Página 2: Tabla De Contenido
CONTENIDOS Prefacio Versión del Documento..xvii Extensión de responsabilidad xvii Acerca de este Documento. . . xvii Convenciones Tipográficas xviii Vista General del Producto 1 Capacidades 1.1 Características del Producto ......Introducción de Redes 2 El modelo OSI 3 Principios del Firewall...
Página 3 ....8.4.1 Introducción a Certificados ..8.4.2 Certificados X.509 en los Firewalls D-Link Guía de Usuario de los Firewalls D-Link...
Página 4 9.1.1 Interfaces Ethernet ....9.1.2 Interfaces Ethernet en los Firewalls D-Link ..9.2 Virtual LAN (VLAN) .
Página 5 14.2.2 NAT ..... . 14.2.3 Traducción de dirección en los Firewalls D-Link 14.3 Escenarios: Configuración de Reglas IP..
Página 6 ....182 19.1.2 Patron de coincidencia ..... . . 182 Guía de Usuario de los Firewalls D-Link...
Página 7 ......22.3 SSL/TLS (HTTPS) ....D-Link Firewalls User’s Guide...
Página 8 ......... . . 277 D-Link Firewalls User’s Guide...
Página 9 ....29.4.2 Asuntos de Configuracion ....Apéndice Referencia a Comandos de Consola D-Link Firewalls User’s Guide...
Página 10 ..ReConﬁgure Remotes ..Routes ..Rules ..Scrsave ..Services ..Shutdown . . . D-Link Firewalls User’s Guide...
Página 11 Sysmsgs Settings Stats . . . Time . . . Uarules Userauth Userdb Vlan . . . B Soporte a clientes D-Link Firewalls User’s Guide...
Página 12 FIGURES & TABLES The OSI 7-Layer Model......WebUI Authentication Window....WebUI Main Display.
Página 13 ..... . 295 29.1 Example HA Setup......301 D-Link Firewalls User’s Guide...
Página 14: Lista De Escenarios
LISTA DE ESCENARIOS Sección 10.4: Conﬁguración Route Failover... . Sección 10.5: Conﬁguración Dynamic Routing... . Sección 10.6: Conﬁguración Static Routing....Sección 10.7: Conﬁguración PBR .
Página 15: Prefacio
Parte Prefacio...
Página 16: Versión Del Documento
Versión de Documento Version No.: 1.0 Advertencia La información en esta guía de usuario está sujeta a cambios sin previo aviso. Acerca de este Documento Esta Guía de Usuario esta diseñada para ser un manual de configuración útil así como una herramienta de aprendizaje de trabajo Internet y conocimientos de seguridad para los administradores de red.
Página 17: Convenciones Tipográficas
Convenciones Tipográficas Ejemplo: Pasos de configuración para realizar ciertas funciones. WebUI Pasos ejemplo para WebUI. Nota Información adicional que el usuario debe tener en conocimiento. Sugerencias en la configuración que deben ser tomadas en consideración. Aviso Información crítica que el usuario debe seguir al llevar a cabo cierta acción. Advertencia Información critica que el usuario DEBE seguir para evitar un daño potencial xvii...
Página 18: Vista General Del Producto
Parte Vista General del Producto...
Página 19: Capacidades
CAPITULO Capacidades Caracteristicas del Producto Las características claves de los firewalls D-Link pueden ser resumidas como: Asistente de arranque de fácil ejecución • Interfaz gráfica de usuario basado en web (WebUI) • Efectivo y de fácil mantención • Políticas de control completo de seguridad •...
Página 20 Capitulo 1. Capacidades Zona de Defensa • Alta Disponibilidad (Algunos modelos) • Detalles sobre cómo hacer funcionar estas características son encontradas en capítulos específicos en esta guía de usuario.
Página 21: Introducción De Redes
Parte Introducción a Redes...
Página 22: El Modelo Osi
CAPITULO El modelo OSI El modelo Open System Interconnection (OSI) define un marco primario para comunicaciones inter-computacionales, a través de la categorización de diferentes protocolos para una gran variedad de aplicaciones de red, en siete pequeñas capas más manejables. El modelo describe cómo los datos de una aplicación en un computador pueden ser transferidas a través de un medio de red, a una aplicación en otro computador.
Página 23 – estructura los datos. Protocolos: Ethernet, PPP, etc. Capa Física – deﬁne los soportes de hardware. Los firewalls D-Link manejan el tráfico de red y despliegan diversas funciones para garantías de seguridad y soporte de aplicación a través de las 7 capas del modelo OSI.
Página 24: Principios Del Firewall
Esto le permite instalar menos servicios de seguridad de red en sus redes protegidas y prevenir de que intrusos tengan acceso a éstos servicios. La mayoría de los firewalls, incluyendo los firewalls D-Link, aseguran que el tráfico de red...
Página 25: Contra Qué No Protégé El Firewall
Una protección completa sólo puede ser alcanzada a través una comprensión profunda de todas las debilidades posibles en los protocolos de red y en el software utilizado, y de la implementación de medidas apropiadas para compensar éstas. Guía de Usuario de los Firewalls D-Link...
Página 26: Ataques En Componentes Inseguros Pre-Instalados
Paginas HTML contenedoras de javascript o Java que atacan la red • ”desde el interior” cuando la página es vista en un buscador ó programa e-mail. La única protección posible contra esta clase de ataque, Guía de Usuario de los Firewalls D-Link...
Página 27 En el presente, las tareas más comunes para ataques de datos son: Servidores públicos tales como servidores mail, servidores DNS y servidores • web. Los servidores Web son claramente representados en esta categoría debido a su enorme complejidad. Guía de Usuario de los Firewalls D-Link...
Página 28: Ataques Internos
Módems y Conexión VPN Un error común es creer que los módems y puertas de enlace VPN son tan seguros como la red protegida y pueden ser conectados directamente a ésta sin protección. Guía de Usuario de los firewalls D-Link...
Página 29 Aunque la llegada de extranets y comercio electrónico ha servido para conducir envíos desarrollados, y como mas y más compañías comienzan a hacer datos internos disponibles vía servidores web, los riesgos de seguridad como resultado son incrementados. Guía de Usuario de los Firewalls D-Link...
Página 30 DMZ y la red interna esta hecha en un protocolo no-dirigible como un NetBEUI. Nuevamente, el problema no son los paquetes que atraviesan redes inseguras hacia la red interna. Guía de Usuario de los Firewalls D-Link...
Página 31 La mejor manera de afrontar tal problema es mover la fuente afectada de datos a un segmento separado de red, y de este modo reducir el daño potencial en caso de intromisión. Guía de Usuario de los Firewalls D-Link...
Página 32: Administración
Parte Administración...
Página 33 Esta parte cubre aspectos básicos de la gestión y administración de los Firewalls D-Link, incluyendo: Plataforma de Configuración • Registro • Mantenimiento • Ajustes Avanzados •...
Página 34: Plataforma De Configuración
Conﬁgurando Vía WebUI 4.1.1 Vista General Los firewalls D-Link pueden ser configurados utilizando una interfaz web. Una interfaz web es usualmente una manera rápida y eficiente para configurar un firewall, que no requiere que el administrador instale ningún programa específico para configurar éste.
Página 35 Capitulo 4. Plataforma de Configuración Figura 4.1: Ventana de Autentificación WebUI. Figura 4.2: Ventana Principal WebUI. Guía de Usuario de los Firewalls D-Link...
Página 36 - Routes: Despliega la actual tabla de ruteo. - DHCP Server: Despliega la información en uso para servidores DHCP. - IDS: Despliega el estado de información IDS. - SLB: Despliega el estado de información SLB. Guía de Usuario de los Firewalls D-Link...
Página 37: Operaciones De Configuración
Cuando el usuario ha configurado el firewall vía WebUI, la configuración deberá ser guardada y activada antes de que la nueva configuración sea utilizada por el firewall. Esto es realizado a través de la opción de barra menú ”Save and Activate” bajo ”Conﬁguration”. Guía de Usuario de los Firewalls D-Link...
Página 38: Monitoreo Via Cli
Apéndice A, Referencia de Comandos de Consola. Nota Actualmente, el CLI puede sólo ser utilizado para visualización de estadísticas y estados. El firewall no puede ser configurado a través de esta interfaz. Guía de Usuario de los Firewalls D-Link...
Página 39: Registro
Registro Este capítulo trata de los principios de registro y entrega una breve introducción al diseño de los firewalls de registro D-Link. Para información acerca de cómo implementar la función de registro por el firewall, refiérase a 13, Ajustes de registro en la parte de Fundamentos.
Página 40: Eventos
5.1.2 Eventos Hay un número de situaciones diferentes que pueden causar que los firewalls D-Link generen y entreguen datos de registro. Cada una de tales ocasiones es referida como un evento.
Página 41 –mensajes de registro provenientes de la ingeniería de manejo fragmentada. OSPF/DYNROUTING • – información para el ruteodinámico. • – dirige eventos fail over. PPP/PPPOE/PPTP/L2TP/GRE/IPSEC • – eventos para diferentes túneles. USERAUTH • – eventos para la autentificación del usuario. Guía de Usuario de los Firewalls D-Link...
Página 42: Receptores De Registro
5.2.1 Receptor Syslog El Firewall D-Link puede enviar datos de registro a los receptores Syslog. El Syslog es un protocolo estandarizado para el envío de datos de registro a loghosts, aunque no haya un formato estandarizado para estos mensajes de registro.
Página 43: Receptor De Registro De Memoria
Con el fin de facilitar el procesamiento automatizado de todos los mensajes, los Feb 5 2000 09:45:23 gateway.ourcompany.com FW: DROP: Firewalls D-Link copian todos los datos de registro a una sola línea del texto. Los datos siguientes al texto inicial son presentados en el formato nombre=valor. Esto permite a los filtros automáticos encontrar fácilmente los valores que están buscando...
Página 44: Mantenimiento
”System Status”. 2. Descarga de Firmware Modernizado Diríjase al website de soporte D-Link y navegue en la sección de soporte de su modelo firewall. Revise si se encuentra disponible una modernización de la versión firmware que usted está actualmente corriendo en el firewall.
Página 45: Reset A Valores De Fabrica
La carga del firmware tomará algunos minutos dependiendo de la velocidad de su conexión al firewall. Reset a Valores de Fábrica Hay tres maneras de reajustar el Firewall D-Link a sus ajustes ﬁrmware y configuración predeterminados de fábrica. 1. Reajuste a Ajustes Preestablecidos de Fábrica desde el WebUI →...
Página 46 ”Press any key to abort and load boot menu” en la consola. Cuando aparezca el menu seleccione ”Reset to factory defaults”, conﬁrme y espere a que el proceso de revertir se complete. El siguiente procedimiento sólo se aplica al DFL-800: 3. Reajuste a los ajustes predeterminados de Fábrica utilizando el Switch de Reajuste Reajuste el firewall.
Página 47: Respaldo De Configuración
Capítulo 6. Mantenimiento Respaldo de Configuración La configuración de los Firewalls D-Link puede ser respaldada y restaurada a solicitud. Esto puede por ejemplo ser utilizado para recordar ”last known good” configuración cuando se experimenta con diferentes ajustes de configuración. Para crear un respaldo de la configuración actual:...
Página 48: Ajustes Avanzados
CAPITULO Ajustes Avanzados Vista General Los Ajustes Avanzados contienen varios ajustes globales para un firewall en términos de límites de tamaño de paquetes, tiempos de desconexión, parámetros de protocolo, test de integridad estructural al que cada paquete debe ser sujeto, etc. Generalmente, los valores predeterminados entregados en estas secciones son apropiados para la mayoría de las instalaciones.
Página 49: Fundamentos
Parte Fundamentos...
Página 50 Desde una perspectiva tanto física como lógica, esta parte introduce los componentes básicos de los firewalls D-Link, los cuales son construcciones de bloqueo para políticas de seguridad y funciones avanzadas. Los tópicos en esta parte incluyen: Objetos Logicos • Interfaces •...
Página 51: Objetivos Lógicos
CAPITULO Objetos Lógicos Los objetos lógicos son elementos básicos de red definidos en el firewall, refiriendo a las entidades que necesitan ser protegidas y también las fuentes inseguras y aplicaciones que deben ser monitoreadas por las políticas de seguridad. Libro de Direcciones Como un libro de contactos que registra los nombres de personas junto con el número telefónico y dirección email, el libro de direcciones en un Firewall es una lista de nombres simbólicos asociados con varios tipos de direcciones, incluyendo...
Página 52 Capítulo 8. Objetivos Lógicos. su localización. El libro de dirección en los firewalls D-Link permite al administrador nombrar Direcciones IP tanto para un solo anfitrión, una red, un par maestro/esclavo utilizado en Alta disponibilidad, o un grupo de computadores o interfaces. Una dirección ”0.0.0.0/0”...
Página 53: Dirección Ethernet
Los Servicios son programas software que utilizan protocolo de definición para entregar varias aplicaciones a los usuarios de red. La mayoría de las aplicaciones cuentan con protocolos localizados en la capa 7 OSI – capa de Aplicación – para entregar comunicación desde Guía de Usuario de los Firewalls D-Link...
Página 54: Capítulo 8. Objetivos Lógicos
8.2.1 Tipos de servicio En los firewalls D-Link, los servicios pueden ser configurados a través de tres opciones: TCP/UDP, ICMP, y servicio de Protocolo IP. Un servicio es básicamente definido por un nombre descriptivo, el tipo de protocolo, y parámetros de protocolo.
Página 55 IP, y cada mensaje es un protocolo separado poseedor de un formato propio. Este contenido cambia dependiendo del Mensaje tipo y código. El tipo de mensaje ICMP que puede ser configurado en los firewalls D-Link junto con diversos códigos son enlistados a continuación: Echo Request –...
Página 56 Seleccione el tipo ICMP y especifique los códigos para el servicio. (Si es seleccionada la opción All ICMP Message Types, este servicio coincidirá con Todos los 256 posibles Tipos de Mensajes ICMP.) Haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 57 (Para mayor información acerca GRE, refiérase a 22.2 PPTP/L2TP WebUI → → → Objects Services IP Protocol Service General Ingrese lo siguiente y luego haga click en OK: Name: GRE IP Protocol: 47 Guía de Usuario de los Firewalls D-Link...
Página 58: Reporte De Error & Protección De Conexión
El permitir que cualquier mensaje ICMP entrante esté capacitado para tener estos mensajes de error remitidos no es por lo general Guía de Usuario de los Firewalls D-Link...
Página 59 DoS (Denial of Service) en particular. Para resolver este problema, los firewalls D-Link pueden ser configurados para pasar un mensaje de error ICMP sólo si está relacionado con una conexión existente a un servicio.
Página 60: Programas
Start Date: Llene en el tiempo de inicio en un formato de ”aaaa-mm-dd hh:mm:ss” ó haga click en el icono de calendario y elija la fecha de la ventana emergente. End Date: (del mismo modo que ”Start Date” anterior) Y luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 61: Certificados X.509
8.4. Certiﬁcados X.509 Certiﬁcados X.509 Los firewalls D-Link soportan certificados que cumplen con el estándar internacional ITU-T X.509. Esta tecnología utiliza una jerarquía de certificado X.509 con una criptografía de clave pública (Véase 20.2, Introducción a la Criptografía) para conseguir la distribución de clave y autentificación de entidades.
Página 62 CA asignado. Antes de que un certificado sea aceptado, se siguen los siguientes pasos para verificar la validez del certificado: - La construcción de un trayecto de certificación hacia el CA de origen confiable. Guía de Usuario de los Firewalls D-Link...
Página 63: Certificados X.509 En El Firewall D-Link
- Se trae el CRL de cada certificado para verificar que ninguno de los certificados ha sido revocado. Listas de Identificación En adición a la verificación de las firmas de certificados, los firewalls D-Link también emplean listas de identificación (Véase 22.1.4, Identiﬁcation Lists(IDLists)).
Página 64: Interfaces
Una interfaz Ethernet representa un adaptador físico Ethernet utilizado en el firewall. La configuración de una interfaz Ethernet involucra la función de una dirección IP y otros parámetros, para hacer a la interfaz accesible a la capa de red. Cuando se instala el firewall D-Link, todos los adaptadores Ethernet soportados en el...
Página 65: Interfaces Ethernet En Los Firewalls D-Link
”any” respectivamente. ”core” se localiza en el corazón del firewall, todo el tráfico desde las interfaces físicas son reemitidas a ”core” para ser controladas por las políticas de seguridad. ”any” representa todas las interfaces posibles incluyendo ”core”. Guía de Usuario de los Firewalls D-Link...
Página 66 (Verificando estas opciones y especificando el valor métrico, la interfaz configurada Aquí será adherida a la Main Routing Table Como rutas para la información de dirección de destino. El valor métrico Predeterminado es 100.) High Availability: Selección de dirección IP Privada. Guía de Usuario de los Firewalls D-Link...
Página 67: Infraestructura Vlan
9.1. En este caso, un Firewall D-Link es configurado para tener 2 interfaces VLAN. Ahora, aunque los clientes y servidores se encuentren aún compartiendo el mismo medio físico, el Cliente A puede comunicarse sólo con el servidor D y el firewall desde que éstos son configurados...
Página 68 4096 VLANs en una red física. Sin embargo, todas están reservadas y todos los ceros indican la no asociación VLAN. Todos los otros identificadores pueden ser utilizados para indicar un VLAN particular. Guía de Usuario de los Firewalls D-Link...
Página 69: Implementación Vlan
VLAN. Los VLANs en los firewalls D-Link son útiles en varios escenarios diferentes, por ejemplo, cuando se necesita un filtro firewall entre diferentes departamentos de una organización, o cuando se necesita expandir el número de interfaces.
Página 70: Utilizando Lans Virtuales Para Expandir Interfaces Firewall
Utilizando LANs Virtuales para Expandir Interfaces Firewall Los LANs virtuales son excelentes herramientas para expandir el número de interfaces en los firewalls D-Link. Los Firewalls D-Link con interfaces Ethernet de gigabit pueden fácilmente ser expandidas con 16 nuevas interfaces utilizando un switch Ethernet de puerto-16 con puerto uplink gigabit y soporte de LAN Virtual.
Página 71: Dhcp
IP única. El dispositivo Firewall D-Link puede actuar tanto como un cliente DHCP, un servidor, o un transmisor a través de las interfaces.
Página 72: Pppoe
Soporte de seguridad y control de acceso – se requiere autentificación • nombre de usuario/contraseña. El proveedor puede seguir la dirección IP a un usuario específico. Asignación automtico de dirección IP para usuarios PC (similar a DHCP 9.3). • Guía de Usuario de los Firewalls D-Link...
Página 73: Ppp
IP sobre el vínculo. Más información sobre aplicación y seguridad de PPP puede ser encontrada en la sección 22.2 PPTP/L2TP. 9.4.2 Configuración de Cliente PPPoE Los firewalls D-Link permiten a los usuarios una conexión segura y de fácil manejo al ISP. Guía de Usuario de los Firewalls D-Link...
Página 74 PPPoE. Es posible configurar cómo el firewall debe detectar actividad en la interfaz, tanto en tráfico saliente, tráfico entrante o ambos. Además es configurable el tiempo de espera de inactividad antes de que el túnel sea desconectado. Guía de Usuario de los Firewalls D-Link...
Página 75 Se mantienen los ajustes predeterminados para la autentificaciónn. Dial-on-demand Enable Dial-on-demand: Disable Advanced Si está habilitado ”Add route for remote network”, una nueva ruta será adherida parar Esta interfaz. Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 76: Grupos De Interface
Utilice el Grupo de Interfaz • Un grupo de interfaz puede ser utilizado en varias configuraciones objetivas. Por ejemplo, las reglas IP y reglas de autentificación del usuario pueden utilizar grupos de interfaz. Guía de Usuario de los Firewalls D-Link...
Página 77: Arp
Asistir a los equipos cercanos de red respondiendo a ARP de una manera incorrecta. • Esta área de uso es la menos común. Entregar la impresión de que una interfaz del firewall tiene más de una dirección • Guía de Usuario de los Firewalls D-Link...
Página 78 Para que las direcciones IP publicadas trabajen correctamente podría ser necesario agregar una nueva ruta. (Véase 10 Routing) Si es agregada una dirección adicional para una interfaz, la interfaz central deberá probablemente ser especificada como la interfaz cuando se configure la ruta. Guía de Usuario de los Firewalls D-Link...
Página 79 Interface: Seleccione la interfaz que debe tener la dirección IP extra IP Address: Especifique la dirección IP que se agregará a la interfaz anterior. MAC: Determine como 00-00-00-00-00-00 para utilizar la dirección MAC de la interfaz. Luego haga click en OK Guia de Usuario de los Firewalls D-Link...
Página 80: Routing
CAPITULO Routing 10.1 Vista General Routing es un rol mayor en la capa de red (capa 3 OSI), el cual determina cómo transportar paquetes desde el anfitrión inicial al receptor deseado. Los dispositivos que funcionan en la capa de red, tal como routers o firewalls, ejecutan el ruteo para conseguir dos tareas ante todo, la Determinación de Trayectoria y el Packet Switching.
Página 81: Jerarquía De Routing
ó a la red privada de una compañía. La organización está capacitada para correr y administrar sus redes con sus propias políticas y algoritmo de routing preferible, mientras aún es capaz de conectarse al mundo ”exterior” Guía de Usuario de los Firewalls D-Link...
Página 82: Algoritmos Routing
En el caso en que el router no se encuentre apropiadamente configurado en la tabla de routing, el router buscará en la tabla la determinación de una trayectoria y al no encontrar una ruta adecuada, éste Guía de Usuario de los Firewalls D-Link...
Página 83: Routing Dinámico
Como es definido en este algoritmo, cada router transmite sus vínculos adjuntos y costos de vínculo a todos los demás Routers en la red. Un router, una vez que recepciona las transmisiones del resto, Guía de Usuario de los Firewalls D-Link...
Página 84 OSPF exige un alto costo relativo, ej. un mayor poder CPU y memoria, que un RIP, por consiguiente, puede ser más costoso de implementar. Los firewalls D-Link utilizan OSPF como el algoritmo de routing dinámico. Routing metrics Routing metrics(los costos) son los criterios que un algoritmo de routing utiliza para calcular la “mejor”...
Página 85: Ospf
óptimas. 10.3.3 OSPF OSPF es el algoritmo de routing dinámico incluído en los firewalls D-Link. Desde la sección previa, se pueden observar las principales características del OSPF como un Link state routing algorithm. A continuación observaremos la actual operación de este algoritmo.
Página 86 OSPF. La Router Priority que es configurable en base a cada interfaz, es el parámetro que controla la elección. El router con el mayor numero de prioridad se vuelve DR y el siguiente más alto se vuelve BDR. Si el número Guía de Usuario de los Firewalls D-Link...
Página 87 LSA a DR. El DR luego excederá la actualización a todos los routers participantes en el área para sincronizar la base de datos del link-state. Path determination – ”SPF” Guía de Usuario de los Firewalls D-Link...
Página 88 ARP. Es posible utilizar ambos métodos de monitoreo al mismo tiempo. Guía de usuario de los Firewalls D-Link...
Página 89: Escenario: Configuración De Failover De Ruta
Internet. ISP A es conectado a la interfaz WAN1 del firewall e ISP B es conectado a la interfaz WAN2. Con el fin de configurar el firewall D-Link para utilizar ISP A como ISP primario, e ISP B como ISP de respaldo, las rutas monitoreadas deberán ser configuradas.
Página 90 → → → Routes Main Routing Table Route: Ingrese lo siguiente: General Interface: WAN2 Network: 0.0.0.0/0 Gateway: Default gateway of ISP B. Local IP Address: (None) Metric: 2 Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 91 Nota La ruta predeterminada para la interfaz WAN2 no será monitoreada. La razón para esto es que no se posee una ruta de respaldo para la ruta sobre la interfaz WAN2. Guía de Usuario de los Firewalls D-Link...
Página 92: Implementación De Routing Dinámico
10.5. Implementación de Routing Dinámico 10.5 Implementación de Routing Dinámico En los firewalls D-Link, la implementación de routing dinámico involucra dos tareas primarias de configuración: OSPF process & dynamic routing policy. 10.5.1 Proceso OSPF Los procesos OSPF configurados en el firewall agrupan firewalls OSPF participantes y routers en areas OSPF.
Página 93: Escenarios: Configuración De Routing Dinámico
(a excepción de las rutas para las 3 interfaces participantes en este proceso OSPF). Para controlar este intercambio de información, se necesita que las políticas de routing dinámico Guía de Usuario de los Firewalls D-Link...
Página 94 Luego haga click en OK 2. Area: – especificando un área para el proceso ”ospf-proc1”. En la página de configuración ”ospf-proc1”: → Area: General: Name: ”area0” Area ID: 0.0.0.0 Luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 95 Luego haga click en OK. Nota Asegúrese de que las reglas IP del firewall, las cuales permiten que el tráfico pase a través de estas interfaces, utilicen este grupo de interfaz como fuente de interfaz. Guía de Usuario de los Firewall D-Link...
Página 96 El resultado de esta configuración es que toda la información routing aprendida será añadida a la tabla routing principal en la medida que estas no invaliden ninguna ruta estática ó rutas predeterminadas previamente insertadas. Guía de Usuario de los Firewalls D-Link...
Página 97 Luego haga click en OK. 2. OSPF Actions: En la página de configuración ”exportDefRoute”: → → → OSPF Actions Export OSPF: General Export to process: Seleccionar ”ospf-proc1” desde la lista desplegable. Luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 98: Escenario: Configuración De Routing Estático
Network: Seleccione la dirección de red objetiva (192.168.2.0/24). Gateway: Seleccione la dirección de router objetivva (192.168.1.10). Luego haga click en OK. Esto permitirá al firewall dirigir el tráfico destinado para la red 192.168.2.0/24 a través del router en 192.168.1.10. Guía de Usuario de los Firewalls D-Link...
Página 99: Politica Basada En Routing(Pbr)
Además, los firewalls D-Link extienden los beneficios de futuros PBR no sólo buscando los paquetes uno por uno, sino también en información de estado, de modo que la política pueda entregar control tanto en la dirección de reenvío como en la de retorno.
Página 100: Tablas Routing Basadas En Políticas
– Todos los usuarios comparten un eje central activo común, pero pueden utilizar diferentes ISPs, suscribiéndose a diferentes flujos de proveedores de medios de comunicación. La implementación PBR en los firewalls D-Link consiste en dos elementos: Una o más denominadas tablas PBR en adición a la tabla de routing normal. •...
Página 101 Remove Interface IP Routes: Si está habilitado, las rutas de interfaz predeterminada Son removidas, ej. rutas a la interfaz central, las cuales son rutas al mismo firewall. Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 102: Escenario: Configuración Pbr
2-ISP, con la red 1.2.3.0/24 perteneciente a ”ISP A” y ”2.3.4.0/24” perteneciente a ”ISP B”. Las puertas de enlace ISP son 1.2.3.1 y 2.3.4.1, respectivamente. Todas las direcciones en este escenario son direcciones públicas, para un facil entendimiento • Guía de Usuario de los Firewalls D-Link...
Página 103 Contenidos de Policy-based Routing Policy: Source Source Dest. Dest. Service Forward Return Interface Range Interface Range LAN1 2.3.4.0/24 WAN2 0.0.0.0/0 <main> WAN2 0.0.0.0/0 LAN1 2.3.4.0/24 <main> Guía de Usuario de los Firewalls D-Link...
Página 104 Se necesita añadir dos políticas PBR de acuerdo a la lista de políticas mostradas anteriormente. → → → Routing Policy-based Routing Policy Policy-based Routing Rule: Ingrese la información encontrada en la lista de políticas desplegada con anterioridad. Repita este paso para añadir la segunda regla. Guía de Usuario de los Firewalls D-Link...
Página 105 Nota Sólo es posible el Proxy ARP en interfaces Ethernet y VLAN. Guía de Usuario de los Firewalls D-Link...
Página 106 CAPITULO Fecha & Tiempo El ajuste correcto de la fecha y hora es de gran importancia para que el producto opere apropiadamente. Por ejemplo, las políticas de programación de tiempo y auto-actualización de firmas IDS son dos características que requieren de una hora correctamente ajustada.
Página 107: Ajustando La Fecha Y Hora
Para modificar la zona horaria, siga los pasos esbozados a continuación: WebUI → System Date and Time: Time zone and daylight saving time settings Time zone: seleccione la zona horaria apropiada en la lista desplegable. Luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 108 Oﬀset: ingrese el número de minutos que el reloj debe ser adelantado durante el DST. Start Date: seleccione la fecha de inicio del período DST en la lista desplegable. End Date: seleccione la fecha de término. Luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 109: Sincronización De Tiempo
Motores de búsqueda en el internet pueden ser utilizados para encontrar listas actualizadas de servidores de tiempo públicos disponibles. Guía de Usuario de los Firewalls D-Link...
Página 110: Modificación Máxima
Automatic time synchronization Marque Enable time synchronization. Seleccione lo siguiente de las listas desplegables: Time Server Type: SNTP Primary Time Server: dns:ntp1.sp.se Secondary Time Server: dns:ntp2.sp.se Tertiary Time Server: (None) Luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 111 Este ejemplo utiliza nombre de dominio en vez de direcciones IP. Por lo tanto, asegúrese de que los ajustes de cliente DNS del sistema se encuentran apropiadamente configurados como se describe en 12 DNS. Guía de Usuario de los Firewalls D-Link...
Página 112: Dns
DNS configurados en el firewall a todos los clientes que soliciten un contrato IP. El ejemplo a continuación describe cómo configurar servidores DNS en los firewalls D-Link. Los servidores configurados son utilizados por los clientes DNS internos así como otros subsistemas tales como el servidor DHCP.
Página 113: Ajustes De Registro
Para ajustar el registro en los firewalls D-Link, se requieren de los siguientes dos pasos: 1. Deﬁnir uno o varios destinatarios de registro. 2. Habilitar las funciones de registro en ciertas secciones.
Página 114: Habilitando Registros
Syslog de ”local0” a ”local7”. Severity es el grado de emergencia adjunto al mensaje de evento registrado por eliminación de fallos. Los firewalls D-Link pueden ser ajustados para enviar mensajes a diferentes niveles de intensidad. Clasificados desde una mayor importancia a una menor;...
Página 115 Para marcar los contenidos de archivo de registro almacenados por la memoria del receptor de registro, siga los pasos a continuación: WebUI → Menu Bar: Status Logging: Pueden ser desplegados 100 ítems de eventos nuevamente generados por página. Para ver eventos previos, presione next. Guía de Usuario de los Firewalls D-Link...
Página 116: Políticas De Seguridad
Parte Políticas de Seguridad...
Página 117 Las políticas de seguridad regulan las formas en que las aplicaciones de red protegen del abuso y uso inapropiado. Los firewalls D-Link ofrecen varios mecanismos para ayudar a los administradores en la construcción de políticas de seguridad para la prevención de ataques, protección de privacidad, identificación, y control de...
Página 118: Reglas Ip
Con el fin de entregar el mayor nivel de seguridad posible, default deny es la política predeterminada en los firewalls D-Link. El default deny es logrado sin una regla visible en la lista. Sin embargo, para propósitos de registro, la lista de regla comúnmente tiene una regla DropAll al pie con el registro habilitado.
Página 119: Campos
Una regla es expresada en una forma definitiva, consistente en dos partes lógicas: los campos y la acción. Las sub-secciones a continuación explican los parámetros de una regla que está disponibles en los firewalls D-Link. 14.1.1 Campos Los campos son algunos objetos de red predefinidos y reutilizables, tales como direcciones y servicios, los cuales son utilizados en cada regla con propósitos de...
Página 120: Tipos De Acción
Ejemplo) ◦ Drop: Le indica al firewall que deseche inmediatamente el paquete. ◦ Reject: Actúa como Drop, pero devuelve un mensaje TCP–RST o ICMP–Unreachable, indicándole al remitente que el paquete ha sido deshabilitado. Guía de Usuario de los Firewalls D-Link...
Página 121: Traducción De Dirección
Por consideraciones de funcionalidad y seguridad, la traducción de Direcciones de red(NAT) es generalmente aplicada para el actual uso en oficina y hogar. Los ﬁrewalls D-Link entregan soporte tanto para NAT Dinámico como para Estático. Estos dos tipos son representados por las reglas de ajuste NAT y SAT respectivamente.
Página 122 Red en varias más pequeñas. Las partes más pequeñas exponen sólo una dirección IP al exterior, lo cual significa que los computadores pueden ser añadidos o removidos sin causar impacto en las redes externas. Los firewalls D-Link contienen servidor DHCP, el cual permite a los clientes ser configurados automáticamente.
Página 123: Traducción De Dirección En Los Firewalls D-Link
14.2.3 Traducción de dirección en los Firewalls D-Link Los firewalls D-Link soportan dos tipos de traducción de dirección: dinámico (NAT oculto), y estático (SAT). Traducción de Dirección de Red Dinámica El proceso de traducción de dirección dinámica involucra la traducción de direcciones de remitente múltiples en una o más direcciones de remitente, tal como direcciones IP...
Página 124 La dirección IP privada del servidor es mapeada a una dirección IP estática pública, la cual puede ser vista desde el Internet. En los firewalls D-Link, SAT es implementado para entregar muchas funciones importantes, Por ejemplo: - DMZ & Port Forwarding: SAT soporta el uso de red DMZ para entregar servicios públicos al Internet, mientras tanto protegiendo la red privada de una...
Página 125: Escenarios: Configuración De Reglas Ip
1. Deﬁne un servicio ICMP objetivo y lo denomina ”ping-inbound”. (Note que el Firewall D-Link es repartido con un servicio ”ping-inbound” configurado como predeterminado el cual puede ser utilizado) 2. Crea una Regla nueva con nombre ”Ping to Ext”, y permite el servicio desde cualquier interfaz en todas las nets para la interfaz central del firewall en la red ip ext .
Página 126 1. Crear Servicio HTTP Si ningún servicio http es definido, se necesita crear un nuevo servicio. → → → Objects Services TCP/UDP Service: Name: http Type: TCP Source: 0-65535 Destination: 80 Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 127 → → → Rules IP Rules IP Rule: Name: DNS from LAN Action: NAT Service: dns-all Source Interface: LAN Source Network: lan-net Destination Interface: any Destination Network: all-nets Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 128 De este modo, se traslada el puerto 80 en la dirección externa del firewall al puerto 80 en el servidor web: 1. Añadir un servicio ”HTTP” objetivo que utilice el puerto 80 TCP. Guía de Usuario de los Firewalls D-Link...
Página 129 Action: SAT Service: http Source Interface: any Source Network: all-nets Destination Interface: core Destination Network: ip ext Translate the: Destination IP Address To New IP Address: ip webserver Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 130 FwdFast, o NAT, y esta segunda regla alineada debe ser ubicada bajo la regla SAT iniciada. La regla SAT iniciada no le hace nada a los datos actuales. Si hay una coincidencia con el paquete recibido y una regla SAT, el firewall continuará pasando los paquetes Guía de Usuario de los Firewalls D-Link...
Página 131 Dato La determinación del mejor curso de acción y el orden secuencial de las reglas debe ser realizada en base a caso a caso, tomando todas las circunstancias en cuenta. Guía de Usuario de los Firewalls D-Link...
Página 132: Acceso (Anti-Spooﬁng)
CAPITULO Acceso (Anti-spooﬁng) 15.1 Vista General La función primaria de cualquier firewall es controlar el acceso a recursos de datos protegidos, de modo que la única conexión autorizada sea permitida. El control de acceso es básicamente direccionado en las reglas IP del firewall (introducidas en 14.
Página 133: Anti-Spooﬁng
Para equipar el firewall con la habilidad Anti-spooﬁng, se necesita un filtro extra contra la verificación de dirección de fuente. Los firewalls D-Link entregan al administrador de red elecciones a para hacer el filtrado basado en IP por Reglas de Acceso.
Página 134 Accept. Si la interfaz no coincide, el paquete es desechado de la misma manera que la acción de Drop. El Registro puede ser habilitado en demanda para estas Acciones. (Refiérase a 5 Registro) Guía de Usuario de los Firewalls D-Link...
Página 135: Escenario: Ajustando Regla De Acceso
LAN. → → → Rules Access Access Rule: Name: LAN Access Action: Expect Interface: LAN Network: lan-net Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 136: Dmz & Port Forwarding
Internet a computadores DMZ sin contacto directo con el LAN interno. Obviamente, esta propuesta añade una capa extra de protección a la infraestructura Intranet–ﬁrewall–Internet. Los firewalls D-Link ofrecen soporte al planeamiento DMZ y protección a través de la Interfaz de red objetiva y configuración de Reglas.
Página 137 Por lo tanto, tal servicio debe ser localizado en un área de red distinta – DMZ. Figura 16.1: Un Servidor Web en DMZ En este ejemplo, se observa un firewall D-Link conectando un LAN privado, una subred DMZ, y el Internet, mostrado en la Figura 16.1.
Página 138: Planificación Dmz
Se utiliza un pequeño grupo de componentes para ilustrar las diferentes propuestas del planeamiento DMZ: Un firewall D-Link con 3 interfaces: Int net, DMZ net, y Ext net • Un computador privado: Cliente A •...
Página 139: Beneﬁcios
Dividir DMZ en diferentes zonas ayuda a restringir políticas de seguridad sobre • componentes que tienen diferentes funciones y niveles de seguridad. La escalabilidad de la arquitectura de red es incrementada ubicando • components en diferentes subredes. Guía de Usuario de los Firewalls D-Link...
Página 140: Autentificación Del Usuario
CAPITULO Autentificación del Usuario 17.1 Vista General de Autentificación Antes de que cualquier solicitud de servicio de usuario sea autorizada de acuerdo a las políticas de seguridad del firewall, éste necesita verificar la identidad del usuario, para asegurar que el usuario corresponda es quien dice ser. Autentificación es el proceso para direccionar tal asunto.
Página 141: Criterio De Contraseña
La autentificación de Usuario es frecuentemente utilizada en servicios, tales como HTTP, y VPN. Los firewalls D-Link utilizan Nombre de Usuario/Contraseña como el método primario de autentificación, fortalecido por algoritmos de encriptación. El concepto básico de Encriptación es cubierto por...
Página 142: Tipos De Usuarios
Capa 2, los cuales aplican Encriptación en base a contraseñas introducidas por usuario (Ver 22.2 PPTP/L2TP). 17.1.3 Tipos de Usuario Los firewalls D-Link y proyectos de autentificación entregan soporte a diversos usuarios. los tipos de usuario pueden ser: administradores • Guía de Usuario de los Firewalls D-Link...
Página 143: Componentes De Autenticación
– grupo de usuarios que están sujetos al mismo criterio de regulación 17.2 Componentes de Autentificación Los firewalls D-Link pueden ser utilizados tanto como una base de datos almacenada localmente, o una base de datos en un servidor externo para entregar autentificación de usuario.
Página 144: Agentes De Autenticación
RADIUS es ahora soportado por VPN, puntos de acceso inalámbrico, y otros tipos de acceso de red. Un cliente RADIUS, ej. firewall D-Link, envía credenciales de usuario e información de parámetro de conexión en la forma de mensaje RADIUS a un servidor RADIUS.
Página 145: Reglas De Autenticación
Interfaz receptora, o fuente de red, como esta información no está disponible en la fase XAUTH. Por la misma razón, sólo una regla de autentificación de usuario XAUTH puede ser definido. XAUTH es sólo utilizado para ajustar túneles VPN IPsec. Guía de Usuario de los Firewalls D-Link...
Página 146: Proceso De Autenticación
17.3. Proceso de Autentificación 17.3 Proceso de Autentificación Un firewall D-Link continúa con la autentificación del usuario de acuerdo a lo siguiente: Un usuario se conecta al firewall para iniciar la autentificación. • El firewall recibe las solicitudes del usuario desde su interfaz, y registra en la regla de •...
Página 147 Presione los botones bajo el recuadro de editar de los Grupos para garantizar la membresía de estos grupos a un usuario. Guía de Usuario de los Firewalls D-Link...
Página 148 Allow de este primer paso. Como es explicado en 14 Reglas IP, todos lo otros tráficos que no son explícitamente permitidos por la regla IP, por ejemplo, el tráfico no autentificado proveniente desde la interfaz donde la autentificación es Guía de Usuario de los Firewalls D-Link...
Página 149 Filtro de Dirección Elija lo siguiente desde las listas desplegables: Source Destination Interface: lan core Network: lannet lan ip Comentarios: Permitir las conexiones HTTP al agente de autentificación del firewall. Haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 150 (Note que la fuente de red es aquí una dirección objetiva contenedora de información de autentificación de usuario.) Comments: Permitir ”users” autentificados desde ”lannet” al buscador Web en Internet. Haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 151 Si no se ha recibido tiempos de inactividad desde el servidor de autenticación, serán utilizados los valores de inactividad especificados anteriormente. 4. Otras restricciones de configuración son los Registros Múltiples de Nombre de Usuario. Son disponibles tres opciones como se explico anteriormente: Guía de Usuario de los Firewalls D-Link...
Página 152 Si es así, el antiguo será removido, y este nuevo usuario será registrado. Sino, la nueva solicitud de registro sera rechazada. El periodo de tiempo para esta opción puede ser definido en el recuadro de editar. Guía de Usuario de los Firewalls D-Link...
Página 153: Inspeccion De Contenido
Parte Inspección de Contenido...
Página 154 En adición a la inspección de paquetes en la capa de red (OSI capa 3), los firewalls D-Link son capaces de examinar el contenido de cada paquete para entregar una protección más poderosa y flexible en capas superiores. Los Tópicos de esta parte incluyen: Application Layer Gateway (ALG) •...
Página 155: Application Layer Gateway (Alg)
Vista General Para complementar las limitaciones de filtrado de paquete, el cual sólo inspecciona en los paquetes headers, tales como IP, TCP, UDP, y ICMP headers, los firewalls D-Link incrustan una Application Layer Gateway (ALG) para soportar protocolos de alto nivel que tienen información de dirección dentro de la carga explosiva.
Página 156: Ftp
FTP en la red interna se conecta a través del firewall a un Servidor FTP en el Internet. La regla IP en el firewall es entonces configurada para permitir tráfico de red desde el cliente FTP al puerto 21 en el servidor FTP. Guía de Usuario de los Firewalls D-Link...
Página 157 Esta implementación resulta en que tanto, el cliente FTP y el servidor FTP trabajan en su modo más seguro. Naturalmente, la conversión también trabaja el otro camino, este es, con el cliente FTP utilizando modo activo y el servidor FTP utilizando modo pasivo. Guía de Usuario del Firewall D-Link...
Página 158: Escenarios: Configuración Alg Ftp
Escenarios: Configuración ALG FTP Ejemplo: Protegiendo un Servidor FTP Figura 18.1: ALG FTP Escenario 1 En este ejemplo, un Servidor FTP es conectado al firewall D-Link en un DMZ con direcciones IP privadas, mostrado en Figura 18.1. Para hacer posible el conectarse...
Página 159 Marque Translate the Destination IP Address New IP Address: ftp-internal. (Se asume que esta dirección IP interna del servidor FTP ha sido definida en el Libro de Direccion objetiva.) New Port: 21. Luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 160 – Permitir las conexiones entrantes (SAT necesita una segunda regla Allow): → → → Rules IP Rules IP Rule: General: Name: Allow-ftp Action: Allow Service: ftp-inbound Address Filter: Source Destination Interface: any core Network: all-nets ip-ext Luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 161 Ingrese un nombre descriptivo para el ALG. Name: ftp-outbound Desmarque Allow client para utilizar el modo activo (inseguro para el cliente). Marque Allow server para utilizar el modo pasivo (inseguro para el servidor) Luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 162 – Permita las conexiones a servidores-FTP en el exterior: → → → Rules IP Rules IP Rule: General: Name: Allow-ftp-outbound Action: Allow Service: ftp-outbound Address Filter: Source Destination Interface: lan Network: lannet all-nets Luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 163: Http
Componentes & Asuntos de Seguridad Para habilitar funciones más avanzadas y extensiones a los servicios HTTP, algunos componentes añadidos, conocidos como ”active contents”, son usualmente acompañados con la respuesta HTTP al computador del cliente. Guía de Usuario del Firewall D-Link...
Página 164: Solucion
Esto puede además contener información confidencial. 18.3.2 Solucion El firewall D-Link direcciona las ultimas areas de seguridad mostradas en la sección previa por Stripping Contents and URL Filtering. Stripping Contents En la configuración D-Link HTTP ALG, algunos o todos los contenidos activos Mencionados previamente pueden ser apartados desde el tráfico HTTP sobre...
Página 165 Ejemplo: Configurando HTTP ALG En este ejemplo, un HTTP ALG en un firewall D-Link es creado. Este es configurado para deshacer complementos ActiveX, lo cual bloqueará visualizaciones tales como Macromedia ﬂash y shockwave. Una dirección no deseada es añadida a la blacklist.
Página 166: Vista General Standard
H.323 es considerado para ser el estándar de interoperabilidad en audio, video y transmisiones de datos así como un teléfono Internet y voice-over-IP (VoIP). 18.4.2 Componentes H.323 El H.323 estándar consiste en estos cuatro componentes principales: Terminals • Gateways • Gatekeepers • Guía de Usuario de los Firewalls D-Link...
Página 167: Protocolos
H.225 RAS Signaling and Call Control (Setup) Signaling El protocolo H.225 es utilizado para la señal de llamado, esto significa que es utilizado Para establecer una conexión entre dos puntos de término(terminales) H.323. Este Guía de Usuario de los Firewalls D-Link...
Página 168 El H.323 ALG tiene las siguientes características: H.323 version 5 (H.225.0 v5, H.245 v10) • Application sharing (T.120) • Gatekeeper support • NAT, SAT • Guía de Usuario de los Firewalls D-Link...
Página 169: Escenario: Configuración H.323 Alg
Las tres definiciones de servicio utilizadas en estos escenarios son: → Gatekeeper (UDP ALL 1719) • → H323 (H.323 ALG, TCP ALL 1720) • → H323-Gatekeeper (H.323 ALG, UDP 1719) • Guía de Usuario de los Firewalls D-Link...
Página 170 Figura 18.3: H.323 Escenario 1. Utilizando Direcciones IP públicas En el primer escenario un teléfono H.323 es conectado a un Firewall D-Link en una red (lan-net) con direcciones IP públicas. Para hacer posible ubicar una llamada desde este teléfono a otro teléfono H.323 en el Internet, y para permitir teléfonos H.323 en el internet para llamar a este teléfono, se necesita configurar las reglas del firewall.
Página 171 Luego haga click en OK Utilizando direcciones Privadas IP En este teléfono un teléfono H.323 es conectado a un Firewall D-Link en una red con direcciones IP privadas. Para hacer posible ubicar una llamada desde este teléfono a otro teléfono H.323 en el internet, y permitir teléfonos H.323 en el Internet para llamar a este teléfono, se necesita configurar reglas firewall.
Página 172 IP Rule: Ingrese lo siguiente: Name: H323Out Action: NAT Service: H323 Source Interface: LAN Destination Interface: any Source Network: lan-net Destination Network: 0.0.0.0/0 (all-nets) Comment: Permitir llamadas salientes. Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 173 Comment: Permitir llamadas entrantes a teléfono H.323 en ip-phone. Luego haga click en OK Para ubicar una llamada al teléfono detrás del Firewall D-Link, haga una llamada a la dirección IP externa en el firewall. Si teléfonos H.323 múltiples son ubicados detrás del firewall, una regla SAT debe ser configurada para cada teléfono.
Página 174 Este escenario consiste en dos teléfonos H.323, cada uno conectado detrás de un Firewall D-Link en una red con direcciones IP públicas. Con el fin de hacer llamadas en estos teléfonos sobre el Internet, las siguientes reglas necesitan ser añadidas al listado de regla en ambos firewalls.
Página 175 Este escenario consiste en dos teléfonos H.323, cada uno conectado detrás de un Firewall D-Link en una red con direcciones IP privadas. Con el fin de hacer llamadas en estos teléfonos sobre el Internet, las siguientes reglas necesitan ser añadidas al listado de reglas en el firewall, asegúrese de que no hay reglas rechazando ó...
Página 176 Destination Network: ip-wan (IP externo del firewall) Comment: Permitir llamadas entrantes a teléfonos H.323 en ip-phone. Translate Destination IP Address: To New IP Address: ip-phone (dirección IP del teléfono) Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 177 Comment: Permitir llamadas entrantes al teléfono H.323 en ip-phone. Then click OK Para hacer llamadas al teléfono detrás del Firewall D-Link, haga una llamada a la dirección IP externa en el firewall. Si múltiples teléfonos H.323 son ubicados detrás del firewall, una regla SAT debe ser configurada para cada teléfono.
Página 178 Destination Network: ip-wan (IP externo del firewall) Comment: una regla SAT para comunicación entrante con el Gatekeeper localizado en ip-gatekeeper. Translate Destination IP Address: To New IP Address: ip-gatekeeper (dirección IP del gatekeeper) Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 179 Nota No hay necesidad de especificar una regla específica para llamadas salientes. El Firewall D-Link monitorea la comunicación entre teléfonos ”external” y el Gatekeeper para asegurar que es posible para los teléfonos internos llamar a los teléfonos externos que son registrados con el gatekeeper.
Página 180 H.323 con Gatekeeper y dos Firewalls D-Link Figura 18.6: H.323 Escenario 4. Este escenario es muy similar al escenario 3, con la diferencia de un Firewall D-Link protegiendo los teléfonos ”external”. El Firewall D-Link con el Gatekeeper conectado al DMZ debe ser configurado exactamente como en el escenario 3 (ver 18.4.5).
Página 181 Nota No hay necesidad de especificar una regla específica para llamadas salientes. El Firewall D-Link monitorea la comunicación entre teléfonos ”external” y el Gatekeeper para asegurar que es posible para teléfonos internos llamar a los teléfonos externos que son registrados con el gatekeeper.
Página 182 Configuración del Firewall de la Oficina Central La oficina central ha ubicado el Gatekeeper H.323 en el DMZ del Firewall D-Link corporativo. Este Firewall D-Link debe ser configurado como a continuación. Guía de Usuario de los Firewalls D-Link...
Página 183 Source Network: lan-net Destination Network: ip-gateway Comment: Permitir entidades H.323 en lan-net llamar a los teléfonos conectados al Gateway H.323 en el DMZ. Recuerde utilizar el servicio correcto. Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 184 Action: Allow Service: H323-Gatekeeper Source Interface: vpn-branch Destination Interface: DMZ Source Network: branch-net Destination Network: ip-gatekeeper, ip-gateway Comment: Permitir comunicación con el Gatekeeper en DMZ desde la red Sucursal Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 185 Firewall de Sucursal y Oficina Remota Los teléfonos de sucursal y oficina remota H.323 y aplicaciones serán configuradas para utilizar el Gatekeeper H.323 en la oficina central. Los Firewalls D-Link en las oficinas remotas y sucursales deben ser configuradas como a continuación.
Página 186 Oficina Central. Luego haga click en OK La sucursal del Firewall D-Link tiene un Gateway H.323 conectado a su DMZ. Con el fin de permitir al Gateway registrarse dentro del H.323 Gatekeeper en la Oficina Central, la siguiente regla debe ser configurada.
Página 187 Nota No hay necesidad de especificar una regla específica para llamadas salientes. El Firewall D-Link monitorea la comunicación entre teléfonos ”external” y el Gatekeeper para asegurarse de que es posible para los teléfonos internos llamar a los teléfonos externos que están registrados con el gatekeeper.
Página 188: Sistema De Deteccion De Intrusos (Ids)
Detección de Intrusos es una tecnología importante para identificar y prevenir estas amenazas. Con el fin de hacer un IDS efectivo y confiable, el IDS D-Link va a través de tres niveles de procesamiento y dirige las siguientes preguntas: Qué...
Página 189: Reglas De Deteccion De Intrusos
Capítulo 19. Sistema de Detección de Intrusos (IDS) El IDS D-Link utiliza una combinación de Reglas de Detección de Intrusos, Patrón de Coincidencias, y Acciones, con el fin de responder las tres interrogantes mencionadas con anterioridad. 19.1.1 Reglas de Detección de Intrusos Una Regla de Detección de Intrusos define el tipo de tráfico-servicio que debe ser...
Página 190: Cadena De Eventos
El tráfico es solamente pasado en el IDS si la regla de ajuste IP del firewall decide que es válido, mostrado en la Figura 19.1. Figura 19.1: Cadena de Eventos IDS Escenario 1 Guía de Usuario de los Firewalls D-Link...
Página 191: Escenario
2. La información de fuente y destino del nuevo paquete es comparado con la Regla de Detección de Intrusos. Si es encontrada una coincidencia, esta será pasada al siguiente nivel del procesamiento IDS – patrón de coincidencia. Si no, el paquete es desechado. Guía de Usuario de los Firewalls D-Link...
Página 192 19.2. Cadena de Eventos Figura 19.2: Cadena de Eventos IDS Escenario 2 Guía de Usuario de los Firewalls D-Link...
Página 193: Grupos De Firmas
Esto es realizado a través de una conexión HTTP a un servidor D-Link, albergando el ultimo archivo de base de datos de firma. Si este archivo de base de datos de firma tiene una versión más nueva que la actual la nueva base de datos de firma será...
Página 194: Recepción De Registro Smtp Para Eventos Ids
SMTP puede ser configurado. Este e-mail contiene una suma de eventos IDS que han ocurrido en un periodo de tiempo usuario-configurable. Cuando se ha producido un evento IDS, el firewall D-Link esperará por segundos de Tiempo en espera antes de enviar el e-mail de notificación. Sin embargo, el e-mail sólo será...
Página 195 2. Reglas IDS. – Habilitar el registro en la página de configuración ”Log Settings” para una regla específica IDS y utilizando Todos los receptores ó receptor específico ”smtp4IDS” configurado antes como receptor de registro. Guía de Usuario de los Firewalls D-Link...
Página 196: Escenario: Configurando Ids
La Interfaz de Destino y Red de Destino definen dónde es direccionado el tráfico, en este caso el servidor mail. La Red de Destino debe por lo tanto ser ajustada al Objeto definiendo el servidor mail. Guía de Usuario de los Firewalls D-Link...
Página 197 FROM EXT MAIL SMTP grupo de firma, la conexión será desechada, de este modo se protege el servidor mail. Si un receptor de registro ha sido configurado, el intento de intrusión será además registrado. Guía de Usuario de los Firewalls D-Link...
Página 198: Red Privada Virtual (Vpn)
Parte VIII Red Privada Virtual (VPN)
Página 199 VPNs, Redes Virtuales Privadas, entregan medios para establecer Links seguros a grupos. Es extendido sobre redes públicas vía la Aplicación de Encriptación y Autentificación, ofreciendo buena flexibilidad, protección efectiva, y eficiencia de costo en las conexiones sobre el Internet. Tópicos en esta parte incluyen: Introducción a VPN •...
Página 200: Vpn Básico
CAPITULO VPN Básico 20.1 Introducción a VPN Hace un tiempo las redes corporativas eran islas separadas de conectividad local. Hoy en día la mayoría de las redes son conectadas entre sí por el Internet. Temas de protección de redes locales desde crimen basado en Internet e intrusión son resueltos por firewalls, sistemas de detección de intrusos, software anti-virus y otras inversiones de seguridad.
Página 201 - Podría alguno de ellos aceptar que sus confirmaciones de pedidos y entregas viajen a través de las manos de uno de sus competidores? - Difícilmente. Guía de Usuario de los Firewalls D-Link...
Página 202: Introduccion A La Criptografia
–decriptación, para volver a el texto sin formato original. Los algoritmos de Encriptación pueden ser clasificados en tres tipos – simétrico, asimétrico, Encriptación híbrida. Guía de Usuario de los Firewalls D-Link...
Página 203 Blowﬁsh. • – Una medida bloqueada de 128-bit con longitudes de clave de 128-256 bits, una sonido alternativo al período DES. La implementación del VPN de firewall D-Link soporta todos los algoritmos anteriores. Guía de Usuario de los Firewalls D-Link...
Página 204 La clave resultante es común para ambos lados, y puede ser utilizada como una clave secreta compartida para la encriptación simétrica. De tal modo, Guía de Usuario de los Firewalls D-Link...
Página 205 Encriptación Asimétrica; esta no puede ser imitada por nadie más, y el remitente no puede rechazar fácilmente el mensaje que ha sido firmado. El procedimiento de producir una firma digital trabaja como a continuación: Guía de Usuario de los Firewalls D-Link...
Página 206 CA, para que un receptor pueda verificar que el certificado es real. El certificado digital es soportado por los Firewalls D-Link conforme al X.509 estándar. Guía de Usuario de los Firewalls D-Link...
Página 207: Por Qué Vpn En Firewalls
Soporta la configuración a clientes roaming? ◦ ¿ Puede el firewall inspeccionar y registrar el tráfico que pasa dentro y fuera del VPN? ◦ ¿ Puede la configuración añadir puntos de fallo a la conexión Internet? Guía de Usuario de los Firewalls D-Link...
Página 208: Despliegue Vpn
Requiere esto una configuración adicional al firewall o anfitriones participantes en el VPN? En los firewalls D-Link, la Puerta de enlace de Seguridad VPN es integrada en el firewall mismo. La razón de este diseño puede ser encontrada en el análisis de escenario presentado a continuación.
Página 209 Entre el Firewall y la Red Interna (Figura 20.3) ♦ Beneﬁcios Soporta clientes roaming • No se necesita información especial de routing en el firewall • El firewall puede proteger la Puerta de Enlace de Seguridad • ♦ Inconvenientes Guía de Usuario de los Firewalls D-Link...
Página 210 El firewall no puede inspeccionar o registrar el texto sin formato desde el VPN • Se necesitan añadir rutas especiales al firewall o a todos los clientes internos • participantes en el VPN El soporte para clientes roaming es muy difícil de conseguir • Guía de Usuario de los Firewalls D-Link...
Página 211 ♦ Beneﬁcios El firewall puede proteger el subsistema de Puerta de Enlace de Seguridad • El firewall puede inspeccionar y registrar el texto sin formato desde el VPN • Soporta clientes roaming • Guía de Usuario de los Firewalls D-Link...
Página 212 Esta solución entrega el mas alto nivel de funcionalidad & seguridad y es elegida por los diseños D-Link. Todos los modos normales de operación son soportados y todo el tráfico debe ser inspeccionado y registrado por el firewall.
Página 213: Planificación Vpn
CAPITULO Planificación VPN 21.1 Consideraciones de Diseño VPN ”Una cadena no es nunca más fuerte que su eslabón más débil”. Un agresor que desea hacer uso de una conexión VPN no intentará romper la Encriptación VPN, ya que esto requiere grandes cantidades de cálculos y tiempo. mas bien, él/ella verá...
Página 214: Seguridad En Punto De Termino
Es también importante recordar que las mismas restricciones colocadas en los computadores de hogar deben ser colocadas también el los computadores portátiles y de hogar que acceden a la red corporativa. Actualmente, las restricciones más altas deben ser colocadas en los clientes roaming. Guía de Usuario de los Firewalls D-Link...
Página 215 Esto incluye carpetas de e-mail cache. Actualmente, puede ser lo mejor si el mail es leído a través la web gateway, ya que ésto deja la minima cantidad de archivos en almacenaje local. Guía de Usuario de los Firewalls D-Link...
Página 216: Distribucion De Claves
Guía de Usuario de los Firewalls D-Link...
Página 217 VPN gateway, ¿Cómo debe ser almacenada la clave? ¿Debe estar en un ﬂoppy? ¿Cómo una frase de paso a memorizar? ¿En una tarjeta electrónica? ¿Si es físicamente tomada, cómo debe ser administrada? Guía de Usuario de los Firewalls D-Link...
Página 218: Ipsec
Antes de que IPsec pueda comenzar con la encriptación y transferencia del flujo de datos, se necesita una negociación preliminar. Esto es logrado con el Internet Internet Key Exchange Protocol (IKE). En resumen, un VPN basado en IPsec, tal como D-Link VPN, es realizado en dos partes: Internet Key Exchange protocol (IKE) •...
Página 219: Modos De Encapsulación Ipsec
AH entrega solo autentificación pero no encriptación a los paquetes de datos. AH no entrega confidenciabilidad a la transferencia de datos y es raramente utilizado; éste NO es soportado por los Firewalls D-Link. Dónde o no modifica el protocolo IPsec al header IP original depende de los modos IPsec.
Página 220: Ike
SAs. Negociación IKE El proceso de parámetros de negociación de conexión consiste principalmente en dos fases: IKE Fase-1 – Negocia cómo debe ser protegido IKE para futuras negociaciones. Guía de Usuario de los Firewalls D-Link...
Página 221 Cuando se utiliza el modo agresivo, algunos parámetros de configuración, tales como, Grupos Diffie-Hellman, no pueden ser negociados, resultando de mayor importancia el tener configuraciones “compatibles” en ambos extremos de comunicación. Guía de Usuario de los Firewalls D-Link...
Página 222 IKE crea una nueva SA para cada SA IPsec necesitada. Guía de Usuario de los Firewalls D-Link...
Página 223 IKE intercambia la clave de encriptación simétrica utilizando el protocolo Diffie-Hellman de intercambio de clave. El nivel de seguridad que éste ofrece es configurable especificando el grupo Diffie-Hellman(DH). Los grupos Diffie-Hellman soportados por el VPN D-Link son: DH grupo 1 (768-bit) •...
Página 224 En la fase de negociación IKE, la Autentificación a los extremos comunicativos es llevada a cabo antes de cualquier transferencia actual de datos, y la integridad del mensaje negociado debe ser asegurada por algoritmos matemáticos. Los VPNs D-Link incluyen varios métodos para lograr estas tareas críticas, ej., funciones hash para integridad de mensaje, claves pre-compartidas y certificados X.509 basado en algoritmos de...
Página 225 La clave pre-compartida es una frase de paso secreta, normalmente una serie de caracteres ASCII o un set de números Hexadecimales aleatorios. En los VPN D-Link, el usuario puede tanto ingresar una contraseña ASCII como utilizar generación de clave aleatoria automática.
Página 226 Esto significa que el firewall es incapaz de controlar el acceso a varias partes de las redes internas. El concepto de Listas de Identificación (Listas ID) presenta una solución a este problema. Una lista de identificación contiene una o más identidades (IDs) configurables, Guía de Usuario de los Firewalls D-Link...
Página 227 Con XAuth, IKE puede ahora autentificar los usuarios luego de que el dispositivo ha sido autentificado durante la fase-1 de negociación. Si es habilitado una combinación de nombres de usuario & contraseña será solicitada para añadir la autentificación del usuario. Guía de Usuario de los Firewalls D-Link...
Página 228: Escenarios: Configuracion Ipsec
La sucursal utiliza el span de red 10.0.2.0/24 con el IP de firewall externo ip branch wan. Se debe realizar la siguiente configuración tanto en el firewall de la oficina central como en el de la sucursal. Guía de Usuario de los Firewalls D-Link...
Página 229 Encapsulation Mode: Tunnel Algoritmos IKE Algorithms: Medium or High IPsec Algorithms: Medium or High → Authentication Pre-Shared Key: Seleccione la clave pre-compartida creada anteriormente, TestKey en este caso. Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 230 Este ejemplo describe cómo configurar un túnel IPsec, utilizado por clientes roaming (usuarios móviles) que se conectan a la oficina central para ganar acceso remoto. La red de la oficina central utiliza el span de red 10.0.1.0/24 con firewall IP externo ip wan. Guía de Usuario de los Firewalls D-Link...
Página 231 Ingrese lo siguiente: Name: Ingrese un nombre para la clave pre-compartida, SecretKey por ejemplo. Passphrase/Shared Secret: Ingrese una frase de paso secreta. Passphrase/Conﬁrm Secret: Ingrese la frase secreta nuevamente. Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 232 Luego haga click en OK 3. Conﬁgurar Reglas Finalmente se necesita configurar las reglas para permitir el tráfico dentro del túnel. 14.3 Configuración de Reglas IP para detalles sobre cómo configurar las reglas. Guía de Usuario de los Firewalls D-Link...
Página 233: Pptp/ L2Tp
PPTP para formar el tunneling de datos. PPTP utiliza puerto TCP 1723 para su control de conexión y GRE ( protocolo 47 IP) para los datos PPP. IP Header GRE Header Payload PPP Frame Tabla 22.1: Encapsulación PPTP Guía de Usuario de los Firewalls D-Link...
Página 234 Desde que la seguridad PPTP es basada en contraseña, la elección de una buena contraseña es de importante consideración. A pesar de la longitud de clave elegida (40, 56 o 128-bit), la verdadera intensidad de la clave es gobernada por lo aleatorio de la contraseña. Guía de Usuario de los Firewalls D-Link...
Página 235 UserDB User: Ingrese lo siguiente: Username: testuser Password: testpassword Conﬁrm Password: testpassword Es posible configurar una IP estática para este usuario en la sección de configuración Por-usuario PPTP/L2TP. Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 236 Add Routes Proxy ARP: Dejar como predeterminado, o seleccionar específicamente la interfaz LAN si los IP:s en la fuente IP son parte de la red en la interfaz LAN. Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 237 Internet por ejemplo) una regla NAT debe ser configurada también. Cuando la configuración es guardada y activada, debe ser posible para los clientes PPTP conectarse al servidor PPTP en 10.0.0.1 en la interfaz WAN. Guía de Usuario de los Firewalls D-Link...
Página 238 PPTP. Es posible configurar cómo el firewall debe sentir actividad en la interfaz, y cuánto tiempo esperar sin actividad antes de que el túnel sea desconectado. Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 239: L2Tp
L2TP utiliza puerto 1701 UDP para su control y conexiones de datos. Autentificación L2TP Los Túneles PPTP y L2TP utilizan los mismos mecanismos de autentificación que las conexiones PPP tales como, PAP, CHAP, MS-CHAP v1 y v2. Guía de Usuario de los Firewalls D-Link...
Página 240 La red LAN es una red 192.68.1.0/24, y 10.0.0.0/24 es la red en la interfaz WAN. Los clientes L2TP se conectarán al servidor L2TP/IPsec en 10.0.0.1 en la interfaz WAN, con el fin de accede a recursos en la interfaz LAN. Guía de Usuario de los Firewalls D-Link...
Página 241 Ingrese lo siguiente: Username: testuser Password: testpassword Conﬁrm Password: testpassword Es posible configurar una IP estática para este usuario en la sección de configuración IP por usuario PPTP/L2TP. Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 242 Esto es realizado bajo la etiqueta de Routing. Añada dinámicamente una ruta a la red remota cuando un túnel es establecido: Enable Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 243 Add Route Proxy ARP: Dejar como predeterminado, ó seleccione específicamente la interfaz LAN si la IP:s en la fuente es parte de la red en la interfaz LAN. Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 244 Internet por ejemplo) una regla NAT debe ser además configurada. Cuando la configuración es guardada y activada, debe ser posible para los clientes L2TP/IPsec el conectarse al servidor L2TP/IPsec en 10.0.0.1 de la interfaz WAN. Guía de Usuario de los Firewalls D-Link...
Página 245 Name: Ingrese un nombre para la clave pre-compartida, L2TPKey por ejemplo. Passphrase/Shared Secret: Ingrese la frase secreta. (Debe ser la misma configurada en el servidor L2TP/IPsec) Passphrase/Conﬁrm Secret: Ingrese la frase secreta nuevamente. Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 246 El túnel IPsec necesita ser configurado para añadir rutas no-dinámicamente a la red remota cuando el túnel es establecido. Esto es realizado bajo la etiqueta de Routing. Añadir rutas dinámicamente a la red remota cuando un túnel es establecido: Disable Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 247 Luego haga click en OK Cuando la configuración es guardada y activada, el cliente L2TP/IPsec debe conectarse al servidor L2TP/IPsec, y todo el tráfico (a excepción del tráfico a 10.0.0.1) debe ser dirigido sobre la interfaz. Guía de Usuario de los Firewalls D-Link...
Página 248: Ssl/Tls (Https)
HTTPS, y más y más web sites utilizan el protocolo para obtener información del usuario confidencial, tal como números de tarjeta de crédito. Hay un número de versiones del protocolo SSL/TLS. Los firewalls D-Link soportan por completo SSLv3 y TLSv1.
Página 249: Administración De Tráfico
Parte Administración de Tráfico...
Página 250 La Administración de Tráfico se preocupa del control y localización de la banda ancha de la red y minimización de posibles retrasos y congestiones en la red. Esta abarca la medida de la capacidad de red y modelos de tráfico para administrar recursos de red eficientemente y entregar los servicios de banda ancha que se necesitan.
Página 251: Traﬃc Shaping
Para tratar los problemas anteriores, los firewall D-Link entregan funcionalidad QoS y aplica límites y garantías al mismo tráfico de red, más que confiar en las aplicaciones/ usuarios para hacer elecciones.
Página 252: Funciones
Traffic Shaping, responsables del control de tráfico de red en puntos de obstrucción bien definidos. Un firewall D-Link tiene un traffic shaper extensible integrado. El traffic shaper trabaja midiendo y enfilando paquetes IP, en tránsito, con respecto a un número de parámetros configurables.
Página 253: Características
Una vista cercana a estas características es entregada en las secciones a continuación. 23.2 Pipes Un conducto es un concepto central en la funcionalidad de traffic shaping de los Firewalls D-Link y es la base de todo control de banda ancha. Los conductos son bastante Guía de Usuario de los Firewalls D-Link...
Página 254 0-5 pueden ser ajustados para prioridad basada en redes IP o aplicaciones. Correspondiente a estos 8 niveles, un conducto en un firewall D-Link contiene 4 preferencias – Low, Medium, High, and Highest – para clarificar la importancia relativa del tráfico.
Página 255: Conductos
3. La Banda ancha no puede ser garantizada si la banda ancha disponible no es conocida en todo momento. Guía de Usuario de los Firewalls D-Link...
Página 256: Agrupamiento De Usuarios En Un Conducto
Sin embargo, los firewalls D-Link tienen la habilidad de agrupar el tráfico dentro de cada conducto. Esto significa que el tráfico será clasificado y agrupado con respecto a la fuente o destino de cada paquete que pasa a través del conducto.
Página 257: Balanceo De Carga Dinámico
23.4 Escenarios: Configurando Traffic Shaping Como se ha visto en secciones previas, en los firewalls D-Link, todas las mediciones, limitaciones, garantizaciones y balance es llevado a cabo en conductos. Sin embargo un conducto por sí mismo no tiene sentido a menos que sea puesto en uso...
Página 258 Desde que estas dos reglas primarias son aplicadas a todos los servicios posibles, la preferencia fija ”Low” es definida en estos. Guía de Usuario de los Firewalls D-Link...
Página 259 LAN a WAN para todos los servicios(deﬁnidos por los Servicios objetivos ”all-services”): → → → Traffic Shaping Pipe Rules Pipe Rule: → General Ingrese lo siguiente: Name: ToInternet Service: all-services Address Filter Source Destination Interface: lan Network: lannet wannet Guía de Usuario de los Firewalls D-Link...
Página 260 Forward Chain: Seleccione ”std-in” desde la lista Available y colóquela en la lista Selected. Return Chain: Seleccione ”std-out” desde la lista Available y colóquela en la lista Selected. Preferencia Marque Use Fixed Precedence Seleccione Low desde la lista desplegable Y luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 261 Selected. Preferencia Marque Use Fixed Precedence Seleccione Medium desde la lista desplegable y luego haga click en OK. Click derecho en el item de regla ”HTTP” y haga click en Move to Top. Guía de Usuario de los Firewalls D-Link...
Página 262 Y luego haga click en OK. 2. Editar conductos ”std-out” → → Traffic Shaping Pipes std-out: Agrupamiento Grouping: Seleccione SourceIP desde la lista desplegable. Marque Enable dynamic balancing of groups Y luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 263 → Traffic Shaping: Cadenas de Conducto Cadena de retorno Seleccione ”http-in” desde la lista Available y colóquela en la lista Selected en la parte TOP de ”std-in” y luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 264: Servidor De Balanceo De Carga (Slb)
La Figura 24.1 ilustra una vista lógica de un módulo SLB. En este módulo, 3 servidores construyen un banco de servidores, y un firewall D-Link actúa como un server load balancer. Server farm Una colección de servidores computacionales usualmente mantenidos por una empresa para lograr las necesidades de servicio por sobre la capacidad de un solo aparato.
Página 265: Características Slb
Los firewalls D-Link son balanceadores de carga, los cuales pueden ser configurados para ejecutar la distribución de carga y monitoreo de funciones. 24.1.2 Características SLB...
Página 266: Beneficios
Clientes con una dirección pública; no se necesita de una administración para los cambios reales de servidor, los cuales son transparentes a la red externa. Guía de Usuario de los Firewalls D-Link...
Página 267: Implementación Slb
“salud” de los servidores por alguna verificación de conexión capa 3/ capa 4. 24.2.1 Modo de Distribución Los firewalls D-Link pueden ser configurados para trabajar para SLB con los siguientes modos: 1. Distribución por estado: El estado de cada distribución es grabado por el firewall. Una sesión completa podría ser transferida al mismo servidor para garantizar una confiable transmisión...
Página 268: Verificación Del Estado Del Servidor
El ejecutar varias verificaciones para determinar la condición de “salud” de los servidores es uno de los beneficios más importantes del SLB. En las diferentes capas OSI, los firewalls D-Link pueden llevar a cabo ciertas verificaciones de nivel de red.
Página 269: Paquetes Que Fluyen En Sat
24.2.4 Paquetes que fluyen por SAT En los firewalls D-Link, la regla SAT habilitada de balance de carga es utilizada para traducir intercambio de paquetes entre un cliente y los servidores reales. Cuando una nueva conexión es abierta, la regla SAT es gatillada; ésta traduce la dirección IP del banco de servidores público a la dirección real de servidor.
Página 270: Los Dos Servidores Ssh
24.3. Escenario: Habilitando SLB Este ejemplo describe cómo puede ser utilizado SLB para load balance conexiones SSH a dos servidores SSH detrás de un Firewall D-Link conectado a Internet con dirección IP ip ext, como muestra la Figura 24.2. Los dos servidores SSH tienen las direcciones IP privadas 192.168.1.10 y 192.168.1.11.
Página 271 Destination Interface: core Destination Network: ip ext Luego haga click en OK Nota Es posible configurar ajustes para monitoreo, método de distribución y stickiness. Pero en este ejemplo es utilizado el valor por defecto. Guía de Usuario de los Firewalls D-Link...
Página 272: Características Misceláneas
Parte Características Misceláneas.
Página 273: Clientes Misceláneo
Además de una protección segura a la red, los firewalls D-Link pueden actuar como agentes intermediarios para servicios variados de Internet y así facilitar el uso de varios protocolos en nombre de los clientes. Los tópicos en esta parte incluyen: Clientes Miscelaneos •...
Página 274: Clientes Misceláneos
CAPITULO Clientes Misceláneos 25.1 Vista General Los firewalls D-Link ofrecen soporte a clientes de red misceláneos para DNS Dinámico y servicios similares. Actualmente, los proveedores de servicio que son soportados por el firewall incluyen: Dyndns.org • Dyns.cx • Cjb.net •...
Página 275: Registro Automatico De Cliente
Algunos proveedores de servicio Internet necesitan que los usuarios se registren vía URL cada vez antes de que cualquier servicio sea repartido. Actualmente, los firewalls D-Link ofrecen un registro automático de cliente a los siguientes proveedores: Telia – Una mejor compañía de servicio de telecomunicación en la región Nórdica •...
Página 276 El formato URL utilizado en el Poster HTTP Poster varían dependiendo del proveedor de servicio específico. Básicamente, un URL contiene Nombre de Usuario/Contraseña, nombre de dominio del proveedor, y otros parámetros. Por ejemplo, el formato URL para servicio DynDNS entregado por Dyndns.org es: http://MYUID:MYPWD@members.dyndns.org/nic/update?hostname= MYDNS.dyndns.org Guía de Usuario de los Firewalls D-Link...
Página 277: Servidor Y Relay Dhcp
CAPITULO Servidor DHCP & Relayer 26.1 Servidor DHCP El servidor DHCP implementa la tarea de asignar y manejar direcciones IP desde piscinas de dirección especificadas para clientes DHCP. Cuando un servidor DHCP recibe una solicitud desde un cliente DHCP, este vuelve los parámetros de configuración (tal como una dirección IP, una dirección MAC, un nombre de Dominio y un contrato para la dirección IP) al cliente en un mensaje unicast.
Página 278: Dhcp Server
TFTP. Este puede ser dejado en (None). Opciones de encargo Aquí usted puede añadir opciones de encargo al contrato DHCP. Es posible especificar el código, tipo y parámetro. Cuando termine, haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 279: Dhcp Relayer
Implementación VLAN. En este caso, dos interfaces VLAN denominado como ”vlan1” y ”vlan2” son utilizadas El firewall puede también instalar una ruta para el cliente cuando ha finalizado el proceso DHCP y obtenido una IP. Guía de Usuario de los Firewalls D-Link...
Página 280 → General: General Name: vlan-to-dhcpserver Action: Relay Source Interface: ipgrp-dhcp DHCP Server to relay to: ip-dhcp → Add Route: Marque Add dynamic routes para este contrato relayed DHCP. Luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 281: Modo Transparente
Parte Modo Transparente...
Página 282: Modo Transparente
Este capítulo entrega una vista general del ofrecimiento del modo transparente e introduce cómo el modo transparente es implementado en los firewalls D-Link en detalle. Los ejemplos de configuración de distribuciones simples de red y escenarios a tiempo real más complicados pueden ser encontrados al final de este capítulo.
Página 283: Implementacion De Modo Transparente En Los Firewall Dlink
• entrante/saliente por las reglas de seguridad definida. Los firewalls D-Link pueden trabajar de dos modos: Modo Routing & Modo Transparente. En el Modo Routing normal, el firewall actúa como un router de Capa 3. Si el firewall es ubicado en una red por primera vez, o si hay cualquier cambio topológico dentro de los nodos, la configuración de routing debe ser examinada...
Página 284: Implementación Del Modo Transparente En Los Firewalls D-Link
ARP Transaction State. Durante la transacción ARP, el firewalls aprenderá la información de dirección de fuente de ambos extremos desde la solicitud y respuesta. Dentro del Firewall D-Link, dos tablas son mantenidas utilizadas para almacenar tal información, llamada Content -Addressable Memory(CAM) Table y Capa 3 Cache respectivamente.
Página 285: Escenarios: Habilitando El Modo
La interfaz WAN y LAN en el firewall deberán ser configurados para operar en Modo Transparente. Es preferible configurar direcciones IP en las interfaces WAN y LAN, cuando estas pueden mejorar el rendimiento durante el descubrimiento automático de anfitriones. Guía de Usuario de los Firewalls D-Link...
Página 286: Escenarios: Habilitando Modo Transparente
→ Rules IP Rules IP Rule: Ingrese lo siguiente: Name: HTTPAllow Action: Allow Service: http Source Interface: LAN Destination Interface: any Source Network: 10.0.0.0/24 Destination Network: 0.0.0.0/0 (all-nets) Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 287 Aquí se permite a los anfitriones en la red interna comunicarse con un servidor HTTP en DMZ. Además, se permite el servidor HTTP en DMZ para ser alcanzado desde el Internet. Pueden ser añadidas reglas adicionales para permitir otro tráfico. Guía de Usuario de los Firewalls D-Link...
Página 288 Interfaces: Select LAN and DMZ Luego haga click en OK 3. Routing → → → Routing Main Routing Table Switch Route: Ingrese lo siguiente: Switched Interfaces: TransparentGroup Network: 10.0.0.0/24 Metric: 0 Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 289 → → Rules IP Rules IP Rule: Ingrese lo siguiente: Name: HTTP-WAN-to-DMZ Action: Allow Service: http Source Interface: WAN Destination Interface: DMZ Source Network: all-nets Destination Network: wan-ip Luego haga click en OK Guía de Usuario de los Firewalls D-Link...
Página 290: Zona De Defensa
Parte Zona de Defensa...
Página 291: Zona De Defensa
28.1 Vista General La Zona de Defensa es una característica en los firewalls D-Link, la cual permite al firewall controlar localmente los switches adjuntos. Esto puede ser utilizado como una contramedida para evitar que un computador infectado en la red local infecte a otros computadores.
Página 292: Snmp
Administrador Un administrador típico, como un firewall D-Link, ejecuta el protocolo SNMP para monitorear y controlar los dispositivos de red en el ambiente administrado. El administrador puede cuestionar estadísticas almacenadas desde los dispositivos controlados utilizando la secuencia comunitaria SNMP, la cual es como una id de usuario o contraseña para permitir el acceso a la base de datos de los...
Página 293: Reglas Threshold
28.3. Reglas Threshold Dispositivos administrados Los dispositivos administrados son obedientes a SNMP, tal como los switches D-Link. Estos almacenan datos administrados en sus bases de datos, conocidas como Management Information Base (MIB), y entrega la información bajo cuestionamiento al administrador.
Página 294: Limitaciones
Escenario: Ajustando Zona de Defensa El siguiente ejemplo simple ilustra los pasos necesarios para ajustar la función de Zona de Defensa en los firewalls D-Link. Se asume que todas las interfaces en el firewall ya han sido propiamente configurados. Ejemplo:...
Página 295 28.6. Escenario: Ajustando Zona de Defensa Figura 28.1: Un Escenario de Zona de Defensa. Un switch D-Link de modelo DES-3226S es utilizado en este caso, con una dirección de administración de interfaz 192.168.1.250 conectando a la dirección de interfaz del firewall 192.168.1.1.
Página 296 Name: HTTP-Threshold Service: HTTP Address Filter Source Destination Interface: (la interfaz de administración del firewal) any Network: 192.168.2.0/24(o el nombre objetivo) all-nets → Action: Action: ZoneDefense Host-based Threshold: 10 Luego haga click en OK. Guía de Usuario de los Firewalls D-Link...
Página 297 Parte XIII Alta Disponibilidad...
Página 298: Alta Disponibilidad
Ejemplo de Configuración de Alta Disponibilidad • La Alta Disponibilidad D-Link trabaja añadiendo un firewall de respaldo a su Firewall existente. El firewall de respaldo tiene la misma configuración que el firewall primario. Este se mantendrá inactivo, monitoreando el firewall primario, hasta que este considere que el firewall primario no funcionará...
Página 299: Qué Es Lo Que No Hace La Alta Disponibilidad Por Usted
La Superfluidad de sus routers, switches, y conexión interna son también temas que necesitan ser dirigidos. Los clusters de Alta Disponibilidad D-Link no crearán un cluster de compartición de carga. Un firewall será activo, y el otro será inactivo. Los firewalls de respaldo múltiples no pueden ser utilizados en un cluster. Sólo son soportados dos firewalls, uno ”master”...
Página 300: Ejemplo De Configuración De La Alta Disponibilidad
29.2 Cómo es logrado el Failover Esta sección incluye los siguientes tópicos: La dirección IP compartida y el mecanismo de failover • Latidos Cluster • La interfaz de sincronización • Guía de Usuario de los Firewalls D-Link...
Página 301: La Dirección Ip Compartida Y Mecanismo De Failover
Como la dirección IP compartida tiene siempre la misma dirección hardware, no habrá tiempo de latencia en la actualización de caches ARP de unidades apegadas al mismo LAN como el cluster cuando el failover ocurre. Guía de Usuario de los Firewalls D-Link...
Página 302: Latidos Cluster
El IP TTL es siempre 255.Si un firewall recibe un latido cluster con cualquier otro • TTL, es asumido que el paquete ha atravesado un router, y por lo tanto no puede ser del todo confiable. Guía de Usuario de los Firewalls D-Link...
Página 303: La Interfaz De Sincronizacion
Un cluster puede ser creado tanto instalando un par de nuevos firewalls, o convirtiendo firewalls ya instalados en miembros cluster. El firewall con la más alta versión numérica de su configuración asegurará siempre que la configuración es transferida al otro miembro cluster. Guía de Usuario de los Firewalls D-Link...
Página 304: Planificando El Cluster De Alta Disponibilidad
29.3.1 Planificar el cluster de Alta Disponibilidad Como un ejemplo durante toda esta guía, dos Firewalls D-Link son utilizados como miembros cluster. Para simplificar esta guía, sólo dos de las interfaces en cada miembro cluster son utilizadas para tráfico de red. Los siguientes ajustes son utilizados: Las interfaces LAN en el miembro cluster son ambas conectadas al mismo switch.
Página 305 Interfaces Ethernet Edit (WAN): IP Address: 10.4.10.1 Advanced/High Availability Private IP Address: wan-priv-ip Luego haga click en OK Cuando la configuración es guardada y activada, el firewall actuará como un miembro cluster HA. Guía de Usuario de los Firewalls D-Link...
Página 306: Cosas Que Mantener En Mente
Firewall, lo cual entregará todos los datos de registro en una vista resultante. Normalmente el firewall inactivo no enviará entradas de registro sobre el tráfico con vida, así que la salida se verá mucho como el camino que hizo con sólo un firewall. Guía de Usuario de los Firewalls D-Link...
Página 307: Asuntos De Configuracion
El utilizarla para algo más: utilizarlas como Fuentes IPs en conexiones dinámicamente NATed ó publicando servicios en estas, causará problemas inevitablemente, como que los IPs únicos desaparecerán cuando el firewall al que pertenecen lo hagan. Guía de Usuario de los Firewalls D-Link...
Página 308 Parte Apéndice...
Página 309 INDEX ABR, DMZ, 14, 119, 150, 200, 204, 207, ACL, ActiveX, DNS, DoS, 47, 123, 263 AES, ALG, DSA, DST, ARP, DynDNS, ARP, ESP, ASBRs, Ethernet, Ethernet address, Backbone area, BDR, Firewall, Blowﬁsh, BOOTP, GRE, 27, 45, 228 Brute force attack, H.225, 49, 199 H.245,...
Página 310 62, 135, 229 PBR, PFS, PPP, 27, 62, 135, 228 PPPoE, 27, 61 PPTP, 27, 228 Proxy ARP, PSK, 216, 220 QoS, 247, 250 RADIUS, Replay attack, RIP, Route, RouteFailover, Router priority, Routing table, Guía de Usuario de los Firewalls D-Link...
Página 311: Apéndice
Entrega información referente a la versión del núcleo del firewall en uso y una notificación copyright. Syntax: about • Ejemplo: Cmd> about D-Link DFL 2.01.00V Copyright Clavister 1996-2005. All rights reserved SSH IPSEC Express SSHIPM version 5.1.1 library 5.1.1 Copyright 1997-2003 SSH Communications Security Corp. Build : Jun 3 2005...
Página 312 - ﬂush –limpia el cache ARP de TODAS las interfaces - ﬂushif –Limpia el cache ARP cache de una interface Ejemplo: Cmd> arp wan ARP cache of iface wan Dynamic 194.2.1.1 = 0020:d216:5eec Expire=141 Guía de Usuario de los Firewalls D-Link...
Página 313 Al analizar los contenidos de los buffers, es posible determinar dónde tal tráfico está trabajando en el firewall completo. Syntax: • -- buffers Entrega una lista de los buffers más recientemente liberados. Ejemplo: Guía de Usuario de los Firewalls D-Link...
Página 314 Cmd> buff . Decodificación de número buffer 1059 lan:Enet 0050:dadf:7bbf->0003:325c:cc00, type 0x0800, len 1058 IP 192.168.123.10->193.13.79.1 IHL:20 DataLen:1024 TTL:254 Proto:ICMP ICMP Echo reply ID:6666 Seq:0 Certcache Despliega los contenidos del certificado cache. Syntax: certcache • Guía de Usuario de los Firewalls D-Link...
Página 315 - PING La conexión es una conexión ICMP ECHO - UDP La conexión es una conexión UDP - RAWIP La conexión utiliza un protocolo IP aparte de TCP, UDP o ICMP Syntax: conexiones • Guía de Usuario de los Firewalls D-Link...
Página 316 • dhcp [options] <interface> Options: • - renew – Fuerza a la interfaz a renovar su contrato - release – Fuerza a la interfaz a liberar su contrato Ejemplo: Cmd> dhcp -renew wan Guía de Usuario de los Firewalls D-Link...
Página 317 Despliega la regla de ajuste de filtro de política de routing dinámico y exportaciones actuales. Syntax: dynroute [options] • Options: • - rules – Despliega regla de ajuste de filtro de routing dinámico - exports – Despliega exportaciones actuales Guía de Usuario de los Firewalls D-Link...
Página 318 Este dispositivo es actualmente ACTIVE (reenviará tráfico) El par cluster HA está ALIVE HTTPPoster Muestra el httpposter urls configurado y estado. Syntax: httpposter [options] • Opciones: • - repost – Re-post todos los URLs ahora. Guía de Usuario de los Firewalls D-Link...
Página 319 • -- ifstat Muestra una lista de las interfaces instaladas en el firewall. Ejemplo: Cmd> ifstat Interfaces configuradas: Interface name IP Address Interface type -------------- ------------ ------------- core 127.0.0.1 Null (sink) 172.16.87.252 192.168.121.1 Guía de Usuario de los Firewalls D-Link...
Página 320 Enciende el IKE, si un IP es especificado sólo el tráfico ike de ese IP será mostrado. -- ikesnoop verbose [ipaddr] Habilita el verbose output, si un IP es especificado sólo el tráfico ike de ese IP será mostrado. Guía de Usuario de los Firewalls D-Link...
Página 321 Despliega puertas de enlace IPSec VPN conectadas y clientes remotos. Syntax: ipsecstats [options] • Opciones: • - ike Despliega SAs IKE - ipsec Despliega SAs IPsec (predeterminado) Despliega información estadística SA detallada Despliega información verbose Guía de Usuario de los Firewalls D-Link...
Página 322 Syntax: license [remove] • Ejemplo: Cmd> lic Contenidos del archivo de Licencia ---------------------------- Registration key: Bound to MAC address: ... Model: DFL-... Registration date: Issued date: Last modified: New upgrades until: Ethernet Interfaces: Guía de Usuario de los Firewalls D-Link...
Página 323 Syntax: memory • Netcon Muestra una lista de usuarios actualmente conectados al firewall vía protocolo de administración netcon. Syntax: netcon • Ejemplo: Cmd> netcon Currently connected NetCon users: Iface IP address port 192.168.123.11 39495 Guía de Usuario de los Firewalls D-Link...
Página 324 - ifacedown <iface>, Toma la interfaz especificada fuera de línea - ifaceup <iface>, Toma la interfaz especificada en línea - stop, Detiene el proceso OSPF - start, Inicia el proceso OSPF - restart, Reinicia el proceso OSPF Guía de Usuario de los Firewalls D-Link...
Página 325 Muestra la lista de conductos configurados; los contenidos de la sección de configuración de conductos, junto con las figures de rendimiento básicas de cada conducto. Syntax: pipes [options] <name> • Opciones: • Despliega estadísticas globales Guía de Usuario de los Firewalls D-Link...
Página 326 FWCore.cfg luego de que la verificación bi-direccional del período de tiempo de inactividad ha expirado (típicamente 30 segundos). Syntax: reconfiure • Ejemplo: Cmd> reconfigure Shutdown RECONFIGURE. Activo en 1 segundo. Shutdown reason: Reconfigurar debido a consola de comando Guía de Usuario de los Firewalls D-Link...
Página 327 - nonhost, No muestra rutas de un sólo anfitrión - tables, Despliega una lista de tablas routing nombradas (PBR) - lookup <ip>, Busca la ruta para la dirección IP entregada - v, Verbose Guía de Usuario de los Firewalls D-Link...
Página 328 -- ----- -------------- -------------- --------------- Allow lan: ... core: ... "HTTP" "HTTP-fw" Use: 0 FWLOG:notice SYSLOG:notice Scrsave Activa el salva pantallas incluídas con el núcleo del firewall. Syntax: scrsave • Ejemplo: Cmd> scr Activating screen saver... Guía de Usuario de los Firewalls D-Link...
Página 329 Muestra los contenidos del buffer OS sysmsg. Syntax: • sysmsgs Ejemplo: Cmd> sysmsg Contenidos del buffer OS sysmsg: Ajustes Muestra los contenidos de la sección de configuración de Ajustes. Syntax: • -- settings Shows available groups of settings. Guía de Usuario de los Firewalls D-Link...
Página 330 - Settings regarding the builtin web server HwPerformance - Hardware performance parameters IfaceMon - Interface Monitor RouteFailOver - Route Fail Over Default values - Intrusion Detection / Prevention Settings - PPP (L2TP/PPTP/PPPoE) Settings Misc - Miscellaneous Settings Guía de Usuario de los Firewalls D-Link...
Página 331 : 16 x 10040 = 156 KB Out-of-buffers ARP one-shot cache : Hits : 409979144 Misses : 186865338 Interfaces: Phys:2 VLAN:5 VPN:0 Access entries:18 Rule entries:75 Usar el archivo de configuración "FWCore.cfg", ver ... Guía de Usuario de los Firewalls D-Link...
Página 332 Syntax: userauth [options] • Options: • - l, despliega una lista de todos los usuarios autentificados - p, despliega una lista de todos los privilegios conocidos (nombres de usuario y grupos) Guía de Usuario de los Firewalls D-Link...
Página 333 ó si un nombre de usuario es información especificada concerniente a que ese usuario debe ser mostrado. Opciones: • - num, Despliega el número especificado de usuarios (predeterminado 20) Ejemplo: Cmd> userdb Configured user databases: Name users ------------- ------- AdminUsers Guía de Usuario de los Firewalls D-Link...
Página 334 Muestra información sobre los VLANs configurados. Syntax: • -- vlan List attached VLANs jemplo: Cmd> vlan VLANs: vlan1 IPAddr: 192.168.123.1 ID: 1 Iface: vlan2 IPAddr: 192.168.123.1 ID: 2 Iface: vlan3 IPAddr: 192.168.123.1 ID: 3 Iface: Guía de Usuario de los Firewalls D-Link...
Página 335 Iface lan, VLAN ID: 1 Iface : lan IP Address : 192.168.123.1 Hw Address : 0003:474e:25f9 Software Statistics: Soft received : 0 Soft sent: 0 Send failures: Dropped : 0 IP Input Errs : 0 Guía de Usuario de los Firewalls D-Link...
Página 336 Capitulo A. Referencia de Comandos de Consola Guía de Usuario de los Firewalls D-Link...
Página 337 APENDICE Soporte al Cliente...
Página 338: Capitulo B. Soporte Al Cliente
FAX: 49-6196-7799300 URL: www.dlink.de Dinamarca Francia Naverland 2, DK-2600 Glostrup, No.2 allee de la Fresnerie Copenhagen 78330 Fontenay le Fleury Dinamarca Francia TEL: 45-43-969040 TEL: 33-1-30238688 FAX: 45-43-424347 FAX: 33-1-30238689 URL: www.dlink.dk URL: www.dlink.fr Guía de Usuario de los Firewalls D-Link...
Página 339 Vaclavske namesti 36, Praha 1 HU-1074 Budapest República Checa Hungría TEL :+420 (603) 276 589 TEL : +36 (0) 1 461 30 00 URL: www.dlink.cz FAX: +36 (0) 1 461 30 09 URL: www.dlink.hu Guía de Usuario de los Firewalls D-Link...
Página 340 URL: www.dlink-me.com FAX: (55 11) 21859322 Turquía URL: www.dlinkbrasil.com.br Ayazaga Maslak Yolu Erdebil Cevahir Is Merkezi 5/A Ayazaga Istanbul Turquia TEL: +90 212 289 56 59 FAX: +90 212 289 76 06 URL: www.dlink.com.tr Guía de Usuario de los Firewalls D-Link...
Página 341 Moscu Taiwan 129626 Russia TEL: 886-2-2910-2626 TEL: 7-095-744-0099 FAX: 886-2-2910-1515 FAX: 7-095-744-0099 350 URL: www.dlinktw.com.tw URL: www.dlink.ru Oficina Central 2F, No. 233-2, Pao-Chiao Rd. Hsin-Tien, Taipei Taiwan TEL: 886-2-2916-1600 FAX: 886-2-2914-6299 URL: www.dlink.com.tw Guía de Usuario de los Firewalls D-Link...
Página 342 Capitulo B. Soporte al Cliente Guía de Usuario de los Firewalls D-Link...

Este manual también es adecuado para:

Dfl-1600 Dfl-2500

D-Link DFL-800 Manual De Instrucciones

Prefacio

1 Capacidades

2 El Modelo OSI

3 Principios del Firewall

Administración

4 Plataforma de Configuración

5 Registro

6 Mantenimiento

7 Ajustes Avanzados

Fundamentos

8 Objetivos Lógicos

9 Interfaces

10 Routing

12 Dns

13 Ajustes de Registro

Políticas de Seguridad

14 Reglas IP

15 Acceso (Anti-Spooﬁng)

16 DMZ & Port Forwarding

17 Autentificación del Usuario

Inspeccion de Contenido

18 Application Layer Gateway (ALG)

19 Sistema de Deteccion de Intrusos (IDS)

Red Privada Virtual (VPN)

20 VPN Básico

21 VPN Planificacion

22 VPN Protocolos y Tuneles

Administración de Tráfico

23 TraﬃC Shaping

24 Servidor de Balanceo de Carga (SLB)

Características Misceláneas

25 Clientes Misceláneo

26 Servidor y Relay DHCP

Modo Transparente

27 Modo Transparente

Zona de Defensa

28 Zona de Defensa

Alta Disponibilidad

Apéndice

Enlaces rápidos

Manuales relacionados para D-Link DFL-800

Resumen de contenidos para D-Link DFL-800