Manual de referencia
Panda GateDefender
Contenido
Introducción...................................................................................................................... 7 Introducción................................................................................................................ 7 Convenciones utilizadas en este documento .................................................... 7 Las zonas ................................................................................................................. 8 La interfaz de administración del dispositivo Panda GateDefender ............ 9 Acceder al dispositivo Panda GateDefender................................................... 15 Manual de referencia del dispositivo Panda GateDefender 5.50 .................... 16 El menú sistema.............................................................................................................. 19 El menú del sistema ................................................................................................ 19 Panel de control................................................................................................... 19 Configuración de red........................................................................................... 22 Notificaciones de eventos .................................................................................. 29 Actualizaciones .................................................................................................... 31 Soporte .................................................................................................................. 31 Consola de administración perimetral Panda................................................. 32 Contraseñas .......................................................................................................... 33 Consola Web ......................................................................................................... 33 Acceso SSH ............................................................................................................ 34 Configuración del interfaz ................................................................................. 35 Backup ................................................................................................................... 35 Apagar.................................................................................................................... 39 Contrato de Licencia ........................................................................................... 39
El menú Estado............................................................................................................... 40 El menú Estado......................................................................................................... 40 Estado del sistema............................................................................................... 40 Estado de red........................................................................................................ 41 Gráficos del sistema............................................................................................ 42 Gráficos del tráfico ............................................................................................. 43 Gráficos del proxy................................................................................................ 43 Conexiones ............................................................................................................ 43 Conexiones VPN.................................................................................................... 44 Estadísticas de correo SMTP .............................................................................. 44 Lista de correos.................................................................................................... 45 El menú Red ................................................................................................................... 46 El menú de red ......................................................................................................... 46 Editar hosts ........................................................................................................... 46 Enrutamiento........................................................................................................ 47 Interfaces .............................................................................................................. 50 El menú Servicios........................................................................................................... 53 El menú Servicios..................................................................................................... 53 Servidor DHCP....................................................................................................... 53 DNS dinámico........................................................................................................ 56 Motor de antivirus................................................................................................ 58 Servidor de fecha y hora .................................................................................... 60 Cuarentena de correo ......................................................................................... 60 Capacitación de spam ......................................................................................... 62 Prevención de intrusiones .................................................................................. 63
Alta disponibilidad............................................................................................... 65 Monitorización de tráfico ................................................................................... 67 Servidor SNMP....................................................................................................... 67 Calidad de servicio .............................................................................................. 68 El menú Firewall ............................................................................................................ 71 El menú del firewall ................................................................................................ 71 Elementos de configuración comunes.............................................................. 71 Redirección de puertos / NAT ........................................................................... 72 Tráfico de salida .................................................................................................. 74 Tráfico interzona ................................................................................................. 76 Tráfico VPN ........................................................................................................... 77 Acceso al sistema................................................................................................. 77 Diagramas de firewall ......................................................................................... 78 El menú Proxy ................................................................................................................ 79 El menú Proxy........................................................................................................... 79 HTTP....................................................................................................................... 80 POP3....................................................................................................................... 90 FTP ......................................................................................................................... 92 SMTP....................................................................................................................... 93 DNS ....................................................................................................................... 105 El menú VPN................................................................................................................ 107 Autenticación ......................................................................................................... 107 Usuarios ............................................................................................................... 107 Grupos.................................................................................................................. 109 Configuración ..................................................................................................... 111
El menú VPN ........................................................................................................... 112 Servidor OpenVPN.................................................................................................. 112 Configuración del servidor ............................................................................... 113 Cliente OpenVPN (Gw2Gw) .................................................................................. 117 IPsec ......................................................................................................................... 120 IPsec ..................................................................................................................... 120 L2TP ..................................................................................................................... 125 Certificados............................................................................................................. 126 Certificados......................................................................................................... 126 Autoridad de certificado .................................................................................. 128 Certificados revocados ..................................................................................... 129 Lista de revocación de certificados................................................................ 129 El menú Hotspot ........................................................................................................... 130 El menú Hotspot..................................................................................................... 130 Configuraciones del Hotspot................................................................................ 130 Interfaz de administración................................................................................... 135 Cuentas .................................................................................................................... 136 Lista...................................................................................................................... 136 Importar de CSV ................................................................................................. 140 Exportar desde CSV ........................................................................................... 141 Generador de cuentas....................................................................................... 142 Tickets ..................................................................................................................... 144 Tasas .................................................................................................................... 144 Ticket rápido ...................................................................................................... 147 Generador de tickets ........................................................................................ 147
Informes................................................................................................................... 148 Conexiones .......................................................................................................... 148 Saldo..................................................................................................................... 149 Registros de conexión ....................................................................................... 151 Exportar registros de conexión como CSV..................................................... 152 Transacciones SmartConnect........................................................................... 152 Configuración ......................................................................................................... 153 Principal .............................................................................................................. 153 SmartConnect ..................................................................................................... 156 API ........................................................................................................................ 159 Idioma .................................................................................................................. 160 Usuario del Hotspot............................................................................................... 165 Acceso de clientes al Hotspot ............................................................................. 166 El menú Registros e Informes ...................................................................................... 170 El menú Registros e informes .............................................................................. 170 Panel de control................................................................................................. 170 Monitorización de tráfico ................................................................................. 173 En vivo ................................................................................................................. 176 Acciones comunes.............................................................................................. 177 Resumen .............................................................................................................. 178 Sistema ................................................................................................................ 179 Servicio ................................................................................................................ 179 Firewall................................................................................................................ 179 Proxy .................................................................................................................... 180 Configuración ..................................................................................................... 180
Manual de referencia Servidor de timestamps seguros ..................................................................... 181 Glosario ........................................................................................................................ 183 Glosario.................................................................................................................... 183 Guía rápida...¿Dónde puedo...? .................................................................................... 185 Guía rápida. ¿Dónde puedo...? ............................................................................ 185 Hotspot ................................................................................................................ 185 Red ....................................................................................................................... 185 Varios ................................................................................................................... 185 Licencia de documentación GNU libre ........................................................................ 186 Licencia de documentación GNU libre............................................................... 186
vi
Introducción Introducción El Manual de referencia del dispositivo Panda GateDefender se divide en secciones que siguen la organización de los módulos de la aplicación.
El resto de esta sección contiene información básica sobre esta guía y sobre cómo realizar los primeros pasos con el dispositivo Panda GateDefender. Asimismo, presenta algunos conceptos importantes y describe las partes más relevantes de la GUI.
Convenciones utilizadas en este documento Para facilitar la lectura y mejorar la claridad de este documento, se utilizan diferentes convenciones:
Al mover el ratón sobre determinados términos, se muestra una Ventana de ayuda.
Esto es un cuadro para un ejemplo.
Los cuadros como este contienen ejemplos de configuraciones o instrucciones prácticas breves para la instalación rápida de alguna función o algún servicio descritos en el documento principal.
Además, se utiliza letra cursiva para resaltar objetos no interactivos o etiquetas dentro de la GUI web, mientras que una palabra (o palabras) subrayada con rayas indica un objeto que requiere interacción del usuario, es decir, hacer clic sobre un botón o abrir un hipervínculo.
Se utilizan advertencias para marcar elementos, acciones o tareas que requieren atención especial:
Advertencia:
si cambia este valor, el servicio se reiniciará.
Nota:
recuerde que puede modificarlo más tarde.
Sugerencia:
consejos sobre configuración de opciones
Un tema relevante o un ejemplo
En cuadros como este (“tema”), puede encontrar la explicación de algún tema que requiere una explicación no tan corta y que es relevante para el tema de la sección o para la configuración de alguna preferencia. Es posible que también incluya ejemplos o instrucciones rápidas. La parte inferior puede incluir uno o más hipervínculos a recursos en línea.
Es necesario hacer clic en todos los elementos de una secuencia como Barra de menú ‣ Firewall ‣ Redirección de puertos/DNAT ‣ Mostrar reglas del sistema, en la secuencia indicada, para llegar a una página o un elemento de configuración específicos. Este ejemplo muestra cómo llegar a la página que contiene la configuración de las reglas del sistema para el DNAT del firewall.
Por otro lado, en una secuencia como Barra de menú ‣ Firewall ‣ Redirección de puertos/DNAT ‣ [Lista de reglas] ‣ Editar, el signo [...] indica que existe un gran número de objetos (en este caso una lista de las reglas del firewall) entre los que hay que elegir uno para llevar a cabo la acción (Editar).
Estas secuencias pueden encontrarse dentro de los cuadros “vea también”, bajo un hipervínculo como el siguiente:
Véase también:
Configuración de red Barra de menú ‣ Sistema ‣ Configuración de red
Dentro del cuadro, el hipervínculo ofrece acceso directo a la documentación, mientras que la secuencia muestra debajo cómo llegar desde la página de inicio hasta la página donde se configura dicha funcionalidad.
También existen algunos términos que tienen un uso o un significado especiales en este manual y que se incluyen en el Glosario.
Las zonas Uno de los conceptos más importantes en los que se basa el dispositivo Panda GateDefender, la Zona, tiene su origen en la idea de IPCOP de proteger las redes a las que puede llegar agrupándolas en diferentes segmentos (la zona en sí) y permitiendo el intercambio de tráfico solamente en determinadas direcciones entre estos segmentos. Las cuatro zonas principales se identifican por un color y pueden agrupar varios servidores de estación de trabajo que tienen el mismo propósito.
ROJA: este es el llamado Segmento no confiable, es decir, la WAN. Comprende todas las redes fuera del dispositivo Panda GateDefender o, en términos generales, Internet, y es el origen de las conexiones entrantes. Esta es la única zona que no puede administrarse, sino solamente limitar u otorgar acceso desde y hacia ella.
VERDE: la red interna, es decir, LAN. Esta zona es la más protegida, está dedicada a las estaciones de trabajo y nunca debería accederse a ella de manera directa desde la zona ROJA. También es la única zona que puede acceder a la interfaz de administración de forma predeterminada.
NARANJA, la DMZ. Esta zona debería hospedar los servidores que necesitan acceder a Internet para proporcionar servicios (por ejemplo, SMTP/POP, SVN, HTTP, etc.). Sería aconsejable que la zona NARANJA fuera la única zona accesible directamente desde la zona ROJA. De hecho, si un atacante consigue entrar en alguno de los servidores, se encontrará atrapado dentro de la DMZ y no podrá acceder a la zona VERDE. Por tanto, será imposible que acceda a información importante de las máquinas locales dentro de la zona VERDE.
AZUL: la zona Wi-Fi, es decir, la zona que utilizarán los clientes inalámbricos para acceder a Internet. En general, las redes inalámbricas no son seguras, por lo que la idea es atrapar de forma predeterminada a todos los clientes conectados de manera inalámbrica dentro de su propia zona sin que accedan a ninguna otra zona excepto la ROJA.
Para que el dispositivo Panda GateDefender funcione correctamente, no es necesario configurar las zonas NARANJA y AZUL. De hecho, basta con definir la zona VERDE, porque la zona ROJA también se puede dejar sin configurar en algunos casos.
El dispositivo Panda GateDefender posee reglas del firewall predefinidas que prohíben que el tráfico de red fluya entre algunas de las zonas. Además de las cuatro zonas principales, existen dos zonas más que se encuentran disponibles, pero que se utilizan solamente en configuraciones avanzadas: la zona de clientes OpenVPN (a la que a veces se la llama VIOLETA) y la zona HA. Estas son dos zonas especiales que se utilizan como redes para los usuarios remotos de OpenVPN que deberían conectarse al dispositivo Panda GateDefender
y
para
el
servicio
HA.
De
forma
predeterminada,
utilizan
las
redes
192.168.15.0/24
y
192.168.177.0/24, respectivamente, por lo que, si tiene previsto utilizar alguno de estos servicios, no debería utilizar dichos rangos de red en las zonas principales. De lo contrario, esas redes se solaparían y es posible que provoquen efectos no deseados. Sin embargo, pueden cambiarse los rangos de IP de estas dos zonas durante la configuración de los servicios OpenVPN o HA.
A cada zona le corresponde una interfaz (red) y una dirección IP. La interfaz es el puerto (Ethernet o inalámbrico) a través del cual fluye el tráfico de red hacia la zona, por lo que la interfaz ROJA es el puerto a través del cual usted puede acceder a la zona ROJA y a Internet. La dirección IP de la interfaz es la IP. Por ejemplo, la configuración de fábrica para la zona VERDE es la red
192.168.15.0/24, por lo que a la interfaz VERDE le corresponderá la IP 192.168.0.15, a la que se llama GREENIP. Véase también:
Alta disponibilidad Para obtener una descripción de la “alta disponibilidad”.
VPN Para obtener una descripción de OpenVPN.
La interfaz de administración del dispositivo Panda GateDefender La GUI del dispositivo Panda GateDefender ha sido concebida para que resulte fácil de usar, y se compone de cinco partes principales: el encabezado, la barra de menú principal, el submenú, el área principal y el pie de página. A continuación se puede ver una captura de pantalla de muestra del módulo Servicio.
El encabezado
El encabezado de la página contiene el logotipo de Panda y la versión del dispositivo Panda GateDefender en la parte izquierda, mientras que en la parte derecha aparecen dos enlaces: uno para cerrar la sesión en la GUI y otro para acceder a la documentación en línea, que depende del contexto (es decir, desde cada página se mostrará la ayuda correspondiente). Esta parte es estática y no cambia.
El pie de página
El pie de página se encuentra al final de la página. Se compone de dos líneas de texto con algo de información sobre el dispositivo Panda GateDefender en ejecución. La línea superior muestra (Estado:) si un enlace activo está conectado o conectándose y cuál es (si hay más de un enlace activo definido). También muestra el tiempo transcurrido (Tiempo en línea:) desde la última vez que se estableció la conexión y el tiempo en línea de la máquina, que se presenta como el resultado del comando uptime, es decir, el tiempo transcurrido desde el último inicio, el número de usuarios y la carga media. Al cambiar de página, se actualiza la información. La última línea muestra la versión de la aplicación junto con el paquete de implementación y los derechos de autor, así como un enlace al sitio web de Panda.
La barra de navegación principal
La barra de navegación principal, situada justo debajo del encabezado, es una barra de menú con un fondo de color negro una línea azul en la parte inferior que muestra todas las secciones disponibles del dispositivo Panda GateDefender. Al hacer clic en uno de los módulos (por ejemplo, Servicios), su fondo se vuelve azul, para enfatizar el módulo que está abierto actualmente. Al hacer clic sobre un elemento del menú, el submenú a la izquierda de la página y el título en la parte superior del área principal cambian, ya que dependen del contexto. De forma predeterminada, la GUI se abre en el menú Sistema.
El submenú
El submenú aparece sobre el lado izquierdo de la GUI y cambia dependiendo del módulo seleccionado en la barra del menú. Aparece como una lista vertical de elementos en los que se puede hacer clic para cambiar el contenido del área principal y para acceder a todas las funciones incluidas en dicho módulo del dispositivo Panda GateDefender.
El área principal
El área principal contiene toda la información y las configuraciones correspondientes a la selección actual de la combinación menú/submenú. Algunas de las páginas (por ejemplo, el Panel de control o partes de los módulos Servicio y Registros) son simplemente informativas y muestran el estado actual del dispositivo Panda GateDefender de manera gráfica o textual. En este último caso, se presenta el resultado de los comandos de Linux en pantalla. Sin embargo, la gran mayoría de las páginas muestran una tabla que contiene información diversa sobre las preferencias actuales configuradas y permite modificar o eliminar elementos y preferencias
existentes o añadir nuevos. Los servicios especialmente elaborados como, por ejemplo, el proxy HTTP o el firewall contienen tantas opciones de configuración que no basta una sola página para presentarlas todas, por lo que las configuraciones disponibles se agrupan y se organizan en pestañas.
Dentro de las pestañas, a menudo las opciones de configuración se agrupan en uno o más cuadros, que agrupan ajustes relativos a una misma parte de la configuración general.
La Interfaz de administración del Hotspot
La única excepción al diseño de la GUI del dispositivo Panda GateDefender es la Interfaz de administración del Hotspot, que se muestra a continuación en la captura de pantalla. No tiene ningún pie de página, presenta el submenú bajo la barra de menú principal y en el extremo derecho de la barra de menú incluye un enlace Menú principal que permite volver al menú principal.
Cabe destacar que, al hacer referencia a los elementos bajo la Interfaz de administración del Hotspot, suele omitirse la Barra de menú.
Los iconos
En las páginas presentadas por el dispositivo Panda GateDefender se utilizan muchos iconos para indicar acciones que pueden realizarse con rapidez o dar algún significado a las configuraciones que se muestran.
Interruptores Los interruptores se utilizan para activar o desactivar completamente un servicio y se encuentran en la parte superior del área principal. El interruptor gris indica que el servicio se encuentra desactivado e inactivo, y en el área principal no se muestra ninguna preferencia ni ninguna opción de configuración. Al hacer clic en el interruptor, se inician e inicializan los servicios y los demonios necesarios para su correcto funcionamiento. Al cabo de unos segundos, el interruptor se vuelve azul y aparecen todas las opciones de configuración. Para desactivar el servicio, haga clic de nuevo en el interruptor. Esto hace que todos los demonios se detengan, que el interruptor se vuelva gris y que desaparezcan las configuraciones.
Políticas Estos iconos se encuentran en aquellos servicios que precisan de algún tipo de política de acceso o control de tráfico, por ejemplo, las reglas del firewall o las especificaciones del proxy. Cada vez que un paquete coincide con una regla, se aplica la política especificada para dicha regla, y se determina si el paquete puede pasar o no y cómo se produce dicho paso.
aceptar el acceso sin restricciones.
permite el acceso pero solamente después de que los paquetes hayan pasado las IPS de manera positiva. Esta política solo se encuentra disponible dentro de las reglas del firewall.
bloquea los paquetes y los descarta.
bloquea los paquetes, pero se envía una notificación al origen.
acepta las reglas de manera parcial. Esta opción solo se encuentra en el encabezado de una lista de políticas. Permite identificar enseguida que algunas de las políticas de la lista han sido aceptadas y otras rechazadas, como, por ejemplo, en Barra de menú ‣ Proxy ‣ HTTP ‣ Filtro de contenido.
Otros iconos Iconos adicionales que pueden encontrarse en el dispositivo Panda GateDefender.
expande un panel dejando ver su contenido.
cierra un panel ocultando su contenido.
Barra de navegación En la mayoría de lugares donde aparece una lista larga de elementos, aparece una barra de navegación para facilitar el listado de los elementos, que se compone de varias celdas: Primera y Anterior a la izquierda, Siguiente y Última a la derecha, que contienen un número variable de celdas con los números de página. Al hacer clic en las diferentes celdas se puede acceder a la página indicada por el número, a la primera o la última páginas, o a la página anterior o a la siguiente.
Acciones comunes y tareas
Existen dos tipos de acciones que pueden realizarse dentro de la GUI: acciones sobre un único elemento de una lista de preferencias de configuración (es decir, una regla del firewall) y acciones globales para guardar, almacenar y aplicar todas las preferencias dentro de una lista, un cuadro o una página.
Acciones e iconos Estos iconos se encuentran dentro de la columna Acciones a la derecha de las diferentes tablas que aparecen en las páginas y, por regla general, muestran una lista de los elementos definidos, por ejemplo, las reglas del firewall o los usuarios de OpenVPN. Los iconos de acciones permiten ejecutar una tarea sobre el elemento de la lista a la que corresponden. Algunas acciones solo se encuentran disponibles en determinados tipos de lista:
y
indican el estado de un elemento, a saber, activado o desactivado, respectivamente. Puede cambiar el estado haciendo clic
en el icono. A continuación, puede aparecer un mensaje que le indica que reinicie el servicio, si es necesario, para que los demonios vuelvan a cargar la configuración y activen los cambios.
y
solamente se encuentran disponibles en listas en las que el orden es importante, por ejemplo, las reglas del firewall, y
permiten modificar el orden moviendo el elemento correspondiente hacia arriba
o hacia abajo
.
permite modificar el elemento actual. Al hacer clic en este icono, se abrirá el editor apropiado para dicho elemento.
hace que el elemento seleccionado se elimine de la lista y de la configuración. Aparecerá un mensaje que solicitará confirmación antes de que el elemento se elimine de forma permanente.
permite descargar el elemento (normalmente, un archivo).
se utiliza en lugares limitados, por ejemplo, en Barra de menú ‣ Servicios ‣ Capacitación de spam para probar la conexión de un elemento con un servidor remoto.
y
aparecen dentro de IPS (Barra de menú ‣ Servicios ‣ Prevención de intrusiones) y permiten registrar los paquetes
autorizados a pasar o bloqueados después de haber coincidido con una regla.
Acciones globales En la parte inferior de todas las páginas que permiten personalizar una o más opciones, existe la opción de Guardar y almacenar la nueva configuración en el disco o de cancelar la personalización que se ha realizado hasta el momento. En último caso, no se necesita ninguna acción adicional, ya que la configuración no ha cambiado. En el primer caso, sin embargo, es necesario reiniciar el servicio que se acaba de modificar, y quizás también otros servicios relacionados o dependientes, para que se vuelvan a cargar las nuevas preferencias y se puedan utilizar en la configuración en ejecución. Por motivos prácticos, si es necesario realizar esta acción, tras guardar la configuración se mostrará una notificación con un botón Aplicar en el que habrá que hacer clic para reiniciar el servicio.
Siempre que se utilice una Casilla de multiselección (por ejemplo, en Barra de menú ‣ Configuraciones del Hotspot), se podrá hacer clic sobre Añadir todos y Eliminar todos como un atajo para añadir o eliminar todas las entradas disponibles de la lista de elementos disponibles o los elementos seleccionados y activos, respectivamente.
Entradas múltiples en una opción de configuración En varios lugares se pueden introducir diversos valores para un solo elemento de configuración, por ejemplo, el origen o el destino de una regla del firewall. En esos casos, se muestra un área de texto o un menú desplegable. En el primer caso, es posible introducir un valor por línea, por ejemplo, una dirección MAC, un rango de red (en notación CIDR) o un usuario de OpenVPN. En el último caso, las posibilidades se limitan a varios valores predefinidos, que pueden seleccionarse manteniendo pulsada la tecla Control del teclado y haciendo clic en los valores que deseen seleccionarse.
Notación IPv4 y CIDR.
Una dirección IPv4 es una dirección de red cuya longitud es de 32 bits, divididos en cuatro octetos de 8 bits de longitud cada uno. En decimales, cada octeto puede asumir cualquier valor entre 0 y 255 (28= 256).
Al especificar un rango de red, la dirección IP del primer host de la red junto con la máscara de subred, o máscara de red para acortar, viene dada y define la cantidad de hosts disponibles en dicha red. La subred se define como la longitud del prefijo de red, es decir, la parte de la dirección que comparten todos los hosts de una red.
Existen dos posibilidades para indicar el par red/máscara de red:
explícitamente, es decir, ambas se indican en la notación decimal punteada. Por ejemplo:
red 192.168.0.0 máscara de red 255.255.255.0
Esta es una red que comienza en la dirección 192.168.0.0 con 256 hosts disponibles, es decir, el rango de red va de 192.168.0.0 a 192.168.0.255. Los tres primeros octetos de la máscara de red son 255, lo que muestra que no hay ningún host libre (o que esta parte de la dirección es el prefijo de red), mientras que el cuarto es 0, lo que significa que todos los hosts (256 - 0 = 0) se encuentran disponibles.
En notación CIDR, una manera más compacta de mostrar el rango de red, se indican los bits libres en lugar de los hosts libres. El mismo rango de red que se describe más arriba se expresa como:
192.168.0.0/24 Dicha notación muestra la longitud en bits de la parte compartida de la dirección IP. 24 significa que los tres primeros octetos (cada uno de 8 bits) son compartidos, mientras que el cuarto octeto está libre, lo que indica un número de hosts libres que es igual a 32 - 24 = 8 bits, es decir, 256 hosts.
Puede aplicarse el mismo razonamiento a una dirección IPv6, con la única diferencia de que las direcciones IPv6 tienen una longitud de 128 bits.
Acceder al dispositivo Panda GateDefender Existen diferentes maneras de acceder al dispositivo Panda GateDefender: La más intuitiva y sencilla es de utilizar la GUI basada en web. También existe un acceso basado en la consola mediante SSH y consola de serie, aunque solo se recomiendan para usuarios avanzados.
La GUI del dispositivo Panda GateDefender Sugerencia:
la dirección IP predeterminada del dispositivo Panda GateDefender es 192.168.0.15.
El acceso recomendado a la GUI del dispositivo Panda GateDefender es muy sencillo: inicie el navegador e introduzca la dirección GREENIP, con independencia de si esta es la primera vez que utiliza el dispositivo Panda GateDefender.
El navegador se redireccionará a una conexión HTTPS segura en el puerto 10443. Puesto que el dispositivo Panda GateDefender utiliza un certificado HTTPS autofirmado, el explorador podría solicitar que acepte dicho certificado durante la primera conexión. Después, el sistema le solicitará su nombre de usuario y contraseña. Especifique “admin” como nombre de usuario y proporcione la contraseña facilitada por el proveedor. En caso de haber personalizado el dispositivo Panda GateDefender, escriba la contraseña generada durante la instalación.
Después de introducir la contraseña, se muestra el Panel de control de la GUI del dispositivo Panda GateDefender, y es posible comenzar a explorar de inmediato la información disponible en dicha interfaz o continuar navegando y configurando el dispositivo. Lo que resta de este manual sigue el diseño de la barra de navegación principal: cada elemento de la barra de menú principal representa una sección diferente del dispositivo Panda GateDefender y se presenta en un capítulo independiente, con subapartados para cada uno de los elementos o las pestañas de los submenús.
Acceso basado en la consola El acceso basado en la consola al dispositivo Panda GateDefender solamente está indicado para usuarios que están familiarizados con la línea de comandos de Linux.
Existen dos posibilidades para acceder a la CLI: utilizar el acceso SSH o a través de la consola de serie. El acceso SSH está desactivado de forma predeterminada, pero puede activarlo en Barra de menú ‣ Sistema ‣ Acceso SSH. Por el contrario, el acceso a través de la consola de serie está activado de forma predeterminada en todos los dispositivos con los siguientes parámetros:
puerto: ttyS0
bit, bit de paridad, bit de detención: 8, N, 1 velocidad: 115.200 baudios
La conexión que utiliza la consola de serie necesita:
un programa de terminal adecuado, como minicom para máquinas con Unix/Linux o putty para MS Windows, una estación de trabajo con interfaz de serie, y un cable de módem nulo para conectar una estación de trabajo al dispositivo;
o
un programa de terminal, un adaptador de red serie a Ethernet, y un cable serie a Ethernet para conectar el dispositivo al adaptador.
Nota:
si la red no estuviera configurada correctamente, la consola de serie podría ser la única manera de acceder al dispositivo Panda GateDefender.
Manual de referencia del dispositivo Panda GateDefender 5.50 Esta documentación está sujeta a Copyright (c) 2011-2012 Panda Security SL. Se ha concedido permiso para copiar, distribuir y modificar este documento bajo los términos de la Licencia de documentación GNU libre, versión 1.2, o cualquier versión posterior publicada por Free Software Foundation; sin Secciones invariantes, textos de portada ni textos de contraportada. Se incluye una copia de la licencia en la Licencia de documentación GNU libre.
Contenidos:
Introducción
o o o o
Las zonas La interfaz de administración del dispositivo Panda GateDefender Acceder al dispositivo Panda GateDefender
El menú Sistema
o o o o o o o o o o o o o
Convenciones utilizadas en este documento
Panel de control Configuración de red Notificaciones de eventos Actualizaciones Soporte Panda Perimetral Management Console Contraseñas Consola Web Acceso SSH Configuración de GUI Backup Cierre Acuerdo de licencia
El menú Estado
o o o o
Estado del sistema Estado de red Gráficos del sistema Gráficos del tráfico
o o o o o
Enrutamiento Interfaces
Servidor DHCP DNS dinámico Motor de antivirus Servidor de fecha y hora Cuarentena de correo Capacitación de spam Prevención de intrusiones Alta disponibilidad Monitorización de tráfico Servidor SNMP Calidad de servicio
Elementos de configuración comunes Redirección de puertos/NAT Tráfico saliente Tráfico interzona Tráfico VPN Acceso al sistema Diagramas de firewall
HTTP POP3 FTP SMTP DNS
Servidor OpenVPN Cliente OpenVPN (Gw2Gw) IPsec Autenticación Certificados
El menú Hotspot
o o o o o o o o
Editar hosts
El menú VPN
o o o o o
Lista de correos
El menú Proxy
o o o o o
Estadísticas de correo SMTP
El menú Firewall
o o o o o o o
Conexiones VPN
El menú Servicios
o o o o o o o o o o o
Conexiones
El menú Red
o o o
Gráficos del proxy
Configuraciones del Hotspot Interfaz de administración Cuentas Tickets Informes Configuración Usuario del Hotspot Acceso de clientes al Hotspot
El menú Registros e informes
o o o
Panel de control Monitorización de tráfico En vivo
o o o o o o o o
Resumen Sistema Servicio Firewall Proxy Configuración Servidor de timestamps seguros
Glosario Guía rápida. ¿Dónde puedo...?
o o o
Acciones comunes
Hotspot Red Varios
Licencia de documentación GNU libre
El menú sistema El menú del sistema El menú del Sistema proporciona diferente información sobre el dispositivo Panda GateDefender y su estado, y permite definir la configuración de red y algunos modos de acceso (por ej.: vía SSH o para el soporte de Panda).
El submenú en el lado izquierdo contiene los siguientes elementos, que permiten realizar algunas tareas básicas de administración y monitorizar las actividades en ejecución del dispositivo Panda GateDefender.
Panel de control - vista rápida del sistema y del estado de las conexiones Configuración de red - configuración de red y de la interfaz de red Notificaciones de eventos - configuración de la notificación a través del correo electrónico o SMS Actualizaciones - gestión de actualizaciones del sistema Soporte técnico - formulario de contacto de soporte técnico Consola Perimetral - Información de registro de la Consola de administración perimetral Panda Contraseñas - configura las contraseñas del sistema Consola Web - una consola shell en el navegador Acceso SSH - permite activar/configurar el acceso SSH al dispositivo Panda GateDefender Configuración GUI - configuración del idioma de la interfaz Web Backup - respalda o restaura las configuraciones del dispositivo Panda GateDefender así como también restaura la configuración de fábrica
Cierre - cierre o reinicio del dispositivo Panda GateDefender Contrato de Licencia - copia del Contrato de Licencia del Usuario.
El resto de esta sección describe las diferentes partes que componen los elementos del menú del Sistema.
Panel de control El Panel de control es la página por defecto, la que se muestra en cada inicio de sesión. Contiene varias casillas (“complementos”) organizadas en dos columnas que proveen una vista rápida completa del sistema en ejecución y de su estado. La parte superior de cada casilla muestra el nombre de la misma. El Panel de control ha pasado por algunos cambios en su utilización y se han añadido nuevas funcionalidades para mejorar la interacción con el usuario. La información visible en pantalla se actualiza en intervalos regulares.
Aquí se describen los complementos disponibles y la información que muestran.
Complemento de información del sistema
Muestra diferente información sobre el sistema instalado. Generalmente muestra el nombre de host y el nombre de dominio del dispositivo Panda GateDefender en el título.
Dispositivo: El tipo de dispositivo.
Versión: La versión del firmware.
Kernel: El kernel actual en ejecución.
Tiempo en funcionamiento: El tiempo transcurrido desde el último reinicio.
Estado de actualización: Un mensaje que depende del estado del dispositivo Panda GateDefender:
“actualizado”. No hay actualizaciones disponibles:
“se necesita una actualización”. Se pueden instalar nuevos paquetes. Al hacer clic en el mensaje, aparece la página Actualizaciones, donde se puede revisar la lista de paquetes nuevos.
“Registro para empresas”. El sistema aún no se ha registrado en la Panda Perimetral Management Console. Al hacer clic en el mensaje, se abrirá la página Panda Perimetral Management Console, que presenta un formulario para completar el registro.
Mantenimiento: Los días restantes de validez del soporte de mantenimiento.
Acceso al soporte: si el equipo de soporte puede acceder o no al dispositivo Panda GateDefender. En el primer caso, también se muestra la fecha hasta la cual está permitido el acceso.
Este complemento también muestra los días restantes de validez de los módulos adicionales Panda Antivirus y Commtouch, si se han comprado.
Complemento de información del hardware
Muestra la información del hardware principal del dispositivo Panda GateDefender y la disponibilidad de los recursos. Toda la información se proporciona con el valor absoluto (de manera gráfica con una barra pequeña y de manera numérica al final de una línea) y el porcentaje de utilización. La única excepción es la carga de CPU, que solo muestra el porcentaje de utilización, tanto de manera gráfica como numérica.
CPU x: La carga del CPU, donde la x representa el número de CPU, para los dispositivos que tienen más de una CPU.
Memoria: La cantidad de memoria RAM utilizada.
Swap: La cantidad de espacio de intercambio del disco que se utiliza. Un porcentaje alto aquí normalmente significa que algo no está funcionando de manera correcta.
Disco principal: La utilización de la partición de root.
Temp: El espacio utilizado en la partición /tmp.
Disco de datos: la utilización de la partición /var.
Disco de configuración El espacio ocupado por la partición que contiene todos los servicios y la configuración del dispositivo Panda GateDefender.
Disco de registro La cantidad de espacio utilizado en la partición que contiene los registros.
Los valores finales, que muestran la disponibilidad del espacio de los discos, pueden diferir según el dispositivo, ya que los datos, el sistema y las particiones de registro pueden encontrarse en diferentes lugares.
Advertencia
Una partición en el disco duro (por ejemplo, disco principal, disco de datos, /var/log) nunca debe tener un uso del 95% o superior, ya que esto puede provocar errores de funcionamiento y pérdidas de datos.
Complemento de información del servicio
Este complemento muestra información acerca de los servicios más importantes instalados en el dispositivo Panda GateDefender, junto con su estado real. Se muestra el estado, ya sea ON u OFF de cada servicio, y un resumen de las tareas que se han realizado durante la última hora y los últimos días. Al hacer clic en el nombre del servicio, se expande o contrae la información adicional sobre las tareas llevadas a cabo por el servicio. Para los servicios en ejecución, existe la posibilidad de abrir en una nueva ventana los respectivos Registros en tiempo real. Por lo tanto, si un número dentro de los resúmenes parece extraño (por ej.: un número de correo electrónico rechazado que es el doble de lo normal) o no es común comparado con las actividades normales (por ej.: el IDS ha detectado algún
ataque), pueden controlarse los registros para buscar algún mensaje útil que se haya guardado. Los servicios que actualmente admiten este complemento son:
Detección de intrusos: El número de ataques que registra Snort.
Proxy SMTP: Estadísticas sobre los correos electrónicos procesados. La cantidad de correos electrónicos que se encuentran actualmente en la lista de sufijos, la cantidad de correos electrónicos recibidos y cuántos de ellos se limpiaron, la cantidad de virus encontrados y cuántos correos electrónicos se bloquearon.
Proxy HTTP: El número de pérdidas y coincidencias de squid y de los virus encontrados.
Proxy POP3: Estadísticas sobre los correos electrónicos recibidos, bloqueados y que contienen virus que pasaron a través del Proxy POP3.
Sugerencia
Los servicios inactivos se marcan con un mensaje DESACTIVADO en rojo.
Complemento de información de la red
Muestra la información sobre las interfaces de red del firewall y sobre el tráfico. La parte superior de este complemento muestra diferentes datos sobre las interfaces de red del dispositivo Panda GateDefender: Su nombre, tipo, enlace (Activado si una conexión está establecida, Desactivado si no) y estado (Activado si el dispositivo se encuentra activado, Desactivado si no), y el tráfico entrante y saliente. Los últimos dos datos se actualizan en tiempo real. Al marcar la casilla junto al nombre del dispositivo, este se muestra en los gráficos que aparecen debajo. El nombre del dispositivo aparece en un color según la zona que sirve.
La parte de abajo del complemento contiene dos gráficos: El primero muestra el tráfico entrante, mientras que el segundo muestra el tráfico saliente de cada una de las interfaces elegidas. El tráfico de cada interfaz aparece coloreado según la zona a la que pertenece. Las diferentes interfaces que sirven a la misma zona poseen diferentes matices. Los puentes que se construyen en un dispositivo se muestran en el mismo color del dispositivo. Ambos gráficos se actualizan en tiempo real, como ocurre con los datos de tráfico en la parte superior.
Sugerencia
Pueden seleccionarse y mostrarse hasta seis interfaces en los gráficos.
Complemento de información de las firmas
Este complemento muestra información sobre el estado real de los servicios que requieren la descarga de firmas que se instalan y activan en el dispositivo Panda GateDefender. En caso de que no se haya descargado ninguna firma ni se haya activado ningún servicio se mostrará el mensaje No se encontraron actualizaciones de firma recientes, de lo contrario el complemento presenta las firmas instaladas para los diferentes demonios y la marca de tiempo (fecha y hora) de la última descarga. La lista incluye las firmas para el antispyware, el antivirus, el filtro de contenido y los servicios de prevención de intrusiones.
Complemento de información del enlace
Este complemento muestra una tabla que detalla el estado de conexión de los enlaces. Se muestran el nombre, la dirección IP, el estado, la actividad, si se encuentra activado clic en la flecha circular
o no
, si está gestionado
o es manual
para cada uplink definido. Hacer
permite reconectar inmediatamente el enlace correspondiente. Es de particular interés el campo Estado de
cada enlace, que puede ser:
Detenido: No conectado.
Inactivo: No conectado.
Conectando: No conectado todavía, pero con una conexión en proceso.
Conectado o Activo: Se ha establecido la conexión y se encuentra en completo funcionamiento.
Desconectando: El uplink está cerrando la conexión. El dispositivo Panda GateDefender sigue haciendo ping sobre la puerta de enlace y muestra cuando se encuentra disponible.
Error: Hubo un error al conectar al uplink.
Error, reconectando: Hubo un error mientras se conectaba al uplink, pero el dispositivo Panda GateDefender vuelve a intentarlo.
Link no establecido: El enlace está conectado, pero se puede conectar con los hosts definidos en la configuración del enlace (Barra de menú ‣ Red ‣ Interfaces, opción Revisar si estos hosts son alcanzables en el Editor de enlaces activos) para comprobar la conexión. En otras palabras, el uplink no se encuentra en funcionamiento.
Uplink gestionado y manual.
Cada uplink puede funcionar tanto en modo gestionado, que es el modo por defecto, o modo manual. En modo gestionado, el dispositivo Panda GateDefender monitoriza y reinicia el uplink de manera automática según sea necesario. Si se desactiva el modo gestionado, el uplink debe activarse o desactivarse de manera manual: Esto implica que no habrá intento de reconexión automática si se pierde la conexión, pero se necesita hacer clic sobre Reconectar para reiniciar un uplink que no se encuentra en funcionamiento. Puede seleccionarse el modo de gestión de un uplink en Barra de menú ‣ Red ‣ Interfaces.
Mientras que un uplink debería gestionarse siempre para permitir una reconexión rápida si se pierde la conexión, el modo manual es útil para resolver problemas o probar las conexiones antes de establecerlas.
Configuración de red La configuración de las redes y de las interfaces de red que sirven a las zonas es rápida y fácil si se utiliza este asistente de 8 pasos. Es posible navegar de manera libre hacia adelante o atrás del paso, utilizando los botones > y también decidir cancelar las acciones que se han hecho hasta el momento en cualquier momento. Solamente se solicita que se confirmen las nuevas configuraciones en el último paso: En ese caso, se aplicarán todos los cambios que se han realizado. Tenga en cuenta que mientras se aplican las nuevas configuraciones, la interfaz Web podría no responder por un corto período.
El modo de enlace sigiloso
El modo de enlace sigiloso representa una nueva posibilidad para integrar a la perfección el dispositivo Panda GateDefender en una infraestructura de red existente sin que sea necesario modificar las reglas existentes de enrutamiento o firewall.
Para utilizar el modo de sigiloso, el dispositivo Panda GateDefender debe estar equipado con un mínimo de dos NIC que presten servicio a la misma zona, que puede ser VERDE, NARANJA o AZUL. Una de esas interfaces enruta todo el tráfico dirigido desde la zona hasta una puerta de enlace y, en la práctica, representa el “enlace” del dispositivo Panda GateDefender.
La presencia de una interfaz explícita designada como “enlace” permite diferenciar una dirección para el tráfico que sale de la zona a la que presta servicio el enlace sigiloso y filtrarlo utilizando el firewall saliente. Esta es la principal diferencia con el modo sin enlace (llamado anteriormente modo de puerta de enlace), en el que no hay posibilidad de filtrar el tráfico saliente y, por tanto, no se puede aplicar el control de aplicaciones.
Para utilizar el modo de enlace sigiloso, el firewall del dispositivo Panda GateDefender se debe configurar de un modo específico.
Las reglas de acceso al sistema se gestionan del modo normal. También se realiza del modo normal la configuración del reenvío de puertos y el NAT de destino. Sin embargo, puesto que la interfaz saliente se encuentra en la misma zona que la red interna, las reglas se aplicarán a ambos lados de la zona.
El NAT de origen no se aplica a las conexiones salientes en esta configuración, puesto que, de lo contrario, el comportamiento ya no sería transparente.
El firewall saliente se utiliza para todo el tráfico que fluye desde la zona a la que presta servicio el enlace sigiloso hasta el NIC designado como enlace, lo que permite aprovechar las capacidades del control de aplicaciones.
El firewall interzona, si se ha definido, se utiliza para el resto del tráfico entre las otras zonas. Si el enlace sigiloso se compone de tres o más interfaces y, por tanto, dos o más de ellas prestan servicio a la zona correspondiente, el firewall interzona también puede filtrar el tráfico entre esas zonas y las otras zonas.
A causa de la disponibilidad de este modo de enlace, se ha cambiado la GUI del asistente de configuración de red, en especial en la primera página del asistente, para aclarar las diferencias entre los distintos enlaces y las opciones de configuración disponibles para cada uno de ellos.
Los 8 pasos en los que se divide el asistente de configuración son:
1/8 - Elegir modo de red y tipo de enlace La primera página del asistente de configuración de red contiene dos cuadros: Modos de red, en el que elegir el modo operativo del enlace, y Tipo de enlace, donde seleccionar el enlace.
Modos de red El primer cuadro permite elegir el modo operativo del enlace utilizado por el dispositivo Panda GateDefender entre tres posibilidades que se excluyen mutuamente. Al seleccionar una de las opciones o pasar el ratón por encima, aparece una breve descripción.
Enrutada. Esta opción corresponde a los enlaces clásicos disponibles en el dispositivo Panda GateDefender, excepto para el modo de puerta de enlace.
Enlazada. El nuevo modo de enlace sigiloso. Sin enlace. Esta opción corresponde al modo que antes se llamaba modo de puerta de enlace.
Nota
Cuando se utiliza el modo Sin enlace, no se tienen en cuenta las reglas definidas en el firewall saliente, que filtra el tráfico que va desde el dispositivo Panda GateDefender hasta el enlace.
El cuadro siguiente solo aparece al seleccionar la opción Enrutada, puesto que en los otros casos el modo determina automáticamente la interfaz ROJA.
Tipo de enlace (zona roja) En el momento de la instalación, el dispositivo Panda GateDefender recibe una IP VERDE por defecto. Esta pantalla permite elegir el tipo de interfaz ROJA (es decir, el tipo de uplink) entre aquellas que admite el dispositivo Panda GateDefender.
ETHERNET ESTÁTICA La interfaz ROJA está en una LAN y tiene una dirección IP y una máscara de red fijas, por ejemplo, al conectar la interfaz ROJA a un enrutador simple, pero con la practicidad de que siempre podrá accederse al dispositivo Panda GateDefender en la misma dirección IP.
ETHERNET DHCP La interfaz ROJA recibe su configuración de red a través de DHCP (dinámico) de un servidor local, un enrutador, o un módem, es decir, la interfaz ROJA está conectada a un enrutador simple pero sin la necesidad de poseer una dirección fija.
PPPoE La interfaz ROJA se encuentra conectada a un módem ADSL. Solamente se necesita esta opción cuando el módem utiliza el modo de puente y solicita utilizar PPPoE para conectarse al proveedor. No debe confundirse esta opción con las opciones ETHERNET ESTÁTICA o ETHERNET DHCP, que se utilizan para conectar enrutadores ADSL que manejan PPPoE por sí mismos.
ADSL (USB, PCI)
La interfaz ROJA se conecta a un módem ADSL a través de un cable USB o PCI, no a través de un cable de Ethernet.
ISDN La interfaz ROJA es una conexión ISDN.
Módem ANALÓGICO/UMTS La interfaz ROJA es un módem analógico (conexión de acceso telefónico) o UMTS (teléfono móvil).
A la derecha de las opciones disponibles se muestra una pequeña casilla que recuerda la cantidad de interfaces de red disponibles en el sistema. La interfaz ROJA puede configurarse por completo durante el paso 4.
2/8 - Elegir zonas de red El dispositivo Panda GateDefender separa las redes conectadas a él en cuatro zonas principales, como se describe en esta sección. En este punto, las dos zonas más importantes (VERDE y ROJA) ya se han encontrado durante la instalación. Este paso permite activar una o dos zonas adicionales, dependiendo de los servicios que deba proporcionar el dispositivo Panda GateDefender: NARANJA (usada como la parte de red DMZ) y AZUL (usada como segmento para clientes inalámbricos). Su configuración completa será posible en el siguiente paso.
Nota
En el dispositivo Panda GateDefender, se reserva una interfaz de red para la zona VERDE y quizá se haya asignado otra a la zona ROJA, si la interfaz ROJA necesita una tarjeta de red. Esto podría limitar las opciones hasta el punto en el que no puedan activarse las zonas NARANJA o AZUL, debido a una falta de interfaces de red adicionales.
3/8 - Preferencias de red Este paso está relacionado con la configuración de la zona VERDE, si es necesario, y de cualquier zona seleccionada en el paso anterior. Se pueden configurar las siguientes opciones para cada una de las zonas activadas:
Dirección IP La dirección IP (como por ejemplo 192.168.0.1) de la interfaz, que no debe encontrarse en uso en la red.
Sugerencia
Se suele sugerir que el último octeto sea 1, ya que la interfaz reunirá el tráfico de la totalidad de la subred.
Recuerde también que, si se cambian las direcciones IP de un dispositivo Panda GateDefender, especialmente en un entorno de producción, quizá sea necesario realizar otros ajustes de configuración en otro lugar, por ejemplo, la configuración del proxy HTTP en las estaciones de trabajo. De lo contrario, los exploradores web no funcionarán correctamente.
Advertencia
Al configurar las interfaces de la zona VERDE, ¡asegúrese de no quedarse fuera de la interfaz web! Esta situación podría ocurrir al cambiar la dirección GREENIP por una que no sea accesible desde el segmento VERDE actual y luego guardar la configuración. En este caso, el único acceso al dispositivo Panda GateDefender es a través de la consola de serie.
Máscara de red Define la máscara de red de un menú desplegable que contiene las posibles máscaras (por ej.: 24 - 255.255.255.0).
Sugerencia
Todos los dispositivos conectados a la misma subred tienen la misma máscara de red para comunicarse correctamente.
Direcciones adicionales Aquí pueden añadirse a la interfaz direcciones IP adicionales para las diferentes subredes.
Interfaces Asigne una interfaz de red a una zona horaria, con las siguientes reglas:
1. 2.
Puede mapearse cada interfaz con solamente una zona y cada zona debe poseer al menos una interfaz. Cuando se asigna más de una interfaz a una zona horaria, esas interfaces se enlazarán y actuarán como si fueran una parte de un interruptor.
Para cada interfaz disponible se muestra la información siguiente:
Una casilla de color, que indica qué zona sirve la interfaz. Si no tiene color, significa que la interfaz no está asignada a ninguna zona. Puerto, el número de puerto. Enlace, muestra el estado actual por medio de iconos: conectado),
(el enlace está activo),
(no hay enlace o no hay ningún cable
(no hay información del controlador).
Descripción, la cadena de identificación PCI de la interfaz, tal como la devuelve lspci. La cadena se corta, pero puede verse moviendo el cursor sobre el ?.
MAC, la dirección MAC de la interfaz. Dispositivo, el nombre lógico del dispositivo.
Nota
El dispositivo Panda GateDefender maneja, de manera interna, todas las zonas como si fueran puentes, independientemente del número de interfaces asignadas. Por lo tanto, el nombre Linux para las interfaces es
brX y no ethX.
Por último, el nombre de host y el nombre de dominio del sistema pueden configurarse desde los dos cuadros de texto que se encuentran en la parte inferior de la pantalla.
Direcciones IP privadas
Se recomienda seguir el estándar descrito en el RFC 1918 (recién actualizado por el RFC 6761) y utilizar para la configuración de la zona solo las direcciones IP incluidas en los segmentos de red reservados para uso privado por la IANA, que son:
Desde 10.0.0.0 hasta 10.255.255.255 (10.0.0.0/8, 16.777.216 direcciones), desde 172.16.0.0 hasta 172.31.255.255 (172.16.0.0/12, 1.048.576 direcciones) y desde 192.168.0.0 hasta 192.168.255.255 ( 192.168.0.0/16, 65.536 direcciones) Esta opción evita cometer errores de resolución de DNS, ya que las direcciones IP que no están dentro de estos rangos probablemente han sido reservadas por otras organizaciones como IP públicas. Además, deben utilizarse diferentes rangos de IP dentro de los diferentes segmentos de red para cada interfaz, por ejemplo:
IP = 192.168.0.1, máscara de red = /24 - 255.255.255.0 para la VERDE IP = 192.168.10.1, máscara de red = /24 - 255.255.255.0 para la NARANJA IP = 10.0.0.1, máscara de red = /24 - 255.255.255.0 para la AZUL Nótese también que la primera y la última dirección IP de un segmento de red (generalmente .0 y .255) se reservan como la dirección de red y la dirección de transmisión respectivamente y no deberán asignarse a ningún dispositivo.
4/8 - Preferencias de acceso a Internet Este paso permite configurar la interfaz ROJA que se eligió en el paso 1, que se conecta a Internet o a cualquier otra red no es de confianza fuera del dispositivo Panda GateDefender.
Nota
Si se ha elegido el modo Enrutada en el paso 1/8, aquí solo se puede elegir la opción de puerta de enlace predeterminada.
Según el tipo de interfaz ROJA seleccionado, estarán disponibles diferentes opciones de configuración, según lo solicite cada tipo de interfaz. En la parte inferior de la página aparecen dos opciones que suelen estar disponibles, concretamente MTU y Ocultar la dirección MAC con, descritas más adelante, y la elección del DNS, disponible en casi todos los tipos de interfaz, que puede ser Dinámico o Manual: En último caso, debe proporcionarse de manera manual una dirección IP válida de un servidor DNS en el siguiente paso. Las otras opciones de configuración son:
ETHERNET ESTÁTICA La dirección IP y la máscara de red de la interfaz ROJA, así como también la dirección IP de la puerta de enlace por defecto, es decir, la dirección IP de la puerta de enlace que conecta al dispositivo Panda GateDefender con la Internet o con otra red que no es de confianza. Opcionalmente, se puede especificar la dirección Ethernet de hardware de la interfaz (dirección MAC).
ETHERNET DHCP Solo existe una opción disponible, la opción DNS.
PPPoE Para configurar PPPoE, rellene el formulario con el nombre de usuario y la contraseña asignados por el proveedor y con el método de autenticación. Opcionalmente, puede configurarse el servicio del proveedor y el nombre del concentrador, aunque por lo general no es necesario.
Sugerencia
Si duda entre seleccionar autenticación PAP o CHAP, elija la opción predeterminada.
ADSL (USB, PCI) Existen 3 subpantallas para esta opción.
1.
En la primera, seleccione el controlador apropiado para el módem del menú desplegable dentro de las opciones que se le ofrecen.
2.
En la segunda, elija el tipo de ADSL del menú desplegable entre las cuatro opciones: PPPoA, PPPoE, IP estática o DHCP.
3.
Finalmente, según la selección que usted haya hecho en los dos pasos previos, se requieren algunas de las siguientes configuraciones, que se pueden preguntar al proveedor de ADSL:
o o
Números VPI/VCI y el tipo de encapsulación el nombre de usuario y la contraseña asignados por el proveedor y el método de autenticación (si no está seguro, mantenga la configuración PAP o CHAP por defecto)
o o
la dirección IP y la máscara de red de la interfaz ROJA, la dirección IP de la puerta de enlace por defecto (requerida solamente para la IP estática).
Nota
Si se eligió PPPoE en el punto 2 más arriba, entonces la configuración es igual a la que se explica en el párrafo PPPoE.
ISDN Para configurar la conexión ISDN, es necesario el controlador del módem, los números de teléfono (el número del proveedor y el número para marcar), así como también el nombre de usuario y la contraseña asignados por el proveedor, y el método de autenticación (si no está seguro, mantenga la configuración por defecto de PAP o CHAP). También debe especificar si la dirección IP del DNS debe asignarse de manera automática o configurarse de manera manual.
Módem ANALÓGICO/UMTS Aunque el dispositivo Panda GateDefender es compatible con la mayoría de módems UMTS modernos, se requiere algo de cuidado cuando se utilizan junto con este dispositivo. Por un lado, algunos módems UMTS también son dispositivos de almacenamiento
masivo USB y generalmente registran dos dispositivos (p. ej., primer dispositivo
/dev/ttyUSB0
/dev/ttyUSB0, /dev/ttyUSB1): En este caso, el
es el módem, el segundo es el almacenamiento. Este tipo de módem puede causar
problemas al reiniciar el firewall porque el dispositivo Panda GateDefender intenta iniciarse desde el dispositivo de almacenamiento masivo USB. Por otro lado, algunas tarjetas SIM requieren un número de identificación personal (PIN) para funcionar, pero esto no es compatible. Para permitir que esas tarjetas funcionen con el dispositivo Panda GateDefender, el PIN debe eliminarse de la tarjeta.
Existen 2 subpantallas para esta opción.
1.
En la primera, especifique a qué puerto de serie se conecta el módem y si es un módem analógico o un módem UMTS/HSDPA.
Sugerencia
El dispositivo
/dev/ttyS0 se reserva para la consola de serie y,
por lo tanto, no se encuentra
disponible como puerto para módems.
2.
En la segunda, configure el rango de bits del módem, el número telefónico o el nombre del hotspot, el nombre de usuario y la contraseña asignados por el proveedor y el método de autenticación (si no está seguro, mantenga la configuración por defecto PAP o CHAP). También es necesario especificar el nombre del hotspot para los módems UMTS.
PUERTA DE ENLACE La dirección IP de la puerta de enlace - es decir, la dirección IP de la puerta de enlace que conecta al dispositivo Panda GateDefender a la Internet o a otra red que no es de confianza.
Las opciones comunes son:
MTU El tamaño MTU de los paquetes que se envían a través de la red.
Suplantar la dirección MAC con Especifique una dirección MAC personalizada para la interfaz ROJA. Se necesita esta configuración para un control de tolerancia de fallos apropiado de los dispositivos esclavos dentro de una configuración HA. Consultar Alta disponibilidad para obtener más información sobre la dirección ROJA en las configuraciones HA.
El tamaño MTU.
Aunque la gran mayoría de los ISPs utilizan un valor estándar de 1500 bytes, a veces el tamaño estándar MTU es demasiado alto. Si eso pasara, notará algún tipo de comportamiento extraño de la red, como por ejemplo, descargas que siempre se detienen después de un tiempo o conexiones que no funcionarán.
Si el ISP no utiliza un tamaño estándar MTU, es fácil descubrir cuál es el correcto enviando paquetes ICMP especiales con un valor específico que puede bajarse hasta que no se encuentren errores: En ese momento, el tamaño MTU será el correcto y deberá introducirse ese valor en las opciones de configuración.
Para enviar los paquetes icmp haga lo siguiente:
Regístrese en EFW y elija un host que puede alcanzarse (por ej.: el DNS del ISP, que siempre deberían poder alcanzarse) y haga un ping a ese host con el siguiente comando:
ping -c1 -M do -s 1460 (por favor consulte la página del manual ping(8) para más información).
Si el tamaño MTU 1460 es correcto, se recibirán las siguientes respuestas del ping:
PING 10.10.10.10 (10.10.10.10) 1460(1488) bytes de datos. 1468 bytes de 10.10.10.10: icmp_seq=1 ttl=49 tiempo=75,2 ms
Sin embargo, si el tamaño actual MTU todavía es demasiado grande para los paquetes del tamaño 1460, aparecerá el siguiente mensaje de error:
PING 10.10.10.10 (62.116.64.82) 1.461(1.489) bytes de datos. ping: sendmsg: Mensaje demasiado largo
Vuelva a intentarlo con diferentes tamaños de paquete (es decir, el valor tras la opción -s), hasta que encuentre el tamaño correcto y no se muestre ningún error. El valor que se muestra entre paréntesis en el resultado del comando ping es el tamaño MTU. En este ejemplo el resultado es 1460(1488), por lo tanto 1488 es el valor a seleccionar para el tamaño MTU.
Un valor MTU menor a 1500 puede causar problemas también en la Configuración OpenVPN y requiere que se ajuste alguna configuración allí.
5/8 - Configurar DNS Este paso permite definir hasta dos direcciones IP para el servidor DNS, salvo que se asignen de manera automática. En este caso, no se puede establecer ninguna opción de configuración y es seguro pasar a la siguiente. Si solo va a utilizarse un servidor DNS, debe introducirse la dirección IP dos veces. Se debe poder acceder a la dirección (o las direcciones) IP del DNS desde el dispositivo Panda GateDefender, de lo contrario, la resolución de la URL y del dominio no funcionará.
Ver también
Los cambios en la interfaz ROJA, es decir, el enlace, y el servidor DNS pueden modificarse posteriormente, por separado desde la otra configuración de red:
Editor de enlaces Barra de menú ‣ Red ‣ Interfaces ‣ [editar enlace]
6/8 - Configurar correo electrónico administrativo por defecto Aquí se realiza la configuración de una dirección de correo electrónico para un administrador global que utilizarán todos los servicios para enviar correos electrónicos. Entonces se utiliza la dirección de correo electrónico del administrador para enviar notificaciones en caso de que hubiere problemas o emergencias.Estas direcciones de correo electrónico las utilizarán las Notificaciones de eventos.
Existen tres campos a configurar:
Correo electrónico del administrador Una dirección de correo electrónico válida a la cual se enviarán los correos electrónicos del sistema.
Dirección de correo electrónico del emisor Una dirección de correo electrónico válida que aparece como la dirección del emisor. Una dirección personalizada para el emisor es útil si el receptor desea filtrar los mensajes que envía el dispositivo Panda GateDefender.
Dirección del smarthost El servidor SMTP a través del cual se enviará el correo electrónico.
Sugerencia
Aunque todos los campos pueden dejarse en blanco, es aconsejable proporcionar al menos una dirección de correo electrónico del administrador válida.
7/8 - Aplicar la configuración Este paso informa de que ha finalizado la configuración de la red y se ha recopilado toda la nueva configuración. Al hacer clic en el botón OK, aplicar configuración se guardarán las configuraciones y se aplicará la configuración al reiniciar todos los servicios y demonios necesarios.
8/8 - Fin En el último paso, se escriben todos los archivos de configuración en el disco, todos los dispositivos se vuelven a configurar y los servicios y demonios que dependen de la red (por ejemplo, el firewall y ntpd) se reinician según sea necesario. Todo el proceso puede tardar hasta 20 segundos, durante los cuales la conexión a la interfaz de administrador y a través del dispositivo Panda GateDefender puede no ser posible.
Después la interfaz de administración volverá a cargar de manera automática. Si la dirección de IPVERDE ha cambiado, se reiniciará la GUI en la nueva dirección IP. En este caso o en el caso de que haya cambiado el nombre del host, se generará un nuevo certificado SSL para identificar al nuevo host.
Nota
Si desea cambiar más adelante algunas de las preferencias dentro de la configuración de red (por ej.: el nombre del host o el rango de red de una zona), simplemente inicie la configuración de red, omita todos los pasos hasta llegar al que desea cambiar, edite los valores apropiados, proceda al último paso y finalmente guarde los cambios.
Notificaciones de eventos Siempre que se produzca un evento crítico en el dispositivo Panda GateDefender (por ejemplo, una partición se está llenando, o existen actualizaciones disponibles), existe la opción de recibir una notificación por correo electrónico de inmediato para adoptar medidas con el fin de resolver un problema si es necesario.
Los sistemas que presentan el Hotspot también utilizan SMS para la activación de nuevas cuentas o para la adquisición de nuevos tickets. Existen tres pestañas disponibles en la página: Configuración, Notificaciones por SMS y Eventos.
Configuración La pestaña por defecto sirve para configurar la notificación por correo electrónico:
Notificaciones por correo electrónico
Seleccione de un menú desplegable cómo se utilizará el sistema de notificaciones. Las opciones disponibles son:
notificar utilizando la dirección de correo electrónico predeterminada: la dirección de correo electrónico de administrador predeterminada (como se lo especificó en el asistente de instalación o en el paso 6 de Barra de menú ‣ Sistema ‣ Configuración de red).
notificar utilizando la dirección de correo electrónico personalizada: una dirección de correo electrónico alternativa a la que se enviará la notificación por correo electrónico. En este caso, deben configurarse tres opciones más, a saber:
Dirección del remitente de correo
La dirección de correo electrónico que aparece como emisor del correo electrónico.
Dirección del destinatario de correo
La dirección de correo electrónico a la que se entregará el correo electrónico.
Smarthost de correo
El servidor SMTP que se utilizará para enviar el correo electrónico de notificación.
no notificar: no se enviarán notificaciones.
SMS El hotspot utiliza la notificación por SMS para activar cuentas o tickets.
Este cuadro se divide en dos partes: en la parte superior es posible añadir paquetes de SMS, mientras que en la parte inferior se muestra información sobre el contingente de SMS:
Introduzca el código de activación... Para añadir un nuevo paquete de SMS, debe adquirirlo primero en la Panda Perimetral Management Console, tras lo cual se generará un código de activación. Ese código de activación debe introducirse en este cuadro de texto.
Activar Después de proporcionar un código de activación válido, al hacer clic en este botón se añadirá un contingente de SMS que se utilizará para enviar las notificaciones.
SMS disponibles El número de SMS que se encuentran a disposición.
SMS reservados El número de SMS que ya se han utilizado pero que todavía no se han entregado al receptor. Esto podría ocurrir por ejemplo si el receptor no se encontraba disponible.
Eventos Esta pestaña muestra una lista de todos los eventos que pueden producir un mensaje de notificación y permite configurar las acciones que deben realizarse cuando cada uno de los eventos tiene lugar. Justo encima de la lista aparece una barra de navegación pequeña y un campo de búsqueda. Este último se puede utilizar para filtrar solamente los elementos importantes.
La lista contiene tres columnas:
ID El código ABBCCCCD de ID de 8 dígitos del evento, que se crea de la siguiente manera:
A representa el número de capa, es decir, en qué componente del sistema ha tenido lugar el evento: 1 es el kernel, 2 es el propio sistema, 3 son los servicios, 4 es configlayer y 5 es la GUI.
BB es el número de módulo. CCCC es un número secuencial asignado al evento. D es la gravedad del evento, es decir, el grado de maldad del evento. Cuanto más bajo sea el número, peor será la gravedad: 0 es un evento crítico, 4-5 es un evento neutral, 9 es un evento positivo.
Descripción Una breve descripción del evento.
Acciones Las acciones que pueden tomarse para cada evento. Todas las notificaciones de correo electrónico están activadas de forma predeterminada (esto se muestra mediante el icono
). Para desactivar las notificaciones para un evento, haga clic en el
icono de correo de la fila de ese evento (esto cambia el icono a
). Para volver a activar la notificación más tarde, basta
con hacer clic nuevamente en el icono. Tras cambiar una acción, recuerde hacer clic en el botón Aplicar que aparece dentro del aviso verde encima de la lista de eventos.
Actualizaciones Desde aquí se realiza la gestión de las actualizaciones del software. Es posible comprobar manualmente en cualquier momento si hay paquetes actualizados disponibles o programar una comprobación periódica.
En esta página hay dos casillas: Una con el estado actual del sistema y otra para programar una revisión periódica de actualizaciones.
Estado
El cuadro Estado indica si el sistema necesita actualizaciones o no. Si el sistema necesita actualizarse, se muestra una lista de los paquetes disponibles; si el sistema está actualizado, aparece el mensaje “Su dispositivo Panda GateDefender está actualizado”. Además, algunos mensajes adicionales indican la última fecha y hora en que se comprobaron las actualizaciones y en que se llevó a cabo la última actualización. Las siguientes opciones se encuentran disponibles:
Buscar nuevas actualizaciones Se inicia una revisión manual de paquetes actualizados y se enumera cualquier paquete que pueda actualizarse. Pueden elegirse paquetes individuales de la lista e instalarse.
Iniciar proceso de actualización AHORA Se inicia el proceso de actualización: El sistema descarga los paquetes actualizados y luego los instala, reemplazando a los viejos.
Nota
Para revisar si existen actualizaciones se necesita un mantenimiento válido, de lo contrario no aparecerá actualización alguna, aunque se encuentre disponible.
Programar la recuperación de la lista de actualizaciones
La casilla Programar permite configurar una tarea periódica de la cual se encarga el proceso cron, que recupera la lista de paquetes actualizados. Las opciones disponibles, que se excluyen mutuamente son Por hora, Diariamente, Semanalmente y Mensualmente. Al mover el ratón sobre el pequeño ? al lado de cada opción se visualiza una ventana de ayuda con el tiempo exacto en el cual se realizará la tarea.
Soporte En esta página es posible administrar solicitudes de asistencia para el soporte de Panda.
Nota
Para poder enviar una solicitud de asistencia, el sistema debe estar registrado en la Panda Perimetral Management Console. En caso contrario, se mostrará el mensaje “Actualmente no existen ejecuciones de mantenimiento disponibles”.
La página se divide en dos cuadros con diferentes propósitos: El primero contiene un enlace para abrir la página de inicio del soporte, mientras que en el segundo es posible conceder acceso SSH al equipo de soporte.
Visite el sitio web de soporte
Este cuadro solo contiene un hiperenlace a la página de inicio del soporte.
Visite nuestro sitio web de soporte
Haciendo clic en este enlace, se abrirá una pestaña nueva en el navegador, donde es posible obtener instrucciones sobre cómo rellenar una solicitud de asistencia para el equipo de soporte.
Acceso para el equipo de soporte de Panda
Si lo desea, se puede conceder acceso al firewall a través de SSH, una conexión segura y encriptada que permite que un miembro del personal de soporte inicie sesión en el dispositivo Panda GateDefender, compruebe su configuración y lo inspeccione para averiguar dónde está el problema. El cuadro contiene un mensaje informativo con el estado del acceso, que puede ser RECHAZADOo PERMITIDO. Cuando el estado es RECHAZADO, se muestra un botón en la parte inferior del cuadro:
Permitir acceso
Haga clic en este botón para conceder al equipo de soporte 4 días de acceso al dispositivo Panda GateDefender. Cuando el acceso del equipo de soporte está permitido, un nuevo mensaje aparece bajo el mensaje de estado, Acceso permitido hasta:, seguido de la fecha y hora en que se revocará el acceso al dispositivo Panda GateDefender. Además, hay dos botones en la parte inferior del cuadro.
Rechazar acceso Revocar inmediatamente el acceso al dispositivo Panda GateDefender.
Acceso extendido durante 4 días más Si el equipo de soporte necesita más tiempo para inspeccionar el dispositivo Panda GateDefender, un clic en este botón amplía el acceso cuatro días más.
Nota
Si está activado, la clave SSH pública del equipo de soporte se copia en el sistema, y el acceso se otorga a través de dicha clave. El equipo de soporte no se autenticará con nombre de usuario/contraseña en el dispositivo Panda GateDefender. La contraseña raíz del dispositivo Panda GateDefender nunca se divulga de ninguna manera al equipo de soporte.
Consola de administración perimetral Panda La Consola perimetral, abreviación para la Consola de administración perimetral Panda, es la solución de Panda para la monitorización, la gestión y la actualización fácil y centralizada de todos los sistemas registrados del dispositivo Panda GateDefender, con solo unos clics.
Esta página se encuentra organizada en dos etiquetas, a saber, Suscripción y Acceso remoto.
Suscripción Si todavía no se ha registrado el firewall a la Consola de administración perimetral Panda, se muestra el formulario de registro, que puede llenarse antes de enviar la solicitud de registro. Luego de que se haya completado el registro, la etiqueta Suscripción muestra tres casillas:
Información del sistema
Datos básicos sobre el dispositivo Panda GateDefender: número de serie, código de activación, modelo del dispositivo y paquete de mantenimiento elegido.
Estado del registro
Un resumen del estado de soporte de la Panda Perimetral Management Console: nombre del sistema, organización para la cual se ha registrado el dispositivo Panda GateDefender, ID del sistema y fecha de la última actualización.
Sus claves de activación
Se necesita al menos una clave de activación válida (es decir, que no haya vencido) para recibir actualizaciones y para participar de la Consola de administración perimetral Panda. Existe una clave para cada canal de soporte, pero generalmente una sola que se muestra con el tiempo de validez y los días de mantenimiento que quedan. Las claves caducadas se identifican por tener el nombre de canal tachado y por mostrar la cadena caducada en la columna Días restantes correspondiente.
Acceso remoto La etiqueta de Acceso remoto permite elegir si puede accederse al dispositivo Panda GateDefender a través de la Consola de administración perimetral Panda y a través de qué protocolo. Para permitir el acceso, haga clic sobre el interruptor gris
en
la parte superior de la página: Se volverá azul y se podrá elegir entre dos opciones de acceso marcando la casilla:
Activar acceso HTTPS Se puede acceder al dispositivo Panda GateDefender a través de la interfaz web.
Activar acceso SSH Se permite el acceso al dispositivo Panda GateDefender a través de un shell seguro. Al activar esta opcilón se activa de manera automática Acceso SSH.
Contraseñas En esta página se pueden cambiar las contraseñas para cada uno de los tres usuarios por defecto al escribir cada contraseña nueva dos veces y luego al presionar el botón correspondiente a Cambiar contraseña:
Administrador el usuario que puede conectarse a la interfaz web para la administración.
Marcar Un usuario especial que solamente puede gestionar uplinks, con acceso limitado a la interfaz.
Root el usuario que puede iniciar sesión en la shell para la administración. El usuario que puede iniciar sesión en la shell para la administración. Se puede iniciar sesión a través de la consola de serie o de manera remota con un cliente SSH.
Sugerencia
Las contraseñas deben tener al menos 6 caracteres.
Consola Web La consola web proporciona un subprograma que emula un terminal dentro de la ventana del explorador, que actúa como CLI para realizar tareas administrativas.
Las funciones de la consola web son las mismas que se encuentran al iniciar sesión a través de una consola de serie o SSH. En la parte inferior izquierda del subprograma aparece un mensaje que muestra el estado de la consola: Conectado o Desconectado. Es posible salir en cualquier momento escribiendo exit en la consola y, a continuación, pulsando
Intro
en el teclado, como en cualquier
consola normal.
Si el estado es el de desconectado, haga clic nuevamente en el punto del submenú de la Consola Web para volver a conectarse. En la parte inferior derecha del subprograma aparecen dos hipervínculos:
Habilitar teclado virtual Al hacer clic en este enlace, aparecerá un subprograma de teclado debajo de la consola, que puede utilizarse para teclear y ejecutar comandos haciendo clic con el ratón en las distintas claves.
Nota
Cuando la consola web está desconectada, ese subprograma no se comunica con la consola.
Deshabilitar entrada Este enlace cambia la posibilidad de enviar una entrada del teclado a la consola web.
Sugerencia
Esta opción no tiene efecto alguno en el teclado virtual.
Acceso SSH Esta pantalla permite activar el acceso remoto SSH al dispositivo Panda GateDefender. Se encuentra desactivado por defecto y es la configuración recomendada. Existen dos casillas en la página: Configuraciones de acceso SSH y Claves de host SSH.
Configuraciones de acceso SSH
El acceso SSH se activa al hacer clic sobre el interruptor gris
. Se inicia el servicio SSH y, luego de unos pocos segundos,
se muestran algunas opciones de configuración:
Ejemplo SYS-1: tráfico tunelizado por SSH.
Suponga que un servicio como telnet (o cualquier otro servicio que pueda pasar a través de SSH) se encuentra en ejecución en un ordenador dentro de la zona VERDE, digamos el puerto 23 en el host myhost con la dirección IP 10.0.0.20. Para configurar un túnel SSH a través del dispositivo Panda GateDefender para acceder al servicio de manera segura desde fuera de la LAN, es decir, desde la zona ROJA. Aunque el acceso VERDE desde la interfaz ROJA no se recomienda por lo general, puede ser útil en algunos casos, por ejemplo durante la fase de prueba de un servicio.
1.
Active SSH y asegúrese de que puede accederse al host, es decir, configure el firewall en Barra de menú ‣ Firewall ‣ Acceso al sistema para que pueda accederse a myhost desde el exterior.
2.
Conéctese al dispositivo Panda GateDefender desde un sistema externo utilizando el comando ssh -N -f -L 12345:10.0.0.20:23 root@appliance en el cual tráfico,
-f
-N le dice a SSH que no ejecute comando alguno si no es para reenviar
hace que SSH se ejecute en segundo plano y
-L 12345:10.0.0.20:23
mapea el puerto del
sistema externo 12345 hacia el puerto 23 en myhost, como puede verse desde el dispositivo Panda GateDefender. 3.
El túnel SSH desde el puerto 12345 del sistema externo hacia el puerto 23 en myhost se encuentra ahora establecido. Ahora, en el sistema externo, es suficiente para telnet exportar el puerto 12345 en el host local para alcanzar myhost.
Protocolo SSH versión 1 Esto solamente es necesario para los clientes viejos SSH que no admiten versiones nuevas del protocolo SSH.
Advertencia
se desaconseja la activación de la versión 1 de SSH, puesto que ya no se ofrece mantenimiento para esta versión, que ha quedado obsoleta y contiene vulnerabilidades conocidas que usuarios malintencionados podrían aprovechar. Los clientes SSH actuales deberían utilizar siempre la versión 2 de SSH, que es más segura y fiable.
Permitir reenvío TCP Al marcar esta opción se permite que otros protocolos pasen a través del SSH. Consulte el ejemplo de uso SYS-1.
Permitir la autenticación basada en contraseñas Permite el inicio de sesión utilizando autenticación por contraseña.
Permitir la autenticación basada en la clave pública Permite el inicio de sesión con claves públicas. Las claves públicas de los clientes que pueden iniciar sesión utilizando autenticación de clave deben añadirse al archivo /root/.ssh/authorized_keys.
Guardar Haga clic en este botón en la parte inferior del cuadro para guardar la configuración de las cuatro opciones anteriores.
Nota
El acceso SSH se activa de manera automática cuando al menos una de las siguientes opciones es válida:
Se permite el acceso del equipo de soporte de Panda en Barra de menú ‣ Sistema ‣ Soporte.
Está activada la disponibilidad alta en Barra de menú ‣ Servicios ‣ Disponibilidad alta.
Está activado el acceso SSH en Barra de menú ‣ Sistema ‣ Consola perimetral ‣ Acceso remoto.
Claves de host SSH
En la parte inferior de la página, una casilla detalla las claves de host SSH del dispositivo Panda GateDefender que han sido generadas durante el primer arranque del servidor openSSH, junto con sus huellas digitales y su tamaño en bits.
Configuración del interfaz Aquí existen dos opciones de configuración para la GUI. La primera opción es la del idioma que se utilizará para los nombres de sección, las etiquetas y todas las cadenas a utilizarse en la interfaz Web y puede seleccionarse desde un menú desplegable. Los idiomas admitidos actualmente son: inglés, alemán, italiano, chino simplificado, japonés, portugués, ruso, español y turco.
La segunda opción es la de desplegar el nombre de host del dispositivo Panda GateDefender en el título de la ventana del explorador, que se activa al marcar la casilla Mostrar nombre del host en el título de la ventana.
Backup En esta sección se lleva a cabo la gestión de los backups: La creación de los backups de la configuración y sistema actual del dispositivo Panda GateDefender vuelve a una de estos backups cuando es necesario. Los backups pueden guardarse de manera local en el host del dispositivo Panda GateDefender, en un dispositivo USB o descargarse a una estación de trabajo.
También es posible restaurar la configuración a los valores de fábrica, crear copias de seguridad completamente automáticas y llevar a cabo otras tareas administrativas que estén relacionadas con los backups.
Esta sección se encuentra organizada en dos pestañas, Backup y Backups programados. La primera se utiliza para gestionar los backups manuales, mientras que la última se utiliza para configurar backups automáticos programados.
Backup En la pestaña Backup existen cuatro casillas que le permiten gestionar los backups manuales.
Conjuntos de backups
La primera casilla contiene una lista de los backups almacenados dentro del dispositivo Panda GateDefender, tanto las manuales como las programadas, una opción para crear un nuevo backup y la leyenda de los símbolos que acompañan a cada backup. Si se inserta un dispositivo USB en el dispositivo Panda GateDefender y se detecta, también se muestran los backups almacenados en él.
Al hacer clic en el botón Crear un nuevo backup, se abre un cuadro de diálogo en el cual se pueden seleccionar los datos a incluirse en el backup.
Configuración actual El backup contiene todas las preferencias de configuración, incluyendo todos los cambios y personalizaciones realizadas hasta el momento, o, en otras palabras, todo el contenido del directorio /var/efw.
Incluir volcado de la base de datos También se hará una copia de seguridad del contenido de la base de datos.
Advertencia
Los volcados de la base de datos pueden incluir datos confidenciales, por lo que debe asegurarse de que el backup se almacene en un lugar seguro cuando contenga un volcado de base de datos.
Incluir archivos de registro Incluye los archivos de registro actuales (por ej.:
/var/log/messages, pero no los archivos de registro de días
anteriores.
Incluir archivos de registro Incluir
también
archivos
de
registro
anteriores
que
han
sido
rotados,
como
por
ejemplo
/var/log/messages.YYYYMMDD.gz, etc. Los backups que se creen con esta opción pueden llegar a ser muy grandes con el tiempo.
Observación Un comentario sobre el backup que aparecerá en la columna Observación de la tabla. Por lo tanto, deberá ser lo suficientemente importante como para permitir un recuento rápido del contenido.
Para crear un nuevo backup deberá estar marcada al menos una de las casillas.
El formato y el nombre de los archivos de backup.
Los archivos de backup se crean como archivos tar.gz, usando las herramientas estándar de Linux tar y gzip. Los archivos almacenados en el archivo pueden extraerse utilizando los comandos tar zxf archivename.tar.gz o tar vzxf archivename.tar.gz, que permiten ver todos los archivos procesados y extraídos, así como ver algún mensaje informativo la pantalla. La opción v significa verbose (detallado). El nombre del archivo de backup se crea de modo que sea único y expresa la máxima información posible sobre su contenido, por lo que puede ser una cadena bastante larga, por ejemplo, backup-20130208093337-midispositivo.midominioconfiguración-bd-registros-archivoregistro.tar.gz, donde 20130208093337 es la marca de tiempo de creación del backup, en el formato AAAAMMDDHHMMSS (en este ejemplo, 8 de febrero de 2013 a las 9:33:37 AM). Esta opción permite ordenar los backups lexicográficamente de más antiguo a más reciente; midispositivo.midominio son el nombre del host y el nombre de dominio del dispositivo Panda GateDefender tal como se definen en el paso 3 de la Configuración de red (Barra de menú ‣ Sistema ‣ Configuración de red), y configuración-bd-registros-archivoregistro representa el contenido del backup. En este caso es un backup completo, ya que las cuatro partes aparecen en el nombre. Por ejemplo, un backup que contenga solo configuración y registros estará identificado por la cadena configuración-registros.
Para crear un backup en un dispositivo externo USB, deberá insertarse un dispositivo USB en el dispositivo Panda GateDefender. Se sugiere utilizar un sistema de archivos FAT32/VFAT, ya que esto maximiza la portabilidad hacia otros sistemas. Cuando se detecta el dispositivo, aparecerá el mensaje Dispositivo USB detectado en el lado derecho de la casilla, junto con la nueva opción de Crear backup
en un dispositivo USB. Para que el backup se almacene en el dispositivo, deberá marcarse la casilla que se encuentra al lado de dicha opción.
Haga clic sobre el botón Crear backup para crear el backup. Después de un momento, durante el cual se recogen y juntan los archivos que requiere el backup dentro del archivo, aparecerá el nuevo backup en la lista. El final del proceso de backup está marcado por un aviso amarillo que aparece encima del cuadro y que muestra el mensaje Backup completado con éxito.
La lista de los backups disponibles, que al principio se encuentra vacía, muestra para todas los backups la fecha de creación, el contenido mostrado por un conjunto de letras, la observación y la lista de acciones disponibles para cada archivo de backup. Los backups automáticos se marcan con la cadena Autobackup antes de actualización.
El contenido de cada backup está marcado por al menos uno de los siguientes símbolos o letras correspondientes a la opción especificada durante su creación:
A, Archivo. El backup contiene los archivos de registro viejos.
C, Cron. El backup ha sido creada de manera automática por una tarea de backup programada.
D, Descargas de bases de datos. El backup contiene una descarga de bases de datos.
E, Cifrado. El archivo de backup está cifrado.
L, Archivos de registro. El backup contiene los archivos de registro de hoy.
S, Configuración. El backup contiene las configuraciones y preferencias.
U, USB. El backup ha sido guardada en un dispositivo USB.
!, ¡Error! Se ha producido algún error al enviar el archivo de backup por correo electrónico.
Las acciones disponibles son exportar
un archivo a la estación de trabajo local, eliminarlo
o restaurarlo
en el dispositivo
Panda GateDefender.
Cifrar el backup
La segunda casilla hace que la opción de cifrar todos los backups al proporcionar una clave pública GPG estén disponibles. Seleccione la clave pública GPG haciendo clic en el botón Seleccionar archivo para cargar el archivo de claves desde el sistema de archivos local. Asegúrese de que la casilla Cifrar backups esté marcada. A continuación, cargue el archivo de claves haciendo clic en Guardar.
Sugerencia
Cifre los backups siempre que guarde datos confidenciales en el archivo de backup, por ejemplo, contraseñas de usuarios almacenadas en la base de datos o datos e información de facturación de los usuarios del Hotspot.
Importar archivo de backup
El tercer cuadro permite que un archivo de backup guardado anteriormente se cargue en el dispositivo Panda GateDefender. Se puede seleccionar el archivo de backup haciendo clic en el botón Seleccionar archivo y, a continuación, seleccionando el archivo de backup del sistema de archivos local. De manera opcional puede añadirse alguna nota al backup en el campo Observación. Por último, el backup se carga haciendo clic en el botón Importar. Luego de un momento, aparece el backup en la lista de backups en la parte superior de la página, y se puede restaurar haciendo clic en el icono de restauración
.
Nota
No se pueden importar backups cifrados al dispositivo Panda GateDefender: Cualquier backup cifrado debe descifrarse antes de cargarse.
Restablecer la configuración a los ajustes de fábrica y reiniciar.
La cuarta casilla permite borrar todas las configuraciones y preferencias que se hayan efectuado y reiniciar el sistema con la configuración de fábrica. Este resultado se alcanza al hacer clic en el botón Valores de fábrica: La configuración del dispositivo Panda GateDefender se restablece a los ajustes de fábrica y se reinicia de manera inmediata después de que un backup de las configuraciones actuales se haya guardado de manera automática.
Backups programados Pueden activarse y configurarse backups automatizados en la etiqueta Backups programados que contiene dos casillas.
Backups automáticos programados
En la primera casilla se activan y configuran los backups automáticos. Cuando se encuentran activados, los elementos del dispositivo Panda GateDefender que van a incluirse en el backup pueden elegirse como se muestra en el cuadro Conjuntos de backups en la otra pestaña. La única diferencia es que para los backups programados no se puede especificar ninguna observación. Las opciones adicionales son:
Activado Activa backups programados.
Mantener Nº de archivos Elija en el menú desplegable cuántos backups se mantendrán en el dispositivo Panda GateDefender (entre 2 y 10, pero se pueden exportar para ahorrar espacio).
Programar backups automáticos La frecuencia entre backups, ya sea cada hora, diaria, semanal o mensual.
Enviar backups por correo electrónico
En la segunda casilla puede configurarse el sistema para que envíe o no los backups por correo electrónico: Están disponibles las opciones siguientes:
Activado Permite enviar archivos de backup por correo electrónico.
Dirección de correo del destinatario La dirección de correo electrónico a la que se enviará el mensaje con el backup.
Dirección de correo del remitente La dirección de correo electrónico que aparecerá como dirección de correo electrónico del emisor, lo que resulta útil cuando deba parecer que los backups se envían desde una dirección especial (por ejemplo,
[email protected]). Asimismo, debe indicarse si el dominio o el nombre de host no pueden resolverse mediante el DNS.
Dirección del Smarthost a utilizar La dirección de un smarthost que se utilizará para enviar los mensajes, que es necesaria en caso de que los mensajes salientes deban pasar a través de un servidor SMTP, por ejemplo, el servidor SMTP de la empresa, en lugar de enviarlos directamente desde el dispositivo Panda GateDefender.
Sugerencia
La dirección explícita de un smarthost es necesaria si el proxy SMTP (Barra de menú -> Proxy SMTP) está desactivado.
Enviar backup ahora Al hacer clic en este botón, se guardará la configuración e inmediatamente se intentará enviar un correo electrónico con el archivo del backup como adjunto, una acción que sirve también como prueba para comprobar la validez de los datos suministrados.
Apagar En esta página se proporcionan las opciones para apagar o reiniciar el dispositivo Panda GateDefender, al hacer clic en el botón Apagar o Reiniciar respectivamente.
Advertencia
El proceso de cierre o reinicio se iniciará inmediatamente después de hacer clic en el botón correspondiente, sin que se muestre ninguna otra solicitud de confirmación.
Después de un reinicio, es posible continuar utilizando la GUI sin necesidad autenticarse.
Contrato de Licencia Esta sección muestra el contrato de licencia entre Panda y el propietario del dispositivo Panda GateDefender.
Nota
Después de una actualización, si el acuerdo de licencia cambia, durante el primer inicio de sesión es necesario aceptar el nuevo acuerdo de licencia antes de acceder al sistema actualizado y poder utilizar el dispositivo Panda GateDefender.
El menú Estado El menú Estado El menú Estado proporciona un conjunto de páginas que muestran la información tanto en vistas de texto como de gráficos sobre diferentes demonios y servicios que se ejecutan en el dispositivo Panda GateDefender. No existe ninguna opción de configuración disponible en este módulo, que solamente muestra el estado actual y reciente del dispositivo Panda GateDefender.
En el submenú situado a la izquierda de la pantalla aparecen los elementos siguientes. Cada uno proporciona información de estado detallada sobre algunas funciones del dispositivo Panda GateDefender:
Estado del sistema: servicios, recursos, tiempo en línea, kernel Estado de red: configuración de las interfaces de red, tabla de enrutamiento, caché ARP Gráficos del sistema: gráficos de utilización de recursos Gráficos de tráfico: gráficos de utilización del ancho de banda Gráficos del proxy: gráfico de las estadísticas de acceso al proxy HTTP en las 24 últimas horas (semana, mes y año) Conexiones: lista de todas las conexiones TCP/IP abiertas Conexiones OpenVPN: lista de todas las conexiones OpenVPN Estadísticas de correo SMTP: gráficos sobre el servicio SMTP. Lista de correos: lista de correos en el servidor SMTP
Estado del sistema La página predeterminada que se abre al hacer clic sobre Barra de menú ‣ Estado es la página Estado del sistema, que proporciona una vista rápida de los servicios en ejecución, la memoria, la utilización del disco, el tiempo en línea y los usuarios, los módulos cargados, y la versión del kernel, cada uno en su propio cuadro. En la parte superior de la página hay hipervínculos hacia cada cuadro. De forma más detallada, estos son los datos presentados en cada cuadro, que normalmente son el resultado de algunos comandos de Linux.
Servicios
El estado (marcado como Detenido o Ejecutando mediante un cuadrado rojo o verde) de cada servicio instalado en el dispositivo Panda GateDefender se muestra aquí. Un servicio puede aparecer como detenido porque el demonio o guión no se encuentra habilitado.
Memoria
El resultado del comando de Linux free proporciona la información que se muestra aquí. Toda la información se encuentra representada con la cantidad real en kilobytes, y con una barra para facilitar la visualización de la memoria utilizada. La primera línea muestra la memoria RAM utilizada total, que es normal que esté cerca del 100% en el caso de un sistema que ha estado en ejecución durante un tiempo prolongado, ya que el kernel de Linux utiliza toda la memoria RAM disponible como caché de disco para acelerar las operaciones E/S. La segunda línea muestra la memoria que realmente utilizan los procesos: lo ideal sería que este valor fuera inferior al 80% para mantener algo de memoria disponible para la caché de disco. Si este valor se acerca al 100%, el sistema se ralentizará porque los procesos activos se cambiarán al disco. Si la utilización de la memoria permanece sobre el 80% durante periodos prolongados, debería añadirse memoria RAM para mejorar el rendimiento. La tercera barra indica la utilización de la memoria de intercambio. En el caso de los sistemas en ejecución durante periodos prolongados, es normal ver una utilización moderada de la memoria de intercambio (el valor debería ser inferior al 20%), especialmente si no se utilizan todos los servicios todo el tiempo.
Uso de disco
El resultado del comando df de Linux muestra los dispositivos del disco (discos físicos y particiones, su punto de montaje y el espacio de cada partición de disco). Dependiendo del tipo de dispositivo Panda GateDefender, los datos que aparecen en este cuadro pueden variar. Normalmente, son:
El disco principal /dev/hda1.
El disco de datos /dev/mapper/local-var.
El
disco
de
configuración,
donde
se
almacenan
todos
los
ajustes
del
dispositivo
Panda
GateDefender
/dev/mapper/local-config.
El disco de registro /dev/mapper/local-log.
La memoria compartida, /dev/shm/.
Nota:
el tamaño del disco de datos y el disco de registro puede aumentar con el tiempo, por lo que debería reservarse suficiente espacio para ellos, especialmente el disco de registro. Recuerde también que los discos nunca deben llenarse más de un 95%, ya que esto puede dificultar el funcionamiento correcto del sistema.
Tiempo en línea y usuarios
Este cuadro muestra el resultado del comando de Linux w, que presenta la hora actual, información sobre la cantidad de tiempo que el sistema ha estado en ejecución desde el último reinicio, la cantidad de usuarios de consola que están conectados al sistema actualmente (aunque por lo general no debería haber ninguno) y el promedio de carga del sistema de los últimos 1, 5 y 15 minutos. Además, si algún usuario de consola está conectado al sistema, se muestra algún tipo de información sobre el usuario (por ejemplo, el host remoto desde el que ha iniciado sesión o lo que está haciendo). Puede consultarse más información en la página del manual w(1).
Módulos cargados
El resultado del comando de Linux lsmod. Muestra los módulos del kernel que actualmente están cargados en la memoria. Dicha información solo debería ser útil para los usuarios avanzados.
Versión del kernel
El resultado del comando de Linux uname -r, que muestra la versión actual del kernel.
Estado de red Esta página contiene información diversa sobre el estado de ejecución de las interfaces de red. Hay cuatro cuadros en la página e, igual que en el caso del Estado del sistema, se incluyen hipervínculos en la parte superior de la página para proporcionar un acceso rápido. Los cuadros contienen la siguiente información, que representa el resultado de diferentes comandos shell.
Interfaces
El primer cuadro contiene el resultado del comando ip addr show, que proporciona la dirección MAC, la dirección IP y parámetros de comunicación adicionales asociados a cada interfaz de red. Las interfaces activas se encuentran destacadas con el color de la zona a la que sirven. La interfaz puede ser una interfaz de Ethernet, un puente o un dispositivo virtual.
Estado de NIC
Aquí se muestran las configuraciones de ejecución y capacidades de cada NIC. Cada interfaz se encuentra destacada con el color de la zona a la que sirve y se etiqueta como [Enlace correcto] para indicar que está funcionando. Las interfaces que no están en uso se etiquetan con “[NO hay enlace]”. El comando que proporciona el resultado es ip link show.
Entradas de la tabla de enrutamiento
La tabla de enrutamiento del kernel, según se genera con el comando route -n. Normalmente, debería haber una línea por cada interfaz activa, que enruta de manera correcta el tráfico entre las zonas a las que sirve el dispositivo Panda GateDefender, más una ruta predeterminada (que se reconoce por el campo de destino 0.0.0.0) que permiten que el tráfico llegue a Internet.
Entradas de la tabla ARP
El último cuadro muestra el resultado del comando arp -n y la tabla ARP, es decir, una tabla que contiene la dirección MAC asociada a cada dirección IP conocida de la red local.
Gráficos del sistema Los gráficos que se muestran en esta página presentan la utilización de recursos durante las 24 últimas horas: la utilización de la CPU, la memoria, el intercambio y el disco, cada una acompañada de una leyenda de la información incluida en el gráfico, su color asociado y un resumen del porcentaje de utilización máximo, medio y actual. Además, un mensaje informa sobre la hora y la fecha de la última actualización de los gráficos, que generalmente coincide con el último acceso a la página.
Al hacer clic sobre uno de los gráficos, se abrirá una nueva página, con resúmenes de los gráficos de utilización de los últimos día, semana, mes y año. En estas páginas, haciendo clic en el botón ATRÁS se puede volver a la página anterior.
Nota:
la cadena nan (siglas de “Not A Number”) que puede aparecer en los resúmenes indica que no hay suficientes datos para calcular el uso del recurso seleccionado. Puede aparecer por ejemplo en el “uso por año” cuando el dispositivo Panda GateDefender se utiliza solo durante unas pocas semanas.
Gráfico de CPU
En este cuadro se muestra el uso de CPU al día del dispositivo Panda GateDefender, medido en el porcentaje de tiempo de CPU usado por los distintos procesos. El resultado se obtiene mediante el comando top. Se utilizan diferentes colores para indicar el tipo de los procesos en ejecución:
Blanco: inactivo, es decir, momento en que ningún proceso utiliza la CPU. Verde: procesos nice, es decir, procesos de usuario que han cambiado su prioridad predeterminada. Azul: procesos de usuario con prioridad predeterminada. Naranja: tiempo dedicado por la CPU a esperar a que se completen tareas de E/S. Rojo: procesos del sistema (kernel). Rosa: softirq, es decir, el tiempo dedicado a interrupciones de software. Marrón: interrupt, es decir, es el tiempo dedicado a interrupciones de hardware. Negro: steal, relevante solo si se ejecuta como una máquina virtual; es el tiempo utilizado por el hipervisor para ejecutar la MV.
Gráfico de memoria
Este gráfico muestra el uso de memoria durante las 24 últimas horas. Se usan los siguientes colores para indicar los tipos de memoria:
Verde: memoria sin asignar, que puede asignarse a nuevos procesos. Azul: memoria caché, copia de datos recientes usados por procesos. Naranja: memoria de búfer, una porción de memoria temporal que almacena datos para enviarlos a dispositivos externos o recibirlos de ellos.
Rojo: memoria usada.
Gráfico de Swap
En este cuadro se muestra el uso del área de intercambio, que se encuentra en el disco duro.
Verde: intercambio sin asignar. Azul: intercambio en caché. Rojo: espacio de intercambio utilizado.
Gráficos de uso de disco
Los gráficos que muestran el uso del disco se dividen en cuatro cuadros, y cada uno muestra el uso de una partición. En cada uno de ellos, el color verde muestra el espacio libre, mientras que el color rojo muestra el espacio en disco utilizado.
Gráficos del tráfico Esta página contiene los gráficos del tráfico de las 24 últimas horas, dividido por zona. Por lo tanto, en función de las zonas activadas y configuradas, esta página contendrá 2, 3 o 4 cuadros, cada uno con un gráfico. Como sucede con los Gráficos del sistema, los gráficos van acompañados de un leyenda de los datos mostrados:
Verde: el tráfico saliente. Azul: el tráfico entrante.
Debajo de los gráficos, también se muestra el resumen de la cantidad actual, media y máxima de datos transmitidos y recibidos. El resumen se actualiza en tiempo real.
Al hacer clic en uno de los gráficos, se abrirá una página nueva con los resúmenes de los datos que han pasado a través del dispositivo Panda GateDefender durante los últimos día, semana, mes y año. La información que se muestra es la misma en todos los gráficos: el tráfico entrante y saliente en azul y verde, respectivamente. En
Sugerencia:
para volver a la página con todos los gráficos de la zona, haga clic en el hipervínculo ATRÁS en la parte inferior de la página.
Gráficos del proxy Aquí se muestran las estadísticas de acceso al proxy HTTP durante las 24 últimas horas. No hay gráficos en esta página si el servicio proxy HTTP no está activo y nunca ha sido activado. Sin embargo, si el servicio se ha ejecutado, incluso durante un periodo breve durante el último año, aún se puede acceder a los datos generados haciendo clic en el gráfico. De manera similar a los otros gráficos, se muestran estadísticas antiguas para los últimos día, semana, mes y año. Haciendo clic en el hipervínculo ATRÁS de la parte inferior de la página, se puede volver a la página principal.
Nota:
para mostrar los gráficos de proxy, debe activarse el registro del proxy HTTP en Proxy ‣ HTTP ‣ Configuración ‣ Configuración del registro, marcando la casilla Activar registro. También pueden registrarse términos de consulta y usuarios agente para generar registros y gráficos más detallados.
Tras haber activado el proxy HTTP, los cuatro cuadros muestran los datos siguientes:
Tráfico total por día. la cantidad de datos que han pasado por el servicio proxy del dispositivo Panda GateDefender. En verde aparece el tráfico saliente y en azul, el tráfico entrante.
Accesos totales por día. El número de solicitudes HTTP, representado en azul, recibidas por el dispositivo Panda GateDefender.
Coincidencias de caché por día. El número de datos de caché solicitados. Ratio de coincidencias de caché durante 5 minutos por día. El número de datos de caché solicitados en un periodo de cinco minutos.
Conexiones Esta página muestra una tabla que contiene la lista de conexiones actuales desde, hacia o a través del dispositivo Panda GateDefender. Los datos que se muestran aquí son los generados por la tabla kernel conntrack. Los siguientes colores se emplean en la tabla y se utilizan como fondo de las celdas de la tabla para indicar el origen y el destino de la conexión.
El verde, el rojo, el naranja y el azul indican las zonas controladas por el dispositivo Panda GateDefender. El negro se usa para las conexiones en las que participa el firewall, incluidos demonios y servicios (por ejemplo, SSH o accesos web).
El morado muestra las conexiones que utilizan IPsec o VPN.
Los datos que aparecen en la tabla son los siguientes.
IP de origen La IP desde la que se originó la conexión.
Puerto de origen El puerto desde el que se originó la conexión.
IP de destino La IP a la que se dirige la conexión.
Puerto de destino El puerto al que se dirige la conexión.
Protocolo El protocolo utilizado en la conexión, que suele ser TCP o UDP.
Estado El estado actual de la conexión, que solo es pertinente para las conexiones TCP. Se definen en el RFC 793; los estados pertinentes son ESTABLECIDA (conexión activa) y CERRADA (sin conexión).
Caduca El tiempo que la conexión permanecerá en ese estado concreto.
Sugerencia:
la página se actualiza automáticamente cada 5 segundos.
Se puede hacer clic en cada dirección IP y cada puerto IP de la tabla para obtener información útil. Al hacer clic en la dirección IP se lanzará una consulta whois que mostrará quién es el dueño de la dirección IP y dónde se encuentra localizada. Al hacer clic en el número de puerto, se abrirá la página web Internet Storm Center, con información sobre el puerto (es decir, la finalidad para la que se usa), qué servicios o malware (por ejemplo, troyanos, virus) pueden utilizar dicho puerto, y el número de ataques que dichos puertos han recibido de diferentes servidores en todo el mundo.
Conexiones VPN Si en el dispositivo Panda GateDefender se ejecutan servidores OpenVPN o IPsec, esta página muestra los usuarios conectados, junto con el servicio del que dependen para la conexión (OpenVPN, L2TP, IPsec, XAuth), la marca de tiempo desde que están conectados y las posibles acciones que pueden llevarse a cabo. Actualmente, solo se puede desconectar al usuario.
Estadísticas de correo SMTP En esta página aparecen cuatro cuadros que muestran gráficos sobre el correo electrónico enviado por el servidor SMTP local a través del dispositivo Panda GateDefender por día, semana, mes y año.
Sugerencia:
si el servidor SMTP no está activado, no se mostrarán ni información ni gráficos.
Cada cuadro contiene dos gráficos. En ambos se presentan en el eje y el número de mensajes de correo electrónico por minuto y en el eje x el tiempo, cuya unidad de medida cambia según el tipo de gráfico: un periodo de dos horas en los gráficos por día, un día en los gráficos por semana, una semana en los gráficos por mes y un mes en losgráficos por año.
El gráfico de la parte superior muestra un resumen del número de mensajes por minuto enviados (en azul) o recibidos (en verde) por el dispositivo Panda GateDefender. El gráfico de la parte inferior puede considerarse una versión más detallada del otro gráfico, dado que muestra los mensajes de correo electrónico que han sido rechazados (en rojo) o devueltos (en negro), aquellos que se han interceptado porque contienen virus (en amarillo), y aquellos que se han reconocido como spam (en gris).
Debajo de cada gráfico, también hay información textual acerca de cada categoría del correo electrónico (enviado, recibido, rechazado, devuelto, virus y spam) sobre el número total, la media y el número máximo de mensajes de correo electrónico (“msgs”) procesados, además de la marca de tiempo (fecha y hora) de la última actualización de la página.
Lista de correos Cuando el proxy SMTP está activado, esta página muestra la lista de correos actual. Si no hay correos electrónicos en la lista, aparece el mensaje Lista de correos vacía. Cuando hay correos, se puede vaciar la lista haciendo clic en el botón Liberar la lista de correo. Con el proxy SMTP desactivado, solo se muestra el mensaje que indica que está desactivado.
El menú Red El menú de red El menú de red se puede utilizar para ajustar la configuración de la red al agregar hosts y rutas específicas o al configurar el uplink y añadir VLAN. No se debe confundir este menú con el asistente Configuración de red disponible en Barra de menú ‣ Sistema ‣ Configuración de red, que permite configurar interfaces, zonas y definir uplinks. Muchas opciones de preferencias y configuración, especialmente bajo Interfaces, a continuación se pueden encontrar sin embargo bajo el asistente de red, al que hay que consultar para obtener una ayuda más detallada.
El submenú situado en el lateral izquierdo de la pantalla contiene estos elementos y cada uno agrupa varias opciones de configuración:
Editar hosts - define hosts para resolución de nombre de dominio local Enrutamiento - establece rutas estáticas y política de enrutamiento Interfaces - edita los enlaces o crea VLAN
Editar hosts La página contiene la lista de hosts definidos anteriormente. Cada línea contiene una dirección IP, el nombre de host asociado, y el nombre de domino, si está especificado. Existen dos acciones disponibles para cada entrada: editarla o eliminarla.
Advertencia
Eliminar una entrada de host al hacer clic en el pequeño icono no requiere confirmación y no es reversible. Si se elimina por error, se debe volver a introducir una entrada manualmente.
Se puede añadir una nueva entrada en el archivo al hacer clic en el enlace Añadir host a la derecha encima de la tabla. La tabla será sustituida por un sencillo formulario, en el que se pueden introducir las siguientes opciones:
Dirección IP La dirección IP del servidor remoto.
Nombre del host El nombre del host asociado a la dirección IP.
Nombre de dominio Un nombre de dominio opcional.
Nota
A diferencia del archivo
/etc/hosts (véase más adelante), cada dirección IP añadida aquí corresponde a un nombre de host y
viceversa. Para añadir dos nombres de host a una misma IP, añada dos entradas con la misma dirección IP.
La elección puede confirmarse al hacer clic en el botón Añadir host. Para asociar más nombres de host a la misma dirección IP, repita el procedimiento al introducir la misma dirección IP pero un nombre diferente.
Gestión de hosts, dnsmasq y /etc/hosts.
La aplicación dnsmasq se utiliza en redes pequeñas como servidor DNS para hosts locales y como reenviador de DNS y servidor de caché para servidores DNS mundiales. El dispositivo Panda GateDefender utiliza dnsmasq para resolver y responder correctamente las solicitudes de DNS procedentes de las zonas VERDE, NARANJA y AZUL. A veces es conveniente (por ejemplo, para realizar pruebas
en un sitio web remoto) invalidar algunas entradas en dnsmasq o añadir algún servidor local a la caché de dnsmasq, para que los clientes locales puedan conectarse.
Los hosts añadidos en esta página se almacenan en el archivo de configuración de dnsmasq y se fusionan con el archivo
/etc/hosts cada vez que se reinicia el demonio. Un host añadido a esos archivos directamente mediante CLI no se mantendrá después de reiniciar el dispositivo Panda GateDefender o dnsmasq.
El archivo /etc/hosts contiene la tabla de búsqueda denominada estática de la siguiente manera:
IP1 nombredehost1 [nombredehost2] IP2 nombredehost3 [nombredehost4] [nombredehost5] Aquí, IP1 e IP2 son direcciones IP (numéricas) únicas, y nombredehost1, nombredehost2, nombredehost3, nombredehost4 y nombredehost5 son nombres personalizados dados a esas IP. Los nombres entre corchetes son opcionales: En otras palabras, cada dirección IP puede estar asociada con uno o más nombres de hosts conocidos. Se pueden añadir entradas de host personalizadas al archivo, que después se resolverán para los clientes que se conectan a través del dispositivo Panda GateDefender. En un dispositivo Panda GateDefender normal, el archivo /etc/hosts contiene como mínimo las entradas siguientes:
127.0.0.1 hostlocal.hostlocal.hostlocal 172.20.0.21 midispositivo.dominiolocal midispositivo 172.20.0.21 spam.spam spam 172.20.0.21 ham.ham ham 172.20.0.21 wpad.dominiolocal wpad Aquí, 127.0.0.1 es la dirección IP del dispositivo de bucle, hostlocal, que es una entrada obligatoria para que cualquier sistema Linux funcione correctamente. Por su parte, 172.20.0.21 es la dirección IP de la interfaz VERDE. Las entradas indicadas para esa IP tienen el significado y el objetivo siguientes:
midispositivo.dominiolocal El nombre de host y el nombre de dominio del dispositivo Panda GateDefender, según se han configurado durante la Configuración de red.
spam.spam spam y ham.ham ham Estas dos entradas combinadas se utilizan para la formación del filtro de correo electrónico spamassassin.
wpad.dominiolocal wpad Un método que tienen algunos exploradores para detectar y aplicar automáticamente la configuración del proxy sin necesidad de que el usuario interactúe cuando el proxy no es transparente.
Enrutamiento Junto a la tabla predeterminada de enrutamiento, que se puede ver en Barra de menú ‣ Estado ‣ Estado de red, el enrutamiento del dispositivo Panda GateDefender se puede mejorar con reglas estáticas y políticas de enrutamiento. Esta página muestra una tabla única que contiene todos los enrutamientos personalizados, aunque se añaden reglas nuevas desde las dos pestañas diferentes existentes en esta página. De hecho, las reglas estáticas y las políticas de enrutamiento precisan de una configuración ligeramente diferente. La tabla contiene un resumen de la regla: las redes o zonas de fuente y destino, la puerta de enlace, una observación, y la lista de acciones disponibles: Activar o desactivar, editar y eliminar una regla.
Cuando se realiza una modificación en la tabla de enrutamiento, se solicita guardar los cambios y reiniciar el servicio.
Enrutamiento estático Una ruta estática permite asociar redes de fuente y destino específicas con una puerta de enlace o enlace determinados. Un clic en el enlace Añadir una ruta nueva encima de la tabla permite crear rutas nuevas al definir los siguientes campos en la forma que aparecerá:
Red de fuente La red de la fuente, en notación CIDR.
Red de destino La red de destino, en notación CIDR.
Vía de la ruta Hay cuatro opciones disponibles para definir a través de qué medio canalizar el tráfico: Puerta de enlace estática, Enlace, Usuario OpenVPN, o Usuario L2TP. En caso de seleccionar la Puerta de enlace estática, se debe proporcionar la dirección IP de una puerta enlace en la casilla de texto situada a la derecha. De lo contrario, aparecerá un menú desplegable, proponiendo la elección entre los enlaces disponibles, usuarios OpenVPN o usuarios L2TP.
Activado Una casilla marcada significa que la regla está activada (predeterminado). Si no está marcada, entonces la regla solo ha sido creada, pero no está activada: Siempre se puede activarse más adelante.
Observación Una observación o comentario para explicar el objetivo de esta regla.
Al hacer clic en uno de los iconos se desencadena una acción en el elemento correspondiente:
: cambia el estado del elemento entre activado y desactivado. : modifica las propiedades del elemento. : elimina el elemento.
Política de enrutamiento Una regla de política de ruta permite asociar direcciones, zonas o servicios de red específicos (expresados como puerto y protocolo) a un enlace determinado.
La tabla muestra todas las reglas definidas tanto estáticas como de política de enrutamiento, con algunas de sus propiedades: Origen, Destino, TOS, Puerta de enlace, Servicio, Observaciones, y las acciones disponibles:
: mueve una regla.
: cambia el estado del elemento entre activado y desactivado.
: modifica las propiedades del elemento.
: elimina el elemento.
Sugerencia
La columna TOS solo aparece si como mínimo se ha definido una regla con ese campo.
Cuanto más arriba aparecen las reglas en la tabla, mayor es su prioridad.
Política de enrutamiento, proxy HTTP y enlace.
La interacción entre estos tres componentes del dispositivo Panda GateDefender puede ocasionar algún comportamiento que puede parecer extraño o incluso erróneo cuando los clientes de las zonas intentan acceder a Internet. De hecho, cabe destacar tres pasos para comprender correctamente cómo fluye el tráfico hasta Internet cuando hay un proxy HTTP activado y se han definido reglas de políticas de enrutamiento.
1.
Un proxy HTTP utiliza el enlace principal, es decir, accede a la zona ROJA y a Internet utilizando el enlace principal.
2.
Un proxy HTTP “divide” una conexión de un cliente a un servidor remoto en dos conexiones. Una de las conexiones va del cliente al dispositivo Panda GateDefender y la otra va del dispositivo Panda GateDefender al servidor remoto.
3.
Las reglas de políticas de enrutamiento se tienen en cuenta después de que el tráfico haya pasado por el proxy HTTP.
Al hacer clic en el enlace Crear una regla de política de enrutamiento, se abrirá un formulario, que parece más complicado que el utilizado para las rutas estáticas y muy similar al editor de reglas del firewall. Sin embargo, este editor de política es muy parecido al anterior, pero ofrece más control sobre la definición de la regla. Además, la configuración de la regla se guía por varios menús desplegables para simplificar la introducción de datos en los siguientes campos:
Origen El primer menú desplegable permite elegir la fuente del tráfico. Se aceptan más entradas, una por línea, pero todas deben pertenecer al mismo tipo: una zona o interfaz, usuarios OpenVPN o L2TP, IP o redes, o direcciones MAC. Se ofrecerán diferentes valores, según la elección. Para aplicar la regla a todas las fuentes, seleccionar .
Destino El segundo menú desplegable permite la elección del destino del tráfico, como una lista de IP, redes, usuarios OpenVPN o L2TP. Otra vez, al seleccionar la regla coincidirá con cada destino.
Servicio/Puerto Los siguientes dos menús desplegables permiten especificar el servicio, protocolo, y un puerto de destino para la regla cuando se seleccionan los protocolos TCP, UDP o TCP + UDP. Existen algunas combinaciones predefinidas de servicio/protocolo/puerto, como HTTP/TCP/80, /TCP+UDP/0:65535, o , que es un atajo para todos los servicios, protocolos y puertos. Definido por el usuario permite especificar un protocolo personalizado y los puertos a bloquear, una opción útil cuando se utilizan servicios en puertos que no son los estándares.
Protocolo El tipo de tráfico interesado por la regla: TCP, UDP, TCP+UDP, ESP, GRE y ICMP. TCP y UDP son los más utilizados, GRE es utilizado por túneles, ESP por IPsec, y ICMP por los comandos ping y traceroute.
Vía de la ruta
Qué ruta debería seguir el tráfico para esta regla. Hay cuatro opciones disponibles:
1.
Puerta de enlace estática: En este caso, se facilitará una dirección IP.
2.
Enlace: El enlace que debe utilizarse para esta regla. Existe la opción, cuando el enlace no está disponible, de que el enrutamiento sea realizado por un enlace de soporte, correspondiente al enlace seleccionado. Esta opción se activa cuando la casilla junto al menú desplegable está marcada.
3.
Usuario OpenVPN: Un usuario OpenVPN, elegido entre los disponibles en el menú desplegable.
4.
Usuario L2TP: Un usuario L2TP, elegido entre los disponibles en el menú desplegable.
Tipo de servicio El tipo de servicio (TOS) se puede seleccionar aquí. Se puede elegir entre cuatro valores, en función de cuál sea la característica más importante del tráfico que interesa a esa regla: predeterminado, poco retraso, fiabilidad o rendimiento.
Observación Una observación o comentario para explicar el objetivo de esta regla.
Posición La posición en la que se debe insertar la regla (posición relativa en la lista de reglas).
Activado
Marcar esta casilla para activar la regla (predeterminado). Si no está marcada, significa que la regla ha sido creada pero no está activada: Una regla se puede activar más adelante.
Registrar todos los paquetes aceptados Esta casilla debe estar marcada para registrar todos los paquetes afectados por esta regla.
Advertencia
La activación de esta opción puede mejorar enormemente el tamaño de los archivos de registro.
Interfaces El administrador de uplinks permite desarrollar una variedad de tareas relacionadas con el uplink y las interfaces y, en particular, definir VLAN personalizados en las interfaces de la red.
Editor de enlaces De forma predeterminada, el editor de enlaces muestra los enlaces disponibles que se han creado y las acciones que se pueden ejecutar en cada uno de ellos haciendo clic en los iconos de la última columna, Acciones:
: cambia el estado del elemento entre activado y desactivado.
: modifica las propiedades del elemento.
: elimina el elemento.
Sugerencia
El enlace principal no se puede eliminar.
Al hacer clic en el hipervínculo Crear un enlace encima de la lista de enlaces, se pueden definir enlaces adicionales. Se abrirá una página bastante extensa, llena de opciones configurables, que debe completarse con los valores adecuados, muy similares a los de la configuración de red. Las configuraciones disponibles diferirán según el tipo de enlace elegido.
Nota
Aquí no se describen todas las opciones disponibles: Son las mismas que se encuentran presentes en el asistente de configuración de red y dependen del tipo de enlace elegido. Consulte esa sección para obtener una explicación completa de cada opción.
Descripción Una descripción del enlace.
Tipo La selección del tipo de conexión ROJA incluye un protocolo adicional, en comparación con las disponibles en el asistente de configuración de red: PPTP. El PPTP se puede configurar para funcionar de modo estático o en DHCP, seleccionable desde el valor respectivo del menú desplegable “método PPTP”. La dirección IP y la máscara de red deben definirse en los campos de texto adecuados si el método estático ha sido elegido, en cuyo caso IP/máscara de red adicionales o combinaciones IP/CIDR pueden agregarse en el campo a continuación si la casilla está marcada. No se requiere el número de teléfono, el nombre de usuario y la contraseña, pero se pueden ser necesarios para que funcionen algunas configuraciones, dependiendo de las configuraciones del proveedor. El método de autenticación puede ser PAP o CHAP: si no está seguro, mantenga el valor predeterminado “PAP o CHAP”.
El uplink está activado Marcar esta casilla para activar el enlace.
Iniciar uplink en el arranque Esta casilla especifica si se debe activar un enlace en el arranque o no. Esta opción es útil para enlaces de soporte que son administrados, pero no necesitan iniciarse durante el proceso de arranque.
El uplink es administrado Marcar esta casilla para administrar el enlace. Consultar Complemento de información del uplink en Barra de menú ‣ Sistema ‣ Panel de control para encontrar un texto sobre los modos administrado y manual.
si este enlace falla, activar Si está activado, se puede elegir una conexión alternativa de un menú desplegable, que se activará cuando este enlace falle.
Revisar si estos hosts son alcanzables Marcar esta opción para introducir una lista de IP o nombres de host que serán ping cuando el enlace falle, para revisar si se ha reconectado.
Sugerencia
Uno de esos hosts puede ser el servidor DNS o la puerta de enlace del proveedor.
En el panel de configuraciones avanzadas, se pueden personalizar otras dos opciones:
Tiempo de espera para la reconexión El intervalo de tiempo (en segundos) tras el cual un uplink intenta reconectarse cuando falla. Este valor depende de las configuraciones del proveedor. Si no está seguro, deje este campo en blanco.
MTU Un valor personalizado para el tamaño MTU. Consulte aquí para conocer los motivos para modificar el valor predeterminado.
Ver también
Configuración de red, pasos 1, 4, y 5. Barra de menú -> Sistema ‣ Configuración de la red
VLANs La idea de ofrecer compatibilidad VLAN en el dispositivo Panda GateDefender es permitir asociaciones arbitrarias de ID de VLAN con las zonas para ofrecer un nivel adicional de separación (y, por tanto, añadir otro nivel de seguridad) entre zonas. Las VLAN existentes aparecen en la tabla, si alguna ya ha sido creada. La única acción disponible es:
: elimina la VLAN. Se abrirá una ventana emergente que debe confirmarse para realizar la eliminación.
Se puede definir una nueva VLAN haciendo clic en el hipervínculo Añadir nueva VLAN situado encima de la lista de VLAN. En el formulario que se abrirá, bastarán unos pocos clics para crear una asociación entre una interfaz y una VLAN al especificar algunos valores:
Interfaz La interfaz física a la cual la VLAN está conectada. Solo se pueden seleccionar las interfaces disponibles desde el menú desplegable. El menú también muestra el estado del enlace de la interfaz.
ID de VLAN El ID de VLAN, que debe ser un número entero entre 0 y 4095.
Zona La zona con la que VLAN está asociada. Solo las zonas que han sido definidas en el asistente de configuración de red pueden ser seleccionadas. Se puede elegir la zona “NINGUNA”, si esa interfaz se utiliza como puerto de administración de alta disponibilidad.
Advertencia
No es posible definir una VLAN que sirve a una zona (por ejemplo, una VLAN en AZUL) en una interfaz que ya sirve a otra zona (por ejemplo, eth1 que sirve en VERDE). Al intentar hacerlo, el formulario se cierra y aparece una llamada roja, que informa que la VLAN no se puede crear.
Cuando se crea una LAN virtual, se crea una nueva interfaz y se la nombra ethX.y donde X es el número de la interfaz e y es el ID de VLAN. Después esta interfaz se asigna a la zona elegida y aparecerá como interfaz común en las varias secciones que aportan información de red, como Barra de menú ‣ Estado ‣ Configuración de red o en el Panel de control, donde se puede seleccionar para incorporarla al gráfico.
El menú Servicios El menú Servicios El dispositivo Panda GateDefender incluye muchos servicios útiles para prevenir amenazas y supervisar las redes y los demonios en funcionamiento, cuya activación y configuración se explica en esta sección. En particular, entre ellos, destacamos los varios servicios proxy, como el motor de antivirus, además del sistema de detección de intrusos, la alta disponibilidad y la monitorización del tráfico. Los servicios disponibles aparecen como elementos en la lista del submenú a la izquierda de la pantalla.
Servidor DHCP: servidor DHCP para la asignación automática de IP DNS dinámico: cliente para proveedores de DNS dinámicos, como DynDNS (para uso en casa u oficinas pequeñas) Motor de antivirus: configura el motor de antivirus utilizado por los proxies de correo electrónico, web, pop y FTP Servidor de fecha y hora: activa y configura el servidor de fecha y hora NTP, ajusta la zona horaria o actualiza la hora manualmente
Cuarentena de correo: administración de correos electrónicos en cuarentena Capacitación de spam: configura la capacitación para el filtro de spam utilizado por los proxies de correo Prevención de intrusiones: configura snort, el IPS Alta disponibilidad: configura el dispositivo Panda GateDefender en una configuración de alta disponibilidad Monitorización de tráfico: activa o desactiva la monitorización del tráfico con ntop Servidor SNMP: activa o desactiva la compatibilidad con el protocolo simple de administración de redes Calidad de servicio: priorización del tráfico IP
Servidor DHCP Los clientes (terminales y servidores) utilizan el servidor DHCP en las zonas controladas por el dispositivo Panda GateDefender para recibir una dirección IP (“asignación”). Asimismo, el servidor DHCP permite controlar de manera centralizada la dirección IP que se les ha asignado. Se pueden conceder dos tipos de asignación a los clientes: dinámica y fija. La página del servidor DHCP está dividida en dos o tres cuadros: DHCP, donde se configura el servidor DHCP; Asignaciones actuales fijas, que muestra las asignaciones fijas, y Asignaciones actuales dinámicas, que solo aparece si al menos un cliente ha obtenido una asignación dinámica. Las asignaciones dinámicas se asignan en una base de red dentro de un rango determinado que se configura en el primer cuadro, mientras que las asignaciones fijas se asignan en una base por host y se configuran en el segundo cuadro.
DHCP
Cuando un cliente (un host u otro dispositivo como una impresora en la red) se une a la red, automáticamente recibirá una dirección IP válida de un rango de direcciones y otros ajustes desde el servicio DHCP. El cliente debe estar configurado para utilizar DHCP, que a veces se denomina “configuración de red automática”, y a menudo es el ajuste predeterminado en la mayoría de las estaciones de trabajo. Las asignaciones dinámicas se configuran en una base de zonas: por ejemplo, se pueden habilitar solo para los clientes en la zona VERDE, mientras que otras zonas activas solo reciben asignaciones fijas.
Sin embargo, es posible permitir que también los dispositivos en las zonas NARANJA (DMZ) o AZUL (WLAN) reciban asignaciones dinámicas.
Nota:
si la zona AZUL está activada pero la administra el Hotspot, aparece el mensaje La configuración DHCP es administrada por el Hotspot, impidiendo que lo configure.
Para personalizar el parámetro DHCP para cada zona, haga clic en el pequeño icono opciones disponibles:
Activado
junto a la etiqueta Configuración. Estas son las
Activa el servidor DHCP en la zona.
Dirección de inicio, Dirección de finalización El rango de las direcciones IP que se suministrarán a los clientes. Estas direcciones deben encontrarse dentro de la subred que se ha asignado a la zona correspondiente. Si algunos hosts deben recibir una asignación fija (véase más adelante), asegúrese de que sus direcciones IP no están incluidas en este rango ni en el rango del conjunto de direcciones de OpenVPN (véase Barra de menú ‣ VPN
‣ Servidor OpenVPN) para evitar conflictos.
Si deja estos dos campos en blanco, se utilizará todo el rango de IP de la zona para asignaciones dinámicas.
Permitir solo asignaciones fijas Marque esta casilla para utilizar solo asignaciones fijas. No se asignará ninguna asignación dinámica.
Tiempo de asignación por defecto, Tiempo máximo de asignación El tiempo predeterminado y el tiempo máximo en minutos antes de que la concesión de cada asignación caduque y el cliente solicite una nueva asignación desde el servidor DHCP.
Sufijo del nombre de dominio El sufijo del nombre de dominio predeterminado que se pasa a los clientes y que se utilizará para búsquedas de dominios locales.
Puerta de enlace predeterminada La puerta de enlace predeterminada que utilizarán los clientes de la zona. Si se deja en blanco, la puerta de enlace predeterminada es el mismo dispositivo Panda GateDefender.
DNS primario, DNS secundario El DNS utilizado por los clientes. Dado que el dispositivo Panda GateDefender contiene un servidor DNS caché, el valor predeterminado es la propia dirección IP del firewall en la zona respectiva, aunque se puede cambiar un segundo servidor o incluso el valor primario.
Servidor NTP primario, Servidor NTP secundario Los servidores NTP utilizados por los clientes para mantener los relojes sincronizados.
Servidor WINS primario, Servidor WINS secundario Los servidores WINS utilizados por los clientes. Esta opción solo se necesita para las redes de Microsoft Windows que utilizan WINS.
Los usuarios avanzados pueden querer añadir algunas líneas de configuración personalizadas al archivo
dhcpd.conf
(por
ejemplo, rutas personalizadas a subredes). Para ello, deben escribirlas en el área de texto al pie, marcada con la etiqueta Líneas de configuración personalizadas.
Advertencia:
no se lleva a cabo ninguna comprobación de sintaxis en estas líneas. Las líneas se añaden al archivo de configuración. Cualquier error cometido aquí puede impedir que el servidor DHCP arranque.
Ejemplo SRV-1: arranque PXE y configuración dhcpd.conf.
La personalización del servidor DHCP es útil en diferentes configuraciones de red.
Otro caso de uso común es el de los teléfonos VoIP que necesitan recuperar sus archivos de configuración de un servidor HTTP en el momento del inicio. En este caso, los archivos también pueden residir en el dispositivo Panda GateDefender, para que la configuración del servidor tftp pueda pasarse como líneas adicionales similares a la siguiente:
option tftp-server-name "http://$GREEN_ADDRESS"; option bootfile-name "download/voip/{mac}.html";
Cabe destacar el uso de $GREEN_ADDRESS, que es una macro reemplazada en el archivo
dhcpd.conf por la GREENIP del
dispositivo Panda GateDefender.
Asignaciones actuales fijas
A veces es necesario o deseable que determinados dispositivos utilicen siempre la misma dirección IP mientras utilizan DHCP, por ejemplo, servidores que proporcionan servicios como un cuadro VoIP, un repositorio SVN, un servidor de archivos, o dispositivos como impresoras o escáneres. Por regla general, una asignación fija se denomina Dirección IP estática, dado que un dispositivo siempre recibirá la misma dirección IP al solicitar una asignación desde el servidor DHCP.
Este cuadro presenta la lista de todas las asignaciones fijas actualmente activas en la red local, y proporciona información acerca de esa asignación. Al hacer clic en el enlace Añadir asignación fija, se pueden asignar nuevas asignaciones fijas a un dispositivo e insertar toda la información que aparecerá en la lista. Los dispositivos se identifican por sus direcciones MAC.
Nota:
asignar una asignación fija desde el servidor DHCP es muy diferente de configurar la dirección IP manualmente en un dispositivo. De hecho, en este último caso, el dispositivo aún contactará con el servidor DHCP para recibir su dirección y anunciar su presencia en la red. Cuando la dirección IP requerida por el dispositivo ya ha sido asignada, sin embargo, se otorgará una asignación dinámica al dispositivo.
Se pueden establecer los siguientes parámetros para las asignaciones fijas:
Dirección MAC La dirección MAC del cliente.
Dirección IP La dirección IP que siempre se asignará al cliente.
Descripción Una descripción opcional del dispositivo que recibe la asignación.
Siguiente dirección La dirección del servidor TFTP. Esta y las dos opciones siguientes son útiles solo en algunos casos (véase un ejemplo a continuación).
Nombre de archivo El nombre de archivo de la imagen de inicio. Opción necesaria solo para clientes finos o inicio de la red.
Ruta root La ruta del archivo de imagen de inicio.
Activado Si esta casilla no está marcada, la asignación fija se almacenará pero no se escribirá en el archivo dhcpd.conf.
Las acciones disponibles para cada asignación fija en la tabla son:
: cambia el estado de la asignación entre activada y desactivada.
: modifica la propiedad de la asignación.
: elimina la asignación.
Un ejemplo de uso de una asignación fija.
Un ejemplo de uso que demuestra la utilidad de una asignación fija es el caso de clientes finos o estaciones de trabajo sin disco en la red que utilizan PXE, es decir, inician el sistema operativo desde una imagen suministrada por un servidor tftp de red. Si el servidor tftp está hospedado en el mismo servidor que el DHCP, el cliente fino recibe la asignación y la imagen desde el mismo servidor. Sin embargo, lo más frecuente es que el servidor tftp esté hospedado en otro servidor de la misma red. Por lo tanto, el servidor DHCP debe redirigir al cliente a ese otro servidor, una operación que puede realizarse fácilmente añadiendo una asignación fija en el servidor DHCP para el cliente fino, una dirección siguiente y el nombre de archivo de la imagen para realizar el inicio.
Además de la información suministrada durante la creación de la asignación fija, la lista permite que cada asignación se active o desactive (marcando la casilla), edite o elimine haciendo clic en los iconos de la columna Acciones. Editar una asignación abrirá el mismo formulario que la creación de una asignación nueva, mientras que eliminar una asignación la eliminará inmediatamente de la configuración.
Nota:
todas
las
asignaciones
concedidas
por
el
servidor
DHCP
se
almacenan
de
forma
predeterminada
en
el
archivo
/var/lib/dhcp/dhcpd.leases. Aunque el demonio DHCP se encarga de limpiar dicho archivo, puede suceder que el archivo almacene asignaciones que ya hayan caducado y sean bastante antiguas. Esto no supone ningún problema y no interfiere con el funcionamiento normal del servidor DHCP. Una entrada típica en ese archivo es:
lease 192.168.58.157 { starts 2 2013/06/11 13:00:21; ends 5 2013/06/14 01:00:21; binding state active; next binding state free; hardware ethernet 00:14:22:b1:09:9b; } Asignaciones actuales dinámicas
Cuando el servidor DHCP está activo y al menos un cliente ha recibido una dirección IP (dinámica), aparece un tercer cuadro al pie de página que contiene la lista de las direcciones IP dinámicas asignadas actualmente. Esta lista presenta las direcciones IP, las direcciones MAC, el nombre del host, el momento de caducidad de la asignación asociada a cada cliente.
DNS dinámico
Un servidor DNS proporciona un servicio que permite resolver la dirección IP (numérica) de un host a partir su nombre de host y viceversa, y funciona perfectamente para hosts con direcciones IP y nombres de host fijos.
Los proveedores de DDNS, como DynDNS o no-IP, ofrecen un servicio similar cuando las direcciones IP son dinámicas, que suele ser lo habitual cuando se utilizan conexiones ADSL residenciales. Cualquier nombre de dominio se puede registrar y asociar a un servidor con una dirección IP dinámica, que comunica cualquier cambio de dirección IP al proveedor DDNS. Para ser compatible e integrarse con los servidores DNS root, cada vez que la dirección IP cambia, la actualización debe propagarse activamente desde el proveedor de DDNS.
El dispositivo Panda GateDefender incluye un cliente DNS dinámico para 14 proveedores diferentes y, si está activado, se conectará automáticamente al proveedor de DNS dinámico para comunicar la nueva dirección IP siempre que cambie.
Nota:
si no se ha configurado ninguna cuenta DNS dinámica, en el sitio web de los proveedores están disponibles las indicaciones precisas para registrar una nueva cuenta y las ayudas e instrucciones detalladas en línea.
Esta página muestra la lista de cuentas DNS dinámicas. De hecho, se puede utilizar más de un proveedor de DDNS. Para cada cuenta, la lista muestra información acerca del servicio utilizado, el nombre del host y nombre de dominio registrado, si el proxy anónimo y los comodines se encuentran activos, si está activado, y las posibles acciones:
: cambia el estado de la asignación entre activada y desactivada.
: modifica la propiedad de la asignación.
: elimina la asignación.
Se pueden crear cuentas nuevas haciendo clic en el enlace Añadir host, proporcionando los siguientes parámetros:
Servicio El menú desplegable muestra los proveedores de DDNS disponibles.
Detrás de un proxy Esta opción solo aplica al proveedor no-ip.com. Si el dispositivo Panda GateDefender se conecta a Internet a través de un proxy, se debe marcar esta casilla.
Activar comodines Algunos proveedores de DNS dinámicos permiten que todos los subdominios de un dominio apunten a la misma dirección IP. Esta es una situación en la que dos hosts como www.ejemplo.myddns.org y segundo.ejemplo.myddns.org se encuentran ubicados en la misma dirección IP. Marcar estas casillas activa la función, haciendo que todos los subdominios posibles redirijan a la misma dirección IP. La función también debe configurarse en la cuenta del servidor del proveedor de DDNS, si se encuentra disponible.
Nombre de host y Dominio El nombre de host y el dominio según figuran registrados con el proveedor de DDNS, por ejemplo “ejemplo” y “myddns.org”.
Nombre de usuario y Contraseña Las credenciales proporcionadas desde el proveedor de DNS dinámico para acceder al servicio.
Detrás del enrutador (NAT) Active esta opción si el dispositivo Panda GateDefender no está conectado directamente a Internet, es decir, hay otro enrutador o puerta de enlace antes de acceder a Internet. En este caso, se puede utilizar el servicio en http://checkip.dyndns.org para encontrar la dirección IP del enrutador.
Activado Marque esta casilla para activar la cuenta, que es la predeterminada.
Nota:
sigue siendo necesario exportar un servicio a la zona ROJA para permitir el uso del nombre de dominio para conectarse al dispositivo Panda GateDefender desde Internet utilizando su dirección IP dinámica, puesto que el proveedor de DNS dinámico solo resuelve el nombre de dominio y no los servicios asociados. Para exportar un servicio, suele ser necesario establecer la redirección de puertos (véase Barra de menú ‣ Firewall ‣ Redirección de puertos/NAT).
Después de realizar un cambio en la configuración o para actualizar inmediatamente el DNS dinámico de todas las cuentas definidas, haga clic en el botón Forzar actualización. Esto es útil, por ejemplo, cuando el enlace activo ha sido desconectado y se ha cambiado la REDIP. Cuando esto sucede, deben actualizarse todas las cuentas DDNS; de lo contrario, no se podrá acceder a los servicios ofrecidos a través del DDNS.
Motor de antivirus El motor de antivirus del dispositivo Panda GateDefender es Panda, que se usará para la búsqueda de virus y malware en archivos y documentos que pasen por el dispositivo Panda GateDefender mediante uno de los servicios de proxy en ejecución. En esta página solo hay una pestaña: Panda Antivirus.
Archivo bomba y DoS.
Los archivos bomba son archivos que utilizan algunos trucos para sobrecargar un software antivirus hasta el punto que consumen la mayoría de los recursos del equipo que lo hospeda. Esto se denomina ataque de DoS. Estos trucos incluyen: archivos pequeños creados a partir de archivos grandes con contenido repetitivo que se comprime bien (por ejemplo, un archivo de 1 GB que contenga solo ceros se comprime a solo 1 MB utilizando zip); varios archivos anidados (es decir, archivos zip dentro de archivos zip); archivos que contienen un gran número de archivos vacíos, etc. Descomprimir archivos con alguna de estas características supone un gran reto para las actividades normales de un servidor o una estación de trabajo, dado que se necesitan muchos recursos (especialmente RAM y CPU) y reducen su disponibilidad para los usuarios.
Panda Antivirus El dispositivo Panda GateDefender incorpora el motor Panda Antivirus para proteger redes internas contra virus y malware.
La primera opción disponible es seleccionar el ciclo de actualización de las firmas antivirus, que puede ser: cada hora, diario, semanal o mensual.
Las opciones de escaneo que pueden configurarse se agrupan en 3 secciones:
Análisis de contenido de archivos
La siguiente opción está relacionada con la búsqueda y el análisis de varios tipos de programas de malware que pueden infectar los servidores y las estaciones de trabajo que hay detrás del dispositivo Panda GateDefender.
Limpiar archivos infectados Marque la casilla para activar la limpieza automática de archivos durante el análisis antimalware. Cuando está desactivada, esta opción provoca la eliminación del archivo infectado, sin intentar repararlo.
Examina las jokes conocidas Active el análisis de jokes de malware, es decir, programas pequeños que causan pánico en los usuarios sin provocar daño alguno en la estación de trabajo del usuario.
Examina los dialers conocidos
Active el análisis de dialers de malware, programas que intentan marcar números de teléfono sin su consentimiento.
Examina los spyware/adware conocidos Activa la búsqueda programas de spyware y adware.
Examina las herramientas de piratería conocidas Marque la casilla para activar la búsqueda de malware de herramientas de piratería.
Examina los riesgos de seguridad conocidos Active el análisis de malware conocido como riesgos de seguridad.
Examina las vulnerabilidades MIME conocidas Marque la casilla para activar la búsqueda de vulnerabilidades MIME.
Activa el análisis heurístico Utilice el análisis heurístico de malware para buscar nuevos tipos de malware que aún no han sido incluidos en las firmas.
Nivel heurístico Elija el nivel de sensibilidad deseado para el análisis heurístico, entre los tres disponibles, bajo, medio y alto.
Archivos empaquetados y/o comprimidos
Estas opciones están relacionadas con el comportamiento del antivirus cuando se enfrenta a archivos comprimidos. Para obtener más información, haga clic aquí.
Analiza los archivos comprimidos/empaquetados Marque la casilla para activar el análisis del contenido de los archivos comprimidos.
Nivel máximo de recursividad Nivel máximo de recursividad de los archivos comprimidos.
Controlar tamaño de descompresión Marque la casilla para activar el control del tamaño de los archivos descomprimidos.
Tamaño máximo de descompresión El tamaño máximo en kilobytes de los archivos descomprimidos permitido para elementos sin comprimir.
Nivel máximo de anidamiento El nivel de anidación máximo permitido para archivos comprimidos.
Extensiones de archivo
Extensiones de la lista blanca
Al marcar esta casilla, aparece un área de texto justo debajo de la opción en la que se puede escribir una lista de extensiones de archivo. Los archivos que terminan con una de esas extensiones pasarán por el motor antivirus sin analizarlos.
Extensiones de la lista negra Al marcar esta casilla, aparece un área de texto justo debajo de la opción en la que se puede escribir una lista de extensiones de archivo. Los archivos que terminan con una de esas extensiones serán bloqueados por el motor antivirus sin analizarlos.
Servidor de fecha y hora El dispositivo Panda GateDefender utiliza NTP para mantener la hora de su sistema sincronizada con los servidores de fecha y hora de Internet. Los ajustes disponibles están agrupados en dos cuadros.
Utilizar un servidor de fecha y hora de red
El sistema tiene preconfigurados y utiliza varios hosts del servidor de tiempo en Internet. No obstante, pueden especificarse servidores de tiempo personalizados después de marcar la casilla Sobrescribir servidores NTP preestablecidos. Esto puede ser necesario al ejecutar una configuración que no permite al dispositivo Panda GateDefender conectarse a Internet. Se pueden introducir varias direcciones de servidores de fecha y hora, una por línea, en el formulario pequeño que aparecerá.
Este cuadro también muestra el ajuste de zona horaria actual, que también puede cambiarse seleccionando uno diferente desde el menú desplegable. Se puede realizar una sincronización inmediata haciendo clic en el botón Sincronizar ahora.
Ajustar manualmente
La segunda casilla ofrece la posibilidad de cambiar el horario del sistema de manera manual. Si bien esto no es aconsejable, esta acción es útil cuando el reloj del sistema no está sincronizado y se necesita una actualización inmediata del reloj del dispositivo Panda GateDefender para corregir la hora.
La sincronización automática utilizando servidores de fecha y hora no se realiza instantáneamente, sino que el reloj se “desacelera” o “acelera” un poco para recuperar y alinearse con la hora correcta. Por lo tanto, para corregir un sistema con un error importante en su hora puede necesitarse un periodo de tiempo considerable. En esos casos, forzar una sincronización manual representa una solución más drástica pero inmediata.
Cuarentena de correo La cuarentena de correo es un lugar especial del disco duro del dispositivo Panda GateDefender donde se almacenan, en lugar de ser enviados, todos los correos electrónicos que el proxy SMTP identifica como que contienen spam, malware, virus o archivos adjuntos sospechosos. Aquí pueden analizarse esos mensajes de manera segura y tomarse medidas para administrarlos. Para activar la cuarentena de correo, vaya a Barra de menú ‣ Proxy ‣ SMTP ‣ Configuración y en los cuadros Configuración de spam, Configuración del antivirus y Configuración de archivos, elija la opción “mover a la ubicación de cuarentena por defecto” de los menús desplegables.
La página de cuarentena de correo contiene una tabla con la lista de todos los correos almacenados en la cuarentena. Encima de la tabla, hay una barra de navegación para explorar los correos.
La tabla contiene la siguiente información sobre los correos guardados en la cuarentena.
Seleccionar Una casilla que permite seleccionar uno o más mensajes simultáneamente y efectuar una acción en todos ellos.
Motivo El motivo por el cual se ha bloqueado la entrega de un correo electrónico, que puede ser: Malware (el correo electrónico contiene virus u otros tipos de amenazas), Spam (correo electrónico no deseado), Prohibido (el correo contiene un archivo adjunto que no se puede enviar) y Encabezado erróneo (la información contenida en el encabezado no es válida).
Fecha La fecha y la hora en que el correo electrónico se ha movido a la cuarentena.
Tamaño El tamaño del correo electrónico.
De El emisor del correo electrónico.
Asunto El asunto del correo electrónico.
Adjunto El número de documentos adjuntos al correo electrónico.
Acciones
Los cuatro iconos de esta columna representan las acciones disponibles: liberar el mensaje y entregarlo al receptor original y
ver el mensaje,
descargar el mensaje,
eliminar el correo electrónico. Encontrará más detalles a
continuación.
Dos botones situados debajo de la tabla permiten llevar a cabo acciones cuando hay más de un mensaje seleccionado en la tabla.
Liberar Libera los mensajes seleccionados y los programa para su entrega inmediata.
Eliminar Elimina de forma permanente los correos electrónicos seleccionados.
Al hacer clic en el icono de ver mensaje, la lista de correos electrónicos se sustituye por una página dividida en tres cuadros, que muestra diversos detalles sobre el correo electrónico seleccionado.
Correo electrónico en cuarentena
Este cuadro muestra una vista más detallada de los datos de los correos electrónicos que figuran en la lista: la razón por la que el correo electrónico fue enviado a la cuarentena, el emisor y los receptores, las direcciones en copia (CC), el asunto, la fecha y la hora de recepción y el tamaño del correo.
Encabezados
El encabezado completo original del correo electrónico, que puede proporcionar información útil, por ejemplo, sobre la ruta que ha seguido el correo.
Carga útil
Si el correo electrónico tiene uno o más archivos adjuntos, se muestran aquí junto con sus detalles. Además, cada archivo HTML adjunto se muestra con su código fuente completo.
En la parte inferior hay una opción disponible:
Eliminar de la cuarentena después de la liberación El correo electrónico se eliminará de la cuarentena después de enviarlo al receptor original.
Capacitación de spam El dispositivo Panda GateDefender incluye SpamAssassin como motor para encontrar y luchar contra el spam. Si bien SpamAssassin tiene éxito en la mayoría de los casos, es necesario capacitarlo para mejorar sus capacidades de interceptar correos electrónicos no deseados. La configuración de la capacitación del motor antispam puede realizarse en esta página. De hecho, SpamAssassin puede aprender automáticamente qué correos electrónicos son spam y cuáles no lo son (los denominados correos ham). Para aprender, necesita conectarse a un host IMAP y comprobar las carpetas predefinidas para mensajes spam y ham.
La página de SpamAssassin se compone de dos cuadros: uno que contiene una lista de hosts IMAP utilizada para aprender, con las posibilidades de administrarlo en varios niveles, y otro para modificar la programación de las actualizaciones.
Fuentes para capacitación de spam vigente
El primer cuadro permite la configuración de las fuentes de capacitación, mediante dos enlaces que, después de hacer clic en ellos, revelarán dos paneles donde especificar los varios valores de configuración. La configuración predeterminada, que inicialmente se encuentra vacía, no se utiliza para la capacitación, sino que solo proporciona valores que luego heredan las fuentes de capacitación reales que pueden añadirse justo a continuación. Al hacer clic en el enlace Editar configuración predeterminada, se pueden configurar estos ajustes:
Host IMAP por defecto El host IMAP que contiene las carpetas de capacitación.
Nombre de usuario por defecto El nombre de inicio de sesión para el host IMAP.
Contraseña por defecto La contraseña del usuario.
Carpeta ham por defecto El nombre de una carpeta que solo contiene mensajes ham. Puede ser, por ejemplo, una carpeta dedicada que almacena solo mensajes “limpios”, o incluso la Bandeja de entrada.
Carpeta predeterminada de correo no deseado El nombre de una carpeta que solo contiene mensajes de spam.
Programar una capacitación de filtro de correo no deseado automático El intervalo de tiempo entre dos comprobaciones consecutivas, que puede ser desactivado o puede ser un intervalo por horas, días, semanas o meses. La hora exacta programada aparece al mover el cursor del ratón sobre los signos de interrogación. Si la opción está deshabilitada, se debe capacitar manualmente al motor antispam.
Pueden añadirse fuentes de capacitación de spam adicionales en el panel que aparece al hacer clic en el enlace Añadir fuente IMAP de capacitación de SPAM. Las opciones para los hosts de capacitación adicionales son las mismas que las opciones de configuración predeterminadas, excepto por lo que respecta a la programación, que siempre se hereda de la configuración predeterminada, y a tres nuevas opciones disponibles.
Activado La fuente de capacitación se usará siempre que se capacite SpamAssassin. Si no está activada, la fuente no se utilizará durante la capacitación automática, sino únicamente en las manuales.
Observaciones
Un comentario acerca de esta fuente.
Eliminar correos procesados Si los correos electrónicos deben eliminarse después de procesarlos.
Las otras opciones se pueden definir igual que en la configuración predeterminada y, cuando se especifica, se invalidan los valores predeterminados. Para guardar la configuración de una fuente es necesario hacer clic en el botón Añadir fuente de capacitación después de haber establecido todos los valores deseados. Se pueden realizar varias acciones en una fuente de capacitación:
: cambia el estado del host IMAP entre activado y desactivado.
: modifica la propiedad del host IMAP.
: elimina el host IMAP.
: prueba la conexión con el host IMAP.
Se puede activar, desactivar, editar, eliminar o se puede probar la conexión haciendo clic en el icono adecuado.
Hay dos acciones adicionales disponibles y se realizarán en todas las conexiones, haciendo clic en uno de los botones ubicados en la parte derecha superior del cuadro.
Probar todas las conexiones Comprueba todas las conexiones a la vez. Esta operación puede tardar bastante tiempo si se han definido muchas fuentes de capacitación o si la conexión con los servidores IMAP es lenta.
Iniciar capacitación ahora Inicia la capacitación inmediatamente. Cabe destacar que la capacitación puede tardar bastante tiempo, dependiendo de muchos factores: la cantidad de fuentes, la velocidad de la conexión y, sobre todo, la cantidad de correos electrónicos que se descargarán.
Nota:
el motor antispam también puede capacitarse de otro modo si el proxy SMTP está activado tanto para los correos entrantes como para los salientes. Esto se realiza mediante el envío de correos spam a las direcciones especiales
[email protected] y correos no spam a
[email protected]. Los nombres del host spam.spam y ham.ham se añaden a la configuración de red inmediatamente después de la instalación de la red y son alias para el host local. Si estas dos direcciones no están presentes, pueden añadirse a la configuración del host en Barra de menú ‣ Red ‣ Editar hosts ‣ Añadir host en el dispositivo Panda GateDefender.
Cronograma para actualizaciones de reglas SpamAssassin
En esta casilla se puede programar la descarga automática de las firmas SpamAssassin utilizando las cuatro opciones disponibles: Por hora, Diariamente, Semanalmente y Mensualmente.
Prevención de intrusiones El dispositivo Panda GateDefender incluye el conocido sistema de detección y prevención de intrusiones (IDS e IPS, respectivamente) snort, que ha sido desarrollado directamente a partir de iptables, para interceptar y cortar conexiones desde orígenes no deseados o que no son de confianza.
La página contiene tres pestañas: Sistema de prevención de intrusos, Reglas y Editor.
Sistema de prevención de intrusos
Si snort no está activo, aparece un interruptor gris
al lado de la etiqueta Activar sistema de prevención de intrusos en la
página y se puede hacer clic en él para iniciar el servicio. Aparece un mensaje que informa de que el servicio se está reiniciando y que, tras un breve periodo, el cuadro contendrá algunas opciones para configurar el servicio.
Buscar reglas SNORT automáticamente Marcar esta casilla permitirá que el dispositivo Panda GateDefender descargue automáticamente las reglas snort desde la Panda Perimetral Management Console.
Nota:
si el dispositivo Panda GateDefender no está registrado, las reglas se descargan desde la página web de Amenazas Emergentes. También se muestra un mensaje informativo en la parte inferior de la página.
Elegir programación de actualización La frecuencia de descarga de las reglas. Un menú desplegable permite elegir una de las opciones: por hora, día, semana o mes. Esta opción aparece solo si la opción anterior se ha activado.
Reglas de SNORT personalizadas Un archivo que contiene reglas SNORT personalizadas que se debe cargar. Elija un archivo desde la ventana de selección de archivos que se abre al hacer clic en el botón Examinar y cárguelo haciendo clic en el botón Subir reglas personalizadas.
Reglas En la pestaña Reglas aparece la lista de conjuntos de reglas que se almacenan en el dispositivo Panda GateDefender, junto con el número de reglas que contienen y las acciones que pueden realizarse sobre ellas:
: cambia el estado del conjunto de reglas entre activado y desactivado.
: la política aplicada a paquetes, se permita o no su paso.
: modifica la propiedad del conjunto de reglas.
: elimina el conjunto de reglas.
Nota:
al editar un conjunto de reglas en la pestaña Reglas, la página Editor (véase más adelante) abrirá ese conjunto de reglas que ha sido seleccionado.
Todas estas acciones, excepto la edición, pueden realizarse en más de un conjunto de reglas a la vez, seleccionándolos (marcar la casilla a la izquierda de su nombre de archivo) y pulsando uno de los botones debajo de la lista.
De forma predeterminada, la política de todos los conjuntos de reglas se establece en alerta. Este comportamiento se puede modificar haciendo clic en el icono de alerta para cambiar la política a bloquear y en el icono con un escudo rojo. Después de hacer clic en el botón Aplicar, ese conjunto de reglas no causará más alertas, pero todo el tráfico que coincida con sus reglas se bloqueará.
Un conjunto de reglas se puede eliminar haciendo clic en el icono de la papelera. Sin embargo, al hacer clic en el icono del lápiz, se abre la página Editor donde se edita cada regla independientemente.
Editor En la parte superior de la página Editor aparecen los conjuntos de reglas que se pueden editar. Para elegir más de un conjunto de reglas al mismo tiempo, mantenga pulsada la tecla CTRL y haga clic en los conjuntos de reglas.
Después de seleccionar y hacer clic en el botón Editar, se muestra la lista de reglas incluidas en el conjunto (o conjuntos) de reglas seleccionado(s). La lista puede acortarse introduciendo algunos términos en el cuadro de texto junto a la etiqueta Buscar. Al igual que en la página Reglas, la política de cada entrada se puede cambiar.
Advertencia:
activar el IPS únicamente conlleva que snort esté en funcionamiento, pero todavía no filtra el tráfico. Para que snort filtre paquetes, se debe seleccionar la política de filtro Permitir con IPS en las reglas definidas en las varias páginas de configuración de Firewall.
Alta disponibilidad El dispositivo Panda GateDefender se puede ejecutar en un modo HA, que puede configurarse fácilmente utilizando al menos dos dispositivos Panda GateDefender, uno de los cuales asume el rol de firewall activo (es decir, maestro), mientras que los demás son firewalls en espera (es decir, esclavos).
Si el firewall maestro falla, se realiza una elección entre los esclavos y uno de ellos se convierte en el nuevo maestro, lo que proporciona una conmutación por error transparente. No obstante, si solo hay un esclavo, inmediatamente adoptará las tareas del maestro y permitirá una transición de conmutación por error perfecta al dispositivo Panda GateDefender secundario en caso de avería de hardware en el dispositivo maestro. Esto proporciona una disponibilidad de hardware sin precedentes y redundancia para funciones y seguridad de red críticas.
Para iniciar el servicio HA, se deben configurar al menos un dispositivo Panda GateDefender maestro y uno esclavo de acuerdo con las siguientes pautas.
Nota:
el módulo de alta disponibilidad precisa de como mínimo dos dispositivos Panda GateDefender absolutamente idénticos.
Un aspecto importante que debe tenerse en cuenta al implementar alta disponibilidad es que se debe proporcionar un método de duplicación para cada conexión con el dispositivo de Panda. Cada conexión de la unidad principal (por ejemplo, WAN, LAN, etc.) debe replicarse en todas las unidades en espera para garantizar que existan capacidades de replicación completas.
En este caso, cada red del dispositivo Panda GateDefender (WAN, LAN, etc.) está conectada a un interruptor administrado externamente que tiene una VLAN asignada a cada red. Esta opción de implementación consume la menor cantidad de puertos de red y aporta una extensibilidad mejorada. Otra opción consiste en reemplazar un único interruptor administrado (preparado para VLAN) por interruptores más pequeños e individuales para cada red (WAN, LAN, etc.). Sin embargo, esta configuración puede no ser rentable y podría ser menos fiable dado que la avería de cualquier interruptor podría romper la conmutación por error parcial o totalmente.
Advertencia:
dado que la HA se ejecuta de forma automática en la red VERDE, el latido puede configurarse para ejecutarse en la conexión del interruptor o, como alternativa, se puede asignar un puerto Ethernet adicional a la red VERDE para conectar de manera directa el dispositivo maestro a la unidad esclava. La ventaja de añadir una conexión directa es que elimina el interruptor (y, por lo tanto, posibles fuentes de problemas, mejorando la fiabilidad general) de la ecuación de conmutación por error. La decisión de implementar esta configuración puede depender en gran medida de la fiabilidad general del interruptor administrado (fuente de alimentación doble, índice de averías del puerto, términos de garantía, etc.). Por ello, cuanto más fiable/redundante es la configuración del interruptor, menos crítico resulta tener una conexión directa.
En esta página, solo hay un cuadro, que inicialmente contiene solo una opción:
Activar alta disponibilidad Activa HA en el dispositivo Panda GateDefender; de forma predeterminada, está desactivada.
Tras la activación, aparece un segundo menú desplegable, Lado de alta disponibilidad, que permite configurar el dispositivo Panda GateDefender como maestro o esclavo. Dependiendo de esta elección, hay diferentes opciones de configuración disponibles. Para configurar una unidad esclava, sin embargo, es necesario haber establecido una unidad maestra.
Para el lado maestro, existen las siguientes opciones:
Red de administración La subred especial a la cual deben conectarse todos los dispositivos Panda GateDefender que son parte de la misma configuración HA y su valor predeterminado es
192.168.177.0/24.
A menos que esta subred se utilice para
otros fines, no es necesario cambiarla.
Dirección IP maestra La primera dirección IP de la red de administración. Automáticamente está establecida en 1 en la red elegida, y su valor predeterminado es 192.168.177.1.
Notificación: dirección de correo electrónico del destinatario, Notificación: dirección de correo electrónico del remitente, Notificación: asunto del correo electrónico, Notificación: servidor SMTP que se utilizará Estas opciones pueden rellenarse para recibir notificaciones por correo electrónico cuando se produce un evento de conmutación por error. Se configuran de la misma manera que otras notificaciones de eventos en Barra de menú ‣ Sistema ‣ Notificación de evento: un emisor, un receptor y un asunto personalizados del correo electrónico y el smarthost SMTP utilizados para enviar el correo electrónico.
Activar STP Elija en el menú desplegable si desea activar o no el STP (protocolo de árbol de expansión). Esta opción y la siguiente son importantes cuando el dispositivo Panda GateDefender está en modo de puerta de enlace.
Prioridad de enlace STP La prioridad del enlace. Debe ser 1 en el lado maestro.
Aparecerá un segundo cuadro después de haber activado la HA, con la lista de esclavos con sus direcciones IP, un enlace para acceder a su GUI de administración y la posibilidad de eliminar un esclavo.
La red de administración de HA.
El dispositivo Panda GateDefender utiliza una red especial para conectar la unidad maestra a la(s) esclava(s). 192.168.177.0/24. Si esta red ha sido utilizada en otras zonas, no se elimina ninguna de las redes definidas ni se debe hacer ningún cambio en ellas. De hecho, en tal caso, simplemente asigne a la red de administración de HA un rango de direcciones IP diferentes, por ejemplo, 172.19.253.0/24 o 10.123.234.0/28. Cabe mencionar que el único requisito de la red de administración es que debe ser lo suficientemente grande como para acomodar al maestro y los esclavos. Por consiguiente, si solo hay un dispositivo maestro y un esclavo, incluso una red pequeña como la 192.168.177.0/29 debería ser suficiente. La red de administración se creará como interfaz en la red VERDE, y se mostrará como tal en el dispositivo o al visualizar el estado de la red.
Advertencia:
asegúrese de que se pueda establecer conexión con la red de administración desde la configuración LAN actual, o no será posible iniciar sesión en la unidad maestra.
Después de configurar la unidad maestra, se puede configurar el segundo dispositivo Panda GateDefender, que será el esclavo. Deben seguirse los mismos procedimientos para configurar cada esclavo adicional.
Advertencia:
se recomienda hacer un backup de la unidad esclava antes de configurarla y guardarla en un sitio seguro, dado que puede ser útil para restablecer una unidad esclava después de haberla retirado de su rol.
Para el lado esclavo, se encuentran disponibles las siguientes opciones:
Dirección IP maestra La dirección IP de la unidad maestra, que de forma predeterminada es
192.168.177.1/24
si la red de
administración no se ha cambiado. Este valor debe coincidir con el que aparece como valor de la opción Dirección IP maestra en la unidad maestra.
Contraseña de root principal La contraseña del usuario root de la consola (no la interfaz de administración gráfica) en la unidad maestra.
El esclavo utilizará estos datos para recuperar del maestro toda la información necesaria y mantener la sincronización.
Activar STP Elija en el menú desplegable si desea activar o no el STP (protocolo de árbol de expansión). En el lado esclavo, esta opción debe tener el mismo valor que en el lado maestro.
Prioridad de enlace STP La prioridad del enlace. En el lado esclavo, debe ser un dígito o número mayor que el del lado maestro.
Al guardar la configuración, la conexión con el dispositivo se pierde temporalmente, dado que se crea la red de administración y luego los dos dispositivos (el maestro y el esclavo definido actualmente) comienzan a sincronizarse.
Después de completar el proceso de sincronización, no se puede establecer conexión con el esclavo desde su dirección IP anterior (ya sea la predeterminada de fábrica o su dirección GREENIP anterior), dado que ha entrado en modo en espera y está conectado al maestro solo a través de la red de administración. Todo cambio realizado en la unidad principal (activación de un servicio, cambio de un ajuste, eliminación de un usuario VPN, y demás) se sincronizará automáticamente con las unidades esclavas con excepción de las actualizaciones o los backups de dispositivos (estos deben realizarse de manera manual en la unidad esclava).
Además, la unidad esclava de Panda aparecerá automáticamente en la lista de esclavos de la unidad maestra y se cambiará a una interfaz web únicamente informativa a la que se puede acceder desde la unidad maestra, siguiendo el enlace Ir a administración de GUI junto a cada una de las entradas de la lista de esclavos.
La dirección MAC ROJA
Durante la conmutación por error de HA, la dirección MAC de la interfaz ROJA no se replica en la unidad esclava. Esto puede suponer un problema si el ISP exige utilizar la configuración IP permanente. En esta situación, la dirección IP asignada desde el ISP se determina desde la dirección MAC de la interfaz de red del cliente, de manera similar a una IP fija asignada desde un servidor DHCP a un cliente. Quizá no sea posible volver a conectar con la unidad esclava. Para evitar esta situación, es necesario utilizar la función de ocultar la dirección de MAC en la interfaz ROJA para que la HA funcione adecuadamente. De este modo se garantizará que, cuando la HA se active, la dirección MAC cargue la unidad en espera y no sea necesaria ninguna intervención manual. Esto puede lograrse en el esclavo, antes de activarlo, marcando la opción Utilizar dirección MAC personalizada en Barra de menú ‣ Red ‣ Interfaces ‣ Editar enlace activo principal ‣ Configuración avanzada y especificando la dirección MAC de la interfaz ROJA en el maestro. Como alternativa, la dirección MAC puede introducirse en el paso 4 del asistente de instalación de red, escribiendo la dirección MAC del maestro en la opción Ocultar la dirección MAC con.
Monitorización de tráfico La monitorización del tráfico se realiza mediante ntopng y puede activarse o desactivarse haciendo clic en el interruptor principal de esta página. Cuando está activada la monitorización del tráfico, aparece un enlace a su nueva interfaz de administración en la sección inferior de la página. El tráfico se puede visualizar y analizar por host, protocolo, interfaz de red local y muchos otros tipos de información. Todas estas operaciones pueden realizarse directamente desde el módulo Monitorización de tráfico en el menú Registros e informes.
Servidor SNMP El SNMP se utiliza para supervisar dispositivos de red, y se puede utilizar, por ejemplo, para controlar el estado de la infraestructura interna.
Para activar el servidor SNMP es suficiente hacer clic en el interruptor gris junto a la etiqueta Activar servidor SNMP. Una vez realizado, aparecerán algunas opciones en el cuadro Configuración.
Cadena comunitaria Una clave necesaria para leer los datos con un cliente SNMP.
Ubicación Una cadena de identificación que puede establecerse como cualquier cosa, pero se recomienda que describa la ubicación del dispositivo Panda GateDefender.
Sobrescribir dirección de correo electrónico para notificación global El servidor SNMP exige configurar una dirección de correo electrónico como contacto del sistema, y la dirección de correo electrónico general indicada durante el procedimiento de instalación es la que se utiliza de forma predeterminada. Sin embargo, para utilizar una dirección de correo electrónico personalizada, marque la casilla y escríbala en el campo Dirección de correo electrónico de contacto para el sistema que se activará justo debajo.
Calidad de servicio El objetivo del módulo QoS es priorizar el tráfico IP que pasa por el dispositivo Panda GateDefender dependiendo del servicio. En otras palabras, la QoS es una manera práctica de reservar una determinada cantidad de ancho de banda disponible (entrante y saliente) para un servicio determinado. Las aplicaciones que suele ser necesario priorizar sobre el tráfico masivo son servicios interactivos, por ejemplo, SSH o VoIP.
Las opciones de configuración de QoS se encuentran organizadas en tres pestañas: Dispositivos, Clases y Reglas.
Dispositivos La pestaña Dispositivos también es la página inicial de QoS e inicialmente está vacía. Una vez cargada, aparece una tabla que muestra una lista de todos los dispositivos de Calidad de servicio y, para cada dispositivo, algunos parámetros y las acciones disponibles.
Pueden añadirse nuevos dispositivos QoS haciendo clic en el enlace Añadir dispositivo de calidad de servicio encima de la lista y configurando una serie de opciones.
Dispositivo de destino La interfaz de red que utilizará este dispositivo. Las opciones se encuentran entre las interfaces de red o zonas activadas en el sistema y pueden seleccionarse desde un menú desplegable.
Ancho de banda de bajada (kbits/s) La velocidad de bajada de la interfaz.
Ancho de banda de subida (kbits/s) La velocidad de subida de la interfaz.
Activado Activa la QoS (opción predeterminada) o no.
Las acciones disponibles en los dispositivos son:
: activa o desactiva el dispositivo.
: modifica las propiedades del dispositivo.
: elimina el dispositivo.
Al editar un dispositivo, se abre el mismo formulario que cuando se añade un dispositivo nuevo, en el que se pueden modificar los parámetros actuales del dispositivo.
Por cada dispositivo añadido, aparecerán cuatro elementos bajo la pestaña Clases: tres para prioridad alta, mediana y baja, respectivamente, y uno para tráfico masivo (véase a continuación).
Clases Esta pestaña muestra una lista de las clases de Calidad de servicio que se han creado, si corresponde. Para cada entrada, se muestran varios datos. Pueden añadirse nuevos elementos haciendo clic en el enlace Añadir clase de calidad de servicio encima de la lista de clases. Los parámetros que se deben configurar son los mismos que aparecen en la lista:
Nombre El nombre de la clase de Calidad de servicio.
Dispositivo de calidad de servicio El menú desplegable permite elegir el dispositivo de calidad de servicio para el que se creó la clase.
Sugerencia:
antes de definir una clase de QoS debe haberse creado al menos un dispositivo de QoS.
Reservado El porcentaje de ancho de banda reservado para esta clase del ancho de banda del dispositivo disponible en total.
Límite El porcentaje de ancho de banda máximo que esta clase puede utilizar.
Prioridad La prioridad de la clase, de 0 (baja) a 10 (alta), seleccionada en un menú desplegable.
Nota:
la suma de los porcentajes reservados no puede ser superior a 100 por dispositivo. Además, el ancho de banda reservado no puede ser superior al ancho de banda límite.
Las acciones disponibles son: *
, modifica las propiedades del dispositivo; *
, mueve la clase en la lista; y *
, elimina el
dispositivo.
Las clases pueden moverse hacia arriba o abajo en la lista: los elementos más cercanos a la parte superior de la lista son los primeros en procesarse cuando el ancho de banda no es suficiente para todo el tráfico y el dispositivo Panda GateDefender necesita elegir qué tráfico priorizar.
Reglas La tercera pestaña muestra una lista de las Reglas de calidad de servicio definidas y permite especificar qué tipo de tráfico debe pertenecer a cada una de las clases. Para añadir una nueva regla de Calidad de servicio, haga clic en el enlace Añadir regla de calidad de servicio. En el formulario que se abre, que es muy similar al utilizado para definir las reglas del firewall, se deben configurar varios valores. Se utilizan muchos menús desplegables para facilitar las elecciones y guiarle durante la configuración.
Origen Elija en el menú desplegable el origen del tráfico, ya sea una zona o interfaz, una red, o una dirección IP o MAC. En función de esta elección, podrán especificarse distintos valores: una zona o interfaz de las disponibles entre las que aparecen o una o más direcciones IP, redes o direcciones MAC.
Dispositivo de destino/Clase de tráfico Elija el dispositivo/clase en el menú desplegable y, luego, las direcciones IP o las redes de destino, que deben escribirse en el área de texto de la derecha.
Servicio/Puerto, Protocolo Los dos menús desplegables siguientes se utilizan para definir el servicio, el protocolo y un puerto de destino para la regla (cuando se seleccionan los protocolos TCP, UDP, o TCP + UDP). Existen algunas combinaciones predefinidas de servicio/protocolo/puerto, como HTTP/TCP/80, /TCP+UDP/0:65535, o , que es un atajo para todos los servicios, los protocolos y los puertos. Por último, en el Puerto de destino se pueden indicar uno o más números de puertos personalizados (esto es útil cuando algún servicio no funciona en un puerto estándar).
TOS/DSCP El tipo de valor TOS o DSCP que hay que igualar.
Igualar tráfico Elegir TOS o Clase DSCP en el menú desplegable anterior permite seleccionar un valor adecuado para que el tráfico coincida con otro menú desplegable. Por otra parte, la elección Valor DSCP permite introducir un valor personalizado que debe coincidir con la regla.
Activado Marque esta casilla para activar la regla.
Comentario Un comentario para identificar la regla.
Nota:
si hay más de un servicio en una clase de Calidad de servicio, entonces todos los servicios compartirán el ancho de banda reservado.
Las acciones disponibles en las reglas son:
: activa o desactiva la regla.
: modifica las propiedades de la regla.
: elimina la regla.
El menú Firewall El menú del firewall Esta sección permite establecer reglas que especifican si y cómo el tráfico de red fluye a través del dispositivo Panda GateDefender. El firewall del dispositivo Panda GateDefender está dividido en diferentes módulos, cada uno de los cuales monitoriza y permite o bloquea un tipo específico de tráfico. Los módulos que se encuentran disponibles son los siguientes:
Redirección de puertos / NAT - redirección de puertos y abbr:NAT (Network Address Translation). Tráfico saliente - tráfico saliente, es decir, hacia la interfaz ROJA tráfico Interzona - tráfico entre zonas. Tráfico VPN - tráfico generado por los usuarios de la VPN. Acceso al sistema - otorga acceso al propio host del dispositivo Panda GateDefender. Diagramas del firewall - imágenes que muestran qué tipo de tráfico es interceptado por cada tipo de firewall.
Dentro de cada submenú, en los que se detallan todas las reglas existentes correspondientes, se puede agregar cualquier tipo de regla personalizada, para cada tipo de servicio o todos los puertos/protocolos. Las diferentes partes de las que se compone el firewall se refieren a diferentes tipos de tráfico (por ej.: Las diferentes partes de las que se compone el firewall se refieren a diferentes tipos de tráfico (por ej.: OpenVPN gobierna el tráfico desde/hacia los usuarios de la VPN, el tráfico interzona gobierna el tráfico que fluye de zona a zona) y están designadas para prevenir cualquier tipo de regla superpuesta u opuesta. En otras palabras, no hay manera de escribir dos reglas en dos módulos diferentes del firewall cuyo efecto combinado produzca un bloqueo o acceso indeseado de los paquetes.
La opción de separar las redes que controla el dispositivo Panda GateDefender también permite un manejo más sencillo del firewall, cuya configuración puede volverse muy compleja. En efecto, puede considerarse a cada uno de los módulos como un firewall independiente y su efecto combinado cubre todo el flujo posible de los paquetes a través del dispositivo Panda GateDefender.
Además, para cualquier módulo que se detalla arriba, pueden existir una o más reglas, que no pueden deshabilitarse ni eliminarse. Estas son las llamadas Reglas de los servicios del sistema (o Reglas del sistema), cuyo propósito es permitir la interoperabilidad correcta de los servicios en ejecución en el dispositivo Panda GateDefender con la infraestructura de la Panda Perimetral Management Console.
Las reglas que se definen aquí se transformarán en comandos iptables, la herramienta del firewall de Linux estándar desde el kernel 2.4 y, por lo tanto, se organizarán en tablas, cadenas y reglas. Para una descripción más profunda de los diferentes elementos que componen una regla del firewall, o incluso para aprender a ajustar y administrar un firewall complejo, se sugiere leer la página del manual iptables(8) en cualquier máquina Linux o alguno de los numerosos recursos en línea o tutoriales disponibles en Internet.
Elementos de configuración comunes Al añadir una regla, la mayoría de los valores que se van a configurar en los diferentes módulos son del mismo tipo (p. ej., las interfaces de fuente o destino), ya que al final todos se configuran con iptables. Por lo tanto, para mantener esta sección corta y fácil de leer, todos los elementos de configuración que son comunes a todos los módulos del firewall están agrupados aquí y definidos una sola vez. Solamente existirán más explicaciones en caso de que existan diferencias significativas con las descripciones que aquí se otorgan.
Origen o IP Entrante. Esta configuración, generalmente en forma de un menú desplegable, es el tipo de conexión de origen o entrante que se debe combinar. Dependiendo del tipo elegido, será posible la selección de diferentes conexiones de la pequeña caja bajo el menú: Zona/VPN/Enlace se refiere a la zona de origen, el cliente VPN, o al enlace al que debería aplicarse dicha regla, Red/IP/Rango se refiere a la dirección IP o las direcciones de red, Usuario OpenVPN y Usuario L2TP se refiere a los usuarios OpenVPN o L2TP respectivamente.
Destino o Meta. Esta configuración también aparece en un menú desplegable y permite la elección entre tres tipos de destinos que deberían combinarse y que son iguales a los del menú desplegable Origen: Zona/VPN/Enlace, Red/IP, Usuario OpenVPN o Usuario L2TP, con la excepción de algún pequeño cambio (por ej.: para algunos tipos de reglas, el destino no podrá ser un OpenVPN o un usuario L2TP).
Servicio, Puerto y Protocolo. Generalmente se define a un servicio como la combinación de un puerto y un protocolo. Por ejemplo, el servicio SSH se ejecuta por defecto en el puerto 22 y utiliza el protocolo TCP. Estas tres opciones controlan el puerto y el protocolo a los que se aplicará la regla y consisten en dos menús desplegables desde los cuales se elige un Servicio predefinido que también fijará el protocolo y el rango de puertos en el área del texto, o un Protocolo y opcionalmente un puerto o un rango de puertos. Los
protocolos disponibles son: TCP y UDP - los más utilizados, GRE - utilizado por los túneles, ESP - utilizado por el IPsec, e ICMP utilizado por los comandos ping y traceroute.
Nota
Existen docenas de servicios predefinidos que pueden elegirse desde los menús desplegables y deberían ser suficientes para permitir el acceso a Internet de los servicios más comunes. Debería utilizarse una combinación de puerto y protocolo definida por el usuario solamente si un servicio no se ejecuta en un puerto estándar (p. ej., un servidor SSH escucha el puerto 2345 o un servidor web se ejecuta en el puerto 7981) o si un servicio utiliza un puerto en particular (p. ej., un juego multijugador en Internet).
Subregla "Acceder desde". Casi todas las reglas pueden detallarse con más profundidad añadiendo varias reglas Acceder desde, por ejemplo para limitar el acceso a un cliente dependiendo de la zona desde la cual se conecta al dispositivo Panda GateDefender. Las reglas Acceder desde pueden configurarse cuando se selecciona el modo avanzado (consulte a continuación). Como consecuencia, una regla puede aparecer dividida en dos o más líneas, según el número de políticas de acceso que se hayan definido. Se puede eliminar de manera individual cada subregla Acceder desde sin cambiar la regla principal. Cada una de las subreglas pueden poseer incluso una política de filtro diferente.
Política, Política de filtro. La acción a llevarse a cabo en los paquetes que concuerdan con la regla actual. El menú desplegable permite seleccionar entre cuatro opciones: Permitir con IPS permite que el paquete pase pero se analiza con el Sistema de prevención de intrusos. Permitir permite que pasen los paquetes sin ningún tipo de revisión. Descartar descarta el paquete. Rechazar descarta el paquete y envía un paquete de error como respuesta.
Activado. Todas las reglas que se crean se activan por defecto, pero pueden guardarse y no activarse al desmarcar la casilla, es decir, no se tendrán en cuenta para el filtrado de paquetes. Desactivar una regla podría ser útil para los problemas de conexión con fallas.
Registrar, Registrar todos los paquetes aceptados. Por defecto no se registran entradas cuando se filtra el tráfico. Para activar el registro de una regla, marque la casilla.
Advertencia
Si existe mucho tráfico y paquetes para analizar, el tamaño de los archivos de registro probablemente crezca rápido, así que en este caso ¡recuerde revisar el registro de manera regular para evitar quedarse sin espacio!
Observación. Una descripción u observación sobre la regla para recordar el propósito de la regla. Posición. Recuerde que las reglas iptables se procesan en orden de aparición en la lista y que algunas son reglas de “cese”, es decir, que podrían descartar o rechazar un paquete y finalizar el procesamiento de las reglas subsiguientes. Este menú desplegable permite la elección de la posición en la que debería guardarse esta regla.
Acciones. Pueden llevarse a cabo varias acciones en todas las reglas:
o
: mueve la regla arriba o abajo en la lista.
Sugerencia
Recuerde que el orden es importante. Las reglas del firewall se procesan en el orden en el que aparecen en la página, de arriba abajo.
o
: activa o desactiva la regla.
o
: modifica la regla.
o
: elimina la regla.
Finalmente, después de que se haya guardado cada cambio dentro de las reglas del firewall, debería reiniciarse el firewall para volver a cargar la configuración. Aparecerá una ventana con un botón Aplicar seleccionable para recordarle dicha necesidad.
Redirección de puertos / NAT El módulo de Redirección de puertos / NAT se compone de tres pestañas: Redirección de puertos / DNAT, NAT de origen y tráfico entrante enrutado. Su propósito es el de gestionar todo el tráfico que fluye a través del enlace ascendente, desde la zona ROJA hacia el dispositivo Panda GateDefender, y el tráfico NAT-ed, tanto entrante como saliente.
Redirección de puertos / NAT de destino
Generalmente se utiliza NAT de destino para limitar los accesos a la red desde una red que no es de confianza o para redirigir el tráfico que proviene de una red que no es de confianza y dirigirlo hacia un puerto específico o hacia una combinación de dirección-puerto. Es posible definir qué puerto en qué interfaz debería reenviarse a qué host y puerto.
La lista de las reglas configuradas muestra diversas informaciones: El ID (#) que muestra el orden en el que las reglas se corresponden con el tráfico, la dirección IP entrante, el servicio (es decir, el puerto y el protocolo) hacia el que se dirige el tráfico, la Política que se aplica al tráfico, la dirección Traducir a (es decir, el host y el puerto hacia los que se redirige el tráfico), Observaciones personalizadas y las Acciones disponibles.
Al editar una regla, se abre el mismo formulario que cuando se añade una nueva regla, al hacer clic sobre Añadir una nueva regla de Redirección de puertos / NAT de destino. Un enlace en la parte superior derecha del formulario permite elegir entre un Modo simple o un Modo avanzado. Este último modo permite también ajustar el valor Acceder desde, la política y el tipo de Traducir a.
Además de las opciones comunes , también pueden configurarse estos otros ajustes:
Traducir a Esta parte del formulario cambia dependiendo del modo actual de edición activo, simple o avanzado. Si el modo está establecido en avanzado, además de añadir subreglas Acceder desde, existe un menú desplegable Tipo adicional que permite elegir entre distintos tipos de traducciones.
1.
El primero es IP y corresponde al único disponible en el modo simple. Aquí debería escribirse la dirección IP de destino (además del puerto y NAT), el puerto o el rango de puertos de reenvío y si deberá aplicarse NAT o no a los paquetes entrantes.
2.
Usuario OpenVPN: elija un usuario OpenVPN como meta de destino para el tráfico.
3.
Balanceo de carga: especifique un rango de direcciones IP hacia las que se dividirá el tráfico para evitar cuellos de botella o la sobrecarga de una sola IP.
4.
Mapear la red. Inserte una subred hacia la cual se trasladará el tráfico entrante.
Nota
La traducción Mapear la red mapea estáticamente una red completa de direcciones hacia otra red de direcciones. Esto puede resultar útil para las compañías cuyas filiales utilicen todas la misma red interna. En efecto, en este caso todas estas redes pueden conectarse entre sí a través del mapeo de red.
Un ejemplo sería:
red original 1: 192.168.0.0/24 red mapeada 1: 192.168.1.0/24 red original 2: 192.168.0.0/24 red mapeada 2: 192.168.2.0/24 5.
Usuario de L2TP: elija un usuario de L2TP como meta de destino para el tráfico.
A excepción de cuando se selecciona la opción Mapear la red, siempre es posible definir el puerto o el rango de puertos hacia el que deberá enviarse el tráfico y si se aplicará NAT al tráfico. Si se elige No hacer NAT, no está permitido definir una Política de filtro bajo Acceder desde (modo avanzado).
Advertencia
Al seleccionar IP, Usuario OpenVPN, Usuario de L2TP o Balanceo de carga, tenga en cuenta que los rangos de puertos no se mapearán 1 a 1, sino que se realiza un balanceo circular. Por ejemplo, el mapeo de los puertos entrantes 137:139 hacia los puertos de destino 137:139 dará como resultado que dichos puertos se utilicen de manera aleatoria: El tráfico entrante hacia el puerto 138 puede redireccionarse de manera impredecible hacia el puerto 137, 138, o 139. ¡Deje el campo Puerto/Rango de traducción vacío para evitar dichos acontecimientos!
Resolución de problemas de la redirección de puertos.
Principalmente existen dos razones por las cuales la redirección de puertos podría no funcionar.
1.
El dispositivo Panda GateDefender se encuentra detrás de un dispositivo NAT.
En este caso existe un dispositivo como un enrutador u otro firewall entre el dispositivo Panda GateDefender y la Internet que desestima las conexiones entrantes directas. La solución es la configuración de una redirección de puertos también en dicho dispositivo hacia la IP ROJA del dispositivo Panda GateDefender, si ello fuera posible.
2.
El servidor de destino posee una puerta de enlace predeterminada incorrecta.
Se ha configurado el servidor como el destino de una regla de redirección de puertos con una puerta de enlace predeterminada incorrecta o sin puerta de enlace. Las conexiones se direccionarán ha cia la dirección IP de destino pero debido a una puerta de enlace incorrecta, no se direccionarán los paquetes a través del dispositivo Panda GateDefender. La solución consiste en corregir la puerta de enlace del servidor.
NAT de origen En esta página pueden definirse las reglas que se aplican a la SNAT para las conexiones salientes. También se despliegan las reglas ya definidas, para las cuales se muestran cada una de las direcciones IP de origen y destino, el servicio, el estado de la NAT, una descripción personalizada de la regla y las acciones disponibles.
La NAT de origen puede ser útil si un servidor detrás del dispositivo Panda GateDefender tiene su IP externa propia y los paquetes salientes por lo tanto no podrían utilizar la dirección IP ROJA del firewall, sino aquella del servidor. Para añadir una nueva regla, haga clic en Añadir una nueva regla de NAT fuente y continúe igual que al añadir una regla de reenvío de puertos. Además de las opciones comunes, solamente puede configurarse un ajuste más:
NAT Seleccionar NAT para aplicar NAT, Ninguna NAT, o Mapear red. La elección de utilizar SNAT permite la selección de la dirección IP que debería utilizarse entre aquellas presentadas en el menú desplegable. Las entradas Automáticas elegirán de manera automática la dirección IP correspondiente a la interfaz saliente.
SNAT y un servidor SMTP dentro de la zona naranja.
En algunos casos es preferible declarar explícitamente que no se realice un NAT fuente. Un ejemplo sería el de un servidor SMTP en DMZ, configurado con una IP externa, pero cuyas conexiones salientes deberían poseer la REDIP como fuente. La configuración de un servidor SMTP que se ejecuta en la IP 123.123.123.123 (asumiendo que 123.123.123.123 es una dirección IP adicional del enlace ascendente) dentro del DMZ con el NAT de origen puede realizarse de la siguiente manera:
1.
Configure la zona NARANJA con cualquier subred (p. ej., 192.168.100.0).
2.
Configure el servidor SMTP para que escuche en el puerto 25 de una IP dentro de la zona NARANJA (por ej.: 129.168.100.13).
3.
En la sección Barra de menú ‣ Red ‣ Interfaces, añada un enlace de Ethernet estático con la IP 123.123.123.123 al dispositivo Panda GateDefender.
4.
Añada una regla NAT de origen y especifique que la IP NARANJA del servidor SMTP sea la dirección de origen. Asegúrese de utilizar NAT y configure la dirección IP de la NAT-ed como 123.123.123.123.
Tráfico entrante enrutado Esta pestaña permite redirigir el tráfico que ha sido enrutado a través del dispositivo Panda GateDefender. Esto es muy útil cuando se posee más de una dirección IP externa y alguna de ellas debería utilizarse en DMZ sin la necesidad de utilizar NAT. Los campos que se muestran para cada regla en la lista son el tráfico de origen y de destino, el servicio, la política a aplicar, una observación y las acciones disponibles.
No se puede configurar ningún otro ajuste aparte de las opciones comunes.
Tráfico de salida El dispositivo Panda GateDefender incorpora con un conjunto de reglas preconfiguradas para el tráfico saliente, es decir, para permitir el flujo de tráfico de servicios, puertos y aplicaciones específicos de las diferentes zonas a la interfaz ROJA y, por lo tanto, a Internet. Estas reglas son necesarias para asegurar que los servicios más comunes siempre puedan acceder a Internet y funcionar de manera
adecuada. Existen dos casillas en esta página, una que muestra las reglas actuales y permite añadir nuevas, y una que permite configurar las opciones de salida del firewall.
Nota
Cuando el dispositivo Panda GateDefender está en modo sin enlace, se omiten las reglas definidas en el firewall saliente. Si se utiliza en el modo de enlace sigiloso, solo una parte del tráfico que va desde la zona tras el dispositivo Panda GateDefender hacia el exterior se considera saliente; consulte la descripción del enlace sigiloso.
Dispositivo Panda GateDefender y firewall de aplicaciones (control de aplicaciones)
Los firewalls de aplicaciones son una novedad reciente que supone una mejora frente a los firewalls de estado, puesto que combinan la capacidad de estos últimos para realizar un seguimiento de la fuente y la ruta de la conexión con la de los sistemas de prevención de intrusos para inspeccionar el contenido de los paquetes con el fin de proporcionar más seguridad frente a gusanos, virus, malware y todo tipo de amenazas. El resultado final desde el punto de vista de la experiencia del usuario es que los firewalls pueden bloquear tanto el tráfico entre puertos y direcciones IP como el tráfico generado por aplicaciones individuales. No obstante, esto exige un mayor esfuerzo por parte del firewall: mientras que con el tráfico entre direcciones IP basta con inspeccionar el primer paquete para bloquear o permitir el conjunto del flujo, para reconocer correctamente el tráfico generado por aplicaciones a veces es necesario analizar varios paquetes del flujo, por regla general, no más de tres.
A partir de la versión 5.50, todos los dispositivos Panda GateDefender van equipados con nDPI, una biblioteca de código abierto que implementa inspección de paquetes profunda, lo que permite desplegar reglas para el firewall de aplicaciones. nDPI se despliega como un módulo del kernel e interactúa con iptables para el análisis de los paquetes.
Por tanto, ahora se pueden definir dos tipos distintos de reglas en el firewall saliente:
Reglas de firewall de estado, que filtran el tráfico entre direcciones IP y puertos. Reglas de aplicaciones, es decir, reglas que filtran el tráfico generado por aplicaciones.
Si no se han definido reglas de aplicaciones, el comportamiento del firewall es exactamente el mismo que el de la versión anterior. Sin embargo, si se ha definido una regla de aplicaciones, las reglas de estado que la preceden se comportarán del modo normal, mientras que las que la siguen pasarán por nDPI.
Cabe señalar que el uso de nDPI puede presentar algunas sutilezas, como pone de manifiesto el ejemplo siguiente, lo que puede dar lugar a algunos efectos secundarios no deseados.
Imaginemos que una empresa desea permitir todo el tráfico HTTP, excepto para YouTube y Gmail. La primera regla predeterminada definida en el dispositivo Panda GateDefender sirve para permitir todo el tráfico HTTP sin restricciones. Por tanto, el primer paso consiste en desactivar esta regla. A continuación, se deben definir dos reglas:
1.
una regla de aplicaciones que bloquee los protocolos de Gmail y YouTube; y
2.
una regla de estado que permita todo el tráfico HTTP.
Si la segunda regla fuera una regla de aplicaciones con el protocolo HTTP, solo se permitiría el tráfico reconocido por nDPI como HTTP, pero otros protocolos que utilizan HTTP, como Yahoo y Facebook, también pasarían, puesto que nDPI no los considera HTTP, sino protocolos independientes.
Reglas actuales
En detalle, estos son los servicios y protocolos permitidos por defecto para el acceso a la IP ROJA desde las zonas y que se muestran en el cuadro superior:
VERDE: HTTP, HTTPS, FTP, SMTP, POP, IMAP, POP3, IMAP, DNS, ICMP AZUL: HTTP, HTTPS, DNS, ICMP NARANJA: DNS, ICMP
Todo lo demás está prohibido por defecto, a excepción de las Reglas del sistema que permiten el acceso a los servicios en la Panda Perimetral Management Console. Las reglas de sistema se encuentran definidas aunque las zonas correspondientes no se encuentran activadas.
Las posibles acciones para cada regla son las de activarlas o desactivarlas, editarlas o eliminarlas. Se pueden añadir reglas adicionales al hacer clic en el enlace Añadir nueva regla del firewall en la parte superior de la página. Por favor recuerde que el orden de las reglas es importante: la primera regla que coincide decide si se permite o deniega un paquete, sin importar cuántas reglas que coinciden le siguen. Puede cambiarse el orden de las reglas utilizando los iconos de flecha hacia arriba y hacia abajo situados junto a cada regla.
Las siguientes configuraciones difieren de las opciones comunes por defecto.
Origen Puede consistir en una o más Zona/Interfaces, Red/IP o direcciones MAC.
Destino Puede ser la zona ROJA, uno o más enlaces, o una o más direcciones de red/host accesibles fuera de la interfaz ROJA.
Aplicación Este widget de búsqueda permite seleccionar las aplicaciones que deberían formar parte de la regla. Las aplicaciones se dividen en categorías, por ejemplo, bases de datos, archivos compartidos, etc.
Sugerencia
Escriba como mínimo una letra para mostrar todas las aplicaciones cuyo nombre comienza por esa letra.
Configuración de firewall de salida
Es posible desactivar o activar la totalidad del firewall saliente haciendo clic en el interruptor Activar firewall saliente. Al desactivarlo, se permite todo el tráfico saliente y no se filtra paquete alguno: Sin embargo, se desaconseja firmemente dicha configuración y se recomienda mantener activado el firewall saliente.
Registrar las conexiones salientes aceptadas Al marcar esta casilla se permite el registro de todas las conexiones aceptadas para la interfaz ROJA.
Proxy y firewall saliente.
Siempre que se active el proxy para un servicio concreto (p. ej., HTTP, POP, SMTP, DNS), las reglas del firewall en el firewall saliente no tendrán efecto debido a la naturaleza del proxy.
Cuando el proxy está activado, siempre que se inicie una conexión desde un cliente hacia Internet, será interceptada por el proxy del dispositivo Panda GateDefender (en modo transparente) o irá directamente al firewall pero jamás irá a través del firewall. Después el proxy comienza una nueva conexión hacia el destino real, obtiene los datos y se los envía al cliente. Esas conexiones hacia Internet siempre comienzan desde el dispositivo Panda GateDefender, que oculta la dirección IP interna del cliente. Por lo tanto, dichas conexiones nunca pasan a través del firewall saliente ya que, de hecho, son conexiones locales.
Tráfico interzona Este módulo permite configurar reglas que determinan cómo puede fluir el tráfico entre las zonas de redes locales, excluyendo así la zona ROJA (el tráfico a través de la zona ROJA podrá filtrarse en Tráfico saliente y Redirección de puertos / NAT). Para activar el firewall interzona, haga clic en el interruptor gris
. Existen dos casillas en esta página, una que muestra las reglas actuales
y permite añadir nuevas, y una que permite configurar las opciones del firewall interzona.
Nota
Cuando el dispositivo Panda GateDefender está configurado en el modo sin enlace, todo el tráfico de red debe filtrarse usando el firewall interzona. Asimismo, si está en el modo de enlace sigiloso con más de una zona definida, todo el tráfico que no se enruta por la puerta de enlace se filtra con el firewall interzona. Para obtener más información, consulte la referencia descripción del enlace sigiloso .
Reglas actuales
El dispositivo Panda GateDefender incluye un conjunto simple de reglas preconfiguradas: se permite el tráfico desde la zona VERDE hacia cualquier otra zona (NARANJA y AZUL) y dentro de cada zona, prohibiéndose por defecto todo lo demás.
De manera análoga a lo que ocurre con el firewall de tráfico saliente, se pueden desactivar/activar las reglas, editarlas o eliminarlas haciendo clic en el icono apropiado en el lado derecho de la tabla. Se pueden añadir reglas nuevas al hacer clic en el enlace Añadir nueva regla del firewall interzona en la parte superior de la página. Solo se pueden configurar las opciones comunes.
Configuración del firewall interzona
El firewall interzona puede desactivarse o activarse utilizando el interruptor Activar firewall interzona. Cuando se encuentra desactivado, se permite todo el tráfico entre todas las zonas AZUL, VERDE y NARANJA. Se desalienta enfáticamente la desactivación del firewall interzona.
Registrar las conexiones interzona aceptadas Al marcar esta casilla se permite el registro de todas las conexiones aceptadas entre las zonas.
Tráfico VPN El firewall de tráfico VPN permite añadir reglas del firewall aplicadas a los usuarios y hosts que se conectan a través de OpenVPN.
Generalmente el firewall de tráfico VPN no se encuentra activo, lo que significa que, por un lado, el tráfico puede fluir libremente entre los hosts VPN y los hosts dentro de la zona VERDE y, por otro lado, los hosts VPN pueden acceder a todas las demás zonas. Tenga en cuenta que los hosts VPN no están sujetos al firewall de tráfico saliente ni al firewall de tráfico interzona. Existen dos casillas en esta página, una que muestra las reglas actuales y permite añadir nuevas, y otra que permite configurar las opciones de VPN del firewall.
Reglas actuales
El manejo y la definición de las reglas son idénticos al del firewall de tráfico saliente, por lo que debe consultar esa sección y las opciones comunes para obtener indicaciones sobre la definición y el manejo de las reglas del firewall en este módulo.
Configuración del firewall VPN
El firewall VPN puede desactivarse o activarse utilizando el interruptor Activar firewall VPN.
Registrar las conexiones VPN aceptadas Al marcar esta casilla se permite el registro de todas las conexiones aceptadas de los usuarios de VPN.
Acceso al sistema Esta sección gobierna las reglas que permiten o niegan el acceso al propio dispositivo Panda GateDefender.
Existe una lista de reglas preconfiguradas que no pueden cambiarse, cuyo propósito es el de garantizar el correcto funcionamiento del firewall. En efecto, existen servicios, entre los suministrados por el dispositivo Panda GateDefender, que requieren el acceso de clientes en las diferentes zonas locales. Los ejemplos incluyen el uso del DNS (que requiere que el puerto 53 esté abierto) para resolver nombres de hosts remotos o el uso de las interfaces web de administración (que utilizan el puerto 10443): Siempre que se activa uno de estos servicios, se crean automáticamente una o más reglas para permitir la eficiencia correcta del propio servicio.
Se muestra la lista de las reglas predefinidas cuando se hace clic en el botón Mostrar reglas de los servicios del sistema en la parte inferior de la página.
se pueden añadir más reglas de acceso al sistema al hacer clic en el enlace Añadir una nueva regla de acceso al sistema. Las configuraciones específicas para este módulo del firewall son:
Registro de paquetes Se registran todos los paquetes que acceden o tratan de acceder al dispositivo Panda GateDefender si esta casilla está marcada. Esta opción es útil para saber quién accedió, o intentó acceder, al sistema.
Dirección de origen Las direcciones MAC de la conexión entrante.
Interfaz de origen La interfaz desde la cual se puede acceder al sistema
Nota
No existe dirección de Destino, ya que esta es la dirección IP de la interfaz desde la cual se otorga o se intenta el acceso.
Las acciones consisten en desactivar/activar, editar o eliminar una regla de la lista de reglas.
Diagramas de firewall Esta página muestra, para cada uno de los módulos que se describen en ella, un diagrama que muestra cómo fluye el tráfico entre las zonas y cual es el módulo del firewall que se encarga de los diferentes flujos. Las líneas verdes con flechas muestran cual es el tráfico que se permite en cada zona y en qué direcciones. En el caso del VPN, las reglas desde/hacia la interfaz ROJA se marcan con una X roja, lo que significa que no es posible el tráfico entre ellas.
Al hacer clic en una imagen, se abrirá en una galería que permite explorarla como si fuera una presentación de diapositivas.
El menú Proxy El menú Proxy Para mejorar la seguridad en línea, el dispositivo Panda GateDefender ofrece varios servicios que combinan sus capacidades con las del proxy. El submenú a la izquierda de la página permite acceder a sus páginas y opciones de configuración, que se resumen de la siguiente manera:
HTTP: proxy web (políticas de acceso, autenticación, filtro de contenido y antivirus) POP3: proxy para recuperar correo (filtro de correo no deseado y antivirus) FTP: archivos descargados a través de FTP (antivirus) SMTP: el proxy para enviar o recuperar correo (filtro de correo no deseado y antivirus) DNS: DNS de caché (antispyware)
Cada proxy puede configurarse y activarse/desactivarse independientemente del otro, y también iniciará cualquier otro servicio necesario para su correcto funcionamiento. Por ejemplo, tras configurar e iniciar el proxy SMTP, también se inicia el servicio SMTP, si no se encuentra ya en funcionamiento. Por lo tanto, es necesario configurar el servicio SMTP antes de utilizar el proxy SMTP.
En la versión 5.50 se ha modificado toda la arquitectura del proxy.
La antigua y la nueva arquitectura del proxy HTTP
En la versión 5.50 del dispositivo Panda GateDefender se ha implementado y desplegado una arquitectura más ligera, pero más potente, para el proxy HTTP.
La arquitectura anterior del proxy HTTP se basaba en el denominado encadenamiento proxy, es decir, cuando un cliente solicitaba un recurso remoto que no estaba en caché, tenía lugar un proceso de 5 pasos:
1.
El proxy HTTP (squid) enviaba una solicitud GET al servidor, y recibía una página HTML como respuesta.
2.
Toda la página HTML se enviaba al demonio de filtrado de contenido (dansguardian) y se analizaba.
3.
A continuación, dansguardian enviaba la página al demonio antivirus (havp) y la analizaba en busca de virus y otro malware.
4.
Por último, si no se encontraban virus ni contenido malintencionado, toda la página HTML se enviaba de vuelta a squid. De lo contrario, un mensaje de error HTML (“página de error”) habría reemplazado a la página original.
5.
squid guardaba la página HTML (o la página de error) para futuras solicitudes y se la entregaba al cliente que había solicitado la página HTML originalmente.
El principal inconveniente (y obstáculo) de esta arquitectura es su uso intensivo de los recursos. De hecho, toda la página HTML pasaba secuencialmente a través de toda la cadena, paso a paso, sin posibilidad de agilizar el proceso. La página HTML se recibía desde squid y se enviaba a dansguardian para analizar su contenido. En este punto, aunque el filtro de contenido encontrara contenido malicioso, es decir, aunque la página no se pudiera enviar al cliente que la solicitaba, la página HTML seguía la cadena hacia havp, y luego de vuelta a squid. Solo en ese momento squid enviaba una página de error al cliente original.
Por lo tanto, se decidió abordar este problema desde otro planteamiento, adoptando un enfoque completamente nuevo que garantiza más fiabilidad y consume muchos menos recursos. Ahora el proxy HTTP está respaldado por un servidor ICAP y, aunque esto podría representar a primera vista una arquitectura más compleja, ofrece una importante mejora de rendimiento.
Resumiendo, ICAP es un protocolo, definido en el RFC 3507, que permite manipular el contenido de una página web y volver a presentarlo al cliente. Aunque esta capacidad puede utilizarse de varias formas, en el dispositivo Panda GateDefender está implementada con c-icap para ofrecer análisis de filtrado de contenido y escaneo antivirus de recursos remotos (páginas HTML, y también audio, vídeo, imágenes y documentos de texto).
Gracias a c-icap, se ha aumentado el rendimiento de dos áreas:
1.
De squid a c-icap:
c-icap recibe dos solicitudes paralelas del proxy HTTP.
2.
Entre c-icap y los demonios.
Véase también:
Para obtener más información sobre ICAP junto con sus especificaciones, visite la página web del foro icap.
HTTP El proxy HTTP empleado en el dispositivo Panda GateDefender es squid, cuya principal capacidad consiste en almacenar en caché las solicitudes web para acelerar futuras solicitudes de la misma página, aunque tiene muchas más funciones que permiten su perfecta integración con los otros servicios descritos en el resto de esta sección. La página de configuración del proxy HTTP está compuesta por seis pestañas que organizan un sinfín de opciones: Configuración, Política de acceso, Autenticación, Filtro web, Replicar Active Directory y Proxy HTTPS.
Configuración Un clic en el interruptor Activar proxy HTTP activa el proxy HTTP. Tras algunos segundos, necesarios para iniciar todos los servicios requeridos, aparecen algunos controles en la pestaña Configuración, agrupados en seis paneles. Cada panel tiene un título, seguido de un signo ? que muestra una ventana de ayuda, y se puede expandir o contraer haciendo clic en los iconos o situados a la izquierda de las etiquetas.
El primer ajuste consiste en seleccionar desde un menú desplegable cómo pueden acceder al proxy los usuarios en cada zona activada (VERDE, NARANJA, AZUL) (no hay menú desplegable para las zonas no activadas):
no transparente El servidor proxy está disponible para todos sin necesidad de iniciar sesión, pero los clientes deben configurar su explorador manualmente o solicitar al explorador que busque un proxy (es decir, utilizando el protocolo PAC o WPAD para establecer los ajustes del proxy del explorador).
transparente El servidor proxy está disponible para todos y no requiere configuración en el explorador. Todo el tráfico HTTP es interceptado y reenviado al servidor proxy, que está a cargo de recuperar las páginas web solicitadas y servirlas a los clientes.
Nota:
algunos exploradores, incluidos Internet Explorer y Firefox, son capaces de detectar automáticamente los servidores proxy mediante WPAD. La mayoría de los exploradores también admiten PAC, a través de una URL especial. Al utilizar un dispositivo Panda GateDefender como servidor proxy, la URL se ve de este modo: http:///proxy.pac.
Deshabilitar el proxy HTTP por zona
Para desactivar completamente el proxy para una determinada zona, el proxy de la zona debe establecerse como transparente y la subred de la zona (cuyo valor se puede encontrar en Barra de menú ‣ Servicios ‣ Servidor DHCP) debe añadirse a Omitir proxy transparente desde SUBRED/IP/MAC que aparece al expandir el panel Omitir proxy transparente.
Configuraciones de proxy
En el panel Configuraciones de proxy hay opciones globales de configuración para los servicios del proxy:
Puerto utilizado por el proxy El puerto TCP en el cual el servidor proxy escucha las conexiones, que de manera predeterminada es 8080.
Idioma de error El idioma en el que aparecen los mensajes de error, que de forma predeterminada es el elegido en Barra de menú ‣ Sistema
‣ Configuración de GUI.
Nombre de equipo visible usado por el proxy El nombre de host asumido por el servidor proxy, que también se indica al pie de los mensajes de error.
Correo electrónico utilizado para notificación (administrador de caché) La dirección de correo electrónico que el servidor proxy muestra en los mensajes de error.
Tamaño máximo de descarga (entrante en KB) El límite de descargas de archivos HTTP. 0 significa ilimitado.
Tamaño máximo de carga (saliente en KB) El límite de cargas de archivos HTTP (por ejemplo, los utilizados por formularios HTML mientras se carga el archivo). 0 significa ilimitado.
Puertos y puertos SSL habilitados
Opción de configuración para los puertos que los clientes pueden utilizar cuando navegan:
Puertos habilitados (desde el cliente) Los puertos de destino TCP de los cuales el servidor proxy aceptará conexiones al utilizar HTTP. Se acepta un puerto o un rango de puertos por línea, se permiten comentarios y comienzan con #.
Puertos SSL permitidos (desde el cliente) Los puertos de destino TCP de los cuales el servidor proxy aceptará conexiones al utilizar HTTPS. Se acepta un puerto o rango de puertos por línea, se permiten comentarios, comienzan por # y finalizan al final de la línea.
Configuración del registro
Opción de configuración para activar la función de registro y elegir qué registrar.
Registro de proxy HTTP Registro de todas las URL a las que se accede a través del proxy. Es un interruptor maestro, por lo que las cuatro opciones siguientes están activadas y pueden configurarse solo si el registro está activado, lo que no ocurre de forma predeterminada (recuerde que, cuanto más se registra, mayor es el espacio que necesita el dispositivo Panda GateDefender).
Registro de consulta de término Registro de los parámetros en la URL (por ejemplo, ?id=123).
Registro del agente de usuario Registro del usuario agente enviado por cada explorador.
Registro del filtro de contenido Registro del momento en el que se filtra el contenido de las páginas web.
Registro de firewall (solo proxies transparentes) Permite que el firewall registre los accesos web salientes, es decir, los dirigidos a través de la interfaz ROJA a Internet. Esta opción solo funciona para proxies transparentes.
Omitir proxy transparente
En este panel se puede definir alguna excepción al proxy transparente (véase también arriba), es decir, qué orígenes (es decir, clientes) y destinos (es decir, servidores remotos) debe omitir el proxy, aunque esté activado en esa zona.
Omitir proxy transparente desde SUBRED/IP/MAC Los orígenes que no deben estar sujetos al proxy transparente.
Omitir proxy transparente a SUBRED/IP Los destinos que no se encuentran sujetos al proxy transparente.
Sugerencia:
utilice la notación CIDR para introducir subredes.
Administración de caché
Opciones de configuración para el espacio ocupado en disco por el caché y el tamaño de los objetos almacenados.
Tamaño del caché en disco duro (MB) La cantidad en megabytes que el proxy debe asignar para almacenar en caché sitios web en el disco duro.
Tamaño del caché dentro de la memoria (MB) La cantidad en megabytes de memoria que el proxy debe asignar para almacenar en caché sitios web en la memoria del sistema.
Tamaño máximo de objeto (KB) El límite superior de tamaño en megabytes de un único objeto que se debe almacenar en caché.
Tamaño mínimo de objeto (KB) El límite inferior de tamaño en megabytes de un único objeto que se debe almacenar en caché.
Nota:
los objetos cuyo tamaño no entra dentro de los rangos definidos anteriormente jamás se almacenarán en el disco, sino que se descargarán cada vez que un cliente los solicite.
Activar modo sin conexión Cuando esta opción se encuentra activada (es decir, la casilla está marcada), el proxy jamás intentará actualizar objetos en caché desde el servidor web de subida. Los clientes podrán explorar sitios web estáticos en caché incluso después de que el enlace activo quede inactivo.
Advertencia:
esta opción es útil para navegar por Internet mientras que el enlace activo no funciona si la página solicitada ha sido almacenada en caché anteriormente. No obstante, esta opción puede causar algún problema si se intenta actualizar una página, aun con un enlace
activo en funcionamiento, dado que el proxy HTTP siempre servirá la página en caché. La única posibilidad de tener una copia actualizada de una página web en este caso es vaciar la memoria caché del servidor proxy.
Vaciar caché Cuando se hace clic en este botón, se elimina el caché del proxy.
No hacer caché en estos destinos Los dominios cuyos recursos jamás deben almacenarse en caché.
Proxy de subida
Si hay otro servidor proxy en la LAN, puede contactarse antes de solicitar el recurso original. Este panel contiene opciones de configuración para la conexión entre el dispositivo Panda GateDefender y el proxy de subida.
Proxy de subida Marque esta casilla para activar un proxy de subida y mostrar más opciones. Cuando está activado, antes de recuperar una página web remota que todavía no está en su caché, el proxy del dispositivo Panda GateDefender contacta con el proxy de subida para solicitar esa página.
Servidor de subida El nombre de host o dirección IP del servidor de subida.
Puerto de subida El puerto en el cual el proxy escucha el servidor de subida.
Nombre de usuario / contraseña de subida Si se requiere autenticación para el proxy de subida, las credenciales deben especificarse aquí.
Reenvío de nombre de usuario del cliente Marque la casilla para reenviar el nombre de usuario al proxy de subida.
Reenvío de IP del cliente Marque la casilla para reenviar la dirección IP del cliente al proxy de subida.
Política de acceso Las políticas de acceso se aplican a cada cliente que se conecta a través del proxy, sin importar su autenticación. Una regla de política de acceso es un esquema basado en el tiempo que permite o prohíbe los accesos en función de diversos parámetros acerca del usuario (por ejemplo, la fuente o el destino del tráfico), y el cliente utilizado o el contenido descargado (por ejemplo, el usuario agente, los tipos de mime, la detección de virus y el filtrado de contenido).
En la página aparece una lista de reglas definidas. Cualquier regla puede especificar si se bloquea o se permite el acceso web y, en este último caso, se puede activar y seleccionar un tipo de filtro. La tabla contiene la siguiente información para cada regla incluida en ella: el número de identificación progresivo (#), el nombre (``), el origen y el destino, el tipo de autenticación, si es necesario, los periodos en que está activa, los usuarios agente emparejados, y las acciones disponibles:
: modifica la política.
: elimina la política.
: mueve la directiva arriba o abajo en la lista.
: activa o desactiva la política.
Para añadir una nueva regla de política de acceso, haga clic en Añadir política de acceso. Se abrirá un formulario en el que configurar todos los parámetros:
Tipo de fuente Las fuentes del tráfico a las cuales se aplica esta regla. Puede ser , una zona, una lista de redes, direcciones IP o direcciones MAC.
Tipo de destino Los destinos del tráfico a los cuales se aplicará esta regla. Puede ser , una zona, una lista de redes, direcciones IP o dominios.
Autenticación El tipo de autenticación que se aplicará a los clientes. Puede estar desactivada (en cuyo caso no se requiere autenticación), basada en el grupo o basada en el usuario. Se pueden seleccionar uno o más usuarios o grupos, a los cuales aplicar la política, entre los existentes en la lista que aparecerá.
Sugerencia:
la autenticación solo es local, por lo tanto, antes de poder utilizarla, hay que crear al menos un usuario o un grupo en la pestaña Autenticación.
Restricción de tiempo Determina si la regla tiene efecto en días específicos o en un periodo de tiempo. De forma predeterminada, una regla siempre está activa, pero su validez puede estar limitada a un intervalo o a algunos días de la semana. Al marcar esta casilla, se puede acceder a las siguientes opciones:
Días activos Selecciona uno o varios días de la semana.
Sugerencia:
para seleccionar dos o más días, mantenga pulsada la tecla CTRL y haga clic con el ratón en el nombre del día.
Hora de inicio, Hora de fin, Minuto de inicio, Minuto de fin Para ajustar el intervalo del día durante el cual estará activa la política de acceso, seleccione las horas de inicio y fin en el menú desplegable.
Agentes de usuarios Los clientes y exploradores permitidos, identificados como tal por su usuario agente, es decir, su cadena de identificación.
Tipos de mime Una lista de los tipos de MIME de archivos entrantes que deben bloquearse; uno por línea. Los tipos de MIME solo pueden ser bloqueados (es decir, estar en la lista negra), pero no permitidos (es decir, estar en la lista blanca), por lo tanto, esta opción solo se encuentra disponible en las políticas de acceso de Rechazo. Esta opción permite bloquear cualquier archivo que no corresponda a la política de la empresa (por ejemplo, archivos multimedia).
Nota:
la lista de los tipos MIME disponibles se puede encontrar en el archivo
/etc/mime.types en cualquier cuadro de Linux,
en la página web oficial de la IANA, y también en el RFC 2045 y el RFC 2046.
Política de acceso Selecciona si la regla debe permitir o rechazar el acceso web desde el menú desplegable. Si se establece en Rechazar, la opción Tipos de MIME arriba está activada.
Perfil de filtro Este menú desplegable, disponible cuando la Política de acceso se ha establecido como Permitir acceso, permite seleccionar qué tipo de verificación debe realizar la regla. Las opciones disponibles son: ninguna para ninguna comprobación y detección de virus únicamente para escanear virus. Además, si se ha creado algún perfil de filtro de contenido (véase a continuación), se puede aplicar a la regla.
Estado de la política Si la regla está activada o desactivada. Las reglas desactivadas no se aplicarán. De forma predeterminada, las reglas están activadas.
Posición El lugar donde se debe insertar la regla nueva. Las posiciones más bajas tienen mayor prioridad.
Las acciones disponibles permiten cambiar la prioridad, editar, activar/desactivar o eliminar cada regla de la lista de reglas.
Autenticación El proxy del dispositivo Panda GateDefender admite cuatro tipos de autenticación, que se pueden ver en el menú desplegable de la parte superior de la página: Autenticación local (NCSA), LDAP (v2, v3, Novell eDirectory, AD), Windows Active Directory (NTLM) y RADIUS. El tipo NCSA almacena las credenciales de acceso en el dispositivo Panda GateDefender, mientras que los otros métodos se basan en un servidor externo. En esos casos es obligatorio proporcionar toda la información necesaria para acceder a ese servidor.
Debajo del menú desplegable desde el cual se selecciona el tipo de autenticación, hay dos paneles presentes. El de arriba, Configuración de autenticación, contiene elementos de configuración comunes, mientras que el de abajo cambia en función de la selección del tipo de autenticación, presentando la configuración específica de cada método.
Configuración de autenticación
Los elementos comunes que se pueden configurar en este panel son:
Dominio de autenticación El texto que aparece en el diálogo de autenticación y se utiliza como el dominio de kerberos o winbind al unirse al dominio de Active Directory. Si se utiliza Windows Active Directory para la autenticación, se debe utilizar el FQDN del PDC.
Sugerencia:
si el nombre del servidor es
localauth
y el nombre de dominio es
ejemplo.org,
localauth.ejemplo.org. Número de procesos-hijo de autenticación El número máximo de procesos de autenticación que pueden ejecutarse simultáneamente.
Autenticación de caché TTL (en minutos)
el FQDN es
El tiempo en minutos durante el cual deben estar almacenados en caché los datos de autenticación antes de eliminarlos.
Número de IP diferentes por usuario El número máximo de direcciones IP desde las cuales un usuario puede conectarse al proxy simultáneamente.
Caché TTL para usuario / IP (en minutos) El tiempo en minutos que una dirección IP se asocia al usuario registrado.
Una vez que se ha rellenado el formulario común de configuración, dependiendo del tipo de autenticación elegido, se puede configurar el ajuste específico para el tipo de autenticación seleccionado: Autenticación local (NCSA), Windows Active Directory (NTLM), LDAP (v2, v3, Novell eDirectory, AD), RADIUS.
Parámetros de autenticación NCSA
Administración de usuarios NCSA Al hacer clic en el botón administrar usuarios, se abre la GUI de administración de usuarios. Se compone de una lista sencilla de los usuarios existentes, si se ha creado alguno, y de un enlace Añadir usuario NCSA para añadir más usuarios. Un usuario se añade introduciendo el nombre de usuario y la contraseña en el formulario, y después se puede editar o eliminar.
Sugerencia:
la contraseña debe tener al menos 6 caracteres.
Administración de grupo NCSA Al hacer clic en el botón administrar grupos, se abre la GUI de administración de grupos. Se compone de una lista sencilla de los grupos existentes y sus miembros, si se ha creado alguno, y de un enlace Añadir grupo NCSA para añadir más grupos. Un grupo se crea introduciendo un nombre de grupo y seleccionando uno o más usuarios que deben pertenecer a ese grupo. Un usuario puede pertenecer a más de un grupo.
Advertencia:
si bien un mismo usuario puede pertenecer legalmente a uno o más grupos, se debe tener cuidado con que los grupos a los que pertenece el usuario no definan políticas de acceso opuestas. Como ejemplo, imagine un usuario que sea miembro de dos grupos, uno con la política para permitir acceso al sitio web www.ejemplo.org y otro con la política que bloquea el acceso a esa página web. En este caso, no es fácil predecir si a ese usuario se le otorgará acceso o no al sitio www.example.org. De la administración de estos problemas se encarga el diseñador de las políticas de acceso.
Longitud mínima de contraseña La longitud mínima de la contraseña del usuario local.
Parámetros de autenticación de Windows Active Directory
Nombre de dominio del servidor AD El dominio de Active Directory al cual unirse. Se debería utilizar el FQDN del servidor.
Unirse al dominio AD Haga clic en el botón unirse al domino para unirse al dominio. Esta acción debe realizarse solo después de haber guardado y aplicado la configuración de autenticación.
Nombre del host PDC del servidor AD, Dirección IP de PDC del servidor AD
El nombre del host y la dirección IP del PDC. Tanto el nombre del host como la dirección IP son necesarios para crear la entrada DNS.
Nombre del host BDC del servidor AD, Dirección IP de BDC del servidor AD El nombre del host y la dirección IP de BDC, si lo hubiera. Para crear la entrada DNS se necesitan tanto el nombre de host como la dirección IP.
Requisitos para el uso de NTLM.
Para poder utilizar la autenticación nativa de Windows con Active Directory (NTLM), se deben cumplir algunas condiciones:
La configuración de autenticación debe guardarse y aplicarse antes de intentar la unión con el dominio. El dispositivo Panda GateDefender debe unirse al dominio. Los relojes de sistema del dispositivo Panda GateDefender y el servidor Active Directory deben estar sincronizados. El dominio de autenticación debe ser un FQDN. El nombre del host PDC debe establecerse como el nombre de netbios del servidor Active Directory.
Sugerencia:
el reloj del dispositivo Panda GateDefender puede sincronizarse con el reloj del servidor Active Directory emitiendo el siguiente comando en el shell:
net time set -S IP_OF_AD_SERVER
Autenticación NTLM con Windows Vista y Windows 7.
El proxy HTTP en el dispositivo Panda GateDefender utiliza NTLMv2 negociado, mientras que, de forma predeterminada, Windows Vista y Windows 7 solo admiten NTLMv2. Por consiguiente, es posible que un cliente que instale esos sistemas operativos no logre autenticarse en el proxy HTTP aunque introduzca las credenciales correctas. Para realizar correctamente la autenticación, es necesario efectuar los cambios siguientes:
1.
Haga clic en Inicio ‣ gpedit.msc (ejecutar como administrador).
2.
Vaya a Configuración del equipo ‣ Configuración de Windows ‣ Configuración de seguridad ‣ Directivas
3.
Busque la opción de configuración Seguridad de redes: nivel de autenticación de LAN Manager.
4.
Seleccione el valor “Enviar Lan Manager y NT Lan Manager: usar la seguridad de sesión NT Lan Manager
locales ‣ Opciones de seguridad.
versión 2 si se negocia”.
Después de aplicar estos cambios el explorador del cliente debe autenticarse correctamente utilizando el nombre de inicio de sesión de AD y las credenciales para el proxy HTTP.
Parámetros de autenticación LDAP
Servidor LDAP La dirección IP o el FQDN del servidor LDAP.
Puerto de servidor LDAP El puerto en el cual está escuchando el servidor. El valor predeterminado es 389.
Unir configuración DN El nombre de base diferenciado; es el punto inicial de la búsqueda.
Tipo LDAP Este menú desplegable permite seleccionar el tipo de servidor de autenticación entre Active Directory, Novell eDirectory, LDAP versión 2 y LDAP versión 3.
Unir nombre de usuario DN El nombre totalmente diferenciado de un usuario unido a DN, que debe tener permiso para leer los atributos del usuario.
Unir contraseña DN La contraseña del usuario unido a DN.
Clase de objeto del usuario La clase de objeto a la que el usuario unido a DN debe pertenecer.
Clase de objeto del grupo La clase de objeto a la que el grupo unido a DN debe pertenecer.
Parámetros de autenticación RADIUS
Servidor RADIUS La dirección IP o la URL del servidor RADIUS.
Puerto del servidor RADIUS El puerto en el que escucha el servidor RADIUS.
Identificador Un identificador adicional.
Secreto compartido La contraseña que se utilizará.
Filtro web La capacidad del filtro de contenido del dispositivo Panda GateDefender se basa en la solución de filtrado de URL Commtouch, que utiliza dos técnicas de filtrado que pueden definirse por perfil de filtro.
La primera consiste en un método avanzado de categorización de páginas web en función de su contenido. La segunda técnica utiliza una combinación de URL y dominios de listas blancas y negras. Todas las URL solicitadas por un cliente se buscan en esta lista y solo se sirven si se encuentran en la lista blanca.
Se necesita un perfil para poder utilizar el filtro de contenido. Hay disponible un perfil por defecto, que permite acceder a todas las páginas web y que no se debe eliminar. Pueden crearse fácilmente los perfiles adicionales que se necesiten en la definición de una Política de acceso. Por lo tanto, las políticas de acceso que requieran un perfil determinado solo se podrán crear después de haber creado ese perfil.
En la página, hay una lista de los perfiles existentes, acompañados de una observación y de las acciones disponibles:
: edita un perfil.
: elimina un perfil.
Encima de la tabla, hay un enlace Crear un perfil. Al hacer clic en él, se reemplaza el enlace por el Editor de perfil, que se utiliza para configurar un perfil nuevo, y la lista de perfiles existentes se mueve al pie de la página. Se pueden definir los siguientes ajustes:
Nombre del perfil El nombre dado al perfil.
Activar escaneo antivirus Activa el antivirus en el filtro de contenido.
Los siguientes ajustes vienen en forma de paneles, que pueden expandirse o contraerse haciendo clic en los iconos
o
a la
izquierda de su título. En el extremo derecho, una flecha pequeña muestra si los elementos contenidos se permiten total o parcialmente o no se permiten. Se puede hacer clic en esas flechas para cambiar rápidamente el estado de todos los elementos contenidos.
Filtro de URL
Las categorías que se deben activar para aplicar el filtro de contenido. Cada categoría contiene otras subcategorías, que se pueden permitir o no de manera individual. La flecha verde contenido, mientras que la flecha roja
significa que los elementos de la (sub)categoría se utilizan para el filtro de
significa que esos elementos no se utilizan. El icono
situado cerca del nombre de la
categoría indica que solo se utilizan para el filtrado de contenido algunas de las subcategorías que contiene.
Listas negras y blancas personalizadas
Aquí se pueden añadir listas personalizadas de páginas web como permitidas siempre (lista blanca), cuyo acceso se permitirá siempre a los clientes, o rechazadas (lista negra), cuyo acceso no se permitirá nunca a los clientes.
El filtrado de contenido puede causar positivos y negativos falsos, por lo tanto aquí se puede introducir la lista de dominios que siempre deben bloquearse o permitirse. Esta política se aplicará con independencia de los resultados del análisis del filtro de contenido.
Replicar Active Directory En esta sección se pueden introducir las credenciales necesarias para unirse al servidor Active Directory, una función que solo es posible si se ha seleccionado la opción Windows Active Directory (NTLM) en la pestaña Autenticación.
Nombre de usuario del administrador del ADS El nombre de usuario del servidor Active Directory.
Contraseña del administrador de ADS La contraseña del servidor Active Directory. No aparece de forma predeterminada, pero puede mostrarse marcando la casilla situada a la derecha del campo de texto.
Proxy HTTPS En esta página es posible configurar el servidor proxy para el escaneo de tráfico cifrado SSL cifrado, es decir, el tráfico a través del puerto 443. Cuando está activado, el squid intercepta todas las solicitudes de los clientes y las reenvía al servidor remoto, como en el caso de las solicitudes HTTP. La única diferencia surge en las solicitudes HTTPS. Se necesita un certificado “intermedio” para que el cliente se conecte al dispositivo Panda GateDefender a través de HTTPS. El dispositivo podrá responder a la solicitud, recuperar el recurso remoto, controlarlo y enviarlo al cliente que lo haya solicitado.
Existen tres ajustes disponibles en esta página y se dividen en dos partes. La primera permite configurar el proxy HTTPS. La segunda se utiliza para administrar el certificado del dispositivo Panda GateDefender.
Activar proxy HTTPS
Marque esta casilla para activar el proxy HTTPS. Aparecerá la siguiente opción.
Aceptar cada certificado Esta opción permite al dispositivo Panda GateDefender aceptar automáticamente todos los certificados del servidor remoto, incluso aquellos que no son válidos o están obsoletos.
Para activar el proxy HTTPS, haga clic en Guardar y espere unos segundos.
La parte inferior se puede utilizar para cargar un certificado que usará el dispositivo Panda GateDefender o para generar uno nuevo, que sustituirá al actual, en caso de haberlo.
Cargar certificado proxy Para utilizar un certificado existente, haga clic en Examinar…, elija el certificado en el disco duro local y, a continuación, haga clic en el botón Cargar para copiar el certificado en el dispositivo Panda GateDefender.
Crear un certificado nuevo Para crear un certificado nuevo desde cero, haga clic en este botón. Aparecerá un cuadro de diálogo solicitando confirmación. Haga clic en Aceptar para continuar o en Cancelar para cerrar el cuadro de diálogo y volver atrás.
Una vez cargado o creado el certificado, aparecerá una nueva opción en forma de hipervínculo junto a la etiqueta Cargar certificado proxy:
Descarga Haga clic en este hipervínculo para descargar el certificado, que será necesario para los clientes.
POP3 Esta página contiene opciones de configuración para el filtro de correo SpamAssassin y cómo se deben administrar los correos electrónicos reconocidos como spam.
Configuración general En esta página se pueden activar algunas preferencias de configuración general de POP3 marcando las casillas adecuadas.
Habilitado en verde, Habilitado en azul, Habilitado en naranja Activa el escáner de correo electrónico de POP3 en las zonas VERDE, AZUL y NARANJA, respectivamente. Aparecen solo si las zonas correspondientes están activadas.
Escáner de virus Activa el escáner de virus.
Filtro de correo no deseado Activa el filtro de correo no deseado en los correos electrónicos.
Interceptar conexiones cifradas SSL/TLS Si se marca esta casilla, también se escanean las conexiones a través de SSL/TLS en busca de virus.
Registros del firewall de conexiones salientes
Permite que el firewall registre todas las conexiones salientes.
Filtro de correo no deseado Esta página permite configurar cómo debe proceder el proxy POP3 cuando identifica un correo electrónico como spam.
Nota:
incluso si un correo electrónico ha sido marcado como spam, se entregará al receptor original. De hecho, no entregarlo rompería el RFC 2821, que establece que, una vez que un correo electrónico ha sido aceptado, debe entregarse al receptor.
Etiqueta de asunto de correo no deseado El prefijo que se añadirá al asunto del correo electrónico identificado como spam.
Añadir informe de spam a cuerpo del mensaje Marque la casilla para reemplazar, en cada mensaje de spam, el cuerpo del mensaje original por un informe del demonio SpamAssassin con el resumen de lo que ha encontrado, es decir, con los motivos por los que el correo electrónico se ha clasificado como spam.
Coincidencias requeridas La cantidad de coincidencias requeridas para que un mensaje sea considerado como spam.
Activar soporte para correos electrónicos japoneses Marque esta casilla para activar el soporte para conjuntos de caracteres japoneses en correos electrónicos para buscar spam en japonés.
Activar la detección de no deseados en el resumen del mensaje (pyzor) Para detectar correos electrónicos no deseados utilizando pyzor (en pocas palabras, los correos electrónicos no deseados se convierten a un único mensaje de resumen que puede utilizarse para identificar otros correos electrónicos no deseados similares).
Advertencia:
si se activa esta opción puede, ralentizarse considerablemente el proxy POP3.
Lista blanca Una lista de direcciones de correo electrónico o dominios completos, especificados utilizando comodines, por ejemplo, *@ejemplo.com; una dirección por línea. Jamás se comprobarán en búsqueda de spam los correos electrónicos enviados desde estas direcciones y estos dominios.
Lista negra Una lista de direcciones de correo electrónico o dominios completos, especificados utilizando comodines, por ejemplo, *@ejemplo.com; una dirección por línea. Los correos electrónicos enviados desde estas direcciones y estos dominios siempre se marcarán como spam.
La configuración se puede guardar haciendo clic en el botón Guardar.
Correos electrónicos cifrados.
El dispositivo Panda GateDefender no puede escanear los correos electrónicos enviados a través de la conexión POP3 SSL dado que se encuentra en un canal cifrado.
Por lo tanto, para permitir que un cliente utilice POP3 sobre SSL es necesario configurarlo adecuadamente y desactivar el cifrado desde el cliente al dispositivo Panda GateDefender. Se debe desactivar el cifrado (es decir, no utilizar SSL), pero el puerto para el tráfico POP3 en texto sin formato debe cambiarse del 110 (predeterminado) al 995.
Tras establecer esta configuración, la conexión desde el cliente al dispositivo Panda GateDefender permanecerá en texto sin formato, pero utilizará el puerto 995, convirtiendo la configuración del dispositivo Panda GateDefender en un POP3 cifrado sobre la conexión SSL desde el dispositivo al servidor POP3.
FTP El proxy FTP se encuentra disponible solo como proxy transparente en las zonas que se han activado y permite el escaneo de archivos descargados a través del FTP para buscar virus. El dispositivo Panda GateDefender emplea frox como proxy FTP.
Nota:
solo se redirigen al proxy las conexiones al puerto estándar del FTP (21). Esto significa que, si un cliente está configurado para utilizar el proxy HTTP también para el protocolo FTP, se omitirán los ajustes para el proxy FTP.
En esta página se pueden configurar algunas opciones:
Habilitado en verde, Habilitado en azul, Habilitado en naranja Activa el proxy FTP en cada zona. Solo disponible en las zonas activadas.
Registros del firewall de conexiones salientes Registro de las conexiones salientes en el firewall.
Omitir el proxy transparente en el origen Permite que los orígenes en el área de texto correspondiente no se sometan al análisis del proxy FTP.
Omitir el proxy transparente en el destino Permite que los destinos en el área de texto correspondiente no se sometan al análisis del proxy FTP.
Proxy FTP y modos activo y pasivo del cliente FTP.
El dispositivo Panda GateDefender admite un proxy FTP transparente con frox únicamente si está conectado de forma directa a Internet.
Pueden surgir problemas si el proxy FTP transparente está activado y hay un dispositivo NAT entre el dispositivo Panda GateDefender e Internet. En esta configuración, cualquier conexión FTP a un sitio FTP remoto estará bloqueada hasta que se agote el tiempo de espera, y en los registros aparecerán mensajes como:
Mon Mar 2 11:32:02 2009 frox[18450] Connection timed out when trying to connect to Mon Mar 2 11:32:02 2009 frox[18450] Failed to contact client data port Para resolver estos problemas, debe configurarse el cliente FTP para utilizar el modo pasivo (PASV) como modo de transferencia, y debe crearse una regla en Barra de menú ‣ Firewall ‣ Acceso al sistema que permita el tráfico en los puertos del 50000 al 50999 para el dispositivo NAT. No obstante, por motivos de seguridad, estos puertos solo deben activarse si es necesario. Para comprender los motivos de esta configuración, a continuación se ofrece una descripción más detallada de cómo funcionan los modos activo y pasivo y cómo interactúan con el proxy FTP.
El modo activo exige que el servidor (en nuestro caso, el proxy FTP) inicie la conexión de datos con el cliente. Sin embargo, un dispositivo NAT entre los clientes y el proxy hace que la conexión desde el servidor jamás alcance al cliente. Por este motivo, el cliente debe utilizar el modo pasivo.
Con el modo pasivo, el cliente FTP debe iniciar la conexión con el servidor (otra vez, el proxy FTP) utilizando un puerto dinámico, que se ha negociado a través de la conexión de control. El proxy FTP escucha a ese puerto, pero el firewall de acceso al sistema necesita permitir el tráfico a ese puerto.
Dado que múltiples conexiones de datos concurrentes pueden intentar acceder al proxy FTP, es necesario permitir conexiones para un rango de puertos completo. Por consiguiente, el firewall de acceso al sistema debe admitir todos los puertos reservados para conexiones de datos pasivas (es decir, 50000-50999).
SMTP El proxy SMTP puede repetir y filtrar tráfico de correo electrónico cuando se envía desde los clientes a los servidores de correo.
El objetivo del proxy SMTP es controlar y optimizar el tráfico SMTP y proteger las redes locales de amenazas al utilizar el protocolo SMTP. SMTP se utiliza cuando un correo electrónico se envía desde un cliente de correo electrónico local a un servidor de correo remoto, es decir, para los correos electrónicos salientes. También se utilizará si un servidor de correo se ejecuta en la LAN (es decir, dentro de la zona VERDE) o la DMZ (zona NARANJA) y los correos electrónicos se pueden enviar desde fuera de la red local (solicitudes entrantes) a través de ese servidor de correo, es decir, cuando se permita a los clientes enviar correos electrónicos desde la interfaz ROJA.
Para descargar correos electrónicos desde un servidor de correo remoto a un cliente de correo electrónico local, se utilizan los protocolos POP3 o IMAP. Para proteger también ese tráfico, active el proxy POP3 en Barra de menú ‣ Proxy ‣ POP3.
Advertencia:
actualmente, no se admite el escaneo de tráfico IMAP.
Con la funcionalidad del proxy de correo electrónico, se puede escanear el tráfico de entrada y salida del correo electrónico en busca de virus, spam y otras amenazas. Los correos electrónicos se bloquean si es necesario y, en ese caso, se notifica al usuario receptor y al administrador. Con la posibilidad de escanear correos electrónicos entrantes, el proxy de correo electrónico puede gestionar conexiones entrantes desde la interfaz ROJA y enviar el correo electrónico a uno o más servidores de correo internos. Por ello, es posible utilizar un servidor propio de correo electrónico detrás del firewall sin tener que definir las reglas adecuadas de reenvío de puertos.
La configuración del proxy SMTP está dividida en seis pestañas, cada una adaptada a uno de los aspectos del proxy SMTP.
Configuración Esta es la página principal de configuración para el proxy SMTP. El proxy SMTP se puede activar haciendo clic en el interruptor . Cuando está activado, se puede elegir si el proxy SMTP debe estar activo, inactivo o transparente para cada zona activa:
activo El proxy SMTP se encuentra activado para la zona y acepta solicitudes en el puerto 25.
modo transparente Si el modo transparente se encuentra activado, todas las solicitudes del puerto 25 de destino se interceptarán y reenviarán al proxy SMTP sin necesidad de cambiar la configuración de los clientes. Esta opción no se encuentra disponible para la zona ROJA.
inactivo El proxy SMTP no se está activado para esa zona.
Hay otras opciones disponibles agrupadas en cinco paneles. Cada panel puede expandirse haciendo clic en el icono haciendo clic en el icono
o contraerse
.
Configuración de spam
En este panel existe la posibilidad de configurar las aplicaciones de software usadas por el dispositivo Panda GateDefender para reconocer y filtrar el spam, configurando las siguientes opciones:
Filtrar correo no deseado Activa el filtro de correo no deseado y permite la configuración de las opciones adicionales que aparecerán a continuación.
Elegir gestión de correo no deseado Existen tres acciones que se pueden aplicar a los correos electrónicos que se han identificado como spam:
mover a la ubicación de cuarentena por defecto: los correos electrónicos no deseados se moverán a la ubicación predeterminada.
enviar a la dirección de correo electrónico de cuarentena: los correos electrónicos no deseados se reenvían a una dirección de correo electrónico personalizada que puede especificarse en el cuadro de texto Dirección de correo electrónico para el correo no deseado en cuarentena que aparecerá al seleccionar esta opción.
marcar como correo no deseado: el correo electrónico se marca como spam antes de la entrega. colocar correo electrónico: el correo spam se elimina de inmediato.
Asunto del spam Se aplica un prefijo al asunto de todos los correos electrónicos marcados como spam.
Correos electrónicos utilizados para notificaciones de correo no deseado (administrador del correo no deseado) La dirección de correo electrónico que recibirá una notificación por cada correo electrónico procesado como spam.
Etiqueta de nivel de correo no deseado Si la puntuación de spam de SpamAssassin es superior a este número, se añaden al correo electrónico los encabezados de Estado de correo no deseado X y Nivel de correo no deseado X.
Etiqueta de nivel de correo no deseado Si la puntuación de correo no deseado de SpamAssassin es superior a este número, se añaden al correo electrónico los encabezados de Asunto del spam y Flag de no deseado X.
Nivel de cuarentena de correo no deseado Cualquier correo electrónico que supere esta puntuación de spam se moverá a la ubicación de cuarentena.
Enviar notificación únicamente debajo del nivel Envía correos electrónicos de notificación únicamente si la puntuación de spam es inferior a este número.
Filtro de correo no deseado Activa la lista gris de correo no deseado y muestra la siguiente opción.
Espera para lista gris (seg) El retraso en segundos de la lista gris puede ser un valor entre 30 y 3.600.
Informe de correo no deseado Marque esta casilla para añadir un informe al cuerpo de los correos electrónicos identificados como spam.
Conversión a japonés Marque este cuadro para activar el soporte para conjuntos de caracteres japoneses en correos electrónicos y filtrar spam en japonés.
Nota:
aunque se bloquea la mayoría de los mensajes de spam simples y conocidos y los correos enviados por hosts de spam, los spammers siempre adaptan sus mensajes para que los filtros de correo no deseado no los identifiquen Por consiguiente, es absolutamente necesario capacitar siempre al filtro del correo no deseado para obtener un filtro personalizado y más fuerte (bayes).
Configuración del antivirus
En este panel se pueden configurar algunas opciones para administrar cualquier virus encontrado.
Buscar virus en los correos Activa el filtrado de correos electrónicos para buscar virus y muestra las opciones de filtro de virus adicionales.
Elegir gestión de virus Existen tres o cuatro acciones disponibles (según el tipo de dispositivo Panda GateDefender) que se pueden realizar en correos electrónicos identificados como spam). Son las mismas que en la Configuración de spam indicada anteriormente:
mover a la ubicación de cuarentena por defecto: los correos electrónicos que contengan virus se enviarán a la ubicación predeterminada.
enviar a la dirección de correo electrónico de cuarentena: los correos electrónicos que contienen virus se reenvían a una dirección de correo electrónico personalizada que se puede especificar en el cuadro de texto Dirección de correo electrónico para cuarentena de virus que aparecerá al seleccionar esta opción.
enviar al destinatario (sin importar el contenido potencialmente peligroso): los correos electrónicos que contienen virus se entregarán del modo habitual.
colocar correo electrónico: el mensaje de correo electrónico que contiene virus se elimina de inmediato.
Correo electrónico utilizado para notificaciones de virus (administrador de virus) La dirección de correo electrónico que recibirá una notificación por cada correo electrónico procesado que contiene virus.
Configuración de archivos
Este panel contiene ajustes para bloquear cualquier archivo adjunto a un correo electrónico en función de su extensión. Cuando se encuentren esas extensiones de archivo en cualquier adjunto, se realizará la acción seleccionada.
Bloquear archivos según extensión Activa el filtro de archivos basado en extensiones y muestra opciones adicionales de filtro de virus.
Elegir gestión de archivos bloqueados Existen tres o cuatro acciones disponibles (según el tipo de dispositivo Panda GateDefender) que se pueden realizar en correos electrónicos que tienen archivos bloqueados (son las mismas que en los cuadros previos de Configuración de spam y Configuración del antivirus):
mover a la ubicación de cuarentena por defecto: los correos electrónicos que contengan archivos bloqueados se enviarán a la ubicación predeterminada.
enviar a la dirección de correo electrónico de cuarentena: los correos electrónicos que contienen archivos bloqueados se reenvían a una dirección de correo electrónico personalizada que se puede especificar en el cuadro de texto Correo electrónico utilizado para notificaciones de archivo bloqueado que aparecerá al seleccionar esta opción.
enviar al destinatario (sin importar los archivos bloqueados): los correos electrónicos que contienen archivos bloqueados se entregarán del modo habitual.
Elegir tipos de archivos a bloquear (por extensión) Las extensiones de archivo que se bloquearán.
Sugerencia:
mantenga pulsada la tecla CTRL y haga clic con el botón izquierdo del ratón para seleccionar varias extensiones.
Correo electrónico utilizado para notificaciones de archivo bloqueado (administrador de archivos) La dirección de correo electrónico que recibirá una notificación por cada correo electrónico procesado que contenga adjuntos bloqueados.
Bloquear archivos con extensión doble Activa el bloqueo de cualquier archivo con extensión doble.
Nota:
los archivos con extensión doble generalmente son archivos maliciosos que aparecen como imágenes o documentos inofensivos. No obstante, al hacer clic en ellos, se ejecuta una aplicación cuyo objetivo es dañar el equipo o robar datos personales. Un archivo con extensión doble es exactamente igual que un archivo normal, pero su nombre (por ejemplo,
imagen.jpg)
va seguido
por .exe, .com, .vbs, .pif, .scr, .bat, .cmd o .dll (por ejemplo, imagen.jpg.exe).
Es necesario configurar los dominios de correo electrónico de los que debe responsabilizarse cada servidor local. La lista de combinaciones de dominio-servidor SMTP puede definirse en Barra de menú ‣ Proxy ‣ SMTP ‣ Dominios de entrada.
Configuración de cuarentena
En este panel solo hay una opción:
Tiempo de retención de cuarentena (días) El número de días que el correo electrónico se almacenará en la ubicación especial de cuarentena en el dispositivo Panda GateDefender antes de eliminarlo.
Sugerencia:
los mensajes almacenados en la cuarentena pueden gestionarse en la Cuarentena de correo, que se encuentra en Barra de menú ‣ Servicios ‣ Cuarentena de correo
Omitir proxy transparente
En el último panel, se pueden definir listas personalizadas de dominios para los cuales se deba desactivar el proxy transparente.
Omitir proxy transparente desde SUBRED/IP/MAC Los correos electrónicos enviados desde estas fuentes no se someten al proxy transparente.
Omitir proxy transparente a SUBRED/IP Los correos electrónicos enviados a estos destinos no se someten al proxy transparente.
Listas negras y blancas En esta página hay cuatro paneles: Tres permiten definir varias listas blancas y negras personalizadas, mientras que el cuarto permite seleccionar y utilizar un RBL existente.
Ejemplos de listas blancas y negras para receptor/emisor:
En las listas blancas o negras se puede incluir todo un (sub)dominio, de esta forma:
Un dominio que incluye subdominios: ejemplo.com.
Solo los subdominios: .ejemplo.com.
Una dirección única:
[email protected],
[email protected].
Ejemplos de listas blancas y negras para cliente:
Un dominio o IP: ejemplo.com, 10.10.121.101, 192.168.100.0/24.
Correo aceptado (listas blancas y negras)
En el primer panel se puede introducir cualquier cantidad de dominios, subdominios o direcciones únicas de correo electrónico en una lista blanca o negra. En las dos listas se puede introducir cualquier cantidad de emisores, receptores y clientes en las áreas de texto adecuadas, que son las siguientes:
Lista blanca del remitente Todos los correos electrónicos enviados desde estas direcciones o dominios serán aceptados. Este es el campo
De: en el
correo electrónico.
Remitente de lista negra Todos los correos electrónicos enviados desde estas direcciones o dominios serán rechazados. Este es el campo
De: en
el correo electrónico.
Lista blanca de destinatarios Todos los correos electrónicos enviados a estas direcciones o dominios serán aceptados. Este es el campo
Para: en el
correo electrónico.
Destinatario de lista negra Todos los correos electrónicos enviados a estas direcciones o dominios serán rechazados. Este es el campo Para: en el correo electrónico.
Lista blanca de clientes Todos los correos electrónicos enviados desde estas direcciones IP o hosts serán aceptados.
Cliente de lista negra Todos los correos electrónicos enviados desde estas direcciones IP o hosts serán rechazados.
Lista negra de tiempo real (RBL)
Un método que se suele utilizar para bloquear correos electrónicos no deseados se denomina RBL, y su uso puede configurarse en el segundo panel. Estas listas las crean administran y actualizan diferentes organizaciones con el fin de identificar y bloquear lo más rápidamente posible un nuevo servidor SMTP utilizado para enviar spam. Si un dominio o una dirección IP de emisor aparecen en una de las listas negras, los correos electrónicos enviados desde allí se rechazarán sin ninguna otra notificación. El uso de RBL ahorra ancho de banda, dado que los correos electrónicos no se aceptarán y gestionarán como correos electrónicos legítimos, sino que se rechazarán en cuanto la dirección IP o el dominio del emisor se incluyan en cualquier lista negra. El dispositivo Panda GateDefender utiliza muchas RBL diferentes, que se dividen en basados en IP y basados en dominio. La lista negra que pertenece a cada categoría se muestra haciendo clic en el pequeño icono
, y puede activarse o desactivarse haciendo clic en la flecha roja o verde en la parte
superior de la lista o individualmente. Se puede acceder a la página de inicio de las varias organizaciones que compilan listas haciendo clic en el nombre de la lista.
Advertencia:
a veces un operador de RBL puede haber incluido por error en las listas direcciones IP o dominios. Si esto sucede, puede perjudicar las comunicaciones, dado que incluso correos electrónicos legítimos de esos dominios se rechazarán y no será posible recuperarlos. Dado que no existe la posibilidad de influir directamente en las RBL, es necesario analizar bien las políticas aplicadas desde las organizaciones que administran RBL antes de utilizarlas. Panda no se asume responsabilidad alguna por los correos electrónicos que se hayan perdido a causa de utilizar RBL.
Entre las listas negras instaladas se encuentran:
bl.spamcop.net Una lista negra basada en datos presentados por sus propios usuarios.
zen.spamhaus.org Esta lista reemplaza la antigua sbl-xbl.spamhaus.org y contiene la lista de bloqueo de Spamhaus además de la lista de bloqueo de explotación de Spamhaus y su política de lista de bloqueo.
cbl.abuseat.org La CBL toma sus datos de origen de excepciones de correo no deseado muy grandes. Solo incluye IP que muestran características específicas de proxies abiertos de varios tipos (por ejemplo, HTTP, socks, AnalogX, wingate, etc.) desde los que, de forma abusiva, se han enviado spam, gusanos, virus que hacen su propia transmisión de correos o algún tipo de troyano o spamware “sigiloso”, sin hacer ningún tipo de pruebas en los proxies abiertos.
[nombre].dnsbl.sorbs.net y rhsbl.dnsbl.sorbs.net Esta organización suministra varias listas negras (reemplazar [nombre] con retransmisiones seguras, etc.), y pueden activarse individualmente o todas juntas activando la lista negra dsnbl.sorbs.net.
uceprotect.net Listas que tienen dominios de fuentes conocidas de spam durante como máximo siete días. Después de este periodo, los dominios se eliminan de las listas, pero las futuras violaciones causan la aplicación de políticas más restrictivas.
dsn.rfc-ignorant.org Esta es una lista que contiene dominios o redes IP cuyos administradores eligen no obedecer al RFC, los estándares de la red.
Nota:
el sitio rfc-ignorant.org cerró su servicio el 30 de noviembre de 2012 (véase el anuncio), pero su contenido lo ha heredado el equipo de http://www.rfc-ignorant.de/. No obstante, a día de hoy, su trabajo aún no ha creado RBL operativas (noviembre de 2013).
Los RBL se agrupan en dos cuadros. A la izquierda hay RBL basadas en IP, mientras que a la derecha hay RBL basadas en dominios. Para activar todas las RBL de un cuadro, haga clic en el icono
junto a la barra de título del cuadro (el icono se convertirá en
desea activar solo algunas de las RBL, haga clic en el icono
situado al lado del nombre de cada RBL. En ese caso, el icono
de la barra de título quedará reemplazado por un icono
). Si o
.
Listas grises de correo no deseado
En el tercer panel, se pueden crear listas blancas con listas grises añadiendo entradas por cada receptor, dirección IP o red en las dos áreas de texto. A los elementos de la lista blanca no se les aplicará ninguna lista gris.
Lista blanca de destinatarios Todas las direcciones de correo electrónico o dominios completos escritos en esta área de texto, por ejemplo,
[email protected] o ejemplo.com, se consideran “seguros”, es decir, los correos electrónicos que provengan de ellos no se comprobarán en busca de spam.
Lista blanca de clientes Todas las direcciones del servidor de correo en esta área de texto se consideran “seguras”, es decir, los correos electrónicos que vienen de esta dirección del servidor no se comprobarán en busca de spam.
Listas grises
Las listas grises son un método utilizado por un MTA para verificar si un correo electrónico es legítimo. Para ello, lo rechaza una primera vez y espera a que se produzca un segundo envío del mismo correo electrónico. Si el correo electrónico no se vuelve a recibir, el remitente se considera una fuente de spam. La idea tras las listas grises es que los robots de spam masivo no intentan reenviar ningún correo rechazado. Por lo tanto, solo se reenviarían correos electrónicos válidos.
Correo no deseado (listas blancas y negras)
Finalmente, en el último panel, se definen las listas blancas y negras explícitas para el filtro de correo no deseado.
Lista blanca del remitente En esta área de texto se pueden incluir en las listas blancas direcciones de correo electrónico o dominios completos (es decir, jamás se identificarán como spam), por ejemplo,
[email protected] o el dominio ejemplo.com.
Remitente de lista negra En esta área de texto se pueden incluir en las listas negras direcciones de correo electrónico o dominios completos (es decir, siempre se identificarán como spam), por ejemplo,
[email protected] o el dominio ejemplo.com.
Dominios de entrada Cuando el correo entrante está activado (es decir, los clientes fuera de la interfaz ROJA pueden enviar correos electrónicos desde un servidor SMTP local) y los correos electrónicos que se enviarán deben reenviarse a un servidor de correo detrás del dispositivo Panda GateDefender (normalmente configurado en la zona NARANJA), es necesario declarar los dominios que el proxy SMTP debe aceptar y a qué servidores de correo electrónico se debe reenviar el correo entrante. Se pueden especificar múltiples servidores de correo detrás del dispositivo Panda GateDefender para dominios diferentes.
La página presenta una lista de dominios junto con el servidor de correo responsable de cada uno de ellos, si se ha definido alguno. Para añadir un dominio nuevo, haga clic en el botón Añadir un dominio. Se abrirá un formulario sencillo, donde se puede crear la combinación de dominio-servidor de correo.
Dominio El dominio del que es responsable el servidor de correo.
IP del servidor de correo La dirección IP del servidor de correo.
La nueva entrada aparecerá al pie de la lista. Las acciones disponibles para cada dominio son:
: modifica la propiedad del dominio.
: elimina el dominio.
Advertencia:
no se solicitará confirmación alguna después de hacer clic en el icono
. El dominio se eliminará inmediatamente.
Enrutamiento de dominio La página muestra una lista de dominios junto con el smarthost responsable de la entrega o la recepción de mensajes desde esos dominios. La información mostrada por la lista es la misma que la proporcionada al añadir un dominio nuevo. Las acciones disponibles son:
: modifica el enrutamiento del dominio.
: elimina el enrutamiento del dominio.
Para añadir un dominio nuevo, haga clic en el botón Agregar nueva ruta de dominio. Se abrirá un formulario sencillo, donde se puede crear la combinación de dominio-servidor de correo.
Sentido Decida si la regla se aplica al dominio asociado con el emisor o con el receptor.
Dominio El dominio del que es responsable el servidor de correo.
Dirección de salida La interfaz o dirección IP del enlace activo a través del cual se enviarán los correos, entre los disponibles en el menú desplegable. Si se deja en blanco, el smarthost elegirá el enlace activo o la dirección IP.
Smarthost Al marcar esta casilla, se mostrarán más opciones para invalidar el smarthost del sistema y configurar uno externo. Las opciones son las mismas que las indicadas más adelante para la Configuración de smarthost.
Prioridad de regla
Supongamos que ha definido dos reglas de enrutamiento de dominio: una con dominio midominio.com como emisor y enlace activo principal como ruta, y otra regla con dominio ejemplo.org como receptor y enlace activo secundario como ruta. ¿Qué le sucede a un correo electrónico que se envía desde el servidor foo.midominio.com a un usuario en bar.ejemplo.org? La respuesta radica en cómo procesa el MTA del dispositivo Panda GateDefender, postfix, las reglas de envío de correos electrónicos. Primero lee todas las reglas relacionadas con los orígenes y, a continuación, las reglas relacionadas con el receptor. Por tanto, el correo que se envía desde foo.midominio.com a bar.ejemplo.org se enrutará a través del enlace activo secundario.
Enrutamiento de correo
Esta opción permite enviar una CCO de un correo electrónico a una dirección de correo electrónico determinada y se aplica a todos los correos electrónicos enviados a un receptor específico o desde una dirección de emisor específica. La lista muestra el sentido, la dirección, la dirección de CCO, si la hay, y las acciones disponibles:
: modifica el enrutamiento del correo.
: elimina el enrutamiento del correo.
Para añadir una ruta de correo nueva, haga clic en el botón Añadir ruta de correo. En el formulario que se abre se pueden configurar estas opciones:
Sentido Seleccione en el menú desplegable si debe definirse la ruta de correo para un emisor o un receptor del correo electrónico.
Dirección de correo En función del sentido elegido, esta será la dirección de correo electrónico del receptor o el emisor a la que se debe aplicar la ruta.
Dirección CCO La dirección de correo electrónico que recibe la copia de los correos electrónicos.
Advertencia:
ni el emisor ni el receptor recibirán notificación alguna de la copia enviada a un tercero. En la mayoría de los países es ilegal leer mensajes privados de otras personas. Por tanto, no haga un mal uso de esta función ni abuse de ella.
Avanzado En esta página de configuración del proxy SMTP se presentan opciones avanzadas de configuración agrupadas en cuatro paneles, que pueden mostrarse u ocultarse haciendo clic en los iconos
o
a la izquierda del título del panel.
Configuración de smarthost
En el primer panel se puede activar y configurar un smarthost. Si el servidor SMTP tiene una dirección IP dinámica, por ejemplo, si utiliza una conexión a Internet de acceso telefónico ISDN o ADSL, pueden producirse problemas al enviar correos electrónicos a otros servidores de correo, dado que esa dirección IP puede haber sido incluida en alguna RBL (véase Listas blancas y negras anteriormente) y, por ello, el servidor de correo remoto puede rechazar los correos electrónicos. En estos casos es necesario utilizar un smarthost para enviar correos electrónicos.
Smarthost para entrega Marque esta casilla para activar un smarthost para la entrega de correos electrónicos y mostrar opciones adicionales.
Dirección de smarthost La dirección IP o el nombre de host del smarthost.
Puerto de smarthost El puerto en donde el smarthost escucha, que, de forma predeterminada, es el 25.
Autenticación de smarthost Marque esta casilla si el smarthost requiere autenticación. Después se muestran las tres opciones adicionales siguientes.
Nombre de usuario de smarthost El nombre de usuario utilizado para la autenticación en el smarthost.
Contraseña de smarthost La contraseña utilizada para autenticación en el smarthost.
Elegir método de autenticación Los métodos de autenticación requeridos por el smarthost: se admiten PLAIN, LOGIN, CRAM-MD5 y DIGEST-MD5. Se pueden elegir más métodos manteniendo pulsada la tecla CTRL y haciendo clic en cada uno de los métodos deseados.
Nota:
en pocas palabras, un smarthost es un servidor de correo utilizado por el proxy SMTP como servidor SMTP saliente. El smarthost necesita aceptar los correos electrónicos y retransmitirlos. Normalmente, se utiliza como smarthost el servidor SMTP propio del proveedor, dado que aceptará retransmitir los correos electrónicos, mientras que otros servidores de correo no lo harán.
Servidor IMAP para autenticación SMTP
Este panel contiene las opciones de configuración para el servidor IMAP que se deben utilizar para la autenticación cuando se envían correos electrónicos. Estos ajustes son especialmente importantes para las conexiones entrantes del SMTP que se abren desde la zona ROJA. Se pueden configurar los siguientes ajustes:
Autenticación SMTP Marque esta casilla para activar la autenticación IMAP y ver opciones adicionales.
Elegir cantidad de demonios de autenticación Indica la cantidad de inicios de sesión concurrentes admitidos a través del dispositivo Panda GateDefender.
Servidor IMAP de autenticación La dirección IP del servidor IMAP.
Puerto IMAP de autenticación El puerto en el que el servidor IMAP escucha y que, de forma predeterminada, es el 143 para IMAP sin formato o el 993 para IMAP sobre SSL.
Configuración del servidor de correo
En este panel, se pueden definir parámetros adicionales del servidor SMTP.
SMTP HELO Si esta casilla está marcada, el cliente que se conecta debe enviar un comando HELO (o EHLO) al comienzo de una sesión SMTP.
Nombre de host inválido Rechaza el cliente que se conecta si el parámetro HELO o EHLO del cliente proporciona un nombre de host no válido.
Nombre SMTP HELO
El nombre del host que debe enviarse con el comando SMTP EHLO o HELO. El valor predeterminada es la REDIP, pero se puede indicar un nombre del host o una dirección IP personalizados.
Enviar siempre con copia oculta (CCO) a la dirección Una dirección de correo electrónico aquí que recibirá una CCO de cada mensaje que pase por el proxy SMTP.
Elegir idioma de plantilla de correo El idioma en el que deben enviarse los mensajes de error, entre los disponibles: inglés, alemán, italiano y japonés.
Verificar dirección del destinatario Active esta opción para comprobar la validez de las direcciones de los receptores antes de enviar el mensaje.
Elegir límite de error grave La cantidad máxima de errores que un cliente SMTP puede generar sin entregar un correo. El servidor proxy SMTP se desconecta una vez que se supera este límite (el valor predeterminado es 20).
Elegir tamaño máximo de contenido de correo electrónico El tamaño máximo permitido para un único mensaje de correo electrónico. En el menú desplegable pueden seleccionarse varios valores predefinidos. Si se elige la opción tamaño del contenido del correo electrónico personalizado, se muestra la siguiente opción.
Personalizar el tamaño máximo del contenido del correo electrónico (en KB) El tamaño máximo en megabytes del correo electrónico que aceptará el servidor SMTP.
Activar DSN en zonas Elija entre las zonas disponibles aquellas que enviarán un mensaje devuelto (es decir, un mensaje DSN) a correos electrónicos que no se pueden entregar o a los que no se pueden enviar correctamente. En otras palabras, se podrán recibir mensajes de notificación de entrega de correos electrónicos solo desde las zonas que se hayan seleccionado aquí.
HELO/EHLO y nombre de host
Casi todos los servidores de correo exigen que los clientes que se conectan a través de SMTP se anuncien con un nombre del host válido junto con el HELO/EHLO, o bien que interrumpan la conexión. Sin embargo, el dispositivo Panda GateDefender utiliza su propio nombre de host para anunciarse a servidores de correo electrónico externos, lo que en ocasiones no es válido de forma pública dentro del DNS global.
Si ese es el caso, se puede configurar otro nombre del host personalizado en Barra de menú ‣ Proxy ‣ SMTP ‣ Avanzado ‣ Configuración del servidor de correo ‣ Nombre SMTP HELO, que el servidor de correo remoto pueda entender.
En lugar de un nombre del host personalizado, se puede proporcionar incluso una dirección IP numérica entre corchetes (por ejemplo, [192.192.192.192]), que debe ser la dirección REDIP.
Prevención del spam
Finalmente, en este último panel se pueden definir parámetros adicionales para el filtro de correo no deseado marcando una o más de las cuatro casillas.
receptor inválido Rechaza la solicitud cuando la dirección RCPT TO no se encuentra en formato FQDN, según exige el RFC 821.
emisor inválido Rechaza el cliente que se conecta si el nombre del host proporcionado con el comando HELO o EHLO no se encuentra en formato FQDN, según exige el RFC 821.
dominio del receptor desconocido Rechaza la conexión si el dominio de la dirección de correo electrónico del receptor no tiene un registro DNS A o MX.
emisor desconocido Rechaza la conexión si el dominio de la dirección de correo electrónico del emisor no tiene un registro DNS A o MX.
Resolución de problemas del proxy SMTP.
Cuando en el archivo de registro aparece el mensaje “El correo para xxx vuelve a mí”, indica un error de configuración en el nombre SMTP HELO personalizado en el dispositivo, que es igual al nombre del host del servidor de correo interno al cual se deben reenviar los correos electrónicos entrantes.
En ese caso, la conexión SMTP recibida desde el servidor de correo interno contendrá un nombre del host (el que figura en la línea HELO en la configuración del proxy SMTP), que es el mismo que el nombre del host del servidor de correo interno, por lo que el servidor de correo interno cree que envía y recibe el mismo correo electrónico, lo que genera el mensaje de error.
Las posibles soluciones son:
Cambiar el nombre del host del servidor de correo interno. Crear un registro A válido públicamente dentro de la zona DNS que también señale al dispositivo Panda GateDefender y utilizar este nombre del host como línea HELO en del proxy SMTP.
Utilizar la dirección IP numérica del enlace activo como línea HELO.
Antispam Esta página incluye los ajustes de configuración para el motor antispam. Se pueden configurar las siguientes opciones:
Activar Commtouch Activa el motor antispam de Commtouch. Esta opción solo está disponible si se ha instalado Commtouch en el dispositivo Panda GateDefender.
Habilitar el cortocircuito de SpamAssassin Marque esta casilla para omitir SpamAssassin cuando Commtouch marque un mensaje como spam.
Ignorar IP/Redes Aquí se pueden definir las IP y las redes que Commtouch no debe comprobar.
En la sección Etiqueta de nivel de correo no deseado se pueden configurar las siguientes opciones: Los valores válidos para cada opción están entre -10 y 10, ambos incluidos.
CONFIRMADO Los correos electrónicos con un nivel de etiqueta superior a este valor se identificarán como spam.
MASIVO Los correos electrónicos con un nivel de etiqueta superior a este valor se identificarán como correo masivo.
SOSPECHOSO Los correos electrónicos con un nivel de etiqueta superior a este valor se identificarán como sospechosos de contener spam.
DESCONOCIDO Los correos electrónicos con un nivel de etiqueta inferior a este valor se clasificarán como desconocidos.
SIN SPAM Los correos electrónicos con un nivel de etiqueta inferior a este valor se identificarán como sin spam.
DNS El proxy DNS es un servidor proxy que intercepta consultas DNS y las responde, sin tener que conectarse a un servidor DNS remoto cada vez que haya que resolver una dirección IP o un nombre del host. Cuando se repite una misma consulta a menudo, almacenar sus resultados en caché puede mejorar sensiblemente el rendimiento. Las configuraciones disponibles para el proxy DNS se agrupan en tres pestañas.
Proxy DNS En esta página pueden configurarse algunas opciones para el proxy DNS.
Transparente en verde, Transparente en azul, Transparente en naranja Activa el proxy DNS como transparente en las zonas VERDE, AZUL y NARANJA, respectivamente. Aparecen solo si las zonas correspondientes están activadas.
Se pueden configurar fuentes y destinos específicos para evitar el proxy completando sus valores en las dos áreas de texto disponibles.
Qué direcciones de origen puede omitir el proxy transparente Permite que los orígenes en el área de texto correspondiente no se sometan al análisis del DNS. Los orígenes pueden especificarse como direcciones IP, redes o direcciones MAC.
Qué destinos omitirá el proxy transparente Permite que los destinos en el área de texto correspondiente no se sometan al análisis del proxy DNS. Los destinos pueden especificarse como direcciones IP o redes.
Enrutamiento de DNS Esta página permite gestionar combinaciones personalizadas de dominio-servidor de nombres. Resumiendo, cuando se consulta un subdominio de un dominio, se usará el servidor de nombres correspondiente de la lista para resolver el dominio en la dirección IP correcta.
Se puede añadir una nueva combinación dominio-servidor de nombres haciendo clic en el enlace Añadir un nuevo servidor de nombres personalizado para un dominio. Al añadir una entrada, se pueden introducir varios valores para las diferentes opciones disponibles:
Dominio El dominio para el cual utilizar el servidor de nombres personalizado.
Servidor DNS La dirección IP del servidor de nombres.
Observaciones Un comentario adicional.
En cada dominio de la lista pueden llevarse a cabo las acciones siguientes:
: edita la regla.
: elimina la regla.
Antispyware Esta página presenta opciones de configuración acerca de la reacción del dispositivo Panda GateDefender cuando debe resolver un nombre de dominio conocido por ser utilizado para propagar spyware, o bien porque sirve como sitio de phishing. Las opciones que se pueden configurar son:
Activado Las solicitudes se redirigen a un host local. En otras palabras, no se podrá contactar con el sitio remoto ni acceder a él.
Lista blanca de dominios Los nombres de dominio que se introducen aquí no se tratan como objetivos de spyware, independientemente del contenido de la lista.
Dominios de lista negra Los nombres de dominio que se introducen aquí se tratan siempre como objetivos de spyware, independientemente del contenido de la lista.
Tareas programadas de actualización de la lista de dominios del spyware La frecuencia de actualización de la lista de dominios de spyware. Las opciones posibles son Diariamente, Semanalmente y Mensualmente. Al mover el cursor del ratón sobre el signo de interrogación respectivo, se muestra la hora exacta de ejecución de la actualización.
Sugerencia:
para descargar firmas actualizadas, el sistema debe estar registrado en la Panda Perimetral Management Console.
El menú VPN Autenticación Esta página muestra tres pestañas, que permiten gestionar usuarios locales, grupos locales y la configuración para la autenticación remota.
Usuarios En esta página, todos los usuarios que disponen de una cuenta en el servidor VPN del dispositivo Panda GateDefender se muestran en la tabla, y para cada usuario se muestra la siguiente información:
Nombre. El nombre del usuario. Observaciones. Un comentario. Servidor de autenticación. El servidor utilizado para la autenticación de usuario, que puede ser local (el mismo dispositivo Panda GateDefender) o LDAP (un servidor LDAP externo, que puede configurarse en la pestaña Configuración).
Acciones. Las operaciones disponibles que pueden llevarse a cabo en la cuenta. Para usuarios LDAP son Activar/Desactivar y Editar; para los usuarios locales, también existe la posibilidad de Eliminar. Editar un usuario LDAP solo permite modificar sus opciones locales, no otros datos como el nombre de usuario o la contraseña, que son completamente gestionados por el servidor LDAP.
Haga clic en Añadir nuevo usuario local sobre la tabla para añadir una cuenta local nueva. Se pueden especificar las siguientes opciones para cada usuario dentro del formulario que aparecerá.
Añadir nuevo usuario local
Nombre de usuario El nombre de usuario para iniciar la sesión.
Observaciones Un comentario adicional.
Contraseña, Confirmar contraseña La contraseña para el usuario, que se debe introducir dos veces. Las contraseñas no se muestran. Para verlas, marque las dos casillas a su derecha.
Configuración de certificado Seleccione el modo para asignar un certificado al usuario. Los modos disponibles se pueden seleccionar en el menú desplegable: Generar un certificado nuevo, Cargar un certificado y Cargar una solicitud de firma de certificado. Tras la selección, debajo del menú desplegable aparecen las opciones disponibles para cada modo, que se describen en la página Certificados.
Nombre de la unidad organizativa La unidad organizativa a la que pertenece el usuario, es decir, la compañía, la empresa o el departamento de la institución que se identifica con el certificado.
Nombre de la organización La organización a la que pertenece el usuario.
Ciudad La población (L) donde se encuentra la organización.
Estado o provincia El estado o la provincia (ST) donde se encuentra la organización.
País El país (C) donde se encuentra la organización, seleccionado entre los disponibles en el menú de selección. Escribiendo una o más letras, se encuentran y se muestran los países coincidentes.
Dirección de correo electrónico La dirección de correo electrónico del usuario.
Miembros del grupo En esta parte del panel es posible asignar al usuario la pertenencia a uno o más grupos. En el widget de búsqueda es posible filtrar grupos existentes para encontrar grupos coincidentes. La pertenencia a un grupo se añade haciendo clic en el botón + a la derecha del nombre del grupo. Los grupos a los que pertenece el usuario se muestran en el siguiente campo de texto. También existen accesos directos para Añadir todas y Eliminar todas las pertenencias a grupos a la vez.
Invalidar opciones de OpenVPN Marque esta casilla para permitir que se utilice el protocolo OpenVPN. Esta opción mostrará un cuadro donde especificar las opciones personalizadas para la cuenta (véase más adelante).
Invalidar opciones de L2TP Marque esta casilla para mostrar un cuadro en el que elegir el túnel L2TP que se utilizará.
Nota:
si todavía no se ha configurado un túnel L2TP, no puede seleccionarse esta opción. En ese caso, aparecerá un mensaje informativo como un hipervínculo. tras hacer clic en él, se abre el editor de conexiones IPsec. A continuación, será posible permitir que un usuario VPN se conecte utilizando el protocolo L2TP.
Sugerencia:
el cuadro de opciones de L2TP aparecerá debajo del cuadro Opciones de OpenVPN, si también debe invalidarse la opción de OpenVPN.
Activado Marque la casilla para activar el usuario, es decir, para permitirle que se conecte al servidor OpenVPN del dispositivo Panda GateDefender.
Opciones de OpenVPN
dirigir todo el tráfico del cliente a través del servidor VPN Si se marca esta opción, todo el tráfico proveniente del cliente conectado, sin importar su destino, se enrutará a través del enlace activo del dispositivo Panda GateDefender. El valor predeterminado es el de enrutar todo el tráfico cuyo destino se encuentre fuera de cualquiera de las zonas internas (por ejemplo, los hosts de Internet) a través del enlace activo del cliente.
Solo enviar opciones globales a este cliente
Solo para usuarios avanzados. Por lo general, cuando un cliente se conecta, se añaden a la tabla de enrutamiento del cliente las rutas del túnel de las redes a las que se puede acceder a través de la VPN, para permitir que se conecte a las diferentes redes locales a las que se puede acceder desde el dispositivo Panda GateDefender. Debería activarse esta opción si no se desea dicho comportamiento, pero las tablas de enrutamiento del cliente (especialmente aquellas para las zonas internas) deberían modificarse de forma manual.
Enviar ruta a la zona VERDE [AZUL, NARANJA], Si esta opción está activada, el cliente tendrá acceso a la zona VERDE, AZUL o NARANJA. Estas opciones no tienen efecto alguno si las zonas correspondientes no están activadas.
Redes detrás del cliente Esta opción solo es necesaria si se utiliza esta cuenta como un cliente en una configuración puerta de enlace a puerta de enlace. En la casilla deberían introducirse las redes que se encuentran detrás de este cliente y que deberían enviarse a los otros clientes. En otras palabras, estas redes estarán disponibles para los otros clientes.
Direcciones IP estáticas A los clientes se les asignan direcciones IP dinámicas. No obstante, cada vez que el cliente se conecte, se le asignará una dirección IP estática proporcionada aquí.
Nota:
si el cliente se conecta a un servidor VPN multinúcleo que se ejecuta en el dispositivo Panda GateDefender, esta asignación no se tendrá en cuenta.
Enviar estos nombres de servidores Aquí se asignan nombres de servidores personalizados para cada cliente. Esta configuración (y la siguiente) puede definirse. También puede activarse o desactivarse cuando se desee.
Enviar estos dominios Aquí se asignan dominios de búsqueda personalizados para cada cliente.
Nota:
si tiene previsto hacer que dos o más sucursales se conecten a través de una VPN puerta de enlace a puerta de enlace, se recomienda elegir diferentes subredes para las LAN en las diferentes sucursales. Por ejemplo, una sucursal podría poseer una zona VERDE con la subred
192.168.1.0/24 mientras que la otra sucursal podría utilizar 192.168.2.0/24. Utilizando esta solución, se
evitarán varias posibles fuentes de errores y conflictos. De hecho, se incluyen varias ventajas gratis, entre otras: la asignación automática de rutas correctas sin necesidad de enviar rutas personalizadas, ningún mensaje de advertencia sobre rutas posiblemente conflictivas, la resolución correcta del nombre local y una configuración más sencilla de la red WAN.
Opciones de L2TP
Túnel IPsec Este menú desplegable le permite elegir el túnel que utilizará el usuario, entre aquellos ya definidos.
Grupos En esta página se muestra una tabla, que muestra todos los grupos que están definidos en el dispositivo Panda GateDefender o en un servidor LDAP externo. Para cada grupo se muestra la siguiente información:
Nombre de grupo. El nombre del grupo.
Observaciones. Un comentario. Servidor de autenticación. El servidor utilizado para la autenticación de usuario, que puede ser local (el mismo dispositivo Panda GateDefender) o LDAP (un servidor LDAP externo, que puede configurarse en la pestaña vpnauthsettings).
Acciones. Las operaciones disponibles que pueden llevarse a cabo en la cuenta. Para servidores LDAP la única acción es Editar las propiedades locales, mientras que para los grupos locales también existe la posibilidad de Eliminar el grupo.
Haga clic en Añadir nuevos grupos locales sobre la tabla para añadir un nuevo grupo local. Se pueden especificar las siguientes opciones para cada grupo dentro del formulario que aparecerá.
Nombre de grupo El nombre asignado al grupo.
Observaciones Un comentario.
Usuarios En esta parte del panel es posible asignar usuarios al grupo. En el widget de búsqueda es posible filtrar usuarios locales existentes para encontrar usuarios coincidentes. Los usuarios se añaden al grupo pulsando en el signo + a la derecha del nombre de usuario. Los usuarios en el grupo se muestran en el campo de texto siguiente. También existen accesos directos para Añadir todos y Eliminar todos los usuarios de un grupo.
Invalidar opciones de OpenVPN Marque esta casilla para permitir que se utilice el protocolo OpenVPN. Esta opción mostrará un cuadro donde especificar las opciones personalizadas para la cuenta, que son las mismas que las especificadas para los usuarios locales.
Invalidar opciones de L2TP Marque esta casilla para mostrar un cuadro en el que elegir el túnel L2TP que se utilizará de un menú desplegable.
Nota:
si todavía no se ha configurado un túnel L2TP, no puede seleccionarse esta opción. En ese caso, aparecerá un mensaje informativo como un hipervínculo. Tras hacer clic en él, se abre el editor de conexiones IPsec. Una vez creado un nuevo túnel L2TP, será posible asociarlo a un usuario.
Sugerencia:
el cuadro de opciones de L2TP aparecerá debajo del cuadro Opciones de OpenVPN, si también debe invalidarse la opción de OpenVPN.
Activado Marque la casilla para activar el usuario, es decir, para permitirle que se conecte al servidor OpenVPN del dispositivo Panda GateDefender.
Advertencia:
si bien se admite que un mismo usuario forme parte de uno o más grupos, se debe tener cuidado de que los grupos a los que pertenece el usuario no definan opciones de invalidación opuestas. Como ejemplo, considere un usuario miembro de dos grupos, uno que permite acceder únicamente a la zona VERDE y otro que solo da acceso a la AZUL. En este caso, no es fácil saber si a dicho usuario se le concederá o no acceso a la zona AZUL o a la VERDE. La gestión de estos problemas corresponde al administrador del servidor OpenVPN.
Configuración Esta página contiene la configuración actual de los servidores de autenticación en los que el dispositivo Panda GateDefender confía y admite para su gestión. Actualmente, solo son compatibles los locales y LDAP/Active Directory, aunque en futuras versiones pueden añadirse tipos adicionales de servidores de autenticación, por ejemplo, servidores Radius.
En esta página hay dos tablas: una que muestra información acerca del Servidor de autenticación y otra que muestra Asignaciones de servidores de autenticación. En el primer caso, se muestra la información siguiente:
Nombre. El nombre asignado al servidor. Tipo. Si es el servidor es un servidor local o un LDAP externo. Servicio Autenticación que está disponible para ese servidor. Acciones. En el caso de la autenticación local, es posible activar o desactivar el servidor, editarlo o eliminarlo. En el caso de los servidores LDAP, también existe la posibilidad de actualizar la conexión, para sincronizar los usuarios y los grupos.
La tabla de la parte inferior muestra las correspondencias entre un servicio (IPsec XAuth, OpenVPN y L2TP) y el tipo de autenticación permitido. La única Acción disponible para los mapeos es Editar. Al hacer clic en Editar, aparecerá un formulario en el que un selector permite seleccionar qué backends de autenticación se utilizarán para ese servicio.
Al hacer clic en el enlace Añadir nuevo servidor de autenticación encima de las tablas, se abre un formulario en el que proporcionar todos los datos para configurar un nuevo servidor de autenticación.
Este formulario sustituye las tablas que muestran los servidores de autenticación ya definidos y permite configurar uno nuevo, especificando valores adecuados para las siguientes opciones de configuración.
Nombre El nombre asignado al servidor de autenticación.
Activado Marque la casilla para activar el servidor.
Tipo Seleccione en el menú desplegable si el servidor debe ser LDAP/Active Directory o local. Todas las opciones siguientes, excepto la última, solo están disponibles para la configuración de los servidores LDAP.
URI del servidor LDAP El URI del servidor LDAP.
Tipo de servidor LDAP Este menú desplegable permite elegir el tipo de servidor de autenticación entre Genérico, Active Directory, Novell eDirectory u OpenLDAP.
Nombre de usuario de LDAP bind DN El nombre completamente único de un usuario unido a DN, que debe tener permiso para leer los atributos del usuario.
Contraseña de LDAP bind DN La contraseña del usuario unido a DN.
Las siguientes opciones dependen de la configuración del servidor y se usan para identificar a qué usuarios y grupos se concederá acceso al servidor OpenVPN del dispositivo Panda GateDefender: DN base de usuarios de LDAP, Filtro de búsqueda de usuarios de
LDAP, Atributo de ID único de usuario de LDAP, DN base de grupo de LDAP, Atributo de ID único de grupo de LDAP, Atributo de miembro de grupo de LDAP, Filtro de búsqueda de grupos de LDAP.
Limitar a grupos especificados Esta opción permite seleccionar qué grupos del servidor LDAP pueden conectarse al servidor OpenVPN del dispositivo Panda GateDefender.
El menú VPN
Servidor OpenVPN
o
Cliente OpenVPN (Gw2Gw) IPsec
o o
IPsec L2TP
Autenticación
o o o
Configuración del servidor
Usuarios Grupos Configuración
Certificados
o o o o
Certificados Autoridad de certificado Certificados revocados Lista de revocación de certificados
Una VPN permite que dos redes locales separadas se conecten de forma directa entre ellas a través de redes potencialmente no seguras, como Internet. Todo el tráfico de red que pasa a través de la conexión VPN se transmite de manera segura dentro de un túnel cifrado, oculto a los curiosos. Dicha configuración se denomina VPN Puerta de Enlace a Puerta de Enlace o, de manera abreviada, VPN Gw2Gw. De manera similar, un ordenador remoto desde cualquier lugar de Internet puede utilizar un túnel VPN para conectarse a una LAN local de confianza. El ordenador remoto, al que a veces se le llama Road Warrior, parece estar conectado directamente a la LAN de confianza mientras el túnel VPN está activado.
El dispositivo Panda GateDefender admite la creación de VPN que se basan en el protocolo IPsec, admitido por la mayoría de los sistemas operativos y equipos de red, o en el servicio OpenVPN.
El dispositivo Panda GateDefender puede configurarse como un servidor OpenVPN o un cliente, e incluso desempeñar ambos papeles al mismo tiempo, con el fin de crear una red de dispositivos conectados a través de OpenVPN. Los elementos de menú disponibles en el submenú son los siguientes:
Servidor OpenVPN: configura el servidor OpenVPN para que los clientes (tanto los Road Warriors como otros dispositivos Panda GateDefender en una configuración puerta de enlace a puerta de enlace) se puedan conectar a una de las zonas locales.
Cliente OpenVPN (Gw2Gw): configura el lado del cliente de una configuración puerta de enlace a puerta de enlace entre dos o más dispositivos Panda GateDefender.
IPsec/L2TP: configura túneles VPN basados en IPsec y conexiones L2TP. Autenticación: administra usuarios de conexiones VPN. Certificados: gestionan los certificados que se utilizarán con conexiones VPN.
actualización: 31 de enero de 2014.
Servidor OpenVPN Si se configura el dispositivo Panda GateDefender como un servidor OpenVPN, puede aceptar conexiones remotas del enlace activo y permitir que se configure un cliente VPN y que funcione como si fuera una estación de trabajo o un servidor locales.
A partir de la versión 5.50, el servidor OpenVPN implementado en el dispositivo Panda GateDefender permite la presencia simultánea de varias instancias. Cada servidor escuchará un puerto diferente, y solo aceptará conexiones entrantes en ese puerto. Además, si el hardware en el que está instalado el dispositivo Panda GateDefender tiene múltiples núcleos de CPU, a cada instancia se le puede asignar más de un núcleo, lo que se traduce en un aumento del rendimiento y el procesamiento de datos de esa instancia. Sin embargo, también es posible tener varias instancias de OpenVPN ejecutándose en un dispositivo equipado con una CPU de un solo núcleo, aunque esto hace que la CPU gestione la carga de todas las instancias.
Configuración del servidor Esta página muestra un interruptor Habilitar servidor OpenVPN . Al hacer clic en él, se iniciarán el servidor OpenVPN y todos los servicios relacionados con él (por ejemplo, el Firewall VPN, si está activado). A continuación hay un cuadro, Configuración de OpenVPN, que permite configurar algunos ajustes generales. Justo debajo, un enlace permite definir una nueva instancia de servidor, mientras que en la parte inferior de la página aparece la lista de los servidores OpenVPN disponibles que se ejecutan en el dispositivo Panda GateDefender, si ya se ha definido alguno. La lista muestra los siguientes datos sobre cada instancia definida del servidor OpenVPN: el nombre, las observaciones y detalles sobre la configuración, a saber, el puerto en el que escucha, el protocolo, el tipo de dispositivo y el tipo de red. Por último, las acciones disponibles son:
: el servidor está activo o detenido.
: modifica la configuración del servidor.
: elimina la configuración y el servidor.
Nota:
al iniciar el servidor OpenVPN por primera vez, los certificados de root y de host se generan automáticamente.
Configuración de OpenVPN
El cuadro de la parte superior muestra la configuración de OpenVPN actual, que está relacionada con el método de autenticación y es la siguiente:
Tipo de autenticación Existen tres métodos de autenticación disponibles para conectar los clientes al servidor OpenVPN que se ejecuta en el dispositivo Panda GateDefender:
PSK (nombre de usuario y contraseña). La conexión se establece tras proporcionar el nombre de usuario y la contraseña correctos.
Certificado X.509. Solo es necesario un certificado válido para conectarse. Certificado X.509 y PSK (dos factores). Además de un certificado válido, se necesitan un nombre de usuario y una contraseña.
Advertencia:
al utilizarse la autenticación solo por certificado, un cliente con un certificado válido podrá acceder al servidor OpenVPN aunque no posea una cuenta válida.
El método predeterminado del dispositivo Panda GateDefender es PSK (nombre de usuario/contraseña). El cliente se autentica utilizando un nombre de usuario y una contraseña. No se necesita ningún cambio adicional para utilizar este método, mientras que los otros dos métodos se describen debajo.
Configuración de certificado Este menú desplegable se utiliza para seleccionar el método de creación de un nuevo certificado. Las opciones disponibles son:
Generar un certificado nuevo. Crea un certificado nuevo desde cero. Esta opción solo está disponible si no se ha generado ningún certificado del host. Se abrirá un formulario en el que podrá especificar todas las opciones necesarias para crear un certificado
nuevo. Son las mismas que presenta el editor de generación de nuevos certificados, con dos pequeño cambios: Nombre común se convierte en Nombre de host del sistema y Nombre de la unidad organizativa se convierte en Nombre del departamento.
Usar certificado seleccionado. Seleccione un certificado entre los disponibles, que se muestran en el lado derecho del menú desplegable. Es posible ver los detalles completos de este certificado haciendo clic en el hipervínculo Ver detalles.
Sugerencia:
el nombre del certificado seleccionado aparecerá justo encima del hipervínculo.
Usar un certificado existente. Un segundo menú desplegable a la izquierda permite seleccionar un certificado que ya se ha creado y almacenado en el dispositivo Panda GateDefender.
Cargar un certificado. Haciendo clic en el botón Examinar... que aparece debajo del menú desplegable será posible seleccionar un certificado existente desde la estación de trabajo y cargarlo. La contraseña para el certificado, si es necesaria, se puede proporcionar en el campo de texto de la derecha.
Cargar una solicitud de firma de certificado. Se puede hacer clic en el botón Examinar... que aparece debajo del menú desplegable para seleccionar una solicitud de firma de certificado existente desde la estación de trabajo y cargarla. La validez del certificado en días puede indicarse en el campo de texto de la derecha.
Instancias del servidor OpenVPN
La lista de instancias de OpenVPN ya definidas aparece en este panel, encima del cual está el hipervínculo Añadir nueva instancia del servidor OpenVPN. Al hacer clic en este enlace, se abre un editor en el que indicar todos los valores de configuración necesarios para una nueva instancia de VPN.
Nota:
cuando el número de instancias de OpenVPN supera los núcleos disponibles, un aviso amarillo indica que el rendimiento puede disminuir.
En el editor, aparecen las siguientes opciones de configuración.
Nombre El nombre asignado a la instancia del servidor OpenVPN.
Observaciones Un comentario para esta instancia.
Enlazar solo con La dirección IP a la que la instancia debería escuchar.
Puerto El puerto en el que la instancia espera conexiones entrantes.
Tipo de dispositivo El dispositivo utilizado por la instancia, elegido entre TUN y TAP en el menú desplegable. Los dispositivos TUN necesitan que el tráfico se enrute, por lo que la opción Enlazado que aparece más adelante no está disponible para los dispositivos TUN.
Protocolo El protocolo utilizado, elegido entre TCP y UDP en el menú desplegable.
Enlazado
Marque esta opción para ejecutar el servidor OpenVPN en modo enlazado, es decir, dentro de una de las zonas existentes.
Nota:
si el servidor OpenVPN no está enlazado (es decir, está enrutado), los clientes recibirán sus direcciones IP desde una subred específica. En este caso, deberán crearse reglas del firewall apropiadas en Firewall VPN para asegurarse de que los clientes puedan acceder a cualquier zona, o a algún servidor/recurso (por ejemplo, un repositorio de código fuente). Si el servidor OpenVPN está enlazado, hereda la configuración del firewall de la zona en la que se encuentra definido.
Subred VPN Esta opción solo está disponible si el modo enlazado está desactivado. Permite que el servidor OpenVPN se ejecute en su propia subred dedicada, que puede especificarse en la casilla de texto y que debería ser diferente de las subredes de las otras zonas.
Enlazar a La zona a la cual deberá enlazarse el servidor OpenVPN. El menú desplegable solamente muestra las zonas disponibles.
Dirección inicial del conjunto de IP dinámicas La primera dirección IP posible en la red de la zona seleccionada que debería utilizarse para los clientes OpenVPN.
Dirección final del conjunto de IP dinámicas La última dirección IP posible en la red de la zona seleccionada que debería utilizarse para los clientes OpenVPN.
Servidor OpenVPN enrutado y enlazado, estático y dinámico.
Al configurar un grupo de direcciones IP para reservarlas para clientes que se conectan a través de OpenVPN, es necesario recordar unas pautas que contribuirán tanto a la prevención de futuros errores de funcionamiento como a un diseño y una configuración más limpios y fáciles de configurar.
Antes de comenzar la configuración del servidor, existe una regla de oro que hay que recordar respecto a la implementación de la arquitectura multinúcleo VPN. Con independencia de si se usa el modo enlazado o el enrutado para una instancia de servidor VPN multinúcleo, se omite la reserva de direcciones IP estáticas. En otras palabras, un cliente que se conecte a este servidor VPN recibirá una dirección IP dinámica, aunque en su configuración haya una asignación de IP estática.
Lo primero es definir si el servidor OpenVPN debe actuar en modo enrutado o en modo enlazado. En el primer caso, es necesario definir una subred VPN adecuada que proporcione las direcciones IP a los clientes. El tráfico dirigido a esta subred debe filtrarse, en caso necesario, utilizando el Firewall VPN. En el segundo caso, el servidor OpenVPN se configura para considerar los clientes, tras conectarse, como si estuvieran conectados físicamente a esa zona, es decir, el servidor enlaza el cliente a una de las zonas. En este caso, se debe definir un grupo de direcciones IP dentro de esa zona mediante las dos opciones que aparecen justo antes de este cuadro. Ese grupo debe estar completamente contenido en la subred de la zona y debe ser menor que la subred. También es importante asegurarse de que este grupo no entre en conflicto con otros grupos definidos en esa zona, por ejemplo, un servidor DHCP.
En un servidor OpenVPN enlazado es posible asignar una dirección IP estática a algunos (o incluso a todos) usuarios. Cuando planifique esta posibilidad, es una buena práctica que estas direcciones IP estáticas no pertenezcan a ninguno de los grupos de IP definidos en esa zona para evitar conflictos de direcciones y enrutamientos equivocados. El tráfico a este cliente concreto puede filtrarse mediante el usuario VPN (o IPsec) como origen o destino del tráfico en las reglas del firewall.
En el cuadro Opciones avanzadas pueden configurarse opciones adicionales.
Número de núcleos El menú desplegable permite elegir cuántas CPU del dispositivo Panda GateDefender puede utilizar la instancia, por lo que las opciones del menú desplegable pueden variar.
Permitir conexiones múltiples desde una cuenta
Generalmente, un cliente no puede conectarse desde más de una ubicación al mismo tiempo. Al seleccionar esta opción, se permite el inicio de sesión múltiple de los clientes, incluso desde diferentes ubicaciones. Sin embargo, cuando el mismo cliente está conectado dos o más veces, las reglas del firewall VPN ya no se aplican.
Bloquear respuestas DHCP que provienen del túnel Marque esta casilla cuando reciba respuestas DHCP desde la LAN del otro lado del túnel VPN que se encuentren en conflicto con el servidor DHCP local.
Conexiones de cliente a cliente Seleccione en el menú desplegable las modalidades de las comunicaciones entre los clientes del servidor OpenVPN:
No permitido: los clientes no pueden comunicarse el uno con el otro. Permitir conexiones directas: los clientes pueden conectarse. Esta opción solo está disponible en CPU de un solo núcleo.
Filtrar conexiones en el Firewall VPN. Los clientes pueden comunicarse entre sí, pero su tráfico se rige por el Firewall VPN.
Enviar estos nombres de servidores Al marcar esta casilla, el servidor de nombres especificado en el siguiente campo de texto se envía a los clientes tras conectarse.
Servidores de nombres Los servidores de nombres especificados en este campo de texto se envían a los clientes conectados, si está marcada la casilla anterior.
Enviar estas redes Al marcar esta casilla, las rutas hacia las redes definidas en el siguiente campo de texto se envían a los clientes conectados.
Redes Las redes especificadas en este campo de texto se envían a los clientes conectados, si está marcada la casilla anterior.
Enviar este dominio Al marcar esta casilla, el dominio de búsqueda definido en el campo de texto de la derecha se añadirá a los de los clientes conectados.
Dominio El dominio que se utilizará para identificar los servidores y los recursos de red en la red VPN (es decir, el dominio de búsqueda).
Nota:
las opciones Enviar estos nombres de servidores y Enviar dominio solo funcionan para clientes que utilizan el sistema operativo Microsoft Windows.
La primera vez que se inicia el servicio se genera un nuevo certificado CA autofirmado para este servidor OpenVPN, operación que puede tardar bastante tiempo. Tras haber generado el certificado, podrá descargárselo haciendo clic en el enlace Descargar certificado CA. Todos los clientes que deseen conectarse a este servidor OpenVPN deberán utilizar este certificado. De lo contrario, no podrán acceder.
Después de haber configurado el servidor, es posible crear y configurar cuentas en la pestaña Autenticación para los clientes que pueden conectarse al dispositivo Panda GateDefender.
Activado Marque esta casilla para asegurarse de que se inicie el servidor OpenVPN.
Resolución de problemas de las conexiones VPN.
Aunque pueden reconocerse fácilmente varios problemas con las conexiones VPN mirando la configuración, una de las fuentes sutiles de problemas de conexión es un valor erróneo del tamaño MTU. El dispositivo Panda GateDefender fija un límite de 1.450 bytes para el tamaño MTU de VPN con el fin de evitar problemas con el valor MTU utilizado habitualmente por los ISP, que es 1.500. Sin embargo, algunos ISP pueden utilizar un tamaño MTU inferior al valor que se utiliza habitualmente, por lo que el valor MTU de Panda quizá sea demasiado grande y provoque problemas de conexión (el más notorio es probablemente la imposibilidad de descargar archivos grandes). Puede modificarse dicho valor accediendo al dispositivo Panda GateDefender desde CLI y siguiendo las instrucciones que se indican a continuación:
1.
Escriba el tamaño MTU que utiliza el ISP (véase el enlace a continuación).
2.
Inicie sesión en CLI, ya sea desde un shell o desde Barra de menú ‣ Sistema ‣ Consola Web.
3.
Edite la plantilla OpenVPN con el editor preferido: nano /etc/openvpn/openvpn.conf.tmpl.
4.
Busque la cadena mssfix 1450.
5.
Reemplace 1450 por un valor menor, por ejemplo, 1200.
6.
Reinicie OpenVPN con el comando jobcontrol restart openvpnjob.
Véase también:
Más información sobre el tamaño MTU.
Cliente OpenVPN (Gw2Gw) En esta página se muestra la lista de las conexiones del dispositivo Panda GateDefender como clientes OpenVPN, es decir, todas las conexiones en túnel con servidores OpenVPN remotos. Para cada conexión, la lista presenta el estado, el nombre, cualquier opción adicional, una observación y las acciones disponibles:
: el servidor está activo o detenido.
: modifica la configuración del servidor.
: elimina la configuración y el servidor.
El estado es cerrada cuando la conexión está desactivada, establecida cuando la conexión cuando está activada y conectando... mientras se establece la conexión. Además de activar y desactivar una conexión, las acciones disponibles permiten editarla y eliminarla. En el primer caso se abrirá un formulario que es igual que el que se abre al añadir una conexión (véase más adelante), en el que se ven y modifican las configuraciones actuales, mientras que en el último caso solo se permite la eliminación de ese perfil del dispositivo Panda GateDefender.
La creación de conexiones nuevas de clientes OpenVPN es muy sencilla y puede realizarse de dos maneras. Se puede hacer clic en el botón Añadir configuración de túnel e introducir la información necesaria sobre el servidor OpenVPN al que conectarse (puede haber más de uno), o se pueden importar las configuraciones del cliente desde el servidor de acceso OpenVPN haciendo clic en Importar perfil desde el Servidor de acceso OpenVPN.
Añadir configuración de túnel
Existen dos tipos de preferencias que pueden configurarse para cada configuración de túnel. La más básica incluye opciones obligatorias para establecer el túnel, mientras que la avanzada es opcional y generalmente solo debe cambiarse si el servidor OpenVPN tiene una configuración que no es la estándar. Para acceder a las configuraciones avanzadas, haga clic en el botón >> que se encuentra al lado de la etiqueta Configuración avanzada del túnel. Las configuraciones básicas son:
Nombre de la conexión Una etiqueta para identificar la conexión.
Conectar a El
FQDN,
el
puerto
y
el
protocolo
del
servidor
OpenVPN
remoto
en
formato
myvpn.ejemplo.com:puerto:protocolo. El puerto y el protocolo son opcionales y se dejan en sus valores predeterminados, que son 1194 y udp, respectivamente, cuando no se especifica ninguno. El protocolo debe especificarse en letras minúsculas.
Cargar certificado El certificado del servidor que se necesita para la conexión del túnel. Se puede explorar el sistema de archivos local para buscar el archivo, o se pueden introducir la ruta y el nombre del archivo. Si el servidor está configurado para utilizar la autenticación PSK (contraseña/nombre de usuario), debe cargarse al dispositivo Panda GateDefender el certificado de host del servidor (es decir, el que se ha descargado del enlace Descargar certificado CA de la sección del servidor Barra de menú
‣ VPN ‣ Servidor OpenVPN). De lo contrario, para utilizar la autenticación basada en certificados, debe cargarse el archivo PKCS#12 del servidor (es decir, el que se ha descargado del enlace Exportar CA como PKCS#12 de la sección del servidor Barra de menú ‣ VPN ‣ Servidor OpenVPN ‣ Avanzado).
Contraseña de cifrado PKCS#12 Inserte aquí la Contraseña de cifrado si se ha comunicado alguna al CA antes o durante la creación del certificado o durante. Esto solo es necesario al cargar un certificado PKCS#12.
Nombre de usuario, Contraseña Si el servidor está configurado para utilizar una autenticación PSK (contraseña/nombre de usuario) o un certificado más una autenticación por contraseña, indique aquí el nombre de usuario y la contraseña de la cuenta del servidor OpenVPN.
Observaciones Un comentario sobre la conexión.
Configuración avanzada del túnel
En este cuadro, que aparece al hacer clic en el botón >> del cuadro anterior, se pueden modificar opciones adicionales, aunque los valores de este cuadro solo deberán modificarse si el servidor no se ha configurado con los valores estándares.
Servidores VPN de backup Uno o más (uno por línea) servidores OpenVPN alternativos en el mismo formato que el utilizado para el servidor principal, es decir,
myvpn.ejemplo.com:puerto:protocolo. De omitirse, los valores del puerto y del protocolo serán los predeterminados: 1194 y udp, respectivamente. Si se produce un error en la conexión con el servidor principal, uno de estos servidores alternativos se hará cargo.
Sugerencia:
el protocolo debe especificarse en letras minúsculas.
Tipo de dispositivo El dispositivo que utiliza el servidor, que es TAP o TUN.
Tipo de conexión
Este menú desplegable no se encuentra disponible si se ha seleccionado TUN como Tipo de dispositivo, ya que en este caso el tipo de conexión siempre es enrutada. Las opciones disponibles son enrutada (es decir, el cliente actúa como una puerta de enlace con la LAN remota) o enlazada (es decir, el firewall cliente aparece como una parte de la LAN remota). El valor predeterminado es enrutada.
Enlazar a Este campo solo se encuentra disponible si se ha elegido TAP como Tipo de dispositivo y el tipo de conexión es enlazada. En este menú desplegable, seleccione la zona a la que debería enlazarse esta conexión del cliente.
NAT Esta opción solo está disponible si el Tipo de conexión es enrutada. Marque esta casilla para ocultar los clientes conectados a través de este dispositivo Panda GateDefender detrás de la dirección IP de la VPN del firewall. Esta configuración impedirá que los clientes reciban solicitudes de conexiones entrantes. En otras palabras, las conexiones entrantes no verán los clientes dentro de la red local.
Bloquear respuestas DHCP que provienen del túnel Marque esta casilla para evitar recibir respuestas DHCP desde la LAN al otro lado del túnel VPN que estén en conflicto con el servidor DHCP local.
Utilizar compresión LZO Comprime el tráfico que pasa por el túnel; está activada de forma predeterminada.
Protocolo El protocolo que utiliza el servidor: UDP (predeterminado) o TCP. Configúrelo en TCP solo si se debe utilizar un proxy HTTP: En este caso, aparecerá un formulario para su configuración.
Si el dispositivo Panda GateDefender solo puede acceder a Internet a través de un proxy HTTP de subida, puede seguir utilizándose como un cliente de OpenVPN en una configuración puerta de enlace a puerta de enlace, pero el protocolo TCP para OpenVPN debe seleccionarse en ambos lados. Además, la información de cuenta para el proxy HTTP de subida debe introducirse en los campos de texto:
Proxy HTTP El host del proxy HTTP, por ejemplo,
proxy.ejemplo.com:puerto, en el que el puerto predeterminado es
8080, si se deja en blanco.
Nombre de usuario del proxy, Contraseña del proxy La información de cuenta del proxy: el nombre de usuario y la contraseña.
Falsificar el usuario agente del proxy En algunos casos se puede utilizar una cadena usuario agente falsificada para disfrazar el dispositivo Panda GateDefender como un explorador web corriente, es decir, para contactar con el proxy como un explorador. Esta operación podría ser útil si el proxy solo acepta conexiones de algún tipo de exploradores.
Una vez que se ha configurado la conexión, aparecerá un nuevo cuadro en la parte inferior de la página, que se llama Autenticación TLS, desde el que se podrá cargar un archivo de clave TLS para utilizarlo para la conexión. Están disponibles las opciones siguientes:
Archivo de clave TLS El archivo de claves que se cargará, que se puede consultar en la estación de trabajo local.
MD5 El checksum MD5 del archivo cargado, que aparecerá en cuanto el archivo se haya almacenado en el dispositivo Panda GateDefender.
Sentido Este valor se fija en 0 para los servidores y en 1 para los clientes.
Importar perfil desde el Servidor de acceso OpenVPN
La segunda posibilidad para añadir una cuenta es importar directamente el perfil desde un servidor de acceso OpenVPN. En este caso, debe indicarse la siguiente información:
Nombre de la conexión Un nombre personalizado para la conexión.
URL del servidor de acceso La URL del servidor de acceso OpenVPN.
Nota:
cabe destacar que el dispositivo Panda GateDefender solo admite la configuración XML-RPC del servidor de acceso OpenVPN, por lo que la URL introducida aquí tiene el formato: https://>> Imprimir.
Registros de conexión Esta página contiene una tabla con información sobre las conexiones actuales y pasadas. Los elementos se pueden ordenar (a la inversa) por cualquiera de las columnas. Incluso pueden filtrarse para mostrar solo las conexiones establecidas entre dos fechas. La información que se muestra es:
Nombre de usuario El nombre de usuario que establece la conexión.
Dirección IP La dirección IP del cliente conectado.
Dirección MAC La dirección MAC de la interfaz del cliente conectado.
Inicio de conexión La hora de inicio de la conexión.
Detención de conexión La hora de fin de la conexión.
Descarga La cantidad de datos que se han descargado durante esta conexión.
Carga La cantidad de datos que se han cargado durante esta conexión.
Duración La duración de la conexión.
Exportar registros de conexión como CSV La registros de conexión, que contienen información detallada y relevante, se pueden descargar para verse o almacenarse en formato CSV haciendo clic en el enlace Exportar registros de conexión como CSV del submenú. El nombre predeterminado del archivo de registro es Hotspot-AAAAMMDD-FULL.csv, donde AAAAMMDD es la fecha de creación del archivo. FULL significa que el archivo contiene detalles de todas las conexiones.
Advertencia:
conviene recordar que la lista exportada contiene también las contraseñas de los usuarios como texto sin formato, por lo que es recomendable guardarla en un lugar seguro.
Transacciones SmartConnect Esta página contiene la lista de todas las conexiones y transacciones SmartConnect™, que se pueden ordenar (a la inversa) por ID de transacción u hora del pedido. Se pueden buscar transacciones específicas escribiendo algunos caracteres en el formulario de entrada junto a la etiqueta Buscar:. La información proporcionada en la tabla es:
ID de transacción La cadena de identificación de la transacción, que es especialmente útil para la contabilidad y si surge algún problema con el registro de clientes y tickets. Aquí se puede buscar cualquier transacción.
Hora del pedido La fecha y la hora de la transacción.
Pago Indica el estado del pago: si se completó correctamente (los tickets gratuitos se muestran siempre como Completado) o no.
Usuario El nombre de usuario de la cuenta creada, que será el número de teléfono en el caso de transacciones SmartConnect™ basadas en SMS.
Número de teléfono El número de teléfono proporcionado durante la creación de la cuenta.
SMS El SMS con las credenciales de la cuenta se envía desde el Hotspot a través de la Panda Perimetral Management Console. Si, por cualquier motivo, el mensaje no se ha enviado o el cliente no lo ha recibido, este campo mostrará Error; de lo contrario se leerá Con éxito.
Hora del SMS La fecha y la hora en las que se procesó el SMS.
Nombre El nombre que se especificó al crear la cuenta.
Información La dirección, el código postal y el país que se especificaron al crear la cuenta.
La paginación está disponible para tablas con muchas entradas.
Véase también:
SmartConnect Hotspot ‣ Configuración ‣ SmartConnect
Configuración Esta sección incluye todas las opciones disponibles para configurar el Hotspot en cuatro grupos principales: Principal, SmartConnect™, API e Idioma.
Principal Esta página contiene toda la configuración del sistema, dividida en cuatro partes. En la primera, Portal, es posible definir los valores predeterminados para la apariencia del portal; la segunda, Configuración general, permite especificar alguna opción utilizada por las diversas partes del Hotspot; en la tercera, Cuentas, se definen opciones comunes de la cuenta; y en la cuarta, se elige el Conjunto de caracteres para contraseñas generadas utilizado en Ticket rápido.
Advertencia:
cualquier cambio en la configuración del portal y en la Configuración general forzará la desconexión de todos los usuarios conectados. Esa configuración se marca con un asterisco rojo en la GUI.
Portal
El primer cuadro engloba las siguientes opciones que se pueden personalizar:
Página de inicio después de inicio de sesión correcto La URL de una página web que se mostrará al usuario después de un inicio de sesión correcto.
Página de inicio de fondo del portal La URL que se usa como imagen de fondo para el portal de inicio de sesión del Hotspot.
Mostrar formulario de inicio de sesión Elija en el menú desplegable cómo se debe mostrar el formulario de inicio de sesión del Hotspot:
inmediatamente mostrará el formulario de inicio de sesión de inmediato a través de la página de inicio de fondo. manualmente mostrará la página de inicio de fondo con una barra de navegación en la parte superior, lo que permite al usuario acceder a la página de registro en cualquier momento, pudiendo navegar por el sitio de inicio sin ningún registro de usuario. Esto es útil para promocionar un sitio web propio o para proporcionar información. Para acceder al resto de los sitios sigue siendo necesario un registro, aunque siempre se puede acceder a los sitios que aparecen en Sitios permitidos (véase a continuación).
después de x segundos mostrará el formulario de inicio de sesión a través de la página de inicio de fondo después de un periodo de segundos especificado por el usuario (el usuario recibe una notificación del tiempo de registro latente en la barra de navegación).
Usar portal mini para dispositivos móviles Esta opción controla qué tipos de portal recibirán servicio del Hotspot. Además del portal estándar, hay dos más disponibles: uno sin JavaScripts y otro adaptado para dispositivos móviles. Cuando esta opción está activada, los tres tipos de portal reciben servicio, mientras que, si no lo está, solo se ofrece a los usuarios el portal estándar.
Sitios permitidos Los sitios o direcciones IP a los que se puede acceder incluso sin autenticación, es decir, los sitios que puede visitar cualquiera. Se permite un sitio por línea, en forma de nombre de dominio normal o de cadena con el formato protocolo:IP[/mascara]:puerto, por ejemplo, pandasecurity.com o tcp:192.168.20.0/24:443. Tenga en cuenta que, si las páginas incorporan widgets, JavaScripts u otros componentes de sitios que no se encuentren en esta lista, no se podrán cargar correctamente.
Configuración general
Nombre del Hotspot Un nombre para identificar el Hotspot.
Elementos por página El valor de paginación, es decir, el número máximo de elementos de una lista o tabla que se muestran por página.
Divisa La divisa que se utiliza en todos los cálculos de pagos en el Hotspot.
Nota:
PayPal no admite algunos tipos de divisa y, por eso, no se pueden utilizar con tickets de SmartConnect.
Países populares Los países populares ocupan los primeros lugares en la lista de países presentada a los usuarios cuando se registran, con el fin de reducir el tiempo necesario para todo el proceso de registro.
Activar AnyIP Esta opción activa la función AnyIP, que debería ayudar a los clientes que no utilicen DHCP y permitirles acceder al Hotspot incluso con una IP estática que no esté comprendida dentro de la subred de IP del Hotspot (zona AZUL).
Limitación de ancho de banda Los límites de carga y descarga predeterminados por usuario en KB/s. Si estos campos están en blanco, no se aplica ningún límite.
Nota:
recuerde que en un KB hay 8 kilobits. Por tanto, asegúrese de introducir valores adecuados en los campos.
Rango dinámico de DHCP Cuando esta opción se activa marcando la casilla, se asignan direcciones IP dinámicas a los dispositivos conectados al Hotspot.
Rango de IP dinámicas Esta opción aparece cuando la anterior está activa y permite especificar un rango personalizado de direcciones IP dentro de la zona AZUL que se asignan de forma dinámica al cliente del Hotspot.
Cuentas
Requiere autenticación del usuario
Marque la casilla si desea que los clientes que accedan al Hotspot necesiten una cuenta válida y registrada.
Requiere que los usuarios acepten los Términos del servicio al iniciar sesión Cuando se selecciona esta opción, se solicitará al usuario que acepte los Términos del servicio justo antes del inicio de sesión.
Recuperación de contraseña Permite que un usuario que ha perdido u olvidado sus credenciales pueda restablecerlas. Se pueden elegir tres opciones:
Desactivado: no se permite la recuperación de contraseña. Utilizar la configuración de SmartConnect: las credenciales se envían de la misma forma que con SmartConnect™. Uso de configuración personalizada: puede definirse una configuración personalizada (consulte el cuadro a continuación).
Nota:
es posible permitir el inicio de sesión anónimo (es decir, sin necesidad de autenticación de usuario), pero exigir a todos los usuarios que acepten los Términos del servicio. Para ello, es necesario crear un ticket de tipo postpago, desactivar la opción Requiere autenticación del usuario y activar Requiere que los usuarios acepten los Términos del servicio al iniciar sesión. Si el ticket postpago se ha creado con una validez determinada, después de ese periodo, el usuario tendrá que volver a aceptar los Términos del servicio.
Tiempo de espera para usuarios inactivos El tiempo de inactividad tras el que un se cierra la sesión de un usuario (de forma predeterminada son 15 minutos, es decir, después de 15 minutos de inactividad, se cierra automáticamente la sesión de un usuario), con el fin de que el usuario no desperdicie demasiado la validez de su ticket.
Duración de la cuenta predeterminada (días) El número de días durante los que una cuenta es válida (de forma predeterminada, 365 días). Una vez transcurrido ese número de días, el usuario se vuelve inactivo automáticamente.
Permitir eliminación de cuentas usadas Esta opción permite la eliminación de cuentas que ya han utilizado partes de sus tickets. Si se selecciona, aparece la siguiente opción.
Evitar eliminación de usuarios que adquirieron tickets con SmartConnect Esta casilla aparece cuando se ha seleccionado la opción anterior. Está activada de forma predeterminada, y sugiere que los usuarios que ya adquirieron tickets mediante tarjeta de crédito con SmartConnect no se eliminen del sistema.
Eliminar cuentas desactivadas diariamente Activa la eliminación automática de cuentas de usuario desactivadas a diario.
Conjunto de caracteres para contraseñas generadas
La segunda parte de la configuración principal permite la elección de los valores predeterminados para las contraseñas que se generan automáticamente, por ejemplo, al crear un conjunto de tickets. Se pueden personalizar los siguientes valores de las contraseñas: la longitud, si desea utilizar mayúsculas y minúsculas, números u otros caracteres especiales adicionales. De forma predeterminada, las contraseñas serán de 6 caracteres y estarán compuestas solo por dígitos.
Configuración personalizada de recuperación de contraseña.
Si se elige que se permita la recuperación de la contraseña con una configuración personalizada, aparecen varias opciones de configuración, necesarias para un proceso de recuperación correcto. La primera es la modalidad en la que se realiza la recuperación:
La recuperación de la contraseña ha finalizado Existen tres posibilidades para esta opción: por SMS, por correo electrónico o ambas. Dependiendo de la elección, aparecen diferentes opciones para configurar el envío del SMS o del correo electrónico. Tenga en cuenta que todas las opciones aparecen si tanto la recuperación de contraseña por correo electrónico como por SMS están activadas.
En el modo de recuperación por SMS solo hay una opción adicional:
Códigos de países permitidos para recuperación de contraseña Es posible permitir el envío de SMS solo a los teléfonos móviles que pertenezcan a los países seleccionados. Para añadir un nuevo código de país, empiece escribiendo el nombre o el código del país en la casilla de multiselección que se encuentra sobre la lista de países hasta que el nombre del país aparezca en el cuadro de abajo. A continuación, selecciónelo y haga clic en el signo + situado a la derecha del nombre del país. Los países permitidos aparecen en el cuadro de la derecha y se pueden anular haciendo clic en el signo - a su derecha.
Para el modo de recuperación por correo electrónico, hay dos opciones disponibles.
Servidor de correo El servidor SMTP utilizado para enviar el correo electrónico de recuperación. Es posible elegir entre tres opciones del menú desplegable.
1.
Servidor SMTP del sistema. Para poder elegir esta opción, debe estar activado Barra de menú ‣ Proxy ‣ SMTP.
2.
Servidor SMTP personalizado. En este caso, el nombre del servidor de correo se puede especificar en el cuadro de texto.
Dirección de correo electrónico del emisor Una dirección de correo electrónico personalizada que se utilizará como emisor personalizado del correo electrónico de recuperación.
También hay disponible una opción adicional para ambos modos de recuperación:
Limitar recuperación de contraseña a El intervalo de tiempo que debe pasar antes de intentar recuperar la contraseña otra vez. Solo se puede seleccionar una de las cuatro opciones del menú desplegable: una vez cada 10 minutos, una vez cada 30 minutos, una vez cada hora y una vez cada día.
SmartConnect En esta página se pueden configurar las funciones SmartConnect™ (autoservicio) y SmartLogin del Hotspot. El sistema SmartConnect™ es totalmente compatible con la creación de tickets de autoservicio pagados o el uso de los tickets gratuitos sin pago del cliente, mientras que SmartLogin ofrece al usuario la posibilidad de evitar tener que volver a autenticarse en el Hotspot al cerrar y abrir el explorador. Si aún no se ha activado, la primera vez que se abre esta página solo hay una opción disponible.
SmartConnect
Activar SmartConnect La función SmartConnect™ solo se activa si se marca esta casilla.
En cuanto se active SmartConnect™, aparecerán opciones adicionales para permitir más control sobre esta funcionalidad:
Registro del usuario de autoservicio
Este menú desplegable permite seleccionar la modalidad para notificar al usuario que el registro de la cuenta se ha realizado correctamente. Hay tres opciones disponibles que se excluyen entre sí (es decir, solo se puede seleccionar una): por SMS, por correo electrónico y ninguna notificación (desactivado). Dependiendo de la elección, algunas aparecen opciones adicionales.
Desactivado: no hay más opciones disponibles. No se puede crear un nuevo usuario con SmartConnect™, aunque los usuarios existentes de SmartConnect™ pueden navegar y comprar tickets.
SMS: la activación de esta opción requiere la disponibilidad de paquetes de SMS, utilizados para enviar la confirmación al usuario, que puede verificarse en Sistema ‣ Notificaciones de eventos ‣ Notificaciones por SMS. Se pueden adquirir paquetes de SMS adicionales desde la Panda Perimetral Management Console. Están disponibles las opciones siguientes:
No requiere confirmación del número de teléfono
Desactiva la exigencia de escribir dos veces el número de móvil al que se va a enviar la confirmación. Es útil cuando se compila la solicitud en un smartphone.
Códigos de países permitidos
Solo los móviles que pertenecen a los países seleccionados pueden registrarse para acceder a SmartConnect™. Para añadir un nuevo país, empiece escribiendo el nombre o el código del país en la casilla de multiselección que se encuentra sobre la lista de países hasta que el nombre del país aparezca en el cuadro de abajo. A continuación, selecciónelo y haga clic en el signo + situado a la derecha del nombre del país. Los países permitidos aparecen en el cuadro de la derecha y se pueden anular haciendo clic en el signo - a su derecha.
Correo electrónico: se envía un correo electrónico con las credenciales de acceso a la dirección de correo electrónico proporcionada durante el proceso de registro. También se incluye un enlace de confirmación, en el que se debe hacer clic para que el usuario complete correctamente el proceso y active la cuenta. Esta opción requiere un smarthost o un servidor SMTP.
No requiere confirmación de la dirección de correo electrónico
Desactiva la exigencia de escribir dos veces la dirección de correo electrónico a la que se va a enviar la confirmación. Es útil cuando se compila la solicitud en un smartphone.
Tasa de ticket por verificación de dirección de correo electrónico
Este menú desplegable permite la selección de una de las tasas disponibles para permitir que un usuario se conecte un breve periodo para leer y recibir el correo electrónico de confirmación.
Sugerencia:
las tasas que se pueden seleccionar aquí deben definirse como basadas en tiempo y prepago, validez desde la creación del ticket y no activadas para SmartConnect ™.
Servidor de correo
Este menú desplegable permite la elección del smarthost que enviará el correo electrónico con las credenciales de acceso. Las opciones disponibles son: Servidor de correo personalizado, en el que se puede facilitar la URL de un servidor de correo personalizado, Smarthost del sistema y Proxy SMTP del sistema. Estas últimas opciones solo se encuentran disponibles si se han configurado un smarthost y un proxy SMTP y se están ejecutando en el dispositivo.
Dirección de correo electrónico del emisor
Una dirección de correo electrónico personalizada que aparecerá como emisor del correo electrónico de confirmación.
Campos de registro de usuario En esta casilla de multiselección es posible definir cuáles son los atributos de cuenta obligatorios que se deben proporcionar durante el proceso de registro. Los atributos que se presentan al usuario aparecen en la columna de la derecha, junto con la marca requerido u opcional. El número total de atributos requeridos u opcionales se muestra en la parte superior del lado izquierdo.
Nota:
Dependiendo del tipo de registro de usuario, algunos campos serán obligatorios y no se podrán desactivar. Cuando el registro por correo electrónico está activado, los valores de Nombre de usuario, Contraseña y Dirección de correo electrónico son obligatorios, mientras que cuando está activado el registro por sms, solo se exige el Número de teléfono, que actuará como el nombre de usuario.
Limitar tickets gratuitos por cuenta La cantidad de tickets gratuitos que se pueden utilizar en cada cuenta. La opción predeterminada es “sin límite”, lo que significa que se pueden adquirir nuevos tickets en cualquier momento, pero existe la opción “límite de horario”, que permite a los usuarios comprar un nuevo ticket gratuito solo cada determinada cantidad de minutos.
Activar tickets pagados Esta opción permite a los usuarios pagar los tickets del Hotspot mediante PayPal o una tarjeta de crédito. Cuando está desactivada, esta función permite configurar una cuenta de PayPal a la que se cobrarán los pagos.
Advertencia:
si esta opción se activa mientras los usuarios están conectados al Hotspot, se desconectarán todos por la fuerza.
Activar PayPal Sandbox
Este cuadro activa o desactiva PayPal Sandbox solo con fines de pruebas/demostraciones. El uso de Sandbox permite verificar que la integración de la API de PayPal funciona, sin tener que ejecutar transacciones con dinero real.
Nombre de usuario de la API de PayPal
El nombre de usuario de la API de PayPal.
Contraseña de la API de PayPal
La contraseña de la API de PayPal.
Firma de la API de PayPal
La firma de la API de PayPal.
Nota:
para configurar correctamente la funcionalidad SmartConnect™ del Hotspot de Panda y recibir pagos de clientes, es necesario registrarse y crear una cuenta de PayPal.
SmartLogin
La funcionalidad SmartLogin proporciona al usuario del Hotspot una cómoda forma de evitar tener que volver a autenticarse al conectarse de nuevo al Hotspot. En otras palabras, si un usuario cierra el explorador, luego solo tiene que reiniciar el mismo explorador para acceder inmediatamente a Internet, sin necesidad de volver a autenticarse. La funcionalidad SmartLogin se activar habilitar de manera global para todos los usuarios del Hotspot o de manera individual para cada usuario. En el último caso, SmartLogin funciona para esos usuarios incluso aunque no se haya activado de manera global. Se puede activar en la sección Información de inicio de sesión del Editor de cuentas.
Están disponibles las siguientes opciones:
Activar SmartLogin Marque la casilla para activar SmartLogin para todos los usuarios.
Duración de la cookie SmartLogin El tiempo en días durante el cual el usuario tiene la posibilidad de usar la funcionalidad SmartLogin.
Permitir a los usuarios que invaliden la eliminación de cookies SmartLogin al cerrar sesión
Cuando esta opción está activada, en el portal de inicio de sesión del usuario aparece una nueva opción (Deshabilitar el inicio de sesión automático) que ofrece la opción de usar o no la funcionalidad SmartLogin.
Tasas para la comprobación de correos electrónicos.
Para permitir que el usuario lea el correo electrónico de confirmación, se le debería permitir un acceso rápido y gratuito a Internet y a su cuenta de correo para leer las credenciales de la cuenta que acaba de crear. Por lo tanto, se debe vincular una tasa adecuada con características precisas con el proceso de registro de usuario de SmartConnect™. En caso de que todavía no haya tasas disponibles, un mensaje describe las opciones necesarias para este ticket, que puede crearse en Ticket ‣ Tasas. Las tasas del ticket tienen que ser de prepago, gratuitas, basadas en tiempo y no disponibles para SmartConnect™. Además, también deben definirse con un valor de validez “Desde la creación de ticket”. Se recomienda limitar este valor a unos minutos, para conceder al usuario solo la posibilidad de recuperar sus credenciales.
Para obtener ayuda con la creación de tasas de ticket, consulte también la ayuda en línea.
API Esta sección controla la configuración de la API del Hotspot de Panda, que permite la integración del Hotspot del dispositivo Panda GateDefender en un sistema que ya se esté ejecutando. En función del Modo seleccionado, se pueden configurar diferentes parámetros.
Modo La versión 2.5 del dispositivo Panda GateDefender ofrece tres modos de API diferentes: interfaces API/JSON genérica, ASA jHotel y pcs Phoenix de Panda. Las interfaces ASA jHotel y pcs Phoenix solo son necesarias en hoteles que usen el software de gestión de hoteles ASA jHotel o pcs Phoenix, respectivamente, mientras que la API genérica puede utilizarse para interactuar con otros sistemas de software. Los tres modos disponibles son mutuamente excluyentes, es decir, solo puede activarse uno. Si hay una de las tres interfaces activada, y se activa otra diferente, solo estará activa la segunda, mientras que la primera se desactivará automáticamente.
El resto de las opciones de configuración dependen del Modo seleccionado. A continuación se indica la opción que debe especificarse para el modo ASA jHotel.
Interfaz ASA jHotel activada Al marcar esta casilla, se activa la interfaz de ASA jHotel.
URL ASA jHotel La URL de la interfaz de gestión de ASA jHotel. Su exactitud se puede comprobar haciendo clic en el botón Prueba a la derecha del cuadro de entrada.
Sugerencia:
en la URL de muestra proporcionada, reemplace la DIRECCIÓN_IP de la instalación de ASA y el nombre de la EMPRESA.
Permitir registro del invitado (inicio de sesión del invitado/SmartConnect) Marque esta casilla para permitir que un invitado se autorregistre.
Tasa predeterminada de registro de invitado Seleccione en este menú desplegable la tasa predeterminada que se aplicará a las nuevas cuentas. Las tasas disponibles ya deberían estar definidas en Ticket ‣ Tasas.
Permitir tickets no gratuitos postpago para invitados que no se han registrado Marque la casilla para permitir que los invitados del hotel que no se hayan registrado puedan comprar tickets postpago.
Acceso al Hotspot con el software de gestión ASA jHotel.
Cualquier usuario que ya disponga de una cuenta en el software de gestión ASA puede acceder rápidamente al Hotspot sin necesidad de crear una cuenta, siempre que el Hotspot esté configurado correctamente. Los pasos necesarios en el Hotspot son:
1.
Marque la casilla Interfaz ASA jHotel activada y compruebe que el Hotspot puede acceder a la URL de la interfaz ASA jHotel.
2.
En Ticket ‣ Tasas, cree una nueva tasa de postpago, con Código del ticket (el ID que usa ASA) y asígnele un nombre único (por ejemplo, “mi-ASA”).
3.
Vuelva a Configuración ‣ API. A continuación, seleccione el modo ASA jHotel y, como Tasa predeterminada de registro de invitado, seleccione el nombre de tasa creado en el paso anterior (“mi-ASA”).
Para la interfaz API/JSON genérica o pcs Phoenix, hay tres opciones disponibles:
API activada Marque la casilla para activar la API.
URL de contabilidad El Hotspot enviará información de contabilidad a esta URL, para comprobar los datos suministrados por el usuario. Deje este campo vacío si el Hotspot no debe realizar la contabilidad.
La URL de contabilidad necesita autenticación de HTTP Si la URL proporcionada en la opción anterior requiere autenticación de HTTP, marque esta casilla. Aparecerán dos nuevos campos de texto para proporcionar el nombre de usuario y la contraseña, respectivamente.
Por último, la API se puede probar en la página especial https://GREENIP:10443/admin/api/, en caso de que se haya seleccionado la interfaz API/JSON genérica.
Idioma La sección Idioma permite establecer todas las opciones que dependen del idioma y personalizar todas las cadenas mostradas en los diversos idiomas y las plantillas del portal. La página se organiza en dos cuadros: Idiomas admitidos y Editar idiomas, con un tercero que aparece en función de la elección de Editar realizada en el segundo cuadro.
Idiomas admitidos
En el primer cuadro es posible elegir qué idiomas se admiten en el Hotspot y estarán disponibles para los usuarios. Los idiomas se deben seleccionar en la casilla de multiselección y, a continuación, guardarse haciendo clic en el botón Almacenar. Solo los idiomas que se seleccionen aquí estarán disponibles para los usuarios durante el proceso de registro y cuando se conecten al portal.
Editar idiomas
En el segundo cuadro es posible modificar una de las cuatro plantillas del portal o las cadenas de la interfaz de usuario, para cada idioma activado en el cuadro anterior. Para personalizar las plantillas y las cadenas, existen algunas variables que se pueden usar. Cuando hay que enviar un mensaje a un usuario (por ejemplo, si ha perdido la contraseña de su cuenta), cada variable se sustituye por un valor real, obtenido de los datos almacenados en el Hotspot.
Idioma El idioma para el que hay que modificar o añadir las traducciones. Las opciones disponibles en el menú desplegable dependen de los idiomas activados.
Editar
Los objetos que se van a modificar. Pueden ser las Plantillas del portal o las Cadenas del portal. Si se elige modificar las Cadenas del portal, el editor se sustituye por una lista de palabras y frases en inglés, que se usan en la GUI y el portal del
Hotspot, cada una con un cuadro de entrada en el que se debe escribir la traducción en el idioma seleccionado. Si se elige Plantillas del portal, una de las plantillas se puede editar en el cuadro que se abre: Página de bienvenida, Impresión de cuenta, Términos del servicio, Ayuda, Cuerpo de correo electrónico y Cuerpo de correo electrónico de contraseña perdida.
Para obtener más información sobre cómo personalizar el portal, vaya a Personalización del Hotspot más adelante.
El contenido de cada plantilla se puede modificar y personalizar con la ayuda de un editor WYSIWYG con todas las funciones.
Personalización del Hotspot
El portal que se presenta a los usuarios cuando se conectan por primera vez al Hotspot puede personalizarse de varias formas: el idioma usado en el portal, el texto que aparece en las distintas páginas, las CSS, el logotipo de la empresa que gestiona el Hotspot y el nombre del portal. La última opción solo se puede configurar desde la CLI, mientras que el resto se puede realizar desde la interfaz de administración del Hotspot, en la sección Idiomas (Hotspot ‣ Interfaz de administración ‣ Configuración ‣ Idiomas).
Idiomas disponibles.
Hay seis idiomas activos de forma predeterminada: en (inglés, también predeterminado), de (alemán), it (italiano), ja (japonés), es (español) y pt (portugués). Un usuario que se conecte al portal podrá seleccionar personalizar cada idioma. El Hotspot puede proporcionar idiomas adicionales; para ello, seleccione los idiomas que desee en la casilla de multiselección.
Plantillas.
Estas son las plantillas que pueden modificarse:
Página de bienvenida La página que se presenta al usuario antes de iniciar sesión.
Impresión de cuenta Un mensaje de bienvenida impreso y entregado a los usuarios después de su registro junto con su nombre de usuario y contraseña. Estas son las variables que se pueden utilizar: $title, $firstname, $lastname, $username, $password.
Términos del servicio Se presentan al usuario cuando hace clic en el enlace que se encuentra junto a la casilla que le solicita que acepte los Términos del servicio antes de poder iniciar la sesión.
Ayuda El contenido de esta página se muestra al usuario como un mensaje de ayuda.
Cuerpo de correo electrónico El texto que se incluye en el correo electrónico enviado con las credenciales del usuario tras registrarse, utilizado cuando el registro por correo electrónico está activo. Estas son las variables que se pueden utilizar: $hotspot_name, $activation_link, $rate_name, $username, $password, $amount, $price, $currency, $txn_id.
Cuerpo de correo electrónico de contraseña perdida El texto que se incluye en el correo electrónico enviado con las credenciales del usuario, que se usa cuando el usuario las ha perdido y selecciona la opción recuperación de contraseña por correo electrónico. Estas son las variables que se pueden utilizar: $username, $password.
Todas las plantillas se pueden editar para cada idioma disponible en el Hotspot y pueden utilizar las variables predefinidas (consulte estas tablas).
Texto e imágenes.
El contenido del portal, ya sean imágenes o texto, se puede modificar desde el editor, desde el que también es posible cargar imágenes personalizadas, CSS y otros archivos. Para usar el editor, vaya a la sección Editar idiomas, elija Plantillas del portal en el menú desplegable situado junto a la etiqueta Editar: y, a continuación, seleccione la plantilla entre las disponibles en el menú desplegable que se muestra a continuación (con la etiqueta Plantilla):
Página de bienvenida: la página que ve todo usuario antes de conectarse. Impresión de cuenta: el documento que se imprime y entrega al usuario con sus credenciales. Términos del servicio: las reglas que deberá seguir el usuario durante el uso del Hotspot. Ayuda: la página de ayuda y solución de problemas para el usuario. Cuerpo de correo electrónico: el texto del mensaje de correo electrónico que se envía al usuario como confirmación de que se ha creado una cuenta correctamente.
Cuerpo de correo electrónico de contraseña perdida: el texto del mensaje de correo electrónico que se envía al usuario como recordatorio de sus credenciales de acceso al Hotspot.
En el editor de la parte inferior de la página se pueden documentos con texto e imágenes. Añadir imágenes y archivos personalizados es, de hecho, muy sencillo. Coloque el cursor en el punto en el que desee insertar una imagen y, a continuación, haga clic en el botón para abrir una ventana emergente llamada Propiedades de imagen. En la pestaña Información de la imagen se muestran dos alternativas para insertar una imagen:
1.
Proporcionar un hipervínculo a una imagen de la web en el campo de texto URL.
2.
Hacer clic en el botón Examinar servidor para abrir un explorador de archivos y seleccionar una imagen existente en el servidor o bien hacer clic en el botón Seleccionar archivo en la parte inferior de la página para seleccionar una imagen de la estación de trabajo local y, a continuación, hacer clic en el botón Cargar.
Sugerencia:
los
archivos
cargados
se
almacenarán
en
el
dispositivo
Panda
GateDefender
en
el
directorio
/home/httpd/html/userfiles/. Los archivos personalizados también pueden cargarse directamente, por ejemplo, a través de SSH de esa ubicación.
CSS
También pueden utilizarse archivos CSS personalizados. Cárguelos en el dispositivo Panda GateDefender y colóquelos en el directorio
/home/httpd/html/userfiles. Al igual que los archivos de imagen, pueden cargarse con el botón
o a través de
SSH. El archivo se denominará:
hotspotcustom.css, la CSS utilizada para la interfaz de administración; portalcustom.css, la CSS utilizada para el portal del Hotspot; miniportalcustom.css, la CSS utilizada para el portal mini del Hotspot, es decir, el que tiene JavaScript desactivado y está adaptado para dispositivos móviles.
Sugerencia:
los originales de estos archivos se pueden encontrar en el directorio
/home/httpd/html/include
y se denominan
hotspot.css, portal.css y miniportal.css, respectivamente. Se pueden usar como base para los personalizados.
Logotipo.
El
logotipo
que
ven
los
portalcustom.css
usuarios o
en
el
portal
puede
reemplazarse
miniportalcustom.css.
utilizando Cargue
los el
archivos logotipo
CSS
personalizados
en
el
directorio
/home/httpd/html/userfiles
(con un tamaño de aproximado de 80x20 píxeles) y, a continuación, modifique los
archivos CSS, por ejemplo:
div.logo img { display: none; } div.logo { background-image: url('images/your-logo.png'); } Nombre del Hotspot.
La operación para cambiar el nombre de dominio del portal debe hacerse manualmente desde la CLI. El acceso CLI al dispositivo Panda GateDefender se puede activar en Barra de menú ‣ Sistema ‣ Acceso SSH (consulte la sección Acceder al dispositivo Panda GateDefender para obtener instrucciones).
Advertencia:
para editar y modificar manualmente cualquier archivo de configuración desde la CLI se necesitan conocimientos del interior del dispositivo Panda GateDefender, ya que una edición incorrecta de un archivo puede provocar la detención del servicio. Se recomienda tener cuidado y guardar un backup de cualquier archivo antes de editarlo.
Para cambiar el nombre de host y el nombre de dominio del Hotspot, edite el archivo
/var/efw/hotspot/settings
como raíz, utilizando, por ejemplo, el editor nano instalado, y busque las líneas, que son realmente definiciones de variables (los valores que se muestran aquí son solo ejemplos):
HOTSPOT_HOSTNAME=hotspot HOTSPOT_DOMAINNAME=ejemplo.com Sustituya los valores a la derecha del signo igual (hotspot y ejemplo.com) por los personalizados.
Además, puesto que la conexión con el portal cautivo está cifrada, también es necesaria una configuración SSL válida, que equivale a crear:
un certificado válido (es decir, ninguno autofirmado); un archivo de claves privadas, no cifrado; y un archivo que contenga la cadena de claves de SSL para el certificado.
Estos archivos se pueden crear en cualquier directorio, aunque como mejor práctica se recomienda copiar estos archivos en
/var/efw/hotspot/
también, a fin de garantizar que se incluyan en todos los backups de configuración. Una vez que
creados todos los certificados, también es necesario hacer que el motor del Hotspot se dé cuenta de su existencia, sobrescriba la configuración de certificados predeterminada, editando otra vez el archivo
/var/efw/hotspot/settings, y añada las
variables siguientes:
HOTSPOT_CERT=//hotspot.ejemplo.com-cert.pem HOTSPOT_KEY=//hotspot.ejemplo.com-key.pem HOTSPOT_CHAIN=//hotspot.ejemplo.com-cabundle.pem Recuerde reemplazar por la ruta completa a los tres certificados.
Por último, si no se necesita ningún archivo de cadena de claves de SSL, se puede asignar un valor vacío a la última variable de la configuración anterior, como:
HOTSPOT_CHAIN= Significado de las variables.
Esta es una referencia completa de las variables que se pueden utilizar al personalizar las cadenas del portal y las plantillas del portal del Hotspot. Resultan útiles para redactar mensajes adaptados a cada usuario. Cuando una de estas variables aparezca en una plantilla, se reemplazará por el valor correspondiente definido para esa cuenta. Las variables están agrupadas en tres tablas. La Tabla 1 contiene las variables que se pueden usar en todas las plantillas del portal, la Tabla 2 contiene las variables que se pueden usar solo en la plantilla Impresión de cuenta, y la Tabla 3 contiene las variables utilizadas en las cadenas del portal.
Tabla 1. Variables para todas las plantillas del portal.
Variable $title
Se reemplazará por El tratamiento del titular de la cuenta
$firstname El nombre del titular de la cuenta $lastname
El apellido del titular de la cuenta
$username El nombre de usuario de la cuenta $password La contraseña de la cuenta $rate_name El nombre de la tasa del ticket del Hotspot $amount
La cantidad de tráfico o tiempo disponible
$price
El coste del ticket
$currency
La divisa con la que se ha pagado el ticket
$txn_id
El ID de la transacción
Las variables de la siguiente tabla se reemplazarán en la información de cuenta impresa con los valores especificados en los campos correspondientes del Editor de cuenta.
Tabla 2. Variables para la plantilla del portal Impresión de cuenta.
Variable
Se reemplazará por
$language
El idioma del usuario
$birth_city
La población o ciudad de nacimiento del usuario
$birth_date
La fecha de nacimiento del usuario
$document_type El documento que identifica al usuario $document_party $document_id
El ID del documento
$street
La calle en la que reside el usuario
$country
El país en el que vive el usuario
$city
La población o ciudad en la que vive el usuario
$zip
El código postal de la ciudad del usuario
Variable $description
Se reemplazará por La descripción de la cuenta
$static_ip $external_id $phonenumber
El número de teléfono proporcionado por el usuario
$areacode El correo electrónico del usuario
$email
Variables para las cadenas del portal.
Variable
Sustituido por [nº de cadena]
%(recovery_freq)s
Con qué frecuencia se puede recuperar una contraseña nueva [4]
%(phonenumber)s
El número de teléfono del usuario [9 42]
%(transaction_id)s
El ID de la transacción [9 11 28 31 37 42 44 105 121]
%(email)s
La dirección de correo electrónico del usuario [11 44 121]
%(grant_ticket_duration)s Los minutos de acceso gratuito a Internet [44 121] %(seconds)s
La cantidad de segundos que un usuario tiene que esperar [55 133]
%(home)s
El enlace a la página de inicio del Hotspot [107]
Solo unas pocas cadenas del portal (14 de 123) contienen variables. Para esas 14 cadenas, es necesario que cada variable contenida en la cadena original (por ejemplo, cadena #4 Solo puede hacer una solicitud cada %(recovery_freq)s.) esté incluida también en la cadena traducida.
Las cadenas que contienen algunas variables (y cuáles) son las siguientes:
4 %(recovery_freq)s
9, 42 %(phonenumber)s y %(transaction_id)s
11 %(email)s y %(transaction_id)s
28, 31, 37, 105, %(transaction_id)s
44, 121 %(grant_ticket_duration)s, %(email)s y %(transaction_id)s
55, 113 %(seconds)s
107 %(home)s
Usuario del Hotspot En esta sección se presenta una lista de los (super)usuarios del Hotspot, es decir, aquellos que pueden realizar diferentes tareas de administración, y se dividen en dos grupos. Un Administrador del Hotspot puede administrar completamente la interfaz del Hotspot, pero no puede acceder al menú principal del dispositivo Panda GateDefender, mientras que un Editor de cuentas del Hotspot solo puede editar y activar o desactivar las cuentas de usuario del Hotspot proporcionando un nombre de usuario existente. Por lo tanto, un administrador también tiene los privilegios de un Editor de cuentas, pero no a la inversa.
En esta página, hay una lista de usuarios que muestra el nombre, el grupo al que pertenecen y las acciones disponibles en las cuentas. Existe una cuenta de administrador protegida y predeterminada, “hotspot”, que nunca se puede eliminar. Las acciones disponibles son editar y eliminar la cuenta de usuario. Si se borra, se borrará el usuario de la lista, mientras que, si se edita, se abrirá el editor del usuario (consultar más abajo). Cuando se edita un usuario del
Hotspot, solo se puede cambiar su contraseña, pero no se pueden
modificar ni su nombre ni su grupo.
Un administrador tiene acceso a la página https://GREENIP:10443/admin/ y todas las secciones contenidas en ella, que se describen en la sección Hotspot de esta guía. Por el contrario, un Editor de cuentas tiene acceso a la página del editor de información limitada que se encuentra en https://GREENIP:10443/admin/infoedit/ y es una interfaz web sencilla. Aquí, el Editor de cuentas puede introducir un nombre de usuario existente, cuya información de cuenta asociada se puede modificar.
Para añadir un usuario, simplemente haga clic en el enlace Añadir usuario encima de la lista. Se abrirá el cuadro Editor de usuarios, en el que se pueden introducir todos los datos necesarios para la creación de un nuevo usuario.
Nombre de usuario El nombre de usuario de la cuenta nueva.
Grupo El grupo al que pertenece el nuevo usuario. El menú desplegable permite elegir entre los dos grupos disponibles, Editor de cuentas del Hotspot y Administrador del Hotspot.
Contraseña, Contraseña (confirmar) La contraseña para el usuario que se debe introducir dos veces como confirmación.
Acceso de clientes al Hotspot En esta sección se describe la interfaz de usuario del Hotspot, la que ven los clientes cuando se conectan por conexión inalámbrica al Hotspot. El administrador del Hotspot puede personalizar la apariencia y los ajustes del portal en Barra de menú ‣ Hotspot ‣ Interfaz de administración ‣ Configuración.
Antes de poder navegar por Internet, el usuario debe acceder al Hotspot e iniciar sesión en él. Para ello, no es necesario instalar ningún software, puesto que basta con ejecutar un explorador e intentar abrir cualquier página web: el explorador se redirigirá al portal del Hotspot, en el que usuario puede iniciar sesión, registrar una nueva cuenta de Hotspot o iniciar sesión directamente y navegar por Internet. El Hotspot puede proporcionar al cliente diferentes tipos de portales, por lo que el cliente verá, en función del dispositivo utilizado, el portal para dispositivos móviles, el utilizado para exploradores sin JavaScript, o uno genérico para cualquier otro tipo de dispositivo.
Nota:
desde la versión 2.5, si el Hotspot está configurado en modo de usuario, no se exige al usuario que se autentique.
La página de inicio de sesión se compone de dos secciones: a la izquierda se puede elegir el idioma de la interfaz en un menú desplegable y leer un mensaje informativo. La sección de la derecha es el formulario de inicio de sesión, en el que el usuario puede iniciar sesión, registrar una nueva cuenta o comprar un nuevo ticket.
Existen dos versiones del formulario de inicio de sesión: una para el acceso de invitados y otra para el acceso de usuarios registrados. La primera solo funciona cuando se ejecuta ASA en el Hotspot y abarca las siguientes opciones:
No soy un invitado Al hacer clic en este botón, se muestra el formulario de inicio de sesión para usuarios registrados, cuyas opciones aparecen más adelante.
Apellido
El apellido del invitado.
Nombre El nombre del invitado.
Fecha de nacimiento La fecha de nacimiento del invitado, con formato DD.MM.AAAA. (Ejemplo: el 5 de febrero de 1980 se convierte en 05.02.1980).
Inicio de sesión Tras proporcionar la información necesaria, haciendo clic en este botón podrá acceder al Hotspot.
El formulario de inicio de sesión para usuarios registrados muestra las siguientes opciones.
Nombre de usuario El nombre de usuario del usuario.
Contraseñas La contraseña del usuario.
Registrar una cuenta nueva Los usuarios no registrados pueden crear una nueva cuenta para navegar por Internet. Esto solo está permitido cuando se ejecuta SmartConnect™ en el Hotspot. El procedimiento para la configuración de una cuenta nueva puede consultarse a continuación.
Añadir ticket El usuario puede comprar un ticket, un requisito obligatorio para acceder al Hotspot. Esta opción también está disponible cuando SmartConnect™ está activado.
Inicio de sesión Tras proporcionar las credenciales de inicio de sesión, haciendo clic en este botón podrá acceder al Hotspot.
Si el Hotspot está configurado para aceptar los Términos del servicio, después de hacer clic en el botón Inicio de sesión, se abrirá una ventana con un botón en la parte inferior de la ventana:
Acepto los términos del servicio Al hacer clic en este enlace, se abrirá una ventana con los términos del servicio.
Registrar una cuenta nueva
Tras hacer clic en el nuevo botón Registrar una cuenta nueva, se abrirá un asistente de cuatro pasos para configurar y activar una cuenta nueva del Hotspot. En el primer paso, se crea la cuenta de usuario. Para crearla correctamente, los siguientes datos son obligatorios:
Nombre, Apellido El nombre y el apellido del usuario.
Calle, Código postal, Ciudad, País
La dirección, el código postal, la ciudad y el país de residencia del usuario.
Número de teléfono para recibir el nombre de usuario y la contraseña El código de país del número de teléfono del usuario, elegido entre los disponibles en el menú desplegable, seguido del número de teléfono real del usuario.
Confirmar número de teléfono Vuelva a introducir el número de teléfono como confirmación.
También es necesario marcar la casilla situada junto al enlace Acepto los términos del servicio para crear la cuenta. Al hacer clic en el enlace, se abrirá una ventana con los términos del servicio, que se pueden leer antes de aceptarlos.
Cuando se hayan introducido todos los datos, haciendo clic en el botón Registrarse de la parte inferior derecha del formulario se iniciará el segundo paso. Después de registrarse, se le enviará un SMS con el nombre de usuario y la contraseña, que autorizará el inicio de sesión en el Hotspot.
En el segundo paso, se puede seleccionar un ticket en un menú desplegable que se asociará a la cuenta y permitirá utilizar el Hotspot para acceder a Internet. En función de la configuración del Hotspot, podrá elegir solo entre tickets gratuitos o también entre tickets de prepago o postpago. Para cada ticket disponible, se mostrarán el nombre, la duración y el coste. Para que esta opción funcione, se debe activar SmartConnect™ en el Hotspot y se deben configurar los pagos a través de PayPal.
Después de seleccionar un ticket, haga clic en el botón Continuar para proceder al tercer paso.
Nota:
aunque no hay límite en la compra de tickets de prepago y postpago, no se permite tener tickets basados en tiempo y en tráfico al mismo tiempo. En otras palabras, un cliente que posea uno o más tickets válidos basados en tiempo, no podrá comprar ningún ticket basado en tráfico hasta que se consuman o caduquen todos los tickets válidos basados en tiempo asociados a la cuenta. Lo mismo sucede con los tickets basados en tráfico: se deben utilizar todos o deben caducar antes de poder comprar un ticket basado en tiempo.
En el tercer paso, al elegir un ticket para el que sea necesario efectuar un pago, se redirigirá al usuario al sitio web de PayPal, donde deberá proporcionar los datos necesarios para la transacción y realizar la compra del ticket con una tarjeta de crédito o con una cuenta de PayPal. Por el contrario, si se ha seleccionado un ticket gratuito, este paso simplemente se omitirá y el proceso continuará en el cuarto paso.
En el cuarto paso aparecerá un mensaje para informar de que el registro se ha efectuado correctamente o se mostrará un mensaje de error si se ha producido un error en alguna parte del proceso de registro. En cualquier caso, también se mostrará la cadena ID de transacción. El ID de la transacción se debe anotar para futuras referencias o para utilizarlo en caso de que surja algún problema durante el proceso de registro o si se produjera algún problema durante la conexión. Si se da el caso anterior, póngase en contacto con un administrador del Hotspot rápidamente para completar el registro y obtener las credenciales de inicio de sesión.
Inicio de sesión
Al iniciar la sesión tras proporcionar el nombre de usuario y la contraseña, un panel informativo de la página mostrará varios detalles acerca del estado de la conexión. Esta página debe permanecer abierta: si se cierra, la sesión finalizará inmediatamente y se deberá realizar un nuevo inicio de sesión para acceder al Hotspot. En la página se muestra la información siguiente:
Tiempo restante El tiempo total que falta por consumir. Cuando se utiliza un ticket basado en el tráfico, aparece la cadena sin límite.
Tiempo de la sesión La duración de la sesión actual.
Tráfico restante
La cantidad de tráfico disponible en MB o GB del ticket actual. Cuando se utiliza un ticket basado en tiempo, aparece la cadena sin límite.
Tráfico de la sesión La cantidad de datos que se han intercambiado durante la navegación. Se proporciona una cantidad total, así como las cantidades de datos descargados y cargados entre corchetes.
Tiempo de espera de inactividad Una cuenta atrás que muestra el tiempo de espera de inactividad del dispositivo, es decir, el tiempo transcurrido desde la última actividad entre el dispositivo y el Hotspot. Cuando la cuenta atrás llegue a 0, el dispositivo se desconectará automáticamente.
Hora de inicio de la sesión La marca de tiempo de la hora de inicio de la sesión.
Deshabilitar el inicio de sesión automático Si esta casilla está marcada, el usuario tendrá que autenticarse al restablecer la conexión, con independencia de la configuración de SmartLogin. En caso contrario, si la casilla no está marcada, el usuario no tendrá que autenticarse al volver a conectarse al Hotspot.
Nota:
esta opción solo aparece si el administrador del Hotspot ha activado la funcionalidad SmartLogin.
En la parte inferior del panel aparecerán dos botones.
Empezar a navegar Al hacer clic en este botón, situado en la parte izquierda, se abrirá una nueva pestaña en el explorador, que llevará a la página de inicio del Hotspot.
Cerrar sesión Al hacer clic en este botón, se cerrará la sesión del Hotspot inmediatamente.
Añadir ticket
Antes de acceder al Hotspot y a Internet, el usuario debe poseer un ticket válido. El procedimiento para comprar un ticket es el mismo que el que se describe en el segundo paso y en el tercer paso del proceso de registro.
El menú Registros e Informes El menú Registros e informes La sección de registros del dispositivo Panda GateDefender permite ver exhaustivamente los registros y administrarlos.
El submenú situado en el lateral izquierdo de la pantalla contiene los siguientes elementos:
Panel de control: el nuevo módulo de generación de informes Registros en tiempo real: permite acceder a una vista rápida y en vivo de las últimas entradas de los registros a medida que se generan
Resumen: permite acceder a resúmenes diarios de todos los registros
Sistema: registros del sistema (/var/log/messages) filtrados por origen y fecha
Servicio: registros del sistema de detección de intrusiones (IDS, por sus siglas en inglés), OpenVPN y el antivirus Firewall: registros de reglas de iptables Proxy: registros de los proxies de HTTP, SMTP y filtro de contenido Configuración: personalización de todas las opciones de registro Servidor de timestamps seguros: fija marcas de tiempo en los archivos de registros para verificar que no han sido alterados
En resumen, existen dos modalidades para acceder al registro desde la GUI: en vivo y “por servicio”. En el modo en vivo, los archivos de registro se visualizan en cuanto se crean, mientras que en el modo “por servicio” solo se muestran registros producidos por un demonio o servicio.
Panel de control La GUI de generación de informes es un nuevo módulo, introducido en la versión 5.50, cuyo propósito es mostrar gráficamente la existencia de diversos tipos de eventos en el sistema.
Resumiendo, el módulo de generación de informes muestra eventos ocurridos en el dispositivo Panda GateDefender utilizando diferentes widgets y gráficos. Todos los eventos que se producen en el sistema y la información referente a ellos registrada por el demonio syslog se analizan y se utilizan para rellenar una base de datos sqlite3. Desde aquí, los datos se recopilan según las opciones y los filtros aplicados en la GUI y son mostrados por los widgets.
Nota:
este módulo está ligeramente vinculado a las Notificaciones de eventos situadas en Barra de menú ‣ Sistema ‣ Notificaciones de eventos. Todos los eventos registrados ahí, y en relación con los cuales se envían alertas por SMS o correo electrónico, también aparecen aquí, pero no sucede lo mismo a la inversa.
Esta página se divide en seis pestañas: Resumen, Sistema, Web, Correo no deseado, Ataquesy Virus. Excepto por la primera pestaña, que muestra una vista general de todos los eventos, cada una de ellas está dedicado a un servicio preciso que se ejecuta en el dispositivo Panda GateDefender.
Elementos comunes Todas las pestañas comparten el mismo diseño: debajo de las pestañas, hay un selector de fecha en el lado izquierdo y un botón Imprimir en el lado derecho. A continuación, hay un gráfico de líneas con una barra de desplazamiento horizontal justo debajo, encima de un cuadro informativo (Cuadrícula resumen) y un gráfico circular. En la parte inferior hay una o más tablas, dependiendo de la pestaña y los datos mostrados. La tabla que está siempre presente es la que muestra los mensajes syslog relacionados con los eventos mostrados.
Más detalladamente, aquí se incluye una descripción de todos los widgets presentes en el módulo de generación de informes.
Selector de fecha En la parte superior izquierda de la GUI hay un hipervínculo que muestra el intervalo en el que se produjeron los eventos que han sido considerados para los gráficos. Al hacer clic en él, un panel pequeño da acceso a otras opciones de intervalos. Existen dos tipos de opciones: la primera está relacionada con los eventos que han tenido lugar en los ... últimos días, a saber eventos del último día, semana, mes, trimestre o año; la segunda selecciona todos los eventos que se hayan producido en uno de los 12 últimos meses. Al seleccionar un nuevo periodo de tiempo, los demás widgets también se actualizan. También existe la posibilidad de no cambiar el intervalo mostrado, haciendo clic en Cancelar.
Imprimir Al hacer clic en este botón se muestra una vista previa de impresión de la página actual, en la que el botón Atrás reemplaza al botón Imprimir y abre una ventana emergente en la que puede elegir el dispositivo de impresión.
Gráfico de líneas y deslizador de tiempo.
El gráfico de líneas muestra el evento ocurrido en el dispositivo Panda GateDefender durante el periodo de tiempo seleccionado en un gráfico bidimensional, en el que el eje x muestra el intervalo de tiempo y el eje y muestra el número de repeticiones. Una línea de color conecta eventos del mismo tipo.
Sugerencia:
los diferentes tipos de evento se indican con distintos colores.
El deslizador de tiempo está ubicado debajo del gráfico y muestra, dentro del periodo de tiempo seleccionado, una vista más detallada de los eventos, representados aquí como histogramas. De hecho, se puede hacer clic en los dos extremos grises a izquierda y derecha del deslizador y arrastrarlos para reducir el tiempo mostrado en el gráfico de líneas. Cuando se reduce, el deslizador también puede moverse haciendo clic en el centro y arrastrándolo a la izquierda o la derecha.
Cuadrícula resumen
La cuadrícula resumen tiene un doble finalidad: por un lado, mostrar el número de repeticiones de los diversos tipos de eventos que se han producido en el dispositivo Panda GateDefender en el periodo seleccionado y, por otro, filtrar qué tipo de eventos se muestran en el gráfico de líneas. Su contenido cambia según las pestañas en las que se encuentra, es decir, según los tipos de eventos registrados. La cuadrícula resumen no está presente en las pestañas Correo, Ataquesy Virus, en las que se sustituye por una serie de tablas con detalles sobre los eventos.
Gráfico circular
El diagrama de gráfico circular muestra gráficamente el número de eventos que han tenido lugar en el periodo de tiempo seleccionado. Desde la pestaña Resumen, se puede hacer clic en cada sector para abrir la pestaña correspondiente al tipo de evento y mostrar una representación más detallada.
Tabla syslog
Una tabla que muestra los mensajes syslog extraídos de los archivos de registro y relacionados con los eventos mostrados en los gráficos. Cuando la tabla contiene muchos mensajes, estos se dividen en muchas páginas y pueden visualizarse utilizando los botones y los números que hay en su lado inferior izquierdo. En la parte inferior derecha hay un icono que permite actualizar el contenido de la tabla.
Resumen La pestaña Resumen muestra una visión general de todas las categorías de eventos registrados en el dispositivo Panda GateDefender. La cuadrícula resumen permite filtrar los siguientes tipos de eventos:
Sistema (verde). Número de inicios de sesión y otros eventos relacionados con las tareas de administración del sistema (por ejemplo: enlaces activos, cambio de estado, inicio y cese del registro, etc.).
Correo (gris oscuro). Cantidad de correo electrónico no deseado recibido.
Web (azul). Número de páginas bloqueadas por el filtro de contenido. Virus (rojo). Número de virus encontrados. Intentos de intrusión (amarillo). Eventos registrados por el IPS.
Cada categoría puede mostrarse por separado, con más información y un nivel superior de detalles en las demás pestañas de la página; véase más adelante.
Sistema La pestaña Sistema muestra todos los eventos que están relacionados con la eficiencia y la administración del sistema. Estos son todos los eventos mostrados:
Enlace activo (rojo). Las veces que los enlaces activos se conectan o se desconectan. Estado (gris oscuro). Cambios en el estado del dispositivo Panda GateDefender. Inicio de sesión (azul). El número de inicios de sesión, tanto correctos como incorrectos. Disco (amarillo). Eventos relacionados con E/S de disco. Actualización (verde). Eventos que conllevan una actualización del sistema o de paquetes. Soporte (gris claro). Número de accesos y operaciones realizados por el equipo de soporte.
Al hacer clic en el icono pequeño a la izquierda de cada categoría de evento, se oculta el resto de las categorías, mientras que la actual aparece más detallada y el gráfico circular está actualizado.
Web La pestaña Web muestra el número de páginas que ha bloqueado el motor de filtrado de URL. La cuadrícula resumen está compuesta por dos pestañas: Informe de accesos e Informe de filtros. La primera muestra las URL bloqueadas divididas por Dirección IP de origen, URL y Usuarios que se han bloqueado, y el recuento total para cada elemento, cada uno en una tabla.
La segunda pestaña muestra en la primera tabla las siguientes categorías, que son las que se encuentran en Filtro web (véase Barra de menú ‣ Proxy ‣ HTTP ‣ Filtro web).
Uso general (verde). Control parental (amarillo). Productividad (azul). Seguridad (rojo). Sitios sin categoría (gris oscuro).
Como en el caso de la pestaña Sistema, al hacer clic en el icono pequeño a la izquierda de cada categoría de evento, se oculta el resto de las categorías, mientras que la actual aparece más detallada y el gráfico circular está actualizado.
El resto de las tablas de la parte inferior muestran los recuentos de todos los objetos bloqueados: las Direcciones IP de origen, las URL y los Usuarios.
Correo La pestaña Correo muestra todos los mensajes bloqueados como spam.
No hay ninguna cuadrícula resumen en esta pestaña, que queda reemplazada por tres tablas que muestran los recuentos de:
De. Los emisores de mensajes de spam. Para. Los receptores de mensajes de spam. Dirección IP de origen. La dirección IP desde la que se ha enviado el mensaje de spam.
Intentos de intrusión La pestaña Intentos de intrusión muestra todas las tentativas de intrusión detectadas por el IPS (véase Barra de menú ‣ Servicios ‣ Prevención de intrusiones).
Las tablas de la parte inferior muestran recuentos de la siguiente información:
Intentos de intrusión. Las categorías en las que se clasifica cada intento. Dirección IP de origen. La dirección IP desde la que se ha originado el ataque. Dirección IP de destino. La dirección IP contra la que se ha lanzado el ataque.
Virus La pestaña Virus muestra todos los virus interceptadas por el motor de antivirus (véase Barra de menú ‣ Servicios ‣ Motor de antivirus).
Las tablas de la parte inferior muestran recuentos de la siguiente información:
Nombre del virus. El nombre del virus encontrado. Dirección IP de origen. La dirección IP donde el virus se encontraba originalmente. Dirección IP de destino. La dirección IP a la que se ha propagado el virus.
Conexiones La pestaña Conexiones muestra el número medio de conexiones iniciadas por los usuarios del dispositivo Panda GateDefender, agrupadas por:
Conexiones locales. Accesos a través de SSH o consola. Usuarios del Hotspot. Usuarios que acceden al Hotspot. Usuarios de IPsec. Clientes conectados a través de IPsec. Usuarios de OpenVPN. Clientes conectados mediante VPN.
Monitorización de tráfico El software ntopng es el sucesor del analizador de tráfico de red ntop, que añade una interfaz más intuitiva y más representaciones gráficas del tráfico que fluye a través del dispositivo Panda GateDefender.
La interfaz de administración de ntopng ofrece ahora más usabilidad y se puede acceder a ella fácilmente desde cualquier explorador. Por lo tanto, se ha integrado mejor con la interfaz del dispositivo Panda GateDefender que en versiones anteriores.
Las capacidades de ntopng se pueden resumir de la siguiente forma:
Supervisión en tiempo real de cada interfaz de red del dispositivo Panda GateDefender. Interfaz de administración accesible por web. Menos recursos necesarios en comparación con ntop. Integración de nDPI (firewall de la aplicación). Análisis del tráfico según diferentes parámetros (protocolo, origen/destino). Exportación de informes en formato JSON. Almacenamiento de las estadísticas de tráfico en el disco.
La GUI de ntopng se organiza en cuatro pestañas: Panel de control Flujos, Hosts e Interfaces. Además, también existe un cuadro de búsqueda para mostrar rápidamente información sobre un host específico.
En el pie de página de cada pestaña, se muestran un par de datos. Además de un aviso de copyright y un enlace a la página principal de ntop, hay un gráfico que muestra el tráfico de red durante los 20 últimos segundos, actualizado en tiempo real, y algunos datos numéricos sobre el ancho de banda actual utilizado, el número de hosts y flujos y el tiempo en línea del dispositivo Panda GateDefender.
Panel de control El panel de control muestra todas las conexiones que interesan al dispositivo Panda GateDefender, es decir, todos los Flujos establecidos en los que participa el dispositivo Panda GateDefender.
La página se divide en varios diagramas. El primero (llamado diagrama Sankey) muestra todos los flujos que pasan por el dispositivo Panda GateDefender actualizados en tiempo real. Los flujos horizontales muestran el tráfico entre dos hosts, mientras la anchura vertical de cada flujo es proporcional al ancho de banda utilizado por cada uno, es decir, a la cantidad de datos que fluye. Las conexiones y, por tanto, el sentido de los datos enviados aparecen de izquierda a derecha. Los hosts del lado izquierdo del diagrama envían datos a hosts del lado derecho y se identifican por su dirección IP o nombre del host. Al hacer clic en un host, se llega a la página Información general de la pestaña Hosts, que muestra varios datos acerca de ese host.
Debajo del diagrama Sankey, cuatro gráficos circulares informativos muestran en porcentaje los elementos que generan más tráfico, divididos en: total por host (parte superior izquierda); protocolos de aplicación (parte superior derecha), ASN (parte inferior izquierda) y emisores de flujo en vivo (parte inferior derecha).
Flujos La pestaña de flujos activos contiene una tabla grande con cierta información sobre los flujos activos:
Información. Un clic en el icono abre una página nueva en la que se muestra información más detallada sobre ese flujo. Aplicación. La aplicación que provoca el flujo. Se usa nDPI para reconocer la aplicación, por lo que podría ser necesario esperar a un par de paquetes para que muestre la aplicación correcta. En este caso, el mensaje (Demasiado pronto) aparece en lugar del nombre de la aplicación.
L4 Proto. El protocolo de red usado por el flujo, que suele ser TCP o UDP. Cliente. El nombre del host y el puerto utilizados por el flujo en el lado del cliente. Al hacer clic en el nombre del host o en el puerto, se mostrará más información en una página nueva sobre el tráfico de red que fluye por ese host o puerto.
Servidor. El nombre del host y el puerto utilizado por el flujo en el lado del servidor. Igual que en el caso del Cliente explicado anteriormente, se muestra más información cuando se hace clic en el nombre del host o en el puerto.
Sugerencia:
al hacer clic en el nombre del host o en el puerto, la tabla muestra información detallada al respecto y abre una subpestaña en la pestaña Hosts.
Duración. La duración de la conexión. Desglose. El porcentaje de tráfico generado por el cliente y el servidor. Rendimiento. La cantidad de datos actualmente intercambiados entre el cliente (en la parte izquierda, en negro) y el servidor (a la derecha, en verde).
Número total de bytes. El total de datos intercambiados desde que se establece la conexión.
En la parte inferior izquierda de la tabla se indica el número total de filas mostradas, mientras que en la parte derecha es posible examinar las distintas páginas en las que se divide la tabla cuando el número de filas es mayor que la paginación.
Un clic en el icono Información dará información detallada sobre ese flujo concreto. Además de los datos descritos anteriormente, se muestran estos otros datos:
Visto por primera vez. La marca de tiempo del momento en el que se ha establecida la conexión, junto con el tiempo que ha pasado desde entonces.
Visto por última vez. La marca de tiempo en que la conexión estuvo activa por última vez y el tiempo transcurrido desde ese momento.
Tráfico de Cliente a servidor. El número de paquetes y bytes enviados del cliente al servidor.
Tráfico de Servidor a cliente. El número de paquetes y bytes enviados del servidor al cliente. Flags TCP. Los estados de TCP del flujo actual.
Es posible volver a la lista de flujos haciendo clic en el hipervínculo Flujos en la parte izquierda, justo encima de la tabla.
Hosts La pestaña Hosts permite ver varios detalles sobre las partes que participan en un flujo: host, puerto, aplicación, flujos y su duración, datos intercambiados, etc.
Hay dos representaciones disponibles: Lista de hosts y Hosts principales (locales)
La representación de la Lista de hosts muestra información sobre todos los hosts que participan en algún flujo con el dispositivo Panda GateDefender y los siguientes datos sobre ellos:
Dirección IP. La dirección IP o la dirección MAC del host. La segunda se muestra si la asignación DHCP para ese host ha caducado.
Ubicación. Si el host está en la red local o en una red remota. Nombre simbólico. Si está disponible, es el nombre de host del host. Visto desde. La marca de tiempo de la primera conexión establecida. ASN. Desglose. El equilibrio entre el tráfico enviado y el recibido. Tráfico. La cantidad de datos intercambiados por el host.
Al hacer clic en la dirección IP, se abre una descripción general del host que muestra varios datos sobre él, además de los indicados anteriormente:
Visto por última vez. La marca de tiempo en que la conexión estuvo activa por última vez y el tiempo transcurrido desde ese momento.
Desglose del tráfico enviado frente al tráfico recibido. El tráfico generado o recibido por el host. Tráfico enviado. El número de paquetes y bytes enviados del cliente al servidor. Tráfico recibido. El número de paquetes y bytes enviados del servidor al cliente. JSON. Descarga información acerca del host en formato JSON. Mapa de actividad. Cuántos flujos han visto el host que participa en una marca de tiempo determinada. Cada cuadrado muestra un minuto. Cuanto más oscuro es el color, más flujos han tenido lugar en ese minuto.
Desde aquí también es posible abrir otras pestañas informativas sobre ese host. Cada pestaña contiene uno o más gráficos circulares (excepto las pestañas Contactos e Histórico) que se presenta encima de un resumen textual de los datos mostrados.
Tráfico. El protocolo de red utilizado por el host. (TCP, UDP e ICMP son los más comunes). Paquetes. La longitud en paquetes de cada flujo. (Nota: es mi suposición). Protocolos. El protocolo de aplicación utilizado por el host. Flujos. La tabla con todos los flujos de red de los hosts. Talkers. El diagrama Sankey de las conexiones, muy similar a la que se muestra en el panel de control, que, sin embargo, solo muestra los flujos más activos.
Contacto. Esta pestaña es ligeramente distinta a las demás. En la parte superior muestra un mapa de interacción y en la parte inferior, una lista de conexiones que tienen el host como cliente o destinatario.
Histórico. Un gráfico interactivo que muestra el historial del
tráfico que ha fluido desde y hacia el host en un intervalo de tiempo determinado (hasta un año), que puede seleccionarse encima del gráfico.
La representación de Hosts principales (locales) muestra un gráfico en tiempo real de los hosts que tienen conexiones activas en el host. Muestra los 30 últimos minutos.
Interfaces La pestaña Interfaces permite seleccionar la interfaz de red, entre las activas, cuyo tráfico debe mostrarse.
Nota:
actualmente no es posible seleccionar flujos ni hosts de distintas interfaces
En vivo Al entrar en la sección Registros o hacer clic en la entrada En vivo en el submenú, aparece el Visor de registros en tiempo real, un cuadro que muestra la lista de todos los archivos de registro disponibles para ver en tiempo real. Seleccionando las casillas correspondientes, se pueden elegir todos los registros que se deseen ver, que aparecerán en una nueva ventana al hacer clic en el botón Mostrar registros seleccionados. Para ver todos los archivos de registro a la vez, seleccione la casilla Seleccionar todos encima del botón Mostrar registros seleccionados y, a continuación, haga clic en este último botón. Para ver un solo archivo, haga clic en el enlace Mostrar solo este registro.
La ventana que se abre contiene dos cuadros, Configuración en la parte superior y Registros en tiempo real en la parte inferior.
Advertencia:
la lista de entradas de registros puede resultar ilegible si se muestran muchos registros, puesto que puede haberse generado una gran cantidad de entradas de registros (especialmente por el registro del firewall o el proxy, que puede generar varias entradas de registro por segundo en caso de mucho tráfico). En estos casos, los registros que se mostrarán pueden configurarse en el cuadro Configuración.
Configuración
Este cuadro permite modificar la configuración del visor de registros, lo que incluye qué archivos de registro se mostrarán, su color y las opciones para destacar o buscar palabras clave específicas.
A la derecha del cuadro aparece la lista de registros que se muestran en ese momento y el color con el que aparecen destacados, mientras que a la izquierda se muestran algunos elementos de control adicionales que ayudan a limitar la salida:
Filtro Solo se muestran las entradas de registro que contienen la expresión introducida en este campo.
Filtro adicional Igual que el filtro anterior, pero aplicado a la salida del primer filtro. En otras palabras, en el registro solo se muestran las entradas de registro que contienen ambas expresiones.
Pausar salida Hacer clic en este botón impedirá que aparezcan nuevas entradas de registro en el registro en tiempo real. No obstante, al hacer clic en este botón por segunda vez, todas las entradas nuevas aparecerán al instante y desplazarán rápidamente las anteriores.
Destacar Todas las entradas de registro que contienen esta expresión se destacarán con el color elegido. La diferencia con la opción de filtro es que todavía se muestra todo el contenido y las entradas de registro que contienen la expresión estarán destacadas con un fondo de color.
Color de destacado Hacer clic en el recuadro de color ofrece la posibilidad de seleccionar el color que se utilizará para destacar.
Desplazamiento automático Esta opción solo se encuentra disponible si la opción Ordenar por orden cronológico inverso en la sección Barra de menú ‣ Registros ‣ Configuración está desactivada. Esto hace que todas las entradas nuevas aparezcan al pie de la página. Si se activa esta opción, la lista se desplaza hacia arriba para mostrar las últimas entradas al pie de la página. De lo contrario, solo se muestran las entradas más antiguas y se debe utilizar la barra de desplazamiento de la derecha para ver las nuevas.
Para añadir o eliminar algún registro de la pantalla, haga clic en el enlace Mostrar más debajo de la lista de archivos de registro de la parte superior derecha. Los controles se reemplazarán por una tabla desde la cual se pueden seleccionar los archivos de registro deseados marcando o desmarcando sus respectivas casillas. Para cambiar el color de un archivo de registro, haga clic en la paleta de colores de ese tipo de registro y, a continuación, seleccione un color nuevo. Para ver los controles otra vez, haga clic en uno de los enlaces Cerrar debajo de la tabla o de la lista de los archivos de registro mostrados.
Registros en tiempo real
Los registros seleccionados para su visualización aparecen en este cuadro, que consiste en una tabla dividida en tres columnas.
Columna izquierda Esta columna contiene el nombre del registro, es decir, el demonio o servicio que genera la entrada del registro.
Columna central La marca de tiempo (fecha y hora) del evento que se ha registrado.
Columna derecha El mensaje real generado por el servicio o demonio y registrado en los archivos de registro.
Nota:
algunos mensajes de registro (especialmente entradas del firewall) abarcan más de una línea, lo que se indica mediante el botón
a
la derecha del mensaje. Para mostrar todo el mensaje, haga clic en él o en el botón.
Por último, también existe la posibilidad de aumentar o disminuir el tamaño de la ventana haciendo clic en los botones Aumentar altura o Disminuir altura, respectivamente, que están situados en el encabezado del cuadro.
Acciones comunes Las entradas Sistema, Servicio, Firewall y Proxy del submenú muestran archivos de registro para diferentes servicios y demonios, agrupados por características similares. Hay varios controles disponibles para buscar dentro del registro, o ver solo algunas entradas del registro, muchas de las cuales son las mismas en todos los servicios y demonios; solo el elemento del menú Sistema y la pestaña Informe de HTTP bajo Proxy tienen algunos controles adicionales. Estas entradas del submenú también tienen una estructura común de sus páginas, organizadas en dos cuadros: Configuración en la parte superior y Registro en la parte inferior.
Filtro Solo se muestran las líneas que contienen la expresión introducida.
Ir a la fecha Muestra directamente las entradas de registro para esta fecha.
Ir a página Muestra directamente las entradas de registro de esta página en los resultados. La cantidad de entradas mostradas por página se puede modificar en la página Barra de menú ‣ Registros ‣ Configuración.
Actualizar Después de cambiar cualquiera de las configuraciones anteriores, hacer clic en este botón actualiza el contenido de la página. Esta página no se actualiza automáticamente.
Exportar Al hacer clic en este botón las entradas de registro se exportan a un archivo de texto.
Firmar registro Al hacer clic en este enlace, se firma el registro actual. Este botón solo está disponible si está activado Servidor de timestamps seguros.
Anterior, Nuevo Estos dos botones se encuentran en el cuadro Registro y aparecen cada vez que la cantidad de entradas es tan grande que se divide en dos o más partes. Al hacer clic en ellos, permiten explorar entradas anteriores o más nuevas de los resultados de la búsqueda.
Nota:
un mensaje en la parte superior de la página indica si no hay registros disponibles en una fecha determinada. Esto puede suceder si el demonio o servicio no se ejecutaron o si no generaron ningún mensaje.
En el resto de esta sección, se presentan todos los servicios y sus configuraciones particulares.
Resumen Esta página presenta resúmenes de los registros generados por el dispositivo Panda GateDefender, separados por día y generados por el software de monitorización logwatch. A diferencia de otras partes de la sección de registro, tiene sus propias configuraciones para controlar el nivel de los detalles mostrados. Los siguientes elementos de control están disponibles en el primer cuadro en la parte superior de la página.
Mes Selecciona desde este menú desplegable el mes en el que se generaron los mensajes de registro.
Día El segundo menú desplegable permite elegir el día en el que se generaron los mensajes de registro.
Permiten explorar el historial, moverse de un día (o parte de él si se han generado demasiados mensajes) a otro. El contenido de la página se actualizará automáticamente.
Actualizar Actualiza inmediatamente el contenido de la página cuando se ha cambiado la combinación mes/día.
Exportar Al hacer clic en este botón, aparece una versión de texto del resumen y se puede guardar en el sistema de archivos local.
Debajo del cuadro Configuración, aparece una cantidad variable de cuadros, según los servicios activos que tienen entradas de registro. Como mínimo debe estar visible el cuadro Espacio de disco, que muestra el espacio de disco disponible en la fecha seleccionada. También pueden aparecer otros cuadros, como Sufijo (lista de correos) y Firewall (paquetes aceptados y eliminados).
Observe que los resúmenes no están disponibles para el día actual, puesto que se crean cada noche a partir de los archivos de registro generados el día anterior.
Sistema En esta sección aparece el visor de registros para los varios archivos de registro del sistema. El cuadro superior, Configuración, define los criterios para mostrar las entradas en el cuadro inferior. Junto a las acciones comunes, hay un control adicional disponible:
Sección Permite seleccionar el tipo de registro que debe aparecer, Todos o solo los relacionados con un servicio o demonio determinados. Entre otros, incluyen mensajes de kernel, acceso SSH, NTP y demás.
Después de elegir la sección, haga clic en el botón Actualizar para actualizar los registros que aparecen en el cuadro Registro al pie de la página, donde los botones Anterior y Nuevo permiten navegar por las páginas.
Servicio En esta sección aparecen las entradas de registro para tres de los servicios más importantes proporcionados por el dispositivo Panda GateDefender: IDS, OpenVPN, y el antivirus Panda, cada uno en su propia pestaña. Solo se encuentran disponibles las acciones comunes.
Firewall El visor de registros de firewall contiene los mensajes que registran las actividades del firewall. Solo se encuentran disponibles las acciones comunes.
La información que se muestra en la tabla es:
Hora La marca de tiempo en que el mensaje se ha generado.
Cadena La cadena a través de la cual ha pasado el paquete.
Interfaz La interfaz por la que ha pasado el paquete.
Proto El prototipo del paquete.
Origen, Puerto de origen La dirección IP y el puerto desde donde ha llegado el paquete.
Dirección MAC La dirección MAC de la interfaz de origen.
Destino, Puerto de destino La dirección IP y el puerto a los que tenía que llegar el paquete.
Proxy El visor de registros del proxy muestra los registros de los cuatro demonios que usan el proxy. Cada uno tiene su propia pestaña: squid (HTTP), icap (Filtro de contenido), sarg (Informe de HTTP), y smtpd (SMTP, proxy de correo electrónico).
HTTP y filtro de contenido Además de las acciones comunes, el visor de registro para el proxy HTTP y el filtro de contenidos permiten especificar estos valores:
IP de origen Muestra solo las entradas de registro que contienen la dirección IP de origen seleccionada, elegida desde un menú desplegable.
Ignorar filtro Una expresión regular que excluye todas las entradas de registro que la contienen.
Activar ignorar filtro Marque esta casilla para desactivar temporalmente la opción de ignorar filtro.
Restaurar los valores predefinidos Hacer clic en este botón restaurará todos los parámetros de búsqueda predeterminados.
Informe de HTTP La pestaña Informe de HTTP solo tiene una opción: permite activar o no el generador de informes de análisis de proxy haciendo clic en la casilla Activar y, a continuación, en el botón Guardar. Una vez que el generador de informes está activado, al hacer clic en los enlaces Informe diario, Informe semanal, e Informe mensual, se muestran informes de HTTP detallados.
SMTP En la pestaña del demonio posfijo, solo se encuentran disponibles las acciones comunes.
Configuración Esta página contiene todos los elementos de configuración global de las funciones de registro del dispositivo Panda GateDefender, organizados en cuatro cuadros: Opciones del visor de registros, Resúmenes de registro, Registro remoto y Registro del firewall.
Opciones del visor de registros
Número de líneas a mostrar El valor de paginación, es decir, la cantidad de líneas que se muestran por página de registro.
Ordenar por orden cronológico inverso Si esta casilla está seleccionada, las entradas de registro más nuevas aparecerán primero.
Resúmenes de registro
Guardar resúmenes durante __ días El tiempo durante el cual deben almacenarse los resúmenes de registro en el disco antes de eliminarlos.
Nivel de detalle El nivel de detalle del resumen de registro: cuanto más alto sea el nivel, mayor cantidad de entradas de registro se guardan y muestran. El menú desplegable ofrece tres niveles de detalle: bajo, medio y alto.
Registro remoto
Activado (registro remoto) Hacer clic en esta casilla permite activar el registro remoto. La siguiente opción permite introducir el nombre del host del servidor syslog.
Servidor syslog Nombre del host del servidor remoto al que se enviarán los registros. El servidor debe ser compatible con los últimos estándares de protocolo de syslog IETF.
Registro del firewall
Registrar paquetes con constelación MALA de flags TCP Si esta opción está activada, el firewall registrará paquetes con constelación mala de flags TCP (por ejemplo, todos los flags están establecidos).
Registrar conexiones NUEVAS sin flag SYN Si esta opción está activada, se registrarán todas las conexiones TCP nuevas sin el flag SYN.
Registrar las conexiones salientes aceptadas Para registrar todas las conexiones salientes aceptadas, se debe marcar esta casilla.
Registrar paquetes rechazados Si esta opción está activada, el firewall registrará todos los paquetes rechazados.
Servidor de timestamps seguros El servidor de timestamps seguros es un proceso por el que pasan los archivos de registro (en general cualquier documento) para que se puedan seguir y certificar su origen y cumplimiento con el original. En otras palabras, el servidor de timestamps seguros permite certificar y verificar que un archivo de registro no ha sido modificado por nadie de ningún modo, ni siquiera por el autor original. En el caso de archivos de registro, el servidor de timestamps seguros es útil, por ejemplo, para verificar los accesos al sistema o las conexiones de los usuarios de la VPN, incluso en los casos de auditorías independientes.
El Servidor de timestamps seguros no está activado de manera predeterminada, pero para activarlo solo es necesario hacer clic en el interruptor gris. Cuando se pone verde, aparecen algunas opciones de configuración.
URL del servidor de timestamping La URL del servidor de timestamping (también denominado TSA) es obligatoria, dado que este servidor firmará los archivos de registro.
Nota:
se necesita una URL válida de un TSA válido para poder utilizar Servidor de timestamps seguros. Varias empresas pueden prestar este tipo de servicio.
Autenticación de HTTP
Si el servidor de timestamping requiere autenticación, marque la casilla situada debajo de la etiqueta Autenticación de HTTP.
Nombre de usuario El nombre de usuario utilizado para autenticarse en el servidor de timestamping.
Contraseña. La contraseña utilizada para autenticarse en el servidor de timestamping.
Clave pública del servidor de marcas de tiempo Para que la comunicación con el servidor sea más sencilla y segura, se puede importar la clave pública del servidor. Se puede buscar el archivo del certificado en el equipo local haciendo clic en el botón Examinar... y luego cargarlo en el dispositivo Panda GateDefender haciendo clic en el botón Cargar. Tras guardar el certificado, junto a la etiqueta Clave pública del servidor de marcas de tiempo, aparecerá el enlace Descarga. Se puede hacer clic en él para recuperar el certificado, por ejemplo, si debe instalarse en otro dispositivo Panda GateDefender.
Después de hacer clic en el botón Guardar, la configuración se guarda y, al día siguiente, aparecerá un botón nuevo en la sección Registros, a la derecha del cuadro Configuración:
Verificar firma de registro Al hacer clic en él, se muestra un mensaje en un globo amarillo que informa sobre el estado del registro.
Véase también:
La documentación del servidor de timestamps OpenSSL oficial y la RFC 3161, la definición original del protocolo de marca de tiempo.
Glosario Glosario Cuadro Un cuadro es un elemento de la página de un servicio que contiene varias opciones de configuración.
Cliente Es un usuario que se conecta al Hotspot. A veces se le llama usuario del Hotspot.
GREENIP Es la dirección IP de la zona VERDE, es decir, de la LAN donde se encuentra el dispositivo Panda GateDefender.
Módulo Por módulo se entiende cada uno de los elementos que se muestran en la barra de navegación principal (Sistema, Estado, Registros, etc.), que agrupan un conjunto de funciones.
Casilla de multiselección Es una casilla especial que muestra una lista de elementos disponibles en el lado derecho, una lista de elementos “activos” o seleccionados en el lado izquierdo y un cuadro de texto de búsqueda en la parte superior. Algunas también permiten especificar una característica para cada elemento permitido (por ejemplo, que el elemento es obligatorio u opcional).
Paginación Permite que las tablas que contienen muchas entradas se dividan en dos o más partes cuando el número de entradas supera el valor de paginación, mostrando solamente una parte cada vez. Este valor, que actualmente solo está disponible para el Hotspot y los registros, puede definirse en Hotspot ‣ Configuración y Barra de menú ‣ Registros ‣ Configuración. Es posible navegar de una página a otra haciendo clic en los enlaces Primero, Anterior, Siguiente, y Último que se encuentran encima de la tabla.
Complemento Los complementos son los cuadros presentes en el panel de control.
Smarthost Un servidor de repetición SMTP que, en lugar de enviar un correo electrónico directamente al receptor, lo envía a un servidor intermedio que realizará la entrega final. Los smarthosts generalmente requieren autenticación, a diferencia de los servidores de repetición abiertos, que no la requieren.
Pestaña Las pestañas son subpáginas de un servicio principal que se utilizan para dividir y mantener organizadas todas las opciones de configuración de ese servicio.
Las zonas Cada una de las 4 subredes administradas por el dispositivo Panda GateDefender: VERDE, ROJA, AZUL, y NARANJA.
Usuario
Manual de referencia Es una persona que utiliza el dispositivo Panda GateDefender.
Usuario agente El usuario agente de un explorador web es la cadena que todo explorador envía como identificación al solicitar una página web. Contiene diferente información sobre el explorador y el sistema. Por ejemplo:
Mozilla/5.0 (X11; U; Linux i586; it; rv:5.0) Gecko/20100101 Firefox/5.0
Puede encontrarse una lista completa de cadenas de usuarios agente en el sitio web http://www.useragentstring.com/.
Widget Un elemento de la GUI que muestra información y a veces puede ser interactivo, es decir, un usuario puede interactuar con él para cambiar la información que contiene.
de 2014.
184
Guía rápida...¿Dónde puedo...? Guía rápida. ¿Dónde puedo...? Hotspot
Administrar el Hotspot: Barra de menú ‣ Hotspot ‣ Interfaz de administración o https://GREENIP:10443/admin/ (recuerde la “/” final).
Editar Hotspot en cuenta de usuario: https://GREENIP:10443/admin/infoedit/ (recuerde la “/” final). Añadir Hotspot en cuenta de usuario: Barra de menú ‣ Hotspot ‣ Cuentas ‣ Añadir cuenta nueva. Activar SmartConnect y SmartLogin: Barra de menú ‣ Hotspot ‣ Interfaz de administración ‣ Configuración ‣ SmartConnect.
Red
Activar/desactivar zona AZUL/NARANJA: Barra de menú ‣ Sistema ‣ Configuración de red, paso 2.
Cambiar nombre de host y nombre de dominio: Barra de menú ‣ Sistema ‣ Configuración de red, paso 3.
Cambiar nombre de dominio por zona: Barra de menú ‣ Servicios ‣ Servidor DHCP.
Añadir enlace: Barra de menú ‣ Red ‣ Interfaces.
Limitar ancho de banda por interfaz: Barra de menú ‣ Servicios ‣ Calidad de servicio.
Añadir/Configurar VLAN: Barra de menú ‣ Red ‣ Interfaces ‣ VLANs.
Configurar antispyware y antimalware: Barra de menú ‣ Proxy ‣ POP3 ‣ Filtro de correo no deseado, Barra de menú ‣ Proxy ‣ DNS ‣ Antispyware.
Configurar antispam: Barra de menú ‣ Proxy ‣ SMTP ‣ Configuración de spam, Barra de menú ‣ Servicios ‣ Capacitación de spam.
Configurar antivirus: Barra de menú ‣ Servicios ‣ Motor de antivirus, Barra de menú ‣ Proxy ‣ [HTTP/POP3/FTP/SMTP].
Varios
Modificar dirección de correo electrónico predeterminada: Barra de menú ‣ Sistema ‣ Configuración de red, paso 6.
Abrir un ticket de soporte: Barra de menú ‣ Sistema ‣ Soporte.
Cambiar idioma del GUI: Barra de menú ‣ Configuración de GUI.
Visualizar la licencia: Barra de menú ‣ Sistema ‣ Acuerdo de licencia.
Configurar servidor de timestamps seguros: Barra de menú ‣ Registros ‣ Servidor de timestamps seguros.
Restablecer los ajustes predeterminados de fábrica: Barra de menú ‣ Sistema ‣ Backup.
Licencia de documentación GNU libre Licencia de documentación GNU libre Licencia de documentación GNU libre
Versión 1.2, noviembre de 2002
Copyright (C) 2000, 2001, 2002 Free Software Foundation, Inc. 51 Franklin St, Fifth Floor, Boston, MA 02110-1301 EE. UU. Se permite copiar y distribuir copias literales de este documento de licencia, pero no se permite realizar cambios.
1.
INTRODUCCIÓN
El objeto de esta Licencia es hacer que un manual, un libro de texto u otro documento funcional y útil sean “libres” en el sentido de libertad, con el fin de garantizar a todos la libertad efectiva para copiarlo y redistribuirlo, con la posibilidad de modificarlo, ya sea con fines comerciales o de otro modo. En segundo lugar, esta Licencia prevé la forma de que se reconozca el trabajo del autor y el editor, pero sin considerarlos responsables de las modificaciones realizadas por terceros.
Esta Licencia es un tipo de “copyleft”, lo que significa que las obras derivadas del documento también deben ser libres en el mismo sentido. Complementa a la Licencia pública general de GNU, que es una licencia “copyleft” diseñada para el software libre.
Hemos diseñado esta Licencia con el fin de utilizarla para manuales de software libre, porque el software libre necesita documentación libre: un programa libre debe ir acompañado de manuales que proporcionen las mismas libertades que el software. No obstante, esta Licencia no se limita a los manuales de software; puede utilizarse para cualquier obra textual, sin importar su temática o su publicación como libro impreso. Recomendamos esta Licencia principalmente para obras cuyo objeto es la formación o la referencia.
1.
APLICABILIDAD Y DEFINICIONES
Esta Licencia se aplica a cualquier manual u otra obra, en cualquier medio, que contenga una notificación incorporada por el titular de los derechos de autor donde exprese que puede ser distribuido de conformidad con los términos de esta Licencia. Dicha notificación concede una licencia mundial, libre de royalties y de duración ilimitada para utilizar esa obra de acuerdo con las condiciones establecidas en el presente documento. El “Documento”, a continuación, se refiere a cualquier obra o manual de tales características. Cualquier miembro del público es un licenciatario, y aparece como “usted”. Usted acepta esta licencia si copia, modifica o distribuye la obra de un modo que exija obtener autorización con arreglo a la ley de derechos de autor.
Por “Versión modificada” del Documento se entenderá cualquier obra que contenga el Documento o una parte de este, ya sea una copia literal, o con modificaciones y/o traducida a otro idioma.
Una “Sección secundaria” es un apéndice titulado o una sección preliminar del Documento que trata exclusivamente de la relación de los editores o los autores del Documento con el tema general del Documento (o asuntos relacionados) y no contiene nada que pueda entrar directamente dentro del tema general. (Por lo tanto, si el Documento es en parte un libro de texto de matemáticas, una Sección secundaria no puede explicar nada de matemáticas). La relación puede ser un asunto de conexión histórica con el tema o con temas relacionados, o una posición legal, comercial, filosófica, ética o política al respecto.
Las “Secciones invariantes” son determinadas Secciones secundarias cuyos títulos se recogen, como Secciones invariantes, en el aviso que indica que el Documento se difunde con esta Licencia. Si la sección no encaja en la definición anterior de Secundaria, entonces no está permitido considerarla Invariante. Es posible que el Documento no contenga ninguna Sección invariante. Si no se identifica ninguna Sección invariante en el Documento, es que no contiene ninguna.
Los “Textos de tapa” son determinados pasajes cortos de texto que aparecen, como textos de portada o textos de contraportada, en el aviso que indica que el Documento se difunde con esta Licencia. Un texto de portada puede tener como máximo 5 palabras, y un texto de contraportada puede tener como máximo 25 palabras.
Por copia “Transparente” del Documento se entenderá una copia legible por máquina, representada en un formato cuya especificación está disponible para el público en general, que es adecuada para revisar el documento directamente con editores de texto genéricos o (para las imágenes compuestas por píxeles) programas genéricos de imágenes o (para dibujos) algún editor de dibujo disponible de forma general, y que es adecuada para introducirse en formateadores de texto o para la traducción automática en una variedad de formatos adecuados para introducirse en formateadores de texto. Una copia realizada en otro formato de archivo Transparente cuyas marcas, o ausencia de marcas, han sido dispuestas para impedir o desalentar una modificación posterior por parte de los lectores es no Transparente. Un formato de imagen es no Transparente si se utiliza para cualquier cantidad considerable de texto. Una copia que es no “Transparente” se denomina “Opaca”.
Los ejemplos de formatos adecuados para copias Transparentes incluyen ASCII sin formato, formato de entrada Texinfo, formato de entrada LaTeX, SGML o XML utilizando un DTD disponible públicamente y HTML, PostScript o PDF estándar diseñados para modificaciones humanas. Los ejemplos de formatos de imagen transparentes incluyen PNG, XCF y JPG. Los formatos Opacos incluyen formatos propios que solo pueden leerse o editarse utilizando procesadores de texto del propietario, SGML o XML para los cuales el DTD y/o las herramientas de procesamiento no están a disposición del público en general, y HTML, PostScript o PDF generados por máquina por algunos procesadores de texto con fines exclusivos de salida.
Por “Página de título” se entenderá, para un libro impreso, la propia página del título; además de las siguientes páginas que se deben conservar, de manera legible, el material que esta Licencia exige que aparezca en la página del título. Para obras en formatos que no tienen ninguna página de título como tal, por “Página de título” se entenderá el texto próximo a la aparición más destacada del título de la obra, antes del comienzo del cuerpo del texto.
Una sección “Titulada XYZ” es una subunidad con título del Documento cuyo título es precisamente XYZ o contiene XYZ entre paréntesis a continuación del texto que traduce XYZ en otro idioma. (Aquí XYZ significa un nombre de sección específico mencionado más adelante, como “Agradecimientos”, “Dedicatorias”, “Aprobaciones” o “Antecedentes”). “Conservar el título” de dicha sección al modificar el Documento significa que se mantiene como una sección “Titulada XYZ” de acuerdo con esta definición.
El Documento puede incluir una Exención de responsabilidad de la garantía junto al aviso que establece que esta Licencia se aplica al Documento. Se considera que tales Exenciones de responsabilidad de la garantía están incluidas como referencia en esta Licencia, pero solo en relación con las exenciones de responsabilidad de las garantías; cualquier otra implicación que puedan tener estas Exenciones de responsabilidad de la garantía es nula y no tiene efecto sobre el significado de esta Licencia.
2.
COPIA LITERAL
Puede copiar y distribuir el Documento en cualquier medio, de manera comercial o no, siempre que esta Licencia, los avisos de derechos de autor y la notificación de la licencia que expresa que esta Licencia se aplica al Documento aparezcan en todas las copias, y que no añada ninguna otra condición además de las existentes en esta Licencia. No puede utilizar medidas técnicas para impedir ni controlar la lectura o la posterior copia de las copias que realice o distribuya. Sin embargo, puede aceptar una compensación a cambio de las copias. Si distribuye una cantidad de copias lo suficientemente grande, debe respetar las condiciones de la sección 3.
También puede prestar copias, bajo las mismas condiciones establecidas anteriormente, y mostrar copias públicamente.
3.
COPIAS EN GRANDES CANTIDADES
Si publica copias impresas (o copias en un medio que habitualmente tiene tapas impresas) del Documento en una cantidad superior a 100, y la notificación de la licencia del Documento exige Textos de tapa, debe incluir las copias en tapas que expresen, clara y legiblemente, todos los Textos de tapa: textos de portada en la tapa frontal, y textos de contraportada en la contratapa. Ambas tapas también deben identificar clara y legiblemente que usted es el editor de estas copias. La tapa frontal debe presentar el título completo con todas las palabras del título de manera igualmente importante y visible. También puede añadir otro material en las tapas. Las copias con cambios limitados en las tapas, siempre que conserven el título del Documento y cumplan estas condiciones, pueden considerarse copias literales en otros aspectos.
Si los textos requeridos para cualquiera de las tapas son demasiado extensos para ser legibles, primero debe introducir los que aparecen (todos los que quepan de manera razonable) en la tapa y continuar con el resto en las páginas adyacentes.
Si publica o distribuye más de 100 copias Opacas del Documento, debe incluir una copia Transparente legible por máquina junto con cada copia Opaca, o expresar en o con cada copia Opaca una ubicación de red informática desde
donde el público general que utiliza la red pueda acceder para descargar, utilizando protocolos de red estándar públicos, una copia Transparente completa del Documento, libre de material añadido. Si utiliza esta última opción, debe adoptar pasos prudentes de manera razonable, cuando comience a distribuir copias Opacas en cantidad, para garantizar que esta copia Transparente permanezca de ese modo accesible en la ubicación establecida hasta al menos un año tras la última vez que haya distribuido una copia Opaca (directamente o a través de sus agentes o minoristas) de esa edición al público.
Se solicita, pero no se exige, que se ponga en contacto con los autores del Documento antes de redistribuir una gran cantidad de copias, para que tengan la oportunidad de proporcionarle una versión actualizada del Documento.
4.
MODIFICACIONES
Puede copiar y distribuir una Versión modificada del Documento de acuerdo con las condiciones de las secciones 2 y 3 anteriormente expuestas, siempre que divulgue la Versión modificada bajo esta misma Licencia, puesto que la Versión modificada desempeña el papel del Documento, y la Licencia autoriza la distribución y modificación de la Versión modificada a quien posea una copia de ella. Además, debe hacer lo siguiente en la Versión modificada:
1.
Utilice en la Página de título (y en las tapas, si corresponde) un título diferente al del Documento y a los de las versiones anteriores (que deben, si las hubiera, aparecer en la sección Antecedentes del Documento). Puede utilizar el mismo título que una versión anterior si el editor original de esa versión lo autoriza.
2.
Mencione en la Página de título, como autores, a una o más personas o entidades responsables de la autoría de las modificaciones en la Versión modificada, junto con al menos cinco de los autores principales del Documento (todos sus autores principales, si son menos de cinco), a menos que le eximan de este requisito.
3.
Establezca en la Página de título el nombre del editor de la Versión modificada e identifíquelo como editor.
4.
Conserve todos los avisos sobre derechos de autor del Documento.
5.
Añada un aviso de derechos de autor adecuado para sus modificaciones junto a los otros avisos de derechos
6.
Incluya, inmediatamente después de los avisos de derechos de autor, una notificación de licencia que otorgue
de autor. al público permiso para utilizar la Versión modificada conforme a los términos de esta Licencia, tal y como se muestra en el Anexo a continuación. 7.
Conserve en esa notificación de licencia todas las listas de Secciones invariantes y Textos de tapa requeridos
8.
Incluya una copia inalterada de esta Licencia.
9.
Conserve la sección titulada “Antecedentes”, conserve su Título y añada un elemento que establezca al
según la notificación de licencia del Documento.
menos el título, el año, los nuevos autores y el editor de la Versión modificada según aparece en la Página de título. Si no hay una sección titulada “Antecedentes” en el Documento, cree una haciendo constar el título, el año, los autores y el editor del Documento según aparece en su Página de título; después, añada un elemento que describa la Versión modificada tal y como se establece en la frase anterior. 10.
Conserve la ubicación de red, si corresponde, incluida en el Documento para que el público pueda acceder a una copia Transparente del Documento y, asimismo, las ubicaciones de red dadas en el Documento en las que se basaban las versiones anteriores. Esto puede aparecer en la sección “Antecedentes”. Puede omitir una ubicación de red para una obra publicada al menos cuatro años antes del propio Documento, o si el editor original de la versión a la que se refiere le otorga permiso.
11.
Para cualquier sección titulada “Agradecimientos” o “Dedicatorias”, conserve el título de la sección y conserve
12.
Conserve todas las Secciones invariantes del Documento, sin alterar ni su texto ni sus títulos. Los números de
13.
Elimine cualquier sección titulada “Aprobaciones”. Dicha sección puede no estar incluida en la Versión
14.
No cambie el título de ninguna sección existente como “Aprobaciones” para que no esté en conflicto con el
15.
Conserve las Exenciones de responsabilidad de la garantía.
en la sección la sustancia y el tono de cada uno de los agradecimientos y/o las dedicatorias incluidos en ella. sección o equivalentes no se consideran parte de los títulos de sección. modificada. título de ninguna Sección invariante.
Si la Versión modificada incluye nuevas secciones preliminares o apéndices que deban considerarse como Secciones secundarias y no contiene material copiado del Documento, puede optar por designar algunas o todas estas secciones como invariantes. Para hacerlo, añada sus títulos a la lista de Secciones invariantes en la notificación de licencia de la Versión modificada. Estos títulos deben ser distintos de todos los títulos de otras secciones.
Puede añadir una sección titulada “Aprobaciones”, siempre que únicamente contenga aprobaciones de su Versión modificada procedentes de varias personas, por ejemplo, declaraciones de evaluaciones por pares o que el texto ha sido aprobado por una organización como definición de autoridad de un estándar.
Puede añadir un pasaje de hasta cinco palabras como texto de portada y un pasaje de hasta 25 palabras como texto de contraportada, al final de la lista de Textos de tapa en la Versión modificada. Cualquier entidad solo puede añadir (o llevar a cabo planes para ello) un pasaje de texto de portada y uno de texto de contraportada. Si el Documento ya incluye un
texto de tapa para la misma tapa, que ha añadido anteriormente usted o debido a los planes realizados por la misma entidad que usted representa, no puede añadir otro; pero puede reemplazar el anterior con el permiso explícito del anterior editor que añadió el texto anterior.
Los autores y los editores del Documento no otorgan mediante esta Licencia permiso para utilizar sus nombres con fines publicitarios ni para afirmar, expresa o implícitamente, la aprobación de cualquier Versión modificada.
5.
COMBINACIÓN DE DOCUMENTOS
Puede combinar el Documento con otros documentos divulgados de conformidad con esta Licencia, bajo los términos definidos en la sección 4 para versiones modificadas, siempre que se incluyan en la combinación todas las Secciones invariantes de todos los documentos originales, no modificadas, y las mencione como Secciones invariantes de su obra combinada en la notificación de licencia, y que conserve todas las Exenciones de responsabilidad de la garantía.
La obra combinada solo debe contener una copia de esta Licencia, y las múltiples Secciones invariantes idénticas se pueden reemplazar con una copia individual. Si existen múltiples Secciones invariantes con el mismo nombre pero diferentes contenidos, el título de cada sección debe ser único y se le debe añadir al final, entre paréntesis, el nombre del autor o editor original de esa sección si se conoce o, en caso contrario, un número único. Realice el mismo ajuste en los títulos de sección de la lista de Secciones invariantes en la notificación de licencia de la obra combinada.
En la combinación, debe combinar todas las secciones tituladas “Antecedentes” de los diferentes documentos originales y formar una única sección titulada “Antecedentes”; del mismo modo, combine todas las secciones tituladas “Agradecimientos” y todas las secciones tituladas “Dedicatorias”. Debe eliminar todas las secciones tituladas “Aprobaciones”.
6.
RECOPILACIÓN DE DOCUMENTOS
Puede crear una recopilación formada por el Documento y otros documentos divulgados conforme a esta Licencia, y reemplazar las copias individuales de esta Licencia en los diversos documentos incluyendo una copia única en la recopilación, siempre que siga las reglas de esta Licencia para la copia literal de cada uno de los documentos en todos los demás aspectos.
Puede extraer un único documento de dicha recopilación y distribuirlo individualmente conforme a esta Licencia, siempre que incluya una copia de esta Licencia en el documento extraído y cumpla con esta Licencia en todos los aspectos relacionados con la copia literal de ese documento.
7.
AGRUPACIÓN DE OBRAS INDEPENDIENTES
Se denomina “agrupación” a una compilación del Documento o sus derivados con otros documentos u obras individuales e independientes, en un volumen de almacenamiento o medio de distribución, si los derechos de autor resultantes de la compilación no se utilizan para limitar los derechos legales de los usuarios de la compilación excediendo los permisos de las obras individuales. Cuando se incluye el Documento en una agrupación, esta Licencia no se aplica a las otras obras de la agrupación que no sean obras derivadas del Documento.
Si la exigencia relativa al Texto de tapa dispuesta en la sección 3 es aplicable a estas copias del Documento y el Documento representa menos de un tercio del total de la agrupación, los Textos de tapa del Documento pueden colocarse en tapas que catalogan el Documento dentro de la agrupación, o el equivalente electrónico de las tapas si el Documento está en formato electrónico. De lo contrario deben aparecer en las tapas impresas que catalogan toda la agrupación.
8.
TRADUCCIÓN
Se considera que la traducción es un tipo de modificación y, por lo tanto, puede distribuir traducciones del Documento de acuerdo con los términos de la sección 4. Para reemplazar las Secciones invariantes con traducciones se precisa de un permiso especial de parte de los titulares de los derechos de autor, pero puede incluir traducciones en algunas o todas las Secciones invariantes además de las versiones originales de tales Secciones invariantes. Puede incluir una traducción de esta Licencia, todas las notificaciones de licencia del Documento y cualquier Exención de responsabilidad de la garantía, siempre que incluya también la versión original en inglés de esta Licencia y las versiones originales de dichas notificaciones y exenciones de responsabilidad. En caso de divergencia entre la traducción y la versión original de esta Licencia o una notificación o exención de responsabilidad, prevalecerá la versión original.
Si una sección del Documento se titula “Agradecimientos”,“Dedicatorias” o “Antecedentes”, el requisito (sección 4) de conservar su título (sección 1) exigirá, por lo general, cambiar el título real.
Manual de referencia 9.
RESCISIÓN
No podrá copiar, modificar, sublicenciar ni distribuir el Documento excepto conforme lo expresado en esta Licencia. Cualquier otro intento de copiar, modificar, sublicenciar o distribuir el Documento es nulo, y rescindirá automáticamente sus derechos conforme a esta Licencia. Sin embargo, a las partes que reciban copias o derechos de usted de acuerdo con esta Licencia no se les rescindirán las licencias siempre que dichas partes se encuentren en absoluto cumplimiento.
10.
FUTURAS REVISIONES DE LA PRESENTE LICENCIA
Free Software Foundation puede publicar versiones nuevas y revisadas de la Licencia de documentación GNU libre periódicamente. Dichas versiones nuevas serán similares en espíritu a la presente versión, pero podrán diferir en detalles a la hora de abordar nuevos problemas o inquietudes. Consulte http://www.gnu.org/copyleft/.
Cada versión de la Licencia recibe un número de versión distintivo. Si el Documento especifica que se aplica una versión numerada particular de esta Licencia “o cualquier versión futura”, tiene la opción de seguir los términos y las condiciones de la versión especificada o de cualquier versión posterior que haya sido publicada (no como borrador) por Free Software Foundation. Si el Documento no especifica un número de versión de esta Licencia, puede elegir cualquier versión publicada (no como borrador) por Free Software Foundation.
APÉNDICE: Instrucciones de uso de esta Licencia en sus documentos
Para utilizar esta Licencia en un documento que usted haya escrito, incluya una copia de la Licencia en el documento e introduzca los siguientes avisos de derechos de autor y las siguientes notificaciones de licencia justo después de la página de título:
Copyright (c) AÑO SU NOMBRE. Se ha concedido permiso para copiar, distribuir y modificar este documento bajo los términos de la Licencia de documentación GNU libre, versión 1.2, o cualquier versión posterior publicada por Free Software Foundation; sin Secciones invariantes, textos de portada ni textos de contraportada. Se incluye una copia de la licencia en la sección titulada “Licencia de documentación GNU libre”. Si tiene Secciones invariantes, Textos de portada y Textos de contraportada, reemplace la línea “con... Textos” por lo siguiente:
las Secciones invariantes son MENCIONE LOS TÍTULOS, los Textos de portada son LISTA, y los Textos de contraportada son LISTA. Si tiene Secciones invariantes sin Textos de tapa, o alguna otra combinación de los tres, agrupe aquellas dos alternativas para adaptarse a la situación.
Si su documento contiene ejemplos no triviales del código de programa, recomendamos divulgar ejemplos de manera paralela bajo su elección de licencia de software libre, como la Licencia pública general de GNU, para permitir su uso en el software libre.
190