Enviar búsqueda
Cargar
Gav7 52
•
0 recomendaciones
•
171 vistas
Jose Luis Navarro Adam
Seguir
Guía de Administración CDC-Data
Leer menos
Leer más
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 115
Descargar ahora
Descargar para leer sin conexión
Recomendados
Sap pm
Sap pm
JacksuryGarcia
Eterboard
Eterboard
Mexalit
15225891 Manual De Integracion V10
15225891 Manual De Integracion V10
guest1b9f18d3
E xelearning
E xelearning
Harry Mykoo
Manual exe
Manual exe
FANNY PITA CHAPILLIQUEN
Exelearning
Exelearning
Universidad Distrital Francisco Jose de Caldas
Manual de compresora kaeser
Manual de compresora kaeser
Marcelo Uculmana
Informe de evaluación estructural
Informe de evaluación estructural
Alioska Aguirre Mendoza
Recomendados
Sap pm
Sap pm
JacksuryGarcia
Eterboard
Eterboard
Mexalit
15225891 Manual De Integracion V10
15225891 Manual De Integracion V10
guest1b9f18d3
E xelearning
E xelearning
Harry Mykoo
Manual exe
Manual exe
FANNY PITA CHAPILLIQUEN
Exelearning
Exelearning
Universidad Distrital Francisco Jose de Caldas
Manual de compresora kaeser
Manual de compresora kaeser
Marcelo Uculmana
Informe de evaluación estructural
Informe de evaluación estructural
Alioska Aguirre Mendoza
Pandora FMS: Monitorización de servidores MySQL
Pandora FMS: Monitorización de servidores MySQL
Pandora FMS
Dairy plan c21 v 5.2
Dairy plan c21 v 5.2
folke Tantahuillca Landeo
Plan de gestion integral de residuos
Plan de gestion integral de residuos
Pool Christian Sánchez Tenazoa
Monousuario karolina
Monousuario karolina
karolina pinargote
Proyecto de especialidad
Proyecto de especialidad
enriquemexican
Manual buenaspracticas2
Manual buenaspracticas2
john alverti lopez
Manual compilador ccs_picc
Manual compilador ccs_picc
Cris Tian
Tesis263
Tesis263
Enrry Goyes
manual bombeo
manual bombeo
juan jose camarillo romero
Motor nissan vq35 de pathfinder lr50 espanhol
Motor nissan vq35 de pathfinder lr50 espanhol
servulofreitas
Manual software analizador inventarios forestales - SudAustral
Manual software analizador inventarios forestales - SudAustral
SudAustral Consulting
Php
Php
Carlos Cruz Rincon
Nuevo
Nuevo
Alan Rozbully
PLC y electroneumática: Tutorial de programación de AWL con el PLC en Simatic...
PLC y electroneumática: Tutorial de programación de AWL con el PLC en Simatic...
SANTIAGO PABLO ALBERTO
Unixsec
Unixsec
G Hoyos A
Manual de-produccion-bovina-para-productores
Manual de-produccion-bovina-para-productores
eligioortega
Pandora FMS: Plugin Enterprise de SQL
Pandora FMS: Plugin Enterprise de SQL
Pandora FMS
Pa 500-preventa-ago2010
Pa 500-preventa-ago2010
Leyla Jesus Córdova Dávila
Symfony2 es
Symfony2 es
AlvaroTuso
LIBRO "CREANDO EMPRESA"
LIBRO "CREANDO EMPRESA"
patagutel
Ubuntu Server Guide
Ubuntu Server Guide
Isack83
Manual de php
Manual de php
Miguel Angel Valdes
Más contenido relacionado
La actualidad más candente
Pandora FMS: Monitorización de servidores MySQL
Pandora FMS: Monitorización de servidores MySQL
Pandora FMS
Dairy plan c21 v 5.2
Dairy plan c21 v 5.2
folke Tantahuillca Landeo
Plan de gestion integral de residuos
Plan de gestion integral de residuos
Pool Christian Sánchez Tenazoa
Monousuario karolina
Monousuario karolina
karolina pinargote
Proyecto de especialidad
Proyecto de especialidad
enriquemexican
Manual buenaspracticas2
Manual buenaspracticas2
john alverti lopez
Manual compilador ccs_picc
Manual compilador ccs_picc
Cris Tian
Tesis263
Tesis263
Enrry Goyes
manual bombeo
manual bombeo
juan jose camarillo romero
Motor nissan vq35 de pathfinder lr50 espanhol
Motor nissan vq35 de pathfinder lr50 espanhol
servulofreitas
Manual software analizador inventarios forestales - SudAustral
Manual software analizador inventarios forestales - SudAustral
SudAustral Consulting
Php
Php
Carlos Cruz Rincon
Nuevo
Nuevo
Alan Rozbully
PLC y electroneumática: Tutorial de programación de AWL con el PLC en Simatic...
PLC y electroneumática: Tutorial de programación de AWL con el PLC en Simatic...
SANTIAGO PABLO ALBERTO
Unixsec
Unixsec
G Hoyos A
Manual de-produccion-bovina-para-productores
Manual de-produccion-bovina-para-productores
eligioortega
Pandora FMS: Plugin Enterprise de SQL
Pandora FMS: Plugin Enterprise de SQL
Pandora FMS
La actualidad más candente
(17)
Pandora FMS: Monitorización de servidores MySQL
Pandora FMS: Monitorización de servidores MySQL
Dairy plan c21 v 5.2
Dairy plan c21 v 5.2
Plan de gestion integral de residuos
Plan de gestion integral de residuos
Monousuario karolina
Monousuario karolina
Proyecto de especialidad
Proyecto de especialidad
Manual buenaspracticas2
Manual buenaspracticas2
Manual compilador ccs_picc
Manual compilador ccs_picc
Tesis263
Tesis263
manual bombeo
manual bombeo
Motor nissan vq35 de pathfinder lr50 espanhol
Motor nissan vq35 de pathfinder lr50 espanhol
Manual software analizador inventarios forestales - SudAustral
Manual software analizador inventarios forestales - SudAustral
Php
Php
Nuevo
Nuevo
PLC y electroneumática: Tutorial de programación de AWL con el PLC en Simatic...
PLC y electroneumática: Tutorial de programación de AWL con el PLC en Simatic...
Unixsec
Unixsec
Manual de-produccion-bovina-para-productores
Manual de-produccion-bovina-para-productores
Pandora FMS: Plugin Enterprise de SQL
Pandora FMS: Plugin Enterprise de SQL
Similar a Gav7 52
Pa 500-preventa-ago2010
Pa 500-preventa-ago2010
Leyla Jesus Córdova Dávila
Symfony2 es
Symfony2 es
AlvaroTuso
LIBRO "CREANDO EMPRESA"
LIBRO "CREANDO EMPRESA"
patagutel
Ubuntu Server Guide
Ubuntu Server Guide
Isack83
Manual de php
Manual de php
Miguel Angel Valdes
Manual de php
Manual de php
Andres Barrios Celin
Modeler manual del_usuario2204
Modeler manual del_usuario2204
AndrewRodriguez355335
DLT004_MANUAL_USUARIOS_ DLT-CAD_2024.pdf
DLT004_MANUAL_USUARIOS_ DLT-CAD_2024.pdf
DANIELPIZARROBAZAN4
DBA ORACLE 9i II
DBA ORACLE 9i II
Danyer Valencia Llamoca
Componente45946
Componente45946
AdonisTannhauserArva
721E y 821E manual del operador.pdf
721E y 821E manual del operador.pdf
DanielMecatec1
Manual de Programación SAM4S ER-290
Manual de Programación SAM4S ER-290
PCMIRA - ECR&POS
Resumende iso17799
Resumende iso17799
Alex AX
microsoft.project.2007
microsoft.project.2007
Noe Guerrero
Costos y presupuestos_en_edificacion_-_capeco
Costos y presupuestos_en_edificacion_-_capeco
Victoria Salazar Bazan
Costos y presupuestos en edificacion capeco
Costos y presupuestos en edificacion capeco
robertito miranda sobrados
LA RESENA DE LA GUIA PARA LOS ACUERDOS DE FRANQUICIA.pdf
LA RESENA DE LA GUIA PARA LOS ACUERDOS DE FRANQUICIA.pdf
JulianaGroth1
Termodinámica 2.2
Termodinámica 2.2
Nguyen Tran
Abb guía del usuario
Abb guía del usuario
aleiramepep
Manual del-usuario-placa-icip-30
Manual del-usuario-placa-icip-30
carlos cardozo
Similar a Gav7 52
(20)
Pa 500-preventa-ago2010
Pa 500-preventa-ago2010
Symfony2 es
Symfony2 es
LIBRO "CREANDO EMPRESA"
LIBRO "CREANDO EMPRESA"
Ubuntu Server Guide
Ubuntu Server Guide
Manual de php
Manual de php
Manual de php
Manual de php
Modeler manual del_usuario2204
Modeler manual del_usuario2204
DLT004_MANUAL_USUARIOS_ DLT-CAD_2024.pdf
DLT004_MANUAL_USUARIOS_ DLT-CAD_2024.pdf
DBA ORACLE 9i II
DBA ORACLE 9i II
Componente45946
Componente45946
721E y 821E manual del operador.pdf
721E y 821E manual del operador.pdf
Manual de Programación SAM4S ER-290
Manual de Programación SAM4S ER-290
Resumende iso17799
Resumende iso17799
microsoft.project.2007
microsoft.project.2007
Costos y presupuestos_en_edificacion_-_capeco
Costos y presupuestos_en_edificacion_-_capeco
Costos y presupuestos en edificacion capeco
Costos y presupuestos en edificacion capeco
LA RESENA DE LA GUIA PARA LOS ACUERDOS DE FRANQUICIA.pdf
LA RESENA DE LA GUIA PARA LOS ACUERDOS DE FRANQUICIA.pdf
Termodinámica 2.2
Termodinámica 2.2
Abb guía del usuario
Abb guía del usuario
Manual del-usuario-placa-icip-30
Manual del-usuario-placa-icip-30
Último
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
pabonheidy28
La era de la educación digital y sus desafios
La era de la educación digital y sus desafios
Fundación YOD YOD
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
silviayucra2
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
soporteupcology
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
GiovanniJavierHidalg
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
WilbisVega
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
IsabellaMontaomurill
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
BRAYANJOSEPHPEREZGOM
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
Fundación YOD YOD
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Keyla Dolores Méndez
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
241521559
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
JOSEMANUELHERNANDEZH11
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
GDGSucre
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
AndreaHuertas24
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
ssuserf18419
Último
(16)
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
La era de la educación digital y sus desafios
La era de la educación digital y sus desafios
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
Gav7 52
1.
CCDDCC--DDaattaa vveerrssiióónn 77..5522 Guía de
Administración
2.
© 2012. Girsa-Net
2 José Luis Navarro Adam http://www.girsa-net.com El presente documento es propiedad de Girsa-Net, S.A. El presente documento puede copiarse y distribuirse en cualquier tipo de formato físico o informático, siempre y cuando se reproduzca de manera íntegra y manteniendo el nombre del propietario y del autor. © 2012. Girsa-Net, S.A.
3.
© 2012. Girsa-Net
3 Índice de contenido 1.- CONFIGURACIÓN.....................................................................................................................6 1.1. TCP/IP...............................................................................................................................6 1.2. MTU..................................................................................................................................8 1.3. IP’s VIRTUALES..................................................................................................................8 1.4. HOSTS...............................................................................................................................9 1.5. TÚNELES IP.....................................................................................................................10 1.6. TÚNELES SSL...................................................................................................................14 1.7. VPN SSL...........................................................................................................................22 1.8. RUTAS.............................................................................................................................28 1.9. CONTROL DE TRÁFICO....................................................................................................35 1.10.- CERTIFICADO SSL.........................................................................................................40 1.11.- ZONA HORARIA...........................................................................................................42 1.12.- SERVIDORES................................................................................................................43 1.12.1.- Servicio de Firewall:............................................................................................44 1.12.2.- Carpetas Compartidas:........................................................................................48 1.12.3.- Correo Electrónico:.............................................................................................50 1.12.4.- Gestor de descargas de correos externos:..........................................................51 1.12.5.- Cliente Webmail - SSL:.........................................................................................54 1.12.6.- Servicio de agenda LDAP:....................................................................................55 1.12.7.- Conexiones PPTP:................................................................................................57 1.12.8.- Servicio de FTP:...................................................................................................59 1.12.9.- Servicio de DHCP:................................................................................................60 1.12.10.- Servicio DNS:.....................................................................................................62 1.12.11.- Servicio de WWW:............................................................................................64 1.12.12.- Servicio de Proxy:..............................................................................................65
4.
© 2012. Girsa-Net
4 1.12.13.- Servicio Antivirus – AntiSpam:..........................................................................68 2.- SEGURIDAD...........................................................................................................................69 2.1.- ACEPTAR DESDE WAN...................................................................................................69 2.2.- RECHAZAR.....................................................................................................................71 2.3.- NAT................................................................................................................................72 2.4.- DMZ...............................................................................................................................73 2.5.- RESTRICCIONES LAN......................................................................................................75 2.5.1.- Control de navegación web:..................................................................................75 2.5.2.- Bypass de conexiones proxy:.................................................................................78 2.5.3.- Control de puertos permitidos:.............................................................................79 2.5.4.- Publicar redes privadas (SNAT):............................................................................80 2.5.5.- Redes permitidas por defecto hacia Internet (MASQUERADE):...........................81 2.6.- DETECTOR DE INTRUSIÓN.............................................................................................82 2.7.- NAGIOS..........................................................................................................................83 2.8.- ARP ALERT.....................................................................................................................84 2.9.- FILTRADO DE CORREO...................................................................................................86 2.9.1.- Filtrado por cabeceras...........................................................................................86 2.9.2.- Filtrado por adjuntos.............................................................................................87 2.9.3.- Filtrado por contenido..........................................................................................88 2.9.3.- Listas negras AntiSpam..........................................................................................88 3.- CUENTAS DE USUARIO..........................................................................................................89 3.1.- ADMINISTRADOR..........................................................................................................89 3.2.- USUARIOS COMUNES....................................................................................................90 3.3.- PROXY............................................................................................................................93 3.4.- PPTP..............................................................................................................................94 3.5.- WEBMASTER.................................................................................................................95
5.
© 2012. Girsa-Net
5 3.6.- USERLOG.......................................................................................................................96 3.7.- NAGIOS..........................................................................................................................96 4.-INFORMACIÓN.......................................................................................................................97 4.1.-REGISTROS.....................................................................................................................97 4.2.- ESTADÍSTICAS..............................................................................................................101 4.3.- MENSAJES...................................................................................................................102 5.- UTILIDADES.........................................................................................................................103 5.1.- UTILIDADES DE SISTEMA.............................................................................................103 5.2.- UTILIDADES DE RED.....................................................................................................105 5.3.- COPIAS DE SEGURIDAD...............................................................................................107 5.4.- NTOP...........................................................................................................................108 5.5.- NAGIOS........................................................................................................................108 6.- FINALIZAR SESIÓN...............................................................................................................109
6.
© 2012. Girsa-Net
6 1.-CONFIGURACIÓN En este menú se encuentran las aplicaciones referentes a la configuración de los servicios incorporados y a la comunicación del servidor CDC-DATA con el exterior. 1.1. TCP/IP Esta herramienta nos proporciona información acerca de las "interfaces" o conexiones físicas del CDC-Data. Además, permite modificar los servidores DNS de acceso a Internet. IMPORTANTE: Los valores introducidos no toman efecto hasta que se reinicie el servidor CDC-DATA, o se pulse el botón Activa Las opciones de este apartado son las siguientes: Nombre de Host : Nombre de la máquina. Es el identificador o alias de la máquina. Siempre debe existir algún nombre, y da igual que no sea un nombre cualificado (FQDN). Es simplemente la identificación que hace el sistema CDC-DATA de sí mismo, y como tal aparecerá en los informes y registros. LAN : Dirección IP única perteneciente al rango de direcciones de su red local o red de confianza. Debe introducirse la dirección IP con su máscara de red correspondiente. La notación empleada para las máscaras es la octal. Si no está acostumbrado a este tipo de notación, no se preocupe; CDC-DATA lo convertirá por usted. La máscara de red es un número con el formato de una dirección IP que nos sirve para distinguir cuando un dispositivo de red determinado pertenece a una determinada subred, con lo que podemos averiguar si dos dispositivos se encuentran en la misma subred IP. Lo habitual es que el formato sea: a.b.c.d/e.f.g.h (siendo 'a,b,c,d' la dirección IP y 'e.f.g.h' valores entre 0 y 255). La notación interna empleada por CDC-DATA es la CDIR, siendo su formato a.b.c.d/e donde 'a.b.c.d' es la dirección IP y 'e' la máscara, representada como un número comprendido entre 1 y 32.
7.
© 2012. Girsa-Net
7 Tenga presente que: a.b.c.d/8 = a.b.c.d/255.0.0.0 a.b.c.d/16 = a.b.c.d/255.255.0.0 a.b.c.d/24 = a.b.c.d/255.255.255.0 a.b.c.d/32 = a.b.c.d/255.255.255.255 = a.b.c.d WAN : Dirección IP única perteneciente al rango de direcciones de la red pública o red insegura. Debe introducirse con su máscara de red correspondiente. DMZ : Dirección IP única perteneciente al rango de direcciones de la Zona Desmilitarizada. En ella se debería conectar los servidores de acceso público que se redirijan a través del NAT hacia la red del usuario. Esta red DMZ tiene la característica de que sólo puede salir hacia el exterior, ya sea la WAN, la LAN o VPNs, sólo si existe alguna petición de servicio desde un usuario externo a la DMZ. Por sí misma, es rechazada por el servicio de Firewall. Si necesita que algún tipo de servicio pueda salir de su interfaz DMZ hacia el exterior (por ejemplo, el puerto 21 para las actualizaciones de antivirus de nuestro servidor corporativo) deberá especificarlo explícitamente en el apartado de Seguridad : DMZ DNS1 : Dirección IP del primer servidor de resolución de nombres de Internet. DNS2 : Dirección IP del segundo servidor de resolución de nombres de Internet. DNS3 : Dirección IP del tercer servidor de resolución de nombres de Internet. IMPORTANTE: Los DNS en el servidor CDC-DATA funcionan como backup; si el primero no responde, se pregunta al segundo, y si no se obtiene respuesta, al tercero. Por tanto, ponga sólo servidores de Internet. Si desea resolver nombres de otros equipos, puede darlos de alta en el menú HOSTS y declarar como DNS en sus clientes de red al servidor CDC-DATA. Si desea poner una resolución de nombres de equipo de otros servidores, configure un servidor DNS alternativo o instale un servidor WINS en la red, y configure sus clientes de red hacia dichos servidores. No declare servidores de DNS privados que no resuelvan direcciones de Internet, a no ser que desee realmente hacerlo así. El botón Modifica cambia sólo el valor del campo introducido. No es necesario, por tanto, escribir todos los valores cada vez para modificar un valor. Para que estos valores se apliquen, hay que reiniciar el servidor o pulsar el botón Activa. 1.2. MTU Es la Unidad Máxima de Transferencia, es la cantidad de bits máximos a ensamblar en un paquete, que puede pasar por una capa de uno de los protocolos de
8.
© 2012. Girsa-Net
8 comunicaciones. Podemos modificar la MTU de LAN, WAN, DMZ, Túneles SSL y Túneles IP. El botón Reset vuelve a definir los valores iniciales por defecto (como se muestra en pantalla) 1.3. IP’s VIRTUALES Esta herramienta nos permite agregar otras direcciones de red al servidor CDC-DATA, tanto en el interfaz LAN, como en el WAN o DMZ. Si agregamos una IP en el interfaz LAN del mismo rango que la existente en el TCP/IP, lograremos que el servidor responda ante varias direcciones. Esto es muy útil a la hora de planificar cambios de instalaciones o de routers ya existentes, sin necesidad de interrumpir el servicio. Si la IP a añadir pertenece a otro rango de red, lo que haremos será declarar una subred local diferente, que nos permitirá posteriormente definir reglas de acceso por grupos de usuarios, en función de la pertenencia a una u otra subred. Por tanto, es posible crear VLAN por segmentación de red IP. Los parámetros de configuración son los siguientes : Interfaz : Es el interfaz al que añadiremos la nueva direccción IP. IPVirtual/Máscara : Corresponde a la dirección IP virtual que deseamos añadir, con su máscara de red correspondiente. El sistema emplea la notación octal. Si la introduce en la notación tradicional, el sistema la convierte automáticamente. Al igual que en la opción TCP/IP, los valores introducidos no toman efecto hasta que se
9.
© 2012. Girsa-Net
9 reinicie el servidor CDC-DATA o se pulse el botón Activa. 1.4. HOSTS Esta herramienta nos permite declarar los nombres de equipo que deseemos identificar como nombres de red. Es aconsejable escribir nombres cualificados (FQDN) del tipo equipo.dominio.com aunque también permiten nombres NetBios del tipo mi_pc . En este último caso, NO escriba nombres con espacios. Hay que tener presente que el servidor CDC-DATA lleva incorporado un DNS Caché, que acelera las búsquedas de equipos en Internet, por lo que si se desea sacar provecho de esta característica deberemos configurar el TCP/IP de los clientes de red de manera que apunten a la IP del servidor CDC-DATA en el interfaz de LAN. Si dispone de un servidor DNS interno que también resuelve nombres de Internet, puede hacer que sus clientes apunten a dicho servidor y el CDC-DATA a Internet, o bien hacer que los clientes apunten al servidor CDC-DATA, y éste apunte como DNS 1 a su servidor DNS interno, y los DNS 2 y 3 apunten a DNS de Internet. De este modo, siempre resolverá nombres de Internet y dispondrá de un backup de DNS en caso de caída del servidor. 1.5. TÚNELES IP CDC-Data permite conectar delegaciones enteras de una forma muy sencilla gracias a túneles IP con encapsulación GRE. Este tipo de túneles poseen la ventaja de ser P2P, con lo que cualquier CDC-DATA puede conectarse con cualquier otro siempre y cuando ambos estén de acuerdo. Esto es, se necesita configurar ambos servidores CDC-DATA para que un túnel funcione y el acceso a un CDC-DATA es virtualmente imposible a menos que se permita explícitamente en ambas direcciones.
10.
© 2012. Girsa-Net
10 Sin embargo, se ha comprobado que es posible 'leer' la información transmitida por este tipo de túneles. Por tanto, deberá evitarlos cuando necesite establecer comunicaciones seguras entre dos servidores CDC-DATA. AVISO DE SEGURIDAD : Este tipo de túnel ha quedado obsoleto y si existe en este servidor es por una cuestión de compatibilidad con las series 3 y 4 de CDC-DATA. Por favor, emplee exclusivamente túneles SSL. La configuración de un túnel es trivial si se conocen las redes que se desean unir (dirección de red y máscara en notación corta) y las IPs públicas y privadas del CDC- Data remoto con el que se conectará (interfaz WAN y LAN del equipo remoto). Las diferentes opciones de los submenús que aparecen son las siguientes: • Definición de enlaces: Representan las conexiones punto a punto desde una dirección pública del interfaz WAN de nuestro servidor CDC-DATA, a otra dirección pública del interfaz WAN de otro servidor CDC-DATA remoto. Para configurar un enlace, se necesitan los siguientes parámetros: Túnel : El nombre con el que vamos a identificar a este enlace. No puede haber nombres de enlace duplicados.
11.
© 2012. Girsa-Net
11 IP WAN remota : La dirección IP pública a la que queremos conectar. Debe corresponder con una IP definida en el interfaz WAN del CDC- DATA remoto, ya que por cuestiones de seguridad el protocolo para establecer los enlaces NO atraviesa routers con NAT. Si dispone de una conexión ADSL, su router deberá estar configurado en modo monopuesto con el servidor CDC-DATA. IP WAN local : La dirección IP pública desde la cual nos queremos conectar, en nuestro servidor CDC-DATA local. IP local/Máscara : La dirección IP de LAN de nuestro servidor CDC- DATA local, con su máscara de red, en notación octal. Corresponde con una de las IPs configuradas en el sistema en el apartado TCP/IP o en el apartado IPs Virtuales. IP CDC LAN remota : La dirección IP de LAN del servidor CDC-DATA remoto al que deseamos conectar. Estado : Indica si deseamos que el enlace se active por defecto o no. Para añadir un enlace, es preciso introducir todos los parámetros que acabamos de comentar, y pinchar en el botón Añadir. Para eliminarlo, bastará con introducir el nombre del túnel y pinchar en el botón Eliminar . Por cuestiones de seguridad, no es posible modificar un túnel. Para ello, hay que eliminarlo y luego volver a crearlo. Si el túnel estaba desactivado y deseamos activarlo, bastará con introducir el nombre del túnel y pinchar en el botón Activar Si deseamos desactivarlo, bastará con introducir el nombre del túnel y pinchar en el botón Desactivar • Rutas por enlace: El enlace representa el camino físico que deben seguir los paquetes IP por la red para llegar de una IP de WAN a otra remota. Sin embargo, cuando creamos una VPN nos interesa alcanzar, además, a las direcciones privadas de las redes remotas, y no sólo a su Firewall. Para ello, es necesario decirle al servidor CDC-DATA qué ruta debe seguir, introduciendo los siguientes valores:
12.
© 2012. Girsa-Net
12 Destino : La dirección IP o de red privada REMOTA a la que deseamos llegar a través del túnel. Enlace : El nombre del enlace que nos transportará al otro extremo de la red. Carga : El número de paquetes que el servidor CDC-DATA repartirá cada vez hacia ese enlace, en el caso de que dispongamos de varios enlaces hacia un mismo destino. En este último caso, dispondríamos de 2 rutas alternativas para acceder a una red remota dentro de una misma VPN. La carga permite que ambos enlaces operen al mismo tiempo, de manera que se dispondría de un backup en caso de caída de un enlace, mientras que la carga de trabajo balancearía el tráfico en función del parámetro de 'carga' introducido. Por ejemplo, si disponemos de 2 enlaces asociados a 2 ADSL diferentes, una de doble capacidad que la otra, haríamos que el enlace menor tuviera una carga igual a 1 y el de mayor capacidad igual a 2. Esto significa que de cada 3 paquetes, 1 iría por un enlace y 2 por el otro. Si un enlace deja de funcionar, entonces el sistema detectaría la caída y emplearía el enlace operativo hasta que detectara que vuelve a funcionar. Esta comprobación se realiza de manera automática por el servidor CDC-DATA cada minuto. • Control de puertos permitidos por enlace: Una vez tenemos definidos los enlaces y sus rutas por enlace correspondiente, nos hace falta indicar hasta dónde podemos alcanzar cualquier destino remoto que esté detrás del enlace y con qué puertos podremos hacerlo. De este modo, impediremos que alguien malintencionado pueda añadir una ruta más en las rutas por enlace sin consentimiento de los usuarios remotos, y acceder más allá de lo debido. Por eso, es necesario que se indique para los enlaces definidos en el sistema cuáles son los destinos locales de nuestra red que son "alcanzables" por los usuarios remotos que acceden a través de dichos enlaces, y acotarles la zona de trabajo.
13.
© 2012. Girsa-Net
13 Por defecto, el servidor CDC-DATA descartará siempre los paquetes IP que vengan de un enlace externo, hasta que se definan los destinos permitidos. Para ello, bastará con cumplimentar los siguientes datos: Enlace: El nombre del túnel que queremos acotar. IP Origen : La dirección de origen a la que deseamos permitir el acceso a nuestros destinos locales. Si especificamos una IP, sólo se permitirá al equipo correspondiente a esa dirección. Puerto : Corresponde al puerto (ya sea TCP ó UDP) al cual deseamos permitir el acceso. Para indicar todos los puertos, escriba '1:65535' Destino local : La dirección hacia la que deseamos que lleguen los paquetes IP de los usuarios remotos provenientes de dicho túnel. Si especificamos una IP, sólo se alcanzará el equipo correspondiente a esa dirección, sin afectar al resto de usuarios. Si introducimos una dirección de red, se alcanzará a todos esos usuarios. La IP local puede ser, como su nombre indica, una IP de nuestra red local, toda la red local, la red DMZ, una dirección o grupo de direcciones de Internet, una dirección de otros túneles que tengamos definidos... En definitiva, tan sólo indica hasta dónde pueden llegar los paquetes que vengan por el túnel en cuestión. El botón Reset elimina todas las entradas existentes. IMPORTANTE: No olvide Activar Firewall para que todos los cambios introducidos entren en funcionamiento. 1.6. TÚNELES SSL CDC-Data permite conectar delegaciones enteras de una forma muy sencilla gracias a túneles sobre SSL y llegar hasta cifrados de 512KB, mediante certificados de hasta 2048 bits.
14.
© 2012. Girsa-Net
14 Este tipo de túneles poseen la ventaja de ser punto-a-punto, con lo que cualquier CDC- DATA puede conectarse con cualquier otro siempre y cuando ambos estén de acuerdo. Esto es, se necesita configurar ambos servidores CDC-DATA para que un túnel funcione, siendo el acceso a un CDC-DATA virtualmente imposible a menos que se permita explícitamente en ambas direcciones. Además, existe un mecanismo de defensa adicional, desarrollado exclusivamente por CDC e implementado en los servidores CDC-DATA, que imposibilita los ataques e intrusiones del tipo man-in-the- middle (o ataques de interceptación de paquetes y suplantación del emisor), y atravesar otros enrutadores con o sin NAT sin que se alteren las cabeceras de control. La configuración de un túnel SSL requiere el uso de certificados y mecanismos de autenticación. Por lo demás, sólo necesitará conocer las redes que se desean unir (dirección de red y máscara en notación corta) y la IP pública del equipo que actúe como 'servidor'. Si su delegación central dispone de varios accesos de banda ancha en paralelo (varias ADSL, LMDS, etc.), puede que desee repartirlos para acceder a sus distintas delegaciones. En ese caso el servidor CDC-DATA podría soportar varios interfaces virtuales en su tarjeta WAN y repartir los túneles entre ellos. Otra característica de los túneles SSL es que soportan redundancia y configuraciones en modo 'backup', que permiten crear bajo demanda la VPN en caso de caída de la IP pública del servidor a través de otras IPs alternativas (En esta versión está autolimitado a 2 IPs de backup). Las diferentes opciones de los submenús que aparecen son las siguientes:
15.
© 2012. Girsa-Net
15 Certificados locales: Son los certificados que autentican quién está al otro lado del túnel. CDC-DATA emplea certificados SSL del tipo 'Static Key' con un nivel de cifrado de 2048 bits. Para poder establecer un túnel SSL deberá definir el mismo certificado en cada lado del túnel. Puede, así mismo, emplear el mismo certificado para más de un túnel SSL. Los certificados locales son aquellos que se definen en el propio servidor CDC- DATA. Por defecto, existe un certificado de origen llamado cdcdata totalmente operativo. Le recomendamos que emplee el suyo propio. Una vez haya creado su certificado local con la opción Inserta, puede visualizarlo y cópialo para exportarlo a otro servidor CDC-DATA, seleccionando el contenido íntegro del certificado con el ratón y copiarlo con la opción del menú del ratón 'botón derecho : copiar'. Certificados externos: A diferencia de los certificados locales, éstos son los certificados que se exportan desde otro servidor CDC-DATA, desde la opción de menú 'Certificados locales'. Para ello, escriba el nombre del certificado que desee añadir y pegue con la opción derecha del ratón el contenido previamente copiado del certificado creado en el CDC-DATA remoto. Puede repetir esta operación en cada uno de los servidores CDC-DATA de su organización. Aún cuando cada túnel SSL requiera sus propios parámetros de configuración, puede emplear el mismo certificado para todos ellos.
16.
© 2012. Girsa-Net
16 Debe tener presente que el certificado es quien identifica al equipo remoto que desea establecer el túnel. Jamás deje sus certificados en archivos o ficheros de texto, ni los envíe por correo electrónico ni ftp. Si debe exportar un certificado a otros servidores CDC-DATA, hágalo a través del panel de control (que es una sesión cifrada SSL). Definición de enlaces en modo servidor: Representan los enlaces que actuarán a la escucha de una conexión SSL entrante. Tenga presente que los túneles SSL no se establecen de IP a IP conocida, sino entre máquinas con un certificado determinado en un puerto concreto. Este tipo de configuración permite la definición de enlaces de backup independientemente de la IP pública de la conexión en cada momento a ambos lados del túnel. Para configurar un enlace SSL en modo servidor, se necesitan los siguientes parámetros: Túnel : El nombre con el que vamos a identificar a este enlace. No puede haber nombres de enlace duplicados tanto en los modos servidor como cliente de un mismo servidor CDC-DATA. El tamaño máximo es de 12 caracteres y no admite el carácter _ (subrayado). IPSSL local : La dirección IP del enlace SSL que asignaremos a nuestro servidor CDC-DATA en modo servidor. Debe ser una IP privada cuya red NO haya sido definida anteriormente ni exista como IP privada en cualquiera de las redes a las que se desee conectar; es decir, que NO exista ni en local ni en remoto. Tenga en cuenta que el enlace SSL crea una "red virtual" exclusivamente para él.
17.
© 2012. Girsa-Net
17 Por tanto, recuerde que la IP SSL local se crea automáticamente sin necesidad de definirla anteriormente. La máscara de red asumida por el interfaz virtual SSL es del tipo 'C' ó /24 ó 255.255.255.0 IP SSL remota : La dirección IP del enlace SSL que asignaremos al servidor CDC- DATA remoto, independientemente de las IPs públicas y/o privadas que tuviera. Debe ser una IP privada perteneciente al rango de la IP SSL local definida anteriormente, ya que el enlace SSL crea una "red virtual" exclusivamente para él. Al igual que la IP SSL local, la IP SSL remota se crea automáticamente sin necesidad de definirla anteriormente. Cert : El nombre del certificado que vamos a emplear. El campo nos muestra todos los certificados disponibles, tanto los públicos como los privados. HMAC : El tipo de algoritmo de cifrado que vamos a emplear para transmitir los controles de cabeceras de los paquetes IP por el túnel. A diferencia del protocolo IPSec, éstas cabeceras sí que pueden atravesar cortafuegos y soportan NAT sin alterar su valor. Los paquetes HMAC no transmiten información, sólo indican si el contenido del mensaje ha sido alterado "por el camino". Por ello, son cifrados del tipo 'checksum' ó de control redundante cíclico (CRC). No se alteran al atravesar otros enrutadores. Por seguridad, les recomendamos tomar el valor 'RSA-SHA1-2'. Cipher : El tipo de algoritmo de cifrado que vamos a emplear para transmitir la información generada a través del túnel. Por defecto, se toma el valor 'BF-CBC_128'. Puerto : Es el puerto UDP en el que se establecerá el túnel. Debe ser un valor comprendido entre 25000 y 25999. Cada túnel debe configurarse para escuchar en un puerto diferente, ya que el protocolo empleado es el UDP. Este protocolo permite mayor eficacia y rendimiento, aunque requiere un uso exclusivo por túnel. Si necesita establecer otro valor de puerto, délo de alta con un valor comprendido en este rango (por ejemplo, 25000) y luego modifique el valor de puerto. Recuerde que debe habilitar el puerto de escucha del túnel SSL en el apartado 'Seguridad : Aceptar', tanto para el modo servidor como para el modo cliente.
18.
© 2012. Girsa-Net
18 IMPORTANTE: Los valores 'Cert', 'HMAC', 'Cipher' y 'Puerto' deben ser idénticos a ambos lados del túnel. Uno de ellos estará configurado en modo servidor y el otro en modo cliente. Las IPs SSL local y remota que se definan en modo servidor en un lado del túnel, corresponderán con las IPS SSL remota y local en el túnel del otro extremo definido en modo cliente. Activo : Indica si deseamos que el enlace se active por defecto o no. Para añadir un enlace, es preciso introducir todos los parámetros que acabamos de comentar, y pinchar en el botón Inserta. Para eliminarlo, bastará con introducir el nombre del túnel y pinchar en el botón Elimina . Para modificar cualquier valor, deberemos escribir obligatoriamente el nombre del Túnel y escribir el nuevo valor en el campo que deseemos modificar, y pinchar en el botón Modifica. No es necesario escribir todos los demás valores si no se alteran. Si deseamos cambiar el estado por defecto de un túnel a Activo, bastará con introducir el nombre del túnel y pinchar en el botón Activa Si deseamos desactivarlo por defecto, bastará con introducir el nombre del túnel y pinchar en el botón Desactiva Estas dos opciones anteriores NO cambian el estado del túnel en un momento dado. Sólo indican si un túnel en cuestión debe arrancarse o no cuando se active el servicio de VPN SSL. La opción Ver Túneles nos muestra TODOS los túneles SSL activos del sistema, tanto en modo servidor como cliente. Definicióndeenlacesenmodocliente: Representan los enlaces que llamarán a un servidor CDC-DATA para activar un túnel SSL. En este modo de configuración, es necesario indicar la IP pública del servidor remoto SSL. Para configurar un enlace SSL en modo cliente, se necesitan los siguientes parámetros:
19.
© 2012. Girsa-Net
19 Túnel : El nombre con el que vamos a identificar a este enlace. No puede haber nombres de enlace duplicados tanto en los modos servidor como cliente de un mismo servidor CDC-DATA. IPSSLlocal : La dirección IP del enlace SSL que asignaremos a nuestro servidor CDC-DATA en modo local. Debe ser la 'IP SSL remota' que se ha definido en el túnel SSL del servidor remoto que actúa en modo servidor. IPSSLremota : La dirección IP del enlace SSL que asignaremos al servidor CDC- DATA remoto. Debe ser la 'IP SSL local' que se ha definido en el túnel SSL del servidor remoto que actúa en modo servidor. IP Servidor : La dirección IP del equipo remoto al que queremos conectar. Deberá ser una IP pública o privada en función del tipo de dispositivo que hayamos definido. Esta IP debe ser accesible por el servidor CDC-DATA en modo cliente. Si no es así, deberá crearse la ruta adecuada a su destino. IPBackup1 : La dirección IP del equipo remoto al que queremos conectar ante caídas del la IP del Servidor. IPBackup2 : La dirección IP del equipo remoto al que queremos conectar ante caídas del la IP Backup1. Ante caídas de la IP Backup2, el sistema volverá a intentar conectar a la IP Servidor, luego la IP Backup1 y después a la IP Backup2, y así sucesivamente. ATENCIÓN: El túnel se comprueba cada 10 segundos, y si en 30 segundos NO hay actividad, se fuerza un cambio de IP de conexión alternativo (IP Servidor --> IP Backup1 --> IP Backup2 --> IP Servidor ... , y así sucesivamente). Cert : El nombre del certificado que vamos a emplear. El campo nos muestra todos los certificados disponibles, tanto los públicos como los privados. Debe coincidir con el valor establecido en el túnel en modo servidor del equipo al que deseamos conectar. HMAC : El tipo de algoritmo de cifrado que vamos a emplear para transmitir los controles de cabeceras de los paquetes IP por el túnel. A diferencia del protocolo IPSec, éstas cabeceras sí que pueden atravesar cortafuegos y soportan NAT sin alterar su valor.
20.
© 2012. Girsa-Net
20 Debe coincidir con el valor establecido en el túnel en modo servidor del equipo al que deseamos conectar. Cipher : El tipo de algoritmo de cifrado que vamos a emplear para transmitir la información generada a través del túnel. Debe coincidir con el valor establecido en el túnel en modo servidor del equipo al que deseamos conectar. Puerto : Es el puerto UDP en el que se establecerá en túnel. Debe ser un valor comprendido entre 25000 y 25999. Cada túnel debe configurarse para escuchar en un puerto diferente, y debe coincidir con el valor establecido en el túnel en modo servidor del equipo al que deseamos conectar. Si deseamos otro valor diferente, lo damos de alta con un valor válido y luego lo modificamos. Activo : Indica si deseamos que el enlace se active por defecto o no. Para añadir un enlace, es preciso introducir todos los parámetros que acabamos de comentar, y pinchar en el botón Inserta. Para eliminarlo, bastará con introducir el nombre del túnel y pinchar en el botón Elimina . Para modificar cualquier valor, deberemos escribir obligatoriamente el nombre del Túnel y escribir el nuevo valor en el campo que deseemos modificar, y pinchar en el botón Modifica. No es necesario escribir todos los demás valores si no se alteran. Si deseamos cambiar el estado por defecto de un túnel a Activo, bastará con introducir el nombre del túnel y pinchar en el botón Activa Si deseamos desactivarlo por defecto, bastará con introducir el nombre del túnel y pinchar en el botón Desactiva Estas dos opciones anteriores NO cambian el estado del túnel en un momento dado. Sólo indican si un túnel en cuestión debe arrancarse o no cuando se active el servicio de VPN SSL. La opción Ver Túneles nos muestra TODOS los túneles SSL activos del sistema, tanto en modo servidor como cliente. Rutasporenlace:
21.
© 2012. Girsa-Net
21 El enlace representa el camino físico que deben seguir los paquetes IP por la red para llegar de una IP pública a otra remota. Sin embargo, cuando creamos una VPN nos interesa alcanzar, además, a las direcciones privadas de las redes remotas, y no sólo a su Firewall. Para ello, es necesario decirle al servidor CDC-DATA qué ruta debe seguir, introduciendo los siguientes valores: Enlace : El nombre del enlace que nos transportará al otro extremo de la red. Debe existir previamente. Destino : La dirección IP de un equipo o de una red privada REMOTA a la que deseamos llegar a través del túnel. Prio : El número de prioridad que el servidor CDC-DATA asignará a la ruta para alcanzar su destino. Es un valor predefinido del 5 al 9, y son las rutas de mayor prioridad del sistema. Es posible crear dos enlaces a dos direcciones de una misma subred, a través de IPs públicas diferentes. La prioridad indica cuáles tendrán preferencia en caso de solapamiento. Por ejemplo, supongamos que tenemos dos túneles creados en modo servidor en un equipo CDC-DATA, y en el otro extremo de los túneles definimos otros dos túneles en modo cliente, en otro equipo CDC-DATA. Cada uno de los túneles en modo cliente llama a una IP pública diferente del servidor. Por tanto, cada túnel SSL escucha en dos puertos diferentes ya que son túneles diferentes. Ahora, a la red remota de la central de nuestra empresa con dirección 192.168.10.0/255.255.255.0 le asignamos el túnel llamado VPN1. Además, deseamos que el tráfico hacia la IP 192.168.10.200, correspondiente a nuestro servidor corporativo, vaya por el segundo túnel SSL, al que llamaremos VPN2. Lo que pretendemos es que el tráfico del servidor sea independiente del cuello de botella que se produzca en el resto del tráfico hacia la red definida en el túnel VPN1. Pues bien, cuando definimos las rutas, necesitaremos que la VPN2 hacia la IP
22.
© 2012. Girsa-Net
22 192.168.10.200 tenga una prioridad menor de ejecución para que se enrute antes por el túnel VPN2, y no se mezcle con el resto del tráfico generado hacia la red del túnel VPN1. Si no tuviera un nivel de prioridad diferente, todo el tráfico generado hacia la IP de nuestro servidor corporativo se enrutaría junto con el resto, pudiendo dar lugar a retardos innecesarios, ya que la IP del servidor pertenece a la misma red remota. Controldepuertospermitidosporenlace: Véase el mismo apartado de la sección de Túneles IP (apartado 1.5). En FW modo Avanzado (apartado 1.12.1) tendremos la posibilidad de elegir sobre que protocolo se aplicará la regla que agreguemos, tal como muestra la figura siguiente: IMPORTANTE: No olvide Activar cambios / Reiniciar servicio para que todos los cambios introducidos en los túneles SSL entren en funcionamiento. 1.7. VPN SSL Este apartado sirve para configurar una VPN (Virtual Private Network) Red Privada Virtual, que nos permitirá una extensión de la red local sobre una red pública. Este tipo de servicio es más seguro que realizar una conexión PPTP, ya que para ello
23.
© 2012. Girsa-Net
23 necesitaremos un certificado en el propio PC para su utilización, en contra de la VPN de Microsoft en la que no necesitamos de ningún programa externo y en donde la seguridad únicamente viene dada con el usuario y contraseña para esa conexión. Además, podemos alcanzar cifrados de hasta 512Bytes con soporte AES y BlowFish. Por tanto se recomienda el uso de VPN SSL por encima de las conexiones PPTP. Desde este apartado haremos la gestión para las conexiones externas, y para ello deberemos definir los siguientes puntos: Crear certificado SSL del servidor: Los parámetros necesarios para configurar el certificado SSL son los siguientes:
24.
© 2012. Girsa-Net
24 Días de validez(min31) : Son los días de validez del certificado digital. Una vez expirado el plazo, deberá generar uno nuevo. En el momento de desarrollo actual, no tiene sentido que establezca un plazo demasiado corto. Puede dejarlo fijo en 3600 (casi 10 años). Este es un campo obligatorio. Código de País(Ej.ES) : Es el código de País cualificado (España = ES, Alemania = DE, Reino Unido = UK...). Este es un campo obligatorio. Provincia Ciudad Empresa E-Mail : Es la dirección de correo electrónico del responsable de la validez del certificado. Para generar el certificado con los valores introducidos, deberá pinchar sobre el botón Crear. Alta de servicios SSL: Los parámetros necesarios para dar de alta los servicios SSL son los siguientes:
25.
© 2012. Girsa-Net
25 Servicio SSL: Es el nombre para identificar el servicio SSL, ya que podemos crear varios y así diferenciarlos. Puerto: Es el puerto en el que trabaja este servicio. Se suele utilizar el 1194. Proto: Es el protocolo de uso para la conexión. Puede ser UDP ó TCP. En el caso que queramos los 2 protocolos deberemos crear 2 reglas, una para cada protocolo. IPdered: Será la IP de la red virtual que vamos a crear. La primera IP será la que tomará el servidor CDC-Data visto desde la VPN SSL, quedando las restantes direcciones disponibles para la asignación de los usuarios remotos. Máscara: La máscara para la red que creamos. Define el número de Ips de usuarios a asignar disponibles. Punto-a-punto: Deberemos definir si la conexión entre el cliente remoto y el servidor CDC-Data va a ser punto a punto o no. Por defecto siempre será punto a punto. Cuando NO es punto a punto, el usuario remoto puede alcanzar a otros usuarios VPN SSL, como una red local. Si es punto a punto=SI, cada usuario remoto es “invisible” para el resto de usuarios remotos. DNS: Se indica el servidor DNS. WINS: Se indica el servidor WINS de la red remota a utilizar, en el caso que haya. Cipher: El tipo de algoritmo de cifrado que vamos a emplear para transmitir la información generada a través del túnel. Activo: Si está o no activo el servicio por defecto. Podemos darlo de alta y desactivarlo por defecto, activándolo manualmente cuando sea necesario para tener mayor seguridad, sin necesidad de eliminarlo y volver a crearlo cada vez. Rutas para usuarios remotos: En este apartado indicaremos las rutas de la red local para que los usuarios remotos puedan tener acceso a ella. Para ello pondremos los siguientes parámetros:
26.
© 2012. Girsa-Net
26 ServicioSSL: El servicio sobre el que se aplicará la regla. IP de red y máscara: IP de la red a la que nos conectaremos. Máscara: Máscara de la red a la que conectaremos. Control de puertos permitidos: Servicio SSL: El servicio sobre el que se aplicará la regla. IP Origen: La IP de origen del servicio SSL a la que se aplicará la regla. Puede ser toda una red, o la IP de un usuario. Puerto: El puerto TCP/UDP que vamos a autorizar en la regla. DestinoLocal: Destino al que vamos a autorizar en la regla. Puede ser cualquier destino alcanzable por el servidor CDC-Data.
27.
© 2012. Girsa-Net
27 Gestión de certificados de usuarios: Para crear el certificado para los diferentes usuarios deberemos establecer los siguientes parámetros: Certificado: Nombre del certificado para la persona que lo va a utilizar. Servicio SSL: Servicio sobre el que se generará el certificado. IP servidor: IP del servidor al que atacará la conexión VPN SSL. IP: Es la IP que le asigna al usuario cuando se conecte al servidor. Además, crea automáticamente una entrada de HOST del tipo: IP certificado.servicio_ssl.local para ayudar a la resolución de nombres para conectar y/o registrar la actividad de dicho usuario. Si dejamos el valor de IP en blanco, se le asignará automáticamente la primera libre que haya al realizar el usuario su primera conexión. Una vez asignada, ésta queda reservada para siempre, a no ser que se elimine el usuario. Sin embargo, de este modo, NO se crea entrada de asignación de nombre en el registro de HOST. El rango de direcciones para asignar a los usuarios se define en el apartado “Alta de servicios SSL” visto en la página anterior. Al acabar de poner estos parámetros pincharemos en el botón Inserta y nos creará el certificado. Para descargarlo únicamente le daremos al botón Descargar y nos descargará un archivo comprimido en formato zip que deberemos descomprimir y ponerlo en la carpeta correspondiente del programa OpenVPN1 que utilicemos para la conexión VPN SSL. En el caso que queramos deshabilitar un certificado, pondremos el nombre y pincharemos al botón Revoca, e inhabilitará ese certificado. Al revocar, la asignación de IP de la VPN que hubiera permanece, hasta que se elimine. De este
28.
© 2012. Girsa-Net
28 modo, tenemos constancia de los usuarios deshabilitados. Para eliminarlo definitivamente, y borrar todo rastro de dicho usuario, bastará con poner el nombre y pinchar en Elimina. IMPORTANTE: No olvide Activar cambios / Reiniciar servicio para que todos los certificados dados de alta y/o baja entren en funcionamiento y estén operativos. Esto se debe a que la aplicación carga en memoria los certificados de usuarios al iniciarse el servicio, por razones de seguridad. 1 Para descargarse la aplicación OpenVPN hágalo gratuitamente desde la página web del proyecto: http://openvpn.net Busque la última correspondiente a la versión 2.1 que incluye la utilidad GUI para Windows. No emplee versiones anteriores, por cuestiones de seguridad. Si el cliente es Windows Vista, instálelo como usuario Administrador, indicando permiso de ejecución como administrador, y disponible para todos los usuarios.
29.
© 2012. Girsa-Net
29 Estado de las conexiones remotas: En este punto podremos observar qué conexiones remotas están establecidas en ese momento. Nos aparecerán los siguientes campos: Certificado: Certificado con el que han establecido la conexión. ServicioSSL: Servicio SSL a través del cual se conectan. IPReal: IP Pública sobre la que se ha conectado el usuario remoto. IPVirtual: La IP virtual asignada para esa conexión. BytesEnv.: Bytes enviados. ByteRec.: Bytes recibidos. Conectadodesde: Fecha y hora en la que se ha conectado. Últimoacceso: Fecha y hora del último acceso IP que se ha producido a través del Firewall. 1.8. RUTAS Este apartado sirve para configurar el modo en que el servidor CDC-DATA se comunica con otras redes diferentes a las definidas en sus interfaces TCP/IP, tanto físicos como virtuales, y en las redes definidas localmente en las conexiones VPN. Desde esta opción indicamos al servidor CDC-Data en qué red se encuentra el dispositivo al que nos queremos conectar, y por dónde debe hacerlo. También desde aquí configuraremos el sistema de redundancia y balanceo entre diferentes accesos a redes remotas, con la excepción de las rutas y balanceos entre enlaces (tanto IP como SSL), los cuales se configuran desde las opciones de sus correspondientes menús. Por defecto, el sistema crea automáticamente las rutas conocidas como 'broadcast' al definir los interfaces.
30.
© 2012. Girsa-Net
30 IMPORTANTE: El servidor CDC-DATA es capaz de manejar el sistema de enrutamiento mediante tablas jerárquicas, a diferencia de otros sistemas. Por eso, las rutas tienen niveles de prioridad de ejecución. No lo olvide, le hará falta más adelante. Las tablas de enrutamiento ofrecen la posibilidad de tratar el modo de dirigir un paquete hacia un destino de manera diferente, en función de lo que deseemos hacer. Cuando un paquete entra en el servicio de enrutamiento, éste sale siguiendo la regla más baja que encuentre según el orden predefinido por el sistema, según muestra el siguiente esquema: ENTRADA PAQUETE IP RUTAS POR ENLACE SSL (niveles 5 a 9) RUTAS POR ENLACE IP (nivel 11) RUTAS POR DESTINO (niveles 12) SERVICIO DE ENRUTAMIENTO RUTAS POR ORIGEN (niveles 15 a 45) RUTAS POR INTERFAZ (niveles 50 a 150) RUTAS BALANCEADAS (niveles 160 a 220) SALIDA PAQUETE IP
31.
© 2012. Girsa-Net
31 Las diferentes opciones de los submenús que aparecen son las siguientes: Rutaspordestino: Son las rutas conocidas como "puertas de enlace". Indican a través de qué router o dispositivo hay que dirigirse para alcanzar el destino indicado. Internamente, emplean la prioridad más baja, por lo que son las que se ejecutan primero. Los parámetros necesarios para configurar las rutas por destino son los siguientes: Destino : la dirección IP (una IP o una subred definida como IP/máscara) a la que queremos alcanzar. Puerta de enlace : La dirección IP del router o dispositivo que conecta directamente con el destino a alcanzar.
32.
© 2012. Girsa-Net
32 Si añadimos una ruta a través de una puerta de enlace que NO pertenece a una IP local conocida, el sistema NO la aceptará y mostrará un mensaje de error. Por ello, cuando configuremos el apartado TCP/IP o IPs Virtuales, deberemos reiniciar el sistema o activar los cambios para que el módulo de enrutamiento las reconozca. El botón Ver Rutas nos muestra las rutas por destino activas del sistema en ese momento. Las rutas se activan en tiempo real tanto al Insertar como Eliminar... Rutaspororigen: Como su nombre indica, sirven para enrutar los paquetes en función de la dirección IP del emisor. Los parámetros necesarios para configurar una ruta por origen son: Prio: Es el nivel de prioridad de la regla de enrutamiento. Su valor está comprendido entre 15 y 45, ambos incluidos. Origen : Es la dirección IP del usuario o dispositivo al que queremos dar la prioridad. Puede ser una IP ó una dirección de red como IP/máscara, en notación octal. Destino : Es la dirección IP de destino del servidor o dispositivo al que queremos dar la prioridad. Puede ser una IP ó una dirección de red como IP/máscara, en notación octal. P.Enlace : Es la dirección IP de la puerta de enlace de salida hacia el destino. Debe ser una IP alcanzable por nuestra red. Interfaz : Es el interfaz de red sobre el que se encuentra la puerta de enlace anteriormente especificada. Valores posibles: 'LAN', 'WAN, y 'DMZ'.
33.
© 2012. Girsa-Net
33 El botón Ver Rutas nos muestra las rutas por origen activas del sistema en ese momento. Las rutas se activan en tiempo real tanto al Insertar como Eliminar... Rutasporinterfazbalanceado: En esta opción definiremos las rutas por interfaz, cuando tenemos un sistema con rutas alternativas balanceadas. Cuando definimos un interfaz balanceado necesitamos aislar la IP virtual asociada a un interfaz real para que el sistema sea capaz de creer que tiene una tarjeta real por IP. Como quiera que no tengamos más que una tarjeta física, ya sea 'LAN', 'WAN' o 'DMZ', es preciso que el sistema de enrutamiento "las vea" como si fueran tarjetas reales. Fuera de este propósito, la configuración de estas opciones no tiene ningún sentido. La manera de aislar interfaces virtuales es emplear rutas asiladas por interfaz, y los parámetros necesarios para ello son: Prio: Es el nivel de prioridad de la regla de enrutamiento. Su valor está comprendido entre 50 y 150, ambos incluidos. IP Origen: Es la dirección IP del servidor CDC-DATA asociada al interfaz que queremos aislar, generalmente una IP del interfaz 'WAN'. RedOrigen: Es la dirección IP de red del servidor CDC-DATA asociada al interfaz que queremos aislar, generalmente del interfaz 'WAN'. Hay que especificarla en notación octal. Destino: Es la dirección IP de destino al que queremos alcanzar con el balanceo
34.
© 2012. Girsa-Net
34 de carga. Puede ser una IP ó una dirección de red como IP/máscara, en notación octal. P.Enlace : Es la dirección IP de la puerta de enlace de salida hacia el destino. Debe ser una IP alcanzable por los valores dados en 'IP Origen' y 'Red Origen'. Interfaz: Es el interfaz de red sobre el que se encuentra la puerta de enlace anteriormente especificada. Valores posibles: 'LAN', 'WAN, y 'DMZ'. El botón Ver Rutas nos muestra las rutas por interfaz activas del sistema en ese momento. Las rutas se activan en tiempo real tanto al Insertar como Eliminar... Rutasmulti-rutabalanceadas: En esta opción definiremos las reglas hacia destinos balanceados, que NO sean de túneles tanto IP como SSL, ya que éstas se configuran en sus correspondientes apartados . Una ruta multi-ruta es aquella en la cual para acceder a un destino, tenemos más de una puerta de enlace posible. Puede ser útil para "ampliar" de manera sencilla y transparente el ancho de banda, y/o para disponer de redundancia y backup. A diferencia del backup tradicional, estas rutas trabajan simultáneamente y en paralelo, por lo que se aprovechan todas las líneas de comunicaciones. Si no hubiéramos configurado las rutas por interfaz balanceado, y configurásemos las rutas multi-ruta balanceadas, el sistema SÍ que balancearía. Lo único que pasaría es que, al no haber aislado las IPs Virtuales de los interfaces físicos, el sistema NO sería capaz de detectar un fallo de un router y no sabría descartar la ruta asociada a esa puerta de enlace. Por tanto habría que desactivarla manualmente. Es lo que se conoce como técnica de 'Detección de puerta de enlace muerta', que viene implementada en todos los servidores CDC-DATA. Los parámetros necesarios para balancear rutas multi-ruta son:
35.
© 2012. Girsa-Net
35 Prio: Es el nivel de prioridad de la regla de enrutamiento. Su valor está comprendido entre 160 y 200, ambos incluidos. Destino : Es la dirección IP de destino al que queremos alcanzar con el balanceo de carga. Puede ser una IP ó una dirección de red como IP/máscara, en notación octal. El botón Activa reinicia las rutas multi-ruta del sistema. Es necesario activarlas cuando se haga algún cambio en las reglas de salto de balanceo, cuyas prioridades coincidan con la regla de la ruta multi-ruta. El botón Ver Rutas nos muestra las rutas multi-ruta activas del sistema en ese momento. Para activarlas es preciso haber definido un salto de balanceo asociada a la ruta multi-ruta y pinchar en el botón Activa Saltosdebalanceo: En esta opción definiremos las rutas hacia el exterior, cuando tenemos un sistema con rutas alternativas balanceadas, y su carga de balanceo. IMPORTANTE: Es necesario haber definido previamente una ruta multi-ruta antes de configurar el salto de balanceo, ya que éste va directamente asociado a la prioridad de la ruta multi-ruta. Los parámetros necesarios para balancear rutas multi-ruta son:
36.
© 2012. Girsa-Net
36 Prio : Es el nivel de prioridad de la regla de enrutamiento. Su valor debe ser uno de los existentes en las rutas multi-ruta. Puede haber tantos como líneas de acceso físicas destinadas a la dirección de destino asociada. P.Enlace : Es la dirección IP de la puerta de enlace que nos enrutará hacia el destino deseado, previamente definido en la regla de la ruta multi-ruta. Interfaz : Es el interfaz de red sobre el que se encuentra la puerta de enlace anteriormente especificada. Valores posibles: 'LAN', 'WAN, y 'DMZ'. Carga : Es el número de paquetes que el servidor CDC-DATA repartirá cada vez hacia el destino asociado por la prioridad, a través de la puerta de enlace. Si tenemos 2 líneas para acceso a Internet, una el doble que la otra, dejaríamos la de más capacidad con carga = 2, y la de menor capacidad con carga = 1. De este modo, de cada 3 paquetes, 1 iría por la línea más lenta, y 2 por la línea más rápida. Para activarlas hay que pinchar en el botón Activa Verrutasactivasdelsistema: Muestra TODAS las rutas activas del sistema en ese momento. 1.9. CONTROL DE TRÁFICO Este apartado sirve para configurar el control de tráfico que realiza el servidor CDC- DATA sobre las líneas de comunicaciones del interfaz 'WAN'. El control de tráfico sirve para crear reservas de ancho de banda, de modo que algunas aplicaciones no se queden sin espacio de trabajo, dar prioridad a ciertos paquetes de aplicaciones para que "viajen" con mayor preferencia que otros, y permitir que un uso masivo de un servicio se reparta equitativamente entre los usuarios que lo demandan.
37.
© 2012. Girsa-Net
37 El servidor CDC-DATA dispone de 4 bandas de trabajo, con prioridades ALTA, MEDIA, BAJA y NULA, y cuyos anchos de banda son configurables. Después, sobre dichas bandas, indicaremos cuáles son las reglas de control que deseamos aplicar en cada caso. El esquema de las bandas del servidor CDC-DATA es el siguiente: ENTRADA PAQUETE IP SERVICIO DE CONTROL DE TRÁFICO BANDAS Reparto jerárquico => HTB3 ALTA MEDIA BAJA NO PRIO DISTRIBUCIÓN DE PAQUETES Reparto Equitativo => SFQ
38.
© 2012. Girsa-Net
38 SALIDA PAQUETE IP Las necesidades de ancho de banda se agrupan en 4 bandas que disponen de una capacidad y una prioridad. Una vez se ordenan y priorizan atendiendo a la banda, según el algoritmo de distribución de colas jerárquicas HTB3, cada banda reparte su tráfico de manera ecuánime a los usuarios que demandan el servicio, según el algoritmo de distribución de colas ecualizante SFQ. Las diferentes opciones de los submenús que aparecen son las siguientes: ConfiguracióndelAnchodeBanda: En este apartado se configura el tamaño del ancho de banda de las bandas del servicio de control de tráfico. Los parámetros necesarios para configurar el ancho de banda son los siguientes:
39.
© 2012. Girsa-Net
39 Interfazdeentrada : Es la capacidad máxima de recepción de la línea asociada al interfaz 'WAN'. Si tuviéramos varias líneas, pondríamos el valor de la suma de ellas. Este valor se mide en Kbps (kilobits por segundo). El canal de entrada de las comunicaciones NO se puede modelar, tan sólo el de salida. Lo que sí se puede hacer en la entrada es ajustar la tasa de transferencia de manera que no se descarten paquetes por exceso de tráfico en la cola de descarga en el proveedor del servicio. Es lo que se conoce como 'Traffic Policing'. Interfaz de salida : Es la capacidad máxima de envío de la línea asociada al interfaz 'WAN'. Si tuviéramos varias líneas, pondríamos el valor de la suma de ellas. Este valor se mide también en Kbps (kilobits por segundo). IMPORTANTE: el canal de salida SÍ se puede modelar. Es lo que se conoce como 'Traffic Shapping'. ANCHOS DE BANDA DISPONIBLES : Banda de prioridad 'XXX' : Es la capacidad mínima garantizada de envío de la banda 'XXX', siendo 'XXX' la banda MÁXIMA, MEDIA, MÍNIMA o NO PRIORIZADA. En caso de que tengamos un servicio que consuma demasiado ancho de banda, se ajustará a su nivel mínimo para garantizar el correcto funcionamiento.
40.
© 2012. Girsa-Net
40 Este valor se expresa en Kbps (kilobits por segundo). EXCESOS MÁXIMOS PERMITIDOS : Banda de prioridad 'XXX' : Es la capacidad máxima de envío de la banda 'XXX', siendo 'XXX' la banda MÁXIMA, MEDIA, MÍNIMA o NO PRIORIZADA. En caso de que tengamos un servicio que necesite mayor ancho de banda, y éste NO se utilice por otras bandas, se tomará prestado mientras no se necesite por la banda que lo presta, hasta su valor máximo permitido. De este modo, no se desperdiciará nada. Este valor se expresa en Kbps (kilobits por segundo). ReglasdeControl: En este apartado se especifican las reglas por las que se regirá el servicio de control de tráfico, a quién dará prioridad y de cuánto ancho de banda dispondrá... Los parámetros necesarios para configurar las reglas de control son las siguientes: Tipo : Indica si la regla se va a aplicar a una conexión saliente hacia un servidor remoto, en cuyo caso será del tipo 'DESTINO', o bien se aplicará a una conexión entrante a nuestro servidor CDC-DATA, en cuyo caso será del tipo 'ORIGEN'. Para comprender mejor cómo se determina el tipo, deberemos atender a cómo se produce la comunicación en el canal de salida de la línea de comunicaciones. Observe el siguiente diagrama: SERVIDOR REMOTO = Destino
41.
© 2012. Girsa-Net
41 SERVIDOR CDC-DATA = Origen Como sólo podemos modelar el tráfico saliente, vemos que en cualquier tipo de conexión IP, ya sea una conexión entrante hacia nuestro servidor, o saliente hacia otros servidores externos, siempre el ORIGEN somos nosotros, y el DESTINO los servidores remotos. Para aplicar las reglas de control deberemos tener siempre presente esta nomenclatura sobre origen y destino. Por ejemplo, si queremos modelar el tráfico ENTRANTE al puerto de Terminal Server ubicado en el 3389, hacia un servidor de nuestra red privada, no atenderemos al canal de entrada, sino al de salida. Éste corresponde con la respuesta de la sesión entrante IP. Desconocemos en qué puerto de servicio se habrá ubicado la entrada de las peticiones del Terminal Server en el lado del cliente remoto, pero sí que conocemos al puerto al que se conectó en nuestro servidor, que es el 3389 en este caso. Por tanto, como estamos en el canal de salida, deberemos aplicar la siguiente regla: 'TIPO=ORIGEN PUERTO=3389 BANDA=xxx'. De manera análoga, si deseamos modelar las conexiones a páginas web remotas, observaremos que en el canal de salida corresponde el puerto 80 de navegación web con el del lado del servidor remoto al que queremos conectar. Por tanto, la regla a aplicar será: 'TIPO=DESTINO PUERTO=80 BANDA=XXX'. RESUMIENDO: Sólo podemos modelar nuestras peticiones salientes. Si la conexión la realizamos nosotros hacia el exterior, no hay confusión sobre el origen y el destino. Pero si la conexión la recibimos nosotros, fijándonos en el canal de salida, el origen seremos nosotros con el puerto de servicio solicitado por el cliente remoto. ATENCIÓN: Si encuentra dificultad en comprender estos conceptos, no se preocupe: haga uso del servicio de soporte técnico, ya sea a su distribuidor o a nosotros mismos. Puerto : Es el puerto de la aplicación al que queremos aplicar la regla de control de tráfico.
42.
© 2012. Girsa-Net
42 Banda : Indica la banda a la que se asociará la regla. Puede ser 'MÁXIMA', 'MEDIA' o 'MINIMA'. Por omisión, todo puerto no declarado se asociará a la banda no priorizada. Puede activar o desactivar el servicio de Control de Tráfico, mediante el botón Modificar después de indicar el estado deseado en los botones de selección. Para activar los cambios realizados en esta sección, deberá pinchar sobre el botón Reiniciar. 1.10.- CERTIFICADO SSL Este apartado sirve para configurar el certificado digital de la sesión SSL del propio servidor CDC-DATA, cuando se conecta al panel de control. De este modo puede personalizar su propio certificado Además, en futuras versiones nos servirá este certificado para generar claves públicas de autenticación. Puede dejar como está de origen el certificado, y obviar esta sección si lo desea. Los parámetros necesarios para configurar el certificado SSL son los siguientes: Días de validez (min 31) : Son los días de validez del certificado digital. Una vez expirado el plazo, deberá generar uno nuevo. En el momento de desarrollo actual, no tiene sentido que establezca un plazo demasiado corto. Puede dejarlo fijo en 365 (un
43.
© 2012. Girsa-Net
43 año). Este es un campo obligatorio. CódigodePaís(Ej.ES) : Es el código de País cualificado (España = ES, Alemania = DE, Reino Unido = UK...). Este es un campo obligatorio. Provincia Ciudad Empresa Departamento Nombre del servidor (FQN) : Es el nombre con el que identifica en Internet a su servidor CDC-DATA. Debería ser un nombre cualificado de Internet (con dominio completo), aunque no importa si emplea un nombre local o privado, sin dominio cualificado. Este es un campo obligatorio. E-Mail : Es la dirección de correo electrónico del responsable de la validez del certificado. Para generar el certificado con los valores introducidos, deberá pinchar sobre el botón Crear. Esto detiene el servicio web SSL del panel de control durante un minuto, por lo que perderá la conexión. Pasado ese tiempo, ya puede volver a conectar. 1.11.- ZONA HORARIA Esta herramienta nos permite definir el servidor de tiempos que va a utilizar el CDC- DATA y la zona horaria a la que pertenece el cliente, de manera que tanto la hora como la fecha no podrá ser modificada de manera externa, únicamente cambiando el servidor de tiempos. Los parámetros a definir son:
44.
© 2012. Girsa-Net
44 Servidordetiempospordefecto: Es el servidor de tiempos que carga el CDC-DATA por defecto. Tenemos la posibilidad de poner hasta 4 servidores de tiempo, en el caso que el primero no de respuesta saltaría al segundo y así sucesivamente. Zonahoraria: Es la zona horaria a la que pertenece el cliente CDC-DATA. Aparece un desplegable en la que se asigna la zona horaria a la que se pertenece. Las opciones posibles son: Modifica: Actualiza los valores de los campos de servidores de tiempos. Sincroniza: Fuerza una actualización de la hora del sistema con los servidores introducidos. Reset: Escribe los valores de servidores de tiempos por defecto (los que aparecen en la imagen). 1.12.- SERVIDORES Desde este menú se configura los diferentes servicios disponibles en el servidor CDC- DATA. Estos servicios se adquieren de manera modular, por lo que es posible que algunos de ellos no estén disponibles en su servidor CDC-DATA. Los equipos serie 7 llevan todos los módulos activos, mientras que los series 5 sólo
45.
© 2012. Girsa-Net
45 llevan los módulos básicos. En los series 6 es posible adquirir los módulos básicos más los adicionales que se desee, por lo que el aspecto del menú puede variar en función de los módulos y servicios contratados. Todos estos servicios pueden activarse o desactivarse por defecto. Además, cualquier cambio que se realice en su configuración, exige que se reinicie el servicio para activar los cambios pertinentes. Los módulos disponibles en serie 5 son : Y en series 6* y 7: En caso de tener todos los módulos activados.
46.
© 2012. Girsa-Net
46 1.12.1.- Servicio de Firewall: Establece el comportamiento básico del servicio de Firewall, los registros que se generarán, y el nivel de sensibilidad que tendrá a la hora de registrarlos. Las opciones posibles son:
47.
© 2012. Girsa-Net
47 Idioma por defecto: Es el idioma predeterminado con el que se mostrará el panel de control, así como los mensajes de error del servicio de Proxy. Limite máximo de sesión (en minutos): Es el tiempo máximo que se permitirá trabajar en el panel de control sin finalizar la sesión. Al llegar a dicho límite, el panel de control finaliza de manera automática. Número de errores máximos permitidos: Es el número de errores de autenticación que permite el panel de control antes de bloquear el acceso al mismo, a la IP del usuario que trata de conectar.
48.
© 2012. Girsa-Net
48 Tiempo de bloqueo por error (en horas): Es el tiempo durante el cual una IP permanece bloqueada por haber alcanzado el número máximo de errores de autenticación. Dicho tiempo se mide en horas. Tasaderegistrosporminuto: Por defecto está en 15. Indica el número de veces que un mismo evento puede quedar registrado por minuto, para evitar un llenado excesivo del disco duro. Este valor está muy indicado y no conviene variarlo. Si observa que se llena demasiado, puede bajar este valor. ForzarreiniciodeTúnelesSSL: Por defecto está en 1 día. Fuerza el reinicio de los túneles SSL que tengamos creados, levantando los mismos en caso de problemas de caída de la línea. Permitir sólo usuarios LAN autenticados por MAC: Por defecto está NO. Si se activa, sólo podrá acceder desde la 'LAN' a cualquier dirección los equipos que estén reconocidos en la lista de direcciones MAC del apartado Configuración : Servidores : DHCP : Asignaciones estáticas de clientes. No es necesario tener activo el servicio de DHCP para que se active este comportamiento. Esta opción está pensada para equipos que asignen IPs y controlen accesos a dispositivos que se hallen en una red local muy insegura, como las redes Wireless, para garantizar que aunque se conceda una IP por DHCP o alguien se la añada a mano, no pueda acceder a la red de manera ilegal. Permitir sólo usuarios DMZ autenticados por MAC: Por defecto está NO. Si se activa, sólo podrá acceder desde la 'DMZ' a cualquier dirección los equipos que estén reconocidos en la lista de direcciones MAC del apartado Configuración : Servidores : DHCP : Asignaciones estáticas de clientes. No es necesario tener activo el servicio de DHCP para que se active este comportamiento. Habilitar FW en modo estricto: Por defecto está en NO. Si lo activamos deberemos especificar la IP del servidor CDC-Data cuando queramos conectar a él en las reglas del firewall. Normalmente, cuando una regla de firewall permite la conexión de un puerto a “cualquier destino”, incluye también el propio CDC- Data. Con esta opción activada, la dirección “cualquier destino” EXCLUYE el CDC-Data, y habría que especificar su IP en la regla de firewall correspondiente si queremos que se permita una conexión. Gestión de Firewall en modo Avanzado: Nos permite gestionar el firewall de nuestro servidor CDC-DATA con más opciones en determinados aspectos relativos a la Seguridad. De hecho, el juego de reglas es diferente en modo simple y en modo avanzado. Por tanto, es posible disponer de una
49.
© 2012. Girsa-Net
49 configuración sumamente permisiva en modo simple y configurar nuestras reglas en modo avanzado. De este modo, ante cualquier duda de configuración, podemos cambiar a modo simple y comprobar el funcionamiento sin tantas restricciones. El cambiar de modo simple a modo avanzado NO elimina las reglas que hubiera definidas en cada modo. Éstas se conservan, pero se aplican sólo en función del modo de operación seleccionado. AceptarprotocoloICMPdesdeWAN: Nos permite la recepción de ecos desde el interfaz WAN; es decir, lo que se conoce como responder ante un ping. Habilitar lista D.R.O.P.: La lista DROP (Don't Route Or Peer) es una lista de bloqueos de rutas hacia direcciones que han sido declaradas como inseguras por los organismos de asignaciones de Ips ARIN, RIPE, APNIC y LACNIC. Principalmente son redes donde campan a sus anchas spammers y virus de manera abusiva. En ningún caso, en dichas listas aparecen direcciones legítimas. Por tanto, se recomienda tener esta lista siempre activada. Las listas se actualizan una vez al día en horario nocturno. Tipoderegistroshabilitados : Indica qué es lo que registrará el servicio de Firewall en su actividad habitual. Las opciones disponibles son las siguientes: LAN : Todos los accesos efectuados desde la red local. DMZ : Todos los accesos efectuados desde la red desmilitarizada. WAN : Todos los accesos efectuados hacia Internet. NAT : Todos los accesos redirigidos por NAT. BADFLAGS : Todos los registros de paquetes IP peligrosos. BYPASS : Todos los registros de accesos web por Proxy Bypass. MS-VPN : Todos los registros de accesos VPN de Microsoft. CDC-VPN : Todos los registros de accesos sobre TUNELES IP. DROP : Todos los paquetes entrantes y que son descartados. Además, el servicio de Firewall registra siempre los siguientes eventos: ACCEPT : Todas las peticiones entrantes que han sido aceptadas. REJECT : Todos los intentos de conexión desde IP’s que han sido rechazadas. MAC : Todos los intentos de accesos desde direcciones MAC no autorizadas.
50.
© 2012. Girsa-Net
50 Siempre que se haga una modificación en este apartado deberemos Activar/Reiniciar el servicio de Firewall. También podemos forzar una desconexión y activar, es decir, realizar un “reset” mediante el botón Reset FW. En caso de emergencia, podemos detener el servicio de Firewall mediante el botón Detener FW. Esta opción desactiva todas las conexiones entrantes o en tránsito hacia/desde el CDC-Data, excepto las que se realicen al Panel de Control del propio CDC-Data al puerto 8989 desde el interfaz LAN exclusivamente. 1.12.2.- Carpetas Compartidas: Toda organización necesita poder compartir ficheros de forma fácil y sencilla. Este servicio permite compartir información con el resto de usuarios de la red, controlados por su IP. Las opciones son:
51.
© 2012. Girsa-Net
51 PermitirsólointerfazLAN : Esta opción permite sólo conexiones a las carpetas compartidas desde cualquier conexión que se produzca desde el interfaz LAN.. NombreNetBios : Nombre con el que se identificará el servidor CDC-DATA en la red. No es posible dejarlo en blanco. GrupodeTrabajo : Nombre del grupo de trabajo o dominio al que pertenece el servidor CDC-DATA. En caso de existir un dominio NT/W2000 ó Active Directory de Microsoft, deberá crear una cuenta de máquina con el nombre Netbios declarado al servidor CDC-DATA para agregarlo al dominio. No es posible dejarlo en blanco. ServidorWINS(IP) : Define la dirección IP del servidor de nombres NetBios de su organización. Para dejarlo en blanco o eliminarlo, escriba un espacio.
52.
© 2012. Girsa-Net
52 IPs permitidas en PUB : Identifica los dispositivos que tendrán acceso a la carpeta compartida 'pub' o carpeta pública. Por defecto está en blanco, lo que quiere decir que se permite a cualquier conexión... IPs permitidas en LOCAL : Identifica los dispositivos que tendrán acceso a la carpeta compartida 'local'. Por defecto está en blanco. IPs permitidas en SYS : Identifica los dispositivos que tendrán acceso a la carpeta compartida 'sys' o carpeta de sistema. Esta carpeta es donde se realizan las copias de seguridad del servidor, y donde se importan los registros de configuración. Por defecto está en blanco. CompartirunidadUSB: Permite compartir cualquier unidad de almacenamiento que haya sido conectada a una de las conexiones USB del servidor CDC-Data. Dicha unidad se verá compartida con el nombre de recurso usb 1.12.3.- Correo Electrónico: Permite definir un completo servidor de correo electrónico, tanto de Internet como para uso exclusivo de una red privada. Las opciones son:
53.
© 2012. Girsa-Net
53 Nombredelservidor(FQDN) : Nombre con el que se identificará el servidor de correo SMTP CDC-DATA en la red. No es posible dejarlo en blanco. Emplee nombres completamente cualificados; es decir, del tipo host.dominio.ext . Si el uso fuera para correo local en una intranet, emplee dominios inexistentes, como 'cdcdata.local.dom', por ejemplo. Dominio por defecto Nombre del dominio de Internet por defecto. No es posible dejarlo en blanco, y debe ser el sufijo introducido en el Nombre del servidor cualificado (FQDN) del apartado anterior. Si el uso fuera para correo local en una intranet, donde el dominio NO es real, deberá introducir como dominio el mismo nombre de host, para evitar que los sistemas anti-spam rechacen dicho dominio por ser falso. Este valor sería 'cdcdata.local.dom' siguiendo el ejemplo anteriormente expuesto. Otrosdominioslocales : Si existiera en su organización más de un dominio de correo electrónico, podría agregarlos aquí para que fueran reconocidos por el servicio de correo electrónico. Todos los usuarios que diera de alta se asociarían a todos los dominios introducidos. DominiosdeRelay : Identifica los dominios hacia los cuales el sistema permite
54.
© 2012. Girsa-Net
54 entregar correo, además del dominio por defecto y los dominios locales. Este valor es muy importante en caso de que se quiera configurar este servidor como backup de correo de Internet (registro MX 20, 30? ), para que permita la entrega hacia el servidor principal (que normalmente se define en la gestión de DNS como registro MX 10). Redes de confianza : Cualquier IP perteneciente a la red que se defina aquí tendrá permitido el envío de correo electrónico hacia Internet, sin ningún tipo de limitación. Haga uso de esta función en caso de necesidad real, y desde luego evite introducir redes o Ips de usuarios con cuentas de correo electrónico. Esta opción sólo tiene sentido para encaminar correos de dispositivos automáticos como cámaras de videovigilancia o servidores de correo seguros de su intranet. SmartHost : Si en nuestra organización existe un servidor SMTP para el envío de correos electrónicos exclusivo, forzaremos a que todo el tráfico de correo electrónico saliente sea enviado a través de dicho servidor, introduciendo en este campo la IP del servidor de correo principal o su nombre de Internet cualificado (FQDN). Tamaño máximo de mensaje : El tamaño máximo del mensaje de correo electrónico que queremos permitir como envío para los usuarios, expresado en Bytes. Tamaño máximo de buzón : El tamaño máximo del buzón de correo de los usuarios, para evitar crecimientos que bloqueen el sistema. En la imagen anterior, está limitado a 100MB. UsuarioPostmaster(segúnRFC) : Es el usuario de correo electrónico al que se redirigirá todo el correo que entre al sistema a través de la cuenta 'postmaster'. Es obligatorio que exista esta cuenta en todos los servidores de correo. Por defecto se redirige al usuario del sistema webmaster. 1.12.4.- Gestor de descargas de correos externos: Este módulo nos da la posibilidad de recibir correos de varios servidores sobre una misma cuenta. Es capaz de descargar todas las cuentas de usuarios de todos los servidores externos de la empresa, filtrarlos, eliminar spam y virus, y entregarlos al destinatario adecuado, de manera automatizada. Además, no hay que hacer nada en el usuario final. Sólo basta con tener una cuenta instalada en su ordenador, la de su empresa, y todos los mensajes le llegarán a ese único usuario. Si deseamos desactivarlo temporalmente, basta con desactivar el servico. No es necesario eliminarlo todo.
55.
© 2012. Girsa-Net
55 Es importante señalar que cuando el correo final se entrega al usuario, éste puede indicar una cuenta de correo del propio servidor de correo del CDC-Data (si lo tenemos activado), o una cuenta de correo electrónico alojada en otro servidor… El proceso de eliminación de virus y spam siempre actúa, no importa si la cuenta de correo electrónico del destinatario es local o externa. Para dar de alta un servidor externo las opciones a poner son las siguientes: Nombre del servidor (FQDN): Nombre del servidor del correo externo a agregar. (P.ej. para gmail sería pop.gmail.com) Protocolo: Las opciones de protocolo son POP2, POP3, APOP, RPOP, KPOP, EXTERN e IMAP. Deberemos saber qué tipo de protocolo utiliza, normalmente son POP3 o IMAP. Autenticación: Las opciones son ANY, PASSWORD, KERBEROS4, KERBEROS5 y MSN. Deberemos saber qué tipo de autenticación posee el servidor de correo externo. Puerto: Dependiendo del servidor externo será un puerto u otro. P.ej. el 110 es el básico de correo, para Gmail el 995, etc. SSL: Tipo de cifrado SSL activo o no. Límite: Es el límite del tamaño máximo de mensajes de correo para el servidor externo. Cualquier mensaje superior a dicho tamaño será eliminado. Para NO fijar límite alguno, escriba 0 (cero).
56.
© 2012. Girsa-Net
56 Activo: Si queremos tener el servicio activo o no. Para dar de alta a un usuario de correo externo debemos configurar lo siguiente: Nombre del servidor (FQDN): Seleccionamos el servidor al que asociamos el usuario. Usuario: Escribimos el nombre de cuenta de usuario que nos asigne el proveedor de correo. Contraseña: Contraseña del usuario del correo externo. Al introducirla los caracteres son visibles (luego aparecen *). No dé de alta a usuarios delante de desconocidos… Redirigir usuario a: Ponemos el usuario de destino al que vamos a redirigir los correos. NOTA: Si el usuario de correo es una cuenta creada en el servidor de correo del propio CDC-Data, entonces se almacenará en los buzones locales del propio CDC-Data. Si está alojado en un servidor externo, se reenviará. Hay que tener presente que la búsqueda y descarga de correos externos se realiza cada 10 minutos, empezando desde la hora en punto. Si tenemos muchos usuarios y la descarga dura más de 10 minutos, cuando se active la siguiente descarga no sucederá nada, esperará a que la anterior acabe. Es decir, los procesos NO se solapan… Por tanto, si alguien nos envía un correo, como mucho tardará 10 minutos… No es instantáneo. Por último, es posible combinar esta función con el Antivirus- AntiSpam del CDC- DATA. De lo contrario tendremos un bonito recolector de correo, con toda la basura que nos haya llegado. Para ello habrá que ir al menú de “Configuración : Servidores : Servicio Antivirus – AntiSPAM”, configurar este servicio y activarlo.
57.
© 2012. Girsa-Net
57 1.12.5.- Cliente Webmail - SSL: Permite configurar el cliente de correo 'Webmail' asociado al servidor CDC- DATA. De este modo, es posible leer correo de servidores diferentes al CDC- DATA que tenga en su Intranet o en Internet, desde ubicaciones exteriores a su oficina, desde un navegador de Internet sobre una conexión segura (SSL). Las opciones de configuración son: ServidorSMTP : Es la dirección IP que se empleará para el servidor de correo saliente (SMTP). Si desea que dicho servidor sea el propio 'CDC-DATA' deberá escribir localhost . Uso horario GMT: Establece el horario GMT de la zona en la que nos encontramos. Tamañomáximodelbuzón : Establece el tamaño máximo de almacenamiento que el cliente de correo 'Webmail' permitirá almacenar en su disco duro, por usuario. El tamaño por defecto es de 50MB, y su valor se especifica en KB. Tiempodeinactividad: Tiempo en minutos para pasar a inactividad si se deja abierta la cuenta de ‘Webmail’.
58.
© 2012. Girsa-Net
58 Idiomainicialpordefecto: Establece el idioma que aparecerá en la pantalla del correo ‘Webmail’. Las opciones de servidores de POP3 configurados son: Dominiodelcorreo: Dominio del correo POP3. ServidorPOP3: Servidor POP3, si es el local sería ‘localhost’. Autenticación: Tipo de autenticación, ya sea ‘user’, ‘user@domain’ ‘user.domain’. Las cuentas del servidor CDC-Data son del tipo 'user'. 1.12.6.- Servicio de agenda LDAP: Permite ofrecer una base de datos LDAP para servicio de directorio, con los campos necesarios para mantener una agenda de contactos compartidos en modo de sólo lectura para los usuarios de la red. Las opciones son: Editar contactos de la agenda : Permite añadir, modificar y dar de baja contactos de la agenda LDAP.
59.
© 2012. Girsa-Net
59 El campo Descripción es obligatorio y debe ser único. El botón Reset elimina todos los registros de la base de datos. Importarcontactos: Permite importar los registros de la base de datos desde un archivo de texto, ubicado en la carpeta compartida SYS del servidor CDC- Data, y denominado ldap.txt Dicho fichero debe tener los siguientes valores, por linea: Descripción Nombre Apellidos email Teléfono Fijo Teléfono móvil Empresa y estando los diferentes valores SEPARADOS POR TABULADORES. Si un campo Descripción ya existe en la base de datos, éste se actualiza con los valores importados. Exportarcontactos: Exporta los registros de la base de datos a un archivo de texto, ubicado en la carpeta compartida SYS del servidor CDC-Data, y denominado ldap.txt Activo: Si queremos tener el servicio activo o no.
60.
© 2012. Girsa-Net
60 1.12.7.- Conexiones PPTP: Permite definir una pasarela de acceso remoto VPN a través del software de conexiones remotas de Microsoft Windows. Tenga presente que el empleo de conexiones VPN basadas en autenticación Usuario/Contraseña pueden ser altamente inseguras. Le recomendamos que emplee las conexions VPN SSL. Las opciones son: IPServidorLocal : Dirección que tendrá el servidor CDC-DATA para los usuarios remotos que conecten a través de PPTP. Debe ser una dirección que tenga asignada el servidor CDC-DATA en la LAN, ya sea en el interfaz principal del TCP/IP o una de la red de Ips virtuales. No es necesario crear una subred virtual en la LAN para usuarios remotos, aunque es recomendable para evitar colisiones de direcciones IP con usuarios físicamente ubicados en la red local. Rango Usuarios remotos : Es el rango que se reservará para asignar Ips a usuarios PPTP que no demanden una IP fija. El primer campo es la IP de origen, y el segundo la de destino expresado como el cuarto valor de la IP. Es decir, si queremos asignar el rango 192.168.1.200 hasta la 192.168.1.201, introduciremos en la primera casilla 192.168.1.200 y 201 en la segunda. Recuerde pinchar en el botón Modificar para guardar los cambios.
61.
© 2012. Girsa-Net
61 Si se quiere asignar usuarios PPTP con una IP fija, hay que asignarla en el momento de dar de alta el usuario, no aquí. Este rango es sólo para usuarios a los que se les asignará una IP dinámicamente. Si no va a necesitarlos, asigne un rango de 2 IPs libres y consecutivas de la red local, por si acaso. No hace daño y siempre hará falta cuando menos se espera. NombreNetBios : Nombre con el que se identificará el servidor CDC-DATA en la red. No es posible dejarlo en blanco. Dominio : Nombre del dominio al que pertenece el servidor CDC-DATA. Se refiere a un dominio de Internet cualificado, aunque puede introducirse un dominio local si el ámbito de trabajo es el de un grupo de trabajo de redes Microsoft. No es posible dejarlo en blanco. DNS : Define la dirección IP del servidor de resolución de nombres de Internet (DNS). Si se omite, el usuario remoto no podrá resolver nombres de direcciones de Internet. WINS : Define la dirección IP del servidor de nombres NetBios de su organización. Máscara : Define la máscara del ámbito de red del servidor PPTP. Activo: Si queremos tener el servicio activo o no. Reinicia: Para reiniciar el servicio de manera manual y aplicar los cambios introducidos.
62.
© 2012. Girsa-Net
62 1.12.8.- Servicio de FTP: Permite definir un completo servidor de FTP, tanto de Internet como para uso exclusivo de una red privada. Las opciones son: AdministradorFTP : Dirección de correo electrónico que desea que aparezca en la pantalla de bienvenida como 'Administrador' del sistema. Si se activa la entrega de informes diarios, éstos se remiten a esta dirección de correo. Identificación : Nombre del servidor FTP, frase de bienvenida, etc., que desea que aparezca en la pantalla de bienvenida. Es meramente informativo. Númeromáximodeerrores : Número de veces que el servidor permite que se equivoque el usuario de FTP remoto, antes de que finalice la sesión. Se establece un valor relativamente bajo para evitar intentos de acceso ilegales mediante sistema de "fuerza bruta". Conexionesmáximas : Número de conexiones simultáneas que se permite en el servidor. Para evitar denegaciones de servicio de otros servidores, NO es posible dejarlo ilimitado, aunque tampoco se limita el valor máximo. Activar informes diarios FTP : Le permite la entrega de informes de uso y estadísticas FTP a la cuenta de correo definida en 'Administrador FTP'. Para activar los cambios introducidos o reiniciar el servicio, pinche en el botón Activa.
63.
© 2012. Girsa-Net
63 1.12.9.- Servicio de DHCP: Permite definir un ámbito de asignaciones IP a través de un servicio DHCP sobre el interfaz 'LAN' exclusivamente. Por cuestiones de seguridad, NO es posible establecer ámbitos DHCP sobre interfaces 'WAN' o 'DMZ'. Las opciones son: Ámbito de la concesión : Rango sobre el cual se aplicará la reserva de direcciones IP de la red. Debe ser un rango reconocido por el interfaz principal 'LAN' o algunos de los interfaces virtuales sobre la 'LAN'. Configuración de la subred : Rango sobre el cual se asignarán las direcciones dinámicamente. Además, se especifica los parámetros de red de la concesión DHCP: dominio, puerta de enlace, DNS y servidores wins. Estos parámetros son
64.
© 2012. Girsa-Net
64 comunes para todos los clientes. Para evitar errores humanos, el botón Modificar actualiza TODOS los campos, por lo que deberá escribir todas las opciones cada vez que necesite realizar un cambio. Si alguna opción no se desea activar, simplemente déjela en blanco. Asignaciones estáticas de clientes : Es la reserva de dirección propiamente dicha, donde se asigna un nombre de host y su IP a una dirección MAC determinada. Las Ips asignadas estáticamente NO deben solapar las del rango de la subred. Aunque no tenga activado el servidor DHCP, es posible en la configuración del Firewall permitir por 'LAN' sólo las direcciones MAC de equipos reconocidos. Pues bien, aquí es donde deberá dar de altas dichas direcciones. Importar asignaciones de clientes : Es posible importar las asignaciones de clientes desde un fichero de texto, si son muchos usuarios y no desea teclearlos. Para ello, deberá crear un fichero con el nombre ip_host_mac.txt tal y como aparece indicado, todo en minúsculas, y con los siguientes campos separados por tabulador: ip host mac y grabados en formato ASCII. Después, coloque dicho fichero en la carpeta del servidor CDC-DATA llamada sys.
65.
© 2012. Girsa-Net
65 1.12.10.- Servicio DNS: Permite configurar un servicio DNS (servidor de nombres de dominio) en su servidor 'CDC-DATA' de una manera rápida, sencilla y eficiente. El funcionamiento del servicio de DNS en el servidor 'CDC-DATA' es el siguiente: 1.- Si un nombre de equipo cualquiera está definido en las listas de 'HOST', se devolverá la dirección IP asociada a su entrada. 2.- Si un dominio está considerado como 'local', el servidor 'CDC-DATA' buscará su IP correspondiente en las listas de 'HOST', y no en los servidores DNS de Internet especificados en la configuración del apartado 'TCP/IP'. Por tanto, las listas de 'HOST' corresponden con las altas de nombres del registro de DNS de tipo A. Cuando introduzca un nombre de equipo en 'HOST' que esté asociado a un dominio, hágalo en su forma cualificada (FQN), con su nombre de dominio. Las opciones son:
66.
© 2012. Girsa-Net
66 Dominios considerados como locales : Son aquellos dominios para los que el servidor 'CDC-DATA' buscará en su entrada de 'HOST', sin preguntar a los DNS de Internet. Si no encuentra nada, dará un error de nombre no encontrado. RegistrosMXdecorreo : Son las entradas correspondientes a los registros MX 10 de correo. Para ello, es necesario introducir el correo de dominio y el nombre de host que hace de servidor de correo. Esta función es muy interesante para aquellas configuraciones de correo en las que existe un servidor privado en la Intranet, y se desea que el servidor 'CDC-DATA' haga de pasarela de correo seguro, aceptando las conexiones y comprobando los permisos, en lugar de hacer un 'NAT' hacia el servidor interno. En estos casos, los registros MX de Internet apuntan hacia la IP pública, por lo que es necesario introducir otros valores de registro MX para el servicio de DNS del servidor 'CDC-DATA', de modo que no lea el registro de Internet sino que lea otro con direccionamiento privado; es decir, el real que tiene el servidor de correo en la Intranet. Esto mismo se hace desde esta opción, con más que añadir el domino y el nombre de host asociado al dominio que hace la función de correo. Por tanto, es necesario además añadir dicha entrada de nombre con la IP real de la Intranet en las listas de 'HOST'. AsociartodoundominioaunaIP : Esta función permite que, dado un dominio concreto, todos los nombres de host asociados a dicho dominio devuelvan siempre la misma dirección IP.
67.
© 2012. Girsa-Net
67 Servidores de nombres por dominio : Esta opción permite buscar nombres de equipos de un dominio en concreto, a través de un DNS determinado. Esta es una función muy útil e imprescindible cuando existe en la Intranet uno o varios dominios privados que NO tienen resolución de nombres de Internet, y deseamos resolver nombres privados y públicos sin enredar demasiado en la configuración de nuestros PCs de trabajo y demás servidores corporativos. IMPORTANTE: No confundir la función de 'asociar todo un dominio a una IP' con los servidores de nombres por dominio. Son cosas muy diferentes... 1.12.11.- Servicio de WWW: Permite configurar un servidor web en el propio servidor CDC-DATA, sacando provecho de todas las herramientas de seguridad que dispone. El servidor web integrado soporta HTML, PHP, PERL y JAVA, con todo el soporte para extensiones Flash de Macromedia. No ejecuta código ASP ni ASPX. Es totalmente operativo y funciona como servidor virtual por nombres, sin límite teórico de dominios alojados en él, aunque se ha autolimitado a 150 conexiones simultáneas concurrentes. Para poder instalar una página web en el servicio web del servidor, primero hay que transferir el código de la página y sus archivos correspondientes al servidor CDC-DATA. Para ello deberá emplear el servicio FTP y conectarse al servidor FTP del CDC-DATA, con el usuario 'webmaster', que existe ex-profeso para este propósito. Debe recordar que a diferencia de otros servidores web de uso público, cuando transfiere los archivos de una página web al servidor CDC-DATA mediante la cuenta 'webmaster', NO está escribiendo directamente donde se muestra la página web, sino en una carpeta temporal creada a este propósito. Mientras no acceda al Panel de Control del servidor CDC-DATA y transfiera la carpeta al servidor, la página web NO se mostrará. Esta es una medida importante de seguridad, a fin de no comprometer el contenido de su página web si su contraseña de acceso 'webmaster' fuera descubierta.
68.
© 2012. Girsa-Net
68 Las opciones de configuración son: Nombre del servidor (FQDN) : Nombre del servidor de Internet al que queremos que responda el servidor. Puede ser cualquier nombre, pero si NO está cualificado en un DNS de Internet, sólo será accesible desde intranets, desde equipos con la IP del servidor configurada en WINS con NetBios, o en el archivo local de hosts del cliente. IMPORTANTE: el nombre debe ser aquél al cual llamaremos desde el navegador de Internet. La funcionalidad de los botones de esta opción de configuración son las siguientes: Inserta : Incluye el nombre del servidor en la configuración del servicio web. No lo instala. Elimina : Elimina el nombre del servidor en la configuración del servicio web y elimina los archivos de la página web asociada al nombre del servidor, de la carpeta donde reside en el servidor web. No la elimina de la carpeta de 'webmaster'. Requiere que se escriba el nombre a eliminar en el cuadro de diálogo del formulario. Instala : Copia los archivos de la página web asociada al nombre del servidor, desde la carpeta del usuario 'webmaster' a la carpeta donde reside en el servidor web. Si ya existiera, la sustituiría completamente. Requiere que se escriba el nombre del servidor en el cuadro de diálogo del formulario. Los archivos de la página web deben estar contenidos en una carpeta cuyo nombre sea IDENTICO al nombre del servidor web asociado a la página web. El
69.
© 2012. Girsa-Net
69 sistema diferencia entre mayúsculas y minúsculas. Para evitar errores, introduzca siempre los nombres en minúsculas. 1.12.12.- Servicio de Proxy: Permite controlar el acceso a Internet mediante navegador Web a los usuarios de la red local. Así mismo, es un acelerador de páginas Web que minimiza el tiempo de acceso a Internet por parte de los usuarios y reduce el consumo del ancho de banda. Las opciones son: Puerto de servicio : Es el puerto al cual el servicio de proxy atenderá las peticiones de los usuarios de la red. Por defecto es el '3128'. MemoriaProxy : Establece la memoria en MBytes que utilizará el servidor CDC- DATA para el servicio de Proxy. Para números de usuarios en red elevados, es conveniente aumentar el número de memoria. Por lo general, hasta 10
70.
© 2012. Girsa-Net
70 usuarios, es suficiente con 8 MB de RAM. Sólo admite valores entre 8 y 64. Caché de disco : Establece el espacio de disco en MBytes que utilizará el servidor CDC-DATA para el servicio de Proxy. Para números de usuarios en red elevados, es conveniente aumentar el tamaño. Por lo general, hasta 10 usuarios, es suficiente con 128 MB de espacio en disco. Sólo admite valores entre 128 y 2048. ProxyDNS: IP del servidor DNS del servicio de proxy, independientemente del que hubiera asignado en el sistema desde “Configuración : TCP/IP”. Comportamiento : Establece el modo en que un usuario se autentica y queda registrado para acceder a Internet. Si es 'transparente', el usuario no es consciente de que existe algún tipo de Proxy y se registra los lugares visitados identificando su dirección IP (por lo que realmente se registran PCs, no usuarios). Este modo no requiere configurar el navegador de Internet ni necesita intervención alguna por parte del usuario, lo cual supone más facilidad y sencillez. En el modo 'Por usuario', se requiere que el usuario introduzca un nombre y una contraseña para acceder a Internet, quedando registrado todos los accesos a su nombre, y no sólo a su PC. Para ser efectivo, requiere dar de alta a cada usuario con un nombre y una contraseña, y configurar el navegador de Internet de modo que actúe a través de Proxy. La dirección del proxy es la IP del servidor CDC-DATA en la red local, y el puerto a utilizar es la indicada en 'Puerto de servicio'. AdministradordeProxy: Es la dirección de correo electrónico del administrador del servicio de Proxy-Caché. Tiene función meramente informativa en caso de producirse algún mensaje de error para el usuario. Redes proxificadas: Establece qué redes locales serán redirigidas OBLIGATORIAMENTE hacia el puerto de servicio del proxy. En modo 'transparente', el usuario simplemente navega si así lo permiten sus derechos de acceso. En modo 'Por Usuario', obliga a que el navegador esté debidamente configurado y pide su autenticación. En caso negativo, muestra su correspondiente mensaje de error. Destinos NO proxificados : Establece qué destinos de red NO deberán ser filtrados por el Proxy. (Se accederá a ellos como si no hubiera proxy). Para quitarlo, introducir un espacio en blanco. Importante: sólo es posible introducir una sola dirección de red en Destinos NO proxificados.
71.
© 2012. Girsa-Net
71 Con la opción de Activar informes automáticos diarios, se nos permite la entrega de informes de navegación y acceso web a la cuenta de correo definida en 'Administrador del Proxy'. Cualquier cambio realizado en la configuración del Proxy será activada en cuanto pinchemos en el botón de Activar cambios del proxy. Así mismo, podemos escoger entre tener el servicio de proxy activo o no. 1.12.13.- Servicio Antivirus – AntiSpam: Permite configurar el filtro de Antivirus y AntiSpam para el servicio de correo. En él podemos habilitar o deshabilitar las siguientes opciones: - IntegrarAntiVirusconlanavegaciónweb.
72.
© 2012. Girsa-Net
72 - IntegrarAntiVirus-AntiSpamconelcorreoelectrónico. - Comportamientodelsistema: Activar modo silencioso para virus. Activar modo silencioso para spam. Idioma por defecto. KILL level (2.1 – 6.3). Es el nivel de puntuación a través del cual el sistema rechaza un correo, lo normal es tenerlo en 3.5. - Notificaciones al usuario postmaster: El usuario postmaster deberá ser configurado previamente en Configuración/Servidores/Correo Electrónico. Notificar llegadas de correos con virus. Notificar llegada de correo basura (spam). Después de habilitar/deshabilitar cualquier opción hay que darle al botón Modifica, y después a Activar cambios/Reiniciar servicio.
73.
© 2012. Girsa-Net
73 2.-SEGURIDAD En este menú se encuentran las aplicaciones referentes a la seguridad del sistema y del control de accesos, tanto desde Internet a la red local, como de la red local a Internet. Todos estos servicios están siempre activos por defecto, y NO pueden desactivarse. Además, cualquier cambio que se realice en su configuración, exige que se active para aplicar los cambios pertinentes. IMPORTANTE: Conviene recordar que existe 2 juegos diferentes de reglas que afectan a la seguridad, en función de cómo hayamos configurado en Firewall (apartado 1.12.1) 2.1.- ACEPTAR DESDE WAN Permite definir qué direcciones pueden acceder a determinados puertos del servidor CDC-DATA. Con el FW configurado en modo simple, por defecto, el servidor tiene la siguiente regla definida: que significa: Ip Origen: cualquiera, IP de entrada: cualquiera, Puerto 10022 Ip Origen: cualquiera, IP de entrada: cualquiera, Puerto 8989 Estas direcciones permiten el acceso de cualquier IP al Panel de Control web sobre SSL (8989) y transferencias seguras de archivos para las copias de seguridad de CDC-Data (10022) . Si se desea desactivar, basta con eliminarlas, aunque si lo hace, no será posible realizar tareas de administración remota en su equipo. Las autorizaciones se realizarán a través de reglas en las que se identificará:
Descargar ahora