1. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 1/88
Índice:
1. Introducción a la Familia ZyWALL ......................................................................... 3
2. Acceso al Equipo ......................................................................................................... 6
2.1. Acceso mediante Puerto de Consola ..................................................................... 6
2.2. Acceso mediante cliente SSH ................................................................................ 6
2.3. Acceso mediante TELNET.................................................................................... 7
2.4. Acceso mediante Navegador WEB ....................................................................... 7
3. Registro del Equipo .................................................................................................. 10
3.1. Registro en myZyXEL.com................................................................................. 10
3.2. Activación de Servicios en modo Trial ............................................................... 11
3.3. Activación de Servicios por medio de Licencia .................................................. 12
3.4. Updates ................................................................................................................ 13
4. Configuración Básica ............................................................................................... 14
4.1. Configuración Ethernet ....................................................................................... 14
4.2. Configuración WAN ........................................................................................... 15
4.2.1. Configuración PPPoE con IP Dinámica ....................................................... 16
4.2.2. Configuración Ethernet con IP Fija .............................................................. 17
4.3. Configuración 3G ................................................................................................ 18
4.4. Configuración DNS ............................................................................................. 19
5. Configuración del Firewall ...................................................................................... 20
6. Configuración del Balanceo de Carga .................................................................... 21
6.1. Least Load First ................................................................................................... 21
6.2. Weighted Round Robin ....................................................................................... 22
6.3. Spillover .............................................................................................................. 23
7. Gestión del Ancho de Banda .................................................................................... 24
7.1. Desde el Policy Route ......................................................................................... 24
7.2. Desde el Application Patrol ................................................................................. 25
8. NAT ............................................................................................................................ 28
8.1. Address Mapping................................................................................................. 28
8.2. Port Forwarding ................................................................................................... 29
8.3. Port Triggering .................................................................................................... 29
9. Creación de VPN ...................................................................................................... 30
9.1. IPSec VPN ........................................................................................................... 30
9.1.1. Router Remoto.............................................................................................. 31
9.1.2. Router Local ................................................................................................. 35
9.1.3. ZyWALL Remoto ........................................................................................ 38
9.1.4. ZyWALL Local ............................................................................................ 44
9.2. SSL VPN ............................................................................................................. 50
9.2.1. Configuración en el ZyWALL ..................................................................... 50
9.2.2. Acceso desde el Exterior .............................................................................. 53
2. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 2/88
9.3. LOGs IKE ............................................................................................................ 58
9.3.1. Túnel Abierto sin problemas ........................................................................ 58
9.3.2. Pre-Shared Key Diferente............................................................................. 59
9.3.3. Identificador FQDN Diferente...................................................................... 60
9.3.4. Desajuste Fase 1 ........................................................................................... 60
9.3.5. Desajuste Fase 2 (Autenticación / Encriptación) .......................................... 61
9.3.6. Desajuste Fase 2 (Direccionamiento IP) ...................................................... 61
10. Funcionalidad UTM ............................................................................................... 62
10.1. Application Patrol .............................................................................................. 62
10.1.1. MSN Messenger ......................................................................................... 62
10.1.2. BitTorrent ................................................................................................... 64
10.2. Anti-Virus .......................................................................................................... 66
10.3. IDP ..................................................................................................................... 68
10.4. ADP ................................................................................................................... 70
10.5. Filtrado de Contenidos ...................................................................................... 72
10.6. Anti-Spam.......................................................................................................... 75
11. Mantenimiento ........................................................................................................ 77
11.1. Fichero de Configuración .................................................................................. 77
11.2. Firmware............................................................................................................ 77
11.3. Shell Script ........................................................................................................ 78
12. Device HA ................................................................................................................ 79
12.1. Configuración del Master. ................................................................................. 79
12.1.1. Habilitar el Device HA en el Master .......................................................... 80
12.1.2. IP de Mantenimiento para los Interfaces WAN y LAN ............................. 80
12.2. Configuración del Backup ................................................................................. 82
12.2.1. Habilitar el Device HA en el Backup ......................................................... 82
12.2.2. IP de Mantenimiento para los Interfaces WAN y LAN ............................. 83
12.3. Conectar el Gateway Master con el Gateway Backup ...................................... 85
12.4. Test de desconexión del cable WAN en el Gateway Master ............................. 88
3. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 3/88
1. Introducción a la Familia ZyWALL
Fig. – Pirámide de Equivalencias ZyWALL
En la parte de la izquierda de la pirámide encontramos los equipos de la familia
ZyWALL actualmente en el mercado. Dichos dispositivos irán siendo sustituidos por la
nueva familia ZyWALL USG, tal y como aparece a la derecha de la pirámide.
A la hora de adquirir estos dispositivos nos tenemos que basar especialmente en el
número de usuarios que vamos a dar cabida, así como el número máximo de puertos
WAN y túneles VPN.
Este manual está enfocado sobre la familia ZyWALL USG. La cuál integra potentes
tecnologías:
-
Tecnología de Antivirus de ZyXEL
Tecnología de Antivirus de KasperSky
Tecnologías IPSec, Antivirus y Firewall certificadas por los laboratorios ICSA
Tecnología de Filtrado de Contenidos de BlueCoat
4. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 4/88
En la siguiente tabla podemos encontrar las diferencias más significativas entre los
diferentes modelos de dispositivos ZyWALL USG:
Fig. – Tabla de Características de la Familia ZyWALL USG
Para activar los servicios de seguridad (Filtrado de Contenidos, IDP, AV, SSL) hay que
adquirir una licencia específica para cada uno de ellos. Actualmente existen dos tipos de
licencias: iCard y E-iCard. La E-iCard es en formato digital, en vez de papel. Por lo que
su adquisición es más rápida que la iCard que de no tenerla en stock, había unos plazos
de espera de 3 ó 4 semanas. Mientras que la E-iCard el plazo es inferior a una semana.
En la familia ZyWALL USG la funcionalidad AntiSpam es gratuita, y en los modelos
USG 300 y USG 100 se aplicará en la release de firmware a finales de Octubre de 2008.
Fig. – Part Numbers de las licencias de los servicios de seguridad
5. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 5/88
La familia ZyWALL USG dispone de una versión de sistema operativo (ZLD) diferente
al de la familia ZyWALL/ZyWALL UTM (ZyNOS).
En la siguiente tabla podemos ver las correspondencias de las nomenclaturas de los dos
sistemas operativos.
Fig. – Diferente nomenclatura en el nuevo Sistema Operativo ZLD
6. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 6/88
2. Acceso al Equipo
Disponemos de varias formas de acceder al ZyWALL: mediante el puerto de consola,
mediante un cliente SSH, mediante un cliente Telnet, o mediante un navegador Web.
2.1. Acceso mediante Puerto de Consola
Utilizando un cable serie conectado a un PC y al ZyWALL podemos acceder a éste
último por medio de una conexión de Hyperterminal o una aplicación similar.
Debemos configurar el Terminal VT100 en dicha aplicación con los siguientes datos:
- 115.200 baudios
- 8 bits de Datos
- 1 bit de Parada
- Sin Paridad
- Sin Control de Flujo
Una vez conectados accederemos al interfaz de modo de comandos de configuración:
Fig. – Acceso por Puerto de Consola
2.2. Acceso mediante cliente SSH
Mediante un cliente SSH que soporte la versión 1.5 nos conectaremos al ZyWALL con
los valores por defecto a la dirección IP 192.168.1.1, usando el nombre de usuario
“admin”, y la contraseña “1234”.
Una vez conectados accederemos al interfaz de modo de comandos para configurar el
ZyWALL.
Fig. – Acceso mediante cliente SSH
7. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 7/88
2.3. Acceso mediante TELNET
Mediante un cliente Telnet nos conectaremos al ZyWALL con los valores por defecto a
la dirección IP 192.168.1.1, usando el nombre de usuario “admin”, y la contraseña
“1234”.
Una vez conectados accederemos al interfaz de modo de comandos para configurar el
ZyWALL.
Fig. – Acceso mediante cliente TELNET
2.4. Acceso mediante Navegador WEB
Mediante un Navegador Web (por ejemplo Internet Explorer) apuntaremos a la
dirección por defecto 192.168.1.1 del ZyWALL, si no ha sido cambiada.
A continuación se nos pedirá un nombre de usuario y contraseña, introduciremos como
nombre de usuario “admin” y contraseña “1234” si no las hemos modificado.
Fig. – Acceso mediante Navegador WEB
8. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 8/88
A continuación nos aparecerá una ventana recomendando que cambiemos la contraseña
por defecto. Podemos saltarnos esta petición pulsando sobre el botón “Ignore”.
Fig. – Recomendación cambio de Contraseña
Finalmente accederemos al menú “Status” que es la pantalla inicial de configuración del
ZyWALL. Aquí podremos comprobar la versión de firmware cargada en el dispositivo.
Fig. – Menú Inicial de Configuración
9. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 9/88
Si desplegamos la barra lateral de menús podemos encontrar las siguientes opciones:
Fig. – Barra lateral de Menú desplegada
10. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 10/88
3. Registro del Equipo
3.1. Registro en myZyXEL.com
Al adquirir un ZyWALL USG y tras configurar la LAN, WAN y DNS tenemos que
registrar el mismo sobre una cuenta de myZyXEL.com. El registro del equipo es
gratuito, y es necesario para poder activar las capacidades UTM de nuestro ZyWALL.
Desde el mismo equipo podemos crear la cuenta de myZyXEL.com, o usar una cuenta
previamente creada. Los datos que se piden para crear una nueva cuenta en
myZyXEL.com son un Nombre de Usuario, Contraseña, un E-Mail, y el Código de País.
Fig. – Registro del Equipo creando una nueva cuenta en myZyXEL.com
Si disponemos de una cuenta seleccionaremos la opción “existing myZyXEL.com
account” e introducir el Nombre de Usuario y Contraseña de dicha cuenta.
Fig. – Registro del Equipo usando una cuenta de myZyXEL.com
11. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 11/88
Teniendo una cuenta en myZyXEL.com tendremos acceso a promociones, avisos de
actualizaciones, y podremos gestionar algunos servicios.
3.2. Activación de Servicios en modo Trial
Podemos activar la versión Trial (30 días) de algunos Servicios UTM de nuestro
ZyWALL USG para comprobar las capacidades de los mismos, y en función de las
necesidades proceder a adquirir una licencia para los mismos.
Para ello basta con seleccionar los servicios a activar en versión Trial, y pulsar sobre el
botón “Apply”.
Fig. – Activación de Servicios en modo Trial
A continuación el equipo se conectará con el Servidor de myZyXEL.com para
actualizar los cambios, y activar dichos servicios en modo Trial. Para ello el equipo
debe de estar correctamente configurado proporcionando acceso a Internet.
Fig. – Activación con éxito de los Servicios en modo Trial
¡¡¡ Hay un período de 30 días para cada servicio a activar en el modo Trial !!!
12. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 12/88
3.3. Activación de Servicios por medio de Licencia
Una vez registrado el dispositivo en una cuenta de myZyXEL.com y adquirida la
licencia correspondiente al servicio a activar nos iremos al menú Licensing ->
Registration -> Service
Fig. – Activación con éxito de los Servicios en modo Trial
En el campo “License Key” del apartado “License Upgrade” introduciremos el código
de la licencia a activar, y pulsaremos sobre el botón “Update” para activar el servicio
correspondiente a la licencia introducida.
Una vez activados los servicios, podemos ver el estado de los mismos, y la fecha de
expiración de la licencia tal y como se observa en la siguiente imagen.
Fig. – Estado de las Licencias de los Servicios
13. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 13/88
3.4. Updates
En la barra de menús lateral “Licensing” --> “Update” se pueden configurar la
actualización manual o automática para las firmas del Anti-Virus, IDP/AppPatrol, y el
System Protect. Dicha actualización se realiza con el Update Server.
La actualización automática se puede configurar para que se ejecute cada hora,
diariamente a una hora determinada, o semanalmente a una hora determinada.
Fig. – Actualización de las Firmas
14. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 14/88
4. Configuración Básica
Para realizar la configuración básica con la información de direcciones IP para la
Ethernet y la configuración WAN pulsaremos sobre el menú “Network” de la barra de
menús lateral. Una vez se despliegue el menú con otras opciones, pulsaremos sobre
“Interface”.
Fig. – Estado de los Interfaces de Red
4.1. Configuración Ethernet
En la pestaña Ethernet editaremos la regla de configuración para el interfaz Ethernet
para configurar los parámetros IP del interfaz LAN.
En el apartado “IP Address Assignament” introduciremos la dirección IP para este
interfaz LAN así como la máscara de subred a aplicar sobre el mismo.
En el apartado “DHCP Setting” podremos configurar las opciones del servidor DHCP,
ya sea en modo Server, Relay, o en None si no queremos activarlo.
Introduciremos la primera dirección IP que transmitirá el servidor DHCP y un número
de pool que será la cantidad de direcciones a servir sumadas a la de referencia.
También es posible introducir una dirección del Servidor de Nombres de Dominio DNS
para servir a los clientes de DHCP.
15. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 15/88
Fig. – Configuración del interfaz LAN
4.2. Configuración WAN
La configuración WAN del ZyWALL dependerá de si la línea contratada con el ISP es
con IP Dinámica o con IP Estática. Desde ZyXEL siempre aconsejamos que se
contraten IP Estáticas con el ISP, ya que evita una serie de problemas en cuanto a la
conectividad.
Para configurar los parámetros IP del interfaz WAN entraremos en la barra de menús
lateran dentro de Network -> Interface. A continuación pulsaremos sobre la pestaña
“PPP”, y editaremos la regla para dicha conexión.
Fig. – Configuración del interfaz PPP
Los valores que tendremos que introducir variarán según el tipo de protocolo de
encapsulación que utilicemos (PPPoE, Ethernet, PPTP).
16. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 16/88
4.2.1. Configuración PPPoE con IP Dinámica
A continuación vamos a realizar la configuración WAN para una dirección IP Dinámica
contratada con Telefónica mediante el Asistente. Para ello editamos la regla WAN y
pulsamos sobre la pestaña Wizard. Y seguiremos los pasos que nos aparezcan en
pantalla:
1º) Seleccionaremos el protocolo PPPoE.
Fig. – Selección del protocolo PPPoE
2º) Seleccionaremos el Asignamiento Automático de IP
Fig. – Selección Asignamiento Automático de direcciones IP
3º) Introducimos los parámetros que nos ha dado nuestro proveedor de servicios a
Internet, activamos la casilla Nailed-UP, y añadimos el interfaz al Trunk
Fig. – Introducción de los Parámetros del ISP
4º) Por último nos aparecerá una ventana con un resumen de la configuración realizada
en el Asistente, así como un mensaje indicando que la configuración se realizó con éxito.
17. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 17/88
4.2.2. Configuración Ethernet con IP Fija
A continuación vamos a realizar la configuración WAN para una dirección IP Estática
contratada mediante el uso del Asistente. Para ello editamos la regla WAN y pulsamos
sobre la pestaña Wizard. Y seguiremos los pasos que nos aparezcan en pantalla:
1º) Seleccionaremos el protocolo Ethernet.
Fig. – Selección del protocolo Ethernet
2º) Seleccionaremos el Asignamiento Estático de IP
Fig. – Selección Asignamiento Estático de direcciones IP
3º) Introducimos los parámetros que nos ha dado nuestro proveedor de servicios a
Internet, y añadimos el interfaz al Trunk
Fig. – Introducción de los Parámetros del ISP
4º) Por último nos aparecerá una ventana con un resumen de la configuración realizada
en el Asistente, así como un mensaje indicando que la configuración se realizó con éxito.
18. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 18/88
4.3. Configuración 3G
Para configurar el opciones 3G nos vamos a la barra de menús lateral Network ->
Interface -> Cellular, y añadimos una regla en el “Cellular Interface Summary”.
Dicha regla será referenciada a PC Card, USB1 o USB2.
Fig. – Añadir nueva regla para el interfaz Cellular
Una vez añadida la regla para el interfaz a usar, tendremos que rellenar los campos del
formulario que nos aparecerá con los datos que nos proporcione nuestro ISP, y la
información de la tarjeta 3G.
En el ejemplo se ha configurado una tarjeta 3G por USB de Vodafone.
Fig. – Configuración del interfaz Cellular para el USB1
19. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 19/88
4.4. Configuración DNS
Además de la configuración DNS que se realiza cuando configuramos el servidor
DHCP del interfaz Ethernet, debemos de configurar las DNS de Sistema.
Para configurar las DNS de Sistema nos vamos a la barra de menús lateral System ->
DNS, y añadimos o editamos una regla en el “Domain Zone Forwarder”.
Fig. – Ventana principal de configuración DNS
Dentro de la regla a configurar, seleccionaremos la opción “Public DNS Server” e
introduciremos la dirección IP del servidor DNS, en este caso 80.58.0.33
Fig. – Configuración regla del Servidor DNS
20. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 20/88
5. Configuración del Firewall
La configuración del Firewall es sencilla e intuitiva. Se basa en zonas, en función del
sentido de la comunicación origen y destino, se puede aplicar en función de usuarios.
En la barra lateral de menús hacemos clic sobre Firewall para acceder a su
configuración.
Desde aquí podemos establecer el número de sesiones por Host, así como la
configuración de las diferentes reglas en función del sentido de la comunicación.
Fig. – Ventana principal de configuración del Firewall
Por ejemplo editamos la regla WAN to LAN1, y rellenamos los campos que se nos
piden en función de un horario de aplicación, usuario, origen, destino, servicio y
permitir o no el acceso, y registrarlo en el Log del sistema.
Fig. – Edición de regla de Firewall WAN to LAN1
21. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 21/88
6. Configuración del Balanceo de Carga
Se pueden establecer diferentes algoritmos de balanceo según las necesidades de cada
caso:
-
Least load first. Envía los paquetes primero por la interfaz menos cargada.
Weighted round robin. Realiza un Round Robin ponderado enviando los
paquetes en función de una relación de velocidad entre las interfaces.
Spillover. Cuando se sobrepasa el umbral especificado se envía el tráfico por la
otra interfaz.
6.1. Least Load First
En este algoritmo se realizará una relación entre el ancho de banda total y el utilizado,
en subida y en bajada, para determinar por qué interfaz se enrutará el datagrama.
Un índice menor indicará el interfaz elegido. Es el algoritmo configurado por defecto.
Fig. – Algoritmo Least Load First
Para configurar este algoritmo nos vamos al menú Networking-> Interface -> Trunk, y
seleccionamos en el WAN_TRUNK el algoritmo Least Load First y los interfaces
WAN involucrados en modo “Active”.
Fig. – Configuración del Least Load First
22. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 22/88
6.2. Weighted Round Robin
En este Algoritmo se realiza un Round Robin ponderado en función de un ratio entre
interfaces.
Fig. – Algoritmo Weighted Round Robin
Para configurar este algoritmo nos vamos al menú Networking-> Interface -> Trunk, y
seleccionamos en el WAN_TRUNK el algoritmo Weighted Round Robin y sobre los
interfaces WAN involucrados aplicamos un valor a modo de ratio. En este caso 2 a 1.
Fig. – Configuración del Weighted Round Robin
23. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 23/88
6.3. Spillover
En este Algoritmo se configura un umbral de ancho de banda, que al ser sobrepasado se
realizará un cambio para que se envíe el tráfico por la otra interfaz miembo del trunk.
Fig. – Algoritmo Spillover
Para configurar este algoritmo nos vamos al menú Networking-> Interface -> Trunk, y
seleccionamos en el WAN_TRUNK el algoritmo Spillover y dejamos en modo
“Passive” al interfaz secundario que queremos usar para enviar los datos una vez
superado el umbral configurado de las interfaces “Active”.
En este caso tanto la wan1 como la wan2 están configuradas en modo “Active”.
Sobre la wan1 se ha establecido un umbral de 8000 Kbps, que una vez superado se
empezarán a enviar los datos por el segundo miembro del trunk, la interfaz wan2.
Fig. – Configuración del Spillover
24. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 24/88
7. Gestión del Ancho de Banda
7.1. Desde el Policy Route
La Gestión del Ancho de Banda que se realiza desde el Policy Route no requiere de una
licencia, pero está limitada a la gestión del ancho de banda de subida.
Para configurar el Address Mapping del NAT nos iremos a la barra lateral de menús
Network -> Routing -> Policy Route.
Dentro habilitaremos la gestión del ancho de banda “BMW”, y podremos añadir o
modificar reglas de configuración. Por ejemplo vamos a añadir una nueva regla.
Fig. – Configuración del Policy Route
Al añadir una nueva regla nos aparecerá un formulario para que introduzcamos un
nombre para esta regla, el origen y destino de los datos, un horario de utilización, y el
puerto del servicio a limitar.
En las opciones de ancho de banda, seleccionaremos un ancho de banda máximo de
subida para utilización de este servicio, así como un nivel de prioridad. También
podremos maximizar la utilización del ancho de banda.
En la regla del ejemplo que hemos creado se va a limitar a 100Kbs la subida máxima
para el usuario del PC_ZyXEL para la utilización del servicio ARES_tcp.
Al poseer un nivel 5 de prioridad, cualquier regla que tenga un número inferior a
prioridad, se transmitirá antes que los datos del servicio limitado.
25. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 25/88
Fig. – Configuración del Ancho de Banda en el Policy Route
7.2. Desde el Application Patrol
La Gestión del Ancho de Banda que se realiza desde el Application Patrol permite la
gestión del ancho de banda de subida, y del ancho de banda de bajada, por lo que es más
completa que la que se realiza de forma gratuita desde el Policy Route. Por lo que
requiere una licencia de utilización del mismo.
La Gestión del Ancho de Banda permite realizar configuraciones específicas por usuario
e interfaz en función de la configuración de los planificadores IN, OUT, PRI.
Planificadores:
- IN: Reserva Ancho de Banda de entrada
- OUT: Reserva Ancho de Banda de salida
- PRI: Reserva Ancho de Banda basándose en la Priorización.
(la prioridad más baja es 7, y la más alta es 1)
Para configurar la Gestión de Ancho de Banda nos iremos a la barra de menús lateral
AppPatrol -> Other. Y añadiremos una nueva regla de configuración.
Fig. – Gestión del Ancho de Banda
26. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 26/88
En dicha regla de configuración podremos elegir un horario de aplicación, usuario,
interfaces origen y destino, permitir o no el paso, dirección origen, dirección destino,
protocolo, y el control del ancho de banda en función de los planificadores.
Realiza automáticamente un Fairness-based (Round Robin) entre el tráfico de igual
prioridad. Y posee la opción de Maximizar el Ancho de Banda excedente (borrow) al
resto de Clases que necesiten usar más ancho de banda.
Fig. – Configuración del Ancho de Banda
Una vez configuradas las reglas del Ancho de Banda podremos visualizar de manera
gráfica la utilización de dicho Ancho de Banda por una serie de servicios en la pestaña
Statistics dentro del menú AppPatrol de la barra de menús lateral.
Podremos seleccionar todos los protocolos disponibles a examinar su utilización de
ancho de banda, o seleccionar los que queramos de los disponibles.
Fig. – Representación Gráfica de utilización del Ancho de Banda
27. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 27/88
Del mismo modo, en la misma ventana, pero más abajo podremos encontrar una
visualización con los valores de paquetes transmitidos y recibidos de la utilización del
Ancho de Banda.
Fig. – Representación Numérica de utilización del Ancho de Banda
28. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 28/88
8. NAT
8.1. Address Mapping
Para configurar el Address Mapping del NAT nos iremos a la barra lateral de menús
Network -> Routing -> Policy Route.
Dentro podremos modificar y crear reglas de configuración. Por ejemplo vamos a crear
una nueva regla.
Fig. – Creación de una regla de Configuración para el Address Mapping
Sobre esa regla creada de configuración rellenaremos los campos en función del usuario,
interfaz, dirección origen y destino, horario de aplicación y el servicio a usar.
Activaremos el NAT mediante la opción “outgoing-interface”, como se aprecia en la
siguiente figura:
Fig. – Habilitar el NAT
29. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 29/88
8.2. Port Forwarding
Para que un tráfico específico que necesita ser redirigido a un servidor interno se debe
de configurar un Servidor Virtual.
Para ello nos vamos de la barra lateral de menús Network -> Virtual Server.
Dentro creamos un nuevo Servidor Virtual, y rellenaremos los campos con la dirección
IP Pública y la IP Privada interna, así como el protocolo y números de Puerto Público y
Puerto Privado interno.
Fig. – Configuración del Virtual Server
8.3. Port Triggering
Mediante el Port Triggering podemos habilitar accesos a aplicaciones que requieren
determinados puertos abierrtos en los equipos cliente. Solamente un equipo a la vez
puede acceder a estos puertos.
Para configurar el Port Triggering nos iremos al menú de la barra lateral Network ->
Routing -> Policy Route.
Crearemos una nueva regla, y en el apartado “Port Triggering” introduciremos los
servicios para Incoming Service y Trigger Service.
Fig. – Configuración del Port Triggering
30. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 30/88
9. Creación de VPN
9.1. IPSec VPN
A continuación vamos a mostrar un ejemplo de creación de un túnel VPN entre un
ZyWALL USG 100 con un router de acceso a Internet mediante IP dinámica contra un
ZyWALL 70 UTM con un router de acceso a Internet mediante IP estática.
La topología de la red quedaría de la siguiente forma:
Fig. – Topología de Red para el Ejemplo de IPSec VPN
31. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 31/88
9.1.1. Router Remoto
El router remoto está conectado al ZyWALL 70 UTM, y lo vamos a configurar en modo
monopuesto estático con los datos proporcionados por el ISP.
Para ello accederemos al equipo mediante un navegador web apuntando a la dirección
IP por defecto 192.168.1.1.
Nos aparecerá una ventana solicitando nombre de usuario y contraseña. Introduciremos
el nombre de usuario por defecto “1234” y la contraseña por defecto “1234”.
Fig. – Acceso al router
A continuación aparecerá una ventana a modo de recordatorio indicando que la
contraseña configurada es la contraseña por defecto, y nos solicita cambiarla para mayor
seguridad. Para saltarnos este recordatorio pulsamos sobre el botón “Ignore”.
Fig. – Solicitud de cambio de Contraseña
32. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 32/88
Una vez pasado el recordatorio de cambio de contraseña accederemos a la pantalla de
configuración inicial del router. En la columna “Advanced Setup” haremos clic sobre
“LAN” y posteriormente sobre “LAN Setup”.
Fig. – Pantalla de Configuración Inicial
En en LAN Setup deshabilitaremos el servidor DHCP y configuraremos los valores de
IP en en apartado TCP/IP según los datos que nos ha dado nuestro proveedor a Internet.
Una vez configurado todo volvemos al Main Menu.
Fig. – LAN Setup
33. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 33/88
Desde el menú principal pulsamos sobre el menú “Wizard Setup”, configuramos el
modo Routing, e introduciremos los datos que nos ha dado nuestro proveedor de
servicios a Internet para configurar el interfaz WAN del router.
Fig. – Wizard Setup
Fig. – Wizard Setup (página 2)
34. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 34/88
Finalmente nos aparecerá una ventana a modo de sumario de la configuración realizada
en el router, y tras revisarla pulsaremos en “Save Settings”.
Con eso ya quedaría configurado el router Remoto.
Fig. – Wizard Setup Summary
35. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 35/88
9.1.2. Router Local
El router local que estará conectado contra el ZyWALL USG100 lo vamos a configurar
en modo monopuesto dinámico.
Para ello accederemos al equipo mediante un navegador web apuntando a la dirección
IP por defecto 192.168.1.1.
Nos aparecerá una ventana solicitando nombre de usuario y contraseña. Introduciremos
el nombre de usuario por defecto “1234” y la contraseña por defecto “1234”.
Fig. – Acceso al router
A continuación nos aparecerá la pantalla de configuración inicial del router. En la
columna “Advanced Setup” haremos clic sobre “LAN” y posteriormente sobre “LAN
Setup”.
36. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 36/88
Fig. – Pantalla de Configuración Inicial
En en LAN Setup deshabilitaremos el servidor DHCP y configuraremos los valores de
IP en en apartado TCP/IP. En el ejemplo vamos a dejar estos valores sin modificar. Una
vez configurado todo volvemos al “Main Menu”.
Fig. – LAN Setup
37. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 37/88
Desde el menú principal pulsamos sobre el menú “Wizard Setup”, configuramos el
modo Bridge, e introduciremos los datos que nos ha dado nuestro proveedor de
servicios a Internet para configurar el interfaz WAN del router.
Fig. – Wizard Setup
Finalmente nos aparecerá una ventana a modo de sumario de la configuración realizada
en el router, y tras revisarla pulsaremos en “Save Settings”. Con eso ya quedaría
configurado el router Local.
Fig. – Wizard Setup Summary
38. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 38/88
9.1.3. ZyWALL Remoto
En nuestra topología, el ZyWALL remoto se corresponde con el ZyWALL 70 UTM.
Sobre el cuál vamos a configurar el apartado de WAN y el apartado de IPSec VPN.
Para acceder al ZyWALL cogeremos un PC y nos conectaremos directamente a la LAN
del ZyWALL. Una vez hayamos recibido por el servidor DHCP una dirección IP
perteneciente a la subred del ZyWALL tendremos acceso al mismo mediante un
navegador web apuntando a la dirección IP por defecto 192.168.1.1 y la contraseña por
defecto “1234”.
De esta forma accederemos a la Pantalla de Estado del equipo. Donde podremos
comprobar si el dispositivo tiene la última versión de firmware disponible en la ftp de
ZyXEL. (ftp.zyxel.com)
Fig. – Pantalla de Estado
Desde la Pantalla de Estado pulsaremos en la barra lateral de menús dentro del menú
“Network”. En el desplegable que aparece primeramente configuraremos el Inteface
LAN, y posteriormente el Interface WAN.
Para configurar el Interface LAN pulsamos sobre el submenú “LAN” y modificaremos
los valores configurados para la “LAN TCP/IP” y habilitamos el servidor DHCP.
39. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 39/88
Fig. – Configuración LAN
Para configurar el interfaz WAN pulsaremos sobre el submenú “WAN” de la barra
lateral de menú “Network”.
En la ubicación remota tenemos contratada una Ip estática, rellenamos la configuración
WAN con encapsulación Ethernet, y con la información IP que nos haya dado nuestro
ISP. También habilitamos la casilla del NAT.
Fig. – Configuración WAN
40. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 40/88
Una vez configurados tanto el interfaz LAN como el interfaz WAN del ZyWALL
vamos a proceder a configurar el apartado correspondiente a la VPN.
Para ello nos situamos sobre el menú “Security” de la barra lateral de menús, y
pulsamos sobre el submenú “VPN”. Dentro de la pestaña “VPN Rules (IKE)” añadimos
una nueva regla, que se denominan Políticas de Gateway.
Fig. – Políticas de Gateway
A continuación nos aparecerá un formulario para rellenar las Políticas de Gateway.
En dicho formulario tendremos que introducir un nombre para identificar a la regla
añadida.
Dado que desconocemos la dirección IP del equipo que se va a conectar a nosotros,
dejaremos por defecto las opciones del “Gateway Policy Infomation”, es decir, todo a 0.
De esta forma es como si dejáramos una puerta abierta para que cualquier equipo que
tenga los mismos valores de Pre-Shared Key y protocolos de autenticación/encriptación
se pueda conectar a nuestro equipo.
Introduciremos un valor para la Pre-Shared Key, y los “ID Type”. Así como los
diferentes protocolos de autenticación/encriptación.
Cabe recordar que el valor de la Pre-Shared Key, y los protocolos de
autenticación/encriptación deben de ser los mismos que se configuren en el otro
ZyWALL. Así como invertir el orden de la configuración realizada para los “ID Type”.
41. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 41/88
Fig. – Edición de la Política de Gateway
Por último configuraremos los protocolos de autenticación/encriptación.
Fig. – Edición de la Política de Gateway
42. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 42/88
Una vez configurada la regla de la Política de Gateway, sobre esta añadiremos una
Política de Red.
Fig. – Añadir Políticas de Red sobre una Política de Gateway
Dentro activaremos la política, escribiremos un nombre para este perfil de configuración,
elegiremos la conexión “Gateway Policy” creada anteriormente, y añadiremos el valor
de la subnet local.
Fig. – Configuración de la Política de Red
43. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 43/88
Las opciones de la Red Remota las dejaremos por defecto, ya que en un principio
desconocemos la información de la misma. Dejando una puerta abierta a que visualice
cualquier red remota.
Por último seleccionaremos los algoritmos de encriptación y autenticación.
Los valores de los algoritmos de encriptación y autenticación, así como el valor de las
subredes serán los mismos que se configuren en el ZyWALL Remoto.
Fig. – Configuración de la Política de Red
44. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 44/88
9.1.4. ZyWALL Local
En nuestra topología, el ZyWALL local se corresponde con el ZyWALL USG 100.
Sobre el cuál vamos a configurar el apartado de WAN y el apartado de IPSec VPN.
Para acceder al ZyWALL cogeremos un PC y nos conectaremos directamente a la LAN
del ZyWALL. Una vez hayamos recibido por el servidor DHCP una dirección IP
perteneciente a la subred del ZyWALL tendremos acceso al mismo mediante un
navegador web apuntando a la dirección IP por defecto 192.168.1.1 y la contraseña por
defecto “1234”.
De esta forma accederemos a la Pantalla de Estado del equipo. Donde podremos
comprobar si el dispositivo tiene la última versión de firmware disponible en la ftp de
ZyXEL. (ftp.zyxel.com)
Fig. – Pantalla de Estado
Desde la Pantalla de Estado pulsaremos en la barra lateral de menús dentro del menú
“Network” y a continuación sobre “Interface”.
A continuación configuraremos el Inteface LAN (Ethernet), y el Interface WAN (PPP).
45. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 45/88
Para configurar el Interface LAN pulsaremos sobre la pestaña “Ethernet” y
modificaremos los valores configurados para la “lan1” mediante el icono para editar.
Fig. – Interfaz Ethernet
Nos aparecerán los campos de la configuración del interfaz ethernet Lan1, en los que
configuraremos la dirección IP de LAN y habilitaremos el servidor DHCP.
Fig. – Edición del Interfaz Ethernet Lan1
46. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 46/88
Una vez configurado el interfaz LAN dentro de la pestaña Ethernet, nos iremos a la
pestaña PPP para configurar el interfaz WAN.
Fig. –Interfaz PPP wan1_ppp
Nos aparecerán los campos de la configuración del interfaz wan1_ppp, en los que
habilitaremos el interfaz, activaremos la casilla “Nailed-Up”, y configuraremos las
opciones de ISP con los valores que nos haya dado nuestro proveedor de servicios a
Internet. Así como activar la casilla de obtener IP automáticamente.
Fig. – Edición del Interfaz PPP wan1_ppp
47. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 47/88
Una vez configurados tanto el interfaz LAN como el interfaz WAN del ZyWALL
vamos a proceder a configurar el apartado correspondiente a la VPN IPSec.
En la barra de menús lateral pulsamos sobre el menú VPN, y dentro de él sobre IPSec
VPN. Nos moveremos a la pestaña “VPN Gateway” y añadiremos una nueva conexión.
Fig. – VPN Gateway
Configuraremos un nombre para este perfil de configuración, elegiremos el interfaz
wan1_ppp como “My Address” y el la IP estática del router remoto en el “Peer”.
Escribiremos un valor en el Pre-Shared Key, así como unos valores en el ID Type.
Por último seleccionaremos los algoritmos de encriptación y autenticación.
Los valores de los algoritmos de encriptación y autenticación, así como el valor del PreShared Key serán los mismos que se configuren en el ZyWALL Remoto.
Fig. – Edición del VPN Gateway
48. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 48/88
Una vez configurado el “VPN Gateway” pasaremos a configurar el “VPN Connection”.
Para ello nos moveremos a la pestaña “VPN Connection” y añadiremos una nueva
conexión.
Fig. – VPN Connection
Configuraremos un nombre para este perfil de configuración, elegiremos la conexión
“VPN Gateway” creada anteriormente, crearemos dos objetos de tipo subnet con los
valores de las subredes local (LAN1_SUBNET) y remota (Red_VPN_ZW70).
Por último seleccionaremos los algoritmos de encriptación y autenticación.
Los valores de los algoritmos de encriptación y autenticación, así como el valor de las
subredes serán los mismos que se configuren en el ZyWALL Remoto.
Fig. – Edición del VPN Connection
49. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 49/88
Por último queda configurar el Policy Route para permitir que todo el tráfico con origen
LAN Local y con destino LAN Remoto pase a través del túnel VPN que hemos creado
en los pasos anteriores.
Para ello nos vamos a la barra de menús lateral Network --> Routing, y añadimos una
regla de configuración.
Fig. – Creación de reglas en el Policy Route
En la siguiente ventana marcaremos la casilla de habilitación, elegiremos como origen
la subred de la LAN Local, y como destino la subred de la LAN Remota.
En el Next-Hop elegiremos de tipo VPN Tunnel y seleccionaremos el nombre del VPN
Gateway creado previamente.
Fig. – Configuración de la regla del Policy Route
La configuración de una regla en el Policy Route es prácticamente la única diferencia
que hay a la hora de configuraron estos equipos con respecto a los antiguos modelos de
la familia ZyWALL.
50. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 50/88
9.2. SSL VPN
9.2.1. Configuración en el ZyWALL
Con un equipo conectado directamente a la LAN del ZyWALL accedemos a su
configurador Web mediante la dirección IP que tenga configurada (por defecto es
192.168.1.1), y posteriormente se nos pedirá nombre de usuario y contraseña (por
defecto es nombre de usuario “admin” y contraseña “1234”.
Fig. – Acceso al Equipo
Si el equipo está configurado con los valores por defecto nos aparecerá una ventana
ofreciendo un cambio de contraseñas, para mayor seguridad. Si no queremos cambiarla
podemos pulsar sobre “Ignore”.
Fig. – Solicitud de Cambio de Contraseña
51. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 51/88
Una vez dentro del menú principal, nos desplazamos hasta el menú de VPN, y pulsamos
sobre SSL VPN. En la pestaña “Access Privilege” crearemos una nueva regla.
Fig. – Añadir Regla de Configuración SSL
Nos aparecerán todos los campos de configuración de esta configuración VPN SSL, en
la que escribiremos un nombre para esta regla; asignaremos los usuarios o grupos de
usuario para ser miembros de esta regla; asignaremos aplicaciones Web o FTP para ser
miembros de esta regla.
Fig. – Configuración SSL VPN
52. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 52/88
Habilitaremos la casilla “Enable Network Extension” y asignaremos un “IP Pool”. Y en
el “Network List” asignaremos la red interna del ZyWALL como miembro del túnel.
De esta forma, cuando el usuario se conecte mediante túnel SSL se le añadirá un
interfaz de red virtual.
Dicha conexión de red virtual tendrá una dirección IP comprendida en el rango
configurado (en el ejemplo 8.1.1.33 a 8.1.1.50), y tendrá acceso a la subred del
ZyWALL (en el ejemplo 192.168.1.0).
Fig. – Configuración SSL VPN (Network Extension)
En la pestaña “Global Setting” podremos editar los mensajes de bienvenida y salida, así
como cambiar el logotipo de la aplicación.
Fig. – Configuración SSL VPN (Global Setting)
53. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 53/88
En la configuración de los Interfaces podremos comprobar la dirección IP pública que
tiene el ZyWALL, y así acceder mediante a esa dirección IP Pública desde el exterior.
Fig. – Comprobación de la IP de WAN
9.2.2. Acceso desde el Exterior
Desde un PC con acceso a Internet verificaremos la dirección IP que tenemos
configurada. Para ello abrimos una ventana de símbolo de sistema e introducimos el
comando “ipconfig”. Tenemos que cerciorarnos que nos encontramos en una subred
diferente a la interna del ZyWALL (en el ejemplo diferente a 192.168.1.0).
Fig. – Comprobación de la configuración IP
54. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 54/88
Abrimos un navegador web como puede ser el Intenet Explorer o Mozilla, y escribimos
la dirección IP Pública del ZyWALL. Nos aparecerá una ventana indicando que hay un
problema con el certificado de seguridad de este sitio web. Pulsaremos sobre la opción
“Vaya a este sitio web”.
Fig. – Acceso al ZyWALL desde Internet
Ahora nos aparecerá una ventana solicitando datos de acceso. Escribiremos el nombre
de usuario y contraseña miembros de la configuración SSL creada en el ZyWALL (en
este ejemplo nombre de usuario “Usuario” y contraseña “zyxel”, y activaremos la
casilla “Log into SSL VPN”. Pulsamos sobre Login.
Fig. – Acceso al túnel SSL VPN desde Internet
55. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 55/88
Nos aparecerá una ventana “ZyWALL SecuExtender” con un proceso de carga, la cual
nos creará el interfaz de red virtual en nuestro PC.
Fig. – Carga del ZyWALL SecuExtender
Una vez se haya acabado el proceso de carga, podremos ver la ventana de bienvenida.
Observamos que en la barra de tareas de Windows ha aparecido una nueva conexión de
área local.
Fig. – Nuevo Interfaz de Área Local
56. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 56/88
Una vez que pulsemos sobre OK, podremos acceder a las Aplicaciones Web
configuradas en la regla del túnel SSL del ZyWALL.
Fig. – Acceso a Aplicaciones WEB
También podremos acceder a las carpetas del FTP configuradas en la regla del túnel
SSL del ZyWALL. (En nuestro ejemplo no las hay).
Fig. – Acceso a Aplicaciones FTP
57. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 57/88
Del mismo modo, podemos comprobar que tenemos acceso a la red LAN interna del
ZyWALL tras la creación de la nueva conexión de área local virtual.
En el ejemplo comprobamos las direcciones IP asignadas a nuestro PC, y realizaremos
una prueba de conexión contra un PC conectado directamente en la LAN del ZyWALL.
Fig. – Comprobación de conectividad con la Red Remota
58. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 58/88
9.3. LOGs IKE
En este apartado vamos a mostrar los LOGs que aparecen cuando se negocian los
parámetros configurados para levantar el túnel.
9.3.1. Túnel Abierto sin problemas
Fig. – Logs de la creación correcta de un túnel IPSec VPN
Este es un log de una VPN que se ha creado satisfactoriamente. Podemos ver 6 paquetes
que han sido transmitidos y 4 recibidos en negociación “Main Mode”
Index 15 y 13: Negociación de parámetros de seguridad
Index 11 y 10: Realizando el intercambio de claves Diffie Hellman
Index 9 y 8: Uso de Pre-shared Key para autenticación
Después de finalizar la negociación de la fase 1 satisfactoriamente, empieza la
negociación de la fase 2.
Index 5 y 4: Solo cuando apliquemos PFS se realizarán más intercambios de
clave,<KE> .
Los dos gateways VPN negocian su política VPN (campos <ID><ID>)
Index 1: El túnel se ha establecido con éxito
59. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 59/88
9.3.2. Pre-Shared Key Diferente
Si la Pre-Shared Key no coincide en ambos extremos, se mostrará el siguiente mensaje
de notificación INVALID_ID_INFORMATION.
Si nos encontramos con este problema deberemos verificar que los dos extremos usen la
misma Pre-Shared Key.
Fig. – Logs de error por PSK de la creación de un túnel IPSec VPN
60. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 60/88
9.3.3. Identificador FQDN Diferente
Si los valores de los Identificadores FQDN no coinciden en ambos extremos, se
mostrará el siguiente mensaje de notificación Phase 1 ID mismatch, además del mensaje
INVALID_ID_INFORMATION.
Si nos encontramos con este problema deberemos verificar que los dos extremos usen
los mismos valores de Identificadores FQDN.
Fig. – Logs de error por FQDN de la creación de un túnel IPSec VPN
9.3.4. Desajuste Fase 1
Si parámetros de la Fase 1, como los de autenticación o encriptación no coinciden en
ambos extremos, el mensaje de error mostrado será NO_PROPOSAL_CHOSEN.
Si nos encontramos con este problema, deberemos verificar que los dos extremos usen
los mismos parámetros de autenticación y encriptación.
Fig. – Logs de error en la Fase 1 de la creación de un túnel IPSec VPN
61. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 61/88
9.3.5. Desajuste Fase 2 (Autenticación / Encriptación)
Si parámetros de la Fase 2, como los de autenticación o encriptación no coinciden en
ambos extremos, tras la creación de la Fase 1 el mensaje de error mostrado será
NO_PROPOSAL_CHOSEN.
Si nos encontramos con este problema, deberemos verificar que los dos extremos usen
los mismos parámetros de autenticación y encriptación.
Fig. – Logs de error en la Fase 2 en la creación de un túnel IPSec VPN
9.3.6. Desajuste Fase 2 (Direccionamiento IP)
Si los parámetros de direcciones IP no coinciden en ambos extremos, las conexiones
IKE fallarán en la Fase 2, y el mensaje de error mostrado será la notificación
INVALID_ID_INFORMATION.
Si nos encontramos con este problema, deberemos verificar que los dos extremos usen
los mismos parámetros de direccionamiento IP.
Fig. – Logs de error de Direccionamiento IP en la Fase 2 en la creación de un túnel IPSec VPN
62. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 62/88
10. Funcionalidad UTM
10.1. Application Patrol
Con el Application Patrol podemos controlar el acceso a una serie de servicios, ya sean
preconfigurados o creados por el usuario.
En este ejemplo vamos a ver la configuración para limitar el acceso a las aplicaciones
MSN Messenger y Torrent.
10.1.1. MSN Messenger
En la barra de menús lateral pulsamos sobre “AppPatrol”. En la pestaña General
tendremos que habilitar el Application Patrol. Desde esta ventana también podemos ver
el estado de la licencia y la información de las firmas.
Fig. –Application Patrol (General)
Posteriormente accederemos a la pestaña “Instant Messenger” y editamos la
configuración para el servicio “msn”.
63. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 63/88
Fig. – Servicios de Mensajería Instantánea del AppPatrol
Una vez dentro, habilitaremos el servicio, y pulsaremos sobre añadir una nueva política.
Fig. – Añadir una nueva Política
En este ejemplo la política va a limitar al usuario del “PC_ZyXEL” en el horario de
oficina. Dicho usuario va a tener acceso al Messenger, pero se le han limitado algunas
funcionalidades del Messenger (Audio, Video, Transferencia de Ficheros). Si queremos
denegar todo acceso al Messenger cambiaríamos las opciones de “Access” por “reject”.
Fig. – Configuración de la Política para el MSN Messenger
64. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 64/88
10.1.2. BitTorrent
En la barra de menús lateral pulsamos sobre “AppPatrol”. En la pestaña General
tendremos que habilitar el Application Patrol, y para este ejemplo habilitaremos el
control de Ancho de Banda. Desde esta ventana también podemos ver el estado de la
licencia y la información de las firmas.
Fig. –Application Patrol (General)
Posteriormente accederemos a la pestaña “Peer to Peer” y editamos la configuración
para el servicio “bittorrent”.
Fig. – Editar las opciones del servicio bittorrent
65. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 65/88
Una vez dentro, habilitaremos el servicio, y pulsaremos sobre añadir una nueva política.
Fig. – Añadir una Política
En este ejemplo la política va a limitar al usuario del “PC_ZyXEL” en el horario de
oficina. A dicho usuario se le va a permitir el acceso al bittorrent, aunque se le va a
aplicar un control del ancho de banda. Si queremos denegar todo acceso al bittorrent
cambiaríamos las opciones de “Access” por “reject”.
Fig. – Configuración de la Política para el bittorrent
66. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 66/88
10.2. Anti-Virus
En la barra de menús lateral pulsamos sobre “Anti-X”, y a continuación sobre “AntiVirus”. En la pestaña General tendremos que habilitar el Anti-Virus, y añadiremos una
nueva Política de configuración. Desde esta ventana también podemos ver el estado de
la licencia y la información de las firmas.
Fig. – Configuración general del Anti-Virus
Una vez que añadamos una política, tendremos que rellenar un formulario con la
configuración de la misma. Dicha configuración constaría de habilitar la casilla de
Activación, seleccionar los interfaces de origen y destino, los protocolos a escanear, qué
acciones tomar cuando se detecta un virus. Si queremos habilitar o no la lista blanca y
negra. Y si queremos que verifique los virus en los ficheros comprimidos.
Fig. – Configuración de la Política del Anti-Virus
67. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 67/88
En la pestaña “Black/White List” podemos añadir unos patrones de ficheros para
indicarle al Anti-Virus que los filtre o que no los filtre.
En este ejemplo hemos creado en la “White List” el patrón de fichero “Zy*.*” para que
todos los ficheros que empiecen por las letras “Zy” no sean filtrados por el Anti-Virus.
Fig. – Configuración de la Black/White List
68. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 68/88
10.3. IDP
En la barra de menús lateral pulsamos sobre “Anti-X”, y a continuación sobre “IDP”.
En la pestaña General tendremos que habilitar el la detección de firmas, y añadiremos
una nueva Política de configuración o editaremos una existente. Desde esta ventana
también podemos ver el estado de la licencia y la información de las firmas.
Fig. – Pantalla de la configuración general del IDP
En la pestaña “Profiles” podemos crear perfiles que se añadirán sobre las políticas de la
pestaña “General”. Vamos a editar el perfil “LAN_IDP”.
Fig. – Perfiles del IDP
Dentro de la configuración del perfil le daremos un nombre a este perfil, y podremos
configurar una a una las acciones a tomar para cada uno de los Servicios que aparecen.
Así como hacer que se generen alertas o no en el Log para luego visualizarlas.
69. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 69/88
Fig. – Configuración de un Perfil del IDP
También podemos añadir una firma personalizada para un servicio propietario que
queramos limitar. Para ello nos vamos a “Custom Signatures” y añadimos una regla
para nuestro Servicio:
Fig. – Personalizar Firmas de IDP
70. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 70/88
10.4. ADP
En la barra de menús lateral pulsamos sobre “Anti-X”, y a continuación sobre “ADP”.
En la pestaña General tendremos que habilitar el la detección de anomalías, y
añadiremos una nueva Política de configuración o editaremos una existente.
Las Políticas están referenciadas a interfaces origen y destino, y sobre un perfil de
anomalía.
Fig. – Pantalla de configuración general del ADP
Nos vamos a la pestaña “Profile” y añadimos o editamos un perfil. Al añadir el perfil
nos aparecerá una ventana de selección de la base del perfil ADP.
Si seleccionamos “all”, las anomalías de tráfico y protocolo se activan por defecto y
generan logs alert y las acciones a tomar. Sino seleccionaremos “none”.
Fig. – Perfiles ADP
Fig. – Selección de la Base del Perfil ADP
71. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 71/88
Configuraremos las opciones disponibles en cuanto a los Log y las Acciones a llevar
cuando se de el caso para las Anomalías de Tráfico y las de Protocolo.
Fig. – Configuración de las Anomalías de Tráfico
Fig. – Configuración de las Anomalías de Protocolo
72. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 72/88
10.5. Filtrado de Contenidos
En la barra de menús lateral pulsamos sobre “Anti-X”, y a continuación sobre “Content
Filter”. En la pestaña General tendremos que habilitar el Content Filter.
Opcionalmente podremos activar el “Content Filter Report Service”, que nos permitirá
desde un servidor de informes ver los logs que se generen.
Desde la pestaña General también podremos añadir o editar políticas de configuración,
así como el mensaje a mostrar cuando algún usuario acceda a contenido bloqueado, y
redireccionarlo a una URL.
Fig. – Configuración general del Filtrado de Contenidos
Si añadimos o configuramos una Política para el Filtrado de Contenidos nos aparecerán
unos campos de configuración a rellenar. En el ejemplo el usuario del PC_ZyXEL
durante el Horario de Oficina se la aplicarán las opciones del perfil “Prueba”.
Fig. – Configuración de la Política para el Filtrado de Contenidos
73. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 73/88
En la pestaña “Filter Profile” crearemos nuestro perfil de filtrados web.
Fig. – Control de Perfiles de Filtros
La configuración de este filtro se basa en dos partes: por Categorías o Personalizado.
En la configuración por Categorías disponemos de más de 55 categorías de páginas web
a las que podemos limitar el acceso. Del mismo modo tenemos que activar el bloqueo
para cuando se de una coincidencia, y si queremos que se registre en el Log.
En la parte inferior podremos hacer un test de una URL para ver si está permitido su
acceso o por el contrario está bloqueado.
Fig. – Configuración de las Categorías a limitar el acceso
74. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 74/88
En la pestaña “Custom Service”, tras habilitar el servicio, podremos restringir algunas
características Web, así como introducir Websites de confianza, y Website a bloquear.
La opción “Blocked URL Keywords” nos bloqueará todas las Websites en cuyo nombre
de URL coincida con alguna de las palabras introducidas aquí.
Fig. – Configuración Personalizada de accesos Web
En la pestaña “Cache” podremos visualizar los últimos accesos Web. Podremos
comprobar a qué categoría pertenecían esas URL, y cuanto tiempo se han estado
visualizando.
Fig. – Caché de accesos Web
75. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 75/88
10.6. Anti-Spam
En la barra de menús lateral pulsamos sobre “Anti-X”, y a continuación sobre “AntiSpam”. En la pestaña General tendremos que habilitar el Anti-Spam. Y posteriormente
añadir o editar una política de configuración.
Fig. – Pantalla General del Anti-Spam
Si añadimos una política nos encontraremos con un formulario que nos solicita los
protocolos a escanear, así como opciones de chequeo, dirección de los correos a nivel
interfaz, y las acciones a llevar a cabo cuando se detecte el Spam.
Fig. – Configuración de la Política del Anti-Spam
76. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 76/88
En la pestaña “Black/White List” podemos crear una serie de reglas, a bloquear o
permitir por el Anti-Spam en función de nombres de la cabecera o IP y añadirles una
etiqueta para cuando lo recibamos en nuestra bandeja de entrada de correo.
Fig. – Configuración de la Black y White List
En la pestaña DNSBL podremos habilitar un servidor externo con perfiles Anti-Spam
para que filtre nuestros correos y les añada las cabeceras que configuremos.
Fig. – Configuración del Servidor DNSBL
En la pestaña “Status” podemos ver estadísticas del DNSBL y porcentaje de escaneo
Fig. – Estadísticas de la utilización del Servidor DNSBL
77. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 77/88
11. Mantenimiento
11.1. Fichero de Configuración
Esta es la primera pestaña de configuración dentro del menú “Maintenance”.
El dispositivo ZyWALL USG 100 tiene la capacidad de almacenar ficheros de
configuración en una pequeña memoria interna.
Desde esta opción podemos manejar los ficheros de configuración. Es decir, podemos
descargar ficheros de configuración a un PC, copiarlos dentro de la memoria internta,
renombrarlos, eliminarlos, ejecutar una configuración, y cargar ficheros desde un PC a
la memoria interna del ZyWALL.
Fig. – Control de los Ficheros de Configuración
11.2. Firmware
En este menú podremos visualizar la versión actual de firmware cargada en el ZyWALL,
así como cargar una nueva versión de firmware en formato .BIN desde un PC.
Fig. – Carga del Firmware
78. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 78/88
11.3. Shell Script
El dispositivo ZyWALL USG 100 dispone de una pequeña memoria interna para
almacenar los ficheros de configuración, así como Shell Scripts.
Desde esta opción podemos manejar los ficheros de Shell Scripts. Es decir, podemos
descargar Shell Scripts a un PC, copiarlos dentro de la memoria interna, renombrarlos,
eliminarlos, ejecutarlos, y cargar nuevos Shell Scripts desde un PC a la memoria interna
del ZyWALL.
Fig. – Control de los ficheros Shell Script
79. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 79/88
12. Device HA
Con la función Device HA lograremos que el ZyWALL(B) “Backup” tome el control
cuando el ZyWALL(A) “Master” falle.
Fig. – Funcionamiento del Device HA
En la siguiente figura se muestra la configuración actual de los interfaces WAN1 y
LAN1. Necesitaremos usar dicha información en la configuración Device HA.
Fig. – A tener en cuenta la información IP de WAN y LAN
12.1. Configuración del Master.
Primeramente seleccionaremos un gateway para que actúe como Router Master.
Habilitaremos el Device HA y configuraremos el dispositivo como Router Master desde
la pestaña “Active-Passive Mode”
Fig. – Habilitar el Device HA
80. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 80/88
12.1.1. Habilitar el Device HA en el Master
La siguiente figura muestra la configuración en el modo Active-Passive. En la que
seleccionaremos como rol para el primer dispositivo en Master. Y pulsaremos sobre el
icono de edición de la wan1 para añadirle una IP de mantenimiento.
Fig. – Configuración en modo Master
12.1.2. IP de Mantenimiento para los Interfaces WAN y LAN
Tras configurar la IP del router virtual (en este caso la IP del interfaz wan1),
necesitamos configurar la IP de mantenimiento y su correspondiente subred para el
Router Master.
Fig. – Configuración de la IP de Mantenimiento para la wan1
81. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 81/88
Tras configurar las opciones de WAN, necesitamos configurar las opciones de LAN
para este Gateway Master. Para ello pulsamos sobre el icono de edición para el interfaz
lan1.
Fig. – Editar la configuración para el interfaz lan1
En la siguiente ventana necesitaremos introducir los parámetros de LAN para el
Gateway Master. En este ejemplo, hemos introducido la dirección 192.168.1.2 como IP
de Mantenimiento del interfaz lan1.
Fig. – Configuración de la IP de Mantenimiento para la lan1
82. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 82/88
12.2. Configuración del Backup
Una vez configurado el Gateway Master y vayamos a configurar el Gateway Backup,
nos tenemos que asegurar de que las opciones de red son las mismas que para el Master.
Después tendremos que hacer un backup de la configuración del Master sobre el
Backup. Dado que los nodos finales de esta red sólo conocerán a un gateway, tenemos
que confirmar que las opciones introducidas para el interfaz WAN y LAN sobre el
Gateway de Backup son las mismas que las del Gateway Master.
Fig. – A tener en cuenta la información IP de WAN y LAN
12.2.1. Habilitar el Device HA en el Backup
Seleccionaremos el segundo gateway para que actúe como Router Backup.
Habilitaremos el Device HA y configuraremos el dispositivo como Router Backup
desde la pestaña “Active-Passive Mode”
Fig. – Habilitar el Device HA sobre el Gateway Backup
83. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 83/88
La siguiente figura muestra la configuración en el modo Active-Passive. En la que
seleccionaremos como rol para el segundo dispositivo en Backup. Y pulsaremos sobre
el icono de edición de la wan1 para añadirle una IP de mantenimiento.
Fig. – Configuración en modo Backup
12.2.2. IP de Mantenimiento para los Interfaces WAN y LAN
Tras configurar la IP del router virtual (en este caso la IP del interfaz wan1),
necesitamos configurar la IP de mantenimiento y su correspondiente subred para el
Router Backup.
Fig. – Configuración de la IP de Mantenimiento para la wan1
84. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 84/88
Tras configurar las opciones de WAN, necesitamos configurar las opciones de LAN
para este Gateway Backup. Para ello pulsamos sobre el icono de edición para el interfaz
lan1.
Fig. – Selección del Rol y edición de la configuración para el interfaz lan1
En la siguiente ventana necesitaremos introducir los parámetros de LAN para el
Gateway Backup.
En este ejemplo, hemos introducido la dirección 192.168.1.3 como IP de
Mantenimiento del interfaz lan1.
Fig. – Configuración de la IP de Mantenimiento para la lan1
85. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 85/88
12.3. Conectar el Gateway Master con el Gateway Backup
Después de confirmar la configuración de ambos gateways, los conectaremos.
Se deberían ver los correspondientes roles en el HA status, donde la IP de
Mantenimiento del Gateway Master es 192.168.1.2.
Fig. – Estado del Device HA en el Gateway Master
En esta ventana podemos comprobar que el servidor de backup está levantado y en
estado Stand-by porque el Gateway Master está funcionando bien.
(Ip de mantenimiento del Gateway Backup: 192.168.1.3)
Fig. – Estado del Device HA en el Gateway Backup
86. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 86/88
A continuación necesitaremos sincronizar la información de ambos gateways. Se nos
pedirá una contraseña para este procedimiento. Dicha contraseña no puede ser la misma
que la contraseña de administrador.
Se recomienda usar la LAN para sincronizar la configuración de ambos dispositivos.
Fig. – Contraseña de Sincronización en el Gateway Master
Una vez introducidas la contraseñas en ambos Gateways, sobre el Gateway Backup
pulsaremos sobre el botón “Sync. Now” para sincronizar estos gateways.
Recomendamos enormemente realizar la sincronización entre el Gateway Master y el
Gateway Backup al principio, antes de dejar el sistema funcionando.
Fig. – Contraseña de Sincronización en el Gateway Backup
87. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 87/88
La siguiente imagen muestra como el Gateway de Backup empieza a sincronizarse
desde el Gateway Master.
Fig. – Proceso de Sincronización en el Gateway Backup
La siguiente imagen muestra que el Gateway de Backup ha finalizado el proceso de
sincronización con el Gateway Master.
Fig. –Sincronización finalizada con éxito en el Gateway Backup
88. Formación Técnica:
‘Dispositivos de Seguridad en Red ZyWALL USG’
Pág. 88/88
12.4. Test de desconexión del cable WAN en el Gateway Master
A continuación realizaremos el test para comprobar que la función “Device HA”
funciona correctamente. Vamos a desconectar el cable de WAN del Gateway Master
para provocar un fallo en la red.
En la siguiente figura podemos ver en la información del HA status que el Gateway
Master está en fallo. Podemos ver que en el HA status el Gateway Master cambió del
estado “Active” a “Fault”.
Fig. – Gateway Master en fallo
En siguiente figura, se muestra como el servidor de backup está llevando el control, tras
ponerse en estado de “Active”, debido a que el Gateway Master está caído.
De esa forma el servidor de backup maneja todo el tráfico.
Fig. – Gateway Backup activo