Gav7 52

CCDDCC--DDaattaa
vveerrssiióónn 77..5522
Guía de Administración

© 2012. Girsa-Net 2
José Luis Navarro Adam
http://www.girsa-net.com
El presente documento es propiedad de Girsa-Net, S.A.
El presente documento puede copiarse y distribuirse en cualquier
tipo de formato físico o informático, siempre y cuando se
reproduzca de manera íntegra y manteniendo el nombre del
propietario y del autor.
© 2012. Girsa-Net, S.A.

Índice de contenido
1.- CONFIGURACIÓN.....................................................................................................................6
1.1. TCP/IP...............................................................................................................................6
1.2. MTU..................................................................................................................................8
1.3. IP’s VIRTUALES..................................................................................................................8
1.4. HOSTS...............................................................................................................................9
1.5. TÚNELES IP.....................................................................................................................10
1.6. TÚNELES SSL...................................................................................................................14
1.7. VPN SSL...........................................................................................................................22
1.8. RUTAS.............................................................................................................................28
1.9. CONTROL DE TRÁFICO....................................................................................................35
1.10.- CERTIFICADO SSL.........................................................................................................40
1.11.- ZONA HORARIA...........................................................................................................42
1.12.- SERVIDORES................................................................................................................43
1.12.1.- Servicio de Firewall:............................................................................................44
1.12.2.- Carpetas Compartidas:........................................................................................48
1.12.3.- Correo Electrónico:.............................................................................................50
1.12.4.- Gestor de descargas de correos externos:..........................................................51
1.12.5.- Cliente Webmail - SSL:.........................................................................................54
1.12.6.- Servicio de agenda LDAP:....................................................................................55
1.12.7.- Conexiones PPTP:................................................................................................57
1.12.8.- Servicio de FTP:...................................................................................................59
1.12.9.- Servicio de DHCP:................................................................................................60
1.12.10.- Servicio DNS:.....................................................................................................62
1.12.11.- Servicio de WWW:............................................................................................64
1.12.12.- Servicio de Proxy:..............................................................................................65

1.12.13.- Servicio Antivirus – AntiSpam:..........................................................................68
2.- SEGURIDAD...........................................................................................................................69
2.1.- ACEPTAR DESDE WAN...................................................................................................69
2.2.- RECHAZAR.....................................................................................................................71
2.3.- NAT................................................................................................................................72
2.4.- DMZ...............................................................................................................................73
2.5.- RESTRICCIONES LAN......................................................................................................75
2.5.1.- Control de navegación web:..................................................................................75
2.5.2.- Bypass de conexiones proxy:.................................................................................78
2.5.3.- Control de puertos permitidos:.............................................................................79
2.5.4.- Publicar redes privadas (SNAT):............................................................................80
2.5.5.- Redes permitidas por defecto hacia Internet (MASQUERADE):...........................81
2.6.- DETECTOR DE INTRUSIÓN.............................................................................................82
2.7.- NAGIOS..........................................................................................................................83
2.8.- ARP ALERT.....................................................................................................................84
2.9.- FILTRADO DE CORREO...................................................................................................86
2.9.1.- Filtrado por cabeceras...........................................................................................86
2.9.2.- Filtrado por adjuntos.............................................................................................87
2.9.3.- Filtrado por contenido..........................................................................................88
2.9.3.- Listas negras AntiSpam..........................................................................................88
3.- CUENTAS DE USUARIO..........................................................................................................89
3.1.- ADMINISTRADOR..........................................................................................................89
3.2.- USUARIOS COMUNES....................................................................................................90
3.3.- PROXY............................................................................................................................93
3.4.- PPTP..............................................................................................................................94
3.5.- WEBMASTER.................................................................................................................95

3.6.- USERLOG.......................................................................................................................96
3.7.- NAGIOS..........................................................................................................................96
4.-INFORMACIÓN.......................................................................................................................97
4.1.-REGISTROS.....................................................................................................................97
4.2.- ESTADÍSTICAS..............................................................................................................101
4.3.- MENSAJES...................................................................................................................102
5.- UTILIDADES.........................................................................................................................103
5.1.- UTILIDADES DE SISTEMA.............................................................................................103
5.2.- UTILIDADES DE RED.....................................................................................................105
5.3.- COPIAS DE SEGURIDAD...............................................................................................107
5.4.- NTOP...........................................................................................................................108
5.5.- NAGIOS........................................................................................................................108
6.- FINALIZAR SESIÓN...............................................................................................................109

1.-CONFIGURACIÓN
En este menú se encuentran las aplicaciones referentes a la configuración de los
servicios incorporados y a la comunicación del servidor CDC-DATA con el exterior.
1.1. TCP/IP
Esta herramienta nos proporciona información acerca de las "interfaces" o conexiones
físicas del CDC-Data. Además, permite modificar los servidores DNS de acceso a
Internet.
IMPORTANTE: Los valores introducidos no toman efecto hasta que se reinicie el
servidor CDC-DATA, o se pulse el botón Activa
Las opciones de este apartado son las siguientes:
Nombre de Host : Nombre de la máquina. Es el identificador o alias de la máquina.
Siempre debe existir algún nombre, y da igual que no sea un nombre cualificado
(FQDN). Es simplemente la identificación que hace el sistema CDC-DATA de sí mismo,
y como tal aparecerá en los informes y registros.
LAN : Dirección IP única perteneciente al rango de direcciones de su red local o red de
confianza. Debe introducirse la dirección IP con su máscara de red correspondiente. La
notación empleada para las máscaras es la octal. Si no está acostumbrado a este tipo
de notación, no se preocupe; CDC-DATA lo convertirá por usted.
La máscara de red es un número con el formato de una dirección IP que nos sirve para
distinguir cuando un dispositivo de red determinado pertenece a una determinada
subred, con lo que podemos averiguar si dos dispositivos se encuentran en la misma
subred IP. Lo habitual es que el formato sea: a.b.c.d/e.f.g.h (siendo 'a,b,c,d' la dirección
IP y 'e.f.g.h' valores entre 0 y 255). La notación interna empleada por CDC-DATA es la
CDIR, siendo su formato a.b.c.d/e donde 'a.b.c.d' es la dirección IP y 'e' la máscara,
representada como un número comprendido entre 1 y 32.

Tenga presente que:
a.b.c.d/8 = a.b.c.d/255.0.0.0
a.b.c.d/16 = a.b.c.d/255.255.0.0
a.b.c.d/24 = a.b.c.d/255.255.255.0
a.b.c.d/32 = a.b.c.d/255.255.255.255 = a.b.c.d
WAN : Dirección IP única perteneciente al rango de direcciones de la red pública o red
insegura. Debe introducirse con su máscara de red correspondiente.
DMZ : Dirección IP única perteneciente al rango de direcciones de la Zona
Desmilitarizada. En ella se debería conectar los servidores de acceso público que se
redirijan a través del NAT hacia la red del usuario. Esta red DMZ tiene la característica
de que sólo puede salir hacia el exterior, ya sea la WAN, la LAN o VPNs, sólo si existe
alguna petición de servicio desde un usuario externo a la DMZ. Por sí misma, es
rechazada por el servicio de Firewall.
Si necesita que algún tipo de servicio pueda salir de su interfaz DMZ hacia el exterior
(por ejemplo, el puerto 21 para las actualizaciones de antivirus de nuestro servidor
corporativo) deberá especificarlo explícitamente en el apartado de Seguridad : DMZ
DNS1 : Dirección IP del primer servidor de resolución de nombres de Internet.
DNS2 : Dirección IP del segundo servidor de resolución de nombres de Internet.
DNS3 : Dirección IP del tercer servidor de resolución de nombres de Internet.
IMPORTANTE: Los DNS en el servidor CDC-DATA funcionan como backup; si el primero
no responde, se pregunta al segundo, y si no se obtiene respuesta, al tercero. Por
tanto, ponga sólo servidores de Internet. Si desea resolver nombres de otros equipos,
puede darlos de alta en el menú HOSTS y declarar como DNS en sus clientes de red al
servidor CDC-DATA. Si desea poner una resolución de nombres de equipo de otros
servidores, configure un servidor DNS alternativo o instale un servidor WINS en la red, y
configure sus clientes de red hacia dichos servidores. No declare servidores de DNS
privados que no resuelvan direcciones de Internet, a no ser que desee realmente
hacerlo así.
El botón Modifica cambia sólo el valor del campo introducido. No es necesario, por
tanto, escribir todos los valores cada vez para modificar un valor.
Para que estos valores se apliquen, hay que reiniciar el servidor o pulsar el botón
Activa.
1.2. MTU
Es la Unidad Máxima de Transferencia, es la cantidad de bits máximos a ensamblar en
un paquete, que puede pasar por una capa de uno de los protocolos de

comunicaciones.
Podemos modificar la MTU de LAN, WAN, DMZ, Túneles SSL y Túneles IP. El botón
Reset vuelve a definir los valores iniciales por defecto (como se muestra en pantalla)
1.3. IP’s VIRTUALES
Esta herramienta nos permite agregar otras direcciones de red al servidor CDC-DATA,
tanto en el interfaz LAN, como en el WAN o DMZ.
Si agregamos una IP en el interfaz LAN del mismo rango que la existente en el TCP/IP,
lograremos que el servidor responda ante varias direcciones. Esto es muy útil a la hora
de planificar cambios de instalaciones o de routers ya existentes, sin necesidad de
interrumpir el servicio.
Si la IP a añadir pertenece a otro rango de red, lo que haremos será declarar una
subred local diferente, que nos permitirá posteriormente definir reglas de acceso por
grupos de usuarios, en función de la pertenencia a una u otra subred. Por tanto, es
posible crear VLAN por segmentación de red IP.
Los parámetros de configuración son los siguientes :
Interfaz : Es el interfaz al que añadiremos la nueva direccción IP.
IPVirtual/Máscara : Corresponde a la dirección IP virtual que deseamos añadir, con su
máscara de red correspondiente. El sistema emplea la notación octal. Si la introduce
en la notación tradicional, el sistema la convierte automáticamente.
Al igual que en la opción TCP/IP, los valores introducidos no toman efecto hasta que se

reinicie el servidor CDC-DATA o se pulse el botón Activa.
1.4. HOSTS
Esta herramienta nos permite declarar los nombres de equipo que deseemos
identificar como nombres de red. Es aconsejable escribir nombres cualificados (FQDN)
del tipo equipo.dominio.com aunque también permiten nombres NetBios del tipo
mi_pc . En este último caso, NO escriba nombres con espacios.
Hay que tener presente que el servidor CDC-DATA lleva incorporado un DNS Caché,
que acelera las búsquedas de equipos en Internet, por lo que si se desea sacar
provecho de esta característica deberemos configurar el TCP/IP de los clientes de red
de manera que apunten a la IP del servidor CDC-DATA en el interfaz de LAN.
Si dispone de un servidor DNS interno que también resuelve nombres de Internet,
puede hacer que sus clientes apunten a dicho servidor y el CDC-DATA a Internet, o
bien hacer que los clientes apunten al servidor CDC-DATA, y éste apunte como DNS 1 a
su servidor DNS interno, y los DNS 2 y 3 apunten a DNS de Internet. De este modo,
siempre resolverá nombres de Internet y dispondrá de un backup de DNS en caso de
caída del servidor.
1.5. TÚNELES IP
CDC-Data permite conectar delegaciones enteras de una forma muy sencilla gracias a
túneles IP con encapsulación GRE.
Este tipo de túneles poseen la ventaja de ser P2P, con lo que cualquier CDC-DATA
puede conectarse con cualquier otro siempre y cuando ambos estén de acuerdo. Esto
es, se necesita configurar ambos servidores CDC-DATA para que un túnel funcione y el
acceso a un CDC-DATA es virtualmente imposible a menos que se permita
explícitamente en ambas direcciones.

Sin embargo, se ha comprobado que es posible 'leer' la información transmitida por
este tipo de túneles. Por tanto, deberá evitarlos cuando necesite establecer
comunicaciones seguras entre dos servidores CDC-DATA.
AVISO DE SEGURIDAD : Este tipo de túnel ha quedado obsoleto y si existe en este
servidor es por una cuestión de compatibilidad con las series 3 y 4 de CDC-DATA. Por
favor, emplee exclusivamente túneles SSL.
La configuración de un túnel es trivial si se conocen las redes que se desean unir
(dirección de red y máscara en notación corta) y las IPs públicas y privadas del CDC-
Data remoto con el que se conectará (interfaz WAN y LAN del equipo remoto).
Las diferentes opciones de los submenús que aparecen son las siguientes:
• Definición de enlaces:
Representan las conexiones punto a punto desde una dirección pública del
interfaz WAN de nuestro servidor CDC-DATA, a otra dirección pública del
interfaz WAN de otro servidor CDC-DATA remoto.
Para configurar un enlace, se necesitan los siguientes parámetros:
Túnel : El nombre con el que vamos a identificar a este enlace. No
puede haber nombres de enlace duplicados.

IP WAN remota : La dirección IP pública a la que queremos conectar.
Debe corresponder con una IP definida en el interfaz WAN del CDC-
DATA remoto, ya que por cuestiones de seguridad el protocolo para
establecer los enlaces NO atraviesa routers con NAT. Si dispone de una
conexión ADSL, su router deberá estar configurado en modo
monopuesto con el servidor CDC-DATA.
IP WAN local : La dirección IP pública desde la cual nos queremos
conectar, en nuestro servidor CDC-DATA local.
IP local/Máscara : La dirección IP de LAN de nuestro servidor CDC-
DATA local, con su máscara de red, en notación octal. Corresponde
con una de las IPs configuradas en el sistema en el apartado TCP/IP o
en el apartado IPs Virtuales.
IP CDC LAN remota : La dirección IP de LAN del servidor CDC-DATA
remoto al que deseamos conectar.
Estado : Indica si deseamos que el enlace se active por
defecto o no.
Para añadir un enlace, es preciso introducir todos los parámetros que
acabamos de comentar, y pinchar en el botón Añadir.
Para eliminarlo, bastará con introducir el nombre del túnel y pinchar
en el botón Eliminar . Por cuestiones de seguridad, no es posible
modificar un túnel. Para ello, hay que eliminarlo y luego volver a crearlo.
Si el túnel estaba desactivado y deseamos activarlo, bastará con
introducir el nombre del túnel y pinchar en el botón Activar
Si deseamos desactivarlo, bastará con introducir el nombre del túnel y
pinchar en el botón Desactivar
• Rutas por enlace:
El enlace representa el camino físico que deben seguir los paquetes IP
por la red para llegar de una IP de WAN a otra remota. Sin embargo,
cuando creamos una VPN nos interesa alcanzar, además, a las
direcciones privadas de las redes remotas, y no sólo a su Firewall.
Para ello, es necesario decirle al servidor CDC-DATA qué ruta debe seguir,
introduciendo los siguientes valores:

Destino : La dirección IP o de red privada REMOTA a la que deseamos llegar a
través del túnel.
Enlace : El nombre del enlace que nos transportará al otro extremo de la red.
Carga : El número de paquetes que el servidor CDC-DATA repartirá cada vez
hacia ese enlace, en el caso de que dispongamos de varios enlaces hacia un
mismo destino.
En este último caso, dispondríamos de 2 rutas alternativas para acceder a una
red remota dentro de una misma VPN. La carga permite que ambos enlaces
operen al mismo tiempo, de manera que se dispondría de un backup en caso
de caída de un enlace, mientras que la carga de trabajo balancearía el tráfico en
función del parámetro de 'carga' introducido. Por ejemplo, si disponemos de 2
enlaces asociados a 2 ADSL diferentes, una de doble capacidad que la otra,
haríamos que el enlace menor tuviera una carga igual a 1 y el de mayor
capacidad igual a 2. Esto significa que de cada 3 paquetes, 1 iría por un enlace y
2 por el otro. Si un enlace deja de funcionar, entonces el sistema detectaría la
caída y emplearía el enlace operativo hasta que detectara que vuelve a
funcionar. Esta comprobación se realiza de manera automática por el servidor
CDC-DATA cada minuto.
• Control de puertos permitidos por enlace:
Una vez tenemos definidos los enlaces y sus rutas por enlace correspondiente,
nos hace falta indicar hasta dónde podemos alcanzar cualquier destino remoto
que esté detrás del enlace y con qué puertos podremos hacerlo.
De este modo, impediremos que alguien malintencionado pueda añadir una
ruta más en las rutas por enlace sin consentimiento de los usuarios remotos, y
acceder más allá de lo debido.
Por eso, es necesario que se indique para los enlaces definidos en el
sistema cuáles son los destinos locales de nuestra red que son
"alcanzables" por los usuarios remotos que acceden a través de dichos
enlaces, y acotarles la zona de trabajo.

Por defecto, el servidor CDC-DATA descartará siempre los paquetes IP
que vengan de un enlace externo, hasta que se definan los destinos
permitidos.
Para ello, bastará con cumplimentar los siguientes datos:
Enlace: El nombre del túnel que queremos acotar.
IP Origen : La dirección de origen a la que deseamos permitir el
acceso a nuestros destinos locales. Si especificamos una IP, sólo se
permitirá al equipo correspondiente a esa dirección.
Puerto : Corresponde al puerto (ya sea TCP ó UDP) al cual deseamos
permitir el acceso. Para indicar todos los puertos, escriba '1:65535'
Destino local : La dirección hacia la que deseamos que lleguen los
paquetes IP de los usuarios remotos provenientes de dicho túnel. Si
especificamos una IP, sólo se alcanzará el equipo correspondiente a esa
dirección, sin afectar al resto de usuarios. Si introducimos una dirección
de red, se alcanzará a todos esos usuarios.
La IP local puede ser, como su nombre indica, una IP de nuestra red local,
toda la red local, la red DMZ, una dirección o grupo de direcciones de
Internet, una dirección de otros túneles que tengamos definidos... En
definitiva, tan sólo indica hasta dónde pueden llegar los paquetes que
vengan por el túnel en cuestión.
El botón Reset elimina todas las entradas existentes.
IMPORTANTE: No olvide Activar Firewall para que todos los cambios
introducidos entren en funcionamiento.
1.6. TÚNELES SSL
CDC-Data permite conectar delegaciones enteras de una forma muy sencilla gracias a
túneles sobre SSL y llegar hasta cifrados de 512KB, mediante certificados de hasta
2048 bits.

Este tipo de túneles poseen la ventaja de ser punto-a-punto, con lo que cualquier CDC-
DATA puede conectarse con cualquier otro siempre y cuando ambos estén de acuerdo.
Esto es, se necesita configurar ambos servidores CDC-DATA para que un túnel
funcione, siendo el acceso a un CDC-DATA virtualmente imposible a menos que se
permita explícitamente en ambas direcciones. Además, existe un mecanismo de
defensa adicional, desarrollado exclusivamente por CDC e implementado en los
servidores CDC-DATA, que imposibilita los ataques e intrusiones del tipo man-in-the-
middle (o ataques de interceptación de paquetes y suplantación del emisor), y
atravesar otros enrutadores con o sin NAT sin que se alteren las cabeceras de control.
La configuración de un túnel SSL requiere el uso de certificados y mecanismos de
autenticación. Por lo demás, sólo necesitará conocer las redes que se desean unir
(dirección de red y máscara en notación corta) y la IP pública del equipo que actúe
como 'servidor'.
Si su delegación central dispone de varios accesos de banda ancha en paralelo (varias
ADSL, LMDS, etc.), puede que desee repartirlos para acceder a sus distintas
delegaciones. En ese caso el servidor CDC-DATA podría soportar varios interfaces
virtuales en su tarjeta WAN y repartir los túneles entre ellos.
Otra característica de los túneles SSL es que soportan redundancia y configuraciones
en modo 'backup', que permiten crear bajo demanda la VPN en caso de caída de la IP
pública del servidor a través de otras IPs alternativas (En esta versión está autolimitado
a 2 IPs de backup).

Certificados locales:
Son los certificados que autentican quién está al otro lado del túnel. CDC-DATA
emplea certificados SSL del tipo 'Static Key' con un nivel de cifrado de 2048
bits. Para poder establecer un túnel SSL deberá definir el mismo certificado en
cada lado del túnel. Puede, así mismo, emplear el mismo certificado para más
de un túnel SSL.
Los certificados locales son aquellos que se definen en el propio servidor CDC-
DATA.
Por defecto, existe un certificado de origen llamado cdcdata totalmente
operativo. Le recomendamos que emplee el suyo propio.
Una vez haya creado su certificado local con la opción Inserta, puede
visualizarlo y cópialo para exportarlo a otro servidor CDC-DATA, seleccionando
el contenido íntegro del certificado con el ratón y copiarlo con la opción del
menú del ratón 'botón derecho : copiar'.
Certificados externos:
A diferencia de los certificados locales, éstos son los certificados que se
exportan desde otro servidor CDC-DATA, desde la opción de menú 'Certificados
locales'. Para ello, escriba el nombre del certificado que desee añadir y pegue
con la opción derecha del ratón el contenido previamente copiado del
certificado creado en el CDC-DATA remoto.
Puede repetir esta operación en cada uno de los servidores CDC-DATA de su
organización. Aún cuando cada túnel SSL requiera sus propios parámetros de
configuración, puede emplear el mismo certificado para todos ellos.

Debe tener presente que el certificado es quien identifica al equipo remoto que
desea establecer el túnel. Jamás deje sus certificados en archivos o ficheros de
texto, ni los envíe por correo electrónico ni ftp. Si debe exportar un certificado a
otros servidores CDC-DATA, hágalo a través del panel de control (que es una
sesión cifrada SSL).
Definición de enlaces en modo servidor: Representan los enlaces que actuarán a la
escucha de una conexión SSL entrante. Tenga presente que los túneles SSL no
se establecen de IP a IP conocida, sino entre máquinas con un certificado
determinado en un puerto concreto. Este tipo de configuración permite la
definición de enlaces de backup independientemente de la IP pública de la
conexión en cada momento a ambos lados del túnel.
Para configurar un enlace SSL en modo servidor, se necesitan los siguientes
parámetros:
Túnel : El nombre con el que vamos a identificar a este enlace. No puede haber
nombres de enlace duplicados tanto en los modos servidor como cliente de un
mismo servidor CDC-DATA. El tamaño máximo es de 12 caracteres y no admite
el carácter _ (subrayado).
IPSSL local : La dirección IP del enlace SSL que asignaremos a nuestro servidor
CDC-DATA en modo servidor. Debe ser una IP privada cuya red NO haya sido
definida anteriormente ni exista como IP privada en cualquiera de las redes a
las que se desee conectar; es decir, que NO exista ni en local ni en remoto.
Tenga en cuenta que el enlace SSL crea una "red virtual" exclusivamente para
él.

Por tanto, recuerde que la IP SSL local se crea automáticamente sin necesidad
de definirla anteriormente.
La máscara de red asumida por el interfaz virtual SSL es del tipo 'C' ó /24 ó
255.255.255.0
IP SSL remota : La dirección IP del enlace SSL que asignaremos al servidor CDC-
DATA remoto, independientemente de las IPs públicas y/o privadas que
tuviera. Debe ser una IP privada perteneciente al rango de la IP SSL local
definida anteriormente, ya que el enlace SSL crea una "red virtual"
exclusivamente para él.
Al igual que la IP SSL local, la IP SSL remota se crea automáticamente sin
necesidad de definirla anteriormente.
Cert : El nombre del certificado que vamos a emplear. El campo nos muestra
todos los certificados disponibles, tanto los públicos como los privados.
HMAC : El tipo de algoritmo de cifrado que vamos a emplear para transmitir los
controles de cabeceras de los paquetes IP por el túnel. A diferencia del
protocolo IPSec, éstas cabeceras sí que pueden atravesar cortafuegos y
soportan NAT sin alterar su valor.
Los paquetes HMAC no transmiten información, sólo indican si el contenido del
mensaje ha sido alterado "por el camino". Por ello, son cifrados del tipo
'checksum' ó de control redundante cíclico (CRC). No se alteran al atravesar
otros enrutadores.
Por seguridad, les recomendamos tomar el valor 'RSA-SHA1-2'.
Cipher : El tipo de algoritmo de cifrado que vamos a emplear para transmitir la
información generada a través del túnel.
Por defecto, se toma el valor 'BF-CBC_128'.
Puerto : Es el puerto UDP en el que se establecerá el túnel. Debe ser un valor
comprendido entre 25000 y 25999. Cada túnel debe configurarse para escuchar
en un puerto diferente, ya que el protocolo empleado es el UDP. Este protocolo
permite mayor eficacia y rendimiento, aunque requiere un uso exclusivo por
túnel. Si necesita establecer otro valor de puerto, délo de alta con un valor
comprendido en este rango (por ejemplo, 25000) y luego modifique el valor de
puerto.
Recuerde que debe habilitar el puerto de escucha del túnel SSL en el apartado
'Seguridad : Aceptar', tanto para el modo servidor como para el modo cliente.

IMPORTANTE: Los valores 'Cert', 'HMAC', 'Cipher' y 'Puerto' deben ser idénticos
a ambos lados del túnel. Uno de ellos estará configurado en modo servidor y el
otro en modo cliente. Las IPs SSL local y remota que se definan en modo
servidor en un lado del túnel, corresponderán con las IPS SSL remota y local en
el túnel del otro extremo definido en modo cliente.
Activo : Indica si deseamos que el enlace se active por defecto o no.
acabamos de comentar, y pinchar en el botón Inserta.
Para eliminarlo, bastará con introducir el nombre del túnel y pinchar en el
botón Elimina .
Para modificar cualquier valor, deberemos escribir obligatoriamente el nombre
del Túnel y escribir el nuevo valor en el campo que deseemos modificar, y
pinchar en el botón Modifica. No es necesario escribir todos los demás valores
si no se alteran.
Si deseamos cambiar el estado por defecto de un túnel a Activo, bastará con
introducir el nombre del túnel y pinchar en el botón Activa
Si deseamos desactivarlo por defecto, bastará con introducir el nombre del
túnel y pinchar en el botón Desactiva
Estas dos opciones anteriores NO cambian el estado del túnel en un momento
dado. Sólo indican si un túnel en cuestión debe arrancarse o no cuando se
active el servicio de VPN SSL.
La opción Ver Túneles nos muestra TODOS los túneles SSL activos del sistema,
tanto en modo servidor como cliente.
Definicióndeenlacesenmodocliente:
Representan los enlaces que llamarán a un servidor CDC-DATA para activar un
túnel SSL. En este modo de configuración, es necesario indicar la IP pública del
servidor remoto SSL.
Para configurar un enlace SSL en modo cliente, se necesitan los siguientes
parámetros:

Túnel : El nombre con el que vamos a identificar a este enlace. No puede haber
nombres de enlace duplicados tanto en los modos servidor como cliente de un
mismo servidor CDC-DATA.
IPSSLlocal : La dirección IP del enlace SSL que asignaremos a nuestro servidor
CDC-DATA en modo local. Debe ser la 'IP SSL remota' que se ha definido en el
túnel SSL del servidor remoto que actúa en modo servidor.
IPSSLremota : La dirección IP del enlace SSL que asignaremos al servidor CDC-
DATA remoto. Debe ser la 'IP SSL local' que se ha definido en el túnel SSL del
servidor remoto que actúa en modo servidor.
IP Servidor : La dirección IP del equipo remoto al que queremos conectar.
Deberá ser una IP pública o privada en función del tipo de dispositivo que
hayamos definido.
Esta IP debe ser accesible por el servidor CDC-DATA en modo cliente. Si no es
así, deberá crearse la ruta adecuada a su destino.
IPBackup1 : La dirección IP del equipo remoto al que queremos conectar ante
caídas del la IP del Servidor.
IPBackup2 : La dirección IP del equipo remoto al que queremos conectar ante
caídas del la IP Backup1.
Ante caídas de la IP Backup2, el sistema volverá a intentar conectar a la IP
Servidor, luego la IP Backup1 y después a la IP Backup2, y así sucesivamente.
ATENCIÓN: El túnel se comprueba cada 10 segundos, y si en 30 segundos NO
hay actividad, se fuerza un cambio de IP de conexión alternativo (IP Servidor -->
IP Backup1 --> IP Backup2 --> IP Servidor ... , y así sucesivamente).
Cert : El nombre del certificado que vamos a emplear. El campo nos muestra
todos los certificados disponibles, tanto los públicos como los privados.
Debe coincidir con el valor establecido en el túnel en modo servidor del equipo
al que deseamos conectar.
HMAC : El tipo de algoritmo de cifrado que vamos a emplear para transmitir los
controles de cabeceras de los paquetes IP por el túnel. A diferencia del
protocolo IPSec, éstas cabeceras sí que pueden atravesar cortafuegos y
soportan NAT sin alterar su valor.

Cipher : El tipo de algoritmo de cifrado que vamos a emplear para transmitir la
Puerto : Es el puerto UDP en el que se establecerá en túnel. Debe ser un valor
comprendido entre 25000 y 25999. Cada túnel debe configurarse para escuchar
en un puerto diferente, y debe coincidir con el valor establecido en el túnel en
modo servidor del equipo al que deseamos conectar. Si deseamos otro valor
diferente, lo damos de alta con un valor válido y luego lo modificamos.
Activo : Indica si deseamos que el enlace se active por defecto o no.
acabamos de comentar, y pinchar en el botón Inserta.
Para eliminarlo, bastará con introducir el nombre del túnel y pinchar en el
botón Elimina .
Para modificar cualquier valor, deberemos escribir obligatoriamente el nombre
del Túnel y escribir el nuevo valor en el campo que deseemos modificar, y
pinchar en el botón Modifica. No es necesario escribir todos los demás valores
si no se alteran.
Si deseamos cambiar el estado por defecto de un túnel a Activo, bastará con
introducir el nombre del túnel y pinchar en el botón Activa
Si deseamos desactivarlo por defecto, bastará con introducir el nombre del
túnel y pinchar en el botón Desactiva
Estas dos opciones anteriores NO cambian el estado del túnel en un momento
dado. Sólo indican si un túnel en cuestión debe arrancarse o no cuando se
active el servicio de VPN SSL.
La opción Ver Túneles nos muestra TODOS los túneles SSL activos del sistema,
tanto en modo servidor como cliente.
Rutasporenlace:

El enlace representa el camino físico que deben seguir los paquetes IP por la
red para llegar de una IP pública a otra remota. Sin embargo, cuando creamos
una VPN nos interesa alcanzar, además, a las direcciones privadas de las redes
remotas, y no sólo a su Firewall.
Para ello, es necesario decirle al servidor CDC-DATA qué ruta debe seguir,
introduciendo los siguientes valores:
Enlace : El nombre del enlace que nos transportará al otro extremo de la red.
Debe existir previamente.
Destino : La dirección IP de un equipo o de una red privada REMOTA a la que
deseamos llegar a través del túnel.
Prio : El número de prioridad que el servidor CDC-DATA asignará a la ruta para
alcanzar su destino. Es un valor predefinido del 5 al 9, y son las rutas de mayor
prioridad del sistema.
Es posible crear dos enlaces a dos direcciones de una misma subred, a través de
IPs públicas diferentes. La prioridad indica cuáles tendrán preferencia en caso
de solapamiento.
Por ejemplo, supongamos que tenemos dos túneles creados en modo servidor
en un equipo CDC-DATA, y en el otro extremo de los túneles definimos otros
dos túneles en modo cliente, en otro equipo CDC-DATA. Cada uno de los
túneles en modo cliente llama a una IP pública diferente del servidor. Por
tanto, cada túnel SSL escucha en dos puertos diferentes ya que son túneles
diferentes.
Ahora, a la red remota de la central de nuestra empresa con dirección
192.168.10.0/255.255.255.0 le asignamos el túnel llamado VPN1. Además,
deseamos que el tráfico hacia la IP 192.168.10.200, correspondiente a nuestro
servidor corporativo, vaya por el segundo túnel SSL, al que llamaremos VPN2.
Lo que pretendemos es que el tráfico del servidor sea independiente del cuello
de botella que se produzca en el resto del tráfico hacia la red definida en el
túnel VPN1.
Pues bien, cuando definimos las rutas, necesitaremos que la VPN2 hacia la IP

192.168.10.200 tenga una prioridad menor de ejecución para que se enrute
antes por el túnel VPN2, y no se mezcle con el resto del tráfico generado hacia
la red del túnel VPN1. Si no tuviera un nivel de prioridad diferente, todo el
tráfico generado hacia la IP de nuestro servidor corporativo se enrutaría junto
con el resto, pudiendo dar lugar a retardos innecesarios, ya que la IP del
servidor pertenece a la misma red remota.
Controldepuertospermitidosporenlace:
Véase el mismo apartado de la sección de Túneles IP (apartado 1.5).
En FW modo Avanzado (apartado 1.12.1) tendremos la posibilidad de elegir
sobre que protocolo se aplicará la regla que agreguemos, tal como muestra la
figura siguiente:
IMPORTANTE: No olvide Activar cambios / Reiniciar servicio para que todos los
cambios introducidos en los túneles SSL entren en funcionamiento.
1.7. VPN SSL
Este apartado sirve para configurar una VPN (Virtual Private Network) Red Privada
Virtual, que nos permitirá una extensión de la red local sobre una red pública.
Este tipo de servicio es más seguro que realizar una conexión PPTP, ya que para ello

necesitaremos un certificado en el propio PC para su utilización, en contra de la VPN
de Microsoft en la que no necesitamos de ningún programa externo y en donde la
seguridad únicamente viene dada con el usuario y contraseña para esa conexión.
Además, podemos alcanzar cifrados de hasta 512Bytes con soporte AES y BlowFish.
Por tanto se recomienda el uso de VPN SSL por encima de las conexiones PPTP.
Desde este apartado haremos la gestión para las conexiones externas, y para ello
deberemos definir los siguientes puntos:
Crear certificado SSL del servidor:
Los parámetros necesarios para configurar el certificado SSL son los siguientes:

Días de validez(min31) : Son los días de validez del certificado digital. Una vez
expirado el plazo, deberá generar uno nuevo. En el momento de desarrollo
actual, no tiene sentido que establezca un plazo demasiado corto.
Puede dejarlo fijo en 3600 (casi 10 años). Este es un campo obligatorio.
Código de País(Ej.ES) : Es el código de País cualificado (España = ES,
Alemania = DE, Reino Unido = UK...). Este es un campo obligatorio.
Provincia
Ciudad
Empresa
E-Mail : Es la dirección de correo electrónico del responsable de la validez
del certificado.
Para generar el certificado con los valores introducidos, deberá pinchar
sobre el botón Crear.
Alta de servicios SSL:
Los parámetros necesarios para dar de alta los servicios SSL son los
siguientes:

Servicio SSL: Es el nombre para identificar el servicio SSL, ya que podemos
crear varios y así diferenciarlos.
Puerto: Es el puerto en el que trabaja este servicio. Se suele utilizar el
1194.
Proto: Es el protocolo de uso para la conexión. Puede ser UDP ó TCP. En el caso
que queramos los 2 protocolos deberemos crear 2 reglas, una para cada
protocolo.
IPdered: Será la IP de la red virtual que vamos a crear. La primera IP será la
que tomará el servidor CDC-Data visto desde la VPN SSL, quedando las
restantes direcciones disponibles para la asignación de los usuarios remotos.
Máscara: La máscara para la red que creamos. Define el número de Ips de
usuarios a asignar disponibles.
Punto-a-punto: Deberemos definir si la conexión entre el cliente remoto y
el servidor CDC-Data va a ser punto a punto o no. Por defecto siempre será
punto a punto. Cuando NO es punto a punto, el usuario remoto puede
alcanzar a otros usuarios VPN SSL, como una red local. Si es punto a punto=SI,
cada usuario remoto es “invisible” para el resto de usuarios remotos.
DNS: Se indica el servidor DNS.
WINS: Se indica el servidor WINS de la red remota a utilizar, en el caso que haya.
Cipher: El tipo de algoritmo de cifrado que vamos a emplear para transmitir la
Activo: Si está o no activo el servicio por defecto. Podemos darlo de alta y
desactivarlo por defecto, activándolo manualmente cuando sea necesario para
tener mayor seguridad, sin necesidad de eliminarlo y volver a crearlo cada vez.
Rutas para usuarios remotos:
En este apartado indicaremos las rutas de la red local para que los usuarios
remotos puedan tener acceso a ella.
Para ello pondremos los siguientes parámetros:

ServicioSSL: El servicio sobre el que se aplicará la regla.
IP de red y máscara: IP de la red a la que nos conectaremos.
Máscara: Máscara de la red a la que conectaremos.
Control de puertos permitidos:
Servicio SSL: El servicio sobre el que se aplicará la regla.
IP Origen: La IP de origen del servicio SSL a la que se aplicará la regla. Puede ser
toda una red, o la IP de un usuario.
Puerto: El puerto TCP/UDP que vamos a autorizar en la regla.
DestinoLocal: Destino al que vamos a autorizar en la regla. Puede ser cualquier
destino alcanzable por el servidor CDC-Data.

Gestión de certificados de usuarios:
Para crear el certificado para los diferentes usuarios deberemos establecer los
siguientes parámetros:
Certificado: Nombre del certificado para la persona que lo va a utilizar.
Servicio SSL: Servicio sobre el que se generará el certificado.
IP servidor: IP del servidor al que atacará la conexión VPN SSL.
IP: Es la IP que le asigna al usuario cuando se conecte al servidor. Además, crea
automáticamente una entrada de HOST del tipo:
IP certificado.servicio_ssl.local
para ayudar a la resolución de nombres para conectar y/o registrar la actividad de
dicho usuario.
Si dejamos el valor de IP en blanco, se le asignará automáticamente la primera libre
que haya al realizar el usuario su primera conexión. Una vez asignada, ésta queda
reservada para siempre, a no ser que se elimine el usuario. Sin embargo, de este
modo, NO se crea entrada de asignación de nombre en el registro de HOST. El
rango de direcciones para asignar a los usuarios se define en el apartado “Alta de
servicios SSL” visto en la página anterior.
Al acabar de poner estos parámetros pincharemos en el botón Inserta y nos creará
el certificado.
Para descargarlo únicamente le daremos al botón Descargar y nos descargará un
archivo comprimido en formato zip que deberemos descomprimir y ponerlo en la
carpeta correspondiente del programa OpenVPN1
que utilicemos para la conexión
VPN SSL.
En el caso que queramos deshabilitar un certificado, pondremos el nombre y
pincharemos al botón Revoca, e inhabilitará ese certificado. Al revocar, la
asignación de IP de la VPN que hubiera permanece, hasta que se elimine. De este

modo, tenemos constancia de los usuarios deshabilitados. Para eliminarlo
definitivamente, y borrar todo rastro de dicho usuario, bastará con poner el
nombre y pinchar en Elimina.
IMPORTANTE: No olvide Activar cambios / Reiniciar servicio para que todos los
certificados dados de alta y/o baja entren en funcionamiento y estén
operativos. Esto se debe a que la aplicación carga en memoria los certificados
de usuarios al iniciarse el servicio, por razones de seguridad.
1 Para descargarse la aplicación OpenVPN hágalo gratuitamente desde la página web del proyecto:
http://openvpn.net Busque la última correspondiente a la versión 2.1 que incluye la utilidad GUI
para Windows. No emplee versiones anteriores, por cuestiones de seguridad. Si el cliente es
Windows Vista, instálelo como usuario Administrador, indicando permiso de ejecución como
administrador, y disponible para todos los usuarios.

Estado de las conexiones remotas:
En este punto podremos observar qué conexiones remotas están establecidas en
ese momento. Nos aparecerán los siguientes campos:
Certificado: Certificado con el que han establecido la conexión.
ServicioSSL: Servicio SSL a través del cual se conectan.
IPReal: IP Pública sobre la que se ha conectado el usuario remoto.
IPVirtual: La IP virtual asignada para esa conexión.
BytesEnv.: Bytes enviados.
ByteRec.: Bytes recibidos.
Conectadodesde: Fecha y hora en la que se ha conectado.
Últimoacceso: Fecha y hora del último acceso IP que se ha producido a través del
Firewall.
1.8. RUTAS
Este apartado sirve para configurar el modo en que el servidor CDC-DATA se comunica
con otras redes diferentes a las definidas en sus interfaces TCP/IP, tanto físicos como
virtuales, y en las redes definidas localmente en las conexiones VPN. Desde esta
opción indicamos al servidor CDC-Data en qué red se encuentra el dispositivo al que
nos queremos conectar, y por dónde debe hacerlo.
También desde aquí configuraremos el sistema de redundancia y balanceo entre
diferentes accesos a redes remotas, con la excepción de las rutas y balanceos entre
enlaces (tanto IP como SSL), los cuales se configuran desde las opciones de sus
correspondientes menús.
Por defecto, el sistema crea automáticamente las rutas conocidas como 'broadcast' al
definir los interfaces.

IMPORTANTE: El servidor CDC-DATA es capaz de manejar el sistema de enrutamiento
mediante tablas jerárquicas, a diferencia de otros sistemas. Por eso, las rutas tienen
niveles de prioridad de ejecución. No lo olvide, le hará falta más adelante.
Las tablas de enrutamiento ofrecen la posibilidad de tratar el modo de dirigir un
paquete hacia un destino de manera diferente, en función de lo que deseemos hacer.
Cuando un paquete entra en el servicio de enrutamiento, éste sale siguiendo la regla
más baja que encuentre según el orden predefinido por el sistema, según muestra el
siguiente esquema:
ENTRADA PAQUETE IP
RUTAS POR ENLACE SSL (niveles 5 a 9)
RUTAS POR ENLACE IP (nivel 11)
RUTAS POR DESTINO (niveles 12)
SERVICIO DE ENRUTAMIENTO
RUTAS POR ORIGEN (niveles 15 a 45)
RUTAS POR INTERFAZ (niveles 50 a 150)
RUTAS BALANCEADAS (niveles 160 a 220)
SALIDA PAQUETE IP

Rutaspordestino:
Son las rutas conocidas como "puertas de enlace". Indican a través de qué
router o dispositivo hay que dirigirse para alcanzar el destino indicado.
Internamente, emplean la prioridad más baja, por lo que son las que se
ejecutan primero.
Los parámetros necesarios para configurar las rutas por destino son los
siguientes:
Destino : la dirección IP (una IP o una subred definida como IP/máscara) a la
que queremos alcanzar.
Puerta de enlace : La dirección IP del router o dispositivo que conecta
directamente con el destino a alcanzar.

Si añadimos una ruta a través de una puerta de enlace que NO pertenece a una
IP local conocida, el sistema NO la aceptará y mostrará un mensaje de error.
Por ello, cuando configuremos el apartado TCP/IP o IPs Virtuales, deberemos
reiniciar el sistema o activar los cambios para que el módulo de enrutamiento
las reconozca.
El botón Ver Rutas nos muestra las rutas por destino activas del sistema en ese
momento. Las rutas se activan en tiempo real tanto al Insertar como Eliminar...
Rutaspororigen:
Como su nombre indica, sirven para enrutar los paquetes en función de la
dirección IP del emisor.
Los parámetros necesarios para configurar una ruta por origen son:
Prio: Es el nivel de prioridad de la regla de enrutamiento. Su valor está
comprendido entre 15 y 45, ambos incluidos.
Origen : Es la dirección IP del usuario o dispositivo al que queremos dar la
prioridad. Puede ser una IP ó una dirección de red como IP/máscara, en
notación octal.
Destino : Es la dirección IP de destino del servidor o dispositivo al que
queremos dar la prioridad. Puede ser una IP ó una dirección de red como
IP/máscara, en notación octal.
P.Enlace : Es la dirección IP de la puerta de enlace de salida hacia el destino.
Debe ser una IP alcanzable por nuestra red.
Interfaz : Es el interfaz de red sobre el que se encuentra la puerta de enlace
anteriormente especificada. Valores posibles: 'LAN', 'WAN, y 'DMZ'.

El botón Ver Rutas nos muestra las rutas por origen activas del sistema en ese
Rutasporinterfazbalanceado:
En esta opción definiremos las rutas por interfaz, cuando tenemos un sistema
con rutas alternativas balanceadas.
Cuando definimos un interfaz balanceado necesitamos aislar la IP virtual
asociada a un interfaz real para que el sistema sea capaz de creer que tiene una
tarjeta real por IP. Como quiera que no tengamos más que una tarjeta física, ya
sea 'LAN', 'WAN' o 'DMZ', es preciso que el sistema de enrutamiento "las vea"
como si fueran tarjetas reales.
Fuera de este propósito, la configuración de estas opciones no tiene ningún
sentido.
La manera de aislar interfaces virtuales es emplear rutas asiladas por interfaz, y
los parámetros necesarios para ello son:
IP Origen: Es la dirección IP del servidor CDC-DATA asociada al interfaz que
queremos aislar, generalmente una IP del interfaz 'WAN'.
RedOrigen: Es la dirección IP de red del servidor CDC-DATA asociada al interfaz
que queremos aislar, generalmente del interfaz 'WAN'. Hay que especificarla en
notación octal.
Destino: Es la dirección IP de destino al que queremos alcanzar con el balanceo

de carga. Puede ser una IP ó una dirección de red como IP/máscara, en
notación octal.
P.Enlace : Es la dirección IP de la puerta de enlace de salida hacia el destino.
Debe ser una IP alcanzable por los valores dados en 'IP Origen' y 'Red Origen'.
Interfaz: Es el interfaz de red sobre el que se encuentra la puerta de enlace
El botón Ver Rutas nos muestra las rutas por interfaz activas del sistema en ese
Rutasmulti-rutabalanceadas:
En esta opción definiremos las reglas hacia destinos balanceados, que NO sean
de túneles tanto IP como SSL, ya que éstas se configuran en sus
correspondientes apartados .
Una ruta multi-ruta es aquella en la cual para acceder a un destino, tenemos
más de una puerta de enlace posible. Puede ser útil para "ampliar" de manera
sencilla y transparente el ancho de banda, y/o para disponer de redundancia y
backup. A diferencia del backup tradicional, estas rutas trabajan
simultáneamente y en paralelo, por lo que se aprovechan todas las líneas de
comunicaciones.
Si no hubiéramos configurado las rutas por interfaz balanceado, y
configurásemos las rutas multi-ruta balanceadas, el sistema SÍ que balancearía.
Lo único que pasaría es que, al no haber aislado las IPs Virtuales de los
interfaces físicos, el sistema NO sería capaz de detectar un fallo de un router y
no sabría descartar la ruta asociada a esa puerta de enlace. Por tanto habría
que desactivarla manualmente. Es lo que se conoce como técnica de 'Detección
de puerta de enlace muerta', que viene implementada en todos los servidores
CDC-DATA.
Los parámetros necesarios para balancear rutas multi-ruta son:

Destino : Es la dirección IP de destino al que queremos alcanzar con el balanceo
de carga. Puede ser una IP ó una dirección de red como IP/máscara, en
notación octal.
El botón Activa reinicia las rutas multi-ruta del sistema. Es necesario activarlas
cuando se haga algún cambio en las reglas de salto de balanceo, cuyas
prioridades coincidan con la regla de la ruta multi-ruta.
El botón Ver Rutas nos muestra las rutas multi-ruta activas del sistema en ese
momento. Para activarlas es preciso haber definido un salto de balanceo
asociada a la ruta multi-ruta y pinchar en el botón Activa
Saltosdebalanceo:
En esta opción definiremos las rutas hacia el exterior, cuando tenemos un
sistema con rutas alternativas balanceadas, y su carga de balanceo.
IMPORTANTE: Es necesario haber definido previamente una ruta multi-ruta
antes de configurar el salto de balanceo, ya que éste va directamente asociado
a la prioridad de la ruta multi-ruta.
Los parámetros necesarios para balancear rutas multi-ruta son:

Prio : Es el nivel de prioridad de la regla de enrutamiento. Su valor debe ser uno
de los existentes en las rutas multi-ruta. Puede haber tantos como líneas de
acceso físicas destinadas a la dirección de destino asociada.
P.Enlace : Es la dirección IP de la puerta de enlace que nos enrutará hacia el
destino deseado, previamente definido en la regla de la ruta multi-ruta.
Interfaz : Es el interfaz de red sobre el que se encuentra la puerta de enlace
Carga : Es el número de paquetes que el servidor CDC-DATA repartirá cada vez
hacia el destino asociado por la prioridad, a través de la puerta de enlace.
Si tenemos 2 líneas para acceso a Internet, una el doble que la otra, dejaríamos
la de más capacidad con carga = 2, y la de menor capacidad con carga = 1. De
este modo, de cada 3 paquetes, 1 iría por la línea más lenta, y 2 por la línea
más rápida.
Para activarlas hay que pinchar en el botón Activa
Verrutasactivasdelsistema:
Muestra TODAS las rutas activas del sistema en ese momento.
1.9. CONTROL DE TRÁFICO
Este apartado sirve para configurar el control de tráfico que realiza el servidor CDC-
DATA sobre las líneas de comunicaciones del interfaz 'WAN'.
El control de tráfico sirve para crear reservas de ancho de banda, de modo que algunas
aplicaciones no se queden sin espacio de trabajo, dar prioridad a ciertos paquetes de
aplicaciones para que "viajen" con mayor preferencia que otros, y permitir que un uso
masivo de un servicio se reparta equitativamente entre los usuarios que lo demandan.

El servidor CDC-DATA dispone de 4 bandas de trabajo, con prioridades ALTA, MEDIA,
BAJA y NULA, y cuyos anchos de banda son configurables. Después, sobre dichas
bandas, indicaremos cuáles son las reglas de control que deseamos aplicar en cada
caso.
El esquema de las bandas del servidor CDC-DATA es el siguiente:
ENTRADA PAQUETE IP
SERVICIO DE CONTROL DE TRÁFICO
BANDAS
Reparto jerárquico => HTB3
ALTA MEDIA BAJA NO
PRIO
DISTRIBUCIÓN DE PAQUETES
Reparto Equitativo => SFQ

SALIDA PAQUETE IP
Las necesidades de ancho de banda se agrupan en 4 bandas que disponen de una
capacidad y una prioridad. Una vez se ordenan y priorizan atendiendo a la banda,
según el algoritmo de distribución de colas jerárquicas HTB3, cada banda reparte su
tráfico de manera ecuánime a los usuarios que demandan el servicio, según el
algoritmo de distribución de colas ecualizante SFQ.
ConfiguracióndelAnchodeBanda:
En este apartado se configura el tamaño del ancho de banda de las bandas del
servicio de control de tráfico.
Los parámetros necesarios para configurar el ancho de banda son los
siguientes:

Interfazdeentrada : Es la capacidad máxima de recepción de la línea asociada
al interfaz 'WAN'. Si tuviéramos varias líneas, pondríamos el valor de la suma de
ellas. Este valor se mide en Kbps (kilobits por segundo).
El canal de entrada de las comunicaciones NO se puede modelar, tan sólo el de
salida. Lo que sí se puede hacer en la entrada es ajustar la tasa de transferencia
de manera que no se descarten paquetes por exceso de tráfico en la cola de
descarga en el proveedor del servicio. Es lo que se conoce como 'Traffic
Policing'.
Interfaz de salida : Es la capacidad máxima de envío de la línea asociada al
interfaz 'WAN'. Si tuviéramos varias líneas, pondríamos el valor de la suma de
ellas. Este valor se mide también en Kbps (kilobits por segundo).
IMPORTANTE: el canal de salida SÍ se puede modelar. Es lo que se conoce como
'Traffic Shapping'.
ANCHOS DE BANDA DISPONIBLES : Banda de prioridad 'XXX' : Es la capacidad
mínima garantizada de envío de la banda 'XXX', siendo 'XXX' la banda MÁXIMA,
MEDIA, MÍNIMA o NO PRIORIZADA. En caso de que tengamos un servicio que
consuma demasiado ancho de banda, se ajustará a su nivel mínimo para
garantizar el correcto funcionamiento.

Este valor se expresa en Kbps (kilobits por segundo).
EXCESOS MÁXIMOS PERMITIDOS : Banda de prioridad 'XXX' : Es la capacidad
máxima de envío de la banda 'XXX', siendo 'XXX' la banda MÁXIMA, MEDIA,
MÍNIMA o NO PRIORIZADA. En caso de que tengamos un servicio que necesite
mayor ancho de banda, y éste NO se utilice por otras bandas, se tomará
prestado mientras no se necesite por la banda que lo presta, hasta su valor
máximo permitido. De este modo, no se desperdiciará nada.
Este valor se expresa en Kbps (kilobits por segundo).
ReglasdeControl:
En este apartado se especifican las reglas por las que se regirá el servicio de
control de tráfico, a quién dará prioridad y de cuánto ancho de banda
dispondrá...
Los parámetros necesarios para configurar las reglas de control son las
siguientes:
Tipo : Indica si la regla se va a aplicar a una conexión saliente hacia un servidor
remoto, en cuyo caso será del tipo 'DESTINO', o bien se aplicará a una conexión
entrante a nuestro servidor CDC-DATA, en cuyo caso será del tipo 'ORIGEN'.
Para comprender mejor cómo se determina el tipo, deberemos atender a cómo
se produce la comunicación en el canal de salida de la línea de comunicaciones.
Observe el siguiente diagrama:
SERVIDOR REMOTO = Destino

SERVIDOR CDC-DATA = Origen
Como sólo podemos modelar el tráfico saliente, vemos que en cualquier tipo
de conexión IP, ya sea una conexión entrante hacia nuestro servidor, o saliente
hacia otros servidores externos, siempre el ORIGEN somos nosotros, y el
DESTINO los servidores remotos. Para aplicar las reglas de control deberemos
tener siempre presente esta nomenclatura sobre origen y destino.
Por ejemplo, si queremos modelar el tráfico ENTRANTE al puerto de Terminal
Server ubicado en el 3389, hacia un servidor de nuestra red privada, no
atenderemos al canal de entrada, sino al de salida. Éste corresponde con la
respuesta de la sesión entrante IP. Desconocemos en qué puerto de servicio se
habrá ubicado la entrada de las peticiones del Terminal Server en el lado del
cliente remoto, pero sí que conocemos al puerto al que se conectó en nuestro
servidor, que es el 3389 en este caso. Por tanto, como estamos en el canal de
salida, deberemos aplicar la siguiente regla: 'TIPO=ORIGEN PUERTO=3389
BANDA=xxx'.
De manera análoga, si deseamos modelar las conexiones a páginas web
remotas, observaremos que en el canal de salida corresponde el puerto 80 de
navegación web con el del lado del servidor remoto al que queremos conectar.
Por tanto, la regla a aplicar será: 'TIPO=DESTINO PUERTO=80 BANDA=XXX'.
RESUMIENDO: Sólo podemos modelar nuestras peticiones salientes.
Si la conexión la realizamos nosotros hacia el exterior, no hay confusión sobre
el origen y el destino. Pero si la conexión la recibimos nosotros, fijándonos en el
canal de salida, el origen seremos nosotros con el puerto de servicio solicitado
por el cliente remoto.
ATENCIÓN: Si encuentra dificultad en comprender estos conceptos, no se
preocupe: haga uso del servicio de soporte técnico, ya sea a su distribuidor o a
nosotros mismos.
Puerto : Es el puerto de la aplicación al que queremos aplicar la regla de control
de tráfico.

Banda : Indica la banda a la que se asociará la regla. Puede ser 'MÁXIMA',
'MEDIA' o 'MINIMA'. Por omisión, todo puerto no declarado se asociará a la
banda no priorizada.
Puede activar o desactivar el servicio de Control de Tráfico, mediante el botón
Modificar después de indicar el estado deseado en los botones de selección.
Para activar los cambios realizados en esta sección, deberá pinchar sobre el botón
Reiniciar.
1.10.- CERTIFICADO SSL
Este apartado sirve para configurar el certificado digital de la sesión SSL del propio
servidor CDC-DATA, cuando se conecta al panel de control. De este modo puede
personalizar su propio certificado
Además, en futuras versiones nos servirá este certificado para generar claves públicas
de autenticación.
Puede dejar como está de origen el certificado, y obviar esta sección si lo desea.
Los parámetros necesarios para configurar el certificado SSL son los siguientes:
Días de validez (min 31) : Son los días de validez del certificado digital. Una vez
expirado el plazo, deberá generar uno nuevo. En el momento de desarrollo actual, no
tiene sentido que establezca un plazo demasiado corto. Puede dejarlo fijo en 365 (un

año). Este es un campo obligatorio.
CódigodePaís(Ej.ES) : Es el código de País cualificado (España = ES, Alemania = DE,
Reino Unido = UK...). Este es un campo obligatorio.
Provincia
Ciudad
Empresa
Departamento
Nombre del servidor (FQN) : Es el nombre con el que identifica en Internet a su
servidor CDC-DATA. Debería ser un nombre cualificado de Internet (con dominio
completo), aunque no importa si emplea un nombre local o privado, sin dominio
cualificado. Este es un campo obligatorio.
E-Mail : Es la dirección de correo electrónico del responsable de la validez del
certificado.
Para generar el certificado con los valores introducidos, deberá pinchar sobre el botón
Crear. Esto detiene el servicio web SSL del panel de control durante un minuto, por lo
que perderá la conexión. Pasado ese tiempo, ya puede volver a conectar.
1.11.- ZONA HORARIA
Esta herramienta nos permite definir el servidor de tiempos que va a utilizar el CDC-
DATA y la zona horaria a la que pertenece el cliente, de manera que tanto la hora
como la fecha no podrá ser modificada de manera externa, únicamente cambiando el
servidor de tiempos.
Los parámetros a definir son:

Servidordetiempospordefecto: Es el servidor de tiempos que carga el CDC-DATA por
defecto.
Tenemos la posibilidad de poner hasta 4 servidores de tiempo, en el caso que el
primero no de respuesta saltaría al segundo y así sucesivamente.
Zonahoraria: Es la zona horaria a la que pertenece el cliente CDC-DATA. Aparece un
desplegable en la que se asigna la zona horaria a la que se pertenece.
Las opciones posibles son:
Modifica: Actualiza los valores de los campos de servidores de tiempos.
Sincroniza: Fuerza una actualización de la hora del sistema con los servidores introducidos.
Reset: Escribe los valores de servidores de tiempos por defecto (los que aparecen en la
imagen).
1.12.- SERVIDORES
Desde este menú se configura los diferentes servicios disponibles en el servidor CDC-
DATA. Estos servicios se adquieren de manera modular, por lo que es posible que
algunos de ellos no estén disponibles en su servidor CDC-DATA.
Los equipos serie 7 llevan todos los módulos activos, mientras que los series 5 sólo

llevan los módulos básicos. En los series 6 es posible adquirir los módulos básicos más
los adicionales que se desee, por lo que el aspecto del menú puede variar en función
de los módulos y servicios contratados.
Todos estos servicios pueden activarse o desactivarse por defecto. Además, cualquier
cambio que se realice en su configuración, exige que se reinicie el servicio para activar
los cambios pertinentes.
Los módulos disponibles en serie 5 son :
Y en series 6* y 7:
En caso de tener todos los módulos activados.

1.12.1.- Servicio de Firewall:
Establece el comportamiento básico del servicio de Firewall, los registros que se
generarán, y el nivel de sensibilidad que tendrá a la hora de registrarlos.
Las opciones posibles son:

Idioma por defecto: Es el idioma predeterminado con el que se mostrará el
panel de control, así como los mensajes de error del servicio de Proxy.
Limite máximo de sesión (en minutos): Es el tiempo máximo que se permitirá
trabajar en el panel de control sin finalizar la sesión. Al llegar a dicho límite, el
panel de control finaliza de manera automática.
Número de errores máximos permitidos: Es el número de errores de
autenticación que permite el panel de control antes de bloquear el acceso al
mismo, a la IP del usuario que trata de conectar.

Tiempo de bloqueo por error (en horas): Es el tiempo durante el cual una IP
permanece bloqueada por haber alcanzado el número máximo de errores de
autenticación. Dicho tiempo se mide en horas.
Tasaderegistrosporminuto: Por defecto está en 15. Indica el número de veces
que un mismo evento puede quedar registrado por minuto, para evitar un
llenado excesivo del disco duro. Este valor está muy indicado y no conviene
variarlo. Si observa que se llena demasiado, puede bajar este valor.
ForzarreiniciodeTúnelesSSL: Por defecto está en 1 día. Fuerza el reinicio de
los túneles SSL que tengamos creados, levantando los mismos en caso de
problemas de caída de la línea.
Permitir sólo usuarios LAN autenticados por MAC: Por defecto está NO. Si se
activa, sólo podrá acceder desde la 'LAN' a cualquier dirección los equipos que
estén reconocidos en la lista de direcciones MAC del apartado Configuración :
Servidores : DHCP : Asignaciones estáticas de clientes.
No es necesario tener activo el servicio de DHCP para que se active este
comportamiento.
Esta opción está pensada para equipos que asignen IPs y controlen accesos a
dispositivos que se hallen en una red local muy insegura, como las redes
Wireless, para garantizar que aunque se conceda una IP por DHCP o alguien se
la añada a mano, no pueda acceder a la red de manera ilegal.
Permitir sólo usuarios DMZ autenticados por MAC: Por defecto está NO. Si se
activa, sólo podrá acceder desde la 'DMZ' a cualquier dirección los equipos que
estén reconocidos en la lista de direcciones MAC del apartado Configuración :
Servidores : DHCP : Asignaciones estáticas de clientes.
No es necesario tener activo el servicio de DHCP para que se active este
comportamiento.
Habilitar FW en modo estricto: Por defecto está en NO. Si lo activamos
deberemos especificar la IP del servidor CDC-Data cuando queramos conectar a
él en las reglas del firewall. Normalmente, cuando una regla de firewall permite
la conexión de un puerto a “cualquier destino”, incluye también el propio CDC-
Data. Con esta opción activada, la dirección “cualquier destino” EXCLUYE el
CDC-Data, y habría que especificar su IP en la regla de firewall correspondiente
si queremos que se permita una conexión.
Gestión de Firewall en modo Avanzado: Nos permite gestionar el firewall de
nuestro servidor CDC-DATA con más opciones en determinados aspectos
relativos a la Seguridad. De hecho, el juego de reglas es diferente en modo
simple y en modo avanzado. Por tanto, es posible disponer de una

configuración sumamente permisiva en modo simple y configurar nuestras
reglas en modo avanzado. De este modo, ante cualquier duda de configuración,
podemos cambiar a modo simple y comprobar el funcionamiento sin tantas
restricciones. El cambiar de modo simple a modo avanzado NO elimina las
reglas que hubiera definidas en cada modo. Éstas se conservan, pero se aplican
sólo en función del modo de operación seleccionado.
AceptarprotocoloICMPdesdeWAN: Nos permite la recepción de ecos desde el
interfaz WAN; es decir, lo que se conoce como responder ante un ping.
Habilitar lista D.R.O.P.: La lista DROP (Don't Route Or Peer) es una lista de
bloqueos de rutas hacia direcciones que han sido declaradas como inseguras
por los organismos de asignaciones de Ips ARIN, RIPE, APNIC y LACNIC.
Principalmente son redes donde campan a sus anchas spammers y virus de
manera abusiva. En ningún caso, en dichas listas aparecen direcciones
legítimas. Por tanto, se recomienda tener esta lista siempre activada. Las listas
se actualizan una vez al día en horario nocturno.
Tipoderegistroshabilitados : Indica qué es lo que registrará el servicio de
Firewall en su actividad habitual.
Las opciones disponibles son las siguientes:
LAN : Todos los accesos efectuados desde la red local.
DMZ : Todos los accesos efectuados desde la red desmilitarizada.
WAN : Todos los accesos efectuados hacia Internet.
NAT : Todos los accesos redirigidos por NAT.
BADFLAGS : Todos los registros de paquetes IP peligrosos.
BYPASS : Todos los registros de accesos web por Proxy Bypass.
MS-VPN : Todos los registros de accesos VPN de Microsoft.
CDC-VPN : Todos los registros de accesos sobre TUNELES IP.
DROP : Todos los paquetes entrantes y que son descartados.
Además, el servicio de Firewall registra siempre los siguientes eventos:
ACCEPT : Todas las peticiones entrantes que han sido aceptadas.
REJECT : Todos los intentos de conexión desde IP’s que han sido
rechazadas.
MAC : Todos los intentos de accesos desde direcciones MAC no
autorizadas.

Siempre que se haga una modificación en este apartado deberemos
Activar/Reiniciar el servicio de Firewall.
También podemos forzar una desconexión y activar, es decir, realizar un
“reset” mediante el botón Reset FW. En caso de emergencia, podemos detener
el servicio de Firewall mediante el botón Detener FW. Esta opción desactiva
todas las conexiones entrantes o en tránsito hacia/desde el CDC-Data, excepto
las que se realicen al Panel de Control del propio CDC-Data al puerto 8989
desde el interfaz LAN exclusivamente.
1.12.2.- Carpetas Compartidas:
Toda organización necesita poder compartir ficheros de forma fácil y sencilla.
Este servicio permite compartir información con el resto de usuarios de la red,
controlados por su IP. Las opciones son:

PermitirsólointerfazLAN : Esta opción permite sólo conexiones a las carpetas
compartidas desde cualquier conexión que se produzca desde el interfaz LAN..
NombreNetBios : Nombre con el que se identificará el servidor CDC-DATA en la
red. No es posible dejarlo en blanco.
GrupodeTrabajo : Nombre del grupo de trabajo o dominio al que pertenece el
servidor CDC-DATA. En caso de existir un dominio NT/W2000 ó Active Directory
de Microsoft, deberá crear una cuenta de máquina con el nombre Netbios
declarado al servidor CDC-DATA para agregarlo al dominio. No es posible
dejarlo en blanco.
ServidorWINS(IP) : Define la dirección IP del servidor de nombres NetBios de
su organización. Para dejarlo en blanco o eliminarlo, escriba un espacio.

IPs permitidas en PUB : Identifica los dispositivos que tendrán acceso a la
carpeta compartida 'pub' o carpeta pública. Por defecto está en blanco, lo que
quiere decir que se permite a cualquier conexión...
IPs permitidas en LOCAL : Identifica los dispositivos que tendrán acceso a la
carpeta compartida 'local'. Por defecto está en blanco.
IPs permitidas en SYS : Identifica los dispositivos que tendrán acceso a la
carpeta compartida 'sys' o carpeta de sistema. Esta carpeta es donde se
realizan las copias de seguridad del servidor, y donde se importan los registros
de configuración. Por defecto está en blanco.
CompartirunidadUSB: Permite compartir cualquier unidad de almacenamiento
que haya sido conectada a una de las conexiones USB del servidor CDC-Data.
Dicha unidad se verá compartida con el nombre de recurso usb
1.12.3.- Correo Electrónico:
Permite definir un completo servidor de correo electrónico, tanto de Internet
como para uso exclusivo de una red privada.
Las opciones son:

Nombredelservidor(FQDN) : Nombre con el que se identificará el servidor de
correo SMTP CDC-DATA en la red. No es posible dejarlo en blanco. Emplee
nombres completamente cualificados; es decir, del tipo host.dominio.ext . Si el
uso fuera para correo local en una intranet, emplee dominios inexistentes,
como 'cdcdata.local.dom', por ejemplo.
Dominio por defecto Nombre del dominio de Internet por defecto. No es
posible dejarlo en blanco, y debe ser el sufijo introducido en el Nombre del
servidor cualificado (FQDN) del apartado anterior. Si el uso fuera para correo
local en una intranet, donde el dominio NO es real, deberá introducir como
dominio el mismo nombre de host, para evitar que los sistemas anti-spam
rechacen dicho dominio por ser falso. Este valor sería 'cdcdata.local.dom'
siguiendo el ejemplo anteriormente expuesto.
Otrosdominioslocales : Si existiera en su organización más de un dominio de
correo electrónico, podría agregarlos aquí para que fueran reconocidos por el
servicio de correo electrónico. Todos los usuarios que diera de alta se
asociarían a todos los dominios introducidos.
DominiosdeRelay : Identifica los dominios hacia los cuales el sistema permite

entregar correo, además del dominio por defecto y los dominios locales. Este
valor es muy importante en caso de que se quiera configurar este servidor
como backup de correo de Internet (registro MX 20, 30? ), para que permita la
entrega hacia el servidor principal (que normalmente se define en la gestión de
DNS como registro MX 10).
Redes de confianza : Cualquier IP perteneciente a la red que se defina aquí
tendrá permitido el envío de correo electrónico hacia Internet, sin ningún tipo
de limitación. Haga uso de esta función en caso de necesidad real, y desde
luego evite introducir redes o Ips de usuarios con cuentas de correo
electrónico. Esta opción sólo tiene sentido para encaminar correos de
dispositivos automáticos como cámaras de videovigilancia o servidores de
correo seguros de su intranet.
SmartHost : Si en nuestra organización existe un servidor SMTP para el envío de
correos electrónicos exclusivo, forzaremos a que todo el tráfico de correo
electrónico saliente sea enviado a través de dicho servidor, introduciendo en
este campo la IP del servidor de correo principal o su nombre de Internet
cualificado (FQDN).
Tamaño máximo de mensaje : El tamaño máximo del mensaje de correo
electrónico que queremos permitir como envío para los usuarios, expresado en
Bytes.
Tamaño máximo de buzón : El tamaño máximo del buzón de correo de los
usuarios, para evitar crecimientos que bloqueen el sistema. En la imagen
anterior, está limitado a 100MB.
UsuarioPostmaster(segúnRFC) : Es el usuario de correo electrónico al que se
redirigirá todo el correo que entre al sistema a través de la cuenta 'postmaster'.
Es obligatorio que exista esta cuenta en todos los servidores de correo. Por
defecto se redirige al usuario del sistema webmaster.
1.12.4.- Gestor de descargas de correos externos:
Este módulo nos da la posibilidad de recibir correos de varios servidores sobre
una misma cuenta. Es capaz de descargar todas las cuentas de usuarios de
todos los servidores externos de la empresa, filtrarlos, eliminar spam y virus, y
entregarlos al destinatario adecuado, de manera automatizada. Además, no
hay que hacer nada en el usuario final. Sólo basta con tener una cuenta
instalada en su ordenador, la de su empresa, y todos los mensajes le llegarán a
ese único usuario. Si deseamos desactivarlo temporalmente, basta con
desactivar el servico. No es necesario eliminarlo todo.

Es importante señalar que cuando el correo final se entrega al usuario, éste
puede indicar una cuenta de correo del propio servidor de correo del CDC-Data
(si lo tenemos activado), o una cuenta de correo electrónico alojada en otro
servidor… El proceso de eliminación de virus y spam siempre actúa, no importa
si la cuenta de correo electrónico del destinatario es local o externa.
Para dar de alta un servidor externo las opciones a poner son las siguientes:
Nombre del servidor (FQDN): Nombre del servidor del correo externo a
agregar. (P.ej. para gmail sería pop.gmail.com)
Protocolo: Las opciones de protocolo son POP2, POP3, APOP, RPOP, KPOP,
EXTERN e IMAP. Deberemos saber qué tipo de protocolo utiliza, normalmente
son POP3 o IMAP.
Autenticación: Las opciones son ANY, PASSWORD, KERBEROS4, KERBEROS5 y
MSN. Deberemos saber qué tipo de autenticación posee el servidor de correo
externo.
Puerto: Dependiendo del servidor externo será un puerto u otro. P.ej. el 110 es
el básico de correo, para Gmail el 995, etc.
SSL: Tipo de cifrado SSL activo o no.
Límite: Es el límite del tamaño máximo de mensajes de correo para el servidor
externo. Cualquier mensaje superior a dicho tamaño será eliminado. Para NO
fijar límite alguno, escriba 0 (cero).

Activo: Si queremos tener el servicio activo o no.
Para dar de alta a un usuario de correo externo debemos configurar lo siguiente:
Nombre del servidor (FQDN): Seleccionamos el servidor al que asociamos el
usuario.
Usuario: Escribimos el nombre de cuenta de usuario que nos asigne el proveedor
de correo.
Contraseña: Contraseña del usuario del correo externo. Al introducirla los
caracteres son visibles (luego aparecen *). No dé de alta a usuarios delante de
desconocidos…
Redirigir usuario a: Ponemos el usuario de destino al que vamos a redirigir los
correos.
NOTA: Si el usuario de correo es una cuenta creada en el servidor de
correo del propio CDC-Data, entonces se almacenará en los buzones
locales del propio CDC-Data. Si está alojado en un servidor externo, se
reenviará.
Hay que tener presente que la búsqueda y descarga de correos externos se realiza
cada 10 minutos, empezando desde la hora en punto. Si tenemos muchos usuarios
y la descarga dura más de 10 minutos, cuando se active la siguiente descarga no
sucederá nada, esperará a que la anterior acabe. Es decir, los procesos NO se
solapan… Por tanto, si alguien nos envía un correo, como mucho tardará 10
minutos… No es instantáneo.
Por último, es posible combinar esta función con el Antivirus- AntiSpam del CDC-
DATA. De lo contrario tendremos un bonito recolector de correo, con toda la
basura que nos haya llegado.
Para ello habrá que ir al menú de “Configuración : Servidores : Servicio Antivirus –
AntiSPAM”, configurar este servicio y activarlo.

1.12.5.- Cliente Webmail - SSL:
Permite configurar el cliente de correo 'Webmail' asociado al servidor CDC-
DATA. De este modo, es posible leer correo de servidores diferentes al CDC-
DATA que tenga en su Intranet o en Internet, desde ubicaciones exteriores a su
oficina, desde un navegador de Internet sobre una conexión segura (SSL).
Las opciones de configuración son:
ServidorSMTP : Es la dirección IP que se empleará para el servidor de correo
saliente (SMTP). Si desea que dicho servidor sea el propio 'CDC-DATA' deberá
escribir localhost .
Uso horario GMT: Establece el horario GMT de la zona en la que nos
encontramos.
Tamañomáximodelbuzón : Establece el tamaño máximo de almacenamiento
que el cliente de correo 'Webmail' permitirá almacenar en su disco duro, por
usuario. El tamaño por defecto es de 50MB, y su valor se especifica en KB.
Tiempodeinactividad: Tiempo en minutos para pasar a inactividad si se deja
abierta la cuenta de ‘Webmail’.

Idiomainicialpordefecto: Establece el idioma que aparecerá en la pantalla del
correo ‘Webmail’.
Las opciones de servidores de POP3 configurados son:
Dominiodelcorreo: Dominio del correo POP3.
ServidorPOP3: Servidor POP3, si es el local sería ‘localhost’.
Autenticación: Tipo de autenticación, ya sea ‘user’, ‘user@domain’
‘user.domain’. Las cuentas del servidor CDC-Data son del tipo 'user'.
1.12.6.- Servicio de agenda LDAP:
Permite ofrecer una base de datos LDAP para servicio de directorio, con los
campos necesarios para mantener una agenda de contactos compartidos en
modo de sólo lectura para los usuarios de la red.
Las opciones son:
Editar contactos de la agenda : Permite añadir, modificar y dar de baja
contactos de la agenda LDAP.

El campo Descripción es obligatorio y debe ser único. El botón Reset elimina
todos los registros de la base de datos.
Importarcontactos: Permite importar los registros de la base de datos desde
un archivo de texto, ubicado en la carpeta compartida SYS del servidor CDC-
Data, y denominado ldap.txt
Dicho fichero debe tener los siguientes valores, por linea:
Descripción
Nombre
Apellidos
email
Teléfono Fijo
Teléfono móvil
Empresa
y estando los diferentes valores SEPARADOS POR TABULADORES. Si un campo
Descripción ya existe en la base de datos, éste se actualiza con los valores
importados.
Exportarcontactos: Exporta los registros de la base de datos a un archivo de
texto, ubicado en la carpeta compartida SYS del servidor CDC-Data, y
denominado ldap.txt

1.12.7.- Conexiones PPTP:
Permite definir una pasarela de acceso remoto VPN a través del software de
conexiones remotas de Microsoft Windows. Tenga presente que el empleo de
conexiones VPN basadas en autenticación Usuario/Contraseña pueden ser
altamente inseguras. Le recomendamos que emplee las conexions VPN SSL.
Las opciones son:
IPServidorLocal : Dirección que tendrá el servidor CDC-DATA para los usuarios
remotos que conecten a través de PPTP. Debe ser una dirección que tenga
asignada el servidor CDC-DATA en la LAN, ya sea en el interfaz principal del
TCP/IP o una de la red de Ips virtuales. No es necesario crear una subred virtual
en la LAN para usuarios remotos, aunque es recomendable para evitar
colisiones de direcciones IP con usuarios físicamente ubicados en la red local.
Rango Usuarios remotos : Es el rango que se reservará para asignar Ips a
usuarios PPTP que no demanden una IP fija. El primer campo es la IP de origen,
y el segundo la de destino expresado como el cuarto valor de la IP. Es decir, si
queremos asignar el rango 192.168.1.200 hasta la 192.168.1.201,
introduciremos en la primera casilla 192.168.1.200 y 201 en la segunda.
Recuerde pinchar en el botón Modificar para guardar los cambios.

Si se quiere asignar usuarios PPTP con una IP fija, hay que asignarla en el
momento de dar de alta el usuario, no aquí. Este rango es sólo para usuarios a los que
se les asignará una IP dinámicamente. Si no va a necesitarlos, asigne un rango de 2 IPs
libres y consecutivas de la red local, por si acaso. No hace daño y siempre hará falta
cuando menos se espera.
NombreNetBios : Nombre con el que se identificará el servidor CDC-DATA en la
red. No es posible dejarlo en blanco.
Dominio : Nombre del dominio al que pertenece el servidor CDC-DATA. Se
refiere a un dominio de Internet cualificado, aunque puede introducirse un
dominio local si el ámbito de trabajo es el de un grupo de trabajo de redes
Microsoft. No es posible dejarlo en blanco.
DNS : Define la dirección IP del servidor de resolución de nombres de Internet
(DNS). Si se omite, el usuario remoto no podrá resolver nombres de direcciones
de Internet.
WINS : Define la dirección IP del servidor de nombres NetBios de su
organización.
Máscara : Define la máscara del ámbito de red del servidor PPTP.
Reinicia: Para reiniciar el servicio de manera manual y aplicar los cambios
introducidos.

1.12.8.- Servicio de FTP:
Permite definir un completo servidor de FTP, tanto de Internet como para uso
exclusivo de una red privada.
Las opciones son:
AdministradorFTP : Dirección de correo electrónico que desea que aparezca en
la pantalla de bienvenida como 'Administrador' del sistema. Si se activa la
entrega de informes diarios, éstos se remiten a esta dirección de correo.
Identificación : Nombre del servidor FTP, frase de bienvenida, etc., que desea
que aparezca en la pantalla de bienvenida. Es meramente informativo.
Númeromáximodeerrores : Número de veces que el servidor permite que se
equivoque el usuario de FTP remoto, antes de que finalice la sesión. Se
establece un valor relativamente bajo para evitar intentos de acceso ilegales
mediante sistema de "fuerza bruta".
Conexionesmáximas : Número de conexiones simultáneas que se permite en el
servidor. Para evitar denegaciones de servicio de otros servidores, NO es
posible dejarlo ilimitado, aunque tampoco se limita el valor máximo.
Activar informes diarios FTP : Le permite la entrega de informes de uso y
estadísticas FTP a la cuenta de correo definida en 'Administrador FTP'.
Para activar los cambios introducidos o reiniciar el servicio, pinche en el botón
Activa.

1.12.9.- Servicio de DHCP:
Permite definir un ámbito de asignaciones IP a través de un servicio DHCP
sobre el interfaz 'LAN' exclusivamente. Por cuestiones de seguridad, NO es
posible establecer ámbitos DHCP sobre interfaces 'WAN' o 'DMZ'.
Las opciones son:
Ámbito de la concesión : Rango sobre el cual se aplicará la reserva de
direcciones IP de la red. Debe ser un rango reconocido por el interfaz principal
'LAN' o algunos de los interfaces virtuales sobre la 'LAN'.
Configuración de la subred : Rango sobre el cual se asignarán las direcciones
dinámicamente. Además, se especifica los parámetros de red de la concesión
DHCP: dominio, puerta de enlace, DNS y servidores wins. Estos parámetros son

comunes para todos los clientes.
Para evitar errores humanos, el botón Modificar actualiza TODOS los campos,
por lo que deberá escribir todas las opciones cada vez que necesite realizar un
cambio. Si alguna opción no se desea activar, simplemente déjela en blanco.
Asignaciones estáticas de clientes : Es la reserva de dirección propiamente
dicha, donde se asigna un nombre de host y su IP a una dirección MAC
determinada. Las Ips asignadas estáticamente NO deben solapar las del rango
de la subred.
Aunque no tenga activado el servidor DHCP, es posible en la configuración del
Firewall permitir por 'LAN' sólo las direcciones MAC de equipos reconocidos.
Pues bien, aquí es donde deberá dar de altas dichas direcciones.
Importar asignaciones de clientes : Es posible importar las asignaciones de
clientes desde un fichero de texto, si son muchos usuarios y no desea
teclearlos. Para ello, deberá crear un fichero con el nombre ip_host_mac.txt tal
y como aparece indicado, todo en minúsculas, y con los siguientes campos
separados por tabulador: ip host mac y grabados en formato ASCII. Después,
coloque dicho fichero en la carpeta del servidor CDC-DATA llamada sys.

1.12.10.- Servicio DNS:
Permite configurar un servicio DNS (servidor de nombres de dominio) en su
servidor 'CDC-DATA' de una manera rápida, sencilla y eficiente.
El funcionamiento del servicio de DNS en el servidor 'CDC-DATA' es el siguiente:
1.- Si un nombre de equipo cualquiera está definido en las listas de 'HOST', se
devolverá la dirección IP asociada a su entrada.
2.- Si un dominio está considerado como 'local', el servidor 'CDC-DATA' buscará
su IP correspondiente en las listas de 'HOST', y no en los servidores DNS de
Internet especificados en la configuración del apartado 'TCP/IP'.
Por tanto, las listas de 'HOST' corresponden con las altas de nombres del
registro de DNS de tipo A. Cuando introduzca un nombre de equipo en 'HOST'
que esté asociado a un dominio, hágalo en su forma cualificada (FQN), con su
nombre de dominio.
Las opciones son:

Dominios considerados como locales : Son aquellos dominios para los que el
servidor 'CDC-DATA' buscará en su entrada de 'HOST', sin preguntar a los DNS
de Internet. Si no encuentra nada, dará un error de nombre no encontrado.
RegistrosMXdecorreo : Son las entradas correspondientes a los registros MX
10 de correo. Para ello, es necesario introducir el correo de dominio y el
nombre de host que hace de servidor de correo. Esta función es muy
interesante para aquellas configuraciones de correo en las que existe un
servidor privado en la Intranet, y se desea que el servidor 'CDC-DATA' haga de
pasarela de correo seguro, aceptando las conexiones y comprobando los
permisos, en lugar de hacer un 'NAT' hacia el servidor interno.
En estos casos, los registros MX de Internet apuntan hacia la IP pública, por lo
que es necesario introducir otros valores de registro MX para el servicio de DNS
del servidor 'CDC-DATA', de modo que no lea el registro de Internet sino que
lea otro con direccionamiento privado; es decir, el real que tiene el servidor de
correo en la Intranet. Esto mismo se hace desde esta opción, con más que
añadir el domino y el nombre de host asociado al dominio que hace la función
de correo. Por tanto, es necesario además añadir dicha entrada de nombre con
la IP real de la Intranet en las listas de 'HOST'.
AsociartodoundominioaunaIP : Esta función permite que, dado un dominio
concreto, todos los nombres de host asociados a dicho dominio devuelvan
siempre la misma dirección IP.

Servidores de nombres por dominio : Esta opción permite buscar nombres de
equipos de un dominio en concreto, a través de un DNS determinado. Esta es
una función muy útil e imprescindible cuando existe en la Intranet uno o varios
dominios privados que NO tienen resolución de nombres de Internet, y
deseamos resolver nombres privados y públicos sin enredar demasiado en la
configuración de nuestros PCs de trabajo y demás servidores corporativos.
IMPORTANTE: No confundir la función de 'asociar todo un dominio a una IP' con
los servidores de nombres por dominio. Son cosas muy diferentes...
1.12.11.- Servicio de WWW:
Permite configurar un servidor web en el propio servidor CDC-DATA, sacando
provecho de todas las herramientas de seguridad que dispone.
El servidor web integrado soporta HTML, PHP, PERL y JAVA, con todo el soporte
para extensiones Flash de Macromedia. No ejecuta código ASP ni ASPX.
Es totalmente operativo y funciona como servidor virtual por nombres, sin
límite teórico de dominios alojados en él, aunque se ha autolimitado a 150
conexiones simultáneas concurrentes.
Para poder instalar una página web en el servicio web del servidor, primero hay
que transferir el código de la página y sus archivos correspondientes al servidor
CDC-DATA. Para ello deberá emplear el servicio FTP y conectarse al servidor
FTP del CDC-DATA, con el usuario 'webmaster', que existe ex-profeso para este
propósito.
Debe recordar que a diferencia de otros servidores web de uso público, cuando
transfiere los archivos de una página web al servidor CDC-DATA mediante la
cuenta 'webmaster', NO está escribiendo directamente donde se muestra la
página web, sino en una carpeta temporal creada a este propósito. Mientras no
acceda al Panel de Control del servidor CDC-DATA y transfiera la carpeta al
servidor, la página web NO se mostrará.
Esta es una medida importante de seguridad, a fin de no comprometer el
contenido de su página web si su contraseña de acceso 'webmaster' fuera
descubierta.

Las opciones de configuración son:
Nombre del servidor (FQDN) : Nombre del servidor de Internet al que
queremos que responda el servidor. Puede ser cualquier nombre, pero si NO
está cualificado en un DNS de Internet, sólo será accesible desde intranets,
desde equipos con la IP del servidor configurada en WINS con NetBios, o en el
archivo local de hosts del cliente.
IMPORTANTE: el nombre debe ser aquél al cual llamaremos desde el navegador
de Internet.
La funcionalidad de los botones de esta opción de configuración son las
siguientes:
Inserta : Incluye el nombre del servidor en la configuración del servicio web. No
lo instala.
Elimina : Elimina el nombre del servidor en la configuración del servicio web y
elimina los archivos de la página web asociada al nombre del servidor, de la
carpeta donde reside en el servidor web. No la elimina de la carpeta de
'webmaster'. Requiere que se escriba el nombre a eliminar en el cuadro de
diálogo del formulario.
Instala : Copia los archivos de la página web asociada al nombre del servidor,
desde la carpeta del usuario 'webmaster' a la carpeta donde reside en el
servidor web. Si ya existiera, la sustituiría completamente. Requiere que se
escriba el nombre del servidor en el cuadro de diálogo del formulario.
Los archivos de la página web deben estar contenidos en una carpeta cuyo
nombre sea IDENTICO al nombre del servidor web asociado a la página web. El

sistema diferencia entre mayúsculas y minúsculas. Para evitar errores,
introduzca siempre los nombres en minúsculas.
1.12.12.- Servicio de Proxy:
Permite controlar el acceso a Internet mediante navegador Web a los usuarios
de la red local. Así mismo, es un acelerador de páginas Web que minimiza el
tiempo de acceso a Internet por parte de los usuarios y reduce el consumo del
ancho de banda.
Las opciones son:
Puerto de servicio : Es el puerto al cual el servicio de proxy atenderá las
peticiones de los usuarios de la red. Por defecto es el '3128'.
MemoriaProxy : Establece la memoria en MBytes que utilizará el servidor CDC-
DATA para el servicio de Proxy. Para números de usuarios en red elevados, es
conveniente aumentar el número de memoria. Por lo general, hasta 10

usuarios, es suficiente con 8 MB de RAM. Sólo admite valores entre 8 y 64.
Caché de disco : Establece el espacio de disco en MBytes que utilizará el
servidor CDC-DATA para el servicio de Proxy. Para números de usuarios en red
elevados, es conveniente aumentar el tamaño. Por lo general, hasta 10
usuarios, es suficiente con 128 MB de espacio en disco. Sólo admite valores
entre 128 y 2048.
ProxyDNS: IP del servidor DNS del servicio de proxy, independientemente del
que hubiera asignado en el sistema desde “Configuración : TCP/IP”.
Comportamiento : Establece el modo en que un usuario se autentica y queda
registrado para acceder a Internet. Si es 'transparente', el usuario no es
consciente de que existe algún tipo de Proxy y se registra los lugares visitados
identificando su dirección IP (por lo que realmente se registran PCs, no
usuarios). Este modo no requiere configurar el navegador de Internet ni
necesita intervención alguna por parte del usuario, lo cual supone más facilidad
y sencillez.
En el modo 'Por usuario', se requiere que el usuario introduzca un nombre y
una contraseña para acceder a Internet, quedando registrado todos los accesos
a su nombre, y no sólo a su PC. Para ser efectivo, requiere dar de alta a cada
usuario con un nombre y una contraseña, y configurar el navegador de Internet
de modo que actúe a través de Proxy. La dirección del proxy es la IP del
servidor CDC-DATA en la red local, y el puerto a utilizar es la indicada en 'Puerto
de servicio'.
AdministradordeProxy: Es la dirección de correo electrónico del administrador
del servicio de Proxy-Caché. Tiene función meramente informativa en caso de
producirse algún mensaje de error para el usuario.
Redes proxificadas: Establece qué redes locales serán redirigidas
OBLIGATORIAMENTE hacia el puerto de servicio del proxy. En modo
'transparente', el usuario simplemente navega si así lo permiten sus derechos
de acceso. En modo 'Por Usuario', obliga a que el navegador esté debidamente
configurado y pide su autenticación. En caso negativo, muestra su
correspondiente mensaje de error.
Destinos NO proxificados : Establece qué destinos de red NO deberán ser
filtrados por el Proxy. (Se accederá a ellos como si no hubiera proxy). Para
quitarlo, introducir un espacio en blanco.
Importante: sólo es posible introducir una sola dirección de red en Destinos NO
proxificados.

Con la opción de Activar informes automáticos diarios, se nos permite la entrega de
informes de navegación y acceso web a la cuenta de correo definida en 'Administrador
del Proxy'.
Cualquier cambio realizado en la configuración del Proxy será activada en cuanto
pinchemos en el botón de Activar cambios del proxy.
Así mismo, podemos escoger entre tener el servicio de proxy activo o no.
1.12.13.- Servicio Antivirus – AntiSpam:
Permite configurar el filtro de Antivirus y AntiSpam para el servicio de correo.
En él podemos habilitar o deshabilitar las siguientes opciones:
- IntegrarAntiVirusconlanavegaciónweb.

- IntegrarAntiVirus-AntiSpamconelcorreoelectrónico.
- Comportamientodelsistema:
Activar modo silencioso para virus.
Activar modo silencioso para spam.
Idioma por defecto.
KILL level (2.1 – 6.3). Es el nivel de puntuación a través del cual el sistema
rechaza un correo, lo normal es tenerlo en 3.5.
- Notificaciones al usuario postmaster: El usuario postmaster deberá ser
configurado previamente en Configuración/Servidores/Correo Electrónico.
Notificar llegadas de correos con virus.
Notificar llegada de correo basura (spam).
Después de habilitar/deshabilitar cualquier opción hay que darle al botón
Modifica, y después a Activar cambios/Reiniciar servicio.

2.-SEGURIDAD
En este menú se encuentran las aplicaciones referentes a la seguridad del sistema y del
control de accesos, tanto desde Internet a la red local, como de la red local a Internet.
Todos estos servicios están siempre activos por defecto, y NO pueden desactivarse.
Además, cualquier cambio que se realice en su configuración, exige que se active para
aplicar los cambios pertinentes.
IMPORTANTE: Conviene recordar que existe 2 juegos diferentes de reglas que afectan a
la seguridad, en función de cómo hayamos configurado en Firewall (apartado 1.12.1)
2.1.- ACEPTAR DESDE WAN
Permite definir qué direcciones pueden acceder a determinados puertos del servidor
CDC-DATA.
Con el FW configurado en modo simple, por defecto, el servidor tiene la siguiente
regla definida:
que significa:
Ip Origen: cualquiera, IP de entrada: cualquiera, Puerto 10022
Ip Origen: cualquiera, IP de entrada: cualquiera, Puerto 8989
Estas direcciones permiten el acceso de cualquier IP al Panel de Control web sobre SSL
(8989) y transferencias seguras de archivos para las copias de seguridad de CDC-Data
(10022) . Si se desea desactivar, basta con eliminarlas, aunque si lo hace, no será
posible realizar tareas de administración remota en su equipo.
Las autorizaciones se realizarán a través de reglas en las que se identificará:

IPOrigenoMAC: Dirección ip o MAC del equipo al que queremos permitir el acceso a
un servicio determinado. Puede ser una única IP, o toda una red, o una dirección MAC.
Así, para permitir el acceso a las redes que empiecen por 80 escribiremos en IP de
Origen 80.0.0.0/8 . Si deseamos que accedan las direcciones que empiecen por 80.59
escribiremos 80.59.0.0/16 . Si el filtro lo deseamos aplicar a las redes que empiecen
por 80.59.216 escribiremos 80.59.216.0/24 , y si es una sólo IP, bastará con escribirla
(como se muestra en el diagrama anterior).
Para asignar a cualquier IP, escribiremos en Ip Origen el valor 0.0.0.0/0 todo seguido,
sin espacios. El valor 0 es un atajo de 0.0.0.0/0 para poder escribir reglas más
rápidamente.
Este tipo de notación para describir clases de subredes es más extendida en el mundo
Unix y más cómoda de representar. Cada grupo de 8 bits representa al grupo decimal
255. De este modo:
a.b.c.d/255.255.255.0 es una clase C . Para representarla en notación octal, cada grupo
de 255 tendrá un valor de 8, por lo que obtendremos a.b.c.d/8+8+8+0 = a.b.c.d/24
Igualmente, a.b.c.d/255.0.0.0 sería a.b.c.d/8 y la red cualquiera sería 0.0.0.0/0.0.0.0
que se representa como 0.0.0.0/0 ó 0/0 ó simplemente 0.
Para asignar a una MAC determinada pondremos su dirección, separando cada pareja
por el símbolo : (Por ejemplo 00:80:22:5e:5d:28).
IPEntrada : Indica la IP de entrada exclusivamente por el interfaz WAN, a la que vamos
a aplicar la regla. Debe ser una IP dada de alta en el CDC-Data como WAN, tanto en
TCP/IP como en IPs Virtuales. Si se deja en blanco, indica 'cualquiera' del interfaz WAN
y se muestra en el panel de control como '*'.
Puerto : El número de identificación de determinados servicios a los que queremos
permitir el acceso.
Estos pueden ser un único servicio, por ejemplo el acceso al servicio CDCDATA (8989) o
un rango (por ejemplo, todos los puertos que se representa por '1:65535' sin espacios
en medio).
En modo FW Avanzado podríamos, además, elegir el tipo de protocolo (TCP, UDP o
ambos) para esa regla, de manera que tendríamos más acotados los accesos desde
WAN:

Proto: Sobre que protocolo afectan estas reglas (TCP y UDP). Por defecto está “*” , por
lo que afecta a ambos protocolos.
IMPORTANTE: No olvide Activar Firewall una vez terminada la configuración para que
los servicios puedan actualizarse.
Para eliminar todas las reglas referentes a una sola dirección, basta con introducir la IP
de Origen deseada y pinchar en Elimina . Si se desea eliminar una regla en concreto,
deberá escribir además el puerto deseado junto con la IP de Origen y pinchar en
Elimina .
2.2.- RECHAZAR
Es la lista de direcciones que nuestro servidor rechazará cada vez que traten de
conectarse con nosotros o atravesar cualquiera de nuestras redes, a través de
cualquier dirección de entrada del servidor CDC-Data especificada en cualquier
interfaz. Se comporta como una Lista Negra de direcciones non gratas. Si se deja en
blanco, presupone que la regla se aplicara a todas las IPs de entrada del servidor CDC-
DATA.
En FW modo simple, para añadir nuevas direcciones, sólo debemos identificar la
dirección IP de la máquina a rechazar, especificar la IP de entrada y pinchar en Inserta .
Para eliminar, procederemos igualmente, pero pinchando en Elimina .
Para rechazar TODO UN RANGO, escribiremos la dirección de red con su máscara,
separada por / sin espacios en blanco. Por ejemplo, 1.2.3.0/24 ó 1.2.3.0/255.255.255.0

En modo FW Avanzado podríamos elegir el tipo de protocolo (TCP, UDP o ambos) para
esta regla, así como el puerto al que queremos que aplique esa regla. De esta manera
podríamos rechazar únicamente el servicio deseado, y no toda la IP o rango. Por
ejemplo si tenemos problemas por envío de spam desde una IP pondríamos esa IP y el
puerto 25, dejándole operativo el resto de servicios.
IMPORTANTE: No olvide Activar Firewall una vez terminada la configuración para que
los servicios puedan actualizarse.
2.3.- NAT
Esta función permite, en principio, que los usuarios de una red definida en Internet (los
interfaces WAN) tengan acceso a los servidores locales definidos en los interfaces LAN
ó DMZ. Sin embargo, dichas reglas se aplican a todas las redes virtuales que existan
sobre cada Interfaz, no sólo a los interfaces WAN. En función de la IP de destino y de
origen, el servidor CDC-DATA ya se encarga de calcular cuál es el interfaz asociado a
cada entrada, ya sea WAN, LAN ó DMZ, lo cual reduce la tarea a la máxima sencillez.
Además, como es posible especificar sobre qué IP de entrada queremos aplicar una
regla, podemos realizar diferentes NAT por un mismo puerto a servidores diferentes
en función de la IP a la que se conecte.
Con FW en modo simple, las traducciones se realizarán a través de reglas:
IPOrigenóMAC : IP de origen de la petición y que pertenece a una red externa. Puede
ser una IP o toda una red.

IP entrada : IP de entrada de la conexión en el servidor CDC-DATA sobre la cual
queremos aplicar la regla. Si se deja en blanco, se aplicara a todas las IPs definidas
sobre cualquier interfaz. En el panel de control aparecerá la IP como '*'.
Puerto : Puerto al que queremos filtrar o redirigir. Puede ser un solo puerto, expresado
en número, o un rango, expresado como dos números separados por dos puntos, sin
espacios en blanco. Por ejemplo, 1:65535, 137:139, etc. Los valores posibles van desde
1 hasta 65535. Si se deja en blanco o se escribe un asterisco * el sistema lo traduce por
1:65535. Son, por tanto, comodines para facilitar la introducción de las reglas...
IPDestino : IP del dispositivo local, tanto los definidos en LAN como en la DMZ, y que
queremos que responda a la petición externa.
Puerto : Puerto de destino al que queremos que responda el servicio en la red local.
Sólo se emplea cuando deseamos alterar el puerto de escucha en origen. Sólo se
permite introducir un valor numérico entre 1 y 65535, no un rango.
En modo FW Avanzado tendremos la posibilidad de elegir sobre que protocolo (UDP,
TCP o ambos) queremos aplicar dicha regla.
IMPORTANTE: No olvide Activar FW una vez terminada la configuración para que los
servicios puedan actualizarse.
2.4.- DMZ
Esta función permite que los usuarios o servidores de la red DMZ tengan acceso a las
direcciones definidas fuera de su interfaz. Lla función de la zona DMZ es impedir que
cualquier equipo ubicada en ella pueda salir hacia otras redes más allá de su interfaz.
Sólo responde ante una petición entrante, pero no puede iniciar sesión hacia el
exterior. Es ideal para alojar servidores que publican servicios de cara a redes que no
sean de confianza, sin comprometer la seguridad de las redes locales.
Desde esta opción se especifica qué puertos y hacia qué destinos los equipos de la
DMZ pueden iniciar sesión.

Las opciones de este menú con el FW en modo simple son las siguientes:
IPOrigenóMAC: Es la IP, rango de red o MAC de la DMZ a la que deseamos aplicar la
regla.
Puerto: Puerto o rango de puertos IP a los que queremos dar salida. Puede ser un
único puerto o un rango. En este último caso, lo escribiremos siguiendo la notación
inicio:fin .Los valores posibles van desde 1 hasta 65535.
IPDestino : Es la IP o rango de red del destino al que deseamos aplicar la regla. Puede
ser cualquier IP perteneciente a los interfaces 'WAN', 'LAN', conexiones VPN o túneles
IP.
Con el modo FW Avanzado tendremos la posibilidad de elegir sobre que protocolo
(UDP, TCP o ambos) queremos aplicar dicha regla.
IMPORTE: No olvide Activar Firewall una vez terminada la configuración para que los
servicios puedan actualizarse.

2.5.- RESTRICCIONES LAN
CDC-Data puede controlar todo tipo de acceso desde la red local hacia Internet, tanto
para navegación web, como para aplicaciones instaladas en los ordenadores
personales y servidores. Incorpora un control de listas y un gestor de permisos de
accesos por usuarios, horarios y páginas autorizadas o denegadas que son accesibles
desde el navegador web. Además permite controlar otras acciones que realicen los
usuarios en Internet, como por ejemplo limitar la cantidad de ficheros que se puedan
descargar, el tamaño máximo de éstos, qué puertos puedo permitir para que accedan
a Internet, impedir que determinadas aplicaciones salgan hacia Internet (como Kazaa,
emule, edonkey, Ares, Messenger) etc.
Esto se debe a que CDC-Data no sólo contempla la seguridad desde el punto de vista
de quién se conecta desde Internet, sino que incluye el uso de Internet qué hacen los
propios usuarios de la red local, a dónde se conectan, con qué aplicaciones, etc. Y este
acceso a Internet se administra y configura desde este menú.
Existen cinco submenús para configurar el acceso a Internet:
2.5.1.- Control de navegación web:
En este submenú se configura todos los permisos que conciernen a la
navegación web por parte de los usuarios. No sólo desde el navegador, sino
desde cualquier aplicación que haga uso del puerto TCP 80, como es el
Messenger de Microsoft.

La operativa de funcionamiento es la siguiente:
Existen 4 listas que definen los permisos: 'Grupos de usuarios (por IP)', 'Listas
de contenidos', 'Horarios de utilización' y 'Puertos permitidos por Proxy'. En
cada uno de ellos podemos definir tantas listas como queramos, sin límite
alguno.
Una vez definidas las listas, definimos los permisos creando combinaciones de
las listas anteriormente definidas, accediendo al menú Administrar los
permisos.
IMPORTANTE: Para definir un permiso se exige únicamente que exista una lista
de cualquier tipo. Podemos crear reglas con todos los tipos de permisos,
aunque NO es obligatorio. El botón Reset elimina todas las reglas que hubiera
creadas. NUNCA DEJE LISTAS EN BLANCO, SI NO LAS NECESITA DEBE
ELIMINARLAS...
El acceso a Internet se permitirá siempre que exista alguna regla definida que
devuelva un positivo, incluso aunque se haya producido también un negativo.
Por tanto, cuide la lógica que se siga al definir las reglas: si pretende que un
usuario no navegue a una determinada página, y otra regla permite cualquier
tipo de acceso, navegará...
Las Listas de contenido incluyen aquellas palabras que deseemos filtrar a la
hora de acceder a Internet. No es necesario escribir toda una dirección o un
dominio; basta con introducir la palabra clave. Por ejemplo, si deseamos
restringir el acceso a 'dominioxxx.es', 'dominioxxx.com', 'dominioxxx.net', etc...,
bastará con introducir la palabra dominioxxx y se bloqueará cualquier acceso a
Internet que contenga dicha palabra, no sólo cuando accedamos a este

dominio, sino en cualquier link de cualquier página, incluso cuando busquemos
en un buscador y aparezca dicha palabra, aunque no sea su dominio.
Además, las listas pueden ser 'Permitidas' o 'Denegadas'. Si son 'Permitidas'
entonces sólo se podrá navegar a las direcciones web que contengan alguna de
las palabras de la lista asociada. Si son 'Denegadas', se podrá acceder a
cualquier dirección web que NO contenga alguna de las palabras de dicha lista
asociada. Como el tipo de lista se define en el momento de crear el permiso, y
no en la propia definición de la lista, podremos emplear la misma lista de
manera diferente para distintos grupos de usuarios.
Los Grupos de usuarios (por IP) se pueden definir como una dirección IP -si
queremos crear un permiso específicamente para un usuario- , o como una
dirección de red -por ejemplo la red local, definida como 172.26.100.0/24-. No
hay límite de listas.
Los Gruposdeusuarios(pornombre) se definen exclusivamente en modo 'por
usuario'. Bastará con añadir un nombre de usuario a la lista asociada.
Posteriormente, habrá que darlo de alta en el menú de 'Cuentas de usuario :
Proxy'. Cuando el usuario vaya a navegar por Internet, el servidor CDC-DATA le
pedirá su nombre de usuario y contraseña para autenticarlo correctamente. De
lo contrario, no navegará. Una vez autenticado, se le aplicarán las restricciones
que se establezcan en el apartado de 'Administración de permisos'. Mientras
no cierre el navegador, no se le volverá a preguntar la contraseña. No hay
límite de listas.
Los Horarios de utilización se definen marcando los días de utilización
deseando y definiendo su intervalo horario por los parámetros 'hora de inicio' y
'hora de finalización'. Ambos parámetros deben seguir la notación 'hhmm'
(todo seguido, sin incluir los dos puntos ":"), siendo hh=hora (de 00 a 23) y
mm=minuto (de 00 a 59).
Los Puertospermitidospor Proxy permiten definir listas de control de acceso
con los puertos que deseamos autorizar a través del proxy. De este modo,

cualquier puerto introducido en el URL del navegador deberá coincidir con los
publicados en su lista de acceso correspondiente. De otro modo, el servicio de
Proxy denegaría el acceso a Internet.
Para que esta restricción sea operativa, el navegador debe tener activada la
opción de 'Conexión proxy', ya que en el caso contrario sólo se controla el
puerto http (80). El resto de puertos se controlan en este último caso a través
de la opción 'Control de puertos permitidos' del menú 'Seguridad :
Restricciones LAN'.
IMPORTANTE: No olvide Activar Proxy una vez terminada la configuración para
que el servicio de proxy pueda ejecutarse con la nueva configuración.
2.5.2.- Bypass de conexiones proxy:
En este submenú se configuran los sitios web que deseamos se acceda de
manera directa, sin pasar por las restricciones del proxy.
Este caso puede darse porque no deseemos que quede registrado su acceso
mediante el servicio de proxy por el motivo que sea, o porque estemos
accediendo a un servidor de aplicación corporativa basado en web y lleve su
propio gestor de proxy o de comunicaciones, y el proxy del servidor CDC-DATA
interfiera en las comunicaciones.
Para configurarlo, basta con añadir la dirección IP del servidor de destino que
deseemos evitar.

IMPORTANTE: No olvide Activar Firewall una vez terminada la configuración
para que los servicios puedan actualizarse.
2.5.3.- Control de puertos permitidos:
En este submenú se configuran los puertos permitidos para acceder fuera de
nuestra red local. Los puertos que NO estén declarados, serán rechazados. La
regla que viene configurada por defecto admite todos los usuarios, con todos
los puertos, a todos los destinos.
Si disponemos del Firewall configurado en modo simple, los parámetros
requeridos son:
IP de origen : Es el usuario o grupo de usuarios a los que vamos a aplicar la
restricción. Puede ser una IP o una dirección de red.
Puerto : Es el puerto o rango de puertos que deseamos permitir el acceso. En
caso de permitir un rango, emplearemos la notación origen:destino, por
ejemplo 137:139. Los valores permitidos van desde 1 a 65535.
IP de destino : Es la dirección IP remota a la que vamos a aplicar la regla,
permitiendo su acceso. Puede ser cualquier IP (la DMZ, Internet, un túnel
VPN...) Puede ser una IP o una dirección de red. Si existen diferentes IPs
virtuales en la LAN (redes virtuales privadas), y desea que dichas redes 'se vean
entre sí', es necesario que se indique explícitamente mediante la regla
adecuada.
Por defecto, el puerto '8989' siempre es accesible desde la LAN al servidor CDC-
DATA por cuestiones de seguridad, aunque NO esté definido.
Con el modo FW Avanzado podremos seleccionar el protocolo sobre el que
queremos aplicar las restricciones. Si ponemos “*” se aplicarán a ambos
protocolos.

para que los servicios puedan actualizarse.
2.5.4.- Publicar redes privadas (SNAT):
En este submenú se configuran las direcciones IP ó red de la LAN que van a ser
publicadas en Internet con una IP pública (IP WAN) desde el servidor CDC-DATA
Esto significa que cuando un usuario o red de usuarios de la LAN accedan a
Internet, éstos serán "vistos" en Internet con dicha dirección IP.
AVISO: Esta utilidad debe emplearse sólo cuando se disponga de un
direccionamiento público con un cierto rango de IPs públicas estáticas que
acceden a Internet a través de una única puerta de enlace (algunos operadores
ofrecen este tipo de servicio, aunque no todos). De este modo, podemos forzar
a que ciertos usuarios y/o servidores se identifiquen externamente con una IP
pública concreta de nuestro rango.
En el valor de LAN puede aparecer toda una red local ó una sola IP. En cambio,
en IP WAN debe aparecer sólo una dirección IP. Tenga cuidado, pue el sistema
no comprueba si la IP existe realmente...
Es importante señalar que esto no genera rutas hacia Internet. El sistema de
enrutamiento debe estar perfectamente definido para que los paquetes salgan
hacia el exterior, ya que esta opción sólo indica con qué IP WAN se identificará
el usuario. La ruta a seguir deberá configurarse en el apartado de Rutas del
menú Configuración .

Por otra parte, el administrador del sistema sigue teniendo el control de los
accesos tanto desde el interior hacia el exterior y viceversa, ya que esta opción
no realiza ningún tipo de NAT. Para que el usuario pueda acceder a Internet,
deberá tener activados los puertos correspondientes del apartado anterior de
Control de puertos. Así mismo, si deseamos que algún servicio externo se
redirija realmente hacia la IP privada, deberemos configurar la función de NAT
correspondiente al puerto o puertos deseados, a través de la IP WAN asignada,
tal y como se describe en el apartado NAT del menú de Seguridad.
Si dispone de una o varias líneas de acceso a Internet conunaúnicaIPpública
asociada a su puerta de enlace, como son las conexiones de cable-módem o
xDSL, deje este menú en blanco. En su lugar, configure las redes permitidas
hacia Internet del apartado siguiente.
para que el sistema aplique las nuevas restricciones.
2.5.5.- Redes permitidas por defecto hacia Internet (MASQUERADE):
En este submenú se configuran las redes que deseamos que sean capaces de
ser redirigidas a Internet desde el servidor CDC-DATA
Por defecto, aparece cualquier dirección (0.0.0.0/0). Esimportantequeelimine
este valor e introduzca su propia red local y su red DMZ. En caso contrario, el
servidor CDC-DATA sería capaz de reenviar cualquier paquete proveniente de
cualquier IP entrante por el interfaz 'WAN' hacia cualquier destino de Internet,
a través de su IP pública. Esta opción solo debe emplearse cuando realmente
queramos realizar esta función (caso de permitir un backup ante un fallo de
una línea de otro router, etc).
Para configurarlo, basta con añadir la dirección de red o IP de la 'LAN' y/o 'DMZ'
a la que deseemos permitir el reenvío de paquetes IP hacia otras redes de
Internet.
En aquellos casos en los que se disponga de varias IP’s públicas configuradas en

el mismo servidor CDC-DATA la IP WAN con la que serán vistos en Internet
corresponderá a la asociada con la ruta de acceso correspondiente, en función
de las reglas de enrutamiento configuradas en el apartado Rutas del menú de
Configuración. Si hubiera más de una IP WAN asociada a una misma ruta, la que
aparecerá como "visible" es la definida como IP WAN del apartado TCP/IP del
menú de Configuración, haciendo caso omiso de las IPs WAN virtuales
restantes, que sólo responderían ante entradas desde Internet.
para que el sistema aplique las nuevas restricciones.
2.6.- DETECTOR DE INTRUSIÓN
Además de disponer de un completo registro de incidencias, el servidor CDC-Data va
mucho más allá en lo referente a seguridad pro activa.
El sistema viene cargado con un patrón de más de 2000 ataques que hace saltar la
alarma si son encontrados. Configurando la dirección de correo del administrador del
sistema este puede recibir a diario una estadística de los intentos de ataque que ha
recibido su sistema ¡Se sorprenderá al comprobar que recibe cientos a diario! De todas
formas no se preocupe demasiado, la mayoría son simples escaneos de puertos o pings
sin ninguna importancia.
La misma información que recibe el administrador del sistema es accesible y agrupada
por meses a través del panel de control del CDC-Data. Los informes enviados
presentan la información de una forma detallada y agrupada en estadísticas que
facilitan la labor de cualquier administrador. Los datos que manejan dichas estadísticas
son dirección del atacante, dirección objeto del ataque y método utilizado. Las
diferentes tablas simplemente ordenan la misma información conforme a distintos
criterios (número de ataques, método de ataque, etc.).
Las opciones disponibles son las siguientes:

Reddeseguridad : Dirección IP y máscara de la red que se desea monitorizar.
Interfaz : El interfaz físico que desea habilitar para la escucha. Dado que el servidor
CDC-DATA se activa en modo promiscuo, es importante decirle en qué interfaz se
desea analizar. Sólo puede activarse un interfaz, ya que de lo contrario el sistema
reportaría cualquier acceso como un posible ataque, y la información enviada no sería
creíble. Por tanto, deberemos procurar que la red de seguridad esté definida sobre el
interfaz a analizar.
Usuario (e-mail) : Dirección de correo del administrador o persona autorizada que
recibirá diariamente un resumen de las incidencias.
IMPORTANTE: La cuenta del usuario de correo del detector de intrusión se emplea
también para entregar los informes diarios automatizados de seguridad.
2.7.- NAGIOS
El servidor CDC-DATA posee el software NAGIOS preinstalado, que es un sistema open
source popular para la monitorización de redes. Es posible monitorizar el estado de los
equipos y servicios que se especifiquen, alertando cuando el comportamiento de la
red no es el deseado y nuevamente cuando vuelve a su estado correcto.
Para ello debemos configurar un usuario (email) que recibirá cualquier alerta que
previamente hayamos configurado.

Por defecto vienen creadas en nuestro CDC-DATA unas carpetas de configuración que
modificaremos según nuestra red. A estas carpetas accedemos a través del servicio
FTP del propio servidor CDC-Data, empleando para ello la cuenta nagios.
El usuario nagios debemos configurarlo previamente en el menú del Panel de Control
del servidor CDC-Data Cuentas de Usuario → Nagios. Por defecto el usuario siempre
será “nagios” y la contraseña habrá que crearla la primera vez que queramos entrar
desde el Panel de Control de CDC-Data.
Una vez accedido al servidor CDC-Data con el usuario nagios, nos encontraremos con
una carpeta doc, en la que tenemos unas plantillas tanto para los hosts como para
templates. Estas carpetas contienen archivos de ejemplo de la configuración de
NAGIOS para CDC-Data. Edite los archivos que quiera modificar y cópielos a las
carpetas 'hosts' y 'templates' ubicadas en el raíz del ftp del usuario nagios.
Los archivos y carpetas del directorio 'doc' no se actualizan nunca desde el panel de
control del CDC-Data. Son sólo ejemplos para Ud.
Para acceder al panel de control de NAGIOS debemos ir a Utilidades/NAGIOS y desde
allí una vez editados los archivos y puestos en su respectiva carpetas, podremos
visualizar los equipos de nuestra red.
Si necesita más información sobre la aplicaión NAGIOS consulte el manual de la web de
NAGIOS: http://www.nagios.org.
2.8.- ARP ALERT
El objeto de esta herramienta es detectar tráfico de equipos no autorizados en nuestra
red local. Es especialmente útil en entornos donde exista un punto de acceso wifi,
como medida de detección activa.

ARP son las siglas en inglés de Address Resolution Protocol (Protocolo de resolución de
direcciones). Se trata de un protocolo de nivel de red responsable de encontrar la
dirección hardware (Ethernet MAC) que corresponde a una determinada dirección IP.
Para ello se envía un paquete (ARP request) a la dirección de multidifusión de la red
broadcast (MAC = ff ff ff ff ff ff) que contiene la dirección IP por la que se pregunta, y
se espera a que esa máquina (u otra) responda (ARP reply) con la dirección Ethernet
que le corresponde. Cada máquina mantiene una caché con las direcciones traducidas
para reducir el retardo y la carga. ARP permite a la dirección de Internet ser
independiente de la dirección Ethernet, pero esto sólo funciona si todas las máquinas
lo soportan.
Para el funcionamiento del ARP Alert deberemos configurar lo siguiente:
Usuario(email): Dirección de correo del usuario que recibirá las alertas.
Interfaz: Interfaz sobre la que aplicamos el ARP Alert. Puede ser la WAN, LAN o DMZ.
MAC detectadas: Listado de MAC’s detectadas por el sistema, tanto en el modo
CAPTURA como en modo ALERTA, en nuestra propia red.
MACmonitorizadas: Listado de MAC’s previemanete detectadas por el sistema y que
constituyen la lista de referencia de confianza.
Modo de operación: Modo de operación del sistema de alertas ARP, puede ser
mediante captura, alerta o tenerlo desactivado.
La operativa es la siguiente: Una vez introducido el correo electrónico del usuario,
seleccionamos un interfaz de trabajo y pasamos a modo de operación CAPTURA.
Dejamos este modo activo el tiempo suficiente para asegurarnos que el sistema ha

detectado todas nuestras MAC conocidas (PC's, servidores, impresoras...). Este proceso
puede oscilar entre una hora y un día.
A continuación pasamos a modo de operación ALERTA. En ese instante, se genera la
lista de MAC monitorizadas, a partir de la lista de MAC detectadas. Cada nueva MAC
que detecte el sistema a partir de este momento, será notificada a la dirección de
correo electrónico introducida anteriormente.
Si deseamos, eliminar alguna de las MAC almacenadas en alguna de las listas, el Modo
de operación deberá estar desactivado.
En modo desactivado, tanto desde la lista de MAC detectadas como monitorizadas,
podemos eliminar una MAC concreta de la lista correspondiente, añadir una entrada
en el FW de dicha MAC rechazada, activar el FW desde aquí o resetear la lista y dejarla
a cero. Lo que no podemos hacer es dar de alta una MAC: ha de ser detectada
necesariamente, por cuestiones de seguridad.
2.9.- FILTRADO DE CORREO
2.9.1.- Filtrado por cabeceras
Si tenemos el módulo de servidor de correo electrónico activado, es posible establecer
una serie de restricciones en el servicio de correo electrónico PARA TODOS LOS
USUARIOS, incluso aquellos que tengan direcciones VIP.
Es posible rechazar ciertos mensajes de correo electrónico, tanto de Internet como de
la propia compañía, que coincidan con los patrones definidos en el Filtrado de correo.
En este apartado, podemos establecer reglas en función de las cabeceras de los
mensajes:

Mensaje : Determina qué tipo de cabecera vamos a filtrar. Puede ser en función del
Asunto del mensaje, del emisor 'De' o del destinatario del correo 'Para' que esté
definido como usuario en el servidor.
Contiene : Es el patrón de búsqueda a analizar cuando llegue o vaya a salir un mensaje
del servidor. Puede ser cualquier carácter, por lo que podemos restringir los mensajes
de todo un dominio en concreto '@dominio_xxx.com', de cualquier dominio que
comience por un determinado prefijo '@hotmail' o de un usuario determinado
'xxx@hotmail.com'
El botón Reset borra la todos los filtros, previa confirmación de la acción.
IMPORTANTE: Introduzca sólo caracteres ASCI estándar alfabéticos a-z A-Z o números 0-9. NO
introduzca caracteres especiales como ( ) [ ] { } ' " ^Ç ç ...
2.9.2.- Filtrado por adjuntos
Al igual que en el apartado anterior, es posible rechazar TODOS los mensajes que
incluyan ciertas extensiones en los archivos adjuntos, para cualquier usuario dado de
alta en el sistema.
Para ello, deberemos tener activado el módulo de servidor de correo electrónico, ya
que estas reglas sólo se aplican cuando los mensajes de correo son gestionados
directamente por el servidor CDC-DATA.

Tipodeadjunto(extensión) : Determina qué tipo de archivo adjunto vamos a filtrar.
IMPORTANTE: No olvide pinchar en Activa una vez terminada la configuración para
que los filtros queden activados. Mientras no se activen, NO se aplican hasta que se
reinicie el servidor.
2.9.3.- Filtrado por contenido
Al igual que en el apartado anterior, es posible rechazar TODOS los mensajes que
incluyan cierto contenido en los correos, para cualquier usuario dado de alta en el
sistema. En este apartado, podemos establecer reglas en función del contenido de los
mensajes:
Contenidoafiltrar: Determina que contenido que lleve el correo filtrará el CDC-DATA.
2.9.3.- Listas negras AntiSpam
Además el servidor CDC-DATA permite incluir listas AntiSpam para evitar el envío de

correo “basura” desde nuestras cuentas.
Por defecto vienen incluidas 2 listas AntiSpam pero podemos declarar hasta 10 listas.
El botón Reset restituye la lista por defecto, previa confirmación de la acción.
3.-CUENTASDEUSUARIO
En este menú se encuentra la configuración de los usuarios del sistema, incluyendo los
administradores que acceden al panel de control del servidor CDC-DATA y sus perfiles
de acceso, los usuarios comunes (de FTP y Correo), los usuarios de Proxy en modo 'por
usuario', los usuarios de conexiones VPN de Microsoft sobre PPTP, y las opciones para
establecer las contraseñas de los usuarios FTP especiales 'webmaster', 'userlog' y
'nagios'.
Estas cuentas se encuentran separadas por cuestiones de seguridad, para que no se
pueda ver comprometida la seguridad de su empresa en caso de que alguien pudiera
observar su acceso a través de FTP.
3.1.- ADMINISTRADOR
Es el usuario mediante el cual se otorga acceso al panel de control. Puede haber hasta
cinco administradores configurados en el sistema y se pueden eliminar mutuamente
con tal de conocer el nombre del administrador, aunque no se conozca la contraseña.
Las contraseñas introducidas NUNCA aparecen en la aplicación por cuestiones de

seguridad.
Las opciones de este apartado son las siguientes:

Número de Administradores : Informa sobre el número de usuarios administradores
dados de alta en el sistema.
Administrador : Nombre del usuario de administración con acceso al panel de control,
que queramos dar de alta, modificar o eliminar.
Contraseñadeladministrador/Reescribalacontraseña : Define la nueva contraseña del
administrador. En caso de no coincidir, da un mensaje de error y exige que se
vuelva a repetir el proceso.
Perfiles de usuario activos : Son los apartados del menú a los que el usuario
administrador tendrá acceso a través del navegador.
Las funciones de los botones son las siguientes:
Inserta : Permite añadir un nuevo usuario. Exige que exista una contraseña. Si el
usuario ya existía anteriormente, entonces actualiza la contraseña y los perfiles. Como
quiera que NO es posible introducir una contraseña en blanco, cualquier variación en
el perfil del usuario administrador exige que se introduzca de nuevo una contraseña,
por motivos de seguridad.
Elimina : Permite dar de baja un usuario de administración.
Ver : Muestra los usuarios dados de alta en ese momento.
3.2.- USUARIOS COMUNES
Permite la gestión de usuarios con cuentas de correo y ftp. Todo usuario creado,
tendrá su carpeta personal para el servicio ftp y su correo.

Número de Usuarios Introducidos : Permite visualizar el número usuarios dados de
alta.
El botón Ver permite visualizar por orden alfabético los usuarios introducidos y sus
perfiles.
NúmerodeUsuariosredirigidos : Permite visualizar los usuarios que tienen su cuenta
de correo redirigida a otra dirección. Esta dirección puede ser otro usuario local del
sistema, u otra cuenta externa.
El botón Ver permite visualizar por orden alfabético los usuarios redirigidos y a dónde
están redirigidos.
NúmerodeListasactivas : Permite visualizar las lista de distribución de los usuarios y
sus pertenencias.
El botón Ver permite visualizar por orden alfabético las listas de distribución y los
usuarios asociados a ellas.
Usuario : Nombre del nuevo usuario. Este nombre será el que utilizará como cuenta de
correo y ftp. Debe introducir un nombre que NO contenga espacios, y sin dominio de
Internet asociado (No debe contener '@su_dominio.com')
Contraseña / Rescriba la contraseña : Define la contraseña del nuevo usuario,
comprobando que coincide por cuestiones de seguridad. No es posible ver las
contraseñas una vez introducidas, aunque puede cambiarse sin problemas.
ListadeDistribución : Permite agrupar usuarios de correo bajo grupos. De esta forma
se podría agrupar las direcciones de correo de un grupo de comerciales bajo una lista
de distribución comercial, y todos los mensajes dirigidos a dicha lista les llegaría a
todos ellos.
Tanto las cuentas de usuarios como las listas de distribución se definen SIN
ESPECIFICAR dominio alguno. El servicio de correo agrega automáticamente el dominio
definido en Configuración : Servidores : Servicio de Correo
Redirigirusuarioa : Permite redirigir un usuario local existente en el servidor hacia otra
cuenta de usuario. Si esta cuenta de usuario a la que se redirige es también local, NO
es necesario añadir el dominio de Internet (@su_dominio.com). Si la cuenta es
externa, y está asociada a otro servidor de Internet, deberá introducir la cuenta de
correo electrónico de destino perfectamente cualificada con su dominio de Internet.

Activarusuariopara : Permite especificar el tipo de cuenta que deseamos crear. Puede
ser de correo electrónico, de ftp, ambas o ninguna. Es posible que queramos que un
usuario exista sólo virtualmente, cuando deseamos que tenga cuenta de correo en
nuestro dominio y siempre sea redirigido a otra cuenta. Para ello, se crea un usuario
sin FTP ni Correo local, y lo redirigimos a otra cuenta. De este modo nos aseguramos
que el usuario pueda realizar envíos no deseados hacia Internet desde su cuenta local,
con una identificación quizás no deseada.
Las funciones de los botones de este panel son:
Inserta : Da de alta al usuario ( en este caso requiere la contraseña y que coincida con
su repetición), asocia un usuario a una lista o redirige un usuario hacia otra cuenta.
Para dar de alta a un nuevo usuario, se requiere que introduzca la contraseña y que la
repetición de la misma coincida. Si desea asociarlo EN ESE MOMENTO a una lista o
redirigirlo a otra cuenta de correo, puede introducir el nombre de la lista y/o la
redirección a la vez.
Si el usuario ya existe y desea asociarlo a una lista o redirigirlo, sólo necesita introducir
el nombre del usuario e introducir el valor en el campo que desee actualizar, ya sea la
lista o la redirección. NO ES NECESARIO escribir de nuevo la contraseña, pues ya existe,
a menos que también desee cambiarla.
Si el usuario ya existe y sólo desea cambiar su contraseña, escríbala de modo que
coincidan la contraseña y la repetición, y ya está. NO ES NECESARIO escribir de nuevo
más valores en otros campos del formulario, pues ya existen, a menos que también
desee cambiarlos.
IMPORTANTE: Recuerde que sólo se actualizan los campos que introduce. Los que deje
en blanco NO se modifican.
Elimina : Elimina al usuario, la lista de distribución y/o las redirecciones introducidas, o
todo lo anterior, según qué valores se introduzcan en los campos. Si un valor NO
existe, no hace nada
Si se elimina una redirección, el usuario original se conserva. Si se elimina una lista, los
usuarios asociados a ella se conservan. Si se elimina un usuario, también se elimina de
las listas en las que estuviera asociado, y se elimina la redirección si la tuviera.

3.3.- PROXY
Gestión de los usuarios que tendrán acceso WEB en caso de proxy no transparente,
trabajando en modo 'por usuario'.
NúmerodeUsuariosProxy : Permite visualizar el número usuarios dados de alta.
El botón 'Ver' permite visualizar por orden alfabético los usuarios introducidos sin
mostrar sus contraseñas.
Usuario : Nombre del nuevo usuario. Este nombre será el que utilizará para poder
acceder a Internet es importante que el nombre NO contenga espacios.
Contraseña / Re-escriba la contraseña : Define la contraseña del nuevo usuario,
Inserta : Da de alta al usuario y crea sus carpetas del sistema, para el buzón de correo
y el servicio FTP Cuando se da de alta al usuario, se requiere la contraseña y que
coincida con su repetición.
Si el usuario ya existe, procede a actualizar la contraseña.
Elimina : Elimina al usuario del sistema, vacía su buzón y elimina sus carpetas del
sistema.

3.4.- PPTP
Gestión de los usuarios que tendrán acceso al servidor a través del acceso VPN de
Microsoft.
Recuerde actualizar su versión de Microsoft Windows desde la página de Windows
Update correspondiente a su versión, e incluir el parche correspondiente a Redes
Privadas Virtuales y cualquier parche que tenga que ver con certificados de seguridad,
ya que el servidor CDC-Data exige cifrado MPE-.128 bits.
Usuario : Nombre del usuario que identifica el servidor VPN para conceder permiso de
acceso IP. Si está Ud. En una red con dominio de Microsoft, recomendamos emplear
un nombre de usuario y contraseña existentes en el dominio. Así, no le preguntará de
nuevo cuando acceda por red a los recursos de su servidor.
IPreservada : Es la dirección que queremos que tenga SIEMPRE el usuario cuando se
conecte al servidor VPN. Esta dirección es fija, y por tanto, NO deberá estar incluida en
el rango definido por el servicio PPTP del servidor CDC-DATA, dado que estas
direcciones se emplearán sólo cuando las asignaciones por IP sean dinámicas.
Si deseamos que la IP asociada al usuario sea asignada de manera automática del
rango de direcciones predefinidas en el servicio de PPTP, dejaremos en blanco, sin
espacio, la dirección de IP reservada. El sistema mostrará un asterisco (*) como IP
reservada en aquellos usuarios que sean asignados automáticamente.
Contraseña / Re-escriba la contraseña : Define la contraseña del nuevo usuario,

© 2012. Girsa-Net 100
Inserta : Da de alta al usuario (en este caso requiere la contraseña y que coincida con
su repetición).
Si el usuario ya existe, procede a actualizar la contraseña.
Elimina : Elimina al usuario.
IMPORTANTE: Por cuestiones de seguridad, les recomendamos que utilicen las
conexiones VPN SSL. Además, hay ciertos operadores de Internet que emplean el
protocolo PPP para sus asignaciones IP, por lo que filtran este tipo de tráfico por
Internet, afectando al servicio PPtP.
3.5.- WEBMASTER
Gestión del usuario que tendrá acceso a las carpetas donde se alojan las páginas web
publicadas en el servidor CDC-DATA , a través del acceso FTP asociado a esta cuenta.
Las opciones de este panel son:
Contraseña/Re-escribalacontraseña : Define la contraseña del usuario 'webmaster',
comprobando que coincide por cuestiones de seguridad. No es posible ver la
contraseña una vez introducida, aunque puede cambiarse sin problemas
Inserta : Modifica la contraseña del usuario 'webmaster', siempre que coincida con su
repetición.

© 2012. Girsa-Net 101
3.6.- USERLOG
Es la cuenta de acceso por FTP a las carpetas de sistema del CDC-DATA. Se recomienda
no hacer uso de esta cuenta si no se es un usuario experimentado y con conocimientos
acerca de la configuración del CDC-DATA.
Contraseña / Re-escriba la contraseña : Define la contraseña del usuario 'userlog',
Inserta : Modifica la contraseña del usuario 'userlog', siempre que coincida con su
repetición.
3.7.- NAGIOS
Es la cuenta con la que accedemos al NAGIOS desde Utilidades/Nagios. El nombre por
defecto siempre es “nagios” y lo único que podemos cambiar es la contraseña de
acceso. Con este usuario tendremos por tanto acceso al panel de control del NAGIOS, y
a la carpeta FTP de dicho usuario.
Contraseña / Re-escriba la contraseña : Define la contraseña del usuario 'nagios',

© 2012. Girsa-Net 102
Inserta : Modifica la contraseña del usuario 'nagios', siempre que coincida con su
repetición.
4.-INFORMACIÓN
Este apartado permite obtener la información de lo que pasa en nuestro servidor y en
las redes definidas en nuestra empresa.
4.1.-REGISTROS
En esta pantalla encontramos 3 áreas delimitadas por las barras horizontales, que
agrupan: el tipo de formato de los registros, las conexiones realizadas al servidor CDC-
DATA,

© 2012. Girsa-Net 104
Formatodelosregistros : Especifica el formato de salida de los informes generados.
Pueden ser en formato texto, o en formato de hoja de cálculo (.xls).
Operaciones sobre el Panel : Informa qué se ha estado haciendo con el panel de
control del CDC-DATA en las últimas fechas, desde qué dirección IP y con qué usuario.
Bloqueos de acceso al Panel : Este registro detalla los fallos cometidos a la hora de
autenticarse un usuario de administrador para acceder al panel de control.
Accesos a WebMail : Este registro muestra el histórico de conexiones recibidas al
servicio de WebMail integrado en el servidor CDC-DATA, fechas, usuarios, etc.
AccesosaFTP : Informa de los usuarios que han accedido al servicio FTP del servidor
CDC-DATA.
Transferencias con FTP : Informa de las transferencias de ficheros efectuadas al
servicio FTP del servidor CDC-DATA, qué usuario ha sido, qué fichero
AccesosPPTP : Informa de las conexiones efectuadas al servicio PPTP del servidor CDC-
DATA, qué usuario ha sido, a qué hora...
UsuariosPPTP : Informe más resumido de las conexiones efectuadas al servicio PPTP
del servidor CDC-DATA, informando sólo de las conexiones de los usuarios y los
tiempos de conexión.
AccesosaCorreoPOP3 : Informe de las conexiones efectuadas al servicio POP3 (correo
entrante) del servidor CDC-DATA, mostrando errores, accesos, etc.
Accesos a Correo SMTP : Informe de las conexiones efectuadas al servicio SMTP
(correo saliente) del servidor CDC-DATA, mostrando errores, accesos, etc.
Descargas de correos externos: Informe de descargas de los usuarios a través de
correo externo.
Registros de bloqueos de SPAM: Informe de los bloqueos de correos considerados
como SPAM, que hemos definido en las reglas de nuestro servicio de correo.
AccesosaDHCP : Informe de las conexiones efectuadas al servicio DHCP del servidor
CDC-DATA, mostrando errores, accesos, etc.
Seguimientoyauditoría : Muestra todos los registros de sistema que coincidan con el
patrón de búsqueda especificado. Puede ser una IP, un texto, un puerto, lo que sea.
Existe una serie de caracteres clave para acotar ciertos patrones de búsqueda:
'SRC=' IP de origen.
'DST=' IP de destino.

© 2012. Girsa-Net 105
'SPT=' Puerto de origen.
'DPT=' Puerto de destino.
De este modo puede obtener la aparición del patrón de búsqueda de todas las
conexiones entrantes por Terminal Server como DPT=3389 por ejemplo. Si como
patrón de búsqueda escribiera sólo 3389 , entonces buscaría cualquier aparición que
contuviera esta cadena, incluyendo al puerto 53389 si estuviera, por ejemplo, o al
puerto 3389 tanto en origen como destino.
Seguimiento y auditoría WEB: Muestra todos los registros de sistema que coincidan
con el patrón de búsqueda especificado exclusivamente de los registros de navegación
web.
Alertas de Firewall : Sirve para realizar búsquedas de los registros de sistema de
Firewall, según los patrones predefinidos en la sección Configuración : Servidores :
Firewall .
Las opciones disponibles son :
'FW-REJECT' Son los intentos de conexiones de IP's que han sido incluidas en las
listas de Rechazar.
'FW-ACCEPT' Son las conexiones de IP’s que han sido autorizadas en las listas
de Aceptar.
'FW-MAC' Son las conexiones de IP’s desde la LAN al exterior y que están en las
lista de IP’s autorizadas por dirección MAC.
'DMZ' Son las conexiones de IP’s desde la DMZ al exterior.
'DMZ-ERR' Son las conexiones fallidas de IP’s desde la DMZ al exterior, debido a
un intento de acceso NO autorizado.
'WAN' Son las conexiones salientes por el interfaz WAN, desde IP’s en la LAN
y/o en la DMZ.
'NAT' Son las conexiones entrantes por el interfaz WAN y que son redirigidas
hacia IP’s internas según las reglas introducidas en la lista de NAT.
'BADFLAGS' Son los paquetes que el sistema de detección de intrusión
interpreta como posible ataque, y son bloqueados por el sistema.
Los ataques que claramente se detectan, no se registran aquí ya que los
gestiona el detector de intrusión. Sólo registra los que no considera ataques
pero merecen especial atención por su elevada probabilidad de que lo sean.
'MS-VPN' Son las conexiones con usuarios VPN de Microsoft, vista a nivel TCP.
'CDC-VPN' Son las conexiones con usuarios VPN entre servidores CDC-DATA,
vista a nivel TCP.
'DROP' Son las conexiones de IP’s que tratan de acceder al servidor CDC-DATA
por el interfaz WAN a un puerto IP (tanto TCP como UDP) que no ha sido
definido. Evidentemente, son rechazadas. La diferencia con el 'FW-REJECT' es

© 2012. Girsa-Net 106
que en este último caso el rechazo es intencionado.
Los mensajes generados por 'DROP' indican la actividad de máquinas en modo
promiscuo, escaneos de puertos, etc... Es importante NO activarlo por defecto
ya que la información que llegan a registrar puede ser elevada, por lo que se
recomienda activarlos sólo en caso de realizar una auditoria.
FWlog: Informe del arranque del sistema de FW en el que nos muestra todas las reglas
que tenemos habilitadas en nuestro FW.
Bootlog: Informe de la secuencia de arranque del CDC-DATA . Muestra el arranque del
sistema y de los dispositivos. En él podemos observar si algún dispositivo o servicio de
nuestro servidor CDC-DATA no ha arrancado.
Navegación web : Completo informe de la navegación web llevada a cabo por los
usuarios de su empresa, páginas visitadas, tiempos de ocupación anchos de banda
consumidos, etc. en el día. Para más información revise el apartado de la sección
Seguridad : Restricciones LAN . Además podemos ver un histórico de la navegación
web, pulsando en el botón Histórico.
Conexiones a FTPs externos : Detalla las conexiones a servidores FTP de Internet
realizadas desde su LAN hacia direcciones externas en el día. Al igual que en
navegación web podemos ver un histórico de las conexiones a servidores FTP externos.
Conexionesacorreo(porIP) : Detalla las conexiones a servidores de Correo POP3 y
SMTP de Internet realizadas desde su LAN hacia direcciones externas.
Conexionesalpuerto : Detalla las conexiones a servicios de Internet residentes en el
puerto especificado, realizadas desde su LAN hacia direcciones externas.
Eliminar histórico de registros : Elimina los registros de históricos para dejar espacio
libre al sistema.
IMPORTANTE: Por seguridad, los históricos de navegación web NUNCA se eliminan.

© 2012. Girsa-Net 107
4.2.- ESTADÍSTICAS
Permite visualizar de manera gráfica, y a través de su navegador, información
referente a uso de Internet por parte de los usuarios de la red Local.
Navegaciónwebdelaredlocal : Muestra estadísticas de la navegación web llevada a
cabo por los usuarios de su empresa, desde el punto de vista estadístico: tiempo de
uso, direcciones visitadas, las veces que se visitan, cuando, en qué horarios, tamaño de
las descargas, ancho de banda consumido.
AccesosalservidorWWW : Muestra el detalle estadístico de las conexiones al servicio
WWW del servidor CDC-DATA.
AccesosalservidorFTP : Muestra el detalle estadístico de las conexiones al servicio
FTP del servidor CDC-DATA.
IMPORTANTE: La información almacenada en las estadísticas no se guarda
indefinidamente. Sólo muestra los 12 últimos meses, y puede visualizarse mes a mes.
4.3.- MENSAJES
Permite escribir mensajes en el servidor CDC-DATA para notificar de cualquier evento al
administrador del panel de control.

© 2012. Girsa-Net 108
Cuando se actualiza la aplicación del servidor CDC-Data, siempre muestra el mensaje
de la imagen anterior. NINGUNA actualización exigirá jamás reiniciar el servidor, pero
no está de más hacerlo una vez al mes. Es, simplemente, un recordatorio que
desaparece al reiniciarse.
5.-UTILIDADES
En esta sección se encuentran todas las herramientas complementarias del servidor
CDC-Data, divididas en las siguientes categorías:
Utilidadesdesistema: Las herramientas de administración básicas del servidor,

© 2012. Girsa-Net 109
reiniciarlo, apagarlo, desbloquear una IP, ver usuarios del sistema, etc.
Utilidades de red: Las herramientas necesarias para diagnosticar la red y las
comunicaciones, Dns, comprobación de rutas, etc, así como los registros de
actividad de las VPNs del sistema.
Copias de seguridad: donde se programan las copias de seguridad de la
configuración del servidor CDC-Data, se realizan copias instantáneas y /o se
restauran dichas copias.
NTOP: abre la aplicación NTOP
NAGIOS: abre la aplicación NAGIOS
5.1.- UTILIDADES DE SISTEMA
DesbloquearunaIP : Permite desbloquear una Ip que haya sido incluida en la lista de
IPs rechazadas para impedir el acceso al Panel de Control.
Verbuzonesdecorreo : Muestra los buzones de los usuarios, último acceso, tamaño,
etc.

© 2012. Girsa-Net 110
Vaciarbuzonesdecorreo(*=todos) : Elimina todos los mensajes de correo de uno o
todos los buzones de los usuarios del sistema. Para borrarlos todos, escriba como
nombre de buzón un asterisco (*).
DesbloquearusuarioPOP3: Desbloquea un usuario de correo POP3.
Ver usuarios PPTP activos : Muestra los usuarios conectados en ese momento al
servidor CDC-DATA, a través del servicio PPTP.
VerconexionesFTP : Muestra los usuarios conectados en ese momento al servidor
CDC-DATA, a través del servicio FTP, y muestra la actividad realizada en ese instante.
Ver estadísticas de control de tráfico : Muestra las colas de control de tráfico, la
cantidad de Kb transmitidos por cada cola, y los descartes de paquetes realizados por
sobre límite. Sirve para comprobar que la gestión de tráfico se está realizando
correctamente.
Ver conexiones con el servidor : Permite ver las conexiones activas aceptadas por el
servidor CDC-DATA en un momento determinado. Si se especifica un patrón de
búsqueda, mostrará sólo dichas conexiones.
Tenga en cuenta que solo muestra las conexiones entrantes y aceptadas. El trafico NAT
no se visualiza.
Reconstruir caché de proxy: Permite reconstruir la caché de proxy. Se recomienda
realizar esta tarea cada cierto tiempo, para mejorar el rendimiento de la caché,
siempre cuando no haya usuarios de red navegando a través del proxy del servidor
CDC-Data, ya que las comunicaciones quedan interrumpidas. Un tiempo bueno sería
una vez cada 3 meses...
Actualizar aplicación CDC-DATA : Permite actualizar el software de su servidor CDC-
DATA. Para ello debe tener contratado el servicio de mantenimiento. En caso
contrario, aparecerá un mensaje indicando que NO dispone de conexión con el
servidor.
InstalarServicePack: Instala el último Service Pack para la versión de CDC-DATA que
poseamos. Los Service Pack son paquetes de mejora que aparecen publicados por
razones de seguridad, y son accesibles para cuanquier equipo CDC-Data, aunque NO
disponga de contrato de mantenimiento.

© 2012. Girsa-Net 111
Se puede realizar tanto la actualización del servidor CDC-DATA como la instalación del
Service Pack en cualquier momento, pero siempre será recomendable realizar un
reinicio de la máquina para asegurarnos que se reinicien todos los servicios.
Reiniciar servidor CDC-DATA : Permite reiniciar el servidor. Recuerde que todos los
cambios que hubiera introducido y NO se hubieran activado anteriormente, el sistema
los activará al reiniciar.
ApagarservidorCDC-DATA : Permite apagar el servidor CDC-DATA.
5.2.- UTILIDADES DE RED
Hardwareinfo: Permite ver todo la información referente al hardware del CDC-DATA
como la memoria, CPU o las tarjetas para LAN, WAN y DMZ.
ARPinfo: ARP es el Protocolo de resolución de direcciones. Este apartado nos muestra
información de hardware correspondiente a cada dirección IP de la red de los equipos
que están trabajando en ella.

© 2012. Girsa-Net 112
Chequeodetúneles : Comprueba el estado de los túneles activos. Si un túnel definido
previamente NO aparece, es porque no está activado o porque existe algún tipo de
problema de comunicación.
EstadodeltúnelSSL: Muestra el estado de los túneles SSL que tengamos creados. Si
ponemos el nombre del túnel SSL nos aparecerá únicamente el estado del mismo,
y si no ponemos nada nos mostrará el estado de todos los túneles SSL activos y sólo el
nombre de aquellos que no lo estén.
Estado de la VPN SSL: Muestra el estado de los servicios VPN SSL que tengamos
establecidos y activados. Si ponemos el nombre del servicio SSL nos aparecerá
únicamente el estado del mismo, y si no ponemos nada nos mostrará el estado de
todos los servicios SSL activos y sólo el nombre de aquellos que no lo estén.
Testdepuertadeenlace : Es una utilidad que permite comprobar por qué enrutador
está accediendo un paquete para alcanzar el destino indicado.
ConexiónconIP : Aplicación encargada de comunicarse vía ICMP con una dirección IP o
URL. Además informa de los tiempos de latencia y cortes de comunicación. Es el típico
PING.
InformaciónsobreIP : Permite hacer búsquedas en una base de datos WHOIS acerca
de quién es el propietario de una IP o a qué proveedor está asignada.
DNS Query : Permite hacer búsquedas en una base de datos DNS acerca de la
información referente a un dominio, nombre de host, etc. Ejecuta el comando 'dig' de
Linux...
Para saber cuál es el registro MX asociado a un dominio, escriba:
'MX dominio.loquesea'
Mapa de Red : Indica qué equipos de la red local están activos en ese momento, a
través de su respuesta ante un PING. Debemos poner la red local sobre la que
queremos ver los equipos con su máscara (Por ejemplo, 192.168.1.0/24).
Scan de IP : Permite ver los servicios y aplicaciones que tiene activas una IP en
concreto de la red local LAN.
Activar / Desactivar NTOP : NTOP es un sniffer gráfico muy potente que permite

© 2012. Girsa-Net 113
analizar todo el tráfico de su red, para determinar problemas, analizar consumos de
ancho de banda, trafico generado por sus usuarios locales, etc. Es un paquete
desarrollado por Luca Deri (http://www.ntop.org) e incluido en los paquetes del
servidor CDC-DATA dada su versatilidad y gran utilidad, como herramienta de análisis
de datos TCP. Esta opción permite activar y/o desactivar este servicio.
Por defecto esta desactivado, ya que consume un elevado número de recursos del
sistema. Por tanto, es conveniente activarlo solo cuando desee realizar una auditoria
de su red por un tiempo determinado, y luego volver a desactivarlo, o en modelos de
servidores CDC-Data 7.
5.3.- COPIAS DE SEGURIDAD
Crearcopiadeseguridaddiaria : El servidor CDC-DATA es capaz de generar una copia
diaria de la configuración del mismo, mediante un archivo encriptado. Este archivo se
copia en la carpeta compartidad 'SYS' del propio servidor CDC-Data, la cual puede
accederse por entorno de redes Microsoft, siempre que la IP del cliente este incluida
en las IP’s permitidas del apartado Configuración : Servidores : Carpetas compartidas
Esta utilidad debería considerarse una herramienta más de seguridad, pero de no
interpretarse así se puede prescindir de ella.
Crear copia de seguridad ahora : Permite crear una copia de seguridad un preciso
instante. El archivo de copia se creará en la carpeta compartida llamada 'SYS' del
servidor CDC-DATA. El fichero creado se llamará 'cdcdata.pak'.
Restaurar copia de seguridad : Permite restaurar una copia de seguridad creada
anteriormente y almacenada en la carpeta compartida llamada 'SYS' del servidor CDC-

© 2012. Girsa-Net 114
DATA. Debe existir el fichero llamado 'cdcdata.pak'.
5.4.- NTOP
Arranca la interfaz de la aplicación NTOP. Para ello, debe tener habilitado el puerto
'9191' del Firewall para acceder a la aplicación, en el servidor CDC-DATA.
5.5.- NAGIOS
Arranca la interfaz de la aplicación NAGIOS. Para ello, debe tener habilitado el puerto
'9292' para acceder a la aplicación, en el servidor CDC-DATA, y sobre el protocolo
https. La aplicación NAGIOS le pedirá que se identifique con el usuario nagios y la
contraseña que haya establecido para dicho usuario...

© 2012. Girsa-Net 115
6.-FINALIZARSESIÓN
Para cerrar la sesión del Panel de Control del CDC-DATA es recomendable hacerlo
desde aquí dándole al botón Salir. Esto garantiza que no pueda accederse a la
aplicación aún cuando no cierre el navegador, y se destruyen los archivos temporales
de la sesión de trabajo.

Gav7 52

Más contenido relacionado

La actualidad más candente

Similar a Gav7 52

Gav7 52