Gav7 52

CCDDCC--DDaattaa
vveerrssiióónn 77..5522
Guía de Administración

© 2012. Girsa-Net 2
José Luis Navarro Adam
http://www.girsa-net.com
El presente documento es propiedad de Girsa-Net, S.A.
El presente documento puede copiarse y distribuirse en cualquier
tipo de formato físico o informático, siempre y cuando se
reproduzca de manera íntegra y manteniendo el nombre del
propietario y del autor.
© 2012. Girsa-Net, S.A.

Índice de contenido
1.- CONFIGURACIÓN.....................................................................................................................6
1.1. TCP/IP...............................................................................................................................6
1.2. MTU..................................................................................................................................8
1.3. IP’s VIRTUALES..................................................................................................................8
1.4. HOSTS...............................................................................................................................9
1.5. TÚNELES IP.....................................................................................................................10
1.6. TÚNELES SSL...................................................................................................................14
1.7. VPN SSL...........................................................................................................................22
1.8. RUTAS.............................................................................................................................28
1.9. CONTROL DE TRÁFICO....................................................................................................35
1.10.- CERTIFICADO SSL.........................................................................................................40
1.11.- ZONA HORARIA...........................................................................................................42
1.12.- SERVIDORES................................................................................................................43
1.12.1.- Servicio de Firewall:............................................................................................44
1.12.2.- Carpetas Compartidas:........................................................................................48
1.12.3.- Correo Electrónico:.............................................................................................50
1.12.4.- Gestor de descargas de correos externos:..........................................................51
1.12.5.- Cliente Webmail - SSL:.........................................................................................54
1.12.6.- Servicio de agenda LDAP:....................................................................................55
1.12.7.- Conexiones PPTP:................................................................................................57
1.12.8.- Servicio de FTP:...................................................................................................59
1.12.9.- Servicio de DHCP:................................................................................................60
1.12.10.- Servicio DNS:.....................................................................................................62
1.12.11.- Servicio de WWW:............................................................................................64
1.12.12.- Servicio de Proxy:..............................................................................................65

1.12.13.- Servicio Antivirus – AntiSpam:..........................................................................68
2.- SEGURIDAD...........................................................................................................................69
2.1.- ACEPTAR DESDE WAN...................................................................................................69
2.2.- RECHAZAR.....................................................................................................................71
2.3.- NAT................................................................................................................................72
2.4.- DMZ...............................................................................................................................73
2.5.- RESTRICCIONES LAN......................................................................................................75
2.5.1.- Control de navegación web:..................................................................................75
2.5.2.- Bypass de conexiones proxy:.................................................................................78
2.5.3.- Control de puertos permitidos:.............................................................................79
2.5.4.- Publicar redes privadas (SNAT):............................................................................80
2.5.5.- Redes permitidas por defecto hacia Internet (MASQUERADE):...........................81
2.6.- DETECTOR DE INTRUSIÓN.............................................................................................82
2.7.- NAGIOS..........................................................................................................................83
2.8.- ARP ALERT.....................................................................................................................84
2.9.- FILTRADO DE CORREO...................................................................................................86
2.9.1.- Filtrado por cabeceras...........................................................................................86
2.9.2.- Filtrado por adjuntos.............................................................................................87
2.9.3.- Filtrado por contenido..........................................................................................88
2.9.3.- Listas negras AntiSpam..........................................................................................88
3.- CUENTAS DE USUARIO..........................................................................................................89
3.1.- ADMINISTRADOR..........................................................................................................89
3.2.- USUARIOS COMUNES....................................................................................................90
3.3.- PROXY............................................................................................................................93
3.4.- PPTP..............................................................................................................................94
3.5.- WEBMASTER.................................................................................................................95

3.6.- USERLOG.......................................................................................................................96
3.7.- NAGIOS..........................................................................................................................96
4.-INFORMACIÓN.......................................................................................................................97
4.1.-REGISTROS.....................................................................................................................97
4.2.- ESTADÍSTICAS..............................................................................................................101
4.3.- MENSAJES...................................................................................................................102
5.- UTILIDADES.........................................................................................................................103
5.1.- UTILIDADES DE SISTEMA.............................................................................................103
5.2.- UTILIDADES DE RED.....................................................................................................105
5.3.- COPIAS DE SEGURIDAD...............................................................................................107
5.4.- NTOP...........................................................................................................................108
5.5.- NAGIOS........................................................................................................................108
6.- FINALIZAR SESIÓN...............................................................................................................109

1.-CONFIGURACIÓN
En este menú se encuentran las aplicaciones referentes a la configuración de los
servicios incorporados y a la comunicación del servidor CDC-DATA con el exterior.
1.1. TCP/IP
Esta herramienta nos proporciona información acerca de las "interfaces" o conexiones
físicas del CDC-Data. Además, permite modificar los servidores DNS de acceso a
Internet.
IMPORTANTE: Los valores introducidos no toman efecto hasta que se reinicie el
servidor CDC-DATA, o se pulse el botón Activa
Las opciones de este apartado son las siguientes:
Nombre de Host : Nombre de la máquina. Es el identificador o alias de la máquina.
Siempre debe existir algún nombre, y da igual que no sea un nombre cualificado
(FQDN). Es simplemente la identificación que hace el sistema CDC-DATA de sí mismo,
y como tal aparecerá en los informes y registros.
LAN : Dirección IP única perteneciente al rango de direcciones de su red local o red de
confianza. Debe introducirse la dirección IP con su máscara de red correspondiente. La
notación empleada para las máscaras es la octal. Si no está acostumbrado a este tipo
de notación, no se preocupe; CDC-DATA lo convertirá por usted.
La máscara de red es un número con el formato de una dirección IP que nos sirve para
distinguir cuando un dispositivo de red determinado pertenece a una determinada
subred, con lo que podemos averiguar si dos dispositivos se encuentran en la misma
subred IP. Lo habitual es que el formato sea: a.b.c.d/e.f.g.h (siendo 'a,b,c,d' la dirección
IP y 'e.f.g.h' valores entre 0 y 255). La notación interna empleada por CDC-DATA es la
CDIR, siendo su formato a.b.c.d/e donde 'a.b.c.d' es la dirección IP y 'e' la máscara,
representada como un número comprendido entre 1 y 32.

Tenga presente que:
a.b.c.d/8 = a.b.c.d/255.0.0.0
a.b.c.d/16 = a.b.c.d/255.255.0.0
a.b.c.d/24 = a.b.c.d/255.255.255.0
a.b.c.d/32 = a.b.c.d/255.255.255.255 = a.b.c.d
WAN : Dirección IP única perteneciente al rango de direcciones de la red pública o red
insegura. Debe introducirse con su máscara de red correspondiente.
DMZ : Dirección IP única perteneciente al rango de direcciones de la Zona
Desmilitarizada. En ella se debería conectar los servidores de acceso público que se
redirijan a través del NAT hacia la red del usuario. Esta red DMZ tiene la característica
de que sólo puede salir hacia el exterior, ya sea la WAN, la LAN o VPNs, sólo si existe
alguna petición de servicio desde un usuario externo a la DMZ. Por sí misma, es
rechazada por el servicio de Firewall.
Si necesita que algún tipo de servicio pueda salir de su interfaz DMZ hacia el exterior
(por ejemplo, el puerto 21 para las actualizaciones de antivirus de nuestro servidor
corporativo) deberá especificarlo explícitamente en el apartado de Seguridad : DMZ
DNS1 : Dirección IP del primer servidor de resolución de nombres de Internet.
DNS2 : Dirección IP del segundo servidor de resolución de nombres de Internet.
DNS3 : Dirección IP del tercer servidor de resolución de nombres de Internet.
IMPORTANTE: Los DNS en el servidor CDC-DATA funcionan como backup; si el primero
no responde, se pregunta al segundo, y si no se obtiene respuesta, al tercero. Por
tanto, ponga sólo servidores de Internet. Si desea resolver nombres de otros equipos,
puede darlos de alta en el menú HOSTS y declarar como DNS en sus clientes de red al
servidor CDC-DATA. Si desea poner una resolución de nombres de equipo de otros
servidores, configure un servidor DNS alternativo o instale un servidor WINS en la red, y
configure sus clientes de red hacia dichos servidores. No declare servidores de DNS
privados que no resuelvan direcciones de Internet, a no ser que desee realmente
hacerlo así.
El botón Modifica cambia sólo el valor del campo introducido. No es necesario, por
tanto, escribir todos los valores cada vez para modificar un valor.
Para que estos valores se apliquen, hay que reiniciar el servidor o pulsar el botón
Activa.
1.2. MTU
Es la Unidad Máxima de Transferencia, es la cantidad de bits máximos a ensamblar en
un paquete, que puede pasar por una capa de uno de los protocolos de

comunicaciones.
Podemos modificar la MTU de LAN, WAN, DMZ, Túneles SSL y Túneles IP. El botón
Reset vuelve a definir los valores iniciales por defecto (como se muestra en pantalla)
1.3. IP’s VIRTUALES
Esta herramienta nos permite agregar otras direcciones de red al servidor CDC-DATA,
tanto en el interfaz LAN, como en el WAN o DMZ.
Si agregamos una IP en el interfaz LAN del mismo rango que la existente en el TCP/IP,
lograremos que el servidor responda ante varias direcciones. Esto es muy útil a la hora
de planificar cambios de instalaciones o de routers ya existentes, sin necesidad de
interrumpir el servicio.
Si la IP a añadir pertenece a otro rango de red, lo que haremos será declarar una
subred local diferente, que nos permitirá posteriormente definir reglas de acceso por
grupos de usuarios, en función de la pertenencia a una u otra subred. Por tanto, es
posible crear VLAN por segmentación de red IP.
Los parámetros de configuración son los siguientes :
Interfaz : Es el interfaz al que añadiremos la nueva direccción IP.
IPVirtual/Máscara : Corresponde a la dirección IP virtual que deseamos añadir, con su
máscara de red correspondiente. El sistema emplea la notación octal. Si la introduce
en la notación tradicional, el sistema la convierte automáticamente.
Al igual que en la opción TCP/IP, los valores introducidos no toman efecto hasta que se

reinicie el servidor CDC-DATA o se pulse el botón Activa.
1.4. HOSTS
Esta herramienta nos permite declarar los nombres de equipo que deseemos
identificar como nombres de red. Es aconsejable escribir nombres cualificados (FQDN)
del tipo equipo.dominio.com aunque también permiten nombres NetBios del tipo
mi_pc . En este último caso, NO escriba nombres con espacios.
Hay que tener presente que el servidor CDC-DATA lleva incorporado un DNS Caché,
que acelera las búsquedas de equipos en Internet, por lo que si se desea sacar
provecho de esta característica deberemos configurar el TCP/IP de los clientes de red
de manera que apunten a la IP del servidor CDC-DATA en el interfaz de LAN.
Si dispone de un servidor DNS interno que también resuelve nombres de Internet,
puede hacer que sus clientes apunten a dicho servidor y el CDC-DATA a Internet, o
bien hacer que los clientes apunten al servidor CDC-DATA, y éste apunte como DNS 1 a
su servidor DNS interno, y los DNS 2 y 3 apunten a DNS de Internet. De este modo,
siempre resolverá nombres de Internet y dispondrá de un backup de DNS en caso de
caída del servidor.
1.5. TÚNELES IP
CDC-Data permite conectar delegaciones enteras de una forma muy sencilla gracias a
túneles IP con encapsulación GRE.
Este tipo de túneles poseen la ventaja de ser P2P, con lo que cualquier CDC-DATA
puede conectarse con cualquier otro siempre y cuando ambos estén de acuerdo. Esto
es, se necesita configurar ambos servidores CDC-DATA para que un túnel funcione y el
acceso a un CDC-DATA es virtualmente imposible a menos que se permita
explícitamente en ambas direcciones.

Sin embargo, se ha comprobado que es posible 'leer' la información transmitida por
este tipo de túneles. Por tanto, deberá evitarlos cuando necesite establecer
comunicaciones seguras entre dos servidores CDC-DATA.
AVISO DE SEGURIDAD : Este tipo de túnel ha quedado obsoleto y si existe en este
servidor es por una cuestión de compatibilidad con las series 3 y 4 de CDC-DATA. Por
favor, emplee exclusivamente túneles SSL.
La configuración de un túnel es trivial si se conocen las redes que se desean unir
(dirección de red y máscara en notación corta) y las IPs públicas y privadas del CDC-
Data remoto con el que se conectará (interfaz WAN y LAN del equipo remoto).
Las diferentes opciones de los submenús que aparecen son las siguientes:
• Definición de enlaces:
Representan las conexiones punto a punto desde una dirección pública del
interfaz WAN de nuestro servidor CDC-DATA, a otra dirección pública del
interfaz WAN de otro servidor CDC-DATA remoto.
Para configurar un enlace, se necesitan los siguientes parámetros:
Túnel : El nombre con el que vamos a identificar a este enlace. No
puede haber nombres de enlace duplicados.

IP WAN remota : La dirección IP pública a la que queremos conectar.
Debe corresponder con una IP definida en el interfaz WAN del CDC-
DATA remoto, ya que por cuestiones de seguridad el protocolo para
establecer los enlaces NO atraviesa routers con NAT. Si dispone de una
conexión ADSL, su router deberá estar configurado en modo
monopuesto con el servidor CDC-DATA.
IP WAN local : La dirección IP pública desde la cual nos queremos
conectar, en nuestro servidor CDC-DATA local.
IP local/Máscara : La dirección IP de LAN de nuestro servidor CDC-
DATA local, con su máscara de red, en notación octal. Corresponde
con una de las IPs configuradas en el sistema en el apartado TCP/IP o
en el apartado IPs Virtuales.
IP CDC LAN remota : La dirección IP de LAN del servidor CDC-DATA
remoto al que deseamos conectar.
Estado : Indica si deseamos que el enlace se active por
defecto o no.
Para añadir un enlace, es preciso introducir todos los parámetros que
acabamos de comentar, y pinchar en el botón Añadir.
Para eliminarlo, bastará con introducir el nombre del túnel y pinchar
en el botón Eliminar . Por cuestiones de seguridad, no es posible
modificar un túnel. Para ello, hay que eliminarlo y luego volver a crearlo.
Si el túnel estaba desactivado y deseamos activarlo, bastará con
introducir el nombre del túnel y pinchar en el botón Activar
Si deseamos desactivarlo, bastará con introducir el nombre del túnel y
pinchar en el botón Desactivar
• Rutas por enlace:
El enlace representa el camino físico que deben seguir los paquetes IP
por la red para llegar de una IP de WAN a otra remota. Sin embargo,
cuando creamos una VPN nos interesa alcanzar, además, a las
direcciones privadas de las redes remotas, y no sólo a su Firewall.
Para ello, es necesario decirle al servidor CDC-DATA qué ruta debe seguir,
introduciendo los siguientes valores:

Destino : La dirección IP o de red privada REMOTA a la que deseamos llegar a
través del túnel.
Enlace : El nombre del enlace que nos transportará al otro extremo de la red.
Carga : El número de paquetes que el servidor CDC-DATA repartirá cada vez
hacia ese enlace, en el caso de que dispongamos de varios enlaces hacia un
mismo destino.
En este último caso, dispondríamos de 2 rutas alternativas para acceder a una
red remota dentro de una misma VPN. La carga permite que ambos enlaces
operen al mismo tiempo, de manera que se dispondría de un backup en caso
de caída de un enlace, mientras que la carga de trabajo balancearía el tráfico en
función del parámetro de 'carga' introducido. Por ejemplo, si disponemos de 2
enlaces asociados a 2 ADSL diferentes, una de doble capacidad que la otra,
haríamos que el enlace menor tuviera una carga igual a 1 y el de mayor
capacidad igual a 2. Esto significa que de cada 3 paquetes, 1 iría por un enlace y
2 por el otro. Si un enlace deja de funcionar, entonces el sistema detectaría la
caída y emplearía el enlace operativo hasta que detectara que vuelve a
funcionar. Esta comprobación se realiza de manera automática por el servidor
CDC-DATA cada minuto.
• Control de puertos permitidos por enlace:
Una vez tenemos definidos los enlaces y sus rutas por enlace correspondiente,
nos hace falta indicar hasta dónde podemos alcanzar cualquier destino remoto
que esté detrás del enlace y con qué puertos podremos hacerlo.
De este modo, impediremos que alguien malintencionado pueda añadir una
ruta más en las rutas por enlace sin consentimiento de los usuarios remotos, y
acceder más allá de lo debido.
Por eso, es necesario que se indique para los enlaces definidos en el
sistema cuáles son los destinos locales de nuestra red que son
"alcanzables" por los usuarios remotos que acceden a través de dichos
enlaces, y acotarles la zona de trabajo.

Por defecto, el servidor CDC-DATA descartará siempre los paquetes IP
que vengan de un enlace externo, hasta que se definan los destinos
permitidos.
Para ello, bastará con cumplimentar los siguientes datos:
Enlace: El nombre del túnel que queremos acotar.
IP Origen : La dirección de origen a la que deseamos permitir el
acceso a nuestros destinos locales. Si especificamos una IP, sólo se
permitirá al equipo correspondiente a esa dirección.
Puerto : Corresponde al puerto (ya sea TCP ó UDP) al cual deseamos
permitir el acceso. Para indicar todos los puertos, escriba '1:65535'
Destino local : La dirección hacia la que deseamos que lleguen los
paquetes IP de los usuarios remotos provenientes de dicho túnel. Si
especificamos una IP, sólo se alcanzará el equipo correspondiente a esa
dirección, sin afectar al resto de usuarios. Si introducimos una dirección
de red, se alcanzará a todos esos usuarios.
La IP local puede ser, como su nombre indica, una IP de nuestra red local,
toda la red local, la red DMZ, una dirección o grupo de direcciones de
Internet, una dirección de otros túneles que tengamos definidos... En
definitiva, tan sólo indica hasta dónde pueden llegar los paquetes que
vengan por el túnel en cuestión.
El botón Reset elimina todas las entradas existentes.
IMPORTANTE: No olvide Activar Firewall para que todos los cambios
introducidos entren en funcionamiento.
1.6. TÚNELES SSL
CDC-Data permite conectar delegaciones enteras de una forma muy sencilla gracias a
túneles sobre SSL y llegar hasta cifrados de 512KB, mediante certificados de hasta
2048 bits.

Este tipo de túneles poseen la ventaja de ser punto-a-punto, con lo que cualquier CDC-
DATA puede conectarse con cualquier otro siempre y cuando ambos estén de acuerdo.
Esto es, se necesita configurar ambos servidores CDC-DATA para que un túnel
funcione, siendo el acceso a un CDC-DATA virtualmente imposible a menos que se
permita explícitamente en ambas direcciones. Además, existe un mecanismo de
defensa adicional, desarrollado exclusivamente por CDC e implementado en los
servidores CDC-DATA, que imposibilita los ataques e intrusiones del tipo man-in-the-
middle (o ataques de interceptación de paquetes y suplantación del emisor), y
atravesar otros enrutadores con o sin NAT sin que se alteren las cabeceras de control.
La configuración de un túnel SSL requiere el uso de certificados y mecanismos de
autenticación. Por lo demás, sólo necesitará conocer las redes que se desean unir
(dirección de red y máscara en notación corta) y la IP pública del equipo que actúe
como 'servidor'.
Si su delegación central dispone de varios accesos de banda ancha en paralelo (varias
ADSL, LMDS, etc.), puede que desee repartirlos para acceder a sus distintas
delegaciones. En ese caso el servidor CDC-DATA podría soportar varios interfaces
virtuales en su tarjeta WAN y repartir los túneles entre ellos.
Otra característica de los túneles SSL es que soportan redundancia y configuraciones
en modo 'backup', que permiten crear bajo demanda la VPN en caso de caída de la IP
pública del servidor a través de otras IPs alternativas (En esta versión está autolimitado
a 2 IPs de backup).

Certificados locales:
Son los certificados que autentican quién está al otro lado del túnel. CDC-DATA
emplea certificados SSL del tipo 'Static Key' con un nivel de cifrado de 2048
bits. Para poder establecer un túnel SSL deberá definir el mismo certificado en
cada lado del túnel. Puede, así mismo, emplear el mismo certificado para más
de un túnel SSL.
Los certificados locales son aquellos que se definen en el propio servidor CDC-
DATA.
Por defecto, existe un certificado de origen llamado cdcdata totalmente
operativo. Le recomendamos que emplee el suyo propio.
Una vez haya creado su certificado local con la opción Inserta, puede
visualizarlo y cópialo para exportarlo a otro servidor CDC-DATA, seleccionando
el contenido íntegro del certificado con el ratón y copiarlo con la opción del
menú del ratón 'botón derecho : copiar'.
Certificados externos:
A diferencia de los certificados locales, éstos son los certificados que se
exportan desde otro servidor CDC-DATA, desde la opción de menú 'Certificados
locales'. Para ello, escriba el nombre del certificado que desee añadir y pegue
con la opción derecha del ratón el contenido previamente copiado del
certificado creado en el CDC-DATA remoto.
Puede repetir esta operación en cada uno de los servidores CDC-DATA de su
organización. Aún cuando cada túnel SSL requiera sus propios parámetros de
configuración, puede emplear el mismo certificado para todos ellos.

Debe tener presente que el certificado es quien identifica al equipo remoto que
desea establecer el túnel. Jamás deje sus certificados en archivos o ficheros de
texto, ni los envíe por correo electrónico ni ftp. Si debe exportar un certificado a
otros servidores CDC-DATA, hágalo a través del panel de control (que es una
sesión cifrada SSL).
Definición de enlaces en modo servidor: Representan los enlaces que actuarán a la
escucha de una conexión SSL entrante. Tenga presente que los túneles SSL no
se establecen de IP a IP conocida, sino entre máquinas con un certificado
determinado en un puerto concreto. Este tipo de configuración permite la
definición de enlaces de backup independientemente de la IP pública de la
conexión en cada momento a ambos lados del túnel.
Para configurar un enlace SSL en modo servidor, se necesitan los siguientes
parámetros:
Túnel : El nombre con el que vamos a identificar a este enlace. No puede haber
nombres de enlace duplicados tanto en los modos servidor como cliente de un
mismo servidor CDC-DATA. El tamaño máximo es de 12 caracteres y no admite
el carácter _ (subrayado).
IPSSL local : La dirección IP del enlace SSL que asignaremos a nuestro servidor
CDC-DATA en modo servidor. Debe ser una IP privada cuya red NO haya sido
definida anteriormente ni exista como IP privada en cualquiera de las redes a
las que se desee conectar; es decir, que NO exista ni en local ni en remoto.
Tenga en cuenta que el enlace SSL crea una "red virtual" exclusivamente para
él.

Por tanto, recuerde que la IP SSL local se crea automáticamente sin necesidad
de definirla anteriormente.
La máscara de red asumida por el interfaz virtual SSL es del tipo 'C' ó /24 ó
255.255.255.0
IP SSL remota : La dirección IP del enlace SSL que asignaremos al servidor CDC-
DATA remoto, independientemente de las IPs públicas y/o privadas que
tuviera. Debe ser una IP privada perteneciente al rango de la IP SSL local
definida anteriormente, ya que el enlace SSL crea una "red virtual"
exclusivamente para él.
Al igual que la IP SSL local, la IP SSL remota se crea automáticamente sin
necesidad de definirla anteriormente.
Cert : El nombre del certificado que vamos a emplear. El campo nos muestra
todos los certificados disponibles, tanto los públicos como los privados.
HMAC : El tipo de algoritmo de cifrado que vamos a emplear para transmitir los
controles de cabeceras de los paquetes IP por el túnel. A diferencia del
protocolo IPSec, éstas cabeceras sí que pueden atravesar cortafuegos y
soportan NAT sin alterar su valor.
Los paquetes HMAC no transmiten información, sólo indican si el contenido del
mensaje ha sido alterado "por el camino". Por ello, son cifrados del tipo
'checksum' ó de control redundante cíclico (CRC). No se alteran al atravesar
otros enrutadores.
Por seguridad, les recomendamos tomar el valor 'RSA-SHA1-2'.
Cipher : El tipo de algoritmo de cifrado que vamos a emplear para transmitir la
información generada a través del túnel.
Por defecto, se toma el valor 'BF-CBC_128'.
Puerto : Es el puerto UDP en el que se establecerá el túnel. Debe ser un valor
comprendido entre 25000 y 25999. Cada túnel debe configurarse para escuchar
en un puerto diferente, ya que el protocolo empleado es el UDP. Este protocolo
permite mayor eficacia y rendimiento, aunque requiere un uso exclusivo por
túnel. Si necesita establecer otro valor de puerto, délo de alta con un valor
comprendido en este rango (por ejemplo, 25000) y luego modifique el valor de
puerto.
Recuerde que debe habilitar el puerto de escucha del túnel SSL en el apartado
'Seguridad : Aceptar', tanto para el modo servidor como para el modo cliente.

IMPORTANTE: Los valores 'Cert', 'HMAC', 'Cipher' y 'Puerto' deben ser idénticos
a ambos lados del túnel. Uno de ellos estará configurado en modo servidor y el
otro en modo cliente. Las IPs SSL local y remota que se definan en modo
servidor en un lado del túnel, corresponderán con las IPS SSL remota y local en
el túnel del otro extremo definido en modo cliente.
Activo : Indica si deseamos que el enlace se active por defecto o no.
acabamos de comentar, y pinchar en el botón Inserta.
Para eliminarlo, bastará con introducir el nombre del túnel y pinchar en el
botón Elimina .
Para modificar cualquier valor, deberemos escribir obligatoriamente el nombre
del Túnel y escribir el nuevo valor en el campo que deseemos modificar, y
pinchar en el botón Modifica. No es necesario escribir todos los demás valores
si no se alteran.
Si deseamos cambiar el estado por defecto de un túnel a Activo, bastará con
introducir el nombre del túnel y pinchar en el botón Activa
Si deseamos desactivarlo por defecto, bastará con introducir el nombre del
túnel y pinchar en el botón Desactiva
Estas dos opciones anteriores NO cambian el estado del túnel en un momento
dado. Sólo indican si un túnel en cuestión debe arrancarse o no cuando se
active el servicio de VPN SSL.
La opción Ver Túneles nos muestra TODOS los túneles SSL activos del sistema,
tanto en modo servidor como cliente.
Definicióndeenlacesenmodocliente:
Representan los enlaces que llamarán a un servidor CDC-DATA para activar un
túnel SSL. En este modo de configuración, es necesario indicar la IP pública del
servidor remoto SSL.
Para configurar un enlace SSL en modo cliente, se necesitan los siguientes
parámetros:

Túnel : El nombre con el que vamos a identificar a este enlace. No puede haber
nombres de enlace duplicados tanto en los modos servidor como cliente de un
mismo servidor CDC-DATA.
IPSSLlocal : La dirección IP del enlace SSL que asignaremos a nuestro servidor
CDC-DATA en modo local. Debe ser la 'IP SSL remota' que se ha definido en el
túnel SSL del servidor remoto que actúa en modo servidor.
IPSSLremota : La dirección IP del enlace SSL que asignaremos al servidor CDC-
DATA remoto. Debe ser la 'IP SSL local' que se ha definido en el túnel SSL del
servidor remoto que actúa en modo servidor.
IP Servidor : La dirección IP del equipo remoto al que queremos conectar.
Deberá ser una IP pública o privada en función del tipo de dispositivo que
hayamos definido.
Esta IP debe ser accesible por el servidor CDC-DATA en modo cliente. Si no es
así, deberá crearse la ruta adecuada a su destino.
IPBackup1 : La dirección IP del equipo remoto al que queremos conectar ante
caídas del la IP del Servidor.
IPBackup2 : La dirección IP del equipo remoto al que queremos conectar ante
caídas del la IP Backup1.
Ante caídas de la IP Backup2, el sistema volverá a intentar conectar a la IP
Servidor, luego la IP Backup1 y después a la IP Backup2, y así sucesivamente.
ATENCIÓN: El túnel se comprueba cada 10 segundos, y si en 30 segundos NO
hay actividad, se fuerza un cambio de IP de conexión alternativo (IP Servidor -->
IP Backup1 --> IP Backup2 --> IP Servidor ... , y así sucesivamente).
Cert : El nombre del certificado que vamos a emplear. El campo nos muestra
todos los certificados disponibles, tanto los públicos como los privados.
Debe coincidir con el valor establecido en el túnel en modo servidor del equipo
al que deseamos conectar.
HMAC : El tipo de algoritmo de cifrado que vamos a emplear para transmitir los
controles de cabeceras de los paquetes IP por el túnel. A diferencia del
protocolo IPSec, éstas cabeceras sí que pueden atravesar cortafuegos y
soportan NAT sin alterar su valor.

Cipher : El tipo de algoritmo de cifrado que vamos a emplear para transmitir la
Puerto : Es el puerto UDP en el que se establecerá en túnel. Debe ser un valor
comprendido entre 25000 y 25999. Cada túnel debe configurarse para escuchar
en un puerto diferente, y debe coincidir con el valor establecido en el túnel en
modo servidor del equipo al que deseamos conectar. Si deseamos otro valor
diferente, lo damos de alta con un valor válido y luego lo modificamos.
Activo : Indica si deseamos que el enlace se active por defecto o no.
acabamos de comentar, y pinchar en el botón Inserta.
Para eliminarlo, bastará con introducir el nombre del túnel y pinchar en el
botón Elimina .
Para modificar cualquier valor, deberemos escribir obligatoriamente el nombre
del Túnel y escribir el nuevo valor en el campo que deseemos modificar, y
pinchar en el botón Modifica. No es necesario escribir todos los demás valores
si no se alteran.
Si deseamos cambiar el estado por defecto de un túnel a Activo, bastará con
introducir el nombre del túnel y pinchar en el botón Activa
Si deseamos desactivarlo por defecto, bastará con introducir el nombre del
túnel y pinchar en el botón Desactiva
Estas dos opciones anteriores NO cambian el estado del túnel en un momento
dado. Sólo indican si un túnel en cuestión debe arrancarse o no cuando se
active el servicio de VPN SSL.
La opción Ver Túneles nos muestra TODOS los túneles SSL activos del sistema,
tanto en modo servidor como cliente.
Rutasporenlace:

El enlace representa el camino físico que deben seguir los paquetes IP por la
red para llegar de una IP pública a otra remota. Sin embargo, cuando creamos
una VPN nos interesa alcanzar, además, a las direcciones privadas de las redes
remotas, y no sólo a su Firewall.
Para ello, es necesario decirle al servidor CDC-DATA qué ruta debe seguir,
introduciendo los siguientes valores:
Enlace : El nombre del enlace que nos transportará al otro extremo de la red.
Debe existir previamente.
Destino : La dirección IP de un equipo o de una red privada REMOTA a la que
deseamos llegar a través del túnel.
Prio : El número de prioridad que el servidor CDC-DATA asignará a la ruta para
alcanzar su destino. Es un valor predefinido del 5 al 9, y son las rutas de mayor
prioridad del sistema.
Es posible crear dos enlaces a dos direcciones de una misma subred, a través de
IPs públicas diferentes. La prioridad indica cuáles tendrán preferencia en caso
de solapamiento.
Por ejemplo, supongamos que tenemos dos túneles creados en modo servidor
en un equipo CDC-DATA, y en el otro extremo de los túneles definimos otros
dos túneles en modo cliente, en otro equipo CDC-DATA. Cada uno de los
túneles en modo cliente llama a una IP pública diferente del servidor. Por
tanto, cada túnel SSL escucha en dos puertos diferentes ya que son túneles
diferentes.
Ahora, a la red remota de la central de nuestra empresa con dirección
192.168.10.0/255.255.255.0 le asignamos el túnel llamado VPN1. Además,
deseamos que el tráfico hacia la IP 192.168.10.200, correspondiente a nuestro
servidor corporativo, vaya por el segundo túnel SSL, al que llamaremos VPN2.
Lo que pretendemos es que el tráfico del servidor sea independiente del cuello
de botella que se produzca en el resto del tráfico hacia la red definida en el
túnel VPN1.
Pues bien, cuando definimos las rutas, necesitaremos que la VPN2 hacia la IP

192.168.10.200 tenga una prioridad menor de ejecución para que se enrute
antes por el túnel VPN2, y no se mezcle con el resto del tráfico generado hacia
la red del túnel VPN1. Si no tuviera un nivel de prioridad diferente, todo el
tráfico generado hacia la IP de nuestro servidor corporativo se enrutaría junto
con el resto, pudiendo dar lugar a retardos innecesarios, ya que la IP del
servidor pertenece a la misma red remota.
Controldepuertospermitidosporenlace:
Véase el mismo apartado de la sección de Túneles IP (apartado 1.5).
En FW modo Avanzado (apartado 1.12.1) tendremos la posibilidad de elegir
sobre que protocolo se aplicará la regla que agreguemos, tal como muestra la
figura siguiente:
IMPORTANTE: No olvide Activar cambios / Reiniciar servicio para que todos los
cambios introducidos en los túneles SSL entren en funcionamiento.
1.7. VPN SSL
Este apartado sirve para configurar una VPN (Virtual Private Network) Red Privada
Virtual, que nos permitirá una extensión de la red local sobre una red pública.
Este tipo de servicio es más seguro que realizar una conexión PPTP, ya que para ello

necesitaremos un certificado en el propio PC para su utilización, en contra de la VPN
de Microsoft en la que no necesitamos de ningún programa externo y en donde la
seguridad únicamente viene dada con el usuario y contraseña para esa conexión.
Además, podemos alcanzar cifrados de hasta 512Bytes con soporte AES y BlowFish.
Por tanto se recomienda el uso de VPN SSL por encima de las conexiones PPTP.
Desde este apartado haremos la gestión para las conexiones externas, y para ello
deberemos definir los siguientes puntos:
Crear certificado SSL del servidor:
Los parámetros necesarios para configurar el certificado SSL son los siguientes:

Días de validez(min31) : Son los días de validez del certificado digital. Una vez
expirado el plazo, deberá generar uno nuevo. En el momento de desarrollo
actual, no tiene sentido que establezca un plazo demasiado corto.
Puede dejarlo fijo en 3600 (casi 10 años). Este es un campo obligatorio.
Código de País(Ej.ES) : Es el código de País cualificado (España = ES,
Alemania = DE, Reino Unido = UK...). Este es un campo obligatorio.
Provincia
Ciudad
Empresa
E-Mail : Es la dirección de correo electrónico del responsable de la validez
del certificado.
Para generar el certificado con los valores introducidos, deberá pinchar
sobre el botón Crear.
Alta de servicios SSL:
Los parámetros necesarios para dar de alta los servicios SSL son los
siguientes:

Servicio SSL: Es el nombre para identificar el servicio SSL, ya que podemos
crear varios y así diferenciarlos.
Puerto: Es el puerto en el que trabaja este servicio. Se suele utilizar el
1194.
Proto: Es el protocolo de uso para la conexión. Puede ser UDP ó TCP. En el caso
que queramos los 2 protocolos deberemos crear 2 reglas, una para cada
protocolo.
IPdered: Será la IP de la red virtual que vamos a crear. La primera IP será la
que tomará el servidor CDC-Data visto desde la VPN SSL, quedando las
restantes direcciones disponibles para la asignación de los usuarios remotos.
Máscara: La máscara para la red que creamos. Define el número de Ips de
usuarios a asignar disponibles.
Punto-a-punto: Deberemos definir si la conexión entre el cliente remoto y
el servidor CDC-Data va a ser punto a punto o no. Por defecto siempre será
punto a punto. Cuando NO es punto a punto, el usuario remoto puede
alcanzar a otros usuarios VPN SSL, como una red local. Si es punto a punto=SI,
cada usuario remoto es “invisible” para el resto de usuarios remotos.
DNS: Se indica el servidor DNS.
WINS: Se indica el servidor WINS de la red remota a utilizar, en el caso que haya.
Cipher: El tipo de algoritmo de cifrado que vamos a emplear para transmitir la
Activo: Si está o no activo el servicio por defecto. Podemos darlo de alta y
desactivarlo por defecto, activándolo manualmente cuando sea necesario para
tener mayor seguridad, sin necesidad de eliminarlo y volver a crearlo cada vez.
Rutas para usuarios remotos:
En este apartado indicaremos las rutas de la red local para que los usuarios
remotos puedan tener acceso a ella.
Para ello pondremos los siguientes parámetros:

ServicioSSL: El servicio sobre el que se aplicará la regla.
IP de red y máscara: IP de la red a la que nos conectaremos.
Máscara: Máscara de la red a la que conectaremos.
Control de puertos permitidos:
Servicio SSL: El servicio sobre el que se aplicará la regla.
IP Origen: La IP de origen del servicio SSL a la que se aplicará la regla. Puede ser
toda una red, o la IP de un usuario.
Puerto: El puerto TCP/UDP que vamos a autorizar en la regla.
DestinoLocal: Destino al que vamos a autorizar en la regla. Puede ser cualquier
destino alcanzable por el servidor CDC-Data.

Gestión de certificados de usuarios:
Para crear el certificado para los diferentes usuarios deberemos establecer los
siguientes parámetros:
Certificado: Nombre del certificado para la persona que lo va a utilizar.
Servicio SSL: Servicio sobre el que se generará el certificado.
IP servidor: IP del servidor al que atacará la conexión VPN SSL.
IP: Es la IP que le asigna al usuario cuando se conecte al servidor. Además, crea
automáticamente una entrada de HOST del tipo:
IP certificado.servicio_ssl.local
para ayudar a la resolución de nombres para conectar y/o registrar la actividad de
dicho usuario.
Si dejamos el valor de IP en blanco, se le asignará automáticamente la primera libre
que haya al realizar el usuario su primera conexión. Una vez asignada, ésta queda
reservada para siempre, a no ser que se elimine el usuario. Sin embargo, de este
modo, NO se crea entrada de asignación de nombre en el registro de HOST. El
rango de direcciones para asignar a los usuarios se define en el apartado “Alta de
servicios SSL” visto en la página anterior.
Al acabar de poner estos parámetros pincharemos en el botón Inserta y nos creará
el certificado.
Para descargarlo únicamente le daremos al botón Descargar y nos descargará un
archivo comprimido en formato zip que deberemos descomprimir y ponerlo en la
carpeta correspondiente del programa OpenVPN1
que utilicemos para la conexión
VPN SSL.
En el caso que queramos deshabilitar un certificado, pondremos el nombre y
pincharemos al botón Revoca, e inhabilitará ese certificado. Al revocar, la
asignación de IP de la VPN que hubiera permanece, hasta que se elimine. De este

modo, tenemos constancia de los usuarios deshabilitados. Para eliminarlo
definitivamente, y borrar todo rastro de dicho usuario, bastará con poner el
nombre y pinchar en Elimina.
IMPORTANTE: No olvide Activar cambios / Reiniciar servicio para que todos los
certificados dados de alta y/o baja entren en funcionamiento y estén
operativos. Esto se debe a que la aplicación carga en memoria los certificados
de usuarios al iniciarse el servicio, por razones de seguridad.
1 Para descargarse la aplicación OpenVPN hágalo gratuitamente desde la página web del proyecto:
http://openvpn.net Busque la última correspondiente a la versión 2.1 que incluye la utilidad GUI
para Windows. No emplee versiones anteriores, por cuestiones de seguridad. Si el cliente es
Windows Vista, instálelo como usuario Administrador, indicando permiso de ejecución como
administrador, y disponible para todos los usuarios.

Estado de las conexiones remotas:
En este punto podremos observar qué conexiones remotas están establecidas en
ese momento. Nos aparecerán los siguientes campos:
Certificado: Certificado con el que han establecido la conexión.
ServicioSSL: Servicio SSL a través del cual se conectan.
IPReal: IP Pública sobre la que se ha conectado el usuario remoto.
IPVirtual: La IP virtual asignada para esa conexión.
BytesEnv.: Bytes enviados.
ByteRec.: Bytes recibidos.
Conectadodesde: Fecha y hora en la que se ha conectado.
Últimoacceso: Fecha y hora del último acceso IP que se ha producido a través del
Firewall.
1.8. RUTAS
Este apartado sirve para configurar el modo en que el servidor CDC-DATA se comunica
con otras redes diferentes a las definidas en sus interfaces TCP/IP, tanto físicos como
virtuales, y en las redes definidas localmente en las conexiones VPN. Desde esta
opción indicamos al servidor CDC-Data en qué red se encuentra el dispositivo al que
nos queremos conectar, y por dónde debe hacerlo.
También desde aquí configuraremos el sistema de redundancia y balanceo entre
diferentes accesos a redes remotas, con la excepción de las rutas y balanceos entre
enlaces (tanto IP como SSL), los cuales se configuran desde las opciones de sus
correspondientes menús.
Por defecto, el sistema crea automáticamente las rutas conocidas como 'broadcast' al
definir los interfaces.

IMPORTANTE: El servidor CDC-DATA es capaz de manejar el sistema de enrutamiento
mediante tablas jerárquicas, a diferencia de otros sistemas. Por eso, las rutas tienen
niveles de prioridad de ejecución. No lo olvide, le hará falta más adelante.
Las tablas de enrutamiento ofrecen la posibilidad de tratar el modo de dirigir un
paquete hacia un destino de manera diferente, en función de lo que deseemos hacer.
Cuando un paquete entra en el servicio de enrutamiento, éste sale siguiendo la regla
más baja que encuentre según el orden predefinido por el sistema, según muestra el
siguiente esquema:
ENTRADA PAQUETE IP
RUTAS POR ENLACE SSL (niveles 5 a 9)
RUTAS POR ENLACE IP (nivel 11)
RUTAS POR DESTINO (niveles 12)
SERVICIO DE ENRUTAMIENTO
RUTAS POR ORIGEN (niveles 15 a 45)
RUTAS POR INTERFAZ (niveles 50 a 150)
RUTAS BALANCEADAS (niveles 160 a 220)
SALIDA PAQUETE IP

Rutaspordestino:
Son las rutas conocidas como "puertas de enlace". Indican a través de qué
router o dispositivo hay que dirigirse para alcanzar el destino indicado.
Internamente, emplean la prioridad más baja, por lo que son las que se
ejecutan primero.
Los parámetros necesarios para configurar las rutas por destino son los
siguientes:
Destino : la dirección IP (una IP o una subred definida como IP/máscara) a la
que queremos alcanzar.
Puerta de enlace : La dirección IP del router o dispositivo que conecta
directamente con el destino a alcanzar.

Si añadimos una ruta a través de una puerta de enlace que NO pertenece a una
IP local conocida, el sistema NO la aceptará y mostrará un mensaje de error.
Por ello, cuando configuremos el apartado TCP/IP o IPs Virtuales, deberemos
reiniciar el sistema o activar los cambios para que el módulo de enrutamiento
las reconozca.
El botón Ver Rutas nos muestra las rutas por destino activas del sistema en ese
momento. Las rutas se activan en tiempo real tanto al Insertar como Eliminar...
Rutaspororigen:
Como su nombre indica, sirven para enrutar los paquetes en función de la
dirección IP del emisor.
Los parámetros necesarios para configurar una ruta por origen son:
Prio: Es el nivel de prioridad de la regla de enrutamiento. Su valor está
comprendido entre 15 y 45, ambos incluidos.
Origen : Es la dirección IP del usuario o dispositivo al que queremos dar la
prioridad. Puede ser una IP ó una dirección de red como IP/máscara, en
notación octal.
Destino : Es la dirección IP de destino del servidor o dispositivo al que
queremos dar la prioridad. Puede ser una IP ó una dirección de red como
IP/máscara, en notación octal.
P.Enlace : Es la dirección IP de la puerta de enlace de salida hacia el destino.
Debe ser una IP alcanzable por nuestra red.
Interfaz : Es el interfaz de red sobre el que se encuentra la puerta de enlace
anteriormente especificada. Valores posibles: 'LAN', 'WAN, y 'DMZ'.

El botón Ver Rutas nos muestra las rutas por origen activas del sistema en ese
Rutasporinterfazbalanceado:
En esta opción definiremos las rutas por interfaz, cuando tenemos un sistema
con rutas alternativas balanceadas.
Cuando definimos un interfaz balanceado necesitamos aislar la IP virtual
asociada a un interfaz real para que el sistema sea capaz de creer que tiene una
tarjeta real por IP. Como quiera que no tengamos más que una tarjeta física, ya
sea 'LAN', 'WAN' o 'DMZ', es preciso que el sistema de enrutamiento "las vea"
como si fueran tarjetas reales.
Fuera de este propósito, la configuración de estas opciones no tiene ningún
sentido.
La manera de aislar interfaces virtuales es emplear rutas asiladas por interfaz, y
los parámetros necesarios para ello son:
IP Origen: Es la dirección IP del servidor CDC-DATA asociada al interfaz que
queremos aislar, generalmente una IP del interfaz 'WAN'.
RedOrigen: Es la dirección IP de red del servidor CDC-DATA asociada al interfaz
que queremos aislar, generalmente del interfaz 'WAN'. Hay que especificarla en
notación octal.
Destino: Es la dirección IP de destino al que queremos alcanzar con el balanceo

de carga. Puede ser una IP ó una dirección de red como IP/máscara, en
notación octal.
P.Enlace : Es la dirección IP de la puerta de enlace de salida hacia el destino.
Debe ser una IP alcanzable por los valores dados en 'IP Origen' y 'Red Origen'.
Interfaz: Es el interfaz de red sobre el que se encuentra la puerta de enlace
El botón Ver Rutas nos muestra las rutas por interfaz activas del sistema en ese
Rutasmulti-rutabalanceadas:
En esta opción definiremos las reglas hacia destinos balanceados, que NO sean
de túneles tanto IP como SSL, ya que éstas se configuran en sus
correspondientes apartados .
Una ruta multi-ruta es aquella en la cual para acceder a un destino, tenemos
más de una puerta de enlace posible. Puede ser útil para "ampliar" de manera
sencilla y transparente el ancho de banda, y/o para disponer de redundancia y
backup. A diferencia del backup tradicional, estas rutas trabajan
simultáneamente y en paralelo, por lo que se aprovechan todas las líneas de
comunicaciones.
Si no hubiéramos configurado las rutas por interfaz balanceado, y
configurásemos las rutas multi-ruta balanceadas, el sistema SÍ que balancearía.
Lo único que pasaría es que, al no haber aislado las IPs Virtuales de los
interfaces físicos, el sistema NO sería capaz de detectar un fallo de un router y
no sabría descartar la ruta asociada a esa puerta de enlace. Por tanto habría
que desactivarla manualmente. Es lo que se conoce como técnica de 'Detección
de puerta de enlace muerta', que viene implementada en todos los servidores
CDC-DATA.
Los parámetros necesarios para balancear rutas multi-ruta son:

Destino : Es la dirección IP de destino al que queremos alcanzar con el balanceo
de carga. Puede ser una IP ó una dirección de red como IP/máscara, en
notación octal.
El botón Activa reinicia las rutas multi-ruta del sistema. Es necesario activarlas
cuando se haga algún cambio en las reglas de salto de balanceo, cuyas
prioridades coincidan con la regla de la ruta multi-ruta.
El botón Ver Rutas nos muestra las rutas multi-ruta activas del sistema en ese
momento. Para activarlas es preciso haber definido un salto de balanceo
asociada a la ruta multi-ruta y pinchar en el botón Activa
Saltosdebalanceo:
En esta opción definiremos las rutas hacia el exterior, cuando tenemos un
sistema con rutas alternativas balanceadas, y su carga de balanceo.
IMPORTANTE: Es necesario haber definido previamente una ruta multi-ruta
antes de configurar el salto de balanceo, ya que éste va directamente asociado
a la prioridad de la ruta multi-ruta.
Los parámetros necesarios para balancear rutas multi-ruta son:

Prio : Es el nivel de prioridad de la regla de enrutamiento. Su valor debe ser uno
de los existentes en las rutas multi-ruta. Puede haber tantos como líneas de
acceso físicas destinadas a la dirección de destino asociada.
P.Enlace : Es la dirección IP de la puerta de enlace que nos enrutará hacia el
destino deseado, previamente definido en la regla de la ruta multi-ruta.
Interfaz : Es el interfaz de red sobre el que se encuentra la puerta de enlace
Carga : Es el número de paquetes que el servidor CDC-DATA repartirá cada vez
hacia el destino asociado por la prioridad, a través de la puerta de enlace.
Si tenemos 2 líneas para acceso a Internet, una el doble que la otra, dejaríamos
la de más capacidad con carga = 2, y la de menor capacidad con carga = 1. De
este modo, de cada 3 paquetes, 1 iría por la línea más lenta, y 2 por la línea
más rápida.
Para activarlas hay que pinchar en el botón Activa
Verrutasactivasdelsistema:
Muestra TODAS las rutas activas del sistema en ese momento.
1.9. CONTROL DE TRÁFICO
Este apartado sirve para configurar el control de tráfico que realiza el servidor CDC-
DATA sobre las líneas de comunicaciones del interfaz 'WAN'.
El control de tráfico sirve para crear reservas de ancho de banda, de modo que algunas
aplicaciones no se queden sin espacio de trabajo, dar prioridad a ciertos paquetes de
aplicaciones para que "viajen" con mayor preferencia que otros, y permitir que un uso
masivo de un servicio se reparta equitativamente entre los usuarios que lo demandan.

El servidor CDC-DATA dispone de 4 bandas de trabajo, con prioridades ALTA, MEDIA,
BAJA y NULA, y cuyos anchos de banda son configurables. Después, sobre dichas
bandas, indicaremos cuáles son las reglas de control que deseamos aplicar en cada
caso.
El esquema de las bandas del servidor CDC-DATA es el siguiente:
ENTRADA PAQUETE IP
SERVICIO DE CONTROL DE TRÁFICO
BANDAS
Reparto jerárquico => HTB3
ALTA MEDIA BAJA NO
PRIO
DISTRIBUCIÓN DE PAQUETES
Reparto Equitativo => SFQ

SALIDA PAQUETE IP
Las necesidades de ancho de banda se agrupan en 4 bandas que disponen de una
capacidad y una prioridad. Una vez se ordenan y priorizan atendiendo a la banda,
según el algoritmo de distribución de colas jerárquicas HTB3, cada banda reparte su
tráfico de manera ecuánime a los usuarios que demandan el servicio, según el
algoritmo de distribución de colas ecualizante SFQ.
ConfiguracióndelAnchodeBanda:
En este apartado se configura el tamaño del ancho de banda de las bandas del
servicio de control de tráfico.
Los parámetros necesarios para configurar el ancho de banda son los
siguientes:

Interfazdeentrada : Es la capacidad máxima de recepción de la línea asociada
al interfaz 'WAN'. Si tuviéramos varias líneas, pondríamos el valor de la suma de
ellas. Este valor se mide en Kbps (kilobits por segundo).
El canal de entrada de las comunicaciones NO se puede modelar, tan sólo el de
salida. Lo que sí se puede hacer en la entrada es ajustar la tasa de transferencia
de manera que no se descarten paquetes por exceso de tráfico en la cola de
descarga en el proveedor del servicio. Es lo que se conoce como 'Traffic
Policing'.
Interfaz de salida : Es la capacidad máxima de envío de la línea asociada al
interfaz 'WAN'. Si tuviéramos varias líneas, pondríamos el valor de la suma de
ellas. Este valor se mide también en Kbps (kilobits por segundo).
IMPORTANTE: el canal de salida SÍ se puede modelar. Es lo que se conoce como
'Traffic Shapping'.
ANCHOS DE BANDA DISPONIBLES : Banda de prioridad 'XXX' : Es la capacidad
mínima garantizada de envío de la banda 'XXX', siendo 'XXX' la banda MÁXIMA,
MEDIA, MÍNIMA o NO PRIORIZADA. En caso de que tengamos un servicio que
consuma demasiado ancho de banda, se ajustará a su nivel mínimo para
garantizar el correcto funcionamiento.

Este valor se expresa en Kbps (kilobits por segundo).
EXCESOS MÁXIMOS PERMITIDOS : Banda de prioridad 'XXX' : Es la capacidad
máxima de envío de la banda 'XXX', siendo 'XXX' la banda MÁXIMA, MEDIA,
MÍNIMA o NO PRIORIZADA. En caso de que tengamos un servicio que necesite
mayor ancho de banda, y éste NO se utilice por otras bandas, se tomará
prestado mientras no se necesite por la banda que lo presta, hasta su valor
máximo permitido. De este modo, no se desperdiciará nada.
Este valor se expresa en Kbps (kilobits por segundo).
ReglasdeControl:
En este apartado se especifican las reglas por las que se regirá el servicio de
control de tráfico, a quién dará prioridad y de cuánto ancho de banda
dispondrá...
Los parámetros necesarios para configurar las reglas de control son las
siguientes:
Tipo : Indica si la regla se va a aplicar a una conexión saliente hacia un servidor
remoto, en cuyo caso será del tipo 'DESTINO', o bien se aplicará a una conexión
entrante a nuestro servidor CDC-DATA, en cuyo caso será del tipo 'ORIGEN'.
Para comprender mejor cómo se determina el tipo, deberemos atender a cómo
se produce la comunicación en el canal de salida de la línea de comunicaciones.
Observe el siguiente diagrama:
SERVIDOR REMOTO = Destino

SERVIDOR CDC-DATA = Origen
Como sólo podemos modelar el tráfico saliente, vemos que en cualquier tipo
de conexión IP, ya sea una conexión entrante hacia nuestro servidor, o saliente
hacia otros servidores externos, siempre el ORIGEN somos nosotros, y el
DESTINO los servidores remotos. Para aplicar las reglas de control deberemos
tener siempre presente esta nomenclatura sobre origen y destino.
Por ejemplo, si queremos modelar el tráfico ENTRANTE al puerto de Terminal
Server ubicado en el 3389, hacia un servidor de nuestra red privada, no
atenderemos al canal de entrada, sino al de salida. Éste corresponde con la
respuesta de la sesión entrante IP. Desconocemos en qué puerto de servicio se
habrá ubicado la entrada de las peticiones del Terminal Server en el lado del
cliente remoto, pero sí que conocemos al puerto al que se conectó en nuestro
servidor, que es el 3389 en este caso. Por tanto, como estamos en el canal de
salida, deberemos aplicar la siguiente regla: 'TIPO=ORIGEN PUERTO=3389
BANDA=xxx'.
De manera análoga, si deseamos modelar las conexiones a páginas web
remotas, observaremos que en el canal de salida corresponde el puerto 80 de
navegación web con el del lado del servidor remoto al que queremos conectar.
Por tanto, la regla a aplicar será: 'TIPO=DESTINO PUERTO=80 BANDA=XXX'.
RESUMIENDO: Sólo podemos modelar nuestras peticiones salientes.
Si la conexión la realizamos nosotros hacia el exterior, no hay confusión sobre
el origen y el destino. Pero si la conexión la recibimos nosotros, fijándonos en el
canal de salida, el origen seremos nosotros con el puerto de servicio solicitado
por el cliente remoto.
ATENCIÓN: Si encuentra dificultad en comprender estos conceptos, no se
preocupe: haga uso del servicio de soporte técnico, ya sea a su distribuidor o a
nosotros mismos.
Puerto : Es el puerto de la aplicación al que queremos aplicar la regla de control
de tráfico.

Banda : Indica la banda a la que se asociará la regla. Puede ser 'MÁXIMA',
'MEDIA' o 'MINIMA'. Por omisión, todo puerto no declarado se asociará a la
banda no priorizada.
Puede activar o desactivar el servicio de Control de Tráfico, mediante el botón
Modificar después de indicar el estado deseado en los botones de selección.
Para activar los cambios realizados en esta sección, deberá pinchar sobre el botón
Reiniciar.
1.10.- CERTIFICADO SSL
Este apartado sirve para configurar el certificado digital de la sesión SSL del propio
servidor CDC-DATA, cuando se conecta al panel de control. De este modo puede
personalizar su propio certificado
Además, en futuras versiones nos servirá este certificado para generar claves públicas
de autenticación.
Puede dejar como está de origen el certificado, y obviar esta sección si lo desea.
Los parámetros necesarios para configurar el certificado SSL son los siguientes:
Días de validez (min 31) : Son los días de validez del certificado digital. Una vez
expirado el plazo, deberá generar uno nuevo. En el momento de desarrollo actual, no
tiene sentido que establezca un plazo demasiado corto. Puede dejarlo fijo en 365 (un

año). Este es un campo obligatorio.
CódigodePaís(Ej.ES) : Es el código de País cualificado (España = ES, Alemania = DE,
Reino Unido = UK...). Este es un campo obligatorio.
Provincia
Ciudad
Empresa
Departamento
Nombre del servidor (FQN) : Es el nombre con el que identifica en Internet a su
servidor CDC-DATA. Debería ser un nombre cualificado de Internet (con dominio
completo), aunque no importa si emplea un nombre local o privado, sin dominio
cualificado. Este es un campo obligatorio.
E-Mail : Es la dirección de correo electrónico del responsable de la validez del
certificado.
Para generar el certificado con los valores introducidos, deberá pinchar sobre el botón
Crear. Esto detiene el servicio web SSL del panel de control durante un minuto, por lo
que perderá la conexión. Pasado ese tiempo, ya puede volver a conectar.
1.11.- ZONA HORARIA
Esta herramienta nos permite definir el servidor de tiempos que va a utilizar el CDC-
DATA y la zona horaria a la que pertenece el cliente, de manera que tanto la hora
como la fecha no podrá ser modificada de manera externa, únicamente cambiando el
servidor de tiempos.
Los parámetros a definir son:

Servidordetiempospordefecto: Es el servidor de tiempos que carga el CDC-DATA por
defecto.
Tenemos la posibilidad de poner hasta 4 servidores de tiempo, en el caso que el
primero no de respuesta saltaría al segundo y así sucesivamente.
Zonahoraria: Es la zona horaria a la que pertenece el cliente CDC-DATA. Aparece un
desplegable en la que se asigna la zona horaria a la que se pertenece.
Las opciones posibles son:
Modifica: Actualiza los valores de los campos de servidores de tiempos.
Sincroniza: Fuerza una actualización de la hora del sistema con los servidores introducidos.
Reset: Escribe los valores de servidores de tiempos por defecto (los que aparecen en la
imagen).
1.12.- SERVIDORES
Desde este menú se configura los diferentes servicios disponibles en el servidor CDC-
DATA. Estos servicios se adquieren de manera modular, por lo que es posible que
algunos de ellos no estén disponibles en su servidor CDC-DATA.
Los equipos serie 7 llevan todos los módulos activos, mientras que los series 5 sólo

llevan los módulos básicos. En los series 6 es posible adquirir los módulos básicos más
los adicionales que se desee, por lo que el aspecto del menú puede variar en función
de los módulos y servicios contratados.
Todos estos servicios pueden activarse o desactivarse por defecto. Además, cualquier
cambio que se realice en su configuración, exige que se reinicie el servicio para activar
los cambios pertinentes.
Los módulos disponibles en serie 5 son :
Y en series 6* y 7:
En caso de tener todos los módulos activados.

1.12.1.- Servicio de Firewall:
Establece el comportamiento básico del servicio de Firewall, los registros que se
generarán, y el nivel de sensibilidad que tendrá a la hora de registrarlos.
Las opciones posibles son:

Idioma por defecto: Es el idioma predeterminado con el que se mostrará el
panel de control, así como los mensajes de error del servicio de Proxy.
Limite máximo de sesión (en minutos): Es el tiempo máximo que se permitirá
trabajar en el panel de control sin finalizar la sesión. Al llegar a dicho límite, el
panel de control finaliza de manera automática.
Número de errores máximos permitidos: Es el número de errores de
autenticación que permite el panel de control antes de bloquear el acceso al
mismo, a la IP del usuario que trata de conectar.

Tiempo de bloqueo por error (en horas): Es el tiempo durante el cual una IP
permanece bloqueada por haber alcanzado el número máximo de errores de
autenticación. Dicho tiempo se mide en horas.
Tasaderegistrosporminuto: Por defecto está en 15. Indica el número de veces
que un mismo evento puede quedar registrado por minuto, para evitar un
llenado excesivo del disco duro. Este valor está muy indicado y no conviene
variarlo. Si observa que se llena demasiado, puede bajar este valor.
ForzarreiniciodeTúnelesSSL: Por defecto está en 1 día. Fuerza el reinicio de
los túneles SSL que tengamos creados, levantando los mismos en caso de
problemas de caída de la línea.
Permitir sólo usuarios LAN autenticados por MAC: Por defecto está NO. Si se
activa, sólo podrá acceder desde la 'LAN' a cualquier dirección los equipos que
estén reconocidos en la lista de direcciones MAC del apartado Configuración :
Servidores : DHCP : Asignaciones estáticas de clientes.
No es necesario tener activo el servicio de DHCP para que se active este
comportamiento.
Esta opción está pensada para equipos que asignen IPs y controlen accesos a
dispositivos que se hallen en una red local muy insegura, como las redes
Wireless, para garantizar que aunque se conceda una IP por DHCP o alguien se
la añada a mano, no pueda acceder a la red de manera ilegal.
Permitir sólo usuarios DMZ autenticados por MAC: Por defecto está NO. Si se
activa, sólo podrá acceder desde la 'DMZ' a cualquier dirección los equipos que
estén reconocidos en la lista de direcciones MAC del apartado Configuración :
Servidores : DHCP : Asignaciones estáticas de clientes.
No es necesario tener activo el servicio de DHCP para que se active este
comportamiento.
Habilitar FW en modo estricto: Por defecto está en NO. Si lo activamos
deberemos especificar la IP del servidor CDC-Data cuando queramos conectar a
él en las reglas del firewall. Normalmente, cuando una regla de firewall permite
la conexión de un puerto a “cualquier destino”, incluye también el propio CDC-
Data. Con esta opción activada, la dirección “cualquier destino” EXCLUYE el
CDC-Data, y habría que especificar su IP en la regla de firewall correspondiente
si queremos que se permita una conexión.
Gestión de Firewall en modo Avanzado: Nos permite gestionar el firewall de
nuestro servidor CDC-DATA con más opciones en determinados aspectos
relativos a la Seguridad. De hecho, el juego de reglas es diferente en modo
simple y en modo avanzado. Por tanto, es posible disponer de una

configuración sumamente permisiva en modo simple y configurar nuestras
reglas en modo avanzado. De este modo, ante cualquier duda de configuración,
podemos cambiar a modo simple y comprobar el funcionamiento sin tantas
restricciones. El cambiar de modo simple a modo avanzado NO elimina las
reglas que hubiera definidas en cada modo. Éstas se conservan, pero se aplican
sólo en función del modo de operación seleccionado.
AceptarprotocoloICMPdesdeWAN: Nos permite la recepción de ecos desde el
interfaz WAN; es decir, lo que se conoce como responder ante un ping.
Habilitar lista D.R.O.P.: La lista DROP (Don't Route Or Peer) es una lista de
bloqueos de rutas hacia direcciones que han sido declaradas como inseguras
por los organismos de asignaciones de Ips ARIN, RIPE, APNIC y LACNIC.
Principalmente son redes donde campan a sus anchas spammers y virus de
manera abusiva. En ningún caso, en dichas listas aparecen direcciones
legítimas. Por tanto, se recomienda tener esta lista siempre activada. Las listas
se actualizan una vez al día en horario nocturno.
Tipoderegistroshabilitados : Indica qué es lo que registrará el servicio de
Firewall en su actividad habitual.
Las opciones disponibles son las siguientes:
LAN : Todos los accesos efectuados desde la red local.
DMZ : Todos los accesos efectuados desde la red desmilitarizada.
WAN : Todos los accesos efectuados hacia Internet.
NAT : Todos los accesos redirigidos por NAT.
BADFLAGS : Todos los registros de paquetes IP peligrosos.
BYPASS : Todos los registros de accesos web por Proxy Bypass.
MS-VPN : Todos los registros de accesos VPN de Microsoft.
CDC-VPN : Todos los registros de accesos sobre TUNELES IP.
DROP : Todos los paquetes entrantes y que son descartados.
Además, el servicio de Firewall registra siempre los siguientes eventos:
ACCEPT : Todas las peticiones entrantes que han sido aceptadas.
REJECT : Todos los intentos de conexión desde IP’s que han sido
rechazadas.
MAC : Todos los intentos de accesos desde direcciones MAC no
autorizadas.

Siempre que se haga una modificación en este apartado deberemos
Activar/Reiniciar el servicio de Firewall.
También podemos forzar una desconexión y activar, es decir, realizar un
“reset” mediante el botón Reset FW. En caso de emergencia, podemos detener
el servicio de Firewall mediante el botón Detener FW. Esta opción desactiva
todas las conexiones entrantes o en tránsito hacia/desde el CDC-Data, excepto
las que se realicen al Panel de Control del propio CDC-Data al puerto 8989
desde el interfaz LAN exclusivamente.
1.12.2.- Carpetas Compartidas:
Toda organización necesita poder compartir ficheros de forma fácil y sencilla.
Este servicio permite compartir información con el resto de usuarios de la red,
controlados por su IP. Las opciones son:

PermitirsólointerfazLAN : Esta opción permite sólo conexiones a las carpetas
compartidas desde cualquier conexión que se produzca desde el interfaz LAN..
NombreNetBios : Nombre con el que se identificará el servidor CDC-DATA en la
red. No es posible dejarlo en blanco.
GrupodeTrabajo : Nombre del grupo de trabajo o dominio al que pertenece el
servidor CDC-DATA. En caso de existir un dominio NT/W2000 ó Active Directory
de Microsoft, deberá crear una cuenta de máquina con el nombre Netbios
declarado al servidor CDC-DATA para agregarlo al dominio. No es posible
dejarlo en blanco.
ServidorWINS(IP) : Define la dirección IP del servidor de nombres NetBios de
su organización. Para dejarlo en blanco o eliminarlo, escriba un espacio.

IPs permitidas en PUB : Identifica los dispositivos que tendrán acceso a la
carpeta compartida 'pub' o carpeta pública. Por defecto está en blanco, lo que
quiere decir que se permite a cualquier conexión...
IPs permitidas en LOCAL : Identifica los dispositivos que tendrán acceso a la
carpeta compartida 'local'. Por defecto está en blanco.
IPs permitidas en SYS : Identifica los dispositivos que tendrán acceso a la
carpeta compartida 'sys' o carpeta de sistema. Esta carpeta es donde se
realizan las copias de seguridad del servidor, y donde se importan los registros
de configuración. Por defecto está en blanco.
CompartirunidadUSB: Permite compartir cualquier unidad de almacenamiento
que haya sido conectada a una de las conexiones USB del servidor CDC-Data.
Dicha unidad se verá compartida con el nombre de recurso usb
1.12.3.- Correo Electrónico:
Permite definir un completo servidor de correo electrónico, tanto de Internet
como para uso exclusivo de una red privada.
Las opciones son:

Nombredelservidor(FQDN) : Nombre con el que se identificará el servidor de
correo SMTP CDC-DATA en la red. No es posible dejarlo en blanco. Emplee
nombres completamente cualificados; es decir, del tipo host.dominio.ext . Si el
uso fuera para correo local en una intranet, emplee dominios inexistentes,
como 'cdcdata.local.dom', por ejemplo.
Dominio por defecto Nombre del dominio de Internet por defecto. No es
posible dejarlo en blanco, y debe ser el sufijo introducido en el Nombre del
servidor cualificado (FQDN) del apartado anterior. Si el uso fuera para correo
local en una intranet, donde el dominio NO es real, deberá introducir como
dominio el mismo nombre de host, para evitar que los sistemas anti-spam
rechacen dicho dominio por ser falso. Este valor sería 'cdcdata.local.dom'
siguiendo el ejemplo anteriormente expuesto.
Otrosdominioslocales : Si existiera en su organización más de un dominio de
correo electrónico, podría agregarlos aquí para que fueran reconocidos por el
servicio de correo electrónico. Todos los usuarios que diera de alta se
asociarían a todos los dominios introducidos.
DominiosdeRelay : Identifica los dominios hacia los cuales el sistema permite

entregar correo, además del dominio por defecto y los dominios locales. Este
valor es muy importante en caso de que se quiera configurar este servidor
como backup de correo de Internet (registro MX 20, 30? ), para que permita la
entrega hacia el servidor principal (que normalmente se define en la gestión de
DNS como registro MX 10).
Redes de confianza : Cualquier IP perteneciente a la red que se defina aquí
tendrá permitido el envío de correo electrónico hacia Internet, sin ningún tipo
de limitación. Haga uso de esta función en caso de necesidad real, y desde
luego evite introducir redes o Ips de usuarios con cuentas de correo
electrónico. Esta opción sólo tiene sentido para encaminar correos de
dispositivos automáticos como cámaras de videovigilancia o servidores de
correo seguros de su intranet.
SmartHost : Si en nuestra organización existe un servidor SMTP para el envío de
correos electrónicos exclusivo, forzaremos a que todo el tráfico de correo
electrónico saliente sea enviado a través de dicho servidor, introduciendo en
este campo la IP del servidor de correo principal o su nombre de Internet
cualificado (FQDN).
Tamaño máximo de mensaje : El tamaño máximo del mensaje de correo
electrónico que queremos permitir como envío para los usuarios, expresado en
Bytes.
Tamaño máximo de buzón : El tamaño máximo del buzón de correo de los
usuarios, para evitar crecimientos que bloqueen el sistema. En la imagen
anterior, está limitado a 100MB.
UsuarioPostmaster(segúnRFC) : Es el usuario de correo electrónico al que se
redirigirá todo el correo que entre al sistema a través de la cuenta 'postmaster'.
Es obligatorio que exista esta cuenta en todos los servidores de correo. Por
defecto se redirige al usuario del sistema webmaster.
1.12.4.- Gestor de descargas de correos externos:
Este módulo nos da la posibilidad de recibir correos de varios servidores sobre
una misma cuenta. Es capaz de descargar todas las cuentas de usuarios de
todos los servidores externos de la empresa, filtrarlos, eliminar spam y virus, y
entregarlos al destinatario adecuado, de manera automatizada. Además, no
hay que hacer nada en el usuario final. Sólo basta con tener una cuenta
instalada en su ordenador, la de su empresa, y todos los mensajes le llegarán a
ese único usuario. Si deseamos desactivarlo temporalmente, basta con
desactivar el servico. No es necesario eliminarlo todo.

Es importante señalar que cuando el correo final se entrega al usuario, éste
puede indicar una cuenta de correo del propio servidor de correo del CDC-Data
(si lo tenemos activado), o una cuenta de correo electrónico alojada en otro
servidor… El proceso de eliminación de virus y spam siempre actúa, no importa
si la cuenta de correo electrónico del destinatario es local o externa.
Para dar de alta un servidor externo las opciones a poner son las siguientes:
Nombre del servidor (FQDN): Nombre del servidor del correo externo a
agregar. (P.ej. para gmail sería pop.gmail.com)
Protocolo: Las opciones de protocolo son POP2, POP3, APOP, RPOP, KPOP,
EXTERN e IMAP. Deberemos saber qué tipo de protocolo utiliza, normalmente
son POP3 o IMAP.
Autenticación: Las opciones son ANY, PASSWORD, KERBEROS4, KERBEROS5 y
MSN. Deberemos saber qué tipo de autenticación posee el servidor de correo
externo.
Puerto: Dependiendo del servidor externo será un puerto u otro. P.ej. el 110 es
el básico de correo, para Gmail el 995, etc.
SSL: Tipo de cifrado SSL activo o no.
Límite: Es el límite del tamaño máximo de mensajes de correo para el servidor
externo. Cualquier mensaje superior a dicho tamaño será eliminado. Para NO
fijar límite alguno, escriba 0 (cero).

Activo: Si queremos tener el servicio activo o no.
Para dar de alta a un usuario de correo externo debemos configurar lo siguiente:
Nombre del servidor (FQDN): Seleccionamos el servidor al que asociamos el
usuario.
Usuario: Escribimos el nombre de cuenta de usuario que nos asigne el proveedor
de correo.
Contraseña: Contraseña del usuario del correo externo. Al introducirla los
caracteres son visibles (luego aparecen *). No dé de alta a usuarios delante de
desconocidos…
Redirigir usuario a: Ponemos el usuario de destino al que vamos a redirigir los
correos.
NOTA: Si el usuario de correo es una cuenta creada en el servidor de
correo del propio CDC-Data, entonces se almacenará en los buzones
locales del propio CDC-Data. Si está alojado en un servidor externo, se
reenviará.
Hay que tener presente que la búsqueda y descarga de correos externos se realiza
cada 10 minutos, empezando desde la hora en punto. Si tenemos muchos usuarios
y la descarga dura más de 10 minutos, cuando se active la siguiente descarga no
sucederá nada, esperará a que la anterior acabe. Es decir, los procesos NO se
solapan… Por tanto, si alguien nos envía un correo, como mucho tardará 10
minutos… No es instantáneo.
Por último, es posible combinar esta función con el Antivirus- AntiSpam del CDC-
DATA. De lo contrario tendremos un bonito recolector de correo, con toda la
basura que nos haya llegado.
Para ello habrá que ir al menú de “Configuración : Servidores : Servicio Antivirus –
AntiSPAM”, configurar este servicio y activarlo.

1.12.5.- Cliente Webmail - SSL:
Permite configurar el cliente de correo 'Webmail' asociado al servidor CDC-
DATA. De este modo, es posible leer correo de servidores diferentes al CDC-
DATA que tenga en su Intranet o en Internet, desde ubicaciones exteriores a su
oficina, desde un navegador de Internet sobre una conexión segura (SSL).
Las opciones de configuración son:
ServidorSMTP : Es la dirección IP que se empleará para el servidor de correo
saliente (SMTP). Si desea que dicho servidor sea el propio 'CDC-DATA' deberá
escribir localhost .
Uso horario GMT: Establece el horario GMT de la zona en la que nos
encontramos.
Tamañomáximodelbuzón : Establece el tamaño máximo de almacenamiento
que el cliente de correo 'Webmail' permitirá almacenar en su disco duro, por
usuario. El tamaño por defecto es de 50MB, y su valor se especifica en KB.
Tiempodeinactividad: Tiempo en minutos para pasar a inactividad si se deja
abierta la cuenta de ‘Webmail’.

Idiomainicialpordefecto: Establece el idioma que aparecerá en la pantalla del
correo ‘Webmail’.
Las opciones de servidores de POP3 configurados son:
Dominiodelcorreo: Dominio del correo POP3.
ServidorPOP3: Servidor POP3, si es el local sería ‘localhost’.
Autenticación: Tipo de autenticación, ya sea ‘user’, ‘user@domain’
‘user.domain’. Las cuentas del servidor CDC-Data son del tipo 'user'.
1.12.6.- Servicio de agenda LDAP:
Permite ofrecer una base de datos LDAP para servicio de directorio, con los
campos necesarios para mantener una agenda de contactos compartidos en
modo de sólo lectura para los usuarios de la red.
Las opciones son:
Editar contactos de la agenda : Permite añadir, modificar y dar de baja
contactos de la agenda LDAP.

El campo Descripción es obligatorio y debe ser único. El botón Reset elimina
todos los registros de la base de datos.
Importarcontactos: Permite importar los registros de la base de datos desde
un archivo de texto, ubicado en la carpeta compartida SYS del servidor CDC-
Data, y denominado ldap.txt
Dicho fichero debe tener los siguientes valores, por linea:
Descripción
Nombre
Apellidos
email
Teléfono Fijo
Teléfono móvil
Empresa
y estando los diferentes valores SEPARADOS POR TABULADORES. Si un campo
Descripción ya existe en la base de datos, éste se actualiza con los valores
importados.
Exportarcontactos: Exporta los registros de la base de datos a un archivo de
texto, ubicado en la carpeta compartida SYS del servidor CDC-Data, y
denominado ldap.txt

1.12.7.- Conexiones PPTP:
Permite definir una pasarela de acceso remoto VPN a través del software de
conexiones remotas de Microsoft Windows. Tenga presente que el empleo de
conexiones VPN basadas en autenticación Usuario/Contraseña pueden ser
altamente inseguras. Le recomendamos que emplee las conexions VPN SSL.
Las opciones son:
IPServidorLocal : Dirección que tendrá el servidor CDC-DATA para los usuarios
remotos que conecten a través de PPTP. Debe ser una dirección que tenga
asignada el servidor CDC-DATA en la LAN, ya sea en el interfaz principal del
TCP/IP o una de la red de Ips virtuales. No es necesario crear una subred virtual
en la LAN para usuarios remotos, aunque es recomendable para evitar
colisiones de direcciones IP con usuarios físicamente ubicados en la red local.
Rango Usuarios remotos : Es el rango que se reservará para asignar Ips a
usuarios PPTP que no demanden una IP fija. El primer campo es la IP de origen,
y el segundo la de destino expresado como el cuarto valor de la IP. Es decir, si
queremos asignar el rango 192.168.1.200 hasta la 192.168.1.201,
introduciremos en la primera casilla 192.168.1.200 y 201 en la segunda.
Recuerde pinchar en el botón Modificar para guardar los cambios.

Si se quiere asignar usuarios PPTP con una IP fija, hay que asignarla en el
momento de dar de alta el usuario, no aquí. Este rango es sólo para usuarios a los que
se les asignará una IP dinámicamente. Si no va a necesitarlos, asigne un rango de 2 IPs
libres y consecutivas de la red local, por si acaso. No hace daño y siempre hará falta
cuando menos se espera.
NombreNetBios : Nombre con el que se identificará el servidor CDC-DATA en la
red. No es posible dejarlo en blanco.
Dominio : Nombre del dominio al que pertenece el servidor CDC-DATA. Se
refiere a un dominio de Internet cualificado, aunque puede introducirse un
dominio local si el ámbito de trabajo es el de un grupo de trabajo de redes
Microsoft. No es posible dejarlo en blanco.
DNS : Define la dirección IP del servidor de resolución de nombres de Internet
(DNS). Si se omite, el usuario remoto no podrá resolver nombres de direcciones
de Internet.
WINS : Define la dirección IP del servidor de nombres NetBios de su
organización.
Máscara : Define la máscara del ámbito de red del servidor PPTP.
Reinicia: Para reiniciar el servicio de manera manual y aplicar los cambios
introducidos.

1.12.8.- Servicio de FTP:
Permite definir un completo servidor de FTP, tanto de Internet como para uso
exclusivo de una red privada.
Las opciones son:
AdministradorFTP : Dirección de correo electrónico que desea que aparezca en
la pantalla de bienvenida como 'Administrador' del sistema. Si se activa la
entrega de informes diarios, éstos se remiten a esta dirección de correo.
Identificación : Nombre del servidor FTP, frase de bienvenida, etc., que desea
que aparezca en la pantalla de bienvenida. Es meramente informativo.
Númeromáximodeerrores : Número de veces que el servidor permite que se
equivoque el usuario de FTP remoto, antes de que finalice la sesión. Se
establece un valor relativamente bajo para evitar intentos de acceso ilegales
mediante sistema de "fuerza bruta".
Conexionesmáximas : Número de conexiones simultáneas que se permite en el
servidor. Para evitar denegaciones de servicio de otros servidores, NO es
posible dejarlo ilimitado, aunque tampoco se limita el valor máximo.
Activar informes diarios FTP : Le permite la entrega de informes de uso y
estadísticas FTP a la cuenta de correo definida en 'Administrador FTP'.
Para activar los cambios introducidos o reiniciar el servicio, pinche en el botón
Activa.

1.12.9.- Servicio de DHCP:
Permite definir un ámbito de asignaciones IP a través de un servicio DHCP
sobre el interfaz 'LAN' exclusivamente. Por cuestiones de seguridad, NO es
posible establecer ámbitos DHCP sobre interfaces 'WAN' o 'DMZ'.
Las opciones son:
Ámbito de la concesión : Rango sobre el cual se aplicará la reserva de
direcciones IP de la red. Debe ser un rango reconocido por el interfaz principal
'LAN' o algunos de los interfaces virtuales sobre la 'LAN'.
Configuración de la subred : Rango sobre el cual se asignarán las direcciones
dinámicamente. Además, se especifica los parámetros de red de la concesión
DHCP: dominio, puerta de enlace, DNS y servidores wins. Estos parámetros son

comunes para todos los clientes.
Para evitar errores humanos, el botón Modificar actualiza TODOS los campos,
por lo que deberá escribir todas las opciones cada vez que necesite realizar un
cambio. Si alguna opción no se desea activar, simplemente déjela en blanco.
Asignaciones estáticas de clientes : Es la reserva de dirección propiamente
dicha, donde se asigna un nombre de host y su IP a una dirección MAC
determinada. Las Ips asignadas estáticamente NO deben solapar las del rango
de la subred.
Aunque no tenga activado el servidor DHCP, es posible en la configuración del
Firewall permitir por 'LAN' sólo las direcciones MAC de equipos reconocidos.
Pues bien, aquí es donde deberá dar de altas dichas direcciones.
Importar asignaciones de clientes : Es posible importar las asignaciones de
clientes desde un fichero de texto, si son muchos usuarios y no desea
teclearlos. Para ello, deberá crear un fichero con el nombre ip_host_mac.txt tal
y como aparece indicado, todo en minúsculas, y con los siguientes campos
separados por tabulador: ip host mac y grabados en formato ASCII. Después,
coloque dicho fichero en la carpeta del servidor CDC-DATA llamada sys.

1.12.10.- Servicio DNS:
Permite configurar un servicio DNS (servidor de nombres de dominio) en su
servidor 'CDC-DATA' de una manera rápida, sencilla y eficiente.
El funcionamiento del servicio de DNS en el servidor 'CDC-DATA' es el siguiente:
1.- Si un nombre de equipo cualquiera está definido en las listas de 'HOST', se
devolverá la dirección IP asociada a su entrada.
2.- Si un dominio está considerado como 'local', el servidor 'CDC-DATA' buscará
su IP correspondiente en las listas de 'HOST', y no en los servidores DNS de
Internet especificados en la configuración del apartado 'TCP/IP'.
Por tanto, las listas de 'HOST' corresponden con las altas de nombres del
registro de DNS de tipo A. Cuando introduzca un nombre de equipo en 'HOST'
que esté asociado a un dominio, hágalo en su forma cualificada (FQN), con su
nombre de dominio.
Las opciones son:

Dominios considerados como locales : Son aquellos dominios para los que el
servidor 'CDC-DATA' buscará en su entrada de 'HOST', sin preguntar a los DNS
de Internet. Si no encuentra nada, dará un error de nombre no encontrado.
RegistrosMXdecorreo : Son las entradas correspondientes a los registros MX
10 de correo. Para ello, es necesario introducir el correo de dominio y el
nombre de host que hace de servidor de correo. Esta función es muy
interesante para aquellas configuraciones de correo en las que existe un
servidor privado en la Intranet, y se desea que el servidor 'CDC-DATA' haga de
pasarela de correo seguro, aceptando las conexiones y comprobando los
permisos, en lugar de hacer un 'NAT' hacia el servidor interno.
En estos casos, los registros MX de Internet apuntan hacia la IP pública, por lo
que es necesario introducir otros valores de registro MX para el servicio de DNS
del servidor 'CDC-DATA', de modo que no lea el registro de Internet sino que
lea otro con direccionamiento privado; es decir, el real que tiene el servidor de
correo en la Intranet. Esto mismo se hace desde esta opción, con más que
añadir el domino y el nombre de host asociado al dominio que hace la función
de correo. Por tanto, es necesario además añadir dicha entrada de nombre con
la IP real de la Intranet en las listas de 'HOST'.
AsociartodoundominioaunaIP : Esta función permite que, dado un dominio
concreto, todos los nombres de host asociados a dicho dominio devuelvan
siempre la misma dirección IP.

Servidores de nombres por dominio : Esta opción permite buscar nombres de
equipos de un dominio en concreto, a través de un DNS determinado. Esta es
una función muy útil e imprescindible cuando existe en la Intranet uno o varios
dominios privados que NO tienen resolución de nombres de Internet, y
deseamos resolver nombres privados y públicos sin enredar demasiado en la
configuración de nuestros PCs de trabajo y demás servidores corporativos.
IMPORTANTE: No confundir la función de 'asociar todo un dominio a una IP' con
los servidores de nombres por dominio. Son cosas muy diferentes...
1.12.11.- Servicio de WWW:
Permite configurar un servidor web en el propio servidor CDC-DATA, sacando
provecho de todas las herramientas de seguridad que dispone.
El servidor web integrado soporta HTML, PHP, PERL y JAVA, con todo el soporte
para extensiones Flash de Macromedia. No ejecuta código ASP ni ASPX.
Es totalmente operativo y funciona como servidor virtual por nombres, sin
límite teórico de dominios alojados en él, aunque se ha autolimitado a 150
conexiones simultáneas concurrentes.
Para poder instalar una página web en el servicio web del servidor, primero hay
que transferir el código de la página y sus archivos correspondientes al servidor
CDC-DATA. Para ello deberá emplear el servicio FTP y conectarse al servidor
FTP del CDC-DATA, con el usuario 'webmaster', que existe ex-profeso para este
propósito.
Debe recordar que a diferencia de otros servidores web de uso público, cuando
transfiere los archivos de una página web al servidor CDC-DATA mediante la
cuenta 'webmaster', NO está escribiendo directamente donde se muestra la
página web, sino en una carpeta temporal creada a este propósito. Mientras no
acceda al Panel de Control del servidor CDC-DATA y transfiera la carpeta al
servidor, la página web NO se mostrará.
Esta es una medida importante de seguridad, a fin de no comprometer el
contenido de su página web si su contraseña de acceso 'webmaster' fuera
descubierta.

Las opciones de configuración son:
Nombre del servidor (FQDN) : Nombre del servidor de Internet al que
queremos que responda el servidor. Puede ser cualquier nombre, pero si NO
está cualificado en un DNS de Internet, sólo será accesible desde intranets,
desde equipos con la IP del servidor configurada en WINS con NetBios, o en el
archivo local de hosts del cliente.
IMPORTANTE: el nombre debe ser aquél al cual llamaremos desde el navegador
de Internet.
La funcionalidad de los botones de esta opción de configuración son las
siguientes:
Inserta : Incluye el nombre del servidor en la configuración del servicio web. No
lo instala.
Elimina : Elimina el nombre del servidor en la configuración del servicio web y
elimina los archivos de la página web asociada al nombre del servidor, de la
carpeta donde reside en el servidor web. No la elimina de la carpeta de
'webmaster'. Requiere que se escriba el nombre a eliminar en el cuadro de
diálogo del formulario.
Instala : Copia los archivos de la página web asociada al nombre del servidor,
desde la carpeta del usuario 'webmaster' a la carpeta donde reside en el
servidor web. Si ya existiera, la sustituiría completamente. Requiere que se
escriba el nombre del servidor en el cuadro de diálogo del formulario.
Los archivos de la página web deben estar contenidos en una carpeta cuyo
nombre sea IDENTICO al nombre del servidor web asociado a la página web. El

sistema diferencia entre mayúsculas y minúsculas. Para evitar errores,
introduzca siempre los nombres en minúsculas.
1.12.12.- Servicio de Proxy:
Permite controlar el acceso a Internet mediante navegador Web a los usuarios
de la red local. Así mismo, es un acelerador de páginas Web que minimiza el
tiempo de acceso a Internet por parte de los usuarios y reduce el consumo del
ancho de banda.
Las opciones son:
Puerto de servicio : Es el puerto al cual el servicio de proxy atenderá las
peticiones de los usuarios de la red. Por defecto es el '3128'.
MemoriaProxy : Establece la memoria en MBytes que utilizará el servidor CDC-
DATA para el servicio de Proxy. Para números de usuarios en red elevados, es
conveniente aumentar el número de memoria. Por lo general, hasta 10

usuarios, es suficiente con 8 MB de RAM. Sólo admite valores entre 8 y 64.
Caché de disco : Establece el espacio de disco en MBytes que utilizará el
servidor CDC-DATA para el servicio de Proxy. Para números de usuarios en red
elevados, es conveniente aumentar el tamaño. Por lo general, hasta 10
usuarios, es suficiente con 128 MB de espacio en disco. Sólo admite valores
entre 128 y 2048.
ProxyDNS: IP del servidor DNS del servicio de proxy, independientemente del
que hubiera asignado en el sistema desde “Configuración : TCP/IP”.
Comportamiento : Establece el modo en que un usuario se autentica y queda
registrado para acceder a Internet. Si es 'transparente', el usuario no es
consciente de que existe algún tipo de Proxy y se registra los lugares visitados
identificando su dirección IP (por lo que realmente se registran PCs, no
usuarios). Este modo no requiere configurar el navegador de Internet ni
necesita intervención alguna por parte del usuario, lo cual supone más facilidad
y sencillez.
En el modo 'Por usuario', se requiere que el usuario introduzca un nombre y
una contraseña para acceder a Internet, quedando registrado todos los accesos
a su nombre, y no sólo a su PC. Para ser efectivo, requiere dar de alta a cada
usuario con un nombre y una contraseña, y configurar el navegador de Internet
de modo que actúe a través de Proxy. La dirección del proxy es la IP del
servidor CDC-DATA en la red local, y el puerto a utilizar es la indicada en 'Puerto
de servicio'.
AdministradordeProxy: Es la dirección de correo electrónico del administrador
del servicio de Proxy-Caché. Tiene función meramente informativa en caso de
producirse algún mensaje de error para el usuario.
Redes proxificadas: Establece qué redes locales serán redirigidas
OBLIGATORIAMENTE hacia el puerto de servicio del proxy. En modo
'transparente', el usuario simplemente navega si así lo permiten sus derechos
de acceso. En modo 'Por Usuario', obliga a que el navegador esté debidamente
configurado y pide su autenticación. En caso negativo, muestra su
correspondiente mensaje de error.
Destinos NO proxificados : Establece qué destinos de red NO deberán ser
filtrados por el Proxy. (Se accederá a ellos como si no hubiera proxy). Para
quitarlo, introducir un espacio en blanco.
Importante: sólo es posible introducir una sola dirección de red en Destinos NO
proxificados.

Con la opción de Activar informes automáticos diarios, se nos permite la entrega de
informes de navegación y acceso web a la cuenta de correo definida en 'Administrador
del Proxy'.
Cualquier cambio realizado en la configuración del Proxy será activada en cuanto
pinchemos en el botón de Activar cambios del proxy.
Así mismo, podemos escoger entre tener el servicio de proxy activo o no.
1.12.13.- Servicio Antivirus – AntiSpam:
Permite configurar el filtro de Antivirus y AntiSpam para el servicio de correo.
En él podemos habilitar o deshabilitar las siguientes opciones:
- IntegrarAntiVirusconlanavegaciónweb.

- IntegrarAntiVirus-AntiSpamconelcorreoelectrónico.
- Comportamientodelsistema:
Activar modo silencioso para virus.
Activar modo silencioso para spam.
Idioma por defecto.
KILL level (2.1 – 6.3). Es el nivel de puntuación a través del cual el sistema
rechaza un correo, lo normal es tenerlo en 3.5.
- Notificaciones al usuario postmaster: El usuario postmaster deberá ser
configurado previamente en Configuración/Servidores/Correo Electrónico.
Notificar llegadas de correos con virus.
Notificar llegada de correo basura (spam).
Después de habilitar/deshabilitar cualquier opción hay que darle al botón
Modifica, y después a Activar cambios/Reiniciar servicio.

2.-SEGURIDAD
En este menú se encuentran las aplicaciones referentes a la seguridad del sistema y del
control de accesos, tanto desde Internet a la red local, como de la red local a Internet.
Todos estos servicios están siempre activos por defecto, y NO pueden desactivarse.
Además, cualquier cambio que se realice en su configuración, exige que se active para
aplicar los cambios pertinentes.
IMPORTANTE: Conviene recordar que existe 2 juegos diferentes de reglas que afectan a
la seguridad, en función de cómo hayamos configurado en Firewall (apartado 1.12.1)
2.1.- ACEPTAR DESDE WAN
Permite definir qué direcciones pueden acceder a determinados puertos del servidor
CDC-DATA.
Con el FW configurado en modo simple, por defecto, el servidor tiene la siguiente
regla definida:
que significa:
Ip Origen: cualquiera, IP de entrada: cualquiera, Puerto 10022
Ip Origen: cualquiera, IP de entrada: cualquiera, Puerto 8989
Estas direcciones permiten el acceso de cualquier IP al Panel de Control web sobre SSL
(8989) y transferencias seguras de archivos para las copias de seguridad de CDC-Data
(10022) . Si se desea desactivar, basta con eliminarlas, aunque si lo hace, no será
posible realizar tareas de administración remota en su equipo.
Las autorizaciones se realizarán a través de reglas en las que se identificará:

Gav7 52

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (17)

Similar a Gav7 52

Similar a Gav7 52 (20)

Último

Último (16)

Gav7 52