios. En los VPN D-Link, el usuario puede tanto ingresar una contraseña ASCII como utilizar generación de clave aleatoria automática.
Página 226
Esto significa que el firewall es incapaz de controlar el acceso a varias partes de las redes internas. El concepto de Listas de Identificación (Listas ID) presenta una solución a este problema. Una lista de identificación contiene una o más identidades (IDs) configurables, Guía de Usuario de los Firewalls D-Link...
Página 227
Con XAuth, IKE puede ahora autentificar los usuarios luego de que el dispositivo ha sido autentificado durante la fase-1 de negociación. Si es habilitado una combinación de nombres de usuario & contraseña será solicitada para añadir la autentificación del usuario. Guía de Usuario de los Firewalls D-Link...
La sucursal utiliza el span de red 10.0.2.0/24 con el IP de firewall externo ip branch wan. Se debe realizar la siguiente configuración tanto en el firewall de la oficina central como en el de la sucursal. Guía de Usuario de los Firewalls D-Link...
Página 229
Encapsulation Mode: Tunnel Algoritmos IKE Algorithms: Medium or High IPsec Algorithms: Medium or High → Authentication Pre-Shared Key: Seleccione la clave pre-compartida creada anteriormente, TestKey en este caso. Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 230
Este ejemplo describe cómo configurar un túnel IPsec, utilizado por clientes roaming (usuarios móviles) que se conectan a la oficina central para ganar acceso remoto. La red de la oficina central utiliza el span de red 10.0.1.0/24 con firewall IP externo ip wan. Guía de Usuario de los Firewalls D-Link...
Página 231
Ingrese lo siguiente: Name: Ingrese un nombre para la clave pre-compartida, SecretKey por ejemplo. Passphrase/Shared Secret: Ingrese una frase de paso secreta. Passphrase/Confirm Secret: Ingrese la frase secreta nuevamente. Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 232
Luego haga click en OK 3. Configurar Reglas Finalmente se necesita configurar las reglas para permitir el tráfico dentro del túnel. 14.3 Configuración de Reglas IP para detalles sobre cómo configurar las reglas. Guía de Usuario de los Firewalls D-Link...
PPTP para formar el tunneling de datos. PPTP utiliza puerto TCP 1723 para su control de conexión y GRE ( protocolo 47 IP) para los datos PPP. IP Header GRE Header Payload PPP Frame Tabla 22.1: Encapsulación PPTP Guía de Usuario de los Firewalls D-Link...
Página 234
Desde que la seguridad PPTP es basada en contraseña, la elección de una buena contraseña es de importante consideración. A pesar de la longitud de clave elegida (40, 56 o 128-bit), la verdadera intensidad de la clave es gobernada por lo aleatorio de la contraseña. Guía de Usuario de los Firewalls D-Link...
Página 235
UserDB User: Ingrese lo siguiente: Username: testuser Password: testpassword Confirm Password: testpassword Es posible configurar una IP estática para este usuario en la sección de configuración Por-usuario PPTP/L2TP. Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 236
Add Routes Proxy ARP: Dejar como predeterminado, o seleccionar específicamente la interfaz LAN si los IP:s en la fuente IP son parte de la red en la interfaz LAN. Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 237
Internet por ejemplo) una regla NAT debe ser configurada también. Cuando la configuración es guardada y activada, debe ser posible para los clientes PPTP conectarse al servidor PPTP en 10.0.0.1 en la interfaz WAN. Guía de Usuario de los Firewalls D-Link...
Página 238
PPTP. Es posible configurar cómo el firewall debe sentir actividad en la interfaz, y cuánto tiempo esperar sin actividad antes de que el túnel sea desconectado. Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
L2TP utiliza puerto 1701 UDP para su control y conexiones de datos. Autentificación L2TP Los Túneles PPTP y L2TP utilizan los mismos mecanismos de autentificación que las conexiones PPP tales como, PAP, CHAP, MS-CHAP v1 y v2. Guía de Usuario de los Firewalls D-Link...
Página 240
La red LAN es una red 192.68.1.0/24, y 10.0.0.0/24 es la red en la interfaz WAN. Los clientes L2TP se conectarán al servidor L2TP/IPsec en 10.0.0.1 en la interfaz WAN, con el fin de accede a recursos en la interfaz LAN. Guía de Usuario de los Firewalls D-Link...
Página 241
Ingrese lo siguiente: Username: testuser Password: testpassword Confirm Password: testpassword Es posible configurar una IP estática para este usuario en la sección de configuración IP por usuario PPTP/L2TP. Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 242
Esto es realizado bajo la etiqueta de Routing. Añada dinámicamente una ruta a la red remota cuando un túnel es establecido: Enable Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 243
Add Route Proxy ARP: Dejar como predeterminado, ó seleccione específicamente la interfaz LAN si la IP:s en la fuente es parte de la red en la interfaz LAN. Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 244
Internet por ejemplo) una regla NAT debe ser además configurada. Cuando la configuración es guardada y activada, debe ser posible para los clientes L2TP/IPsec el conectarse al servidor L2TP/IPsec en 10.0.0.1 de la interfaz WAN. Guía de Usuario de los Firewalls D-Link...
Página 245
Name: Ingrese un nombre para la clave pre-compartida, L2TPKey por ejemplo. Passphrase/Shared Secret: Ingrese la frase secreta. (Debe ser la misma configurada en el servidor L2TP/IPsec) Passphrase/Confirm Secret: Ingrese la frase secreta nuevamente. Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 246
El túnel IPsec necesita ser configurado para añadir rutas no-dinámicamente a la red remota cuando el túnel es establecido. Esto es realizado bajo la etiqueta de Routing. Añadir rutas dinámicamente a la red remota cuando un túnel es establecido: Disable Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 247
Luego haga click en OK Cuando la configuración es guardada y activada, el cliente L2TP/IPsec debe conectarse al servidor L2TP/IPsec, y todo el tráfico (a excepción del tráfico a 10.0.0.1) debe ser dirigido sobre la interfaz. Guía de Usuario de los Firewalls D-Link...
HTTPS, y más y más web sites utilizan el protocolo para obtener información del usuario confidencial, tal como números de tarjeta de crédito. Hay un número de versiones del protocolo SSL/TLS. Los firewalls D-Link soportan por completo SSLv3 y TLSv1.
Página 250
La Administración de Tráfico se preocupa del control y localización de la banda ancha de la red y minimización de posibles retrasos y congestiones en la red. Esta abarca la medida de la capacidad de red y modelos de tráfico para administrar recursos de red eficientemente y entregar los servicios de banda ancha que se necesitan.
Para tratar los problemas anteriores, los firewall D-Link entregan funcionalidad QoS y aplica límites y garantías al mismo tráfico de red, más que confiar en las aplicaciones/ usuarios para hacer elecciones.
Traffic Shaping, responsables del control de tráfico de red en puntos de obstrucción bien definidos. Un firewall D-Link tiene un traffic shaper extensible integrado. El traffic shaper trabaja midiendo y enfilando paquetes IP, en tránsito, con respecto a un número de parámetros configurables.
Una vista cercana a estas características es entregada en las secciones a continuación. 23.2 Pipes Un conducto es un concepto central en la funcionalidad de traffic shaping de los Firewalls D-Link y es la base de todo control de banda ancha. Los conductos son bastante Guía de Usuario de los Firewalls D-Link...
Página 254
0-5 pueden ser ajustados para prioridad basada en redes IP o aplicaciones. Correspondiente a estos 8 niveles, un conducto en un firewall D-Link contiene 4 preferencias – Low, Medium, High, and Highest – para clarificar la importancia relativa del tráfico.
Sin embargo, los firewalls D-Link tienen la habilidad de agrupar el tráfico dentro de cada conducto. Esto significa que el tráfico será clasificado y agrupado con respecto a la fuente o destino de cada paquete que pasa a través del conducto.
23.4 Escenarios: Configurando Traffic Shaping Como se ha visto en secciones previas, en los firewalls D-Link, todas las mediciones, limitaciones, garantizaciones y balance es llevado a cabo en conductos. Sin embargo un conducto por sí mismo no tiene sentido a menos que sea puesto en uso...
Página 258
Desde que estas dos reglas primarias son aplicadas a todos los servicios posibles, la preferencia fija ”Low” es definida en estos. Guía de Usuario de los Firewalls D-Link...
Página 259
LAN a WAN para todos los servicios(definidos por los Servicios objetivos ”all-services”): → → → Traffic Shaping Pipe Rules Pipe Rule: → General Ingrese lo siguiente: Name: ToInternet Service: all-services Address Filter Source Destination Interface: lan Network: lannet wannet Guía de Usuario de los Firewalls D-Link...
Página 260
Forward Chain: Seleccione ”std-in” desde la lista Available y colóquela en la lista Selected. Return Chain: Seleccione ”std-out” desde la lista Available y colóquela en la lista Selected. Preferencia Marque Use Fixed Precedence Seleccione Low desde la lista desplegable Y luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 261
Selected. Preferencia Marque Use Fixed Precedence Seleccione Medium desde la lista desplegable y luego haga click en OK. Click derecho en el item de regla ”HTTP” y haga click en Move to Top. Guía de Usuario de los Firewalls D-Link...
Página 262
Y luego haga click en OK. 2. Editar conductos ”std-out” → → Traffic Shaping Pipes std-out: Agrupamiento Grouping: Seleccione SourceIP desde la lista desplegable. Marque Enable dynamic balancing of groups Y luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 263
→ Traffic Shaping: Cadenas de Conducto Cadena de retorno Seleccione ”http-in” desde la lista Available y colóquela en la lista Selected en la parte TOP de ”std-in” y luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
La Figura 24.1 ilustra una vista lógica de un módulo SLB. En este módulo, 3 servidores construyen un banco de servidores, y un firewall D-Link actúa como un server load balancer. Server farm Una colección de servidores computacionales usualmente mantenidos por una empresa para lograr las necesidades de servicio por sobre la capacidad de un solo aparato.
Los firewalls D-Link son balanceadores de carga, los cuales pueden ser configurados para ejecutar la distribución de carga y monitoreo de funciones. 24.1.2 Características SLB...
Clientes con una dirección pública; no se necesita de una administración para los cambios reales de servidor, los cuales son transparentes a la red externa. Guía de Usuario de los Firewalls D-Link...
“salud” de los servidores por alguna verificación de conexión capa 3/ capa 4. 24.2.1 Modo de Distribución Los firewalls D-Link pueden ser configurados para trabajar para SLB con los siguientes modos: 1. Distribución por estado: El estado de cada distribución es grabado por el firewall. Una sesión completa podría ser transferida al mismo servidor para garantizar una confiable transmisión...
El ejecutar varias verificaciones para determinar la condición de “salud” de los servidores es uno de los beneficios más importantes del SLB. En las diferentes capas OSI, los firewalls D-Link pueden llevar a cabo ciertas verificaciones de nivel de red.
24.2.4 Paquetes que fluyen por SAT En los firewalls D-Link, la regla SAT habilitada de balance de carga es utilizada para traducir intercambio de paquetes entre un cliente y los servidores reales. Cuando una nueva conexión es abierta, la regla SAT es gatillada; ésta traduce la dirección IP del banco de servidores público a la dirección real de servidor.
24.3. Escenario: Habilitando SLB Este ejemplo describe cómo puede ser utilizado SLB para load balance conexiones SSH a dos servidores SSH detrás de un Firewall D-Link conectado a Internet con dirección IP ip ext, como muestra la Figura 24.2. Los dos servidores SSH tienen las direcciones IP privadas 192.168.1.10 y 192.168.1.11.
Página 271
Destination Interface: core Destination Network: ip ext Luego haga click en OK Nota Es posible configurar ajustes para monitoreo, método de distribución y stickiness. Pero en este ejemplo es utilizado el valor por defecto. Guía de Usuario de los Firewalls D-Link...
Además de una protección segura a la red, los firewalls D-Link pueden actuar como agentes intermediarios para servicios variados de Internet y así facilitar el uso de varios protocolos en nombre de los clientes. Los tópicos en esta parte incluyen: Clientes Miscelaneos •...
CAPITULO Clientes Misceláneos 25.1 Vista General Los firewalls D-Link ofrecen soporte a clientes de red misceláneos para DNS Dinámico y servicios similares. Actualmente, los proveedores de servicio que son soportados por el firewall incluyen: Dyndns.org • Dyns.cx • Cjb.net •...
Algunos proveedores de servicio Internet necesitan que los usuarios se registren vía URL cada vez antes de que cualquier servicio sea repartido. Actualmente, los firewalls D-Link ofrecen un registro automático de cliente a los siguientes proveedores: Telia – Una mejor compañía de servicio de telecomunicación en la región Nórdica •...
Página 276
El formato URL utilizado en el Poster HTTP Poster varían dependiendo del proveedor de servicio específico. Básicamente, un URL contiene Nombre de Usuario/Contraseña, nombre de dominio del proveedor, y otros parámetros. Por ejemplo, el formato URL para servicio DynDNS entregado por Dyndns.org es: http://MYUID:[email protected]/nic/update?hostname= MYDNS.dyndns.org Guía de Usuario de los Firewalls D-Link...
CAPITULO Servidor DHCP & Relayer 26.1 Servidor DHCP El servidor DHCP implementa la tarea de asignar y manejar direcciones IP desde piscinas de dirección especificadas para clientes DHCP. Cuando un servidor DHCP recibe una solicitud desde un cliente DHCP, este vuelve los parámetros de configuración (tal como una dirección IP, una dirección MAC, un nombre de Dominio y un contrato para la dirección IP) al cliente en un mensaje unicast.
TFTP. Este puede ser dejado en (None). Opciones de encargo Aquí usted puede añadir opciones de encargo al contrato DHCP. Es posible especificar el código, tipo y parámetro. Cuando termine, haga click en OK Guía de Usuario de los Firewalls D-Link...
Implementación VLAN. En este caso, dos interfaces VLAN denominado como ”vlan1” y ”vlan2” son utilizadas El firewall puede también instalar una ruta para el cliente cuando ha finalizado el proceso DHCP y obtenido una IP. Guía de Usuario de los Firewalls D-Link...
Página 280
→ General: General Name: vlan-to-dhcpserver Action: Relay Source Interface: ipgrp-dhcp DHCP Server to relay to: ip-dhcp → Add Route: Marque Add dynamic routes para este contrato relayed DHCP. Luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Este capítulo entrega una vista general del ofrecimiento del modo transparente e introduce cómo el modo transparente es implementado en los firewalls D-Link en detalle. Los ejemplos de configuración de distribuciones simples de red y escenarios a tiempo real más complicados pueden ser encontrados al final de este capítulo.
• entrante/saliente por las reglas de seguridad definida. Los firewalls D-Link pueden trabajar de dos modos: Modo Routing & Modo Transparente. En el Modo Routing normal, el firewall actúa como un router de Capa 3. Si el firewall es ubicado en una red por primera vez, o si hay cualquier cambio topológico dentro de los nodos, la configuración de routing debe ser examinada...
ARP Transaction State. Durante la transacción ARP, el firewalls aprenderá la información de dirección de fuente de ambos extremos desde la solicitud y respuesta. Dentro del Firewall D-Link, dos tablas son mantenidas utilizadas para almacenar tal información, llamada Content -Addressable Memory(CAM) Table y Capa 3 Cache respectivamente.
La interfaz WAN y LAN en el firewall deberán ser configurados para operar en Modo Transparente. Es preferible configurar direcciones IP en las interfaces WAN y LAN, cuando estas pueden mejorar el rendimiento durante el descubrimiento automático de anfitriones. Guía de Usuario de los Firewalls D-Link...
→ Rules IP Rules IP Rule: Ingrese lo siguiente: Name: HTTPAllow Action: Allow Service: http Source Interface: LAN Destination Interface: any Source Network: 10.0.0.0/24 Destination Network: 0.0.0.0/0 (all-nets) Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 287
Aquí se permite a los anfitriones en la red interna comunicarse con un servidor HTTP en DMZ. Además, se permite el servidor HTTP en DMZ para ser alcanzado desde el Internet. Pueden ser añadidas reglas adicionales para permitir otro tráfico. Guía de Usuario de los Firewalls D-Link...
Página 288
Interfaces: Select LAN and DMZ Luego haga click en OK 3. Routing → → → Routing Main Routing Table Switch Route: Ingrese lo siguiente: Switched Interfaces: TransparentGroup Network: 10.0.0.0/24 Metric: 0 Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 289
→ → Rules IP Rules IP Rule: Ingrese lo siguiente: Name: HTTP-WAN-to-DMZ Action: Allow Service: http Source Interface: WAN Destination Interface: DMZ Source Network: all-nets Destination Network: wan-ip Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
28.1 Vista General La Zona de Defensa es una característica en los firewalls D-Link, la cual permite al firewall controlar localmente los switches adjuntos. Esto puede ser utilizado como una contramedida para evitar que un computador infectado en la red local infecte a otros computadores.
Administrador Un administrador típico, como un firewall D-Link, ejecuta el protocolo SNMP para monitorear y controlar los dispositivos de red en el ambiente administrado. El administrador puede cuestionar estadísticas almacenadas desde los dispositivos controlados utilizando la secuencia comunitaria SNMP, la cual es como una id de usuario o contraseña para permitir el acceso a la base de datos de los...
28.3. Reglas Threshold Dispositivos administrados Los dispositivos administrados son obedientes a SNMP, tal como los switches D-Link. Estos almacenan datos administrados en sus bases de datos, conocidas como Management Information Base (MIB), y entrega la información bajo cuestionamiento al administrador.
Escenario: Ajustando Zona de Defensa El siguiente ejemplo simple ilustra los pasos necesarios para ajustar la función de Zona de Defensa en los firewalls D-Link. Se asume que todas las interfaces en el firewall ya han sido propiamente configurados. Ejemplo:...
Página 295
28.6. Escenario: Ajustando Zona de Defensa Figura 28.1: Un Escenario de Zona de Defensa. Un switch D-Link de modelo DES-3226S es utilizado en este caso, con una dirección de administración de interfaz 192.168.1.250 conectando a la dirección de interfaz del firewall 192.168.1.1.
Página 296
Name: HTTP-Threshold Service: HTTP Address Filter Source Destination Interface: (la interfaz de administración del firewal) any Network: 192.168.2.0/24(o el nombre objetivo) all-nets → Action: Action: ZoneDefense Host-based Threshold: 10 Luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Ejemplo de Configuración de Alta Disponibilidad • La Alta Disponibilidad D-Link trabaja añadiendo un firewall de respaldo a su Firewall existente. El firewall de respaldo tiene la misma configuración que el firewall primario. Este se mantendrá inactivo, monitoreando el firewall primario, hasta que este considere que el firewall primario no funcionará...
La Superfluidad de sus routers, switches, y conexión interna son también temas que necesitan ser dirigidos. Los clusters de Alta Disponibilidad D-Link no crearán un cluster de compartición de carga. Un firewall será activo, y el otro será inactivo. Los firewalls de respaldo múltiples no pueden ser utilizados en un cluster. Sólo son soportados dos firewalls, uno ”master”...
29.2 Cómo es logrado el Failover Esta sección incluye los siguientes tópicos: La dirección IP compartida y el mecanismo de failover • Latidos Cluster • La interfaz de sincronización • Guía de Usuario de los Firewalls D-Link...
Como la dirección IP compartida tiene siempre la misma dirección hardware, no habrá tiempo de latencia en la actualización de caches ARP de unidades apegadas al mismo LAN como el cluster cuando el failover ocurre. Guía de Usuario de los Firewalls D-Link...
El IP TTL es siempre 255.Si un firewall recibe un latido cluster con cualquier otro • TTL, es asumido que el paquete ha atravesado un router, y por lo tanto no puede ser del todo confiable. Guía de Usuario de los Firewalls D-Link...
Un cluster puede ser creado tanto instalando un par de nuevos firewalls, o convirtiendo firewalls ya instalados en miembros cluster. El firewall con la más alta versión numérica de su configuración asegurará siempre que la configuración es transferida al otro miembro cluster. Guía de Usuario de los Firewalls D-Link...
29.3.1 Planificar el cluster de Alta Disponibilidad Como un ejemplo durante toda esta guía, dos Firewalls D-Link son utilizados como miembros cluster. Para simplificar esta guía, sólo dos de las interfaces en cada miembro cluster son utilizadas para tráfico de red. Los siguientes ajustes son utilizados: Las interfaces LAN en el miembro cluster son ambas conectadas al mismo switch.
Página 305
Interfaces Ethernet Edit (WAN): IP Address: 10.4.10.1 Advanced/High Availability Private IP Address: wan-priv-ip Luego haga click en OK Cuando la configuración es guardada y activada, el firewall actuará como un miembro cluster HA. Guía de Usuario de los Firewalls D-Link...
Firewall, lo cual entregará todos los datos de registro en una vista resultante. Normalmente el firewall inactivo no enviará entradas de registro sobre el tráfico con vida, así que la salida se verá mucho como el camino que hizo con sólo un firewall. Guía de Usuario de los Firewalls D-Link...
El utilizarla para algo más: utilizarlas como Fuentes IPs en conexiones dinámicamente NATed ó publicando servicios en estas, causará problemas inevitablemente, como que los IPs únicos desaparecerán cuando el firewall al que pertenecen lo hagan. Guía de Usuario de los Firewalls D-Link...
Entrega información referente a la versión del núcleo del firewall en uso y una notificación copyright. Syntax: about • Ejemplo: Cmd> about D-Link DFL 2.01.00V Copyright Clavister 1996-2005. All rights reserved SSH IPSEC Express SSHIPM version 5.1.1 library 5.1.1 Copyright 1997-2003 SSH Communications Security Corp. Build : Jun 3 2005...
Página 312
- flush –limpia el cache ARP de TODAS las interfaces - flushif –Limpia el cache ARP cache de una interface Ejemplo: Cmd> arp wan ARP cache of iface wan Dynamic 194.2.1.1 = 0020:d216:5eec Expire=141 Guía de Usuario de los Firewalls D-Link...
Página 313
Al analizar los contenidos de los buffers, es posible determinar dónde tal tráfico está trabajando en el firewall completo. Syntax: • -- buffers Entrega una lista de los buffers más recientemente liberados. Ejemplo: Guía de Usuario de los Firewalls D-Link...
Página 314
Cmd> buff . Decodificación de número buffer 1059 lan:Enet 0050:dadf:7bbf->0003:325c:cc00, type 0x0800, len 1058 IP 192.168.123.10->193.13.79.1 IHL:20 DataLen:1024 TTL:254 Proto:ICMP ICMP Echo reply ID:6666 Seq:0 Certcache Despliega los contenidos del certificado cache. Syntax: certcache • Guía de Usuario de los Firewalls D-Link...
Página 315
- PING La conexión es una conexión ICMP ECHO - UDP La conexión es una conexión UDP - RAWIP La conexión utiliza un protocolo IP aparte de TCP, UDP o ICMP Syntax: conexiones • Guía de Usuario de los Firewalls D-Link...
Página 316
• dhcp [options] <interface> Options: • - renew – Fuerza a la interfaz a renovar su contrato - release – Fuerza a la interfaz a liberar su contrato Ejemplo: Cmd> dhcp -renew wan Guía de Usuario de los Firewalls D-Link...
Página 317
Despliega la regla de ajuste de filtro de política de routing dinámico y exportaciones actuales. Syntax: dynroute [options] • Options: • - rules – Despliega regla de ajuste de filtro de routing dinámico - exports – Despliega exportaciones actuales Guía de Usuario de los Firewalls D-Link...
Página 318
Este dispositivo es actualmente ACTIVE (reenviará tráfico) El par cluster HA está ALIVE HTTPPoster Muestra el httpposter urls configurado y estado. Syntax: httpposter [options] • Opciones: • - repost – Re-post todos los URLs ahora. Guía de Usuario de los Firewalls D-Link...
Página 319
• -- ifstat Muestra una lista de las interfaces instaladas en el firewall. Ejemplo: Cmd> ifstat Interfaces configuradas: Interface name IP Address Interface type -------------- ------------ ------------- core 127.0.0.1 Null (sink) 172.16.87.252 192.168.121.1 Guía de Usuario de los Firewalls D-Link...
Página 320
Enciende el IKE, si un IP es especificado sólo el tráfico ike de ese IP será mostrado. -- ikesnoop verbose [ipaddr] Habilita el verbose output, si un IP es especificado sólo el tráfico ike de ese IP será mostrado. Guía de Usuario de los Firewalls D-Link...
Página 321
Despliega puertas de enlace IPSec VPN conectadas y clientes remotos. Syntax: ipsecstats [options] • Opciones: • - ike Despliega SAs IKE - ipsec Despliega SAs IPsec (predeterminado) Despliega información estadística SA detallada Despliega información verbose Guía de Usuario de los Firewalls D-Link...
Página 322
Syntax: license [remove] • Ejemplo: Cmd> lic Contenidos del archivo de Licencia ---------------------------- Registration key: Bound to MAC address: ... Model: DFL-... Registration date: Issued date: Last modified: New upgrades until: Ethernet Interfaces: Guía de Usuario de los Firewalls D-Link...
Página 323
Syntax: memory • Netcon Muestra una lista de usuarios actualmente conectados al firewall vía protocolo de administración netcon. Syntax: netcon • Ejemplo: Cmd> netcon Currently connected NetCon users: Iface IP address port 192.168.123.11 39495 Guía de Usuario de los Firewalls D-Link...
Página 324
- ifacedown <iface>, Toma la interfaz especificada fuera de línea - ifaceup <iface>, Toma la interfaz especificada en línea - stop, Detiene el proceso OSPF - start, Inicia el proceso OSPF - restart, Reinicia el proceso OSPF Guía de Usuario de los Firewalls D-Link...
Página 325
Muestra la lista de conductos configurados; los contenidos de la sección de configuración de conductos, junto con las figures de rendimiento básicas de cada conducto. Syntax: pipes [options] <name> • Opciones: • Despliega estadísticas globales Guía de Usuario de los Firewalls D-Link...
Página 326
FWCore.cfg luego de que la verificación bi-direccional del período de tiempo de inactividad ha expirado (típicamente 30 segundos). Syntax: reconfiure • Ejemplo: Cmd> reconfigure Shutdown RECONFIGURE. Activo en 1 segundo. Shutdown reason: Reconfigurar debido a consola de comando Guía de Usuario de los Firewalls D-Link...
Página 327
- nonhost, No muestra rutas de un sólo anfitrión - tables, Despliega una lista de tablas routing nombradas (PBR) - lookup <ip>, Busca la ruta para la dirección IP entregada - v, Verbose Guía de Usuario de los Firewalls D-Link...
Página 328
-- ----- -------------- -------------- --------------- Allow lan: ... core: ... "HTTP" "HTTP-fw" Use: 0 FWLOG:notice SYSLOG:notice Scrsave Activa el salva pantallas incluídas con el núcleo del firewall. Syntax: scrsave • Ejemplo: Cmd> scr Activating screen saver... Guía de Usuario de los Firewalls D-Link...
Página 329
Muestra los contenidos del buffer OS sysmsg. Syntax: • sysmsgs Ejemplo: Cmd> sysmsg Contenidos del buffer OS sysmsg: Ajustes Muestra los contenidos de la sección de configuración de Ajustes. Syntax: • -- settings Shows available groups of settings. Guía de Usuario de los Firewalls D-Link...
Página 330
- Settings regarding the builtin web server HwPerformance - Hardware performance parameters IfaceMon - Interface Monitor RouteFailOver - Route Fail Over Default values - Intrusion Detection / Prevention Settings - PPP (L2TP/PPTP/PPPoE) Settings Misc - Miscellaneous Settings Guía de Usuario de los Firewalls D-Link...
Página 331
: 16 x 10040 = 156 KB Out-of-buffers ARP one-shot cache : Hits : 409979144 Misses : 186865338 Interfaces: Phys:2 VLAN:5 VPN:0 Access entries:18 Rule entries:75 Usar el archivo de configuración "FWCore.cfg", ver ... Guía de Usuario de los Firewalls D-Link...
Página 332
Syntax: userauth [options] • Options: • - l, despliega una lista de todos los usuarios autentificados - p, despliega una lista de todos los privilegios conocidos (nombres de usuario y grupos) Guía de Usuario de los Firewalls D-Link...
Página 333
ó si un nombre de usuario es información especificada concerniente a que ese usuario debe ser mostrado. Opciones: • - num, Despliega el número especificado de usuarios (predeterminado 20) Ejemplo: Cmd> userdb Configured user databases: Name users ------------- ------- AdminUsers Guía de Usuario de los Firewalls D-Link...
Página 334
Muestra información sobre los VLANs configurados. Syntax: • -- vlan List attached VLANs jemplo: Cmd> vlan VLANs: vlan1 IPAddr: 192.168.123.1 ID: 1 Iface: vlan2 IPAddr: 192.168.123.1 ID: 2 Iface: vlan3 IPAddr: 192.168.123.1 ID: 3 Iface: Guía de Usuario de los Firewalls D-Link...
Página 335
Iface lan, VLAN ID: 1 Iface : lan IP Address : 192.168.123.1 Hw Address : 0003:474e:25f9 Software Statistics: Soft received : 0 Soft sent: 0 Send failures: Dropped : 0 IP Input Errs : 0 Guía de Usuario de los Firewalls D-Link...
Página 336
Capitulo A. Referencia de Comandos de Consola Guía de Usuario de los Firewalls D-Link...