Endian Firewall Manual de Refer en CIA r

8/3/2019 Endian Firewall Manual de Refer en CIA r

1/94

Endian Firewall Manual dereferencia r. 2.2.1.9

. Copyright (c) 2008 Endian srl, ItaliaSe concede permiso para copiar, distribuir y / o modificar este documento bajo los trminos de laGNU Free Documentation License, Version 1.2 o cualquier otra versin posterior publicada por la FreeSoftware Foundation, sin Secciones Invariantes ni Textos de Cubierta Delantera ni Textos de CubiertaTrasera. Una copia de la licencia est incluida en la seccin titulada "GNU Free DocumentationLicense".

ndice

Captulo 1: El men del sistema

Seleccione SISTEMA en la barra de men en la parte superior de la pantalla.

Los siguientes enlaces aparecern en un submen en el lado izquierdo de la pantalla. Que permiten laadministracin de base y monitoreo de su Endian Firewall.

INICIO - Sistema de conexin a Internet y una visin general de estado CONFIGURACIN DE LA RED - la red y la interfaz de configuracin SOPORTE - formulario de solicitud de ENDIAN RED - Red Endianinformacin de registro CONTRASEAS - contraseas conjunto del sistema ACCESO SSH - enable / configure Secure Shell (SSH) el acceso a su Endian Firewall GUI AJUSTES - como idioma de la interfaz COPIA DE SEGURIDAD - backup / restore Endian Firewallajustes, as como restablecer los valores de

fbrica APAGAR - apagar / reiniciar su Endian Firewall CRDITOS - gracias a todos los contribuyentes

Cada enlace se explican por separado en las secciones siguientes.

Casa
http://docs.endian.com/archive/2.2/efw.index.htmlhttp://docs.endian.com/archive/2.2/efw.index.htmlhttp://docs.endian.com/archive/2.2/efw.index.html


2/94

Seleccione SISTEMA en la barra de men en la parte superior de la pantalla, a continuacin,seleccione INICIO en el submen en el lado izquierdo de la pantalla.

Esta pgina muestra un resumen de la conexin de subida (s) y la salud general del sistema.

Una tabla se muestra, detallando el estado de conexin de cada subida. Por lo general, usted slover un enlace ascendente de una sola llamada PRINCIPAL , ya que es el enlace ascendenteprincipal. De particular inters es el campo de estado del enlace ascendente individual:

DETENIDO - La subida no est conectado.

CONEXIN - La subida es actualmente de conexin.

CONECTADO - El enlace ascendente est conectado y en plenofuncionamiento.

DESCONEXIN - La subida es actualmente dedesconexin. Endian Firewallmantiene ping a lapuerta y anuncia cuando est disponible.

FRACASO - Hubo un error al conectar el enlace ascendente.

SI NO, VOLVER A CONECTAR - Hubo un fallo al conectar con el enlaceascendente. Endian Firewalles intentarlo denuevo.

LINK MUERTO - El enlace ascendente est conectado, pero loslocales que se definieron en LARED , INTERFACES para comprobar la conexin

no pudo ser. Bsicamente, esto significa que lasubida no es operativo.

Cada enlace ascendente puede ser operado en modo gestionado (por defecto) o el modo manual. Enel modo logr Endian Firewallmonitoriza y reinicia el enlace ascendente de forma automtica cuandosea necesario. Si est desactivado el modo administrado, la subida puede ser activada o desactivadade forma manual. No habr ningn intento de reconexin automtica si se pierde la conexin.

Finalmente, despus de la mesa de enlace ascendente, se puede encontrar una lnea del sistema desalud, que es similar al siguiente ejemplo:

EFW-1203950372.localdomain - 13:45:49 hasta 1 minuto, 0 usuarios, carga

promedio: 1.89 4.84, 0.68

Esto es bsicamente el resultado de la Linux el tiempo de actividad del comando. Se

muestra la hora actual, los das / horas / minutos que Endian Firewallha estado funcionando sinreiniciar el sistema, el nmero de inicios de sesin de la consola y la carga media de los ltimos 1, 5,y 15 minutos.

Configuracin de la red


3/94

Seleccione SISTEMA en la barra de men en la parte superior de la pantalla, a continuacin,seleccione CONFIGURACIN DE RED en el submen en el lado izquierdo de la pantalla.

Configuracin de la red y la interfaz es rpida y fcil con el asistente proporcionada en estaseccin. El asistente se divide en varios pasos: puede desplazarse hacia atrs y adelante conel > botones. Puede navegar libremente todos los pasos y decide cancelar sus acciones

en cualquier momento. Slo en el ltimo paso se le pedir que confirme la nueva configuracin. Si seconfirma, la nueva configuracin se aplicar. Esto puede llevar algn tiempo durante el cual lainterfaz web no puede responder.

A continuacin se presenta una lista detallada de cada paso del asistente.

Elija el tipo de interfaz RED

Cuando Endian Firewallse instal, la interfaz de red de confianza (denominado GREEN interfaz) yaha sido elegido y creado.

Esta pantalla permite seleccionar la interfaz de red no es confiable (la llamada RED interface): el queconecta su Endian Firewall. al "exterior" (por lo general el enlace ascendente con su proveedor deinternet) Endian Firewalles compatible con los siguientes tipos de REDinterfaces:

ETHERNETSTATIC - Desea utilizar un adaptador de Ethernet y quenecesita para configurar la informacin de red(direccin IP y mscara de red) de formamanual. Este suele ser el caso cuando seconecta a su RED de interfaz a un simple routermediante un cable Ethernet cruzado.

ETHERNETDHCP - Desea utilizar un adaptador Ethernet que recibeinformacin de la red a travs de DHCP. Estesuele ser el caso cuando se conecta asu RED de interfaz a un cable de mdem /router ADSL / RDSI del router mediante uncable Ethernet cruzado.

PPPOE - Desea utilizar un adaptador de Ethernet que seconecta mediante un cable cruzado de Etherneta un mdem ADSL. Tenga en cuenta que estaopcin slo es necesario si el mdem utiliza elmodo de puente y se requiere su cortafuegospara usar PPPoE para conectarse a su

proveedor. Preste atencin para no confundiresta opcin con la ESTATICAETHERNET o ETHERNET DHCP opciones paraconectar a routers ADSL que manejan lospropios PPPoE.

ADSL(USB,PCI) - Desea utilizar un mdem ADSL (dispositivos USBo PCI).


4/94

RDSI - Desea utilizar un adaptador RDSI.

ANALGICO/UMTSMODEM - Desea utilizar un mdem analgico (dial-up) oUMTS (telfono mvil).

PUERTADEENLACE - Su Endian Firewallno tiene RED interfaz. Estoes inusual ya que un firewall normalmente tiene

que tener dos interfaces de por lo menos - paraalgunos escenarios de esta tiene sentido sinembargo. Un ejemplo sera si desea utilizar sloun servicio especfico del firewall. Otro ejemplo,ms sofisticado es un EndianFirewallcuyaAZUL zona est conectada atravs de una VPN con elVERDE interfaz desegundo Endian Firewall. El firewall delsegundoVERDEdireccin IP puede ser utilizadacomo un enlace ascendente de copia deseguridad en el primer cortafuegos. Si elige esta

opcin, tendr que configurar una puerta deenlace predeterminada en el futuro.

Elegir zonas de la red

Endian Firewalltoma IPCop idea de las diferentes zonas. En este punto usted ya ha encontrado lasdos zonas ms importantes:

VERDE - es el segmento de red de confianza.

RED - es el segmento de red de confianza.

Este paso le permite aadir una o dos zonas adicionales, siempre que disponga de las interfacessuficiente. Zonas disponibles son:

ORANGE - es la zona desmilitarizada (DMZ). Si losservidores host, es recomendable paraconectarse a una red diferente asuVERDE red. Si un atacante logra entrar enuno de sus servidores, l o ella se encuentraatrapada dentro de la DMZ y no se puedeobtener informacin sensible de los equiposlocales en suVERDE zona.

AZUL - es la zona de conexin inalmbrica(WLAN). Puede conectar un punto de accesohotspot WiFi o de una interfaz asignada a estazona. Las redes inalmbricas no son seguras amenudo - por lo que el objetivo es atrapar atodos los equipos conectados de formainalmbrica en su propia zona sin acceso aninguna otra zona, excepto rojo (por defecto).


5/94

Tenga en cuenta que una interfaz de red est reservada para elVERDE zona. Otro que ya se lepuede asignar a la RED la zona si se ha seleccionado una RED tipo de interfaz que requiere unatarjeta de red. Esto podra limitar sus opciones de aqu al punto de que no se puede elegirun ORANGE o BLUE zona debido a la falta de interfaces de red adicionales.

Preferencias de red

Este paso le permite configurar elVERDE zona y cualquier otra zona adicional que podra habercreado en el paso anterior ( naranja o azul ).

Cada zona est configurada en su propia seccin con las siguientes opciones:

DIRECCIN IP - Especificar una direccin IP (por ejemplo,192.168.0.1). Preste atencin a no utilizardirecciones que ya estn en uso en sured. Tienes que ser especialmente cuidadoso alconfigurar las interfaces de la GREEN zona paraevitar el bloqueo mismo de la interfaz web! Sicambia las direcciones IP de Endian Firewallenun entorno de produccin, es posible quenecesite ajustar la configuracin de otroslugares, por ejemplo la configuracin del proxyHTTP en los navegadores web.

MSCARA DE RED - Especifique la mscara de CIDR / red de unaseleccin de mscaras posible (por ejemplo / 24- 255.255.255.0). Es importante utilizar lamisma mscara para todos los dispositivos en lamisma subred.

SI DESEA MS DIRECCIONES - Puede aadir direcciones IP adicionales a partirde diferentes subredes a la interfaz de aqu.

INTERFACES - Mapa de las interfaces de las zonas. Cadainterfaz puede ser asignada a una sola zona ycada zona debe tener al menos una interfaz. Sinembargo, es posible asignar ms de una interfaza una zona. En este caso, estas interfaces sonun puente entre s y actan como si fueranparte de un interruptor.Todas las interfaces se muestran en la etiquetacon su nmero de identificacin del PCI, ladescripcin del dispositivo quedevuelve lspci y sus direcciones MAC. El

smbolo muestra el estado del enlace actual:una tickmark muestra que el enlace est activo,una X significa que no hay enlace y un signo deinterrogacin le dir que el conductor noproporcionar esta informacin.


6/94

Tenga en cuenta que Endian Firewallinterno se ocupa de todas las zonas de puentes, sin importar elnmero de interfaces asignadas. Por lo tanto el nombre de las interfaces de Linux es BRX ,no ethX .

Adems, el host del sistema y el nombre de dominio se puede configurar en la parte inferior de lapantalla.

Es necesario utilizar direcciones IP en diferentessegmentos de red para cada interfaz, porejemplo: IP = 192.168.0.1, mscara de red = / 24- 255.255.255.0 para GREEN IP = 192.168.10.1,mscara de red = / 24 - 255.255.255.0para ORANGE IP = 10.0.0.1, la mscara de red =

/ 24 - 255.255.255.0 para BLUE Se sugiere seguirlas normas descritas en RFC1918 y el uso de lasdirecciones IP contenidas en las redes reservadasal uso privado de la Asignacin de nmeros deInternet (IANA) : 10.0.0.0 - 10.255.255.255(10.0.0.0 / 8), 16.777.216 direcciones 172.16.0.0- 172.31.255.255 (172.16.0.0/12), 1.048.576direcciones 192.168.0.0 - 192.168.255.255(192.168.0.0/16), 65.536 direcciones de laprimera y la ltima direccin IP de un segmentode red son la direccin de red y la direccin dedifusin, respectivamente, y no debe ser asignadoa cualquier dispositivo.

Las preferencias de acceso a Internet

Este paso le permite configurar la RED interfaz, que se conecta a Internet oa cualquier otra red no esde confianza fuera de Endian Firewall.

Usted encontrar diferentes opciones de configuracin en esta pgina, dependiendo del tipo dela RED de interfaz que ha elegido antes. Algunos tipos de interfaces requieren ms pasos de


7/94

configuracin que otros. A continuacin se muestra una descripcin de la configuracin para cadatipo.

ETHERNETSTATIC - Es necesario introducir la direccin IP y mscarade red de la RED de la interfaz, as como la

direccin IP de su puerta de enlacepredeterminada - es decir, la direccin IP de lapasarela que conecta su Endian FirewallaInternet oa otra red insegura. Si lo desea,tambin puede especificar la MTU (MaximumTransmission Unit) y la direccin hardwareEthernet (direccin MAC) de la interfaz - por logeneral esto no es necesario.

ETHERNETDHCP - Slo tiene que especificar si desea DHCP paraconfigurar la direccin IP del servidor DNS(Domain Name Server) de forma automtica o sidesea que ajustarlo manualmente.

PPPOE - Es necesario introducir el nombre de usuario ycontrasea asignado por su proveedor, elmtodo de autenticacin (si es que no ssi PAP o CHAP se aplica, mantenga el valorpredeterminado PAP O CHAP ) y si desea que ladireccin IP del servidor DNS (Domain Nameservidor) que se asignar de forma automtica osi desea configurar manualmente. Si lo desea,tambin puede especificar la MTU (MaximumTransmission Unit) y el servicio de su proveedory el nombre del concentrador - por lo generalesto no es necesario.

ADSL(USB,PCI) - Hay tres sub-pantallas para esta eleccin.En primer lugar es necesario seleccionar elcontrolador apropiado para su mdem.Luego hay que seleccionar el tipo de

ADSL: PPPOA , PPPOE , RFC1483IPESTTICA o DHCPRFC1483 .

A continuacin, es necesario proporcionaralgunas de las siguientes opciones (en funcinde los campos de tipo ADSL estn disponibles ono): los nmeros VPI / VCI, as como el tipo deencapsulacin, el nombre de usuario ycontrasea asignado por su proveedor y elmtodo de autenticacin (si no sabersi PAP o CHAP se aplica, utilice la opcinpredeterminada PAP O CHAP ), la direccin IP ymscara de red de la RED de la interfaz, ascomo la direccin IP de su puerta de enlacepredeterminada ( RFC UNO MIL CUATROCIENTAS


8/94

OCHENTA Y TRES IP ESTTICA nica), si desea quela direccin IP del DNS (Domain Name Server)que se asignar de forma automtica o si deseaconfigurarlo manualmente. Si lo desea, tambinpuede especificar la MTU (Maximum

Transmission Unit) - por lo general esto no esnecesario.

RDSI - Es necesario seleccionar el controlador delmdem, nmeros de telfono (nmero de suproveedor y el nmero que se utiliza paramarcar), as como el nombre de usuario ycontrasea que se han asignado a usted por suproveedor y el mtodo de autenticacin (si nosabes si PAP o CHAP se aplica, utilice la opcinpredeterminada PAP O CHAP ). Tambin puedeespecificar si desea que la direccin IP delservidor DNS (Domain Name Server) que seasignar de forma automtica o si deseaconfigurar manualmente. Si lo desea, tambinpuede especificar la MTU (MaximumTransmission Unit) - por lo general esto no esnecesario.

ANALGICO/UMTSMODEM - Hay dos sub-pantallas para esta eleccin.En primer lugar es necesario especificar elpuerto serie el mdem est conectado y si setrata de un simple mdem analgico o unmdem UMTS / HSDPA. Tenga en cuenta que /dev/ttyS0 se utiliza normalmente como una

consola de serie y por lo tanto no disponiblepara modems.

A continuacin, debe especificar el mdem develocidad de bits, el nmero de telfono deacceso telefnico o el nombre del punto deacceso, el nombre de usuario y contrasea quese han asignado a usted por su proveedor y elmtodo de autenticacin (si es que no ssi PAP o CHAP se aplica, utilice la opcinpredeterminada PAP O CHAP ). Tambin puedeespecificar si desea que la direccin IP del

servidor DNS (Domain Name Server) que seasignar de forma automtica o si deseaconfigurar manualmente. Para mdems UMTS,tambin es necesario especificar el nombre delpunto de acceso. Si lo desea, tambin puedeespecificar la MTU (Maximum Transmission Unit)- por lo general esto no es necesario.Por favor, lea la siguiente nota de los problemas


9/94

con los mdems.

PUERTADEENLACE - Slo tiene que especificar la direccin IP de supuerta de enlace predeterminada - es decir, ladireccin IP de la pasarela que conectasu Endian Firewalla Internet oa otra red

insegura.

Algunos modernos mdems UMTS son losdispositivos USB de almacenamiento masivotambin. Estos mdems suelen registrar en dosdispositivos (por ejemplo, / dev/ttyUSB0 , /dev/ttyUSB1 ). En este caso, el segundo

dispositivo es el mdem. Este tipo de mdempuede causar problemas al reiniciar el servidor deseguridad porque el firewall trata de arrancar

desde el dispositivo de almacenamiento masivoUSB. tarjetas SIM que requieren un nmero deidentificacin personal (PIN) no son compatiblescon Endian Firewall.

Configure la resolucin de DNS

Este paso le permite definir hasta dos direcciones de DNS (Domain Name Server), a menos que seasignan automticamente. En caso de un solo servidor de nombres se utilizan es necesario paraentrar en la misma direccin IP en dos ocasiones. Las direcciones IP que se introducen deben seraccesibles desde esta interfaz.

Aplicar la configuracin

Este ltimo paso le pide que confirme la nueva configuracin.

Haga clic en elACEPTAR, APLICAR LA CONFIGURACIN para ir por delante. Una vez que hayas hecho

esto, el asistente de red a escribir todos los archivos de configuracin en el disco, vuelva a configurartodos los dispositivos necesarios y reiniciar todos los servicios en funcin.Esto puede tomar hasta 20segundos, durante el cual no puede ser capaz de conectarse a la interfaz de administracin y por uncorto tiempo sin conexiones a travs del firewall son posibles.

La interfaz de administracin se volver a cargar automticamente. Si ha cambiado la direccin IP dela GREEN interfaz de la zona, usted ser redirigido a la nueva direccin IP. En este caso, y / o si hacambiado el nombre de host de un certificado SSL nuevo se generar.

Apoyo


10/94

Seleccione SISTEMA en la barra de men en la parte superior de la pantalla, a continuacin,seleccione SOPORTE en el submen en el lado izquierdo de la pantalla.

La solicitud de apoyo se pueden crear directamente desde esta pantalla. Rellene toda la informacinnecesaria y presentar su solicitud. Un miembro del equipo de soporte Endian se comunicar conusted tan pronto como sea posible. Por favor proporcione una descripcin detallada del problema afin de ayudar al equipo de apoyo para resolver el problema lo ms rpido posible.

Si lo desea, puede conceder acceso a su servidor de seguridad a travs de SSH (secure shell). Esta esuna conexin encriptada y segura que permite a personal de apoyo para acceder a su EndianFirewallpara comprobar la configuracin, etc Esta opcin est desactivada por defecto. Cuando estactivada, la clave pblica del equipo de soporte de SSH se copia en el sistema y el acceso se concedea travs de esa clave. La contrasea de root no se indica de ninguna manera.

Red Endian

Seleccione SISTEMA en la barra de men en la parte superior de la pantalla, a continuacin,seleccione LA RED ENDIAN en el submen en el lado izquierdo de la pantalla.

Su Endian Firewallpuede conectarse a la red Endian(EN). Endian Networkpermite el control fcil ycentralizada, administracin y actualizacin de todos sus Endian Firewallsistemas con slo unos clics.

Esta pantalla contiene tres pestaas.

El SUSCRIPCIONES pestaa muestra un resumen de su red Endianestado de la asistencia. La ltima

seccin se enumeran las claves de activacin. Se necesita al menos una clave de activacin vlida (nocaducado) para recibir actualizaciones de y participar en la Red Endian.Hay una clave para cada

canal de soporte (por lo general slo una).Si el firewall no se ha registrado el formulario de registro se muestra.

El ACCESO REMOTO ficha permite especificar si su Endian Firewallpuede ser alcanzado a travs de la

red Endianen absoluto, y si es as, a travs de qu protocolo: HTTP significa que la interfaz web sepuede llegar a travs de la red Endiany SSH significa que es posible acceder a travs de Secure Shella travs de la red Endian.

LaACTUALIZACIN DE ficha muestra y controla el estado de actualizacin de su sistema. Hay tres

secciones.

En primer lugar, al pulsar el COMPROBAR NUEVAS ACTUALIZACIONES! botn se acceder a los canalesde soporte en busca de nuevas actualizaciones. Si se encuentra alguna actualizacin que seenumeran (las actualizaciones se distribuyen como paquetes RPM). Al pulsar elPROCESO DEACTUALIZACIN COMIENCEAHORA! botn instalar todos los paquetes actualizados.

En segundo lugar - para ahorrar algo de tiempo - el sistema recupera la lista de actualizaciones deforma automtica. Usted puede elegir el intervalo que se horaria, diaria, semanal (por defecto) omensual - no te olvides de hacer clic en GUARDAR para guardar la configuracin.


11/94

En tercer lugar, presionando FIRMASACTUALIZAR AHORA usted puede actualizar las firmas de antivirus

ClamAV. Esto slo funciona si ClamAV est en uso, por ejemplo, en combinacin con el correoelectrnico o un proxy HTTP.

Contraseas

Seleccione SISTEMA en la barra de men en la parte superior de la pantalla, a continuacin,seleccione CONTRASEAS en el submen en el lado izquierdo de la pantalla.

Puede cambiar una contrasea en un tiempo aqu. Especificar cada nueva contrasea dos veces ypulse GUARDAR . Los usuarios estn disponibles las siguientes:

Admin - el usuario que puede conectarse a la interfaz web de administracin. Raz - el usuario quepuede iniciar sesin en el shell de administracin. Los inicios de sesin se pueden hacer localmenteen la consola, a travs de la consola de serie o de forma remota a travs de SSH (secure shell) si seha activado. Marcacin - el Endian Firewallde usuario del cliente.

Acceso SSH

Seleccione SISTEMA en la barra de men en la parte superior de la pantalla, a continuacin,seleccione EL ACCESO SSH en el submen en el lado izquierdo de la pantalla.

Esta pantalla le permite activar a distancia SSH (secure shell) el acceso a su Endian Firewall. Estoest desactivado por defecto, que es la configuracin recomendada.el acceso SSH est siempre en cuando uno de los siguientes:

Acceso Endian equipo de apoyo est permitido en el SISTEMA , DE APOYO . El acceso SSH est activado en el SISTEMA , RED ENDIAN , ACCESO REMOTO . La alta disponibilidad est habilitado en LOS SERVICIOS , DE ALTA DISPONIBILIDAD .

Algunas opciones de SSH se puede establecer:

SSH VERSIN 1 DEL PROTOCOLO - Esto slo es necesario para los viejos clientesSSH que no son compatibles con las nuevasversiones del protocolo SSH. Esto esttotalmente desaconsejada ya que existen

vulnerabilidades conocidas en SSH versin 1 delprotocolo.Usted no debe actualizar los clientesSSH versin 2, si es posible.

TCP REENVO - Seleccione esta opcin si usted necesita parahacer un tnel a travs de otros protocolosSSH. Consulte la nota de abajo para un ejemplode casos de uso.

CONTRASEA DE AUTENTICACIN - Permitir inicios de sesin a travs de la


12/94

autenticacin de contrasea.

AUTENTICACIN DE CLAVE PBLICA - Permitir inicios de sesin a travs de clavespblicas. Las claves pblicas se debe agregara / root / .ssh /authorized_keys .

Finalmente hay una seccin que detalla las claves pblicas SSH de esta Endian Firewallque se hangenerado durante el primer proceso de arranque.

Suponga que tiene un servicio como telnet (ocualquier otro servicio que pueden ser canalizadasa travs de SSH) en un equipo dentro desu verde la zona, por ejemplo el puerto 23 en elhost 10.0.0.20. As es como se puede configurarun tnel SSH a travs de su Endian Firewallpara

acceder al servicio de forma segura desde fuerade la LAN. 1. Habilitar SSH y asegrese de que sepuede acceder (ver CORTAFUEGOS , ACCESO ALSISTEMA ). 2.desde un sistema externo conectarsea su Endian Firewallusando ssh-N-f-L12345: 10.0.0.20:23 root @

endian_firewall donde -N no dice

SSH para ejecutar comandos, pero slo parareenviar el trfico, -ffunciona SSH en el fondoy -L 12345:10.0.0.20:23 mapas de

puertos del sistema externo de 12345 al puerto 23

en 10.0.0.20 como se puede ver desde su EndianFirewall. 3. El tnel SSH desde el puerto 12345del sistema externo al puerto 23 en el host10.0.0.20 se ha establecido. En este ejemplo,ahora puede telnet al puerto 12345 de localhostpara llegar a 10.0.0.20.

GUI ajustes


13/94

Seleccione SISTEMA en la barra de men en la parte superior de la pantalla, a continuacin,seleccione LA CONFIGURACIN GUI en el submen en el lado izquierdo de la pantalla.En el comunicado de la comunidad tambin es posible hacer clic en la AYUDA PARA TRADUCIR ESTEPROYECTO DE enlace que abrir la Endian firewallpgina de traduccin. Cualquier ayuda se agradece.

Dos opciones con respecto a la interfaz web se puede configurar en esta pantalla: si se muestra elnombre de host en el ttulo de la ventana del navegador y el idioma de la interfaz web (Ingls,alemn e italiano son soportados actualmente).

De reserva

Seleccione SISTEMA en la barra de men en la parte superior de la pantalla, a continuacin,seleccione COPIA DE SEGURIDAD en el submen en el lado izquierdo de la pantalla.

En esta seccin usted puede crear copias de seguridad de Endian Firewallde configuracin yrestaurar el sistema a una de estas copias de seguridad cuando sea necesario. Copias de seguridad

se pueden guardar localmente en el Endian Firewallde acogida, a una memoria USB o descargar ensu ordenador. Tambin es posible restablecer la configuracin predeterminada de fbrica y crearcopias de seguridad totalmente automatizado.

Los grupos de respaldo

Al hacer clic en la COPIA DE SEGURIDAD CREAR NUEVO botn de un cuadro de dilogo se abre, donde

puede configurar la instantnea del nuevo sistema:

CONFIGURACIN - incluye todas las configuraciones y los ajustesque haya realizado, que es el contenido del

directorio / var / EFW .

DEPSITOS DE LA BASE DE DATOS - incluye un volcado de base de datos, queincluye por ejemplo la informacin contablehotspot.

LOS ARCHIVOS DE REGISTRO - incluye los archivos de registro actuales

REGISTRO DE ARCHIVOS - incluye a antiguos archivos de registro, copiasde seguridad con esta opcin activada recibirmuy grande despus de algn tiempo

OBSERVACIN - un comentario adicional se puede agregar aqu

Haga clic en la COPIA DE SEGURIDAD CREAR NUEVO botn de nuevo para seguir adelante y crear lacopia de seguridad.

A continuacin se presenta la lista de copias de seguridad disponibles (inicialmente vaca): se puedeoptar por descargar, borrar o restaurar haciendo clic en el icono apropiado en la lista. Cada copia deseguridad se anota con cero o ms de las siguientes banderas:

S - Ajustes. La copia de seguridad contiene las


14/94

configuraciones y los ajustes.

D - Base de datos. La copia de seguridad contieneun volcado de base de datos.

E - Encriptado. El archivo de copia de seguridadencriptada.

L - Los archivos de registro. La copia de seguridadcontiene archivos de registro.

A - Archivo. La copia de seguridad contiene losarchivos antiguos de registro.

! - Error! El archivo de copia de seguridad estdaado.

C - Crea automticamente. La copia de seguridad seha creado automticamente por un trabajo decopia de seguridad programada.

U - Esta copia de seguridad se ha guardado en una

memoria USB.

Cifrar copia de seguridad

Puede proporcionar una clave pblica GPG que se utiliza para cifrar todas las copias deseguridad. Seleccione su clave pblica, haga clic en el NAVEGAR botn y elegir el archivo de clave del

sistema de archivos local. Asegrese de CIFRAR ARCHIVOS DE COPIA DE SEGURIDAD estactivada. Confirmar y cargar el archivo de clave, haga clic en GUARDAR .

Importar archivos de copia de seguridad

Usted puede cargar una copia de seguridad previamente descargado. Seleccione la copia deseguridad haciendo clic en el NAVEGAR botn y elegir el archivo de copia de seguridad de su sistema

de archivos local. Rellene el OBSERVACIN de campo para el nombre de la copia de seguridad ycargar haciendo clic en GUARDAR .

No es posible la importacin de copias de seguridad cifradas. Usted debe descifrar como copias deseguridad antes de subirlos.

La copia de seguridad aparece en la lista de copia de seguridad anterior. Ahora puede elegir pararestaurarlo haciendo clic en el icono de la restauracin.

Restaurar los valores predeterminados de fbrica

Al hacer clic en la FBRICA POR DEFECTO botn le permite resetear la configuracin de Firewall Endian

a valores de fbrica y reiniciar el sistema inmediatamente despus. Una copia de seguridad de laconfiguracin viejo es guardado automticamente.

Copias de seguridad programadas

Seleccione la COPIA DE SEGURIDAD PROGRAMADA pestaa si desea activar y configurar copias de

seguridad automatizadas.


15/94

En primer lugar, activar y configurar copias de seguridad automticas. Usted puede elegir lo que debeser parte de la copia de seguridad: la configuracin, los vertederos de la base de datos, archivos deregistro y archivos de registro antiguos como se ve en losCONJUNTOS DE COPIA DE la seccin. Tambin

puede elegir la forma de copias de seguridad que usted desea guardar (2.10) y el intervalo entrecopias de seguridad (cada hora, diario, semanal o mensual). Cuando haya terminado haga clic enel GUARDAR botn.

A continuacin, puede indicar al sistema si desea o no copias de seguridad de correo electrnico. Siusted desea recibir por correo electrnico copias de seguridad se puede activar esta funcin yseleccionar la direccin de correo electrnico del destinatario. A continuacin, puede GUARDAR laconfiguracin. Tambin hay una COPIA DE SEGURIDAD AHORA ENVIAR UN botn que se guardar la

configuracin y tratar de enviar un correo electrnico con la copia de seguridad inmediatamente, porlo que puede probar el sistema.Opcionalmente, tambin puede proporcionar una direccin de correoelectrnico del remitente (esto se debe hacer si su dominio o nombre de host no se pueden resolverpor su DNS) y la direccin de una pasarela para ser utilizado (en caso de que quiera ir a todo elcorreo saliente a travs de sus compaas de servidor SMTP, en lugar de ser enviados directamentepor su Endian Firewall). Si el proxy SMTP est deshabilitado, es absolutamente necesario para aadir

una pasarela para poder enviar correos electrnicos.

Cierre

Seleccione SISTEMA en la barra de men en la parte superior de la pantalla, a continuacin,seleccioneAPAGAR en el submen en el lado izquierdo de la pantalla.

En esta pantalla se puede apagar o reiniciar su Endian Firewall, haga clic en el APAGADO oel REINICIO botn respectivamente.

Crditos

Seleccione SISTEMA en la barra de men en la parte superior de la pantalla, a continuacin,seleccione CRDITOS en el submen en el lado izquierdo de la pantalla.

Esta pantalla muestra la lista de personas que llev a Endian Firewallpara usted.

Captulo 2: El men de estado

Seleccione ESTADO de la barra de men en la parte superior de la pantalla.


16/94

Los siguientes enlaces aparecern en un submen en el lado izquierdo de la pantalla. Daninformacin detallada del estado sobre los distintos aspectos de su Endian Firewall:

EL ESTADO DEL SISTEMA - los servicios, recursos, tiempo de actividad, del ncleo ESTADO DE LA RED - Configuracin de interfaces de red, la tabla de enrutamiento y la cach ARP LOS GRFICOS DEL SISTEMA - los grficos de uso de los recursos LOS GRFICOS DE TRFICO - los grficos de uso de ancho de banda GRFICOS PROXY - grfico de las estadsticas de acceso HTTP proxy durante las ltimas 24 horas CONEXIONES - lista de todos los abiertos TCP / IP OPENVPN CONEXIONES - lista de todas las conexiones OpenVPN ESTADSTICAS DE CORREO SMTP - SMTP Proxy grfico de las estadsticas del filtro durante el ltimo

da / semana / mes / ao COLA DE CORREO - cola del servidor de correo SMTP


Estado del sistemaSeleccione ESTADO de la barra de men en la parte superior de la pantalla, a continuacin,seleccione EL ESTADO DEL SISTEMA en el submen en el lado izquierdo de la pantalla.

Esta pantalla se divide en las siguientes secciones (accesible a travs de pestaas o eldesplazamiento):

SERVICIOS - muestra el estado de todos los serviciosinstalados en Endian Firewall- un servicio podraaparecer como DETENIDO , simplemente

porque la funcin correspondiente no esthabilitada.

MEMORIA - esta es la salida de la Linux sin mando. La

primera barra muestra la memoria totalutilizada: es normal que este valor se aproximaal 100% para un sistema de larga duracin, yaque el kernel de Linux utiliza toda la memoriaRAM disponible como cach de disco. Lasegunda barra muestra la memoria realmenteutilizada por los procesos de: idealmente estodebera ser inferior al 80% para mantener algo

de memoria disponible para almacenamiento encach de disco - si este valor se aproxima al100%, el sistema se ralentizar debido a losprocesos activos se intercambian en el disco:debe tener en cuenta mejora de RAMentonces. La tercera barra indica el uso de lazona. Para que un sistema de larga data que esnormal para ver el uso del intercambio


17/94

moderado (el valor debe ser inferior al 20%),especialmente si no todos los servicios seutilizan todo el tiempo.

EL USO DEL DISCO - esta es la salida de la Linux df de

comandos. Se muestra el espacio en disco para

cada particin de disco ( / , / boot y /var para una instalacin por defecto). / y /boot debe ser bastante constante, /var crece mientras se utiliza el sistema.

EL TIEMPO DE ACTIVIDAD Y DE LOS USUARIOS - esta es la salida de la Linux w comando. En ella

se informa de la hora actual, la informacinsobre el tiempo que el sistema ha estadofuncionando sin reiniciar el sistema, el nmerode usuarios de sistemas operativos queactualmente se registran en el sistema (por logeneral no debera haber ninguna) y el

promedio de carga del sistema en los ltimos 1,5 y 15 minutos. Adems, si cualquier usuario deshell se registra en el sistema, algunainformacin sobre el usuario en la pantalla(como el host remoto desde el que l o ella estconectado).

MDULOS CARGADOS - esta es la salida de laLinux lsmod comando. Muestra los mdulos

del kernel cargado (la informacin es de interspara usuarios avanzados).

VERSIN DEL KERNEL - esta es la salida de la Linux uname-r del

comando. Se muestra la versin actual delkernel.

Estado de la red

Seleccione ESTADO de la barra de men en la parte superior de la pantalla, a continuacin,seleccione ESTADO DE LA RED en el submen en el lado izquierdo de la pantalla.

Esta pgina muestra la salida de los comandos de Linux show ip addr (interfaces Ethernet,

puentes y dispositivos virtuales), el estado de los adaptadores de red (si est disponible), la tabla de

enrutamiento y la cach ARP (MAC / IP en el mercado local LAN) .

Los grficos del sistema

Seleccione ESTADO de la barra de men en la parte superior de la pantalla, a continuacin,seleccione SISTEMA DE GRFICOS en el submen en el lado izquierdo de la pantalla.


18/94

Esta pgina contiene grficos de recursos del sistema de las ltimas 24 horas:. CPU, memoria, swap yel uso del disco

Al hacer clic en uno de los grficos se abrir una nueva pgina con los grficos de uso respectivas, elda de la semana pasada, el mes y ao.

Los grficos de trfico

Seleccione ESTADO de la barra de men en la parte superior de la pantalla, a continuacin,seleccione LOS GRFICOS DE TRFICO en el submen en el lado izquierdo de la pantalla.

Esta pgina contiene los grficos de trfico de las ltimas 24 horas.Al hacer clic en uno de los grficos se abrir una nueva pgina con grficos de trfico para el ltimoda, semana, mes y ao de la interfaz elegida.

Grficos Proxy

Seleccione ESTADO de la barra de men en la parte superior de la pantalla, a continuacin,seleccione LOS GRFICOS PROXY en el submen en el lado izquierdo de la pantalla.

Esta pgina contiene grficos con estadsticas de acceso para el proxy HTTP en las ltimas 24 horas.

Conexiones

Seleccione ESTADO de la barra de men en la parte superior de la pantalla, a continuacin,seleccione CONEXIONES en el submen en el lado izquierdo de la pantalla.

Esta pgina muestra la lista de conexiones actuales a partir de, o pasar por Endian Firewall. El origeny el destino de todas las conexiones estn resaltados en el color de las zonas quepertenecen. Adems de las cuatro zonas (VERDE , ROJO , NARANJA ,AZUL ) que se definenpor Endian Firewall, otros dos colores se muestran. NEGRO se utiliza para las conexiones locales delservidor de seguridad, mientras que PURPLE conexiones pertenecen a redes privadas virtuales (VPN).

OpenVPN conexiones

Seleccione ESTADO de la barra de men en la parte superior de la pantalla, a continuacin,

seleccione CONEXIONES OPENVPN en el submen en el lado izquierdo de la pantalla.

Esta pgina muestra una lista de conexiones OpenVPN. Es posible eliminar o prohibir a los usuariosconectados haciendo clic en la MUERTE o LA PROHIBICIN DE botn, respectivamente.

Estadsticas de correo SMTP


19/94

Seleccione ESTADO de la barra de men en la parte superior de la pantalla, a continuacin,seleccione LAS ESTADSTICAS DE CORREO SMTP en el submen en el lado izquierdo de la pantalla.

Esta pgina muestra las estadsticas del trfico SMTP (envo de correo electrnico) a travs de EndianFirewallpara el ltimo da, semana, mes y ao. Esta informacin slo est disponible cuando elservidor proxy se utiliza SMTP.

De cola de correo

Seleccione ESTADO de la barra de men en la parte superior de la pantalla, a continuacin,seleccione LA COLA DE CORREO en el submen en el lado izquierdo de la pantalla.

Esta pgina muestra la cola de correo electrnico actual (slo est disponible cuando el servidorproxy se utiliza SMTP). Tambin es posible para vaciar la cola, haga clic en la COLA DE CORREOFLUSH botn.

Captulo 3: El men de red

Seleccione LA RED en la barra de men en la parte superior de la pantalla.

Los siguientes enlaces aparecern en un submen en el lado izquierdo de la pantalla. Que permiten lacreacin de la red relacionados con las opciones de configuracin:

EDITAR LOS EJRCITOS - definir hosts para la resolucin local de nombres de dominio ROUTING - definir rutas estticas y establecer una poltica de enrutamiento INTERFACES - editar tus enlaces ascendentes o crear VLANs


Editar los ejrcitos

Seleccione LA RED en la barra de men en la parte superior de la pantalla, a continuacin,seleccione EDITAR HOSTS en el submen en el lado izquierdo de la pantalla.

Endian Firewallincluye una memoria cach del servidor DNS (dnsmasq) que verifica el archivo delhost para el nombre de look-ups. En esta seccin se puede definir una entrada de host personalizadoque ser resuelto para todos los clientes.


20/94

Haga clic en el AGREGAR UN HOST enlace para aadir una entrada de host. Esto se hace especificando

la direccin IP, nombre de host y de dominio y luego de confirmar la entrada del sistema haciendoclic en el HOSTAADIR botn.

Una entrada existentes se pueden eliminar haciendo clic en el cubo de la basura en su fila. Paraeditar una entrada, es necesario hacer clic en el smbolo de lpiz. La lnea se puso de relieve y unformulario pre-llenado se abre. Despus de todos los cambios que se han aplicado a la entrada seguarda haciendo clic en el HOST DE ACTUALIZACIN botn.

Enrutamiento

Seleccione LA RED en la barra de men en la parte superior de la pantalla, a continuacin,seleccione DE ENRUTAMIENTO en el submen en el lado izquierdo de la pantalla. Es posible elegir entre

dos tipos de ruta: routing esttico y poltica de enrutamiento.

Enrutamiento esttico

Permite asociar determinadas direcciones de red con pasarelas dado o uplinks. Haga clic enelAADIR UNA NUEVA REGLA DE enlace para especificar una regla de enrutamiento esttico utilizando

los siguientes campos:

DE RED DE ORIGEN - origen de la red en notacin CIDR (ejemplo:192.168.10.0/24)

DESTINO DE RED - destino de la red en notacin CIDR (ejemplo:192.168.20.0/24)

RUTAVA - introduzca la direccin IP esttica de una puertade entrada o escoger entre los enlacesascendentes disponibles

ACTIVADO - de verificacin para activar la regla (por defecto)

OBSERVACIN - un comentario para recordar el propsito deesta regla despus

Haga clic en el GUARDAR para confirmar la regla. A continuacin, puede activar / desactivar, editar o

borrar cada regla de la lista de reglas, haga clic en el icono correspondiente en la parte derecha de latabla (ver el icono de la leyenda en la parte inferior).

Poltica de encaminamiento

Permite asociar direcciones de red y puertos de servicios / protocolos con enlaces ascendentesdado. Haga clic en el CREAR UNA POLTICA DE REGLA DE ENRUTAMIENTO DE enlace para especificar una

regla de poltica de enrutamiento. Los campos disponibles son las siguientes:

FUENTE - La fuente puede ser una lista de zonas o de interfaces, una lista de direcciones IP oredes en la notacin CIDR (ejemplo: 192.168.10.0/24), una lista de usuariosOpenVPN o una lista de direcciones MAC. Al seleccionar la regla coincidentodas las fuentes.


21/94

DESTINO - El destino puede ser una lista de direcciones IP, las redes en la notacin CIDR o unalista de usuarios de OpenVPN. Al seleccionar la regla coinciden todas lasfuentes.

SERVICIO / PUERTO - Opcionalmente se puede especificar el protocolo y, en caso de TCP, UDP o TCP +UDP, un puerto para la regla. Algunas combinaciones predefinidas, por ejemplo,

HTTP (protocolo TCP, puerto 80), se puede seleccionar de la lista desplegableServicio.

RUTAVA - Elija el enlace ascendente que se debe utilizar para esta regla. Si desea utilizar elenlace ascendente de copia de seguridad cada vez que el enlace ascendenteseleccionado no est disponible, la opcin tiene que ser comprobada.

TIPO DE SERVICIO - El tipo de servicio (TOS) puede ser elegido en este caso.

El nmero binariodetrs de cada tipo deservicio se describe

cmo este tipo deobras. Los primeros tresbits describir laprecedencia delpaquete: 000 stands

de precedenciapredeterminada y 111 .

describe la prioridadms altaEl cuarto bit describe elretraso en el 0 significa

que es un retrasonormal y un medio de

bajo retardo. El quintobit describe elrendimiento. 1 aumenta

el rendimiento,mientrasque 0 representa el

rendimiento normal. Elsexto bit controla lafiabilidad. Una vezms

unaumento de la

fiabilidad y 0 es el

escenario de lafiabilidad normal.Los ocho valores deprecedencia IP sellaman selectores declase (CS0-7). Ademsdoce valores han sido


22/94

creados para reenvoasegurado (AF xy,donde x es una clase de1 a 4 y de ser y cadade precedencia de 1 a

3) que proporcionan laprdida de paquetes debaja con las garantasmnimas relativas a lalatencia. Reenvoacelerado (EF PHB) hasido definido parasolicitar bajo retardo,bajo jitter y prdida debaja del servicio.

OBSERVACIN - Establecer un comentario para recordar el objetivo de la norma.

POSICIN - Definir dnde insertar la regla (posicin relativa en la lista de reglas).

ACTIVADO - Marca esta casilla para habilitar la regla (por defecto).

REGISTRAR TODOS LOSPAQUETES ACEPTADOS

- Marca esta casilla para registrar todos los paquetes que se ven afectados por estanorma.

Haga clic en la REGLA CREAR botn para confirmar la regla. A continuacin, puede desactivar, editar o

eliminar cualquier regla de la lista haciendo clic en el icono correspondiente en la parte derecha de latabla. Tambin puede cambiar el orden de las reglas (haciendo clic en el arriba y abajo los iconos deflecha).

Despus de hacer cambios a una regla, no te olvides de hacer clic en el APLICAR botn en la partesuperior de la lista!

Interfaces

Seleccione LA RED en la barra de men en la parte superior de la pantalla, a continuacin,seleccione LAS INTERFACES en el submen en el lado izquierdo de la pantalla, finalmente, elegir una

de las dos siguientes fichas:

Uplink editor

Uplinks adicionales se puede definir haciendo clic en el ENLACE ASCENDENTE EDITOR ficha: elegir el tipo

de enlace ascendente, a continuacin, rellenar el formulario de tipo especfico. Los campos son casilos mismos que en la red El asistente de configuracin (consulte el apartado "Configuracin de red"en "El men del sistema" del captulo).Las siguientes opciones difieren desde el asistente de confguration red:

TIPO - Esta seleccin incluye un protocolo adicional:.


23/94

PPTPPPTP puede ser configurado para trabajar enesttico o en modo DHCP. Esto se haceseleccionando el respectivo valor de la "mtodoPPTP" desplegable. La direccin IP y mscara de

red debe estar definido en el campos de textoapropiado y slo es necesario si el mtodoesttico ha sido elegido. Otras combinaciones IP

/ mscara de red o IP / CIDR se pueden aadiren el campo de abajo si la casilla de verificacincorrespondiente est activada. Nmero detelfono, nombre de usuario y contrasea noson necesarios, pero puede ser necesaria paraalgunas configuraciones de trabajo. Estodepende de la configuracin del proveedor. Elmtodo de autenticacin puede ser PAP oCHAP. Si no est seguro de cul usar, basta con

mantener el valor por defecto "PAP o CHAP" quefuncionar en ambos casos.

INICIO DE ENLACE ASCENDENTE EN EL ARRANQUE - Esta casilla de verificacin especifica si unenlace ascendente debe estar habilitado en elmomento del arranque o no. Esto es til paraenlaces ascendentes de copia de seguridad quese manejan pero no es necesario que se iniciedurante el arranque.

SI ESTA SUBIDA NO - Si est activado, este campo ofrece laposibilidad de elegir una alternativa de enlaceascendente de la lista desplegable. Esta subidase activar si la subida actual falla.

RECONEXIN DE TIEMPO DE ESPERA - Con este tiempo de espera se puede especificarel tiempo (en segundos) despus de que unenlace ascendente vuelve a intentar si no. Estevalor depende de la configuracin de suproveedor. Si no est seguro deje este campovaco.

VLANs

LAN virtuales (VLAN) se puede definir haciendo clic en el VLAN ficha. La idea detrs de ofrecer

soporte VLAN en Endian Firewallest ayudando a permitir que las asociaciones arbitrarias de los IDsde VLAN a las zonas de cortafuegos. Para establecer una asociacin haga clic en el ADD NEWVLAN enlace, a continuacin, especifique los siguientes parmetros:

INTERFAZ - la interfaz fsica de la VLAN se conecta a

ZONA - la zona de la VLAN est asociada con

VLANID - VLAN ID (0-4095)


24/94

Siempre que una LAN virtual se crea una nueva interfaz se ha creado. Esta interfaz se denominaethX.y donde X es el nmero de la interfaz e y es el ID de la VLAN. Esta interfaz se asigna a la zonaelegida. "NINGUNO" se puede elegir, si la interfaz se utiliza como puerto de alta disponibilidad degestin.

Captulo 4: El Men de Servicios

Seleccione SERVICIOS de la barra de men en la parte superior de la pantalla.

Endian Firewallpuede proporcionar una serie de servicios tiles que se pueden configurar en estaseccin. En particular, se incluyen los servicios utilizados por los servidores proxy de varios, como elantivirus ClamAV.La deteccin de intrusiones, alta disponibilidad y control del trfico se puede activar aqu.

A continuacin se presenta una lista de enlaces que aparecen en el submen en el lado izquierdo dela pantalla:

SERVIDORDHCP - DHCP (Dynamic Host Configuration Protocol) del servidor para la asignacin de IPautomtica

DNS DINMICO - Cliente para proveedores de DNS dinmico como DynDNS (para el hogar / oficinapequea uso)

CLAMAVANTIVIRUS - configurar el antivirus ClamAV utilizado por el correo y los servidores proxy web LA HORA DEL SERVIDOR - activar / configurar el servidor de tiempo NTP, definir la zona horaria o la

actualizacin de forma manual DE TRFICO - priorizar el trfico IP FORMACIN DE SPAM - configure la formacin para el filtro de spam utilizada por los servidores proxy

de correo DETECCIN DE INTRUSOS - configurar el sistema de deteccin de intrusos (IDS) Snort ALTA DISPONIBILIDAD - configurar su Endian Firewallen una configuracin de alta disponibilidad SUPERVISAR EL TRFICO - activar o desactivar el control del trfico con ntop

Cada enlace se explica en las siguientes secciones.

El servidor DHCP

Seleccione SERVICIOS de la barra de men en la parte superior de la pantalla, a continuacin,seleccione EL SERVIDORDHCP en el submen en el lado izquierdo de la pantalla.

El DHCP (Dynamic Host Configuration Protocol) permite que usted controle la configuracin dedirecciones IP de todos los dispositivos de red de Endian Firewallde forma centralizada.


25/94

Cuando un cliente (host u otro dispositivo como impresora en red, etc) se une a la red se obtendrautomticamente una direccin IP vlida de un rango de direcciones y otras opciones del servicioDHCP. El cliente debe estar configurado para usar DHCP - esto es algo que se llama "configuracin dered automtica" y es a menudo la configuracin predeterminada. Usted puede optar por ofrecer esteservicio a los clientes en suVERDE nica zona, o incluir los dispositivos de la naranja (DMZ)oAZUL zona (WLAN). Slo debe marcar las casillas de verificacin que estn etiquetadoscomo HABILITADO en consecuencia.

Haga clic en la CONFIGURACIN DE enlace para definir los parmetros de DHCP como se describe a

continuacin:

DIRECCIN DE INICIO / FIN DE DIRECCIONES - Especificar el rango de direcciones que seentregarn. Estas direcciones tienen que serdentro de la subred que se ha asignado a lazona correspondiente. Si desea configurar unhost para utilizar manualmente las direccionesIP asignadas o direcciones IP fijas (ver abajo),asegrese de definir un rango que hace quenoincluyen estas direcciones o direcciones delconjunto de direcciones OpenVPN(ver OPENVPN , OPENVPN SERVIDOR ) para

evitar los conflictos. Si va a utilizar contratos dearrendamiento fijo solamente(ver abajo), dejeestos campos vacos.

DEFAULT / TIEMPO DE CONCESIN MAX - Esto define el tiempo default / mximo encuestin de minutos antes de que expire laasignacin de IP y el cliente se supone que debesolicitar un nuevo contrato de arrendamiento del

servidor DHCP.

DOMINIO SUFIJO DE NOMBRE - Este es el dominio predeterminado sufijo denombre que se transmite a los clientes. Cuandoel cliente busca un nombre de host, primerotratar de resolver el nombre solicitado. Si eso noes posible, el cliente deber anexar este sufijode nombre de dominio precedido por un punto yvuelve a intentarlo.Ejemplo: si el nombre de dominio completo delservidor de archivos local es earth.example.comy este sufijo es "example.com" , los clientes

sern capaces de resolver el servidor con elnombre de "tierra".

DNS PRIMARIO / SECUNDARIO - Esto especifica los servidores de nombres dedominio (DNS) para ser utilizados por susclientes. Desde Endian Firewallcontiene unservidor DNS, el valor predeterminado es elservidor de seguridad de una direccin IP en lazona respectiva.


26/94

PRIMARIA /SECUNDARIA SERVIDORNTP - Aqu usted puede especificar el Network TimeProtocol (NTP) para ser utilizados por susclientes (para mantener los relojes sincronizadosen todos los clientes).

PRIMARIA / SECUNDARIA DEL SERVIDORWINS - Esta opcin especifica el nombre del servicio de

Internet de Windows (WINS) para ser utilizadospor sus clientes (para redes de MicrosoftWindows que utilizan WINS).

Los usuarios avanzados tal vez desee aadir lneasde configuracin personalizada que se aadea dhcpd.conf en el rea de texto debajo de la

configuracin de las formas. Preste atencin aque Endian Firewallinterfaz 's no realiza ningunacomprobacin de sintaxis en estas lneas:

Cualquier error aqu, podran inhibir el servidorDHCP de la partida! Ejemplo : Las lneasadicionales siguientes se pueden utilizar paramanejar los telfonos VoIP que necesitanrecuperar sus archivos de configuracin desde unservidor HTTP en el arranque: opcintftp-server-name "http:// $

GREEN_ADDRESS"; opcin

bootfile-name ". descargar / snom

/ {mac} html"; Observe el uso de $GREEN_ADDRESS que es una macro que se

sustituye por el propio servidor deseguridad GREEN direccin de la interfaz.

Alquiler fijo

A veces es necesario para ciertos dispositivos para utilizar siempre la misma direccin IP y seguirusando DHCP. Al hacer clic en elAADIR UN CONTRATO DE ARRENDAMIENTO FIJO enlace que permite

asignar direcciones IP estticas a los dispositivos. Los dispositivos se identifican con sus direccionesMAC. Tenga en cuenta que esto es muy diferente de la creacin de las direcciones de forma manualen cada uno de estos dispositivos, ya que cada producto siga en contacto con el servidor DHCP paraobtener su direccin.


27/94

Un caso de uso tpico de esto es el caso de los clientes ligeros de la red que arrancar la imagen delsistema operativo desde un servidor de red con PXE (Entorno de ejecucin de prearranque).

Los siguientes parmetros se pueden establecer para definir alquiler fijo:

DE DIRECCIONES MAC - el cliente es la direccin MACDIRECCIN IP - la direccin IP que siempre se le asignar a este

cliente

DESCRIPCIN - descripcin opcional

LA SIGUIENTE DIRECCIN - la direccin del servidor TFTP (slo para clientesligeros / arranque en red)

NOMBRE DE ARCHIVO - la imagen de arranque de nombre de archivo(slo para clientes ligeros / arranque en red)

DE RUTA DE RAZ - la ruta del archivo de imagen de arranque (slopara clientes ligeros / arranque en red)

ACTIVADO - Si esta casilla no est marcada el contrato fijoser almacenada pero no escritopara dhcpd.conf

Cada contrato de arrendamiento fijo puede ser activado, desactivado, editados o eliminados haciendoclic en el icono correspondiente (iconos se describen en la leyenda en la parte inferior de la tabla dealquiler fijo).

Lista de los actuales contratos de arrendamiento dinmica

Las secciones DHCP termina con una lista de direcciones IP asignadas actualmente dinmica.

Dynamic DNS

Seleccione SERVICIOS de la barra de men en la parte superior de la pantalla, a continuacin,seleccione DNS DINMICO en el submen en el lado izquierdo de la pantalla.

Proveedores de DNS dinmico como DynDNS ofrecer un servicio que permite asignar un nombre dedominio disponible a nivel mundial de direcciones IP. Esto funciona incluso con las direcciones queestn cambiando de forma dinmica, tales como los ofrecidos por las conexiones de ADSLresidencial. Para que esto funcione, cada vez que cambia la direccin IP, la actualizacin debe seractivamente propagan al proveedor de DNS dinmico.

Endian Firewallcontiene un cliente de DNS dinmico de 14 proveedores diferentes - si est activado,automticamente se conectar al proveedor de DNS dinmico y decirle que la nueva direccin IPdespus de cada cambio de direccin.

Para cada cuenta (puede usar ms de uno), haga clic en el AADIR UNA SERIE de enlace, a

continuacin, especifique los siguientes parmetros:


28/94

SERVICIO - elegir el proveedor de DNS dinmico

DETRS DE UN PROXY - (Slo se aplica si usted utiliza el servicio de no-ip.com) Marque esta casilla si su EndianFirewallse conecta a Internet a travs de unproxy

PERMITEN COMODINES - algunos proveedores de DNS dinmico permiteque todos lossub-dominios de su punto dedominio a su direccin IP, es decir,www.example.dyndns.org y example.dyndns.orgtanto se resuelven en la misma direccin IP: Almarcar esta casilla se activa esta funcin ( si loadmite su proveedor de DNS dinmico)

NOMBRE DE HOST Y DOMINIO - el nombre de host y de dominio que registr consu proveedor de DNS dinmico, por ejemplo"ejemplo" y "dyndns.org"

NOMBRE DE USUARIO Y CONTRASEA - como se indica a usted por su proveedor de

DNS dinmicoDETRS DEL ROUTER(NAT) - comprobar esto si su Endian Firewallno est

directamente conectado a Internet, es decir,detrs de otro router / gateway: en este caso elservicio en http://checkip.dyndns.org se utilizapara saber cul es su direccin IP externa es

ACTIVADO - de verificacin para habilitar (por defecto)

Tenga en cuenta que todava tiene que exportar un servicio a la RED zona si desea ser capaz deutilizar que el nombre de dominio para conectarse a su casa / oficina del sistema de la Internet. Elproveedor de DNS dinmico simplemente hace parte del nombre de dominio de resolucin parausted. Exportacin de un servicio general podra incluir la configuracin del reenvo de puerto(ver CORTAFUEGOS , REENVO DE PUERTOS /NAT ).

ClamAV antivirus

Seleccione SERVICIOS de la barra de men en la parte superior de la pantalla, a continuacin,seleccione ANTIVIRUS CLAMAVen el submen en el lado izquierdo de la pantalla.

El proxy de correo electrnico (POP y SMTP) y web proxy (HTTP) componentes de EndianFirewallutiliza el conocido antivirus ClamAV servicio. Esta seccin le permite configurar la forma en

ClamAV debe manejar las bombas de archivo (vase el prrafo siguiente para una explicacin) y lafrecuencia con la informacin acerca de nuevos virus se descarga ("programa de actualizacin defirmas"). Tambin puede ver la ltima actualizacin prevista se ha realizado, as como iniciarmanualmente una actualizacin.

Contra el archivo de configuracin de bomba


29/94

Bombas de archivo son los archivos que utilizan una serie de trucos para cargar el software antivirus,hasta el punto que la mayora de los cerdos de los recursos del servidor de seguridad (ataque dedenegacin de servicio). Trucos incluyen el envo de archivos pequeos hechos de archivos de grantamao con contenido repetido que comprimen bien (por ejemplo, un archivo de 1 GB que contieneslo ceros comprime a tan slo 1 MB en formato ZIP), o mltiples archivos anidados (por ejemplo,archivos zip dentro de archivos zip) o archivos que contienen un gran nmero de archivos vacos, etc..).

Para evitar este tipo de ataque, ClamAV est preconfigurado noescanear los archivos que tienenciertos atributos, como se ha configurado aqu:

MAX.ARCHIVO DE TAMAO - Archivos ms grandes de este tamao en MB nose analizan.

MAX.ARCHIVOS ANIDADOS - Archivos que contienen archivos no se analiza siel anidamiento excede este nmero de niveles.

MAX.ARCHIVOS EN EL ARCHIVO - Comprimidos no se escanean si contienen ms

de este nmero de archivos.MAX RELACIN DE COMPRESIN - Archivos cuyo tamao sin comprimir excede el

tamao del archivo comprimido por ms de Xveces, donde X es el nmero especificado, no seanalizan, el valor por defecto es de 1000 -cuenta que los archivos normales suelendescomprimir a no ms de 10 veces el tamaodel archivo comprimido .

MANEJAR ARCHIVOS MAL - Qu debe pasar a los archivos que no sonanalizados por causa de los ajustes anteriores:es posible elegir entre " NO ANALIZAR, PERO

PASAN "y" BLOQUEAR EL VIRUS ".BLOQUEAR ARCHIVOS CIFRADOS - Ya que es tcnicamente imposible de escanear

encriptada (protegida por contrasea) archivos,que puedan constituir un riesgo para laseguridad y es posible que desee para bloquearmarcando esta casilla.

ClamAV programa de actualizacin de firmas de configuracin

Otro aspecto importante de correr ClamAV son las firmas de antivirus las actualizaciones: Informacinsobre los nuevos virus se debe descargar peridicamente desde un servidor de ClamAV. El panel de

configuracin (arriba a la derecha) le permite elegir la frecuencia de estas actualizaciones se llevan acabo - el valor predeterminado es una vez cada hora.Sugerencia: mueva el ratn sobre los signos de interrogacin para ver en qu momento lasactualizaciones se realizan en cada caso - el valor por defecto es de un minuto ms all de la horacompleta.

ClamAV firmas de virus


30/94

En esta seccin se muestra la ltima actualizacin se ha realizado y lo que es la ltima versin defirmas de antivirus ClamAV.

Haga clic en ACTUALIZAR AHORA FIRMAS para realizar una actualizacin en este momento

(independientemente de las actualizaciones programadas) - tenga en cuenta que esto podra tomaralgn tiempo.Tambin hay un enlace a la base de datos de virus en lnea ClamAV en caso de que usted estbuscando informacin acerca de un virus especfico.

Servidor de tiempo

Seleccione SERVICIOS de la barra de men en la parte superior de la pantalla, a continuacin,seleccione EL SERVIDOR DE TIEMPO en el submen en el lado izquierdo de la pantalla.

Endian Firewallmantiene la hora del sistema sincronizado de los hosts de servidor de tiempo en elInternet utilizando el protocolo NTP (Network Time).

Un nmero de hosts de servidores de tiempo en el Internet estn preconfigurados y utilizado por elsistema. Haga clic en IGNORAR SERVIDORES NTP PREDETERMINADOS para especificar sus propios

anfitriones servidor de hora. Esto puede ser necesario si est ejecutando una configuracin que nopermite Endian Firewallpara acceder a Internet. Estos anfitriones que aadir uno por lnea.

Su configuracin actual huso horario tambin se puede cambiar en esta seccin.

La ltima forma en esta seccin le brinda la posibilidad de cambiar manualmente la hora delsistema. Esto tiene sentido si el reloj del sistema est muy lejos y que le gustara acelerar lasincronizacin (ya que la sincronizacin automtica con los servidores de tiempo no se hace al

instante).

De trfico

Seleccione SERVICIOS de la barra de men en la parte superior de la pantalla, a continuacin,seleccione CONFIGURACIN DEL TRFICO en el submen en el lado izquierdo de la pantalla.

El propsito de la configuracin del trfico es para priorizar el trfico IP que se va a travs de sufirewall en funcin del servicio. Una aplicacin tpica es dar prioridad a los servicios interactivos, comoSecure Shell (SSH) o voz sobre IP (VoIP) sobre el trfico a granel, como descargas.

De trfico por enlace ascendente

Haga clic en los iconos en la parte derecha de la mesa para activar o desactivar la configuracin deltrfico para cada enlace ascendente solo. Para la modulacin del trfico para que funcionecorrectamente es muy importante tambin para especificar el reallos valores de ancho de bandaarriba y abajo para cada enlace ascendente: haga clic en el icono del lpiz (editar), y luego rellenar elancho de banda hacia arriba y abajo se expresa en kbit por segundo.


31/94

Servicios de trfico

Aadir las reglas de trfico: haga clic en CREAR UN SERVICIO de aadir una nueva regla,

especificando:

ACTIVADO - de verificacin para habilitar (por defecto)PROTOCOLO - si el servicio de prioridad es un puerto TCP o

UDP de servicios (ejemplo: SSH es un servicioTCP)

PRIORIDAD - dar una prioridad: "alto", "medio" o "bajo"

PUERTO - el puerto de destino del servicio de prioridad(por ejemplo: SSH usa el puerto 22)

Haga clic en CREAR SERVICIO para guardar los ajustes y aplicar la nueva regla.

Formacin de spamSeleccione SERVICIOS de la barra de men en la parte superior de la pantalla, a continuacin,seleccione FORMACIN DE SPAM en el submen en el lado izquierdo de la pantalla.

SpamAssassin puede ser configurado para obtener automticamente los correos electrnicos sonmensajes de spam y cules no (los llamados correos de jamn). Para ser capaz de aprender, quenecesita para conectarse a un host de IMAP y compruebe carpetas predefinidas para el spam y losmensajes de jamn.

La configuracin por defecto es noutilizados para el entrenamiento. Todo lo que hace es

proporcionar los valores predeterminados de configuracin que son heredados por las fuentes realesde formacin que se puede aadir a continuacin. Al hacer clic en laCONFIGURACIN POR DEFECTOEDICIN DE vincular un nuevo panel aparece cuando los valores por defecto se puede establecer:

IMAP POR DEFECTO DE ACOGIDA - el anfitrin IMAP que contiene las carpetas deformacin

NOMBRE DE USUARIO POR DEFECTO - el nombre de usuario para el anfitrin IMAP

CONTRASEA POR DEFECTO - la contrasea del usuario

CARPETA PREDETERMINADA DE JAMN - el nombre de la carpeta que contiene slo losmensajes de jamn

POR DEFECTO LA CARPETA DE SPAM - el nombre de la carpeta que contiene slo losmensajes de spam

PROGRAMAR UNA FORMACIN AUTOMTICA DE FILTRO DESPAM

- el intervalo entre los controles. Esto puede serdiscapacitados o estar una hora, intervalo diario,semanal o mensual. Para obtener informacindetallada acerca de la hora prevista se puedemover el cursor del ratn sobre el signo deinterrogacin al lado del intervalo de tiempo


32/94

seleccionado.

Las fuentes de spam de formacin se pueden aadir en la seccin de abajo. Al hacer clic enelAADIRIMAP FUENTE DE SPAM FORMACIN enlace aparece un nuevo panel. Las opciones para losanfitriones de formacin adicionales son similares a las opciones de configuracin por defecto. Lo

nico que falta es la programacin. Esto siempre se hereda de la configuracin por defecto.Tres opciones adicionales estn disponibles.

ACTIVADO - si se marca esta casilla la fuente de formacinse utilizar cada vez que spamassassin estcapacitado

OBSERVACIN - en este campo es posible guardar un comentariopara recordar el propsito de esta fuente en unmomento posterior

ELIMINAR LOS CORREOS PROCESADOS - si se marca esta casilla mails sern eliminadosdespus de haber sido procesados

Las otras opciones se puede definir al igual que en la configuracin por defecto. Si se define quereemplazar los valores predeterminados. Para guardar una fuente es necesario hacer clic enel ORIGEN DE LA ACTUALIZACIN DE FORMACIN botn despus de todos los valores deseados se han

establecido.Una fuente puede ser probado, activado, desactivado, editados o eliminados haciendo clic en el iconocorrespondiente en la fila. Los iconos se explican en la leyenda en la parte inferior de la pgina.

Tambin es posible comprobar todas las conexiones, haga clic en la PRUEBA DE TODAS LAS CONEXIONESDE botn. Tenga en cuenta que esto puede tomar algn tiempo si muchas fuentes se han definido la

formacin o la conexin a los servidores de IMAP es lento.

Para iniciar el entrenamiento inmediatamente la FORMACIN COMIENCE AHORA tiene que hacer clic. Esimportante sealar que la capacitacin puede tomar mucho tiempo dependiendo del nmero defuentes, la velocidad de conexin y lo ms importante en el nmero de correos electrnicos que sedescargan.

Tambin puede entrenar al motor de antispammanualmente si el SMTP Proxy est habilitadopara la entrada, as como para los correossalientes.Esto se hace mediante el envo de mensajes de

spam a [email protected]. Que no son spammails pueden ser enviados a [email protected] que esto funcione es necesarioque spam.spamy ham.hamse puederesolver. Por lo general esto se logra mediante laadicin de estos dos nombres de host a laconfiguracin del host en LA RED , LOS HOSTSEDITAR ,AGREGAR UN HOST en su Endian Firewall.


33/94

De deteccin de intrusos

Seleccione SERVICIOS de la barra de men en la parte superior de la pantalla, a continuacin,seleccione LA DETECCIN DE INTRUSIONES en el submen en el lado izquierdo de la pantalla.

Endian Firewallincluye la deteccin de intrusos conocidos (IDS) y prevencin (IPS) Snortsistema. Que est directamente integrado en el IP-firewall (Snort en lnea). En este momento no hayreglas se pueden agregar a travs de la interfaz web, por lo tanto, Snort se puede utilizar slo parausuarios avanzados que pueden cargar sus propias reglas a travs de la lnea de comandos.Funcionalidad para gestionar las reglas de la interfaz web se aadirn en una actualizacin futura.

Alta disponibilidad

Endian Firewallpuede funcionar fcilmente en la alta disponibilidad (HA) de modo. Por lo menos2 Endian Firewallmquinas se requieren para el modo de HA: se asume el papel de los activos( maestro) firewall, mientras que los otros estn en espera ( esclavo) firewalls.

Si el firewall maestro falla, una eleccin entre los esclavos se llevar a cabo y uno de ellos serpromovido a su nuevo amo, que prev la conmutacin por error transparente.

Maestro de configuracin

Para configurar este tipo de configuracin HA, primero configure el servidor de seguridad que va aser el maestro:

1. Ejecutar el asistente de instalacin, l lenado de todas las informaciones necesarias.2. Acceder a la interfaz de administracin web, seleccione SERVICIOS de la barra de men en la parte

superior de la pantalla, a continuacin, seleccione DE ALTA DISPONIBILIDAD en el submen en el lado

izquierdo de la pantalla.

3. Establecer HABILITAR LA ALTA DISPONIBILIDAD de S y establecer LADO DE ALTADISPONIBILIDAD de MAESTRO .

4. En este punto un panel adicional aparece en el maestro dela configuracin especfica se puedenconfigurar:La RED DE GESTIN DE la subred es especial para que todos los Endian Firewalls que forman parte deuna configuracin de HA se debe conectar a travs de la verde de la interfaz. El valor

predeterminado es 192.168.177.0/24 . A menos que esta subred ya se utiliza para otros finesque no hay necesidad de cambiar esta situacin.La DIRECCIN IPMAESTRO es la primera direccin IP de la red de gestin.

A continuacin, hay algunos campos que se pueden rellenar si desea ser notificado por correoelectrnico Si un evento de conmutacin por error se lleva a cabo.Por ltimo, haga clic en GUARDAR , y luego ENAPLICAR para activar los ajustes.

Esclavo de configuracin


34/94

Configurar el firewall de la que va a ser el esclavo:

1. Ejecutar el asistente de configuracin, incluyendo el asistente de red, completando toda lainformacin necesaria. Es que noes necesario configurar los servicios, etc, ya que esta informacinse sincronizarn desde el maestro. Sin embargo, es necesario registrar el esclavo con la red Endian .

2. Acceder a la interfaz de administracin web, seleccione SERVICIOS de la barra de men en la partesuperior de la pantalla, a continuacin, seleccione DE ALTA DISPONIBILIDAD en el submen en el lado

izquierdo de la pantalla.

3. Establecer HABILITAR LA ALTA DISPONIBILIDAD de S y establecer LADO DE ALTADISPONIBILIDAD de ESCLAVOS .

4. En este punto un panel adicional aparece en el esclavo dela configuracin especfica se puedenconfigurar:Elija la RED DE GESTIN DE opcin de acuerdo a la configuracin en el maestro: ya sea verde . zona oun puerto de red dedicada

Rellene el MAESTRO DIRECCIN IP(CIDR) de campo: 192.168.177.1/24 a menos que elija unadireccin de gestin no estndar de red para el maestro.Llene la CONTRASEA DE ROOT MAESTRO (el esclavo necesita esto para sincronizar la configuracin delmaestro).Por ltimo, haga clic en GUARDAR , y luego ENAPLICAR para activar el ajustes.

En este punto, el esclavo no puede llegar ms a travs de su antigua direccin IP (por defecto defbrica o anteriorVERDE direccin), ya que se encuentra en modo de espera. Est conectado con elnico maestro a travs de la red de gestin.

Si te conectas con el maestro nuevo, en la pgina de HA se puede ver una lista de los esclavos

conectados. Si hace clic en laINTERFAZ GRFICA DE USUARIO

VAYA A

ADMINISTRACIN DE

enlace quepuede abrir la interfaz de administracin web del esclavo a travs de la red de gestin (dirigidas atravs del firewall maestro).

Monitoreo de Trfico

Seleccione SERVICIOS de la barra de men en la parte superior de la pantalla, a continuacin,seleccione SUPERVISIN DEL TRFICO en el submen en el lado izquierdo de la pantalla.

La vigilancia del trfico se realiza por ntopy puede ser activada o desactivada, haga clic en elinterruptor principal en esta pgina. Una vez que la vigilancia del trfico que se permita la conexin ala interfaz de administracin de control aparece en la parte inferior de la pgina. Esta interfaz deadministracin es suministrada por ntop e incluye estadsticas detalladas de trfico. ntopmuestraresmenes, as como informacin detallada. El trfico puede ser analizada por el anfitrin, elprotocolo de interfaz de red local y muchos otros tipos de informacin.Para obtener informacin detallada sobre la interfaz de administracin ntop por favor, eche un vistazoa INFORMACIN , DOCUMENTACIN EN LNEA en la interfaz de administracin ntop s o visite lapgina

de documentacin de ntop.
http://www.ntop.org/documentation.htmlhttp://www.ntop.org/documentation.htmlhttp://www.ntop.org/documentation.htmlhttp://www.ntop.org/documentation.htmlhttp://www.ntop.org/documentation.htmlhttp://www.ntop.org/documentation.html


35/94

Captulo 5: El men de firewall

Seleccione SERVIDOR DE SEGURIDAD DE la barra de mens en la parte superior de la pantalla.

Esta seccin permite configurar las reglas que especifican si y cmo los flujos de trfico IP a travs desu Endian Firewall.La siguiente es una lista de enlaces que aparecen en el submen en el lado izquierdo de la pantalla:

EL REENVO DE PUERTOS /NAT - configurar el reenvo de puertos y NAT (Network AddressTranslation)

EL TRFICO DE SALIDA - permitir o no permitir saliente (hacia RED ), el trfico - ajustes por zona,host, puerto, etc

ENTRE LA ZONA DE TRFICO - permitir o no permitir el trfico entre las zonas EL TRFICOVPN - especificar si hosts que se conectan a travs de una VPN debe ser un cortafuegos ACCESO AL SISTEMA - permitir el acceso a la Endian Firewallde host se

Cada uno de estos apartados se explican por separado en los captulos siguientes.

Reenvo de puertos / NAT

Reenvo de puertos

Seleccione SERVIDOR DE SEGURIDAD DE la barra de mens en la parte superior de la pantalla, acontinuacin, seleccione REENVO DE PUERTOS /NAT en el submen en el lado izquierdo de la

pantalla.

El reenvo de puertos permite el acceso limitado a la red externa de la RED zona (generalmenteInternet) a los anfitriones en una zona interna, tales como la zona desmilitarizada ( ORANGE ) oincluso la red LAN de confianza (VERDE ). Sin embargo, el reenvo a la verdezona no esrecomendable desde el punto de vista de seguridad.

Puede definir a qu puerto en el que la interfaz externa (puerto de entrada) ser enviado a undeterminado host / puerto en el interior (de destino). Los casos tpicos uso podra ser que transmitael puerto 80 en una interfaz externa de un servidor web en la DMZ o para reenviar el puerto 1022 enuna interfaz externa a un servidor SSH en el puerto 22 de una mquina en el DMZ. Es necesarioproporcionar los siguientes parmetros:

PROTOCOLO - protocolo: TCP, UDP, GRE (Generic RoutingEncapsulation - utilizado por los tneles) o todoslos

IP ENTRANTES - la interfaz (externo)

PUERTO DE ENTRADA - el puerto (1-65535) para escuchar en la interfazexterna

IP DE DESTINO - la IP de la mquina de destino al que se reenva


36/94

el trfico entrante a

PUERTO DE DESTINO - el puerto (1-65535) en el host de destino paraque el trfico de entrada se enva al

OBSERVACIN - una observacin de recordar el objetivo de lanorma hacia adelante


SNAT CONEXIONES ENTRANTES - especificar si el trfico entrante debe parecerprocedentes de la IP firewall en lugar de la IPreal

HABILITAR EL REGISTRO DE - registrar todos los paquetes que coinciden estaregla

Haga clic en elAADIR botn para confirmar la regla. A continuacin, puede activar / desactivar,

editar o borrar cada regla de la lista, haga clic en el icono correspondiente en la parte derecha de latabla (ver el icono de la leyenda en la parte inferior).

Despus de hacer cambios o adiciones a su conjunto de reglas, no te olvides de hacer clic enelAPLICAR botn en la parte superior de la pantalla!

Una vez que se define una regla, puede limitar el acceso al destino de desvo desde elexterior RED zona. Para ello, debe hacer clic en el signo ms-icon ("Aadir acceso externo") junto ala regla: permite limitar el acceso a una determinada fuente (host o la direccin de red). Usted puedehacer esto varias veces para agregar ms fuentes. Un caso de uso para esto sera permitir el accesoSSH al puerto externo 1022 slo a una IP externa de confianza de Internet.

Source NAT

En esta seccin se puede definir a qu fuente de conexiones de red salientes de traduccin dedirecciones (NAT de Origen) se debe aplicar. Source NAT puede ser til si un servidor detrsde Endian Firewalltiene su propia direccin IP externa y los paquetes de salida no debera usarla RED direccin IP del servidor de seguridad.

Aadir fuentes reglas NAT es similar a agregar reglas de reenvo de puertos. Las opciones disponiblesson las siguientes:

FUENTE - En este campo puede especificar si lasconexiones de salida que se inician desde unadireccin de red o IP, o las conexiones iniciadaspor un usuario de VPN debe ser de origen

NAT. Si elige el primer TIPO , a continuacin,debe introducir la direccin IP o red en el reade texto a continuacin (uno por linea). Si eligeel segundo TIPO se pueden seleccionar losusuarios que desee en el campo de seleccinmltiple a continuacin.

DESTINO - En este campo puede especificar si lasconexiones a una ZONA /VPN/UPLINK, a


37/94

una RED /IP o un USUARIO debe ser NAT. Sielige el primer TIPO , a continuacin, debeseleccionar una zona, una VPN o un enlaceascendente desde el campo de seleccinmltiple a continuacin. Si elige el

segundoTIPO

se debe introducir las direccionesIP o de red en el rea de texto a continuacin(uno por linea). Si elige la tercera DE TIPO sepueden seleccionar los usuarios que desee en elcampo de seleccin mltiple a continuacin.

SERVICIO / PUERTO - Aqu puede especificar el servicio que debe serNAT. En el SERVICIO DE caja de seleccin, puedeseleccionar valores predefinidos para distintosprotocolos. Si desea especificar un mismoservicio, debe seleccionar el protocolo enelPROTOCOLO DE caja de seleccin y, en caso deque desee aadir un puerto, as, entrar en lospuertos de destino en el PUERTO DEDESTINO textarea (un puerto por cada lnea).

NAT - Aqu puede elegir si desea aplicar Source NAT ono. Si opta por utilizar la red de fuente detraduccin de direcciones, puede seleccionar ladireccin IP que se debenutilizar. ElAUTO entradas elegirautomticamente la direccin IP en funcin dela interfaz de salida.En algunos casos es posible que desee declararexplcitamente que ninguna fuente de NAT sedebe realizar, por ejemplo, si un servidor de laDMZ est configurado con una IP externa y noquieres que sus conexiones de salida para quesu RED IP como fuente.

ACTIVADO - Marque esta casilla si la regla debe ser aplicada.

OBSERVACIN - Usted puede introducir una pequea nota aqude modo que puede recordar el propsito deesta regla.

POSICIN - Aqu puede especificar despus de que la reglaque desea insertar esta regla.

Para guardar la regla haga clic en el GUARDAR botn.

Configuracin de un servidor SMTP que seejecutan en IP 123.123.123.123 (suponiendo que123.123.123.123 es una direccin IP adicional desubida) en la zona de distensin con la fuente de


38/94

NAT: 1. Configure suORANGE zona quedesee. 2. Configurar el servidor SMTP para queescuche en el puerto 25 en una direccin IP enel ORANGE zona. 3. Aadir un enlace ascendenteEthernet esttica con IP 123.123.123.123 asu Endian Firewallen la RED , INTERFACESDE seccin. 4. Agregar una regla de origen NAT y

especificar el ORANGE IP del servidor SMTPcomo direccin de origen. Asegrese deusar NAT y configurar la direccin IP de origenNAT a 123.123.123.123.

El trfico de salidaSeleccione SERVIDOR DE SEGURIDAD DE la barra de mens en la parte superior de la pantalla, acontinuacin, seleccione EL TRFICO SALIENTE en el submen en el lado izquierdo de la pantalla.

Endian Firewallviene con un conjunto preconfigurado de reglas, que permiten el trfico de salida (esdecir, "acceso a internet") de la GREEN zona con respecto a los servicios ms comunes (HTTP,HTTPS, FTP, SMTP, POP, IMAP, POP3S, IMAPS, DNS , mesa de ping). Todos los dems servicios sonbloqueados de forma predeterminada.

Del mismo modo, el acceso a HTTP, HTTPS, DNS y mesa de ping est permitido a partir dela BLUE zona (WLAN), mientras que slo DNS y mesa de ping se permiten desde el ORANGE zonadesmilitarizada (DMZ).

Todo lo dems est prohibido por defecto.

En esta seccin se puede activar / desactivar, editar o eliminar reglas, haga clic en el iconocorrespondiente en la parte derecha de la tabla (ver el icono de la leyenda en la parteinferior). Tambin puede agregar sus propias reglas haciendo cl ic en el AADIR UNA NUEVA REGLA DEFIREWALL en la parte superior. Por favor, considere que el orden de las reglas es importante: la regla

de correspondencia primero decide si un paquete se permite o se deniega, sin importar cuantasreglas de coincidencia que pueda suceder. Puede cambiar el orden de las reglas de uso de la flechaarriba / abajo iconos junto a cada regla.

Una regla se define por los siguientes parmetros:

FUENTE - seleccionar una zona o de la interfaz,especifique uno o ms de la red / host odirecciones MAC

DESTINO - seleccionar toda la RED zona, uno o ms


39/94

enlaces ascendentes o uno o ms de la red /host las direcciones

DEL PUERTO DE SERVICIO - el servicio de destino: seleccione un nombre deservicio de la lista o especificar un protocolo yuno o ms nmeros de puerto (1-65535)

ACCIN - lo que debe hacerse con el paquete: aceptarque lo niega (cada sin respuesta al remitente) orechazar (por no saber al remitente del firewallcaer el paquete)

OBSERVACIN - una observacin de recordar el propsito de laregla de firewall ms adelante

POSICIN - en qu posicin de la lista debe ser la reglainserta

ACTIVADO - de verificacin para habilitar esta regla (pordefecto)

REGISTRAR TODOS LOS PAQUETES ACEPTADOS - Registrar todos los paquetes aceptados (noincluye paquetes denegados / rechazado): Estaopcin est desactivada por defecto, ya que vaa crear grandes volmenes de datos de registro

Despus de hacer cambios a una regla, no te olvides de hacer clic en el APLICAR botn en la parte

superior de la lista!

En la parte inferior de la pgina tambin puede encontrar las reglas que se ajustan automticamentepor Endian Firewalldependiendo de su configuracin.Es posible activar o desactivar el firewall de salida mediante el uso de todo el FIREWALL DE SALIDAHABILITAR LA conmutacin. Cuando est desactivada, todo el trfico saliente est permitido (no

recomendado).

Entre la zona de trfico

Seleccione SERVIDOR DE SEGURIDAD DE la barra de mens en la parte superior de la pantalla, acontinuacin, seleccione ENTRE LA ZONA DE TRFICO en el submen en el lado izquierdo de la pantalla.

Esta seccin le permite configurar las reglas que determinan cmo el trfico puede fluir entre losdiferentes zonas de la red, con exclusin de la RED zona.

Endian Firewallviene con un simple conjunto de reglas preconfiguradas: el trfico es permitido desdeel verde de zona a cualquier otra zona ( naranja y azul ) y el trfico es permitido dentro decadazona.

Todo lo dems est prohibido por defecto.

Anloga a la del servidor de seguridad el trfico de salida se puede activar / desactivar, editar oeliminar reglas, haga clic en el icono apropiado en el lado derecho de la mesa. Tambin puede


40/94

agregar sus propias reglas haciendo clic en el AADIR UNA NUEVA INTER-ZONA DE REGLAS DEFIREWALL en la parte superior.Por favor, consulte la seccin anterior ( TRFICO SALIENTE ) para ms detalles sobre el manejo de las

reglas del cortafuegos.

El servidor de seguridad entre la zona puede ser desactivado / activado en conjunto con el INTER-ACTIVA ZONA FIREWALL cambiar. Cuando est desactivada, todo el trfico se permite entre todas las

dems zonas de la RED de zona (no recomendado).

Trfico VPN

Seleccione SERVIDOR DE SEGURIDAD DE la barra de mens en la parte superior de la pantalla, acontinuacin, seleccione EL TRFICOVPN desde el submen en el lado izquierdo de la pantalla.

El cortafuegos de trfico de la VPN permite aadir reglas de firewall aplicadas a los hosts que estnconectados a travs de VPN.

El firewall VPN es el trfico que normalmente no se activa, lo que significa que el trfico pueda fluirlibremente entre los hosts de VPN y los anfitriones en el verde de zona y alberga VPN puedenacceder a todas las dems zonas. Tenga en cuenta que aloja VPN nosujetas a trfico de salida delfirewall o servidor de seguridad de trfico entre zonas. Si es necesario limitar el acceso desde o hacialos ejrcitos VPN es necesario utilizar el servidor de seguridad de trfico VPN.

El manejo de las reglas es idntica a la del servidor de seguridad del trfico saliente.Por favor, consulte el TRFICO SALIENTE de este captulo para obtener ms informacin sobre el

manejo de las reglas del cortafuegos.

Sistema de acceso

Seleccione SERVIDOR DE SEGURIDAD DE la barra de mens en la parte superior de la pantalla, acontinuacin, seleccione EL ACCESO AL SISTEMA en el submen en el lado izquierdo de la pantalla.

En esta seccin se pueden configurar las reglas que conceden o deniegan el acceso a la EndianFirewalls mismo.

Hay una lista de reglas preconfiguradas que no se puede cambiar. Esto es para garantizar el buenfuncionamiento del firewall, ya que estas normas se crean automticamente a medida que son

requeridos por los servicios que ofrece el servidor de seguridad. Haga clic en el >> botn "Mostrarreglas de los servicios del sistema" para mostrar estas reglas.

Haga clic en elAADIR UN NUEVO SISTEMA DE REGLAS DE ACCESO A enlace para aadir reglas

personalizadas aqu. Los parmetros siguientes se describe la regla:

DIRECCIN DE ORIGEN - especificar uno o ms de la red / host odirecciones MAC


41/94

ORIGEN DE LA INTERFAZ - especificar una zona o de la interfaz

SERVICIO / PUERTO - el servicio de destino: seleccione un nombre deservicio de la lista o especificar un protocolo yuno o ms nmeros de puerto (1-65535)

ACCIN - lo que debe hacerse con el paquete: aceptar

que lo niega (cada sin respuesta al remitente) orechazar (por no saber al remitente del firewallcaer el paquete)

OBSERVACIN - una observacin de recordar el objetivo de lanorma de acceso al sistema ms adelante

POSICIN - en qu posicin de la lista debe ser la reglainserta


REGISTRAR TODOS LOS PAQUETES ACEPTADOS - Registrar todos los paquetes aceptados (ademsneg / rechazado los paquetes): Esta opcin

est desactivada por defecto, ya que va a creargrandes volmenes de datos de registro

Haga clic en elAADIR botn para confirmar la regla. A continuacin, puede activar / desactivar,

editar o borrar cada regla de la lista de reglas, haga clic en el icono correspondiente en la partederecha de la tabla (ver el icono de la leyenda

Endian Firewall Manual de Refer en CIA r

Documents

Transcript of Endian Firewall Manual de Refer en CIA r