Manual de referencia. Panda GateDefender

Panda GateDefender 

Manual de referencia

Contenido

Introducción... 7

Introducción... 7

Convenciones utilizadas en este documento ... 7

Las zonas ... 8

La interfaz de administración del dispositivo Panda GateDefender ... 9

Acceder al dispositivo Panda GateDefender... 15

Manual de referencia del dispositivo Panda GateDefender 5.50 ... 16

El menú sistema... 19

El menú del sistema ... 19

Panel de control... 19

Configuración de red... 22

Notificaciones de eventos ... 29

Actualizaciones ... 31

Soporte ... 31

Consola de administración perimetral Panda... 32

Contraseñas ... 33

Consola Web ... 33

Acceso SSH ... 34

Configuración del interfaz ... 35

Backup ... 35

Apagar... 39

El menú Estado... 40

El menú Estado... 40

Estado del sistema... 40

Estado de red... 41

Gráficos del sistema... 42

Gráficos del tráfico ... 43

Gráficos del proxy... 43

Conexiones ... 43

Conexiones VPN... 44

Estadísticas de correo SMTP ... 44

Lista de correos... 45

El menú Red ... 46

El menú de red ... 46

Editar hosts ... 46

Enrutamiento... 47

Interfaces ... 50

El menú Servicios... 53

El menú Servicios... 53

Servidor DHCP... 53

DNS dinámico... 56

Motor de antivirus... 58

Servidor de fecha y hora ... 60

Cuarentena de correo ... 60

Capacitación de spam ... 62

Alta disponibilidad... 65

Monitorización de tráfico ... 67

Servidor SNMP... 67

Calidad de servicio ... 68

El menú Firewall ... 71

El menú del firewall... 71

Elementos de configuración comunes... 71

Redirección de puertos / NAT ... 72

Tráfico de salida ... 74

Tráfico interzona ... 76

Tráfico VPN ... 77

Acceso al sistema... 77

Diagramas de firewall ... 78

El menú Proxy ... 79

El menú Proxy... 79

HTTP... 80

POP3... 90

FTP ... 92

SMTP... 93

DNS ... 105

El menú VPN... 107

Autenticación ... 107

Usuarios ... 107

Grupos... 109

Configuración ... 111

El menú VPN ... 112

Servidor OpenVPN... 112

Configuración del servidor ... 113

Cliente OpenVPN (Gw2Gw) ... 117

IPsec ... 120

IPsec ... 120

L2TP ... 125

Certificados... 126

Certificados... 126

Autoridad de certificado ... 128

Certificados revocados ... 129

Lista de revocación de certificados... 129

El menú Hotspot ... 130

El menú Hotspot... 130

Configuraciones del Hotspot... 130

Interfaz de administración... 135

Cuentas... 136

Lista... 136

Importar de CSV ... 140

Exportar desde CSV ... 141

Generador de cuentas... 142

Tickets ... 144

Tasas ... 144

Ticket rápido ... 147

Generador de tickets ... 147

Informes... 148

Conexiones ... 148

Saldo... 149

Registros de conexión ... 151

Exportar registros de conexión como CSV... 152

Transacciones SmartConnect... 152

Configuración ... 153

Principal ... 153

SmartConnect ... 156

API ... 159

Idioma ... 160

Usuario del Hotspot... 165

Acceso de clientes al Hotspot ... 166

El menú Registros e Informes ... 170

El menú Registros e informes ... 170

Panel de control... 170

Monitorización de tráfico ... 173

En vivo ... 176

Acciones comunes... 177

Resumen ... 178

Sistema ... 179

Servicio ... 179

Firewall... 179

Proxy ... 180

Configuración ... 180

Manual de referencia

vi

Servidor de timestamps seguros ... 181

Glosario ... 183

Glosario... 183

Guía rápida...¿Dónde puedo...? ... 185

Guía rápida. ¿Dónde puedo...? ... 185

Hotspot ... 185

Red ... 185

Varios ... 185

Licencia de documentación GNU libre ... 186

Introducción

Introducción

El Manual de referencia del dispositivo Panda GateDefender se divide en secciones que siguen la organización de los módulos de la aplicación.

El resto de esta sección contiene información básica sobre esta guía y sobre cómo realizar los primeros pasos con el dispositivo Panda GateDefender. Asimismo, presenta algunos conceptos importantes y describe las partes más relevantes de la GUI.

Convenciones utilizadas en este documento

Para facilitar la lectura y mejorar la claridad de este documento, se utilizan diferentes convenciones:

Al mover el ratón sobre determinados términos, se muestra una Ventana de ayuda.

Esto es un cuadro para un ejemplo.

Los cuadros como este contienen ejemplos de configuraciones o instrucciones prácticas breves para la instalación rápida de alguna función o algún servicio descritos en el documento principal.

Además, se utiliza letra cursiva para resaltar objetos no interactivos o etiquetas dentro de la GUI web, mientras que una palabra (o palabras) subrayada con rayas indica un objeto que requiere interacción del usuario, es decir, hacer clic sobre un botón o abrir un hipervínculo.

Se utilizan advertencias para marcar elementos, acciones o tareas que requieren atención especial:

Advertencia:

si cambia este valor, el servicio se reiniciará.

Nota:

recuerde que puede modificarlo más tarde.

Sugerencia:

consejos sobre configuración de opciones

Un tema relevante o un ejemplo

En cuadros como este (“tema”), puede encontrar la explicación de algún tema que requiere una explicación no tan corta y que es relevante para el tema de la sección o para la configuración de alguna preferencia. Es posible que también incluya ejemplos o instrucciones rápidas. La parte inferior puede incluir uno o más hipervínculos a recursos en línea.

Es necesario hacer clic en todos los elementos de una secuencia como Barra de menú ‣ Firewall ‣ Redirección de puertos/DNAT ‣

Mostrar reglas del sistema, en la secuencia indicada, para llegar a una página o un elemento de configuración específicos. Este ejemplo

muestra cómo llegar a la página que contiene la configuración de las reglas del sistema para el DNAT del firewall.

Por otro lado, en una secuencia como Barra de menú ‣ Firewall ‣ Redirección de puertos/DNAT ‣ [Lista de reglas] ‣ Editar, el signo [...]

indica que existe un gran número de objetos (en este caso una lista de las reglas del firewall) entre los que hay que elegir uno para llevar a cabo la acción (Editar).

Véase también:

Configuración de red

Barra de menú ‣ Sistema ‣ Configuración de red

Dentro del cuadro, el hipervínculo ofrece acceso directo a la documentación, mientras que la secuencia muestra debajo cómo llegar desde la página de inicio hasta la página donde se configura dicha funcionalidad.

También existen algunos términos que tienen un uso o un significado especiales en este manual y que se incluyen en el Glosario.

Las zonas

Uno de los conceptos más importantes en los que se basa el dispositivo Panda GateDefender, la Zona, tiene su origen en la idea de IPCOP de proteger las redes a las que puede llegar agrupándolas en diferentes segmentos (la zona en sí) y permitiendo el intercambio de tráfico solamente en determinadas direcciones entre estos segmentos. Las cuatro zonas principales se identifican por un color y pueden agrupar varios servidores de estación de trabajo que tienen el mismo propósito.



ROJA: este es el llamado Segmento no confiable, es decir, la WAN. Comprende todas las redes fuera del dispositivo Panda GateDefender o, en términos generales, Internet, y es el origen de las conexiones entrantes. Esta es la única zona que no puede administrarse, sino solamente limitar u otorgar acceso desde y hacia ella.



VERDE: la red interna, es decir, LAN. Esta zona es la más protegida, está dedicada a las estaciones de trabajo y nunca debería accederse a ella de manera directa desde la zona ROJA. También es la única zona que puede acceder a la interfaz de administración de forma predeterminada.



NARANJA, la DMZ. Esta zona debería hospedar los servidores que necesitan acceder a Internet para proporcionar servicios (por ejemplo, SMTP/POP, SVN, HTTP, etc.). Sería aconsejable que la zona NARANJA fuera la única zona accesible directamente desde la zona ROJA. De hecho, si un atacante consigue entrar en alguno de los servidores, se encontrará atrapado dentro de la DMZ y no podrá acceder a la zona VERDE. Por tanto, será imposible que acceda a información importante de las máquinas locales dentro de la zona VERDE.



AZUL: la zona Wi-Fi, es decir, la zona que utilizarán los clientes inalámbricos para acceder a Internet. En general, las redes inalámbricas no son seguras, por lo que la idea es atrapar de forma predeterminada a todos los clientes conectados de manera inalámbrica dentro de su propia zona sin que accedan a ninguna otra zona excepto la ROJA.

Para que el dispositivo Panda GateDefender funcione correctamente, no es necesario configurar las zonas NARANJA y AZUL. De hecho, basta con definir la zona VERDE, porque la zona ROJA también se puede dejar sin configurar en algunos casos.

El dispositivo Panda GateDefender posee reglas del firewall predefinidas que prohíben que el tráfico de red fluya entre algunas de las zonas. Además de las cuatro zonas principales, existen dos zonas más que se encuentran disponibles, pero que se utilizan solamente en configuraciones avanzadas: la zona de clientes OpenVPN (a la que a veces se la llama VIOLETA) y la zona HA. Estas son dos zonas especiales que se utilizan como redes para los usuarios remotos de OpenVPN que deberían conectarse al dispositivo Panda

GateDefender y para el servicio HA. De forma predeterminada, utilizan las redes

192.168.15.0/24

y

192.168.177.0/24

, respectivamente, por lo que, si tiene previsto utilizar alguno de estos servicios, no debería utilizar dichos rangos de red en las zonas principales. De lo contrario, esas redes se solaparían y es posible que provoquen efectos no deseados. Sin embargo, pueden cambiarse los rangos de IP de estas dos zonas durante la configuración de los servicios OpenVPN o HA.

A cada zona le corresponde una interfaz (red) y una dirección IP. La interfaz es el puerto (Ethernet o inalámbrico) a través del cual fluye el tráfico de red hacia la zona, por lo que la interfaz ROJA es el puerto a través del cual usted puede acceder a la zona ROJA y a Internet. La dirección IP de la interfaz es la <Zona>IP. Por ejemplo, la configuración de fábrica para la zona VERDE es la red

192.168.15.0/24

, por lo que a la interfaz VERDE le corresponderá la IP

192.168.0.15

, a la que se llama GREENIP. Véase también:

Alta disponibilidad

Para obtener una descripción de la “alta disponibilidad”.

VPN

Para obtener una descripción de OpenVPN.

La interfaz de administración del dispositivo Panda GateDefender

La GUI del dispositivo Panda GateDefender ha sido concebida para que resulte fácil de usar, y se compone de cinco partes principales: el encabezado, la barra de menú principal, el submenú, el área principal y el pie de página. A continuación se puede ver una captura de pantalla de muestra del módulo Servicio.

El encabezado

El encabezado de la página contiene el logotipo de Panda y la versión del dispositivo Panda GateDefender en la parte izquierda, mientras que en la parte derecha aparecen dos enlaces: uno para cerrar la sesión en la GUI y otro para acceder a la documentación en línea, que depende del contexto (es decir, desde cada página se mostrará la ayuda correspondiente). Esta parte es estática y no cambia.

El pie de página

El pie de página se encuentra al final de la página. Se compone de dos líneas de texto con algo de información sobre el dispositivo Panda GateDefender en ejecución. La línea superior muestra (Estado:) si un enlace activo está conectado o conectándose y cuál es (si hay más de un enlace activo definido). También muestra el tiempo transcurrido (Tiempo en línea:) desde la última vez que se estableció la conexión y el tiempo en línea de la máquina, que se presenta como el resultado del comando uptime, es decir, el tiempo transcurrido desde el último inicio, el número de usuarios y la carga media. Al cambiar de página, se actualiza la información. La última línea muestra la versión de la aplicación junto con el paquete de implementación y los derechos de autor, así como un enlace al sitio web de Panda.

La barra de navegación principal, situada justo debajo del encabezado, es una barra de menú con un fondo de color negro una línea azul en la parte inferior que muestra todas las secciones disponibles del dispositivo Panda GateDefender. Al hacer clic en uno de los módulos (por ejemplo, Servicios), su fondo se vuelve azul, para enfatizar el módulo que está abierto actualmente. Al hacer clic sobre un elemento del menú, el submenú a la izquierda de la página y el título en la parte superior del área principal cambian, ya que dependen del contexto. De forma predeterminada, la GUI se abre en el menú Sistema.

El submenú

El submenú aparece sobre el lado izquierdo de la GUI y cambia dependiendo del módulo seleccionado en la barra del menú. Aparece como una lista vertical de elementos en los que se puede hacer clic para cambiar el contenido del área principal y para acceder a todas las funciones incluidas en dicho módulo del dispositivo Panda GateDefender.

El área principal

El área principal contiene toda la información y las configuraciones correspondientes a la selección actual de la combinación menú/submenú. Algunas de las páginas (por ejemplo, el Panel de control o partes de los módulos Servicio y Registros) son simplemente informativas y muestran el estado actual del dispositivo Panda GateDefender de manera gráfica o textual. En este último caso, se presenta el resultado de los comandos de Linux en pantalla. Sin embargo, la gran mayoría de las páginas muestran una tabla que contiene información diversa sobre las preferencias actuales configuradas y permite modificar o eliminar elementos y preferencias

existentes o añadir nuevos. Los servicios especialmente elaborados como, por ejemplo, el proxy HTTP o el firewall contienen tantas opciones de configuración que no basta una sola página para presentarlas todas, por lo que las configuraciones disponibles se agrupan y se organizan en pestañas.

Dentro de las pestañas, a menudo las opciones de configuración se agrupan en uno o más cuadros, que agrupan ajustes relativos a una misma parte de la configuración general.

La Interfaz de administración del Hotspot

La única excepción al diseño de la GUI del dispositivo Panda GateDefender es la Interfaz de administración del Hotspot, que se muestra a continuación en la captura de pantalla. No tiene ningún pie de página, presenta el submenú bajo la barra de menú principal y en el extremo derecho de la barra de menú incluye un enlace Menú principal que permite volver al menú principal.

Cabe destacar que, al hacer referencia a los elementos bajo la Interfaz de administración del Hotspot, suele omitirse la Barra de menú.

Los iconos

En las páginas presentadas por el dispositivo Panda GateDefender se utilizan muchos iconos para indicar acciones que pueden realizarse con rapidez o dar algún significado a las configuraciones que se muestran.

Interruptores

Los interruptores se utilizan para activar o desactivar completamente un servicio y se encuentran en la parte superior del área principal. El interruptor gris indica que el servicio se encuentra desactivado e inactivo, y en el área principal no se muestra ninguna preferencia ni ninguna opción de configuración. Al hacer clic en el interruptor, se inician e inicializan los servicios y los demonios necesarios para su correcto funcionamiento. Al cabo de unos segundos, el interruptor se vuelve azul y aparecen todas las opciones de configuración. Para desactivar el servicio, haga clic de nuevo en el interruptor. Esto hace que todos los demonios se detengan, que el interruptor se vuelva gris y que desaparezcan las configuraciones.

Políticas

Estos iconos se encuentran en aquellos servicios que precisan de algún tipo de política de acceso o control de tráfico, por ejemplo, las reglas del firewall o las especificaciones del proxy. Cada vez que un paquete coincide con una regla, se aplica la política especificada para dicha regla, y se determina si el paquete puede pasar o no y cómo se produce dicho paso.

aceptar el acceso sin restricciones.

permite el acceso pero solamente después de que los paquetes hayan pasado las IPS de manera positiva. Esta política solo se encuentra disponible dentro de las reglas del firewall.

bloquea los paquetes y los descarta.

bloquea los paquetes, pero se envía una notificación al origen.

acepta las reglas de manera parcial. Esta opción solo se encuentra en el encabezado de una lista de políticas. Permite identificar enseguida que algunas de las políticas de la lista han sido aceptadas y otras rechazadas, como, por ejemplo, en Barra de menú ‣ Proxy ‣ HTTP ‣ Filtro de contenido.

Otros iconos

Iconos adicionales que pueden encontrarse en el dispositivo Panda GateDefender.

expande un panel dejando ver su contenido.

cierra un panel ocultando su contenido.

Barra de navegación

En la mayoría de lugares donde aparece una lista larga de elementos, aparece una barra de navegación para facilitar el listado de los elementos, que se compone de varias celdas: Primera y Anterior a la izquierda, Siguiente y Última a la derecha, que contienen un número variable de celdas con los números de página. Al hacer clic en las diferentes celdas se puede acceder a la página indicada por el número, a la primera o la última páginas, o a la página anterior o a la siguiente.

Acciones comunes y tareas

Existen dos tipos de acciones que pueden realizarse dentro de la GUI: acciones sobre un único elemento de una lista de preferencias de configuración (es decir, una regla del firewall) y acciones globales para guardar, almacenar y aplicar todas las preferencias dentro de una lista, un cuadro o una página.

Acciones e iconos

Estos iconos se encuentran dentro de la columna Acciones a la derecha de las diferentes tablas que aparecen en las páginas y, por regla general, muestran una lista de los elementos definidos, por ejemplo, las reglas del firewall o los usuarios de OpenVPN. Los iconos de acciones permiten ejecutar una tarea sobre el elemento de la lista a la que corresponden. Algunas acciones solo se encuentran disponibles en determinados tipos de lista:

y indican el estado de un elemento, a saber, activado o desactivado, respectivamente. Puede cambiar el estado haciendo clic en el icono. A continuación, puede aparecer un mensaje que le indica que reinicie el servicio, si es necesario, para que los demonios vuelvan a cargar la configuración y activen los cambios.

y solamente se encuentran disponibles en listas en las que el orden es importante, por ejemplo, las reglas del firewall, y permiten modificar el orden moviendo el elemento correspondiente hacia arriba o hacia abajo .

permite modificar el elemento actual. Al hacer clic en este icono, se abrirá el editor apropiado para dicho elemento.

hace que el elemento seleccionado se elimine de la lista y de la configuración. Aparecerá un mensaje que solicitará confirmación antes de que el elemento se elimine de forma permanente.

permite descargar el elemento (normalmente, un archivo).

se utiliza en lugares limitados, por ejemplo, en Barra de menú ‣ Servicios ‣ Capacitación de spam para probar la conexión de un

elemento con un servidor remoto.

y aparecen dentro de IPS (Barra de menú ‣ Servicios ‣ Prevención de intrusiones) y permiten registrar los paquetes

autorizados a pasar o bloqueados después de haber coincidido con una regla.

Acciones globales

En la parte inferior de todas las páginas que permiten personalizar una o más opciones, existe la opción de Guardar y almacenar la nueva configuración en el disco o de cancelar la personalización que se ha realizado hasta el momento. En último caso, no se necesita ninguna acción adicional, ya que la configuración no ha cambiado. En el primer caso, sin embargo, es necesario reiniciar el servicio que se acaba de modificar, y quizás también otros servicios relacionados o dependientes, para que se vuelvan a cargar las nuevas preferencias y se puedan utilizar en la configuración en ejecución. Por motivos prácticos, si es necesario realizar esta acción, tras guardar la configuración se mostrará una notificación con un botón Aplicar en el que habrá que hacer clic para reiniciar el servicio.

Siempre que se utilice una Casilla de multiselección (por ejemplo, en Barra de menú ‣ Configuraciones del Hotspot), se podrá hacer

clic sobre Añadir todos y Eliminar todos como un atajo para añadir o eliminar todas las entradas disponibles de la lista de elementos disponibles o los elementos seleccionados y activos, respectivamente.

Entradas múltiples en una opción de configuración

En varios lugares se pueden introducir diversos valores para un solo elemento de configuración, por ejemplo, el origen o el destino de una regla del firewall. En esos casos, se muestra un área de texto o un menú desplegable. En el primer caso, es posible introducir un valor por línea, por ejemplo, una dirección MAC, un rango de red (en notación CIDR) o un usuario de OpenVPN. En el último caso, las posibilidades se limitan a varios valores predefinidos, que pueden seleccionarse manteniendo pulsada la tecla

Control

del teclado y haciendo clic en los valores que deseen seleccionarse.

Notación IPv4 y CIDR.

Una dirección IPv4 es una dirección de red cuya longitud es de 32 bits, divididos en cuatro octetos de 8 bits de longitud cada uno. En decimales, cada octeto puede asumir cualquier valor entre 0 y 255 (28

= 256).

Al especificar un rango de red, la dirección IP del primer host de la red junto con la máscara de subred, o máscara de red para acortar, viene dada y define la cantidad de hosts disponibles en dicha red. La subred se define como la longitud del prefijo de red, es decir, la parte de la dirección que comparten todos los hosts de una red.

Existen dos posibilidades para indicar el par red/máscara de red:



explícitamente, es decir, ambas se indican en la notación decimal punteada. Por ejemplo:

red 192.168.0.0

Esta es una red que comienza en la dirección 192.168.0.0 con 256 hosts disponibles, es decir, el rango de red va de 192.168.0.0 a 192.168.0.255. Los tres primeros octetos de la máscara de red son 255, lo que muestra que no hay ningún host libre (o que esta parte de la dirección es el prefijo de red), mientras que el cuarto es 0, lo que significa que todos los hosts (256 - 0 = 0) se encuentran disponibles.



En notación CIDR, una manera más compacta de mostrar el rango de red, se indican los bits libres en lugar de los hosts libres. El mismo rango de red que se describe más arriba se expresa como:

192.168.0.0/24

Dicha notación muestra la longitud en bits de la parte compartida de la dirección IP. 24 significa que los tres primeros octetos (cada uno de 8 bits) son compartidos, mientras que el cuarto octeto está libre, lo que indica un número de hosts libres que es igual a 32 - 24 = 8 bits, es decir, 256 hosts.

Puede aplicarse el mismo razonamiento a una dirección IPv6, con la única diferencia de que las direcciones IPv6 tienen una longitud de 128 bits.

Acceder al dispositivo Panda GateDefender

Existen diferentes maneras de acceder al dispositivo Panda GateDefender: La más intuitiva y sencilla es de utilizar la GUI basada en web. También existe un acceso basado en la consola mediante SSH y consola de serie, aunque solo se recomiendan para usuarios avanzados.

La GUI del dispositivo Panda GateDefender

Sugerencia:

la dirección IP predeterminada del dispositivo Panda GateDefender es 192.168.0.15.

El acceso recomendado a la GUI del dispositivo Panda GateDefender es muy sencillo: inicie el navegador e introduzca la dirección GREENIP, con independencia de si esta es la primera vez que utiliza el dispositivo Panda GateDefender.

El navegador se redireccionará a una conexión HTTPS segura en el puerto 10443. Puesto que el dispositivo Panda GateDefender utiliza un certificado HTTPS autofirmado, el explorador podría solicitar que acepte dicho certificado durante la primera conexión. Después, el sistema le solicitará su nombre de usuario y contraseña. Especifique “admin” como nombre de usuario y proporcione la contraseña facilitada por el proveedor. En caso de haber personalizado el dispositivo Panda GateDefender, escriba la contraseña generada durante la instalación.

Después de introducir la contraseña, se muestra el Panel de control de la GUI del dispositivo Panda GateDefender, y es posible comenzar a explorar de inmediato la información disponible en dicha interfaz o continuar navegando y configurando el dispositivo. Lo que resta de este manual sigue el diseño de la barra de navegación principal: cada elemento de la barra de menú principal representa una sección diferente del dispositivo Panda GateDefender y se presenta en un capítulo independiente, con subapartados para cada uno de los elementos o las pestañas de los submenús.

Acceso basado en la consola

El acceso basado en la consola al dispositivo Panda GateDefender solamente está indicado para usuarios que están familiarizados con la línea de comandos de Linux.

Existen dos posibilidades para acceder a la CLI: utilizar el acceso SSH o a través de la consola de serie. El acceso SSH está desactivado de forma predeterminada, pero puede activarlo en Barra de menú ‣ Sistema ‣ Acceso SSH. Por el contrario, el acceso a

través de la consola de serie está activado de forma predeterminada en todos los dispositivos con los siguientes parámetros:



bit, bit de paridad, bit de detención: 8, N, 1



velocidad: 115.200 baudios

La conexión que utiliza la consola de serie necesita:



un programa de terminal adecuado, como minicom para máquinas con Unix/Linux o putty para MS Windows,



una estación de trabajo con interfaz de serie, y



un cable de módem nulo para conectar una estación de trabajo al dispositivo;

o



un programa de terminal,



un adaptador de red serie a Ethernet, y



un cable serie a Ethernet para conectar el dispositivo al adaptador.

Nota:

si la red no estuviera configurada correctamente, la consola de serie podría ser la única manera de acceder al dispositivo Panda GateDefender.

Manual de referencia del dispositivo Panda GateDefender 5.50

Esta documentación está sujeta a Copyright (c) 2011-2012 Panda Security SL. Se ha concedido permiso para copiar, distribuir y modificar este documento bajo los términos de la Licencia de documentación GNU libre, versión 1.2, o cualquier versión posterior publicada por Free Software Foundation; sin Secciones invariantes, textos de portada ni textos de contraportada. Se incluye una copia de la licencia en la Licencia de documentación GNU libre.

Contenidos:



Introducción

o

Convenciones utilizadas en este documento

o

Las zonas

o

La interfaz de administración del dispositivo Panda GateDefender

o

Acceder al dispositivo Panda GateDefender



El menú Sistema

o

Panel de control

o

Configuración de red

o

Notificaciones de eventos

o

Actualizaciones

o

Soporte

o

Panda Perimetral Management Console

o

Contraseñas

o

Consola Web

o

Acceso SSH

o

Configuración de GUI

o

Backup

o

Cierre

o

Acuerdo de licencia



El menú Estado

o

Estado del sistema

o

Estado de red

o

Gráficos del sistema

o

Gráficos del proxy

o

Conexiones

o

Conexiones VPN

o

Estadísticas de correo SMTP

o

Lista de correos



El menú Red

o

Editar hosts

o

Enrutamiento

o

Interfaces



El menú Servicios

o

Servidor DHCP

o

DNS dinámico

o

Motor de antivirus

o

Servidor de fecha y hora

o

Cuarentena de correo

o

Capacitación de spam

o

Prevención de intrusiones

o

Alta disponibilidad

o

Monitorización de tráfico

o

Servidor SNMP

o

Calidad de servicio



El menú Firewall

o

Elementos de configuración comunes

o

Redirección de puertos/NAT

o

Tráfico saliente

o

Tráfico interzona

o

Tráfico VPN

o

Acceso al sistema

o

Diagramas de firewall



El menú Proxy

o

HTTP

o

POP3

o

FTP

o

SMTP

o

DNS



El menú VPN

o

Servidor OpenVPN

o

Cliente OpenVPN (Gw2Gw)

o

IPsec

o

Autenticación

o

Certificados



El menú Hotspot

o

Configuraciones del Hotspot

o

Interfaz de administración

o

Cuentas

o

Tickets

o

Informes

o

Configuración

o

Usuario del Hotspot

o

Acceso de clientes al Hotspot



El menú Registros e informes

o

Panel de control

o

Monitorización de tráfico

o

Acciones comunes

o

Resumen

o

Sistema

o

Servicio

o

Firewall

o

Proxy

o

Configuración

o

Servidor de timestamps seguros



Glosario



Guía rápida. ¿Dónde puedo...?

o

Hotspot

o

Red

o

Varios

El menú sistema

El menú del sistema

El menú del Sistema proporciona diferente información sobre el dispositivo Panda GateDefender y su estado, y permite definir la configuración de red y algunos modos de acceso (por ej.: vía SSH o para el soporte de Panda).

El submenú en el lado izquierdo contiene los siguientes elementos, que permiten realizar algunas tareas básicas de administración y monitorizar las actividades en ejecución del dispositivo Panda GateDefender.



Panel de control - vista rápida del sistema y del estado de las conexiones



Configuración de red - configuración de red y de la interfaz de red



Notificaciones de eventos - configuración de la notificación a través del correo electrónico o SMS



Actualizaciones - gestión de actualizaciones del sistema



Soporte técnico - formulario de contacto de soporte técnico



Consola Perimetral - Información de registro de la Consola de administración perimetral Panda



Contraseñas - configura las contraseñas del sistema



Consola Web - una consola shell en el navegador



Acceso SSH - permite activar/configurar el acceso SSH al dispositivo Panda GateDefender



Configuración GUI - configuración del idioma de la interfaz Web



Backup - respalda o restaura las configuraciones del dispositivo Panda GateDefender así como también restaura la configuración de fábrica



Cierre - cierre o reinicio del dispositivo Panda GateDefender



Contrato de Licencia - copia del Contrato de Licencia del Usuario.

El resto de esta sección describe las diferentes partes que componen los elementos del menú del Sistema.

Panel de control

El Panel de control es la página por defecto, la que se muestra en cada inicio de sesión. Contiene varias casillas (“complementos”) organizadas en dos columnas que proveen una vista rápida completa del sistema en ejecución y de su estado. La parte superior de cada casilla muestra el nombre de la misma. El Panel de control ha pasado por algunos cambios en su utilización y se han añadido nuevas funcionalidades para mejorar la interacción con el usuario. La información visible en pantalla se actualiza en intervalos regulares.

Aquí se describen los complementos disponibles y la información que muestran.

Complemento de información del sistema

Muestra diferente información sobre el sistema instalado. Generalmente muestra el nombre de host y el nombre de dominio del dispositivo Panda GateDefender en el título.

Dispositivo: El tipo de dispositivo. Versión: La versión del firmware. Kernel: El kernel actual en ejecución.

Tiempo en funcionamiento: El tiempo transcurrido desde el último reinicio.

Estado de actualización: Un mensaje que depende del estado del dispositivo Panda GateDefender:



“se necesita una actualización”. Se pueden instalar nuevos paquetes. Al hacer clic en el mensaje, aparece la página Actualizaciones, donde se puede revisar la lista de paquetes nuevos.



“Registro para empresas”. El sistema aún no se ha registrado en la Panda Perimetral Management Console. Al hacer clic en el mensaje, se abrirá la página Panda Perimetral Management Console, que presenta un formulario para completar el registro.

Mantenimiento: Los días restantes de validez del soporte de mantenimiento.

Acceso al soporte: si el equipo de soporte puede acceder o no al dispositivo Panda GateDefender. En el primer caso,

también se muestra la fecha hasta la cual está permitido el acceso.

Este complemento también muestra los días restantes de validez de los módulos adicionales Panda Antivirus y Commtouch, si se han comprado.

Complemento de información del hardware

Muestra la información del hardware principal del dispositivo Panda GateDefender y la disponibilidad de los recursos. Toda la información se proporciona con el valor absoluto (de manera gráfica con una barra pequeña y de manera numérica al final de una línea) y el porcentaje de utilización. La única excepción es la carga de CPU, que solo muestra el porcentaje de utilización, tanto de manera gráfica como numérica.

CPU x: La carga del CPU, donde la

x

representa el número de CPU, para los dispositivos que tienen más de una CPU.

Memoria: La cantidad de memoria RAM utilizada.

Swap: La cantidad de espacio de intercambio del disco que se utiliza. Un porcentaje alto aquí normalmente significa que

algo no está funcionando de manera correcta.

Disco principal: La utilización de la partición de root. Temp: El espacio utilizado en la partición

/tmp

.

Disco de datos: la utilización de la partición

/var

.

Disco de configuración El espacio ocupado por la partición que contiene todos los servicios y la configuración del

dispositivo Panda GateDefender.

Disco de registro La cantidad de espacio utilizado en la partición que contiene los registros.

Los valores finales, que muestran la disponibilidad del espacio de los discos, pueden diferir según el dispositivo, ya que los datos, el sistema y las particiones de registro pueden encontrarse en diferentes lugares.

Advertencia

Una partición en el disco duro (por ejemplo, disco principal, disco de datos, /var/log) nunca debe tener un uso del 95% o superior, ya que esto puede provocar errores de funcionamiento y pérdidas de datos.

Complemento de información del servicio

Este complemento muestra información acerca de los servicios más importantes instalados en el dispositivo Panda GateDefender, junto con su estado real. Se muestra el estado, ya sea ON u OFF de cada servicio, y un resumen de las tareas que se han realizado durante la última hora y los últimos días. Al hacer clic en el nombre del servicio, se expande o contrae la información adicional sobre las tareas llevadas a cabo por el servicio. Para los servicios en ejecución, existe la posibilidad de abrir en una nueva ventana los respectivos

Registros en tiempo real. Por lo tanto, si un número dentro de los resúmenes parece extraño (por ej.: un número de correo electrónico

ataque), pueden controlarse los registros para buscar algún mensaje útil que se haya guardado. Los servicios que actualmente admiten este complemento son:

Detección de intrusos: El número de ataques que registra Snort.

Proxy SMTP: Estadísticas sobre los correos electrónicos procesados. La cantidad de correos electrónicos que se

encuentran actualmente en la lista de sufijos, la cantidad de correos electrónicos recibidos y cuántos de ellos se limpiaron, la cantidad de virus encontrados y cuántos correos electrónicos se bloquearon.

Proxy HTTP: El número de pérdidas y coincidencias de squid y de los virus encontrados.

Proxy POP3: Estadísticas sobre los correos electrónicos recibidos, bloqueados y que contienen virus que pasaron a

través del Proxy POP3.

Sugerencia

Los servicios inactivos se marcan con un mensaje DESACTIVADO en rojo.

Complemento de información de la red

Muestra la información sobre las interfaces de red del firewall y sobre el tráfico. La parte superior de este complemento muestra diferentes datos sobre las interfaces de red del dispositivo Panda GateDefender: Su nombre, tipo, enlace (Activado si una conexión está establecida, Desactivado si no) y estado (Activado si el dispositivo se encuentra activado, Desactivado si no), y el tráfico entrante y saliente. Los últimos dos datos se actualizan en tiempo real. Al marcar la casilla junto al nombre del dispositivo, este se muestra en los gráficos que aparecen debajo. El nombre del dispositivo aparece en un color según la zona que sirve.

La parte de abajo del complemento contiene dos gráficos: El primero muestra el tráfico entrante, mientras que el segundo muestra el tráfico saliente de cada una de las interfaces elegidas. El tráfico de cada interfaz aparece coloreado según la zona a la que pertenece. Las diferentes interfaces que sirven a la misma zona poseen diferentes matices. Los puentes que se construyen en un dispositivo se muestran en el mismo color del dispositivo. Ambos gráficos se actualizan en tiempo real, como ocurre con los datos de tráfico en la parte superior.

Sugerencia

Pueden seleccionarse y mostrarse hasta seis interfaces en los gráficos.

Complemento de información de las firmas

Este complemento muestra información sobre el estado real de los servicios que requieren la descarga de firmas que se instalan y activan en el dispositivo Panda GateDefender. En caso de que no se haya descargado ninguna firma ni se haya activado ningún servicio se mostrará el mensaje No se encontraron actualizaciones de firma recientes, de lo contrario el complemento presenta las firmas instaladas para los diferentes demonios y la marca de tiempo (fecha y hora) de la última descarga. La lista incluye las firmas para el antispyware, el antivirus, el filtro de contenido y los servicios de prevención de intrusiones.

Complemento de información del enlace

Este complemento muestra una tabla que detalla el estado de conexión de los enlaces. Se muestran el nombre, la dirección IP, el estado, la actividad, si se encuentra activado o no , si está gestionado o es manual para cada uplink definido. Hacer clic en la flecha circular permite reconectar inmediatamente el enlace correspondiente. Es de particular interés el campo Estado de cada enlace, que puede ser:

Detenido: No conectado. Inactivo: No conectado.

Conectado o Activo: Se ha establecido la conexión y se encuentra en completo funcionamiento.

Desconectando: El uplink está cerrando la conexión. El dispositivo Panda GateDefender sigue haciendo ping sobre la

puerta de enlace y muestra cuando se encuentra disponible.

Error: Hubo un error al conectar al uplink.

Error, reconectando: Hubo un error mientras se conectaba al uplink, pero el dispositivo Panda GateDefender vuelve a

intentarlo.

Link no establecido: El enlace está conectado, pero se puede conectar con los hosts definidos en la configuración del

enlace (Barra de menú ‣ Red ‣ Interfaces, opción Revisar si estos hosts son alcanzables en el Editor de enlaces activos)

para comprobar la conexión. En otras palabras, el uplink no se encuentra en funcionamiento.

Uplink gestionado y manual.

Cada uplink puede funcionar tanto en modo gestionado, que es el modo por defecto, o modo manual. En modo gestionado, el dispositivo Panda GateDefender monitoriza y reinicia el uplink de manera automática según sea necesario. Si se desactiva el modo gestionado, el uplink debe activarse o desactivarse de manera manual: Esto implica que no habrá intento de reconexión automática si se pierde la conexión, pero se necesita hacer clic sobre Reconectar para reiniciar un uplink que no se encuentra en funcionamiento. Puede seleccionarse el modo de gestión de un uplink en Barra de menú ‣ Red ‣ Interfaces.

Mientras que un uplink debería gestionarse siempre para permitir una reconexión rápida si se pierde la conexión, el modo manual es útil para resolver problemas o probar las conexiones antes de establecerlas.

Configuración de red

La configuración de las redes y de las interfaces de red que sirven a las zonas es rápida y fácil si se utiliza este asistente de 8 pasos. Es posible navegar de manera libre hacia adelante o atrás del paso, utilizando los botones <<< and >>> y también decidir cancelar las acciones que se han hecho hasta el momento en cualquier momento. Solamente se solicita que se confirmen las nuevas configuraciones en el último paso: En ese caso, se aplicarán todos los cambios que se han realizado. Tenga en cuenta que mientras se aplican las nuevas configuraciones, la interfaz Web podría no responder por un corto período.

El modo de enlace sigiloso

El modo de enlace sigiloso representa una nueva posibilidad para integrar a la perfección el dispositivo Panda GateDefender en una infraestructura de red existente sin que sea necesario modificar las reglas existentes de enrutamiento o firewall.

Para utilizar el modo de sigiloso, el dispositivo Panda GateDefender debe estar equipado con un mínimo de dos NIC que presten servicio a la misma zona, que puede ser VERDE, NARANJA o AZUL. Una de esas interfaces enruta todo el tráfico dirigido desde la zona hasta una puerta de enlace y, en la práctica, representa el “enlace” del dispositivo Panda GateDefender.

La presencia de una interfaz explícita designada como “enlace” permite diferenciar una dirección para el tráfico que sale de la zona a la que presta servicio el enlace sigiloso y filtrarlo utilizando el firewall saliente. Esta es la principal diferencia con el modo sin enlace (llamado anteriormente modo de puerta de enlace), en el que no hay posibilidad de filtrar el tráfico saliente y, por tanto, no se puede aplicar el control de aplicaciones.

Para utilizar el modo de enlace sigiloso, el firewall del dispositivo Panda GateDefender se debe configurar de un modo específico.



Las reglas de acceso al sistema se gestionan del modo normal.



También se realiza del modo normal la configuración del reenvío de puertos y el NAT de destino. Sin embargo, puesto que la interfaz saliente se encuentra en la misma zona que la red interna, las reglas se aplicarán a ambos lados de la zona.



El NAT de origen no se aplica a las conexiones salientes en esta configuración, puesto que, de lo contrario, el comportamiento ya no sería transparente.



El firewall saliente se utiliza para todo el tráfico que fluye desde la zona a la que presta servicio el enlace sigiloso hasta el NIC designado como enlace, lo que permite aprovechar las capacidades del control de aplicaciones.



El firewall interzona, si se ha definido, se utiliza para el resto del tráfico entre las otras zonas. Si el enlace sigiloso se compone de tres o más interfaces y, por tanto, dos o más de ellas prestan servicio a la zona correspondiente, el firewall interzona también puede filtrar el tráfico entre esas zonas y las otras zonas.

A causa de la disponibilidad de este modo de enlace, se ha cambiado la GUI del asistente de configuración de red, en especial en la primera página del asistente, para aclarar las diferencias entre los distintos enlaces y las opciones de configuración disponibles para cada uno de ellos.

Los 8 pasos en los que se divide el asistente de configuración son:

1/8 - Elegir modo de red y tipo de enlace

La primera página del asistente de configuración de red contiene dos cuadros: Modos de red, en el que elegir el modo operativo del enlace, y Tipo de enlace, donde seleccionar el enlace.

Modos de red

El primer cuadro permite elegir el modo operativo del enlace utilizado por el dispositivo Panda GateDefender entre tres posibilidades que se excluyen mutuamente. Al seleccionar una de las opciones o pasar el ratón por encima, aparece una breve descripción.



Enrutada. Esta opción corresponde a los enlaces clásicos disponibles en el dispositivo Panda GateDefender, excepto para el modo de

puerta de enlace.



Enlazada. El nuevo modo de enlace sigiloso.



Sin enlace. Esta opción corresponde al modo que antes se llamaba modo de puerta de enlace.

Nota

Cuando se utiliza el modo Sin enlace, no se tienen en cuenta las reglas definidas en el firewall saliente, que filtra el tráfico que va desde el dispositivo Panda GateDefender hasta el enlace.

El cuadro siguiente solo aparece al seleccionar la opción Enrutada, puesto que en los otros casos el modo determina automáticamente la interfaz ROJA.

Tipo de enlace (zona roja)

En el momento de la instalación, el dispositivo Panda GateDefender recibe una IP VERDE por defecto. Esta pantalla permite elegir el tipo de interfaz ROJA (es decir, el tipo de uplink) entre aquellas que admite el dispositivo Panda GateDefender.

ETHERNET ESTÁTICA

La interfaz ROJA está en una LAN y tiene una dirección IP y una máscara de red fijas, por ejemplo, al conectar la interfaz ROJA a un enrutador simple, pero con la practicidad de que siempre podrá accederse al dispositivo Panda GateDefender en la misma dirección IP.

ETHERNET DHCP

La interfaz ROJA recibe su configuración de red a través de DHCP (dinámico) de un servidor local, un enrutador, o un módem, es decir, la interfaz ROJA está conectada a un enrutador simple pero sin la necesidad de poseer una dirección fija.

PPPoE

La interfaz ROJA se encuentra conectada a un módem ADSL. Solamente se necesita esta opción cuando el módem utiliza el modo de puente y solicita utilizar PPPoE para conectarse al proveedor. No debe confundirse esta opción con las opciones

ETHERNET ESTÁTICA o ETHERNET DHCP, que se utilizan para conectar enrutadores ADSL que manejan PPPoE por sí

mismos.

La interfaz ROJA se conecta a un módem ADSL a través de un cable USB o PCI, no a través de un cable de Ethernet.

ISDN

La interfaz ROJA es una conexión ISDN.

Módem ANALÓGICO/UMTS

La interfaz ROJA es un módem analógico (conexión de acceso telefónico) o UMTS (teléfono móvil).

A la derecha de las opciones disponibles se muestra una pequeña casilla que recuerda la cantidad de interfaces de red disponibles en el sistema. La interfaz ROJA puede configurarse por completo durante el paso 4.

2/8 - Elegir zonas de red

El dispositivo Panda GateDefender separa las redes conectadas a él en cuatro zonas principales, como se describe en esta sección. En este punto, las dos zonas más importantes (VERDE y ROJA) ya se han encontrado durante la instalación. Este paso permite activar una o dos zonas adicionales, dependiendo de los servicios que deba proporcionar el dispositivo Panda GateDefender: NARANJA (usada como la parte de red DMZ) y AZUL (usada como segmento para clientes inalámbricos). Su configuración completa será posible en el siguiente paso.

Nota

En el dispositivo Panda GateDefender, se reserva una interfaz de red para la zona VERDE y quizá se haya asignado otra a la zona ROJA, si la interfaz ROJA necesita una tarjeta de red. Esto podría limitar las opciones hasta el punto en el que no puedan activarse las zonas NARANJA o AZUL, debido a una falta de interfaces de red adicionales.

3/8 - Preferencias de red

Este paso está relacionado con la configuración de la zona VERDE, si es necesario, y de cualquier zona seleccionada en el paso anterior. Se pueden configurar las siguientes opciones para cada una de las zonas activadas:

Dirección IP

La dirección IP (como por ejemplo 192.168.0.1) de la interfaz, que no debe encontrarse en uso en la red.

Sugerencia

Se suele sugerir que el último octeto sea 1, ya que la interfaz reunirá el tráfico de la totalidad de la subred.

Recuerde también que, si se cambian las direcciones IP de un dispositivo Panda GateDefender, especialmente en un entorno de producción, quizá sea necesario realizar otros ajustes de configuración en otro lugar, por ejemplo, la configuración del proxy HTTP en las estaciones de trabajo. De lo contrario, los exploradores web no funcionarán correctamente.

Advertencia

Al configurar las interfaces de la zona VERDE, ¡asegúrese de no quedarse fuera de la interfaz web! Esta situación podría ocurrir al cambiar la dirección GREENIP por una que no sea accesible desde el segmento VERDE actual y luego guardar la configuración. En este caso, el único acceso al dispositivo Panda GateDefender es a través de la consola de serie.

Máscara de red

Define la máscara de red de un menú desplegable que contiene las posibles máscaras (por ej.: 24 - 255.255.255.0).

Sugerencia

Direcciones adicionales

Aquí pueden añadirse a la interfaz direcciones IP adicionales para las diferentes subredes.

Interfaces

Asigne una interfaz de red a una zona horaria, con las siguientes reglas:

1. Puede mapearse cada interfaz con solamente una zona y cada zona debe poseer al menos una interfaz.

2. Cuando se asigna más de una interfaz a una zona horaria, esas interfaces se enlazarán y actuarán como si fueran una parte de un interruptor.

Para cada interfaz disponible se muestra la información siguiente:



Una casilla de color, que indica qué zona sirve la interfaz. Si no tiene color, significa que la interfaz no está asignada a ninguna zona.



Puerto, el número de puerto.



Enlace, muestra el estado actual por medio de iconos: (el enlace está activo), (no hay enlace o no hay ningún cable conectado), (no hay información del controlador).



Descripción, la cadena de identificación PCI de la interfaz, tal como la devuelve lspci. La cadena se corta, pero puede verse

moviendo el cursor sobre el ?.



MAC, la dirección MAC de la interfaz.



Dispositivo, el nombre lógico del dispositivo.

Nota

El dispositivo Panda GateDefender maneja, de manera interna, todas las zonas como si fueran puentes, independientemente del

número de interfaces asignadas. Por lo tanto, el nombre Linux para las interfaces es

brX

y no

ethX

.

Por último, el nombre de host y el nombre de dominio del sistema pueden configurarse desde los dos cuadros de texto que se encuentran en la parte inferior de la pantalla.

Direcciones IP privadas

Se recomienda seguir el estándar descrito en el RFC 1918 (recién actualizado por el RFC 6761) y utilizar para la configuración de la zona solo las direcciones IP incluidas en los segmentos de red reservados para uso privado por la IANA, que son:

Desde 10.0.0.0 hasta 10.255.255.255 (10.0.0.0/8, 16.777.216 direcciones), desde 172.16.0.0 hasta 172.31.255.255 (172.16.0.0/12, 1.048.576 direcciones) y desde 192.168.0.0 hasta 192.168.255.255 ( 192.168.0.0/16, 65.536 direcciones)

Esta opción evita cometer errores de resolución de DNS, ya que las direcciones IP que no están dentro de estos rangos probablemente han sido reservadas por otras organizaciones como IP públicas. Además, deben utilizarse diferentes rangos de IP dentro de los diferentes segmentos de red para cada interfaz, por ejemplo:

IP = 192.168.0.1, máscara de red = /24 - 255.255.255.0 para la VERDE IP = 192.168.10.1, máscara de red = /24 - 255.255.255.0 para la NARANJA IP = 10.0.0.1, máscara de red = /24 - 255.255.255.0 para la AZUL

Nótese también que la primera y la última dirección IP de un segmento de red (generalmente .0 y .255) se reservan como la dirección de red y la dirección de transmisión respectivamente y no deberán asignarse a ningún dispositivo.

4/8 - Preferencias de acceso a Internet

Este paso permite configurar la interfaz ROJA que se eligió en el paso 1, que se conecta a Internet o a cualquier otra red no es de confianza fuera del dispositivo Panda GateDefender.

Nota

Si se ha elegido el modo Enrutada en el paso 1/8, aquí solo se puede elegir la opción de puerta de enlace predeterminada.

Según el tipo de interfaz ROJA seleccionado, estarán disponibles diferentes opciones de configuración, según lo solicite cada tipo de interfaz. En la parte inferior de la página aparecen dos opciones que suelen estar disponibles, concretamente MTU y Ocultar la dirección

MAC con, descritas más adelante, y la elección del DNS, disponible en casi todos los tipos de interfaz, que puede ser Dinámico o Manual: En último caso, debe proporcionarse de manera manual una dirección IP válida de un servidor DNS en el siguiente paso. Las

otras opciones de configuración son:

ETHERNET ESTÁTICA

La dirección IP y la máscara de red de la interfaz ROJA, así como también la dirección IP de la puerta de enlace por defecto, es decir, la dirección IP de la puerta de enlace que conecta al dispositivo Panda GateDefender con la Internet o con otra red que no es de confianza. Opcionalmente, se puede especificar la dirección Ethernet de hardware de la interfaz (dirección MAC).

ETHERNET DHCP

Solo existe una opción disponible, la opción DNS.

PPPoE

Para configurar PPPoE, rellene el formulario con el nombre de usuario y la contraseña asignados por el proveedor y con el método de autenticación. Opcionalmente, puede configurarse el servicio del proveedor y el nombre del concentrador, aunque por lo general no es necesario.

Sugerencia

Si duda entre seleccionar autenticación PAP o CHAP, elija la opción predeterminada.

ADSL (USB, PCI)

Existen 3 subpantallas para esta opción.

1. En la primera, seleccione el controlador apropiado para el módem del menú desplegable dentro de las opciones que se le ofrecen. 2. En la segunda, elija el tipo de ADSL del menú desplegable entre las cuatro opciones: PPPoA, PPPoE, IP estática o DHCP. 3. Finalmente, según la selección que usted haya hecho en los dos pasos previos, se requieren algunas de las siguientes

configuraciones, que se pueden preguntar al proveedor de ADSL:

o

Números VPI/VCI y el tipo de encapsulación

o

el nombre de usuario y la contraseña asignados por el proveedor y el método de autenticación (si no está seguro, mantenga la configuración PAP o CHAP por defecto)

o

la dirección IP y la máscara de red de la interfaz ROJA,

o

la dirección IP de la puerta de enlace por defecto (requerida solamente para la IP estática). Nota

Si se eligió PPPoE en el punto 2 más arriba, entonces la configuración es igual a la que se explica en el párrafo PPPoE.

ISDN

Para configurar la conexión ISDN, es necesario el controlador del módem, los números de teléfono (el número del proveedor y el número para marcar), así como también el nombre de usuario y la contraseña asignados por el proveedor, y el método de autenticación (si no está seguro, mantenga la configuración por defecto de PAP o CHAP). También debe especificar si la dirección IP del DNS debe asignarse de manera automática o configurarse de manera manual.

Módem ANALÓGICO/UMTS

Aunque el dispositivo Panda GateDefender es compatible con la mayoría de módems UMTS modernos, se requiere algo de cuidado cuando se utilizan junto con este dispositivo. Por un lado, algunos módems UMTS también son dispositivos de almacenamiento

masivo USB y generalmente registran dos dispositivos (p. ej.,

/dev/ttyUSB0

,

/dev/ttyUSB1

): En este caso, el primer dispositivo

/dev/ttyUSB0

es el módem, el segundo es el almacenamiento. Este tipo de módem puede causar problemas al reiniciar el firewall porque el dispositivo Panda GateDefender intenta iniciarse desde el dispositivo de almacenamiento masivo USB. Por otro lado, algunas tarjetas SIM requieren un número de identificación personal (PIN) para funcionar, pero esto no es compatible. Para permitir que esas tarjetas funcionen con el dispositivo Panda GateDefender, el PIN debe eliminarse de la tarjeta.

Existen 2 subpantallas para esta opción.

1. En la primera, especifique a qué puerto de serie se conecta el módem y si es un módem analógico o un módem UMTS/HSDPA.

Sugerencia

El dispositivo

/dev/ttyS0

se reserva para la consola de serie y, por lo tanto, no se encuentra disponible como puerto para módems.

2. En la segunda, configure el rango de bits del módem, el número telefónico o el nombre del hotspot, el nombre de usuario y la contraseña asignados por el proveedor y el método de autenticación (si no está seguro, mantenga la configuración por defecto PAP o CHAP). También es necesario especificar el nombre del hotspot para los módems UMTS.

PUERTA DE ENLACE

La dirección IP de la puerta de enlace - es decir, la dirección IP de la puerta de enlace que conecta al dispositivo Panda GateDefender a la Internet o a otra red que no es de confianza.

Las opciones comunes son:

MTU

El tamaño MTU de los paquetes que se envían a través de la red.

Suplantar la dirección MAC con

Especifique una dirección MAC personalizada para la interfaz ROJA. Se necesita esta configuración para un control de tolerancia de fallos apropiado de los dispositivos esclavos dentro de una configuración HA. Consultar Alta disponibilidad para obtener más información sobre la dirección ROJA en las configuraciones HA.

El tamaño MTU.

Aunque la gran mayoría de los ISPs utilizan un valor estándar de 1500 bytes, a veces el tamaño estándar MTU es demasiado alto. Si eso pasara, notará algún tipo de comportamiento extraño de la red, como por ejemplo, descargas que siempre se detienen después de un tiempo o conexiones que no funcionarán.

Si el ISP no utiliza un tamaño estándar MTU, es fácil descubrir cuál es el correcto enviando paquetes ICMP especiales con un valor específico que puede bajarse hasta que no se encuentren errores: En ese momento, el tamaño MTU será el correcto y deberá introducirse ese valor en las opciones de configuración.

Para enviar los paquetes icmp haga lo siguiente:

Regístrese en EFW y elija un host que puede alcanzarse (por ej.: el DNS del ISP, que siempre deberían poder alcanzarse) y haga un ping a ese host con el siguiente comando:

ping -c1 -M do -s 1460 <host> (por favor consulte la página del manual ping(8) para más información).

PING 10.10.10.10 (10.10.10.10) 1460(1488) bytes de datos. 1468 bytes de 10.10.10.10: icmp_seq=1 ttl=49 tiempo=75,2 ms

Sin embargo, si el tamaño actual MTU todavía es demasiado grande para los paquetes del tamaño 1460, aparecerá el siguiente mensaje de error:

PING 10.10.10.10 (62.116.64.82) 1.461(1.489) bytes de datos. ping: sendmsg: Mensaje demasiado largo

Vuelva a intentarlo con diferentes tamaños de paquete (es decir, el valor tras la opción -s), hasta que encuentre el tamaño correcto y no se muestre ningún error. El valor que se muestra entre paréntesis en el resultado del comando ping es el tamaño MTU. En este ejemplo el resultado es 1460(1488), por lo tanto 1488 es el valor a seleccionar para el tamaño MTU.

Un valor MTU menor a 1500 puede causar problemas también en la Configuración OpenVPN y requiere que se ajuste alguna configuración allí.

5/8 - Configurar DNS

Este paso permite definir hasta dos direcciones IP para el servidor DNS, salvo que se asignen de manera automática. En este caso, no se puede establecer ninguna opción de configuración y es seguro pasar a la siguiente. Si solo va a utilizarse un servidor DNS, debe introducirse la dirección IP dos veces. Se debe poder acceder a la dirección (o las direcciones) IP del DNS desde el dispositivo Panda GateDefender, de lo contrario, la resolución de la URL y del dominio no funcionará.

Ver también

Los cambios en la interfaz ROJA, es decir, el enlace, y el servidor DNS pueden modificarse posteriormente, por separado desde la otra configuración de red:

Editor de enlaces

Barra de menú ‣ Red ‣ Interfaces ‣ [editar enlace]

6/8 - Configurar correo electrónico administrativo por defecto

Aquí se realiza la configuración de una dirección de correo electrónico para un administrador global que utilizarán todos los servicios para enviar correos electrónicos. Entonces se utiliza la dirección de correo electrónico del administrador para enviar notificaciones en caso de que hubiere problemas o emergencias.Estas direcciones de correo electrónico las utilizarán las Notificaciones de eventos.

Existen tres campos a configurar:

Correo electrónico del administrador

Una dirección de correo electrónico válida a la cual se enviarán los correos electrónicos del sistema.

Dirección de correo electrónico del emisor

Una dirección de correo electrónico válida que aparece como la dirección del emisor. Una dirección personalizada para el emisor es útil si el receptor desea filtrar los mensajes que envía el dispositivo Panda GateDefender.

Dirección del smarthost

El servidor SMTP a través del cual se enviará el correo electrónico.

Sugerencia

Aunque todos los campos pueden dejarse en blanco, es aconsejable proporcionar al menos una dirección de correo electrónico del

7/8 - Aplicar la configuración

Este paso informa de que ha finalizado la configuración de la red y se ha recopilado toda la nueva configuración. Al hacer clic en el botón OK, aplicar configuración se guardarán las configuraciones y se aplicará la configuración al reiniciar todos los servicios y demonios necesarios.

8/8 - Fin

En el último paso, se escriben todos los archivos de configuración en el disco, todos los dispositivos se vuelven a configurar y los servicios y demonios que dependen de la red (por ejemplo, el firewall y ntpd) se reinician según sea necesario. Todo el proceso puede tardar hasta 20 segundos, durante los cuales la conexión a la interfaz de administrador y a través del dispositivo Panda GateDefender puede no ser posible.

Después la interfaz de administración volverá a cargar de manera automática. Si la dirección de IPVERDE ha cambiado, se reiniciará la GUI en la nueva dirección IP. En este caso o en el caso de que haya cambiado el nombre del host, se generará un nuevo certificado SSL para identificar al nuevo host.

Nota

Si desea cambiar más adelante algunas de las preferencias dentro de la configuración de red (por ej.: el nombre del host o el rango de red de una zona), simplemente inicie la configuración de red, omita todos los pasos hasta llegar al que desea cambiar, edite los valores apropiados, proceda al último paso y finalmente guarde los cambios.

Notificaciones de eventos

Siempre que se produzca un evento crítico en el dispositivo Panda GateDefender (por ejemplo, una partición se está llenando, o existen actualizaciones disponibles), existe la opción de recibir una notificación por correo electrónico de inmediato para adoptar medidas con el fin de resolver un problema si es necesario.

Los sistemas que presentan el Hotspot también utilizan SMS para la activación de nuevas cuentas o para la adquisición de nuevos tickets. Existen tres pestañas disponibles en la página: Configuración, Notificaciones por SMS y Eventos.

Configuración

La pestaña por defecto sirve para configurar la notificación por correo electrónico:

Notificaciones por correo electrónico

Seleccione de un menú desplegable cómo se utilizará el sistema de notificaciones. Las opciones disponibles son:



notificar utilizando la dirección de correo electrónico predeterminada: la dirección de correo electrónico de

administrador predeterminada (como se lo especificó en el asistente de instalación o en el paso 6 de Barra de menú ‣

Sistema ‣ Configuración de red).



notificar utilizando la dirección de correo electrónico personalizada: una dirección de correo electrónico alternativa a la

que se enviará la notificación por correo electrónico. En este caso, deben configurarse tres opciones más, a saber:

Dirección del remitente de correo

La dirección de correo electrónico que aparece como emisor del correo electrónico.

Dirección del destinatario de correo

La dirección de correo electrónico a la que se entregará el correo electrónico.

Smarthost de correo



no notificar: no se enviarán notificaciones.

SMS

El hotspot utiliza la notificación por SMS para activar cuentas o tickets.

Este cuadro se divide en dos partes: en la parte superior es posible añadir paquetes de SMS, mientras que en la parte inferior se muestra información sobre el contingente de SMS:

Introduzca el código de activación...

Para añadir un nuevo paquete de SMS, debe adquirirlo primero en la Panda Perimetral Management Console, tras lo cual se generará un código de activación. Ese código de activación debe introducirse en este cuadro de texto.

Activar

Después de proporcionar un código de activación válido, al hacer clic en este botón se añadirá un contingente de SMS que se utilizará para enviar las notificaciones.

SMS disponibles

El número de SMS que se encuentran a disposición.

SMS reservados

El número de SMS que ya se han utilizado pero que todavía no se han entregado al receptor. Esto podría ocurrir por ejemplo si el receptor no se encontraba disponible.

Eventos

Esta pestaña muestra una lista de todos los eventos que pueden producir un mensaje de notificación y permite configurar las acciones que deben realizarse cuando cada uno de los eventos tiene lugar. Justo encima de la lista aparece una barra de navegación pequeña y un campo de búsqueda. Este último se puede utilizar para filtrar solamente los elementos importantes.

La lista contiene tres columnas:

ID

El código ABBCCCCD de ID de 8 dígitos del evento, que se crea de la siguiente manera:



A representa el número de capa, es decir, en qué componente del sistema ha tenido lugar el evento: 1 es el kernel, 2 es el propio sistema, 3 son los servicios, 4 es configlayer y 5 es la GUI.



BB es el número de módulo.



CCCC es un número secuencial asignado al evento.



D es la gravedad del evento, es decir, el grado de maldad del evento. Cuanto más bajo sea el número, peor será la gravedad: 0 es un evento crítico, 4-5 es un evento neutral, 9 es un evento positivo.

Descripción

Una breve descripción del evento.

Acciones

Las acciones que pueden tomarse para cada evento. Todas las notificaciones de correo electrónico están activadas de forma predeterminada (esto se muestra mediante el icono ). Para desactivar las notificaciones para un evento, haga clic en el icono de correo de la fila de ese evento (esto cambia el icono a ). Para volver a activar la notificación más tarde, basta