I Prefacio xvi
Versión del Documento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvii
Extensión de responsabilidad . . . . . . . . . . . . . . . . . . . . . . . . . xvii
Acerca de este Documento. . . . . . . . . . . . . . . . . . . . . . . . . . . xvii
Convenciones Tipográficas . . . . . . . . . . . . . . . . . . . . . . . . xviii
1 Capacidades 3
1.1 Características del Producto . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2 El modelo OSI 7
i
ii
IV Administración 18
4 Plataforma de Configuración 19
4.1 Configurando Via WebUI . . . . . . . . . . . . . . . . . . . . . . . 19
4.1.1 Vista General . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
4.1.2 Interface Layout . . . . . . . . . . . . . . . . . . . . . . . 19
4.1.3 Operaciones de Configuración . . . . . . . . . . . . . . . . . . 22
4.2 Monitoreo Via CLI . . . . . . . . . . . . . . . . . . . . . . . . . . 23
5 Registro 25
5.1 Vista General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
5.1.1 Importancia & Capacidad . . . . . . . . . . . . . . . . . . 25
5.1.2 Eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
5.2 Receptores de Registro . . . . . . . . . . . . . . . . . . . . . . . . . . 28
5.2.1 Receptor Syslog . . . . . . . . . . . . . . . . . . . . . . . . 28
5.2.2 Receptor de Registro de Memoria. . . . . . . . . . . . . . . . . . . 29
5.2.3 Receptor de Evento SMTP . . . . . . . . . . . . . . . . . . . . 29
6 Mantenimiento 31
6.1 Actualización del Firmware . . . . . . . . . . . . . . . . . . . . . . . . . . 31
6.2 Reset a valores de fabrica . . . . . . . . . . . . . . . . . . . . . . 32
6.3 Respaldo de Configuración . . . . . . . . . . . . . . . . . . . . . . . . 34
7 Ajustes Avanzados 35
7.1 Vista General. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
V Fundamentos 38
8 Objetivos Lógicos 39
8.1 Libro de Direcciónes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
8.1.1 Dirección IP . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
8.1.2 Dirección Ethernet . . . . . . . . . . . . . . . . . . . . . . . 41
8.2 Servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
8.2.1 Tipos de Servicio . . . . . . . . . . . . . . . . . . . . . . . . 42
8.2.2 Reporte de Error & Protección de Conexión . . . . . . . . . 46
8.3 Programas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
8.4 Certificados X.509 . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
8.4.1 Introducción a Certificados . . . . . . . . . . . . . . . . . 49
8.4.2 Certificados X.509 en los Firewalls D-Link . . . . . . . . . . 51
9 Interfaces 53
9.1 Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
9.1.1 Interfaces Ethernet . . . . . . . . . . . . . . . . . . . . . . 53
9.1.2 Interfaces Ethernet en los Firewalls D-Link . . . . . . . . . 54
9.2 Virtual LAN (VLAN) . . . . . . . . . . . . . . . . . . . . . . . . 56
9.2.1 Infraestructura VLAN . . . . . . . . . . . . . . . . . . . . 56
9.2.2 802.1Q VLAN Estandard . . . . . . . . . . . . . . . . . . 57
9.2.3 Implementación VLAN . . . . . . . . . . . . . . . . . . . 58
9.2.4 Utilizando LANs Virtuales para Expandir Interfaces Firewall . . 59
9.3 DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
9.3.1 Cliente DHCP . . . . . . . . . . . . . . . . . . . . . . . . . 60
9.4 PPPoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
9.4.1 PPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
9.4.2 Configuración de Cliente PPPoE . . . . . . . . . . 62
9.5 Grupos de Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
9.6 ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
9.6.1 Tabla ARP. . . . . . . . . . . . . . . . . . . . . . . . . . . 66
10 Routing 69
10.1 Vista General. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
10.2 Jerarquía de Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
10.3 Algoritmos Routing . . . . . . . . . . . . . . . . . . . . . . . . . . 71
10.3.1 Routing Estático . . . . . . . . . . . . . . . . . . . . . . . . 71
10.3.2 Routing Dinámico . . . . . . . . . . . . . . . . . . . . . . . 72
10.3.3 OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
10.4 Ruta de Failover . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
10.4.1 Escenario: Configuración de Ruta de Failover. . . . . . . . . 78
10.5 Implementación de Routing Dinámico . . . . . . . . . . . . . . . . 81
10.5.1 Proceso OSPF. . . . . . . . . . . . . . . . . . . . . . . . . 81
10.5.2 Política de Routing Dinámico . . . . . . . . . . . . . . . . . 81
10.5.3 Escenarios: Configuración de Routing Dinámico . . . . . . 82
10.6 Escenario: Configuración de Routing Estático. . . . . . . . . . . . 87
10.7 Politica basada en Routing(PBR) . . . . . . . . . . . . . . . . . . . . . 88
10.7.1 Vista General. . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
10.7.2 Politica basada en Routing Tables . . . . . . . . . . . . . . . . 89
10.7.3 Politica basada en Routing Policy . . . . . . . . . . . . . . . . 89
10.7.4 Ejecución PBR . . . . . . . . . . . . . . . . . . . . . . . . 89
10.7.5 Escenario: Configuración PBR . . . . . . . . . . . . . . . 91
10.8 ARP Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
12 DNS 101
14 Reglas IP 109
14.1 Vista General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
14.1.1 Campos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
14.1.2 Tipos de Acción . . . . . . . . . . . . . . . . . . . . . . . . . . 111
14.2 Traducción de Dirección. . . . . . . . . . . . . . . . . . . . . . . . . . 112
14.2.1 Vista General. . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
14.2.2 NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
14.2.3 Traducción de dirección en los Firewalls D-Link . . . . . . . . . 114
14.3 Escenarios: Configuración de Reglas IP. . . . . . . . . . . . . . . . . 116
Sysmsgs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
Stats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
Time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334
Uarules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334
Userauth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334
Userdb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
Vlan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
xi
xii
xiii
Parte I
Prefacio
xiv
Versión de Documento
Version No.: 1.0
Advertencia
La información en esta guía de usuario está sujeta a cambios sin previo aviso.
Ejemplo:
WebUI
:
Nota
Tip
Aviso
Información crítica que el usuario debe seguir al llevar a cabo cierta acción.
Advertencia
Información critica que el usuario DEBE seguir para evitar un daño potencial
xvii
Parte II
Vista General del Producto
CAPITULO 1
Capacidades
3
4 Capitulo 1. Capacidades
• Zona de Defensa
• Alta Disponibilidad (Algunos modelos)
Capa de presentación
– traduce las diversas aplicaciones a un formato uniforme de red que
Pueda ser comprendido por el resto de las capas.
Capa de Sesión
– establece, mantiene y termina las sesiones a través de la red.
Protocolos: NetBIOS, RPC, etc.
7
8 Capítulo 2. El modelo OSI
7 Capa de Aplicación
6 Capa de Presentación
5 Capa de Sesión
4 Capa de Transporte
3 Capa de Red
2 Capa de Datos-Link
1 Capa Física
Capa de Transporte
– controla el flujo de datos y entrega un manejo de errores. Protocolos: TCP,
UDP, etc.
Capa de Red
– despliega el direccionamiento y ruteo. Protocolos: IP, OSPF, ICMP,
IGMP, etc.
Capa de Datos-Link
– estructura los datos. Protocolos: Ethernet, PPP, etc.
Capa Física
– define los soportes de hardware.
La mayoría de los firewalls, incluyendo los firewalls D-Link, aseguran que el tráfico
de red
9
10 Capitulo 3. Principios del Firewall
cumpla con las definiciones actuales de protocolo. Esto puede prevenir que
servicios mal implementados en los servidores protegidos y clientes software sean
expuestos a datos inesperados, causando que éstos se suspendan ó se caigan. En
resumen un firewall es la respuesta de la red a una seguridad
deficiente por parte del anfitrión.
La seguridad implica mucho más que sólo firewalls. Sin embargo, en la mayoría de
los casos, instalar un firewall es necesariamente el primer paso para asegurar su red
y computador.
Esta sección no está específicamente dedicada a los firewalls D-Links; sino que
trata de los firewalls en general. Los problemas descritos aquí pueden ocurrir
independiente de cual firewall usted elija instalar.
Tome nota de que ésto sólo raya la superficie en términos del número de
problemas existentes.
Una protección completa sólo puede ser alcanzada a través una comprensión profunda
de todas las debilidades posibles en los protocolos de red y en el software utilizado,
y de la implementación de medidas apropiadas para compensar éstas.
Una buena precaución a tomar es revisar todos los sistemas conectados a Internet,
clientes y servidores, y remover todas las funcionalidades innecesarias.
Todos los intentos de asegurar las redes de una organización deben ser precedidos
por una profunda investigación sobre que puede o no ser permitido.
El resultado de ésto debe ser una política de seguridad que se aplique a todas las partes
de la organización, desde la administración inferior. Con la intención de que tales políticas
funcionen, todos los usuarios deben estar conscientes de estas políticas y por qué
deben ser reforzadas.
• Páginas HTML que vinculan en los contenidos de archivos locales cuando éstos
están abiertos sin scripts. Tales páginas pueden, a menudo con la ayuda
de usuarios locales confiados que son engañados en ”Ayudar” a la página
haciendo click en un botón, enviando el archivo vinculado hacia adelante a un
servidor Internet desconocido.
• Los documentos enviados por email que contienen scripts hostiles son
activados una vez que el documento es abierto. Maneras posibles para proteger su
sistema contra estas formas de ataque incluyen el evitar utilizando
un software buscador basado en email o deshabilitando el script e introduciendo
puertas de enlace mail que pueden bloquear scripts y otros códigos ejecutables.
• Buffer overruns, contra los cuales muy raramente proveen protección los firewalls.
Buffer overruns pueden ocurrir en cualquier aplicación, con un resultado net de
intrusos que son capaces de conseguir que los computadores protegidos ejecuten
cualquier comando. Aquí, la única solución es asegurar que sólo las aplicaciones
bien escritas, las cuales son diseñadas específicamente para ser inmunes a
esta forma de ataque son bien instaladas y utilizadas. Desafortunadamente los
software más actuales no están escritos con este problema en mente. Al
momento de escribir, se es de la opinión de que esto plantea la mejor amenaza
técnica para todas las formas de ataque basado en red, cuando casi todo el
software es susceptible a buffer overruns.
Esto puede parecer obvio. Sin embargo, la mayoría de la gente subestima el impacto
de tal daño.
Se vuelve cada vez más común para los usuarios en el flujo conectarse
directamente a las redes de sus compañías desde sus laptops vía VPN. Sin embargo,
el laptop mismo no es a menudo protegido. En otras palabras, un intruso puede obtener
acceso a las redes protegidas a través de un laptop no protegido con
conexiones VPN ya abiertas.
Una precaución básica a tomar es la protección de su red contra ataques a los modems
y conexiones VPN, asegurando que los computadores móviles jamás se
comuniquen directamente con el Internet. En cambio, deben siempre ser
dirigidos a través de VPN o modem de conexión y la red de la compañía, sin importar
a aquellos a los que se desea comunicar. De esta manera, éstos disfrutan
mas o menos el mismo nivel de protección que el resto de la red. Para conexiones
VPN, un cliente VPN competente que puede bloquear todos los tráficos Internet
entrantes, a un lado de aquellos que pasan a través de las conexiones VPN,
deben ser instalados en cada laptop.
Una conexión VPN o modem pool no debe jamás ser considerado como una parte
directa de una red protegida. Los puntos de término VPN deben en cambio ser localizados
en un DMZ especial o fuera del firewall al que están dedicadas sus tareas. Al hacer esto,
usted puede restringir cuáles servicios pueden ser accedidos vía VPN y
modem y por lo tanto asegurar que ése servicio esté bien protegido contra intrusos.
En casos en donde el firewall pone en relieve una puerta de enlace VPN integrada, es
usualmente posible imponer los tipos de comunicación permitidos. El Firewall
D-Link pone a flote tal facilidad.
El problema con los agujeros entre DMZ y redes internas no es realmente un problema
en sí. Mas bien, es una consecuencia de los problemas discutidos con anterioridad.
Mucha gente abre estos agujeros sin tener cuidado de los problemas que pueden
causar, lo cual es el por qué hemos elegido destacar estos problemas en
una sección separada.
Nota
El problema aquí no son los paquetes IP que son dirigidos a través de los servidores
DMZ, por eso el deshabilitar ”IP forwarding” no le proveerá ninguna protección.
El problema es que los intrusos pueden ejecutar comandos en estos servidores
del mismo modo que cualquiera en el teclado.
Debe también ser notado que su red interna será aún vulnerable
a los ataques incluso si el canal entre el DMZ y la red interna esta
hecha en un protocolo no-dirigible como un NetBEUI. Nuevamente, el problema
no son los paquetes que atraviesan redes inseguras hacia la red interna.
• Plataforma de Configuración
• Registro
• Mantenimiento
• Ajustes Avanzados
CAPITULO 4
Plataforma de Configuración
Una vez registrado en el WebUI, al usuario se le presentará una página con tres
Secciones distintas, como se muestra en la Figura 4.2:
• Barra de Menu
• Ventana principal
19
20 Capitulo 4. Plataforma de Configuración
Barra Menu
La barra menu consiste en un número de botones con tanto una sola opción ó
múltiples sub-opciones.
• Home
Dirijase a la página de inicio del WebUI.
• Configuración
- Guardar y Activar: Guarda la configuración y activa las modificaciones.
• Herramientas
- Ping: Herramienta utilizada para ping anfitriones en la red. Útil para la solución
de problemas y depuración.
- Upgrade: En esta página las firmas IDS y firmware del firewall pueden ser
modernizados.
• Estado
- System: Aquí es mostrado el estado del sistema. Carga CPU, conexiones etc.
• Help
Lea la última version de este manual.
Ventana Principal
Para conectar una terminal al puerto consola, siga los siguientes pasos:
Nota
Actualmente, el CLI puede sólo ser utilizado para visualización de estadísticas y estados.
El firewall no puede ser configurado a través de esta interfaz.
Este capítulo trata de los principios de registro y entrega una breve introducción al
diseño de los firewalls de registro D-Link. Para información acerca de cómo implementar
la función de registro por el firewall, refiérase a 13, Ajustes de registro
en la parte de Fundamentos.
Desde que el firewall se encarga de todo el tráfico que pasa a través de sus
interfaces desde una red protegida a otras áreas y además de los otros caminos
alrededor, ninguna desconfiguración o uso incorrecto de las funciones pueden resultar
25
26 Chapter 5. Logging
Tan pronto como los eventos requeridos por el registro ocurran, el firewall genera
respuestas basadas en tales eventos, y luego éstas son exportadas en archivos
de una forma u otra a uno o más receptores de registro.
5.1.2 Eventos
Hay un número de situaciones diferentes que pueden causar que los firewalls D-Link
generen y entreguen datos de registro. Cada una de tales ocasiones es referida
como un evento.
Algunos eventos, por ejemplo, el inicio y cierre del firewall, generarán siempre
entradas de registro. Otros, por ejemplo, para registrar si una regla especificada es
coincidente, son configurables. La razón más obvia y simple transmisión
por evento generado es, por supuesto, cuando el registro es configurado en la regla del
firewall, tal como una regla IP, reglas de Autentificación del Usuario, Reglas Threshold,
etc.
Los eventos de interés para captura generalmente caen en tres categorías claras:
Firewall System Issues, Security Policy, y Network Connection Status.
System Issues
Esta categoría de eventos registra el estado del sistema del firewall y cambios del
hardware, por ejemplo:
Security Policy
La información sobre diferentes acciones gatilladas por las reglas de firewall
son entregadas en esta categoría, incluyendo:
Conexiones de Red
Varias conexiones de tráfico, estados de routing, y registro de actividades del
usuario para depurar y monitorear el ambiente de la red caen en esta categoría.
Tanto los servicios autorizados como conexiones rechazadas pueden ser
registradas. Normalmente, el nombre de los servicios (o nombre de protocolo) es
utilizado como la etiqueta para el evento en la entrada de registro. Los eventos
más
comunes dentro de ésta categoría son enlistados a continuación.
• USAGE
– estadísticas periódicas del uso del sistema, tal como amplitud de banda,
conexiones, y etc.
• CONN
– eventos de estado de ingeniería, ej. apertura/cierre de conexiones.
• NETCON
– eventos de gestión remota del administrador.
• IFACEMON
– eventos de control de interfaz.
• DHCP/DHCPRELAY/DHCPSERVER
– eventos para cliente DHCP, para la retransmisión, o para el servidor.
• ARP
– mensajes de registro provenientes de la ingeniería ARP.
• FRAG
–mensajes de registro provenientes de la ingeniería de manejo fragmentada.
• OSPF/DYNROUTING
– información para el ruteodinámico.
• RFO
– dirige eventos fail over.
• PPP/PPPOE/PPTP/L2TP/GRE/IPSEC
– eventos para diferentes túneles.
• USERAUTH
– eventos para la autentificación del usuario.
• HA
– Eventos de Alta Disponibilidad.
• IDS/IDSUPDATE
– Eventos de Detección de Intrusos y actualización de base de datos.
• ZONEDEFENSE
– Eventos de Zona de Defensa.
• SNMP
– accesos SNMP permitidos y rechazados.
• IP.../TCP...
– información concerniente a paquetes TCP/IP.
Una vez que un nuevo evento es recibido, el receptor adhiere una entrada en el archivo
de registro para grabar los datos.
La mayoría de los receptores syslog introducen cada entrada de registro con un registro
de tiempo y la dirección IP del artefacto que envía el dato de registro:
Esto es seguido por el texto que el emisor ha elegido enviar. Todas las entradas de
registro del Firewall D-Link son introducidas por ”FW:” y una categoría, ej.
”DROP:” .
Con
Febel5fin de facilitar
2000 09:45:23elgateway.ourcompany.com
procesamiento automatizado
FW:deDROP:
todos los mensajes, los
Firewalls D-Link copian todos los datos de registro a una sola línea del texto. Los
datos siguientes al texto inicial son presentados en el formato nombre=valor. Esto
permite a los filtros automáticos encontrar fácilmente los valores que están buscando
El texto subsiguiente depende del evento que ha ocurrido.
sin suponer que una parte específica de datos se encuentra en una localización
específica en la entrada de datos. En un firewall D-Link, pueden ser configurados por
sobre 8 receptores Syslog y éstos pueden ser agrupados en uno o más grupos de
receptores. Comparado con el Memory Log Receiver el cual es introducido a
continuación, los receptores Syslog pueden ser utilizados para salvar y a largo plazo
almacenar los eventos registrados. Estos servidores de registro entregan una gestión
centralizada de archivos de registro, y el respaldo de los archivos, es posible
dependiendo del receptor(es) Syslog particular en uso.
5.2.2
Receptor de registro de memoria
Los firewalls D-Link pueden actuar como receptor de registro con su memoria
incorporada. Cuando la memoria de receptor de registro es habilitada en el firewall,
todos los eventos serán guardados en el archivo de registro en la memoria, y las
entradas más actuales generadas del archivo pueden ser desplegadas para el
administrador si lo solicita. Este almacenamiento de archivos de registro es temporal,
todos los contenidos del archivo pueden ser limpiados luego de ser reiniciado el
firewall, y ahí no hay respaldo. Solo una memoria de receptor de registro puede ser
configurada por un firewall
.
5.2.3
Receptor de Evento SMTP
Una única característica designada para eventos de registro IDS/IDP y alertas es
entregada por los firewalls D-Link, denominada como Receptor de Evento SMTP.
Con una apropiada configuración, el firewall está capacitado para registrar posibles
intromisiones y notificar al administrador enviando e-mail(s) para especificar
dirección(es) e-mail. Para mayor información acerca de esta función, refiérase a 19.5
Receptor de Registro SMTP para Eventos IDS.
31
CAPITULO 6
Mantenimiento
Este ejemplo describe cómo modernizar un Firewall D-Link con una nueva
versión de firmware.
WebUI
:
Aviso
Hay tres maneras de reajustar el Firewall D-Link a sus ajustes firmware y configuración
predeterminados de fábrica.
Aviso
Luego del proceso de reajuste, los ajustes del firewall serán restaurados
permanentemente.
Nota
WebUI
:
• Objetos Logicos
• Interfaces
• Ruteo
• DNS
• Ajustes de Registro
CAPITULO 8
Objetos Lógicos
Los objetos lógicos son elementos básicos de red definidos en el firewall, refiriendo
a las entidades que necesitan ser protegidas y también las fuentes inseguras y
aplicaciones que deben ser monitoreadas por las políticas de seguridad.
8.1.1 Direcciones IP
Para habilitar que cada entidad reciba y envíe datos desde o hacia una red TCP/IP,
se necesita una dirección IP de capa de red (OSI capa 3) para asociar
con cada punto entre la entidad de red y el link físico, esta es una interfaz.
En otras palabras, cada interfaz tiene una dirección IP única en la red para indicar
39
40 Capítulo 8. Objetivos Lógicos.
su localización.
WebUI
:
WebUI
:
WebUI
:
1. Especificar una Red IP4 objetiva ”lannet” como se muestra en el ultimo ejemplo.
→ User Authentication:
Ingrese el nombre del grupo usuario y luego haga click en OK:
Comma-separated list of user names and groups: users
8.2 Servicios
Los Servicios son programas software que utilizan protocolo de definición para entregar
varias aplicaciones a los usuarios de red. La mayoría de las aplicaciones cuentan
con protocolos localizados en la capa 7 OSI – capa de Aplicación – para entregar
comunicación desde
un programa de usuario a otros grupos en una red. En esta capa, otros grupos son
identificados y pueden ser alcanzados por tipos de protocolos de aplicación
específicos y parámetros correspondientes, tal como números de puerto. Por
ejemplo, el servicio HTTP de buscador en Web es definido como para utilizar el protocolo
TCP con puerto de destino 80. Alguno de los otros servicios populares en esta capa
incluyen FTP, POP3, SMTP, Telnet, y etc. Junto con estas aplicaciones oficialmente
definidas, los servicios a solicitud del usuario pueden ser creados en los
firewalls D-Link.
Los servicios son simples, en el sentido en el que éstos no pueden llevar a cabo
por sí mismos ninguna acción en el firewall. De este modo, una definición de
servicio no incluye ninguna información si el servicio debe ser permitido a través del
Firewall o no. Tal decisión es realizada por completo por las reglas IP del firewall, en las
cuales el servicio es utilizado como un parámetro de filtro. Para mayor información
acerca de cómo utilizar los servicios en reglas , véase 14 Reglas IP.
Los servicios de aplicación son corridos de manera más común en TCP o UDP, y son
a menudo asociados con un número de puerto bien conocido. En el firewall, están
definidos por el tipo de protocolo que la aplicación usa, y el número de puerto
asignado o rango de puerto. Para muchos servicios, un solo puerto de destino es
suficiente. El servicio HTTP, por ejemplo, utiliza un puerto de destino TCP 80,
Telnet utiliza TCP 23, y SMT utiliza TCP 25. En estos casos, todos los puertos
(0-65535) serán aceptados como puertos de fuente.
Los puertos múltiples o rangos de puerto pueden asimismo ser ajustados, por ejemplo, un
servicio puede ser definido para tener como puertos de fuente 1024-65535 y puertos de
destino 80-82, 90-92, 95. En este caso, un paquete TCP o UDP con puerto de destino
que es uno de 80, 81, 82, 90, 91, 92 o 95, y con un puerto de fuente en el rango
1024-65535, coincidirá con este servicio.
WebUI
:
El tipo de mensaje ICMP que puede ser configurado en los firewalls D-Link junto con
diversos códigos son enlistados a continuación:
• Redirect – la fuente avisa que existe una mejor ruta para un paquete
particular. Los códigos asignados son los siguientes:
→ ICMP Parameters
Seleccione el tipo ICMP y especifique los códigos para el servicio.
(Si es seleccionada la opción All ICMP Message Types, este servicio coincidirá con
Todos los 256 posibles Tipos de Mensajes ICMP.)
http://www.iana.org/assignments/protocol-numbers
WebUI
:
Grupo de Servicio
Los servicios definidos en las opciones anteriores pueden ser agrupadas con el
fin de simplificar la configuración de políticas de seguridad. Considere un servidor web
utilizando HTTP estándar al igual que SSL encriptado HTTP (HTTPS, refiérase a 22.3
SSL/TLS(HTTPS) ). En lugar de tener que crear dos reglas por separado
permitiendo ambos tipos de servicios a través del firewall, un grupo de servicio llamado,
por ejemplo, ”Web”, puede ser creado, con el HTTP y los servicios HTTPS como
miembros de grupo (mostrado en el ejemplo a continuación).
WebUI
:
una buena idea, ya que puede causar que la red protegida sea vulnerable a muchos
tipos de ataques, ej. DoS (Denial of Service) en particular.
Para resolver este problema, los firewalls D-Link pueden ser configurados para pasar un
mensaje de error ICMP sólo si está relacionado con una conexión existente a un
servicio.
Protección de Flood SYN (SYN Relay)
Un mecanismo denominado como ”SYN Relay” puede ser habilitado en el firewall para
proteger las direcciones de destino utilizados por un servicio desde el flujo SYN.
Una application layer gateway puede ser especificada para manejar diferentes servicios.
Mayor información puede ser encontrada en 18 Application Layer Gateway (ALG).
Para un servicio habilitado ALG, puede ser definido el número máximo de sesiones
permitidas al utilizar este servicio.
8.3 Programas
Programacion es un camino para crear limitaciones oportunas en las reglas del firewall.
Esto habilita al usuario para definir un cierto período de tiempo, en el formato de
año–fecha–tiempo, lo cual sólo activará las reglas en los tiempos designados.
Cualquier actividad fuera del espacio de tiempo programado no seguirá las reglas
y por lo tanto no le será permitido el paso a través del firewall. Los programas pueden
ser configurados para tener un tiempo de inicio y término, así como la creación de
diferentes períodos de tiempo en un día.
Una organización puede desear que sólo los usuarios internos accedan a Internet
durante las horas de trabajo, y esperar que esta restricción sea válida por un año.
Por lo tanto, uno puede crear un programa para restringir al firewall para permitir
tráfico de Lunes-Viernes, 8AM-5PM solamente, comenzando desde cierta fecha y
hora, colocando 2005-04-01 00:00:00, para una fecha de término. Durante las horas
no laborales, el firewall no permitirá el acceso.
WebUI
:
General
Name: Ingrese un nombre para este programa, e.j. ”office-hour”.
Defina un periodo de tiempo verificando los recuadros.
Start Date: Llene en el tiempo de inicio en un formato de ”aaaa-mm-dd hh:mm:ss”
ó haga click en el icono de calendario y elija la fecha de la ventana emergente.
End Date: (del mismo modo que ”Start Date” anterior)
- Una clave pública: La ”identity” del usuario, tal como nombre, ID del usuario, etc.
Certification Authority
Una Certification Authority (CA) es una entidad confiable que dicta certificados
a otras entidades. El CA digitalmente firma todos los certificados que dicta. Una firma de
CA válida en un certificado verifica la identidad del titular, y garantiza que el certificado
no ha sido falsificado por terceros.
Un CA puede también emitir certificados a otros CAs. Esto conduce a una jerarquía
de certificado ramificada. La CA más alta es denominada como CA de origen.
en ésta jerarquía, cada CA es firmada por el CA que está directamente sobre éste,
excepto para el CA de origen, el cual es típicamente firmado por él mismo.
Una trayectoria de certificado refiere al trayecto del certificado desde uno a otro. Cuando
se verifica la validez de un usuario certificado, el trayecto completo
Tiempo de validez
Una certificate revocation list (CRL) contiene una lista de todos los certificados que han
sido cancelados luego de su fecha de expiración. Esto puede suceder por distintas
razones. Una de éstas puede ser que la clave del certificado ha sido comprometida
de alguna manera, ó tal vez que el titular del certificado ha perdido los derechos de
autenticidad utilizando dicho certificado. Esto puede ocurrir, por ejemplo, si un
Empleado ha dejado la compañía desde donde el certificado ha sido establecido.
Certificados confiables
Listas de Identificación
WebUI
:
Carga de Certificado
Objects → X.509 Certificates → Add → X.509 Certificate:
Ingrese lo siguiente:
Name: Name of the certificate.
Options
Seleccione uno de lo siguiente:
Las interfaces físicas son entradas de las conexiones de red. Éstas permiten
al tráfico de red ingresar o salir de las áreas de red con las cuales éstas conectan.
Con el fin de controlar el tráfico en ambas direcciones, entrantes y salientes, y proteger
la red local, las reglas de seguridad en el firewall están limitadas a todas
las interfaces relevantes.
9.1 Ethernet
Ethernet es una de las arquitecturas Local Area Network (LAN) que sirven como base
para el IEEE 802.3 estándard, la cual especifica las capas de software físicas y
mas bajas. Es una de las más ampliamente implementadas LAN estándar.
Esta sección presenta el concepto de interfaz Ethernet. Alguno de los protocolos más
comúnmente utilizados que corren en Ethernet son introducidos en las secciones
9.2 VLAN y 9.4 PPPoE en este capítulo, otros como IPsec, PPTP,
L2TP, y ARP son cubiertos luego en el documento.
53
54 Capitulo 9. Interfaces
El HA habilita a las interfaces para compartir una dirección IP común y cada una como
una dirección IP privada para únicamente identificar un nodo cluster. El IP privado es
derivado desde el Par de Dirección HA IP4 configurado en el Libro de Dirección
objeto (Véase XIII High Availability para mayor información sobre escenarios cluster
HA).
Cuando se ajusta una interfaz para utilizar el modo transparente, el firewall actuará como
un switch de capa 2 y mostrará el tráfico que pasa a través de esa interfaz sin
modificar la fuente o destino de la información de dirección. Ambos lados de la
comunicación serán inconscientes de la presencia del firewall.
Para la configuración del modo transparente en las interfaces, refiérase a 27
Transparencia.
Nota
1. Especificando el anfitrión IP4 – ”lan ip” y ”lan gate”, y una Red IP4
– ”lannet” en el Objects.
(Vea los ejemplos en 8.1 Address Book)
2. Interfaces → Ethernet:
Haga click en el item para interfaz LAN
→ General:
Name: Defina o modifique el nombre de la interfaz interface en el recuadro de editar.
IP Address: Seleccione ”lan ip” desde la lista desplegable.
Network: Seleccione ”lannet” desde la lista desplegable.
Default Gateway: Seleccione ”lan gate” desde la lista desplegable.
Y luego haga click en OK.
3. Optional settings:
→ General:
Habilite DHCP Client en el recuadro de verificación
Habilite Transparent Mode en el recuadro de verificación
→ Hardware Settings:
(Los ajustes de red del hardware del adaptador pueden ser ajustados aquí.)
Media – Especifique si la velocidad del vínculo debe ser auto-negociada o
bloqueada a una velocidad estática.
Duplex – Especifique si duplex (bidireccional) debe ser auto-negociada o
bloqueada por completo ó half duplex.
→ Advanced:
Recuadro de verificación de Automatic Route Creation
Route Metric edit box
(Verificando estas opciones y especificando el valor métrico, la interfaz configurada
Aquí será adherida a la Main Routing Table
Como rutas para la información de dirección de destino. El valor métrico
Predeterminado es 100.)
High Availability: Selección de dirección IP Privada.
Los firewalls D-Link son por complete obedientes con las especificaciones IEEE
802.1Q para LANs virtuales, presentados por la definición de interfaces virtuales sobre
la interfaz física Ethernet. Cada interfaz virtual es interpretada como una interfaz
lógica por el firewall, con el mismo control de políticas de seguridad y capacidades
de configuración como interfaz regular.
Los LAN virtuales (VLAN) permiten a un LAN físico ser dividido en varios
LANs lógicos más pequeños los cuales tienen diferentes emisores de dominio. Ésto
limita el tamaño del emisor de dominio para cada LAN lógico, salva los costos de
emision de la banda ancha para optimizar el rendimiento y asignación de recursos,
y además divide grandes LANs en varias zonas de seguridad independientes
Para adherir puntos de control de seguridad. Los dispositivos localizados en el mismo
LAN pueden comunicarse sin tener conciencia de los dispositivos en otros LANs
Virtuales. Esto es ideal para separar departamentos industriales desde topologías
físicas a diferentes segmentos de función.
Hay 12 bits para VID dentro de cada etiqueta de 4-byte. Con estos 12 bits de
identificador, pueden existir por sobre 4096 VLANs en una red física.
Sin embargo, todas están reservadas y todos los ceros indican la no asociación VLAN.
Todos los otros identificadores pueden ser utilizados para indicar un VLAN
particular.
Guía de Usuario de los Firewalls D-Link
58 Capitulo 9. Interfaces
bytes
8 6 6 4 2 46 4
to
1500
Pre- Dest. Sou- Len- Data CRC
amble rce 32 bits gth
16 3 1 12
VLAN Pri- CFI VID
Type ority
Indicator
(0x8100)
VLAN Tag
Los VLANs en los firewalls D-Link son útiles en varios escenarios diferentes, por
ejemplo, cuando se necesita un filtro firewall entre diferentes departamentos de una
organización, o cuando se necesita expandir el número de interfaces.
WebUI
:
General
Name: Digite un nombre para la interfaz VLAN.
Interface: Seleccione la interfaz Ethernet a utilizar.
VLAN ID: Seleccione una ID VLAN conveniente. Dos VLANs no pueden tener la misma
ID VLAN si están definidos en la misma interfaz Ethernet. ( La misma ID deberá ser
Utilizada en el lado de término.)
Ajustes de Dirección
IP Address: Seleccione la dirección IP que la interfaz VLAN debe utilizar. Si no es
configurado, se debe utilizar el IP de la interfaz Ethernet. (Opcional)
Network: Seleccione la red para esta interfaz VLAN. (Opcional)
Default Gateway: Seleccione la puerta de enlace predeterminada para esta interfaz VLAN.
(Opcional)
Luego haga click en OK
Los LANs virtuales son excelentes herramientas para expandir el número de interfaces
en los firewalls D-Link. Los Firewalls D-Link con interfaces Ethernet de gigabit
pueden fácilmente ser expandidas con 16 nuevas interfaces utilizando un switch Ethernet
de puerto-16 con puerto uplink gigabit y soporte de LAN Virtual.
El proceso trazado a continuación describe los pasos requeridos para ejecutar una
expansión de interfaz. Note que la configuración específica del switch y firewall es un
modelo altamente dependiente y fuera del alcance de esta documentación.
• Conectar el puerto gigabit uplink del switch a una de las interfaces gigabit del
firewall.
Guía de Usuario de los Firewalls D-Link
60 Capitulo 9. Interfaces
• Cada puerto del switch sera visto ahora como una interfaz lógica en el firewall.
De este modo, el tráfico ingresando a través del switch, por ejemplo, puerto 12
sera recibido por la interfaz vlan 12 en el firewall.
En el ejemplo anterior, fue utilizado un puerto gigabit uplink en el switch y una interfaz
gigabit en el firewall. Las interfaces gigabit no son un requisito desde una perspectiva
de la funcionalidad;.
Sin embargo, desde una perspectiva de rendimiento, las interfaces gigabit son
recomendadas. Recuerde que un sólo link Ethernet es utilizado para llevar todo el
tráfico desde los puertos 16 switch, cada uno con una velocidad de link de interfaz de
100 Mbps.
9.3 DHCP
Es la abreviación para Dynamic Host Configuration Protocol, DHCP es el
protocolo de configuración de anfitrión de tercera generación para TCP/IP, el cual está
basado directamente en el BOOTP (Boot Protocol). Éste es utilizado para una asignación
automático de las direcciones de red y configuraciones para anfitriones recientemente
incluídos.
El propósito de utilizar DHCP es reducir el trabajo necesario para administrar una amplia
red IP. Existe un mecanismo software para mantener un seguimiento de las direcciones
IP más que la necesidad de que un administrador maneje las tareas. Esto significa que
un nuevo computador puede ser adherido a una red sin el problema de asignarle
manualmente una dirección IP única. El dispositivo Firewall D-Link puede actuar tanto
como un cliente DHCP, un servidor, o un transmisor a través de las interfaces.
Las funciones de servidor DHCP y de transmisión son cubiertas en 26, Servidor DHCP &
Transmisor.
Y usualmente acepta la primera oferta que recibe. Los clientes pueden renovar o liberar
su dirección IP asignada durante el período de contrato.
Para permitir que el firewall actúe como un cliente DHCP y localiza un servidor (es)
DHCP externo y reciba información de dirección dinámicamente, siga los pasos a
continuación:
WebUI
:
Interfaces → Ethernet:
Haga click en la interfaz que es conectada a la red externa y será utilizada como
cliente DHCP.
→ General:
Ajuste el nombre y direcciones de la interfaz.
(Vea el ejemplo en 9.1 Ethernet)
9.4 PPPoE
Point-to-Point Protocol sobre Ethernet (PPPoE) depende de los dos estándares
extensamente aceptados: Point-to-Point protocol (PPP) y Ethernet. Este es utilizado
para conectar múltiples usuarios en una red Ethernet al Internet a través de una
interfaz común en serie, tal como una sola línea DSL, dispositivo inalámbrico o
cable Modem. Todos los usuarios sobre el Ethernet comparten una conexión común,
entre tanto, el control de acceso y servicio pueden ser realizados en base a cada
usuario.
Hoy en día, muchos proveedores de un gran servidor Internet (ISPs) requieren clientes
para conectarse a través de PPPoE a su servicio Banda ancha. Utilizando PPPoE, el
proveedor puede fácilmente ejecutar las siguientes funciones por cada usuario:
9.4.1 PPP
Point-to-Point Protocol (PPP), es un protocolo de comunicación entre dos computadores
utilizando una interfaz en serie, por ejemplo, una conexión por red telefónica donde
un computador personal es conectado vía telefónica a un servidor.
El ISP suministra al usuario con una conexión PPP de modo que el servidor del
proveedor pueda responder las solicitudes del usuario, pasándolas por el Internet, y
reenvía las respuestas Internet solicitadas de vuelta al usuario. En comparación al
modelo de referencia OSI, PPP entrega un servicio de Capa 2 (capa de data-
link).
Como Capa 2, PPP define un mecanismo de encapsulación para soportar que
paquetes de multi-protocolos se displacen a través de redes IP. Comienza con un Link
Control Protocol (LCP) para el establecimiento de vínculo, configuración y pruebas.
Una vez que el LCP es inicializado, uno o varios Network Control Protocols
(NCPs) pueden ser utilizados para transportar el tráfico para un protocolo particular,
de modo que multiples protocolos puedan interoperar en el mismo enlace, por ejemplo,
ambos tráficos IP e IPX pueden compartir un enlace PPP.
La Autentificación está disponible como una opción para comunicaciones PPP. Los
protocolos de autentificación que comúnmente soporta PPP incluyen:
Interfaz PPPoE
Puesto que el protocolo PPPoE corre PPP sobre Ethernet, el firewall necesita utilizar
una de las interfaces normales Ethernet para correr sobre el tunel PPPoE.
Cada Túnel PPPoE es interpretado como una interfaz lógica por el firewall, con la
Misma]/o filtro/filtración, la capacidades de formación y configuración de tráfico como
interfaces regulares.
El tráfico de red proveniente del tunel PPPoE será transferido a la regla de ajustes del
Firewall para evaluación. La interfaz de fuente del tráfico de red es remitido al
nombre del Tunel PPPoE asociado en el firewall. El mismo es confiable para el tráfico
proveniente de la dirección opuesta, eso es, yendo a un túnel PPPoE.
Además una Ruta debe ser definida, de modo que el firewall conozca qué direcciones IP
deben ser aceptadas y enviadas a través del túnel PPPoE. El PPPoE puede
utilizar un nombre de servicio para distinguir entre diferentes servidores en la misma
red Ethernet.
Información de dirección IP
Conectar en demanda
WebUI
:
Cliente PPPoE
Autentificación
Es posible especificar exactamente qué protocolos debe utilizar el cliente PPPoE
para autentificarse. Se mantienen los ajustes predeterminados para la
autentificaciónn.
Dial-on-demand
Enable Dial-on-demand: Disable
Advanced
Si está habilitado ”Add route for remote network”, una nueva ruta será adherida parar
Esta interfaz.
WebUI
:
9.6 ARP
Address Resolution Protocol (ARP) es un protocolo de red, el cual mapea una dirección
de protocol de capa de red a una dirección hardware de capa de datos vinculados. Por
ejemplo, ARP es utilizado para determinar la dirección IP de la dirección Ethernet
correspondiente. Este trabaja en la OSI Data Link Layer (Capa 2) y es encapsulado por
headers Ethernet para transmission.
Un anfitrión en una red Ethernet puede comunicarse con otro anfitrión, sólo si éste
conoce la dirección Ethernet (dirección MAC) de ese anfitrión. Los protocolos de
mayor nivel tal como IP utilizan direcciones IP. Estos son diferentes del plan de
direccionamiento de un hardware de más bajo nivel tal como dirección MAC. El ARP
es utilizado para conseguir la dirección Ethernet de un anfitrión desde su dirección
IP.
Cuando un anfitrión necesita determinar una dirección IP para una dirección
Ethernet, éste transmite un paquete de solicitud ARP. El paquete de solicitud ARP
contiene la fuente de dirección MAC, la fuente de dirección IP y la dirección IP de
destino. Cada anfitrión en la red local recibe este paquete. El anfitrión con la dirección
IP de destino específico, envía un paquete de respuesta ARP al anfitrión de origen
con su dirección MAC.
Los items estáticos ARP pueden ayudar en situaciones donde un dispositivo está
reportando una dirección de hardware incorrecto en respuesta a las solicitudes. Algunos
puentes de terminal de trabajo, tales como módems radio, tienen tales problemas. Estos
pueden también ser utilizados para cerrar una dirección IP a un hardware específico
para incrementar la seguridad o evitar efectos de denial-of-service si hay usuarios
en una red. Notese sin embargo que tal protección sólo se aplica a paquetes que son
enviados a esa dirección IP, no se aplica a los paquetes que son enviados desde
esa dirección IP.
El publicar una dirección IP utilizando ARP puede server para dos propósitos:
• Asistir a los equipos cercanos de red respondiendo a ARP de una manera incorrecta.
Esta área de uso es la menos común.
• Entregar la impresión de que una interfaz del firewall tiene más de una dirección
IP.
Otra área de uso es publicar múltiples direcciones en una interfaz externa, habilitando
al firewall para que una dirección estáticamente traduzca la comunicación a estas
direcciones y las envíe a servidores internos con direcciones IP privadas.
Nota
En la selección ARP, las direcciones pueden solo ser publicadas una a la vez. La
sección de Ruta por el otro lado, puede manejar redes publicadas por completo
utilizando 10.8 Proxy ARP.
Nota
Para que las direcciones IP publicadas trabajen correctamente podría ser necesario
agregar una nueva ruta. (Véase 10 Routing) Si es agregada una dirección adicional
para una interfaz, la interfaz central deberá probablemente ser especificada como la
interfaz cuando se configure la ruta.
Este ejemplo describe cómo agregar una dirección IP extra a una interfaz Ethernet o
VLAN utilizando una ARP pública.
WebUI
:
Los dispositivos que funcionan en la capa de red, tal como routers o firewalls,
ejecutan el ruteo para conseguir dos tareas ante todo, la
Determinación de Trayectoria y el Packet Switching.
Determinación de Trayectoria
Antes de que cualquier paquete pueda ser enviado desde el remitente al receptor
se necesita determinar una trayectoria por la cual el paquete deba pasar.
Localizada en el corazón de cualquier dispositivo capaz de routing, como un
Firewall o un router es la tabla de routing, un mapa que entrega toda las
selecciones de ruta. Cada entrada en esta tabla de mapeo describe una ruta
disponible.
La definición de una ruta aquí es la conexión que vincula dos extremos de
comunicación y asimismo todos los dispositivos intermediarios de routing.
La descripción de ruta dentro de la tabla de routing indica la dirección del
receptor, y donde se encuentra la siguiente detención a la que el paquete se
debe dirigir para estar un paso más cerca de su destino, ya que en la circunstancia
de la red, es común tener más de un dispositivo situado a lo largo del camino.
Estos contenidos están almacenados en la tabla como campos diferentes, tal
como Interfaz, Red, Puerta de enlace, Destino, etc.
69
70 Capitulo 10. Routing
Packet switching
Luego de que es elegida una trayectoria, las funciones de packet switching toman
control sobre cómo el paquete es realmente movido. De acuerdo a la
información de la ruta seleccionada, el firewall/router reescribe la dirección
física del paquete a la dirección del siguiente hop, y reenvía el paquete al
siguiente hop con la dirección IP de destino sin modificar. En un escenario de la
vida real, muchos firewalls/routers pueden entrar a jugar durante el
proceso de reenvío del paquete, cada uno de estos reparte el paquete a su
vecino más cercano hasta que el paquete finalmente llegue al anfitrión receptor.
Un AS puede ser, por ejemplo, todas las redes computacionales pertenecientes a una
universidad ó a la red privada de una compañía. La organización está capacitada
para correr y administrar sus redes con sus propias políticas y algoritmo de routing
preferible, mientras aún es capaz de conectarse al mundo ”exterior”
Los routers dentro de un AS corren el mismo algoritmo routing y sólo necesitan conocer
la topología del área. Hay routers con puerta de enlace especial en el ASs que son
responsables de routing paquetes desde el área interna a varios ASs externos.
Los routers de puerta de enlace corren entre- el algoritmo de routing AS para determinar
las trayectorias hacia los destinos localizados en otros ASs. Los routers Intra-AS
mantienen todos relaciones con el router de puerta de enlace para dirigir los paquetes
hacia afuera. El algoritmo de routing intra-AS(Gateway interior) más frecuente es
es cubierto en la siguiente sección.
En caso de que un dispositivo falle (un vínculo caído) en una trayectoria seleccionada u
otro problema puede hacer a la trayectoria inalcanzable, el algoritmo selecciona la
mejor ruta siguiente y actualiza la tabla de routing para mantener correcto el contenido de
la tabla.
Muchos algoritmos de routing han sido propuestos y cada uno muestra diferentes
diseños para diferentes metas. Los algoritmos más generalmente implementados pueden
ser clasificados en dos tipos:Ruteo Estatico y Ruteo dinamico
De modo diferente a los algoritmos DV, el algoritmo Link state (LS) habilita a los routers
para mantener tablas de routing que reflejen la topología de la red completa,
una visión global de la información de routing. Como es definido en este algoritmo,
cada router transmite sus vínculos adjuntos y costos de vínculo a todos los demás
Routers en la red. Un router, una vez que recepciona las transmisiones del resto,
Comparación
Link state algorithm, debido a su estado de los enlaces globales de información mantenida en todos
Lados de la red, como un alto nivel de control de configuración y escalabilidad.
Este responde a modificaciones transmitiendo sólo la información actualizada
a todos los demás, y por lo tanto entrega una convergencia más rápida y una menor
posibilidad de loops de ruteo. OSPF puede además operar dentro de una
jerarquía, aunque RIP no tenga conocimiento del direccionamiento sub-red. Por otro
lado, OSPF exige un alto costo relativo, ej. un mayor poder CPU y memoria,
que un RIP, por consiguiente, puede ser más costoso de implementar.
Routing metrics
Routing metrics(los costos) son los criterios que un algoritmo de routing utiliza para
calcular la “mejor” ruta. Las principales consideraciones para un reenvío exitoso de
los paquetes incluyen lo siguiente:
• Longitud de la trayectoria
– La longitud de trayectoria es la suma de los costos asociados a cada vínculo.
Un valor comúnmente utilizado para esta métrica es denominada hop count, el
número de dispositivos routing, e.j. routers/firewalls, a través de los cuales
el paquete debe pasar en su trayectoria desde la fuente a su destino.
• Bandwidth
– Bandwidth es la capacidad de tráfico de una trayectoria, indicado por
”Mbps”.
• Load
– Load se refiere al uso de un router. El uso puede ser evaluado por la utilización
CPU y el rendimiento.
• Delay
– Delay es lo que se refiere al tiempo que toma mover un paquete desde la
fuente al destino. El tiempo depende de muchos factores, tales como la
amplitud de banda, carga, y la longitud de la trayectoria.
10.3.3 OSPF
OSPF es el algoritmo de routing dinámico incluído en los firewalls D-Link.
Desde la sección previa, se pueden observar las principales características del OSPF
como un Link state routing algorithm. A continuación observaremos la actual
operación de este algoritmo.
Algunos Routers que intercambian información de routing con routers en otros ASs
son llamados Autonomous System Boundary Routers(ASBRs).
ASBRs introducen rutas externamente aprendidas al AS y llena el routing externo
notificando por completo a todas las áreas normales OSPF.
Proceso Operativo
Establishment – ”Hello”
Una vez que es seleccionado el DR y el BDR, todos los otros routers dentro de
la misma área OSPF establecen una relación con éstos para intercambios
de información routing adicionales. Ningún router encendido después
aceptará el DR/BDR existente en la red a pesar de su propia prioridad
router. Desde que existe una alta demanda en el control de información del estado
de vínculo central del DR, la Router Priority debe ser configurada para elegir el
router más confiable en una red como DR. BDR es elegido al mismo tiempo
que DR, y establece la misma relación con los demás routers en el área, con
el fin de de hacer la transición a un nuevo DR smoother si hubiese alguna
falla del DR primario.
Autentificación OSPF
Las rutas pueden ser monitoreadas de dos formas. Una ruta monitoreada puede ser
considerada como caida” si el estado de vínculo en la interfaz se encuentra
caida o si la puerta de enlace predeterminada no responde a las solicitudes ARP.
Es posible utilizar ambos métodos de monitoreo al mismo tiempo.
En este escenario mostrado en la figura 10.1, dos ISP:s (ISP A e ISP B) son utilizados
para conectar al Internet. ISP A es conectado a la interfaz WAN1 del firewall e ISP B
es conectado a la interfaz WAN2. Con el fin de configurar el firewall D-Link para
utilizar ISP A como ISP primario, e ISP B como ISP de respaldo, las rutas
monitoreadas deberán ser configuradas.
Se necesitará de dos rutas, una ruta predeterminada (0.0.0.0/0) con métrica 1, ésta
utiliza la puerta de enlace predeterminada de ISP A y una ruta predeterminada con
métrica 2 que utiliza la puerta de enlace predeterminada de ISP B.
WebUI
:
Primero que todo se necesita asegurar que no se agregan rutas automáticamente por
La interfaz WAN1 Y WAN2.
Interfaces → Ethernet → Edit (WAN1):
En la etiqueta de ”Advanced”, ingrese lo siguiente:
Agregar la ruta predeterminada si la puerta de enlace predeterminada es
especificada: Disable
Luego haga click OK
Interfaces → Ethernet → Edit (WAN2):
En la etiqueta ”Advanced”, ingrese lo siguiente:
Agregar la ruta predeterminada si la puerta de enlace predeterminada es
especificada: Disable
Luego haga click en OK
Nota
Para ser capaz de escribir reglas con interfaz de destino que puedan utilizar ambas
rutas, se debe crear un grupo de interfaz que utilice la característica de
seguridad/transporte Equivalente. Esto hace a las dos interfaces iguales en el sentido de
seguridad.
Creando el grupo de interfaz.
Interfaces → Interface Groups → Add → Interface Group:
Ingrese lo siguiente:
Name: Digite un nombre para el grupo de interfaz.
Security/Transport Equivalent: Enable
Interfaces: Seleccione la interfaz WAN1 y WAN2.
Luego haga click en OK
Agregar reglas.
Se agregan reglas utilizando el grupo de interfaz recientemente creado como interfaz
de destino.
Véa 14.3 IP Configuración de Reglas para detalles sobre cómo configurar las reglas.
Nota
La ruta predeterminada para la interfaz WAN2 no será monitoreada. La razón para esto
es que no se posee una ruta de respaldo para la ruta sobre la interfaz WAN2.
Las áreas son definidas en base a las interfaces del firewall. Una interfaz que pertenece
a un area posee una Routing Priority a utilizar para la elección DR del área.
La interfaz puede ser utilizada tanto para transmitir, point-to-point, o comunicación
point-to-multipoint. La interfaz de transmisión se entera de los routers vecinos
automáticamente a través de la flooding de paquetes ”Hello”, mientras que para la
interfaz point-to-point o point-to-multipoint, se necesitan configurar por la interfaz
manualmente uno o más vecinos específicos. Las métricas de Routing utilizadas por
OSPF pueden también ser ajustadas o modificadas en una interfaz para interferir en
la determinación de trayectoria OSPF.
Una vez que el proceso OSPF es apropiadamente configurado por el firewall, éste puede
comenzar a dialogar con otros firewalls/routers utilizando algoritmo OSPF, enterándose
de la información link-state de la red.
Los usos más comunes para las Políticas de Routing Dinámico se encuentran
enlistados a continuación, ejemplos son entregados de manera consecutiva.
Como se muestra en la Figura 10.2 , el firewall es adoptado para tener una interfaz
”lan3” conectada a una pareja de redes locales, en donde el firewall controlará el
único trayecto entre estas; y 2 interfaces, ”lan1” y ”lan2” adheridas a la red local más
larga. Algunas de las redes serán accesibles a través de ambas interfaces, de modo
que alguna redundancy puede ser lograda si una trayectoria se vuelve inalcanzable.
Esto se realiza localizando las dos interfaces ”lan1” y “lan2” en un grupo de interfaz
de seguridad equivalente.
entren a actuar (Vea los siguientes 2 escenarios para políticas de routing dinámico).
WebUI
:
1. Proceso OSPF:
– añadiendo un proceso OSPF denominado ”ospf-proc1”.
→ Autentificación:
Seleccione uno de los tipos de autentificación que será utilizado en el proceso
,(ninguno, contraseña, ó MD5).
3. Interfaces:
– añadiendo las interfaces participantes en el proceso.
→ Advanced:
Asegúrese de que los valores de configuración enlistados correspondan con los
valores utilizados por los otros vecinos OSPF en la red.
4. Grupo de Interfaz:
– localice el ”lan1” y ”lan2” en un grupo de interfaz con seguridad equivalente.
Nota
Asegúrese de que las reglas IP del firewall, las cuales permiten que el tráfico
pase a través de estas interfaces, utilicen este grupo de interfaz como
fuente de interfaz.
En este escenario, todas las rutas recepcionadas desde ”ospf-proc1” serán añadidas en
la tabla routing principal, en la medida en que esto no es realizado automáticamente en el
firewall D-Link.
WebUI
:
General
Name: e.j. ”importOSPFRoutes”.
Check From OSPF Process:
Seleccione ”ospf-proc1” desde la lista Disponible y colóquelo en la lista
Seleccionada.
Destination Network
...Or is within: all-nets
2. Routing Action:
En este escenario la ruta predeterminada (solamente) desde la tabla routing principal será
exportada dentro del proceso OSPF ”ospf-proc1”.
WebUI
:
General
Name: e.j. ”exportDefRoute”
Check From Routing Table:
Seleccione la tabla routing principal desde la lista Available y colóquela en la lista
Selected.
Destination Network
Exactly Matches: all-nets
2. OSPF Actions:
En este ejemplo una red 192.168.2.0/24 ha sido ajustada para ser ruteada
a través de un router(192.168.1.10) en la red local, como se muestra en la
Figura 10.3. Para permitir que el firewall se comunique con esa red
(a través de la interfaz ”lan”), se debe configurar una ruta estática.
WebUI
:
General:
Interface: Seleccione ”lan”.
Network: Seleccione la dirección de red objetiva (192.168.2.0/24).
Gateway: Seleccione la dirección de router objetivva (192.168.1.10).
Nota
Como un resultado a este ajuste el tráfico en retorno desde el router será dirigido
directamente sobre la red local con una regla de ajuste estándar ”Allow”. Para que
este escenario trabaje la regla de ajuste IP debe establecer que el tráfico para esta
Red sera NATed o que será reenviada sin estado de rastreo
• Una regla de ajuste PBR separada, la cual determina cual tabla routing nombrada
se debe utilizar.
WebUI
:
WebUI
:
• Todas las direcciones en este escenario son direcciones públicas, para un facil entendimiento
Nótese que, para una sólo organización, la conectividad Internet a través de múltiples
ISP es normalmente mejor lograda a través de BGP, en donde no necesita preocuparse
en diferentes espacios IP ó políticas de routing. Desafortunadamente, esto no es siempre
posible, y aquí es donde la política basada en routing se vuelve una necesidad.
Se ajustará la tabla routing principal para utilizar ISP A, y adherir la tabla routing
nombrada, ”r2” que utiliza la puerta de enlace predeterminada de ISP.
Nota
Ver sección 10.6 Creating a Static Route para mayor información sobre cómo añadir
rutas.
Ver sección 10.7.4 Creating a Policy-Based Route para mayor información sobre
cómo añadir reglas a la tabla PBR.
En esencia, Proxy ARP tiene la misma funcionalidad que un ARP público (Ver 9.6
ARP)
La gran diferencia aquí es que usted puede, de manera simple, publicar redes
completas en una o más interfaces al mismo tiempo. Otra diferencia
de ligeramente menor significancia es que el firewall siempre publica las direcciones
como pertenecientes al firewall mismo; no es posible por lo tanto publicar direcciones
pertenecientes a otras direcciones de hardware.
Nota
Para mantener vigente la fecha y hora, el producto hace uso de un reloj construido a
tiempo real. El reloj es además equipado con una bacteria de respaldo para asegurar
la operación incluso si el producto pudiese perder la energía. En adición, el producto
soporta protocolos de sincronización de tiempo con el fin de ajustar automáticamente
el reloj basado en información de otros dispositivos.
95
96 Capitulo 11. Fecha & Tiempo
Ejemplo:
Para ajustar la fecha y hora en curso, siga los pasos esbozados a continuación:
WebUI
:
Nota
Ejemplo:
WebUI
:
Ejemplo:
WebUI
:
• SNTP
– Definido por RFC 2030, The Simple Network Time Protocol (SNTP)
es una implementación ligera del Protocolo de Tiempo de Red (NTP)
descrito en RFC 1305.
• UDP/TIME
– El Protocolo de Tiempo (UDP/TIME) es un antiguo método para proveer un
servicio de sincronización de tiempo sobre el Internet. El protocolo entrega
un sitio independiente, fecha y tiempo legible por máquina. El servicio de tiempo
envía de vuelta a la fuente original el tiempo en segundos desde la
media noche del primero de enero de 1900.
WebUI
:
Nota
Este ejemplo utiliza nombre de dominio en vez de direcciones IP. Por lo tanto,
asegúrese de que los ajustes de cliente DNS del sistema se encuentran apropiadamente
configurados como se describe en 12 DNS.
Domain Name System (DNS) puede ser considerado como una gran base de datos
distribuida que es utilizada para traducir desde nombres computacionales a sus
direcciones IP.
DNS es utilizado dentro del firewall siempre que sea necesario traducir un
nombre de dominio a una dirección IP. Además, el servidor DHCP dentro del firewall
puede distribuir los servidores DNS configurados en el firewall a todos los clientes que
soliciten un contrato IP. El ejemplo a continuación describe cómo configurar servidores
DNS en los firewalls D-Link. Los servidores configurados son utilizados por los clientes
DNS internos así como otros subsistemas tales como el servidor DHCP.
WebUI
:
System → DNS:
Primary Server: Ingrese la dirección IP del servidor DNS primario o seleccione
la dirección objetiva desde la lista desplegable (si la dirección del servidor ha sido
definida en el Libro de Direcciones).
Secondary Server: (Optional)
Tertiary Server: (Optional)
101
CAPITULO 13
Ajustes de Registro
13.1 Implementación
13.1.1 Definiendo Receptor Syslog
Como se ha explicado en la sección 5.2.1, Los receptores Syslog son administradores
externos de registro utilizados para recibir y almacenar datos de registro generados por
el firewall. Los datos de registro son enviados al receptor(es) Syslog a través de mensajes,
que son definidos por Facility and Severity.
Facility define cómo son enviados los mensajes a un receptor Syslog especificando
identificadores de fuente en los mensajes. El receptor puede típicamente clasificar
mensajes
103
104 Capítulo 13. Ajustes de Registro
WebUI
:
WebUI
:
Log Receivers
Log to: Marque tanto All receivers o Specific receiver(s)
(Si es marcado Specific receiver(s), seleccione el receptor Syslog que ha sido definido
previamente desde Available list a Selected list.)
El receptor de registro construído en memoria del firewall puede ser habilitado de una
manera similar a la explicada en el Ejemplo: Habilitando Syslog.
Para marcar los contenidos de archivo de registro almacenados por la memoria del
receptor de registro, siga los pasos a continuación:
WebUI
:
Pueden ser desplegados 100 ítems de eventos nuevamente generados por página.
Para ver eventos previos, presione next.
• Reglas IP
• Acceso (Anti-spoofing)
• Autentificación de Usuario
CAPITULO 14
Reglas IP
Básicamente, hay dos posturas del firewall que describen una filosofía fundamental
de seguridad:
Con el fin de entregar el mayor nivel de seguridad posible, default deny es la política
predeterminada en los firewalls D-Link. El default deny es logrado sin una regla
visible en la lista. Sin embargo, para propósitos de registro, la lista de regla
comúnmente tiene una regla DropAll al pie con el registro habilitado.
Cuando una nueva conexión es establecida a través del firewall, la lista de reglas son
evaluadas, de arriba a abajo, hasta que se encuentre una regla que coincide con la
nueva conexión. La acción de la regla es entonces llevada a cabo. Si la acción es
109
110 Capitulo14. Reglas IP
Una regla es expresada en una forma definitiva, consistente en dos partes lógicas: los
campos y la acción. Las sub-secciones a continuación explican los parámetros de una
regla que está disponibles en los firewalls D-Link.
14.1.1 Campos
Los campos son algunos objetos de red predefinidos y reutilizables, tales como
direcciones y servicios, los cuales son utilizados en cada regla con propósitos de
coincidencia. Los siguientes campos en la lista de regla son utilizados por el firewall para
verificar un paquete en el flujo de tráfico. Todos estos campos de filtro deben coincidir
los contenidos de un paquete para que cualquier regla se desencadene.
◦ Allow:
Deja a los paquetes pasar a través del firewall. El firewall ajustará además un
’state’ para recordar la conexión, y pasará el resto de los paquetes en esta conexión
a través de su motor de inspección dinámica.
◦ NAT:
Trabaja como las reglas Allow, pero con una traducción de dirección dinámica
habilitada. (Ver 14.2.2 NAT)
◦ FwdFast:
Deja al paquete pasar a través del firewall sin ajustar un estado para éste.
Generalmente hablando, es más rápido para un paquete individual, pero es
menos seguro que una regla Allow o NAT, y además más lento que reglas Allow
para la completa conexión establecida, como cada paquete subsecuente también
necesita ser verificado contra la sección de regla.
◦ SAT:
Le indica al firewall que ejecute la traducción de dirección estática. (Ver 14.2.3
Traducción de Dirección Estática) Esta regla requiere además una regla coincidente
Allow,NAT o FwdFast más abajo. (Ver Ejemplo)
◦ Drop:
Le indica al firewall que deseche inmediatamente el paquete.
◦ Reject:
Actúa como Drop, pero devuelve un mensaje TCP–RST o ICMP–Unreachable,
indicándole al remitente que el paquete ha sido deshabilitado.
Esta sección explica cómo trabaja NAT y qué es lo que puede y no puede hacer.
14.2.2 NAT
¿Qué es NAT?
Cuando se comunica con el Internet, cada nodo necesita registrar una dirección de
Red única para ser alcanzable. Pero las únicas direcciones disponibles del
Rango de IPv4 son muy limitadas mientras actualmente las redes se vuelven más y más
grandes. La traducción de dirección de Red (NAT) habilita a los computadores en
redes privadas para utilizar un grupo de direcciones no registradas internamente, y
comparte uno o un grupo de direcciones públicas IP para conexiones externas a
recursos Internet. Normalmente un router o un firewall localizado donde el LAN
encuentra el Internet hace todo lo necesario para las traducciones de
direcciones IP.
Para cada red NATed, los espacios de dirección IP privada (10.0.0.0/8,
172.16.0.0/12, 192.168.0.0/16) son reutilizadas. Esto significa que interfaces
múltiples conectadas a diferentes redes pueden tener la misma dirección, mitigando
la presión de tener que utilizar direcciones públicas IPv4 para cada nodo.
el mundo externo, toda la red privada es como un nodo que utiliza una dirección
IP pública, y la estructura interior y direcciones de la red se encuentran ocultas.
NAT depende de una máquina en la red local para iniciar cualquier conexión a
anfitriones del otro lado del firewall ó del router, esto previene actividades
malintencionadas iniciadas por anfitriones externos para alcanzar a estos
anfitriones locales. NAT-habilita firewalls, por ejemplo, los firewalls D-Link,
manejan todo el trabajo de traducción y redireccionamiento para pasar el tráfico
y pueden entregar caminos para restringir acceso a Internet al mismo tiempo.
• Flexibilidad de administración – NAT puede ser utilizado para dividir una gran
Red en varias más pequeñas. Las partes más pequeñas exponen sólo una
dirección IP al exterior, lo cual significa que los computadores pueden ser añadidos
o removidos sin causar impacto en las redes externas. Los firewalls D-Link
contienen servidor DHCP, el cual permite a los clientes ser configurados
automáticamente. El administrador no necesita aplicar ningún cambio a cada
computador en la red interna, por ejemplo, si la dirección de servidor DNS es
modificada, todos los clientes comenzarán automáticamente a utilizar la nueva
dirección la siguiente vez que se contacte con el servidor DHCP.
Sender Server
192.168.1.5 : 1038 → 195.55.66.77 : 80
FW tran 195.11.22.33: 32789 195.55.66.77 : 80
reply 195.11.22.33: 32789 195.55.66.77 : 80
FW rest 192.168.1.5 : 1038 ← 195.55.66.77 : 80
El servidor del destinatario considera la dirección NATed del firewall como el origen
del paquete, procesa el paquete y envía su respuesta de vuelta a la dirección
NATed.
El firewall recibe el paquete y lo compara con su lista de conexiones abiertas. Una vez
que encuentra la conexión en cuestión, éste restaura la dirección original y
reenvía el paquete al remitente real.
- DMZ & Port Forwarding: SAT soporta el uso de red DMZ para entregar servicios
públicos al Internet, mientras tanto protegiendo la red privada de una
revelación innecesaria para el mundo externo.
(ver 16, DMZ & Reenvío de Puerto)
- Server Load Balancing: SAT puede re-direccionar las conexiones señaladas como
algún servidor para alternar servidores seleccionados. (ver 24, Balance de Carga
de Servidor)
• Regla NAT
• Regla SAT
– Publica un Servidor accesible con una Dirección Privada en un DMZ
En este ejemplo, se configura una regla IP para permitir paquetes ICMP (Ping) para ser
recibidos por la interfaz externa del firewall.
2. Crea una Regla nueva con nombre ”Ping to Ext”, y permite el servicio desde
cualquier interfaz en todas las nets para la interfaz central del firewall en la red
ip ext .
WebUI
:
2. Crear Regla
El paso final es crear la regla que permitirá paquetes ICMP(Ping) ser recibidos
por la interfaz externa del firewall.
Rules → IP Rules → Add → IP Rule:
Name: Ping to Ext
Action: Allow
Service: ping-inbound
Source Interface: any
Source Network: all-nets
Destination Interface: core
Destination Network: ip ext
Luego haga click en OK
En este caso, se ajusta una regla NAT en el firewall que permitirá buscar el Internet
desde direcciones IP privadas detrás del firewall. Las direcciones IP privadas serán
traducidas a la dirección IP externa del firewall.
2. Agregar un servicio objetivo ”DNS” que utilizará puerto 53 TCP/UDP para habilitar
el nombre de servicio determinado.
3. Crear dos reglas que apliquen NAT a los servicios anteriores desde la interfaz interna en
La red interna para cualquier interfaz de destino en cualquier red.
WebUI
:
El siguiente paso es crear la regla que llevará el tráfico NAT HTTP desde interfaces
Internas por sobre interfaces externas.
Rules → IP Rules → Add → IP Rule:
Name: HTTP from LAN
Action: NAT
Service: http
Source Interface: LAN
Source Network: lan-net
Destination Interface: any
Destination Network: all-nets
Luego haga click en OK
El paso final es crear la regla que NAT(eará) tráfico DNS desde interfaces internas
por sobre interfaces externas.
Rules → IP Rules → Add → IP Rule:
Name: DNS from LAN
Action: NAT
Service: dns-all
Source Interface: LAN
Source Network: lan-net
Destination Interface: any
Destination Network: all-nets
Luego haga click en OK
Nota
Para reglas NAT es posible especificar la dirección IP que deben traducir las
direcciones IP internas. Esto puede ser realizado en la etiqueta ”NAT” cuando se
configure la regla. Por defecto, la dirección de la interfaz de destino es utilizada.
Este ejemplo ofrece un servidor web con una dirección privada localizada en un
DMZ, y máquinas internas localizadas en una red local que desean buscar el
Internet. Con el fin de habilitar usuarios externos para acceder al servidor web, el
servidor debe ser alcanzable desde una dirección pública. De este modo, se traslada el
puerto 80 en la dirección externa del firewall al puerto 80 en el servidor web:
2. Regla 1: Crear una nueva regla que SAT el tráfico HTTP direccionado a la
dirección pública IP externa ip ext, a la dirección IP privada del servidor web.
∗ Regla 2: Crear una regla NAT que permita el tráfico SAT:ed por la regla
anterior.
∗ Regla 3: Crear una regla NAT que permita a las máquinas internas en la red local
acceder el Internet vía HTTP.
WebUI
:
El siguiente paso es crear una regla NAT que permita el tráfico SAT:ed por la regla
anterior.
Rules → IP Rules → Add → IP Rule:
Name: SATNAT to WebServer
Action: NAT
Service: http
Source Interface: any
Source Network: all-nets
Destination Interface: core
Destination Network: ip ext
Luego haga click en OK
El paso final es crear una regla NAT que permita a las máquinas internas en la red
local para acceder al Internet vía HTTP.
Rules → IP Rules → Add → IP Rule:
Name: HTTP from LAN
Action: NAT
Service: http
Source Interface: LAN
Source Network: lan-net
Destination Interface: any
Destination Network: all-nets
Luego haga click en OK
Nota
La regla SAT iniciada no le hace nada a los datos actuales. Si hay una coincidencia
con el paquete recibido y una regla SAT, el firewall continuará pasando los paquetes
a través de la lista de regla hasta que una segunda regla coincida. Cuando
los paquetes abandonan la lista de regla, esta regla las redirecciona al
destino.
Soluciones Alternativas
Dato
15.1.1 IP Spoofing
El spoofing IP es uno de los ataques enmascarados más comunes, en donde el
atacante utiliza direcciones IP de confianza del firewall para evitar el filtro de
tráfico. En el proceso de spoofing, el encabezado de un IP indicador de la dirección de
fuente de un paquete entregado puede ser fácilmente modificado a una dirección de
anfitrión local, de modo que el firewall confiará en la solicitud proveniente de una
fuente confiable. Aunque el paquete no pueda ser respondido por la fuente inicial,
hay una posibilidad de congestión de red innecesaria y ataques de negación de
123
124 Capítulo 15. Acceso (Anti-spoofing)
Servicios (DoS). Incluso si el firewall está capacitado para detectar los ataques DoS, es
difícil localizarlos o detenerlos debido al spoofing.
15.1.2 Anti-spoofing
Para equipar el firewall con la habilidad Anti-spoofing, se necesita un filtro extra contra
la verificación de dirección de fuente. Los firewalls D-Link entregan al administrador
de red elecciones a para hacer el filtrado basado en IP por Reglas de Acceso.
Otra característica entregada por los firewalls D-Link, tal como Autentificación de Usuario
y Encriptación, aseguran que exista una apropiada medida de autentificación
y la comunicación sea llevada a cabo sobre canales seguros, los cuales pueden además
reducir la amenaza de spoofing.(Ver 17 Autentificación del Usuario, VIII VPN)
15.2.2 Ajustes
La configuración de una regla de acceso es similar a las reglas normales,
contenedoras de los Campos de Filtro y la Acción a tomar. Si el tráfico coincide todos
Campos de Filtro
◦ Interfaz:
La interfaz a la cual llega el paquete.
◦ Red:
El span IP al cual debe pertenecer la dirección del remitente.
Acción
◦ Drop:
Descarta los paquetes que coinciden con los campos definidos.
◦ Aceptar:
Acepta los paquetes que coinciden con los campos definidos para una
mayor inspección en los ajustes de Regla.
◦ Expect:
Si la dirección del remitente del paquete coincide la Red especificada por esta
regla, la interfaz receptora es comparada con la interfaz específica.
Si la interfaz coincide, el paquete es aceptado de la misma manera que por la acción
de Accept. Si la interfaz no coincide, el paquete es desechado de la misma
manera que la acción de Drop.
Este ejemplo mostrará cómo asegurar que el tráfico recibido en la interfaz LAN siempre
posea la dirección de fuente correcta, dentro de la red lan-net.
WebUI
:
La siguiente regla asegurará que ningún tráfico con una dirección de fuente que no
esté dentro de la red lan-net será recibida en la interfaz LAN.
Rules → Access → Add → Access Rule:
Name: LAN Access
Action: Expect
Interface: LAN
Network: lan-net
Luego haga click en OK
16.1 General
16.1.1 Conceptos
DMZ – ”Demilitarized Zone” – Se mantiene para un área que no es parte de una red
Interna confiable ni es parte directa de Internet público.
Típicamente, DMZ es una subred distinta entre el firewall protegido, el LAN privado y
la red pública. Contiene uno o más computadores que son accesibles al tráfico
Internet y actúan como servidores proxy para servicios públicos, tal como
Web (HTTP), FTP, SMTP(Email), y servidores DNS.
En una configuración DMZ, los computadores (servidores) asentados fuera del LAN
Privado, responden a ó reenvían las solicitudes de servicio. El firewall es configurado
para prevenir a los computadores en el DMZ de solicitudes entrantes iniciales, y
reenvía el tráfico desde el Internet a computadores DMZ sin contacto directo con el
LAN interno. Obviamente, esta propuesta añade una capa extra de protección a la
infraestructura Intranet–firewall–Internet.
127
128 Capitulo16. DMZ & Port Forwarding
El servicio disponible públicamente más común que toda corporación necesita tener
es el buscador de Web(HTTP). Sin embargo, es inseguro ubicar un servidor Web
dentro de la red interna junto con otros computadores privados, debido a que tal
servidor puede fácilmente ser explotado de manera perjudicial por intrusos. Cuando
el servidor cae bajo control de manos erróneas, otros computadores privados se
volverán vulnerables a ataques. Por lo tanto, tal servicio debe ser localizado en un
área de red distinta – DMZ.
Se pueden definir Reglas que permitan al servidor en el DMZ aceptar sólo cierto tipo
de Solicitudes de servicio, las solicitudes basadas en HTTP en este caso, para proteger
el servidor. Por ejemplo, suponiendo que nuestro servidor web está corriendo en NT eso
podría ser vulnerable a un número de ataques de negación-de-servicio contra servicios
tales como RPC, NetBIOS y SMB. Estos servicios no son requeridos para la
operación de HTTP. De modo que se pueden ajustar reglas para bloquear conexiones
TCP relevantes para puertos 135, 137, 138, y 139 en ese servidor para reducir la
exposición a ataques de negación-de-servicio.
Resumen:
Esta solución significa que, con un despliegue DMZ, no hay acceso directo desde el
Internet a la red interna, y nadie tratando de acceder a recursos en DMZ desde el
Internet podrá pasar las reglas del firewall.
Los ajustes de las reglas del firewall siguen un principio importante de seguridad,
esto es, limitar las conexiones a un número mínimo necesario para soportar los
servicios.
• Un firewall D-Link con 3 interfaces: Int net, DMZ net, y Ext net
Desventaja: Aunque todos los datos públicos accesibles están ahora en la red
DMZ, la protección al Servidor de Base de datos es debilitada. Si un hacker
toma control sobre el Servidor Web, él o ella puede ir directo a la Base de datos.
√
Propuesta 3 – Dividir DMZ en diferentes zonas.
16.1.3 Beneficios
Como se ha ilustrado en la sección previa, el hacer buen uso de una red DMZ entrega
varias ventajas tanto en seguridad de red como en perspectivas de administración:
• Repartir servicios no sólo por anfitriones, sino que con los limites de red en
Nivel de confianza entre componentes de red. Esta propuesta puede reducir mucho
la probabilidad de penetración en un componente utilizado para interrumpir en los
otros.
131
132 Capítulo 17. Autentificación del Usuario
Por lo tanto, los métodos más comúnmente utilizados para servicios de red son (b)
y (c). Hay además riesgos potenciales utilizando cualquiera de estos dos métodos, por
ejemplo, las claves pueden ser interceptadas, la tarjeta puede ser robada, las personas
tienden a utilizar contraseñas débiles que son fáciles de adivinar, y pueden ser malos
para guardar cualquier secreto, etc. Por lo tanto, estas dos propuestas son a
menudo combinadas para tener añadidas unos niveles de seguridad y factores. Por
ejemplo una tarjeta es a menudo otorgada a una persona con una contraseña.
• Adivinar:
Intente casos posibles. Las contraseñas que son elegidas desde un diccionario, ó
información personal del usuario, tal como nombre, número telefónico, y
fecha de cumpleaños son vulnerables a estos ataques.
• Descubrir:
• Crack:
Búsqueda exhaustiva por algunos crackers de software. Contraseñas de corta
longitud o menos caracteres aleatorios son fácilmente fracturados.
Contramedidas
Para prevenir los ataques ”Guess” y ”Crack”, una BUENA contraseña debería ser:
• elegir las contraseñas que pueden ser digitadas rápidamente para prevenir que
alguien cercano observe.
Aunque las condiciones anteriores pueden parecer estrictas e inconvenientes, estas tienen
la intensión de asegurar tanto los derechos del usuario y propiedades, como el
sistema de red protegida. Una nueva selección de contraseña además ayuda en
proteger los túneles de Capa 2, los cuales aplican Encriptación en base a contraseñas
introducidas por usuario (Ver 22.2 PPTP/L2TP).
• administradores
• usuarios PPPoE/PPTP/L2TP
– utilizando métodos de autentificación PPP
• grupos de usuario
– grupo de usuarios que están sujetos al mismo criterio de regulación
Cuando la base de datos local es habilitada, el firewall consulta sus perfiles de usuario
interno para autentificar al usuario antes de aprobar cualquier solicitud de usuario.
• HTTP
– Autentificación vía buscador web. Usuarios navegan en el firewall y se
registran tanto en forma HTML ó un diálogo de Autentificación Requerida 401.
• HTTPS
– Autentificación vía buscador web seguro. Similar al agente HTTP a excepción
de que los Certificados Host & Root son utilizados para establecer conexión SSL
con el firewall.
(refiérase a 22.3 SSL/TLS (HTTPS))
• XAUTH
– Autentificación durante negociación IKE en VPN IPsec (si el túnel IPSec
ha sido configurado para requerir autentificación XAUTH).
(refiérase a 22.1.4 IKE XAuth)
• PPP
– Autentificación cuando los túneles PPTP/L2TP son ajustados (si el túnel
PPTP/L2TP ha sido configurado para requerir autentificación del
usuario).
(refiérase a 9.4.1 PPP, y 22.2 PPTP/ L2TP)
• Desde dónde (ej. interfaz receptora, fuente de red) los usuarios están habilitados
para autentificar al firewall;
• Cuál agente será utilizado por el firewall para provocar a los usuarios a
solicitar autentificación.
Nota
• El firewall recibe las solicitudes del usuario desde su interfaz, y registra en la regla de
ajuste IP que este tráfico es permitido para alcanzar su agente central de
autentificación.
• Luego el firewall reenvía las futuras solicitudes de servicio del usuario aprobadas
a los destinos deseados, si el servicio es permitido por una regla IP explícitamente,
y el usuario es un miembro de el(los) grupo(s) de usuario(s) definidos en la
dirección objetiva de esa regla. Las solicitudes de aquellas fallas en los pasos
de autentificación son desechados.
WebUI :
3. Repita el paso 2 para añadir todos los usuarios ”lannet” teniendo la membresía
del grupo ”users” en el archivo de usuario lannet auth.
Nota
Hay dos grupos predeterminados de usuario, el grupo administrador y el grupo
auditor. Los usuarios que son miembros del grupo administrador son permitidos para
cambiar la configuración del firewall, mientras los usuarios que pertenecen al grupo
auditores están sólo autorizados para ver la configuración del firewall. Presione los
botones bajo el recuadro de editar de los Grupos para garantizar la membresía de estos
grupos a un usuario.
WebUI
:
Port: 1812 (el servicio RADIUS utiliza puerto registrado UDP 1812 por defecto.)
Retry Timeout: 2 (El firewall re-enviará solicitudes de autentificación al servidor si no
hay respuesta luego del tiempo de descanso, ej. cada 2 segundos. El firewall lo
reintentará tres veces como máximo.)
Shared Secret: Ingrese una serie de textos para la Encriptación básica de los
mensajes RADIUS.
Confirm Secret: Redigite la secuencia para confirmar lo tipeado anteriormente.
Se asume que ”lannet”, ”users”, ”lan ip”, archivo de base de datos local –
”lannet auth users”, y una dirección objetiva de autentificación ”lannet users”
es especificada (Refiérase a 8.1 Ejemplo: Habilitando Autentificación de Usuario para
una IP Objetiva).
WebUI
:
Filtro de Dirección
Elija lo siguiente desde las listas desplegables:
Source Destination
Interface: lan core
Network: lannet lan ip
Comentarios:
Permitir las conexiones HTTP al agente de autentificación del firewall.
→ Authentication Options
General
Local User DB: lannet auth users
Filtro de Dirección
Source Destination
Interface: lan any
Network: lannet users all-nets
(Note que la fuente de red es aquí una dirección objetiva contenedora de información
de autentificación de usuario.)
Nota
El ALG actúa como el representante del usuario para obtener las aplicaciones Internet
más comúnmente utilizadas fuera de la red protegida, ej. acceso Web, transferencia de
archivo, y multimedia. Tales agentes conscientes de aplicación entregan una mayor
seguridad que los firewalls que sólo filtran paquetes, ya que son capaces de
inspeccionar todo el tráfico para que los protocolos específicos de servicio entreguen
protección en el nivel superior de la pila TCP/IP.
• FTP
• HTTP
• H.323
147
148 Capitulo 18. Application Layer Gateway (ALG)
18.2 FTP
El File Transfer Protocol (FTP) es un protocolo basado en TCP/IP para el intercambio de
archivos entre cliente y servidor. El cliente inicia la conexión al conectarse al servidor
FTP. Normalmente el cliente necesita autentificarse a sí mismo entregando un
registro y contraseña predefinidos. Luego de ganar acceso, el servidor proveerá al
cliente con un listado de archivo/directorio desde el cual puede descargar/cargar
archivos (dependiendo de los derechos de acceso). El FTP ALG es utilizado para
administrar conexiones FTP a través del firewall.
Cuando una sesión FTP es abierta, el cliente FTP establece una conexión TCP
(el canal de control) al puerto 21( por defecto) en el servidor FTP.
Lo que sucede luego de este punto depende del modo en que es utilizado el FTP.
Modos
Existen dos modos, activo y pasivo, describiendo el rol del servidor con respecto a los
canales de datos abiertos
En el modo activo, el cliente FTP envía un comando al servidor FTP indicando a qué
dirección IP y puerto el servidor debe conectarse. El servidor FTP establece el canal
de datos de vuelta al cliente FTP utilizando la información de dirección recibida.
En el modo pasivo, el canal de datos es abierto por el cliente FTP del servidor FTP,
tal como el canal comando. Este es el modo recomendado por defecto para
Clientes FTP, de acuerdo a el ”firewall-friendly FTP”
RFC.
Asuntos de Seguridad
Solución
La característica más importante del ALG FTP es la capacidad única de ejecutar una
“conversión en el camino” entre el modo activo y pasivo. La conversión puede ser
descrita como:
• El cliente FTP puede ser configurado para utilizar el modo pasivo, el cual es el modo
recomendado para los clientes.
• El servidor FTP puede ser configurado para utilizar el modo activo, el cual es el
modo más seguro para los servidores.
Esta implementación resulta en que tanto, el cliente FTP y el servidor FTP trabajan
en su modo más seguro. Naturalmente, la conversión también trabaja el otro camino,
este es, con el cliente FTP utilizando modo activo y el servidor
FTP utilizando modo pasivo.
WebUI :
1. ALG
Objects → Application Layer Gateways → Add → FTP ALG:
General:
Name: ftp-inbound
Marque cliente Allow para utilizar el modo activo (inseguro para cliente).
Desmarque Allow servidor para utilizar el modo pasivo (inseguro para el servidor)
Luego haga click en OK.
2. Services
Objects → Services → Add → TCP/UDP Service:
General:
Ingrese lo siguiente:
Name: ftp-inbound
Type: seleccione TCP desde la lista desplegable.
Destination: 21 (el puerto donde reside el servidor FTP).
3. Rules
– Permita conexiones al IP público en el puerto 21 y reenvíelo al servidor
FTP interno.
General:
Name: SAT-ftp-inbound
Action: SAT
Service: ftp-inbound
Address Filter:
Source Destination
Interface: any core
Network: all-nets ip-ext
(se asume que la interfaz externa ha sido definida como ”ip-ext”)
SAT:
Marque Translate the Destination IP Address
A:
New IP Address: ftp-internal.
(Se asume que esta dirección IP interna del servidor FTP ha sido definida en el
Libro de Direccion objetiva.)
New Port: 21.
Luego haga click en OK.
General:
Name: NAT-ftp
Action: NAT
Service: ftp-inbound
Address Filter:
Source Destination
Interface: dmz core
Network: dmz-net ip-ext
NAT:
Marque Use Interface Address
Luego haga click en OK.
– Permitir las conexiones entrantes (SAT necesita una segunda regla Allow):
General:
Name: Allow-ftp
Action: Allow
Service: ftp-inbound
Address Filter:
Source Destination
Interface: any core
Network: all-nets ip-ext
Luego haga click en OK.
WebUI
:
1. ALG
Objects → Application Layer Gateways → Add → FTP ALG:
General:
Ingrese un nombre descriptivo para el ALG.
Name: ftp-outbound
Desmarque Allow client para utilizar el modo activo (inseguro para el cliente).
Marque Allow server para utilizar el modo pasivo (inseguro para el servidor)
Luego haga click en OK.
2. Services
Objects → Services → Add → TCP/UDP Service:
General:
Ingrese lo siguiente:
Name: ftp-outbound
Type: seleccione TCP desde la lista desplegable.
Destination: 21 (el puerto donde reside el servidor FTP).
General:
Name: Allow-ftp-outbound
Action: Allow
Service: ftp-outbound
Address Filter:
Source Destination
Interface: lan wan
Network: lannet all-nets
Luego haga click en OK.
General:
Name: NAT-ftp-outbound
Action: NAT
Service: ftp-outbound
Address Filter:
Source Destination
Interface: lan wan
Network: lannet all-nets
NAT:
Check Use Interface Address
Luego haga click en OK.
18.3 HTTP
Hyper Text Transfer Protocol (HTTP), es el protocolo primario utilizado para
acceder al World Wide Web (WWW). Es un protocolo de capa de aplicación dinámica
(OSI layer 7), orientado a conexión, el cual está basado en la
arquitectura de solicitud/respuesta. El cliente, tal como un buscador Web, típicamente
envía una solicitud estableciendo una conexión TCP/IP a un puerto particular
(usualmente puerto 80) en un servidor remoto. El servidor contesta con una sucesión
de respuesta, seguido por un mensaje de su propiedad, por ejemplo, un archivo HTML
para ser mostrado en el buscador Web, un componente activo-x para ser ejecutado en
el cliente, o un mensaje de error.
Para habilitar funciones más avanzadas y extensiones a los servicios HTTP, algunos
componentes añadidos, conocidos como ”active contents”, son usualmente acompañados
con la respuesta HTTP al computador del cliente.
Complementos ActiveX
JavaScript/VBScript
Con el fin de visualizar páginas HTML más avanzadas y dinámicas, los scripts pueden
ser utilizados. Un script es ejecutado por el buscador web, y puede ser utilizado
para controlar la funcionalidad del buscador, validar la entrada del usuario, ó un
número de otras características. Puede ser potencialmente utilizado por un agresor en
un intento de causar un daño al sistema computacional, o causar varias molestias, tales
como pop-up windows.
Java Applets
Cookies
18.3.2 Solucion
El firewall D-Link direcciona las ultimas areas de seguridad mostradas en la sección previa
por Stripping Contents and URL Filtering.
Stripping Contents
Filtro URL
Un URL puede quedar en lista negra (blacklist) con el fin de prevenir el acceso a éste,
mientras un URL, whitelisted permite acceso complete a la fuente específica.
En este ejemplo, un HTTP ALG en un firewall D-Link es creado. Este es configurado para
deshacer complementos ActiveX, lo cual bloqueará visualizaciones tales como
Macromedia flash y shockwave. Una dirección no deseada es añadida a la blacklist.
Las restricciones a otros contenidos actives, ó whitelists por direcciones confiables
pueden ser configuradas en un modo similar. Se asume que el servicio objetivo HTTP
y una regla IP que permitan el tráfico HTTP hayan sido definidas en el firewall.
WebUI
:
1. ALG
General:
Ingrese un nombre descriptive para el ALG.
Name: http-activex
Luego de hacer click en ok, la página de configuración va hacia URL Filtering list.
Add → HTTP URL:
General
Action: seleccione Blacklist desde la lista desplegable.
URL: Ingrese una dirección no deseada en el recuadro de edit.
Luego haga click en OK.
2. Service
– Adding the HTTP ALG into the corresponding service object.
18.4 H.323
18.4.1 Vista General Estándar H.323
H.323 es un estándar que es utilizado para audio a tiempo-real, video y comunicación
de datos sobre redes basadas en paquetes (ej. IP). Éste especifica los componentes,
protocolos y procedimientos entregando comunicación multimedia.
• Terminals
• Gateways
• Gatekeepers
Terminals
Una terminal H.323 es un dispositivo que es utilizado para audio y video como opción ó
comunicación de datos. Por ejemplo teléfonos, unidades de conferencia, ó teléfonos
software (por ejemploe: NetMeeting) corriendo en PCs estándar.
Gateways
Un gateway conecta dos redes similares y traduce el tráfico entre ellos. Un H.323
gateway entrega conectividad entre redes H.323 y redes no-H.323 tales como
public switched telephone networks (PSTN). El gateway se preocupa de traducir
protocolos y convertir media entre redes diferentes. Un Gateway no es requerido
para la comunicación entre dos terminales H.323.
Gatekeepers
MCUs entrega soporte para conferencias de tres ó más terminals H.323. Todas las
terminales H.323 participantes en la llamada de conferencia deben establecer una
conexión con el MCU. El MCU luego administra los llamados, recursos, codecs de
video y audio utilizados en la llamada.
El protocolo H.225 es utilizado para la señal de llamado, esto significa que es utilizado
Para establecer una conexión entre dos puntos de término(terminales) H.323. Este
canal de señal de llamada es abierto entre dos puntos de término H.323 ó entre un
punto de término H.323 y gatekeeper. Para la comunicación entre dos puntos de
término H.323, es utilizado TCP 1720. Cuando se conecta al gatekeeper, es utilizado el
puerto UDP 1719 (H.225 RAS mensajes).
T.120
• Gatekeeper support
• NAT, SAT
Son soportadas reglas NAT y SAT, permitiendo a los clientes y gatekeepers utilizar
direcciones IP privadas en una red detrás del firewall.
Es posible configurar si los canales de datos TCP deben ser permitidos para
atravesar el firewall o no. Los canales de datos TCP son utilizados por el protocolo
T.120 (ver 18.4.3), por ejemplo. Además, el número máximo de canales de datos TCP
pueden ser limitados a un valor fijo.
El registro de tiempo de vida del gatekeeper puede ser controlado por el firewall con
el fin de forzar el re-registro de clientes dentro de un marco de tiempo especificado por
el administrador.
Las siguientes reglas necesitan ser añadidas al listado de regla en el firewall, asegúrese
de que no hay reglas rechazando ó permitiendo el mismo tipo de puertos/tráfico ante
estas reglas.
WebUI
:
1. Outgoing Rule
2. Incoming Rule
WebUI
:
1. Outgoing Rule
2. Incoming Rules
Para ubicar una llamada al teléfono detrás del Firewall D-Link, haga una llamada a la
dirección IP externa en el firewall. Si teléfonos H.323 múltiples son ubicados detrás del
firewall, una regla SAT debe ser configurada para cada teléfono. Esto significa que
direcciones externas múltiples deben ser utilizadas. Sin embargo, es preferible
utilizar un gatekeeper H.323 gatekeeper como en el escenario ”H.323 con Gatekeeper”
(ver 18.4.5), como esto sólo requiere una dirección externa.
WebUI
:
1. Outgoing Rule
2. Incoming Rule
Utilizando IPs privado en los teléfonos, el tráfico entrante necesita ser SATed como en
el ejemplo a continuación. El ip-phone objetivo a continuación debe ser el IP interno del
teléfono H.323 detrás de cada firewall.
WebUI
:
1. Outgoing Rule
2. Incoming Rules
Then click OK
Para hacer llamadas al teléfono detrás del Firewall D-Link, haga una llamada a la
dirección IP externa en el firewall. Si múltiples teléfonos H.323 son ubicados detrás del
firewall, una regla SAT debe ser configurada para cada teléfono. Esto significa que
direcciones múltiples externas deben ser utilizadas. Sin embargo, es preferible
utilizar un gatekeeper H.323 como en el escenario ”H.323 con Gatekeeper”
(ver 18.4.5), cuando esto sólo requiere una dirección externa.
WebUI
:
Nota
WebUI
:
Nota
Este escenario es un ejemplo de una red más compleja que muestra cómo el
H.323 ALG puede ser desplegado en un ambiente corporativo. En la oficina central
DMZ un H.323 Gatekeeper es ubicado de modo que pueda manejar todos los clientes
H.323 en la central-, sucursal- y oficinas remotas. Esto puede permitir a la corporación
completa utilizar la red para ambas comunicaciones de voz e intercambio de aplicación. Es
asumido que los túneles VPN son correctamente configurados y que todas las oficinas
utilizan rangos IP privados en sus redes locales. Todas las llamadas salientes son realizadas
WebUI
:
WebUI
:
La sucursal del Firewall D-Link tiene un Gateway H.323 conectado a su DMZ. Con el
fin de permitir al Gateway registrarse dentro del H.323 Gatekeeper en la Oficina Central,
la siguiente regla debe ser configurada.
WebUI
:
Nota
Con el fin de hacer un IDS efectivo y confiable, el IDS D-Link va a través de tres niveles
de procesamiento y dirige las siguientes preguntas:
Como un ejemplo, imagine un sistema que está monitoreando FTP. Podría sólo
preocuparse del tráfico relacionado a FTP, mientras que el tráfico relacionado con, por ejemplo
POP3, no tendría interés en cualquiera. Además, sólo los ataques que aluden al
protocolo FTP serían de interés.
181
182 Capítulo 19. Sistema de Detección de Intrusos (IDS)
RETR passwd
Una signature buscando por el texto ASCII ”RETR” y ”passwd” puede causar una
coincidencia en este caso, señalando que se ha encontrado un ataque.
Con el fin de hacer este ejemplo fácil de seguir, se utilizarán patrones contenedores de
Texto ASCII. Esto no es necesario; los patrones pueden de todas formas contener
datos binarios.
19.1.3 Acción
Luego de que ha sido detectada una intromisión, una acción ó respuesta debe ser tomada.
Dependiendo de la gravedad del ataque, el tráfico puede tanto ser desechado,
Registrado, ambos, o simplemente ignorado.
19.2.1 Escenario 1
El tráfico es solamente pasado en el IDS si la regla de ajuste IP del firewall decide
que es válido, mostrado en la Figura 19.1.
19.2.2 Escenario 2
Éste es similar al primer escenario, pero con una gran diferencia. El tráfico sera siempre
pasado en el IDS a pesar de la acción elegida por la regla de ajuste del firewall IP.
Esto significa que el tráfico que el firewall deseche será también analizado.
La Figura 19.2 muestra la secuencia de eventos cuando la regla de ajuste IP del firewall
decide que el tráfico no es válido y deberá ser desechado y el tráfico es pasado al IDS
para futuros análisis.
Una nueva, base de datos de firma actualizada puede ser descargada automáticamente
por el firewall, a un intervalo configurable. Esto es realizado a través de una
conexión HTTP a un servidor D-Link, albergando el ultimo archivo de base de datos de
firma. Si este archivo de base de datos de firma tiene una versión más nueva que la
actual la nueva base de datos de firma será descargada, de este modo reemplazando la
antigua version. Esto asegurará que la base de datos de la firma estará siempre
actualizada.
Figura 19.3 es una imagen simplificada que describe el flujo de comunicación cuando
un nuevo archivo de base de datos de firma es descargado:
Una vez que un evento IDS ocurre, la Regla de Detección de Intrusos es gatillada. Al
menos un nuevo evento ha ocurrido dentro del Hold Time, 120 segundos, de este
modo alcanzando el nivel de log threshold (al menos 2 eventos han ocurrido). Esto
resulta en un e-mail a ser enviado, conteniendo una suma de eventos IDS.
Varios eventos IDS pueden ocurrir después de esto, pero para prevenir un exceso de
servidores mail, el firewall esperará por 600 segundos (10 minutos) antes de enviar
un nuevo e-mail, conteniendo información sobre los nuevos eventos. Un servidor
SMTP es asumido para ser configurado en el libro de dirección, con un nombre de
dirección IP objetiva ”smtp-server”.
WebUI
:
2. Reglas IDS.
– Habilitar el registro en la página de configuración ”Log Settings” para una regla
específica IDS y utilizando Todos los receptores ó receptor específico ”smtp4IDS”
configurado antes como receptor de registro.
El siguiente ejemplo ilustra los pasos necesarios para ajustar IDS para un simple
escenario donde un servidor mail es expuesto al Internet en la red DMZ, con una
dirección IP pública, y debe ser protegida por el IDS, como se muestra en la Figura
19.4. El Internet puede ser alcanzado a través del firewall en la interfaz WAN.
WebUI
:
En caso de que el servicio para SMTP no exista realmente, este debe ser creado, lo
Cual es realizado en Objects → Services. El tipo es TCP, y puerto de destino es 25.
Para resumir, debe ocurrir lo siguiente: Si es descubierto el tráfico desde la red externa,
al servidor mail, el IDS será activado. En caso de que el tráfico coincida con cualquiera
de las firmas en el FROM EXT MAIL SMTP grupo de firma, la conexión
será desechada, de este modo se protege el servidor mail. Si un receptor de registro
ha sido configurado, el intento de intrusión será además registrado.
• Introducción a VPN
• Introducción a Criptografía
• VPN en Firewalls
• Planeamiento VPN
CAPITULO 20
VPN Básico
Como se ha aprendido de una manera difícil, no todas las partes del Internet pueden
ser confiadas en nuestro tiempo. Intereses privados así como requisitos de comunicación
corporativa necesita un medio para que los datos sean capaces de viajar a través de
Internet a su receptor previsto sin permitir que nadie más lo lea o altere. Esto es
tan importante como que el receptor pueda verificar que nadie está falsificando
Información, ej. pretendiendo ser alguien más.
193
194 Capítulo 20. VPN Básico
Las conexiones fijas son usualmente muy confiables en la medida que el tiempo de
funcionamiento y amplitud de banda disponible sea afectado. Estos son
bastante seguros, mientras que nadie ataque la infraestructura telefónica o arranque
sus fibras ópticas del suelo y adhiera su propio equipo en éstas. Conexiones fijas
de larga distancia, que entregan las apropiadas medidas de seguridad que serán tomadas,
pueden considerarse ”Private Networks”.
Sin embargo, los canales fijos de comunicación son sólo eso: fijos. Si usted contrata una
conexión fija entre compañía A y B, usted sólo permitirá la comunicación entre esas
compañías. Si varias organizaciones desearan comunicarse entre ellas en todas
direcciones, se necesitarían conexiones fijas por separado entre todas las
organizaciones. Tales situaciones rápidamente escalan más allá de todo
manejo y costo-eficiencia:
Se puede argumentar que tal vez alguna comunicación se puede realizar por medio
de intermediarios. Si se desea hablar con la compañía B, ¿Se pueden enviar mis datos tal
vez a la compañía C que tiene un enlace con la compañía B? De esta manera ¿No se
tendría un vínculo a la compañía B de mi propiedad ?
En algunos casos, en pequeña escala, esto puede resultar. Por otro lado, esto no puede
resultar en todos incluso si está en una escala manejable. Considere una compañía que
vende un producto a diez clientes que compiten entre ellos.
- Difícilmente.
Confidenciabilidad
Nadie salvo los receptores previstos son capaces de interceptar y comprender la
comunicación. La Confidenciabilidad es lograda por encriptación.
20.2.1 Encriptación
Encriptación es un proceso de codificación de información sensible desde un texto sin
formato de texto cifrado ilegible a través de algún algoritmo matemático. La operación
de los algoritmos es variada y usualmente parametrizada por un gran número aleatorio,
conocido como clave. El texto cifrado es encriptado por la clave y necesita la misma
clave o una clave relacionada para ejecutar el procedimiento contrario –decriptación,
para volver a el texto sin formato original.
Encriptación Simétrica
Para asegurar el compartir la clave secreta, claves de sesión o claves públicas son a
menudo involucrados en la operación actual.
Una clave de sesión, como su nombre describe, es sólo válido para una sesión. Incluso
si la clave es comprometida en una sesión, esta no puede ser utilizada para una
decriptación futura. Otra solución es el uso de clave pública manejada por la
Encriptación Asimétrica presentada a continuación.
Triple-pass DES utiliza tres claves diferentes en tres pasos DES, formando
una clave teórica de longitud de 168 bits.
• Blowfish
– Una cifra bloqueada de 64-bit con longitud de clave variable entre 32 y 448
bits.
• Twofish
– Una cifra bloqueada de 128-bit con longitud de clave de 128, 192, o 256
bits.
• CAST-128
– Una cifra bloqueada de 64-bit con una clave de 128-bit, menos frecuentemente
empleado que Blowfish.
• AES
– Una medida bloqueada de 128-bit con longitudes de clave de 128-256 bits, una
sonido alternativo al período DES.
La implementación del VPN de firewall D-Link soporta todos los algoritmos anteriores.
Encriptación Asimétrica
Las dos claves son números primarios muy largos y matemáticamente relacionados,
pero una no podría ser utilizada para resolver la otra. Nadie puede enviar una información
privada a un receptor, supongamos A, encriptando la información utilizando la clave pública
A s . Pero no sólo A estará capacitado para recobrar la información por la decriptación
del texto cifrado utilizando la clave privada relacionada. Además, si alguna información
conocida puede ser recuperada correctamente decriptando con la clave pública de A, ésta
debe haber sido encriptada por la clave privada de A, y por lo tanto por A. Esto significa
que el algoritmo asimétrico entrega pruebas de origen. RSA y DSA son los algoritmos
asimétricos mejor conocidos y más comúnmente utilizados.
Comparado con la Encriptación simétrica, las claves más largas causan una baja
velocidad y recurso de intensidad que el utilizado por encriptación asimétrica, y por
lo tanto es inconveniente para la Encriptación de grandes cantidades de datos. Esto es
generalmente utilizado para asesorar la distribución de clave simétrica y tareas de
Autentificación. La combinación de algoritmos simétricos y asimétricos es denominada
Hybrid Encryption.
Hybrid Encryption
Firma Digital
Una firma digital es un sello utilizado para probar la identidad de una persona, y
asegurar la integridad del mensaje original. La firma es creada utilizando el plan de
Encriptación Asimétrica; esta no puede ser imitada por nadie más, y el remitente no
puede rechazar fácilmente el mensaje que ha sido firmado.
- El mensaje resumen encriptado se vuelve la firma digital del remitente del mensaje,
y es único para ese mensaje.
- La firma digital es enviada al receptor junto con el mensaje de texto sin formato
original.
- El receptor utiliza la función hash para hacer un mensaje resumen del mensaje
sin formato recibido.
Certificado
Un certificado es emitido por una autoridad de certificación (CA) contenedora de una copia
de la clave pública del poseedor del certificado e información correspondiente, un
número de serie, tiempo de expiración, y la firma digital del CA, para que un receptor
pueda verificar que el certificado es real. El certificado digital es soportado por los
Firewalls D-Link conforme al X.509 estándar.
◦ En la red interna
◦ En un DMZ separado
√
• Incorporado en el firewall mismo
Cada escenario anterior tiene sus distintos beneficios e inconvenientes. Los asuntos
que necesitan ser consideradas incluyen:
◦ ¿Puede el firewall inspeccionar y registrar el tráfico que pasa dentro y fuera del VPN?
◦ En casos donde la puerta de enlace VPN es localizada fuera del firewall, ¿puede
el firewall reconocer el tráfico VPN protegido desde el tráfico Internet de texto sin
formato, de modo que este conoce qué pasa a través de la red interna?
(Figura 20.1)
♦ Beneficios
• El firewall puede ser inspeccionar y registrar texto sin formato desde el VPN
♦ Inconvenientes
(Figura 20.2)
♦ Beneficios
♦ Inconvenientes
(Figura 20.3)
♦ Beneficios
♦ Inconvenientes
El tráfico VPN no debe normalmente ser considerado para ser una parte incorporada de
la red interna.
En la Red Interna
(Figura 20.4)
♦ Beneficios
♦ Inconvenientes
En un DMZ separado
(Figura 20.5)
♦ Beneficios
♦ Inconvenientes
Incorporado en el Firewall
(Figura 20.6)
♦ Beneficios
♦ Inconvenientes
Esta solución entrega el mas alto nivel de funcionalidad & seguridad y es elegida por
los diseños D-Link. Todos los modos normales de operación son soportados y todo el
tráfico debe ser inspeccionado y registrado por el firewall.
Un agresor que desea hacer uso de una conexión VPN no intentará romper la
Encriptación VPN, ya que esto requiere grandes cantidades de cálculos y tiempo.
mas bien, él/ella verá el tráfico VPN como una indicación de que hay algo realmente
liviano en el otro extremo de la conexión. Usualmente, los clientes móviles y
sucursales son blancos más atractivos que las redes corporativas principales. Una vez
dentro de éstos, ingresar a una red corporativa se vuelve una tarea mucho más fácil.
Al diseñar un VPN, hay muchos asuntos no-obvios que necesitan ser tratados.
Estos incluyen:
• La creación de DMZ para servicios que necesitan ser compartidos con otras
compañías a través de VPN.
207
208 Capítulo 21. Planificación VPN
Una idea equivocada común es que las conexiones VPN son equivalentes a la
red interna desde el punto de vista de la seguridad y que se pueden conectar
directamente sin mayores precauciones.
Es importante recordar que aunque la conexión VPN misma puede ser segura,
el nivel total de seguridad es sólo tan alto como la seguridad de los puntos finales
del túnel.
Se vuelve cada vez más común para los usuarios en movimiento conectarse
directamente la red de sus compañías vía VPN desde sus laptops. Sin embargo,
el laptop mismo no es a menudo protegido. En otras palabras, un intruso puede ganar
acceso a la red protegida a través de un laptop no protegido y conexiones VPN
ya abiertas.
En conclusión, una conexión VPN no debe ser considerada como parte integral de una
red protegida. La puerta de enlace VPN debe en cambio ser localizada en un DMZ
especial o fuera del firewall dedicado a esta tarea. Haciendo esto, se puede restringir
cuál servicio puede ser accedido vía VPN y módem y asegurar que estos servicios
estén bien protegidos contra intrusos.
Los puntos importantes que son a menudo incluidos en las políticas de acceso remoto
incluyen:
• Un software anti-virus es necesario de instalar y actualizar a través de la conexión
remota.
Cualquier vendedor que diga ser capaz de asegurar tales datos sin que el usuario
ingrese una contraseña, utilizando una tarjeta electrónica o suministrando cualquier
tipo de información, no está diciendo la verdad.
• Si el cliente VPN ofrece un método para recordar todas las contraseñas sin
tener que suministrar el usuario cualquier información, deshabilite tal característica.
Si no, tarde o temprano, alguien marcará ese recuadro, y si/cuando el computador
portátil es robado, el ladrón tundra una ruta de acceso directo a la red
corporativa.
• Aplique y refuerce las mismas políticas que en los computadores de hogar. Tales
políticas usualmente incluyen:
• Si los requisitos anteriores no pueden ser logrados, por ejemplo, en casos donde
el computador de hogar pertenece al empleado, no se garantiza el acceso VPN.
Este tema es usualmente más sensible que el asegurar computadores que son
actualmente pertenecientes a la compañía. En casos donde la administración ha dictado
que VPN debe ser establecido con un compañero, subsidiario, ó subcontratista
que tiene políticas de seguridad mucho más relajadas, se vuelve una real pesadilla para
el staff IT.
• ¿Por qué medios distribuir las claves? Email no es una buena idea.
Conversaciones telefónicas pueden ser suficientemente seguras. Esto depende
de sus políticas de seguridad local.
• ¿Cómo pueden ser utilizadas las diferentes claves? ¿Una clave por usuario?¿Una
clave por grupo de usuario? ¿Una clave por conexión LAN-to-LAN?¿Una clave
para todos los usuarios y una clave para todas las conexiones LAN-to-LAN? Usted
estará probablemente mejor utilizando más claves de las que usted considera
necesarias hoy en día, ya que ésto se vuelve fácil para ajustar el acceso por usuario
(grupo) en el futuro.
• ¿Deben las claves ser modificadas? Si es así, qué tan a menudo? En casos
donde las claves son compartidas con múltiples usuarios, usted puede desear
considerar proyectos superpuestos, de modo que las claves antiguas trabajen por
un pequeño período de tiempo cuando las claves nuevas han sido establecidas.
22.1 IPsec
IPsec, Internet Protocol Security, es un grupo de protocolos definidos por el
IETF(Internet Engineering Task Force) para entregar seguridad IP a la capa de red.
Es el estándar más generalmente utilizado para implementar.
IPsec es diseñado para trabajar para todos los tráficos, independiente de la aplicación.
Esta propuesta resulta en la ventaja de que ninguna aplicación ni usuarios necesitan
conocer ningún detalle acerca de la encriptación.
Antes de que IPsec pueda comenzar con la encriptación y transferencia del flujo de datos,
se necesita una negociación preliminar. Esto es logrado con el Internet Internet
Key Exchange Protocol (IKE).
En resumen, un VPN basado en IPsec, tal como D-Link VPN, es realizado en dos partes:
213
214 Capítulo 22. Protocolos & Túneles VPN
La primera parte, IKE, es la fase de negociación inicial, donde los dos puntos finales
VPN concuerdan en cuáles métodos serán utilizados para entregar seguridad para el
tráfico IP subyascente. Además, IKE es utilizado para administrar conexiones
definiendo un grupo de Asociaciones de Seguridad, SAs, para cada conexión. SAs es
unidireccional, de modo que habrán al menos dos SAs por conexión.
ESP
ESP entrega tanto autentificación y encriptación a los paquetes de datos.
AH
AH entrega solo autentificación pero no encriptación a los paquetes de datos.
Modo de Transporte – encapsula los datos del paquete y deja el header IP sin
modificación, lo cual es típicamente utilizado en un escenario cliente-a-puerta de enlace.
En el modo de transporte, el protocolo ESP inserta un header ESP luego del header
IP original, y en el modo túnel, el header ESP es insertado luego de un nuevo
header IP externo, pero antes del header IP original, interior. Todos los datos luego
del header ESP son encriptados y/ó autentificados.
22.1.3 IKE
La encriptación y Autentificación de datos es bastante sencillo. Las únicas cosas
necesarias son los algoritmos de encriptación y autentificación, y las claves utilizadas
con éstos. El protocolo de Intercambio de Clave Internet, IKE, es utilizado como un
método de distribución de estas “claves de sesión”, así como para proveer un camino
para que los puntos de término VPN acuerden cómo los datos deben ser
protegidos.
IKE tiene tres tareas principales:
Negociación IKE
IKE Fase-1
– Negocia cómo debe ser protegido IKE para futuras negociaciones.
IKE Fase-2
– Negocia cómo debe ser protegido IPsec.
Tanto el SAs IKE SAs y el SAs IPsec tiene tiempos de vida limitados, descritos como
tiempo (segundos), y datos (kilobytes). Estos tiempos de vida previenen que una conexión
sea utilizada mucho, lo cual es conveniente desde una perspectiva del
criptanálisis.
La fase-1 IKE involucra un cálculo muy grande, ya que sus tiempos de vida son
generalmente más largos que los tiempos de vida de la fase-2 IPsec. Esto permite que la
conexión IPsec sea re-codificada simplemente ejecutan otra negociación de
fase-2. No hay necesidad de hacer otra fase-1 de negociación hasta que el tiempo de
vida SAs IKE haya expirado.
Modos de Negociación
La negociación IKE tiene dos modos de operación, modo principal y modo
agresivo.
La diferencia este estos dos es que el modo agresivo pasará más información en
menos paquetes, con el beneficio de un establecimiento de conexión ligeramente mas
rápido, al costo de transmitir las identidades de las puertas de enlace de seguridad
fuera de peligro.
Como es descrito en 20.2.1 Encriptación Simétrica, los firewalls D-Link soportan los algoritmos
enlistados a continuación:
• DES
• 3DES
• Blowfish
• Twofish
• CAST-128
• AES
DES es solo incluido para ser interoperable con algunas antiguas implementaciones
VPN. La utilización de DES debe ser evitada siempre que sea posible, ya que este es un
algoritmo antiguo que ya no es considerado como seguro.
PFS puede ser utilizado de dos modos, el primero es PFS en claves, donde un nuevo
intercambio de clave será ejecutado en cada fase-2 de negociación, esto es, un
intercambio Diffie-Hellman para cada negociación SA IPsec. El otro tipo es PFS en
identidades, donde las identidades son además protegidas, borrando la fase-1 SA
cada vez que la fase-2 de negociación ha finalizado, asegurando que no más de una
fase-2 de negociación sea encriptada utilizando la misma clave.
IKE crea una nueva SA para cada SA IPsec necesitada.
Intercambio de clave
IKE intercambia la clave de encriptación simétrica utilizando el protocolo Diffie-Hellman
de intercambio de clave. El nivel de seguridad que éste ofrece es configurable
especificando el grupo Diffie-Hellman(DH).
• DH grupo 1 (768-bit)
• DH grupo 2 (1024-bit)
• DH grupo 5 (1536-bit)
NAT Transversal
Un gran problema encontrado por los protocolos IKE e IPsec es la utilización de NAT,
Ya que los protocolos IKE e IPsec no están diseñados para trabajar a través de redes
NATed. Debido a ésto, se ha desarrollado algo denominado como ”NAT transversal ”.
NAT transversal es un complemento a los protocolos IKE e IPsec que los hace trabajar
cuando son NATed.
• Adición a IKE que deja a los pares IPsec coordinar entre ellos que soportan
NAT transversal, y las versiones específicas del proyecto que éstas soportan.
NAT transversal es solo utilizado si ambos extremos tienen soporte para éste.
con este propósito, NAT transversal espera que VPNs envíe un ”vendedor ID” especial,
que diga al otro extremo que sí comprende NAT transversal, y cuáles versiones
específicas del proyecto soporta.
Para detectar la necesidad de utilizar NAT transversal, ambos pares IPsec envían
hashes de sus propias direcciones IP junto con la fuente de puerto UDP utilizado en las
negociaciones IKE. Esta información es utilizada para ver si la dirección IP
y puerto de fuente de cada par que utiliza es la misma que el otro par ve.
Si la dirección de fuente y puerto no se ha modificado, el tráfico no ha sido NaTed en el
camino, y NAT transversal no es necesario. Si la dirección de fuente y/o puerto ha cambiado,
el tráfico ha sido NATed, y el NAT transversal es utilizado.
Una vez que el par IPsec ha decidido que NAT transversal es necesario, la negociación IKE
es movida fuera del Puerto UDP 500 a Puerto 4500. Esto es necesario ya que ciertos
dispositivos NAT tratan paquetes UDP al Puerto 500 de manera diferente desde otros paquetes
UDP en un esfuerzo por trabajar alrededor de los problemas NAT con IKE. El problema
es que este manejo especial de paquetes IKE puede en efecto romper las negociaciones
IKE, lo cual es el por qué el Puerto UDP utilizado por IKE ha sido modificado.
Otro problema que resuelve NAT transversal es con respecto al protocolo ESP.
El protocolo ESP es un protocolo IP y no hay información de puerto como en TCP y
UDP, lo cual hace imposible tener más de un cliente NATed conectado a la misma
puerta de enlace remota al mismo tiempo. Para resolver este problema, los paquetes ESP
son encapsulados en UDP. El tráfico ESP-UDP es enviado al puerto 4500, el mismo puerto
que IKE cuando es utilizado NAT transversal. Una vez que el puerto ha sido modificado,
todas las comunicaciones IKE siguientes son realizadas sobre el Puerto 4500. Los paquetes
mantenidos con vida son además enviados periódicamente para mantener el mapeo NAT
con vida.
• MD5 – 128-bit mensaje resumen, más rápido que SHA-1 pero menos seguro.
Las ventajas de utilizar PSK son: primero, las claves pre-compartidas no requieren una
Autoridad de Certificación(CA) central ó CAs para tareas de autentificación; segundo ésta
entrega un medio de Autentificación de puntos de término primario, basado en qué, pueden
implementar las futuras negociaciones IKE para claves de sesión dinámica. Las claves de
sesión serán utilizadas por un período de tiempo limitado, donde luego un conjunto nuevo
de claves de sesión son utilizados.
Sin embargo, una cosa que debe ser considerada cuando se utiliza PSK es la
distribución de clave. ¿Cómo son distribuidas las claves pre-compartidas para clientes
VPN remotos y puertas de enlace? Este es un asunto mayor, ya que la seguridad del
sistema PSK está basado en que los PSK se mantengan en secreto. Un PSK debe ser
comprometido de alguna manera, la configuración necesitará ser modificada para utilizar
un nuevo PSK.
Guía de Usuario de los Firewalls D-Link
22.1. IPsec 221
Certificado X.509
La otra opción para Autentificación primaria es utilizar Certificado X.509 dentro de cada
puerta de enlace VPN. Para probar la identidad, cada puerta de enlace tiene un
certificado propio firmado por un CA confiable. El certificado prueba que la clave
pública añadida a éste realmente pertenece a la puerta de enlace del titular, y cada
puerta de enlace además tiene una copia de la clave pública del CA para ser capaz de
confiar en el CA y validar los certificados de otras puertas de enlace establecidas para
ése CA.
Comparado al uso de PSK, los certificados son más flexibles. Muchos clientes VPN,
por ejemplo, pueden ser administrados sin tener la misma clave pre-compartida
configurada en todos ellos, lo cual es a menudo el caso cuando se utilizan claves pre-
compartidas y clientes roaming. A cambio, un cliente debe ser comprometido, el
certificado del cliente puede simplemente ser revocado. No se necesita re-configurar
cada cliente. Pero a este método se le añade complejidad. Un certificado basado en
Autentificación puede ser utilizado como parte de una gran infraestructura, haciendo a
todos los clientes VPN y puertas de enlace dependientes de terceros. En otras palabras,
hay más cosas que deben ser configuradas, y hay más cosas que pueden salir mal.
Considere un escenario donde los empleados en curso deben tener acceso a las redes
internas corporativas utilizando clientes VPN. La organización administra su propio
CA, y los certificados son establecidos para los empleados. Diferentes grupos de empleados
tienen probablemente acceso a diferentes partes de las redes internas. Por ejemplo,
miembros de fuerzas de venta necesitan acceso a servidores corriendo el orden de sistema,
mientras ingenieros técnicos necesitan acceso a base de datos técnicas.
LDAP
IKE XAuth
XAuth no reemplaza IKE; esto ocurre luego de la fase-1 de negociación IKE, pero
antes de la fase-2 de negociación SA IPsec IKE. Antes de XAuth, IKE sólo
soporta la Autentificación del dispositivo, no la autentificación del usuario que utiliza
el dispositivo. Con XAuth, IKE puede ahora autentificar los usuarios luego de que el
dispositivo ha sido autentificado durante la fase-1 de negociación. Si es habilitado una
combinación de nombres de usuario & contraseña será solicitada para añadir la
autentificación del usuario.
Este ejemplo describe cómo configurar un túnel IPsec LAN-a-LAN, utilizado para
conectar una sucursal a la red de la oficina central.
WebUI
:
1. Clave pre-compartida
Antes que todo se necesita crear una clave pre-compartida para utilizar con la
autentificación IPsec.
Objects → VPN Objects → Pre-Shared Keys → Add → Pre-Shared
Key:
Ingrese lo siguiente
Name: Ingrese un nombre para la clave pre-compartida, TestKey por ejemplo.
Passphrase/Shared Secret: Ingrese una frase de paso secreta.
Passphrase/Confirm Secret: Ingrese la frase de paso nuevamente.
Luego haga click en OK
2. Túnel IPsec
Algoritmos
IKE Algorithms: Medium or High
IPsec Algorithms: Medium or High
→ Authentication
Pre-Shared Key: Seleccione la clave pre-compartida creada anteriormente, TestKey en
este caso.
Luego haga click en OK
3. Configurar Ruta
4. Configurar Reglas
Finalmente se necesita configurar las reglas para permitir el tráfico dentro del túnel.
Ver 14.3 Configuración de Reglas IP para detalles de cómo configurar las reglas.
Este ejemplo describe cómo configurar un túnel IPsec, utilizado por clientes roaming
(usuarios móviles) que se conectan a la oficina central para ganar acceso remoto.
La red de la oficina central utiliza el span de red 10.0.1.0/24 con firewall IP externo
ip wan.
WebUI
:
1. Clave pre-compartida
Antes que todo se necesita crear una clave pre-compartida a utilizar para la
autentificación IPsec.
Objects → VPN Objects → Pre-Shared Keys → Add → Pre-Shared
Key:
Ingrese lo siguiente:
Name: Ingrese un nombre para la clave pre-compartida, SecretKey por ejemplo.
Passphrase/Shared Secret: Ingrese una frase de paso secreta.
Passphrase/Confirm Secret: Ingrese la frase secreta nuevamente.
Luego haga click en OK
2. Túnel IPsec
Algoritmos
IKE Algorithms: Medium or High
IPsec Algorithms: Medium or High
→ Authentication
Pre-Shared Key: Seleccione la clave pre-compartida creada anteriormente, SecretKey
en este caso.
→ Routing
Automatic Routing
El túnel IPsec necesita ser configurado para añadir dinámicamente rutas a la
red remota cuando el túnel es establecido. Esto es realizado bajo la etiqueta de
Routing. Añadir Dinámicamente ruta a la red remota cuando un túnel es
establecido: Enable
Luego haga click en OK
3. Configurar Reglas
Finalmente se necesita configurar las reglas para permitir el tráfico dentro del túnel.
Ver 14.3 Configuración de Reglas IP para detalles sobre cómo configurar las reglas.
22.2.1 PPTP
Point-to-Point Tunneling Protocol(PPTP) es construído en el protocolo Point-to-Point
(PPP), Generic Routing Encapsulation (GRE), y TCP/IP.
PPTP cuenta con el protocolo PPP para encapsular datagramas (ver 9.4.1
PPP). La estructura PPP es luego encapsulada en paquetes GRE con información de
routing incluída, lo cual es sucesivamente empaquetado con un header IP de acuerdo
a la convención de direccionamiento Internet, mostrado en la Tabla 22.1. La
estructura de Capa 2 es la unidad básica de transporte. El trailer y header de capa Data-link
son puestos en el paquete encapsulados PPTP para formar el tunneling de datos.
PPTP utiliza puerto TCP 1723 para su control de conexión y GRE ( protocolo 47
IP) para los datos PPP.
PPP Frame
Autentificación PPTP
La Autentificación como una opción en PPTP es derivado directamente desde PPP, tal
como:
• Password Authentication Protocol (PAP)
CHAP utiliza algoritmo MD5 para hash un desafío y proteger contra repetición de ataques
utilizando una serie de cuestionamientos arbitrarios por intento de autentificación.
Esto es mejor que PAP ya que la contraseña jamás es enviada sobre el link.
En cambio, la contraseña es utilizada para crear el hash de un camino MD5. Esto
significa que CHAP requiere de contraseñas que sean almacenadas en una forma
encriptada reversible.
MS-CHAP v1 es similar a CHAP, la diferencia principal es que con
MS-CHAP v1 la contraseña sólo necesita ser almacenada como un hash MD4 en vez de
una forma encriptada reversible.
Encriptación PPTP
MPPE utiliza el algoritmo RC4 RSA para la encriptación y soporta claves de sesión de
40-bit, 56-bit y 128-bit, lo cual es modificado frecuentemente para asegurar la
seguridad. Sin embargo, la clave de encriptación inicial es derivada basado en la
contraseña del usuario, y por lo tanto puede ser vulnerable a ataques.
Este ejemplo describe cómo ajustar un servidor PPTP. La red LAN es una red
192.68.1.0/24, y 10.0.0.0/24 es la red de la interfaz WAN. Los clientes PPTP se
conectarán al servidor PPTP en 10.0.0.1 en la interfaz WAN, con el fin de acceder a
los recursos en la interfaz LAN.
WebUI :
Se necesita crear una base de datos de usuario local para almacenar la información del
usuario en ella. Para mayor información, ver 17.2.1 sección de Base de Datos del
Usuario Local.
User Authentication → Local User Databases → Add → Local User
Database:
Ingrese un nombre para la base de datos del usuario, ”UserDB” será utilizado en este
ejemplo:
Name: UserDB
Luego haga click en OK
2. Añadir un Usuario a la Base de Datos de Usuario Local
3. Servidor PPTP
→ PPP Parameters
Use User Authentication Rules: Enable (Especifique que la autentificación debe ser
ejecutada)
Microsoft Point-to-Point Encryption (MPPE): Seleccione la intensidad de encriptación
a permitir.
IP Pool: 192.168.1.10-192.168.1.20 (La fuente de direcciones IP para asignar IP:s
desde usuarios conectados)
DNS (Primary/Secondary): Especifique cualquier servidor DNS eventual para distribuir
a clientes conectados.
NBNS (Primary/Secondary): Especifique cualquier servidor NBNS (WINS) eventual
para distribuir a clientes conectados.
→ Add Routes
Proxy ARP: Dejar como predeterminado, o seleccionar específicamente la interfaz
LAN si los IP:s en la fuente IP son parte de la red en la interfaz LAN.
Luego haga click en OK
5. Reglas IP
El paso final es ajustar una regla para permitir el tráfico desde clientes PPTP a
la red LAN.
Rules → IP Rules → Add → IP Rule:
Ingrese lo siguiente:
Name: FromPPTPClients
Action: Allow
Service: Any
Source Interface: PPTPServer
Source Network: 192.168.1.10-192.168.1.20
Destination Interface: LAN
Destination Network: 192.168.1.0/24 (Red en la interfaz LAN)
Luego haga click en OK
Si los clientes PPTP deben ser capaces de accede a los recursos externos (tales
como el Internet por ejemplo) una regla NAT debe ser configurada también.
Cuando la configuración es guardada y activada, debe ser posible para los clientes
PPTP conectarse al servidor PPTP en 10.0.0.1 en la interfaz WAN.
Este ejemplo describe cómo ajustar un cliente PPTP. El servidor PPTP es localizado en
10.0.0.1 y todo el tráfico debe ser dirigido sobre el túnel PPTP.
WebUI
:
1. Cliente PPTP
2. Rutas
El paso final es configurar una ruta de un sólo titular al servidor PPTP sobre la
interfaz WAN.
Routing → Main Routing Table → Add → Route:
Ingrese lo siguiente:
Interface: WAN
Network: 10.0.0.1 (IP del servidor PPTP)
Gateway: La puerta de enlace en la red WAN. Ninguna si no se utiliza puerta de enlace.
Local IP Address: (None)
Metric: 0
Luego haga click en OK
22.2.2 L2TP
El Layer Two Tunneling Protocol (L2TP) es una extensión basada en PPP, lo cual es
más flexible que PPTP e IPsec en que éstos utilizan el protocolo UDP para comunicación,
lo cual facilita el atravesar rutas con NAT. En adición, L2TP soporta llamadas
múltiples para cada túnel mientras sólo una conexión por túnel es permitida por PPTP
ó tunneling.
Autentificación L2TP
Los Túneles PPTP y L2TP utilizan los mismos mecanismos de autentificación que las
conexiones PPP tales como, PAP, CHAP, MS-CHAP v1 y v2.
PPP Frame
Encriptación L2TP
L2TP/IPsec
L2TP e IPsec pueden trabajar juntos para beneficiarse de tanto flexibilidad como
una seguridad más fuerte. Encapsulando L2TP como payload en un paquete IPsec,
conexiones pueden ser protegidas activando Encriptación y autentificación. Esta
combinación es denominada L2TP/IPsec.
Este ejemplo describe cómo ajustar un servidor L2TP con IPsec, utilizando claves
pre-compartidas. La red LAN es una red 192.68.1.0/24, y 10.0.0.0/24 es la red
en la interfaz WAN. Los clientes L2TP se conectarán al servidor L2TP/IPsec en
10.0.0.1 en la interfaz WAN, con el fin de accede a recursos en la interfaz
LAN.
WebUI
:
1. Clave pre-compartida
Primero que todo se necesita crear una clave pre-compartida para utilizar con la
Autentificación IPsec.
Objects → VPN Objects → Pre-Shared Keys → Add → Pre-Shared
Key:
Ingrese lo siguiente:
Name: Ingrese un nombre para la clave pre-compartida, L2TPKey por ejemplo
Passphrase/Shared Secret: Ingrese una frase secreta.
Passphrase/Confirm Secret: Ingrese la frase secreta nuevamente.
Luego haga click en OK
Se necesita crear una base de datos de usuario local para almacenar información del
usuario.
Para mayor información, ver 17.2.1 sección de Base de Datos de Usuario Local.
User Authentication → Local User Databases → Add → Local User
Database:
Ingrese un nombre para la base de datos de usuario, ”UserDB” se utilizará en este
ejemplo:
Name: UserDB
Luego haga click en OK
3. Añadir Usuario a la Base de datos Local
4. Túnel IPsec
Algoritmos
IKE Algorithms: Medium
IPsec Algorithms: Medium
→ Authentication
Pre-Shared Key: Seleccione la clave pre-compartida creada anteriormente, L2TPKey
en este caso.
→ Routing
Automatic Routing
El túnel IPsec necesita ser configurado para añadir dinámicamente rutas a la red
remota cuando el túnel es establecido. Esto es realizado bajo la etiqueta de
Routing. Añada dinámicamente una ruta a la red remota cuando un túnel es
establecido: Enable
Luego haga click en OK
5. Servidor L2TP
→ PPP Parameters
Use User Authentication Rules: Enable (Especifica que la autentificación debe ser
ejecutada)
Microsoft Point-to-Point Encryption (MPPE): Seleccione la intensidad de encriptación
a permitir.
IP Pool: 192.168.1.10-192.168.1.20 (La fuente de direcciones IP para asignar IP:s
a usuarios conectados)
DNS (Primary/Secondary): Especifica cualquier servidor DNS eventual para distribuir
a clientes conectados.
NBNS (Primary/Secondary): Especifica cualquier servidor NBNS (WINS) eventual
para distribuir a clientes conectados.
→ Add Route
Proxy ARP: Dejar como predeterminado, ó seleccione específicamente la interfaz LAN
si la IP:s en la fuente es parte de la red en la interfaz LAN.
Luego haga click en OK
7. Reglas IP
El paso final es ajustar una regla para permitir el tráfico desde clientes L2TP en la
red LAN.
Rules → IP Rules → Add → IP Rule:
Ingrese lo siguiente:
Name: FromL2TPClients
Action: Allow
Service: Any
Source Interface: L2TPServer
Source Network: 192.168.1.10-192.168.1.20
Destination Interface: LAN
Destination Network: 192.168.1.0/24 (Red en la interfaz LAN)
Luego haga click en OK
Si los clientes L2TP deben ser capaces de accede a los recursos externos (tales como
el Internet por ejemplo) una regla NAT debe ser además configurada.
Cuando la configuración es guardada y activada, debe ser posible para los clientes
L2TP/IPsec el conectarse al servidor L2TP/IPsec en 10.0.0.1 de la interfaz WAN.
Este ejemplo describe cómo ajustar un cliente L2TP con IPsec, utilizando claves
pre-compartidas. El servidor L2TP está localizado en 10.0.0.1 y todo el tráfico debe
ser dirigido sobre el túnel L2TP.
WebUI
:
1. Clave Pre-Compartida
Primero que todo se necesita crear una clave pre-compartida para utilizar en la
autentificación IPsec.
Objects → VPN Objects → Pre-Shared Keys → Add → Pre-Shared
Key:
Ingrese lo siguiente:
Name: Ingrese un nombre para la clave pre-compartida, L2TPKey por ejemplo.
Passphrase/Shared Secret: Ingrese la frase secreta. (Debe ser la misma
configurada en el servidor L2TP/IPsec)
Passphrase/Confirm Secret: Ingrese la frase secreta nuevamente.
Luego haga click en OK
2. Túnel IPsec
Algoritmos
IKE Algorithms: Medium
IPsec Algorithms: Medium
→ Authentication
Pre-Shared Key: Seleccione la clave pre-compartida creada anteriormente, L2TPKey
en este caso.
→ Routing
Automatic Routing
El túnel IPsec necesita ser configurado para añadir rutas no-dinámicamente a la red
remota cuando el túnel es establecido. Esto es realizado bajo la etiqueta de
Routing. Añadir rutas dinámicamente a la red remota cuando un túnel es establecido:
Disable
Luego haga click en OK
3. Cliente L2TP
Autentificación
Username: El nombre de usuario entregado por su proveedor de servicio.
Password: La contraseña entregada por su proveedor de servicio.
Confirm Password: Re-digite la contraseña.
4. Rutas
El paso final es configurar una ruta de un sólo titular al servidor L2TP/IPsec sobre la
interfaz IPsec.
Routing → Main Routing Table → Add → Route:
Ingrese lo siguiente:
Interface: L2TPIPsecTunnel
Network: 10.0.0.1 (IP del servidor L2TP/IPsec)
Gateway: (None)
Local IP Address: (None)
Metric: 0
Luego haga click en OK
El HTTP que corre en la parte superior del SSL/TLS es a menudo llamado HTTPS, lo cual
es un uso común de SSL/TLS para asegurar el servicio de buscador en web entre un
buscador y un servidor web. Cuando usted visita web sites “seguros”, usted puede ser
notificado de que el URL comienza con las letras ”https://” en vez de ”http://”.
Este HTTP es conseguido dentro del SSL/TLS. Los buscadores web más comúnmente
utilizados soportan HTTPS, y más y más web sites utilizan el protocolo para obtener
información del usuario confidencial, tal como números de tarjeta de crédito.
Hay un número de versiones del protocolo SSL/TLS. Los firewalls D-Link soportan por
completo SSLv3 y TLSv1.
• Traffic Shaping
Otro hecho es que la mayoría de las soluciones QoS actuales son basadas en aplicaciones,
esto es, que trabajan teniendo aplicaciones que suministran a la red con información
QoS. Desde el punto de vista de la seguridad, es por supuesto inaceptable que las
aplicaciones (esto es, los usuarios) decidan la prioridad de su propio tráfico dentro de una
red. En escenarios sensible a la seguridad, donde el usuario no puede ser confiable, el
equipo de la red deberá ser el arbitro exclusivo de prioridades y localidades de
banda ancha.
Para tratar los problemas anteriores, los firewall D-Link entregan funcionalidad QoS
y aplica límites y garantías al mismo tráfico de red, más que confiar en las
aplicaciones/ usuarios para hacer elecciones. Es por lo tanto bien adecuado
administrar la banda ancha por un pequeño LAN así como en uno o más puntos de
obstrucción en grandes WANs.
247
248 Capítulo 23. Traffic Shaping
23.1.1 Funciones
El medio más simple para obtener QoS en una red, visto desde la perspectiva de
seguridad así como de la funcionalidad, es tener componentes en la red, conocidos
como Traffic Shaping, responsables del control de tráfico de red en puntos de
obstrucción bien definidos. Un firewall D-Link tiene un traffic shaper extensible
integrado.
• Dropping paquetes si los buffers de paquete están llenos. El paquete que será
desechado debe ser elegido de aquellos que son responsables de la
congestión.
23.1.2 Características
El traffic shaper en los firewalls D-Link tienen las siguientes características claves:
• Basado en Conductos
El Traffic shaping en los firewalls D-Link es manejados por un concepto basado en
”conductos”, donde cada conducto tiene varias posibilidades de priorización,
limitación y agrupamiento. Los conductos individuales pueden ser encadenados
de diferentes maneras para construir unidades de administración de banda ancha
que exceden por mucho las capacidades de un solo conducto.
• Agrupamiento
El tráfico a través del conducto puede ser agrupado automáticamente en ”pipe
users”, donde cada usuario de conducto puede ser configurado a la misma
extensión que el conducto principal. Un grupo es especificado con respecto al
número de parámetros, por ejemplo, fuente o destino de red IP , dirección IP o
número de puerto.
• Encadenamiento de Conducto
Cuando los conductos son asignados a reglas de conducto, pueden ser concadenados
por sobre ocho conductos para formar una cadena. Esto permite filtrar y limitar para
ser manejados de manera muy sofisticada.
• Garantías de tráfico
Con la configuración de conducto apropiado, el traffic shaping puede ser utilizado para
garantizar la banda ancha (y de este modo calidad) para el tráfico a través del
firewall.
Una vista cercana a estas características es entregada en las secciones a continuación.
23.2 Pipes
Un conducto es un concepto central en la funcionalidad de traffic shaping de los Firewalls
D-Link y es la base de todo control de banda ancha. Los conductos son bastante
simples, ya que estos no conocen mucho acerca de los tipos de tráfico que pasan a
través de estos, y no saben nada sobre la dirección tampoco. Un conducto
simplemente mide la cantidad de tráfico que pasa a través de él y aplica los
límites configurados en cada preferencia y/ó grupo de usuario. La tarea del filtro de
tráfico, categorización, y priorización es realizada por las Reglas de Conducto
cubiertas en la siguiente sección.
los límites separados de banda ancha pueden ser especificados para cada una de las
4 preferencias con una unidad de ”kilobits por segundo”. El tráfico que excede el límite
de una alta preferencia será automáticamente transferido al nivel ”Low” para un mejor
esfuerzo de distribución, tanto como haya espacio en esta preferencia.
En adición al límite por preferencia, puede ser especificado un límite por el conducto como
total. Cuando la utilización de banda ancha a través del conducto alcanza el límite total,
el tráfico es priorizado dependiendo de a qué preferencia este pertenezca. Una
Higher preferencia tiene una mayor oportunidad de lograrlo a través del conducto sin
ordenarlo.
Nota
Para que cualquier traffic shaper trabaje, éste necesita conocer la banda
ancha pasando a través del punto de obstrucción que está tratando de ”protect”.
Si la conexión es compartida con otros usuarios o servidores que no están bajo
el control del firewall, es casi imposible garantizar la banda ancha,
simplemente porque el firewall no conocerá cuánta banda ancha está
disponible para la conexión. Los límites simples trabajarán por supuesto, pero
las garantías, las prioridades y el balance dinámico no lo hacen.
4. Buscar filtraciones
Asegúrese de que todos los tráficos que son deseados por el control de banda ancha
pasen a través de los conductos.
Sin embargo, los firewalls D-Link tienen la habilidad de agrupar el tráfico dentro de cada
conducto. Esto significa que el tráfico será clasificado y agrupado con respecto a la
fuente o destino de cada paquete que pasa a través del conducto.
El beneficio de utilizar agrupamiento es que el control de banda ancha adicional puede ser
aplicado a cada grupo. Esto significa que si el agrupamiento es ejecutado en, por ejemplo,
agrupamiento de direcciones IP, el firewall puede limitar y garantizar la banda ancha
por dirección IP comunicada a través del conducto.
Los límites pueden ser ajustados tanto especificando la máxima banda ancha por grupo
manualmente ó utilizando el balanceo dinamico. El control primero ocurre por grupo
de usuario y luego continua con el conducto como total.
Tal problema es tratado por una característica en los firewalls D-Link denominada Balance
Dinámico. Este algoritmo asegura que el límite de banda ancha de cada grupo es
disminuído dinámicamente (o aumentado) con el fin de balancear regularmente la
banda ancha disponible entre los grupos del conducto. La restricción temporal será
removida cuando los límites configurados sean satisfechos.
Para resumir, son necesarios los siguientes pasos para ajustar el traffic shapping:
2. Ajustes de Conductos
Ajusta los conductos que describen límites para diferentes preferencias, y define
los criterios de agrupamiento.
4. Verificación
Verifica que el traffic shaping configurado trabaje en estas maneras deseadas.
En este ejemplo, son creados dos conductos para el control tanto de tráfico entrante
y saliente, denominado ”std-in” y ”std-out” respectivamente, y un límite de conducto
total de 1000 kilobits es ajustado a cada uno de ellos. Este par de conductos limita
simplemente todo el tráfico que pasa a través de cada dirección a 1000kbps, sin
importar de qué tráfico sea.
Luego de ajustar los límites totales en los dos conductos, dos reglas de conducto
necesitan ser especificadas para asignar conductos en direcciones apropiadas,
interfaces y redes. Desde que estas dos reglas primarias son aplicadas a todos los
servicios posibles, la preferencia fija ”Low” es definida en estos.
WebUI
:
1. Conductos
Pipe Limits
Total: 1000
Crear el otro conducto utilizando los mismos pasos anteriores con el nombre
cambiado a ”std-out”
2. Reglas de Conducto
Address Filter
Source Destination
Interface: lan wan
Network: lannet wannet
→ Traffic Shaping
Cadenas de Conducto
Forward Chain: Seleccione ”std-out” desde la lista Available y colóquela en la lista
Selected.
Return Chain: Seleccione ”std-in” desde la lista Available y colóquela en la lista
Selected.
Preferencia
Marque Use Fixed Precedence
Seleccione Low desde la lista desplegable
Y luego haga click en OK.
Address Filter
Source Destination
Interface: wan lan
Network: wannet lannet
→ Traffic Shaping
Cadenas de Conducto
Forward Chain: Seleccione ”std-in” desde la lista Available y colóquela en la lista
Selected.
Return Chain: Seleccione ”std-out” desde la lista Available y colóquela en la lista
Selected.
Preferencia
Marque Use Fixed Precedence
Seleccione Low desde la lista desplegable
Y luego haga click en OK.
WebUI :
Address Filter
Source Destination
Interface: lan wan
Network: lannet wannet
→ Traffic Shaping
Cadenas de Conducto
Forward Chain: Seleccione ”std-out” desde la lista Available y colóquela en la lista
Selected.
Return Chain: Seleccione ”std-in” desde la lista Available y coplóquela en la lista
Selected.
Preferencia
Marque Use Fixed Precedence
Seleccione Medium desde la lista desplegable
y luego haga click en OK.
Un conducto puede ser de manera futura dividido en varios grupos con respecto a redes
particulares, IP, puerto, ó interfaz; y el límite total de banda ancha del conducto puede
ser distribuido equitativamente en cada grupo habilitando Balance Dinámico de
Banda Ancha. Las preferencias aplicadas en el conducto pueden además ser utilizadas en
todos los grupos. En este ejemplo, se revisarán dos conductos estándar ”std-in” y
”std-out” para tener características de agrupamiento basadas en Destino IP y Fuente IP
respectivamente.
WebUI
:
Puede ser conectado más de un conducto en una cadena de conductos para hacer los límites
de banda ancha más restrictivos. En el ejemplo anterior –Aplicar preferencias en los límites de
Conducto, un límite de 500kbps en la preferencia ”Medium” es definida en el conducto”std-in”.
La regla ”HTTP” dice que la respuesta HTTP desde el Internet puede utilizar por sobre
500kbps como alta prioridad de tráfico, y el tráfico que excede este límite caerá en la
prioridad ”Low” especificada por la regla estándar ”FromInternet”. Tal tráfico
comparará los 500kbps restantes con todos los otros tráficos
(Los límites totales definidos para ”std-in” son 1000kbps).
Si se desea garantizar que los otros tráficos siempre tienen al menos 500kbps sin
competir con el tráfico HTTP excedente, se puede añadir un conducto adicional
”http-in” que limite el consumo total de banda ancha a 500kbps, y revise la regla de
conducto ”HTTP” para tener una cadena de conducto en la dirección contraria. En
esta cadena, es puesto ”http-in” en frente de ”std-in”. El tráfico perteneciente a HTTP
necesitará pasar primero los límites totales en ”http-in” antes de que pueda ir a
”std-in”. El tráfico HTTP excedente será ordenado en ”http-in”.
WebUI
:
Límites de Conducto
Total: 500
2. Revisar la regla de conducto ”HTTP” para crear una cadena de conducto de
retorno
Traffic Shaping → Pipe Rules → HTTP
→ Traffic Shaping:
Cadenas de Conducto
Cadena de retorno
Seleccione ”http-in” desde la lista Available y colóquela en la lista Selected en la parte TOP
de ”std-in”
y luego haga click en OK.
La Figura 24.1 ilustra una vista lógica de un módulo SLB. En este módulo, 3
servidores construyen un banco de servidores, y un firewall D-Link actúa como un server load
balancer.
Server farm
Es un aparato para ejecutar las funciones de SLB, que presta atención a las solicitudes
entrantes, decide el modo de distribución de tráfico y algoritmo, re-dirige el
tráfico a ciertos servidores dentro del banco de servidores, y monitorea la
disponibilidad de los servidores.
Los firewalls D-Link son balanceadores de carga, los cuales pueden ser configurados
para ejecutar la distribución de carga y monitoreo de funciones.
Distribución de Carga
Monitoreo de Servidor
a tiempo real del estado de los servidores, y notifica la distribución de tráfico para
redireccionar el tráfico si falla algún servidor.
24.1.3 Beneficios
La solución SLB entrega una administración de tráfico más avanzada y flexible, un mayor
poder de procesamiento, en comparación a la implementación de un solo servidor.
Las ventajas significativas son:
Escalabilidad
El SLB mejora drásticamente la escalabilidad de una aplicación ó banco de
servidores distribuyendo la carga a través de servidores múltiples. La adición de
nuevos servidores, y la eliminación ó fallas de servidores existentes, pueden
ocurrir a cualquier momento, sin experimentar período de inactividad.
Habilidad Optimizada
El SLB ayuda a reducir la cantidad de trabajo de cada servidor, y por lo tanto,
entrega una respuesta más rápida a solicitudes de usuario. Cualquier servidor en el
banco de servidores no será inundado por tráfico inusualmente pesado que no es capaz
de manejar. La carga adicional puede ser tomada sobre otros servidores activos
automáticamente.
Disponibilidad
La distribución de carga y monitoreo de servidor cooperan para conseguir
recuperación de fallos automático. Con estas dos características, el SLB es capaz de
direccionar el tráfico a servidores alternativos si un servidor falla.
Seguridad
En un modulo SLB, una dirección de servidor público es presentado a los clientes,
representando la server farm. La dirección real de los servidores se encuentra
escondida detrás de tal dirección publica y jamás es revelada a la red externa
(cubierta por 24.2 Implementaciones SLB). Esta puede filtrar tráfico no deseado
basado tanto en dirección IP y TCP ó números de puerto UDP, y ayuda a
proteger contra formas múltiples de ataques de denial-of-service(DoS.)
Fácil Mantenimiento
La Administración de aplicaciones de servidor es fácil. El banco de servidores es
visto como un solo servidor virtual por los Clientes con una dirección pública; no se
necesita de una administración para los cambios reales de servidor, los cuales son
transparentes a la red externa.
3. Stickiness de red:
Este modo trabaja como el mismo stickiness de dirección IP, sólo aplique a las
direcciones subred.
Los firewalls D-Link ofrecen los siguientes algoritmos para lograr las tareas de
distribución de carga:
Sin importar qué algoritmo es elegido, si un servidor se cae, el tráfico será enviado a
otro servidor. Y cuando el servidor vuelva a estar en línea, este puede
automáticamente ser ubicado de nuevo en el banco de servidores y comenzar a tener solicitudes
nuevamente.
ICMP Ping
Conexión TCP
Este ejemplo describe cómo puede ser utilizado SLB para load balance
conexiones SSH a dos servidores SSH detrás de un Firewall D-Link conectado a Internet
con dirección IP ip ext, como muestra la Figura 24.2. Los dos servidores SSH
tienen las direcciones IP privadas 192.168.1.10 y 192.168.1.11.
WebUI
:
1. Crear Objetivos
Primero que todo se necesita crear objetivos locales que mantengan la dirección IP
para cada servidor.
Objects → Address Book → Add → IP4 Host/Network:
Name: SSH Server1
IP Address: 192.168.1.10
Luego haga click en OK
El siguiente paso es ajustar la regla NAT para permitir el tráfico SAT:ed por la regla
Anterior.
Rules → IP Rules → Add → IP Rule:
Name: SSH SLB NAT
Action: NAT
Service: ssh
Source Interface: any
Source Network: all-nets
Destination Interface: core
Destination Network: ip ext
Luego haga click en OK
Nota
• Clientes Miscelaneos
• Dyndns.org
• Dyns.cx
• Cjb.net
• Telia
• BigPond
271
272 Capítulo 25. Clientes Misceláneos
contactando el servicio DNS cada vez que la dirección IP entregada por el ISP
cambia y actualiza posteriormente la base de datos DNS para reflejar el cambio en la
dirección IP. Este método permite que la máquina del usuario tenga un nombre de
dominio que siempre apunte a éste, a pesar de que la dirección IP cambie a menudo.
Otros usuarios no tienen cómo conocer la dirección IP modificada con el fin de conectarse
a la máquina.
Con el fin de utilizar esta función como un cliente DynDNS, uno debe tener una cuenta con
uno de los proveedores de servicio soportados.
Dyndns.org
Dyndns.org es un servicio gratuito DynDNS que permite los registros bajo docenas
de dominios, ej. ”MYDNS.dyndns.org”,
”MYDNS.dnsalias.net”, etc.
Dyns.cx
Dyns.cx es un servicio gratuito DynDNS que permite los registros bajo un
número de dominios: ”dyns.cx”, ”dyns.net”, ”ma.cx”, ”metadns.cx”,
etc.
Cjb.net
Cjb.net entrega servicio gratuito DynDNS (y más) que permite los
registros bajo ”cjb.net”.
Oray.net
Oray.net – ”Peanut Hull DynDNS” ofrece servicios gratuitos DynDNS bajo varios
nombres de dominio.
Actualmente, los firewalls D-Link ofrecen un registro automático de cliente a los siguientes
proveedores:
Nota
http://MYUID:MYPWD@members.dyndns.org/nic/update?hostname=
MYDNS.dyndns.org
275
276 Capítulo 26. Servidor DHCP & Relayer
WebUI
:
Opciones
Default GW: Especifique la puerta de enlace predeterminada a distribuir a clientes
DHCP. En este caso (None).
Domain: Especifique el dominio a distribuir. Este puede ser dejado vacío.
Lease Time: Configurar el tiempo que debe ser válido el arriendo.
DNS: Configurar la información de servidor DNS para distribuir a clientes DHCP.
Este puede ser dejado en (None).
NBNS/WINS: Configurar la información de servidor NBNS/WINS para distribuir
a clientes DHCP. Este puede ser dejado en (None).
Next Server: Especifique la dirección IP del siguiente servidor en el proceso de
arranque, este es usualmente un servidor TFTP. Este puede ser dejado en
(None).
Opciones de encargo
Aquí usted puede añadir opciones de encargo al contrato DHCP. Es posible
especificar el código, tipo y parámetro.
Un relayer DHCP toma el lugar del servidor DHCP en la red local para actuar como el
intermedio entre el cliente y el servidor DHCP remoto. Este intercepta solicitudes
para clientes y los re-transmite al servidor. El servidor luego responde de vuelta a la retransmisión,
la cual reenvía la respuesta al cliente. La retransmisión DHCP sigue la funcionalidad de agente
de relayer BOOPT y retiene el formato de mensaje BOOTP y protocolo de comunicación, y por
lo tanto son denominados a menudo BOOTP relayer agents.
La configuración en este ejemplo permite a los clientes en las interfaces VLAN para
obtener direcciones IP desde un servidor DHCP.
Antes de que los siguientes pasos sean tomados, es asumido que el firewall es
configurado con interfaces VLAN que van a utilizar relaying DHCP, y la dirección IP
del servidor DHCP ha sido definido en el libro de dirección denominado como
”ip-dhcp”.
El firewall puede también instalar una ruta para el cliente cuando ha finalizado el
proceso DHCP y obtenido una IP.
WebUI
:
1. Grupo de Interfaz:
– añadir interfaces VLAN ”vlan1” y ”vlan2” que deben retransmitir a un grupo
de interfaz denominado como ”ipgrp-dhcp”.
Interface → Interface Groups → Add → Interface Group:
Name: ipgrp-dhcp
Interfaces: seleccione ”vlan1” y ”vlan2” desde la lista Available y colóquelas en
la lista Selected.
Luego haga click en OK.
2. DHCP relay:
– añada un DHCP relay denominado como ”vlan-to-dhcpserver”
→ Add Route:
Marque Add dynamic routes para este contrato relayed DHCP.
Luego haga click en OK.
Este capítulo entrega una vista general del ofrecimiento del modo transparente e
introduce cómo el modo transparente es implementado en los firewalls D-Link en
detalle. Los ejemplos de configuración de distribuciones simples de red y escenarios
a tiempo real más complicados pueden ser encontrados al final de este capítulo.
• No se añade obstáculo – el despliegue del firewall debe ser invisible para los usuarios
internos, cuando estos pueden aún obtener los servicios permitidos.
281
282 Capítulo 27. Modo transparente
Los firewalls D-Link pueden trabajar de dos modos: Modo Routing & Modo
Transparente. En el Modo Routing normal, el firewall actúa como un router de Capa 3. Si
el firewall es ubicado en una red por primera vez, o si hay cualquier cambio topológico
dentro de los nodos, la configuración de routing debe ser examinada
rigurosamente para asegurar que la tabla de routing del sistema firewall es consistente
con la distribución de red actual. La reconfiguración de ajustes IP es además requerida
para routers pre-existentes y servidores protegidos. Este modo trabaja bien cuando
se desea tener un control completo sobre el routing, y saber de la localización
específica de dispositivos importantes, para tener la más alta seguridad posible. Por
ejemplo, se espera que el servidor localizado en un área protegida sólo reciba
el tráfico necesario.
Mientras que en el Modo Transparente, el firewall actúa más que un switch. Este
protege paquetes IP que atraviesan el firewall y los reenvía transparentemente
en la interfaz correcta sin modificar cualquiera de la información de fuentes o destinos.
Todas las interfaces transparentes son consideradas para estar en la misma red, de
modo que si un cliente se mueve a otra interfaz este puede aún obtener los
mismos servicios que antes sin reconfiguración routing.
Una tabla CAM contiene información de las direcciones MAC disponibles en una
interfaz física entregada del firewall, mientras la Capa 3 cache almacena mapeos
entre direcciones IP, dirección MAC e interfaz.
Como la Capa 3 Cache es sólo utilizada por el tráfico IP, las entradas de Capa 3 Cache
son almacenadas como una sola entrada de anfitrión en la tabla routing.
Para cada paquete IP que atravesará el firewall, se realizará una búsqueda de ruta
para el destino. Si la ruta del paquete coincide una ruta switch ó entrada de Capa 3
Caché en la tabla routing, el firewall sabe que debe manejar este paquete de manera
Transparente. Si una interfaz de destino y dirección MAC está disponible en la
ruta, el firewall tiene la información necesaria para reenviar el paquete al destino. Si
la ruta fue un routerswitch , no es disponible ninguna información específica acerca del
destino y el firewall tendrá que descubrir donde está localizado el destino en la red.
El descubrimiento es realizado enviando solicitudes ARP, actuando como el remitente
inicial del paquete original IP para el destino en las interfaces especificadas en el
RouterSwitch. Si una respuesta ARP es recibida, el firewall actualizará la tabla CAM
y la Capa 3 Cache y reenvía el paquete al destino.
Si la Tabla CAM ó Capa 3 Cache está completa, las tablas son parcialmente
Limpiada automáticamente. Utilizando el mecanismo de descubrimiento, el firewall
redescubrirá destinos que pueden ser limpiada.
En este escenario un router es utilizado para compartir una conexión Internet con
una dirección IP pública. La red NAT:ed interna detrás del firewall es en el espacio de
dirección 10.0.0.0/24. Los clientes en la red interna deben estar permitidos para acceder
el Internet vía protocolo HTTP.
La interfaz WAN y LAN en el firewall deberán ser configurados para operar en Modo
Transparente. Es preferible configurar direcciones IP en las interfaces WAN y LAN,
cuando estas pueden mejorar el rendimiento durante el descubrimiento
automático de anfitriones.
Todo el tráfico que pasa a través del firewall tendrá que pasar a través del ajuste de regla
IP. Para permitir el tráfico HTTP, una nueva regla IP debe ser configurada. (Refiérase
a 14.3 Escenario.)
WebUI
:
1. Interfaces
2. Reglas
Los servidores que contienen recursos que son accesibles desde el exterior podrían
ser un riesgo de seguridad si estos están ubicados directamente en la red interna.
Debido a esto, tales servidores son a menudo conectados a una interfaz separada en el
Firewall, como DMZ.
Aquí se permite a los anfitriones en la red interna comunicarse con un servidor HTTP
en DMZ. Además, se permite el servidor HTTP en DMZ para ser alcanzado desde el
Internet. Pueden ser añadidas reglas adicionales para permitir otro tráfico.
Este escenario muestra cómo configurar una Ruta Switch sobre las interfaces LAN y
DMZ para el espacio de dirección 10.0.0.0/24. Es asumido que la interfaz WAN ya ha
sido configurada correctamente.
WebUI
:
1. Interfaces
Interfaces → Ethernet → Edit (LAN):
Ingrese lo siguiente:
IP Address: 10.0.0.1
Network: 10.0.0.0/24
Transparent Mode: Disable
Add route for interface network: Disable
Luego haga click en OK
2. Interface Groups
Interfaces → Interface Groups → Add → Interface Group:
Ingrese lo siguiente:
Name: TransparentGroup
Security/Transport Equivalent: Disable
Interfaces: Select LAN and DMZ
Luego haga click en OK
3. Routing
Routing → Main Routing Table → Add → Switch Route:
Ingrese lo siguiente:
Switched Interfaces: TransparentGroup
Network: 10.0.0.0/24
Metric: 0
Luego haga click en OK
4. Reglas
Ajustando las reglas threshold en el firewall, anfitriones ó redes que están excediendo
el treshold definido pueden ser dinámicamente bloqueados. Los tresholds están
basados en el número de nuevas conexiones realizadas por segundo, por tanto un sólo
anfitrión ó todos los anfitriones dentro de un rango de red CIDR especificada (un rango
de dirección IP especificada por una combinación de una dirección IP y su
máscara de red asociada). Cuando el firewall nota que un anfitrión o una red ha
alcanzado el límite específico, éste carga reglas ACL (Access Control
List) para los switches, lo cual bloquean en turno todo el tráfico para ese anfitrión o
red. Los anfitriones y redes bloqueadas se mantienen bloqueadas hasta que el
sistema administrador manualmente los desbloquee utilizando la Web del firewall ó
la interfaz de línea de comando.
291
292 Capítulo 28. Zona de Defensa
Nota
Asegúrese de que los switches tienen las versiones mínimas de firmware requeridas
antes de activar la zona de defensa.
28.2.1 SNMP
Simple Network Management Protocol (SNMP) es un protocolo de capa de aplicación
para la administración de redes complejas. El SNMP permite a los administradores y
dispositivos administrados en una red, comunicarse enviando mensajes, con el
propósito de acceder a diferentes partes de la red.
Administrador
Dispositivos administrados
Los dispositivos administrados son obedientes a SNMP, tal como los switches
D-Link. Estos almacenan datos administrados en sus bases de datos, conocidas como
Management Information Base (MIB), y entrega la información bajo cuestionamiento
al administrador.
• Servicio.
Pueden ser creadas listas excluyentes y utilizadas con el fin de excluir anfitriones de ser
bloqueados cuando un límite de regla threshold es alcanzada. Una buena práctica incluye
28.5 Limitaciones
Dependiendo del modelo del switch, hay varias limitaciones en efecto. La primera,
es la latencia entre el activar una regla de bloqueo al momento de que el switch(es)
realmente bloquee el tráfico coincidente con la regla. Todos los modelos de
switch requieren al menos algún tiempo para reforzar las reglas luego de que éstas
son entregadas por el firewall. Algunos modelos pueden activar las reglas dentro de
un segundo mientras otras requieres de un minuto ó incluso más.
Nota
La Zona de Defensa utiliza un rango para la regla de ajuste ACL en el switch. Para evitar
conflictos potenciales en estas reglas y garantizar el control de acceso del firewall,
es altamente recomendable que el administrador limpie por completo el ajuste de regla
ACL en el switch antes de procesar la configuración de la Zona de
Defensa.
Un switch D-Link de modelo DES-3226S es utilizado en este caso, con una dirección de
administración de interfaz 192.168.1.250 conectando a la dirección de interfaz del firewall
192.168.1.1. Esta interfaz de firewall es añadida en la lista excluyente para prevenir que el
firewall sea accidentalmente bloqueado para accesar el switch.
El diseño de red simplificado para este escenario es mostrado en la Figura 28.1.
WebUI
:
1. Switch
– añadir un nuevo switch en la sección de Zona de Defensa.
Presione el botón de Check Switch para verificar que el firewall puede comunicarse
con el switch y la serie correcta de comunidad es ingresada.
Luego haga click en OK.
2. Lista Excluyente
– Añada la interfaz de administración del firewall en la lista excluyente.
3. Regla Threshold
– configurando un threshold HTTP de 10 conexiones/segundo.
General:
Name: HTTP-Threshold
Service: HTTP
Address Filter
Source Destination
Interface: (la interfaz de administración del firewal) any
Network: 192.168.2.0/24(o el nombre objetivo) all-nets
→ Action:
Action: ZoneDefense
Host-based Threshold: 10
299
300 Capítulo 29. Alta Disponibiidad
Tabla de conexión y otra información vital, esta copia continua del firewall
inactivo. Cuando el cluster falla sobre el firewall inactivo, Este conoce cuál
conexión está activa, y la comunicación puede continuar hacia el flujo
no interrumpido.
Los firewalls de respaldo múltiples no pueden ser utilizados en un cluster. Sólo son soportados
dos firewalls, uno ”master” y uno ”slave”.
Como es el caso con todos los otros firewall que soportan el estado de recuperación de
fallos, la Alta Disponibilidad D-Link sólo trabajará entre dos Firewalls D-Link. Como
el trabajo interno de diferentes firewalls, y en efecto, mejores versiones diferentes del
mismo firewall, pueden ser radicalmente diferentes, no hay manera de comunicar el
”state” a algo que posee una comprensión completamente diferente de lo que
”state” significa.
Como se puede ver en la figura 29.1, ambos firewalls están conectados a la red interna
así como a la red externa. Si hay más redes, por ejemplo una o más zonas desmilitarizadas,
o segmentos de redes internas, ambos firewalls tendrán que ser conectadas a tales redes;
el Sólo conectar el ”master” a la red será como guiar a perder la conectividad por
períodos de tiempo extendidos.
.
• Latidos Cluster
• La interfaz de sincronización
Esta sección detallará las características visible externas del mecanismo de failover,
y cómo trabajan juntos los dos firewalls para crear un cluster de alta disponibilidad
con tiempos de failover muy bajos.
• Dos direcciones IP “reales”; uno para cada firewall. Estas direcciones son
utilizadas para comunicarse con los mismos firewalls, ej. para el control y
monitoreo remoto. Estos no deben ser asociados de ningún modo con el tráfico
que fluye por el cluster; si ningún firewall es inoperativo, la dirección IP asociada
será simplemente inalcanzable.
No hay mucho que decir acerca de las direcciones IP reales; estos actuarán tal como
las interfaces firewall normalmente lo hacen. Usted puede aplica pingo controlar
remotamente los firewalls por éstos si su configuración lo permite. Consultas ARP para
las direcciones respectivas son respondidas por el firewall que posee la dirección IP
utilizando la dirección hardware normal, tal como las unidades normales IP lo
hacen.
Cuando un firewall ha “perdido” tres latidos, ej. luego de 0.6 segundos, éste será declarado
inoperativo.
De modo que, ¿porqué no hacerlo aún más rápido? Tal vez enviar 100 latidos por segundo
y declarar a un firewall inoperativo luego de perder sólo dos de ellos?
Esto podría después de todo resultar en un tiempo de failover de.02-segundos.
El problema con los tiempos de detección de menos de un décimo por segundo es que
tales retrasos pueden ocurrir durante la operación normal. Sólo abriendo un archivo, en
cualquier firewall, podría resultar en un gran retraso suficiente para causar que el firewall
inactivo se vuelva activo, incluso si el otro firewall se encuentra aún activo; una situación
claramente no deseada.
• El IP TTL es siempre 255.Si un firewall recibe un latido cluster con cualquier otro
TTL, es asumido que el paquete ha atravesado un router, y por lo tanto no puede
ser del todo confiable.
Cuando el firewall activo cesa de funcionar, por cualquier razón e incluso por un corto
tiempo, el mecanismo de latido cluster descrito anteriormente causará que el firewall
inactivo se vuelva activo. Puesto que este ya conoce todas las conexiones abiertas,
la comunicación puede continuar fluyendo ininterrumpidamente.
Un cluster puede ser creado tanto instalando un par de nuevos firewalls, o convirtiendo
firewalls ya instalados en miembros cluster.
El firewall con la más alta versión numérica de su configuración asegurará siempre que la
configuración es transferida al otro miembro cluster.
• Las interfaces LAN en el miembro cluster son ambas conectadas al mismo switch.
Este switch reside en una red interna con direcciones IP desde la red
192.168.10.0/24.
• Las interfaces WAN en los miembros cluster son ambos conectados a un segundo
Switch. Este switch reside en una red externa con direcciones IP desde la red
10.4.10.0/24.
• Las direcciones IP para las interfaces son designadas como es indicado por esta
tabla:
• Las interfaces DMZ en los miembros cluster son utilizadas para sincronización
de estado, y por lo tanto conectadas entre ellos utilizando cable cruzado
Ethernet.
Cada firewall en el cluster tendrá que ser configurado para actuar tanto como un HA
master ó slave. Esto incluye la configuración de direcciones privadas (master y slave) y
direcciones IP compartidas en interfaces, así como seleccionando un cluster ID e
interfaz de sincronización.
WebUI
:
1. Configuración HA
System → High Availability:
Enable High Availability: Enable
Cluster ID: 0 (Seleccione un cluster ID apropiado)
Sync Interface: DMZ (En este ejemplo se utiliza la interfaz DMZ como interfaz sync)
3. Configuración de Interfaz
Interfaces → Ethernet → Edit (LAN):
IP Address: 192.168.10.1
Advanced/High Availability
Private IP Address: lan-priv-ip Then click OK
Nota
Todas las interfaces Ethernet y VLAN deberán tener asignadas una dirección IP
privada cuando el firewall es configurado para ser miembro HA. Sin embargo, en este
ejemplo sólo se mostrará cómo configurar las interfaces LAN y WAN. Note que
es posible utilizar el mismo Par de Dirección HA IP4 objetiva en interfaces múltiples.
• Asuntos de Configuración
Incluso a través del cluster de Alta Disponibilidad se comportará como un solo firewall
desde muchos aspectos, hay algunas cosas que mantener en mente cuando se maneja
y configura.
El registro de datos proviene desde dos firewalls. Esto significa que usted tendrá que
configurar su receptor de registro para recibirlos desde ambos firewalls. Esto también
significa que sus consultas de registro probablemente tendrán que incluir ambas fuentes de
Firewall, lo cual entregará todos los datos de registro en una vista resultante. Normalmente
el firewall inactivo no enviará entradas de registro sobre el tráfico con vida, así que la
salida se verá mucho como el camino que hizo con sólo un firewall.
Modificando el cluster ID
Luego de que la configuración ha sido cargada en ambos firewalls, los caches ARP de
unidades vitales deberán ser limpiados con el fin de restaurar la comunicación.
Las únicas direcciones IP (privadas) de los firewalls no pueden ser utilizados de manera
segura para nada salvo manejar los firewalls.
311
312 INDEX
RADIUS, 135
Replay attack, 229
RIP, 72
Route, 69
RouteFailover, 77
Router priority, 75
Routing table, 69
Este Apéndice contiene la lista de comandos que pueden ser utilizados en CLI para
Monitorear y solucionar problemas en el firewall. Para información sobre cómo acceder
Desde un PC ó terminal, refiérase a 4.2, Monitoreo Via CLI.
Lista de Comandos
Al respecto
Entrega información referente a la versión del núcleo del firewall en uso y una notificación
copyright.
• Syntax: about
Ejemplo:
Cmd> about
313
314 Capitulo A. Referencia de Comandos de Consola
Acceso
Despliega los contenidos de la sección de configuración de Acceso.
• Syntax: access
Ejemplo:
Cmd> access
ARP
Despliega entradas ARP para la interfaz especificada. Publicadas, son mostrados items
tanto estático como dinámico.
• Opciones:
- num <n> –Despliega sólo la primera <n> entrada por iface (default: 20)
ARPSnoop
Alternar el despliegue en pantalla de consultas ARP. Este comando puede ser de gran
Ayuda en la configuración del hardware firewall, ya que este muestra cuales
Direcciones IP son percibidas en cada interfaz.
• Syntax:
- arpsnoop all
rastrea todas las interfaces.
- arpsnoop none
Desactiva todo rastreo
Ejemplo:
Cmd> arpsnoop all
Buffers
Este comando puede ser útil en la solución de problemas; ej. si un gran número
inesperado
de Paquetes comienzan a consultar en el firewall cuando el tráfico no pareciera estar
fluyendo por alguna razón inexplicable. Al analizar los contenidos de los buffers, es
posible determinar dónde tal tráfico está trabajando en el firewall completo.
• Syntax:
-- buffers
Entrega una lista de los buffers más recientemente liberados.
Ejemplo:
Cmd> buffers
-- buffer <number>
Muestra los contenidos del buffer especificado.
Ejemplo:
Cmd> buff 1059
-- buffer .
Muestra los contenidos del buffer más recientemente utilizado.
Ejemplo:
Cmd> buff .
Certcache
Despliega los contenidos del certificado cache.
• Syntax: certcache
CfgLog
Muestra el resultado de la configuración más reciente ó reinicia el firewall. Este
texto es el mismo que se muestra en pantalla durante la reconfiguración ó
reinicio.
• Syntax: cfglog
Ejemplo:
Cmd> cfglog
Conexiones
Muestra las últimas 20 conexiones abiertas por el firewall. Las conexiones son creadas
cuando el tráfico es permitido de pasar vía reglas Allow o NAT. El tráfico permitido de
pasar bajo FwdFast no es incluído en esta lista.
Cada conexión tiene dos valores de Tiempo de inactividad, uno en cada dirección. Estos
son actualizados cuando el firewall recibe paquetes desde cada extremo de la conexión.
El valor mostrado en la columna de Tiempo de inactividad es el más bajo de los dos
valores. Los valores posibles en la columna de State incluyen:
• Syntax: conexiones
Ejemplo:
Cmd> conn
Cpuid
Muestra información respecto al CPU en el hardware firewall.
• Syntax: cpuid
Ejemplo:
Cmd> cpuid
DHCP
• Syntax: dhcp [options] <interface>
• Options:
DHCPRelay
Muestra los contenidos del la sección de configuración de la
retransmisión DHCP.
• Syntax: dhcprelay [options]
• Opciones:
Ejemplo:
Cmd> dhcprelay
Servidor DHCP
Muestra los contenidos de la sección de configuración del servidor DHCP y activa los
contratos DHCP.
• Opciones:
Ejemplo:
Cmd> dhcpserver
DynRoute
Despliega la regla de ajuste de filtro de política de routing dinámico y exportaciones
actuales.
• Syntax: dynroute [options]
• Options:
Frags
Muestra los 20 intentos de reensamblaje de fragmentos más recientes. Esto incluye
ambos intentos en curso y completados.
• Syntax: frags
Ejemplo:
Cmd> frags
HA
Muestra información sobre el cluster HA.
• Syntax: ha
Ejemplo:
Cmd> ha
HTTPPoster
Muestra el httpposter urls configurado y estado.
• Opciones:
Ejemplo:
Cmd> httpposter
HTTPPoster URL1:
Host : ""
Port : 0
Path : ""
Post : ""
User : ""
Pass : ""
Status: (no configurado)
...
Ifacegroups
Muestra los grupos de interfaz configurados.
Ejemplo:
Cmd> ifacegroups
IfStat
• Syntax:
-- ifstat
Muestra una lista de las interfaces instaladas en el firewall.
Ejemplo:
Cmd> ifstat
Interfaces configuradas:
Interface name IP Address Interface type
-------------- ------------ -------------
core 127.0.0.1 Null (sink)
wan 172.16.87.252 ...
lan 192.168.121.1 ...
-- ifstat <interface>
Muestra las estadisticas hardware y software para el NIC especificado.
Ejemplo:
Cmd> ifstat lan
Iface lan
...
MTU : ...
IP Address : ...
Hw Address : ...
Software Statistics:
Soft received: ... Soft sent: ... Send failures: ...
Dropped: ... IP Input Errs: ...
Driver information / hardware statistics:
...
El contador Dropped en la sección de software expone el número de paquetes
desechados como el resultado de test de integridad estructural ó reglas de ajuste drops
del firewall.
El contador IP Input Errs en la sección de software especifica el número de paquetes
desechados debido a los errores checksum ó encabezados IP rotos mas allá de
reconocimiento. El ultimo es más como el resultado de problemas de red local más
que ataques remotos.
Ikesnoop
Ikesnoop es utilizado para diagnosticar problemas con túneles IPsec.
• Syntax:
-- ikesnoop
Despliega en actual estado ikesnoop.
-- ikesnoop off
Apaga el IKE.
-- ikesnoop on [ipaddr]
Enciende el IKE, si un IP es especificado sólo el tráfico ike de ese IP
será mostrado.
Ipseckeepalive
Muestra el estado de las conexiones configuradas Ipsec keepalive.
• Syntax: ipseckeepalive
Ejemplo:
Cmd> ipseckeepalive
IPSectunnels
Despliega las conexiones IPSec VPN configuradas.
• Syntax: ipsectunnels
Ejemplo:
Cmd> ipsectunnel
IPSecstats
Despliega puertas de enlace IPSec VPN conectadas y clientes remotos.
• Opciones:
Ejemplo:
Cmd> ipsecstats
Killsa
Mata todos los IPsec y IKE SAs para la dirección IP especificada.
Ejemplo:
Cmd> killsa 192.168.0.2
Destruye todos los IPsec & IKE SAs por par remoto 192.168.0.2
Licencia
Muestra en contenido del archivo de licencia. Es además posible remover una licencia
desde un firewall corriendo con este commando, removiendo la licencia.
Ejemplo:
Cmd> lic
Lockdown
Ajusta el bloqueo local a encendido ó apagado. Durante el bloqueo local, sólo el
tráfico de nets admin al firewall mismo es permitido. Cualquier otra cosa es
desechada
Nota: Si el bloqueo local ha sido ajustado por el núcleo mismo debido a problemas
de
licencia o configuración, este comando NO removerá tal bloqueo
Loghosts
Muestra la lista del destinatario de registro al que el firewall está configurado a enviar
datos de registro.
• Syntax: loghosts
Ejemplo:
Cmd> loghosts
Log hosts:
SysLog 192.168.123.10 Facility: local0
Utiliza registro en intervalos de 3600.
Memoria
Despliega el consume de núcleo de memoria. También despliega el uso de la memoria detallada
por algunos componentes y listas.
• Syntax: memory
Netcon
Muestra una lista de usuarios actualmente conectados al firewall vía protocolo de
administración netcon.
• Syntax: netcon
Ejemplo:
Cmd> netcon
Netobjects
Despliega la lista de su red nombrada objetiva y sus contenidos. Si una net
objetiva es especificada la salida mostrará información de autentificación del usuario
asociada con ese objeto.
• Options:
OSPF
Muestra información de la información del tiempo de ejecución acerca de procesos de
Router OSPF y es utilizado para detener/iniciar procesos OSPF).
• Parámetros disponibles:
• Parámetros de depuración:
Ping
Envía un número específico de paquetes ICMP Echo Request a un destino entregado.
todos los paquetes son enviados en sucesión inmediata más que uno por segundo.
Esta conducta es la más apropiada para diagnosticar problemas de conectividad.
• Opciones:
- r <recvif>, Corre a través de la Regla de ajustes, simulando que los paquetes fueron
Recibidas por <recvif>.
- v, Verbose ping.
Ejemplo:
Cmd> ping 192.168.12.1
Conductos
Muestra la lista de conductos configurados; los contenidos de la sección de configuración
de conductos, junto con las figures de rendimiento básicas de cada conducto.
• Opciones:
Ejemplo:
Cmd> pipes
Configured pipes:
Name Grouping Bits/s Pkts/s Precedence
----- ------- ------ ------ ----------
std-in Per DestIP 017
Current: 42.5 K 21.0
...
Proplists
Enlista las listas propuesta configuradas.
Ejemplo:
Cmd> propl
ReConfigurar
Re-lee el archive FWCore.cfg desde el disco. Este proceso toma aproximadamente un
segundo si se realiza desde el disco floppy, y aproximadamente una décima de segundo
desde el disco duro ó disco flash. Si hay un archivo FWCore N.cfg presentado en el disco,
éste será leído en cambio. Sin embargo, como no hay Administrador de Firewall para
intentar dos medios de comunicación con el firewall, éste concluirá que la configuración es
incorrecta y revertirá a FWCore.cfg luego de que la verificación bi-direccional del período
de tiempo de inactividad ha expirado (típicamente 30 segundos).
• Syntax: reconfiure
Ejemplo:
Cmd> reconfigure
Remotos
Muestra los contenidos de la sección de Configuración Remota.
• Syntax: remotes
Ejemplo:
Cmd> remotes
Rutas
Despliega la información acerca de las tablas de routing, contenidos de una (nombrada)
tabla routing ó una lista de tablas routing, junto con una cuenta total de entradas de ruta
en cada tabla, así como cuantas de las entradas son rutas de un solo anfitrión.
Note que las rutas “núcleo” por direcciones de interfaz IP no son normalmente mostradas,
Utilice el switch de ”-all” para mostrar las rutas “núcleo” también.
En el recuadro de ”Flags” de las tablas routing, las siguientes letras son utilizadas:
• Opciones:
- v, Verbose
Reglas
Muestra los contenidos de la sección de configuración de Reglas.
• Opciones:
- s, Filtra las reglas que no son actualmente permitidas por programas seleccionados
Ejemplo:
Cmd> rules -v 1
Scrsave
Activa el salva pantallas incluídas con el núcleo del firewall.
• Syntax: scrsave
Ejemplo:
Cmd> scr
Services
Despliega la lista de servicios nombrados. Los servicios definidos implícitamente dentro
de las reglas no son desplegados.
Ejemplo:
Cmd> services
Configured services:
HTTP TCP ALL > 80
Shutdown
Instruye al firewall para ejecutar un reinicio dentro de un número de segundos.
No es necesario ejecutar un reinicio antes de que el firewall sea apagado, y cuando
éste no mantiene ningún archive abierto mientras corre.
Sysmsgs
Muestra los contenidos del buffer OS sysmsg.
• Syntax: sysmsgs
Ejemplo:
Cmd> sysmsg
Ajustes
Muestra los contenidos de la sección de configuración de Ajustes.
• Syntax:
-- settings Shows available groups of settings.
Exjemplo:
Cmd> sett
Categorías disponibles en la sección de Ajustes:
IP - IP (Internet Protocol) Settings
TCP - TCP (Transmission Control Protocol) Settings
ICMP - ICMP (Internet Control Message Protocol)
ARP - ARP (Address Resolution Protocol) Settings
State - Stateful Inspection Settings
ConnTimeouts - Default Connection timeouts
LengthLim - Default Length limits on Sub-IP Protocols
Frag - Pseudo Fragment Reassembly settings
LocalReass - Local Fragment Reassembly Settings
VLAN - VLAN Settings
SNMP - SNMP Settings
DHCPClient - DHCP (Dynamic Host Configuration Protocol)
Client Settings
DHCPRelay - DHCP/BOOTP Relaying Settings
DHCPServer - DHCP Server Settings
IPsec - IPsec and IKE Settings
Log - Log Settings
SSL - SSL Settings
HA - High Availability Settings
Timesync - Time Synchronization Settings
DNSClient - DNS Client Settings
RemoteAdmin - Settings regarding remote administration
Transparency - Settings related to transparent mode
HTTPPoster - Post user-defined URLs periodically
for e.g. dyndns registration, etc
WWWSrv - Settings regarding the builtin web server
HwPerformance - Hardware performance parameters
IfaceMon - Interface Monitor
RouteFailOver - Route Fail Over Default values
IDS - Intrusion Detection / Prevention Settings
PPP - PPP (L2TP/PPTP/PPPoE) Settings
Misc - Miscellaneous Settings
Ejemplo:
Cmd> settings arp
Estadisticas
Muestra varias estadísticas vitales y contadores.
• Syntax: stats
Ejemplo:
Cmd> stats
Uptime : ...
Last shutdown : ...
CPU Load :6
Connections : 4919 out of 32768
Fragments : 17 out of 1024 (17 lingering)
Buffers allocated : 1252
Buffers memory : 1252 x 2292 = 2802 KB
Fragbufs allocated : 16
Fragbufs memory : 16 x 10040 = 156 KB
Out-of-buffers :0
ARP one-shot cache : Hits : 409979144 Misses : 186865338
Interfaces: Phys:2 VLAN:5 VPN:0
Access entries:18 Rule entries:75
Usar el archivo de configuración "FWCore.cfg", ver ...
Tiempo
Despliega el sistema de fecha y tiempo
• Opciones:
Uarules
Despliega los contenidos de la regla de ajuste de autentificación del
usuario.
• Syntax: uarules [options] <range>
• Options:
Userauth
Despliega a los usuarios actualmente registrados y otra información. Además permite
a los usuarios registrados ser desconectados por la fuerza.
• Options:
- v <ip>, despliega toda la info conocida por los usuarios con esta IP
Ejemplo:
Cmd> userauth -l
Userdb
Enlista base de datos de usuario y sus contenidos.
• Opciones:
Ejemplo:
Cmd> userdb
Ejemplo:
Cmd> userdb AdminUsers
Ejemplo:
Cmd> userdb AdminUsers admin
Vlan
Muestra información sobre los VLANs configurados.
• Syntax:
-- vlan
List attached VLANs
jemplo:
Cmd> vlan
VLANs:
vlan1 IPAddr: 192.168.123.1 ID: 1 Iface: lan
vlan2 IPAddr: 192.168.123.1 ID: 2 Iface: lan
vlan3 IPAddr: 192.168.123.1 ID: 3 Iface: lan
-- vlan <vlan>
Muestra información acerca de VLANs especificados.
Ejemplo:
Cmd> vlan vlan1
VLAN vlan1
Iface lan, VLAN ID: 1
Iface : lan
IP Address : 192.168.123.1
Hw Address : 0003:474e:25f9
Software Statistics:
Soft received : 0 Soft sent: 0 Send failures: 0
Dropped : 0 IP Input Errs : 0
339
340 Capitulo B. Soporte al Cliente
Oficinas Internacionales
Paises Bajos
Weena 290
U.S.A 3012 NJ, Rotterdam
17595 Mt. Herrmann Street Paises Bajos
Fountain Valley, CA 92708 Tel: +31-10-282-1445
TEL: 1-800-326-1688 Fax: +31-10-282-1331
URL: www.dlink.com URL: www.dlink.nl
Canada Belgica
2180 Winston Park Drive Rue des Colonies 11
Oakville, Ontario, L6H 5W1 B-1000 Brussels
Canada Belgium
TEL: 1-905-8295033 Tel: +32(0)2 517 7111
FAX: 1-905-8295223 Fax: +32(0)2 517 6500
URL: www.dlink.ca URL: www.dlink.be
Noruega Suiza
Karihaugveien 89 Glatt Tower, 2.OG CH-8301
N-1086 Oslo Glattzentrum Postfach 2.OG
Noruega Suiza
TEL: +47 99 300 100 TEL : +41 (0) 1 832 11 00
FAX: +47 22 30 95 80 FAX: +41 (0) 1 832 11 01
URL: www.dlink.no URL: www.dlink.ch
Finlandia Grecia
Latokartanontie 7A 101, Panagoulis Str. 163-43
FIN-00700 Helsinki Helioupolis Athens,
Finlandia Grecia
TEL: +358-10 309 8840 TEL : +30 210 9914 512
FAX: +358-10 309 8841 FAX: +30 210 9916902
URL: www.dlink.fi URL: www.dlink.gr
España Luxemburgo
C/Sabino De Arana Rue des Colonies 11,
56 Bajos B-1000 Brussels,
08028 Barcelona Belgica
España TEL: +32 (0)2 517 7111
TEL: 34 93 4090770 FAX: +32 (0)2 517 6500
FAX: 34 93 4910795 URL: www.dlink.be
URL: www.dlink.es
Polonia
Portugal Budynek Aurum ul. Walic-w 11
Rua Fernando Pahla PL-00-851 Warszawa
50 Edificio Simol Polonia
1900 Lisbon TEL : +48 (0) 22 583 92 75
Portugal FAX: +48 (0) 22 583 92 76
TEL: +351 21 8688493 URL: www.dlink.pl
URL: www.dlink.es
Hungría
Repúbica Checa R-k-czi-t 70-72
Vaclavske namesti 36, Praha 1 HU-1074 Budapest
República Checa Hungría
TEL :+420 (603) 276 589 TEL : +36 (0) 1 461 30 00
URL: www.dlink.cz FAX: +36 (0) 1 461 30 09
URL: www.dlink.hu
Singapur Egypto
1 International Business Park 19 El-Shahed Helmy, El Masri
03-12The Synergy Al-Maza, Heliopolis
Singapur 609917 Cairo, Egypto
TEL: 65-6774-6233 TEL:+202 414 4295
FAX: 65-6774-6322 FAX:+202 415 6704
URL: www.dlink-intl.com URL: www.dlink-me.com
Australia Israel
1 Giffnock Avenue 11 Hamanofim Street
North Ryde, NSW 2113 Ackerstein Towers,
Australia Regus Business Center P.O.B 2148,
TEL: 61-2-8899-1800 Hertzelia-Pituach 46120
FAX: 61-2-8899-1868 Israel
URL: www.dlink.com.au TEL: +972-9-9715700
FAX: +972-9-9715601
India URL: www.dlink.co.il
D-Link House, Kurla Bandra
Complex Road OffCST Road, LatinAmerica
Santacruz (East) Isidora Goyeechea 2934
Mumbai - 400098 Ofcina 702
India Las Condes
TEL: 91-022-26526696/56902210 Santiago Chile
FAX: 91-022-26528914 TEL: 56-2-232-3185
URL: www.dlink.co.in FAX: 56-2-232-0923
URL: www.dlink.cl
Oriente Medio (Dubai)
P.O.Box: 500376 Brasil
Office: 103, Building:3 Av das Nacoes Unidas
Dubai Internet City 11857 14- andar - cj 141/142
Dubai, Emiratos Arabes Unidos Brooklin Novo
Tel: +971-4-3916480 Sao Paulo - SP - Brasil
Fax: +971-4-3908881 CEP 04578-000 (Zip Code)
URL: www.dlink-me.com TEL: (55 11) 21859300
FAX: (55 11) 21859322
Turquía URL: www.dlinkbrasil.com.br
Ayazaga Maslak Yolu
Erdebil Cevahir Is Merkezi
5/A Ayazaga Istanbul
Turquia
TEL: +90 212 289 56 59
FAX: +90 212 289 76 06
URL: www.dlink.com.tr
SudAfrica China
Einstein Park II No.202,C1 Building,
Block B Huitong Office Park,
102-106 Witch-Hazel Avenue No. 71, Jianguo Road,
Highveld Technopark Chaoyang District,
Centurion Beijing 100025, China
Gauteng Republic of South Africa TEL +86-10-58635800
TEL: 27-12-665-2165 FAX: +86-10-58635799
FAX: 27-12-665-2186 URL: www.dlink.com.cn
URL: www.d-link.co.za
Taiwan
Rusia 2F, No. 119, Pao-Chung Rd.
Grafsky per., 14, floor 6 Hsin-Tien, Taipei
Moscu Taiwan
129626 Russia TEL: 886-2-2910-2626
TEL: 7-095-744-0099 FAX: 886-2-2910-1515
FAX: 7-095-744-0099 350 URL: www.dlinktw.com.tw
URL: www.dlink.ru
Oficina Central
2F, No. 233-2, Pao-Chiao Rd.
Hsin-Tien, Taipei
Taiwan
TEL: 886-2-2916-1600
FAX: 886-2-2914-6299
URL: www.dlink.com.tw