WatchGuard System Manager Guía del Usuario

®
WatchGuard System Manager
Guía del Usuario
Fireware ® v8.3
Fireware ® Pro v8.3

Aviso a los Usuarios
La información en esta guía está sujeta a cambios sin advertencia previa. Compañías, nombres y datos usados
en ejemplos aquí son ficticios a menos que se advierta lo contrario. Ninguna parte de esta guía puede ser
reproducida o transmitida por cualquier forma o medio, electrónico o mecánico, para cualquier propósito, sin la
autorización expresa de WatchGuard Technologies, Inc.
Copyright, Marca Registrada e Información de Patente
Copyright© 1998 - 2006 WatchGuard Technologies, Inc. Todos los derechos reservados
Información completa acerca de derechos de autor, marcas
registradas, patentes y licencias puede encontrarse en el
apéndice de esta Guía del Usuario.
Todas las marcas registradas y nombres comerciales aquí mencionados, si las hay, son propiedad de sus respectivos
dueños.
Management Software: 8.3
Appliance Software: Fireware® 8.3 and Fireware Pro 8.3
Documento Versión: 8.3-352-2671-0011
DIRECCIÓN:
505 Fifth Avenue South
Suite 500
Seattle, WA 98104
Estados Unidos
SOPORTE:
www.watchguard.com/support
support@watchguard.com
E.E. U.U. y Canadá +877.232.3531
Otros países +1.206.613.0456
VENTAS:
E.E.U.U y Canadá +1.800.734.9905
Otros países +1.206.521.8340
SOBRE WATCHGUARD
WatchGuard es un proveedor líder de soluciones de seguridad para redes para empresas
pequeñas y medianas de todo el mundo, que provee productos integrados y servicios que
son, al mismo tiempo, robustos y fáciles de adquirir, instalar y administrar. La familia de
appliances de seguridad expansibles e integrada Firebox X de la compañía está diseñada
para ser completamente actualizable en la medida en que la organización crece y para
proveer la mejor combinación de desempeño, interfaz intuitiva y valor de de la industria
de la seguridad. La arquitectura WatchGuard Intelligent Layered Security protege efectiva
y eficientemente contra amenazas emergentes y provee la flexibilidad para integrar
seguridad funcional adicional y servicios ofrecidos por WatchGuard. Cada producto
WatchGuard viene con un servicio de suscripción inicial a LiveSecurity Service para ayudar
a los clientes a estar al tope del panorama de la seguridad con alertas de vulnerabilidad,
actualizaciones de software, instrucciones de expertos en seguridad y cuidado superior
del cliente. Para mayor información, por favor llame por teléfono al (206) 521-8340
o visite www.watchguard.com.
II ii
WFS a Firewere

Contenidos
CAPÍTULO 1 Introducción ................................................................................................... 1
Acerca de Fireware y Fireware Pro ............................................................................. 1
Funciones y herramientas del Fireware ..................................................................... 2
WatchGuard System Manager (WSM) Interfaz del Usuario ..................................... 4
Acerca de la barra de herramientas de WatchGuard ...................................................... 4
Acerca de la ventana del WatchGuard System Manager ............................................. 4
Estado del dispositivo ................................................................................................. 5
Estado de la conexión ................................................................................................. 6
CAPÍTULO 2 Comenzando ................................................................................................... 9
Instalando WatchGuard System Manager ................................................................ 9
Requisitos para la instalación .................................................................................... 9
Obteniendo información de la red ............................................................................. 10
Seleccionando un modo de configuración del firewall ............................................... 11
Seleccionando dónde instalar el software del servidor .............................................. 13
Configurando la estación de administración .............................................................. 13
Respaldando su configuración previa ........................................................................ 14
Asistente de configuración rápida ............................................................................ 14
Asistente Web de Quick Setup para Firebox X Core y Peak e-Series .......................... 15
Asistente de configuración rápida ............................................................................. 16
Poniendo en operación el Firebox ............................................................................. 16
Iniciando el WatchGuard System Manager .............................................................. 17
Conectándose con un Firebox ................................................................................... 17
Desconectándose de un Firebox ............................................................................... 18
Iniciando aplicaciones de seguridad ......................................................................... 18
Después de instalarlo ............................................................................................... 19
Personalizando su política de seguridad ...................................................................... 19
Características del LiveSecurity Service .................................................................... 19
Actualizando a una nueva versión de Fireware ....................................................... 20
Tópicos de instalación ............................................................................................... 20
Guía del Usuario
iii

Instalando WatchGuard Servers en computadoras de escritorio con firewalls ............. 20
Añadiendo redes secundarias a su configuración ...................................................... 21
Soporte de IP dinámico en la interfaz externa ........................................................... 21
Ingresando direcciones IP ......................................................................................... 22
Instalando los cables del Firebox ............................................................................... 22
CAPÍTULO 3 Servicio y Asistencia Técnica .................................................................... 23
Soluciones LiveSecurity Service ............................................................................... 23
Comunicaciones de LiveSecurity Service ................................................................ 24
Activando LiveSecurity Service .................................................................................. 25
Herramientas de auto-ayuda de LiveSecurity Service ............................................. 25
Foro de usuarios de WatchGuard ............................................................................. 26
Ayuda en línea ............................................................................................................ 27
Iniciandola ayuda en línea de WatchGuard ................................................................. 27
Buscando información ................................................................................................ 27
Copiando el sistema de ayuda en línea a más computadoras ..................................... 27
Documentación del producto ..................................................................................... 28
Asistencia técnica ....................................................................................................... 28
Asistencia técnica de LiveSecurity Service ................................................................. 28
LiveSecurity Gold ....................................................................................................... 29
Servicio de instalación de Firebox .............................................................................. 29
Servicio de instalación de VPN ................................................................................... 29
Entrenamiento y certificación .................................................................................... 29
CAPÍTULO 4 Monitoreando el estado del Firebox ......................................................... 31
Iniciando el Firebox System Manager ........................................................................ 31
Conectándose a un Firebox ....................................................................................... 31
Abriendo el Firebox System Manager ......................................................................... 32
Menús y barras de herramientas del Firebox System Manager .............................. 32
Estableciendo el intervalo de refresco y pausa de la pantalla .................................... 34
Viendo el estado básico de Firebox y de la red ........................................................... 34
Usando la pantalla de tráfico de seguridad ............................................................... 35
Monitoreando la información de estado ..................................................................... 35
Configurando el centro de la interfaz ....................................................................... 36
Monitoreando tráfico, almacenamiento y estado ....................................................... 36
Estado del Firebox y del túnel VPN ............................................................................. 36
Monitoreando el tráfico de Firebox ........................................................................... 38
Estableciendo el máximo número de mensajes en el log ............................................ 38
Usando colores para sus mensajes de log .................................................................. 39
Copiando mensajes de log .......................................................................................... 39
Aprendiendo más acerca del log de mensajes de tráfico ............................................ 40
Limpiando el Caché del ARP ..................................................................................... 40
Usando la consola de desempeño ........................................................................... 40
Tipos de indicadores .................................................................................................. 40
Definiendo indicadores ................................................................................................ 40
iv
WatchGuard System Manager

Viendo los gráficos de desempeño ............................................................................ 43
Trabajando con más de un gráfico de consola de desempeño ................................... 44
Viendo el uso del ancho de banda ............................................................................ 45
Viendo el número de conexiones por política ........................................................... 46
Viendo información acerca del estado de Firebox .................................................. 48
Informe de estado ...................................................................................................... 48
Lista de autenticación ................................................................................................ 49
Sitios bloqueados ....................................................................................................... 50
Servicios de seguridad ............................................................................................... 51
Usando HostWatch ..................................................................................................... 53
La ventana de HostWatch .......................................................................................... 53
Controlando la ventana de HostWatch ....................................................................... 54
Cambiando las propiedades de la vista de HostWatch ............................................... 55
Agregando un sitio bloqueado desde HostWatch ...................................................... 55
Pausando la pantalla de HostWatch ...........................................................................56
CAPÍTULO 5 Administración básica del Firebox ........................................................... 57
Trabajando con licencias .......................................................................................... 57
Activando una nueva característica ............................................................................ 57
Adicionando licencias ................................................................................................. 59
Eliminando una licencia ............................................................................................. 59
Viendo las funciones activas ...................................................................................... 60
Viendo las propiedades de una licencia ..................................................................... 61
Descargando una clave de licencia ........................................................................... 61
Estableciendo servidores NTP ................................................................................... 61
Estableciendo un nombre amigable y el Huso Horario ........................................... 62
Trabajando con SNMP .............................................................................................. 62
Permitiendo “polls” SNMP ....................................................................................... 63
Permitiendo “traps” SNMP ...................................................................................... 63
Usando MIBs ............................................................................................................. 64
Cambiando las passphrases de Firebox ................................................................... 64
Recuperando un Firebox ........................................................................................... 65
Reseteando un dispositivo Firebox X e-Series ............................................................ 65
Reseteando un Firebox X Core o Peak (no e-Series) ................................................... 65
Reseteando un Firebox usando fbxinstall .................................................................. 66
CAPÍTULO 6 Estableciendo la configuración básica
Abriendo un archivo de configuración .......................................................................69
Abriendo un archivo de configuración operativo ......................................................... 69
Abriendo un archivo local de configuración ............................................................... 71
Haciendo un nuevo archivo de configuración ............................................................. 71
Guardando un archivo de configuración ................................................................. 71
Guardando una configuración en el Firebox ............................................................... 72
Guardando una configuración en un disco duro local ................................................ 72
Acerca de las imágenes de respaldo de Firebox ..................................................... 72
Guía del Usuario
v

Creando una imagen de respaldo del Firebox .......................................................... 72
Restaurando una imagen de respaldo de Firebox .................................................... 73
Trabajando con alias ................................................................................................. 73
Creando un alias ...................................................................................................... 74
Usando parámetros globales .................................................................................. 75
VPN .......................................................................................................................... 75
Manejo de errores ICMP .......................................................................................... 76
Chequeando el TCP SYN .......................................................................................... 76
Ajuste del máximo tamaño de segmento de TCP ...................................................... 77
Parámetros de autenticación ................................................................................... 77
Creando cronogramas ............................................................................................. 77
Administrando un Firebox desde una localización remota .................................... 78
CAPÍTULO 7 Registro de eventos y notificación ......................................................... 81
Configurando el Log Server ..................................................................................... 82
Cambiando la clave de encriptación del Log Server ................................................. 82
Configurando Firebox para un Log Server designado ............................................ 83
Agregando un Log Server a un Firebox .................................................................... 83
Estableciendo la prioridad del Log Server ................................................................ 84
Activando el registro de eventos syslog ................................................................... 84
Permitiendo diagnósticos avanzados ....................................................................... 85
Estableciendo las preferencias globales del registro
de eventos y notificaciones ...................................................................................... 86
Tamaño del archivo de registro de eventos y frecuencia de rotación ........................ 87
Estableciendo cuándo reiniciar los archivos de registro de eventos .......................... 87
Estableciendo un cronograma de informes automáticos ..........................................88
Controlando la notificación ....................................................................................... 89
Iniciando y deteniendo el Log Server ....................................................................... 89
Acerca de los mensajes de log ................................................................................ 89
Tipos de mensajes .................................................................................................... 90
Nombres de los archivos de registro de eventos y localización ........................... 90
Iniciando el LogViewer ............................................................................................. 91
Configuración del LogViewer .................................................................................... 92
Usando el LogViewer ............................................................................................... 93
Creando una regla de búsqueda ............................................................................. 93
Buscando en el LogViewer ...................................................................................... 94
Viendo el archivo de registro de eventos vigente en el LogViewer ........................... 94
Copiando datos del LogViewer ................................................................................. 94
Consolidando archivos de registro de eventos .......................................................... 95
Actualizando archivos de registro de eventos .wgl al formato .xml ........................... 95
CAPÍTULO 8 Preparando y configurando la red ......................................................... 97
Cambiando la dirección IP de la interfaz del Firebox ............................................. 98
Configurando la interfaz externa ............................................................................ 100
Acerca del soporte de WAN múltiple ..................................................................... 102
vi
WatchGuard System Manager

Acerca del multi-WAN ordenado enround robin ......................................................... 102
Acerca de WAN Failover ........................................................................................... 103
Acerca del multi-WAN con tabla de enrutamiento ...................................................... 103
Configurando el soporte de WAN múltiple ................................................................. 104
Agregando redes secundarias .................................................................................. 105
Agregando direcciones de servidores WINS y DNS ................................................. 107
Configurando DNS dinámicas ................................................................................... 108
Configurando enrutamientos ................................................................................... 110
Agregando un enrutamiento de red ........................................................................... 110
Agregando un enrutamiento de host ......................................................................... 110
Estableciendo la los parámetros Speed y Duplex de la interfase Firebox ............ 111
Configurando Hosts relacionados ............................................................................ 111
CAPÍTULO 9 Trabajando con Firewall NAT ................................................................... 113
Usando NAT dinámica ............................................................................................... 114
Agregando entradas NAT dinámica al firewall .......................................................... 114
Reordenando entradas NAT dinámica ...................................................................... 115
Entradas NAT dinámica basadas en políticas ........................................................... 115
Usando 1-to-1 NAT ...................................................................................................... 116
Definiendo una regla 1-to-1 NAT .............................................................................. 117
Configurando el firewall 1-to-1 NAT .......................................................................... 118
Configurando 1-to-1 NAT basadas en políticas .......................................................... 118
Configurando NAT dinámica basadas en políticas ......................................................119
Configurado NAT estática para una política ............................................................119
CAPÍTULO 10 Implementando autenticación .............................................................. 121
Cómo funciona la autenticación de usuario ........................................................... 121
Usando autenticación desde la red externa .............................................................. 122
Usando autenticación a través de un Gateway Firebox hacia otro Firebox ................ 122
Tipos de servidores de autenticación ...................................................................... 123
Usando un servidor de autenticación de respaldo .................................................... 123
Configurando el Firebox como un servidor de autenticación ................................ 123
Acerca de la autenticación Firebox ........................................................................... 123
Configurando el Firebox como un servidor de autenticación ..................................... 125
Usando una cuenta de usuario local para autenticación
de Firewall, PPTP y MUVPN .......................................................................................126
Configurando el servidor de autenticación RADIUS .............................................. 127
Configurando la autenticación SecurID .................................................................. 128
Configurando la autenticación LDAP ....................................................................... 129
Configurando la autenticación por Directorio Activo .............................................. 131
Configurando una política con autenticación de usuario ..................................... 132
CAPÍTULO 11 Firewall: Detección y Prevención de Intrusiones ............................... 135
Usando la opciones por defecto de manejo de paquetes ..................................... 135
Ataques “spoofing” .................................................................................................. 136
Guía del Usuario
vii

Ataques sobre los caminos de las fuentes IP ........................................................ 136
Ataques del tipo Ping de la Muerte (Ping of death) .................................................. 136
Ataques de espacio a puertos y direcciones ..................................................................137
Ataques de saturación Flood .................................................................................. 137
Paquetes no manipulados ....................................................................................... 137
Ataques de Denegación de Servicio DDoS ............................................................. 137
Sitio bloqueados ................................................................................................... 138
Bloqueando un sitio en forma permanentemente .................................................. 138
Para bloquear sitios de spyware .............................................................................. 139
Cómo usar una lista externa de sitios bloqueados .................................................. 140
Cómo crear excepciones a la lista de sitios bloqueados .......................................... 140
Configurando los parámetros de logging y notificación ............................................ 140
Bloquear temporariamente sitios ........................................................................... 141
Bloqueo de Puertos ................................................................................................. 142
Bloqueando puertos en forma permanentemente ................................................. 143
Bloqueo automático de direcciones IP
que intenten usar puertos bloqueados .................................................................... 143
Configurando notificaciones para los puertos bloqueados ........................................ 143
CAPÍTULO 12 Configuración de Políticas ................................................................... 145
Creando políticas para su red ................................................................................. 145
Agregando políticas .................................................................................................. 146
Cambiando la vista del Policy Manager ................................................................... 146
Agregando una política ............................................................................................ 147
Cómo hacer una Plantilla Personal de políticas ...................................................... 148
Agregando más de una política del mismo tipo ...................................................... 150
Borrando una política .............................................................................................. 150
Configuración de las propiedades de una política ................................................ 150
Configurando una acción proxy ............................................................................... 151
Cómo fijar las propiedades de logging ..................................................................... 152
Configurando NAT estática ..................................................................................... 153
Estableciendo propiedades avanzadas ................................................................... 153
Fijando la política de precedencia .......................................................................... 157
Usando orden automático ...................................................................................... 157
Fijar la precedencia en forma manual .................................................................... 159
CAPÍTULO 13 Configurando políticas de Proxy .......................................................... 161
Definiendo reglas .................................................................................................... 161
Agregando conjuntos de reglas ............................................................................... 162
Usando la vista de reglas avanzadas ...................................................................... 163
Personalizando el registro y las notificaciones para las reglas Proxy .................. 164
Cómo configurar mensajes de log y notificaciones
para una política de proxy ............................................................................................... 164
Configuración de mensajes de log
y alarmas para una regla proxy .............................................................................. 164
Cómo usar caja de diálogo para las alarmas,
mensajes de log y notificaciones ..................................................................................... 164
viii
WatchGuard System Manager

Configuración de la SMTP Proxy ............................................................................... 166
Configuración de los parámetros generales ............................................................... 167
Cómo configurar parámetros ESMTP ........................................................................ 168
Configurando reglas de autenticación ....................................................................... 169
Definiendo las reglas de tipo de contenido ............................................................... 170
Definiendo reglas para nombres de archivos ............................................................ 170
Configurando las reglas de “Mail From“y ”Mail To” ................................................... 170
Definición de reglas de encabezado ......................................................................... 170
Definiendo las respuestas del antivirus .................................................................... 170
Cambiando el mensaje de denegación ..................................................................... 171
Configurando el IPS (Intrusion Prevention System) para SMTP .................................. 171
Configurando spamBlocker ....................................................................................... 171
Configurando alarmas de proxy y antivirus en el SMTP ............................................. 171
Configurando el Proxy FTP ........................................................................................ 172
Configurando los parámetros generales .................................................................... 172
Definiendo reglas para comandos FTP ..................................................................... 173
Fijando reglas de descarga para FTP ........................................................................ 173
Fijando reglas de subida de archivos por FTP ........................................................... 173
Habilitandi Intrusion Prevention para FTP ................................................................. 173
Configurando alarmas de proxy para FTP ................................................................. 174
Configurando la Proxy HTTP ..................................................................................... 174
Configurando los parámetros para solicitudes HTTP ................................................. 174
Configurando los seteos generales para las solicitudes HTTP ................................... 175
Fijando los campos de requerimientos HTTP de encabezado ..................................... 175
Fijando tipos de contenidos para respuestas HTTP ................................................... 176
Fijando cookies para respuestas HTTP ..................................................................... 177
Fijando tipos de contenidos para el cuerpo del HTTP .............................................. 177
Definiendo respuestas antivirus para HTTP .............................................................. 177
Cambiando el mensaje de denegación ...................................................................... 177
Habilitando prevención de intrusiones para HTTP ..................................................... 179
Definiendo alarmas de proxy y antivirus para HTTP .................................................. 179
Configurando Proxy DNS .......................................................................................... 179
Configurando los parámetros generales para una acción proxy DNS ........................ 180
Configurando OPcodes DNS ..................................................................................... 180
Configurando tipos de query DNS .............................................................................. 181
Configurando nombres de query DNS ....................................................................... 182
Habilitando intrusion prevention para DNS ............................................................... 182
Configurando alarmas de proxy para DNS .................................................................182
Configurando el TCP Proxy ....................................................................................... 182
Configurando los parámetros generales para la proxy TCP ....................................... 182
Habilitando la prevención de intrusiones para TCP ................................................... 183
CAPÍTULO 14 Generando informes de actividad de la red ....................................... 185
Creando y editando informes ................................................................................... 185
Comenzando con los informes históricos .................................................................. 186
Iniciando un nuevo informe ...................................................................................... 187
Editando un informe ya existente ..............................................................................187
Guía del Usuario
ix

Borrando un informe .............................................................................................. 187
Viendo la lista de informes ..................................................................................... 187
Generando un archivo de respaldo de los archivos de definiciones ........................ 187
Fijando las propiedades de los informes ................................................................187
Especificar un intervalo de tiempo entre informes .................................................. 187
Especificando secciones de informes ......................................................................188
Consolidando secciones de un informe ...................................................................189
Configurando las propiedades de un informe ..........................................................190
Cómo ver las relaciones de las interfaces de red .................................................... 190
Exportando informes .............................................................................................. 190
Exportando informes en formato HTML .................................................................. 191
Exportando informes al formato NetIQ .................................................................... 191
Utikizando filtros en los informes .......................................................................... 191
Creando un nuevo filtro de informes ...................................................................... 192
Editando filtros de informes ..................................................................................... 192
Borrando filtros de informes .................................................................................. 193
Aplicando un filtro de informes ............................................................................... 193
Generando informes ................................................................................................193
Secciones del informe y secciones consolidadas ................................................ 193
Secciones de informes ........................................................................................... 193
Secciones consolidadas ......................................................................................... 196
CAPÍTULO 15 Configuración y administración del Management Server ............. 197
Passphrasses del WatchGuard Management Server ........................................... 197
Configurando el Management Server ................................................................... 199
Cambiando la configuración de Management Server ......................................... 200
Agregando o eliminando una licencia de Management Server ................................ 200
Registrando mensajes de log de diagnóstico para el Management Server .............. 201
Configurando la Certificate Authority .................................................................... 201
Configurando las propiedades del certificado CA .................................................... 201
Configurando las propiedades de los certificados del cliente ................................. 202
Configurando las propiedades de la Lista de Revocación de Certificados (CRL) ..... 203
Registrando mensajes de eventos de diagnóstico
para el servicio Certificate Authority ........................................................................ 204
Respaldando y restaurando la configuración del Management Server ............. 204
Mudando el WatchGuard Management Server a una nueva computadora ....... 205
CAPÍTULO 16 Usando el Management Server .......................................................... 207
Conectándose a un Management Server .............................................................. 207
Administrando dispositivos con el Management Server ..................................... 208
Configurando un Firebox X Core o X Peak corriendo
Fireware como Cliente Administrado ...................................................................... 208
Configurando un Firebox III or Firebox X Core corriendo
WFS como Cliente Administrado ............................................................................. 210
Configurando un Firebox X Edge como Cliente Administrado .................................... 211
x
WatchGuard System Manager

Configurando un Firebox SOHO 6 como un Managed Client ..................................... 212
Agregando dispositivos al Management Server ..................................................... 216
Usando la página de administración de dispositivos ............................................ 216
Viendo la página de administración de Firebox ......................................................... 218
Configurando las propiedades de administración de Firebox .................................... 218
Actualizando el dispositivo ......................................................................................... 219
Agregando un recurso VPN ....................................................................................... 219
Iniciando las herramientas Firebox ........................................................................... 220
Agregando un túnel VPN al Firebox ........................................................................... 211
Monitoreando VPNs .................................................................................................. 220
CAPÍTULO 17 Administrando certificados y Autoridad de Certificación ................. 221
Criptografía de clave pública y certificados digitales ............................................. 221
PKI en un VPN de WatchGuard ................................................................................. 222
MUVPN y certificados ................................................................................................. 222
Administrando Autoridad de Certificación ........................................................................ 222
Administrando certificados con el CA Manager ......................................................... 223
CAPÍTULO 18 Introducción a VPNs .......................................................................... 225
Protocolos de tunelamiento ....................................................................................... 226
IPSec ......................................................................................................................... 226
PPTP ......................................................................................................................... 226
Encriptación .............................................................................................................. 226
Selección de un método de encriptación e integridad de datos ................................. 227
Autenticación ............................................................................................................ 227
Autenticación extendida ............................................................................................ 227
Selección de un método de autenticación ................................................................. 227
Direccionamiento IP ................................................................................................... 228
Internet Key Exchange ............................................................................................... 228
Network Address Traslation y VPNs .......................................................................... 229
Control de acceso ....................................................................................................... 229
Topología de la red ..................................................................................................... 229
Redes en malla (meshed) ......................................................................................... 229
Redes Hub-and-spoke ............................................................................................... 230
Métodos de tunelamiento ......................................................................................... 231
Soluciones VPN de WatchGuard ............................................................................... 232
Remote User VPN con PPTP ....................................................................................... 232
Mobile User VPN 232 ................................................................................................. 232
Branch Office Virtual Private Network (BOVPN) .......................................................... 233
Escenarios de VPN ..................................................................................................... 234
Compañias grandes con sucursales: WatchGuard System Manager .......................... 234
Compañias pequeñas con teleconmutadores: MUVPN ............................................. 235
Compañías pequeñas con empleados remotos: MUVPN
con autenticación extendida ...................................................................................... 235
Guía del Usuario
xi

CAPÍTULO 19 Configuración de túneles VPN administrados ................................. 237
Configurando un Firebox como Cliente Administrativo ......................................... 237
Incorporación de plantillas de políticas ................................................................ 237
Obteniendo las plantillas actuales de un dispositivo .............................................. 238
Cree una nueva plantilla de política ....................................................................... 238
Agregando recursos a una plantilla de política ........................................................ 239
Agregando las plantillas de seguridad ................................................................. 239
Creando túneles entre dispositivos ....................................................................... 240
Usando el procedimiento arrastrar y soltar .............................................................. 240
Usando el asistente Add VPN sin arrastrar y soltar ................................................ 240
Editando un túnel ................................................................................................... 241
Eliminando túneles y dispositivos .......................................................................... 241
Eliminando un túnel ................................................................................................ 241
Eliminando un dispositivo ...................................................................................... 241
CAPÍTULO 20 Configuración de BOVPN con IPSec manual .................................... 243
Antes de empezar .................................................................................................... 243
Configurando un Gateway ....................................................................................... 243
Agregando un gateway ........................................................................................... 243
Editando y eliminado gateways .............................................................................. 246
Creando un túnel manual ...................................................................................... 246
Editando y borrando un túnel ................................................................................. 249
Haciendo una política de túnel ............................................................................... 250
Configuración NAT dinámica a través de un túnel BOVPN ................................... 250
CAPÍTULO 21 Administrando Firebox X Edge y Firebox SOHO ............................... 253
Trabajando con dispositivos sobre un Management Server ............................... 254
Preparando un Firebox X Edge nuevo o configuración
de fábrica para administración ................................................................................ 254
Preparando un Firebox X Edge instalado para administración ................................. 255
Preparando un Firebox SOHO 6 para administración .............................................. 256
Agregando dispositivos Firebox X Edge y SOHO 6 a un Management Server .......... 257
P l a n i ficando las actualizaciones de fi rmwa re de Fi re b ox X Edge ........................... 259
Visualizando y eliminando actualizaciones de firmware .......................................... 261
Usando la página de administración de Firebox X Edge ..................................... 261
Visualizando la página de administración del Firebox X Edge ................................. 261
Configurando las propiedades de administración del Firebox X Edge ..................... 262
Actualizando el dispositivo ..................................................................................... 263
Agregando un recurso VPN ..................................................................................... 263
Iniciando las herramientas de Firebox X Edge ........................................................ 264
Agregando un túnel VPN al Firebox X Edge ............................................................. 264
Usando la sección de políticas del Firebox X Edge .................................................. 265
Usando la página de administración del Firebox SOHO 6 .................................. 265
Visualizando la página de administración del SOHO 6 ........................................... 265
Configurando las propiedades de administración del Firebox SOHO 6 ................... 266
xii
WatchGuard System Manager

Actualizando el dispositivo ......................................................................................... 266
Agregando un recurso VPN ....................................................................................... 267
Iniciando las herramientas del Firebox SOHO 6 ......................................................... 267
Agregando un túnel VPN a SOHO 6 ........................................................................... 268
Creando y aplicando Edge Configuration Templates .............................................. 268
Agregando una política predefinida con el asistente Add Policy ................................ 269
Agregando una política personalizada con el asistente Add Policy ............................ 270
Clonando una Edge Configuration Template ............................................................. 271
Aplicando un Edge Configuration Template a los dispositivos ............................... 271
Administrando los parámetros de red del Firebox X Edge ..................................... 273
Usando alias ............................................................................................................... 275
Nombramiento del alias en el Management Server .................................................. 276
Definiendo alias en el Firebox X Edge ....................................................................... 277
CAPÍTULO 22 Configurando RUVPN con PPTP ........................................................... 279
Lista de chequeo de la configuración ...................................................................... 279
Niveles de encriptación ............................................................................................. 279
Configurando los servidores WINS y DNS ............................................................... 280
Activando RUVPN con PPTP ..................................................................................... 281
Activando la autenticación extendida ........................................................................ 281
Agregando direcciones IP para las sesiones RUVPN ............................................. 281
Agregando nuevos usuarios al PPTP_Users Authentication Group ...................... 282
Configurando políticas para permitir tráfico proveniente de RUVPN .................... 283
Por política individual ............................................................................................... 283
Usando la política “Any” (cualquiera) .......................................................................... 284
Preparando las computadoras de los usuarios ....................................................... 284
Instalando MSDUN y los ServicePacks ....................................................................... 285
Creando y conectando un PPTP RUVPN bajo Windows XP .................................... 285
Creando y conectando un PPTP RUVPN bajo Windows 2000 ............................... 286
Corriendo RUVPN y accediendo a Internet ................................................................ 286
Haciendo conexiones salientes PPTP desde atrás de un Firebox .............................. 287
CAPÍTULO 23 Controlando el acceso a sitios Web con WebBlocker ..................... 289
Instalando la licencias de software ......................................................................... 289
Comenzando con WebBlocker ................................................................................. 290
Automatizando las descargas de la base de datos de WebBlocker ........................... 291
Activando el WebBlocker .......................................................................................... 291
Configurando el WebBlocker .................................................................................... 293
Agregando nuevos servidores ................................................................................... 294
Seleccionando categorías a bloquear ........................................................................ 294
Definiendo excepciones de WebBlocker ................................................................... 295
Peogramando una Acción del WebBlocker ................................................................ 296
Estableciendo un cronograma de WebBlocker Action ........................................... 297
Guía del Usuario
xiii

CAPÍTULO 24 Configurando el spamBlocker ............................................................ 299
Acerca del spamBlocker ......................................................................................... 299
Acciones del spamBlocker ..................................................................................... 299
Marcas del spamBlocker ........................................................................................ 300
Categorías del spamBlocker ................................................................................... 300
Instalando la licencia del software ......................................................................... 300
Activando el spamBlocker ...................................................................................... 301
Configurando el spamBlocker ................................................................................ 303
Agregando excepciones al spamBlocker ................................................................. 304
Creando reglas para el correo masivo o sospechoso en los clientes de E-mail ...304
Enviando spam o correo masivo a una carpeta especial del Outlook .................... 304
Informando Falsos Positivos y Falsos Negativos .................................................. 305
Monitoreando la actividad del spamBlocker ........................................................ 305
Personalizando spamBlocker usando Multiple Proxies ....................................... 306
CAPÍTULO 25 Usando servicios de seguridad basados en firmas ....................... 307
Instalando las licencias del software .................................................................... 308
Acerca del Gateway AntiVirus ................................................................................ 308
Activando el Gateway AntiVirus ............................................................................... 309
Configurando el Gateway AntiVirus ........................................................................ 310
Creando alarmas o entradas en el registro de eventos para respuestas
del antivirus ............................................................................................................. 311
Configurando los parámetros del motor GAV ........................................................... 311
Configurando el servidor de firmas del GAV ............................................................ 311
Usando el Gateway AntiVirus con más de un proxy ................................................ 312
Desbloqueando un adjunto bloqueado por el Gateway AntiVirus ............................ 312
Obteniendo el estado del Gateway AntiVirus y su actualización .......................... 313
Viendo el estado del servicio .................................................................................. 313
Actualizando las firmas del GAV o el motor de GAV manualmente ......................... 314
Actualizando el software antivirus ........................................................................... 314
Activando la prevención de intrusiones (IPS) ....................................................... 314
Configurando la prevención de intrusiones ........................................................... 316
Configurando la prevención de intrusiones para HTTP o TCP .................................. 316
Configurando la prevención de intrusiones para FTP, SMTP, o DNS ....................... 319
Configurando el servidor de firmas .......................................................................... 320
Configurando las excepciones de firmas ................................................................ 320
Copiando los parámetros de IPS a otras políticas .................................................... 320
Obteniendo el estado de la prevención de intrusiones y su actualización ......... 321
Viendo el estado del servicio .................................................................................. 321
Actualizando las firmas manualmente .................................................................... 322
CAPÍTULO 26 Configuración Avnzadas de la Red ..................................................... 323
Creando acciones QoS ........................................................................................... 323
Aplicando acciones QoS a las políticas ................................................................... 324
xiv
WatchGuard System Manager

Usando QoS en un ambiente de múltiple WAN ......................................................... 324
Enrutamiento dinámico ............................................................................................ 326
Usando RIP ................................................................................................................. 326
RIP Versión 1 ............................................................................................................ 326
RIP Versión 2 ............................................................................................................ 330
Usando OSPF .............................................................................................................. 332
Configuración del demonio OSPF .............................................................................. 332
Configurando Fireware Pro para usar OSPF .............................................................. 335
Usando BGP ............................................................................................................... 337
CAPÍTULO 27 Alta disponibilidad .................................................................................. 343
Requisitos de alta disponibilidad (HA) ..................................................................... 343
Seleccionando un Firebox primario de alta disponibilidad ................................... 344
Configurando HA para dispositivos Firebox X e-Series .......................................... 344
Configurando el Firebox secundario de alta disponibilidad ....................................... 345
Activando la alta disponibilidad ................................................................................ 345
Configurando HA para dispositivos Firebox X (no e-Series) ................................... 346
Controlando manualmente la alta disponibilidad .................................................. 346
Respaldando una configuración HA .......................................................................... 348
Actualizando el software en una configuración HA ................................................ 348
Usando HA con servicios de seguridad basados en firmas .................................. 348
Usando HA con sesiones Proxy ................................................................................ 348
APÉNDICE A Derechos de Autor y Licencias ...............................................................349
Licencias ..................................................................................................................... 355
Licencia SSL .............................................................................................................. 355
Licencia Software Apache, Versión 2.0, Enero 2004 ............................................. 355
Licencia PCRE .............................................................................................................359
Licencia pública general reducida de GNU .............................................................. 360
Licencia Pública General de GNU ............................................................................ 365
Licencia Sleepycat ..................................................................................................... 368
Licencia Sourcefire .................................................................................................... 369
Licencia del Parser Expat-MIT HTML ........................................................................ 373
Licencia de Software Curl MIT-X ............................................................................... 373
APÉNDICE B Localización de los archivos de WatchGuard ...................................... 375
Localización de los archivos por defecto ................................................................. 376
APÉNDICE C Tipos de políticas ....................................................................................... 379
Políticas por Filtro de Paquetes ............................................................................... 379
Any ........................................................................................................................... 379
AOL ........................................................................................................................... 380
archie ........................................................................................................................ 380
Guía del Usuario
xv

auth ........................................................................................................................ 380
BGP ........................................................................................................................ 380
Citrix ....................................................................................................................... 380
Clarent-gateway ....................................................................................................... 381
Clarent-command .................................................................................................. 381
CU-SeeMe ............................................................................................................... 382
DHCP-Server o DHCP-Client .................................................................................... 382
DNS ....................................................................................................................... 382
Entrust .................................................................................................................... 382
finger ...................................................................................................................... 382
FTP ........................................................................................................................ 383
Gopher ................................................................................................................... 383
GRE ....................................................................................................................... 383
HTTP ...................................................................................................................... 383
HTTPS .................................................................................................................... 384
HBCI .......................................................................................................................384
IDENT .................................................................................................................... 384
IGMP ...................................................................................................................... 384
IKE ......................................................................................................................... 385
IMAP ...................................................................................................................... 385
IPSec ..................................................................................................................... 385
IRC ........................................................................................................................ 385
Intel Video Phone .................................................................................................... 385
Kerberos v 4 y Kerberos v 5 ................................................................................... 386
L2TP ...................................................................................................................... 386
LDAP ...................................................................................................................... 386
LDAP-SSL ............................................................................................................... 386
Lotus Notes ........................................................................................................... 386
MSSQL-Monitor ...................................................................................................... 387
MSSQL-Server ........................................................................................................ 387
MS Win Media ....................................................................................................... 387
NetMeeting ............................................................................................................ 387
NFS ....................................................................................................................... 387
NNTP ..................................................................................................................... 388
NTP ....................................................................................................................... 388
OSPF ...................................................................................................................... 388
pcAnywhere ........................................................................................................... 388
ping ....................................................................................................................... 388
POP2 y POP3 ......................................................................................................... 389
PPTP ...................................................................................................................... 389
RADIUS y RADIUS-RFC ............................................................................................ 389
RADIUS-Accounting y RADIUS-ACCT-RFC .................................................................. 389
RDP ....................................................................................................................... 390
RIP ......................................................................................................................... 390
RSH ....................................................................................................................... 390
RealPlayer G2 ........................................................................................................ 390
Rlogin .................................................................................................................... 390
SecurID .................................................................................................................. 391
xvi
WatchGuard System Manager

SMB (Windows Networking) ...................................................................................... 391
SMTP ....................................................................................................................... 391
SNMP ....................................................................................................................... 391
SNMP-Trap ............................................................................................................... 392
SQL*Net ................................................................................................................... 392
SQL-Server ............................................................................................................... 392
ssh .......................................................................................................................... 392
Sun RPC ................................................................................................................... 392
syslog ....................................................................................................................... 393
TACACS .................................................................................................................... 393
TACACS+ .................................................................................................................. 393
TCP .......................................................................................................................... 394
TCP-UDP ................................................................................................................... 394
UDP .......................................................................................................................... 394
telnet ....................................................................................................................... 394
Timbuktu .................................................................................................................. 394
Time ......................................................................................................................... 394
traceroute ................................................................................................................ 395
UUCP ........................................................................................................................ 395
WAIS ........................................................................................................................ 395
WinFrame ................................................................................................................. 395
WG-Auth ................................................................................................................... 396
WG-Firebox-Mgmt ..................................................................................................... 396
WG-Logging .............................................................................................................. 396
WG-Mgmt-Server ...................................................................................................... 396
WG-SmallOffice-Mgmt ............................................................................................... 396
WG-WebBlocker ........................................................................................................ 396
WHOIS ...................................................................................................................... 397
X11 .......................................................................................................................... 397
Yahoo Messenger ..................................................................................................... 397
Políticas controladas por Proxies .............................................................................. 397
DNS .......................................................................................................................... 397
FTP ........................................................................................................................... 398
HTTP ........................................................................................................................ 398
SMTP ....................................................................................................................... 398
TCP Proxy ................................................................................................................. 398
Guía del Usuario
xvii

xviii
WatchGuard System Manager

CA P Í T U LO 1
I n t ro d u c c i ó n
WatchGuard® System Manager (WSM) le brinda una forma fácil y eficiente de administrar la seguridad de su
red.
Con una computadora actuando como estación de administración, se puede mostrar, administrar y monitorear
cada dispositivo Firebox® de su red.
WSM soporta ambientes integrados. Es posible administrar los diferentes modelos de dispositivos Firebox
que usan las distintas versiones de software appliances. Es también posible centralizar la administración de
los dispositivos Firebox X Edge.
WSM tiene tres servidores que ejecutan las funciones administrativas del Firebox:
Management Server
El Management Server opera en una computadora con Windows. Con este servidor, es posible manipular
todos los dispositivos de firewall y crear túneles VPN (Virtual Private Network – red privada virtual)
usando una simple función “arrastrar y soltar” del mouse. Las funciones básicas del Management
Server son:
- Administración centralizada de las configuraciones de túneles VPN
- Ser Autiridad de Certificación para distribuir certificados para túneles de Internet Protocol Security
(IPSec)
- Traducción de protocolo para el soporte de los productos WatchGuard SOHO y Firebox X Edge
Log Server
El Log Server recolecta mensajes de log de cada WatchGuard Firebox. Los mensajes de log se encriptan
cuando se envían al Log Server. El formato de los mensajes de log es XML (texto plano). La información
recabada de los dispositivos de firewall incluye los mensajes de log de tráfico, mensajes de log
de eventos, alarmas, y mensajes de diagnóstico.
WebBlocker Server
El WebBlocker Server opera con la proxy HTTP del Firebox para denegarle acceso a usuarios a categorías
específicas de sitios web. El administrador establece las categorías de los sitios web permitidos o
bloqueados durante la configuración del Firebox.
Acerca de Fireware y Fireware Pro
WatchGuard® Fireware® es la última generación en software de appliances de seguridad disponible a través
de WatchGuard. El software de appliances es una aplicación que se mantiene en la memoria de su hardware
Guía del Usuario 1

Características y herramientas Fireware
de firewall. El Firebox® usa un archivo de configuración para operar el software de appliance.
La política de seguridad de su organización es un conjunto de reglas que define cómo protege su red de
computadoras y la información que pasa a través de ella. El software de appliance Fireware tiene características
avanzadas para administrar políticas de seguridad para la mayoría de las redes complejas.
Hay dos versiones de Fireware disponibles para los clientes de WatchGuard®:
• Fi re wa re® — Éste es el softwa re de appliance por defe cto en los dispo s i t i vos Fi re box X Co re e-Se ri e s.
• Fireware® Pro — Éste es el software de appliance por defecto en los dispositivos Firebox X Peak
e- Series. Si posee un Firebox X Core, puede comprar una actualización a Fireware Pro. Este software
de appliance tiene las siguientes características avanzadas para redes más complejas:
- Alta disponibilidad.
- Opciones de red avanzadas que incluyen QoS (Quality Of Service – calidad de servicio) y enrutamiento
dinámico.
El WatchGuard System Manager también incluye las herramientas de software necesarias para configurar y
administrar un dispositivo Firebox X que usa el software de appliance WFS. É s te es el software de appliance
por defecto que se incluía con los modelos anteriores de Firebox X Core y Peak. Para mayor información
acerca del software de appliance WFS, vea la Guía de Configuración del WFS.
Luego que se coloca un Firebox bajo la administración del WSM, identifica automáticamente el software
de appliance que usa el Firebox. Si selecciona el Firebox y entonces hace click sobre un ícono de la barra
de herramientas, se incia la herramienta de administración correcta. Estas herramientas incluyen:
• Firebox System Manager
• Policy Manager
• HostWatch
Por ejemplo, si agrega un Firebox X700 operando con el software de appliance WFS a la pestaña Devices
de WFS y luego clica el icono de Policy Manager en la barra de herramientas de WSM, se iniciará automáticamente
el Policy Manager de WFS. Si agrega un Firebox X700 operando con el software de appliance
Fireware y hace click sobre el ícono Policy Manager, se iniciará el Policy Manager de Fireware.
Funciones y herramientas Fireware
Watc h Gu a rd ® Fi re wa re ® y Fi re wa re Pro incluyen muchas ca ra cte r í s t i cas para mejorar la seguridad de su re d.
Policy Manager para Fireware
El Policy Manager le ofrece una interfaz de usuario para las tareas de configuración básica del firewall.
Policy Manager incluye un conjunto completo de filtros de paquetes y proxies pre-configurados. Por ejemplo,
para aplicar un filtro de paquete para todo el tráfico de Telnet, se debe agregar un filtro de paquete
Telnet. Es posible hacer un filtro de paquete personalizado, para lo cual deberá establecer los puertos, protocolos
y demás parámetros. La configuración cuidadosa de las opciones IPS puede detener ataques tales
como SYN Flood, spoofing, y sondeos del espacio de puertos o del espacio de direcciones.
Firebox System Manager
Firebox® System Manager le ofrece una interfaz para monitorear todos los componentes de su Firebox.
Desde el Firebox System Manager, puede monitorear las condiciones actuales del Firebox o conectarse
directamente para obtener una actualización de su configuración.
Network Address Translation
La traducción de direcciones de red o Network Address Translation (NAT) es un término utilizado para
referirse a uno o más métodos de traducción de direcciones IP y de puertos. Los administradores de redes
2 WatchGuard System Manager

Funciones y herramientas Fireware
usan frecuentemente NAT para incrementar el número de computadoras que pueden operar con sólo una
dirección IP pública. NAT también oculta las direcciones IP privadas de las computadoras de su red.
Multi-WAN
Fireware le permite configurar un máximo de cuatro interfaz Firebox como externas, o interfaz WAN. Puede
controlar el flujo de tráfico a través de más de una interfase WAN para compartir el volumen del tráfico
saliente.
Firebox y los servidores de autenticación de terceros
WatchGuard® System Manager con Fireware soporta cinco protocolos de autenticación diferentes: Firebox,
RADIUS, SecurID, LDAP y Active Directory.
Detección y prevención de intrusiones basada en firmas
Un único conjunto de cualidades para un cierto virus o ataque es conocido como su firma. Cuando un
nuevo ataque de intrusión se identifica, las cualidades que hacen único ese virus o ataque se identifican y se
registran y una nueva firma se puede crear y distribuir. WatchGuard Gateway Antivirus e Intrusion
Prevention Service usan esas firmas para encontrar virus y detectar ataques de intrusos. Los suscriptores a
este servicio pueden establecer un cronograma automático o manual de actualización de conjuntos de firmas.
El Intrusion Prevention Service opera con toda la proxies de WatchGuard. Gateway AntiVirus opera con
los proxies SMTP y HTTP.
Creación y manejo de VPN
La tecnología Fireware facilita la configuración, administración y monitoreo de muchos túneles IPSec VPN
con sucursales y usuarios finales.
Características de redes avanzadas
La característica QoS en Fireware Pro le permite establecer restricciones por prioridades y de ancho de
banda para cada política. Firebox puede también utilizar los protocolos de enrutamiento dinámico RIP, OSPF
y BGP. Estos protocolos pueden disminuir el mantenimiento de la red y brindar enrutamiento redundante.
Nota
Tanto QoS como los protocolos OSPF y BGP son soportados únicamente por Fireware® Pro.
El protocolo RIP lo soportan tanto Fireware como Fireware Pro.
Control de tráfico de Web
La función WebBlocker usa la HTTP Proxy para aplicar un filtro al tráfico de web. Usted puede establecer las
horas del día en que los usuarios pueden acceder a diferentes tipos de contenidos en la web. También
puede establecer las categorías de sitios web en que los usuarios no podrán navegar.
Alta disponibilidad
La función High Availability (alta disponibilidad) provee failover dinámico para las conexiones de firewall.
Con High Availability se puede tener operando un Firebox en modo standby (en espera), mientras que otro
Firebox continúa operando. El Firebox que está en standby automáticamente se hace cargo de las operaciones
de firewall si el Firebox primario no es capaz de conectarse a Internet.
Nota
High Availability es soportada sólo por Fireware® Pro.
Guía del Usuario 3

WatchGuard System Manager (WSM) Interfaz del Usuario
WatchGuard System Manager (WSM) Interfaz del Usuario
Los componentes básicos de la interfaz del usuario del WatchGuard® System Manager son la barra de
herramientas de WatchGuard y la ventana del WatchGuard System Manager. Esta sección brinda información
básica acerca de la interfaz del usuario. Para más información diríjase a los capítulos siguientes.
Acerca de la barra de herramientas de WatchGuard
Debe usar la barra de herramientas de WatchGuard para arrancar, detener y configurar estos servidores:
• Management Server
• Log Server
• WebBlocker Server
La barra de herramientas de WatchGuard es una de las que se encuentra en la parte de abajo de la pantalla
de su computadora. Si no tiene instalado ningún software de servidor de WatchGuard en su estación de
administración, no verá la barra de herramientas de WatchGuard.
De izquierda a derecha, los íconos de la barra de herramientas administran estos servidores:
• Log Server — Este servidor recolecta mensajes de log, de eventos, alarmas y de diagnóstico para
Firebox® X Edge, FSM, y de dispositivos basados en Fireware® en formato XML (texto plano). Para
información sobre el Log Server, vea el capítulo “Registro de eventos y notificación” en esta guía.
• Management Server — El Management Server opera en una computadora Windows. Para migrar
un servidor DVCP desde un Firebox a su computadora, vea la Guía de Migración.
• WebBlocker Server — Este servidor opera con la HTTP proxy del Firebox para limitar el acceso a ciertos
sitios a los usuarios. Para información acerca del WebBlocker, vea el capítulo “Controlando el acceso a
sitios Web con WebBlocker”.
Acerca de la ventana del WatchGuard System Manager
La ventana de WatchGuard® System Manager tiene dos pestañas que puede usar para monitorear y manejar
su red:
La ventana de WatchGuard® System Manager tiene dos pestañas en la parte superior de la pantalla:
Device Status
Esta pestaña muestra el estado del dispositivo conectado al WatchGuard System Manager. La información
que aparece incluye el estado, la dirección IP y la dirección MAC para cada interfase Ethernet
y los certificados instalados. También incluye el estado de todos los túneles VPN que están configurados
en el System Manager.
Los dispositivos que aparecen en esta pestaña están conectados directamente al WatchGuard
System Manager.
4 WatchGuard System Manager

WatchGuard System Manager (WSM) Interfaz del Usuario
Device Management
Esta pestaña muestra una hoja de navegación y una hoja de información. La hoja de navegación
muestra los WatchGuard Management Servers conectados y sus dispositivos, VPNs administradas y las
configuraciones del administrador Firebox® X Edge. La hoja de información muestra más información
para cualquier ítem que seleccione en la misma.
La pestaña de Device Management muestra los servidores de administración conectados directamente
al Watchguard System Manager y los dispositivos conectados a esos servidores. Un dispositivo
administrado por el Management Server puede aparecer en la pestaña de Device Status sólo si está
también conectado directamente al Watchguard System Manager.
La ventana del WatchGuard System Manager tiene menús e íconos que puede utilizar para iniciar otras
herramientas.
Estado del dispositivo
La información acerca de un dispositivo conectado aparecerá en la pestaña Device Status de WatchGuard®
System Manager.
Firebox Status (estado de Firebox)
La información expandida sobre un Firebox incluye la dirección IP y la máscara de subred de cada interfaz
Firebox. La información expandida para una interfaz incluye:
Guía del Usuario 5

WatchGuard System Manager (WSM) Interfaz del Usuario
• Dirección IP y máscara de red de gateway por defecto (sólo para interfaces externas).
• Dirección MAC (Media Access Control – control de acceso al medio) de la interfaz.
• Número de paquetes enviados y recibidos en cada interfaz desde el último reinicio del Firebox.
Branch Office VPN Tunnels (Túneles VPN con sucursales)
Debajo del Firebox Status hay una sección sobre túneles con red privada virtual en sucursales (BOVPN).
Hay dos tipos de túneles IPSec BOVPN: túneles VPN construidos manualmente usando el Policy Manager y
túneles VPN construidos usando el Management Server.
Una entrada expandida para un túnel BOVPN muestra esta información:
• El nombre del túnel, la dirección IP del dispositivo IPSec de destino y el tipo de túnel. Si el túnel
está manejado por el Management Server, la dirección IP refiere a la dirección remota de red completa.
• El volumen de datos enviados y recibidos en el túnel en bytes y paquetes.
• El tiempo antes de que expire la clave y cuándo es creado el túnel nuevamente. Esto aparece como
un tiempo límite o como el número de bytes. Si usa el Management Server para configurar que un
túnel expire por límites de tiempo y volumen, aparecen los dos valores.
• Capas de autenticación y encriptación establecidas para cada túnel.
• Políticas de enrutamiento para el túnel.
Mobile User VPN Tunnels (Túneles VPN con usuarios móviles)
Después de la entrada correspondiente a los túneles VPN de sucursales hay una entrada para los túneles
VPN para usuarios móviles (Mobile User). Esta entrada muestra la misma información que la correspondiente
a los túneles BOVPN. Incluye el nombre del túnel, la dirección IP de destino y el tipo de túnel.
También aparece información de paquetes, la fecha de expiración de la clave y datos de autenticación y
encriptación.
PPTP User VPN Tunnel (Túneles PPTP VPN)
Para los túneles PPTP RUVPN, WatchGuard System Manager muestra sólo la cantidad de paquetes enviados
y recibidos. El volumen de bytes y el volumen total de bytes no se aplican a los túneles PPTP.
Estado de la conexión
El árbol de vistas de cada dispositivo muestra uno de los cuatro estados posibles. Las descripciones de los
estados son las siguientes:
Sin signo de admiración e ícono gris
El dispositivo está siendo contactado por primera vez o aún no ha sido contactado.
Ícono normal
Operación normal. El dispositivo está enviando datos exitosamente al WatchGuard System Manager.
6 WatchGuard System Manager

WatchGuard System Manager (WSM) Interfaz del Usuario
Signo de interrogación amarillo
El dispositivo tiene direccionamiento IP dinámico y aún no ha contactado al Management Server.
Signo de admiración rojo e ícono gris
WatchGuard System Manager no puede establecer una conexión de red con el dispositivo en este
momento.
Guía del Usuario 7

WatchGuard System Manager (WSM) Interfaz del Usuario
8 WatchGuard System Manager

CA P Í T U LO 2
C o m e n z a n d o
Históricamente, las organizaciones usaban muchas herramientas, sistemas y personal para controlar la seguridad
de sus redes. Diferentes sistemas de computación controlaban accesos, autenticación, redes privadas
virtuales y control de red. Estos sistemas costosos no son fáciles de usar juntos o de mantener actualizados.
WatchGuard® System Manager (WSM) provee una solución integrada para manejar su red y controlar los
problemas de seguridad. Este capítulo le dirá cómo instalar WatchGuard System Manager en su red.
Instalando WatchGuard System Manager
WatchGuard® System Manager (WSM) incluye un software firewall de appliance y software de manejo. Usa
el software WSM para configurar y monitorear el Firebox®.
Para instalar el software WatchGuard System Manager, se debe:
• Recabar información y direcciones de la red.
• Seleccionar un modo de configuración de la red.
• Seleccionar la instalación del Management Server, Log Server y WebBlocker Server en la misma computadora
como su software de administración, o en otra computadora diferente.
• Configurar la estación de administración.
• Usar un Quick Setup Wi z a rd (asiste nte de co n f i g u ración rápida) para hacer un arc h i vo de co n f i g u ración
b á s i ca .
• Poner el Firebox en operación en su red.
Nota
Este capítulo da la información por defecto para un Firebox con una configuración de tres interfaz. Si su
Firebox tiene más de tres interfaz, use las herramientas de configuración y procedimientos del capítulo
“Preparando y configurando la red”.
Requisitos para la instalación
Antes de instalar el WatchGuard System Manager, asegúrese de tener los siguientes ítems:
• El dispositivo de seguridad WatchGuard Firebox
• Un cable serial (azul)
Guía del Usuario 9

Instalando WatchGuard System Manager
• Tres cables Ethernet cruzados (rojo)
• Tres cables Ethernet directos (verde)
• Cable de alimentación
• Clave de licencia de LiveSecurity Service
Obteniendo información de la red
Claves de licencias
Obtenga sus claves de licencias certificadas. Su WatchGuard Firebox viene con una clave de licencia
LiveSecurity que activa las funciones de su Firebox.
Usted obtendra las claves de licencias de cualquier producto opcional al comprarlo.
Direcciones de red
Le recomendamos hacer dos tablas cuando configure su Firebox. Use la primera para sus direcciones IP de
red antes de poner operativo al Firebox.
WatchGuard usa notación de barras oblícuas para mostrar la máscara de subred.
Direcciones IP de la red sin el Firebox
Red de área extendida
(Wide Area Network)
Puerta de enlace
por defecto
Red de área local
(Local Area Network)
Red secundaria
(si se aplica)
Servidor(es) Público(s)
(si se aplica)
_____._____._____._____ / ____
_____._____._____._____
_____._____._____._____ / ____
_____._____._____._____ / ____
_____._____._____._____
_____._____._____._____
_____._____._____._____
Use la segunda tabla para las direcciones IP de su red después de poner operativo al Firebox.
External interface
Conecta a la red externa (usualmente Internet) que no es confiable (not trusted).
Trusted interface
Conecta a una red privada LAN (local area network) o una red interna que desea asegurar.
Optional interface(s)
Normalmente conecta a al área DMZ(desmilitarizada) o al área mixta confiable de su red. El número
de interfaces opcionales en su Firebox cambia de acuerdo al modelo que usted compra. Use opcionales
para crear zonas de la red con diferentes niveles de acceso.
10 WatchGuard System Manager

Instalando WatchGuard System Manager
Direcciones IP de la red con el Firebox
Puerta de enlace
por defecto
Red externa
Red trusted
Red opcional
_____._____._____._____
_____._____._____._____ / ____
_____._____._____._____ / ____
_____._____._____._____ / ____
Red secundaria
(si se aplica)
_____._____._____._____ / ____
Seleccionando un modo de configuración del firewall
Usted debe decidir cómo instalar el Firebox en su red antes de instalar el WatchGuard System Manager. La
forma en que usted instale el Firebox controla la configuración de la interfaz. Para instalar el Firebox en su
red, seleccione el modo de configuración — ruteado (routed) o drop-in— que se adapte a las necesidades
de su red actual.
Muchas redes operan mejor con una configuración ruteada, pero recomendamos el modo drop-in si:
• Ya tiene asignado un gran número de direcciones IP estáticas
• No puede configurar las computadoras en sus redes confiable y opcional que tienen direcciones IP
públicas con direcciones IP privadas
La tabla, a continuación, muestra tres condiciones que pueden ayudarlo a seleccionar un modo de configuración
del firewall.
Configuración Enrutada
Todas las interfaces del Firebox están en diferentes
redes.
Configuración Drop-in
Todas las interfaces del Firebox están
en la misma red y tienen la misma
dirección IP.
Las interfaces confiables y opcional deben estar en
diferentes redes. Cada interfase tiene una dirección IP
en su red.
Usa NAT (network address translation) estática para
realizar el mapa de direcciones públicas a privadas
detrás de las interfaces confiables u opcional.
Las computadoras de las interfaces
confiables u opcional pueden tener
direcciones IP públicas.
Las máquinas que tienen acceso
público tienen direcciones IP públicas.
Por lo tanto, no se precisa NAT estática.
Configuración ruteada
Use la configuración ruteada cuando tenga un pequeño número de direcciones IP públicas o cuando su
Firebox obtenga sus direcciones IP externas con PPPoE (point-to-point protocol over Ethernet – protocolo
punto a punto sobre Ethernet) o con DHCP (dynamic host configuration protocol – protocolo de configuración
de host dinámica).
Guía del Usuario 11

Instalando WatchGuard System Manager
En una configuración ruteada, instale el Firebox con diferentes subredes en cada una de sus interfaces. El
servidor público detrás del Firebox puede usar direcciones IP privadas. Firebox usa NAT para rutear tráfico
proveniente de la red externa hacia los servidores públicos.
Los requerimientos para una configuración ruteada son:
• Todas las interfaces del Firebox pueden ser configuradas en subredes diferentes. La configuración
mínima incluye a las interfaces externa y trusted. Puede también configurar una o más interfaces
opcionales.
• Todas las co m p u t a d o ras co n e ctadas a las inte rf a ces confiables y opcional deben tener una dirección IP
desde la re d. Por ejemplo, una co m p u t a d o ra en una inte rfaz confiable en la figura ante rior puede te n e r
una dirección IP 10.10.10.200, pero no 192.168.10.200, la cual está en la interfaz opcional.
Configuración drop-in
En una configuración drop-in, Firebox se configura con la misma dirección IP en todas las interfaces. El
modo de configuración drop-in distribuye el rango de direcciones lógicas de la red a través de las interfaces
Firebox. Puede poner al Firebox entre el router y la LAN y no tiene que cambiar la configuración de
ninguna de las computadoras locales. Esta configuración es conocida como “drop-in” porque Firebox es
“dropped in” (invitado informal) dentro de la red.
En el modo drop-in:
• Debe asignar la misma dirección IP primaria a todas las interfaces de su Firebox (externa, confiable y
opcional).
• Puede asignar redes secundarias en cualquier interfaz.
• Puede mantener la misma dirección IP y gateways para hosts de sus redes confiables y opcional,
y agregar una dirección de red secundaria a la interfaz Firebox para que éste pueda enviar
correctamente tráfico a los hosts en esas redes.
12 WatchGuard System Manager

Instalando WatchGuard System Manager
Los servidores públicos detrás del Firebox pueden continuar usando direcciones IP públicas. Firebox no usa
traducción de direcciones de red (NAT) para rutear tráfico desde fuera de su red hacia sus servidores públicos.
Las propiedades de una configuración drop-in son:
• Debe tener una dirección IP estática externa para asignar al Firebox.
• Usa una red lógica para todas las interfaces.
• El modo drop-in no soporta multi-WAN en configuración round robin o backup. Para más información
acerca de estas opciones, vea el capítulo “Preparando y configurando la red”.
Algunas veces es necesario limpiar el caché ARP para cada computadora en la red confiable, pero esto no es
común.
Seleccionando dónde instalar el software del servidor
Durante la instalación, puede instalar la estación de administración y tres componentes del servidor
WatchGuard System Manager en la misma computadora. También puede usar el mismo procedimiento para
instalar componentes del Log Server y del WebBlocker Server en otras computadoras para distribuir la carga
entre los servidores o proveer redundancia. El Management Server no opera correctamente en una computadora
que no tenga también instalado el software de WSM. Para decidir dónde instalar el software de servidor,
debe examinar la capacidad de su estación de administración y seleccionar el método de instalación
que se adapte a sus necesidades.
Si instala Management Server, Log Server, o WebBlocker Server en una computadora con un firewall activo
de escritorio diferente del Firewall Windows , debe abrir los puertos necesarios para que los servidores se
conecten a través del firewall. Los usuarios del Firewall Windows no tienen que cambiar la configuración de
su firewall de computadora de escritorio, porque el programa de instalación abre los puertos necesarios
para atravesar el Firewall de Windows , automáticamente. Vea “Instalando WatchGuard Servers en computadoras
de escritorio con firewalls” en este capítulo, para más información.
Configurando la estación de administración
Usted instala el software de WatchGuard System Manager (WSM) en su estación de administración. Este
software muestra el tráfico que pasa a través del firewall. WatchGuard System Manager también muestra el
estado de la conexión y los túneles. El WatchGuard Log Server registra la información que recibe del Firebox.
Puede acceder a estos datos usando herramientas de la estación de administración.
Seleccione una computadora en su red para actuar como estación de administración e instale el software de
Guía del Usuario 13

Asistente de configuración rápida
administración. Para instalar el software del WatchGuard System Manager en su estación de administración
basada en Windows, debe tener privilegios administrativos. Luego de la instalación, puede operar con
los privilegios de Power User bajo Windows XP o Windows 2003.
Puede descargar la más actualizada versión del software de WatchGuard System Manager, en cualquier
momento, desde https://www.watchguard.com/archive/softwarecenter.asp. Debe hacer “log in” con su
nombre de usuario y clave de LiveSecurity. Si es un nuevo usuario, cree un perfil de usuario y active su producto
en http://www.watchguard.com/activate antes de intentar descargar el software de WSM.
1 Descargue la última versión del software WatchGuard System Manager. Debe también descargar
e instalar la última versión del software de appliance Fireware® para su estación de administra
ción. Use este software con el Asistente Web Quick Setup para crear un archivo de configuración básica
para su Firebox.
Asegúrese escribir el nombre y el camino a la carpeta (path) de los archivos cuando los guarda en el disco rígido.
2 Abra el archivo y use las instrucciones de instalación.
El programa de inicialización (Setup) incluye una pantalla en la cual puede seleccionar los componentes del software
o las actualizaciones a instalar. Es necesaria una licencia diferente cuando insta la algunos componentes del software.
Nota
Si su estación de administración está operando con una barra de herramientas Windows, algunos
usuarios encuentran necesario cerrar y volver a abrir la barra de herramientas para ver los nuevos
componentes instalados para el WatchGuard Management System.
Niveles de encriptación de software
El software de administración está disponible en dos niveles de encriptación.
Base (básica)
Soporta encriptación de 40-bit para túneles PPTP RUVPN. No puede crear un túnel IPSec VPN con
este nivel de encriptación.
Fuerte (strong)
Soporta encriptación de 40-bit y 128-bit para PPTP RUVPN. También soporta 56-bit y 168-bit DES, y
128-bit, 192-bit y 256-bit AES.
Para usar red privada virtual con IPSec debe descargar el software de encriptación fuerte.
Los límites de exportación fuertes se aplican al software de encriptación fuerte. Es posible que no esté disponible
para descarga.
Respaldando su configuración previa
Si tiene una versión anterior de WatchGuard System Manager, haga una copia de respaldo de la configuración
de sus políticas de seguridad antes de instalar un a nueva versión. Para crear una copia de respaldo
de su configuración, vea la Guía de Actualización (Upgrade Guide).
Asistente de configuración rápida
Puede usar el Asistente Quick Setup para crear una configuración básica para su Firebox X. Firebox usa
este archivo de configuración básica cuando se inicia por primera vez. Esto le permite operar como un
firewall básico. Puede usar el mismo procedimiento toda vez que desee resetear Firebox a una nueva configuración
básica, para recuperar o por otras razones.
14 WatchGuard System Manager

Asistente de configuración rápida
Asistente Web Quick Setup para de Firebox X Core y Peak e-Series
Cuando compre un dispositivo Firebox X Core o Peak e-Series, puede usar el nuevo Asistente Web Quick
Setup (Asistente Web de configuración rápida) para configurar su Firebox. Si ya configuró un Firebox X Core
o X Peak con anterioridad, es importante que entienda que el Web Quick Setup Wizard opera en forma diferente
al Asistente Quick Setup que se incluía con los modelos anteriores del hardware Firebox X. Con los dispositivos
anteriores Firebox X Core y Peak, el Asistente Quick Setup usaba un descubridor de dispositivos
para encontrar al Firebox en la red para configurarlo. Con Firebox X Core y Peak e-Series y el Asistente Web
Quick Setup , debe hacer una conexión directa de la interfaz al Firebox y usar un navegador de web para
arrancar el asistente. Firebox usa DHCP de su interfase Eth1 Ethernet para asignar una nueva dirección IP a
su estación de administración para usarla durante la configuración.
Antes de iniciar el Asistente Web Quick Setup , asegúrese de tener:
• Registrado su Firebox en el LiveSecurity Service
• Guardada una copia de su clave “Feature Key” de Firebox en un archivo de texto en su estación de
administración
• Descargados los software WSM y Fireware® desde la página web de LiveSecurity Service en su estación
de administración
• Instalado el ejecutable de Fireware en su estación de administración
• Configurada su estación de administración para aceptar automáticamente una dirección IP (a través
de DHCP)
Usando el Asistente Web Quick Setup
1 Conecte el cable rojo cruzado de Ethernet que se incluye en su Firebox entre el puerto Ethernet de su
estación de administración y el puerto Eth1 en su Firebox.
2 Enchufe el cable de alimentación de electricidad a la entrada de alimentación de su Firebox y a la
fuente de alimentación eléctrica.
3 En el frente del Firebox X, presione el botón de la flecha hacia arriba mientras enciende el Firebox.
El Fi re box X boo tea en modo seguro (Sa fe Mod e ) . Puede libe rar el botón de la flecha hacia arriba cuando
vea el mensaje “Invoking Recovery”.
4 Asegúrese de que su estación de administración esté configurada para aceptar direcciones IP asignadas
por DHCP.
Por ejemplo, si su estación de administración usa Windows XP:
Desde el menú de Inicio de Windows, seleccione Todos los programas > Panel de control >
Conexiones de red > Conexión de área local. Haga click en Propiedades. Seleccione Protocolo
Internet (TCP/IP) y haga click en Propiedades.
Asegúrese de que esté seleccionado Obtener una dirección IP automáticamente.
5 Abra un navegador web y escrba: http://10.0.1.1:8080/
Esto abre una conexión HTTP entre su estación de administración y el dispositivo Firebox X e-Series. El Web Quick
Setup Wizard arranca automáticamente.
Luego de que el Firebox esté configurado con esta configuración básica, puede usar Policy Manager para
expandirla o cambiarla.
Usando el Asistente Web Quick Setup para recuperación
Puede usar el Asistente Web Quick Setup cuando configure por primera vez su dispositivo Firebox X e-
Series. También puede usar Web Quick Setup Wizard si desea reestablecer un Firebox con una nueva configuración
en caso que haya olvidado la contraseña o que esté desplegando Firebox en una nueva red.
Si usa el Asistente Web Quick Setup para recuperación y ha comprado una actualización del modelo de
hardware del Firebox, debe asegurarse de que la “Feature Key”que ponga en el Asistente sea la que recibió
con la actualización del modelo.
Guía del Usuario 15

Poniendo en operación a Firebox
Solucionando problemas con el Asistente Web Quick Setup
Si el Asistente Web Quick Setup no puede instalar el software de appliance Fireware en los Firebox, el asistente
espera seis minutos hasta informar que ha agotado el tiempo de espera. Aquí se enumeren algunas
cosas a verificar si tiene problemas con el Asistente:
• Es posible que el archivo del software de aplicación Fireware que descargó de la página de
LiveSecurity esté corrupto. Si la imagen del software está corrupta, algunas veces se ve un mensaje
en la interfaz LCD: “File Truncate Error” (error de truncamiento de archivo) Descargue nuevamente
el software e intente con el Asistente una vez más.
• Si usa Internet Explorer 6, limpie el archivo de caché de su navegador web e intente nuevamente.
Para limpiar el caché, desde la barra de herramientas de Internet Explorer seleccione
Herramientas> Opciones de Internet > Eliminar archivos.
Asistente de configuración rápida
Si usa un modelo antiguo de Firebox X Core o Peak (no un e-Series Firebox), entonces debe usar el
Asistente Quick Setup que corre como una aplicación Windows para hacer un archivo de configuración
básica. Firebox usa este archivo cuando arranca por primera vez. Éste le permite a operar como un firewall
básico.
Después de configurar el Firebox con esta configuración básica, puede usar Policy Manager para expandirla
o cambiarla.
Quick Setup Wizard usa un procedimiento de descubrimiento de dispositivos para encontrar el modelo de
Firebox X que está configurando. Este procedimiento usa comunicación UDP. El software de firewall, incluso
el firewall de Microsoft Windows XP SP2, puede causar problemas con el detector de dispositivos.
Puede arrancar Quick Setup Wizard desde el escritorio de Windows o desde el WatchGuard System
Manager. Desde el escritorio, seleccione Inicio > Todos los programas > WatchGuard System Manager
8.3 > Quick Setup Wizard. Desde el System Manager, seleccione Tools > Quick Setup Wizard.
Nota
En el Quick Setup Wizard, debe establecer una passphrase (frase clave) de estado y configuración para
Firebox. Cuando esté listo para configurar un Log Server para recolectar mensajes de eventos del Firebox,
use la passphrase de estado que estableció en el Quick Setup Wizard como su clave de encriptación de
log. Después de configurar el Log Server, puede cambiar su clave de encriptación de log, si así lo desea.
Para más información, vea el capítulo “Registro de eventos y notificación”.
Poniendo en operación el Firebox
Cuando finalice el Asistente Quick Setup , también habrá completado la instalación de su Firebox®.
Puede usar el Firebox como un firewall básico que permita el tráfico saliente TCP, DNS y ping.
Complete estos pasos para poner el Firebox en operación en su red:
• Ponga el Firebox en su ubicación física permanente.
• En el WatchGuard® System Manager, use File > Connect To Device para conectar la estación de
administración al Firebox.
• Si usa una configuración ruteada, cambie la puerta de enlace por defecto en toda las computadoras
que conecete a las direcciones IP confiable del Firebox.
Inicialice el Management Server. Vea el capítulo “Configuración y administración del Management
Server” de esta Guía.
• Configure el Log Server para comenzar a registrar mensajes de log. Vea el capítulo “Registro de eventos
y notificación” en esta Guía.
• Inicialice el WebBlocker Server. Vea el capítulo “Controlando el acceso a sitios Web con WebBlocker”
en esta Guía.
• Abra el Policy Manager para cambiar la configuración.
16 WatchGuard System Manager

Iniciando el WatchGuard System Manager
Nota
Si instala el Management Server, Log Server o WebBlocker Server en una computadora con un firewall activo
de escritorio diferente de Windows , debe abrir los puertos necesarios para que los servidores se conecten a
través del firewall. Los usuarios del Firewall de Windows no tienen que cambiar su configuración Vea la sección
“Instalando WatchGuard Servers en computadoras de escritorio con firewalls”, en este mismo capítulo,
para más información.
Iniciando el WatchGuard System Manager
Esta sección provee procedimientos básicos para comenzar a usar el WatchGuard System Manager. También
describe la información que ve en la pantalla cuando conecta por primera vez al Firebox.
Desde el Escritorio de Windows, seleccione Inicio > Todos los programas > WatchGuard System Manager
8.3 >WatchGuard System Manager.
Para información básica sobre el WatchGuard System Manager, vea la sección “WatchGuard System Manager
(WSM), Interfaz del Usuario” en el capítulo 1. Puede tener acceso a todas las funcionalidades del WatchGuard
System Manager a través de esta ventana principal, tal como se describe a lo largo de este manual.
Conectándose con un Firebox
1 Seleccione File > Connect to > Device.
ó
haga clicK derecho sobre la Device Status y seleccione Connect to > Device.
ó
haga click en el icono Connect to Device de la barra de herramientas de WatchGuard®
System Manager. El ícono se muestra a la izquierda.
Guía del Usuario 17

Iniciando el WatchGuard System Manager
Aparece la caja de diálogo Connect to Device.
2 Desde la lista desplegable de Firebox, seleccione un Firebox® por su dirección IP o por el nombre
del host.
Puede también teclear la dirección IP o el nombre del host. Cuando introduzca una dirección IP, teclee todos los
números y los puntos. No use la tecla TAB o las flechas.
3 Teclee la passphrase de estado de Firebox (sólo lectura).
Se utiliza la passphrase de estado para monitorear el tráfico y las condiciones de Firebox. Deberá teclear la passphra
se de configuración cuando grabe una nueva configuración en el Firebox.
4 Si es nece s a ri o, cambie el valor en el ca m po Ti m e o u t ( t i e m po de espe ra agotado). Es te valor establece el
t i e m po (en segundos) que la estación de administración espe ra la re ce pción de datos enviados por el
Fi re box , a ntes de enviar un mensaje que muestre que no puede obtener datos desde el dispo s i t i vo.
Si tiene una red lenta o una conexión Internet al dispositivo, debe incrementar el valor del tiempo de espera.
Disminuyendo el valor disminuirá el tiempo que deberá esperar por un mensaje de time-out cuando se intenta
conectar a un Firebox que no está disponible.
5 Haga click en Login.
Firebox aparece en la ventana del WatchGuard System Manager.
Desconectándose de un Firebox
Arrancando aplicaciones de seguridad
Para desconectar, haga click en el botón derecho sobre la primera línea de información del
Firebox para desconectar y seleccione File > Disconnect. O seleccione el Firebox y entonces
haga click sobre el ícono Disconnect que se muestra a la izquierda.
Pueden arrancar estas herramientas desde el WatchGuard® System Manager usando los iconos de la barra
de tareas y desde las opciones del menú:
Policy Manager
Policy Manager le permite instalar, configurar y personalizar una política de seguridad de red. Para
configurar o personalizar la política de seguridad de un Firebox® X Edge o Firebox SOHO, debe usar
la interfaz de usuario web para conectarse al dispositivo.
Firebox System Manager
WatchGuard Firebox System Manager le permite arrancar varias herramientas de seguridad diferentes
en una interfaz fácil de usar. También puede usar Firebox System Manager para monitorear tráfico
que pasa por el firewall en tiempo real. Para información acerca del uso del Firebox System
Manager, vea el capítulo “Monitoreando el estado de Firebox”.
HostWatch
Ho s t Watch muestra las co n exiones que at raviesan un Fi re box desde la red tru s ted hacia la red exte r-
n a . Mu e s t ra las co n exiones act u a l e s, o puede mostrar co n exiones ante ri o res a partir de un arc h i vo log.
Pa ra info rmación ace rca del uso del Ho s t Watc h , vea el capítulo “Mo n i to reando el estado de Fi re box”.
18 WatchGuard System Manager

Después de instalarlo
Log Viewer
Log Viewer muestra una vista estática de un archivo de log. Le permite:
- Aplicar un filtro por tipo de datos
- Buscar por palabras y campos
- Imprimir y grabar en un archivo
Para más información acerca del uso del Log Viewer, vea el capítulo “Registro de eventos y notificación”,
en esta Guía.
Historical Reports
Estos informes en HTML dan datos para usar cuando se monitorea o se corrigen errores en la red. Los
datos pueden incluir:
- Tipo de sesión
- Hosts más activos
- Servicios más usados
- URLs
Para más información acerca del uso de Historical Reports, vea el capítulo “Generando informes de
actividad de la red”, en esta Guía.
Después de instalarlo
Usted ha instalado, configurado y puesto en operación satisfactoriamente su nuevo WatchGuard® System
Manager en su red. Aquí podrá encontrar algunos procedimientos básicos y más información para tener en
cuenta.
Personalizando su política de seguridad
Su política de seguridad controla quién puede entrar en su red, dónde puede ir, y quién puede salir.
El archivo de configuración de su Firebox® hace la política de seguridad.
El archivo de configuración que hizo con el Asistente Quick Setup es sólo una configuración básica. Puede
hacer un archivo de configuración que ajuste su política de seguridad a sus requerimientos. Para hacer esto,
agregue políticas filtradas y de proxy para establecer qué permite entrar y salir de su red. Cada política
puede tener un efecto en su red. Las políticas que aumentan la seguridad de su red pueden disminuir el
acceso a la misma. Las políticas que aumentan el acceso a su red pueden disminuir la seguridad de ésta.
Cuando selecciona estas políticas, debe seleccionar un rango de políticas balanceadas basado en su organización
y en el equipamiento de computación que quiera proteger. Para una instalación nueva, recomendamos
que use sólo políticas de filtros empaquetadas hasta que todos sus sistemas operen correctamente.
Cuando sea necesario, podrá adicionar las políticas de proxy.
Características del LiveSecurity Service
Su Firebox incluye una suscripción a LiveSecurity® Service. Su suscripción:
• Asegura que usted tenga la más nueva protección de red con las más recientes actualizaciones
• Aporta soluciones a sus problemas con recursos completos de soporte técnico
• Previene interrupciones del servicio con mensajes y ayudas de configuración para los más recientes
problemas de seguridad
• Le ayuda a entender más acerca de seguridad de redes a través de recursos de entrenamiento
• Extiende la seguridad de su red con software y otras características
• Extiende la garantía de su hardware con reemplazo avanzado
Guía del Usuario 19

Actualizando a una nueva versión de Fireware
Actualizando a una nueva versión de Fireware
Ocasionalmente, nuevas versiones del WatchGuard System Manager (WSM) y del software de appliance
Fireware® se hacen disponibles para los usuarios de Firebox® con suscripciones activas a LiveSecurity. Para
actualizar desde una versión de WSM 8.x con Fireware a una nueva versión de WSM 8.x con Fireware:
1 Haga copia de respaldo de su archivo de configuración del Firebox actual y de los archivos de configuración
actuales del Management Server.
Para más información acerca de cómo crear una imagen de respaldo de su configuración de Firebox, vea “Acerca de
las imágenes de respaldo de Firebox” en el capítulo 6.
Para respaldar la configuración de su Management Server, use el Asistente Management Server Backup and Restore
(asistente de respaldo y recuperación del Management Server). Para más información acerca de este Asistente, vea el
capítulo “Configuración y administración del Management Server”.
2 Use “Agregar o quitar programas” de Windows para desinstalar su instalación de WatchGuard
Fireware existente.
No es necesario eliminar la instalación del WSM.
3 Inicie el o los archivos que descargó de la página web de LiveSecurity y use el procedimiento
de pantalla.
4 Para grabar la actualización a la appliance, use Policy Manager para abrir el archivo de configuración
de Firebox X Core o Firebox X Peak y use las instrucciones en pantalla para convertir el archivo
de configuración a la nueva versión y grábela en el Firebox.
Si no ve instrucciones en pantalla o tiene problemas con este procedimiento, abra el Policy Manager
y seleccione File > Upgrade. Despliegue su directorio de instalación o C:\Program Files\Common
Files\WatchGuard\resources\Fireware y seleccione el archivo WGU. Haga click en OK.
El procedimiento de actualización automáticamente vuelve a iniciar el Firebox.
Tópicos de instalación
Esta sección ofrece información adicional acerca de cómo configurar su Firebox®.
Instalando WatchGuard Servers en computadoras de escritorio con firewalls
Los firewalls de escritorio pueden bloquear los puertos necesarios para que los componentes del servidor
de WatchGuard® puedan operar. Antes de instalar Management Server, Log Server, o WebBlocker Server en
una computadora con un firewall de escritorio activo, debe necesariamente abrir los puertos necesarios en
el firewall de escritorio. Los usuarios del Firewall de Windows no precisan cambiar su configuración ya que
el programa de instalación abre los puertos necesarios automáticamente.
Esta tabla muestra los puertos que deberá abrir en un firewall de escritorio.
Tipo de servidor / Software de appliance
Protocolo / Puerto
Management Server TCP 4109, TCP 4110, TCP 4112, TCP 4113
Log Server
con software de appliance Fireware®
con software de appliance WFS
TCP 4115
TCP 4107
WebBlocker Server TCP 5003, UDP 5003
20 WatchGuard System Manager

Tópicos de instalación
Adicionando redes secundarias a su configuración
Una red secundaria es una red diferente que conecta una interfaz Firebox con un switch o un hub.
Cuando agrega una red secundaria, está inscribiendo una segunda dirección IP en la interfaz Firebox.
Entonces está haciendo (o agregando) un alias de IP a la interfaz de red. Esta dirección de red secundaria
que Usted establece es la puerta de enlace por defecto para todas las computadoras de la red secundaria. La
red secundaria también le dice a Firebox que hay un red más en la interfaz Firebox.
Para agregar una red secundaria, realice un de estos procedimientos:
Usando un Asistente Quick Setup durante la instalación
Si configura Firebox en modo drop-in, puede entrar una dirección IP para la red secundaria en el Asistente
Web Quick Setup . Ésta es la puerta de enlace por defecto para su red secundaria privada.
Agregando una red secundaria después de completar la instalación de Firebox
Si configura Firebox en modo ruteado, o en cualquier momento luego de usar un Asistente Quick Setup ,
puede usar Policy Manager para agregar redes secundarias a una interfaz. Para información acerca de cómo
usar Policy Manager, vea el capítulo “Configurando Políticas” en esta Guía.
Soporte de IP dinámico en la interfaz externa
Si usa direcciones IP dinámicas, debe configurar su Firebox en modo ruteado cuando use un
Asistente Quick Setup .
Si selecciona DHCP, el Firebox le dice a un servidor DHCP controlado por su proveedor de servicios de
Internet (ISP) que le asigne al Firebox su dirección IP, su puerta de enlace y su máscara de red. Este servidor
puede también asignar información del servidor DNS para su Firebox. Si no le provee esa información, debe
agregarla manualmente a su configuración.
De ser necesario, puede cambiar la dirección IP que su ISP le asigna.
Puede también usar PPPoE. Como con DHCP, Firebox hace una conexión al servidor PPPoE con protocolo
PPPoE de su ISP. Esta conexión configura automáticamente su dirección IP, su puerta de enlace y su máscara
de red. Si usa PPPoE en la interfase externa, debe tener el nombre de uuario y la clave PPP cuando configura
su red. Si su ISP le da un nombre de dominio para usar, teclee su nombre de usuario en el formato “usuario@dominio”
cuando use un Asistente Quick Setup .
Una dirección IP estática es necesaria para que el Firebox use algunas funciones. Cuando configure Firebox
para recibir direcciones IP dinámicas, éste no podrá usar estas funciones:
Guía del Usuario 21

Tópicos de instalación
• Alta Disponibilidad (no disponible en Firebox 500)
• Modo drop-in
• NAT 1 a 1
• MUVPN
• RUVPN con PPTP
Nota
Si su ISP usa una conexión PPPoE para asignar una dirección IP estática, Firebox le permite
habilitar MUVPN y RUVPN con PPTP porque la dirección IP es estática.
Los alias externos y NAT 1a1 NAT no están disponibles cuando Firebox es un cliente PPPoE.
Ingresando direcciones IP
Cuando ingresa direcciones IP en las cajas de diálogo de Asistente Quick Setup o de WSM, escriba los dígitos
y los puntos en la secuencia correcta. No use la tecla TAB, las flechas, la barra espaciadora o el mouse
para ubicar al cursor entre los puntos. Por ejemplo, si teclea la dirección IP 172.16.1.10, no escriba un espacio
después de “16.” No intente poner el cursor después del punto siguiente para escribir “1.” Escriba un
punto directamente después de “16,” y luego escriba “1.10.” Presione la barra oblícua (/) para moverse
hacia la próxima máscara de red.
Acerca de la notación con barra oblícua
Use la notación con barra oblícua para ingresar máscaras de red. En la notación con barra, el número
muestra cuántos bits de la dirección IP identifican la red en la que está el host. Una máscara de red de
255.255.255.0 tiene un equivalencia en la notación de barra de 8+8+8=24. Por ejemplo, una dirección IP
192.168.42.23/24 es equivalente a la dirección IP 192.168.42.23 con una máscara de red de 255.255.255.0.
Esta tabla muestra las máscara de red y sus equivalentes en la notación con barra:
Máscara de red
Equivalente con barra
255.0.0.0 /8
255.255.0.0 /16
255.255.255.0 /24
255.255.255.128 /25
255.255.255.192 /26
255.255.255.224 /27
255.255.255.240 /28
255.255.255.248 /29
255.255.255.252 /30
Instalando los cables del Firebox
Co n e cte el cable de alimentación a la ent rada de alimentación de Fi re box y a la fuente de energía eléct ri ca .
Recomendamos usar un cable Ethernet directo (verde) para conectar su estación de administración a un
hub o switch. Use otro cable Ethernet directo (verde) para conectar su Firebox al mismo hub o switch.
Puede usar un cable rojo cruzado para conectar la interfaz confiable del Firebox al puerto Ethernet de la
estación de administración.
22 WatchGuard System Manager

CA P Í T U LO 3
S e rvicio y Asistencia Técnica
Ninguna solución de seguridad para Internet está completa sin actualizaciones regulares e información de
seguridad. Nuevas amenazas aparecen cada día — desde un nuevo hacker al más reciente defecto detectado
en un sistema operativo — y cada uno puede causar daño a su sistema de red. LiveSecurity® Service le
envía soluciones de seguridad directamente para mantener su sistema de seguridad en las mejores condiciones.
En la página web de WatchGuard® se dispone de entrenamiento y soporte técnico para ayudarlo a
aprender más acerca de la seguridad de redes y de sus productos WatchGuard.
Soluciones LiveSecurity Service
La cantidad de nuevos problemas de seguridad y el volumen de información acerca de la seguridad de
redes continúa aumentando. Sabemos que un firewall es sólo el primer componente en una solución completa
de seguridad. El equipo de respuesta rápida de WatchGuard® Rapid Response Team es un grupo dedicado
de personal de seguridad de redes que puede ayudarlo a controlar su problema de demasiada información
de seguridad. Ellos monitorean los sitios de seguridad de Internet para identificar nuevos problemas
de seguridad.
Respuestas a las amenazas, alertas, y asesoramiento experto
Luego que una nueva amenaza es identificada, el WatchGuard Rapid Response Team le envía un e-mail para
contarle acerca del problema. Cada mensaje brinda información completa acerca del tipo de problema de
seguridad y del procedimiento que debe usar para asegurarse que su red está a salvo del ataque.
Actualizaciones de software fáciles
LiveSecurity® Service le hace economizar tiempo pues recibe un e-mail cuando liberamos una nueva versión
del software del WatchGuard System Manager. Asistentes de instalación, notas de la versión y un vínculo
a la actualización del software hechos para una instalación rápida y fácil. Estas actualizaciones continuas
aseguran que no tenga que utilizar su tiempo para buscar nuevo software.
Acceso a la asistencia técnica y al entrenamiento
Puede enco nt rar info rmación ace rca de sus prod u ctos Watc h Gu a rd rápidamente con nuestros muchos re c u r-
sos en línea. Puede hablar dire ct a m e nte con el personal de asistencia técnica de Watc h Gu a rd. Use nuestro
e nt re n a m i e nto en línea para aprender más ace rca del softwa re del Watc h Gu a rd Sys tem Ma n a g e r, Fi re box ® , y
de seguridad de re d e s, o busque un Ce nt ro de Ent re n a m i e nto Watc h Gu a rd Ce rt i f i cado en su área.
Guía del Usuario 23

Comunicaciones de LiveSecurity Service
Comunicaciones de LiveSecurity Service
El WatchGuard® Rapid Response Team regularmente envía mensajes e información de software directamente
al escritorio de su computadora por e-mail. Dividimos los mensajes en categorías para ayudarlo a
identificar y usar la información inmediatamente.
Alerta de información
Los alertas de información le ofrecen una visión rápida de la información más reciente y de las amenazas
a la seguridad de Internet. El WatchGuard Rapid Response Team frecuentemente recomienda
que realice un cambio en su política de seguridad para protegerse contra las nuevas amenazas.
Cuando es necesario, el alerta de información incluye instrucciones acerca del procedimiento.
Respuesta a las amenazas
Si una nueva amenaza a la seguridad lo hace necesario, el WatchGuard Rapid Response Team transmite
una actualización de software para su Firebox®. La respuesta a amenazas incluye información
acerca de la amenaza a la seguridad e instrucciones sobre cómo descargar la actualización de software
e instalarla en su Firebox y en su estación de administración.
Actualización de software
Cuando es necesario, WatchGuard actualiza el software de WatchGuard System Manager. La actualización
del producto puede incluir nuevas características y parches. Cuando liberamos una actualización
de software, usted recibe un e-mail con instrucciones sobre cómo descargar e instalar su actualización.
Editorial
Cada semana, el personal jerárquico de seguridad de red se une del WatchGuard Rapid Response
Team para escribir acerca de la seguridad de red. Este abastecimiento continuo de información
puede ayudar a su red a estar segura y a salvo.
Fundamentos
El WatchGuard Rapid Response Team también escribe información especialmente para los administradores
de seguridad, empleados y otro personal que es nuevo en esta tecnología.
Loopback
Al fin de cada mes LiveSecurity® Service le envía un e-mail con un sumario de la información enviada
ese mes.
Flash de asistencia
Estos mensajes de entrenamiento pueden ayudarlo a operar el WatchGuard System Manager. Hay un
recurso para cada recurso en línea:
- Ayuda en línea
- FAQs (preguntas frecuentes)
- Páginas de asuntos conocidos en la página web de asistencia técnica
Alerta de virus
WatchGuard se ha unido al vendor de antivirus McAfee para darle a usted la información más actualizada
acerca de los virus de computadoras. Cada semana, le enviamos un mensaje con un sumario
del tráfico de virus en Internet. Cuando un hacker libera un virus peligroso en Internet, enviamos un
alerta especial de virus para ayudarlo a proteger su red.
Lo nuevo de WatchGuard
Cuando WatchGuard libera un nuevo producto, los primeros en saberlo son ustedes, nuestros clientes.
Puede aprender acerca de las nuevas características y servicios, actualización de productos, liberación
de hardware, y promociones.
24 WatchGuard System Manager

Herramientas de Auto-Ayuda de LiveSecurity Service
Activando LiveSecurity Service
Puede activar LiveSecurity® Service a través de la sección de activación de la página web de LiveSecurity.
Hay información acerca de cómo realizar la activación y correr el Asistente Quick Setup en la Quick Start
Guide y en el capítulo “Comenzando” de este libro.
Nota
Para activar LiveSecurity Service, debe habilitar JavaScript en su navegador.
Para activar LiveSecurity Service a través de Internet:
1 Asegúrese de tener el número de serie de su Firebox®. Es necesario durante el procedimiento de
activación de LiveSecurity.
- Puede encontrar el número de serie del Firebox en una etiqueta en la parte posterior de Firebox
debajo del Universal Product Code (UPC) -código universal del producto-, o en una etiqueta en la
parte de abajo del Firebox.
- El número de la clave de licencia está en el certificado WatchGuard LiveSecurity License Key .
Asegúrese ingresar toda la clave de licencia toda en letras mayúsculas e incluir los guiones.
2 Use su navegador para ir a:
www.watchguard.com/account/register.asp
Aparece la página Account.
3 Complete la página de activación de LiveSecurity Activation. Use la tecla TAB o el mouse para mover
se entre los campos de la página.
Debe completar todos los campos para activarlo correctamente. Esta información ayuda a WatchGuard a enviar su
información y las actualizaciones de software que son aplicables a sus productos.
4 Asegúrese que su dirección de e-mail sea correcta. Su LiveSecurity le enviará a esta dirección e-mails
acerca de las actualizaciones del producto disponibles y de respuestas a amenzas a esta dirección. Luego
de completar este procedimiento, recibirá un e-mail que le dirá que activó su LiveSecurity Service satisfactoriamente.
5 Haga click en Register.
Herramientas de Auto-Ayuda de LiveSecurity Service
Las herramientas de auto-ayuda en línea (Online Self Help Tools) le permiten obtener el mejor desempeño
de sus productos WatchGuard®.
Nota
Debe activar LiveSecurity® Service antes de poder acceder a los recursos en línea.
Respuesta instantánea
Las respuestas instantáneas son una herramienta de ayuda guiada diseñada para darle soluciones a
las consultas sobre el producto muy rápidamente. Ésta herramienta le hace preguntas y entonces le
da la mejor solución basada en las respuestas que usted da.
FAQs básicas
Las FAQs básicas (preguntas frecuentes) le dan información general acerca de Firebox® y del software
de WatchGuard System Manager. Están escritas para el cliente que es nuevo en seguridad de redes y
en los productos WatchGuard.
Guía del Usuario 25

Foro de usuarios de WatchGuard
Advanced FAQs
Las FAQs avanzadas (preguntas frecuentes) le dan información importante acerca de las opciones de
configuración y la operación de sistemas o productos. Éstas se agregan a la información que puede
encontrar en esta Guía del Usuario y en el sistema de ayuda en línea.
Fireware® “How To”’s
La documentación Fireware How To (cómo hacer) le ayuda a encontrar rápidamente procedimientos
para tareas específicas de configuración del software de appliance Fireware.
Known Issues
La herramienta Known Issues (asuntos conocidos) monitorea problemas de los productos
WatchGuard y actualizaciones de software.
Foro de usuarios de WatchGuard
El equipo de asistencia técnica de WatchGuard opera una página web donde los clientes pueden
ayudarse entre sí con los productos WatchGuard. Asistencia Técnica monitorea este foro para asegurarse
que usted obtenga información precisa.
Entrenamiento en línea
Navegue en la sección de entrenamiento en línea para aprender más acerca de la seguridad de
redes y sobre los productos WatchGuard. Puede leer materiales de entrenamiento y obtener una certificación
en los productos WatchGuard. El entrenamiento incluye vínculos a un amplio rango de
documentos y páginas web acerca de la seguridad en redes. El entrenamiento está dividido en partes,
las cuales le permiten usar sólo los materiales que usted cree que necesita. Para aprender más
acerca del entrenamiento en línea, navegue en:
www.watchguard.com/training/courses_online.asp
Aprender acerca de
Aprender acerca de (learn about) es una lista de todos los recursos disponibles para un producto o
función específicos. Es un mapa del sitio para dicha función.
Documentación del producto
La página web de WatchGuard tiene una copia de la guía de usuario de cada producto, incluyendo
guías de usuario de versiones de software que ya no tienen más soporte. Las guías de usuario están
en formato .pdf.
Recursos generales de Firebox X Edge y Firebox SOHO
Esta sección de la página web muestra información básica y vínculos para los clientes de Firebox X
Edge y Firebox SOHO. Puede ayudarlo a instalar y usar hardware Firebox X Edge y SOHO.
Para obtener acceso a las herramientas de auto-ayuda de LiveSecurity Service:
1 Inicie su navegador de web. En la barra de dirección, teclee:
http://www.watchguard.com/support
2 Haga click en Self Help Tools.
Debe ingresar con su usuario y clave.
3 Haga click en su selección.
Foro de usuarios de WatchGuard
El foro de usuarios WatchGuard® Users Forum es un grupo en línea. Permite a los usuarios de los productos
WatchGuard intercambiar información acerca del producto relativa a:
• Configuración
• Conexión entre productos WatchGuard y aquellos de otras compañías
• Políticas de red
26 WatchGuard System Manager

Ayuda en línea
Este foro tiene dferentes categorías que puede usar para buscar información. El equipo asistencia técnica
controla el foro durante las horas normales de trabajo. No obtendrá ayuda especial del equipo de asistencia
técnica cuando use el foro. Para entrar en contacto directamente con la asistencia técnica desde la web,
ingrese a su cuenta de LiveSecurity. Haga click en el vínculo Incidents para enviar un incidente a asistencia
técnica.
Usando el foro de usuario de WatchGuard
Para usar el foro de usuarios de WatchGuard primero debe crear una cuenta. Navegue en
http://www.watchguard.com/forum para ver instrucciones.
Ayuda en línea
La ayuda en línea de WatchGuard® es un sistema web que puede operar en la mayoría de los sistemas operativos
de computadora. Liberamos cada versión de los productos de software con un sistema de ayuda
completo en línea.
Una versión estática de la ayuda se instala automáticamente con el software del WatchGuard System
Manager. Puede encontrarla en un subdirectorio de la carpeta de instalación con el nombre Help.
Iniciando la ayuda en línea de WatchGuard
Para arrancar el sistema de ayuda en línea desde el software del WatchGuard System Manager, presione F1.
Su navegador se abre y la página de ayuda en línea aparece. La página tiene información acerca de la característica
que está usted usando.
Buscando información
Hay tres métodos para buscar información en el sistema de ayuda en línea de WatchGuard:
Contenidos
La solapa Contents muestra una lista de categorías en el sistema de ayuda. Haga doble clic en un libro
para expandir una categoría. Haga clic en un título de página para ver los contenidos de esa categoría.
Índice
El índice (index) muestra una lista de las palabras que están en el sistema de ayuda. Teclee la palabra y
la lista automáticamente se dirige a aquellas palabras que comienzan con las letras tecleadas. Haga
clic en una página para ver los contenidos.
Búsqueda
La función búsqueda (search) es una búsqueda de texto completo del sistema de ayuda. Teclee una
palabra y presione ENTER. Una lista muestra las categorías que contienen esa palabra. La función de
búsqueda no opera con los operadores AND, OR, ni NOT.
Copiando el sistema de ayuda en línea a más computadoras
Puede copiar la ayuda en línea de WatchGuard desde la estación de administración a una segunda computadora.
Cuando haga eso, copie la carpeta completa de la ayuda en línea desde el directorio de instalación
de WatchGuard en la estación de administración. Debe incluir todos los subdirectorios.
Requerimientos de software
• Internet Explorer 4.0 o una versión posterior
• Netscape Navigator 4.7 o una versión posterior
Sistemas operativos
• Windows NT 4.0, Windows 2000, o Windows XP
• Sun Solaris
• Linux
Guía del Usuario 27

Documentación del producto
Documentación del producto
Copiamos todas las guías de usuario en la página web en:
http://www.watchguard.com/help/documentation.
Asistencia técnica
Su suscripción al servicio LiveSecurity® incluye asistencia técnica para el software WatchGuard® System
Manager y el hardware Firebox®. Para aprender más acerca de WatchGuard Technical Support, navegue la
página web de WatchGuard, en:
http://www.watchguard.com/support
Nota
Debe activar el servicio LiveSecurity antes de obtener asistencia técnica.
Asistencia técnica de LiveSecurity Service
Todos los nuevos productos Firebox incluyen el servicio de asistencia técnica WatchGuard LiveSecurity
Technical Support Service. Puede hablar con un miembro del equipo de WatchGuard Technical Support
cuando tenga un problema con la instalación, manejo o configuración de su Firebox.
Horario
WatchGuard LiveSecurity Technical Support opera de 6:00 AM a 6:00 PM en su huso horario local, de
Lunes a Viernes.
Número telefónico
877.232.3531 (seleccione la opción #2) en Estados Unidos y Canadá
+1.206.613.0456 en los demás países
Página web
http://www.watchguard.com/support
Tiempo de respuesta del servicio
Intentamos tener un tiempo de respuesta máximo de cuatro horas.
También están disponibles las actualizaciones Single Incident Priority Response Upgrade (SIPRU) y Single
Incident After Hours Upgrade (SIAU). Para mayores datos acerca de estas actualizaciones, diríjase a la página
web de WatchGuard, en:
http://www.watchguard.com/support
28 WatchGuard System Manager

Entrenamiento y certificación
LiveSecurity Gold
WatchGuard Gold LiveSecurity Technical Support se agrega a su servicio LiveSecurity estándar.
Recomendamos obtener esta actualización si usa Internet o túneles VPN en la mayor parte de su trabajo.
Con WatchGuard Gold LiveSecurity Technical Support Usted obtiene:
• Asistencia técnica 24 horas al día, los siete días de la semana, incluyendo feriados.
• El equipo de Asistencia Técnica opera el centro de soporte desde las 7 PM del Domingo a las 7 PM del
Viernes (hora del Pacífico de los EE.UU.). Para asistencia durante el fin de semana por problemas críticos,
use el sistema de llamadas on-call paging.
• Intentamos tener un tiempo de respuesta máximo de una hora.
• Para crear un incidentes de soporte, llame a WatchGuard LiveSecurity Technical Support. Un representante
de atención al cliente (Customer Care) registra el problema y le da un número de incidente. Un
técnico de Priority Support (asistencia prioritaria) lo llama tan pronto como sea posible. Si tiene un
problema crítico cuando el centro de soporte no está abierto, use el número de teléfono de
LiveSecurity Technical Support para conectarse con un técnico.
Puede también enviar un incidente a través de la página web, en:
http://www.watchguard.com/support/incidents/newincident.asp.
Servicio de instalación de Firebox
WatchGuard Remote Firebox Installation Service (servicio de instalación remota) le ayuda a instalar y configurar
su Firebox. Puede programar un tiempo de dos horas con uno de los equipos de asistencia técnica de
WatchGuard. Durante ese tiempo, los técnicos le ayudarán a:
• Hacer un análisis de su red y de su política de seguridad
• Instalar el software WatchGuard System Manager y el hardware Firebox
• Ajustar su configuración a la política de seguridad de su compañía
Este servicio no incluye instalación VPN.
Servicio de instalación de VPN
El servicio de instalación VPN remota de WatchGuard le ayuda con una instalación VPN completa. Puede
programar un tiempo de dos horas con uno de los equipos de asistencia técnica de WatchGuard. Durante
ese tiempo, los técnicos le ayudarán a:
• Hacer un análisis de su política VPN
• Configurar sus túneles VPN
• Probar su configuración VPN
Puede usar este servicio después de instalar y configurar correctamente sus dipositivos Firebox.
Entrenamiento y certificación
El ent re n a m i e nto en los prod u ctos Watc h Gu a rd® está disponible en línea para ay u d a rlo a aprender más ace r-
ca de la seguridad de red y de los prod u ctos Watc h Gu a rd. Puede enco nt rar mate riales de ent re n a m i e nto en la
página web de As i s tencia T é c n i ca y pre p a rarse para un examen de ce rt i f i ca c i ó n . Los mate riales de ent re n a-
m i e nto incluyen vínculos a libros y a páginas web con más info rmación ace rca de la seguridad de re d.
El entrenamiento en los productos WatchGuard está también disponible cerca suyo a través de un amplio
grupo de WatchGuard Certified Training Partners, WCTPs (socios de entrenamiento certificados). Los socios
de entrenamiento ofrecen capacitación usando materiales certificados de entrenamiento y con el hardware
WatchGuard. Puede instalar y configurar los productos con un instructor avanzado y un administrador de
sistema para ayudarlo a aprender. Para encontrar un socio de entrenamiento, vaya a
http://www.watchguard.com/training/partners_locate.asp
Guía del Usuario 29

Entrenamiento y certificación
30 WatchGuard System Manager

CA P Í T U LO 4
M o n i t o reando el Estado del Fire b o x
WatchGuard® Firebox® System Manager (FSM) le brinda una interfase para monitorear todos los componentes
de un Firebox y el trabajo que hacen. Desde el FSM, puede monitorear las condiciones actuales del
Firebox, o conectarse directamente al Firebox para actualizar su configuración. Puede ver:
• El estado de las interfaces del Firebox y el tráfico que corre a través de las mismas
• El estado de los túneles VPN y la administración de certificados
• Gráficos en tiempo real del ancho de banda usado por el Firebox o de las conexiones en puertos
específicos
• El estado de cualquier otro servicio de seguridad que usa en su Firebox
Iniciando el Firebox System Manager
Antes de comenzar a usar el Firebox® System Manager, debe conectarse a un Firebox.
Conectándose a un Firebox
1 Desde el WatchGuard System Manager, haga click en el icono Connect to Device.
O, puede seleccionar File > Connect To Device.
La caja de diálogo Connect to Firebox aparece.
2 Desde la lista desplegable Name/IP Address, seleccione un Firebox.
Puede también teclear la dirección IP o el nombre del Firebox.
Guía del Usuario 31

Menús y barras de herramientas del Firebox System Manager
3 En la caja de Passphrase, teclee la passphrase de estado de Firebox (sólo lectura).
4 Haga click en Login.
El Firebox aparece en la ventana de WatchGuard System Manager
Abriendo el Firebox System Manager
1 Desde el WatchGuard System Manager, seleccione la pestañã Device Status.
2 Seleccione el Firebox para examinarlo con Firebox System Manager.
3 Haga click en el ícono Firebox System Manager.
Firebox System Manager aparece. Entonces, conéctelo al Firebox para obtener información acerca del estado
y configuración.
Menús y Barras de Herramientas del Firebox System Manager
Los comandos del Firebox® System Manager (FSM) están en los menús de la parte superior de la ventana.
Las tareas más comunes también están disponibles como botones en la barra de herramientas. Las tablas
que siguen le informan las funciones de los menús y de los botones de la barra de herramientas.
32 WatchGuard System Manager

Menús y Barra de Herramientas del Firebox System Manager
Menús deFirebox System Manager
Menú Comando
Función
File Settings Cambia la forma en que Firebox System Manager
muestra la información de estado en pantalla.
Disconnect
Mantiene abierto Firebox System Manager, pero
detiene la conexión al Firebox monitoreado
Reset
Detiene los componentes del sistema operativo
en el Firebox y vuelve a iniciarlos (soft reboot)
Reboot
Inicia nuevamente el Firebox actual.
Shutdown
Apaga el Firebox.
Close
Cierra la ventana del Firebox System Manager
VIew Certificates Lista los certificados en el Firebox.
Licenses
Lista las licencias actuales en el Firebox.
Communication Log
Abre el registro de eventos de comunicación, el cual
contiene información tal como el éxito o fracaso de
logins, handshakes, y demás eventos. Son conexiones
entre el Firebox y el Firebox System Manager
Tools Policy Manager Abre el Policy Manager con la configuración del
Firebox seleccionado.
HostWatch
Abre HostWatch conectado al Firebox actual.
Help
Performance Console
Synchronize Time
Clear ARP Cache
Clear Alarm
High Availability
Change Passphrases
Firebox System
Manager Help
Abre la Consola de Desempeño que muestra gráficos
de aspectos del desempeño del Firebox.
Sincroniza la hora del Firebox con la del sistema.
Vacía el caché ARP del Firebox seleccionado.
Vacía la lista de alarmas en el Firebox seleccionado.
Configura la opción de Alta Disponibilidad.
Cambia las passphrases de estado y configuración.
Ab re los arc h i vos de ayuda en línea para esta
a p l i ca c i ó n .
About Mu e s t ra la versión y la info rmación de derecho de auto r.
Barra de Herramientas de Firebox System Manager
Icono
Función
Inicia nuevamente el despliegue. Este icono aparece
sólo cuando no está conectado a un Firebox.
Detiene el despliegue. Este icono aparece sólo cuando
está conectado a un Firebox.
Muestra la administración y los certificados VPN
guardados en el Firebox.
Muestra las licencias registradas e instaladas para este
Firebox.
Inicia el Policy Manager. Use Policy Manager para hacer
o cambiar un archivo de configuración.
Inicia HostWatch que muestra las conexiones para este
Firebox.
Guía del Usuario 33

Viendo el Estado Básico de Firebox y de la Red
Icono
Función
Inicia la Performance Console en la cual puede configurar
los gráficos que muestran el estado de Firebox.
Inicia la caja de diálogo Communication Log para
mostrar las conexiones entre Firebox System Manager y
el Firebox.
Estableciendo el intervalo de refresco y pausa de la pantalla
Todas las Pestañas en Firebox System Manager tienen, en la parte inferior de la pantalla, una lista desplegable
para establecer el intervalo de refresco, y un botón de Pause para detener el despliegue:
Refresh Interval
El re f resh inte rval (inte rvalo de re f re s co) es el inte rvalo ent re co n s u l t a s ; el tiempo ent re dos suce s i va s
re n ovaciones de la pant a l l a . Puede cambiar ese inte rvalo (en segundos) en que Fi re box Sys te m
Manager toma info rmación de Fi re box y envía actualizaciones a la inte rfase del usuari o.
De be balancear cuán fre c u e nte m e nte re c i be la info rmación y cuánta se almacena en el Fi re box .
As e g ú rese de examinar el inte rvalo de re f re s co en cada pe s t a ñ a . Cuando una pestaña re c i be nueva
i n fo rmación para ser desplegada, a p a re cerá el mensaje “ Re f re s h i n g. . .”a dya ce nte a la lista desplegable
Re f resh Inte rva l . Un inte rvalo más co rto ofre ce un despliegue más pre c i s o, pe ro crea más almace n a-
m i e nto en el Fi re box . Desde Fi re box Sys tem Ma n a g e r, use la lista desplegable Re f resh Inte rval para
seleccionar un nuevo lapso de re f re s co de las ve nt a n a s. Puede seleccionar 5 segundos, 10 segundos,
30 segundos, 60 segundos, 2 minutos ó 5 minuto s. Puede también teclear un valor particular en esta
ca j a .
Pause/Continue
Puede hacer click en el botón Pause para detener temporalmente el refresco de esta ventana por
parte del Firebox System Manager. Después de hacer click en el botón Pause, este botón cambia al
botón Continue. Haga click en Continue para continuar refrescando la ventana.
Viendo el Estado Básico de Firebox y de la Red
La pestaña Front Panel de Firebox® System Manager muestra información básica acerca de su Firebox, su
red, y el tráfico de su red.
34 WatchGuard System Manager

Viendo el Estado Básico de Firebox y de la Red
Usando la pantalla de Tráfico de Seguridad
Firebox System Manager inicialmente tiene un grupo de luces indicadoras para mostrar la dirección y el
volumen del tráfico entre las interfaces Firebox. El despiegue puede ser un triángulo (abajo a la izquierda) o
una estrella (abajo al centro y a la derecha).
Despliegue en triángulo
Si un Firebox tiene sólo tres interfaces configuradas, cada vértice del triángulo es una de ellas. Si un
Firebox tiene más de tres interfaces, cada vértice del triángulo representa un tipo de interfaz. Por
ejemplo, si tiene seis interfaces configuradas con una externa, una confiable, y cuatro interfaces opcionales,
el vértice “All-Optional” del triángulo representa a las cuatro interfaces opcionales.
Despliegue en estrella
El despliegue en estrella muestra todo el tráfico de entrada y salida de la interfaz central. Una flecha
que se mueve de la interfaz central a una interfase nodo muestra que el Firebox está pasando tráfico.
El tráfico proviene a través de la interfaz central y sale a través de la interfaz nodo. Por ejemplo, si
eth1está en el centro y eth2 está en un nodo, una flecha verde muestra que el tráfico fluye de eth1 a
eth2. Se muestran dos estrellas, — una para un Firebox X Core con 6 interfaces y otra para un Firebox
X Peak con 10 interfaces.
Para cambiar el despliegue, presione el botón derecho y seleccione Triangle Mode (triángulo) o Star Mode
(estrella).
Monitoreando la información de estado
Los puntos de la estrella y el triángulo muestran el tráfico que fluye a través de las interfaces. Un punto
verde muestra el tráfico que es permitido hacia la interfaz. Un punto rojo muestra el tráfico que está siendo
denegado o que la interfaz está denegando algún tráfico y permitiendo otro. Cada punto muestra conexiones
entrantes y salientes con diferentes flechas. Cuando el tráfico fluye entre dos interfaces, las flechas se
encienden en la dirección del tráfico.
En la figura estrella, el lugar donde los puntos llegan juntos puede mostar una o dos condiciones:
• Rojo (denegar)—El Firebox deniega una conexión en esa interfaz.
• Verde (permitir)—Hay tráfico entre esta interfaz y una interfaz diferente (pero no el centro) de la
estrella. Cuando hay tráfico entre esta interfaz y el centro, el punto entre estas interfaces se muestra
con flechas verdes.
En el triángulo, el tráfico de la red se muestra en los vértices . Los puntos muestran sólo la condición de permitido
o denegado. Existe una excepción, y es cuando hay una gran cantidad de tráfico de VPN ”tunnel
switching”. El tráfico de “tunnel switching” se refiere a paquetes que son enviados a través de una VPN hacia
un Firebox configurado como puerta de enlace por defecto para la red VPN. En este caso, el indicador de
nivel de tráfico de Firebox System Manager puede mostrar tráfico muy alto, pero no verá luces verdes a
medida que aumente el tráfico “tunnel switching” de la misma interfaz.
Guía del Usuario 35

Viendo el Estado Básico de Firebox y de la Red
Configurando el centro de la interfaz
Si puede usar la figura estrella, puede personalizar la interfaz que aparece en su centro. Haga click en el
nombre de la interfaz o en su punto. La interfaz entonces se mueve al centro de la estrella. Todas las otras
interfasz se mueven en el sentido de las agujas del reloj. Si mueve una interfaz al centro de la estrella,
puede ver todo el tráfico entre esa interfaz y todas las otras interfaces. El despliegue por defecto muestra
la interfaz externa en el centro.
Monitoreando tráfico, almacenamiento, y estado
Debajo del Security Traffic Display están los indicadores de volumen de tráfico, alimentación de procesador,
e información básica de estado (Detalle).
Las dos barras gráficas muestran el volumen de tráfico y la capacidad del Firebox.
Estado del Firebox y del túnel VPN
La sección en Firebox System Manager en el costado derecho del panel frontal muestra:
• Estado del Firebox
• Certificados
• Túneles VPN de sucursales
• Usuarios móviles y túneles PPTP VPN
• Virus, intrusiones, mensajes e-mail spam encontrados
Estado del Firebox
En la sección Firebox Status, expanda las entradas para ver:
• Estado de la fincion High Ava i l a b i l i ty. Cuando tiene una co n f i g u ración co rre cta y está dispo n i -
ble apare ce la dirección IP del Fi re box en espe ra . Si High Ava i l a b i l i ty está instalada, pe ro no hay co n e-
xión a la red para el Fi re box secundari o, a p a re ce un mensaje “ Not Re s po n d i n g” (no re s po n d e ) .
• La dirección IP de cada interfaz Firebox y el modo de configuración de la interfaz externa.
• Estado del certificado CA (root) y del certificado IPSec (cliente).
Si expande una vez más las entradas en la ventana principal del Firebox System Manager, puede ver:
• Dirección IP y máscara de red de cada interfaz configurada
• La dirección Media Access Control (MAC) de cada interfaz
• Número de paquetes que son enviados y recibidos desde el último reinicio del Firebox
• Fecha y hora de finalización de los certificados CA e IPS
36 WatchGuard System Manager

Viendo el Estado Básico de Firebox y de la Red
• CA fingerprint
• Estado del enlace físico (un ícono de interfaz o enlace en colores significa que están configurados
una interfaz o un enlace, y un icono oscuro indica que la interfaz o el enlace están caídos)
Túneles VPN de sucursales
Debajo de la sección Firebox Status hay una sección sobre túneles BOVPN. Hay dos tipos de túneles IPSec
BOVPN: túneles que usted crea manualmente y túneles que usted crea con el Management Server.
Túneles VPN para usuarios móviles
Cuando los túneles VPN de sucursales son entradas de túneles VPN para usuarios móviles, la entrada muestra
información similar a la de BOVPN.
Túneles VPN para usuarios PPTP
Para túneles VPN para usuarios PPTP, Firebox System Manager muestra el nombre de usuario y la cantidad
de paquetes enviados y recibidos.
Servicios de seguridad
Bajo Security Services, Firebox System Manager incluye el número de virus encontrados, el número de intrusiones,
y el número de mensajes de spam que son bloqueados y efectivamente puestos en cuarentena
desde el último reinicio.
Expandiendo y cerrando vistas en árbol
Para expandir una parte de la pantalla, haga click en el signo más (+) adyacente a la entrada, o haga doble
click en el nombre de la entrada. Para cerrar una parte, haga click en el signo menos (–) adyacente a la entrada.
Cuando no se muestran signos más o menos, no hay más información disponible.
Guía del Usuario 37

Monitoreando el tráfico del Firebox
Monitoreando el tráfico del Firebox
Para ver los mensajes de log de Firebox® l , haga click en la pestaña Traffic Monitor (Monitor de Tráfico).
Estableciendo el máximo número de mensajes en el log
Puede cambiar el número máximo de mensajes de log que puede mantener y ver en el monitor de Tráfico.
Cuando llegue al máximo, un nuevo mensaje de log reemplazará la primera entrada. Si tiene un procesador
lento o una cantidad pequeña de memoria RAM, un valor alto en este campo puede volver lento su
sistema de administración. Si necesita examinar un gran volumen de mensajes de log, le recomendamos
usar el Log Viewer, tal como se describe en la sección ”Iniciando el LogViewer”, en el capítulo 7.
1 Desde el Firebox System Manager, seleccione File > Settings.
Aparecerá el cuadro de diálogo Settings.
2 Desde la lista desplegable Maximum Log Messages, seleccione el número de mensajes de log que
desea que aparezcan en el Monitor de Tráfico. Haga click en OK.
El valor que usted teclea da el número de mensajes de log en miles.
38 WatchGuard System Manager

Monitoreando el tráfico de Firebox
Usando colores para sus mensajes del log
En el monitor de tráfico, puede puede hacer que los mensajes aparezcan con diferentes colores. Cada color
puede hacer referencia al tipo de información que muestra.
1 Desde Firebox System Manager, seleccione File > Settings. Haga click en la pestaña Traffic Monitor.
2 Pa ra desact i var o act i var el despliegue en co l o re s, tilde o destilde la casilla de ve ri f i cación Sh ow Logs
in Co l o r.
3 En las pestañas Alarm, Traffic Allowed, Traffic Denied, Event, o Debug, haga click en el campo que aparece
en un color.
El campo Text Color en el lado derecho de las solapas muestra el color que se está usando en ese campo.
4 Para cambiar el color, haga clic en el control de color adyacente a Text Color. Seleccione un color.
Haga click en OK para cerrar el cuadro de diálodo de control de color. Haga clic en OK una vez más para
cerrar el cuadro de diálogo Settings.
La información en este campo aparece con el nuevo color en el Traffic Monitor. En la parte inferior del cuadro de diálogo
Traffic Monitor aparecerá una muestra de cómo se verá.
5 Puede también seleccionar un color de fondo para el monitor de tráfico. Haga click en la flecha de control
de color adyacente a Background Color. Seleccione un color. Haga click en OK para cerrar el cuadro
de diálogo de control de color. Haga click otra vez en OK para cerrar el cuadro de diálogo Settings.
Puede cancelar los cambios ralizados en este cuadro de diálogo. Para ello, haga click en Restore Defaults.
Copiando mensajes del log
Para hacer una copia de un mensaje de log y pegarlo en una aplicaicón diferente del software, haga click
derecho sobre el mensaje y seleccione Copy Selection. Si selecciona Copy All, el Firebox System Manager
copia todos los mensajes de log . Abra la otra herramienta y pegue el o los mensajes.
Para copiar más de uno, pero no todos los mensajes, use Log Viewer para abrir el archivo de log, y allí use la
función de copia de Log Viewer, como se describe en el capítulo “Registro de eventos y notificación”.
Guía del Usuario 39

Limpiando el Caché del ARP
Aprendiendo más acerca del log de mensajes de tráfico
Para aprender más acerca de un mensaje de log de tráfico, puede:
Copiar la dirección IP de origen o de destino
Haga una copia de la dirección IP de origen o de destino de un mensaje de log de tráfico , y péguela
en una aplicación del software diferente. Para copiar la dirección IP de origen, haga clic derecho
sobre el mensaje y seleccione Source IP Address > Copy Source IP Address. Para copiar la dirección
IP de destino, haga click derecho sobre el mensaje y seleccione Destination IP Address > Copy
Destination IP Address.
Hacer ping al origen o al destino
Para hacer ping a la dirección IP de origen o destino del mensaje de log de tráficoi, haga lo siguiente:
haga click derecho sobre el mensaje y seleccione Source IP Address > Ping o Destination IP
Address > Ping. Una ventana desplegable le mostrará los resultados.
Trazar la ruta al origen o al destino
Para usar un comando traceroute (trazado de la ruta) a la dirección IP de origen o destino de un
mensaje de log de tráfico, haga lo siguiente: haga clic derecho sobre el mensaje y seleccione Source
IP Address > Trace Route o Destination IP Address > Trace Route. Una ventana desplegable le
muestra los resultados del comando traceroute.
Bloquear temporalmente la dirección IP de origen o de destino
Para bloquear temporalmente todo el tráfico de una dirección IP de origen o de destino de un mensaje
de log de tráfico, haga lo siguiente: haga click derecho sobre el mensaje, seleccione Source IP
Address > Block: [dirección IP] o Destination IP Address > Block: [dirección IP]. La cantidad de tiempo
que una dirección IP permanece terporalmente bloqueada por este comando se establece en el
Policy Manager. Para usar este comando debe usar la contraseña de configuración.
Limpiando el Caché del ARP
El caché ARP (Address Resolution Protocol) de Firebox® mantiene las direcciones de hardware (conocidas
como direcciones MAC) de los hosts de TCP/IP. Antes de iniciar un requerimiento ARP, el sistema se asegura
que en el caché haya una dirección de hardware. Debe borrar el caché ARP en el Firebox después de la
instalación cuando su red tenga una configuración drop-in.
1 Desde el Firebox System Manager, seleccione Tools > Clear ARP Cache.
2 Teclee la passphrase de configuración de Firebox. Haga click en OK.
Esto limpia las entradas del caché.
Cuando un Firebox está en modo drop-in, este procedimiento borra sólo el contenido de la tabla ARP y no
la tabla MAC. Las entradas MAC más viejas son eliminadas si la tabla tiene más de 2000 entradas. Si quiere
borrar la tabla MAC, debe reiniciar el Firebox.
Usando la Consola de Desempeño
La Performance Console (consola de desempeño) es un utilitario del Firebox® que puede usar para hacer
gráficos que muestren cómo están operando las diferentes partes del Firebox. Para obtener esa información,
defina los indicadores que identifican la información usada para hacer el gráfico.
Tipos de indicadores
Puede monitorear estos tipos de indicadores de desempeño:
40 WatchGuard System Manager

Usando la Consola de Desempeño
System Information
Muestra cómo se está usando la CPU.
Interfaces
Monitorea y reporta los eventos de las interfases seleccionadas. Por ejemplo, puede establecer un
indicador que monitoree el número de paquetes que recibe una interfaz específica.
Policies
Monitorea y reporta los eventos de las políticas seleccionadas. Por ejemplo, puede establecer un indicador
que monitoree el número de paquetes que examina una política específica.
VPN Peers
Monitorea y reporta los eventos de las políticas VPN seleccionadas.
Tunnels
Monitorea y reporta los eventos de los túneles VPN seleccionados.
Definiendo indicadores
Para identificar un indicador para cualesquiera de las categorías:
1 Desde Firebox System Manager, seleccione el ícono Performance Console. O, seleccione
Tools > Performance Console.
Aparece la ventana Add Chart.
Guía del Usuario 41

Usando la Consola de Desempeño
2 Desde la ventana Add Chart , expanda una de las categorías de counter que aparecen bajo Available
Counters (indicadores disponibles).
Haga click en el signo + adyacente al nombre de la categoría para ver los indicadoers que puede usar en esa categoría.
Cuando haga click en un indicador, los campos de Counter Configuration se refrescan automáticamente, respecto al indicador
que haya seleccionado.
3 Desde la ventana Chart Window, en la lista desplegable, seleccione New Window si quiere que el
gráfico aparezca en una nueva ventana. O seleccione el nombre de una ventana abierta para agregar el
gráfico a una ventana que ya está abierta.
4 En la lita desplegable Poll Interval (intervalo entre consultas), seleccione un intervalo de tiempo entre
cinco segundos y una hora.
Esta es la frecuencia con la que la consola de desempeño chequea si hay información actualizada proveniente del
Firebox.
5 Agregue información de configuración que se aplique al indicador especificado. Estos campos aparecen
automáticamente cuando selecciona indicadores específicos.
- Type — (tipo) use la lista desplegable para seleccionar el tipo de gráfico a crear.
- Interface — (interfaz) use la lista desplegable para seleccionar la interfaz de la cual graficar los
datos.
- Policy — (política) use la lista desplegable para seleccionar la polítca de la configuración de
Firebox para graficar los datos. Si selecciona un Policy counter, debe actualizar la lista de políticas
que aparece en la consola de desempeño cuando haga click en el botón Refresh Policy List.
- Peer IP — use la lista desplegable para seleccionar la dirección IP de un VPN endpoint para
graficar sus datos. Si selecciona un indicador de pares VPN P, debe actualizar la lista de políticas
que aparece en la consola de desempeño cuando hace click en el botón Refresh Peer IP List.
- Tunnel ID — use la lista desplegable para seleccionar el nombre de un túnel VPN del cual gra f i car
los datos. Si selecciona un Tunnels counter, debe actualizar la lista de políticas que aparece en la
consola de desempeño cuando haga click en el botón Refresh Tunnel ID List. Si no conoce la
tunnel ID para su túnel VPN, chequee la pestaña Firebox System Manager Front Panel.
6 Seleccione la casilla de verificación Save Chart Data to File para grabar los datos recolectados por la
consola de desempeño en un archivo de datos XML o en un archivo de datos separados por comas.
Por ejemplo, puede abrir un archivo de datos XML en Microsoft Excel para ver los valores registrados para cada intervalo
de consulta. Puede usar otras herramientas para combinar datos de más de un gráfico.
42 WatchGuard System Manager

Usando la Consola de Desempeño
7 Haga click en Create Chart para desplegar un gráfico en tiempo real de este indicador
Nota
Es te gráfico de desempeño muestra el uso de la CPU. Puede crear gráficos de otras funciones
del mismo mod o.
Viendo los gráficos de desempeño
Los gráficos se muestran en una ventana de gráficos en tiempo real. Puede ver un gráfico en cada ventana o
varios en una sola ventana. Los gráficos se escalan automáticamente para acomodarse a los datos.
Haga click en Stop Monitoring (detener monitoreo) para detener la toma de datos de este indicador por
parte de la Consola de Desempeño. Puede detener el monitoreo para grabar recursos y volver a iniciarlo en
cualquier momento.
Haga click en Close para cerrar la ventana de gráficos.
Guía del Usuario 43

Usando la Consola de Desempeño
Trabajando con más de un gráfico de consola de desempeño
La ventana principal de la Performance Console muestra una tabla con todos los indicadores de desempeño
configurados y activos. Desde esta ventana, puede agregar un nuevo gráfico o cambiar los intervalos
de consulta de los indicadores configurados.
Agregando un nuevo gráfico
Para agregar un nuevo gráfico, haga click en el botón + en la barra de herramientas de la Consola de
Desempeño o seleccione File > Add Chart.
Cambiando el intervalo de consulta
Para cambiar el intervalo de consultas esporadicas o “polls” en una consola de desempeño, seleccione el
nombre del gráfico de la lista. Use la lista desplegable “polling interval” en la barra de herramientas de
Performance Console para cambiar la frecuencia de las consultas.
Eliminando un gráfico
Para eliminar un gráfico, seleccione el nombre del gráfico de la lista y use el botón X en la barra de herramientas
de la Performance Console, o seleccione File > Delete Chart.
44 WatchGuard System Manager

Viendo el uso del Ancho de Banda
Viendo el uso del Ancho de Banda
Seleccione la pestaña Bandwidth Meter (medidor de ancho de banda) para ver el ancho de banda en tiempo
real para todas las interfaces Firebox®. El eje Y (vertical) muestra el número de conexiones. El eje X (horizontal)
muestra el tiempo. Si hace click en cualquier lugar del gráfico, puede obtener información más detallada
en una ventana desplegable acerca del uso del ancho de banda en ese momento.
Para cambiar la forma en que aparece el ancho de banda:
1 Desde el Fi re box Sys tem Ma n a g e r, seleccione File > Se t t i n g s.haga click en la pestaña Ba n dwidth Me te r.
2 Haga uno o más de los pasos de las secciones de abajo.
Cambiando la escala de despliegue del ancho de banda
Puede cambiar la escala de la pestaña de Bandwidth Meter. Use la lista desplegable Graph Scale para
seleccionar el valor que mejor se adapte a la velocidad de su red. Puede también establecer una escala personalizada.
Escriba el valor en kilobytes por segundo en el cuadro de texto Custom Scale.
Guía del Usuario 45

Viendo el Número de Conexiones por Política
Agregando y quitando líneas en el despliegue del ancho de banda
• Para agregar una línea a la pestaña Bandwidth Meter, selecione la interfaz desde la lista Hide en la
sección Color Settings. Use el control Text Color para seleccionar un color para la línea. Haga click en
Add. El nombre de la interfaz aparece en la lista Show con el color que eligió.
• Para quitar una línea de la solapa Bandwidth Meter, seleccione la interfase de la lista Show en la
sección Color Settings. Haga click en Remove. El nombre de la interfaz aparece en la lista Hide.
Cambiando colores en el despliegue del ancho de banda
Puede cambiar también los colores de despliegue de la pestaña Bandwidth Meter. Use las casillas de
control de color Background y Grid Line para seleccionar un nuevo color.
Cambiando la forma en que aparecen las interfaces en el despliegue del ancho de banda
Una opción es cambiar la forma en que aparecen los nombres de las interfaces en el lado izquierdo de la
pestaña Bandwidth Meter. Los nombres pueden aparecer como una lista. La solapa puede mostrar también
el nombre de una interfaz junto a la línea que la identifica. Use el texto Show the interface como
una lista desplegable para seleccionar List o Tags.
Viendo el Número de Conexiones por Política
Seleccione la pestaña Service Watch (visualizador de servicio) del Firebox® System Manager para ver un
gráfico de las políticas que están configuradas en Policy Manager para un Firebox. El eje Y (vertical) muestra
el número de conexiones. El eje X (horizontal) muestra el tiempo. Si hace click en cualquier lugar del
gráfico, puede obtener información más detallada en una ventana desplegable acerca de la política usada
en este punto en el tiempo.
1 Para cambiar la forma en que estas políticas aparecen, seleccione File > Settings. y haga click en la
pestaña Service Watch.
46 WatchGuard System Manager

Viendo el Número de Conexiones por Política
2 Haga uno o más de los pasos en las secciones siguientes.
Cambiando la escala de la pantalla de políticas
Puede cambiar la escala de la pestaña Service Watch. Use la lista desplegable Graph Scale para seleccionar
el valor que mejor se adapte al volumen de tráfico de su red. Puede también establecer una escala personalizada.
Escriba el número de conexiones en el cuadro de texto Custom Scale.
Agregando y quitando líneas en el despliegue de las políticas
• Para agregar una línea en la pestaña Service Watch, seleccione la política desde la lista Hide en la
sección Color Settings . Use el control Text Color para seleccionar un color para la línea.
Haga click en Add. El nombre de la interfaz aparece en la lista Show con el color seleccionado.
• Para eliminar una línea de la pestaña Service Watch, seleccione la política de la lista Show en la
sección Color Settings. Haga click en Remove. El nombre de la interfaz aparece en la lista Hide.
Cambiando colores en el despliegue de las políticas
Puede cambiar los colores de despliegue de la solapa Service Watch. Use las casillas de control de color
Background y Grid Line para seleccionar un nuevo color.
Cambiando la forma en que aparecen los nombres de las políticas en el despliegue de las políticas
Puede cambiar la forma en que aparecen los nombres de las políticas en la parte izquierda de la pestaña
Service Watch. Los nombres pueden mostrarse como una lista. La pestaña puede mostrar también el nombre
de una interfaz junto a la línea que la identifica. Use la lista desplegable Show the policy labels as para
seleccionar List o Tags.
Mostrando conexiones por política o regla
La pestaña Service Watch puede mostrar el número de conexiones por política o regla. Si lo muestra por
política, podrá ver más de una regla en una línea. Use la lista desplegable Show connections by para seleccionar
las características a desplegar.
Guía del Usuario 47

Viendo Información Acerca del Estado del Firebox
Viendo Información Acerca del Estado del Firebox
Hay cuatro pestañas que dicen acerca del estado de Firebox® y su configuración: Status Report (informe
de estado), Authentication List (lista de autenticación), Blocked Sites (sitios bloqueados), y Security
Services (servicios de seguridad).
Informe de estado
La pestaña Status Report le da estadísticas acerca del tráfico y el desempeño del Firebox .
El Firebox Status Report contiene esta información:
Uptime and version information
El uptime de Firebox, la versión de software de WatchGuard® Firebox System , el modelo de Firebox,
y la versión de software de appliance. Hay también una lista del estado y la versión de los componentes
del producto en el Firebox.
Log Servers
La dirección IP de todos los Log Servers configurados.
Logging options
Opciones de mensajes de log que están configuradas con el Quick Setup Wizard o el Policy
Manager.
Memory and load average
Estadísticas sobre el uso de la memoria (mostrada en bytes de memoria) y almacenamiento promedio
del Firebox.
El almacenamiento promedio tiene tres valores que típicamente muestran un promedio del último
minuto, de los últimos 5 y 15 minutos. Valores mayores que 1.00 (100%) indican que alguna amenaza
está en cola hasta que los recursos estén disponibles. (Un sistema cuyo almacenamiento excede
1.00 no significa que el sistema esté sobrealimentado.)
48 WatchGuard System Manager

Viendo Información Acerca del Estado de Firebox
Processes
La ID del proceso, el nombre del proceso y el estado del proceso.
Network configuration
Información acerca de las tarjetas de red en el Firebox: el nombre de la interfaz, sus direcciones de
hardware y software y su máscara de red. El despliegue también incluye información de ruteo local y
alias de IP.
Blocked Sites list
Los sitios actualmente bloqueados en forma manual y cualquier excepción actual. Las entradas de los
sitios temporalmente bloqueados aparecen permanentemente en la pestaña Blocked Sites.
Interfaces
Cada interfaz Firebox aparece en esta sección junto con información acerca de qué tipo de interfaz
está configurada (externa, trusted, u opcional), su estado y el recuento de paquetes.
Routes
La tabla de ruteo de núcleo del Firebox . Use estas rutas para encontrar cuál de las interfaces Firebox
se usa para cada dirección de destino.
Las rutas dinámicas que han sido aceptadas por el demonio de ruteo dinámico también aparece aquí.
ARP table
La tabla ARP en el Firebox. La tabla ARP es utilzada para comparar direcciones IP con direcciones de
hardware cuando un appliance está en el modo drop-in, usa los contenidos de la tabla ARP sólo para
conectividad alternativa sobre redes secundarias en las interfaces.
Dynamic Routing
Esto muestra los componentes de ruteo dinámico que están en uso en el Firebox, si los hay.
Refresh interval
Esta es la tasa con la cual se despliegan las actualizaciones de la información.
Support
Haga clic en Support para abrir el cuadro de diálogo Support Logs. Aquí es donde se establece el
lugar donde guardar el archivo de log de diagnóstico. Se graba el log de soporte en formato tarzippeado
(*.tgz). Cree este archivo para solucionar problemas cuando se lo solicite su representante de
soporte.
Lista de autenticación
La solapa Authentication List del Firebox System Manager da información acerca de todas las personas
que están autenticadas para el Firebox. Hay cuatro columnas para mostrarle información acerca de cada
usuario autenticado:
User
El nombre que el usuario da cuando se autentica.
Type
El tipo de usuario que se autentica: Firewall, MUVPN o PPTP.
IP Address
La dirección IP interna que está siendo utilizada por el usuario. Para usuarios MUVPN y PPTP, la dirección
IP que se muestra aquí es la dirección IP asignada a ellos por el Firebox.
Guía del Usuario 49

Viendo Información Acerca del Estado del Firebox
From Address
La dirección IP de la computadora desde la que el usuario se autentica. Para usuarios MUVPN y PPTP,
la dirección IP que se muestra aquí es la dirección IP de la computadora que usan para conectarse al
Firebox. Para usuarios de Firewall, las direcciones IP y From son las mismas.
Puede hacer click en los encabezados de las columnas para ordenar a los usuarios. Puede también quitar
un usuario autenticado de la lista. Para hacer esto, haca click derecho sobre el nombre del usuario y entonces
detenga su sesión autenticada.
Sitios bloqueados
La pestaña Blocked Sites List del Firebox System Manager muestra las direcciones IP de todas las direcciones
IP externas que están bloqueadas temporalmente. Muchos eventos pueden causar que Firebox
agregue una dirección IP a la pestaña Blocked Sites: un sondeo de espacio en el puerto (port space
probe), un ataque spoofing, un sondeo de espacios de direcciones, o un evento configurado por Usted.
Junto a cada dirección IP está la hora en la que salió de la pestaña Blocked Sites. Puede usar el cuadro de
diálogo Blocked Sites en el Policy Manager para ajustar la cantidad de tiempo que una dirección IP permanece
en la lista.
Agregando y quitando sitios
Add le permite agregar temporariamente un sitio a la lista de sitios bloqueados. Haga clic en
Change Expiration para modificar el momento en el cual este sitio será quitado de la lista.
Delete quita el sitio de la lista de sitios bloqueados.
50 WatchGuard System Manager

Viendo Información Acerca del Estado del Firebox
Puede quitar un sitio de la lista sólo si abre el Firebox con la passphrase de configuración.
Servicios de seguridad
La pestaña de Security Services incluye información acerca de los servicios Gateway AntiVirus e Intrusion
Prevention (prevención de intrusiones).
Guía del Usuario 51

Viendo Información Acerca del Estado de Firebox
Gateway AntiVirus
Esta área del cuadro de diálogo da información acerca de la función Gateway AntiVirus.
Actividad desde el último inicio (activity since last restart)
- Files scanned: Número de archivos analizados en busca de virus desde el último inicio del
Firebox.
- Viruses found: Número de virus encontrados en los archivos analizados desde el último inicio
del Firebox.
- Viruses cleaned: Número de archivos infectados borrados desde el último inicio del Firebox.
Firmas (Signatures)
- Installed version: número de versión de las firmas instaladas.
- Last update: fecha de la última actualización de firmas.
- Version available: si está disponible una nueva versión de las firmas.
- Server URL: URL a la que el Firebox va a ver si existen actualizaciones disponibles y URL desde
donde se descarga la actualización.
- History: haga click para mostrar una lista de todas las actualizaciones de firmas.
- Update: haga click en este botón para actualizar sus firmas de virus. Este botón se activa sólo si
está dsponible una nueva versión de las firmas de virus.
Motor (Engine)
- Installed version: número de versión del motor instalado.
- Last update: fecha de la última actualización del motor.
- Version available: Si está disponible una nueva versión del motor.
- Server URL: URL a la que el Firebox va a ver si existen actualizaciones disponibles y la URL desde
donde se descarga la actualización.
- History: haga click para mostrar una lista de todas las actualizaciones del motor.
- Update: haga click para actualizar su motor antivirus. Este botón se activa sólo si está disponible
una nueva versión del motor.
Intrusion Prevention Service
Esta área del cuadro de diálogo da información acerca de la función Signature-Based Intrusion Prevention
Service (sistema de prevensión de intrusiones basado en firmas).
Actividad desde el último arranque (activity since last restart)
- Scans performed: número de archivos analizados en busca de virus desde el último inicio del
Firebox.
- Intrusions detected: número de virus encontrados en los archivos analizados desde el último
inicio del Firebox.
- Intrusions prevented: número de archivos infectados borrados desde el último inicio de
Firebox.
Firmas (Signatures)
- Installed version: número de versión de las firmas instaladas.
- Last update: fecha de la última actualización de firmas.
- Version available: si está disponible una nueva versión de las firmas.
- Server URL: URL a la que el Firebox va a ver si existen actualizaciones disponibles y la URL desde
donde se descarga la actualización.
- History: haga click para mostrar una lista de todas las actualizaciones de firmas.
- Update: haga click en este botón para actualizar sus firmas de prevención de intrusiones. Este
botón se activa sólo si está disponible una nueva versión de las firmas de prevensión de
intrusiones.
52 WatchGuard System Manager

Usando HostWatch
- Show: haga click en este botón para descargar y mostrar una lista de todas las firmas actuales del
IPS (sistema de prevención de intrusiones). Después de descargar las firmas, puede buscar firmas
por signature ID.
spamBlocker
Actividad desde el último inicio (activity since last restart)
- Número de mensajes identificados como no spam, spam, bulk, o e-mail sospechoso.
- Número de mensajes bloqueados y marcados.
- Número de mensajes bloqueados o permitidos debido a la lista de excepciones del spamBlocker
que usted creó (las excepciones que usted. crea para denegar sitios adicionales algunas veces son
conocidas como una “lista negra” o -blacklist-; las excepciones que Ud. crea para permitir sitios
adicionales son a veces conocidas como lista blanca -whitelist).
Usando HostWatch
HostWatch es una interfaz gráfica de usuario que muestra las conexiones de red entre la red confiable y
externa. HostWatch también da información acerca de usuarios, conexiones y traducción de direcciones de
red (NAT).
La línea que conecta el host de origen y el host de destino usa un color que muestra el tipo de conexión.
Puede cambiar estos colores . Los colores por defecto son:
• Red — (rojo) Firebox® deniega la conexión.
• Blue — (azul) la conexión usa una proxy.
• Green — (verde) Firebox usa NAT para la conexión.
• Black — (negro) conexión normal (la conexión fue aceptada y no usa una proxy ni NAT).
Los íconos que muestran el tipo de servicio aparecen junto a las entradas del servidor de HTTP, Telnet, SMTP
y FTP.
La resolución del servidor de nombres de dominio (DNS) no ocurre inmediatamente que usted inicia
HostWatch. Cuando se configura HostWatch para la resolución DNS, reemplaza las direcciones IP con los
nombres de host o de usuario. Si Firebox no puede identificar el nombre de host o de usuario, la dirección
IP permanece en la ventana de HostWatch.
Si usa resolución DNS con HostWatch, la estación de administración puede enviar un gran número de
paquetes de NetBIOS (UDP 137) a través del Firebox. El único método para parar esto es desconectar
NetBIOS sobre TCP/IP en Windows.
Para iniciar HostWatch, haga click en el ícono de HostWatch en el Firebox System Manager. O seleccione
Tools > HostWatch.
La ventana de HostWatch
La parte superior de la ventana de HostWatch tiene dos lados. Puede configurar la interfaz en el lado
izquierdo. El lado derecho muestra todas las otras interfaces. HostWatch muestra las conexiones hacia y
desde la interfaz configurada en el lado izquierdo. Para seleccionar una interfaz, haga click derecho en el
nombre actual de la interfaz. Seleccione la nueva interfaz.
Haga doble click en un item en uno de los lados para obtener el cuadro de diálogo Connections For (conexiones
para) para las conexiones que involucra ese item. El cuadro de diálogo muestra información acerca
de la conexión e incluye las direcciones IP, número de puerto, hora, tipo de conexión y dirección.
Guía del Usuario 53

Usando HostWatch
Mientras la parte superior de la ventana muestra sólo las conexiones hacia o desde la interfaz seleccionada,
la parte de abajo de la ventana de HostWatch muestra todas las conexiones hacia y desde todas las
interfaces. La información se muestra en una tabla con los puertos y la hora en que la conexión fue creada.
Controlando la ventana de HostWatch
Puede cambiar la ventana de HostWatch para mostar sólo los ítems necesarios. Puede usar esta característica
para monitorear hosts, puertos o usuarios específicos.
1 Desde HostWatch, seleccione View > Filter.
54 WatchGuard System Manager

Usando HostWatch
2 Haga click en la pestaña para monitorear: Policy List (lista de políticas), External Hosts (hosts externos),
Other Hosts (otros hosts), Ports (puertos), o Authenticated Users (usuarios autenticados).
3 En la pestaña de cada ítem que no desee ver, borre la casilla de verificación en el cuadro de diálogo.
4 En la pestaña de cada ítem que no desee ver, tipee la dirección IP, número de puerto, o nombre de
usuario a monitorear. Haga clic ken Add. Haga esto para cada ítem que desee que HostWatch monitoree.
5 Haga click en OK.
Cambiando las propiedades de la vista de HostWatch
Puede cambiar la forma en que HostWatch muestra la información. Por ejemplo, HostWatch puede mostrar
nombres de host como una alternativa a las direcciones.
1 Desde HostWatch, seleccione View > Settings.
2 Use la pestaña Display para cambiar la forma en que los hosts aparecen en la ventana HostWatch.
3 Use la pestaña Line Color para cambiar los colores de las líneas entre las conexiones NAT, proxy, blocked
y normal.
4 Haga click en OK para cerrar el cuadro de diálogo Settings.
Agregando un sitio bloqueado desde HostWatch
Para agregar una dirección IP a la lista de sitios bloqueados desde HostWatch, haga click derecho sobre la
conexión y use la ventana desplegable para seleccionar la dirección IP de dicha conexión agregar a lista de
sitios bloqueados. Debe establecer el tiempo durante el cual la dirección IP estará bloqueada y dar la passphrase
de configuración.
Guía del Usuario 55

Usando HostWatch
Pausando la pantalla de HostWatch
Puede usar los íconos Pause y Continue en la barra de herramientas para detener momentáneamente y
luego volver a iniciar la pantalla. O, use File > Pause y File > Continue.
56 WatchGuard System Manager

CA P Í T U LO 5
Administración Básica del Fire b o x
Para operar correctamente, su Firebox® debe tener la información necesaria para aplicar su política de seguridad
al tráfico que fluye a través de su red. El Policy Manager le brinda una interfaz de usuario para configurar
los parámetros básicos del Firebox además de su política de seguridad. Este capítulo le muestra como:
• Agregar, eliminar y ver licencias
• Preparar Firebox para usar un servidor NTP
• Establecer el huso horario de Firebox
• Configurar Firebox para SNMP
• Cambiar passphrases de Firebox
• Dar un nombre a Firebox para identificarlo fácilmente (en lugar de una dirección IP)
• Recuperar un Firebox
Trabajando con Licencias
Usted incrementa la funcionalidad de su Firebox® cuando compra una opción y agrega la clave de licencia
al archivo de configuración. Cuando obtenga una nueva clave, asegúrese utilizar las instrucciones que vienen
con ella para activar la nueva característica en el sitio web de LiveSecurity y agregue una nueva Feature
Key a su Firebox.
Activando una nueva función
Antes de activar una nueva función, usted debe tener una clave de licencia certificada de WatchGuard® que
no esté registrada aún en el sitio web de LiveSecurity. Esta clave de licencia viene en un certificado escrito
en papel o en su recibo de compra en línea (si lo compró en una tienda en línea de WatchGuard ).
1 Abra un navegador de web y conéctese a https://www.watchguard.com/activate.
2 Si no se ha conectado con anterioridad a LiveSecurity, será redireccionado a la página de Log In de
LiveSecurity.
Escriba su nombre de usuario de LiveSecurity y su passphrase.
Guía del Usuario 57

Trabajando con Licencias
3 Debajo de Options (opciones), seleccione Upgrades, Renewals, Services (actualizaciones,
renovaciones, servicios). Haga click en Continue.
Aparece la página Activate Upgrades, Add-Ons, or Renewals (activar actualizaciones, adiciones o renovaciones).
4 Escriba la clave de licencia del producto tal cual aparece en su certificado impreso, incluyendo los
guiones.
5 Haga click en Continue.
Aparece la página Choose Product to Upgrade (escoger el producto a actualizar).
6 De la lista desplegable, seleccione el Firebox al que desea aplicar la actualización o renovación. Si
agregó un nombre de Firebox cuando registró su Firebox, ese nombre aparecerá en esta lista. Después
de seleccionar el Firebox, haga click en Activate.
7 Aparecerá la página Retrieve Feature Key (recuperar la clave "Feature Key"). Desde el menú de Inicio de
Windows, abra el Block de Notas o cualquier aplicación en la cual pueda guardar texto. Copie la clave
"Feature Key" completa dede esta página hacia el archivo de texto y grábelo en su computadora. Haga
click en Finish.
58 WatchGuard System Manager

Trabajando con Licencias
Agregando licencias
1 Desde el Policy Manager, seleccione Setup > Licensed Features.
Aparecerá el cuadro de diálogo Firebox License Keys. Este cuadro de diálogo muestra las licencias que están disponibles.
2 Haga click en Add.
Aparecerá el cuadro de diálogo Add Firebox License Key. Recomendamos que elimine la Feature Key anterior antes de
agregar la nueva.
3 Haga click en Import y encuentre el archivo de la Feature Key o pegue el contenido de su archivo de
Feature Key en el cuadro de diálogo.
4 Haga click en OK dos veces.
A esta altura, las funciones ya estarán disponibles en la estación de administración. En algunos casos, aparecerán nuevos
cuadros de diálogo y comandos del menú para configurar una función en el Policy Manager.
5 Guarde la configuración en el Firebox.
La función no operará en el Firebox hasta que no grabe el archivo de configuración en el Firebox.
Eliminando una licencia
1 Desde el Policy Manager, seleccione Setup > Licensed Features.
Aparece el cuadro de diálogo Firebox License Keys.
Guía del Usuario 59

Trabajando con Licencias
2 Expanda Licenses, seleccione la license ID que quiere eliminar y haga click en Remove.
3 Haga click en OK.
4 Grabe la configuración en el Firebox.
Viendo las funciones activas
Para ver una lista de todas las funciones con licencias, seleccione la clave de licencia y haga click en Active
Features. El cuadro de diálogo Active Features muestra cada función junto con su capacidad y fecha de
expiración.
60 WatchGuard System Manager

Estableciendo Servidores NTP
Viendo las propiedades de una licencia
Para ver las propiedades de una licencia, seleccione la clave de licencia y haga click en Properties. El cuadro
de diálogo License Properties muestra el número de serie del Firebox al cual se aplica esta licencia, junto
con su ID y nombre, el modelo de Firebox y el número de versión y las características de Firebox disponibles.
Descargando una clave de licencia
Si su archivo de licencia no está actualizado, puede descargar una copia de cualquier archivo de licencia del
Firebox a su estación de administración. Para descargar las claves de licencias de un Firebox, seleccione la
clave de licencia y haga click en Download. Aparecerá un cuadro de diálogo para que teclee la passphrase
de estado del Firebox.
Estableciendo Servidores NTP
El Network Time Protocol (NTP) -protocolo de tiempo de red- sincroniza los relojes de las computadoras de
una red. El Firebox® puede sincronizar su reloj con un servidor NTP en Internet.
1 Desde el Policy Manager, seleccione Setup > NTP.
Aparecerá el cuadro de diálogo NTP Setting.
2 Seleccione la casilla de verificación Enable NTP.
3 En el cuadro bajo la lista NTP Server Names/IPs, escriba la dirección IP de los servidores NTP que desea
usar. Haga click en Add.
Firebox puede usar hasta tres servidores NTP.
Guía del Usuario 61

Estableciendo un Nombre Amigable y el Huso Horario
4 Haga click en OK.
Estableciendo un Nombre Amigable y el Huso Horario
Puede dar al Firebox® un nombre especial para usar en sus archivos de log y reportes. Si no realiza este
procedimiento, los archivos de log y los reportes usan la dirección IP de la interfaz externa del Firebox.
Muchos clientes usan un Fully Qualified Domain Name (nombre de dominio completamente calificado) si
registran ese nombre en el sistema DNS. Usted debe dar al Firebox un nombre especial si usa el
Management Server para configurar túneles VPN y certificados con el Firebox.
El huso horario del Firebox time zone controla la fecha y la hora que aparece en el archivo de log y en
herramientas tales como LogViewer, Historical Reports, y WebBlocker. Utilice el huso horario correspondiente
a la localización física de su Firebox. Establecer este huso horario permite que la hora aparezca
correctamente en los mensajes de log. La hora de sistema del Firebox se establece por defecto en la hora
según el meridiano de Greenwich.
1 Desde el Policy Manager, haga click en Setup > System.
Aparecerá el cuadro de diálogo Device Configuration.
2 En el cuadro de texto Name, escriba el nombre especial que desea darle al Firebox. Haga click en OK.
Una notificación emergente le dirá si usa caracteres que no son permitidos.
3 En los campos Location (localización) y Contact (contacto), escriba cualquier información que pueda
ser de ayuda para identificar y mantener el Firebox.
4 Desde la lista desplegable Time zone, seleccione el huso horario que desee. Haga click en OK.
Trabajando con SNMP
El protocolo Simple Network Management Protocol (SNMP) es un conjunto de herramientas para monitorear
y administrar redes. SNMP usa bases de administración de información (MIBs) que dan información de
configuración para los dispositivos que el sevidor SNMP administra o monitorea. Con el software de
appliance Fireware®, el Firebox® soporta SNMPv1 y SNMPv2c.
Puede configurar el Firebox para aceptar "polls" o consultas periódicas SNMP desde un servidor SNMP.
Puede también configurar Firebox para enviar "traps" o trampas a un servidor SNMP.
62 WatchGuard System Manager

Trabajando con SNMP
Permitiendo "polls" SNMP
1 Desde el Policy Manager, seleccione Setup > SNMP.
2 Teclee el Community String (cadena de caracteres de la comunidad) que Firebox debe usar cuando se
conecte el servidor SNMP. Haga click en OK.
El "community string" permite el acceso a las estadísticas de un dispositivo. Opera como un SSID inalámbrico o ID de
grupo. Este community string debe ser incluido en todo requerimiento SNMP. Si el community string es correcto, el dispositivo
da la información requerida. Si el community string no es correcto, el dispositivo descarta el requerimiento y no responde.
3 Haga click en OK. Grabe la configuración en el Firebox.
El Firebox puede ahora recibir SNMP polls.
Permitiendo "traps" SNMP
Una trampa o "trap" SNMP es la notificación de un eve nto que el Fi re box envía al SNMP Ma n a g e m e nt Sys te m .
La trap ident i f i ca cuándo una condición oc u rre, tal como un valor que está por encima del pre d e f i n i d o.
Para permitir al Firebox enviar SNMP traps:
1 Desde el Policy Manager, seleccione Setup > SNMP.
2 En el cuadro de diálogo SNMP Settings, seleccione la casilla de verificación Enable SNMP Trap.
3 En el cuadro bajo la lista SNMP Management Stations, escriba la dirección IP del servidor SNMP. Haga
click en Add.
4 Escriba el Community String que el Firebox debe usar cuando se conecte al servidor SNMP. Haga click
en OK.
El co m m u n i ty string es como un user ID o passwo rd que pe rm i te el acceso a las estadísticas de un dispo s i t i vo. Es te
co m m u n i ty string debe ser incluido en todos los re q u e ri m i e ntos SNMP. Si el co m m u n i ty string es co rre cto, el dispo s i t i vo da
la info rmación re q u e ri d a . Si el co m m u n i ty string no es co rre cto, el dispo s i t i vo desca rta el re q u e ri m i e nto y no re s po n d e.
5 Agregue una política SNMP al Firebox. Para hacer esto, desde el Policy Manager, seleccione Edit > Add
Policy (o haga click en el ícono “+”), expanda Packet Filters, seleccione SNMP y haga click en Add.
Aparecerá el cuadro de diálogo New Policy Properties.
6 Debajo del recuadro From, haga click en Add. Desde el cuadro de diálogo Add Address que aparece,
haga click en Add Other.
Aparecerá el cuadro de diálogo Add Member.
7 Desde la lista desplegable Choose Type seleccione Host IP. En el campo Value, teclee la direción IP de
su computadora servidor de SNMP.
8 Haga click en OK dos veces para regresar a la pestaña Policy de la nueva política.
9 Debajo del recuadro To, haga click en Add.
Guía del Usuario 63

Cambiando las Passphrases de Firebox
10 Desde el cuadro de diálogo Add Address que aparece bajo Available Members, seleccione Firebox.
Haga click en Add.
11 Haga click en OK, OK y Close. Grabe la configuración en el Firebox.
Puede hacer que Firebox envíe una trap a cualquier política en el Policy Manager. Edite la política a la que
le enviará una trap. Para hacer esto, haga doble click en el ícono de la política, que se muestra en el Policy
Manager, para editar la configuración. Desde el cuadro de diálogo Edit Policy Properties, seleccione la
pestaña Properties. Haga click en Logging y seleccione la casilla de verificación Send SNMP Trap.
Usando MIBs
WatchGuard® System Manager con el software de appliance Fireware® soporta dos tipos de "Management
Information Bases" (MIBs):
• Se usan MIBs públicas en el producto Fireware y se copian en su estación de administración
WatchGuard cuando se instala Fireware. Estas MIBs incluyen estándares IETF y MIB2.
• Las MIBs privadas son creadas por WatchGuard para proveer información básica de monitoreo para
componentes específicos del Firebox, incluyendo la utilización de CPU y memoria y métricas de
interfaz e IPSec.
Cuando instala WatchGuard System Manager, los MIBs se instalan en
Mis Documentos\My WatchGuard\Shared WatchGuard\SNMP.
Firebox soporta estos objectos MIBs de sólo lectura:
- RFC1155-SMI
- SNMPv2-SMI
- RFC1213-MIB
- RAPID-MIB
- RAPID-SYSTEM-CONFIG-MIB
Cambiando las Passphrases de Firebox
Un Firebox® usa dos passphrases:
• Status passphrase (de estado)
Esta password o passphrase de sólo lectura permite el acceso al Firebox
• Configuration passphrase (de configuración)
La password o passphrase de lectura y escritura permite a un administrador el acceso completo al
Firebox.
Para crear una passphrase segura, recomendamos que:
• Use una selección de caracteres en mayúsculas y minúsculas, números y caracteres especiales (por
ejemplo, Im4e@tiN9).
• No use una palabra de los diccionarios estándar, aunque la use en en una secuencia diferente o en
un idioma distinto. Haga un nuevo acrónimo que sólo usted conozca.
• No use un nombre. Es fácil para un atacante encontrar un nombre de negocios, familiar o el de una
persona famosa.
Una medida adicional de seguridad es cambiar las passphrases de Firebox a intervalos regulares. Para
hacer esto, debe tener la passphrase de configuración.
1 Desde el Policy Manager, abra el archivo de configuración en el Firebox.
64 WatchGuard System Manager

Recuperando un Firebox
2 Haga click en File > Change Passphrases.
Aparecerá el cuadro de diálogo Open Firebox.
3 Desde la lista desplegable Firebox, seleccione un Firebox o escriba la dirección IP o el nombre del
Firebox. Escriba la passphrase de configuration (de lectura y escritura) de Firebox. Haga click en OK.
Aparecerá el cuadro de diálogo Change Passphrases.
4 Escriba y confirme las nuevas passphrases de estado (de sólo lectura) y de configuración (de lectura y
escritura). La passphrase de estado debe ser diferente de la passphrase de configuración.
5 Haga click en OK.
La nueva imagen flash y las nuevas passphrases se graban en el Firebox. El Firebox se reinicia automáticamente.
Recuperando un Firebox
Si desea resetear un Firebox® a sus parámetros de fábrica o resetear un Firebox con una configuración completamente
nueva, puede usar el procedimiento de recuperación de Firebox. El procedimiento usado para
recuperar un dispositivo Firebox X Core o Peak e-Series es diferente del de recuperación de un modelo anterior
de Firebox X Core o Peak. Asegúrese de usar el procedimiento correcto para su Firebox.
Reseteando un dispositivo Firebox X e-Series
Para poner una nueva configuración en un dispositivo Firebox X Core o Peak e-Series, use el Asistente Web
Quick Setup. Vea el capítulo“Comenzando” para más información sobre este Asistente.
Reseteando un Firebox X Core o Peak (que no sea e-Series)
Cuando resetee un modelo anterior de Firebox X Core o Peak, reemplace la imagen existente en el Firebox
por una nueva imagen. Puede usar el Quick Setup Wizard para resetear un Firebox por una configuración
completamente nueva. Este es el modo más simple para resetear un Firebox y el procedimiento usado más
comúnmente.
Hay momentos, sin embargo, en que no se puede usar el Quick Setup Wizard para resetear un Firebox.
Cuando use el Asistente Quick Setup, ha de ser posible establecer una conexión de red al Firebox desde su
estación de administración y “descubrir” al Firebox en la red. Si esto no es posible, debe usar el procedimiento
de reseteo manual descripto en esta guía.
Debe tener una clave Feature Key vigente de Firebox antes de comenzar este procedimiento.
Guía del Usuario 65

Recuperando un Firebox
Para resetear manualmente el Firebox:
1 Apague el Firebox. En el frente del Firebox, encuentre y presione la flecha que mira hacia arriba.
2 Mantega apretado el botón de la flecha hacia arriba mientras enciende el Firebox, y continúe apretado
el botón hasta que la pantalla LCD muestre que el Firebox está corriendo en modo System B o Safe.
Cuando el Firebox está corriendo en modo System B, lo está haciendo en el modo estándar de fábrica. En este caso, la
interfaz confiable del Firebox se establece en 10.0.1.1.
3 Conecte un cable de red Ethernet cruzado entre su estación de administración WatchGuard y la interfaz
confiable del Firebox.
La interfaz confiable se etiqueta interface 1 en el Firebox.
4 Cambie la dirección IP en su estación de administración a 10.0.1.2 (u otra dirección IP desde la cual se
pueda conectar a la interfaz confiable del Firebox en 10.0.1.1).
Es buena idea hacer ping hacia la interfaz confiable desde su estación de administración para asegurarse de que tiene
una conexión de red en operación.
5 Abra el Policy Manager. Puede abrirla en un archivo de configuración existente o crear uno nuevo
usando las opciones disponibles en el menú desplegable File.
6 Seleccione Setup > Licenses Features. Haga click en Add y pegue una copia de su clave Feature Key
en el cuadro de texto, si fuere necesario.
7 Cuando esté listo, seleccione File > Save > To Firebox. Grabe su configuración en el Firebox de la
dirección IP 10.0.1.1, con la passphrase administrativa “admin”.
8 Después de reestableblecer Firebox con esta nueva configuración, es buena idea cambiar las passphrases
del Firebox. Seleccione File > Change Passphrases para establecer las nuevas passphrases.
9 Ahora puede poner el Firebox de nuevo en su red y conectarse con él usando la dirección IP y las
passphrases que usted estableció en su nueva configuración.
Si no cambia la dirección IP o las passphrases, puede conectarse a la dirección IP confiable 10.0.1.1 con la passphrase
“admin”.
Reestableciendo un Firebox usando fbxinstall
Si el Asistente Quick Setup y el reseteo manual no corrigen el problema, puede resetear el Firebox a sus
parámetros de fábrica con el utilitario de línea de comandos fbxinstall. Este procedimiento pone un nuevo
filesystem (sistema de archivos) y sistema operativo en el disco flash del Firebox y es necesario si su disco
flash se corrompe. Antes de comenzar, asegúrese de tener Fireware® instalado en su estación de administración.
66 WatchGuard System Manager

Recuperando un Firebox
Para usar fbxinstall:
1 Conecte un cable serial entre el Firebox y su estación de administración.
Si tiene más de un puerto COM, anote qué puerto usa.
2 Abra un command prompt (línea de comandos).
3 Escriba fbxinstall .
La dirección IP virtual que escriba aquí debe ser cualquier dirección IP sin utilizar, de la misma red de la computadora que
usted ha conectado al Firebox con el cable serial. Por ejemplo, si su dirección IP es 172.168.1.35, escriba:
fbxinstall 172.168.1.35. Esta dirección IP se usa para conextarse al Firebox y completar el proceso de reseteo pero, en realidad,
no estará asignada al Firebox.
4 Cuando se completa el proceso fbxinstall, inicie el Asistente Quick Setup para establecer una nueva configuración
en su Firebox.
Guía del Usuario 67

Recuperando un Firebox
68 WatchGuard System Manager

CA P Í T U LO 6
Estableciendo la Configuración Básica
Después de que su Firebox® esté instalado en su red y opere con el archivo de configuración básica, puede
comenzar a agregar parámetros de configuración personalizados para adecuarlos a los requerimientos de
su organización. Este capítulo muestra cómo hacer algunas tareas de configuración básica y mantenimiento.
Algunas de estas tareas las completará tantas veces como trabaje con su Firebox. Otras las deberá hacer sólo
una vez.
Estas tareas de configuración básica incluyen:
• Abrir un archivo de configuración en una computadora local o desde el Firebox
• Grabar un archivo de configuración en una computadora local o en el Firebox
• Crear y restaurar una imagen de respaldo del Firebox
• Usar alias
• Configurar los parámetros globales del Firebox
• Establecer cronogramas básicos para usar posteriormente en sus políticas
• Administar su Firebox desde una localización remota
Abriendo un Archivo de Configuración
El Policy Manager de Fireware® o Fireware Pro es una herramienta de software que le permite hacer, cambiar
y guardar archivos de configuración. Un archivo de configuración, con la extensión .xml, incluye todos
los datos de configuración, opciones, direcciones IP y otra información que configura la política de seguridad
de su Firebox®. Cuando use Policy Manager, verá una version fácil de examinar y cambiar de su archivo
de configuración.
Cuando trabaje con Policy Manager, usted puede:
• Abrir el archivo de configuración vigente en su Firebox
• Abrir un archivo de configuración guardado en su disco duro local
• Hacer un nuevo archivo de configuración
Abriendo un archivo de configuración operativo
Una tarea común para un administrador de red es hacer un cambio en su actual política de seguridad. Por
ejemplo, su negocio compra una nueva aplicación de software y usted debe abrir un puerto y un protocolo
hacia un servidor en la sede del vendor. Para esta tarea, debe cambiar su archivo de configuración con Policy
Manager.
Guía del Usuario 69

Abriendo un Archivo de Configuración
Usando WatchGuard System Manager
1 Desde el escritorio de Windows, haga click en Inicio > Todos los programas > WatchGuard System
Manager 8.3 > WatchGuard System Manager.
WatchGuard® System Manager 8.3 es el nombre preestablecido de la carpeta de los íconos del menú de Inicio. Puede
cambiar el nombre de esta carpeta durante la instalación.
2 Desde el WatchGuard System Manager, seleccione File > Connect To Device.
O
haga click en el ícono Connect to Device de la barra de herramientas de WatchGuard System Manager.
Aparecerárá el cuadro de diálogo Connect to Firebox.
3 Use la lista desplegable para seleccionar su Firebox o escriba su dirección IP confiable. Escriba la passphrase
de estado. Haga click en OK.
Aparecerá el dispositivo en la pestaña WatchGuard System Manager Device Status.
4 Seleccione el Firebox en la pestaña Device Status. Luego, seleccione Tools > Policy Manager.
O,
haga click en el ícono Policy Manager en la barra de herramientas de WatchGuard System Manager. Se abrirá
el Policy Manager y pondrá el archivo de configuración en uso en el Firebox seleccionado.
Usando Policy Manager
1 Desde Policy Manager, haga click en File > Open > Firebox.
Aparecerá el cuadro de diálogo Open Firebox.
Si aparece un mensaje de error que le dice que no se puede conectar, intente nuevamente.
2 Desde la lista desplegable Firebox Address or Name, seleccione un Firebox.
Puede también teclear la dirección IP o el nombre del host.
3 En el cuadro de texto Passphrase, escriba la passphrase de estado (sólo lectura) del Firebox.
Use aquí la passphrase de estado. Debe usar la passphrase de configuración para guardar la nueva configuración en el
Firebox.
4 Haga click en OK.
El Policy Manager abrirá al archivo de configuración y mostrará los parámetros establecidos.
Si no puede abrir Policy Manager, intente estos pasos:
• Si el cuadro de diálogo Connect to Firebox re g resa inmediat a m e nte después ingresar la passphrase,
asegúrese de que la tecla Bloqueo de Mayúsculas (Caps Lock ó Bloq Mayús) esté desactivada y de
que tecleó la passphrase correctamente. Recuerde que la passphrase es sensible a mayúsculas y
minúsculas.
70 WatchGuard System Manager

Guardando un Archivo de Configuración
• Si el cuadro de diálogo Connect to Firebox agota el tiempo de espera, asegúrese de que tiene una
conexión entre la interfaz confiable y su computadora. Asegúrese que haya tecleado la dirección IP
correcta para la interfaz confiable del Firebox. También asegúrese que la dirección IP de su computadora
esté en la misma red que la interfaz confiable del Firebox.
Abriendo un archivo local de configuración
Algunos administradores de red piensan que es útil guardar más de una versión de un archivo de configuración
del Firebox. Por ejemplo, si tiene una nueva política de seguridad para usar, recomendamos que primero
guarde el viejo archivo de configuración en un disco duro local. Entonces, si no desea la nueva configuración,
puede restaurar la vieja versión. Puede abrir los archivos de configuración que estén en cualquier disco
de la red al cual su estación de administración pueda conectarse.
1 Desde WatchGuard System Manager, seleccione Tools > Policy Manager (o haga click en el ícono del
Policy Manager).
2 Seleccione File > Open > Configuration File.
O
haga click en el ícono Open File de la barra de herramientas de Policy Manager. Aparecerá una caja de diálogo
estándar de Windows de abrir archivo .
3 Use el cuadro de diálogo O pe n p a ra buscar y seleccionar el arc h i vo de co n f i g u ra c i ó n . Haga click en O pe n .
El Policy Manager abrirá el archivo de configuración y mostrará los parámetros establecidos.
Haciendo un nuevo archivo de configuración
El Asistente Quick Setup hace un archivo de configuración básica para su Firebox. Recomendamos que lo
use como base para cada uno de sus archivos de configuración. Sin embargo, puede también usar el Policy
Manager para hacer un nuevo archivo de configuración con sólo las propiedades de configuración preestablecidas.
1 Desde WatchGuard System Manager, seleccione Tools > Policy Manager (o haga click en el ícono Policy
Manager).
2 Desde Policy Manager, seleccione File > New.
Aparecerá el cuadro de diálogo Select Firebox Model and Name.
3 Use la lista desplegable Model para seleccionar su modelo de Firebox. Dado que hay grupos de funciones
que son únicas para cada modelo, seleccione el que corresponda con su dispositivo de hardware.
4 Escriba un nombre para que el Firebox aparezca con el nombre de su archivo de configuración.
5 Haga click en OK.
El Policy Manager hará una nueva configuración con el nombre de archivo .xml, donde es aquél que
usted le dio al Firebox.
Guardando un Archivo de Configuración
Luego de hacer un nuevo archivo de configuración o de cambiar el archivo de configuración actual, puede
guardarlo directamente en el Firebox®. También puede guardarlo en un disco duro local.
Guía del Usuario 71

Acerca de las Imágenes de Respaldo del Firebox
Guardando una configuración en el Firebox
1 Desde el Policy Manager, haga click en File > Save > To Firebox.
Aparecerá el cuadro de diálogo Save to Firebox.
2 Desde la lista desplegable Firebox Address or Name, escriba una dirección IP o un nombre, o seleccione
un Firebox. Si usa un nombre de Firebox, éste debe resolverse a través de DNS.
Cuando escriba una dirección IP, escriba todos los números y puntos. No use las teclas TAB o las flechas de desplazamiento
del cursor.
3 Escriba la passphrase de configuración de Firebox. Debe usar la passphrase de configuración para
guardar un archivo en el Firebox.
4 Haga click en OK.
Guardando una configuración en un disco duro local
1 Desde el Policy Manager, haga click en File > Save > As File.
Puede también usar CTRL-S. Aparecerá el cuadro de diálogo guardar archivo estándar de Windows.
2 Escriba el nombre del archivo.
El procedimiento por defecto es guardar el archivo en el directorio de WatchGuard®. Puede también navegar hacia cualquier
carpeta a la cual pueda conectarse desde su estación de administración. Para mayor seguridad, recomendamos
que guarde los archivos en una carpeta segura sin acceso a otros usuarios.
3 Haga click en Guardar.
El archivo de configuración se guarda en el disco duro local.
Acerca de las Imágenes de Respaldo del Firebox
Una imagen de respaldo del Firebox es una copia encriptada y grabada de la imagen de su disco flash.
Incluye el software de appliance del Firebox, el archivo de configuración, licencias y certificados. Puede
guardar una imagen de respaldo en su estación de administración o en un directorio de su red.
Recomendamos que haga regularmente copia de respaldo de sus archivos de imagen de Firebox. También
recomendamos que cree una imagen de respaldo del Firebox antes de realizar cambios significativos en la
configuracion de su Firebox o de atualizar su Firebox o su software de appliance.
Creando una imagen de respaldo del Firebox
1 Desde Policy Manager, seleccione File > Backup.
72 WatchGuard System Manager

Trabajando con Alias
2 Escriba la passphrase de configuración de su Firebox.
Aparecerá el cuadro de diálogo Backup.
3 Escriba y confirme una clave de encriptación.
Esta clave se usa para encriptar el archivo de respaldo. Si pierde u olvida esta clave de encriptación, no le será posible restaurar
el archivo de respaldo.
4 Seleccione el directorio en el cual guardará el archivo de respaldo. Haga click en OK.
La ubicación por defecto del archivo de respaldo con extensión “.fxi” es C:\Documents and Settings\All Users\Shared
WatchGuard\backups\ - .fxi.
Restaurando una imagen de respaldo del Firebox
1 Desde el Policy Manager, seleccione File > Restore.
2 Escriba la passphrase de configuración para su Firebox. Haga click en OK.
3 Escriba la clave de encriptación que usa cuando crea la imagen de respaldo.
Firebox restaurará la imagen de respaldo y se reiniciará. Usará la imagen de respaldo en el reinicio. Espere dos minutos
antes de conectarse al Firebox nuevamente.
Si no puede restaurar con éxito su imagen del Firebox, puede resetearlo con el procedimiento que se muestra
en “Recuperando un Firebox” en el capítulo 5.
Trabajando con Alias
Un alias es un método abreviado que identifica un grupo de hosts, redes o interfaces. Cuando usa un alias,
es fácil crear una política de seguridad porque Firebox® le permite usar alias cuando usted crea políticas.
Estos son algunos de los alias preestablecidos incluídos en Policy Manager que usted puede usar:
Any-Trusted
Este es un alias para todas las interfaces del Firebox configuradas como “confiables” (como se definieron
en el Policy Manager; seleccione Network > Configuration) y cualquier red puede tener acceso a
través de estas interfaces.
Any-External
Este es un alias para todas las interfaces Firebox configuradas como “externas” (como se definieron en
el Policy Manager; seleccione Network > Configuration) y cualquier red puede tener acceso a través
de estas interfaces.
Any-Optional
Estos son alias para todas las interfaces Firebox configuradas como “opcionales” (como se definieron
en el Policy Manager; seleccione Network > Configuration) y cualquier red puede tener acceso a través
de estas interfaces.
Guía del Usuario 73

Trabajando con Alias
Los nombres de alias son diferentes de los nombres de usuario o grupo usados en autenticación de usuarios.
Con la autenticación de usuarios, puede monitorear una conexión con un nombre y no como una
dirección IP. La persona se autentica con un nombre de usuario y una clave para acceder a los protocolos
de Internet. Para mayor información acerca de la autenticación de usuarios, vea “Cómo trabaja la autenticación
de usuario”, en el capítulo 10.
Creando un alias
1 Desde el Policy Manager, seleccione Setup > Alias.
Aparecerá el cuadro de diálogo Alias.
2 Haga click en Add.
Aparecerá el cuadro de diálogo Add Alias.
3 En el cuadro de texto Alias Name, escriba un nombre único para identificar el alias.
Este nombre aparecerá en las listas cuando usted configure una política de seguridad.
4 Haga click en Add para agregar una dirección IP de host, una dirección IP de red, un rango de host o
un alias a la lista de miembros alias.
El miembro aparecerá en la lista de miembros alias.
5 Haga click en OK dos veces.
74 WatchGuard System Manager

Usando Parámetros Globales
Usando Parámetros Globales
En Policy Manager puede seleccionar parámetros que controlen las acciones de muchas funciones del
Firebox®. Usted puede establecer parámetros básicos para:
• IPSec VPN
• Manipulación de errores ICMP
• Chequeo TCP SYN
• Ajuste de máximo tamaño de TCP
• Tiempo de espera de autenticación (idle time-out)
1 Desde el Policy Manager, seleccione Setup > Global Settings.
Aparecerá el cuadro de diálogo Global Settings.
2 Co n f i g u re las dife re ntes categorías de los parámetros globales como se muestra en las secciones de abajo.
VPN
Los parámetros globales de VPN son:
Ignore DF for IPSec
Ignora la configuración del bit Don’t Fragment (no fragmente) en el encabezado IP. Si lo establece en
ignorar, el Firebox quiebra el marco en partes que puedan ajustarse a un paquete IPSec con encabezado
ESP o AH.
IPSec pass-through
Si un usuario debe hacer conexiones IPSec hacia un Firebox desde atrás de otro Firebox, debe dejar en
blanco la casilla de verificación IPSec Pass-through para habilitar la función IPSec pass-through
(pasar a través de IPSec). Por ejemplo, si empleados móviles están en el local de un cliente con un
Firebox, deben poder hacer conexiones IPSec a su red usando IPSec. Para que el Firebox local permita
correctamente la conexión IPSec, usted debe también agregar una política IPSec al Policy Manager.
Guía del Usuario 75

Usando Parámetros Globales
Enable TOS for IPSec
Los bits Type of Service (TOS) -tipo de servicio- son un conjunto de marcas de cuatro bits en el encabezado
IP, que pueden decir al dispositivo de enrutamiento si le dan más o menos prioridad a un
datagrama IP sobre otro. Fireware® le da la opción de permitir a los túneles IPSec pasar paquetes
TOS marcados (flagged). Algunos ISPs eliminan todos los paquetes que tienen conjuntos de señales
TOS.
Si usted no selecciona la casilla de verificación Enable TOS for IPSec, ninguno de los paquetes IPSec
tendrá conjuntos de bits TOS. Si los bits TOS fueron establecidos con anterioridad, cuando Fireware
encapsule el paquete en un encabezado IPSec, se borrarán los bits TOS.
Cuando está seleccionada la casilla de verificación Enable TOS for IPSec, si el paquete original tiene
un conjunto de bits TOS, Fireware mantiene el conjunto de bits TOS cuando encapsula el paquete en
un encabezado IPSec . Si el paquete original no tiene el conjunto de bits TOS, Fireware no establece
bits TOS cuando encapsula el paquete en un encabezado IPSec.
Manejo de errores ICMP
El Internet Control Message Protocol (ICMP) controla errores durante las conexiones. Se usa para dos tipos
de operaciones:
• Informar a los hosts de clientes acerca de situaciones de error.
• Sondear una red para encontrar características generales de la misma.
El Firebox envía un mensaje de error ICMP cada vez que ocurre un evento que cumple con uno de los
parámetros que usted seleccione. Si deniega estos mensajes ICMP, puede incrementar la seguridad porque
prevendrá sondeos en la red, pero también puede ocasionar demoras por agotamiento del tiempo de
espera para conexiones incompletas y causar problemas a aplicaciones. Los parámetros globales del
manejo de errores ICMP y sus descripciones son:
Fragmentation Req (PMTU)
El datagrama IP debe ser fragmentado, pero esto se evita pues se activó el bit Don’t Fragment en el
encabezado IP.
Time Exceeded
El datagrama fue eliminado porque el campo Time to Live (tiempo de vida) expiró.
Network Unreachable
El datagrama no pudo alcanzar la red.
Host Unreachable
El datagrama no pudo alcanzar el host.
Port Unreachable
El datagrama no pudo alcanzar el puerto.
Protocol Unreachable
La parte de protocolo del datagrama no pudo ser enviada.
Chequeando el TCP SYN
El parámetro global para chequear TCP SYN es:
Enable TCP SYN checking
Esta función asegura que se realice el “handshake”TCP de tres vías antes de que el Firebox permita
una conexión de datos.
76 WatchGuard System Manager

Creando Cronogramas
Ajuste del tamaño máximo de segmento TCP
El segmento TCP puede establecerse en un tamaño específico para una conxión que deba tener más de tres
capas superpuestas TCP/IP (como PPPoE, ESP, AH, etcétera). Si este tamaño no se configura correctamente,
los usuarios no podrán obtener acceso a algunas páginas web. Los parámetros globales de ajuste de tamaño
máximo del segmento TCP son:
Auto Adjustment
El Firebox examina todas las negociaciones de tamaños máximos de segmento (Maximum Segment
Size, o MSS) y cambia el valor MSS a uno aplicable.
No Adjustment
El Firebox no cambia el MSS.
Limit to
Usted establece un límite del tamaño de ajuste.
Parámetros de autenticación
El parámetro global de autenticación es:
Idle Timeout
Establece el tiempo de espera de autenticación en minutos. Una sesión de usuario autenticado finaliza
automáticamente si el usuario no realiza una conexión usando autenticación antes de que el tiempo
de espera sea alcanzado.
Creando Cronogramas
Puede usar “schedules” (cronogramas) para automatizar algunas acciones del Firebox®, tales como las tareas
del WebBlocker. Puede crear un cronograma para todos los días de la semana o crear uno diferente para
cada día de la semana. Puede entonces usar estas planificaciones horarias en las políticas creadas. Para información
acerca de cómo usar cronogramas en políticas, vea el capítulo “Configurando Políticas” .
1 Desde el Policy Manager, seleccione Setup > Actions > Schedules.
Aparecerá el cuadro de diálogo Schedules.
Guía del Usuario 77

Administrando un Firebox Desde una Localización Remota
2 Haga click en Add.
Aparecerá el cuadro de diálogo New Schedule.
3 Escriba un nombre de cronograma y una descripción. El nombre del cronograma aparecerá en el
cuadro de diálogo Schedule. Asegúrese de que el nombre sea fácil de recordar.
4 De la lista desplegable Mode, seleccione el incremento de tiempo para el cronograma: una hora, 30
minutos, o 15 minutos.
El gráfico de la izquierda del cuadro de diálogo New Schedule muestra su entrada en la lista desplegable.
5 El gráfico en el cuadro de diálogo muestra los días de la semana sobre el eje X (horizontal) y los incrementos
de día en le eje Y (vertical). Haga click en los cuadros del gráfico para cambiarlos entre horas
operativas (cuando la política se activa) y horas no operativas (cuando la política no tiene efecto).
6 Haga click en OK para cerrar el cuadro de diálogo New Schedule. Haga click en Close para cerrar el
cuadro de diálogo Schedules.
Para editar un cronograma, seleccione su nombre el cuadro de diálogo Schedule y haga click en Edit.
Para crer un nuevo cronograma a partir de uno existente, seleccione el nombre del mismo y haga click en
Clone.
Administrando un Firebox Desde una Localización Remota
Cuando configure un Firebox® con el Asistente Quick Setup, automáticamente se crea una política que le
permite conectarse y administrar el Firebox desde cualquier computadora en las red confiable o en la
opcional. Si desea administrar el Firebox desde un sitio remoto (cualquier lugar externo al Firebox), debe
cambiar su configuración para permitir conexiones administrativas desde su ubicación remota.
La política que controla conexiones administrativas hacia el Firebox se denomina WatchGuard® en el
Policy Manager. Esta política controla el acceso al Firebox en estos cuatro puertos TCP : 4103, 4105, 4117,
4118. Cuando habilita conexiones en la política WatchGuard, debe admitir conexiones a cada uno de esos
cuatro puertos.
Antes de cambiar una política para admitir conexiones al Firebox desde una computadora externa a su
red, es buena idea considerar:
• Usar la autenticación de usuario para restringir conexiones al Firebox.
78 WatchGuard System Manager

Administrando un Firebox Desde una Localización Remota
• Es una buena idea restringir el acceso desde la red externa al menor número de computadoras que
sea posible. Por ejemplo, es más seguro permitir conexiones desde una única computadora que si se
permiten conexiones desde el alias “Any-External” (cualquiera-externas).
1 Desde Policy Manager, haga doble click sobre la política WatchGuard.
Puede también hacer click derecho sobre la política WatchGuard y seleccionar Edit. Aparecerá el cuadro de diálogo Edit
Policy Properties.
2 Debajo de la lista From, haga click en Add.
3 Para introducir la dirección IP de la computadora externa que se conecta al Firebox, haga click en Add
Other. Asegúrese que Host IP es el tipo seleccionado, y escriba la dirección IP.
Para agregar un nombre de usuario, haga click en Add User. Seleccione el tipo de usuario y el método de
autenticación que él usa. Desde la lista desplegable User/Group, seleccione User y escriba el nombre
del usuario que se conectará al Firebox.
4 Haga click en OK.
Guía del Usuario 79

Administrando un Firebox Desde una Localización Remota
80 WatchGuard System Manager

CA P Í T U LO 7
R e g i s t ro de Eventos y Notificación
Un evento es una actividad que ocurre en el Firebox®. Por ejemplo, denegar paso a través del Firebox a un
paquete es un evento. Hacer “logging” es registrar estos eventos en un log host (host de registro de eventos).
Una notificación es un mensaje enviado al administrador por el Firebox cuando ocurre un evento que
constituya una posible amenaza a la seguridad. La notificación puede ser un e-mail, una ventana desplegable
o un envío por medio de una “trampa” SMTP.
Por ejemplo, WatchGuard® recomienda que configure el manejo de paquetes por defecto para enviar una
notificación cuando Firebox encuentra un “port space probe” (sondeo del espacio de puertos). Cuando esto
ocurre, el log host envía una notificación al administrador de seguridad de la red acerca de los paquetes
rechazados. El administrador de seguridad de la red puede examinar los archivos de log (registro de eventos)
y tomar decisiones acerca de cómo aumentar la seguridad de la red de la organización. Algunos posibles
cambios son:
• Bloquear los puertos usados por el sondeo
• Bloquear la dirección IP que está enviando los paquetes
• Denunciar el hecho al ISP a través del cual los paquetes han sido enviados
El registro de eventos (o logging) y la notificación son importantes para una buena política de seguridad de
la red. Juntos, posibilitan el monitoreo de la seguridad de su red, identificando ataques y atacantes y brindando
seguridad contra amenazas y retos.
Puede instalar el Log Server en la computadora que esté usando como estación de administración. O puede
instalar el software del Log Server en una computadora diferente, utilizando el programa de instalación de
WatchGuard System Manager y seleccionando sólo instalar el componente Log Server. Puede también agregar
Log Servers adicionales como respaldo.
Nota
Si instala Management Server, Log Server o WebBlocker Server en una computadora con un firewall
distinto del de Windows, debe abrir los puertos necesarios para que se conecten los servidores a través
del firewall. Los usuarios del Firewall de Windows no tienen que modificar sus configuraciones. Vea
“Instalando WatchGuard Servers en computadoras de escritorio con firewalls”, en el capítulo 1, para
más información.
Guía del Usuario 81

Configurando el Log Server
Configurando el Log Server
El Log Server recolecta logs desde cada WatchGuard® Firebox® administrado por WSM.
1 En la computadora que tiene el software de Log Server instalado, seleccione el ícono de Log Server de
la barra de herramientas de WatchGuard.
Si no aparece la barra de herramientas de WatchGuard, haga click derecho en el área de notificación y seleccione Barras
de herramientas > WatchGuard.
Aparecerá el cuadro de diálogo WatchGuard Log Server Configuration.
2 Escriba la clave de encriptación para usar en una conexión segura entre Firebox y los Log Servers. Las
claves de encriptación de Log Server tienen ocho caracteres como mínimo.
3 Confirme la clave de encriptación.
4 Seleccione un directorio para mantener todos los archivos de log, de informes y de definición de informes.
Recomendamos usar la ubicación predeterminada.
5 Haga click en OK.
6 Haga click en Inicio > Panel de Control. Vaya a Power Options (Opciones de Energía). Seleccione la
pestaña Hibernar y desactive la hibernación. Esto es para evitar que el Log Server se cierre cuando la
computadora hiberne.
7 Asegúrese de que el Log Server y el Firebox estén sincronizados en la misma hora en el sistema. Para
información sobre cómo establecer la hora del sistema, vea el capítulo 5,“Administración básica del
Firebox”.
Cambiando la clave de encriptación del Log Server
Para cambiar la clave de encriptación en el Log Server:
1 Haga click derecho sobre el ícono Log Server de la barra de herramientas de WatchGuard y seleccione
Status/Configuration.
2 Seleccione File > Set Log Encryption Key.
82 WatchGuard System Manager

Configurando el Firebox para un Log Server Designado
3 Escriba la nueva clave de encriptación de log dos veces.
4 En el Policy Manager, seleccione Logging y escriba la nueva clave de encriptación de log.
5 Haga click en OK.
6 Realice el mismo procedimiento en el Firebox.
Configurando el Firebox para un Log Server Designado
Se recomienda tener como mínimo un Log Server para usar el WatchGuard System Manager. Puede seleccionar
otro Log Server y uno o más Log Servers de respaldo.
1 Desde el Policy Manager, seleccione Setup > Logging.
Aparecerá el cuadro de diálogo Logging Setup.
2 Seleccione el o los Log Servers que desee usar. Haga click en la casilla de verificación Send log
messages to the Log Servers at these IP addresses.
Agregando un Log Server a un Firebox
1 Desde Policy Manager, seleccione Setup > Logging.
Aparecerá el cuadro de diálogo Logging Setup.
Guía del Usuario 83

Configurando el Firebox para un Log Server Designado
2 Haga click en Configure. Haga click en Add.
Aparecerá el cuadro de diálogo Add Event Processor.
3 En la casilla Log Server Address, escriba la dirección IP del Log Server que desee usar.
4 En las casillas Encryption Key y Confirm, escriba la clave de encriptación del Log Server. El rango permitido
para la clave de encriptación es de 8 a 32 caracteres. Puede usar todos los caracteres excepto
espacios y barras (/ ó \).
5 Haga click en OK. Haga click en OK para cerrar el cuadro de diálogo Configure Log Servers. Haga click
en OK para cerrar el cuadro de diálogo Logging Setup.
6 Guarde los cambios en el Firebox para comenzar el registro de eventos.
Puede verificar que el Firebox esté registrando eventos correctamente. Desde WSM, selecccione Tools >
Firebox System Manager. En la sección Detail a la izquierda, próxima a Log Server, debe ver la dirección
IP del log host.
Estableciendo la prioridad del Log Server
Si el Firebox no puede conectarse al Log Server con la prioridad más alta, se conecta al Log Server siguiente
en la lista de prioridades. Si el Firebox examina cada Log Server de la lista y no se puede conectar, vuelve
a intentar conectarse al primer Log Server de la lista. Puede crear una lista de prioridades para Log
Servers.
1 Desde el Policy Manager, seleccione Setup > Logging.
Aparecerá el cuadro de diálogo Logging Setup.
2 Haga click en Configure.
Aparecerá el cuadro de diálogo Configure Log Servers.
3 Seleccione un Log Server de la lista en el cuadro de diálogo Configure Log Servers. Use los botones
Up y Down para cambiar el orden.
Activando el registro de eventos syslog
Syslog es una interfaz de log desarrollada por UNIX pero también utilizada por varios otros sistemas operativos.
Puede configurar el Firebox para enviar información de log a un servidor syslog. Un Firebox puede
enviar mensajes de log a un Log Server y a un servidor syslog, al mismo tiempo, o enviar mensajes de log a
uno o al otro. Los mensajes de log de Syslog no están encriptados. Recomendamos que no seleccione un
host en la interfaz externa.
1 Desde el Policy Manager, seleccione Setup > Logging.
Aparecerá el cuadro de diálogo Logging Setup.
2 Seleccione la casilla de verificación Send Log Messages to the Syslog server at this IP address.
3 En el cuadro de direcciones, escriba la dirección IP del syslog server.
4 Haga click en Configure.
Aparecerá el cuadro de diálogo Configure Syslog.
84 WatchGuard System Manager

Configurando el Firebox para un Log Server Designado
5 Para cada tipo de mensaje de log, seleccione la “syslog facility” a la cual lo quiere asignar. Para información
sobre tipos de mensajes de log, vea “Tipos de mensajes” en este mismo capítulo.
La “syslog facility” se refiere a uno de los campos del paquete syslog y al archivo al que syslog lo está enviando. Puede usar
Local0 para los mensajes de alta prioridad de syslog, tales como las alarmas. Puede usar Local1- Local7 para asignar prioridades
para otros tipos de mensajes de log (los números menores tienen mayor prioridad). Vea la documentación de su
syslog para más información acerca de las “logging facilities”.
6 Haga click en OK. Haga click en OK para cerrar el cuadro de diálogo Logging Setup.
7 Guarde sus cambios en el Firebox.
Permitiendo diagnósticos avanzados
Puede seleccionar el nivel de diagnóstico de logging para escribir en su archivo log o para el Monitor de
Tráfico. No recomendamos establecer el nivel de logging en su punto máximo a menos que se lo indique un
representante del soporte técnico para resolver un problema. Puede causar que el archivo de log se llene
muy rápidamente. También puede ocasionar un alto almacenamiento en el Firebox.
1 Desde el Policy Manager, seleccione Setup > Logging.
Aparecerá el cuadro de diálogo Logging Setup.
Guía del Usuario 85

Estableciendo las Preferencias Globales del Registro de Eventos y Notificaciones
2 Haga click en Advanced Diagnostics.
Aparecerá el cuadro de diálogo Advanced Diagnostics.
3 Seleccione una categoría de la lista de categorías.
La descripción de la categoría aparecerá en el cuadro Description.
4 Use el control deslizante debajo de Settings para establecer el nivel de información que un log de
cada categoría incluirá en su mensaje de log. Cuando se establezca el nivel más bajo, los mensajes de
diagnóstico para esa categoría se eliminarán. Cuando se elige el nivel más alto, puede establecer el
nivel de detalle para los mensajes de log de diagnóstico.
5 Para mostrar mensajes de diagnóstico en el Monitor de Tráfico, seleccione la casilla de verificación
Display diagnostic messages in Traffic Monitor. Esto puede ser útil para diagnosticar rápidamente
un problema.
6 Para hacer que el Firebox recolecte un registro de un rastreo de paquetes IKE, seleccione la casilla de
verificación Enable IKE packet tracing to Firebox internal storage. Para ver la información de rastreo
de paquetes que el Firebox recolecta, inicie Firebox System Manager y haga click en la pestaña Status.
Haga click en Support para hacer que Firebox System Manager tome la información de rastreo de
paquetes del Firebox.
7 Recuerde desactivar los logs de diagnósticos cuando termine.
Estableciendo las Preferencias Globales del Registro de Eventos y
Notificaciones
Para ver el estado y configuración del Log Server, haga click en el ícono del Log Server en la barra de
herramientas de WatchGuard® y seleccione Status/Configuration. Aparecerá la información de estado y
configuración. Hay tres áreas de control:
Log Files tab
La pestaña de archivo de log permite establecer las opciones de balance de su archivo de log.
86 WatchGuard System Manager

Estableciendo las Preferencias Globales del Registro de Eventos y Notificaciones
Reports tab
La pestaña de informes permite programar informes regulares de las entradas de log.
Notification tab
La pestaña de notificación permite configurar la notificación por e-mail.
Juntos, estos controles establecen la configuración general para eventos y notificaciones.
Tamaño del archivo de registro de eventos y frecuencia de rotación
Puede también controlar el reinicio del log (log rollover) por tamaño o por tiempo. Cuando este rollover o
rotación ocurra, el Log Server cerrará el archivo de log vigente y abrirá uno nuevo. El archivo de log cerrado
puede ser utilizado para informes. Copie o mueva este archivo a otra ubicación para guardarlo.
Para encontrar el mejor tamaño al llegar al cual el log debe cerrarse y abrirse otro, en su empresa, debe prestar
atención al:
• Espacio de almacenamiento disponible
• Número de días que desea tener disponibles
• El mejor tamaño para mantener, abrir y ver
• Número de tipos de eventos que se registran
Por ejemplo, una empresa pequeña puede tener 10.000 entradas en dos semanas, mientras que una
grande, con muchas políticas habilitadas, puede fácilmente tener 100.000 entradas por día.
• Tráfico en el Firebox®
• Número de informes a crear
Para crear un informe semanal, es necesario tener datos de ocho o más días. Estos datos pueden
encontrarse en más de un archivo de log, si los archivos de log están en la misma ubicación.
Es bueno monitorear los nuevos archivos de log y ajustar la configuración a lo necesario.
Estableciendo cuándo reiniciar los archivos de registro de eventos
Puede controlar cuándo los archivos de log deben rotar desde la pestaña Log Files de la configuración de la
interfaz de Log Server. También puede iniciar manualmente la rotación del archivo de log actual. Para hacer
esto, seleccione File > Roll current log file en la ventana Status/Configuration.
1 Para establecer cuándo cambiar el archivo de log, haga click en la pestaña Log Files.
2 Para rotar el archivo de log cada cierto intervalo de tiempo, seleccione la casilla de verificación Roll Log
Files By Time Interval. Establezca el intervalo de tiempo. De la lista desplegable Next Log Roll is
Scheduled For, seleccione una fecha en que el archivo de log debe reiniciarse.
3 Para reiniciar el archivo de log en base a su tamaño, seleccione la casilla de verificación Roll Log Files By
File Size. Escriba o seleccione el tamaño máximo que el archivo de log tendrá, antes de reiniciarse, o utilice
el control de rotación (spin) para establecer ese número.
Guía del Usuario 87

Estableciendo las Preferencias Globales del Registro de Eventos y Notificaciones
4 Haga click en Save Changes o en Close.
La interfaz de Log Server se cierra y guarda sus entradas. La nueva configuración se inicia inmediatamente.
El Log Server se reinicia automáticamente.
Estableciendo un cronograma de informes automáticos
Si ha creado informes de actividad de la red usando Historical Reports (informes históricos), puede establecer
un cronograma para que el componente de Log Server automatice dichos informes. Primero debe
crear un informe en Historical Reports, de lo contrario éste no aparecerá en la interfaz de Log Server.
1 Haga click en la pestaña Reports.
2 Use los botones radiales para establecer un intervalo de tiempo para los informes: diario (daily), semanal
(weekly), primer día del mes (first day of the month) o personalizado en una fecha determinada
(custom).
3 De la lista desplegable Next Scheduled Report, seleccione una fecha y hora para el próximo informe
programado.
4 Haga click en Save Changes o en Close.
La interfaz de Log Server se cierra y guarda sus entradas. La nueva configuración se inicia inmediatamente.
El Log Server se reinicia automáticamente.
88 WatchGuard System Manager

Acerca de los Mensajes de Log
Controlando la notificación
Puede configurar el Firebox para enviar un mensaje por e-mail cuando ocurra un evento específico. Use la
pestaña Notification para configurar la dirección de e-mail de destino.
1 Haga click en la pestaña Notification.
2 Escriba la dirección de correo electrónico y el host de mail para los mensajes de notificación por e-mail.
Los mensajes de notificación por e-mail tienen el formato:
nombre_del_firebox@[firebox_dirección_ip]. Asegúrese de que el servidor SMTP pueda manejar este formato.
Considere modificar los valores preestablecidos. Si el logging host no resuelve un FQDN y el servidor MX que lo recibe no
realiza búsquedas revertidas, el e-mail puede ser descartado.
3 Haga click en Save Changes o en Close.
La interfaz de Log Server se cierra y guarda sus entradas. La nueva configuración se inicia inmediatamente.
El Log Server se reinicia automáticamente.
Iniciando y deteniendo el Log Server
Puede detener e iniciar el Log Server manualmente:
Para iniciar el Log Server, haga click derecho en el ícono de Log Server en la barra de herramientas y seleccione
Start Service.
Para detener el Log Server, haga click derecho en el ícono de Log Server en la barra de herramientas y seleccione
Stop Service.
Acerca de los Mensajes de Log
El WatchGuard® System Manager incluye herramientas de mensajes de log fuertes y flexibles. Una característica
importante de una buena política de seguridad de red es registrar los mensajes de sus sistemas de
seguridad, examinar esos registros frecuentemente y mantenerlos en un archivo. Puede usar registros para
monitorear la seguridad y la actividad de su red, identificar cualquier riesgo y evitarlo.
WatchGuard® Firebox X Core y Firebox X Peak envian mensages de registro de eventos a un sistema de
administración de registro de eventos compartido llamado Log Server. También pueden enviar esos mensajes
de log a un servidor syslog o mantener logs localmente en el Firebox. Usted puede también elegir enviar
logs a cualquiera o a ambas ubicaciones.
Puede usar Firebox System Manager para mensajes de log en la pestaña Traffic Monitor. Para más información,
vea el capítulo 4,“Monitoreando el estado del Firebox”. Puede también examinar mensajes de log con
LogViewer. Los mensajes de log se mantinen en un archivo XML con extensión .wgl.xml en el directorio
WatchGuard del log server. Para aprender más acerca del formato de los mensajes delog, vea el capítulo “Log
Messages” en la Guía de Referencia.
Guía del Usuario 89

Tipos de Mensajes
Tipos de Mensajes
El Firebox® envía cuatro tipos de mensajes de log. El tipo aparecerá en el texto del mesaje. Los cuatro tipos
de mensajes de log son:
• Traffic (tráfico)
• Alarm (alarma)
• Event (evento)
• Diagnostic (diagnóstico)
“Traffic log messages”
El Firebox envía mensajes de log de tráfico cuando se aplican filtros de paquetes y reglas de proxy al tráfico
que fluye a través del Firebox.
“Alarm log messages”
Los mensajes de log de alarma se envían cuando ocurre un evento que provoca que el Firebox ejecute un
comando. Cuando se cumplen las condiciones de la alarma, Firebox envía un mensaje de log de alarma al
Traffic Monitor y al Log Server y realiza la acción especificada.
Puede establecer algunos mensajes de log de alarma. Por ejemplo, puede usar el Policy Manager para configurar
que una alarma ocurra cuando se alcance un determinado valor o se supere un umbral. Otros mensajes
de log de alarma los establece el software de appliance y usted no puede cambiar sus valores. Por
ejemplo, el Firebox envía un mensaje de log de alarma cuando falla una conexión de red en una de las
interfaces de Firebox o cuando ocurre un ataque de denegación de servicio. Para más información acerca
de los mensajes de log de alarma, vea la Guía de Referencia.
Hay ocho categorías de mensajes de log de alarma: System (sistema), IPS (proveedor de servicios de internet),
AV (antivirus) , Policy (política), Proxy, Counter (contador o indicador), Denial of Service (denegación
de servicio) y Traffic (tráfico). Firebox no envía más de 10 alarmas en 15 minutos para las mismas condiciones.
“Event log messages”
Firebox envía un mensajes de log de evento a causa de la actividad del usuario. Las acciones que pueden
causar que Firebox envíe un mensaje de log de evento incluyen:
• Que el Firebox se inicie y se apague
• Autenticación ante el Firebox y la VPN
• Un proceso se inicia y se cierra
• Problemas en los componentes de hardware del Firebox
• Cualquier tarea realizada por el administrador del Firebox
“Diagnostic log messages”
Los mensajes de log de diagnóstico incluyen información que puede usarse como ayuda para resolver
problemas. Hay 27 componentes diferentes del producto que pueden enviar mensajes de log de diagnóstico.
Puede seleccionar que los mensajes de log de diagnóstico aparecezcan en el Traffic Monitor, como se
describe en “Permitiendo diagnósticos avanzados” en este capítulo.
Nombres de los Archivos de Registro de Eventos y Localización
El Firebox® envía los mensajes de log a un Log Server primario o de respaldo. La ubicación por defecto del
archivo de log es Mis Documentos > My WatchGuard > Shared WatchGuard > logs.
El nombre del archivo de log será:
90 WatchGuard System Manager

Iniciando el LogViewer
• Si el Firebox tiene un nombre, el formato del nombre del archivo de log es Nombre de
Firebox- fecha.wgl.xml.
• Si el Firebox no tiene nombre, el nombre del archivo de log es FireboxIP-fecha.wgl.xml.
Iniciando el LogViewer
LogViewer es la herramienta de WatchGuard® System Manager que usted utiliza para ver los datos del archivo
de log. Puede mostrar datos de log página por página o buscar y mostrar por palabra clave o por campos
de log específicos.
1 Desde WatchGuard System Manager, seleccione Tools > Logs > LogViewer.
o
Haga click en el ícono LogViewer en la barra de herramientas de WatchGuard System Manager. El
ícono se muestra a la izquierda.
2 Desde LogViewer, seleccione File > Open.
o
haga click en el ícono Open File de la barra de herra m i e ntas Log Vi e we r. El ícono se muestra a la
i z q u i e rd a .
La ubicación por defecto de los logs es Mis Documentos > My WatchGuard > Shared Watchguard > logs.
3 Navegue para encontrar el archivo de log y haga click en Open.
LogViewer muestra el archivo de log que usted seleccionó. Una muestra aparece abajo.
Guía del Usuario 91

Configuración del LogViewer
Configuración del LogViewer
Puede ajustar el contenido y el formato de la ventana del LogViewer.
1 Desde LogViewer, seleccione View > Settings.
Aparecerá el cuadro de diálogo Settings.
El cuadro de diálogo Settings tiene cinco pestañas, cada una con los mismos campos. Estas pestañas se
usan para establecer las propiedades para los cuatro tipos de mensajes que aparecerán en los archivos de
log: Alarmas, Tráfico, Eventos y Diagnóstico.
Show Logs in Color
Puede establecer que el mensaje aparezca en diferentes colores, según el tipo de mensaje de log. Si
el color no está habilitado, los mensajes de log aparecerán como texto blanco sobre fondo negro.
Show Columns
Para cada tipo de mensaje, puede seleccionar cuáles columnas mostrar en la ventana del LogViewer.
Seleccione la casilla de verificación junto a cada campo para hacerlo aparecer.
Text Color
Haga click en Text Color para establecer el color para cada tipo de mensaje de log.
Background Color
Puede establecer el color de fodo. Si el fondo y el texto son del mismo color, no podrá ver el texto.
Reset Defaults
Haga click para establecer el formato de los mensajes de log a los colores predeterminados.
Sample
Exhibe una muestra de mensaje de log con los cambios en su formato.
Show logs
Esta casilla de verificación está en cada pestaña. Si se la selecciona en una pestaña, los mensajes
para ese tipo de log se incuyen en la pantalla del LogViewer. Para eliminar un tipo de mensaje de log
de la pantalla, deje en blanco la casilla de verificación en la pestaña que corresponda a ese tipo de
log.
92 WatchGuard System Manager

Usando el LogViewer
Usando el LogViewer
Creando una regla de búsqueda
Puede crear reglas de búsqueda a través de los datos que se exhiben en el LogViewer.
1 Seleccione Edit > Find (o haga click en el ícono que tiene una lupa).
Aparecerá el cuadro de diálogo Find.
2 Use la lista desplegable Log Type para seleccionar el tipo de mensaje de log al que se aplica esa regla de
búsqueda. Puede seleccionar: Traffic (tráfico ) , Eve nt (eve nto ) , Al a rm (alarm a ) , Debug (depurar) o All ( tod o s ) .
3 Haga click en el encabezado de columna Field y seleccione Add.
Aparecerá el cuadro de diálogo Add Search Rule.
4 En la lista desplegable Choose Field, seleccione el campo a buscar.
5 En el cuadro de texto Enter Value, escriba el texto o el valor a buscar.
6 Si el texto que escriba en el cuadro de texto Enter Value es sensible a mayúsculas y minúsculas,
seleccione la casilla de verificación Match Case. Para encontrar sólo entradas que se correspondan presisamente
con el valor, seleccione la casilla de verificación Match exact string only.
7 Haga click en OK.
Guía del Usuario 93

Usando el LogViewer
Buscando en el LogViewer
Después de establecer una regla de búsqueda, puede usarla para buscar en los datos que se muestran en
el LogViewer.
1 Use la lista desplegable Log Ty pe p a ra seleccionar el tipo de mensaje de log que apare cerá en la ve nt a n a .
2 Use la lista desplegable Display Results para seleccionar el método para exhibir los resultados de la
búsqueda. Las opciones son:
- Highlight in main window (resaltar en la ventana principal) — La ventana de LogViewer muestra el
mismo conjunto de mensajes de log, pero cambia el color de aquéllos que cumplen con los criterios.
Use la tecla F3 para moverse entre las entradas especificadas.
- Main window (ventana principal) — sólo los mensajes de log que satisfacen los criterios de la búsqueda
aparecerán en la ventana primaria de LogViewer.
- New window (nueva ventana )- se abre una nueva ventana para mostrar los mensajes de log que
cumplan con los criterios de búsqueda.
3 Seleccione entre las opciones:
- Match any (cumple cualquiera)— exhibe los mensajes de log que cumplen con cualquier criterio de
búsqueda.
- Match all (cumple todos) — exhibe sólo los mensajes de log que cumplen con todos los criterios de
búsqueda.
4 Haga click en OK para comenzar la búsqueda.
Viendo el archivo de registro de eventos vigente en el LogViewer
Puede abrir el archivo de log vigente en LogViewer para examinar los logs a medida que son escritos al
archivo de log. LogViewer actualiza automáticamente su pantalla con nuevos mensajes de log a intervalos
de 15 segundos. Si tiene abierta una ventana de búsqueda de LogViewer con el archivo de log actual, también
se actualiza cada 15 segundos.
Copiando datos del LogViewer
Puede copiar datos del archivo de log desde el LogViewer a otra herramienta. Use copy para mover mensajes
de log específicos a otra herramienta.
1 Seleccione el mensaje de log a copiar.
Use la tecla de mayúsculas para seleccionar un grupo de entradas. Use la tecla Ctrl para seleccionar más de una entrada.
2 Seleccione Edit > Copy.
3 Pegue los datos en cualquier editor de textos.
94 WatchGuard System Manager

Usando el LogViewer
Consolidando archivos de registro de eventos
Puede juntar dos o más archivos de log en uno solo. Puede entonces usar ese archivo en Historical Reports,
LogViewer o en cualquier otra herramienta para examinar datos de log para un extenso intervalo de tiempo.
Para combinar más de un archivo de log en un solo archivo:
• Los archivos de log deben ser del mismo Firebox
• Los mensajes de log en los archivos deben estar ordenados por fecha y hora
• Los archivos de log deben haber sido creados con el mismo software de appliance. No podrá co m b i n a r
un archivo de log creado con un software de appliance WFS con un archivo de log creado con el software
de appliance Fireware®, aunque sean del mismo Firebox.
Haga click derecho en el ícono Log Server de su barra de herramientas de Windows y seleccione Merge Log
Files. O, desde la interfaz Status/Configuration de Log Server:
1 Haga click en File > Merge log files.
Aparecerá el cuadro de diálogo Merge Logfiles.
2 Haga click en Browse para encontrar los archivos a combinar.
3 Haga click en Merge.
Los archivos de log son puestos juntos y guardados en un nuevo archivo en el directorio específico.
Actualizando archivos de registro de eventos .wgl al formato .xml
Cuando migra desde una versión del WatchGuard System Manager a WSM 8.3 puede convertir archivos de
log del formato.wgl al .xml. Esto es también útil para administrar una red mixta con diferentes versiones de
WSM. Luego de convertir, puede usar su WSM 8.3 LogViewer o las herramientas de informes en los archivos
de log creados con WatchGuard Management System 7.3 o anteriores.
Para ayudarlo a entender la nueva estructura de log o para integrar logs en formato .xml a aplicaciones de
terceros, vea el siguiente Advanced FAQ (preguntas frecuentes avanzadas). Brinda un esquema XML y
Document Type Definition (DTD) -definición de tipo de documento- para los nuevos archivos de log de
WatchGuard:
https://www.watchguard.com/support/AdvancedFaqs/wsm8_xmlschema.asp
Cuando usted convierte un archivo de log de .wgl a .xml:
El archivo XML es normalmente más pequeño que el archivo .wgl.
Si abre el nuevo archivo XML en un editor XML, puede ver algunas entradas duplicadas. Esto se debe a la
forma en que Historical Reports hace los informes en WSM 7.3 o anterior. No causa problemas en LogViewer
o en Historical Reports para WSM 8.3.
Guía del Usuario 95

Usando el LogViewer
Para convertir un archivo de log de .wgl a .xml:
1 Haga click derecho en el ícono Log Server del área de notificación del escritorio de Windows y
seleccione Merge Log Files.
Aparecerá el cuadro de diálogo Merge Logfiles. Este cuadro de diálogo controla combinaciones y también actualizaciones
de los archivos de log.
2 Haga click en B rows e p a ra enco nt rar la ubicación del logf i l e.wgl (arc h i vo de log con extensión .wgl) a
co nve rtir a XML. Si selecciona más de un arc h i vo de log de una vez , el utilitario co nv i e rte todos los
a rc h i vos que seleccionó y los pone todos juntos en un solo arc h i vo. El nuevo arc h i vo tiene fo rm ato .xml.
3 Haga click en Merge.
El utilitario convierte al archivo de log y lo guarda en la carpeta especificada.
96 WatchGuard System Manager

CA P Í T U LO 8
P reparando y Configurando la Red
Cuando instala Firebox® en su red y completa el Asistente Quick Setup , obtiene un archivo de configuración
básica. Utilice luego Policy Manager para crear un nuevo archivo de configuración o cambiar el archivo creado
por el Asistente Quick Setup.
Si es novato en seguridad de redes, le recomendamos que lleve a cabo todos los procedimientos de este
capítulo para asegurarse de haber configurado todos los componentes de su red. En este capítulo, aprenderá
cómo usar Policy Manager para:
• Configurar las interfaces de Firebox
• Configurar el soporte Multi-WAN
• Agregar una red secundaria
• Agregar información de servidores DNS y WINS
• Configurar DNS dinámica
• Configurar ruteos de red y hosts
• Establecer la velocidad y el duplex de la interfase Firebox
• Configurar hosts relacionados
Puede usar también Policy Manager para configurar hasta cuatro interfaces del Firebox como externas, o
como interfaces de red de amplio alcance WAN - wide area network. Puede controlar el flujo del tráfico a través
de múltiples interfaces WAN para compartir la carga de tráfico saliente.
Guía del Usuario 97

Cambiando la Dirección IP de la Interfaz del Firebox
Cambiando la Dirección IP de la Interfaz del Firebox
1 Desde Policy Manager, seleccione Network > Configuration.
Aparece el cuadro de diálogo Network Configuration.
2 Seleccione la interfaz que quiera configurar. Haga Click en Configure.
Aparece el cuadro de diálogo Interface Settings.
3 (Opcional) Teclee una descripción de la interfaz en el campo Interface Description.
4 Puede cambiar el tipo de interfaz desde el menú desplegable Interface Type.
98 WatchGuard System Manager

Cambiando la Dirección IP de la Interfaz del Firebox
5 Puede cambiar la dirección IP de la interfaz. Teclee la dirección IP en notación de barra oblícua.
Cuando ingresa una dirección IP, teclee todos los números y puntos. No utilice la tecla TAB ni los cursores.
6 Si está configurando una interfaz opcional o confiable, seleccione Disable DHCP, DHCP Server, o DHCP
Relay.
Vea “Configurando el Firebox como un servidor DHCP” para la opción DHCP server, y vea “Configurando un DHCP relay” en
la página 99 para la opción DHCP relay. Si está configurando una interfase externa, vea “Configurando la interfase externa”
en la página 100.
7 Haga clic en OK.
Configurando el Firebox como un servidor DHCP
Dynamic Host Configuration Protocol (DHCP) es un protocolo de Internet que facilita el control de una red
grande. Una computadora configurada como servidor DHCP brinda automáticamente direcciones IP a las
computadoras de su red. Usted configura el rango de direcciones. Puede configurar el Firebox® como un servidor
DHCP para redes bajo el Firebox.
Si tiene un servidor DHCP configurado, le recomendamos que continúe utilizando ese servidor para DHCP.
1 Seleccione Network > Configuration.
Aparece el cuadro de diálogo Network Configuration.
2 Seleccione una interfaz confiable u opcional.
3 Haga click en Configure y seleccione DHCP Server.
4 Para agregar un rango de direcciones IP, haga clic en Add y teclee la primera y última dirección IP.
Puede configurar un máximo de 6 rangos de direcciones.
5 Utilice los cursores para cambiar el Default Lease Time.
Este es el intervalo de tiempo que un cliente DHCP puede usar una dirección IP que recibe del servidor DHCP. Cuando el
tiempo se acerca al límite, el cliente envía datos al servidor DHCP para recibir una nueva dirección..
Configurando un DHCP relay
Un método para obtener direcciones IP para las computadoras de una red confiable u opcional de Firebox
es usar un servidor DHCP en una red diferente. El Firebox puede enviar una llamada DHCP a un servidor
DHCP localizado en un lugar diferente del cliente DHCP. Cuando el Firebox recibe la respuesta, la envía a las
computadoras de la red confiable u opcional del Firebox.
1 Seleccione Network > Configuration.
Aparece el cuadro de diálogo Network Configuration.
2 Seleccione la interfase trusted u opcional.
3 Haga click en Configure y en DHCP Relay.
4 Teclee la dirección IP del servidor DHCP en el campo relacionado. Asegúrese agregar una ruta al servidor
DHCP, si fuera necesario.
Guía del Usuario 99

Cambiando la Dirección IP de la Interfaz del Firebox WatchGuard
5 Haga click en OK. Debe reiniciar el Firebox para completar el cambio.
Configurando la interfaz externa
Firebox puede obtener una dirección IP dinámica para la interfaz externa mediante el Protocolo de
Configuración de Host Dinámico (DHCP) o el Protocolo Punto-a-Punto sobre Ethernet (PPPoE). Con DHCP,
el Firebox utiliza un servidor DHCP que es controlado por su Proveedor del Servicios de Internet (Internet
Server Provider - ISP) para obtener la dirección IP, la puerta de enlace (gateway)y la máscara de red. Con
PPPoE, el Firebox arma una conexión de protocolo PPPoE con el servidor PPPoE de su ISP. Fireware® soporta
PPPoE no numerado y estático.
Nota
Si configura más de una interfaz como externa, sólo la de menor orden podrá servir como un
gateway IKE o punto final de túnel IPSec. Si la interfaz está caída, ningún túnel IPSec desde o hacia el
Firebox operará.
Utilizando una dirección IP estática
1 Desde el cuadro de diálogo Interface Settings, seleccione Static.
2 Teclee la dirección IP de la puerta de enlace predeterminada.
3 Haga clic en OK.
Utilizando PPPoE
Algunos ISPs asignan sus direcciones IP a través del Protocolo Punto-a-Punto sobre Ethernet (Point-to-
Point Protocol over Ethernet - PPPoE). PPPoE expande una conexión dial-up estándar para agregar algunas
caracterísitcas de Ethernet y PPP. Este sistema permite al ISP utilizar facturación, autenticación y sistemas
de seguridad de su infraestructura dial-up con productos como DSL y cable modem.
Si su ISP utiliza PPPoE, debe ingresar la información de PPPoE en su Firebox antes de que éste pueda
enviar tráfico a través de la interfaz externa.
1 Desde el cuadro de diálogo Interface Settings, seleccione PPPoE.
2 Seleccione una de las dos opciones:
- Obtener una dirección IP automáticamente
- Utilicezar unaa dirección IP otorgada por su Internet Service Provider - ISP
3 Si selecciona Use IP Address, ingrese la dirección IP en el cuadro de texto a la derecha.
4 Teclee User Name y Password. Debe teclear la contraseña dos veces.
Frecuentemente, los ISPs utilizan el formato de direcciones de e-mail para los nombres de usuario, como
minombre@dominioisp.net.
100 WatchGuard System Manager

Cambiando la Dirección IP de la Interfaz del Firebox
5 Haga click en Property para configurar los parámetros de PPPoE.
Aparece el cuadro de diálogo de parámetros de PPPoE g. Su ISP puede decirle si es necesario cambiar los valores de tiempo
de espera (time-out) o LCP.
6 Utilice los botones radiales para seleccionar cuándo el Firebox se conecta con el servidor PPPoE.
- Always On — ( s i e m p re co n e ctado) Fi re box mantiene una co n exión PPPoE co n s t a nte. No es necesario
que el tráfico de la red vaya a través de la interfaz externa.
- Dial-on-Demand — (conexión ante demanda) Firebox se conecta al servidor PPPoE sólo cuando
recibe una llamada para enviar tráfico a una dirección IP de la interfaz externa. Si su ISP reinicia la
conexión regularmente, seleccione Dial-on-Demand. Si no elige Dial-on-Demand, debe reiniciar
manualmente el Firebox cada vez que se reestablezca la conexión.
7 En el campo PPPoE Initialization Retry Interval, utilice los cursores para seleccionar el número de
segundos que PPPoE trata de inicializar antes de llegar al time out.
8 En el campo LCP echo failure, utilice los cursores para seleccionar el número de llamadas LCP fallidas
permitidas antes de que la conexión PPPoE sea considerada inactiva y se cierre.
9 En el campo LCP echo timeout, utilice los cursores para seleccionar el intervalo de tiempo, en segundos,
en que debe ser recibida la respuesta cada vez que se agota el tiempo de espera (time-out).
10 (Opcional) En el campo Service Name, teclee un nombre para el servicio PPPoE. Este es un nombre de
ISP o una clase de servicio que es configurado en el servidor PPPoE. Usualmente, esta opción no es utilizada.
Utilice este campo sólo si hay más de un concetrador de acceso o si sabe que debe utilizar un
nombre de servicio específico.
11 (Opcional) En el campo Access Concentrator Name, ingrese el nombre de un concentrador de acceso a
PPPoE, también conocido como un servidor PPPoE. Usualmente, esta opción no es utilizada. Utilícela sólo
si sabe que hay más de un concentrador de acceso.
Utilizando DHCP
1 Desde el cuadro de diálogo Interface Settings, seleccione DHCP.
2 Si su servidor DHCP lo hace utilizar un identificador opcional en su intercambio DHCP, teclee este identificador
en el cuadro de texto Host Name.
Guía del Usuario 101

Acerca del Soporte de WAN Múltiple
3 Bajo Host IP, seleccione Obtain an IP address automatically si desea que DHCP asigne una dirección
IP al Firebox. Si desea asignar manualmente una dirección IP y usar DHCP sólo para otorgar esa dirección
asignada al Firebox, seleccione Use IP address e ingrese la dirección IP en el campo adyacente.
4 Las direcciones IP asignadas por un servidor DHCP tienen “lease time” de un día, lo que significa que la
dirección es válida sólo por un día. Si desea cambiar el leasing time, seleccione la casilla de verificación
Specify Leasing Time y luego elija el valor en los campos bajo la casilla de verificación.
Acerca del Soporte de WAN Múltiple
El software de appliance Fireware® le brinda la opción de configurar múltiples interfaces externas (hasta
cuatro), cada una en una subred diferente. Esto le permite conectar el Firebox® a más de un Proveedor de
Servicio de Internet (Internet Service Provider - ISP). Tan pronto como configure una segunda interfaz
externa, el soporte WAN múltiple es habilitado como WAN múltiple configurado en round robin, por
defecto. Hay tres opciones para controlar que interfaz utilizar para paquetes salientes.
Note que:
• Si tiene una política configurada con un alias de interfaz externa individual en su configuración,
debe cambiar la configuración para utilizar el alias “Any-External”.
• Si utiliza la característica WAN múltiple, mapee el Fully Qualified Domain Name de su compañía a la
dirección IP de la interfaz externa de menor orden. Si agrega un Firebox WAN múltiple a su configuración
de Management Server, debe agregar el Firebox utilizando la interfaz externa de menor
orden para identificarlo.
• No puede utilizar NAT 1-a-1 en una configuración WAN múltiple. Si posee un servidor SMTP público
tras su Firebox, debe configurar una regla de NAT estática para permitir acceso a su servidor público
SMTP de e-mail. Luego, puede configurar múltiples registros MX, uno para cada interfase externa de
Firebox.
• Si tiene una configuración WAN múltiple, no puede utilizar la opción Set Source IP de NAT dinámico
basado en políticas. Utilice la opción Set Source IP sólo cuando su Firebox utilice una única interfaz
externa.
• El soporte WAN múltiple, no es aplicable para usuarios de tráfico VPN de sucursal o móviles. Los
usuario de tráfico VPN de sucursal o mòviles siempre utilizan la primera interfase externa configurada
para el Firebox. RUVPN con PPTP opera correctamente en una configuración WAN múltiple.
• La característica WAN múltiple no es soportada en el modo drop-in.
Acerca del multi-WAN ordenado en round robin
Si selecciona una configuración “round robin”, puede compartir la carga de tráfico saliente a través de
interfases externas como sigue:
• El primer host, con dirección IP x.x.x.x, envía una llamada HTTP a Internet. Los paquetes en esta
sesión son enviados a través de la interfaz externa cuyo número sea menor.
• El segundo host, con dirección IP y.y.y.y, envía una llamada HTTP a Internet. Los paquetes en esta
sesión son enviados a través de la interfaz externa cuyo número sea el segundo mayor.
• El tercer host, con dirección IP z.z.z.z, envía una llamada HTTP a Internet. Los paquetes en esta sesión
son enviados a través de la interfaz externa cuyo número sea el menor (si hay sólo dos interfases
configuradas) o la interfase externa cuyo número sea el tercero más grande.
• Mientras que cada host inicia una conexión, Firebox rota a través de las interfaces externas utilizando
el patrón explicado arriba.
102 WatchGuard System Manager

Acerca del Soporte de WAN Múltiple
Nota
Si utiliza WAN múltiple ordenado en round-robin, es posible configurar round-robin DNS con su proveedor
de DNS para realizar un balance de carga a través de más de una interfaz externa.
Acerca de WAN Failover
Esta opción, del mismo modo, sólo se utiliza en tráfico saliente. Si selecciona esta opción, la interfaz externa
configurada con el menor número en su lista se torna la interfaz externa primaria. Todas las demás interfaces
externas son interfaces externas de respaldo. Firebox envía todo el tráfico saliente a través de la interfaz
externa primaria. Si la interface externa primaria no se encuentra activa, Firebox envía el tráfico a la primer
interfaz de respaldo.
Firebox monitorea el estado de la interfaz externa primaria mediante dos procedimientos.Verifica el estado
del vínculo físico con la interfaz. Además realiza pings a la dirección IP o al nombre de dominio de un host
externo que configura para cada interfaz, cada 20 segundos. Si tres pings a este host fallan, Firebox pasa a la
siguiente interfazexterna configurada.
Cuando Firebox detecta que la interfase externa primaria está nuevamente activa, automáticamente
comienza a enviarle nuevas conexiones.
Nota
Si usa multi-WAN en modo WAN failover (paso a red redundante ante falla), puede usar DNS dinámico
para actualizar su registro DNS cada vez que falla la conectividad de su red. Esto brinda redundancia de
entrada para su red cuando ocurra un failover.
Acerca del multi-WAN con tabla de enrutamiento
Cuando selecciona la opción de tabla de enrutamiento para la configuración de WAN múltiple, Firebox utiliza
las rutas de su tabla de enrutamiento interna para enviar paquetes a través de la interfaz externa correcta.
Puede configurar rutas de red o host en Policy Manager y Firebox examinará estas rutas para ver si los
paquetes serán enviados a una interfaz específica. Si Firebox no encuentra una ruta específica, entonces
Firebox utiliza la primera ruta por defecto de su tabla de enrutamiento. Si Firebox está configurado para utilizar
enrutamiento dinámico, envía tráfico basado en la información dinámica registrada en su tabla de enrutamiento.
Para ver la tabla de enrutamiento en el Firebox, conáctese al Firebox System Manager y seleccione
la pestaña Status.
Guía del Usuario 103

Acerca del Soporte de WAN Múltiple
Configurando el soporte de WAN múltiple
1 Desde Policy Manager, seleccione Network > Configuration.
Aparece el cuadro de diálogo Network Configuration.
2 Seleccione la interfaz para configurarla como externa y haga click en Configure. Seleccione External
desde el menú desplegable Interface Type para activar el cuadro de diálogo. Teclee un nombre de
interfaz y una descripción.
Debe tener un mínimo de dos interfaces externas de red configuradas antes de poder ver y configurar las opciones de
WAN múltiple.
104 WatchGuard System Manager

Agregando Redes Secundarias
3 Teclee la dirección IP y la puerta de enlace predeterminada para la interfaz. Haga click en OK.
Cuando teclea una dirección IP, tipee todos los números y puntos. No utilice la tecla TAB ni los cursores.Luego de configurar
una segunda interfaz externa, las opciones de configuración de WAN múltiple aparecen en el cuadro de diálogo de
Network Configuration.
4 Seleccione el procedimiento que desea utilizar para controlar el tráfico a través de las múltiples
interfaces externas.
Estos tres procedimientos están descriptos arriba.
5 En el cuadro de diálogo WAN Ping Address, haga doble click en la columna Ping Address para agregar
una dirección IP o un nombre de dominio para cada interfaz externa. Le recomendamos que utilice la
dirección IP de una computadora externa a su organización.
Cuando una interfaz externa se encuentra activa, Firebox hace ping a las direcciones IP y nombres de dominio que ingresa
aquí, cada 20 segundos, para ver si la interfaz se encuentra operando correctamente. Si no hay respuesta luego de tres
pings, el Firebox comienza a utilizar las interfaces externas configuradas subsecuentemente. Luego comienza a hacer ping
a la dirección de WAN que usted configuró para esa interfaz para verificar la conectividad.
6 Haga click en OK. Guarde los cambios que realice en su Firebox.
Agregando Redes Secundarias
Una red secundaria es una red que comparte una de las redes físicas con una de las interfaces del Firebox®.
Cuando agrega una red secundaria, usted hace (o agrega) un alias de IP a la interfaz. Este alias de IP es la
puerta de enlace predeterminada para todas las computadoras en la red secundaria. La red secundaria le
Guía del Usuario 105

Agregando Redes Secundarias
dice a Firebox que hay una red más en la interfaz del Firebox.
Si su Firebox está configurado con una dirección IP estática, puede agregar una dirección IP en la misma
subred de su interfaz externa primaria como una red secundaria. Puede entonces configurar NAT estático
para más de un tipo de servidor. Por ejemplo, configure una red secundaria externa con una segunda
dirección IP pública si tiene dos servidores SMTP públicos y desea configurar una regla NAT estática para
cada uno.
Para usar Policy Manager para configurar una red secundaria:
1 Seleccione Network > Configuration.
Aparece el cuadro de diálogo Network Configuration.
2 Seleccione la interfaz para la red secundaria y haga click en Configure.
Aparece el cuadro de diálogo Interface Settings.
106 WatchGuard System Manager

Agregando Direcciones de Servidores WINS y DNS
3 Haga click en Secondary Addresses and Networks.
Aparece el cuadro de diálogo Secondary Networks.
4 Haga click en Add. Teclee una dirección IP no asignada de la red secundaria.
Cuando teclee direcciones IP, teclee todos los números y puntos. No utilice la tecla TAB ni los cursores.
5 Haga click en OK. Haga click en OK nuevamente.
Nota
Tenga cuidado de agregar las direcciones de la red secundaria correctamente. Le recomendamos no
crear una subred como una red secundaria en una interfaz que sea componente de una red mayor, en
una interfaz diferente. Si hace esto, puede ocurrir spoofing y la red puede no operar correctamente.
Agregando Direcciones de Servidores WINS y DNS
Un número de funciones del Firebox® deben tener compartidas las direcciones IP de los servidores
Windows Internet Name Server (WINS) y Domain Name System (DNS). Estas funciones incluyen DHCP y
Remote User VPN. El acceso a estos servidores debe estar permitido desde la interfaz confiable de Firebox.
Esta información es utilizada para dos propósitos:
• Firebox utiliza el servidor DNS mostrado aquí para resolver nombres de direcciones IP para IPSec VPNs
y para que el spamBlocker, y las finciones GAV e IPS operen correctamente.
• Las entradas WINS y DNS son usadas por los clientes DHCP en las redes confiables u opcional, usuarios
MUVPN, y usuarios PPTP RUVPN para resolver entradas DNS.
Guía del Usuario 107

Configurando DNS Dinámicas
Asegúrese de utilizar sólo un servidor WINS y DNS para DHCP y RUVPN. Esto le ayuda a asegurarse de no
crear políticas con propiedades de configuración que no permitan a los usuarios conectarse al servidor
DNS.
1 Desde Policy Manager, seleccione Network > Configuration. Haga click en la pestaña WINS/DNS.
Aparece la información en la petaña WINS/DNS.
2 Teclee las direcciones primaria y secundaria para los servidores WINS y DNS. Puede además teclear un
sufijo de dominio en el cuadro de texto Domain Name para que un cliente DHCP utilice con nombres
no calificados tales como “kunstler_mail”.
Configurando DNS Dinámicas
Puede registrar la dirección IP externa del Firebox® con un servicio dinámico de Servidor de Nombres de
Dominio (dynamic Domain Name Server - DNS). Un servicio de Dynamic DNS (DNS dinámico) asegura que
las direcciones IP adjuntas a su nombre de dominio cambien cuando su ISP le otorgue a su Firebox una
nueva dirección IP. El Firebox soporta un proveedor de DNS dinámica: DynDNS. Para más información de
DNS dinámica, acceda al sitio web DynDNS:
http://www.dyndns.com
Nota
WatchGuard® no está afiliado a DynDNS.
Creando una cuenta DynDNS
Para configurar su cuenta, vaya al siguiente sitio web:
http://www.dyndns.com
Utilice las instrucciones en el sitio web de DynDNS para activar su cuenta. Debe realizar esto antes de configurar
su Firebox para utilizar DNS dinámica.
108 WatchGuard System Manager

Configurando DNS Dinámicas
Configurando Firebox para Dynamic DNS
1 Desde Policy Manager, seleccione Network > Configuration. Haga click en la pestaña Dynamic DNS.
Aparece la información de la pesaña Dynamic DNS.
2 Seleccione la interfaz externa que desea configurar para Dynamic DNS y haga click en Configure.
Aparece el cuadro de diálogo Per Interface Dynamic DNS.
3 Para habilitar el DNS dinámica, seleccione la casilla de verificación Enable Dynamic DNS.
4 Teclee el nombre de usuario, contraseña y nombre de dominio utilizado para configurar su cuenta de
DNS dinámico.
5 En el menú desplegable Service Type, seleccione el sistema a utilizar para esta actualización:
- dyndns envía actualizaciones para un nombre de host de DNS dinámica.
- statdns envía actualizaciones para un nombre de host de DNS estática.
- custom envía actualizaciones para un nombre de host de DNS personalizada.
Para más información en cada opción, vea http://www.dyndns.com/services/.
6 En el campo Options, puede teclear cualesquiera de las opciones mostradas abajo. Debe teclear un
caracter “&” antes y después de cada opción que agregue. Si agrega más de una opción, debe separar las
opciones con el caracter “&”. Por ejemplo: &backmx=NO&wildcard=ON&
mx=mailexchanger
backmx=YES|NO
wildcard=ON|OFF|NOCHG
offline=YES|NO
Guía del Usuario 109

Configurando Enrutamientos
Para más información sobre opciones, vea:
http://www.dyndns.com/developers/specs/syntax.html
7 Ut i l i ce los cursores para elegir un inte rvalo de tiempo, en días, p a ra fo rzar una actualización de la
d i rección IP.
Configurando Enrutamientos
Una ruta o enrutamiento (route) es una secuencia de dispositivos a través de los cuales el tráfico de la red
debe ir para llegar desde su fuente hasta su destino. Un router es un dispositivo en una ruta que encuentra
el siguiente punto de la red a través del cual enviar el tráfico hacia su destino. Cada router está conectado
a un mínimo de dos redes. Un paquete puede ir a través de un número de puntos de la red con routers
antes de llegar a destino.
El Firebox® le permite crear enrutamientos estáticos para enviar tráfico desde sus interfaces hasta un router.
El router puede enviar el tráfico al destino correcto desde la ruta especificada. Si no agrega un enrutamiento
a una red remota, todo el tráfico a esa red es enviado a puerta de enlace predeterminada de el
Firebox.
El WatchGuard® Users Forum es también una buena fuente de datos acerca de enrutamiento de redes y
routers. Utilice su servicio LiveSecurity para encontrar más información.
Agregando un enrutamiento de red
Agregue un enrutamiento de red si tiene una red completa bajo un router en su red local. Teclee la dirección
IP de la red, con notación de barra oblícua.
1 Desde Policy Manager, seleccione Network > Routes.
Aparece el cuadro de diálogo Setup Routes.
2 Haga click en Add.
Aparece el cuadro de diálogo Add Route.
3 Seleccione Network IP del menú desplegable.
4 En el cuadro de texto Route To, teclee la dirección de la red. Utilice notación de barra slash.
Por ejemplo, teclee 10.10.1.0/24. Una red /24 siempre tiene un cero para el último octeto.
5 En el cuadro de texto Gateway, teclee la dirección IP del router.
Asegúrese de ingresar una dirección IP que se encuentra en una de las mismas redes que el Firebox.
6 Haga click en OK para cerrar el cuadro de diálogo Add Route.
El cuadro de diálogo Setup Routes muestra el enrutamiento de red configurado.
7 Haga click en OK nuevamente para cerrar el cuadro de diálogo Setup Routes.
Agregando un enrutamiento de host
Agregue un enrutamiento de host si hay sólo un host bajo el router o si quiere que el tráfico sólo vaya a
un host. Teclee la dirección IP del host especificado, sin la notación de barras oblícua.
1 Desde Policy Manager, seleccione Network > Routes.
Aparece el cuadro de diálogo Setup Routes.
110 WatchGuard System Manager

Estableciendo los Parámetros Speed y Duplex de la Interfaz Firebox
2 Haga click en Add.
Aparece el cuadro de diálogo Add Route.
3 Seleccione Host IP del menú desplegable.
4 En el cuadro de texto Route To, teclee la dirección IP del host.
5 En el cuadro de texto Gateway, teclee la dirección IP del router.
Asegúrese de ingresar una dirección IP que se encuentre en una de las mismas redes que el Firebox.
6 Haga click en OK para cerrar el cuadro de diálogo Add Route.
El cuadro de diálogo Setup Routes muestra el enrutamiento de host configurado.
7 Haga click en OK nuevamente para cerrar el cuadro de diálogo Setup Routes.
Estableciendo los Parámetros Speed y Duplex de la Interfaz Firebox
Puede configurar los parámetros speed y duplex de la interfaz Firebox® hacia configuración automática o
manual. Le recomendamos que establezca los parámetros speed y duplex para corresponder al dispositivo
al que el Firebox se conecta. Utilice la opción de configuración manual cuando deba corregir los parámetros
automáticos de la interfaz Firebox para operar con otros dispositivos en su red.
1 Seleccione Network > Configuration. Haga clic en la interfase que quiera configurar, y luego haga clic
en Configure.
2 Haga click en Advanced Settings.
Aparece el cuadro de diálogo Advanced Settings.
3 Desde el control del valor MTU, seleccione el tamaño máximo de paquete, en bytes, que puede ser
enviado a través de la interfaz.
Si utiliza PPPoE, debe cambiar este valor a 1492, o al MRU soportado por su ISP. Si no utiliza PPPoE, no le recomendamos
que cambie el valor MTU.
4 Desde el menú desplegable Link Speed, seleccione Auto Negotiate si desea que Firebox seleccione la
mejor velocidad de red. Puede, además, seleccionar una de las velocidades half-duplex o full-duplex que
sepa que es compatible con su equipamiento.
5 Haga click en OK para cerrar el cuadro de diálogo Advanced Settings. Haga clic en OK nuevamente
para cerrar el caudro de diálogo Network Configuration.
Configurando Hosts Relacionados
En una configuración drop-in, el Firebox® está configurado con al misma dirección IP en cada interfaz. El
modo de configuración drop-in distribuye el rango de direcciones de red a través de las interfaces del
Firebox. Los hosts relacionados son, a veces, requeridos cuando tiene configurado su Firebox en modo dropin
y el mapeo de host automático no se encuentra funcionando correctamente. Esto ocurre, a veces, debido
a interferencia cuando el Firebox está tratando de descubrir dispositivos en una interfaz. Cuando esto ocurre,
apague el mapeo de host automático y agregue entradas de host relacionados para computadoras que
comparten una dirección de red con Firebox. Esto crea una relación de enrutamiento estático entre las
dirección IP de host relacionados y la interfaz designada para esa dirección IP. Cuando hay problemas con el
mapeo de host dinámico o automático, debe usar entradas de host relacionadas.
Guía del Usuario 111

Configurando Hosts Relacionados
1 Desde Policy Manager, seleccione Network > Configuration.
Aparece el cuadro de diálogo Network Configuration.
2 Haga click en Properties.
Aparece el cuadro de diálogo Drop-In Mode Properties.
3 Desabilite el mapeo de host automático en cualquier interfaz donde no esté funcionando
correctamente.
4 Haga click en Add. Teclee la dirección IP de la computadora para la cual desea armar un enrutamiento
estático desde el Firebox.
5 Haga click en la columna Interface Name para selección la interfaz a la cual el host relacionado está
conectado.
6 Luego de que haya agregado todas las entradas de host relacionados, haga click en OK. Guarde la
configuración en el Firebox.
112 WatchGuard System Manager

CA P Í T U LO 9
Trabajando con Firewall NAT
La traducción de direcciones de red, o Network Address Translation (NAT) fue primeramente desarrollada
como una solución para organizaciones que no podían conseguir suficientes números IP de red registrados
de los Internet Address Registrars (registradores de direcciones de Internet) para sus población en aumento
de hosts y redes.
NAT se usa, genéricamente, para describir cualquiera de las varias formas de las direcciones IP y de las traducciones
de puertos. En su nivel más básico, NAT cambia la dirección IP de un paquete de un valor a otro
diferente. El propósito primario de NAT es no incrementar el número de computadoras que pueden operar
fuera de una única dirección IP públicamente ruteable, y ocultar las direcciones IP privadas de los hosts en
su LAN.
Hay diferentes formas de usar NAT. WatchGuard® System Manager soporta tres formas diferentes de NAT.
NAT dinámica
NAT dinámica es también conocida como IP enmascarado. El Firebox® puede aplicar su dirección IP
pública a los paquetes salientes para todas las conexiones o para servicios específicos. Esto oculta la
dirección IP real de la computadora que originó el paquete desde la red externa. NAT dinámica es
generalmente usada para ocultar las direcciones IP de los hosts internos cuando obtienen acceso a
servicios públicos.
1-to-1 NAT
1-to-1 NAT protege los hosts detrás de su red opcional o su red confiable para direcciones IP externas.
Este tipo de NAT es usada para brindar acceso a las computadoras externas a sus servidores públicos
internos.
NAT estática para una política
También conocida como reenvío de puerto (port forwarding), Usted configura la NAT estática cuando
configura políticas, según se describe en el capítulo “Configurando políticas”. NAT estática es una NAT
de puerto a host. Un host envía un paquete desde la red externa a un puerto en una interfaz externa.
NAT estática cambia esta dirección IP a una dirección IP y un puerto detrás del firewall.
Es posible que, en su configuración, use más de un tipo de NAT. Puede aplicar NAT como un parámetro
general del firewall, o como un parámetro de una política. Note que los parámetros de firewall NAT no se
aplican a políticas BOVPN o MUVPN.
Guía del Usuario 113

Usando NAT Dinámica
Usando NAT Dinámica
NAT dinámica es el tipo de NAT usada más frecuentemente. Cambia la dirección IP de origen de una conexión
de salida hacia la dirección pública del Firebox®. Fuera del Firebox, usted verá sólo la dirección IP del
Firebox en los paquetes salientes.
Muchas computadoras pueden conectarse a Internet desde una dirección IP pública. NAT dinámica ofrece
más seguridad para los hosts internos que usan Internet, puesto que oculta las direcciones IP de los hosts
de su red. Con NAT dinámica, todas las conexiones deben comenzar detrás del Firebox. Los hosts maliciosos
no pueden establecer conexiones a computadoras detrás del Firebox cuando éste está configurado
para NAT dinámica.
En muchas redes, la política de seguridad recomendada es aplicar NAT a todos los paquetes salientes. Con
Fireware®, NAT dinámica está habilitada por defecto en el cuadro de diálogo Network > NAT. También
está habilitada por defecto en cada política que usted crea. Puede cambiar la configuración del firewall
por NAT dinámica en sus políticas individuales.
Agregando entradas de NAT dinámica al firewall
La configuración preestablecida de NAT dinámica permite NAT dinámica de todas la direcciones IP privadas
hacia la red externa. Las entradas por defecto son:
• 192.168.0.0/16 - Any-External
• 172.16.0.0/12 - Any-External
• 10.0.0.0/8 - Any-External
Estas tres direcciones de red son las redes privadas reservadas por la Internet Engineering Task Force (IETF)
y usualmente se usan para las direcciones IP de LANs. Para habilitar NAT dinámica para otras direcciones IP
privadas que no sean ésas, debe agregar entradas para ellas. Firebox aplica reglas de NAT dinámica en la
secuencia en que aparecen en la lista NAT dinámica Entries. Recomendamos que ponga las reglas en una
secuencia que corresponda al volumen de tráfico al que se aplican las reglas.
1 Desde el Policy Manager, seleccione Network > NAT.
Aparecerá el cuadro de diálogo NAT Setup.
114 WatchGuard System Manager

Usando NAT Dinámica
2 En la pestaña Dynamic NAT del cuadro de diálogo NAT Setup, haga click en Add.
Aparecerá el cuadro de diálogo Add Dynamic NAT.
3 Use la lista desplegable From para seleccionar el origen de los paquetes salientes.
Por ejemplo, use el alias de host Trusted para habilitar NAT desde toda la red confiable. Para más información sobre los alias
“built-in” de Firebox, vea la sección “Trabajando con Alias”, en el capítulo 6.
4 Use la lista desplegable To para seleccionar el destino de los paquetes salientes.
5 Para agregar un host o una dirección IP de red, haga click en el botón Add Device que se muestra a
la derecha. Use la lista desplegable para seleccionar el tipo de dirección. Escriba la dirección IP o el
rango. Debe teclear una dirección de red en notación de barra oblícua.
Cuando teclee una dirección IP, teclee todos los números y puntos. No use la tecla TAB o las flechas.
6 Haga click en OK.
La nueva entrada aparecerá en la lista Dynamic NAT Entries.
Reordenando entradas de NAT dinámica
Para cambiar la secuencia de las entradas de NAT dinámica, seleccione la entrada a cambiar. Haga click en
Up (arriba) o Down (abajo). No puede cambiar una entrada de NAT dinámica. Si es necesario un cambio,
debe eliminar la entrada con Remove. Use Add para entrarla nuevamente.
Entradas de NAT dinámica basadas en políticas
Con este tipo de NAT, el Firebox usa la dirección IP primaria de las interfaces salientes para los paquetes
salientes para esta política. Cada política tiene habilitada NAT dinámica por defecto, la cual usa la tabla global
de NAT dinámica. Puede deshabilitar NAT dinámica patra todo el tráfico en una política.
Deshabilitando NAT dinámica basada en políticas
1 Desde el Policy Manager, haga click derecho sobre una política y seleccione Edit.
Aparecerá la ventana Edit Policy Properties.
2 Haga click en la pestaña Advanced.
3 Borre la casilla de verificación NAT dinámica para desconectar NAT del tráfico que controla esta política.
Guía del Usuario 115

Usando 1-to-1 NAT
4 Haga click en OK. Guarde los cambios en el Firebox.
Usando 1-to-1 NAT
Cuando habilita 1-to-1 NAT (NAT 1-a-1), Firebox® cambia y rutea todos los paquetes entrantes y salientes
enviados por un rango de direcciones a otro rango diferente de direcciones. Puede configurar hasta 64
direcciones diferentes 1-to-1 NAT. Esto le permite configurar una regla 1-to-1 NAT para una única red /26 ,
o un total de 64 direcciones IP entre todas las reglas 1-to-1 NAT. Una regla 1-to-1 NAT siempre tiene prioridad
sobre una NAT dinámica.
1-to-1 NAT es usada frecuentemente cuando hay un grupo de servidores internos con direcciones IP privadas
que deben ser hechas públicas. Puede usar 1-to-1 NAT para mapear direcciones IP públicas a los servidores
internos. No tiene que cambiar las direcciones IP de sus servidores internos. Cuando tiene un grupo
de servidores similares (por ejemplo, un grupo de servidores de e-mail), 1-to-1 NAT es más fácil de configurar
que NAT estática para el mismo grupo de servidores.
Para entender cómo configurar 1-to-1 NAT, damos este ejemplo:
La compañía ABC tiene un grupo de cinco direcciones privadas de servidores de e-mail detrás de la interfaz
confiable de su Firebox X Peak. Estas direcciones son:
10.1.1.1
10.1.1.2
10.1.1.3
10.1.1.4
10.1.1.5
La compañía ABC selecciona cinco direcciones IP públicas de las mismas direcciones de red que las interfaces
externas de sus Firebox y crea registros DNS para los servidores de e-mail para resolverlo. Estas direcciones
son:
50.1.1.1
116 WatchGuard System Manager

Usando 1-to-1 NAT
50.1.1.2
50.1.1.3
50.1.1.4
50.1.1.5
La compañía ABC configura una regla 1-to-1 NAT para sus servidores de e-mail. La regla 1-to-1 NAT construye
una relación estática y bidireccional entre los correspondientes pares de direcciones IP. La relación es
ésta:
10.1.1.1 50.1.1.1
10.1.1.2 50.1.1.2
10.1.1.3 50.1.1.3
10.1.1.4 50.1.1.4
10.1.1.5 50.1.1.5
Cuando se aplica la regla 1-to-1 NAT, Firebox crea el ruteo bidireccional y la relación NAT entre el pool de
direcciones IP privadas y el pool de direcciones públicas.
Definiendo una regla 1-to-1 NAT
En cada política 1-to-1 NAT puede configurar un host, un rango de hosts, o una subred. Debe también configurar:
Interface
El nombre de la interfaz Ethernet de Firebox® en la cual se aplica 1-to-1 NAT. Firebox aplicará 1-to-1
NAT a paquetes desde y hacia la interfaz. En nuestro ejemplo antes mencionado, la regla se aplica a la
interfaz externa.
NAT base
Cuando configure una política 1-to1 NAT, configure la política con un rango de direcciones IP “from”
(desde) y “to”(hacia). La NAT base es la primera dirección IP disponible en el rango “to” de direcciones.
La dirección IP NAT base es la dirección a la que cambia la dirección IP real base cuando se aplica 1-to-
1 NAT. En nuestro ejemplo, la NAT base es 50.1.1.1.
Real base
Cuando configure una política 1-to-1 NAT, configure la política con un rango de direcciones IP “from”
(desde) y “to”(hacia). La Real base es la primera dirección IP disponible en el rango “from” de direcciones.
Es la dirección IP asignada a la interfaz física Ethernet de la computadora a la cual aplicará la política
1-to-1 NAT. Cuando los paquetes provenientes de una computadora con una dirección real base
pasan a través de la interfaz especificada, se aplica la acción 1-to-1. En nuestro ejemplo, la Real base es
10.1.1.1.
Number of hosts to NAT (sólo para rangos)
Es el número de direcciones IP en un rango para el cual se aplica la regla 1-to-1 NAT. La primera dirección
IP real base se traduce a la primera dirección IP NAT base cuando se aplica 1-to-1 NAT. La segunda
dirección IP real base en el rango se traduce a la segunda dirección IP NAT base IP cuando se aplica 1-
to-1 NAT. Esto se repite hasta que se alcanza el “Number of hosts to NAT”. En nuestro ejemplo, el número
de hosts en los que se aplica NAT es cinco.
Puede también usar 1-to-1 NAT para resolver el problema cuando debe crear un túnel VPN entre dos redes
que usan la misma dirección de red privada. Cuando crea un túnel VPN, las redes en cada extremo del túnel
VPN deben tener diferentes rangos de direcciones de red. Si el rango de red en la red remota es el mismo de
la red local, puede configurar ambas puertas de enlace para usar 1-to-1 NAT. Entonces, puede crear el túnel
VPN y no cambiar la dirección IP de uno de los extremos del túnel. La 1-to-1 NAT para un túnel VPN está
Guía del Usuario 117

Usando 1-to-1 NAT
configurada cuando usted configura el tunel VPN y no en el cuadro de diálogo Network > NAT.
Configurando el firewall 1-to-1 NAT
1 Desde el Policy Manager, haga click en Network > NAT. Haga click en la pestaña 1-to-1 NAT.
2 Haga click en Add.
Aparecerá el cuadro de diálogo 1-1 Mapping.
3 En la lista desplegable Map Type, seleccione Single IP, IP range o IP subnet si desea mapear a un
host, a un rango de hosts, o a una subred.
4 En el cuadro de texto NAT base, escriba la dirección para que el rango NAT lo vea externamente.
5 Complete toda la información. Haga click en OK.
6 Repita los pasos 2 a 4 para cada entrada 1-to-1 NAT. Cuando haya terminado, haga click en OK para
cerrar el cuadro de diálogo NAT Setup. Guarde los cambios en el Firebox.
Después de configurar una regla global 1-to-1 NAT, debe configurar las direcciones IP basadas en NAT en
las políticas apropiadas. En el ejemplo dado más arriba, se debería configurar la política SMTP para permitir
tráfico SMTP desde Any hacia 50.1.1.1-50.1.1.5.
Configurando 1-to-1 NAT basada en políticas
Con este tipo de NAT, Firebox usa rangos IP privados y públicos que usted puede establecer cuando configura
1-to-1 NAT global, pero las reglas son aplicadas a una política individual.1-to-1 NAT está habilitada en
la configuración predeterminada de cada política. Si el tráfico cumple ambas políticas, la 1-to-1 NAT y la
NAT dinámica, la 1-to-1 NAT tiene prioridad. 1-to-1 NAT no deshabilitará NAT dinámica para la política.
Deshabilitando 1-to-1 NAT basada en políticas
1 Desde el Policy Manager, haga click derecho sobre una política y seleccione Edit.
2 Aparecerá la ventana Edit Policy Properties.
3 Haga click en la pestaña Advanced.
4 Borre la casilla de verificación 1-to-1 NAT para desconectar NAT del tráfico que controla esta política.
5 Haga click en OK. Guarde los cambios en el Firebox.
118 WatchGuard System Manager

Configurando NAT Estática para una Política
Configurando NAT dinámica basada en políticas
Con este tipo de NAT, Firebox mapea direcciones IP privadas a direcciones IP públicas. Se habilita NAT dinámica
en la configuración predeterminada de cada política. Seleccione Use Network NAT Settings si desea
usar el conjunto de reglas de NAT dinámica para el Firebox. Seleccione All traffic in this policy si desea aplicar
NAT a todo el tráfico en esta política. Si el tráfico coincide con las políticas 1-to-1 NAT y NAT dinámica, la
1-to-1 NAT tiene preferencia. La 1-to-1 NAT no deshabilitará NAT dinámica para la política.
Tiene también la opción de establecer una dirección IP NAT dinámica de origen para una política “any” (cualquiera)
que use NAT dinámica. Esto asegura que cualquier tráfico que use esta política muestre una dirección
específica dentro del rango de direcciones IP públicas o externas como origen. Debe hacer esto a
menudo para forzar que el tráfico SMTP saliente muestre la dirección del registro MX de su dominio cuando
la dirección IP en la interfaz externa de Firebox no sea la misma que la de su registro MX.
Las reglas de 1-to-1 NAT tienen mayor prioridad que las reglas de NAT dinámica.
Nota
Si usa multi-WAN, no puede usar la opción Set Source IP. Utilice esta opción sólo cuando su Firebox
ustilice una única interfaz externa.
Deshabilitando NAT dinámica basada en políticas
1 Desde el Policy Manager, haga click derecho sobre una política y seleccione Edit.
2 Aparecerá la ventana Edit Policy Properties .
3 Haga click en la pestaña Advanced.
4 Borre la casilla de verificación NAT dinámica para desconectar NAT del tráfico que controla esta política.
Configurando NAT Estática para una Política
La NAT estática, también conocida como “port forwarding” (reenvío de puerto), es una NAT de puerto a host.
Un host envía un paquete desde la red externa a un puerto en una interfaz externa. La NAT estática cambia
esta dirección IP a una dirección IP y puerto detrás del firewall. Si un software de aplicación usa más de un
puerto y los puertos se seleccionan dinámicamente, debe usar 1-to-1 NAT o chequear si hay una proxy en el
Firebox® para administrar esta clase de tráfico.
Cuando use NAT estática, use una dirección IP externa de su Firebox en lugar de la dirección IP de un servidor
público. Puede hacer esto si usted porque así lo prefiera o porque su servidor público no tenga una
dirección IP pública. Por ejemplo, puede poner su servidor SMTP de e-mail detrás del Firebox con una dirección
IP privada y configurar static NAT en su política SMTP. El Firebox recibirá conexiones en el puerto 25 y
asegurará que cualquier tráfico SMTP sea enviado al servidor SMTP real que haya detrás suyo.
Debido a cómo trabaja NAT estática, está disponible sólo para políticas que usan un puerto TCP o UDP específico.
Una política que tenga otro protocolo no puede usar NAT estática entrante. Si tiene una política que
usa un protocolo que no sea TCP o UDP, el botón NAT en el cuadro de diálogo Properties de esa política
estará deshabilitado. Tampoco podrá usar NAT estática con una política Any.
1 Haga doble click en un ícono de política en Policies Arena.
2 Desde la lista desplegable Connections are, seleccione Allowed.
Para usar NAT estática, la política debe permitir tráfico entrante.
3 Debajo de la lista To, haga click en Add.
Aparecerá el cuadro de diálogo Add Address.
Guía del Usuario 119

Configurando NAT Estática para una Política
4 Haga click en NAT.
Aparecerá el cuadro de diálogo Add Static NAT.
5 Desde la lista desplegable External IP Address, seleccione la dirección IP pública para usar para este
servicio.
6 Escriba la dirección IP interna.
La dirección IP interna es la de destino en la red confiable o la red opcional.
7 Si es necesario, seleccione la casilla de verificación Set internal port to different port than this
policy. Esto permite la traducción de direcciones de puerto (port address translation - PAT).
En general, no use esta característica. Porque permite que usted cambie el destino del paquete no sólo a un host interno
específico sino también a un puerto diferente. Si selecciona esta casilla de verificación, escriba el número de puerto diferente
o use los botones de flecha en la casilla Internal Port.
8 Haga click en OK para cerrar el cuadro de diálogo Add Static NAT.
Aparecerá la ruta estática NAT en la lista Members and Addresses.
9 Haga click en OK para cerrar el cuadro de diálogo Add Address. Haga click en OK para cerrar el cuadro
de diálogo Properties del servicio.
120 WatchGuard System Manager

CA P Í T U LO 10
Implementando la Autenticación
La Autenticación de Usuarios le permite a ciertos Nombres de Usuario estar asociados a determinadas
conexiones a través del dispositivo Firebox. Cuando se utiliza “Autenticación de usuarios”, el Administrador
del Firebox podrá ver los nombres de los usuarios y sus direcciones IP, si monitorea las conexiones realizadas
a través del dispositivo. Sin autenticación, sólo podrá ver las direcciones IP de dichas conexiones.
Además, usando Autenticación, un usuario podrá loguearse a la red desde cualquier computadora, pero sólo
podrá acceder a la información autorizada para su acceso. Todas las conexiones que un usuario inicie desde
una misma dirección IP, también trasmiten un “nombre de sesión” mientras el usuario permanece autenticado.
Su Firebox le permite crear políticas que incluyen grupos y nombres de usuarios. Como resultado, dichas
políticas se aplican a cualquier computadora a la que una persona se loguee.
Monitoree por “Nombre de Usuario”:
• Si utiliza el Protocolo Dynamc Host Configuration (DHCP). DHCP puede causar que la dirección IP de
una PC cambie.
• Si muchos usuarios diferentes pueden usar la misma dirección IP en un mismo día, como ocurre en
entornos universitarios o laboratorios.
En esos casos, la autenticación le dará mayor cantidad de información acerca de las acciones de los empleados
y usuarios.
Cómo Funciona la Autenticación de Usuario
En el dispositivo opera un servidor HTTPS para aceptar los pedidos de Autenticación. Para autenticarse, el
usuario debe conectarse a la página de autenticación del Firebox. Dicha dirección es:
https://dirección IP de la interfaz de Firebox: 4100/
ó
https://nombre del host del Firebox: 4100
Allí aparecerá un formulario web de autenticación. Cada usuario deberá escribir su Nombre y Clave. El
Firebox envía este nombre y clave al servidor de autenticación usando PAP (Protocolo de Autenticación de
Claves). Cuando el usuario está debidamente autenticado, se le permite acceder a los recursos de red previamente
permitidos. El usuario puede quedar autenticado por un tiempo limitado luego de cerrar su última
conexión autenticada. Dicho tiempo de permanencia es fijado por el Administrador desde Policy Manager
> Setup > Global Settings.
Para cerrar una sesión autenticada, antes de que se cierre pos si misma, el usuario debe clickear Logout en
la página web de Autenticación. Si dicha página se cierra, el usuario deberá abrirla nuevamente para poder
Guía del Usuario 121

Como Funciona la Autenticación de Usuario
desconectarse. Si el Administrador desea impedir que un usuario se autentique, deberá desactivar la cuenta
de dicho usuario en el servidor de autenticación.
Usando autenticación desde la red externa
La primera función de la herramienta de autenticación es autenticar el tráfico saliente. Sin embargo, también
puede ser usada para restringir el tráfico entrante. Si usted posee una cuenta en el Firebox, siempre
podrá usar la autenticación externa. Por ejemplo, podrá escribir esta dirección en su navegador:
https://dirección IP de la interfaz externa del Firebox: 4100/
Luego de autenticarse, podrá usar las políticas que ya fueron configuradas por usted en el Firebox.
Utilice este procedimiento para permitir a un usuario remoto autenticarse desde una red externa. Esto
habilitará a la persona a usar diversos recursos a través del Firebox.
1 Desde el “Policy Manager”, haga doble click en el ícono de políticas de WatchGuard Autenticación.
Estas reglas aparecerán luego de que usted sume al usuario, o al grupo, a la configuración de políticas.
Si usted edita una política ya configurada, verá un aviso de “advertencia”.
2 Haga click en la pestaña de Policys.
3 Desde el “WG-Auth connections are...” elija Allowed.
4 Desde la caja de Fro m , haga click en Ad d.Seleccione Any desde la lista y haga click en Ad d. Luego en OK.
5 Bajo la opción To haga click en Add. Seleccione luego Firebox de la lista y haga click en Add. Haga click
en OK.
Utilizando autenticación a través de un gateway Firebox hacia otro Firebox
Para poder enviar un pedido de autenticación a través de un gateway del Firebox hacia otro dispositivo
Firebox, deberá agregar una política que permita la autenticación de tráfico en el gateway Firebox. Para
esto use, en el gateway del Firebox, el Policy Manager para agregar la política WatchGuard Authentication.
Dicha política controla el tráfico en el puerto TCP 4100. Configure la política para permitir tráfico hacia la
dirección IP del Firebox de destino.
122 WatchGuard System Manager

Configurando el Firebox como un Servidor de Autentificación
Tipos de servidores de Autentificación
Con Fireware®, hay cinco métodos de autentificación:
• Firebox
• RADIUS
• SecurID
• LDAP
• Active Directory
Podrá co n f i g u rar uno, o más, t i pos de aute nt i cación de serv i d o res para el Fi re box . La aute nt i cación para difere
ntes tipos de serv i d o res es práct i ca m e nte la misma que para el usuari o. Pa ra el Ad m i n i s t rador la dife re n c i a
co n s i s te en que la base de datos de usuarios puede estar en el Fi re box o en un servidor dedicado a
Au te nt i ca c i ó n .
Cuando se utiliza un servidor de aute nt i ca c i ó n , d e berá co n f i g u ra rlo siguiendo las instrucciones de su fabri ca n-
te. De berá instalar el servidor con acceso al Fi re box y po n e rlo “d e t r á s”del dispo s i t i vo por ra zones de seguri d a d.
Utilizando un Servidor de Autenticación de respaldo
Podrá configurar un Servidor de autenticación de respaldo, con diversos sistemas de autenticación de terceras
partes. Si su Firebox no puede conectarse al servidor srimario de autenticación (luego de tres intentos),
se conectará al Servidor de autenticación respaldo. Si tampoco puede conectarse, esperará diez minutos y
volverá a intentar con el servidor primario. Este ciclo continuará hasta que el Firebox se conecte con algún
servidor de autentificación.
Configurando el Firebox como un Servidor de Autentificación
Si no se utiliza un servidor de autenticación de otro proveedor, podrá recurrir al Firebox para cumplir dicha
función. Este procedimiento divide a su empresa en grupos y usuarios. El grupo al que usted asignará a cada
persona estará determinado por las tareas que podrá hacer y el tipo de información a la que accederá. Por
ejemplo, podrá tener un grupo de contaduría, uno de marketing y otro de investigación y desarrollo.
Además, podrá habilitar un grupo de “empleados nuevos”, que tendrán un acceso especialmente controlado
a Internet.
En un grupo, usted fijará el procedimiento de autenticación para los usuarios, el tipo de sistemas y la información
a la que dicho grupo accederá. Un usuario puede ser una red o una computadora. Si su compañía
cambia, podrá agregar -o borrar- usuarios o sistemas de los grupos establecidos.
Utilice el Policy Manager para:
• Agregar, cambiar o borrar grupos en la configuración.
• Agregar o cambiar usuarios a un grupo.
Acerca de la autenticación del Firebox
Podrá configurar el Firebox para autenticar usuarios, usando tres tipos de autenticación:
• Autenticación de Firewall
• Conexiones PPTP
• Conexiones MUVPN
Cuando la autenticación sea exitosa, el Firebox hace un mapeo de estos ítems:
• Nombre de usuario
• Grupo (o grupos) de usuarios del Firebox del cual éste es miembro
• Dirección IP de la PC del usuario al momento de la autentificación
• La dirección IP virtual de la computadora del usuario, si éste está conectado por medio de una RUVPN.
Guía del Usuario 123

Configurando el Firebox como un Servidor de Autenticación
Autenticación de Firewall
Para crear una cuenta de usuario Firebox, desde el Policy Manager seleccione Setup > Authentication
Servers. Luego de creada, podrá armar un grupo en el Firebox y colocar al usuario en dicho grupo. Luego,
genere una política que permita tráfico sólo desde, o hacia, una lista de usuarios del Firebox o a una lista
de grupos del Firebox. Dicha política se aplica solamente si un paquete proviene, o va, a la dirección IP
autentificada del usuario.
Un usuario se autentifica con una conexión HTTPs al Firebox, usando el puerto 4100, tipeando:
https://dirección IP de la interfaz del Firrebox:4100/
Si el nombre de usuario y la clave son válidos, el usuario será autenticado. Cuando un usuario es autenticado,
las credenciales y la dirección IP de su computadora son empleadas para determinar que política se
aplica al tráfico que origina, o se dirige, a su PC.
Conexiones PPTP
Para configurar el Firebox para que sea huésped de sesiones PPTV VPN, selecciones VPN > Remote Users
y haga click en la pestaña PPTP. Si no tilda la opción Use RADIUS Authentication to authenticate remote
users, el Firebox autenticará la sesión PPTP. El dispositivo chequeará que el nombre y la clave que el
usuario coloca en la conexión VPN, coincidan con el nombre y la clave almacenados en la base de datos de
usuarios del Firebox. Si las credenciales proporcionadas coinciden con una cuenta del Firebox, el usuario
será autenticado y podrá mantener una sesión PPTP.
Luego, cree una política que permita el tráfico solamente desde, o hacia, una lista de nombre de usuarios
del Firebox, o una lista de grupos. El Firebox no chequeará esta política a menos que el tráfico provenga o
vaya a la dirección IP virtual autenticada.
El usuario realiza la conexión PPTP usando dicha función del Sistema Operativo de su computadora. Como
el Firebox permite la conexión PPTP desde cualquier usuario Firebox que proporcione las credenciales
correctas, es importante que usted haga una política para las sesiones PPTP, que incluya solamente a los
usuarios a los que quiera permitirles enviar tráfico sobre una sesión PPTP. O bien coloque a dichos usuarios
en un grupo Firebox y cree una política que permita tráfico sólo dentro de dicho grupo.
El Firebox ya tiene pre-configurado un grupo para esta función, denominado “PPTP-Users”.
Conexiones MUVPN
Puede configurar el Firebox para recibir sesiones VPN de usuario móviles, (MUVPN) en sesiones IPSec. Para
hacerlo seleccione VPN > Remote Users y cliquee sobre la lengüeta Mobile User VPN. Podrá armar grupos
MUVPN, utilizando el Wizzard Add Mobile User VPN. Cuando éste ayudante termine, el Policy Manager
hará dos cosas:
• Preparará un Perfil de Configuración de Clientes (un archivo .wgx) y lo colocará en la estación de trabajo
de la computadora que crea la cuenta MUVPN. El usuario deberá contar con este archivo .wgx
para poder configurar la computadora cliente MUVPN.
• Automáticamente agregará una política “Any” a la pestaña Mobile User VPN que permite el paso
del tráfico desde, y hacia un usuario MUVPN autenticado.
Cuando la PC del usuario esté bien configurada, se podrá establecer una conexión MUVPN. Si el nombre y
clave elegidos por el usuario en el cuadro de diálogo de la autenticación MUVPN se corresponde con una
entrada similar en la base de datos del Firebox, y si dicho usuario pertenece al grupo MUVPN creado,
entonces la sesión será autentificada.
El Policy Manager crea automáticamente una política que permite cualquier tráfico desde el usuario
autenticado. Para restringir los puertos a los que puede acceder un cliente MUVPN, borre la política “Any” y
agregue nuevas políticas que incluyan esos puertos en la pestaña Mobile User VPN. Para agregar políticas,
consulte el apartado “Agregando Políticas”.
124 WatchGuard System Manager

Configurando el Firebox como un Servidor de Autenticación
Configurando el Firebox como un servidor de autenticación
1 Desde el Policy Manager, selecciones Setup > Authentication Servers.
Aparecerá la caja diálogo Authentization Serversde . La configuración por defecto permite al Firebox cumplir la función de
Servidor de autenticación.
2 Para agregar un nuevo grupo de usuarios, haga click Add, bajo la lista de User Groups.
Aparecerá la caja de diálogo Add Firebox Group.
3 Escriba el Nombre de Grupo que usted desee y haga click en OK.
Guía del Usuario 125

Configurando el Firebox como un Servidor de Autenticación
4 Para agregar un nuevo usuario, haga click Add bajo la lista de Users.
Aparecerá la caja de dialogo Stup Firebox User.
5 Escriba el Nombre y la passpharase que quiere que la persona utilice para autenticarse con el
Firebox.
Cuando la passphrase esté seteada, ya no será visible como texto común. Si la pierde deberá elegirse una nueva .
6 Para agregar un usuario a un grupo, seleccione el nombre del grupo desde la lista Available. Haga click
sobre la doble flecha que apunta a la izquierda para mover el nombre a la lista de Members.
También puede hacer doble click sobre el Nombre del Grupo.
7 Agregue el usuario al grupo de Usuarios PPTP, si quiere usar este grupo en un servicio.
8 Luego de agregar el usuario a los grupos elegidos, haga click en OK.
El usuario será agregado a la lista. Y podrá agregar más usuarios.
9 Para cerrar el cuadro de diálogo Setup Firebox User, haga click en OK.
Aparecerá la lengüeta de Usuarios del Firebox, con una lista de los nuevos usuarios
10 Con los usuarios y grupos ya agregados, haga click en OK. Desde ese momento podrá utilizar los
usuarios y grupos para configurar las políticas y la autenticación.
Usando una cuenta de usuario local para autenticación de Firewall, PPTP y MUVPN
Cualquier usuario puede autentificarse como usuario de Firewall, PPTP o MUVPN y abrir un túnel PPTP o
MUVPN, si estos están permitidos en el dispositivo. Sin embargo, luego de que una autenticación o un
túnel han sido establecidos en forma exitosa, dicho usuario podrá enviar tráfico a través del túnel VPN
solamente si esos paquetes están permitidos por una política en el Firebox. Por ejemplo, un usuario que
sólo pueda enviar tráfico MUVPN, podrá usar un túnel MUVPN, pero no un túnel PPTP, ni siquiera aunque
el usuario pueda autentificarse y establecerlo.
1 Habilite y configure el sistema para autentificaciones de usuarios de Firewall, MUVPN y PPTP para usar
cuentas locales.
2 Cree políticas apropiadas para estos tipos de autenticación.
3 Asocie una cuenta de usuario a cada grupo de autenticación (Usuarios -FW; Usuarios-PPTP, Usuarios-
MUVPN). También cree una cuenta que no pertenezca a ningún grupo.
4 Establezca la configuración en el Firebox.
5 Use un navegador, un cliente PPTP y un cliente MUVPN para autenticarse con el Firebox con cada una
de estas cuentas.
126 WatchGuard System Manager

Configurando el Servidor de Autenticación RADIUS
Configurando el Servidor de Autenticación RADIUS
El servicio de autenticación remota por Dial-In (RADIUS) autentifica a usuarios locales en la red de una compañía.
RADIUS es un sistema cliente/servidor, que mantiene la información de autenticación de los usuarios,
los servidores de acceso remoto, los gateways VPN y otros recursos, en una base de datos centralizada. Los
mensajes de autenticación desde, y hacia, el Servidor RADIUS siempre llevan una “llave” de autenticación.
Esta llave de autenticación (“secreto compartido”) debe ser la misma en el cliente RADIUS y en el Servidor.
Sin dicha llave, los hackers no podrán llegar hasta los mensajes de autenticación. Note que el RADIUS envía
una llave, y no una clave, durante la autenticación. Para la autenticación de web y MUVPN, RADIUS sólo
soporta autenticación PAP (y no CHAP). Para autenticación con PPTP, RADIUS solamente soporta MSCHAPv2.
Para usar la autenticación de Servidor RADIUS con un Firebox®, deberá :
• Agregar dirección IP del Firebox al servidor RADIUS, tal como se describe en la documentación de
RADIUS.
• Habilitar y especificar el Servidor RADIUS en la configuración del Firebox.
• Agregar nombres de usuarios y grupos RADIUS en las políticas del Policy Manager.
Para permitir la autenticación de Servidor RADIUS:
1 Desde el Policy Manager seleccione Setup > Authentications Servers. Haga Click en la pestaña
RADIUS Server
Aparecerá la configuración del RADIUS).
2 En la caja IP Address, escriba la dirección IP del servidor RADIUS.
3 Co m p ru e be que en la caja Po rt, a p a rezca el número de puerto que el RADIUS utiliza para la aute nt i ca c i ó n
El defecto es 1812. Sistemas antiguos de RADIUS pueden tener el 1645.
4 En la caja Secret, escriba el “secreto compartido” entre el Firebox y el servidor RADIUS.
Este “Secreto compartido” es sensible a mayúsculas y minúsculas y debe ser exactamente igual en ambos Servidores.
5 Para establecer el tiempo de Time-out, use el control Timeout para setear el tiempo que desee.
(Esto determina cuánto tiempo esperará el Firebox por una respuesta del servidor de autenticación antes de reintentar la
conexión).
Guía del Usuario 127

Configurando la Autenticación SecurID
6 Para establecer cuantos intentos de conexión realizará el Firebox, Retry para elegir el número.
(Este es el número de veces que el Firebox intenta conectarse al Servidor de autenticación -empleando el Timeout antes
especificado- previamente a e informar que hay una conexión fallida).
7 Pa ra setear los at ri b u tos del gru po, u t i l i ce el co nt rol Group At t ri b u te p a ra establecer el valor que desee
(El valor del atributo de grupos se usa para establecer que atributo lleva el Grupo de Usuarios de Información. Cuando el
RADIUS envía un mensaje al Firebox, diciendo que un usuario está autenticado, también envía una cadena de información
de grupo de usuario; por ejemplo “grupodemkt” o “grupo_contabilidad”. Esta información se usa para el control de
acceso.
8 Para agregar un Servidor RADIUS de backup, tilde la casilla Specify Ba c kup RADIUS Se rve r. Al hacerlo,
tipee la dirección IP y el puerto del Servidor de backup. El “Secreto compartido” debe ser el mismo en
el Servidor RADIUS principal y en el de Backup.
9 Haga click en OK.
Configurando la Autenticación SecurID
Para usar autenticación SecurID, deberá configurar el RADIUS y el Servidor ACE en forma correcta. Los
usuarios deberán también contar con un token y un PIN (Personal Identification Number) aprobado. Vea
las instrucciones SecurID para más información.
Nota
No utilice RADIUS Steel Belted con SecurID. Utilice aplicaciones de software RADIUS con
software de SecurID de RSA.
1 Desde el Policy Manager seleccione Setup > Authentication Servers. Click en la lengüeta SecurID
Server.
2 En la caja de diálogo IP Address, tipee la dirección IP del Servidor SecurID.
128 WatchGuard System Manager

Configurando Autenticación LDAP
3 En la caja Port use el control para seleccionar el número de puerto para usar la autenticación SecurID.
El default es 1812.
4 En la caja Secret tipee el “Secreto compartido” entre el Firebox y el Servidor SecurID.
Este “Secreto compartido” es sensible a mayúsculas y minúsculas y debe ser el mismo entre el Servidor SecurID y el Firebox.
5 En la caja Timeout, use el control para elegir el timeout que usted desee.
Este control fija cuanto tiempo el Firebox espera una respuesta desde el Servidor de autenticación antes de intentar una
nueva conexión.
6 Para setear cuantos intentos de conexión realiza el Firebox, utilice Retry.
Es el número de veces que el Firebox intenta volver a conectar con el Servidor de autenticación –usando el timeout prestablecido-
antes de informar que hay una conexión fallida.
7 Seleccione los atributos del grupo. Recomendamos no cambiar este valor.
Los atributos de grupo se usan para fijar que atributo transporta el grupo de información de usuario. Cuando un Servidor
SecurID envía un mensaje, diciendo que un usuario está autentificado, también envía una cadena de datos de “grupo de
usuarios”; por ejemplo “mktGroup”. Esta información se usa para el control de acceso
8 Tipee la dirección IP y el puerto del Servidor de backup del SecurID. El “Secreto compartido” debe ser el
mismo entre ambos.
9 Haga click en OK.
Configurando Autenticación LDAP
Usted puede usar el sistema de autenticación LDAP (Lightweight Directory Access Protocol) para autenticación
de usuarios con el Firebox. LDAP es un protocolo de estándar abierto usado para dar servicios de directorio
en línea. Opera con protocolos de Internet como TCP. Puede usar LDAP para acceder a Servidores de
directorio “stand-alone”, o a directorios X.500.
1 Desde el Policy Manager, seleccione Setup> Authentication Servers. Seleccione la lengüeta LDAP.
2 Tilde el cuadro Enable LDAP Sever.
Guía del Usuario 129

Servidores WatchGuard
3 En la caja IP Address tipee la dirección IP del Servidor LDAP primario para que el Firebox pueda
hacer las solicitudes de autenticación.
El LDAP debe estar ubicado sobre cualquier interfase del Firebox o disponible a través de un túnel VPN.
4 Desde el menú descolgable “Port” seleccione el número de puerto TCP que usará el Firebox al
conectarse al Servidor LDAP. El estandar es 389.
No soporta conexión SSL en el puerto 636.
5 Tipee el Search Base. El formato estándar para este búsqueda es: ou=organizational unit,dc=first
part of distinguished server name,dc=any part of the distinguished server name que aparece luego del
punto.
Por ejemplo, si las cuentas de usuario están en OU, deberá referirlas como “cuentas” y si su nombre de
dominio es xxx.com, su search base será:
”ou=cuentas,dc=xxx,dc=com”
Usted fija la “search base” para poner un límite en los directorios del Servidor de autenticación en los cuales el Firebox
busca una coincidencia con la base de autenticación.
6 Tipee el Group String
Este atributo se usa para manejar información del grupo en el Servidor LDAP. En muchos Servidores de este tipo, la cadena
default es “uniqueMember” en otros servidores es “member”.
7 Si es necesario, cambie el valor de Time-out. Esto fija cuanto tiempo esperará el Firebox por una res
puesta del Servidor de autenticación.
8 Agregue información del servidor LDAP de backup, si lo tiene.
9 Para configurar usuarios MUVPN, que obtengan información de configuración desde un Servidor LDAP,
puede cambiar su esquema de directorio y usar los seteos disponibles a través de Optional Settings.
Podrá introducir información de clientes MUVPN si las propiedades de usuario de su Servidor LDAP
incluyen la dirección IP, submáscaras de red, Servidor DNS y WINS. En esos casos podrá mapear estos
campos a los campos que aparecen en Optional Settings. Cuando el usuario MUVPN comienza un
túnel VPN a través del Firebox, el equipo emplea esos valores usando la información contenida en el
Servidor LDAP, en las propiedades de usuario del LDAP.
IP Attribute String
Escriba el nombre del usuario LDAP y sus propiedades en el campo que contiene las direcciones IP
asignadas.
Netmask Attibute String
Escriba el nombre de usuario LDAP y sus propiedades en el campo de máscara de subred asignada.
DNS Attribute String
Escriba el nombre de usuario LDAP y sus propiedades en el campo que contiene la dirección IP del
Servidor DNS.
WINS Attribute String
Escriba el nombre de usuario LDAP y sus propiedades en el campo que contiene la dirección IP del
Servidor WINS
Lease time Attribute String
Escriba el nombre de usuario LDAP y sus propiedades en el campo que contiene el total del tiempo
permitido para una sesión de conexión MUVPN.
Idle Timeout Attibute String
Escriba el nombre de usuario LDAP y sus propiedades en el campo que contengan el tiempo de
time-out asignado.
130 WatchGuard System Manager

Configurando la Autenticación por Directorio Activo
Configurando la Autenticación por Directorio Activo
Puede usar autenticación de Directorio Activo (Active Directory) para autentificar a sus usuarios en el
Firebox. Deberá configurar el Firebox y también el Servidor de Directorio Activo.
1 Desde el Policy Manager, seleccione Setup > Authentication Servers. Seleccione la pestaña Active
Directory.
2 Tile la caja Enable Active Directory Server.
3 Tipee la dirección IP primaria del Servidor Active Directory.
El Servidor Active Directory debe estar conectado a cualquier interfase del Firebox o disponible a través de un túnel VPN.
4 Seleccione el número de puerto TCP que el Firebox usará en su conexión con el Servidor Active
Directory. El default es 389.
Si su Servidor Active Directory pertenece a un Servidor de marca conocida, puede ser útil cambiar el default. Para más
información vea https://www.watchguard.com/support/Fireware_HowTo/HowTo_UseGlobalCatalogPort.pdf.
5 Tipee el Search Base. El formato estándar para un search base es: ou=organizational unit,dc=first part of
distiguished server name,dc=any part of the distinguished server mane appearing after the dot.
Por ejemplo, si la cuenta de usuario está en una OU (organizational unit), usted se referirá a las “cuentas”
y su nombre de dominio es HQ_main.com, su search base será:“ou=accounts,dc=HQ_mail,dc=com”.
Se fija una search base para poner límites en los directorios del Servidor de autenticación entre los que
el Firebox busca para encontrar una coincidencia.
6 Tipee la Group String
Este es un atributo de cadena que se usa para mantener información en el Servidor de Active Directory. Si no cambió el
esquema de Active Directory, la cadena de grupo siempre es “memberOf””.
7 Si es necesario, cambie el valor de time-out.
El tiempo que el Firebox espera una respuesta desde el Servidor de autenticación).
8 Agregue información para el Servidor de Active Directory de backup, si cuenta con uno.
9 Para configurar los usuarios MUVPN, de manera de que obtengan información de configuración desde el
Servidor Active Directory, deberá cambiar su esquema de directorio y utilizar los seteos disponibles a tra-
Guía del Usuario 131

Configurando una Política con Autenticación de Usuario
vés de la opción Optional Settings. Podrá entrar información del cliente MUVPN en el cuadro de propiedades
de usuarios de su Servidor Active Directory, que incluye las direcciones IP, submáscaras de
red y/o servidores DNS y WINS. Luego podrá mapear estos campos a los campos que aparecen en el
Optional Settings. Cuando un usuario MUVPN comience un túnel VPN a través del Firebox, el Firebox
fija las direcciones IP, las submáscaras de red y los Servidores de DNS y WINS para el usuario, aprovechando
la información que aparece en las propiedades de usuario del Active Directory.
IP Attribute String
Tipee el nombre de los campos de propiedades de usuario de Active Directory que contienen la
dirección IP asignada.
Netmask Attibute String
Tipee el nombre de los campos de propiedades de usuario de Active Directory que contienen la
máscara de subred asignada.
DNS Attribute String
Tipee el nombre de los campos de propiedades de usuario de Active Directory que contengan las
direcciones IP del Servidor DNS.
WINS Attribute String
Tipee el nombre de los campos de propiedades de usuario de Active Directory que contengan la
dirección IP del Servidor WINS.
Lease Time Attribute String
Tipee el nombre de los campos de propiedades de usuario de Active Directory que contengan el
tiempo permitido de leasing.
Idle Timeout Attibute String
Tipee el nombre de los campos de propiedades de usuario de Active Directory que contenga el
tiempo de espera inactivo asignado para el time-out.
Configurando una Política con Autenticación de Usuario
Cuando configura el Firebox para usar un Servidor de autenticación, podrá comenzar a utilizar nombres de
usuario al crear políticas y política en el Policy Manager. Por ejemplo, puede poner límites a todas las políticas,
de manera de que las conexiones sean permitidas sólo para usuarios autentificados. Para hacer esto:
1 Cree un grupo en su Servidor de terceras partes que contenga todas las cuentas de usuarios.
2 En el Policy Manager, agregue una política de salida. Bajo el campo From cliquee en Add y luego en
Add User.
Aparecerá un cuadro de diálogo.
3 Desde la lista despegable de Choose Type seleccione Autenticación de Firewall, MUVPN o PPTP.
4 Desde la lista desplegable Auth Se rve r seleccione el tipo de Se rvidor de aute nt i cación que va a utilizar.
5 Desde User/Group seleccione User o Group.
6 Tipee el nombre de Usuario o Grupo creado en el Servidor de autenticación. Cliquee OK.
132 WatchGuard System Manager

Configurando una Política con Autenticación de Usuario
7 Configure el campo From con todas las políticas y políticas en el Policy Manager de la misma manera.
8 Tras sumar un usuario o grupo a una política, el WatchGuard System Manager, automáticamente agrega
una política WatchGuard de Autenticación a la configuración del dispositivo. Utilice esta política para
controlar el acceso a la página web de autenticación.
Guía del Usuario 133

Configurando una Política con Autenticación de Usuario
134 WatchGuard System Manager

CA P Í T U LO 11
F i rewall: Detección y Prevención de
I n t ru s i o n e s
Su dispositivo WatchGuard® Fireware® y las políticas que son generadas usando el Policy Manager le permiten
tener un estricto control sobre el acceso a su red. Y una política estricta ayuda a mantener a los hackers
alejados de sus redes. Pero hay otros tipos de ataques que ni siquiera una política cuidadosa puede combatir.
Sin embargo, una ajustada configuración de las opciones de manejo de paquetes en su Firebox puede
detener ataques tales como “SYN flood” (saturación), ataques Spoofing y las pruebas y testeos lanzados por
hackers, buscando puertos abiertos o direcciones de su red.
Regularmente, con su configuración por defecto, un firewall examina el destino y el origen de cada paquete
que recibe. El dispositivo “mira” la dirección IP y los puertos, y monitorea los paquetes buscando patrones
que demuestren que la red está en riesgo. Si aparece algún indicio extraño, usted podrá configurar su
Firebox para bloquear automáticamente cualquier posible ataque. Este método proactivo de detección de
intrusiones ayuda a mantener a los atacantes lejos de su red. Además, es posible adquirir una actualización
para el Firebox que le permita usar prevención de intrusos basada en firmas digitales. Para obtener más
información sobre esto, vea los capítulos correspondientes en este manual.
Usando las Opciones por Defecto para Manejo de Paquetes
El Firewall examina la fuente y el destino de cada paquete que recibe. Revisa también la dirección IP y el
número de puerto. El dispositivo, además, monitorea el comportamiento de los paquetes buscando patrones
que muestren que su red puede estar en riesgo.
El manejo de paquetes por defecto opera así:
• Rechaza un paquete que pueda constituir un riesgo a la seguridad, incluyendo aquellos que puedan
ser parte de un esquema de spoofing o un ataque SYN de “saturación”.
• Puede bloquear en forma automática todo el tráfico que provenga desde, o vaya hacia, una determinada
dirección IP.
• Agrega eventos al archivo de log.
• Lanza una trampa SNMP al servidor de administración SNMP.
• Envía una notificación sobre los posibles riesgos de seguridad.
Usted podrá configurara todas las opciones de manejo por defecto de paquetes recurriendo a la la caja de
diálogo Default Packet Handling.
1 Desde el Policy Manager seleccione Setup > Intrusión Prevention > Default Packet Handling.
ó
Haga click en el ícono de manejo de paquetes de la barra de tareas del Policy Manager.
Aparecerá la caja de diálogo Default Packet Handling.
Guía del Usuario 135

Usando las Opciones por Defecto para Manejo de Paquetes
2 Tilde la opción correcta para el patrón de tráfico que desea prevenir, tal como está explicado en la
sección siguiente. La configuración por defecto envía un mensaje al archivo de eventos (Log) cuando
uno de estos eventos ocurre. Para configurar una trampa SNMP o para las notificaciones del sistema de
manejo de paquetes haga click en Logging.
Ataques “spoofing”
Una opción que usan los atacantes para ganar acceso a las redes es falsificar una “identidad electrónica”.
Con este procedimiento de “Spoofing IP”, el atacante envía un paquete TCP/IP que usa una dirección IP
diferentes de la del host que la envía originalmente.
Con el sistema “IP Spoofing” habilitado, su Firebox realiza chequeos para asegurarse de que la fuente de la
dirección IP del paquete analizado pertenezca a la red correspondiente.
Para protegerse de ataques Spoofing, tilde la opción Drop Spoofing Attacks en la caja de diálogo de
Default Packet Handling.
Ataques sobre los caminos de las fuentes IP
Los hackers usan ataques sobre los caminos de las fuentes IP para enviar un paquete IP de manera de
e n co nt rar la ruta que sigue el paquete para moverse a través de las re d e s. El at a ca nte podrá ento n ces ver la
respuesta a dichos paquetes y obtener info rmación sobre el sistema ope rat i vo de los equipos y redes a las
que está hostigando.
Para protegerse contra este tipo de agresiones, tilde la opción Drop IP Source Route, desde la caja de diálogo
de Default Packet Handling.
Ataques del tipo “Ping de la muerte” (“Ping of death”)
“Ping of death” es un ataque DoS o de “denegación de servicios”. Los causan los hackers al enviar un
paquete IP cuyo tamaño exede los 65.535 bytes permitidos por el protocolo IP. Esto provoca que algunos
sistemas operativos se cuelguen o se reinicien.
Para proteger su red de este tipo de ataques, el Firebox tiene la opción Drop Ping of Death siempre funcionando.
Es una opción que no puede desactivarse.
136 WatchGuard System Manager

Usando las Opciones por Defecto para Manejo de Paquetes
Ataques al espacio de puertos y direcciones
Los atacantes usan diversos trucos para obtener información sobre redes y los Servidores. Los sondeos del
espacio de puertos tratan de determinar qué servicios usa un servidor o un host, y revisan la red buscando
qué servidores la integran.
Para protegerse contra este tipo de ataques, tilde Block Port Space Probes y Block Address Space Probes
desde la caja de diálogo Default Packet Handling. Luego podrá usar las flechas y elegir un número máximo
de sondeos de direcciones y de puertos IP para cada fuente de dirección IP.
Ataques de saturación “Flood”
En este tipo de agresión, los atacantes direccionan un gran volumen de tráfico hacia un sistema, de manera
de que éste no puede examinar, ni permitir tráfico de red. Por ejemplo, un ataque “de saturación” ICMP, se
verifica cuando la red recibe tantos comandos ping ICMP que agota todos sus recursos enviando las respuestas.
Su dispositivo Firebox le permite protegerse contra los siguientes tipos de ataques de saturación:
• Ataques de saturación IPSec.
• Ataques de saturación IKE.
• Ataques de saturación ICMP.
• Ataques de saturación SYN
• Ataques de saturación UDP.
A los ataques de saturación también se los conoce como ataques de Denegación de Servicio (Denial of
Service – DoS). Podrá usar la caja de diálogo Default Packet Handling para configurar su Firebox de manera
de evitar esos ataques. Tilde las opciones de ataques que desea prevenir. Y emplee las flechas para seleccionar
el número máximo de paquetes que serán permitidos por segundo.
Sobre la configuración para ataques de saturación SYN
Para los ataques de saturación del tipo SYN, podrá fijar el límite a partir del cual el Firebox dará el aviso de
que hay un posible ataque SYN en curso. Sin embargo, no se desecharán paquetes si no se supera dicho
límite. Lo que ocurrirá es que, a una tasa del doble de dicho límite, todos los paquetes SYN será rechazados.
En el umbral intermedio entre el límite por usted fijado y el doble de dicho límite ocurrirá lo siguiente: si dos
paquetes llegan casi en simultáneo y comparten la src_IP, dst_IP y el total_length, entonces serán desechados.
De otra manera, el 25% de los nuevos paquetes recibidos serán desechados.
Por ejemplo, suponga que el límite fijado es de 18 paquetes por segundo. Cuando su sistema los reciba, el
Firebox advertirá que es posible que haya un ataque SYN de saturación en progreso, pero no rebotará ningún
paquete. Si recibe 20 paquetes por segundo, el Firebox rechazará el 25% de los paquetes (5 paquetes).
Pero, si se reciben 36 o más paquetes, los últimos 18 o más serán desechados.
Paquetes sin “manejo” (unhandled)
Un paquete “unhandled” es un paquete que no se encuadra dentro de las reglas creadas en el Policy
Manager. El Firebox siempre deniega dicho paquete, pero es posible, además, seleccionar una función para
bloquear automáticamente la fuente. Esto agrega la dirección IP que envía dicho paquete a una lista temporaria
de Sitios Bloqueados. También es posible enviar un reseteo TCP o un mensaje de error ICMP al cliente
cuando un paquete “unhandled” es recibido por el Firebox.
Ataques distribuidos de Denegación de Servicios (DDoS)
Los ataques distribuidos de denegación de servicios (DDoS) son prácticamente similares a los ataques de
saturación. En un DDoS, los comandos ping ICMP provienen de muchas computadoras. Usted podrá usar la
caja de diálogo Default Packet Handling para configurar el Firebox de manera de protegerse contra ataques
DDoS. Utilice las flechas para fijar el máximo permitido de número de conexiones que sus servidores y
clientes podrán recibir por segundo.
Guía del Usuario 137

Sitios Bloqueados
Sitios Bloqueados
La función Sitios Bloqueados ayuda a prevenir el tráfico proveniente de sistemas que usted ya sabe que
son riesgosos para la red. Luego de que identifique la fuente el tráfico sospechoso, podrá bloquear todas
las conexiones desde dicha IP. También podrá configurar el Firebox para enviar un mensaje al archivo de
Logs cada vez que dicha fuente intente conectarse a su red. Luego podrá revisar ese archivo y ver los servicios
que son usados para los ataques.
Un sitio bloqueado es una dirección IP que ya no podrá establecer una conexión a través de su Firebox. Si
un paquete proviene desde un sistema bloqueado no pasará a través del dispositivo.
Es posible usar dos tipos diferente de bloqueos de direcciones IP:
• Sitios permanentemente bloqueados — colocándolos en la configuración, en forma manual. A esto
se los conoce como una “lista de sitios bloqueados”.
• Sitios auto-bloqueados — Son direcciones de IP que el Firebox agrega o saca de una lista temporal
de sitios bloqueados. El Firebox usa las reglas de manejo de paquetes que son específicas para
cada servicio. Por ejemplo, usted puede configurar al Firebox para bloquear direcciones IP que intentan
conectarse a un puerto bloqueado. Estas direcciones serán, entonces, bloqueadas por un tiempo
especificado. A esto se lo conoce como Lista de Sitios Bloqueados Temporariamente.
Es posible usar una lista de sitios temporariamente bloqueados con los mensajes logueados, de manera
de poder tomar decisiones eficientes al elegir qué direcciones IP deberá bloquear en forma permanente.
Bloqueando un sitio en forma permanente
Desde el Policy Manager se puede bloquear en forma permanente un equipo que usted sepa que constituye
un riesgo. Por ejemplo, una computadora de alguna Universidad, que suele ser usada por hackers, es
una típica opción para bloquear.
1 Desde el Policy Manager seleccione Setup > Intrusión Prevention > Blocked Sites.
Aparecerá la caja de Blocked Sites Configuration.
2 Haga click en Add.
Aparecerá una nueva caja de diálogo.
138 WatchGuard System Manager

Sitios Bloqueados
3 Busque en la lista desplegable Choose Type, y elija un tipo de miembro entre Host IP, Network IP o
Host Range.
4 Elija el valor del miembro.
El tipo de miembro muestra si se trata de una dirección o un rango de direcciones IP. Cuando usted escriba una IP, tipee
todos los números y puntos No use la tecla de Tab o las flechas.
5 Haga click en OK.
El nuevo sitio aparecerá en la lista de sitios bloqueados.
Para bloquear sitios de spyware
Con el Firebox podrá bloquear la acción del spywares, si configura categorías de sitios con spyware que
deban ser bloqueadas.
1 En la caja de diálogo Blocked Sites, tilde la opción Enable Antispyware Blocklist blocking.
2 Por defecto, el Firebox bloquea todas las categorías de spyware cuando usted selecciona la opción
anterior. Para elegir cuales categorías de spyware bloquear, haga clic en Configure.
Aparecerá la caja de diálogo Antispyware Blocklist Categories.
3 Seleccione o deje vacías las siguientes opciones para permitir o no para estas categorías. Para
habilitar o deshabilitar todas simultáneamente tilde la casilla de verificación All Spyware Categories:
Adware
Una aplicación de software en la que aparecen banners de publlicidad mientras el programa trabaja. A
veces incluye código que graba la información personal de un usuario y la envía a desconocidos sin su
autorización ni conocimiento.
Dialer
Es un software que puede “tomar” el modem del usuario, llamar a diversos números preconfigurados y
acceder a sitios web inapropiados.
Downloader
Es un programa que obtiene e instala archivos. La mayoría obtiene dichos archivos desde un sitio web
o FTP determinado.
Hijacker
Es un tipo de malware que cambia los seteos preconfigurados del programa navegador y redirige a
quien lo usa a sitios no deseados.
Trackware
Cualquier software que usa la conexión de la PC para enviar información personal sin permiso del
usuario.
Guía del Usuario 139

Sitios Bloqueados
Cómo usar una lista externa de sitios bloqueados
Se puede almacenar almacenar una lista de sitios bloqueados en un archivo externo. Este archivo debe ser
un “.TXT”. Para sumar un archivo externo a la lista de sitios bloqueados haga lo siguiente:
1 En la caja de diálogo de Blocker Sites Configuration, seleccione Import.
2 Busque el archivo y haga doble click o seleccione Open.
Los sitios de dicho archivo aparecerán en la lista de sitios bloqueados.
Cómo crear excepciones a la lista de sitios bloqueados
Un host que figure como excepción en la lista de sitios bloqueados no aparecerá en lamisma. Las reglas
automáticas no se aplican a dicho host.
1 Desde el Policy Manager seleccione Setup > Intrusión Prevention > Blocked Sites.
2 Haga click en la pestaña Blocked Sites Exceptions. Hga click en Add.
3 Use el listado desplegable del Choose Type y seleccione un tipo de miembro. Estas selecciones son
Host IP, Network IP, o Host Range.
4 Escriba el valor del miembro.
El tipo de miembro muestra si se trata de una dirección o de un rango de direcciones IP. Cuando usted escriba una IP,
tipee todos los números y puntos No use las tecla tab ni las flechas.
5 Seleccione OK.
Configurando los parámetros de log y notificación
Usted puede configurar el Firebox para que marque una entrada en el archivo del log cuando un Servidor
trata de usar un sitio bloqueado. También podrá setear la notificación cuando el host intenta obtener
acceso a un sitio bloqueado.
1 Desde la caja de diálogo Blocked Sites, elija Logging.
Aparecerá la caja de diálogo de Logging and Notification.
2 Fije los parámetros y las notificaciones para que cumplan sus políticas de seguridad:
Enter it in the Log
Cuando usted tilda esta opción, el Firebox envía un mensaje al log cada vez que se deniegue el acceso
a un paquete por haber sido bloqueado por su configuración de puertos. La configuración por
defecto de todos los servicios del Firebox es enviar un mensaje al log cuando deniega el acceso a un
paquete.
140 WatchGuard System Manager

Sitios Bloqueados
Send SNMP tramp
Cuando usted tilda esta opción el Firebox envía un evento de notificación al sistema de manejo del
SNMP. El filtro de SNMP captura y analiza el tráfico y constata que se ajuste a los valores permitidos.
Send notification
Cuando usted tilda esta opción, el Firebox envía una notificación cada vez que un paquete es rechazado
por la configuración de puertos bloqueados. Es posible configurar el Firebox para que realice una
de las siguientes acciones.
- E-mail: el Firebox envía un e-mail cuando ocurre el evento. Escriba la dirección de notificación en
la pestaña Notification de la interfaz del Servidor de Logs.
- Ventana Pop-up: el Firebox hace que aparezca una caja de diálogo en la estación de trabajo en la
que el evento ocurre.
Configurando el intervalo de lanzamiento y la cuenta de repetición
Usted podrá determinar el momento de las notificaciones, junto con la cuenta de repeticiones. Hágalo así:
Intervalo de Lanzamiento (Launch Interval)
Es el tiempo mínimo en minutos entre las diferentes notificaciones. Este parámetro previene el exceso
de notificaciones en un tiempo demasiado corto, para el mismo evento.
Cuenta de repeticiones (Repeat Count)
Esta cuenta registra cuán frecuentemente ocurre un evento. Cuando dicha cuenta llega a un valor
determinado, comienza a actuar un notificador especial. Este notificador marca una entrada especial
de repetición en el Log de eventos. Las notificaciones comienzan nuevamente luego de un número
determinado de eventos ya prestablecido.
Veamos un ejemplo de cómo se usan estos valores. Se configuran de la siguiente manera:
• Intervalo de lanzamiento = 5 minutos.
• Cuenta de repetición = 4
Un sondeo del espacio de puertos comienza a las 10:00 AM, y continúa cada minuto. Esto da inicio al sistema
de logueo y de notificación. Estos serán los tiempos y las acciones que ocurrirán:
1 10:00 Inicio del sondeo del espacio de puertos (primer evento)
2 10:01 Se lanza el primer evento de notificación (evento uno)
3 10:06 Segundo evento de notificación (reporta cinco eventos)
4 10:11 Tercer evento de notificación (informa cinco eventos)
5 10:16 Cuarto evento de notificación (informa cinco eventos)
El tiempo de lanzamiento de eventos controla el tiempo de intervalo de los eventos 1,2,3,4 y 5. Éste fue configurado
para actuar en 5 minutos. Multiplique la cantidad de repeticiones por el intervalo de lanzamiento.
Éste es el intervalo de tiempo en el que el evento debe continuar para iniciar el repetidor de notificaciones.
Bloquear temporariamente sitios con configuración de reglas
Podrá configurar las políticas y reglas para bloquear los sitios que intentan usar un servicio denegado.
1 Desde el Policy Manager, haga doble click en el icono de Políticas.
Aparecerá la caja de diálogo Properties.
2 En la pestaña Policy.
3 En la pestaña Properties tilde la opción Automatically block sites that attempt to connect.
Asegurese de configurar la lista desplegable Conection Are Denied.
Guía del Usuario 141

Bloqueo de Puertos
Bloqueo de Puertos
Se puede bloquear los puertos que usted sabe que pueden ser usados para atacar su red. Esto bloqueará
determinados servicios de red externos. Cuando usted cierra un puerto, esta acción toma la prioridad por
sobre cualquier otra configuración previa de servicios.
Usted puede bloquear un puerto porque:
• Hacerlo puede proteger los servicios más sensibles. Esta opción le ayuda a protegerse
de posibles errores en el proceso de configuración del Firebox.
• Los sondeos maliciosos contra servicios sensibles pueden ser registrados especialmente en el archivo
de log de eventos.
Con su configuración por default, el Firebox ya bloquea determinados puertos. Esto le facilita una
básica que, usualmente, no necesita ser cambiada. Bloquea los paquetes TCP y UDP para los siguientes
puertos.
X Windows System (puertos 6000-6005)
La conexión del cliente a X Windows System (o X-Windows) no está encriptada y es peligrosa en
Internet.
X Font Server (puerto 7100)
Muchas versiones de X-Windows operan X Font Servers. Los X Font Servers operan como “superusuario”
en algunos servidores.
NFS (puerto 2049)
El NFS es usualmente usado como servicio TCP/IP, cuando muchos usuarios emplean los mismos
archivos en una red. Pero las nuevas versiones presentan importantes problemas de autenticación y
seguridad. Proporcionar servicios NFS sobre Internet puede ser muy peligroso.
Nota
El mapeador de puertos frecuentemente usa el puerto 2049 para NFS. Si usted usa NFS, asegúrese de
que este emplee el puerto 2049 en todos sus sistemas.
rlogin, rsh, rcp (puertos 513, 514)
Estos servicios le dan acceso remoto a otras computadoras. Son un riesgo de seguridad y muchos
ataques aprovechan estos servicios.
RPC portmappers (puerto 111)
El Servicio RPC usa el puerto 111 para encontrar qué puertos usa un servidor determinado. El
Servicio RPC es muy fácil de atacar desde Internet.
Puerto 8000
Muchos fabricantes usan este puerto que suele presentar variados problemas de seguridad.
Puerto 1
El servicio TCPmux usa el puerto 1, pero no frecuentemente. Usted podrá bloquearlo para complicar
el trabajo de las herramientas que examinan puertos.
Puerto 0
Este puerto siempre está bloqueado por el Firebox. No podrá añadirlo a la lista de puertos bloqueados
ni podrá permitir tráfico a través del puerto O de su Firebox.
Nota
Si usted necesita permitir tráfico por ciertos puertos, debido al tipo de aplicativos que usa, le recomendamos
permitirlo únicamente a través de un túnel IPSec o VPN, o que tenga acceso a través del puerto
que usa SSH, para mayor seguridad.
142 WatchGuard System Manager

Bloqueo de Puertos
Evitando problemas con puertos bloqueados
Es posible tener algún inconveniente a causa de los puertos bloqueados. Deberá ser muy cuidadoso si bloquea
números de puertos mayores que 1023. Hay muchos clientes que usan esa gama de números de puerto.
Bloqueando puertos en forma permanente
1 Desde el Policy Manager, seleccione Setup > Intrusión Prevention > Blocked Ports.
Aparecerá la caja de diálogo Blocked Ports.
2 Tipee el número de puerto. Haga click en Add.
Aparecerá el número de puerto bloqueado.
Bloqueo automático de direcciones IP que intentan usar puertos bloqueados
Es posible configurar el Firebox para bloquear en forma automática un servidor externo que intente ganar
acceso a un puerto bloqueado. En la caja de dialogo de Blocked Ports, tilde la opción Automatically Block
sites that try to use blocked ports.
Configurando log y notificaciones para los puertos bloqueados
El usuario podrá configurar su Firebox para que realice una entrada en el archivo de eventos cuando un servidor
intente acceder a un puerto bloqueado. También podrá configurara notificaciones o setear el dispositivo
para que envíe una trampa SNMP hacia un administrador SNMP cuando un servidor intente obtener
acceso a un puerto blockeado.
Para configurar este log y los parámetros de notificación de puertos bloqueados, utilice el mismo procedimiento
que el usado para sitios bloqueados, como se describió en la sección “Seteos de log y parámetros de
notificación”.
Guía del Usuario 143

Bloqueo de Puertos
144 WatchGuard System Manager

CA P Í T U LO 12
Configuración de Políticas
Desde el Policy Manager se puede acceder a dos categorías de “Políticas”: filtro de paquetes y proxies.
Un filtro de paquetes examina cada encabezado de un paquete IP y es la función más básica de un firewall.
Sirve para controlar el tráfico de red que fluye desde y hacia el Firebox. Si el encabezamiento de un paquete
es legítimo, entonces el Firebox permitirá la circulación de dicho paquete. Pero si no lo es, será rechazado.
Además, puede guardar este incidente en un archivo especial de log o enviar un mensaje de error a la fuente
de dicho paquete.
Una proxy usa el mismo procedimiento para examinar el encabezado de los paquetes pero, además, analiza
el contenido de los mismos. Si dicho contenido no se adecua a los criterios fijados por el Administrador, se
denegará el acceso. Una proxy opera en el nivel de las aplicaciones, mientras que un filtro de paquetes trabaja
en los niveles de red y de protocolos de transporte. Cuando se activa una proxy, el Firebox hace lo
siguiente:
• Elimina todos los datos de la red.
• Examina los contenidos para determinar su tipo y si cumplen con la norma RFC.
• Agrega los datos de red nuevamente.
• Envía el paquete a su destino.
Una proxy requiere más recursos y ancho de banda que un filtro de paquetes, pero puede buscar contenidos
dañinos, mientras que el filtro no.
En esta guía nos referiremos a los filtros de paquetes y a las proxies conjuntamente como “políticas”. A
menos que se diga en forma específica, los procedimientos comentados se refieren a ambos.
El Policy Manager muestra cada filtro de paquetes y proxy como un ícono. El tráfico será permitido o denegado
y usted podrá configurar los puertos, protocolos y otros parámetros específicos.
Watchguard Fireware incluye varios paquetes de filtros y proxies pre-configurados. Por ejemplo, si usted
desea un filtro para el tráfico Telnet, simplemente agregue la regla “Telnet”. Además, también podrá armar filtros
de paquetes personalizados para ciertos puertos y/o protocolos.
Creando Políticas para su Red
La política de seguridad de su organización es un conjunto de reglas que definen cómo se protegerá su red
y qué información entrará o no. Su Firebox rechazará todos los paquetes que no sean especialmente aprobados.
Esta política de seguridad lo ayudará a proteger su red de:
Guía del Usuario 145

Agregando Políticas
• Ataques que usen nuevos o diferentes protocolos IP.
• Aplicaciones desconocidas.
Cuando configure el Firebox por medio del Asistente Quick Setup, podrá configurar solamente políticas
básicas (clientes DNS, FTP y proxy de salida TCP) y las direcciones IP de interfaz. Si usted tiene otras aplicaciones
y tráfico de red que deben ser examinados deberá:
• Configurar políticas en el Firebox para dejar pasar el tipo de tráfico que haga falta.
• Fijar cuales son los hosts aprobados y las propiedades de cada política.
• Balancear los requerimientos para proteger la red versus las necesidades de sus usuarios para
obtener acceso a los recursos externos.
Recomendamos que al configurar el Firebox fije límites en los accesos de salida.
Agregando Políticas
Podrá agregar políticas por medio del Policy Manager. Éste muestra íconos o una lista para identificar las
políticas ya configuradas en el Firebox. Para cada política podrá:
• Fijar cuáles son las fuentes y destinos de tráfico permitidos.
• Fijar las reglas de filtrado.
• Habilitar y deshabilitar políticas.
• Configurar propiedades como Calidad de Servicio (QoS), NAT, logging, etc.
Cambiando la vista del Policy Manager
El Policy Manager admite dos “vistas”: Íconos grandes y Detalles. La primera muestra cada política como un
ícono. Para cambiar la vista a “Íconos Grandes”, selecciones “Large Icons” desde el menu View.
Vista de Íconos Grandes
146 WatchGuard System Manager

Agregando Políticas
Para cambiar a la vista de Detalles, selecciones Details desde el menu Views. En esta vista, cada política aparecerá
como una fila. Podrá ver información de la configuración, incluyendo fuente, destino y parámetros de
logging y notificación.
Vista de Detalles
Agregando una Política
Puede recurrir al Policy Manager para agregar un filtro de paquetes o una proxy a la configuración. Para
agregar políticas:
1 Desde el Policy Manager, haga click sobre el signo (+) en la barra de tareas.
También puede elegir Edit > Add policies y aparecerá la caja de diálogo.
2 Haga click en el signo (+) de la carpetas Packet Filters o Proxies para expandirlas.
Aparecerá una lista de filtros de paquetes o proxies.
3 Haga click en el nombre de la política a agregar.
Cuando seleccione una política, aparecerá el ícono de políticas en el área bajo los botones New, Edit y Remove. Además la
caja “Details” mostrará la información básica de dicha política.
Guía del Usuario 147

Agregando Políticas
4 Haga click en Add
Aparecerá una nueva caja de diálogo de las propiedades.
5 Aquí podrá cambiar el nombre de la “política”, Esta información aparecerá en la vista “Details” del Policy
Manager. Para cambiar el nombre, escriba uno en la caja de diálogo Name.
6 Haga click en OK para cerrar la caja de diálogo.
Podrá agregar una o más políticas mientras la caja esté abierta.
7 Haga click en Close.
La nueva política aparecerá en el Policy Manager. Podrá ahora fijar las propiedades de dichas políticas tal como se muestra
en el apartado “Configuración de propiedades de Políticas”.
Cómo hacer una Plantilla Personal de políticas
El Policy Manager incluye muchas plantillas preconfiguradas de filtros de paquetes. Pero usted también
puede hacer sus propias plantillas. Una plantilla incluye los puertos y protocolos característicos de cierto
tráfico de red. Puede ser necesario hacer una plantilla a medida, si –por ejemplo- utiliza ciertos aplicativos
por detrás del Firewall.
1 En el Policy manager, haga click en (+) sobre la barra de tareas.
Podrá también acceder seleccionado Edit > Add policies y se abrirá la caja de diálogo Add Policies.
148 WatchGuard System Manager

Agregando Políticas
2 Haga click en New.
Aparecerá la caja de diálogo New Policy Template.
3 En la caja de diálogo Name, escriba el nombre de la plantilla de la política.
Este nombre deberá ser distinto de los demás nombres de reglas listados en la caja de diálogo Add Policy. El nombre aparecerá
en el Policy Manager como tipo de política. Esto le ayudará a encontrar la política cuando quiera cambiarla o eliminarla.
4 En la caja de texto Description escriba una breve descripción de la nueva política.
Esto aparecerá detallado en la sección Details, cuando haga click sobre el nombre de la política en la lista User Filters.
5 Elija el tipo de política Packet Filter ó Proxy.
La opción Proxy le habilita estas opciones:
- DNS
- FTP
- HTTP
- TCP
- SMTP
6 Para agregar protocolos a esta política, haga click sobre Add.
Aparecerá la caja de diálogo de Add Protocol.
7 Desde el menú desplegable Type, seleccione Single Port o Port Range.
8 Desde el menú desplegable Protocol, seleccione el protocolo de la nueva política. Para más información
sobre protocolos de red, consulte la Guía de Referencia en el sistema de ayuda en línea. Cuando elija
Single Port podrá seleccionar:
- TCP
- UDP
- GRE
- AH
- ESP
- ICMP
- IGMP
Guía del Usuario 149

Configuración de las Propiedades de una Política
- OSPF
- IP
- Any
Cuando seleccione Port Range, podrá elegir TCP o UDP.
9 Desde la lista desplegable Server Port, elija el puerto al que se aplicará esta nueva política. Si selecciona
Port Range, seleccione el puerto del servidor de partida y el de llegada.
10 Haga click en OK.
El Policy Manager agregará los valores en la caja de diálogo New Policy Template. Asegúrese de que el nombre, la información
y la configuración de esta política sean correctas. Si es necesario, haga click en Add para configurar más puertos
para esta política. Repita el procedimiento hasta que termine con todos los puertos de la política.
11 Haga click en OK.
Aparecerá la caja de diálogo de Add Policy, con la política recién configurada en la carpeta Custom.
Agregando más de una política del mismo tipo
Si su política de seguridad lo permite, podrá agregar la misma política más de una vez. Por ejemplo, podrá
configurar un límite en el acceso a la web para la mayor parte de los usuarios, mientras permite un acceso
completo a los directivos. Para hacerlo podrá agregar dos políticas diferentes, con diferentes propiedades,
para el tráfico saliente:
1 Agregue la primera política.
2 Cambie el nombre de la política para darle la funcionalidad en su política de seguridad y agregar la
información necesaria
En este ejemplo, la llamaremos “acceso_web_restringido”.
3 Haga click en OK. Aparecerá la caja de diálogo Properties. Fije las propiedades deseadas como se
muestra en el apartado “Configurando las propiedades de las reglas”.
4 Agregue la segunda política.
5 Haga click en OK. Aparecerá la caja de diálogo de Propiedades. Fije las propiedades.
Borrando una política
Cuando su política de seguridad se modifique, deberá eliminar una o más políticas. Para hacerlo, debe
borrarla primero desde el Policy Manager. Luego debe guardar la nueva configuración en el Firebox.
1 Desde el Policy Manager, haga click en la política.
2 Desde el Policy Manager, haga click sobre el botón X de la barra de tareas.
Podrá llegar también desde Edit > Delete Policy.
3 Cuando le pida confirmación, haga click en Yes.
4 Guarde la configuración en el Firebox y reinícielo. Seleccione File > Save > To Firebox.
Escriba la passphrase de configuración. Tilde la opción Save to Firebox. Haga click en Save.
Configuración de las Propiedades de una Política
Si usted agregó una política y desea luego cambiar sus propiedades, haga doble click en el ícono de
Políticas para abrir la caja de diálogo Edit Policy Properties.
150 WatchGuard System Manager

Configuración de las Propiedades de una Política
Configurando reglas de acceso, fuentes y destinos
Podrá usar la pestaña “Policy” para configurar las reglas de acceso para una política determinada.
La pestaña “Policy” muestra:
• Si el tráfico que usa esta política se permite o se deniega.
• Quién usa esta política para iniciar una conexión con usuarios, servidores o redes alcanzables a través
del Firebox®.
• Los destinos del tráfico para esta política.
Desde la lista From, podrá agregar las computadoras y las redes que pueden enviar o no tráfico de red cumpliendo
con dicha política. En la lista To se podrá agregar computadoras y redes a las que el tráfico que sale
del Firebox podrá dirigirse si cumple con todas las especificaciones de la política. Por ejemplo, puede configurar
un filtro para paquetes ping, de manera de permitir tráfico ping desde todas las computadoras de una
red externa, a un único servidor web en su red opcional. Para más información sobre los alias que aparecen
como opciones en las listas From y To, vea la sección “Trabajando con alias”.
Podrá usar estas opciones para configurar cómo manejar el tráfico.
Permitido (Allowed)
El Firebox permite el tráfico que usa esta política, si obedece todas las reglas configuradas.
Denegado (Denied)
El Firebox denegará el tráfico que se ajuste con esta política. Usted podrá configurar que se marque
una entrada en el archivo de log, cuando una computadora intenta usar esta política. También puede
agregar en forma automática una computadora, o red, que intente hacer una conexión con esta política
hacia un sitio integrante de la lista de sitios bloqueados (configurados en la pestaña Properties).
Denegado (con envío de reseteo) (Denied (send reset))
El Firebox deniega todo el tráfico que se ajusta con esta política. Puede también agregar automáticamente
una computadora o red que intente comenzar una conexión con esta política hacia alguno de
la lista de sitios bloqueados (configurados en la pestaña Properties). El Firebox además, envía un
paquete de reseteo (RST) que le avisa al cliente que la sesión se deniega y se cierra.
1 Desde la pestaña Policy, configure qué conexión estará permitida, denegada o denegada con reseteo.
Guía del Usuario 151

Configuración de las Propiedades de una Política
2 Para agregar miembros a esta política, haga click en Add en el campo From o To de la lista de
miembros.
3 Use la caja de diálogo Add Address para agregar una red, direcciones IP o usuarios específicos a una
política. Haga click en Add User o en Add Other.
Podrá seleccionar un ítem desde la ventana Available Members y hacer click en Add, o hacer doble
click en un ítem de esta ventana. La lista de miembros disponibles contiene los alias que usted agregó
y los ya preconfigurados por el Policy Manager.
4 Si usted selecciona Add Other, desde la lista desplegable Choose Type, elija el rango de host, la dirección
IP del host o la dirección IP de la red que desea agregar. En la caja de opciones Value escriba la
dirección de red correcta, el rango o las direcciones IP que desee. Luego haga click en OK.
Aparecen los miembros o las direcciones elegidas en las listas Selected Members y Addresses.
5 Si selecciona Add User, elija el tipo de usuarios o grupos, elija el servidor de autenticación y si quiere
agregar un usuario o un grupo.
Repita el proceso para agregar otras direcciones y miembros. Su política podrá tener más de un objeto
en el campo de From o de To.
6 Haga click en OK.
Configurando una acción de Proxy
Si se crea una política de proxy, podrá usa la pestaña Properties de la caja de diálogo Policy Properties
para configurar la acción de proxy deseada. Para más información vea el capítulo de este manual
“Configurando Políticas de Proxy”.
Este campo estará grisado (deshabilitado) si usted crea una política de filtro de paquetes.
152 WatchGuard System Manager

Configuración de las Propiedades de una Política
Cómo fijar las propiedades de logging
Use la pestaña Properties, de la caja de diálogo Policy properties, para configurar las propiedades de logging
para una política. Es posible hacer que el Firebox grabe un mensaje de log cuando una política deniegue
el acceso de un paquete. También podrá generar una notificación cuando un paquete sea permitido o
denegado.
1 En la pestaña Properties, haga click en Logging.
Aparece la caja de diálogo Logging and Notification.
2 Fije los parámetros y la notificación
Enter it in the log
Cuando usted habilita esta opción, el Firebox envía un mensaje de log si encuentra tráfico del tipo
seleccionado en la lista Category. La resolución de dominios de nombre del Firebox puede demorar el
tiempo en que el Firebox envía el mensaje al archivo del log. La configuración por defecto de todas las
políticas es enviar un mensaje de Log cuando se deniega la acción de un paquete.
Send SNMP Trap
Cuando usted habilita esta opción, el Firebox envía una notificación al sistema de administración del
SNMP. La trampa identifica la ocurrencia de determinada condición, como un incidente que haya
superado un umbral predeterminado.
Send Notification
Cuando se habilita esta opción, el Firebox envía una notificación si identifica tráfico del tipo seleccionado
en la lista Category. Usted podrá fijar los parámetros de notificación en el servidor de Logging.
Para más información sobre esto, vea el capítulo Registro de Eventos y Notificación. También podrá
configurar el Firebox para que realice una de las siguientes acciones:
- E.mail: el Firebox envía un correo electrónico cuando ocurre determinado evento. Fije la dirección
de e-mail en la pestaña Notification en la interfaz de usuario del Log Server.
- Ventana emergente: el Firebox puede hacer aparecer una caja de diálogo en la estación de administración
cuando ocurre determinado evento.
Usted puede controlar el momento de la notificación junto con el contador de repeticiones
(Repeat Count). Para información sobre cómo usar las configuraciones del “Launch Interval” y el
“Repeat Count”, vea la próxima sección del manual.
Configurando el “Launch Interval” y el “Repeat Count”
Usted podrá controlar el momento de la notificación junto con el contador de repeticiones recurriendo a
estos parámetros:
Guía del Usuario 153

Configuración de las Propiedades de una Política
Launch Interval
Es el tiempo mínimo, en minutos, entre diferentes notificaciones. Sirve para evitar notificaciones
múltiples sobre eventos similares que se verifiquen en un corto período de tiempo para el mismo
evento.
Repeat Count
Este contador registra la frecuencia con la que ocurre un evento. Cuando ésta llega al valor seleccionado,
se inicia un notificador especial de repeticiones. El notificador marca entradas repetidas de
ciertos eventos. La notificación comienza nuevamente luego de cierto número de eventos.
He aquí un ejemplo de cómo usar estos dos valores. Los valores están configurados como:
• Intervalo de lanzamiento = 5 minutos
• Contador de repeticiones = 4
Si lanzan contra el Firebox un sondeo del espacio de puertos a partir de las 10:00, que se repite una vez
por minuto, se disparará el mecanismo de logging y notificaciones. Lo que ocurriría es lo siguiente:
1 10:00 Registro del primer intento de sondeo del espacio de puertos (primer evento)
2 10:01 Se activa el sistema de notificación (1 evento)
3 10:06 Segunda notificación (informa de 5 eventos)
4 10:11 Tercera notificación (informa 5 eventos)
5 10:16 Cuarta notificación (informa 5 eventos)
Los intervalos de lanzamiento controlan los intervalos de tiempo entre los eventos a), b), c), d) y e). Éste fue
configurado en intervalos de 5 minutos. Multiplique el conteo de repetición por el intervalo de lanzamiento.
Ése será el intervalo de tiempo durante el cual un evento deberá continuar para iniciar el notificador de
repeticiones.
Si la política configurada es una proxy, aparecerá la lista desplegable Proxy con los íconos View/Edit Proxy
y Clone Proxy. Para más información sobre cómo usar estas opciones vea el capítulo “Configurando las
políticas de proxies” de este manual.
Nota
Una política puede o bien permitir o bien denegar tráfico, pero no ambas cosas. Si usted desea que
su Firebox envíe mensajes de logging para ambas situaciones, tráfico permitido y denegado, deberá
configurar diferentes políticas para cada situación.
Configurando NAT estática
NAT estática también es conocida como “forwardeo” de puertos. NAT estática es una NAT puerto-a-host. Un
host envía un paquete desde una red externa a una dirección y puerto especificado y público. La NAT estática
cambia esta dirección a una dirección y puerto ubicados por detrás del firewall. Para más información
sobre NAT, consulte el capítulo correspondiente en este manual.
A causa de cómo opera NAT estática, es un recurso que sólo está disponible para políticas que usan un
puerto especificado, que incluyen TCP y UDP. Una política que use un protocolo diferente, no podrá usar
NAT estática entrante. El botón NAT en la caja de diálogo Properties de esta política no funcionará. Por
otra parte, usted tampoco podrá usar NAT estática con una política “Any”.
Para ayudar a combatir el spam, muchos servidores que reciben correos electrónicos hacen una búsqueda
inversa de las direcciones IP de donde proviene el correo. El servidor de recepción hace esto para comprobar
que el servidor de envío sea un servidor de mail autorizado para dicho dominio.
154 WatchGuard System Manager

Configuración de las Propiedades de una Política
Por todo esto, recomendamos que usted utilice una dirección IP externa al Firebox como registro MX de su
dominio. Un registro MX (Mail Exchange) es un tipo de registro DNS que establece cómo serán ruteados los
e-mails a través de Internet. El registro MX le muestra a los servidores cómo enviar un e-mail y a que servidor
de correo enviarlo primero según diversas prioridades.
Usualmente, las conexiones que comienzan desde una red segura y salen a Internet, muestran las direcciones
IP externas del Firebox como la “fuente” de los paquetes IP. Si la dirección IP externa de su Firebox no es
su dominio MX registrado, algunos servidores remotos rechazan el mail enviado. Toman esta acción porque
la sesión SMTP no les muestra su registro MX DNS como la fuente de las direcciones IP de la conexión. Si su
Firebox no usa el registro MX de sus direcciones IP como la interfaz externa de sus direcciones IP, aun podrá
recurrir a mapeos NAT 1-a-1, para hacer que el correo saliente muestre las direcciones IP correctas. Vea más
información sobre NAT 1-a-1 en el capítulo “Trabajando con Firewall NAT”.
1 Desde el Policy Manager, haga doble click en el ícono de la política.
2 Desde la lista desplegable Connections are, seleccione Allowed.
Para usar NAT estático la política debe dejar pasar el tráfico entrante.
3 Debajo de la lista To, haga click en Add.
Aparecerá la caja de diálogo Add Address.
4 Haga click en NAT.
Aparecerá la caja de diálogo Add Static NAT.
5 En la lista desplegable External IP Address, seleccione las direcciones “Public” para utilizar esta política.
6 Escriba las direcciones IP internas.
Estas son las de destino de la red confiable.
7 De ser necesario, elija Set internal port to different port than service.
Usualmente, esto no se utiliza. Le permite al Administrador cambiar el destino del paquete, no sólo a un host especificado
interno, sino también a un puerto diferente. Si usted selecciona esta opción, escriba un número de puerto distinto, o use
los botones con las flechas de la caja Internal Port.
8 Haga click en OK para cerrar la caja de diálogo Add Static NAT.
Aparecerá la ruta de la NAT estática en la lista Members and Addresses.
9 Haga click en OK para cerrar la caja de diálogo Add Address. Haga click en OK para cerrar la caja de
diálogo Properties de la política.
Nota
Algunas organizaciones tienen más de un servidor que usa el mismo protocolo (por ejemplo dos servidores
SMTP) y desean utilizar NAT estática para cada servidor. Usted puede hacer esto si su Firebox
está configurado en modo ruteado y si usted tiene más de una dirección IP pública para dar a su
Firebox. Configure dos políticas en el Policy Manager. La primera establece la NAT estática entre la
dirección IP primaria externa del Firebox y su primer servidor. La segunda política fija la NAT estática
entre la dirección IP secundaria de la interfaz externa de su Firebox y su segundo servidor.
Guía del Usuario 155

Configuración de las Propiedades de una Política
Estableciendo propiedades avanzadas
Podrá usar la pestaña Advanced de la caja de diálogo Edit Policy Properties para fijar el cronograma de
una política, implementar la configuración de Calidad de Servicio (QoS), aplicar reglas NAT, configurar el
manejo de errores ICMP para dicha política y fijar un tiempo de espera o time-out personalizado.
Para fijar un cronograma
Podrá fijar un cronograma de operación para esta política. Para eso, puede recurrir a las plantillas de cronogramas
desde la lista desplegable de la opción Schedule, o podrá crear su propio cronograma personalizado.
Para más información vea el capítulo “Estableciendo la configuración básica”, en este manual.
Observe que los cronogramas pueden ser compartidos por una o más políticas.
Aplicar una acción de calidad de servicio (QoS)
Si su Firebox cuenta con el Fireware Pro, podrá asignar calidad de servicio (QoS) a las acciones de las políticas.
Use para eso el botón de la derecha para crear una nueva acción QoS. Luego de creada, ésta aparecerá
en la lista desplegable de QoS. Para más información vea la sección “Creando Acciones QoS” del capítulo
26.
Observe que las acciones pueden ser compartida por una o más políticas.
Aplicar reglas NAT
Podrá aplicar reglas de Network Address Translation (NAT) a una política:
1-a-1 NAT
Con este tipo de NAT, el Firebox utiliza rangos de IP privadas y públicas fijadas por el Administrador,
como se describe en “Usando 1-to-1 NAT”.
NAT dinámica
Con este tipo de NAT, el Firebox mapea direcciones IP privadas a direcciones IP públicas. Seleccione
Use Network NAT Settings, si desea usar el conjunto de reglas de NAT dinámica para el Firebox.
Seleccione All Traffic in this policy si prefiere aplicar NAT a todo el tráfico de esta política.
156 WatchGuard System Manager

Fijando la Política de Precedencia
También tendrá la opción de fijar un NAT dinámico a una dirección IP origen para cualquier política que use
NAT dinámica. Esto le asegura que cualquier tráfico que use esta política muestre como origen una dirección
especificada de su rango de direcciones IP externas o públicas. Esto sirve para forzar al tráfico saliente
SMTP de manera de que muestre el registro de su dominio MX cuando las direcciones IP de la interfaz externa
del Firebox no sean las mismas que sus direcciones IP MX.
Las reglas 1-a-1 NAT tienen precedencia sobre las reglas de NAT dinámica.
Nota
Si utiliza multi-WAN, no podrá elegir la opción Set Source IP. Use esta posibilidad sólo cuando su
Firebox utilice una única interfaz externa.
Configurando el manejo de errores ICMP
Podrá fijar las opciones de manejo de errores ICMP asociados con esta política. Desde la lista desplegable
elija:
Use Global Settings
Utilice la configuración de manejo de errores ICMP globales para el Firebox. Para más información vea
“Manejo de errores ICMP” en el capítulo 6.
Specify Setting
Configure un parámetro que desplace a la configuración global. Haga click en ICMP Setting. En la caja
de diálogo ICMP Error Handling Settings, seleccione las opciones que desee. Para más información
sobre estas opciones, vea “Manejo de errores ICMP” en el capítulo 6.
Fijando un tiempo personalizado de timeout
Para fijar un tiempo personalizado de timeout, haga click en Specify Custom Idle Timeout y haga click en
las flechas correspondientes para elegir el número de segundos antes de un timeout. Este seteo específico
predomina por sobre el tiempo de inactividad de timeout configurado para la política.
Fijando la Política de Precedencia
La precedencia es la secuencia en la cual el Firebox examina el tráfico de red y aplica una regla de política. El
Firebox rutea el tráfico siguiendo las reglas hasta encontrar la primera política que coincida con el tráfico en
cuestión. El Policy Manager del Fireware, ordena automáticamente las políticas; desde la más detallada hasta
la más general. Pero usted podrá también fijar manualmente su propia precedencia.
Usando orden automático
El Policy Manager del Fireware, en forma automática, configura el orden de las políticas desde la más detallada
hasta la más general. Cada vez que se agrega una nueva política, el Policy Manager del Fireware, com-
Guía del Usuario 157

Fijando la Política de Precedencia
para la nueva regla con todas las reglas existentes en el archivo de configuración.
Para fijar precedencias, el Policy Manager recurre a los siguiente criterios:
1 Protocolos establecidos para el tipo de política
2 Reglas de tráfico del campo To
3 Reglas de tráfico del campo From
4 Acción del Firewall.
5 Cronograma.
6 Orden alfanumérico basado en el tipo de política
7 Orden alfanumérico basado en el nombre de la política
Comparando el tipo de política
El Policy Manager usa estos criterios en orden para comparar dos políticas, hasta que encuentra que
ambas son iguales o que una es más detallada que la otra:
1 Una política Any, siempre tiene la precedencia más baja. Para más información sobre las políticas Any,
vea “Any” en la página correspondiente.
2 Chequea el número de los protocolos TCP 0 (any) o UDP 0 (any). La política con el número más bajo
tiene la precedencia más alta.
3 Chequea el número de puertos individuales para los protocolos TCP y UDP. La política con el número
más pequeño tiene precedencia.
4 Cuenta el número de puertos únicos para los protocolos TCP y UDP. La política con el número más
pequeño tiene precedencia.
5 Analiza los protocolos basados en su valor de IP. La política con el resultado mayor tiene precedencia.
Si el Policy Manager no puede fijar una precedencia cuando compara tipos de políticas, examinará las
reglas de tráfico.
Comparando las reglas de tráfico
El Policy Manager usa estos criterios en orden para comparar las reglas más generales de tráfico de una
política con las reglas más generales de tráfico de una segunda política. Le asigna una mayor precedencia
a la política con las reglas de tráfico más detalladas. La lista de reglas de tráfico más detalladas por sobre
las generales es la siguiente:
1 Direcciones de host
2 Rango de direcciones IP (más pequeñas que la subred con la cual se compara)
3 Subred
4 Rango de las direcciones IP (más grande que la subred con la cual se compara)
5 Autenticación de usuario
6 Autenticación de grupo
7 Interfaz Firebox
8 Any-external, Any-trusted, Any-optional
9 Any (cualquiera).
Por ejemplo, para comparar estas dos políticas:
http-1
De: Confiable, User1
http-2
De:10.0.0.1, Any-Trusted
“Trusted” es la entrada más general para http-1,“Any-trusted” es la entrada más general para http-2. Como
“trusted” está dentro de “Any-trusted”, http-1 es la regla de tráfico más detallada. Esto es así, a pesar de que
http-2 incluya una dirección IP. Esto se verifica porque el Policy Manager usa estos criterios en secuencia
para comparar las reglas más generales de una política con las reglas más generales de una segunda política.
158 WatchGuard System Manager

Fijando la Política de Precedencia
Si el Policy Manager no puede fijar la precedencia cuando compara las reglas de tráfico, examina las acciones
de firewall.
Comparando las acciones de firewall
El Policy Manager compara las acciones del firewall de dos políticas para fijar la precedencia. Las acciones de
precedencia de firewall van desde las más altas hasta las más bajas:
1 Denegación o denegación (envía reseteo)
2 Proxies permitidas
3 Filtros permitidos
Si el Policy Manager no puede fijar las precedencias cuando compara las acciones del firewall, examina los
cronogramas.
Comparando cronogramas
El Policy Manager compara los cronogramas de dos políticas para fijar la precedencia. Ésta se fija desde la
más alta hacia la más baja:
1 Siempre deshabilitada
2 A veces habilitada
3 Siempre habilitada
Si el Policy Manager no puede fijar las precedencias cuando compara los cronogramas, analiza los nombres
de políticas.
Comparando tipos y nombres
Si las políticas comparadas no se ordenan por los principios anteriores, el Policy Manager las ordena en
orden alfanumérico. Primero recurre al tipo de política, luego usa el nombre de la política. Como no hay dos
políticas que puedan compartir el tipo y nombre, éste es el criterio final para sentar precedencia.
Fijar la precedencia en forma manual
Para cambiar el modo de elección de automático a manual seleccione View > Auto-order mode, para que
el tilde desaparezca. Se le pedirá confirmar esta elección.
Para cambiar el orden de estas políticas:
• Seleccione la política cuyo orden desee cambiar. Haga click en las flechas arriba o abajo en la barra de
tareas del Policy Manager.
o
• Seleccione la política cuyo orden desea cambiar y arrástrela a su nueva ubicación.
Guía del Usuario 159

Fijando la Política de Precedencia
160 WatchGuard System Manager

CA P Í T U LO 13
Configurando Políticas de Pro x y
Los filtros de proxy cumplen más funciones que los filtros de paquetes. Una proxy examina los contenidos
de un paquete y no únicamente su encabezado. Por esto, la proxy es capaz de encontrar contenidos prohibidos,
escondidos o embebidos en una transferencia de datos. Por ejemplo, una proxy SMTP examinará todos
los paquetes SMTP que lleguen por e-mail al sistema, para buscar contenidos prohibidos como, un programa
ejecutable o un archivo con scripts. Los atacantes usan frecuentemente este tipo de métodos para
enviar virus. Una proxy SMTP “sabe” que dichos contenidos no están permitidos, mientras que un filtro de
paquetes no es capaz de detectar contenido no autorizado durante la transferencia de datos.
Las proxies de WatchGuard® también detectan anomalías en los protocolos de las aplicaciones y detienen
paquetes que no están correctamente configurados. Si un paquete SMTP no está bien “armado” o contiene
algo no esperado, no podrá atravesar su Firebox®.
Las políticas de proxy operan en los niveles de las aplicaciones, redes y de protocolos de transporte. En cambio,
las políticas de paquetes de filtro operan sólo sobre la red y sobre los protocolos de transporte. En otras
palabras, una proxy “toma” cada paquete, remueve la capa de red y examina su contenido. Luego, le devuelve
esa información y lo despacha a su destino final, dentro de una red segura y hacia otras redes opcionales.
Esto, para un volumen dado de tráfico de red, agrega más trabajo al Firewall. Pero la proxy utiliza métodos
de seguridad a los que un filtro de paquetes no puede recurrir para capturar paquetes peligrosos.
Definiendo Reglas
Un conjunto de reglas es un grupo de reglas basado en una característica de la proxy. Cuando se configura
una proxy, se pueden definir diversos conjuntos de reglas para esa proxy en la opción Categories. Los conjuntos
de reglas cambian cuando usted cambia la acción de una proxy desde la ficha Properties, en la ventana
de configuración de proxies.
Una proxy puede tener más de una acción de proxy asociada. Por ejemplo podrá usar un grupo de reglas
para los paquetes enviados a un servidor de correo protegido por el Firebox pero, además, podrá definir un
grupo de reglas diferentes para ser aplicadas a los mensajes de e-mail enviados a Internet a través del firewall.
También podrá usar las acciones de una proxy ya existente o clonar una acción de proxy actual y cambiarla
para generar una nueva acción de proxy.
Una regla incluye diversos tipos de contenidos, patrones o expresiones y también la acción que el Firebox
realizará al constatar que el contenido de un paquete coincide con alguna de las reglas. Éstas además contienen
configuraciones relacionadas con el momento en que el Firebox envía alarmas o incluye eventos en
su archivo de Logs (registros).
Para la mayor parte de las características de una Proxy, el Firebox ya tiene un conjunto de reglas preinstala-
Guía del Usuario 161

Definiendo Reglas
das. Pero usted podrá editar esas reglas de un conjunto y cambiar las acciones. También podrá agregar sus
propias reglas.
Los campos usados para las definiciones de reglas parecen similares para cada categoría de “conjuntos de
reglas”. Abajo se ve una “vista simple”. También puede seleccionar Change View para tener una “vista avanzada”.
Use la vista avanzada para mejorar la función de coincidencias de una proxy. Desde la vista avanzada
podrá configurar coincidencias exactas y expresiones regulares compatibles con Perl. En la vista simple
podrá configurar comodines de patrones que coincidan con expresiones regulares simples.
Agregando conjuntos de reglas
Desde la vista simple, siga estos pasos para agregar nuevas reglas:
1 En la caja de diálogo Pattern escriba un patrón que use reglas simples de expresión sintáctica.
El comodín para cero o más de un carácter es “*”.
El comodín para un carácter es “?”.
2 Haga click en Add.
Aparecerá una nueva regla en la caja de reglas.
3 En la sección Actions to take, del menú desplegable If matched, se fija la acción a cumplir si el contenido
de un paquete coincide con una de las reglas del listado. La lista desplegable de None matched fija
las acciones a seguir si el contenido de un paquete no coincide con una regla de la lista. Debajo se ofrece
una lista de todas las acciones posibles. Las acciones Strip y Lock se aplican sólo a prevención de intrusiones
basadas en firmas.
Allow
Permite la conexión.
Deny
Deniega un pedido específico pero mantiene -si es posible- la conexión.
Drop
Deniega el pedido y además corta la conexión.
Block
Deniega el pedido, corta la conexión y agrega el host de la fuente al listado de sitios bloqueados.
Para más información sobre esto, vea el capítulo “Configuración de Sitios Bloqueados”, en el capítulo
correspondiente.
Strip
Remueve el adjunto de un paquete y lo descarta. Las otras partes del paquete son enviadas a través del
Firebox hacia su destino.
162 WatchGuard System Manager

Definiendo Reglas
Lock
Traba un adjunto y lo modifica de manera tal que el usuario no podrá abrirlo. Solo el Administrador
podrá destrabar el archivo.
3 Una alarma es un mecanismo que le advierte al usuario cuando una regla de proxy se aplica al tráfico de
red. Elija la opción Alarm para configurar una alarma para este evento. Para fijar las opciones de alarma,
seleccione Proxy Alarm desde la lista Categories, en el lado izquierdo de la ventana de configuración del
proxy. Usted podrá enviar una trampa SNMP, un e-mail o hacer que aparezca una ventana emergente.
4 Elija la opción Log para que se inscriba un evento en el archivo de registro de eventos.
Usando la vista de reglas avanzadas
Para ver una vista detallada de las reglas actuales, haga click sobre Change View. La vista avanzada muestra
la acción determinada para cada regla. También tiene botones que le servirán para editarla, clonarla (use
una regla existente y clónela para comenzar una nueva), borrar o resetear reglas. Para regresar a la vista simple,
haga click sobre Chage View nuevamente. No podrá volver a la vista simple si las reglas habilitadas tienen
diferentes acciones, alarmas o configuraciones de eventos. En ese caso deberá usar vista avanzada.
Cómo cambiar la precedencia de las reglas
El Firebox usa las siguientes pautas para aplicar las reglas:
• Sigue las reglas en orden, desde arriba hacia abajo de la ventana.
• Cuanto un ítem filtrado coincide con una regla, el Firebox ejecuta la acción relacionada.
• El contenido puede coincidir con una o más de estas reglas o con la regla por defecto, pero sólo se
aplica la primera.
• El Firebox usa la regla por defecto si no se aplica ninguna otra. Ésta siempre es la última que el dispositivo
aplica a los contenidos.
Para cambiar la secuencia de reglas, deberá usar la vista avanzada:
1 Haga click en Change View para acceder a la Vista Avanzada de las reglas ya creadas.
Guía del Usuario 163

Personalizando el re g i s t ro y las notificaciones para las reglas Pro x y
2 Seleccione una y muévala hacia arriba o abajo en la lista. Haga click en los botones de Up o Down para
mover la regla.
Personalizando el re g i s t ro y las notificaciones para las reglas Pro x y
Una alarma, un mensaje de registro o una notificación es un mecanismo que le avisa al Administrador de
red sobre cualquier tráfico que no coincida con el tráfico permitido. Por ejemplo, si el tráfico supera cierto
límite, usted podrá configurar que el Firebox le avise por medio de un e-mail. Es posible configurar alarmas,
mensajes de log y las propiedades de la notificación para cada filtro de paquetes y para cada política
de proxy. También podrá configurar alarmas y propiedades de mensajes de registro para una regla de
proxy.
Cómo configurar mensajes de log y notificaciones para una política de proxy
1 Haciendo doble click en el ícono de políticas se abrirá la caja de diálogo de Policy Properties.
2 Haga click en la pestaña de Properties. Haga click en Logging.
Aparecerá la caja de diálogo Logging and Notification
3 Fije los parámetros que desee para cumplir con sus requisitos de seguridad.
Configuración de mensajes de log y alarmas para una regla de proxy
1 Haga doble click en el ícono de políticas para abrir la caja de diálogo Policy Properties.
2 Haga click en la pestaña de Properties. Desde la lista desplegable Proxy seleccione la acción de
proxy que desee ejecutar.
3 Elija Proxy Alarms desde la lista Category. Para más información sobre estos parámetros vea la
siguiente acción.
Tendrá más opciones de mensajes de log y notificaciones si cuenta con el servicio de prevención de intrusiones basado
en firmas. Estas opciones se repasan en el Capítulo “Usando Servicios de Seguridad basados en Firmas”.
Cómo usar cajas de diálogo para alarmas, mensajes de log y notificaciones
Las cajas de diálogo de alarmas, mensajes de log y notificaciones en las definiciones de proxy tienen
todos, o casi todos, estos campos:
164 WatchGuard System Manager

Personalizando el re g i s t ro y las notificaciones para las reglas Pro x y
Enter it in the log
Cuando usted elige esta opción, el Firebox envía un mensaje de log de tráfico al servidor de Log cada
vez que ocurra un evento de este tipo. La configuración por defecto de todas las políticas del Firebox
es registrar una entrada de log cada vez que se deniega un paquete.
Send SNMP trap
Cuando usted elige esta opción, el Firebox envía una notificación de evento al sistema de administración
SNMP. La trampa SNMP muestra cuando el tráfico coincide con una condición, como por ejemplo
una propiedad cuyo valor ha sido superado. Nótese que la sección de unión en la trampa SNMP estará
vacía si ésta funciona cuando el SNMP comienza o se detiene. Por ejemplo, durante un reseteo, un inicio
o un failover.
Send Notification
Cuando usted elige esta opción, el servidor de Log envía una notificación cada vez que este evento se
verifique. Podrá configurar el servidor de log para que realice una de las siguientes acciones:
- E-mail: el servidor de log envía un e-mail cuando ocurre un evento. Fije la dirección del mail en la
pestaña Notification en la pantalla de usuario del servidor de log.
- Ventana emergente: Cada vez que suceda dicho evento, el servidor de log generará una caja de
diálogo en la estación de control.
Fijando el intervalo de lanzamientos y la cuenta de repetición
Podrá controlar los tiempos de notificación junto con la cuenta de repeticiones de la siguiente manera:
Launch interval
El mínimo tiempo (en minutos) entre diferentes notificaciones. Este parámetro previene que un evento
similar genere una nueva notificación en un corto período de tiempo.
Repeat Count
Este valor registra cuán frecuentemente ocurre un evento. Cuando se alcanza un valor especificado, se
inicia un notificador especial de repeticiones. Éste genera un mensaje de repeticiones de log sobre esa
notificación específica. La notificación comienza nuevamente luego de este número de eventos.
A continuación, un ejemplo de cómo utilizar estos valores:
• Intervalo de lanzamiento = 5 minutos
• Cuenta de repeticiones = 4
Supongamos que a las 10:00 AM comienza a registrarse un intento externo de testeo de puertos, que se
repite cada minuto. Esto disparará los mecanismos de log y notificación. Aquí mostramos los tiempos y las
acciones que ocurrirán:
1 10:00 Se registra el intento de sondeo del espacio de puertos. (primer evento).
2 10:01 Se lanza la primera notificación (un evento)
3 10:06 Comienza la segunda notificación (informa de 5 eventos).
4 10:11 Comienza la tercera notificación (reporta 5 eventos)
5 10:16 Comienza la cuarta notificación (reporta 5 eventos).
Los intervalos de lanzamiento controlan los intervalos de tiempo entre los eventos 1, 2, 3, 4 y 5. Esto fue configurado
con un valor de 5 minutos. Multiplique la cuenta de repeticiones por el intervalo de lanzamiento y
tendrá el intervalo de tiempo por el cual deberá seguir un evento para disparar el notificador de repeticiones.
Guía del Usuario 165

Configuración de la Proxy SMTP
Configuración de la Proxy SMTP
Usted podrá usar la proxy SMTP para controlar mensajes de correo electrónico y el contenido de los mismos.
La proxy revisará los mensajes SMTP buscando un número de parámetros a filtrar y los comparará
con las reglas fijadas en la configuración de la proxy. Así se configura la proxy SMTP:
1 Agregue la proxy SMTP al Policy Manager. Para saber cómo hacerlo vea “Agregando Políticas”, en la
página correspondiente.
2 Haga doble click en el ícono SMTP y seleccione la pestaña Properties.
Aparecerá la caja de diálogo Edit Policy Properties y mostrará información sobre los seteos generales.
3 En la lista desplegable Proxy, seleccione si desea configurar los SMTP entrantes o salientes
Puede también clonar una acción de proxy y editarla para crear una nueva acción.
4 Haga click en el ícono View/Edit Proxy.
166 WatchGuard System Manager

Configuración de la Proxy SMTP
Configuración de parámetros generales
Podrá usar los campos General Settings para configurar parámetros básicos de la proxy SMTP, como el
tiempo de inactividad y los límites de mensajes.
Idle timeout (o tiempo de espera)
Puede fijar el período de tiempo en el cual una conexión SMTP entrante puede estar inactiva antes de
que expire el tiempo asignado. El valor preestablecido es de 600 segundos (10 minutos). Si no desea
tener tiempo límite, destilde la opción Set the timeout to.
Maximum e-mail recipients
Si elige la opción Set the maximum e-mail recipients to, podrá fijar la máxima cantidad de destinatarios
que un mismo mensaje puede llegar a tener. El Firebox los cuenta y permite que llegue al número
especificado. Luego corta los siguientes. Por ejemplo, si usted usa la cantidad por defecto 50 y hay
un mensaje para 52 direcciones, se enviarán las primeras 50, mientras que las últimas 2 no recibirán su
copia de dicho e-mail. Una lista de distribución aparece como una única dirección SMTP (por ejemplo
support@watchguard.com). El Firebox la cuenta como una única dirección.
Es posible usar esta característica para disminuir el spam, ya que éste, usualmente, incluye una larga
lista de receptores. Sea cuidadoso con esta opción ya que es fácil denegar la salida de correos legítimos.
Maximum address length
Tildando la opción Set the maximum address length to es posible fijar una longitud máxima para
una dirección de correo.
Maximum e-mail size
Tildando la opción Set the maximum e-mail size to es posible fijar la longitud máxima de un mensaje
entrante SMTP. La mayor parte del correo se envía como texto ASCII. Las excepciones son MIME
binarios y 8-bit MIME. El contenido de esta última (por ejemplo los adjuntos MIME) se codifican con
Guía del Usuario 167

Configuración de la Proxy SMTP
algoritmos estándares (en base 64 o quote-printable encoding) para permitir que sean enviados a
través de sistemas de correo de 7 bits. La codificación puede incrementar la longitud de un archivo
en hasta un tercio. Así, para permitir mensajes de hasta 1000 bytes, deberá fijar el valor de este
campo en 1334 bytes, para asegurarse que dicho mail realmente pueda atravesar el firewall. El valor
de fábrica es de 3.000.000 bytes (tres millones de bytes).
Maximum e-mail line length
Tildando el valor Maximum e-mail line length, podrá fijar la longitud máxima de las líneas de un
mensaje SMTP. Líneas muy largas pueden generar un “buffer overflow” en algunos sistemas de
correo. La mayor parte de los clientes de correo y los sistemas envían líneas cortas, pero algunos sistemas
de correo basados en web generan líneas muy largas. El valor por defecto es 1024.
Hide E-mail Server
Seleccione las cajas de diálogo Message ID y Server Replies para reemplazar los límites MIME y los
avisos de recepción de mensajes de e-mail. Éstos suelen ser usados por los hackers para identificar la
marca del fabricante del servidor de SMTP y la versión del mismo.
Si usted tiene un servidor de e-mail y usa la acción proxy con SMTP entrante, podrá hacer que la
proxy SMTP cambie el dominio mostrado por su servidor SMTP por otro, elegido por usted. Para
hacerlo, tilde Rewrite Banner Domain y escriba el nombre del dominio que prefiera que aparezca
en la caja de diálogo. Para que se cumpla esta condición también deberá tildar la opción Server
Replies.
Si se usa la acción de proxy SMTP saliente podrá hacer que la proxy SMTP reemplace el dominio
mostrado en el saludo HELO o EHLO. Un saludo HELO o EHLO es la primera parte de una transacción
SMTP y ocurre cuando el servidor de e-mail se presenta a sí mismo ante un servidor de recepción de
correo. Para hacer esto, tilde Rewrite HELO Domain y tipee el nombre de dominio que desea usar
en la acción HELO o EHLO en la caja de diálogo.
Send a log message
Seleccione Send a log message para enviar un mensaje de log por cada conexión requerida a través
del SMTP. Para que los Historical Reports (informes históricos) puedan crear informes precisos
sobre tráfico SMTP, deberá tildar esta opción.
Greeting rules
La proxy examina las respuestas iniciales de HELO/EHLO durante una sesión de inicialización de
SMTP. La regla por defecto para la acción proxy del SMTP entrante se asegura de que no puedan
pasar paquetes de salutación demasiado largos o que incluyan caracteres incorrectos o inesperados.
Cómo configurar parámetros ESMTP
Podrá usar los campos ESMTP Settings para fijar filtros para contenidos ESMTP. Aunque SMTP es ampliamente
aceptado y utilizado, algunas partes de la comunidad de Internet han considerado necesario exten-
168 WatchGuard System Manager

Configuración de la Proxy SMTP
der el SMTP para disponer de una mayor funcionalidad. El ESMTP ofrece un método para extender funcionalmente
el SMTP, y para que los clientes que soportan se reconozcan entre si.
1 Desde la sección Categories, seleccione ESMTP Settings.
Allow BDAT/CHUNKING
Selecciónelo para permitir BDAT/CHUNKING. Esto permite que los mensajes largos sean enviados más
fácilmente a través de una conexión SMTP.
Allow ETRN (Remote Message Queue Starting)
Ésta es una extensión del SMTP que permite que un cliente SMTP y un servidor interactúen para
comenzar a intercambiar colas de mensajes para un host dado.
Allow 8-bit MIME
Selecciónelo para permitir 8-bit MIME, si el cliente y el host soportan esta extensión. La extensión 8-bit
MIME le permite a un cliente y a un host intercambiar mensajes de texto hechos con octetos que no
pertenecen al rango US-ASCII (Hex 00-7f, ó 7-bit ASCII) y que usan SMTP.
Allow Binary MIME
Selecciónelo para permitir extensiones Binary MIME, si quien envía y quien recibe lo aceptan. El MIME
binario previene el incremento de codificados base 64 y la codificación “quoted-printable” de objetos
binarios enviados que usan el formato de mensajes MIME con el SMTP. No recomendamos que seleccione
esta opción ya que puede ser un riesgo de seguridad.
Configurando reglas de autenticación
Este conjunto de reglas permite un número de tipos de autenticación ESMTP. La regla por defecto niega
todo los otros tipos de autenticación. El RFC que define la extensión de la autenticación SMTP es el RFC
2554.
1 Desde la sección Categories, seleccione Authentication.
2 Siga los pasos usados para crear reglas. Para más información vea “Definiendo reglas” en la página
correspondiente.
Guía del Usuario 169

Configuración de la Proxy SMTP
Definiendo reglas de tipo de contenido
Podrá usar un conjunto de reglas para la acción de SMTP entrante para fijar valores de filtro de contenidos
de SMTP entrante. Utilice el conjunto de reglas para la acción de la proxy SMTP saliente para fijar valores
de filtrado de contenidos SMTP salientes.
1 Desde la sección Categories seleccione Content Types.
2 Siga los pasos usados para crear reglas. Para más información vea “Definiendo conjuntos de reglas” en
la página correspondiente.
Definiendo reglas para nombres de archivos
Use el conjunto de reglas para la acción de proxy SMTP entrante para poner límites en los nombres de
adjuntos de e-mail entrantes. Podrá usar el conjunto de reglas para la acción de proxy de SMTP saliente
para poner límites en los nombres de los adjuntos de correo saliente.
1 Desde la sección Categories, seleccione Filenames.
2 Siga los pasos usuales para crear reglas. Para más información vea “Definiendo reglas”, en la página
correspondiente.
Configurando las reglas de “Mail from” y “Mail to”
El conjunto de reglas Mail From puede poner límites a los e-mails para permitir enviar mensajes a la red
sólo desde determinados usuarios. La configuración de fábrica es permitir el envío desde todos los usuarios.
El conjunto de reglas Mail to puede poner límites en el correo para permitir la salida sólo a destinatarios
especificados. La configuración por defecto permite enviar e-mails a todos los destinatarios posibles en su
red. En una acción de proxy de SMTP entrante podrá usar el conjunto de reglas Mail To para prevenir que
sus usuarios aprovechen su servidor de e-mail para hacer reenvío de correos. Para eso, asegúrese de que
todos los dominios de su servidor de e-mail acepten correos en la lista de reglas. Luego asegúrese de que
la opción Action to take if None Matched esté en Deny. Cualquier e-mail con una dirección que no coincida
con la lista de dominios permitidos será denegado.
También podrá usar la opción Rewrite As incluida en esta configuración de reglas en la caja de diálogo
para hacer que el Firebox cambie los componentes “From” y “To” de correo a valores distintos. Esta opción
también es conocida como “Enmascaramiento SMTP”.
1 Desde la sección Categories seleccione Mail From o Mail To.
2 Sigas los pasos usados para crear reglas. Para más información vea “Definiendo Reglas” en la página
correspondiente.
Definición de reglas de encabezado
Los conjuntos de reglas sobre encabezados le permiten fijar valores para filtrar encabezados SMTP entrantes
o salientes.
1 Desde la sección Categories, seleccione Headers.
2 Siga los pasos usados para crear reglas. Para más información vea “Definiendo Reglas” en la página
correspondiente.
Definiendo las respuestas antivirus
Los campos de esta caja de diálogo fijan las acciones a tomar si se encuentra un virus en un mensaje de e-
mail. También fijan las acciones a realizar cuando el adjunto de un correo es demasiado grande o cuando
el Firebox no puede analizarlo.
Aunque podrá usar las pantallas de definiciones de proxy para activar y configurar el Gateway Antivirus, es
más fácil utilizar el menú Tasks desde el Policy Manager. Para más información sobre cómo hacerlo o para
usar las opciones de antivirus en las definiciones de proxy, vea el capítulo “Usando Servicios de Seguridad
Basados en Firmas”.
170 WatchGuard System Manager

Configuración de la Proxy SMTP
Cambiando el mensaje de denegación
El Firebox tiene un mensaje de denegación configurado por defecto que reemplaza el contenido no deseado.
Usted podrá cambiar dicho mensaje por otro. Puede escribirlo usando HTML estándar. La primera línea
del mensaje de denegación es una sección del encabezado HTTP. Debe haber una línea vacía entre la primera
línea y el cuerpo del mensaje.
1 Desde la sección Categories, seleccione Deny Message.
2 Escriba el mensaje de denegación en la caja de diálogo correspondiente. Puede usar estas variables:
%(reason)%
Explica la causa por la cual el Firebox deniega el contenido.
%(type)%
Explica el tipo de contenido denegado.
%(filename)%
Explica el nombre del archivo denegado.
%(virus)%
Muestra el nombre o el estado de un virus (sólo para los usuarios del Gateway Antivirus).
%(action)%
Coloca el nombre de la acción tomada: extraído, cerrado, etc.
%(recovery)%
Permite configurar el texto para rellenar la siguiente frase:“Your network administrator %(recovery)%
this attachment”.
Configurando el IPS (Intrusion Prevention System o Sistema de Prevención de Intrusiones)
para SMTP
Los hackers usan muchos métodos para atacar computadoras en Internet. La función de estos ataques es
causar daños a su red, obtener información sensible o usar sus sistemas para lanzar ataques a otras redes. A
estos ataques se los conoce como intrusiones.
Aunque podrá usar las pantallas de definición de proxies para activar y configurar IPS, es más simple usar el
menú Tasks desde el Policy Manager. Para más información sobre como hacerlo o sobre como usar las pantallas
IPS en las definiciones de proxy, vea el capítulo “Usando Servicios de Seguridad Basados en Firmas”.
Configurando spamBlocker
El correo electrónico no solicitado, también conocido como “spam”, suele llegar a las casillas en cantidades
sorprendentes. Un alto volumen de spam disminuye el ancho de banda disponible, afecta la productividad
de los empleados y desperdicia recursos de red. La opción WatchGuard® spamBlocker aumenta sus posibilidades
de frenar el spam antes de que éste penetre en su red.
Aunque es posible usar las pantallas de definiciones de proxy para activar y configurar el spamBlocker, es
más simple usar el menú Tasks desde el Policy Manager para hacerlo. Para más información sobre cómo
hacerlo o sobre cómo usar las pantallas spamBlocker en las definiciones de proxy, vea el capítulo “Usando
spamBlocker”.
Configurando alarmas de proxy y antivirus en el SMTP
Podrá fijar las acciones a seguir por el Firebox cuando ocurra una alarma de eventos de proxy o de antivirus
(AV).
1 Desde la sección Categories seleccione Proxy and AV Alarms.
Guía del Usuario 171

Configurando el Proxy FTP
2 Para más información sobre los campos de Proxy/AV alarm Configuration vea “Usando caja de diálogo
para alarmas, mensajes de log y notificaciones”.
Configurando el Proxy FTP
File Transfer Protocol, o Protocolo de Transferencia de Archivos (FTP), es el protocolo que se utiliza para
mover archivos en la Internet. Como SMTP y HTTP, el FTP recurre a los protocolos TCP/IP para permitir la
transferencia de datos. Usualmente se utiliza FTP tanto para descargar archivos como para subirlos a un
servidor en la red.
1 Agregue la proxy FTP al Policy Manager. Para aprender cómo agregar políticas en el Policy Manager
vea “Agregando Políticas”, en la página correspondiente.
2 Haga doble click en el ícono FTP y luego seleccione la pestaña Policy.
3 Seleccione Allowed desde el menú desplegable FTP proxy connections are.
4 Seleccione la pestaña Properties.
5 En el menú desplegable Proxy, elija configurar las acciones de proxy para los clientes y servidores
FTP.
6 Haga click en el ícono View/Edit Proxy.
Configurando los parámetros generales
Podrá usar los campos en General para configurar los parámetros básicos del FTP, incluyendo la longitud
maxima del nombre de usuario.
1 Desde la sección Categories, seleccione General.
2 Para fijar límites a los parámetros FTP, tilde las opciones aplicables. Estos parámetros ayudan a proteger
su red de ataques de buffer overflow. Si usted fija una opción en 0 bytes, el Firebox no usará ese parámetro.
Utilice las flechas para fijar los límites:
Maximum user name length
Fija la longitud maxima para nombre de usuarios en sitios FTP.
Maximum password length
Fija la longitud máxima posible de una clave usada para loguearse al sitio FTP.
172 WatchGuard System Manager

Configurando el Proxy FTP
Maximum file name length
Fija la longitud máxima del nombre de archivos para subir o descargar.
Maximum command line length
Establece la máxima extensión para líneas de comando usadas en sitios FTP.
3 Para cada parámetro, podrá elegir o no la opción Auto-block. Si alguien trata de conectarse a un sitio
FTP y excede un límite cuya casilla de verificación Auto-block esté tildada, la computadora que envió
ese comando será agregada a una lista de sitios bloqueados temporalmente.
4 Para crear un mensaje de log por cada transacción, seleccione la opción, Send a log message with
summary Information for each transactions.
Definiendo reglas para comandos FTP
El FTP tiene una cantidad de comandos para el manejo de archivos. Usted podrá escribir reglas para ponerle
límites a algunos comandos FTP. Use la acción de proxy FTP-Server para poner límites a los comandos que
podrán ser usados en el servidor FTP protegido por su Firebox. Use una acción de proxy FTP-Server para
poner límites a los comandos que los usuarios protegidos por su Firebox podrán usar cuando se conecten a
un FTP externo. La configuración de fábrica de los clientes FTP es permitir todos los comandos FTP.
1 Desde la sección Categories, elija Commands.
2 Siga los pasos para crear reglas. Para más información, vea “Definiendo Reglas”, en la página correspondiente.
Fijando reglas de descarga de archivos para el FTP
Las reglas de descarga controlan los nombres de archivos, extensiones o direcciones URL que los usuarios
pueden usar en un FTP para descargas. Use la acción de proxy FTP-Server para controlar las reglas de descarga
en un servidor FTP protegido por el Firebox. Use la acción de proxy FTP-Server para fijar las reglas de
descarga para los usuarios protegidos por el Firebox que se conectan a un servidor FTP externo. Para agregar
conjuntos de reglas de descarga:
1 Desde la sección Categories, seleccione Download.
2 Siga los pasos para crear reglas. Para más información, vea “Definiendo Reglas”, en la página correspondiente.
Fijando reglas de subida de archivos por FTP
Los conjuntos de reglas de subida de archivos controlan los nombres de archivos, extensiones o direcciones
URL que los usuarios pueden usar en un FTP para subidas. Use la acción de proxy FTP-Server para controlar
las reglas de subida de archivos en un servidor FTP protegido por el Firebox. Use la acción de proxy FTP-
Server para fijar las reglas de subida para sus usuarios protegidos por el Firebox que se conectan a un servidor
FTP externo. Para agregar conjuntos de reglas de subida:
1 Desde la sección Categories, seleccione Upload.
2 Siga los pasos para crear reglas. Para más información, vea “Definiendo Reglas”, en la página correspondiente.
Habilitando Intrusion Prevention para FTP
Aunque podrá usar las pantallas de definiciones de proxy para activar y configurar el IPS, es más simple usar
el menú Tasks desde el Policy Manager. Para más información sobre cómo hacerlo, o para usar las pantallas
del servicio IPS en la definición de la proxy, vea el capítulo “Usando Servicios de Seguridad Basada en
Firmas”.
Guía del Usuario 173

Configurando la Proxy HTTP
Configurando alarmas de proxy para FTP
Una alarma es un mecanismo que le avisa a un Administrador de redes cuando determinado tráfico de red
coincide con criterios de tráfico sospechosos o de contenidos no permitidos. Cuando ocurre un evento de
alarma, el Firebox cumple con la acción que usted configura. Por ejemplo, podrá fijar un límite para largos
de los archivos. Si el archivo en cuestión excede el límite, el Firebox enviará un mensaje de log al servidor
indicado.
1 Desde la sección Categories, seleccione Proxy Alarm.
2 Para más información sobre estos campos, en la sección Proxy Alarm Configuration, “Usando cajas
de diálogo para alarmas, mensajes de log y notificaciones”.
Configurando la Proxy HTTP
La proxy HTTP es un filtro de contenido de alta performance. Examina el tráfico web buscando identificar
contenido sospechoso que puede ser un virus, un spyware u otro tipo de intrusión. También puede proteger
su servidor web de ataques de una red externa. Podrá configurar la proxy HTTP de la siguiente manera:
• Permitir sólo contenido que coincida con los requerimientos RFC de clientes y servidor web.
• Seleccionar qué tipos de contenidos MIME el Firebox permitirá entrar a su red.
• Bloquear código Java, ActiveX y similares.
• Examinar el encabezado del HTTP para comprobar que no provenga de una fuente sospechosa.
1 Agregue la proxy HTTP al Policy Manager. Para aprender cómo hacerlo, vea “Agregando Políticas”.
2 Seleccione la pestaña Properties.
3 En el menú desplegable Proxy, elija configurar las acciones HTTP-Client o HTTP-Server. Use la
acción HTTP-Server (o una acción de proxy entrante que usted haya creado basándose en la HTTP-
Server) para proteger un servidor web. Use HTTP-Client o una acción de proxy saliente para filtrar solicitudes
HTTP de usuarios ubicados detrás del Firebox.
4 Haga click en el ícono View/Edit Proxy.
También puede clonar una acción de proxy para crear una nueva acción de proxy.
Configurando los parámetros para solicitudes HTTP
Podrá también configurar la configuración general para los pedidos HTTP. Podrá también ver y editar los
conjuntos de reglas referidos a requerimientos HTTP incluidos en la acción del proxy. Para acceder a estas
opciones, haga click en HTTP Request en la lista de Categories sobre la izquierda de las configuración de
la proxy.
174 WatchGuard System Manager

Configurando la Proxy HTTP
Configurando los seteos generales para las solicitudes HTTP
Podrá usar los campos General Settings para configurar parámetros básicos de HTTP relacionados con la
longitud de las URL y con el tiempo de espera.
Ver Identación
Controla cuánto tiempo debe esperar la proxy para que el cliente web haga una solicitud de algo
desde un servidor externo, luego de que éste inicie una conexión TCP/IP, o luego de un requerimiento
anterior, si es que lo hubo, para esa misma conexión. Si se supera el valor fijado, la proxy HTTP cierra la
conexión. El valor establecido de fábrica es de 600 segundos.
URL Length
Fija la longitud máxima del camino de la URL. Esto no incluirá el “http://” o el nombre del host. El control
de longitud máxima de la URL puede ayudar a prevenir ataques de buffer overflow.
Range Request
Los requerimientos de rango permiten que un cliente requiera subgrupos de los bytes de un recurso
web en lugar del contenido completo. Por ejemplo, esto es útil cuando usted desea sólo algunas partes
de un gran archivo de Adobe. Podrá seleccionar un rango de requerimientos para prevenir la descarga
de páginas innecesarias. Pero si usted permite requerimientos de rango a través del Firebox y
descarga un archivo infectado por un virus cuya “firma” esté dividida entre dos páginas, el software
antivirus no podrá detectarlo. Permitir requerimientos de rango puede hacer que las descargas ocurran
de modo más rápido, pero no más seguro.
Send a log message with summary information for each transaction
Crea un mensaje de log del tráfico para cada transacción. Esta opción crea un muy extenso archivo de
registros. Sin embargo es una opción muy útil, ya que dicha información es muy importante si su firewall
es atacado. Si usted no tilda esta opción no podrá ver información detallada sobre las conexiones
de proxy HTTP en los Historical Reports (informes históricos).
Fijando métodos de solicitud HTTP
La mayor parte de las solicitudes a los navegadores HTTP caen en una de dos categorías: operaciones GET y
POST. Los navegadores usualmente requieren operaciones GET para descargar objetos, como gráficos, datos
Guía del Usuario 175

Configurando la Proxy HTTP
HTML o Flash. Es usual que una PC cliente solicite más de un GET para cada página, ya que las páginas web
contienen muchos elementos distintos. Estos elementos se colocan juntos para hacer que una página se
forme como tal en la pantalla del usuario final.
Los navegadores usualmente recurren a operaciones POST para enviar datos a un sitio web. Muchas páginas
necesitan información del usuario final como domicilios, direcciones de correo y nombres. Si deshabilita
el comando POST, el Firebox denegará todas las operaciones POST realizadas hacia un servidor web
externo a su red. Esta opción puede prevenir que sus usuarios envíen información a una web ubicado en
la red externa.
La proxy HTTP soporta métodos de requerimiento tales como HEAD, GET, POST, OPTIONS, PUT y DELETE. Si
configura una regla para permitir otros métodos de requerimiento obtendrá un mensaje de error con el
texto “Method unsupported”.
1 Desde la sección Categories, seleccione Request Methods.
2 Siga los pasos usuales para crear reglas. Para más información vea la sección “Definiendo reglas”.
Fijando requerimientos HTTP en caminos URL
Podrá usar reglas para determinar URLs de manera de filtrar contenidos de ciertos hosts, o caminos u otros
componentes de la cadena que forma una URL. Aquí hay algunos ejemplos de cómo bloquear contenidos
usando esta opción:
• Para bloquear todas las páginas que tengan el dominio www.test.com, escriba lo siguiente:
www.test.com*
• Para bloquear todas las direcciones que contengan la palabra “sex” en todos los sitios: *sex*
• Para bloquear direcciones que finalicen en “*.test”, de todos los sitios: *.test
Nota
Usualmente, si filtra URLs con el conjunto de reglas de requerimientos para direcciones URL, deberá
configurar un patrón complejo que utilice expresiones regulares completas de sintaxis y la vista avanzada
del conjunto de reglas. Es más simple y da mejores resultados usar filtros basados en el encabezamiento
o en el tipo de contenido, en lugar de filtrar por caminos de URL.
1 Desde la sección Categories, seleccione URL paths.
2 Siga los pasos para crear reglas. Para más información, vea la sección “Definiendo reglas”.
Fijando los campos de requerimientos HTTP de encabezado
Este conjunto de reglas ofrece filtro de contenidos para todo el encabezado de HTTP. Por defecto, el
Firebox usa coincidencias exactas con las reglas para sacar los encabezados Via y From y permitir los
demás encabezados. Este conjunto de reglas se chequea contra el encabezados completo, no sólo contra
el nombre. Así, para hacer coincidir todos los valores de un encabezados escriba lo siguiente:“[header
name]:*”. Para hacer coincidir sólo algunas variables del encabezamiento remplace el asterisco (*) comodín
con algún patrón. Si éste no comienza con el asterisco (*) incluya un espacio entre el punto y el patrón
cuando escriba en la caja de texto Pattern. Por ejemplo, escriba [header name]: [pattern]; pero no [header
name]:[pattern].
Note que la regla por defecto no quita el encabezado de referencia, pero incluye una regla deshabilitada
para sacar el encabezado. Para habilitar esta acción, seleccione Change View. Algunos navegadores y aplicativos
requieren del encabezado de referencia para poder funcionar correctamente.
1 Desde la sección Categories, seleccione Header Fields.
2 Siga los pasos para crear reglas. Para más información, vea la sección “Definiendo reglas”.
176 WatchGuard System Manager

Configurando la Proxy HTTP
Fijando los requerimiento de autenticación HTTP
Esta regla fija los criterios para filtro de contenidos de los campos de autenticación de los requerimientos de
encabezamiento. Cuando un servidor web inicia un desafío “WWW-Authenticate”, envía información sobre
qué métodos de autenticación se pueden usar. La proxy pone límites a los tipos de autenticación enviadas
en este requerimiento. Sólo utiliza los métodos de autenticación que el servidor web acepta. En su configuración
original, el Firebox permite autenticación del tipo Basic, Digest, NTLM y Passport 1.4 y elimina todas
las otras autenticaciones.
1 Desde la sección Categories, seleccione Authorization.
2 Siga los pasos para crear reglas. Para más información, vea la sección “Definiendo reglas”.
Configurando los parámetros generales para las respuestas HTTP
Podrá utilizar los campos de General Settings para configurar parámetros básicos de HTTP, como el tiempo
de espera y los límites para longitud de línea y longitud total. Si usted fija en una opción el valor 0 bytes, el
Firebox no chequeará dicho parámetro.
Desde la sección Categories, seleccione General Settings.
Para fijar límite a los parámetros HTTP, tilde las opciones que apliquen. Use las flechas para fijar los límites.
Idle timeout
Controla cuánto tiempo la proxy HTTP del Firebox espera para que el servidor web le envíe la página.
El valor por defecto es de 600 segundos.
Maximum line length
Co nt rola la longitud maxima pe rmitida de una línea de ca ra cte res en los enca bezados de re s p u e s t a
H TT P. Use esta ca ra cte r í s t i ca para pro teger a sus co m p u t a d o ras de ataques de buffer ove rf l ow.
Maximum total length
Controla la longitud máxima permitida de un encabezado de respuesta HTTP. Si la longitud total es
mayor que el límite fijado, la respuesta HTTP es denegada. El valor por defecto es 0 (sin límites).
Fijando los campos de los encabezados de las respuestas HTTP
Esta opción controla cuáles campos de encabezado de respuestas HTTP permite el Firebox. El RFC 2616
incluye muchos de los encabezados de respuestas que son permitidos en la configuración por defecto. Para
más información vea: http://www.ietf.org/rfc/rfc2616.txt
1 Desde la sección Categories, seleccione Header Fields.
2 Siga los pasos para crear reglas. Para más información, vea la sección “Definiendo reglas”.
Fijando tipos de contenido para las respuestas HTTP
Cuando un servidor web envía tráfico HTTP, usualmente le agrega a la respuesta un tipo MIME. El encabezados
HTTP en el envío de datos contiene dicho MIME. Se le agrega antes de que se envíen los datos.
Este conjunto de reglas fija una directiva para buscar por tipos de contenido (MIME) en los encabezados de
respuestas HTTP. Por defecto, el Firebox permite algunos tipos de contendidos seguros y deniega el acceso a
los contenidos MIME que no tengan un tipo de contenido especificado. Algunos servidores web proporcionan
tipos MIME incorrectos para vulnerar estas reglas de contenido.
1 Desde la sección Categories, seleccione Content Types.
2 Siga los pasos para crear conjuntos de reglas. Para más información, vea la sección “Definiendo reglas”.
Fijando cookies para respuestas HTTP
Las cookies HTTP son pequeños archivos de texto alfanumérico que los servidores web colocan en los navegadores.
Las cookies monitorean la página en la que un cliente web se ubica para permitir que el servidor
web envíe más páginas en la secuencia correcta. Los servidores web también usan cookies para recolectar
Guía del Usuario 177

Configurando la Proxy HTTP
información sobre los usuarios y, finalmente, otros sitios recurren a ellos para tareas de autenticación y
otras funciones similares legítimas y no logran operar correctamente sin su presencia.
Este conjunto de reglas le da a usted el control de las cookies en las respuestas de HTTP. Podrá configurar
reglas para extraer las cookies basándose en sus requerimientos de red. La regla por defecto para las
acciones HTTP-Server y HTTP-Client es permitir todas las cookies.
El conjunto de reglas Cookies busca paquetes basados en un dominio asociado con la cookie. El dominio
puede ser el especificado en la cookie. Si no hay un dominio en la misma, la proxy usa el nombre del host
del primer requerimiento. Así, para bloquear todas las cookies de un sitio como nosy-adware-site-com,
agregue una regla como la siguiente:“*.nosy-adware-site.com”.
1 Desde la sección Categories, en el lado izquierdo, seleccione Cookies.
2 Siga los pasos para crear reglas. Para más información, vea la sección “Definiendo reglas”.
Fijando los tipos de contenidos para el cuerpo del HTTP
Este conjunto de reglas le ofrece control extendido de todo el contenido de una respuesta HTTP. El Firebox
está configurado para rechazar applets de Java, archivos ZIP y archivos DLL, CAB y EXE de Windows. La
acción proxy por defecto para los requerimientos HTTP salientes (HTTP-client) permite respuestas de todo
el resto de contenidos. Le recomendamos examinar el tipo de archivos que se utilizan en su organización y
permita el paso sólo a aquellos tipos de archivos necesarios para su red.
1 Desde la sección Categories, seleccione Body Content Types.
2 Siga los pasos para crear reglas. Para más información, vea la sección “Definiendo reglas”.
Definiendo respuestas antivirus para HTTP
Los campos en esta caja de diálogo fijan las acciones a seguir si se encuentra un virus en un mensaje de
e-mail.Y también las fija para cuando un correo contiene un adjunto tan grande que no puede ser revisado
por el Firebox.
Aunque puede usar las pantallas de las definiciones de proxy para activar y configurar el Gateway
Antivirus, es más simple usar el menú Tasks en el Policy Manager para hacerlo. Para más información, o
para usar las pantallas antivirus en las definiciones de proxy, vea el capítulo “Usando Servicios de
Seguridad Basados en Firmas”.
Cambiando el mensaje de denegación
El Firebox trae de fábrica un mensaje de denegación que remplaza el contenido denegado. Podrá cambiar
este mensaje por otro, creado por usted. Podrá también personalizarlo usando HTML estándar. La primera
línea del mensaje de denegación es un componente del encabezamiento HTTP. Y debe haber una línea
vacía entre la primera línea y el cuerpo del mensaje.
1 Desde la sección Categories, seleccione Deny Message.
178 WatchGuard System Manager

Configurando los Proxy DNS
2 Escriba el mensaje de denegación en la caja de diálogo. Puede usar las siguientes variables:
%(transaction)%
Coloca “Request” o “Response” para mostrar qué lado de la transacción causó que el paquete fuera
denegado.
%(reason)%
Explica la razón por la cual el Firebox deniega contenidos.
%(method)%
Coloca el método requerido de la respuesta denegada.
%(url-host)%
Coloca el nombre del Servidor de la URL denegada. Si no hay nombre, se ofrecen las direcciones IP.
%(url-path)%
Incluye el camino que compone la URL denegada.
Habilitando prevención de intrusiones para HTTP
Aunque es posible usar las pantallas de definiciones de proxy para activar y configurar los servicios IPS, es
más fácil recurrir al menú Tasks del Policy Manager para hacerlo. Para más información o para usar las pantallas
de IPS en la definición de la proxy, vea el capítulo “Usando Servicios de Seguridad Basados en Firmas”.
Definiendo alarmas de proxy y antivirus para HTTP
Use estos parámetros para fijar criterios para un evento de notificación
1 Desde la sección Categories, seleccione Proxy and AV Alarms.
2 Siga los pasos ya comentados en la sección “Usando cajas de diálogo de para alarmas, mensajes de log y
notificaciones”.
Configurando los Proxy DNS
Por medio del Domain Name System o DNS (Sistema de nombres de Dominios), usted podrá acceder a una
dirección web con un nombre fácil de recordar, del estilo “.com”. Los DNS encuentran el nombre de dominio
(por ejemplo WatchGuard.com) y lo transforman en direcciones IP. Las proxy DNS protegen a sus servidores
DNS de ataques del tipo TSIG, NXT y otros similares. Para agregar la proxy DNS a la configuración de su
Firebox:
1 Agregue la proxy DNS al Policy Manager. Para saber cómo agregar políticas en el Policy Manager, vea el
apartado “Agregando Políticas”.
2 Haga doble click en el ícono DNS y luego seleccione la pestaña Policy.
3 Seleccione Allowed desde el menú desplegable DNS proxy connections are.
4 Seleccione la pestaña Properties.
5 En el menú desplegable de la Proxy elija configurar la acción proxy DNS entrante y saliente.
6 Haga click en el ícono View/Edit Proxy
También puede clonar una acción proxy existente y asi crear una nueva.
Guía del Usuario 179

Configurando los Proxy DNS
Configurando los parámetros generales para una acción proxy DNS
Los parámetros generales de una proxy DNS incluyen dos protocolos de reglas de detección de anomalías.
Not of class Internet
Seleccione la acción a realizar cuando la proxy examina el tráfico DNS que no pertenece a la clase de
Internet (IN). La acción por defecto es denegar ese tráfico. Le recomendamos que no cambie esta
acción. Tilde la opción Alarm para generar una alarma por este evento. Y lo mismo con Log, para
insertar un evento en el registro de eventos.
Badly formatted query
Seleccione esta acción cuando la proxy examina tráfico DNS que no tenga el formato correcto. Tilde
la opción Alarm para generar una alarma para este evento. Y lo mismo con Log Check Box, para
insertar un evento en el registro de eventos.
Send a log message with summary informations for each transaction
Tilde esta opción para insertar un evento en el registro de eventos por cada conexión DNS requerida.
Observe que esto creará un gran número de mensajes de eventos y de tráfico.
Configurando OPcodes de DNS
Los OPcodes de DNS son comandos dados al servidor de DNS que le solicitan cumplir con alguna acción
como, por ejemplo, una búsqueda (Query) una búsqueda inversa (IQuery) o un pedido del estado de un
servidor (STATUS). Usted podrá permitir, denegar, excluir o bloquear OPcodes específicos.
1 Desde la sección Categories seleccione OPcodes.
2 Para las reglas listadas, tilde la opción Enabled para habilitar una regla. Destíldela para deshabilitarla.
Nota
Si usted usa Active Directory, y su configuración de Active Directory requiere actualizaciones dinámicas,
deberá permitir DNS OPcodes en las acciones de sus reglas proxy de DNS entrante. Esto es un riesgo
a la seguridad, pero puede ser imprescindible para que el directorio activo opere en forma correcta.
Agregando una nueva regla OPcodes
1 Haga click en Add.
Se abrirá la caja de diálogo New OPCodes Rule.
180 WatchGuard System Manager

Configurando los Proxy DNS
2 Tipee el nombre de la regla
El nombre no puede tener más de 31 caracteres)
3 Los OPCodes DNS tienen un valor que es un número entero. Use las flechas para fijarlo.
Para más información sobre los valores enteros de los OPCodes vea el RFC 1035.
4 Fije una acción para la regla y configúrela para enviar una alarma o inscribir un evento en el registro de
eventos. Para más información vea la sección “Agregando reglas”.
Configurando tipos de query DNS
Una query DNS puede configurar un registro de recurso por tipo (como los registros CNAME o TXT), o bien
un tipo personalizado de operación de query (como una “AXFR Full zone transfer”). Usted puede permitir,
denegar, excluir o bloquear tipos específicos de queries.
1 Desde la sección Categories, seleccione Query Types.
2 Para habilitar una regla, seleccione la caja de verificación Enabled adyacente a la acción y el nombre de
la regla.
Añadiendo una nueva regla de tipos de queries
1 Para agregar una nueva regla de tipos de queries, haga click en Add.
Aparecerá la caja de diálogo New Query Types Rule
2 Escriba un nombre para la regla
Las reglas no pueden tener más de 31 caracteres.
3 Los tipos de queries DNS tienen un valor de registro del recurso (Resource Record, o RR). Use las flechas
para establecerlo.
Para más información sobre los valores de tipos de queries DNS, ver RFC 1035.
4 Establezca una acción para la regla y configure el envío de una alarma, o bien ingrese el evento en el
archivo de log. Para más información, ver “Definiendo reglas”.
Guía del Usuario 181

Configurando la Proxy TCP
Configurando nombres de query DNS
Un nombre de query DNS es un nombre de dominio DNS específico, mostrado como un nombre de dominio
totalmente calificado o Fully Qualifield Domain Name (FQDN).
1 Desde la sección Categories, seleccione Query Names.
2 Para agregar más nombres, siga los pasos usuales para crear reglas. Para más información, vea
“Definiendo Reglas”.
Habilitando Intrusion Prevention para DNS
Aunque puede usar las pantallas de definiciones proxy para activar y configurar IPS, es más simple usar el
menú Tasks del Policy Manager para hacerlo. Para más información sobre esto, lea el capítulo “Usando
Servicios de Seguridad Basados en Firmas”.
Configurando alarmas de proxy DNS
Utilice estos parámetros para fijar criterios para un evento de notificación:
1 Desde la sección Categories, seleccione Proxy Alarm.
2 Siga el procedimiento indicado en “Cómo usar cajas de diálogo para alarmas, mensajes de log
y notificaciónes”.
Configurando la Proxy TCP
Transmission Control Protocol (TCP) es el protocolo primario de las redes TCP/IP. El protocolo IP controla
los paquetes mientras que el TCP habilita al host a comenzar las conexiones y a enviar y recibir datos. Una
proxy TCP monitorea la negociación TCP para controlar si la sesión es legítima.
Configurando los parámetros generales para la proxy TCP
HTTP proxy action
Seleccione la acción de proxy HTTP para usar las conexiones TCP. La proxy TCP aplica el conjunto de
reglas de proxy HTTP para todo el tráfico identificado como HTTP.
182 WatchGuard System Manager

Configurando la Proxy TCP
Send a log message with summary information for each transaction
Tilde esta opción para grabar un evento en el registro para todos los requerimientos TCP. Esta opción
creará un gran número de mensajes de eventos y de tráfico.
Habilitando la prevención de intrusiones para TCP
Aunque puede usar las pantallas de definiciones de proxy para activar y configurar el IPS, es más simple
hacerlo desde el menú Tasks del Policy Manager. Para más información sobre esto, vea el capítulo “Usando
servicios de Seguridad Basados en Firmas”.
Guía del Usuario 183

Configurando la Proxy TCP
184 WatchGuard System Manager

CA P Í T U LO 14
Generando informes sobre la Actividad
de la Red
Los informes históricos (Historical Reports) son una herramienta que crea sumarios e informes a partir de los
archivos de registros (logs) del dispositivo Firebox. El responsable de la red podrá utilizar dichos informes
para aprender y para hacer más eficiente el uso de Internet en la organización. También podrá medir el
recurso “ancho de banda” y constatar qué usuarios y cuáles aplicaciones demandan más recursos de red. Los
informes históricos se generan utilizando la información almacenada en el archivo de registros grabados en
el “Servidor de registros” (Log Server) de WatchGuard®.
Con las características avanzadas de la herramienta “Informes Históricos” es posible:
• Fijar un período de tiempo específico para generar un informe.
• Personalizar los informes usando filtros de datos.
• Consolidar diversos archivos de registros y crear un único informe sobre un grupo de Fireboxes.
• Mostrar los datos del informe en diferentes formatos.
Creando y Editando Informes
Cuando prepare informes periódicos, podrá configurar un grupo de parámetros utilizado para generarlos en
fechas previstas con anticipación. Esta sección le mostrará cómo crear, editar y borrar informes y cómo
generar un archivo de respaldo (backup) de la configuración de los mismos.
Comenzando con los informes históricos
Desde la pestaña Device Status, haga click en el icono Historical Reports.
Guía del Usuario 185

Creando y Editando Informes
Iniciando un nuevo informe
1 Desde Informes Históricos, haga click en Add.
Se abrirá la caja de diálogo Properties.
2 Escriba el nombre del informe.
Aparecerá el nombre en Historical Reports y en el nombre del archivo resultante.
3 Utilice la caja de diálogo Log Directory para establecer la ubicación de los archivos de log.
La ubicación por defecto es: MyDocuments\MyWatchGuard\SharedWatchGuard\Logs.
4 Use la caja de diálogo Output Directory para establecer la ubicación de los archivos generados.
La ubicación por defecto de los archivos resultantes es:
MyDocuments\MyWatchGuard\SharedWatchGuard\reports
5 Para seleccionar el tipo de archivo a generar, seleccione HTML Report o NetIQ Export.
Para más información sobre estos tipos de archivos, vea la sección “Exportando informes”.
6 Seleccione el filtro.
Para más información sobre los tipos de filtros, vea la sección “Usando filtros para informes”.
7 Para poder ver la primera página del informe cuando sea generado en HTML, tilde la opción Execute
Browser Upon Completion.
8 Haga click en la pestaña Firebox.
186 WatchGuard System Manager

Fijando las Propiedades de los Informes
9 Escriba la dirección IP o el nombre de host del Firebox. Haga click en Add.
Cuando escriba la direcciones IP coloque tanto los números como los puntos. No use la tecla TAB ni las flechas. Cuando
genere un informe con secciones consolidadas, deberá utilizar solamente WFS Fireboxes, o bien Fireboxes que empleen
Fireware. Si consolida en un único informe datos de dos Firebox de versiones diferentes, los resultados no serán correctos.
10 Use las otras pestañas para fijar otras preferencias. Encontrará información adicional sobre esto en las
secciones siguientes.
11 Complete la configuración y haga click en OK.
El nombre del informe aparecerá en la lista de informes.
Editando un informe ya existente
Es posible cambiar la descripción de un informe.
1 Desde Historical Reports, elija el informe que desea cambiar. Haga click en Edit.
Se abrirá la caja de diálogo Properties.
2 Cambie la definición del informe
Para ver la función de un ítem, haga click sobre éste con el botón derecho del mouse. Luego haga click en “What´s This?”.
Borrando un informe
Podrá borrar un informe de la lista de informes disponibles.
Desde Historical Reports, seleccione el informe que desea anular. Haga click en Remove. Esto eliminará el
archivo .rep del directorio report-defs.
Viendo la lista de informes
Para ver todos los informes disponibles, haga click en Reports Page. Aparecerán los informes disponibles en
su navegador. Podrá recorrer la lista de informes preparados.
Generando un archivo de respaldo de los archivos de definiciones
Los archivos de definición de cada informe contienen las configuraciones particulares de los informes que
usted ha ido creando. Es una buena idea organizar en forma regular y frecuente archivos de respaldo para
estas definiciones. Esto podrá ahorrarle tiempo si -en algún momento- necesita mudar el servidor de registros
a otra computadora.
Para crear un archivo de respaldo de sus definiciones copie el contenido de la carpeta \Documents and
Settings\WatchGuard\report-defs a un archivo y manténgalo en un lugar seguro.
Fijando las Propiedades de los Informes
Podrá usar la caja de diálogo Report Properties para configurar muchas características de los informes. Para
acceder a esta caja de diálogo puede:
• Seleccionar un informe entre los Informes Históricos y hacer click en Edit.
o
• En Historical Reports, haga click en Add.
Especificar un intervalo de tiempo para los informes
Cuando genera un informe, éste incluye todos los datos de los archivos de registro, a menos que se cambie
el intervalo de tiempo. Desde la caja de diálogo Time Filters, use el menú desplegable para elegir un intervalo
de tiempo. Por ejemplo,“ayer” u “hoy”. También podrá configurar en forma manual el tiempo de inicio y
finalización. Así, el informe final sólo abarcará el tiempo especificado por usted.
Guía del Usuario 187

Fijando las Propiedades de los Informes
1 En la caja de diálogo Report Properties, haga click en la pestaña Time Filters.
2 Seleccione el huso horario que prefiere para su informe: Local time o GTM.
3 Desde el menú desplegable Time Span, elija el intervalo de tiempo que prefiere.
4 Si no selecciona Specify Time Filters, en el menú desplegable Time Span, haga click en OK.
Si seleccionó Specify Time Filters, haga click en Start y en End, en el menú desplegable y elija un
tiempo de inicio y de finalización. Haga click en OK.
Especificando secciones de informes
Podrá elegir la información que se mostrará en los informes utilizando la pestaña Sections, en la caja de
diálogo Report Properties.
1 Desde Historical Reports haga click en la pestaña Sections.
2 Tilde las secciones que desea incluir en su informe
Para ver el contenido de cada sección refiérase a “Secciones de un Informe y Secciones Consolidadas”.
3 (Opcional) Para incluir los nombres de autenticación de las direcciones IP de los usuarios autenticados
del Firebox, tilde Authentication Resolution on IP Addresses.
Deberá tener habilitada la autenticación de usuarios para crear este tipo de informes, además de la resolución de las
direcciones IP y de los nombres de usuario. En estos casos, la creación del informe tomará más tiempo.
188 WatchGuard System Manager

Fijando las Propiedades de los Informes
4 (Opcional). Para incluir los nombres DNS de las direcciones IP seleccionadas, tilde la opción DNS
Resolution on IP Addresses.
Se incluirá esta información sólo para las direcciones IP para las cuales la información DNS pueda ser resuelta por el
Firebox.
Consolidando secciones de un informe
Desde la pestaña Sections, podrá seleccionar qué tipo de información incluir en un informe. Puede elegir:
• Una vista vertical sobre los datos para cada grupo de Fireboxes.
• Una vista horizontal, o acumulativa, consolidando un grupo de dispositivos Firebox.
Para consolidar secciones de informes:
1 En la caja de diálogo Report Properties elija la pestaña Consolidated Sections.
La pestaña muestra una lista de secciones de informes que podrá consolidar. Para ver notas breves sobre los contenidos de
estas secciones, mire “Secciones de un Informe y Secciones Consolidadas” al final de este capítulo.
2 Tilde las opciones de las secciones que desea incluir en el informe. Y destilde las que no quiera incluir.
3 Haga click en OK.
Guía del Usuario 189

Exportando Informes
Configurando las propiedades de un informe
Los informes pueden tener secciones de “Resumen” (Summary) y de “Detalles” (Detail). Podrá controlar
cómo se muestra cada sección en forma independiente, de manera de presentar la información en forma
clara y priorizando lo que para usted es realmente importante. Una sección “Resumen” de un informe comprende
textos y gráficos que muestran información predefinida por el usuario.
Para fijar las propiedades de un informe:
1 Desde la caja de diálogo Report Properties, seleccione la pestaña Preferences.
2 Escriba el número de puntos de datos (ítems) que desea graficar en el informe.
Por ejemplo, si cuenta con 45 hosts, grafique los 10 principales y denomine al resto como “Otros”. La cantidad por defecto
es 10.
3 Complete el número de ítems a graficar en la tabla.
El número por defecto es 100.
4 Seleccione el tipo de gráfico que prefiere para el informe.
5 Seleccione cómo desea ordenar el Resumen: por ancho de banda o por conexiones.
6 Complete el número de entradas a mostrar en cada página de las secciones de Detalle.
El número por defecto es 1000 entradas.
7 Haga click en OK.
Cómo ver las relaciones de las interfaces de red
En la pestaña Inbound Traffic, podrá ver todas las relaciones de interfaces posibles que el Firebox considera
“entrantes”. Por ejemplo, el tráfico que proviene de redes opcionales hacia la red segura se considera
“tráfico entrante”. Si usted quiere excluir una relación de esta lista, selecciónela y haga click en Remove.
También podrá agregar su propio sistema de relaciones entre orígenes y destinos a este listado. Haga click
en Add y escriba el nuevo par “origen-destino” que desee fijar como entrante.
Exportando Informes
Podrá exportar un informe en dos formatos: HTML y NetIQ. Los mismos se encuentran en
MyDocuments\MyWatchGuard\Shared WatchGuard\reports\. En el directorio reports,
se ubicarán los subdirectorios con el nombre y la fecha de cada informe.
190 WatchGuard System Manager

Utilizando Filtros en los Informes
Exportando informes en formato HTML
Si usted selecciona HTML Report, desde la pestaña Setup, en la caja de diálogo Report Properties, el informe
se generará en HTML. Podrá acceder a cada sección del informe por medio de un menú JavaScript. Para
esto, deberá tener habilitada en su navegador la opción JavaScript. La siguiente pantalla demuestra cómo se
ve un informe.
Exportando informes al formato NetIQ
NetIQ ofrece soluciones de administración de sistemas y de seguridad, e incluye informes completos acerca
de cómo una organización está utilizando los recursos de Internet. Pero analiza los datos en forma diferente
a como lo hace el sistema de Informes Históricos de WatchGuard. Para calcular los datos de uso de Internet,
los informes históricos contabilizan el número de transacciones de protocolo, mientras que NetIQ calcula el
número de pedidos de URL.
Nota
El sistema de registros de la proxy HTTP de WatchGuard debe estar habilitado para poder proporcionar
al NetIQ la información necesaria.
Podrá encontrar los informes en MyDocuments\MyWatchGuard\Shared WatchGuard\reports.
Utilizando Filtros en los Informes
Un informe incluye datos completos de los archivos de registro, a menos que el usuario recurra a filtros
específicos. Podrá usar un filtro de informes para mostrar solamente datos sobre uno o más servicios, o
sobre uno o varios usuarios, o sobre uno o varios hosts. El filtro puede tener dos formas:
Include
Sirve para hacer un informe que incluya registros especificados en las propiedades oportunamente
fijadas desde la pestaña User Report Filters o en Host o en Service.
Guía del Usuario 191

Utilizando Filtros en los Informes
Exclude
Sirve para generar informes que no incluyan registros especificados en las propiedades oportunamente
fijadas desde las pestaña User Report Filters o en Host o en Service.
Podrá establecer un filtro que Incluya o Excluya datos en un informe, con estas tres propiedades:
Host
La direcciones IP del Host.
Port
El nombre del servicio o el número de puerto.
User
El nombre del usuario autenticado.
Creando un nuevo filtro de informes
Utilice Informes Históricos (Historical Reports) para crear un nuevo filtro de informes. Podrá encontrar los
filtros en el directorio de instalación del WatchGuard, ubicados en el subdirectorio report-defs, con la
extensión de archivo *.ftr.
1 Desde Historical Reports, haga click en Filters.
1 Haga click en Add.
2 Escriba el nombre del filtro. Este nombre aparecerá en la lista desplegable Filter, de la pestaña
Properties Setup.
3 Seleccione el nombre del filtro.
Por ejemplo, si usted tiene 45 hosts, grafique los 10 principales y resuma los demás en “Others”. Para una descripción de
Include y Exclude, vea más arriba.
4 Complete las pestañas de Filter.
Para ver la función de cada uno de los ítems haga click con el botón derecho del mouse y vea “What´s this?”.
5 Cuando finalice, haga click en OK.
Aparecerá el nombre del nuevo filtro en la lista de filtros. El archivo NombreDelFiltro.ftr se encontrará en la carpeta My
Documents\My WatchGuard\Shared WatchGuard\report-defs.
Editando filtros de informes
También podrá cambiar las propiedades de un filtro. Desde la caja de diálogo Filters en Historical Reports
(Informes Históricos):
1 Seleccione el filtro a modificar. Haga click en Edit.
Aparecerá la caja de diálogo Report Filter.
2 Cambie las propiedades del filtro.
Para ver la función de cada propiedad, use el botón derecho del mouse y haga click en “What´s this?”.
192 WatchGuard System Manager

Generando Informes
Borrando un filtro de informes
Para borrar un filtro de la lista, selecciónelo y haga click en Delete. Esto eliminará el archivo *.ftr del
directorio \report-defs.
Aplicando un filtro de informes
Cada informe puede usar solamente un filtro. Para aplicar un filtro, abra las propiedades del informe.
1 Desde Historical Reports (Informes Históricos), seleccione el informe al que aplicará el filtro.
Haga click en Edit.
2 Use el menú desplegable Filter para elegir un filtro.
Sólo si ha configurado un filtro en la caja de diálogo Filters, éste aparecerá en el menú desplegable. Para más información
vea “Creando un nuevo filtro de informes”.
3 Haga click en OK.
Guarde el nuevo informe en el archivo “NombreInforme.rep” en el directorio report-defs. Cuando genere el informe, se aplicará
el filtro.
Generando Informes
Podrá crear uno o más informes por medio de Historical Reports (Informes Históricos).
1 Desde Historical Reports tilde las opciones que desea para cada informe.
2 Haga click en Run.
Nota
Si no está tildada la opción Send a log message with summary information for each transaction
en la proxy HTTP, no verá información detallada sobre las conexiones de proxy HTTP en sus informes.
Secciones del Informe y Secciones Consolidadas
Podrá usar los Informes Históricos para crear informes con una o más secciones. Cada sección incluye un
tipo diferente de información o de tráfico de red. Podrá agrupar diversas secciones para crear un resumen.
Podrá entonces crear un informe en el registro de eventos de mensajes de un grupo de dispositivos Firebox.
Secciones de informes
Hay dos tipos básicos de secciones de informes:
• Summary (Resumen) – Las secciones en las que se ordenan datos por conexiones o por ancho de
banda.
• Detailed (Detallada) – Las secciones que muestran todo el tráfico o los eventos, sin sumarios gráficos
ni rangos.
Abajo mostramos una lista de los posibles tipos diferentes de secciones de un informe y también las secciones
consolidadas:
Firebox Statistics
Un resumen de estadísticas de uno o más archivos de registros de un Firebox.
Authentication Detail
Una lista de usuarios autenticados por secuencia temporal de conexiones. Las cajas de texto son:
- Usuarios autenticados
- Host
Guía del Usuario 193

Secciones del Informe y Secciones Consolidadas
- Hora y fecha de comienzo de la sesión de autenticación.
- Hora de finalización de la sesión autenticada
- Extensión de la sesión
Time Summary – Packet Filtered
Una tabla y un gráfico opcional de todas las conexiones aceptadas, divididos por intervalos fijados
por el usuario y ordenadas secuencialmente. El intervalo por defecto es un día, pero puede elegirse
otro intervalo.
Host Summary – Packet Filtered
Una tabla y un gráfico opcional de los hosts internos y externos que enviaron paquetes filtrados de
tráfico a través del Firebox. Los hosts son mostrados ordenados por su volumen en bytes o por
número de conexiones.
Service Summary
Una tabla y un gráfico opcional del tráfico de cada servicio, mostrados en orden según la cantidad
de conexiones.
Session Summary – Packet Filtered
Una tabla y un gráfico opcional de las sesiones más frecuentes, entrantes y salientes. Las sesiones
son ordenadas según su volumen en bytes o por número de conexiones. El formato de la sesión es:
cliente > Servidor: Servicio. Historical Reports intenta buscar en una tabla el nombre del servicio a
partir del número de puerto. Si esto no funciona, Historical Reports mostrará el número de puerto.
Time Summary – Proxied Traffic
Una tabla y un gráfico opcional de todas las conexiones aceptadas, divididas por intervalos definidos
por el usuario y ordenadas secuencialmente. El tiempo por defecto es un día, pero puede ser reemplazado
por otro.
Host Summary – Proxied Traffic
Una tabla y un gráfico opcional de los hosts internos y externos que envían tráfico con una proxy a
través del Firebox. Los hosts se muestran en orden por volumen de bytes o por número de conexiones.
Proxy Summary
Las proxies, en orden por ancho de banda o cantidad de conexiones.
Session Summary – Proxied Traffic
Una tabla y un gráfico opcional de las sesiones entrantes y salientes más frecuentes. Las sesiones
muestran en orden por volumen de bytes o por el número de conexiones. El formato de la sesión es
cliente -> Servidor: Servicio. El servicio se muestra en mayúsculas.
HTTP Summary
Tablas y un gráfico opcional de los dominios y hosts externos más frecuentes a los que los usuarios
se conectan por medio de la HTTP proxy. El dominio y los hosts se muestran ordenados por la cantidad
de bytes o el número de conexiones.
HTTP Detail
Tablas para el tráfico HTTP entrante y saliente por orden temporal. Los campos son Fecha, Hora,
Cliente, URL requerido y cantidad de bytes transferidos.
SMTP Summary
Una tabla y un gráfico opcional de las direcciones de e-mail entrantes y salientes más frecuentes
ordenadas por cantidad de bytes o por número de conexiones.
SMTP Detail
Una tabla del tráfico proxy de SMTP entrante y saliente, en orden temporal. Los campos son Fecha,
Hora, Remitente(s), Destinatarios y cantidad de bytes transferidos.
194 WatchGuard System Manager

Secciones del Informe y Secciones Consolidadas
FTP Detail
Tablas para el entrante y saliente de FTP, en orden temporal. Los campos son Fecha, Hora, Cliente,
Servidor, solicitud de FTP y ancho de banda.
Denied Outgoing Packet Detail
Una lista de los paquetes salientes denegados, en orden temporal. Los campos son Fecha, Hora, Tipo,
Cliente, Puerto del Cliente, Servidor, Puerto del Servidor, Protocolo y Duración.
Denied Incoming Packet Detail
Una lista de los paquetes entrantes denegados, en orden temporal. Los campos son Fecha, Hora, Tipo,
Cliente, Puerto del cliente, Servidor, Puerto del Servidor, Protocolo y Duración.
Denied Packet Summary
En esta sección hay diversas tablas. Cada una muestra los datos del host que denegó paquetes. Los
datos tienen la hora de su primer y último intento, el tipo, el servidor, el puerto, el protocolo y el número
de intentos. Si hay un único intento, este último campo no contendrá datos.
Denied Service Detail
Una lista de eventos en los cuales al usuario se le ha denegado el uso de un servicio. Esta lista incluye
peticiones entrantes y salientes.
WebBlocker Detail
Una lista de las URLs denegadas por el WebBlocker, en orden temporal. Los campos son Fecha, Hora,
Usuario, Sitio Web, Tipo y Categoría.
Denied Authentication Detail
Una lista de las autenticaciones denegadas, en orden temporal. Los campos son Fecha, Hora, Host y
Usuario.
IPS Blocked Sites
Una lista de los sitios bloqueados por el IPS.
Alarms
Disponible sólo para usuarios de Fireware, este informe muestra todas las alarmas de los dispositivos y
el problema descubierto con cada una de ellas.
AV Summary
Un resumen del Gateway Antivirus relacionadas con las acciones de correo. Los campos incluyen
Remitente, detalles del virus, si éste fue limpiado y el tamaño del adjunto del correo. Esta sección sólo
está disponible para los usuarios de Fireware que además estén suscriptos al servicio Antivirus.
AV Detail
Una lista de orígenes, remitentes y detalles de virus relacionados con las acciones del Gateway
Antivirus para correo electrónico. Esta sección sólo estará disponible para los usuarios de Fireware que
estén suscriptos al servicio Antivirus.
IPS Summary
Un resumen de las acciones tomadas por el sistema de prevención de intrusiones IPS, que muestra el
porcentaje de tipo de tráfico, la dirección IP de origen y las categorías de firmas. Esta sección sólo estará
disponible para usuarios de Fireware que estén suscriptos al servicio IPS.
IPS Detail
Una lista de todas las acciones tomadas por el IPS, incluyendo origen, protocolos y detalles de las firmas.
Esta sección sólo estará disponible para los usuarios de Fireware que estén suscriptos al servicio
IPS.
Guía del Usuario 195

Secciones del Informe y Secciones Consolidadas
Secciones consolidadas
Network Statistics
Un resumen de las estadísticas de uno o más archivos de log, para todos los Fireboxes que están
siendo monitoreados.
Time Summary – Packet Filtered
Una tabla y una gráfico opcional de todas las conexiones aceptadas, divididas por intervalos de
tiempos definidos por el usuario y por orden temporal. El intervalo temporal por defecto es un día,
pero usted puede seleccionar otro.
Host Summary – Packet Filtered
Una tabla y un gráfico opcional de los hosts internos y externos que enviaron tráfico de paquetes filtrado
a través del Firebox. Los hosts se muestran ordenados por volumen de bytes o por número de
conexiones.
Service Summary
Una tabla y un gráfico opcional del total de tráfico de todos los servicios, ordenado de acuerdo a la
cantidad de conexiones.
Session Summary – Packet Filtered
Una tabla y un gráfico opcional de las sesiones más frecuentes entrantes y salientes. Las sesiones se
muestran ordenadas por volumen de bytes o por número de conexiones. El formato de la sesión es:
cliente -> servidor : Servicio. Historical Reports intenta buscar el puerto del servidor en una tabla
para mostrar el nombre del servicio. Si no lo encuentra, exhibirá el número de puerto.
Time Summary – Proxied Traffic
Una tabla y un gráfico opcional de todas las conexiones aceptadas, divididas por un intervalo temporal
definido por el usuario y ordenadas por orden temporal. El intervalo por defecto es un día,
pero usted puede elegir otro diferente.
Host Summary – Proxied Traffic
Una tabla y un gráfico opcional de los hosts internos y externos que envían tráfico con una proxy, a
través del Firebox. Los hosts se muestran en orden según el volumen de bytes o por número de
conexiones.
Proxy Summary
Las proxies ordenadas por ancho de banda o por conexiones.
Session Summary – Proxied Traffic
Una tabla y un gráfico opcional de las más frecuentes sesiones entrantes y salientes. Las sesiones se
muestran ordenadas por volumen de bytes o por número de conexiones. El formato de la sesión es:
cliente -> servidor: Servicio. El servicio se muestra en letras mayúsculas.
HTTP Summary
Tablas y un gráfico opcional, de los dominios externos y hosts más frecuentes a los que los usuarios
se conectan a través de la HTTP proxy. Los dominios y los hosts se muestran ordenados por cantidad
de bytes o por número de conexiones.
196 WatchGuard System Manager

CA P Í T U LO 15
Configuración y Administración del
Management Serv e r
El WatchGuard® Management Server administra los túneles VPN de una empresa distribuida, desde una
interfaz de administración fácil de usar. El Management Server también le permitirá administrar centralizadamente
múltiples dispositivos Firebox® X Edge. Luego de haber completado los procedimientos de configuración
descriptos en este capítulo, usted puede usar el WatchGuard® Management Server para configurar
y administrar un dispositivo Firebox conectado al Management Server. Puede abrir las herramientas correctas
desde la página de dispositivo del Management Server para administrar equipos Firebox X Core, Firebox
X Peak, Firebox III, Firebox X Edge y SOHO 6. Para más información, vea el capítulo subsiguiente.
Usted puede usar el WatchGuard® Management Server para configurar y administrar múltiples dispositivos
Firebox X Edge. Para más información, vea el capítulo “Administrando Firebox X Edge y Firebox SOHO”.
Usted puede instalar el Management Server en su estación de administración durante la instalación. O bien
puede usar el mismo procedimiento de instalación para instalar el Management Server en una computadora
diferente que use sistema operativo Windows. Recomendamos instalar el software del Management
Server en una computadora con una dirección IP estática, que esté detrás de un Firebox con una dirección
IP estática externa. De otro modo, el Management Server podría no operar correctamente.
Passphrasses del WatchGuard Management Server
El WatchGuard® Management Server utiliza una cantidad de contraseñas para proteger información sensible
en su disco rígido y para asegurar los datos con sistemas clientes. Luego de instalar el software
WatchGuard Management Server, debe usar el Asistente de Configuración para configurar el Management
Server. Este Asistente le pedirá estas passphrases:
• Clave maestra de encripción
• Passphrase del Management Server
La passphrase del Management Server y otras passphrases creadas automáticamente se guardan en un
archivo de passphrases.
Clave maestra de encripción
La primera passphrase que debe establecerse en el Asistente de Configuración es la clave maestra de
encripción. Esta passphrase protege todas las passphrases en el archivo de passphrases.
La clave maestra de encripción se usa para encriptar todas las otras passphrases que estén en el disco rígido
Guía del Usuario 197

Passphrasses del WatchGuard Management Server
del Management Server. Esto previene que una persona con acceso al disco rígido o sus contenidos archivados
pueda obtener las passphrases y usarlas para acceder a otros datos sensibles del disco rígido.
Seleccione y asegure cuidadosamente la clave maestra de encripción. Asegúrese de que la clave maestra
de encripción y la passphrase del Management Server no sean la misma.
Usted tendrá que usar la clave maestra de encripción cuando:
• Migre los datos del Management Server hacia un nuevo sistema
• Restaure un archivo de clave maestra perdido o corrupto
• Cambie la clave maestra de encripción
La clave maestra de encripción no se usa frecuentemente. Le recomendamos escribirla y guardarla en una
ubicación segura.
Passphrase del Management Server
La segunda passphrase que le pedirá el Asistente de Configuración es la passphrase del Management
Server. Esta passphrase será usada frecuentemente por el administrador. Usted utilizará esta passphrase
para conectar el Management Server en el WatchGuard System Manager.
Contraseñas y archivos de claves
La passphrase del Management Server y todas las passphrases creadas automáticamente se guardan en
un archivo de passphrases. Los datos de passphrases en este archivo están protegidos por la clave maestra
de encripción. La clave maestra de encripción no se guarda en el disco rígido. Una clave de encripción es
creada a partir de la clave maestra de encripción.
Las ubicaciones por defecto para el archivo de contraseñas y la clave de encripción son:
• C:\Documents and Settings\WatchGuard\wgauth\wgauth.ini
• C:\Documents and Settings\WatchGuard\wgauth\wgauth.key
Note que estos archivos son usados por el software del Management Server y no deben ser modificados
directamente por un administrador.
Utilidad Microsoft SysKey
El archivo de contraseñas está protegido por la clave maestra. Esta clave está protegida por una clave de
encripción, la cual a su vez está protegida por la clave de sistema de Windows.
Los sistemas operativos Windows usan una clave de sistema para proteger la llamada base de datos
Security Accounts Management (SAM). Ésta es una base de datos de las cuentas y contraseñas de
Windows en la computadora. Por defecto, los datos de la clave del sistema están escondidos en el registro.
El sistema está protegido y la clave del sistema se crea desde el registro durante el proceso de arranque. Si
usted quiere un sistema más seguro, puede eliminar los datos de la clave del sistema del registro para que
este dato sensible no esté en absoluto en el sistema.
Se puede usar la utilidad SysKey para:
• Transferir la clave de sistema hacia un disquete.
• Hacer que el administrador escriba una contraseña en el arranque.
• Transferir la clave del sistema desde un disquete hacia el sistema.
Si usted transfiere la clave de inicio a un disquete, dicho disquete debe insertarse en la unidad de disco
correspondiente para que el sistema arranque. Si usted hace que el administrador escriba una contraseña
de arranque, el administrador deberá escribir la contraseña cada vez que el sistema arranque.
Para configurar las opciones SysKey, haga click en Start > Run, escriba syskey, y haga click en OK.
198 WatchGuard System Manager

Configurando el Management Server
Configurando el Management Server
El Asistente Management Server Setup crea un nuevo Management Server en su estación de trabajo. Si
usted usó versiones previas de WatchGuard® System Manager y VPN Manager, también puede usar el
Asistente para migrar un servidor DVCP instalado en el Firebox® hacia un nuevo Management Server en una
estación de trabajo. Para sacar un Management Server de un Firebox, vea la Guía de Migración de WFS hacia
Fireware.
Recomendamos que instale el software del Management Server en una computadora con una dirección IP
dinámica que esté detrás de un Firebox con una dirección IP estática externa. De lo contrario, el
Management Server podría no operar correctamente.
Este procedimiento muestra los pasos que debe seguir para configurar exitosamente un nuevo
Management Server. Utilice este procedimiento si no tiene en este momento un Management Server.
1 Haga click derecho en el ícono del Management Server en la barra de herramientas de WatchGuard ubicada
en la barra de tareas de Windows.
Usted no verá este ícono si no tiene instalado el Management Server.
2 Seleccione Start Service.
3 Se iniciará el Asistente Management Server Setup. Haga click en Next.
4 Hace falta una clave maestra de encripción para controlar el acceso a la estación de administración de
WatchGuard. Escriba una passphrase que tenga al menos ocho caracteres y luego escríbala de nuevo
para confirmarla. Haga click en Next.
Asegúrese de guardar esta passphrase en un lugar seguro.
5 Escriba la passphrase del Management Server que usará cuando configure y monitoree el WatchGuard
Management Server. Use una passphrase que tenga un mínimo de ocho caracteres y luego escríbala de
nuevo para confirmarla. Haga click en Next.
6 Escriba la dirección IP y las passphrases para el gateway de su Firebox. El gateway de su Firebox protege
el Management Server de la Internet. Cuando usted añade una dirección IP, el Asistente hace tres cosas:
- El Asistente usa esta dirección IP para configurar el gateway de su Firebox y permitir conexiones al
Management Server. Si usted no escribe una dirección IP aquí, debe configurar cualquier firewall
entre el Management Server y la Internet para permitir conexiones hacia el Management Server
sobre los puertos TCP 4110, 4112 y 4113.
- Si usted tiene una versión anterior del WatchGuard System Manager y un Firebox configurado
como Servidor DVCP, el Asistente obtiene la información del servidor DVCP del gateway de su
Firebox y transfiere esos parámetros hacia su Management Server. Ver la Guía de Migración para
más información.
- El Asistente establece la dirección IP para la Lista de Revocación de Certificados (Certificate
Revocation List). Los dispositivos que usted añada como clientes administrados usarán esta dirección
IP para conectarse al Management Server. Esta dirección IP debe ser la dirección IP pública
que su Management Server muestra hacia Internet. Si usted no escribe una dirección IP aquí, el
asistente utilizará la dirección IP vigente en la computadora de su Management Server para la
dirección IP de la CRL. Si ésta no es la dirección IP que sus computadoras muestran hacia Internet,
porque su computadora está detrás de un dispositivo que tiene Network Address Translation
(NAT), usted debe editar la CRL y escribir la dirección IP pública usada por su Management Server.
Para más información, vea “Cambiando la configuración del Management Server”.
7 Escriba la clave de licencia para el Management Server. Haga click en Next.
Para más información sobre las claves de licencia del Management Server, vea este FAQ avanzado:
https://www.watchguard.com/support/AdvancedFaqs/wsm8_srvrkey.asp
8 Escriba el nombre de su organización. Haga click en Next.
Este nombre es usado por la Autoridad de Certificación en el Management Server.
Guía del Usuario 199

Cambiando la Configuración del Management Server
9 Aparecerá una pantalla informativa que muestra la información sobre sus servidores.
Haga click en Next.
El Asistente configurará el servidor.
10 Haga click en Finish.
Nota
Cuando una interfaz cuya dirección IP esté sujeta al Management Server se desconecte y luego se reinicie,
recomendamos reiniciar también el Management Server.
Cambiando la Configuración del Management Server
El Asistente Management Server Setup configura su Management Server. Usualmente no es necesario
cambiar las propiedades de la configuración de su Management Server luego de usar el Asistente. Pero si
usted debe cambiar la configuración del Management Server, puede acceder a las propiedades de configuración
en el Management Server mismo.
Desde la computadora configurada como Management Server, haga click derecho en el ícono del
Management Server en la barra de tareas de WatchGuard® y seleccione Configure. Aparecerá la caja de
diálogo Management Server Configuration.
Agregando o eliminando una licencia de Management Server
Para añadir una licencia de Management Server, haga click en la pestaña Management. Escriba o pegue la
clave de licencia del Management Server en el campo, y haga click en Add.
200 WatchGuard System Manager

Configurando la Certificate Authority
Para eliminar una licencia de Management Server, haga click en la pestaña Management. Seleccione la
licencia a eliminar, y haga click en Remove.
Haga click en OK cuando complete la configuración.
Para más información sobre las claves de licencia del Management Server, vea este FAQ avanzado:
https://www.watchguard.com/support/AdvancedFaqs/wsm8_srvrkey.asp
Registrando mensajes de log de diagnóstico para el Management Server
Para hacer que el Management Server envíe mensaje de log de diagnóstico hacia el Visor de Sucesos de
Windows, haga click en la pestaña de Management. Seleccione la casilla de verificación Debug VPN
Management Service log messages.
Para ver el log de los mensajes de diagnóstico, abra el Visor de Sucesos de Windows. Desde el escritorio de
Windows, seleccione Inicio > Ejecutar. Escriba eventvwr. Mire la sección Aplicación del Visor de Sucesos
para ver el log de mensajes.
Configurando la Certificate Authority
Usted puede configurar la Certificate Authority (CA), o Autoridad de Certificación, en el WatchGuard
Management Server. Use la Autoridad de Certificación para:
• Configurar las propiedades del certificado de la CA
• Configurar las propiedades del certificado del cliente
• Configurar las propiedades para la Lista de Revocación de Certificados (Certificate Revocation List o
CRL).
• Escribir hacia el Visor de Sucesos de Windows mensajes de diagnóstico sobre el servicio CA.
Configurando las propiedades del certificado CA
Usualmente, los administradores no cambian las propiedades del certificado de la CA. Si usted debe cambiar
estos parámetros:
1 Desde la computadora configurada como Management Server, haga click derecho en el icono del
Management Server que está en la barra de tarea de WatchGuard y seleccione Configure.
Guía del Usuario 201

Configurando la Certificate Authority
2 Haga click en la pestaña Certificates.
3 En la caja de texto Common Name, escriba el nombre que quiere que aparezca en el certificado de la
CA.
4 En la caja de texto Organization, escriba un nombre de organización para el certificado de la CA.
5 En la caja de texto Certificate Lifetime, escriba la cantidad de días luego de la cual el certificado de la
CA expirará.
Un período más largo de duración de un certificado puede dar a un atacante más tiempo para atacar.
6 Desde la lista desplegable Key Bits, seleccione cuán fuertemente se aplicará el certificado.
Cuanto más alto sea el número establecido en la configuración Key Bits, más fuerte será la criptografía que proteja la
clave.
7 Haga click en OK cuando complete la configuración.
Configurando las propiedades de los certificados del cliente
1 Desde la computadora definida como Management Server, haga click derecho en el ícono del
Management Server que está en la barra de tareas de WatchGuard y seleccione Configure.
202 WatchGuard System Manager

Configurando la Certificate Authority
2 Haga click en la pestaña Certificates.
3 En la caja de texto Certificate Lifetime, escriba la cantidad de días luego de la cual el certificado del
cliente expirará.
Un período más largo de duración de un certificado puede dar a un atacante más tiempo para atacar.
4 Desde la lista desplegable Key Bits, seleccione cuán fuertemente se aplicará el certificado.
Cuando más alto sea el número establecido en la configuración Key Bits, más fuerte será la criptografía que proteja la
clave.
5 Haga click en OK cuando complete la configuración.
Configurando las propiedades de la Lista de Revocación de Certificados (CRL)
1 Desde la computadora configurada como Management Server, haga click derecho en el ícono del
Management Server que está en la barra de tareas de WatchGuard y seleccione Configure.
Guía del Usuario 203

Respaldando y restaurando la configuración del Management Server
2 Haga click en la pestaña Certificates.
3 Escriba la Distribution IP Address para la Certificate Revocation List (CRL).
Por defecto, ésta es la dirección del gateway del Firebox. Es también la dirección IP que usan los clientes remotamente
administrados del Firebox para conectarse al Management Server. Si la dirección IP externa de su Firebox cambia, usted
debe cambiar también este valor.
4 Es c riba el Pu b l i cation Inte rva l o inte rvalo de publicación para la CRL, e s c ri to en hora s. Es te es el pe r í o -
do luego del cual la CRL será publicada automáticamente.
El parámetro por defecto es cero (0), lo que significa que la CRL se publicará cada 720 horas (30 días). La CRL también se
actualiza luego de que un certificado sea revocado.
5 Haga click en OK cuando complete la configuración.
Registrando mensajes de log de diagnóstico para el servicio Certificate Authority
Para hacer que el Management Server envíe mensajes de log de diagnóstico hacia el Visor de Sucesos de
Windows, haga click en la pestaña Certificates. Seleccione la caja de verificación Debug CA Service log
messages. Para ver los mensajes en el log, abra el Visor de Sucesos de Windows.
Respaldando y Restaurando la Configuración del Management Server
El Management Server contiene la información de configuración para todos los Firebox® X Edge y túneles
VPN administrados. Es una buena idea crear archivos de respaldo regulares y frecuentes del Management
Server y mantenerlos en un lugar seguro. Usted puede usar este archivo de respaldo para recuperar el
Management Server en caso de falla del hardware. También puede usar este archivo de respaldo si desea
trasladar el Management Server hacia una nueva computadora. Para usar el archivo de respaldo una vez
que ha sido creado, debe conocer la clave maestra de encripción. La clave maestra de encripción es establecida
cuando usted configura por primera vez el Management Server.
204 WatchGuard System Manager

Mudando el Wa t c h G u a rd Management Server a una Nueva Computadora
1 Desde la barra de tareas de Windows, haga click derecho en el ícono Management Server y seleccione
Stop Service.
2 Desde la barra de tareas de Windows, haga click derecho en el ícono Management Server y seleccione
Backup/Restore.
Dará comienzo el Asistente Management Server Backup/Restore. Use las instrucciones en pantalla para crear un archivo de
respaldo o restaurar una configuración de Management desde un archivo de respaldo.
3 Cuando el procedimiento esté completo, haga click derecho en el ícono Management Server de la barra
de tareas de su Windows y seleccione Start Service.
Mudando el Wa t c h G u a rd Management Server a una Nueva Computadora
Para transferir el Management Server hacia una nueva computadora, usted debe conocer la clave maestra
de encripción. También debe asegurarse de dar al nuevo Management Server la misma dirección IP que
tenía el anterior.
1 Use el Asistente Management Server Backup/Restore para:
- Crear un archivo de respaldo de su configuración actual del Management Server.
- Instalar el software del Management Server sobre un nuevo Management Server.
- Usar el archivo de instalación del WatchGuard® System Manager e instalar el software del
Management Server.
2 Ejecute el Asistente Restore y seleccione el archivo respaldado.
3 Desde la barra de tareas de Windows, haga click derecho sobre el ícono del Management Server y
seleccione Start Service.
Guía del Usuario 205

Mudando el Wa t c h G u a rd Management Server a una Nueva Computadora
206 WatchGuard System Manager

CA P Í T U LO 16
Usando el Management Serv e r
Luego de haber configurado el Management Server, usted puede usarlo para administrar túneles VPN y múltiples
dispositivos Firebox®.
También puede utilizar el Management Server para administrar y configurar dispositivos Firebox X Edge.
Para más información, vea el capítulo “Administrando Firebox X Edge y Firebox SOHO”.
Conectándose a un Management Server
1 Seleccione File > Connect to Server.
o
Haga click derecho en la ventana del Watchguard® System Manager y seleccione Connect to > Server.
o
Haga click en el ícono Connect to Server sobre la barra de tareas del WatchGuard System
Manager. El ícono se muestra a la izquierda.
2 Desde la lista desplegable del Management Server, seleccione un servidor por su nombre de host o
dirección IP.
También puede escribir la dirección IP o el nombre de host si es necesario.
Cuando escriba una dirección IP, escriba todos los números y los puntos. No use las teclas TAB o las flechas.
3 Escriba la passphrase para el Management Server.
Guía del Usuario 207

Administrando Dispositivos con el Management Server
4 Si es necesario, cambie el valor en el campo Timeout. Este valor establece el tiempo (en segundos) que
el Watchguard System Manager “escucha” si vienen datos desde el Management Server, antes de enviar
un mensaje de que no puede conectarse.
Si usted tiene una red o conexión a Internet lenta hacia el dispositivo, puede incrementar el valor de
time-out, o tiempo de espera. Si disminuye este valor, disminuirá el tiempo que deberá esperar la llegada
de un mensaje de time-out cuando trate de conectarse con un Management Server que no esté
disponible.
5 Si usted está usando el servidor sólo para monitorear tráfico, seleccione la casilla de verificación
Monitoring Only. No seleccione esta casilla de verificación si debe configurar el servidor o sus dispositivos
administrados.
6 Haga click en OK.
El servidor aparecerá en la ventana del WatchGuard System Manager.
Nota
En algunas versiones previas de productos de seguridad WatchGuard, el WatchGuard System
Management Server se llamaba servidor DVCP.
Desconectándose de un servidor
Para desconectarse, haga click en el nombre del Management Server y seleccione File >
Disconnect. O bien seleccione el Management Server en la vista del árbol y luego haga click
en el ícono Disconnect que se muestra a la izquierda.
Administrando Dispositivos con el Management Server
Para administrar un Firebox con el Management Server usted debe:
• Asegurarse de que el Firebox permita todas las conexiones de administración desde el Management
Server.
• Habilitar manualmente el Firebox como cliente administrado (managed client) para cualquier
Firebox que tenga una dirección IP externa dinámica.
• Añadir el Firebox a la configuración del Management Server.
Las instrucciones que usted utilizará para habilitar un Firebox como cliente Firebox administrado serán
diferentes si usa diferentes appliances de software para Firebox o un modelo distinto de Firebox. Dichas
instrucciones pueden también diferir si el cliente administrado Firebox tiene una dirección IP dinámica.
Cuando mire las secciones que siguen, asegúrese de hallar la información adecuada para la configuración
de su Firebox.
Configurando un Firebox X Core o X Peak corriendo Fireware como un Managed Client
1 Abra el Policy Manager para el Firebox que quiere habilitar como cliente administrado (managed
client).
2 Haga doble click en la política WatchGuard para abrirla y editarla.
Aparecerá la caja de diálogo Edit Policy Properties para la política WatchGuard.
3 Asegúrese de que la lista desplegable WatchGuard-Firebox-Mgmt connections are esté configurada
en Allowed.
4 Debajo de la caja de diálogo From, haga click en Add. Haga click en Add Other.
5 Asegúrese de que la lista desplegable Choose Type esté puesta en Host IP Address. En el campo
Value, escriba la dirección IP de la interfaz externa del gateway del Firebox que protege al
Management Server de la Internet.
Si usted no tiene un gateway en el Firebox que proteja al Management Server de la Internet, escriba la dirección IP estática
de su Management Server.
208 WatchGuard System Manager

Administrando Dispositivos con el Management Server
6 Haga click en OK. Haga click en OK nuevamente.
7 Asegúrese de que la caja de diálogo To incluya una entrada Firebox o bien Any.
Nota
Si el Firebox que usted quiere administrar tiene una dirección IP estática sobre su interfaz externa, puede
detenerse aquí. Guarde la configuración para este Firebox. Ahora puede añadir el dispositivo a su configuración
del Management Server; el Management Server automáticamente se conectará a la dirección
IP estática y configurará al Firebox como Firebox cliente administrado.
Si el Firebox que usted quiere administrar tiene una dirección IP dinámica, vaya al paso 8.
8 Desde el Policy Manager, seleccione VPN > Managed Client.
Aparecerá la caja de diálogo Managed Client Setup
9 Para configurar un Firebox como un dispositivo administrado, seleccione la caja de verificación Enable
this Firebox as a Managed Client.
10 En la caja Client Name, escriba el nombre que quiere darle al Firebox cuando lo añada a la configuración
del Management Server.
Este nombre es sensible a mayúsculas y minúsculas y debe coincidir con el nombre que usted use cuando añada el dispositivo
a la configuración del Management Server.
11 Para permitir al cliente administrado enviar mensajes al Log Server, seleccione la casilla de verificación
Enable diagnostic logs (recomendamos usar esta opción sólo para localizar y solucionar problemas).
12 En la caja para la dirección IP del Management Server, escriba la dirección IP del Management Server si
éste tiene una dirección IP pública.
El Firebox que protege el Management Server automáticamente monitorea todos los puertos usados por el Management
Server y reenviará cualquier conexión sobre estos puertos hacia el Management Server configurado. El Firebox que protege
al Management Server está configurado para hacer esto cuando usted corra el Asistente Management Server Setup.
Si usted no usa el Asistente Management Server Setup en el Management Server o si usted salteó el paso “Gateway
Firebox” en el Asistente, configure el gateway del Firebox para reenviar los puertos TCP 4110, 4112 y 4113 hacia la dirección
IP privada del Management Server.
13 En la caja Shared Secret, escriba un secreto compartido. Escríbalo de nuevo para confirmarlo.
El secreto compartido que escriba aquí debe coincidir con el que escriba cuando añada el Firebox a la configuración del
Management Server.
Guía del Usuario 209

Administrando Dispositivos con el Management Server
14 Haga click en el botón Import e importe el archivo CA-Admin.pem como su certificado.
15 Haga click en OK.
Cuando salve la configuración al Firebox, el Firebox quedará habilitado como cliente administrado. El Firebox que es
cliente administrado tratará de conectarse a la dirección IP del Management Server sobre el puerto TCP 4110. Las conexiones
de administración son permitidas desde el Management Server hacia este Firebox cliente administrado.
Configurando un Firebox III or Firebox X Core corriendo WFS como un Managed Client
1 Abra el Policy Manager para el Firebox que quiera habilitar como cliente administrado.
2 Haga doble click en el servicio WatchGuard para abrirlo para editarlo.
Aparecerá la caja de diálogo Edit Service Properties para la política WatchGuard.
3 En la pestaña Incoming, asegúrese de que las conexiones WatchGuard entrantes estén configuradas
como Enabled and Allowed.
4 Debajo de la caja de diálogo From, haga click en Add. Haga click en Add Other.
5 Asegúrese de que la lista desplegable Choose Type esté puesta en Host IP Address. En el campo
Value, escriba la dirección IP de la interfaz externa del gateway del Firebox que protege al
Management Server de la Internet.
Si usted no tiene un gateway en el Firebox que proteja al Management Server de la Internet, escriba la dirección IP estática
de su Management Server.
6 Haga click en OK. Haga click en OK nuevamente.
7 Asegúrese de que la caja de diálogo To incluya una entrada Firebox o bien Any.
Nota
Si el Firebox que usted quiere administrar tiene una dirección IP estática sobre su interfaz externa,
puede detenerse aquí. Guarde la configuración para este Firebox. Ahora puede añadir el dispositivo a
su configuración del Management Server, el Management Server automáticamente se conectará a la
dirección IP estática y configurará al Firebox como Firebox cliente administrado.
Si el Firebox que usted quiere administrar tiene una dirección IP dinámica, vaya al paso 8.
8 Desde el Policy Manager, seleccione Network > DVCP Client.
9 Seleccione la caja de verificación Enable this Firebox as a DVCP Client.
10 En el campo Firebox Name, ponga el nombre del Firebox.
El nombre del Firebox es sensible a mayúsculas y minúsculas. El nombre que escriba aquí debe coincidir con el que
usted use cuando añada este Firebox a la configuración del Management Server.
11 Para enviar mensajes de log al cliente administrado, seleccione la caja de verificación Enable debug
log messages for the DVCP Client (WatchGuard recomienda usar esta opción sólo para localizar y
solucionar problemas).
12 Haga click en Add para añadir el Management Server al cual se conecta el Firebox. En la caja de
dirección DVCP Server, escriba la dirección IP del Management Server si éste tiene una dirección IP
pública. O bien, escriba la dirección IP pública del Firebox que protege al Management Server. Escriba
el Shared Secret a utilizar en la conexión al Firebox. El secreto compartido que escriba aquí debe coin-
210 WatchGuard System Manager

Administrando Dispositivos con el Management Server
cidir con el que escribió cuando añadió este dispositivo a la configuración del Management Server.
Un Firebox puede ser cliente de sólo un Management Server.
El Firebox que protege el Management Server monitorea automáticamente todos los puertos usados por el Management
Server y reenviará cualquier conexión sobre estos puertos hacia el Management Server configurado. El Firebox que protege
al Management Server está configurado para hacer esto cuando usted corra el Asistente Management Server Setup.
Si usted no usa el Asistente Management Server Setup en el Management Server o si usted salteó el paso “Gateway
Firebox” en el Asistente, configure el gateway del Firebox para reenviar los puertos TCP 4110, 4112 y 4113 hacia la dirección
IP privada del Management Server.
13 Haga click en OK.
Cuando guarde la configuración al Firebox, el Firebox quedará habilitado como cliente administrado. El Firebox que es
cliente administrado tratará de conectarse a la dirección IP del Management Server sobre el puerto TCP 4110. Las conexiones
de administración estarán permitidas desde el Management Server hacia este Firebox cliente administrado.
Configurando un Firebox X Edge como un Cliente Administrado
1 Para conectarse a la página de estado del sistema del Firebox X Edge, escriba https:// en la barra de
direcciones del navegador, y la dirección IP de la interfaz Edge confiable.
El URL por defecto es: https://192.168.111.1
2 Desde la barra de navegación, seleccione Administration > WSM Access.
Aparecerá la página WatchGuard Management Access.
3 Seleccione la caja de verificación Enable remote management.
4 Desde la lista desplegable Management Type, seleccione WatchGuard System Manager.
5 Para poner el Firebox X Edge bajo el control de la administración centralizada WatchGuard System
Manager del Edge, haga click en la casilla de verificación Use Centralized Management. No use la casilla
de verificación Use Centralized Management si usted está usando el WatchGuard System Manager sólo
para administrar túneles VPN.
Cuando el Firebox X Edge está bajo administración centralizada, el acceso a las páginas de configuración del Firebox X
Edge queda configurado como de sólo lectura. La única excepción es el acceso a la página de configuración del WSM. Si
usted deshabilita la función de administración remota, tendrá nuevamente acceso para lectura y escritura a las páginas de
configuración del Firebox X Edge.
6 Escriba una passphrase de estado (status passphrase) para su Firebox X Edge y luego escríbala de nuevo
para confirmarla en los campos correctos.
7 Escriba una passphrase de configuración (configuration passphrase) para su Firebox X Edge y luego
escríbala de nuevo para confirmarla en los campos correctos.
Estas passphrases deben coincidir con las que usted usó cuando añadió el dispositivo al Management Server, de lo contrario
la conexión fallará.
Guía del Usuario 211

Administrando Dispositivos con el Management Server
Nota
Si el Firebox X Edge que usted quiere administrar tiene una dirección IP estática sobre su interfaz
externa, puede detenerse aquí. Guarde la configuración para este Firebox. Ahora puede añadir el dispositivo
a su configuración del Management Server. Cuando usted añada este Edge a la configuración del
Management Server, éste se conectará automáticamente a la dirección IP estática y configurará al Edge
como Firebox cliente administrado.
Si el Edge que usted quiere administrar tiene una dirección IP dinámica, vaya al paso 8.
8 En la caja de texto Management Server Address, escriba la dirección IP del Management Server si
éste tiene una dirección IP pública. Si el Management Server tiene una dirección IP privada, escriba la
dirección IP del Firebox que protege al Management Server.
El Firebox que protege al Management Server monitorea automáticamente todos los puertos usados por el
Management Server y reenviará cualquier conexión sobre esos puertos hacia el Management Server configurado. No es
necesaria ninguna configuración especial para que esto ocurra.
9 Escriba el Client Name (nombre de cliente) que dará a su Edge para identificarlo en la configuración
del Management Server.
Este nombre es sensible a mayúsculas y minúsculas y debe coincidir con el nombre que usted usó para el Edge cuando
lo añadió a la configuración del Management Server.
10 Escriba la Shared Key, o clave compartida.
La clave compartida se usa para encriptar la conexión entre el Management Server y el Firebox X Edge. Esta clave compartida
debe ser la misma sobre el Edge y sobre el Management Server. La clave compartida debe proveérsela la persona
que administra el Management Server.
11 Haga click en Submit para guardar esta configuración en el Firebox X Edge.
Cuando usted guarde la configuración en el Edge, éste quedará habilitado como cliente administrado. El cliente Firebox
tratará de conectarse a la dirección IP del Management Server. Estarán permitidas las conexiones de administración
desde el Management Server hacia este cliente administrado Firebox.
Configurando un Firebox SOHO 6 como un Managed Client
1 Inicie su navegador. Escriba la dirección IP del SOHO 6.
2 Si el SOHO 6 debe tener un login y passphrase, escríbalos.
3 Debajo de Administration, haga click en VPN Manager Access.
Aparecerá la página VPN Manager Access.
4 En el panel de navegación izquierdo debajo de VPN, haga click en Managed VPN. Seleccione la casilla
de verificación Enable VPN Manager Access.
5 Escriba la passphrase de estado (status passphrase) para el VPN Manager Access. Escríbala de nuevo
para confirmarla.
6 Escriba la passphrase de configuración (configuration passphrase) para el VPN Manager Access. Escriba
la passphrase de configuración de nuevo para confirmarla.
212 WatchGuard System Manager

Agregando Dispositivos al Management Server
Nota
Si el Firebox SOHO que usted quiere administrar tiene una dirección IP estática sobre su interfaz externa,
puede detenerse aquí. Haga click en Submit para guardar la configuración para este SOHO. Ahora puede
añadir el dispositivo a su configuración del Management Server. Cuando usted añada este SOHO a la
configuración del Management Server, éste automáticamente se conectará a la dirección IP estática y
configurará al SOHO como Firebox cliente administrado.
Si el SOHO que usted quiere administrar tiene una dirección IP dinámica, vaya al paso 8.
7 Seleccione la casilla de verificación Enable Managed VPN.
8 Desde la lista desplegable Configuration Mode, seleccione SOHO.
9 En la caja de texto DVCP Server Address, escriba la dirección IP del Management Server si éste tiene
una dirección IP pública. Si el Management Server tiene una dirección IP privada, escriba la dirección IP
del Firebox que protege al Management Server.
El Firebox que protege al Management Server monitorea automáticamente todos los puertos usados por el Management
Server y reenviará cualquier conexión sobre esos puertos hacia el Management Server configurado. No es necesaria ninguna
configuración especial para que esto ocurra.
10 En la caja Client Name, escriba el nombre que quiere darle al SOHO.
Este nombre es sensible a mayúsculas y minúsculas y debe coincidir con el nombre que usted usó cuando añadió el dispositivo
a la configuración del Management Server.
11 Escriba la Shared Key, o clave compartida.
La clave compartida se usa para encriptar la conexión entre el Management Server y el Firebox SOHO. Esta clave compartida
debe ser la misma sobre el SOHO y sobre el Management Server. La clave compartida debe proveérsela la persona que
administra el Management Server.
11 Haga click en Submit.
Cuando usted guarde la configuración en el Firebox SOHO, éste quedará habilitado como cliente administrado. El cliente
SOHO tratará de conectarse a la dirección IP del Management Server. Estarán permitidas las conexiones de administración
desde el Management Server hacia este cliente administrado SOHO.
Agregando Dispositivos al Management Server
Se puede usar el Management Server para configurar y administrar túneles VPN entre equipos Firebox®,
incluyendo equipos Firebox III y Firebox X Core que usen la appliance de software WFS, equipos Firebox X
que usen la appliance de software Fireware®, equipos Firebox X Edge y equipos Firebox SOHO.
Un equipo con una dirección IP dinámica debe asimismo ser configurado como cliente administrado desde
el Policy Manager de dicho dispositivo. Ver las instrucciones en la sección anterior.
Si su equipo tiene múltiples interfaces externas, no modifique la configuración de la interfaz luego de añadir
el dispositivo al Management Server.
Nota
Con el Management Server también se pueden desplegar, administrar y monitorear dispositivos Firebox
X Edge. Vea el capítulo “Administrando Firebox X Edge y Firebox SOHO”.
1 En el WatchGuard® System Manager, conéctese con el Management Server.
Seleccione File > Connect to Server, o seleccione la pestaña Device Status.
O,
haga click derecho en cualquier lugar de la ventaja y seleccione Connect to > Server.
2 Escriba o seleccione la dirección IP del Management Server, escriba la passphrase y haga click en Login.
3 Haga click en la pestaña Device Management.
Guía del Usuario 213

Agregando Dispositivos al Management Server
4 Seleccione el Management Server de la lista de la izquierda de la ventana.
Aparecerá la página del Management Server.
5 Expanda la carpeta Devices.
Todos los dispositivos administrados por este Management Server serán mostrados aquí.
6 Seleccione Edit > Insert Device, o haga click derecho en el marco izquierdo de esta ventana y
seleccione Insert Device.
Se iniciará el Asistente Add Device.
7 Haga click en Next para ver la primera pantalla de configuración.
8 En la caja de texto Display Name, escriba un nombre para el dispositivo.
Este nombre no puede incluir espacios ni puntos.
9 Desde la lista desplegable Device Type, seleccione el modelo de Firebox que quiere añadir a la
configuración del Management Server.
214 WatchGuard System Manager

Agregando Dispositivos al Management Server
10 En la caja de texto Hostname/IP Address, escriba la dirección IP estática o nombre de host del Firebox.
Para dispositivos que usen dirección IP dinámica, escriba el nombre de cliente del servicio Dynamic DNS.
Si el dispositivo tiene una dirección IP dinámica pero no usa el servicio Dynamic DNS, escriba un nombre único para el dispositivo.
El nombre que escriba aquí deberá coincidir con el nombre que ingresó en el Policy Manager para dicho dispositivo
(si el dispositivo es un Firebox III, Firebox X Core o X Peak). Si el dispositivo es un Firebox X Edge o SOHO, este nombre
debe coincidir con el que le dio al dispositivo cuando lo habilitó como cliente administrado con el administrador de configuración
web.
11 Escriba la passphrase de estado (status passphrase). Esta es la passphrase (de sólo lectura) para el
Firebox que usted está añadiendo al Management Server.
12 Escriba la passphrase de configuración (configuration passphrase). Esta es la passphrase (de lectura y
escritura) para el Firebox que usted está añadiendo al Management Server.
13 Si el Firebox usa una dirección IP dinámica, escriba el secreto compartido. El secreto compartido que
usted escriba aquí debe coincidir con el que escribió en la configuración del dispositivo cuando lo habilitó
como cliente administrado.
14 Haga click en Next.
Aparecerá la pantalla Configure WINS and DNS.
15 Escriba las direcciones primaria y secundaria para los servidores WINS y DNS que utilice este dispositivo,
si existen.
16 Escriba el nombre de dominio para este dispositivo, si existe. Haga click en Next.
Aparecerá la pantalla Provide Contact Information.
Guía del Usuario 215

Usando la Página de Administración de Dispositivos
17 Puede seleccionar un registro de contactos existente para este dispositivo, o hacer click en Add para
añadir un nuevo registro de contactos para este dispositivo. Puede también borrar un registro de contactos
existente: selecciónelo y haga click en Delete.
18 Haga click en Next. Aparecerá la pantalla Configure the Device. Si el dispositivo ya está administrado
por otro servidor, o está configurado o administrado por este servidor, aparecerá una caja de diálogo
de advertencia. Haga click en Yes para continuar.
19 Haga click en Close para cerrar el Asistente Add Device.
Luego de añadir un Firebox con una dirección IP dinámica, hay que reiniciar dicho Firebox para que pueda conectarse al
Management Server y adquirir su configuración.
Nota
Si el tráfico es muy pesado, el Asistente Add Device no podrá conectarse, debido al SSL timeout.
Intente de nuevo cuando el sistema esté menos cargado.
Usando la Página de Administración de Dispositivos
Cuando se añade un Firebox® a un Management Server, se puede usar la información y los campos de la
pestaña Device Management para configurar los parámetros del dispositivo. Para más información sobre
cómo añadir un dispositivo al Management Server, vea “Agregando dispositivos al Management Server”.
Viendo la página de administración de Firebox
1 Expanda Devices en la pestaña Device Management del WatchGuard® System Manager.
Aparecerá una lista de dispositivos administrados.
216 WatchGuard System Manager

Usando la Página de Administración de Dispositivos
2 Seleccione un Firebox. Aparecerá la página de administración para el dispositivo.
Nota
La página de administración de un dispositivo Firebox X Edge le permite acceder a diferentes herramientas
y configurar más opciones. Para información sobre la administración de un Firebox X Edge, ver el
capítulo “Administrando Firebox X Edge y Firebox SOHO”.
Guía del Usuario 217

Usando la Página de Administración de Dispositivos
Configurando las propiedades de administración de Firebox
1 Sobre la página de administración del Firebox, haga click en Configure.
Aparecerá la caja de diálogo Device Properties.
2 Configure las propiedades de administración para este dispositivo.
Actualizando el dispositivo
1 Sobre la página de administración del Firebox, haga click en Update Device.
Aparecerá la caja de diálogo Update Device.
2 Use esta caja de diálogo para obtener las políticas del dispositivo, para establecer la configuración del
Management Server del dispositivo y para marcar la casilla “expire lease”.
3 Haga click en OK.
218 WatchGuard System Manager

Usando la Página de Administración de Dispositivos
Agregando un recurso VPN
Un recurso VPN es una dirección IP o una dirección de red seguros a los que los usuarios de una VPN pueden
conectarse.
1 En la pestaña Device Management, encuentre la sección VPN Resources.
2 Haga click en Add.
3 Use los botones apropiados para añadir, editar o eliminar recursos VPN.
4 Haga click en OK.
Aparecerá el nuevo recurso VPN en la lista.
Iniciando las herramientas del Firebox
La pestaña Device Management le permite iniciar cuatro herramientas para la configuración y el monitoreo
de su Firebox:
• Policy Manager
• Firebox System Manager
• HostWatch
• Ping
Para iniciar estas herramientas, haga click en el vínculo de la herramienta en la sección Tools de la página de
administración del Firebox.
Guía del Usuario 219

Monitoreando VPNs
Agregando un túnel VPN al Firebox
La sección sobre túneles en la página de administración del Firebox muestra todos los túneles para los
cuales el dispositivo es un punto de llegada. También se puede añadir un túnel VPN en esta sección.
1 En la página de administración del Firebox, encuentre la sección VPN Tunnels.
2 Haga click en Add para añadir un nuevo túnel VPN.
Se iniciará el Asistente Add VPN. Haga lo que éste le vaya pidiendo para configurar la VPN.
Monitoreando VPNs
Las VPN configuradas manualmente se muestran en la pestaña Device Status de cada Firebox®. Las VPNs
administradas que se crean automáticamente en el Management Server aparecerán en la pestaña Device
Management.
Las políticas de VPN que usted cree manualmente con el Policy Manager no se muestran en la pestaña
Device Management.
220 WatchGuard System Manager

CA P Í T U LO 17
Administrando certificados y Autoridad
de Cert i f i c a c i ó n
Cuando uno crea un túnel VPN, puede elegir dos tipos de autenticación para dicho túnel: secretos compartidos
o certificados. Los secretos compartidos son un método de autenticación usado para establecer confianza
entre las computadoras de una VPN. Un secreto compartido se usa con una passphrase, o frase clave.
Los certificados usualmente dan más seguridad que los secretos compartidos durante el proceso de autenticación.
Un certificado es un documento electrónico que contiene una clave pública. Una Autoridad de Certificación,
o Certificate Autority (CA) es un tercero confiable que otorga certificados a sus clientes. En el WatchGuard®
System Manager, la estación de trabajo configurada como Management Server también opera como CA. La
CA puede dar certificados a los Firebox® que son clientes administrados cuando contactan al Management
Server para recibir actualizaciones de configuración.
Las Autoridades de Certificación son un componente de un sistema de creación de claves, administración de
claves y certificación cuyo nombre es Infraestructura de Clave Pública, o Public Key Infrastructure (PKI). La
PKI provee servicios de directorio y certificado que pueden crear, proveer, conservar y, si es necesario, revocar
los certificados.
Criptografía de Clave Pública y Certificados Digitales
La criptografía de clave pública es un componente central de una PKI. Este sistema criptográfico incluye dos
claves relacionadas matemáticamente, conocidas como un par asimétrico de claves. El usuario mantiene
secreta una clave, la clave privada. Y puede revelar la otra clave, conocida como clave pública, a otros usuarios.
Las claves en el par de claves van juntas. Sólo el dueño de la clave privada puede desencriptar datos encriptados
con la clave pública. Cualquier persona con la clave pública puede desencriptar datos encriptados con
la clave privada. Los certificados se usan para garantizar que las claves públicas sean válidas. Para asegurarse
de que un certificado sea legítimo, uno puede obtener la clave pública de la CA. Se puede computar la firma
digital del certificado y compararla con la firma digital en el certificado mismo. Si las firmas coinciden, la
clave es legítima.
Los certificados tienen un período de validez establecido cuando son creados. Pero ocasionalmente se los
revoca antes de la fecha y hora de expiración establecidas. La CA conserva una lista actualizada online de los
certificados revocados. Esta lista es la Lista de Revocación de Certificados, o Certificate Revocation List (CRL).
Guía del Usuario 221

PKI en un VPN de WatchGuard
PKI en un VPN de WatchGuard
Para autenticar túneles VPN con certificados, primero debe configurar un Management Server. Cuando
usted configura el Management Server, se activa automáticamente la CA. Cada cliente administrado
Firebox® se conecta al Management Server y recibe un certificado de la CA. Cuando se crea un túnel VPN
entre dos clientes administrados, los clientes usan los certificados para autenticar el túnel. Esto ocurre solamente
si cada uno de los dos clientes administrados Firebox está configurado para usar autenticación por
certificados.
MUVPN y certificados
Como los clientes que son usuarios móviles de la VPN (MUVPN) no son clientes del Management Server,
ellos se autentican ante el Firebox. Use el Asistente MUVPN desde el Policy Manager para contactar la CA y
crear un certificado para el cliente MUVPN. El Policy Manager creará un paquete que incluye este certificado
y otros dos archivos.
El administrador del Firebox dará a cada usuario MUVPN el paquete de archivos. Estos archivos juntos
constituyen el perfil MUVPN del usuario final. Los usuarios que se autentiquen con claves compartidas
recibirán un archivo .wgx. Los usuarios que se autentiquen con certificados recibirán un archivo .wgx, más
un archivo .p12 (el cual es el certificado del cliente) y un archivo cacert.pem (que contiene el certificado
raíz).
El usuario MUVPN que se autentique con certificados abrirá entonces el archivo .wgx. Los certificados raíz
y de cliente contenidos en los archivos cacert.pem y .p12 serán cargados automáticamente.
Para más información sobre MUVPN, ver la Guía del Administrador MUVPN.
Administrando la Autoridad de Certificación
Se pueden controlar diferentes parámetros de la Autoridad de Certificación con el CA Manager, que está
basado en la Web.
1 Desde el WatchGuard® System Manager, conéctese al Management Server.
Debe escribir la passphrase de configuración para conectarse.
2 Haga click en la pestaña Device Management para el Management Server.
3 Debajo del menú Tools, seleccione CA Manager.
o
Haga click en el ícono del CA Manager en la barra de tareas del WatchGuard System
Manager. Este ícono se muestra a la izquierda.
Aparecerá el menú con las páginas de opciones para la Certificate Authority.
4 Desde el menú, seleccione la página correcta:
Certificate Authority CA Certificate
Imprime en pantalla una copia del certificado de la CA (raíz). Usted puede guardarla manualmente
en el cliente.
222 WatchGuard System Manager

Administrando la Autoridad de Certificación
Management Server CA Certificate
Imprime en pantalla una copia del certificado de la Management Server CA. Usted puede guardarla
manualmente en el cliente. Se puede usar esta opción para acceder desde el cliente a la página web
de autenticación.
Generate a New Certificate
Escriba un nombre común, una unidad organizacional, la contraseña y el período de validez del
certificado para hacer uno nuevo.
- Para usuarios MUVPN, el nombre común debe estar de acuerdo con el nombre de usuario del
usuario remoto.
- Para usuarios del Firebox®, el nombre común debe estar de acuerdo con la información que lo
identifica en el Firebox (normalmente, su dirección IP).
- Para un certificado genérico, el nombre común es el nombre del usuario.
Nota
Escriba la unidad organizacional solamente si está haciendo certificados para usuarios MUVPN. No lo
haga para otro tipo de túneles VPN. El nombre de la unidad debe aparecer en este formato:
GW:
donde es el valor de config.watchguard.id en el archivo de configuración del
gateway del Firebox.
Find and Manage Certificates
Ponga el número de serie, nombre común o unidad organizacional del certificado para encontrarlo en
la base de datos. Asimismo, como alternativa para certificados especiales, puede asegurarse de que
sólo sean encontrados los certificados activos, revocados o expirados. Los resultados de la búsqueda
aparecerán en la página List Certificates.
List and Manage Certificates
Vea la lista de certificados que hay en la base de datos. Seleccione los certificados que deben ser
publicados, revocados, vueltos a poner o eliminados. Para información sobre cómo administrar certificados,
vea la sección que sigue.
Upload Certificate Request
Use esta página para firmar una solicitud de certificado desde un dispositivo diferente. Escriba el nombre
común y la unidad organizacional en el Asunto y haga click en Browse para encontrar el archivo
de CSR (Certificate Signing Request, o solicitud de firma de certificado).
Publish a Certificate Revocation List (CRL)
Haga que la CA publique la CRL para todos los clientes con certificados vigentes. Un cliente administrado
Firebox no puede crear un túnel VPN si utiliza para autenticarse un certificado que esté en la
CRL.
Administrando certificados con el CA Manager
Utilice la página List and Manage Certificates para publicar, revocar, volver a poner o eliminar certificados:
1 Desde la página List and Manage Certificates, seleccione el número de serie o el certificado a modificar.
2 Desde la lista desplegable Choose Action, seleccione una de las alternativas, y luego seleccione GO:
Revoke Checked
Revoca un certificado. Los clientes administrados Firebox no verán que fue revocado hasta que la CRL
sea publicada.
Reinstate Checked
Pone de nuevo un certificado que antes había sido revocado.
Destroy Checked
Elimina un certificado.
Guía del Usuario 223

Administrando la Autoridad de Certificación
224 WatchGuard System Manager

CA P Í T U LO 18
I n t roducción a las VPNs
Internet es una red pública. Sobre este sistema de computadoras y redes, uno de los equipos puede obtener
información de los otros. Es posible que una persona lea paquetes de datos no seguros que usted envía
sobre Internet. Para enviar datos seguros entre oficinas, redes y usuarios, usted debe usar la seguridad más
poderosa.
Guía del Usuario 225

Protocolos de Tunelamiento
Las redes privadas virtuales (VPNs, Virtual Private Networks) usan tecnología de encriptación para minimizar
los riesgos de seguridad y para asegurar la información privada sobre la Internet pública. Permiten que
los datos fluyan de manera segura a través de Internet entre dos redes. Los túneles VPN pueden asegurar
conexiones entre un host y una red. Las redes y los hosts en los endpoints de una VPN pueden ser las oficinas
centrales corporativas, las sucursales y usuarios remotos.
Los túneles VPN usan autenticación, que examina tanto al que envía como al que recibe. Si la información
de autenticación es correcta, los datos se desencriptan. Sólo el que envía el mensaje y el que lo recibe pueden
leerlo con claridad.
Para más información sobre tecnología VPN, puede consultar en:
http://www.watchguard.com/support.
El sitio web de soporte de WatchGuard® contiene enlaces a documentación, FAQs básicos y avanzados y al
WatchGuard User Forum. Usted debe hacer un log in al sitio web de Soporte Técnico para utilizar algunas
de sus características.
Protocolos de Tunelamiento
Los túneles permiten a los usuarios enviar datos en paquetes seguros sobre una red no segura, en general,
Internet. Un túnel es un grupo de protocolos de seguridad, algoritmos de encriptación y reglas. El túnel
utiliza esta informacón para enviar tráfico seguro desde un endpoint al otro. Permite a los usuarios conectarse
a recursos y computadoras de otras redes.
Los protocolos de tunelamiento proveen la infraestructura y definen cómo se dará la transmisión de datos
sobre el túnel. Los dos protocolos de tunelamiento que soporta WatchGuard® System Manager son
Internet Protocol Security (IPSec) y Point-to-Point-Tunneling Protocol (PPTP). WatchGuard también soporta
SSL VPN con su línea de productos WatchGuard SSL VPN Firebox.
IPSec
Usted utilizará el protocolo IPSec para examinar paquetes IP y asegurarse de que están autenticados. IPSec
incluye características de seguridad como una autenticación muy poderosa, para proteger la privacidad de
la información que se transmite sobre Internet. IPSec es un estándar que trabaja con muchos sistemas de
diferentes fabricantes.
Incluye dos protoclos que protegen la integridad y la confidencialidad de los datos. El protocolo AH
(Authentication Header) es la solución para la integridad de los datos, mientras que el ESP (Encapsulated
Security Payload) provee tanto integridad como confidencialidad.
PPTP
Point to Point Tunneling Protocol (PPTP) es un estándar para seguridad VPN que puede ser usado por
muchos sistemas de diferentes fabricantes. Permite túneles para redes corporativas y hacia otros sistemas
habilitados para este protocolo (PPTP-enabled). No es tan seguro como IPSec y no puede asegurar dos
redes. Sólo asegura una dirección IP con otra dirección IP o con una red. PPTP provee una alternativa de
túnel económica para una red corporativa, más fácil de usar que IPSec.
Encriptación
Sobre una red que no es segura, los hackers pueden encontrar paquetes transmitidos de manera muy sencilla.
Los túneles VPN utilizan la encriptación para mantener los datos seguros.
226 WatchGuard System Manager

Protocolos de Tunelamiento
La longitud de la clave de encriptación, junto con el algoritmo utilizado, definen el poder de la encriptación
para la VPN. Una clave más larga provee una mejor encriptación y más seguridad. El nivel de encriptación se
define para ofrecer el desempeño y la seguridad necesarios para la organización. Cuanto más poderosa es la
encriptación, en general se obtiene un nivel más alto de seguridad, pero puede tener efectos negativos
sobre el desempeño.
La encriptación básica permite un nivel de seguridad suficiente con buen desempeño para túneles que no
transmiten datos sensibles. Para las conexiones administrativas y aquellas en las que la privacidad es muy
importante, recomendamos alguna solución más poderosa.
El host o el dispostivo IPSec que envía un paquete a través de un túnel encripta el paquete. El destinatario,
en el otro extremo del túnel, lo desencripta. Los dos endpoints deben concordar sobre todos los parámetros
del túnel. Esto incluye los algoritmos de encriptación y autenticación, los hosts o redes autorizados a enviar
datos a través del túnel y el período de tiempo para calcular una nueva clave, entre otros.
Selección de un método de encriptación e integridad de datos
A la hora de elegir un algoritmo de encriptación e integridad de datos hay que pensar en seguridad y en
desempeño. Recomendamos Advanced Encryption Standard (AES), el tipo de encriptación más fuerte, para
datos sensibles. Fireware® utiliza AES 256 como algoritmo de encriptación por defecto para IPSec.
La integridad de los datos asegura que los datos que un endpoint de VPN recibe no han cambiado desde
que se enviaron. Ofrecemos soporte a dos tipos de autenticación. El primero es 128-bit Message Digest 5
(MD5-HMAC), mientras que el segundo es 160-bit Secure Hash Algorithm (SHA1-HMAC).
Autenticación
Una parte importante de la seguridad para una VPN es asegurarse de que quien envía y quien recibe están
autenticados. Existen dos métodos: autenticación por passphrases (también llamada “secreto compartido”) y
los certificados digitales. Un secreto compartido es una passphrase que es igual para ambos extremos del
túnel.
Los certificados digitales utilizan criptografía de clave pública para identificar y autenticar los gateways
extremos. Puede usar certificados para autenticación para cualquier túnel VPN que usted cree con su
WatchGuard Management Server. Para más información sobre certificados, vea el capítulo “Administración
de Certificados y Autoridad de Certificación”.
Autenticación extendida
La autenticación para un usuario remoto puede puede darse a partir de una base de datos que se guarda
sobre el Firebox® o por un servidor de autenticación externo. Un ejemplo de esto último es Remote
Authentication Dial-In User Service (RADIUS). Un servidor de autenticación es una solución de terceras partes
segura que autentica otros sistemas sobre una red. Con Mobile User VPN (MUVPN, VPN para usuarios
móviles), que utiliza el protocolo de tunelamiento IPSec tunneling protocol, el usuario remoto debe tipear
un nombre de usuario y una contraseña cada vez que se inicia una VPN.
Selección de un método de autenticación
Uno de los aspectos fundamentales de una VPN es su método de autenticación de usuarios. Cuando usted
usa secretos compartidos, debe asegurarse de que:
• Los usuarios elijan contraseñas poderosas.
• Las contraseñas se cambien con frecuencia.
Cuando usted utiliza Remote User VPN (RUVPN, VPN para usuarios remotos), que emplea el protocolo de
tunelamiento PPTP, o MUVPN, es muy importante definir contraseñas poderosas. Cuando usted pone la
Guía del Usuario 227

Direccionamiento IP
seguridad de los endpoints de una VPN en riesgo, puede poner en riesgo la seguridad de toda la red. Si,
por ejemplo, una persona roba una laptop y descubre la contraseña, tiene acceso directo a la red.
Los certificados digitales son registros electrónicos que identifican al usuario. Para más información sobre
certificados, vea el capítulo “Administración de Certificados y Autoridad de Certificación”. La autoridad de
certificación (CA, Certificate Authority), es una tercera parte segura que administra los certificados. En
WatchGuard® System Manager, usted puede configurar un Firebox para que opere como CA. Este tipo de
autenticación puede ser más segura que la de secretos compartidos.
Direccionamiento IP
El uso correcto de la dirección IP es importante cuando se hace un túnel VPN. Lo mejor es si las direcciones
IP privadas de las computadoras en uno de los lados del túnel son diferentes a las del otro lado. Si usted
tiene sucursales, utilice subredes en cada locación que sean diferentes de la red primaria de la oficina. Si es
posible, utilice subredes que sean casi iguales a la subred del Firebox® cuando configure una sucursal.
Por ejemplo, si la red Firebox primaria utiliza 192.168.100.0/24, use 192.168.101.0/24, 192.168.102.0/24 y
similares para la sucursal. Esto previene nuevos problemas en caso de que usted expanda su red y lo
ayuda a recordar la dirección IP de sus sucursales.
Para túneles MUVPN y RUVPN, Firebox brinda a cada usuario remoto una dirección de IP virtual. El método
más sencillo es obtener una IP virtual que provenga de la red primaria pero que no esté en uso por ninguna
otra computadora. Usted no puede usar la misma dirección de IP virtual para usuarios remotos RUVPN
y MUVPN. Tampoco puede emplear una dirección de IP virtual que pueda estar sobre una computadora en
una ubicación diferente a la de la red primaria.
Si su red primaria no tiene la suficiente cantidad de direcciones IP para hacer esto, el procedimiento más
seguro es instalar una red secundaria “placeholder”. Seleccione un rango de direcciones para ésta y utilice
una dirección IP de ese rango para la dirección de IP virtual. Si ya está utilizando un rango de dirección de
IP privada en su red primaria, también puede expandir el rango de la red. Por ejemplo, usted puede cambiar
de una red de clase C 192.168.100.0/24 a una red de clase B de 192.168.0.0/16.
Esto le permite seleccionar entre un rango de direcciones. Aquí no existen interferencias de estas direcciones
con la dirección real del host en uso detrás del Firebox. Si usted utiliza este procedimiento para direcciones
de IP virtuales para RUVPN, debe configurar la computadora cliente para usar el gateway por defecto
en la red remota, o debe agregar manualmente las rutas luego de que el túnel VPN esté conectado. Esto
no es necesario para la computadora cliente de MUVPN.
Internet Key Exchange (IKE)
A medida que el número de túneles VPN de su red se incrementa, se vuelve más dificultoso manejar el
gran número de claves de sesión que son utilizadas. Estas claves deben ser reemplazadas con frecuencia
para obtener una seguridad más poderosa.
Internet Key Exchange (IKE) es el protocolo de manejo de claves de que usa IPSec. IKE automatiza el procedimiento
para negociar y reemplazar claves. Internet Security Association and Key Management Protocol
(ISAKMP) es, por su parte, un protocolo criptográfico que es la base del protocolo de intercambio de claves
IKE. Éste utiliza un procedimiento de dos fases para crear un túnel IPSec. Durante la primera fase, dos gateways
crean un canal autenticado y seguro para el tráfico VPN. La fase 2 incluye un intercambio de claves
para encontrar cómo encriptar los datos entre los dos.
228 WatchGuard System Manager

Network Address Translation y VPNs
Diffie-Hellman es un algoritmo que usa IKE para generar las claves necesarias para la encriptación de datos.
Los grupos Diffie-Hellman son colecciones de parámetros que permiten dos pares de intercambio de sistemas
y acuerdo sobre la clave de sesión. El grupo 1 es de 768-bit y el grupo 2 de 1024-bit. El segundo es más
seguro que el primero, pero usa más tiempo de procesador para generar las claves.
Network Address Translation y VPNs
Con Network Address Translation (NAT, traducción de direcciones de red), las direcciones de fuente y de destino
de paquetes IP son cambiadas al tiempo que van desde el router al firewall. Si usted usa NAT entre dos
gateways VPN, debe usar ESP (y no AH) como protocolo de autenticación al momento de crear los túneles
VPN entre los dispositivos. Si usted envía tráfico IPSec o PPTP a través de un Firebox® (IPSec o PPTP de paso),
Firebox puede usar NAT 1-a-1 para enviarlo.
Control de Acceso
Los túneles VPN permiten a los usuarios tener acceso a los recursos de su red de computadoras. Piense qué
tipo de recursos son necesarios para cada tipo de usuario. Por ejemplo, usted puede permitir a un grupo de
empleados contratados tener acceso sólo a una red y a su personal de ventas acceder a todas las redes. Los
tipos de VPN diferentes también pueden definirse a partir de su nivel de confianza. Las VPNs de sucursales
(BOVPNS, Branch Office VNPs) tienen un dispositivo firewall en los dos extremos del túnel, por lo que son
más seguras que MUVPN y RUVPN, que sólo tienen protección en uno de los extremos.
Topología de la Red
Usted puede setear la VPN para dar soporte a configuraciones en malla (meshed) o hub-and-spoke. La topología
que usted seleccione define los tipos y números de conexiones que podrán ocurrir, así como el flujo de
datos y de tráfico.
Redes en malla (meshed)
En una topología “fully meshed”, todos los servidores están conectados en conjunto para hacer una web.
Cada dispositivo está a sólo un paso de otra unidad VPN. El tráfico puede ir entre cada unidad de la VPN, de
ser necesario.
Full Meshed Network
Guía del Usuario 229

Topología de la Red
Esta topología es la más resistente a errores. Si una unidad de VPN deja de funcionar, sólo la conexión a la
red de esa unidad cae. Pero también es la topología más difícil de configurar. Cada unidad de VPN debe
tener un túnel VPN configurado con cada una de las otras unidades. Esto puede generar problemas posibles
de ruteo si no se hace con cuidado.
El conflicto más grande que puede tener con las redes fully meshed es de control. Como cada unidad
debe conectarse con cada otra, el número de túneles necesario se hace rápidamente muy grande, ya que
es igual al cuadrado de número de dispositivos:
[(número de dispositivos) x (número de dispositivos)] -1 ÷ 2 = número de túneles]
Cuando todas las unidades VPN son dispositivos WatchGuard®, WatchGuard System Manager puede hacer
que la configuración sea más fácil. El Management Server contiene toda la información para todos los
túneles. Con WatchGuard System Manager, usted puede hacer un túnel VPN entre dos dispositivos en tres
pasos utilizando un método de arrastrar y soltar.
Puede monitorear la seguridad del sistema completo desde más de una locación, cada una con un
Firebox®. Las compañías grandes usan esta configuración con las sucursales importantes, en cada una de
las cuales se instala un Firebox de alta más alta capacidad. Las oficinas pequeñas y los usurarios remotos
se conectan con dispositivos MUVPN, RUVPN, Firebox X Edge o SOHO 6.
Las redes que no tienen una topología de malla completa tienen sólo los túneles entre los dispositivos
que se hablan, tal como muestra la figura debajo. Por lo tanto, el flujo a través de la red es mejor que en la
topología fully meshed, o de malla completa. Los límites en todas las redes de malla son:
- El número de túneles VPN que el CPU del firewall puede operar.
- El número de túneles VPN permitido por la licencia VPN de la unidad.
Redes hub-and-spoke
Red de Malla Parcial (o partially meshed)
En una configuración hub-and-spoke, todos los túneles VPN terminan en un firewall. Las compañías más
pequeñas la usan con frecuencia con un Firebox primario. Muchos usuarios remotos distribuidos se conectan
con dispositivos MUVPN, RUVPN, Firebox X Edge o SOHO 6 a esta configuración. Cada dispositivo
remoto o usuario remoto hace un túnel VPN sólo con el Firebox primario.
En una configuración hub-and-spoke simple, cada ubicación remota puede enviar y recibir datos sólo a
través del túnel VPN a la red detrás del Firebox primario. Un túnel VPN al Firebox primario también puede
ser configurado para enviar y recibir datos de ubicaciones de VPN remotas diferentes (switching en túnel).
230 WatchGuard System Manager

Métodos de Tunelamiento
La intensidad del tráfico en hub-and-spoke puede ser alta si el Firebox primario envía paquetes desde una
ubicación remota a otra. Pero puede ser baja en un esquema simple, en el que las ubicaciones remotas puedan
enviar datos sólo a través de un túnel VPN a una ubicación de hub primaria.
El Firebox primario es el único punto en el que todos los túneles VPN pueden fallar, por lo que esto también
puede ser un problema. Si cae, usted no podrá conectar ningún túnel VPN a las locaciones remotas.
El flujo a través de un sistema hub-and-spoke simple es mucho más claro que a través de un sistema en
malla. Usted puede controlar el número de túneles mejor, según la suma que sigue:
[(número de dispositivos) – 1 = número de túneles]
Si es necesario tener más capacidad de comunicación, expanda la locación del hub. Pero como todo el tráfico
pasa por el hub, es necesario tener más ancho de banda para la instalación.
Red Hub-and-Spoke
Métodos de Tunelamiento
El tunelamiento dividido (split) se da cuando un usuario remoto o un endpoint tiene acceso a Internet en la
misma computadora en la que reside la conexión VPN. Este usuario, sin embargo, no pone el tráfico de
Internet en el túnel. El usuario remoto navega directamente a través del ISP. Esto hace que el sistema se
vuelva vulnerable, porque el tráfico de Internet no se filtra ni se encripta.
Esta peligrosa configuración es menos vulnerable cuando todo el tráfico de Internet del usuario remoto se
pasa a través de un túnel VPN al Firebox®. Desde el Firebox, el tráfico es enviado luego a Internet (switching
en túnel). Con esta configuración, el Firebox examina todo el tráfico y provee una mejor seguridad.
Cuando usted usa el switching en túnel, debe incluirse una política de NAT dinámica para el tráfico saliente
desde la red remota. Esto permite que los usuarios remotos naveguen por Internet al tiempo que envían
todo el tráfico al Firebox.
El tunelado dividido reduce el nivel de seguridad, pero incrementa el desempeño. Si usted utiliza este método,
los usuarios remotos deben tener firewalls personales para las computadoras que están detrás del endpoint
de la VPN.
Guía del Usuario 231

Soluciones VPN de WatchGuard
Soluciones VPN de WatchGuard
WatchGuard® System Manager incluye estas herramientas de software para crear túneles:
• Remote User VPN (RUVPN) con PPTP
• Mobile User VPN (MUVPN) con IPSec
• Branch Office VPN (BOVPN) con IPSec, que usa Policy Manager para configurar manualmente las
definiciones del túnel
• Branch Office VPN (BOVPN) con IPSec, que usa WatchGuard System Manager para configurar automáticamente
las definiciones del túnel.
WatchGuard incorpora diferentes tipos de encripción para las distintas opciones de túneles VPN que se
pueden crear. BOVPN permite Data Encryption Service (DES) con una clave de encripción de 56-bit para
encripción básica, 112-bit para moderada y 168-bit (3DES) para potente. También utiliza Advanced
Encryption Standard (AES), un método de encripción de datos en bloque, con alternativas a 128-bit, 192-
bit o 256-bit.
WatchGuard también tiene una línea de productos SSL VPN Firebox por separado. Usted puede encontrar
más información en el sitio web público de WatchGuard: http://www.watchguard.com/products/fb-ssl.asp.
Remote User VPN con PPTP
Remote User VPN permite a los usuarios móviles o remotos conectarse a la red Firebox® con PPTP. RUVPN
con PPTP habilita claves RC4 40-bit o 128-bit.
El paquete WatchGuard System Manager básico incluye RUVPN con PPTP. Soporta 50 usuarios y todos los
niveles de encripción. Para información sobre cómo crear túneles RUVPN con PPTP, vea el capítulo
“Configuración de RUVPN con PPTP”.
Mobile User VPN
Nota
Para información sobre cómo configurar y usar MUVPN, vea la Guía del Administrador de MUVPN
Mobile User VPN es un componente de software opcional disponible para todos los modelos de Firebox.
Los usuarios remotos son empleados móviles que necesitan tener acceso a la red corporativa. MUVPN crea
un túnel IPSec entre un host remoto que no es seguro y su red corporativa. Los usuarios remotos se conectan
a Internet con un servicio de banda ancha o de dial up estándar y luego usan el software MUVPN para
establecer una conexión segura a la red o las redes protegidas por el Firebox. Con MUVPN, sólo se necesita
un Firebox para crear el túnel.
MUVPN utiliza IPSec con DES o 3DES para encriptar el tráfico entrante y MD5 o SHA-1 para autenticar los
paquetes de datos. Usted configura una política de seguridad y la extiende a cada usuario remoto a través
del software MUVPN. La política de seguridad es un archivo encriptado con la extensión .wgx. Cuando se
instala el software en las computadoras de los usuarios remotos, ellos puede conectarse de manera segura
a la red corporativa. Los usuarios MUVPN pueden cambiar sus políticas de seguridad, o usted puede darles
políticas de sólo lectura (read-only).
232 WatchGuard System Manager

Soluciones VPN de WatchGuard
Branch Office Virtual Private Network (BOVPN)
Muchas compañías tienen oficinas en más de una locación. Éstas utilizan, frecuentemente, datos de otras
ubicaciones, o tienen acceso a bases de datos compartidas. Como las sucursales suelen manejar datos corporativos
sensibles, los intercambios de información deben ser seguros. Cuando usted utiliza WatchGuard
Branch Office VPN, puede conectar dos o más ubicaciones a través de Internet sin perder seguridad.
WatchGuard BOVPN provee un túnel encriptado entre dos redes o entre un Firebox y un dispositivo que
cumpla con IPSec. Usted puede emplear WatchGuard System Manager o Policy Manager para configurar
BOVPN. WatchGuard permite autenticación basada en certificados para túneles BOVPN. Cuando usted utiliza
este tipo de autenticación en BOVPN, los dos endpoints de la VPN deben ser Fireboxes WatchGuard. Usted
no puede utilizar la autenticación basada en certificados para BOVPN con dispositivos SOHO 6 ni Firebox X
Edge. Para usar esta funcionalidad, debe configurar un Management Server y una autoridad de certificación.
Para más información, vea “Configuración de túneles VPN administrados”. Para instrucciones sobre cómo usar
el Policy Manager para configurar manualmente un túnel BOVPN, vea “Configuración de BOVPN con IPSec
manual”.
BOVNP con Policy Manager
Cuando usted arma un túnel con Policy Manager, el Firebox usa IPSEC para crear túneles encriptados con un
dispositivos de seguridad diferente que sea compatible con IPSec. Uno de los dos endpoints debe tener una
dirección de IP estática pública.
Utilice BOVPN con Policy Manager si:
• Usted arma túneles entre un Firebox y una unidad compatible con IPSec que no sea de WatchGuard.
• Tiene diferentes políticas de ruteo para túneles distintos.
• No todos los tipos de tráfico van a través del túnel.
BOVPN con IPSec está disponible con el nivel de encripción moderada de DES (56-bit) o con la más poderosa
de 3DES (168-bit). También soporta AES a los niveles de 128-bit, 192-bit y 256-bit, siendo este último el
más seguro.
Usted puede crear diferentes túneles VPN para distintos tipos de tráfico en su red. Por ejemplo, puede utilizar
un túnel VPN con encripción DES para el tráfico de su equipo de ventas, mientras que, al mismo tiempo,
define un túnel VPN con la encripción 3DES más poderosa para los datos provenientes del departamento de
finanzas.
BOVPN con IPSec manual
BOVNP con WatchGuard System Manager
Con WatchGuard System Manager, usted puede armar túneles IPSec completamente autenticados y encriptados
arrastrando y soltando o con una interfaz de menú. WatchGuard System Manager usa el Management
Server para transmitir de manera segura la información de configuración de una VPN IPSec entre dos dispositivos
Firebox. Cuando usted emplea el Management Server, define cada parámetro de configuración en la
VPN. El Management Server conserva la información.
Use BOVPN con WatchGuard System Manager si:
Guía del Usuario 233

Escenarios de VPN
• Construye túneles entre dos o más dispositivos Firebox.
• Define diferentes políticas de ruteo para túneles distintos.
• Las unidades clientes tienen una dirección IP pública dinámica o estática.
• Tiene un gran número de túneles para hacer.
Con WatchGuard System Manager usted puede configurar, administrar y monitorear todos los dispositivos
de WatchGuard de la compañía. Es posible configurar túneles VPN entre dos dispositivos remotos de
manera sencilla, utilizando las definiciones por defecto que WSM le ofrece. No tiene que tener conocimientos
sobre la seguridad de Internet de las sucursales ni de los usuarios remotos. Los dispositivos remotos se
conectan al Management Server y WSM hace todo el trabajo. Si usted usa certificados para autenticación
de túnel, puede configurar el Management Server como autoridad de certificación para crear los certificados
de manera automática.
Escenarios de VPN
Esta sección muestra tres diferentes tipos de compañías y las soluciones VPN que mejor calzan para
cada una.
Compañías grandes con sucursales: WatchGuard System Manager
Compañía grande con VPNs a sucursales.
Gallatin Corporation tiene una oficina central con unos 300 usuarios en Los Angeles y sucursales con otros
100 usuarios en cada una en Sacramento, San Diego e Irvine. Todas las locaciones poseen acceso de alta
velocidad a Internet y los empleados de todas ellas deben tener conexiones seguras a todas las demás.
Esta compañía usa WatchGuard Firebox® en cada locación y WatchGuard® System Manager para conectar
a cada una de ellas con todas las demás. Cada oficina se conecta a todas las otras. Todos los usuarios de
cada oficina tienen acceso a los registros compartidos ubicados en cualquier locación. El Management
234 WatchGuard System Manager

Escenarios de VPN
Server está detrás del Firebox en la oficina primaria, mientras que los Fireboxes en las sucursales son
Managed Firebox Clients. Cuando se detiene un servicio del ISP de Gallatin, esto hace que el Firebox en la
oficina central no esté disponible. Pero los túneles en las otras locaciones permanecen activos.
Compañías pequeñas con teletrabajadores: MUVPN
River Rock Press es una editorial pequeña en un mercado especializado. Tiene una oficina con seis empleados
en Portland, Oregon y cinco editores en otras locaciones. La oficina central usa un Firebox X Edge como
firewall y gateway VPN. Los cinco editores emplean un cliente MUVPN para establecer conexiones seguras
con el Centro de Información en Portland. Los editores pueden intercambiar información de manera segura
siempre que sus computadoras estén conectadas a Internet.
Empresa pequeña con teletrabajadores que utiliza MUVPN
Compañías pequeñas con empleados remotos: MUVPN con autenticación extendida
BizMentors, Inc. tiene 35 capacitadores que dan clases sobre tópicos de negocios en las oficinas de las compañías
clientes. Los 75 vendedores de BizMentors deben tener acceso a la información actualizada sobre las
agendas de los capacitadores para evitar conflictos horarios.
Una base de datos ubicada en el centro de datos de BizMentors mantiene esta información al instante. El
data center usa un Firebox y cada vendedor utiliza un cliente MUVPN para para obtener acceso a la base de
datos de inventario y precios. Para autenticar a todos los usuarios remotos, BizMentors utiliza un servidor de
autenticación RADIUS.
En general, debe ingresarse un nombre de usuario y una contraseña tanto en el Firebox como en el servidor
de autenticación. Pero cuando se usa la autenticación extendida, todos los nombres de usuario y todas las
contraseñas son enviadas al servidor de autenticación, por lo que no es necesario ponerlas en el Firebox.
Todos los vendedores pueden loguearse en la red corporativa con la contraseña y el nombre de usuario que
utilizan a menudo cuando están dentro de la red. El Firebox manda esos datos al servidor de autenticación y
éste efectiviza la autenticación de las credenciales del usuario de la VPN.
Guía del Usuario 235

Escenarios de VPN
Compañía pequeña que utiliza autenticación extendida
236 WatchGuard System Manager

CA P Í T U LO 19
Configuración de Túneles VPN
A d m i n i s t r a d o s
WatchGuard® System Manager provee velocidad y confiabilidad cuando se crean túneles VPN IPSec en un
procedimiento de arrastrar y soltar, un asistente automatizado, y el uso de esquemas predefinidos. Usted
puede hacer, en minutos, túneles IPSec que utilicen autenticación y encriptación. Es posible asegurarse de
que esos túneles operen con otros túneles y políticas de seguridad. Desde una misma interfaz, usted puede
controlar y monitorear los túneles VPN. WatchGuard System Manager también le permite administrar de
manera segura dispositivos Firebox® X Edge desde una ubicación remota. Para más información, vea el capítulo
“Administración de Firebox X Edge y Firebox SOHO6”.
Pasos para crear una VPN
• Configure WatchGuard Management Server y Certificate Authority (CA).
• Agregue dispositivos Firebox, Firebox X Edge o SOHO al Management Server.
• (Sólo para dispostivos dinámicos) Configure el Firebox como cliente administrado (managed client).
• Construya plantillas de políticas para configurar qué redes pueden conectarse a través de los túneles
VPN.
• Cree plantillas de seguridad para definir el tipo de encriptación y autenticación.
• Construya túneles entre los dispositivos.
Configuración del Firebox como Cliente Administrado
Para permitir a WatchGuard® System Manager administrar un Firebox®, un Edge o un SOHO con dirección
de IP dinámica, usted debe habilitarlos como clientes Firebox administrados. Para obtener instrucciones
sobre cómo habilitar un Firebox en esa modalidad, diríjase al Capítulo 16,“Usando el Management Server”.
Incorporación de Plantillas de Políticas
Para una VPN, usted puede configurar (y poner límites a) las redes que tendrán acceso a través del túnel.
Puede hacer una VPN entre hosts o entre redes. Para configurar las redes que estarán disponibles para un
dispositivo VPN dado, debe crear plantillas de políticas. Por defecto, WatchGuard® System Manager (WSM)
agrega y aplica una plantilla de política de red que brinda acceso a la red detrás del dispositivo VPN, si ésta
tiene una dirección de IP estática.
Guía del Usuario 237

Incorporación de Plantillas de Políticas
Obteniendo las plantillas actuales del dispositivo
Antes de agregar más plantillas de políticas, obtenga las que están actualmente en el dispositivo. Esto es
lo más importante para dispositivos dinámicos, porque el Firebox® agrega automáticamente una plantilla
de políticas de red para los estáticos. Antes de actualizar un dispositivo, asegúrese de que está configurado
como un cliente Firebox administrado.
1 En WatchGuard System Manager, sobre la pestaña Device Management, elija un cliente administrado,
y luego haga click en Edit > Update Device.
Aparecerá la caja de diálogo Update Device.
2 Seleccione la caja de chequeo Download Trusted and Optional Network Policies.
3 Haga click en OK.
Cree una nueva plantilla de política
Para crear una plantilla de política, en la pestaña Device Management:
1 Seleccione el dispositivo para el cual desea configurar la plantilla de política.
2 Haga click en el botón derecho y seleccione Insert VPN Resource, o haga click en el
ícono Insert VPN Resource.
Aparecerá la caja de diálogo VPN Resource para ese dispositivo.
3 En la caja Policy Name, escriba el nombre de política que desee.
238 WatchGuard System Manager

Agregando Plantillas de Seguridad
4 Agrege, edite o borre los recursos de la política del túnel. Haga click en Add para agregar una dirección
IP o una dirección de red a la política del túnel. Haga click en Edit para editar un recurso que haya seleccionado
de la lista. Elija un recurso de la lista Resources y haga click en Remove para borrar el recurso.
5 Haga click en OK.
La plantilla de política se ha configurado y está disponible en el área de configuración de la VPN.
Agregando recursos a una plantilla de política
1 En la caja de diálogo VPN Resource, haga click en Add.
Aparecerá la caja de diálogo Resource.
2 De la lista desplegable Allow to/from, seleccione el tipo de recurso y luego escriba la dirección de IP o la
dirección de red en la caja adyacente.
3 Haga click en OK.
Agregando Plantillas de Seguridad
Una plantilla de seguridad provee el tipo de encripción y de autenticación para un túnel. Se proveen plantillas
de seguridad por defecto para los tipos de encripción disponibles. Usted puede, por otra parte, crear
nuevas plantillas. Las plantillas de seguridad facilitan la configuración del tipo de encripción y de autenticación
con el túnel desde el asistente Configuration.
Para crear una plantilla de política, en la pestaña Device Management:
1 Haga click con el botón derecho en la ventana y seleccione Insert Security Template, o haga
click en el ícono Insert Security Template (que se muestra a la izquierda).
Aparecerá la caja de diálogo Security Template.
2 En la caja Template Name, escriba el nombre de plantilla que desee usar. De las listas desplegables
Authentication y Encryption, seleccione el método de autenticación y el método de encripción.
Guía del Usuario 239

Creando Túneles Entre Dispositivos
3 Para definir la fecha final de una clave, elija la casilla de verificación Force key expiration y luego
seleccione los kilobytes o las horas hasta la expiración.
Si usted coloca dos valores, la clave se frena ante el evento que suceda primero.
La plantilla de seguridad ya está configurada. Usted puede elegirla en el asistente VPN cuando cree un túnel VPN con
este dispositivo.
4 Haga click en OK.
Creando Túneles Entre Dispositivos
Es posible configurar un túnel con un procedimiento de arrastrar y soltar o con el asistente Add VPN.
Usando el procedimiento arrastrar y soltar
Los Firebox dinámicos y los dispositivos Firebox® X Edge o SOHO necesitan redes configuradas antes de
que se pueda usar este procedimiento. También debe tener las políticas para cualquier nuevo dispositivo
dinámico antes de configurar los túneles por arrastrar y soltar (utilice el procedimiento “Obtenga las plantillas
actuales del dispositivo” para hacer esto).
En la pestaña Device Management:
1 Sobre uno de los endpoints del túnel, haga click en el nombre del dispositivo. Arrastre y suelte el nombre
del dispositivo en el otro endpoint del túnel.
Se iniciará el asistente Add VPN.
2 Haga click en Next.
3 Las pantallas de los dispositivos de gateways mostrarán los dispositivos de los dos endpoints seleccionados
por el arrastrar y soltar y las plantillas de políticas que usa el túnel. Si los endpoints no están visibles,
selecciónelos en esa pantalla.
4 De la lista desplegable, seleccione una plantilla de política para cada dispositivo.
Esta plantilla de política configura los recursos disponibles a través del túnel, que pueden ser una red o un host.
La lista desplegable muestra las plantillas de política que usted agregó al WatchGuard System Manager. Si un dispositivo
de endpoint de una VPN tiene una dirección de IP estática, el Management Server creará automáticamente una plantilla
de política por defecto para el dispositivo que incluye todas las redes confiables. Cuando la red confiable (trusted) detrás
del dispositivo tiene muchas redes secundarias o ruteadas configuradas, algunos usuarios prefieren crear una plantilla
personalizada para restringir los recursos disponibles a través del túnel VPN.
5 Haga click en Next.
El asistente muestra la caja de diálogo Security Policy.
6 Seleccione la plantilla de seguridad aplicable al tipo de seguridad y al tipo de autenticación que se
usarán para este túnel.
La lista muestra las plantillas que usted agregó al Management Server.
7 Haga click en Next.
El Asistente muestra la configuración.
8 Seleccione la caja de verificación Restart devices now to download VPN configuration. Haga click en
Finish para iniciar de nuevo los dispositivos y desplegar el túnel VPN.
Usando el asistente Add VPN sin arrastrar y soltar
Para utilizar el asistente ADD VPN para crear túneles:
1 En la pestaña Device Management, seleccione Edit > Create a new VPN o haga click en el
ícono Create New VPN.
Esto arranca el asistente VPN Wizard.
240 WatchGuard System Manager

Editando un Túnel
2 Haga click en Next.
El asistente muestra dos listas, cada una de las cuales exhibe todos los dispositivos registrados en el Management Server.
3 Seleccione un dispositivo de cada lista para que sean los endpoints del túnel que está haciendo.
4 Seleccione las plantillas de políticas para el extremo del túnel de cada dispositivo.
La lista muestra las plantillas agregadas en el Management Server.
5 Haga click en Next.
El asistente muestra la caja de diálogo Security Template.
6 Seleccione la plantilla de seguridad aplicable para esta VPN y haga click en Next.
El asistente muestra la configuración.
7 Seleccione la caja de chequeo Restart devices now to download VPN configuration. Haga click en
Finish para iniciar nuevamente los dispositivos y desplegar el túnel VPN.
Editando un Túnel
Usted puede ver todos sus túneles en la pestaña Device Management del WatchGuard® System Manager
(WSM). WSM le permite cambiar el nombre del túnel, la plantilla de seguridad, los endpoints y la política que
utiliza.
1 En la pestaña Device Management, expanda el árbol para ver el dispositivo a cambiar y su política.
2 Seleccione el túnel que desea cambiar.
3 Haga click en el botón derecho del mouse y seleccione Properties.
Aparecerá la caja de diálogo Tunnel Properties.
4 Haga los cambios que desee en el túnel.
5 Haga click en OK para salvar los cambios.
Cuando el túnel sea renegociado, se aplicarán los cambios.
Eliminando Túneles y Dispositivos
Para eliminar un dispositivo del WatchGuard® System Manager (WSM), es necesario eliminar primero los
túneles para los cuales ese dispositivo es un endpoint.
Eliminando un túnel
1 En el WSM, haga click en la pestaña Device Management.
2 Expanda la carpeta Managed VPNs para ver el túnel que desea eliminar.
3 Haga click con el botón derecho en el túnel.
4 Seleccione Remove. Haga click en Yes para confirmar.
5 Es posible que necesite reiniciar los dispositivos que usan el túnel que quiere eliminar. Haga click en Yes.
Eliminando un dispositivo
1 Desde el System Manager, haga click en la pestaña Device Status o Device Management.
Aparecerá la pestaña Device Status (a la izquierda, en la figura que está debajo) o la pestaña Device Management (a la
derecha).
Guía del Usuario 241

Eliminando Túneles y Dispositivos
2 Si usted utiliza la pestaña Device Management, expanda la carpeta Devices para ver el dispositivo
a eliminar.
3 Haga click con el botón derecho del mouse sobre el dispositivo.
4 Seleccione Remove. Haga click en Yes.
242 WatchGuard System Manager

CA P Í T U LO 20
Configuración de BOVPN con IPSec
M a n u a l
Utilice VPN para sucursales (BOVPN, Branch Office VPN) con IPSec manual para hacer túneles encriptados
entre un Firebox® y un dispositivo de seguridad compatible con IPSec. Este dispositivo puede proteger una
sucursal u otra locación remota. BOVPN con IPSec manual puede utilizar diferentes métodos de encriptación:
DES (56-bit), 3DES (168-bit), AES 128, AES 192 y AES 256.
Antes de Empezar
Usted debe contar con esta información para utilizar BOVPN con IPSec manual:
• Política de endpoints — Direcciones IP de hosts o redes que son accesibles en el túnel.
• Método de encriptación — Los dos extremos del túnel deben utilizar el mismo método.
• Método de autenticación — Los dos extremos del túnel deben utilizar el mismo método.
Configurando un Gateway
Un gateway es un punto de conexión para uno o más túneles. El método de conexión que usa el gateway
para hacer un túnel es el que se debe usar en el otro extremo del mismo. Un ejemplo es el ISAKMP (Internet
Security Association and Key Management Protocol).
Agregando un gateway
Para iniciar la negociación de túnel IPSec, un par debe conectarse al otro. Usted puede usar una dirección IP
o un nombre DNS para conectar los pares. Si uno de ellos tiene una dirección IP dinámica, seleccione Any
para la dirección de IP del gateway remoto.
Guía del Usuario 243

Configurando un Gateway
Para configurar esto, defina el tipo de identificador (ID) del gateway remoto como Domain Name o User
Domain Name. Defina el nombre del par como el nombre de dominio completamente calificado.
Asegúrese de que el Firebox® esté configurado con servidores DNS que puedan resolver el nombre de
dominio.
1 En el Policy Manager, haga click en VPN > Branch Office Gateways.
Aparecerá la caja de diálogo Gateways.
2 Para agregar un gateway, haga click en Add.
Aparecerá la caja de diálogo New Gateway.
3 En la caja de texto Gateway Name, escriba el nombre del gateway.
Este nombre identifica al gateway sólo en el Policy Manager para este Firebox.
4 En la lista desplegable Gateway IP, seleccione IP Address o Any.
Si la dirección del gateway remoto es una dirección de IP estática, escríbala en la caja de dirección adyacente. Si el endpoint
remoto de la VPN tiene una dirección de IP dinámica, seleccione Any.
5 En la lista desplegable Remote Gateway Settings ID Type, seleccione IP Address, Domain Name,
User Domain Name, o X.500 Name.
Si el endpoint remoto de la VPN usa DHCP o PPPoE para obtener su dirección de IP externa, setee el tipo de ID del gateway
remoto como Domain Name. Defina el campo “peer name” como el nombre de dominio completamente calificado
del endpoint remoto de la VPN.
Firebox usa la dirección de IP y el nombre de dominio para encontrar el endpoint de la VPN. Asegúrese de que el servidor
DNS utilizado por el Firebox pueda identificar dicho nombre.
244 WatchGuard System Manager

Configurando un Gateway
6 Configure los Local Settings. En la lista desplegable ID Type local, seleccione IP address, Domain Name,
o User Domain Name. Si usted elige IP address, puede optar por una dirección de IP de la lista desplegable
adyacente. Todas las direcciones de IP de interfaz del Firebox configuradas aparecen allí.
7 Haga click en Pre-Shared Key o en Firebox Certificate para identificar el procedimiento de autenticación
a utilizar. Si usted elige Pre-Shared Key, escriba la clave compartida.
Debe utilizar la misma clave compartida en el dispositivo remoto. Ésta sólo debe utilizar caracteres ASCII estándares.
Nota
Usted debe iniciar Certificate Authority si ha seleccionado autenticación basada en certificados. Para
información sobre este tema, vea el capítulo sobre Certificate Authority en este manual. Además, si utiliza
certificados, debe utilizar WatchGuard® Log Server para mensajes de log. No damos soporte a certificados
de terceras partes.
8 Usted puede usar las definiciones por defecto Phase 1 o puede cambiarlas. Si decide utilizar las que
vienen por defecto, vaya al paso 19.
Phase 1 se refiere a la fase inicial de la negociación IKE. Contiene información sobre autenticación, negociación de sesión y
cambio de clave.
9 De la lista desplegable Authentication, seleccione SHA1 o MD5 como el tipo de autenticación.
10 De la lista desplegable Encryption, seleccione, None, DES o 3DES como el tipo de encriptación.
11 De la lista desplegable Mode, seleccione Main o Aggressive.
El modo Main no identifica los endpoints de la VPN durante la negociación y es más seguro que el modo Aggressive. El
modo Main también soporta propiedades Diffie-Hellman del grupo 2. El modo Main es más lento que el Agressive, debido
a que debe enviar más mensajes entre los endpoints.
12 Si usted desea modificar las definiciones de grupo de propiedades Diffie-Hellman y otras definiciones
avanzadas de Phase 1, haga click en Advanced.
Aparecerá la caja de diálogo Phase 1 Advanced Settings.
13 Para cambiar la “vida” de la asociación de seguridad (SA Life), escriba un número en el campo SA Life y
seleccione Hour o Minute de la lista desplegable.
14 De la lista desplegable Key Group, seleccione el grupo Diffie-Hellman que desee. WatchGuard soporta
los grupos 1 y 2.
Los grupos Diffie-Hellman son conjuntos de propiedades usadas para negociar claves secretas de manera segura a través
de un medio público. El Grupo 2 es más seguro que el 1, pero utiliza más tiempo para generar las claves.
15 Si desea utilizar dispositivos NAT a través del túnel, seleccione la casilla de verificación NAT Traversal.
Para definir el tiempo que debe estar vigente (Keep-alive interval), escriba la cantidad de segundos o
use el control de valor para elegir el número de segundos que necesite.
NAT Traversal o encapsulamiento UDP permite al tráfico llegar a los destinos correctos. Debe habilitarse cuando se desea
construir un túnel BOVPN entre el Firebox y otro dispositivo que esté detrás del dispositivo NAT.
16 Para tener un Firebox que envíe mensajes a su par IKE para mantener el túnel VPN abierto, elija la casilla
de verificación IKE Keep-alive. Para definir un intervalo de mensaje (Message Interval), escriba el
número de segudos o use el control de valor para elegir el número de segundos que necesite.
17 Para definir el número máximo de veces que el Firebox debe intentar enviar un mensaje IKE keep-alive
antes de intentar negociar la Phase 1 nuevamente, escriba el número que desee en la caja Max failures.
Guía del Usuario 245

Haciendo un Túnel Manual
18 Cuando complete la configuración avanzada, haga click en OK.
19 Haga click en OK para guardar el gateway.
20 Haga click en Close para cerrar la caja de diálogo Gateways.
Editando y eliminando gateways
Para cambiar un gateway, seleccione VPN > Branch Office Gateways. O haga click con el botón derecho
del mouse sobre el ícono del túnel en la pestaña BOVPN de Policy Manager, y luego elija Gateway
Property.
1 Seleccione el gateway que desee y haga click en Edit.
Aparecerá la caja de diálogo Edit Gateway.
2 Haga los cambios y haga click en OK.
Para borrar un gateway, selecciónelo y haga click en Remove.
Haciendo un Túnel Manual
Use este método para configurar un túnel manual que utilice un gateway con el tipo de negociación de
claves ISAKMP (Internet Security Association and Key Management Protocol). ISAKMP es un protocolo que
autentica el tráfico de red entre dos dispositivos. Este procedimiento abarca la información sobre cómo los
dispositivos controlan la seguridad, lo que incluye la encriptación. También tiene la información usada
para hacer las claves utilizadas para convertir los datos encriptados a texto.
1 Desde el Policy Manager, seleccione VPN > Branch Office Tunnels.
Aparecerá la caja de diálogo Branch Office IPSec Tunnels.
246 WatchGuard System Manager

Haciendo un Túnel Manual
2 Haga click en Add.
Aparecerá la caja de diálogo New Tunnel.
3 En la caja Tunnel Name, tipee el nombre de túnel que desee.
4 De la lista desplegable Gateway, seleccione un gateway remoto para conectarse con este túnel. Los
gateways que agregó a su configuración aparecen en esta lista desplegable. Para editar un gateway,
seleccione su nombre y haga click en el botón Edit. Para crear un gateway nuevo, haga click en el botón
New.
Edit
New
5 De la lista desplegable Proposal, seleccione la propuesta IKE Phase 2 para su túnel. La lista contiene
propuestas de seguridad de fase 2 predefinidas. Si usted quiere usar la propuesta por defecto y no crear
ni editar ninguna, vaya al paso 14. Usted puede editar cualquier propuesta de Phase 2 que haya creado,
pero no es posible editar las predefinidas. Debe agregar una nueva. Para editar una propuesta de Phase
2 que usted haya creado, seleccione su nombre y haga click en el botón Edit. Para crear una nueva, haga
click en el botón New.
Aparecerá la caja de diálogo Phase2 Proposal.
6 Escriba el nombre de la nueva propuesta.
Guía del Usuario 247

Haciendo un Túnel Manual
7 De la lista desplegable Type, seleccione ESP o AH como el método de propuesta.
ESP es autenticación con encriptación. AH es sólo autenticación. La autenticación ESP tampoco incluye el encabezamiento
IP, mientras que AH sí lo hace. El uso de AH es poco común.
8 De la lista desplegable Au t h e nt i cat i o n,seleccione S H A 1, M D 5 o No n e como método de aute nt i ca c i ó n .
9 (Sólo para ESP) De la lista desplegable Encryption seleccione el método de encriptación.
Las opciones son DES, 3DES y AES 128, 192, o 256 bit, que aparecen en la lista ordenadas desde la más simple y menos
segura hasta la más compleja y más segura.
10 Puede crear una clave de expiración luego de una cantidad de tiempo o de tráfico. Para habilitarla, elija
la caja de chequeo Force Key Expiration.
11 Ingrese la cantidad de tiempo y el número de bytes luego del cual desea que la clave expire.
12 Haga click en OK para cerrar la caja de diálogo Phase2 Proposal.
13 Seleccione la caja de chequeo PFS para habilitar Perfect Forward Secrecy (PFS). Si lo hace, elija el grupo
Diffie-Hellman.
Perfect Forward Secrecy ofrece más protección para las claves creadas en una sesión. Las claves hechas con PFS no se
crean a partir de una clave previa. Si una clave previa queda comprometida durante una sesión, su nueva clave de sesión
será segura. El grupo 1 de Diffie- Hellman usa un grupo de 768-bit para crear el cambio de clave nueva, mientras que el
grupo 2 utiliza un grupo de 1024-bit.
14 Haga click en Advanced para configurar las definiciones avanzadas. Use la caja de diálogo Phase2
Advanced Settings para configurar el túnel para usar política Any o para escribir la dirección. Haga
click en OK cuando termine.
Si no se selecciona “Use Any for Service”, se crea una asociación de seguridad (SA) para cada conjunto de pares de protocolos
de puerto definidos en cada política utilizada. Esto crea un túnel VPN diferente para cada política. Si no se selecciona
“Use Any for Address”, se crea una SA (Security Association) basada en las rutas del túnel (los pares remoto-local).
248 WatchGuard System Manager

Haciendo un Túnel Manual
15 En el bloque Addresses de la caja de diálogo New Tunnel, haga click en Add para agregar el par de
direcciones que usa el túnel.
Aparecerá la caja de diálogo Local-Remote Pair Settings.
16 De la lista desplegable Local, seleccione la dirección local que desee.
También se puede hacer click sobre el botón adyacente a la lista desplegable Local para usar una dirección de IP, una dirección
de red o un rango de direcciones IP.
17 En la caja Remote, escriba la dirección de la red remota. Haga click en el botón adyacente a la caja
Remote para abrir la caja de diálogo Add Address.
18 De la lista desplegable Choose Type, seleccione el tipo de dirección que quiere usar. Elija Host IP (una
dirección IP), Network IP (una dirección IP de red con la máscara en notación de barra oblícua) o Host
Range (un rango de direcciones IP).
19 En la caja de texto Value, tipee una dirección IP o una dirección de red.
20 Haga click en OK.
Se cerrará el cuadro de diálogo Add Address.
21 De la lista desplegable Direction, seleccione la dirección para el túnel. Ésta decide cuál de los endpoints
del túnel VPN puede iniciar una conexión de VPN a través del túnel.
22 Usted puede hablitar NAT para el túnel. Seleccione la casilla de verificación 1:1 NAT o la DNAT.
Las opciones que usted puede elegir para NAT son diferentes para distintos tipos de dirección y para las distintas direcciones
de túnel. Para NAT 1:1, tipee la dirección a cambiar con NAT en el campo. También está disponible a través de la VPN
NAT dinámica. Debe definir un túnel unidireccional de LAN1 a LAN2 en el cual usted desea que todos los servidores en
LAN1 se conecten a los servidores de LAN2, pero que aparezcan como una sola dirección en LAN 2. Para información sobre
cómo hacer esto, vea “Configurando NAT dinámica saliente a través de un túnel BOVPN”.
23 Luego de configurar el par, haga click en OK.
24 Cuando complete la configuración del túnel, haga click en OK.
Editando y borrando un túnel
Para cambiar un túnel, seleccione VPN > Branch Office Tunnels. O haga doble click con el botón derecho
del mouse en la pestaña Branch Office VPN de Policy Manager y elija Tunnel Property.
1 Seleccione el túnel y haga click en Edit.
Aparecerá la caja de diálogo Edit Tunnel.
Guía del Usuario 249

Creando una Política de Túnel
2 Haga los cambios y haga click en OK.
Para borrar un túnel desde la caja de diálogo Branch Office IPSec Tunnels, elija el túnel y haga click
en Remove.
Creando una Política de Túnel
Las políticas de túnel son conjuntos de reglas que aplican a las conexiones de túnel.
Por defecto, la política “Any” se genera cuando se crea un túnel VPN. Esta política permite que todo el tráfico
use ese túnel. Es posible borrar esta política. Por lo tanto, usted puede crear una política VPN personalizada
para permitir puertos especificos o utilizar una proxy.
1 Desde Policy Manager, haga click en la pestaña Branch Office VPN.
2 Del menú Show, seleccione el túnel al cual quiere agregarle políticas.
3 Haga click con el botón derecho del mouse en Policy Manager y elija Add Policy.
Si usted no tiene seleccionado un túnel BOVPN desde el menú Show, aparecerá una caja de diálogo con un prompt para
que pueda elegirlo. Elija el túnel y haga click en OK.
4 Configure las políticas. Para más información, vea “Creando políticas para su red”.
La información de dirección para políticas BOVPN es diferente de las políticas de Firebox estándares. Configure las direcciones
con la caja de diálogo Local-Remote Pairs.
Permita conexiones VPN para políticas específicas
Para permitir que el tráfico pase por las conexiones VPN sólo para políticas específicas, agregue y configure
cada política. Puede ser necesario borrar la política “Any” para crear las restricciones necesarias.
Configurando NAT Dinámica Saliente a Través de un Túnel BOVPN
Usted puede usar NAT dinámica a través de túneles BOVPN. NAT dinámica actúa como NAT unidireccional
y mantiene el túnel VPN abierto sólo en una dirección. Esto puede ser útil cuando usted crea una BOVPN
hacia un sitio remoto donde todo el tráfico VPN viene de una dirección IP pública.
Por ejemplo, suponga que necesita crear un túnel BOVPN para un asociado de negocios, por lo que puede
acceder al servidor de bases de datos de éste, pero usted no desea que esa compañía acceda, a su vez, a
ninguno de sus recursos. Su asociado de negocios quiere permitirle el acceso, pero sólo desde una dirección
de IP simple para poder monitorear la conexión.
Usted debe tener la dirección IP externa y la dirección de red confiable para cada endpoint de la VPN para
completar ese procedimiento.
1 Desde el Policy Manager de su sitio, elija VPN > Branch Office Tunnels. Seleccione Add para agregar
un nuevo túnel BOVPN.
2 Déle un nombre a ese túnel.
3 Seleccione el ícono New Phase 2 Proposal (el botón más a la derecha en el campo Gateway).
Aparecerá la caja de diálogo New Gateway.
4 Cree un nuevo gateway, según como se describió al principio del paso 3 de “Agregando un gateway”.
5 Haga click en OK para regresar a la caja de diálogo New Tunnel.
6 Haga click en Advanced. Limpie todas las casillas de verificación. Haga click en OK.
Si usted no cambia estos parámetros en Phase 2 Advanced Settings, su túnel BOVPN no negociará correctamente. Sin
este cambio, el segundo endpoint de la VPN buscará la red confiable del primer endpoint, en lugar de su intefaz externa
luego de que usted habilitara NAT dinámica.
250 WatchGuard System Manager

Configurando NAT Dinámica Saliente a Través de un Túnel BOVPN
7 Haga click en Add para agregar una política de túnel. Use el procedimiento que comienza con “De la lista
desplegable Local”, descripto anteriormente. Asegúrese de elegir la caja de chequeo DNAT.
8 Haga click en OK. Guarde estos cambios en el Firebox®.
9 Desde Policy Manager en el sitio remoto, elija VPN > Branch Office Tunnels. Seleccione Add para
agregar un nuevo túnel BOVPN.
10 Repita los pasos 2 a 8 en el sitio remoto, pero no seleccione la caja de chequeo DNAT.
Cuando el Firebox en el sitio remoto se reinicie, los dos dispositivos Firebox negociarán un túnel VPN. Su
Firebox aplicará NAT dinámica para todo el tráfico destinado a la red confiable en el sitio remoto. Cuando
este tráfico alcance el sitio remoto, llegará como tráfico originado en su interfaz externa.
Guía del Usuario 251

Configurando NAT Dinámica Saliente a Través de un Túnel BOVPN
252 WatchGuard System Manager

CA P Í T U LO 21
Administrando Firebox X Edge y
F i rebox SOHO
WatchGuard® System Manager incluye un número de características, especialmente para la administración
del dispositivo Firebox® X Edge. Usted puede administrar fácilmente muchos dispositivos Firebox X Edge,
hacer cambios a las políticas de seguridad para más de un dispositivo Firebox X Edge al mismo tiempo y
aún así poseer control individual sobre la configuración de cada dispositivo Firebox X Edge. Con
Management Server, usted puede:
• Crear plantillas de configuración de Edge (Edge Configuration Templates) para un grupo de dispositivos
Firebox X Edge. Cree una plantilla de configuración en el Management Server e instálela sobre
muchos dispositivos Firebox X Edge. Para hacerlo, seleccione una Edge Configuration Template de la
lista, o arrastre los dispositivos Firebox X Edge sobre la plantilla. Si usted realiza un cambio a la política,
ésta automáticamente se actualiza en todos los dispositivos Firebox X Edge suscriptos.
• Administrar los parámetros de la red para un grupo de dispositivos Firebox X Edge, todo desde
WatchGuard System Manager.
• Configurar dispositivos Firebox X Edge por defecto con el asistente Quick Setup Wizard y prepararlos
para la administración con Management Server. Puede luego importar los dispositivos al Management
Server en un solo paso.
• Ver los parámetros para más de un dispositivo Firebox X Edge en un diseño simple y cambiarlos con
facilidad.
• Ver todos los túneles VPN para un Firebox X Edge.
• Administrar las actualizaciones de firmware de Firebox X Edge. Pueden programarse e instalarse las
actualizaciones de firmware con el Management Server.
También es posible administrar dispositivos SOHO 6 y SOHO 5 desde WatchGuard System Manager. No
puede crear plantillas de configuración para el Firebox SOHO ni editar la configuración de red con
WatchGuard System Manager. Sí puede:
• Ver los parámetros para un grupo de dispositivos Firebox SOHO en un diseño simple.
• Ver todos los túneles VPN para un Firebox SOHO.
Nota
Este capítulo describe cómo usar WatchGuard System Manager para administrar dispositivos
Firebox X Edge. Para información detallada sobre la configuración del Firebox X, vea Guía del
Usuario de Firebox X.
Guía del Usuario 253

Trabajando con Dispositivos Sobre un Management Server
Trabajando con Dispositivos Sobre un Management Server
Usted puede utilizar WatchGuard® System Manager con un WatchGuard Management Server para configurar
y administrar muchos dispositivos Firebox® X Edge y para administrar muchos dispositivos Firebox
SOHO.
Cada Firebox X Edge y SOHO debe ser configurado para su administración por el Management Server.
Entonces, usted debe insertar (Insert) o importar (Import) los dispositivos al Management Server.
Usted puede Importar uno o más dispositivos Firebox X Edge que ya hayan sido configurados con el Quick
Setup Wizard dentro del Management Server. Éste es el procedimiento más rápido para agregar un grupo
de dispositivos Firebox X Edge al Management Server.
También puede Insertar un dispositivo Firebox X Edge que ya haya sido configurado o instalado usando el
Asistente Add Device. Debe configurar valores para identificar el dispositivo para el Management Server.
Es posible insertar sólo un dispositivo por vez.
• Para un dispositivo Firebox X Edge nuevo que tenga la configuración por defecto de fábrica, configúrelo
con el procedimiento “Preparando un Firebox X Edge nuevo o con configuración de fábrica para
administración” y luego importe el dispositivo con el procedimiento “Importando dispositivos
Firebox X Edge a un Management Server”.
• Para un Firebox X Edge que ya está instalado, configure el dispositivo para administración con el procedimiento
“Preparando un Firebox X Edge instalado para administración” e inserte el dispositivo en
el Management Server usando el procedimiento “Agregando dispositivos Firebox X Edge y SOHO 6 a
un Management Server”.
Luego de configurar un Firebox X Edge para ser administrado por un Management Server, debe reiniciarlo
a su configuración de fábrica, para llevarlo a su estado original.
Nota
El Management Server se conecta a los dispositivos Firebox X Edge administrados sobre el puerto
TCP 4109. Asegúrese de tener una política que permita el tráfico desde dispositivos Edge administrados
sobre el puerto TCP 4109 en el gateway del Firebox, u otro firewall que proteja al Management
Server de Internet.
Preparando un Firebox X Edge nuevo o con configuración de fábrica para administración
Para preparar un Firebox X Edge nuevo o con configuración de fábrica para la administración con
Management Server, usted debe poder conectarlo físicamente a una interfaz Ethernet en su computadora.
Para preparar el Firebox X Edge:
1 Inicie WatchGuard System Manager y seleccione Tools > Quick Setup Wizard.
Arranca el Quick Setup Wizard.
2 Lea la página de bienvenida y haga click en Next.
3 Seleccione Firebox X Edge como tipo de Firebox y haga click en Next.
4 Conecte la interfaz de red de su computadora a cualquier puerto LAN en el Firebox X Edge y haga click
en Next.
Use uno de los cables verdes de Ethernet incluidos con Firebox X Edge (si no hay cables verdes, pruebe
con el cable rojo). Busque a la derecha del panel frontal del Edge, donde hay un número correspondiente
al número de puerto Ethernet al que usted conectó el cable en la parte trasera del Edge. Si se
enciende la luz, es porque hay una buena conexión física. Si se mantiene apagada, utilice un cable diferente.
Es posible que el cable esté mal o que sea un cable cruzado. En general, se requiere un cable de
Ethernet plano, pero lo importante es que usted vea que la luz se encienda.
5 Use las instrucciones en las subsecuentes páginas del asistente para iniciar Firebox X Edge en modo
seguro (Safe Mode).
6 Use las instrucciones en la página del Asistente y haga click en Next.
254 WatchGuard System Manager

Trabajando con Dispositivos Sobre un Management Server
7 Use las instrucciones de las páginas Wait for the Firebox y The Wizard found this Firebox. Haga click
en Next luego de cada página.
8 Acepte el acuerdo de licencia (License Agreement) y haga click en Next.
9 Configure la interfaz externa (WAN 1) en el Firebox X Edge. Seleccione DHCP, PPPoE o Static IP
addressing y haga click en Next (para información detallada sobre cómo configurar las interfaces Edge,
vea la Guía del Usuario de Firebox X Edge).
10 Haga click en Next luego de configurar la interfaz.
11 Configure la interfaz interna de Edge y haga click en Next.
12 Cree una passphrase de estado y una passphrase de configuración para su Edge y haga click en Next.
Debe escribir cada passphrase dos veces. Ésta es la passphrase utilizada por el WatchGuard System Manager para conectar
y configurar el dispositivo.
13 Escriba un nombre de usuario y una passphrase para el dispositivo y haga click en Next.
Debe escribir la passphrase dos veces. Este es el nombre de usuario y la passphrase que usted puede usar para conectar y
configurar el dispositivo con un navegador web.
14 Seleccione los parámetros de zona horaria y haga click en Next.
15 Configure los parámetros de Management Server. Escriba la dirección de IP del gateway del Firebox que
protege el Management Server, el nombre para identificar al Firebox en la interfaz del Management
Server y la clave compartida. Haga click en Next.
La clave compartida es usada por el Management Server para crear túneles VPN entre Fireboxes. No tiene que recordar
esta clave.
16 Revise la configuración del Edge y haga click en Next.
17 Para configurar otro Edge, seleccione la casilla de verificación. Haga click en Finish.
Si usted elige esta casilla de verificación, el Asistente Quick Setup llena los campos con los mismos valores
que hay en esta configuración, de forma que usted pueda configurar con facilidad dispositivos Edge
similares.
Importando dispositivos Firebox X Edge a un Management Server
Los dispositivos Firebox X Edge configurados con el Asistente Quick Setup pueden ser importados a un
Management Server.
1 Inicie WatchGuard System Manager y conecte el Management Server para el cual configuró los dispositivos
Edge.
2 Seleccione File > Import Device.
Aparecerá la caja de diálogo Import Device.
3 Seleccione las casillas de verificación frente a cada Edge que desee importar. Haga click en Import.
Los dispositivos Firebox X Edge son importados al Management Server y aparecen en la carpeta Imported
Devices folder del Management Server.
Preparando un Firebox X Edge instalado para administración
1 Inicie su navegador Web. Escriba la dirección de IP del Firebox X Edge.
2 Escriba un nombre de usuario y una passphrase para iniciar la sesión en el Edge, si es solicitado.
Guía del Usuario 255

Trabajando con Dispositivos Sobre un Management Server
3 Haga click en Administration. Haga click en WSM Access.
Aparecerá la página WatchGuard Management.
4 Seleccione la casilla de verificación Enable Remote Management.
5 De la lista desplegable Management Type, seleccione WatchGuard Management System.
6 Escriba la passphrase de estado para WatchGuard Management. Vuelva a escribirla para confirmarla.
Ésta es la passphrase que ha creado y que WatchGuard Management Server usa para conectarse con este dispositivo en
el modo de sólo lectura.
7 Escriba la passphrase de configuración para WatchGuard Management. Vuelva a escribirla para
confirmarla.
Ésta es la passphrase que ha creado y que WatchGuard Management Server usa para configurar este dispositivo.
8 (Opcional, pero recomendado) Escriba la dirección del Management Server. Esta es la dirección IP
pública del Firebox del cual el Management Server está detrás.
Si no escribe la dirección del Management Server, la conexión entre el Firebox X Edge y el Management Server puede
iniciarse desde el Management Server.
9 (Opcional) Escriba el nombre de cliente.
Éste es el nombre que el Management Server usa para identificar al Edge.
10 (Opcional) Escriba la clave compartida si es que existe alguna configurada.
11 Haga click en Submit.
El Edge está configurado para administración para el Management Server.
Preparando un Firebox SOHO 6 para administración
1 Inicie su navegador Web. Escriba la dirección IP del SOHO 6.
2 Escriba el nombre de usuario y la passphrase para iniciar sesión en el SOHO 6, si es requerida.
256 WatchGuard System Manager

Trabajando con Dispositivos Sobre un Management Server
3 Debajo de Administration, haga click en VPN Manager Access.
Aparecerá la página VPN Manager Access.
4 Seleccione la casilla de verificación Enable VPN Manager Access.
5 Escriba la passphrase de estado para el acceso a VPN Manager. Vuelva a escribirla para confirmar.
6 Escriba la passphrase de configuración para el acceso a VPN Manager. Vuelva a escribirla para confirmar.
7 Haga click en Submit.
El SOHO 6 está configurado para administración para el Management Server.
Agregando dispositivos Firebox X Edge y SOHO 6 a un Management Server
1 En el WatchGuard System Manager, conéctese al Management Server.
Seleccione File > Connect to Server o elija la pestaña Device Status o Device Management, haga click con el botón derecho
del mouse y seleccione Connect to > Server.
2 Haga click en la pestaña Device Management.
3 Expanda la carpeta Devices.
Se ven todos los dispositivos administrados por este Management Server.
4 Seleccione Edit > Insert Device o haga click con el botón derecho del mouse en el cuadro de la izquierda
de esta ventana y elija Insert Device.
Se inicia el Asistente Add Device. Haga click en Next para ver la primera pantalla de configuración.
5 Escriba un nombre para mostrar (display name) para este dispositivo.
Este nombre no puede incluir espacios ni signos de puntuación.
Guía del Usuario 257

Trabajando con Dispositivos Sobre un Management Server
6 De la lista desplegable Device Type, seleccione el modelo de Firebox.
7 Para dispositivos que no usan una dirección IP dinámica, escriba la dirección de IP o el nombre del
host. Para los que sí usan una dirección IP dinámica, escriba el nombre del cliente de DNS dinámica.
8 Escriba la passphrase de estado. Ésta es la passphrase de estado para el Firebox X Edge o SOHO 6 que
usted definió cuando configuró el acceso a VPN Manager o a WatchGuard Management.
9 Escriba la passphrase de configuración. Ésta es la passphrase de configuración para el Firebox X Edge o
SOHO 6 que usted definió cuando configuró el acceso a VPN Manager o a WatchGuard Management.
10 Si el Firebox X Edge o SOHO 6 usa una dirección de IP dinámica, escriba el secreto compartido del
cliente de DNS dinámica.
11 Haga click en Next.
Aparece la pantalla Configure WINS and DNS.
12 Escriba las direcciones primaria y secundaria para los servidores WINS y DNS que usa este dispositivo, si
existen.
13 Escriba el nombre de dominio de este dispositivo, si hay alguno. Haga click en Next.
Aparece la pantalla Provide Contact Information.
258 WatchGuard System Manager

Planificando las Actualizaciones de Firmware de Firebox X Edge
14 Usted puede elegir un registro de contacto existente para este dispositivo o hacer click en Add para
agregar un registro de contacto nuevo para este dispositivo. Para borrar un registro de contacto existente,
selecciónelo y haga click en Delete.
15 Haga click en Next. Aparece la pantalla Configure the Device. Haga click en Next sobre esta pantalla
para configurar el dispositivo con los nuevos parámetros de administración y agregarlo al Management
Server. Si el dispositivo ya es administrado por otro servidor o ya fue configurado para su administración
por este servidor, aparecerá una caja de diálogo de advertencia. Haga click en Yes para continuar.
No puede configurar dispositivos Firebox SOHO con un Management Server.
16 Haga click en Close para cerrar el asistente Add New Device.
Planificando las Actualizaciones del Firmware de Firebox X Edge
Los dispositivos Firebox® X Edge deben tener una actualización de firmware para operar con las características
avanzadas del Management Server. En el futuro, se requerirán más actualizaciones de firmware. Estas son
instaladas en el Management Server, que las carga en los dispositivos Edge. WatchGuard® System Manager
puede instalar las actualizaciones de firmware a un grupo de dispositivos Edge de manera sencilla. Usted
puede actualizar el firmware sobre grupos de dispositivos con una operación, ya sea inmediata o en un plan
preprogramado. Las actualizaciones de firmware se obtienen de LiveSecurity.
1 En la pestaña Device Management en WatchGuard System Manager, seleccione el Management Server.
Aparece la página de parámetros de Management Server.
Guía del Usuario 259

Planificando las Actualizaciones de Firmware de Firebox X Edge
2 Desplácese hacia abajo en la sección Firmware Update Status.
Si existe alguna actualización de software programada, aparecerá aquí.
3 Haga click en Schedule Firmware Update.
Se inicia el asistente Update Firmware.
4 Lea la pantalla de bienvenida y haga click en Next.
5 Seleccione el tipo de dispositivo de la lista y haga click en Next.
Nota
En esta versión de WatchGuard System Manager, el único tipo de dispositivo que puede seleccionar es
Firebox X Edge.
6 Seleccione la casilla de verificación frente a cada Firebox X Edge que desee actualizar. Haga click en
Next.
7 Seleccione la versión de firmware a usar. Haga click en Next.
Aparece la página Select the Time and Date.
8 Para actualizar el firmware de inmediato, seleccione Update firmware immediately. Para programar la
actualización para algún momento en el futuro, seleccione Schedule firmware update.
9 Si usted eligió Schedule firmware update, seleccione la fecha del campo Date y defina la hora con el
campo Time.
10 Haga click en Next.
11 Haga click en Next. Haga click en Close.
El firmware ha sido actualizado o programado, según su selección.
260 WatchGuard System Manager

Usando la Página de Administración del Firebox X Edge
Visualizando y eliminando actualizaciones de firmware
1 En la pestaña Device Management, haga click en Scheduled Firmware Updates, debajo de
Management Server.
Aparece la página Scheduled Firmware Updates.
Se ven todas las actualizaciones de firmware programadas, visualizadas por separado para cada dispositivo,
aún si más de uno está incluido en la misma actualización de firmware. Por esta razón, cuando usted seleccione
un dispositivo, todos los dispositivos incluidos en esa actualización de firmware también serán elegidos.
• Para borrar una actualización de firmware programada, haga click con el botón derecho en el dispositivo
y elija Remove task.
Todos los dispositivos en esa tarea de actualización de firmware se eliminan de la programación.
• Para agregar una actualización de firmware programada, haga click en Add.
Se iniciará el asistente Update Firmware.
Usando la Página de Administración del Firebox X Edge
Cuando el Firebox® X Edge es agregado al Management Server, usted puede usar su página de administración
para configurar parámetros en el dispositivo.
Visualizando la página de administración del Firebox X Edge
1 Expanda Devices en la pestaña Device Management de WatchGuard® System Manager.
Aparecerá una lista de dispositivos administrados.
Guía del Usuario 261

Usando la Página de Administración del Firebox X Edge
2 Seleccione un Firebox X Edge. Aparecerá la página de administración para el dispositivo.
Configurando las propiedades de administración del Firebox X Edge
1 En la página de administración del Firebox X Edge, haga click en Configure.
Aparece la caja de diálogo Device Properties.
262 WatchGuard System Manager

Usando la Página de Administración del Firebox X Edge
2 Configure las propiedades de administración del dispositivo. Para información sobre los campos individuales
en esta caja de diálogo, vea la Guía del Usuario de Firebox X Edge.
Actualizando el dispositivo
1 En la página de administración del Firebox X Edge, haga click en Update Device.
Aparece la caja de diálogo Update Device.
2 Puede utilizar esta caja de diálogo para obtener las políticas del dispositivo Firebox X Edge, reiniciar la
configuración del Management Server para el dispositivo y hacer expirar el contrato de administración.
También puede actualizar el certificado de Firebox y de CA, si ha cambiado.
3 Haga click en OK.
Agregando un recurso VPN
1 En la página de administración de Firebox X Edge, busque la sección VPN Resources.
Se muestran los recursos de VPN para el dispositivo.
Guía del Usuario 263

Usando la Página de Administración del Firebox X Edge
2 Haga click en Add.
3 Agregue, edite o elimine recursos VPN
Un recurso VPN es una dirección de IP o de red a la cual los usuarios de VPN pueden conectarse seguramente.
4 Haga click en OK.
Aparecerá el nuevo recurso VPN en la lista.
Iniciando las herramientas del Firebox X Edge
La página de administración le permite iniciar cuatro herramientas para la configuración y el monitoreo
del Firebox X Edge:
• Edge Web Manager. Puede usar Netscape 7.0 (o posterior), Internet Explorer 6.0 (o posterior), Mozilla
Firefox 1.0 o posterior o cualquier navegador equivalente.
• Firebox System Manager
• HostWatch
• Ping
Para iniciar cualquiera de estas herramientas, haga click en el vínculo hacia la misma en la sección Tools
de la página de administración de Firebox X Edge.
Agregando un túnel VPN al Firebox X Edge
La página de administración de Firebox X Edge muestra todos los túneles incluidos en el dispositivo en la
sección Tunnels. Usted puede agregar un túnel VPN en esta sección.
1 En la página de administración de Firebox X Edge, busque la sección VPN Tunnels.
Esta sección muestra todos los túneles para los cuales el dispositivo es un endpoint.
2 Haga click en Add para agregar un nuevo túnel VPN
Se inicia el asistente Add VPN. Configure la VPN según sus necesidades.
264 WatchGuard System Manager

Usando la página de administración del Firebox SOHO 6
Para más información sobre el Asistente Add VPN, vea el capítulo “Configurando túneles VPN administrados”.
Usando la sección de políticas del Firebox X Edge
Esta sección muestra la Edge Configuration Template a la cual este Firebox X Edge está suscripta. Usted
puede usar el vínculo Configure en esta sección para configurar Edge Configuration Template.
Usando la página de administración del Firebox SOHO 6
Cuando el Firebox® SOHO 6 es agregado al Management Server, usted puede usar la página de administración
para configurar parámetros en el dispositivo.
Visualizando la página de administración del Firebox SOHO 6
1 Expanda Devices en la pestaña Device Management del WatchGuard® System Manager.
Aparecerá una lista de dispositivos administrados.
2 Seleccione un Firebox SOHO 6. Aparecerá la página de administración para el dispositivo.
Guía del Usuario 265

Usando la página de administración del Firebox SOHO 6
Configurando las propiedades de administración del Firebox SOHO 6
1 En la página de administración del Firebox SOHO 6, haga click en Configure.
Aparece la caja de diálogo Device Properties.
2 Configure las propiedades de administración del dispositivo. Para información sobre los campos individuales
en esta caja de diálogo, vea la Guía del Usuario de Firebox SOHO.
Actualizando el dispositivo
1 En la página de administración del Firebox SOHO 6, haga click en Update Device.
Aparece la caja de diálogo Update Device.
2 Puede utilizar esta caja de diálogo para obtener las políticas del dispositivo Firebox SOHO 6, reiniciar la
configuración del Management Server para el dispositivo y hacer expirar el contrato de administración.
También puede actualizar el certificado del Firebox y de la CA, si ha cambiado.
3 Haga click en OK.
266 WatchGuard System Manager

Usando la página de administración del Firebox SOHO 6
Agregando un recurso VPN
1 En la página de administración del Firebox SOHO 6, busque la sección VPN Resources.
Se muestran los recursos de VPN para el dispositivo.
2 Haga click en Add.
3 Agregue, edite o elimine recursos VPN
Un recurso VPN es una dirección de IP o de red a la cual los usuarios de VPN pueden conectarse en forma segura.
4 Haga click en OK.
Aparecerá el nuevo recurso VPN en la lista.
Iniciando las herramientas del Firebox X SOHO 6
La página de administración le permite iniciar cuatro herramientas para la configuración y el monitoreo del
Firebox SOHO 6:
• Policy Manager (la página web de configuración del SOHO 6)
• Firebox System Manager
• HostWatch
• Ping
Para iniciar cualquiera de estas herramientas, haga click en el vínculo a la herramienta en la sección Tools de
la página de administración del Firebox SOHO 6.
Guía del Usuario 267

Creando y Aplicando Edge Configuration Templates
Agregando un túnel VPN al Firebox SOHO 6
La página de administración del Firebox SOHO 6 muestra todos los túneles incluidos en el dispositivo en la
sección Tunnels. Usted puede agregar un túnel VPN en esta sección.
1 En la página de administración del Firebox SOHO 6, busque la sección VPN Tunnels.
Esta sección muestra todos los túneles para los cuales el dispositivo es un endpoint.
2 Haga click en Add para agregar un nuevo túnel VPN.
Se inicia el asistente Add VPN. Configure la VPN según sus necesidades.
Creando y Aplicando Edge Configuration Templates
Cuando usted utiliza dispositivos Firebox® X Edge con WatchGuard® Management Server, usted puede
crear Edge Configuration Templates, o plantillas, en el Management Server. Luego puede aplicarlas a dispositivos
Edge. Con las Edge Configuration Templates, usted puede configurar fácilmente filtros de firewall
estándares, cambiar las listas de sitios bloqueados, modificar su configuración de WebBlocker o cambiar
otros parámetros de políticas para todos o algunos de sus dispositivos Edge administrados.
Nota
Las Edge Configuration Templates pueden ser usadas sólo en un Firebox X Edge. Cada Edge puede tener
sólo una Edge Configuration Template. Un Edge debe tener la versión 7.5 o posterior de firmware para
usar Edge Configuration Templates.
Us ted puede hacer cambios a la Edge Co n f i g u ration Te m p l ate o a la lista de dispo s i t i vos a los cuales esa
po l í t i ca ha sido aplicada en cualquier momento. El Ma n a g e m e nt Se rver hace los cambios auto m á t i ca m e nte.
1 Inicie WatchGuard System Manager y conéctese al Management Server.
2 Haga click en la pestaña Device Management.
Usted puede expandir la lista de Edge Configuration Templates para ver cualquier plantilla que haya sido creada. Si no se
generó ninguna, la lista se verá vacía.
268 WatchGuard System Manager

Creando y Aplicando Edge Configuration Templates
3 Haga click con el botón derecho del mouse y elija Insert Edge Configuration Template.
4 Escriba el nombre de la política.
5 Para configurar la política, haga click en cada categoría de parámetros en el panel de la izquierda de la
caja de diálogo y escriba la información en los campos que aparecen. Las categorías son:
- Firewall Policies (políticas de firewall)
- Firewall Options (opciones de firewall)
- Blocked Sites (sitios bloqueados)
- Logging (registro de log)
- WebBlocker.
Para información sobre los campos que aparecen, vea la Guía del Usuario de Firebox X Edge.
6 Haga click en OK para cerrar la configuración de Edge Configuration Template.
La política se guarda en el Management Server y se envía una actualización a todos los Firebox X Edge a los cuales esta
política aplique.
Agregando una política predefinida con el Asistente Add Policy
1 De la pestaña Device Management, haga click con el botón derecho en Edge Configuration Templates
y seleccione Insert Edge Configuration Template. Elija Firewall Policies y haga click en Add. Se iniciará
el asistente Add Policy.
Guía del Usuario 269

Creando y Aplicando Edge Configuration Templates
2 Aparece la página de bienvenida. Haga click en Next.
Aparece la página Select a policy type.
3 Para usar una política predefinida, elija Choose a pre-defined policy from this list y seleccione la política
a usar de la lista.
4 Haga click en Next.
5 Si usted usa una política predefinida, seleccione la dirección del tráfico.
6 Seleccione denegar o permitir el tráfico para esta política y dirección.
Agregando una política personalizada con el asistente Add Policy
1 Inicie el asistente Add Policy. Para hacerlo, en la página Firewall Policies, haga click en Add en la caja de
diálogo Edge Configuration.
2 Aparece la página de bienvenida. Haga click en Next.
3 Para crear y usar una política personalizada, seleccione Create and use a new custom policy.
4 Haga click en Next.
Aparecerá la página Specify Protocols.
270 WatchGuard System Manager

Creando y Aplicando Edge Configuration Templates
5 Escriba un nombre para el protocolo.
6 Para agregar un protocolo, haga click en Add.
Aparece la caja de diálogo Add protocol.
7 Seleccione para filtrar el tipo de protocolo: TCP, UDP, o IP.
8 Seleccione un puerto o un rango de puertos.
9 Escriba el o los números de puerto, o el número de protocolo IP. Haga click en OK para agregar el
protocolo.
10 Seleccione la dirección del tráfico: Incoming, Outgoing u Optional.
11 Haga click en Add para agregar otro protocolo. Haga click en Next cuando todos los protocolos para
esta política hayan sido agregados.
12 Seleccione Allow o Deny para la acción de filtrado.
Si se elige Allow, agregue los destinos From y To tal como se requiere.
13 Haga click en Next.
14 Haga click en Finish para finalizar el Asistente y volver a la caja de diálogo Edge Configuration.
Clonando una Edge Configuration Template
Clonar o copiar una plantilla es útil cuando usted tiene dispositivos que utilizan configuraciones similares,
con pequeñas variaciones. Usted puede hacer una configuración Edge Configuration Template y luego clonar
esta política para cada variación, haciendo los cambios necesarios sobre las plantillas clonadas.
1 Expanda Edge Configuration Templates en el panel Device Management.
2 Haga click con el botón derecho en la Edge Configuration Template a ser clonada, y seleccione Clone.
Aparecerá una copia de la Edge Configuration Template en la lista.
3 Edite la política clonada.
Aplicando una Edge Configuration Template a los dispositivos
Usted puede aplicar la misma Edge Configuration Template a un Firebox X Edge o a un grupo de dispositivos
Edge al mismo tiempo. No puede aplicar más de una Edge Configuration Template a un Edge.
Aplicando la política usando arrastrar y soltar
Usted puede agregar una Edge Configuration Template a un Firebox X Edge mediante arrastrar y soltar.
Haga click en el dispositivo Edge en la lista Devices. Arrastre un Edge sobre la Edge Configuration Template
en la lista de Edge Configuration Templates y suéltelo sobre la política. La política se agregará al Edge.
Si tiene una carpeta de dispositivos, usted puede arrastrar la carpeta sobre la Edge Configuration Template
para aplicarla a todos los dispositivos Edge que estén en la carpeta. Todos los otros dispositivos serán salteados.
Guía del Usuario 271

Creando y Aplicando Edge Configuration Templates
Aplicando la política a dispositivos en la lista de dispositivos
1 En la pestaña Device Management de WatchGuard System Manager, expanda la lista de Edge
Configuration Templates.
2 Seleccione la política para agregar al dispositivo.
La configuración de la política aparecerá en el marco derecho de la ventana.
3 Haga click en el enlace Configure debajo de la sección Devices.
Aparecerá la Manage Devices List.
272 WatchGuard System Manager

Administrando los Parámetros de Red del Firebox X Edge
4 Haga click en Add para agregar un dispositivo a la lista.
Aparecerá la caja de diálogo Select Device.
5 Seleccione un Firebox X Edge de la lista desplegable.
6 Haga click OK. Haga click en OK nuevamente.
Los dispositivos administrados seleccionados quedarán suscriptos a la Edge Configuration Template.
Administrando los Parámetros de Red del Firebox X Edge
Con WatchGuard® Management Server usted puede configurar los parámetros de red para un grupo de
equipos Firebox® X Edge, usando WatchGuard System Manager. Puede utilizar WatchGuard System Manager
para configurar parámetros de red individuales para cada Firebox X Edge. Si los parámetros de red para un
Edge ya son correctos, no tiene que cambiarlos con WatchGuard System Manager, pero puede hacerlo si lo
desea.
Nota
Todos los parámetros de red de Firebox X Edge pueden ser configurados utilizando la interfaz web del Edge.
Para información detallada sobre estas opciones de configuración, vea la Guía del Usuario de Firebox X
Edge.
1 Haga click en la pestaña Device Management del WatchGuard System Manager.
2 Expanda Devices y haga click sobre el Firebox X Edge.
En el panel derecho aparecerá la configuración del Edge.
Guía del Usuario 273

Administrando los Parámetros de Red del Firebox X Edge
3 Debajo de Network Settings, haga click en Configure. Si ve una advertencia, haga click en OK.
Aparecerá la caja de diálogo Edge Network Settings.
274 WatchGuard System Manager

Usando Alias
4 Para configurar los parámetros de red, haga click en cada categoría en el panel izquierdo de la caja de
diálogo y provea información en los campos que aparezcan. Las categorías son:
- External (eth0)
- Trusted (eth1)
- Optional (eth2)
- WAN Failover
- Dynamic DNS
- Routes
- Aliases (para más información sobre alias, vea la sección siguiente,“Usando alias”)
- Time Zone
- Users
- Groups
- Trusted Hosts
Para información sobre los campos que aparecen, vea Guía del Usuario de Firebox X Edge.
5 Haga click en OK para completar la configuración.
Usando alias
Los alias son utilizados en el Firebox® X Edge para definir un destino común para configuración de políticas
sobre el Management Server. Por ejemplo, con un alias, usted puede crear una Edge Configuration Template
para e-mail y definir esa política para que opere con su servidor de correo electrónico. Como éste puede
tener una dirección diferente en cada red Firebox X Edge, usted crea un alias en el Management Server llamado
MailServer. Cuando usted crea la Edge Configuration Template para el servidor de correo electrónico,
usa este alias como destino. Entonces, usted define el alias tanto como origen como destino, dependiendo
de la dirección de la política. En el ejemplo, usted puede configurar una política entrante SMPT Allow, con
MailServer como destino.
Para hacer que la Edge Configuration Template opere correctamente sobre dispositivos Edge que usen esta
política, usted debe configurar el alias MailServer en Network Settings para cada Firebox X Edge.
La configuración de alias se hace en dos pasos:
• Nombramiento del alias en el Management Server
• Definición de la IP del alias en el Firebox X Edge
Guía del Usuario 275

Usando Alias
Nombramiento del alias en el Management Server
1 En la pestaña Device Management en WatchGuard® System Manager, seleccione el Management
Server.
Aparece la página de parámetros de Management Server.
2 Haga click en Manage Aliases.
Aparece la caja de diálogo Aliases.
3 Seleccione un alias y haga click en Edit para editar su nombre.
4 Escriba un nombre para el alias y haga click en OK.
5 Repita este procedimiento para todos los alias que usted deba definir.
6 Haga click en OK cuando todos los alias hayan sido configurados.
276 WatchGuard System Manager

Usando Alias
Definiendo alias en el Firebox X Edge
1 En la pestaña Device Management de WatchGuard System Manager, seleccione el Firebox X Edge.
Aparece la página de parámetros de Management Server.
2 Haga click en Configure, debajo de la sección Network Settings.
Aparece la caja de diálogo Network Settings.
Guía del Usuario 277

Usando Alias
3 Haga click en Aliases.
Aparecen los alias. Aquellos que haya nombrado en el Management Server aparecerán con sus nombres en esta caja de
diálogo.
4 Seleccione un alias para definir y haga click en Edit.
Aparece la caja de diálogo Local Alias Setting.
5 Escriba la dirección IP para el alias local en la red de este Firebox X Edge. Haga click en OK.
6 Repita este procedimiento para cada alias a definir.
7 Haga click en OK cuando todos los alias hayan sido definidos.
278 WatchGuard System Manager

CA P Í T U LO 22
Configurando RUVPN con PPTP
La Red Privada Virtual con Usuario remoto (RUVPN) utiliza Protocolos de tunelamiento Punto a Punto (PPTP)
para establecer una conexión segura. Soporta hasta 50 usuarios al mismo tiempo para cada Firebox®. Los
usuarios RUVPN pueden autenticarse ante el Firebox o ante el servidor de autenticación RADIUS. El Firebox y
las computadoras hosts remotas del usuario remoto deben configurarse.
Lista de Chequeo de la Configuración
Antes de configurar el Firebox® para usar RUVPN, tome nota de esta información:
• Las direcciones IP del cliente remoto que se usarán en las sesiones RUVPN. Estas direcciones IP no
pueden ser direcciones que ya utilice la red detrás del Firebox. El procedimiento más seguro para
asignar direcciones a los usuarios RUVPN es instalar una red secundaria “placeholder” con un rango de
direcciones IP. Luego, seleccionar una dirección IP entre las de dicho rango. Por ejemplo, cree una
subred como red secundaria de su red confiable 10.10.0.0/24. Seleccione las direcciones IP en esta
subred para su rango de direcciones PPTP. Para mayor información, vea “Direccionamiento IP” en el
Cap. 18.
• Las direcciones IP de los servidores DNS y WINS, que resuelven los nombres de hosts a direcciones IP.
• Los nombres de usuarios y passphrases de los usuarios que tienen permiso de conectarse al Firebox
con RUVPN.
Niveles de encriptación
Para las RUVPN con PPTP, se puede elegir usar encriptación de 128 bits o de 40 bits. Las versiones domésticas
de Windows XP en los Estados Unidos están habilitadas con encriptación de 128-bits. Se puede conseguir
de Microsoft un fuerte parche de encriptación para otras versiones de Windows. El Firebox siempre
intentará usar una conexión de 128 bits en primer lugar. Pero utiliza la encriptación de 40 bits (si está habilitada)
cuando el cliente no puede usar la conexión encriptada con 128 bits. Para más información acerca de
cómo habilitar el salto desde 128 bits hasta 40 bits, ver “Preparando la computadoras de los usuarios” en
éste capítulo. Si usted no vive en los Estados Unidos y debe poder disponer de fuerte encriptación en su
cuenta LiveSecurity Service, envíe un correo electrónico a supportid@watchguard.com donde figure:
• Su número clave de LiveSecurity Service,
• Fecha de compra,
• Nombre de su compañía.
Guía del Usuario 279

Configurando los Servidores WINS y DNS
• Dirección postal de su compañía
• Nombre y número de teléfono
• Dirección de correo electrónico.
Si usted vive en los Estados Unidos, debe descargar un fuerte software de encriptación de su página de
archivos en el sitio Web de LiveSecurity Service. Vaya a www.watchguard.com, haga click en Support,
i n g rese en su cuenta Live Se c u ri ty Se rv i ce y luego haga click en Latest So ftwa re. De s ca rgue el WatchGuard
System Manager con encriptación fuerte.
Luego, desinstale el WatchGuard System Manager e instale el software WatchGuard System Manager con
encriptación fuerte desde el archivo descargado.
Nota
Para que el Firebox conserve su configuración actual, no utilice el Quick Setup Wizard cuando instale
el nuevo software. Abra el System Manager, conéctese al Firebox y guarde su archivo de configuración.
Las configuraciones con diferentes versiones de encriptación son compatibles.
Configurando los Servidores WINS y DNS
Los clientes RUVPN usan direcciones de servidor compartidas Windows Internet Naming Service (WINS) y
Domain Name System (DNS). DNS transforma los nombres de host en direcciones IP, mientras que WINS
reemplaza nombres NetBIOS por direcciones IP. La interfaz confiable del Firebox® debe tener acceso a
estos servidores.
1 Desde el Policy Manager, haga click en Network > Configuration. Haga click en la pestaña WINS/DNS.
La información para servidores WINS y DNS aparecerá.
2 En las cajas de texto para direcciones IP, escriba las de los servidores WINS y DNS. Puede escribir tres
direcciones para servidores DNS y dos para servidores WINS. Escriba un nombre de dominio para el
servidor DNS.
280 WatchGuard System Manager

Activando RUVPN con PPTP
Activando RUVPN con PPTP
Para configurar RUVPN con PPTP se debe activar esta característica. RUVPN con PPTP añade el ícono de políticas
WatchGuard® PPTP al administrador de políticas Policy Manager. Esto establece propiedades por defecto
para las conexiones PPTP y para el tráfico que fluya desde y hacia ellas. Recomendamos no modificar las
propiedades por defecto de políticas WatchGuard PPTP.
1 Desde el Policy Manager, haga click en VPN > Remote Users. Haga click en la pestaña PPTP.
2 Seleccione la caja de verificación Activate Remote User
3 Si es necesario, seleccione la caja de verificación Enable Drop from 128-bit to 40-bit.
Usualmente, sólo los clientes de fuera de Estados Unidos usan esta caja de verificación.
Activando la autenticación extendida
RUVPN con autenticación extendida permite a los usuarios autenticarse ante un servidor de autenticación
RADIUS como alternativa al Firebox®. Para mayor información sobre autenticación extendida, vea
“Autenticación Extendida” en el capítulo 18.
1 Seleccione la casilla de verificación Use RADIUS Authentication to authenticate remote users; fíjese
en la figura de la sección anterior.
2 Configure el servidor RADIUS en la caja de diálogo Authentication Servers; consulte “Implementando
Autenticación”, en el capítulo 10.
3 En el servidor RADIUS, cree un grupo de usuarios PPTP y añada los nombres o grupos de usuarios PPTP.
Agregando Direcciones IP para las Sesiones RUVPN
RUVPN con PPTP soporta hasta 50 usuarios al mismo tiempo. El Firebox® da una dirección IP abierta a cada
usuario RUVPN entrante, entre un grupo de direcciones disponibles. Esto continúa hasta que todas las direcciones
estén en uso. Cuando un usuario cierra una sesión, la dirección vuelve a figurar entre las disponibles.
El usuario subsiguiente que entre al sistema obtiene esta dirección. Para más información sobre cómo obtener
direcciones IP para clientes RUVPN, ver “Direccionamiento IP” en el capítulo 18. Se deben configurar dos
o más direcciones IP de PPTP para operar correctamente. Desde la pestaña PPTP en la caja de diálogo
Remote Users Configuration:
1 Haga click en Add.
Aparecerá la caja de diálogo Add Address
Guía del Usuario 281

Agregando Nuevos Usuarios al PPTP_Users Authentication Group
2 Desde el menú desplegable Choose Type, elija Host IP (para una única dirección IP) o Host Range
(para un rango de direcciones IP).
Puede configurar 50 direcciones. Si selecciona Host IP, debe añadir al menos dos direcciones IP. Si selecciona Range y
añade un rango de direcciones IP mayor que 50 direcciones, RUVPN con PPTP usa las primeras direcciones en el rango.
3 En la caja de texto Value, escriba las direcciones de IP host. Si selecciona Host Range, escriba las
primeras direcciones en el rango. Haga click en OK.
Escriba las direcciones IP que no estén en uso y que el Firebox puede dar a los clientes durante las sesiones RUVPN con
PPTP. La dirección aparece en la lista de direcciones disponibles para clientes remotos.
4 Repita el procedimiento para configurar todas las direcciones a utilizar con RUVPN con PPTP.
Agregando Nuevos Usuarios al PPTP_Users Authentication Group
Para crear un tunel PPTP VPN con el Firebox®, un usuario remoto tipea su nombre de usuario y contraseña
para autenticarse. El software WatchGuard® System Manager usa esta información para autenticar al usuario
en el Firebox. Cuando se activa PPTP en la configuración del Firebox, se crea automáticamente un
grupo de usuarios por defecto. Este grupo de usuarios se llama pptp_users. Verá este nombre de grupo
cuando cree un nuevo usuario o añada nombres de usuario a las políticas.
Para más información sobre grupos Firebox, ver “Implementando Autenticación” en el capítulo 10.
1 Desde el Policy Maker, haga click en Setup > Authentication Servers.
Aparecerá la caja de diálogo Authentication Servers.
2 Haga click en la pestaña Firebox.
282 WatchGuard System Manager

Configurando Políticas para Permitir Tráfico Proveniente de RUVPN
3 Para añadir un nuevo usuario, haga click en el botón Add que está bajo la lista Users.
Aparecerá la caja de diálogo Setup Firebox User.
4 Escriba un nombre de usuario y una passphrases clave para el nuevo usuario. Escriba la passphrases
nuevamente para confirmarla. El nuevo usuario quedará puesto en la lista Users.
La caja de diálogo Authentication Servers permanecerá abierta para que pueda agregar más usuarios.
5 Para cerrar la caja de diálogo Authentication Servers, haga click en OK.
Puede utilizar los usuarios y grupos para configurar políticas. Vea la sección subsiguiente.
Configurando Políticas para Permitir Tráfico Proveniente de RUVPN
Los usuarios RUVPN no tienen acceso a privilegios a través del Firebox®. Se deben agregar nombres de
usuarios o el grupo completo de usuarios PPTP a las políticas para dar a los usuarios remotos acceso a determinados
recursos de la red. WatchGuard® recomienda dos procedimientos para configurar políticas de tráfico
RUVPN: por políticas individuales, o usando la política “Any” (cualquiera). Es mejor configurar políticas
individuales para controlar el tráfico RUVPN. Usar la política “Any” abre un agujero a través del Firebox para
los usuarios autenticados RUVPN. Esto permite todo el tráfico fluir entre hosts y no aplica reglas de firewall.
Es un riesgo de seguridad.
Por política individual
En el Policy Manager, haga doble click sobre una política para sus usuarios VPN. Es una buena idea crear una
nueva política especialmente para el tráfico PPTP y mantenerla separada de sus otras políticas de firewall.
Para configurar las propiedades:
Para una política entrante:
- Permitidos
- Desde: usuarios o grupos PPTP
- Hacia: confiables, opcionales, redes o direcciones IP o alias
Para una política saliente
- Permitidos
- Desde: confiables, opcionales, redes o direcciones IP o alias
Guía del Usuario 283

Preparando las Computadoras de los Usuarios
- Hacia: usuarios o grupos PPTP
Usando la política “Any” (cualquiera)
Añada políticas “Any” con estas propiedades:
Para una política entrante:
- Permitidos
- Desde: usuarios o grupos PPTP
- Hacia: confiables, opcionales, redes o direcciones IP o alias
Para una política saliente
- Permitidos
- Desde: confiables, opcionales, redes o direcciones IP o alias
- Hacia: usuarios o grupos PPTP
Asegúrese de guardar su archivo de configuración en el Firebox luego de hacer estos cambios.
Nota
Para usar WebBlocker para controlar el acceso de los usuarios remotos, añada usuarios o grupos PPTP a
una política proxy que controle WebBlocker, como HTTP-Proxy. Use este tipo de política con cualquier
filtro de paquetes o política de proxy como alternativa a la política “Any”.
Preparandos la Computadoras de los Usuarios
Primero se debe preparar cada computadora en uso como host remoto RUVPN con PPTP con acceso a
Internet. Luego, siga estos procedimientos utilizando las instrucciones de las secciones subsiguientes:
• Instale la versión necesaria de Microsoft Dial-Up Networking y los service packs que hagan falta.
• Prepare el sistema operativo para conexiones VPN
284 WatchGuard System Manager

Creando y Conectando un PPTP RUVPN Bajo Windows XP
• Instale un adaptador VPN (no es necesario para todos los sistemas operativos).
Instalando MSDUN y los Service Packs
Puede ser necesario instalar estas opciones para una correcta configuración de RUVPN:
• Actualizaciones de MSDUN (Microsoft Dial-Up Networking)
• Otras extensiones
• Service Packs
Para RUVPN con PPTP, es necesario instalar estas actualizaciones:
Encriptación Plataforma Aplicación
Básica Windows NT 40-bit SP4
Fuerte Windows NT 128-bit SP4
Básica Windows 2000 40-bit SP2*
Fuerte Windows 2000 128-bit SP2 *
* La encriptación de 40-bit es la que viene por defecto en
Windows 2000. Si se hace una actualización para Windows 98,
con encriptación fuerte, Windows 2000 configurará automáticamente
encriptación fuerte para la nueva instalación.
Para instalar estas actualizaciones o service packs, vaya al sitio web del Microsoft Download Center en:
http://www.microsoft.com/downloads/search.asp
Creando y Conectando un PPTP RUVPN Bajo Windows XP
Para preparar un host remoto Windows XP, debe configurar la conexión de la red. Desde el Escritorio de
Windows de la computadora cliente:
1 Haga click en Inicio > Panel de Control > Conexiones de Red.
El Asistente para Conexiones de Red aparecerá.
2 Haga click en Crear una nueva conexión desde el menú de la izquierda. Se iniciará el Asistente para
Nueva Conexión. Haga click en Siguiente.
3 Haga click en Conectar a la red de mi lugar de trabajo. Haga click en Siguiente.
4 Haga click en Conexión a Red Privada Virtual. Haga click en Siguiente.
5 Dé un nombre a la nueva conexión, como “Conectar con RUVPN”. Haga click en Siguiente.
6 Seleccione no discar (para una conexión de banda ancha), o discar automáticamente esta conexión (para
una conexión por módem). Haga click en Siguiente.
El Asistente incluye esta pantalla si usa Windows XP SP2. No todos los usuarios de Windows XP la ven.
7 Escriba el nombre del host o la dirección IP de la interfaz externa del Firebox®. Haga click en Siguiente.
8 Seleccione quién puede usar este perfil de conexión. Haga click en Siguiente.
9 Seleccione Añadir acceso directo para esta conexión en el escritorio. Haga click en Finalizar.
10 Para conectarse esta nueva conexión VPN, primero realizar una conexión a Internet mediante discado o
directamente a través de la LAN o WAN.
11 Haga doble click en el acceso directo en el escritorio para esta conexión.
O seleccione Panel de control > Conexiones de red y busque en la lista de la Red Privada Virtual la conexión creada.
Guía del Usuario 285

Creando y Conectando un PPTP RUVPN Bajo Windows 2000
12 Escriba el nombre de usuario y passphrases para la conexión.
Esta información fue provista cuando se añadió al usuario a pptp_users. Ver “Agregando nuevos usuarios al PPTP_Users
Authentication Group” en este capítulo.
13 Haga click en Conectar.
Creando y Conectando un PPTP RUVPN Bajo Windows 2000
Para preparar un host remoto con Windows 2000, debe configurar la conexión de red.
Desde el Escritorio de Windows de la computadora cliente:
1 Haga click en Inicio > Panel de Control > Conexiones de Red.
El Asistente para Conexiones de Red aparecerá.
2 Haga click en Siguiente.
3 Haga click en Conectar a la red de mi lugar de trabajo. Haga click en Siguiente.
4 Haga click en Conexión a Red Privada Virtual.
5 Dé un nombre a la nueva conexión, como “Conectar con RUVPN”. Haga click en Siguiente.
6 Seleccione no discar (para una conexión de banda ancha), o discar automáticamente esta conexión
(para una conexión por módem). Haga click en Siguiente.
7 Escriba el nombre del host o la dirección IP de la interfaz externa del Firebox®. Haga click en Siguiente.
8 Seleccione Añadir acceso directo para esta conexión en el escritorio. Haga click en Finalizar.
9 Para conectarse esta nueva conexión VPN, primero realizar una conexión a Internet mediante discado o
directamente a través de la LAN o WAN.
10 Haga doble click en el acceso directo en el escritorio para esta conexión.
O seleccione Panel de control > Conexiones de red y busque en la lista de la Red Privada Virtual la conexión creada.
11 Escriba el nombre de usuario y passphrases para la conexión.
Esta información fue provista cuando se añadió al usuario a pptp_users. Ver “Agregando nuevos usuarios al PPTP_Users
Authentication Group” en este capítulo.
12 Haga click en Conectar.
Corriendo RUVPN y accediendo a Internet
Se puede habilitar a usuarios remotos para acceder a Internet mediante un túnel RUVPN. Pero esta opción
tiene un efecto sobre la seguridad. Ver “Métodos de tunelamiento” en el capítulo 18.
1 Cuando co n f i g u re su co n exión en la co m p u t a d o ra cliente, use la caja de diálogo Co n f i g u ración ava n z a -
da TC P / I P p a ra seleccionar la caja de ve ri f i cación Usar puerta de enlace pre d e te rminada en la re d
re m o t a.Para abrir la caja de diálogo Advanced TCP/IP Settings en Windows XP o Windows 2000, haga
click derecho sobre la conexión VPN en Panel de Control > Conexiones de Red. Seleccione
Propiedades y haga click en la pestaña Red. Encuentre Protocolo Internet en el listado y haga click
en Propiedades. En la pestaña General, haga click en Avanzadas.
2 Asegúrese de que las direcciones IP añadidas al conjunto de direcciones PPTP estén incluidas en su
configuración dinámica NAT. Para asegurarse, seleccione Network > NAT en el Policy Manager.
3 Edite su configuración de políticas para permitir conexiones desde usuarios PPTP a través de la interfaz
externa. Si usa WebBlocker para controlas el acceso a la web por parte de usuarios remotos, añada
PPTP-Users a la política que controla WebBlocker (como por ejemplo HTTP-Proxy).
286 WatchGuard System Manager

Creando y Conectando un PPTP RUVPN Bajo Windows 2000
Haciendo conexiones salientes PPTP desde atrás de un Firebox
Si es necesario, se puede hacer una conexión PPTP a un Firebox desde atrás de un Firebox diferente. Por
ejemplo, un usuario remoto va a la oficina de un cliente que tiene un Firebox. Dicho usuario puede hacer
conexiones PPTP hacia la red de ellos con PPTP. Para que el Firebox local permita correctamente la conexión
PPTP saliente, hay que añadir la política PPTP y configurarla como “Any” y “External” PPTP. Para más información
sobre activación de políticas, ver el capítulo “Configurando políticas” en esta guía.
Guía del Usuario 287

Creando y Conectando un PPTP RUVPN Bajo Windows 2000
288 WatchGuard System Manager

CA P Í T U LO 23
C o n t rolando el Acceso a Sitios Web con
We b B l o c k e r
La funcionalidad WebBlocker del WatchGuard® Fireware® utiliza el proxy HTTP para controlar el tráfico de la
web. Se pueden elegir las horas exactas en que los usuarios tienen permitido navegar por Internet. También
se pueden seleccionar las categorías de sitios web a los que los usuarios no deben ir.
Instalando la Licencias de Software
Para instalar WebBlocker, hay que tener una clave de licencia de WebBlocker y registrarlo en el sitio web de
LiveSecurity. Una vez registrada esta clave de licencia, LiveSecurity dará una nueva clave o “Feature Key”.
Para instalar esta Feature Key:
1 Desde el Policy Manager, seleccione Setup > Licensed Features.
Aparecerá la caja de diálogo “Firebox License Keys”
2 Haga click en Remove para quitar la actual Feature Key.
Debe quitar la feature key completa antes de instalar la nueva que incluye WebBlocker.
3 Haga click en Add.
Guía del Usuario 289

Comenzando con WebBlocker
4 En la caja de diálogo Add Firebox License Key, escriba o pegue la clave de licencia. Luego puede
hacer click en Import para encontrarla en su computadora o red. Haga click en OK.
La clave de licencia aparecerá en la caja de diálogo de Firebox License Keys.
Comenzando con WebBlocker
Se puede instalar el Web Blocker Server en su estación de administración WatchGuard® la primera vez que
se configura el WatchGuard System Manager. También se puede instalar el software Web Blocker Server en
una computadora diferente. Para hacerlo, utilice el mismo método que usó para instalar el software
WatchGuard System Manager, pero seleccione sólo el componente Web Blocker Server.
Los sistemas operativos soportados por Web Blocker Server son Windows 2000 y Windows 2003.
Nota
Si instala uno de los servidores WSM en una computadora con un firewall personal distinto del de
Microsoft, puede abrir los puertos de los servidores para conectarse a través del firewall. Para permitir
conexiones al Web Blocker Server, abra el puerto UDP 5003. No es necesario cambiar su configuración
si usa el firewall de Microsoft Windows. Ver el capítulo 2 “Comenzando” para más información.
Antes de configurar WebBlocker, debe descargar la base de datos de WebBlocker.
1 Haga click derecho sobre el ícono del Web Blocker Server en la barra de tareas de la parte de abajo de
la pantalla.
2 Seleccione Get Full Database.
3 Seleccione Download para descargar la nueva base de datos.
Nota
La base de datos del WebBlocker tiene más de 95 MB de datos. Su velocidad de conexión establece
la velocidad de la descarga, y éste puede demorar más de 30 minutos. Asegúrese de que el disco
rígido tenga un mínimo de 200 MB de espacio libre.
Se puede usar en cualquier momento la utilidad WebBlocker para:
• Descargar una nueva versión de la base de datos
• Ver el status de la base de datos
• Iniciar o detener el servidor
Para obtener una actualización incremental de la base de datos del WebBlocker, primero hay que interrumpir
el servicio WebBlocker. Para hacerlo, haga click derecho sobre el ícono WebBlocker Server en la
barra de tareas de WatchGuard y seleccione Stop Service.
290 WatchGuard System Manager

Activando el WebBlocker
Automatizando las descargas de la base de datos de WebBlocker
El mejor procedimiento para mantener actualizada su base de datos WebBlocker es usar el Programador de
Tareas de Windows. Puede usarse el Programador de Tareas de Windows para hacer una programación horaria
del proceso “updatedb.bat”, que es creado automáticamente en su directorio WSM8/bin.
1 Abra Tareas Programadas. Para hacerlo en Windows XP, haga click en Inicio, luego en Todos los
programas, apunte hacia Accesorios, luego hacia Herramientas del Sistema, y luego haga click en
Tareas Programadas.
2 Haga click en Agregar tarea programada.
3 Se iniciará el Asistente de Tareas Programadas. Haga click en Siguiente.
4 La pantalla mostrará una lista de programas. Haga click en Examinar.
5 Vaya a C:\Program Files\WatchGuard\wsm8\bin. Seleccione updatedb.bat.
6 Seleccione el intervalo de tiempo en el cual quiere que se realice esta tarea. Recomendamos que actualice
su base de datos todos los días. Puede actualizarla con menor frecuencia si dispone de poco ancho de
banda. Haga click en Siguiente.
7 Escriba la hora y la frecuencia para comenzar el procedimiento. Dado que se debe detener el WebBlocker
Server para hacer la actualización, recomendamos que agende las actualizaciones para que se hagan
fuera de los horarios usuales de operación.
8 Seleccione una fecha de inicio. Haga click en Siguiente.
9 Escriba el nombre de usuario y la contraseña para usar este procedimiento. Asegúrese de que este
usuario tenga acceso a los archivos necesarios. Haga click en Siguiente.
10 Haga click en Finalizar.
Activando el WebBlocker
Antes de usar WebBlocker en una política proxy HTTP, hay que usar el asistente Activate WebBlocker para
habilitar la función y crear una configuración básica. Para hacerlo:
1 Desde el WatchGuard® System Manager, seleccione Firebox® para usar el WebBlocker.
2 Seleccione Tools > Policy Manager.
o
puede hacer click en el ícono del Policy Manager en la barra de tareas del WatchGuard System Manager.
3 Desde el Policy Manager, seleccione Tasks > WebBlocker > Activate.
Comenzará el Asistente Activate WebBlocker.
Guía del Usuario 291

Activando el WebBlocker
4 Haga click en Next.
5 Haga click a través del Asistente y agregue la información que le vaya pidiendo. El Asistente tiene estas
pantallas:
Select policies for WebBlocker (Seleccionar políticas para WebBlocker)
Esta pantalla no aparece si no ha definido aún ninguna política proxy HTTP. En este caso, el Asistente le
creará una política proxy HTTP.
Si las políticas proxy HTTP ya fueron creadas en su Firebox, esta pantalla las muestra en un listado. En
dicho listado, seleccione las políticas proxy para las cuales quiere activar el WebBlocker. Si no se selecciona
ninguna política, se creará una nueva política proxy HTTP con una acción del WebBlocker.
Identify the WebBlocker Servers (identificar los servidores del WebBlocker)
Se debe configurar al menos un WebBlocker Server. Para añadir un WebBlocker Server, haga click en el
signo más (+). Luego de Server IP, escriba la dirección IP del WebBlocker Server. Si es necesario, cambie el
número de puerto.
Puede añadir más de un WebBlocker Server de modo tal que el Firebox pueda fallar sobre un servidor de
respaldo si no puede conectarse al servidor primario. El primer servidor en el listado es el servidor primario.
Para agregar un WebBlocker Server luego de haber completado el Asistente, vaya a Setup > Actions >
WebBlocker. Añada los servidores en la pestaña Servers.
292 WatchGuard System Manager

Configurando el WebBlocker
Select categories to block (seleccionar categorías para bloquear)
Seleccione la caja de verificación adyacente a las categorías de sitios web que desea bloquear. Para leer una
descripción de la categoría, seleccione la caja de verificación adyacente a la misma. Esta descripción aparece
en la caja del final de la pantalla. Si quiere bloquear el acceso a sitios web que coincidan con cualquier categoría,
seleccione Deny All Categories.
Nota
Para impedir que los usuarios accedan desde sitios web que hacen anónima su entrada, bloquee la
categoría Remote Proxies en el WebBlocker.
Configurando el WebBlocker
Luego de usar el Asistente Activate WebBlocker para activar WebBlocker y crear una configuración básica, se
pueden configurar más opciones.
1 Desde el Policy Manager, seleccione Tasks > WebBlocker > Configure.
Aparecerá la caja de diálogo Configure WebBlocker y se verán las políticas proxy HTTP ya creadas.
Guía del Usuario 293

Configurando el WebBlocker
2 Seleccione la política que quiere configurar y haga click en Configure.
Aparecerá la caja de diálogo WebBlocker Configuration para dicha política.
La caja de de diálogo WebBlocker Configuration incluye pestañas para configurar servidores, categorías,
excepciones y funciones avanzadas.
Agregando nuevos servidores
Se puede añadir más de un servidor WebBlocker, de modo que el Firebox® pueda fallar sobre un servidor
de respaldo si no se conecta al servidor primario. El primer servidor en el listado es el servidor primario. No
se puede añadir más de cinco WebBlocker Servers en una configuración.
1 Para agregar un servidor, haga click en el signo más (+).
Aparecerá la caja de diálogo Add WebBlocker Server.
2 Luego de Server IP, escriba la dirección IP del servidor WebBlocker. Escriba el número de puerto.
Seleccionando categorías a bloquear
Cuando utilizó el Asistente Activate WebBlocker, usted seleccionó categorías de sitios web que deseaba
bloquear. Puede usar esta caja de diálogo para hacer cambios a su configuración original. Seleccione la
caja de verificación adyacente a las categorías de sitios web que desea bloquear. Para leer una descripción
de cada categoría, haga click sobre la misma. Aparecerá la descripción en la caja de la parte de abajo de la
pantalla. Si quiere bloquear el acceso a sitios web que coincidan con cualquier categoría, seleccione Deny
All Categories.
Nota
Para impedir que los usuarios accedan desde sitios web que hacen anónima su entrada, bloquee la
categoría Remote Proxies en el WebBlocker.
294 WatchGuard System Manager

Configurando el WebBlocker
Definiendo excepciones de WebBlocker
Se puede eludir determinada acción del WebBlocker mediante una excepción. Es decir, añadir un sitio web
que esté permitido o prohibido como una excepción a las categorías WebBlocker. Estos web sites añadidos
aplican sólo para el tráfico HTTP. No se añaden a la lista de sitios bloqueados (Blocked List).
Las excepciones se basan en patrones de URL, no en direcciones IP. Se puede hacer que el Firebox bloquee
un URL que coincida exactamente con una expresión. Usualmente, es más conveniente hacer que el Firebox
busque patrones de URL. Los patrones de URL no incluyen el prefijo “http://”. Para hacer coincidir un URL con
todos los sitios web, el patrón debe tener un prefijo “/*”.
El host en el URL puede ser el nombre de host especificado en el HTTP pedido, o la dirección IP del servidor.
Las direcciones de red no son soportadas a la hora de hacer esto, aunque sí pueden usarse sub redes en un
patrón (por ejemplo, 10.0.0.*).
Para servidores en el puerto 80, no incluya el puerto. Para servidores distintos del 80, añada “ :port”. Por ejemplo:
10.0.0.1:8080. Puede también usar el comodín para el puerto —por ejemplo, 10.0.0.1:*— pero esto no
aplica para el puerto 80.
Puede crear excepciones al WebBlocker usando cualquier parte de un URL. Puede establecer un número de
puerto, nombre de dirección web, o cadena de caracteres que deba bloquearse para un determinado sitio
web. Por ejemplo, si es necesario bloquear sólo www.sharedspace.com/~dave porque tiene fotografías
inapropiadas, escriba “www.sharedspacecom/~dave/*”.
Esto permite a los usuarios navegar por www.sharedspace.com/~julia, que podría tener contenidos que sí
quiere que los usuarios vean.
Para bloquear URLs que contengan la palabra “sex” en el path, puede escribir “*/*sex*”. Y para bloquear URLs
que contengan “sex” en el path o en el nombre de host, escriba “*sex*”.
Se pueden bloquear puertos en un URL. Por ejemplo, fíjese en el URL http://www.hackerz.com/warez/
index.html:8080. Este URL hace que el navegador use el protocolo HTTP sobre el puerto TCP 8080, en vez del
método por defecto que utiliza el TCP 80. Puede bloquear el puerto que coincida con *8080.
1 Para crear excepciones a las categorías WebBlocker, haga click en la pestaña Exceptions.
2 Haga click en el signo “+” para añadir una nueva regla de excepción.
Guía del Usuario 295

Configurando el WebBlocker
3 Haga click en la columna Action para acceder a la lista desplegable Action. Seleccione hacer que
WebBlocker permita o prohíba la excepción.
4 Escriba un nombre para la excepción en la caja de texto Name.
5 Haga click en la columna Match Type para acceder a la lista desplegable Match Type:
Pattern match (coincidencia de patrones): asegúrese de sacar el prefijo “http://” e incluir “/* al final.
Exact match (coincidencia exacta): seleccione esta opción para que la coincidencia sea carácter por
carácter. Si ingresa una excepción que permita www.yahoo.com como coincidencia exacta solamente,
y el usuario escribe “www.yahoo.com/news”, la solicitud es denegada.
Regular expression (expresión regular): soporta caracteres comodín usuales en un shell script.
6 Escriba el patrón que quiere identificar como una excepción en la caja de texto Pattern.
7 Haga click en la caja de verificación Log si quiere que se registre un mensaje cada vez que se ejecuta
una acción basada en una excepción al WebBlocker.
8 Para activar la excepción, haga click en la caja de verificación Enabled.
9 En la sección Use category list, puede configurar la acción que debe ocurrir si el URL no coincide con
las excepciones configuradas. Si quiere usar la lista de la pestaña Categories para determinar la accesibilidad,
haga click en el botón radial superior. Si quiere denegar el acceso, haga click en el botón radial
inferior. Si deniega el acceso, puede seleccionar la caja de diálogo bajo el botón radial para registrar un
mensaje para esa acción.
Definiendo las opciones avanzadas de WebBlocker
1 Para configurar opciones avanzadas del WebBlocker, haga click en la pestaña Advanced.
2 Puede ajustar la configuración Cache size (tamaño del caché) para mejorar el rendimiento del
WebBlocker. Use las flechas para cambiar la cantidad de entradas en el caché o escriba un número.
3 Puede establecer un valor y una acción a ocurrir cuando el servidor esté fuera de servicio. Si quiere
permitir el web site cuando el servidor esté fuera de servicio, seleccione Allow the user to view the
website (permitir al usuario ver el sitio web). Si quiere denegar el sitio web, seleccione Deny access to
the website (denegar el acceso al sitio web).
296 WatchGuard System Manager

Programando una Acción del WebBlocker
Programando una Acción del WebBlocker
Se puede establecer una programación horaria operativa para la política. Puede utilizar los parámetros predefinidos
en la lista desplegable, o crear una programación propia. Estos períodos de tiempo se usarán para
establecer reglas sobre cuándo bloquear diferentes sitios web. Por ejemplo, puede bloquear los sitios deportivos
durante las horas normales de trabajo, pero permitirlos a la hora del almuerzo, a la noche y en los fines
de semana.
Para establecer una programación horaria para una política:
1 Abra la política para editarla, y haga click en la pestaña Advanced.
2 Seleccione una programación horaria del listado desplegable, o haga click en el ícono New/Clone para
hacer una nueva. Para mayor información, ver el capítulo correspondiente.
3 Configure una política proxy HTTP que utilice esa planificación horaria.
También puede configurar dos políticas HTTP, pero crear una planificación horaria para una sola de ellas.
Cada política utiliza una de las acciones HTTP proxy. Cada una de estas acciones HTTP proxy apuntará hacia
una de al menos dos acciones del WebBlocker.
Guía del Usuario 297

Programando una Acción del WebBlocker
295 WatchGuard System Manager

CA P Í T U LO 24
Configurando el spamBlocker
El correo electrónico no solicitado, también conocido como spam, llena una casilla de entrada promedio a
una velocidad asombrosa. Un gran volumen de spam disminuye el ancho de banda, degrada la productividad
del empleado y desperdicia recursos de la red. La opción WatchGuard® spamBlocker usa tecnología
líder de la industria en detección de patrones, a partir del Commtouch®, para bloquear el spam en su gateway
de Internet e impedir que llegue a su servidor de correo electrónico. SpamBlocker busca patrones de
ataque de spam, en vez de contenidos en correos electrónicos individuales. Dado que busca patrones,
puede detectar spam en cualquier lenguaje, formato o método de codificación.
Acerca del spamBlocker
Antes de instalar spamBlocker usted debe tener:
• Un certificado de clave de licencia para spamBlocker
• Un servidor de correo electrónico SMTP detrás del Firebox®
• Una política SMTP proxy
• Un DNS configurado en el Firebox. Desde el Policy Manager, seleccione Network > Configuration.
Haga click en la pestaña WINS/DNS y escriba las direcciones IP de los servidores DNS que utiliza su
Firebox para resolver los nombres de host.
Acciones del spamBlocker
El Firebox usa acciones de spamBlocker para aplicar decisiones sobre el envío de un mensaje de correo electrónico
que constituya spam. Puede:
• Denegar (Deny) — Detiene el envío del mensaje de correo electrónico con spam hacia el servidor de
correo, sin mandar una respuesta al remitente.
• Marcar (Tag) — Identifica el mensaje de correo electrónico como spam y permite que los mensajes de
correo electrónico con spam vayan al servidor de correo. Vea la sección subsiguiente para más información
sobre las marcas del spamBlocker.
• Permitir (Allow) — Permite a los mensajes de correo electrónico con spam ir a través del Firebox sin
una marca.
Guía del Usuario 299

Instalando la Licencia del Software
Marcas del spamBlocker
El Firebox puede añadir marcas del spamBlocker a la línea de Asunto (Subject) de un mensaje de correo
electrónico. Se puede configurar el spamBlocker para personalizar la marca añadida. El siguiente ejemplo
muestra la línea de Asunto de un mensaje de correo electrónico considerado spam. La marca añadida es la
que se hace por defecto: ***SPAM***.
Asunto: ***SPAM*** Cuotas de seguros de auto gratis
Este otro ejemplo muestra una marca personalizada: [SPAM]
Asunto: [SPAM] ¡Usted ha sido aprobado!
Categorías del spamBlocker
El spamBlocker mira todos los mensajes de correo electrónico para encontrar coincidencias con los patrones
que figuran en la base de datos de spamBlocker. Pone al correo electrónico que es spam dentro de
tres categorías: Spam, Bulk (masivo) y Suspect (sospechoso). spamBlocker asigna a los mensajes de correo
electrónico a una de estas categorías basándose en la cantidad de patrones hallados en los mismos.
• La categoría Spam incluye mensajes de correo electrónico que provienen de spammers conocidos.
Recomendamos utilizar la acción Deny (Denegar) para este tipo de correo electrónico.
• La categoría Bulk incluye mensajes de correo electrónico que no vienen de spammers conocidos,
pero coinciden con algunas estructuras usuales de spam. Recomendamos utilizar la acción Tag
(Marcar) para este tipo de correo electrónico.
• La categoría Suspect incluye mensajes de correo electrónico que por su aspecto podrían ser asociados
con un nuevo ataque de spam. Frecuentemente, estos mensajes son e-mails legítimos.
Recomendamos usar la acción Tag para este tipo de correo electrónico.
Instalando la Licencia del Software
Para instalar spamBlocker debe tener una clave de licencia spamBlocker y registrarla en el sitio web de
LiveSecurity. Una vez registrada esta clave de licencia, LiveSecurity dará una nueva clave o “Feature Key”.
300 WatchGuard System Manager

Activando el spamBlocker
Para instalar esta Feature Key:
1 Desde el Policy Manager, seleccione Setup > Licensed Features.
Aparecerá la caja de diálogo “Firebox License Keys”
2 Haga click en Remove para quitar la actual Feature Key.
Debe quitar la feature key completa antes de instalar la nueva que incluye spamBlocker.
3 Haga click en Add.
4 En la caja de diálogo Add Firebox License Key, escriba o pegue la clave de licencia. Luego puede hacer
click en Import para encontrarla en su computadora o red. Haga click en OK.
La clave de licencia aparecerá en la caja de diálogo de Firebox License Keys.
Activando el spamBlocker
Para activar el spamBlocker se usa un Asistente que inicia esta función y crea una configuración básica.
1 Desde el WatchGuard® System Manager, seleccione el Firebox® que usará el spamBlocker.
2 Seleccione Tools > Policy Manager.
o
puede hacer click en el ícono del Policy Manager en la barra de tareas del WatchGuard System Manager.
Guía del Usuario 301

Activando el spamBlocker
3 Desde el Policy Manager, seleccione Tasks > spamBlocker > Activate.
Comenzará el Asistente Activate spamBlocker.
4 Haga click a través del Asistente y agregue la información que le vaya pidiendo. El Asistente tiene estas
pantallas:
Apply spamBlocker settings to your policies (aplicar los parámetros de spamBlocker a
sus políticas)
Esta pantalla aparece si uno ya tiene una o más políticas SMTP definidas en el Firebox, pero no tiene el
spamBlocker habilitado. Desde el listado, seleccione las políticas proxy para las cuales quiere habilitar
spamBlocker. Aquellas políticas que ya tienen spamBlocker habilitado aparecerán grisadas. Si no tiene ninguna
política SMTP definida hasta el momento, esta pantalla no aparecerá.
Crear políticas proxy
Esta pantalla aparece si su Firebox no tiene aún una política creada para SMTP. El Asistente le creará una
política proxy. Debe tener al menos una interfaz externa con dirección IP estática.
Para crear una política SMTP, ingrese la dirección IP del servidor de correo electrónico. La política creada
por este Asistente contiene “Any-External” en el campo From (desde) y una entrada NAT estática en el
campo To (hacia). La entrada NAT estática usa la primera dirección IP estática externa configurada en el
Firebox. Activa una NAT estática para la dirección IP del servidor de correo electrónico que usted ingresó
en el Asistente. Si esta política NAT SMTP estática por defecto no es la mejor opción para su organización,
puede utilizar el Policy Manager para crear una política SMTP distinta antes de usar el Asistente.
Select the spamBlocker actions (seleccionar las acciones del spamBlocker)
Utilice esta pantalla para seleccionar las acciones del spamBlocker para e-mail en las categorías Spam, Bulk
y Suspect.
Si quiere que se registren mensajes para determinada respuesta del spamBlocker, seleccione la caja de
verificación Log. Si no quiere registrar este tipo de mensajes, deje vacía la caja de verificación Log.
302 WatchGuard System Manager

Configurando el spamBlocker
Configurando el spamBlocker
Luego de usar el asistente del spamBlocker para activar spamBlocker y crear una configuración básica,
puede establecer otros parámetros de configuración.
1 Desde el Policy Manager, seleccione Tasks > spamBlocker > Configure.
Aparecerá la caja de diálogo del spamBlocker con un listado de las políticas SMTP, donde se muestra si spamBlocker está
activado para cada política.
2 Seleccione la política que quiere configurar y haga click en Configure.
Aparecerá la caja de diálogo spamBlocker Configuration para dicha política.
3 Cuando usted utilizó el Asistente Activate spamBlocker, estableció las acciones que el spamBlocker
aplicaría para el correo electrónico en las categorías Spam, Bulk y Suspect. Puede cambiar estas acciones
en esta caja de diálogo.
Guía del Usuario 303

Creando Reglas para el Correo Masivo o Sospechoso en los Clientes de E-mail
4 Si quiere que se registren mensajes para determinada respuesta del spamBlocker, seleccione la caja de
verificación Log. Si no quiere registrar este tipo de mensajes, deje vacía la caja de verificación Log.
5 Asegúrese de que el DNS esté activado en el Firebox que aplica las reglas del spamBlocker.
Nota
Si usted tiene cualquier firewall perimetral entre el Firebox que usa el spamBlocker y la Internet, éste
no debe bloquear el tráfico HTTP. El protocolo HTTP se usa para enviar solicitudes desde el Firebox
hacia el servidor del spamBlocker.
Agregando excepciones al spamBlocker
A veces, el Firebox identifica un mensaje como spam cuando no lo es. Si usted conoce la dirección del
remitente, puede configurar el Firebox con una excepción que le diga al Firebox que no examine los mensajes
de dicha fuente. Para buscar excepciones, el spamBlocker busca en el campo “mail from:” (mensaje
de). No busca en el encabezado “From:” (de) que es visible en los mensajes de correo electrónico. Si usted
crea una regla de excepción y ésta no opera correctamente, asegúrese de verificar el haber ingresado el
campo correcto.
1 Desde el bloque Exceptions de la caja de diálogo spamBlocker Configuration, haga click en Add.
Aparecerá la caja de diálogo Add Exception.
2 Seleccione una regla de acción: Allow (permitir), Tag subject (marcar el Asunto) o Deny (Denegar).
3 Escriba un remitente, destinatario o ambos. Puede escribir el nombre completo o utilizar comodines.
Creando Reglas para el Correo Masivo o Sospechoso en los Clientes
de E-mail
Muchos administradores de red permiten la llegada de correo electrónico que no esté confirmado como
spam a las casillas de sus respectivos destinatarios. Luego establecen reglas en el software cliente de e-
mail para que cualquier mensaje marcado como sospechoso o masivo sea puesto en una carpeta especial.
El procedimiento que sigue da instrucciones sobre cómo configurar el cliente de correo electrónico
Microsoft Outlook. Para más información sobre cómo usar este procedimiento en otros tipos de clientes
de e-mail, mire la documentación para usuarios de dichos productos.
Enviando spam o correo masivo a una carpeta especial del Outlook
Este procedimiento le mostrará los pasos para crear reglas de correo masivo y sospechoso en Outlook.
Cuando cree estas carpetas, mantendrá el posible spam fuera de las carpetas usuales de Outlook, pero
podrá acceder a esos mensajes si es necesario.
Si usted utiliza otro cliente de correo electrónico, mire la documentación para usuarios de dichos productos.
304 WatchGuard System Manager

Informando Falsos Positivos y Falsos Negativos
Antes de comenzar, asegúrese de configurar la acción para correo spam o masivo en Add Subject Tag.
Puede usar las marcas por defecto o crear marcas personalizadas. Los pasos que siguen describen cómo
crear carpetas con las marcas por defecto.
1 Desde la Bandeja de Entrada de Outlook, seleccione Herramientas > Reglas y Alertas.
2 Haga click en Nueva Regla para iniciar el Asistente de Reglas.
3 Seleccione Iniciar desde una regla en blanco.
4 Seleccione Comprobar los mensajes cuando lleguen. Haga click en Siguiente.
5 Seleccione la caja de verificación con la condición Con cierto texto en el asunto. Luego, en el panel
inferior, edite la descripción de la regla haciendo click sobre el vínculo a “cierto texto”. En la caja de diálogo
Buscar texto, escriba la marca de spam como ***SPAM***. Si usa una marca personalizada, escríbala
en su lugar. Haga click en Agregar. Haga click en Aceptar.
6 Haga click en Siguiente.
7 El Asistente le preguntará qué desea hacer con el mensaje. Seleccione la caja de verificación Mover a la
carpeta especificada. Luego, en el panel inferior, haga click en la palabra especificada para seleccionar
la carpeta de destino.
8 En la caja de diálogo Elija una carpeta, haga click en Nueva. En el campo Nombre, escriba Spam. Haga
click en Aceptar.
9 Haga click dos veces en Siguiente.
10 Para completar la configuración de la regla, escriba un nombre para la regla de spam. Haga click en
Finalizar.
11 Haga click en Aplicar.
12 Repita estos pasos para crear una regla para correo electrónico masivo, utilizando la marca de correo
electrónico Bulk. Puede enviar el correo electrónico masivo a la misma carpeta, o crear carpetas separadas
para este tipo de e-mail.
Informando Falsos Positivos y Falsos Negativos
Un mensaje de correo electrónico es un falso positivo cuando es un mensaje legítimo que el spamBlocker
identifica incorrectamente como spam. Un mensaje de correo electrónico es un falso negativo si es un spam
que el spamBlocker no identifica correctamente como spam. Si usted encuentra e-mails que son falsos positivos
o negativos, puede informar el error de clasificación directamente a Commtouch. Debe tener acceso al
mensaje de correo electrónico para enviar el informe. Para saber cómo enviar un informe sobre falsos positivos
o negativos, vaya a:
https://www.watchguard.com/support/advancedfaqs/fw_spam-report.asp
Monitoreando la Actividad del spamBlocker
Se puede usar el Firebox® System Manager para monitorear la actividad del spamBlocker.
1 Desde el Firebox® System Manager, seleccione el Firebox cuya actividad del spamBlocker quiere monitorear.
2 Seleccione Tools > Firebox System Manager.
O
puede hacer click en el ícono del Firebox System Manager sobre la barra de tareas del WatchGuard System
Manager.
Guía del Usuario 305

Personalizando spamBlocker Usando Múltiples Proxies
3 Desde el Firebox System Manager, haga click sobre la pestaña Security Services.
Aparecerán en la parte de abajo de la pantalla las estadísticas del spamBlocker.
Personalizando spamBlocker Usando Múltiples Proxies
Puede configurar más de un servicio proxy SMTP para que utilice el spamBlocker. Esto le permitirá crear
reglas personalizadas para diferentes grupos dentro de la organización. Por ejemplo, puede permitir todo
el correo electrónico a los gerentes y usar una marca de spam para el equipo de marketing.
Si quiere usar más de un servicio SMTP proxy con el spamBlocker, su red debe tener una de estas configuraciones:
• Cada po l í t i ca SMTP proxy debe enviar e-mail hacia un servidor de co rreo elect r ó n i co inte rno dife re nte.
o
• Debe establecer la o las fuentes externas que pueden enviar correo electrónico para cada política
SMTP proxy.
Nota
El spamBlocker no detecta spam en el correo electrónico saliente.
306 WatchGuard System Manager

CA P Í T U LO 25
Usando Servicios de Seguridad Basados
en Firm a s
Los hackers usan muchos métodos para atacar computadoras en Internet. Estos ataques (denominados
intrusiones en este capítulo) son creados para causar daño a su red, conseguir información sensible o usar
sus computadoras para atacar otras redes.
WatchGuard® ofrece el Gateway AntiVirus/Intrusion Prevention Service (GAV/IPS), que puede identificar y
detener una posible intrusión. El servicio de prevención de intrusiones opera con todas las proxies
WatchGuard. El WatchGuard Gateway AntiVirus opera con las proxies SMTP, HTTP y TCP.
Cuando un nuevo ataque de intrusión es identificado, se registran las características que convierten en
único dicho virus o ataque. Estas características registradas se conocen como la firma (signature). GAV/IPS
usa estas firmas para encontrar virus y ataques de intrusos.
Frecuentemente aparecen en Internet nuevos virus y métodos para hacer intrusiones. Para asegurarse de
que GAV/IPS brinda la mejor protección, debe actualizar las firmas con frecuencia. Puede configurar el
Firebox® para actualizar las firmas automáticamente desde WatchGuard. También puede actualizar las firmas
manualmente.
Nota
WatchGuard no puede garantizar que el producto pueda detener todos los virus e intrusiones, o prevenir
el daño a sus sistemas proveniente de ataques de virus o intrusos.
Guía del Usuario 307

Instalando las Licencias del Software
Instalando las Licencias del Software
Para instalar Gateway AntiVirus/Intrusion Prevention Service, debe tener una clave de licencia spamBlocker
y registrarla en el sitio web de LiveSecurity. Una vez registrada esta clave de licencia, LiveSecurity dará una
nueva clave o “Feature Key”.
Para instalar esta Feature Key:
1 Desde el Policy Manager, seleccione Setup > Licensed Features.
Aparecerá la caja de diálogo “Firebox License Keys”
2 Haga click en Add.
3 En la caja de diálogo Add Firebox License Key, escriba o pegue la clave de licencia. Luego puede
hacer click en Import para encontrarla en su computadora o red. Haga click en OK.
La clave de licencia aparecerá en la caja de diálogo de Firebox License Keys.
Acerca del Gateway AntiVirus
WatchGuard® Gateway AntiVirus (GAV) detiene los virus antes de que lleguen a las computadoras de su
red. GAV opera con las proxies de WatchGuard SMTP, HTTP y TCP. Cuando se activa GAV, las proxies SMTP,
HTTP y TCP examinan los mensajes de correo electrónico y el tráfico web, y remueven cualquier virus que
encuentren (la configuración GAV de una política TCP es una acción de la proxy HTTP referenciada por la
acción de la proxy TCP que corresponda con ella).
Nota
Si su organización no usa un servidor de correo electrónico protegido por el Firebox, el Gateway
AntiVirus no protegerá contra virus de e-mail.
Si activa el Gateway AntiVirus con una SMTP proxy, encontrará virus codificados con los métodos frecuentemente
utilizados en los adjuntos de los e-mails. Éstos incluyen codificaciones base64, binaria, 7-bit y 8-
bit. Gateway AntiVirus no encuentra virus en mensajes no codificados o con codificación binhex. El
Firebox® saca estos tipos de mensajes.
Si usted activa el Gateway AntiVirus con la SMTP proxy, encontrará virus en páginas web que los usuarios
intenten descargar. Si un virus es hallado, la conexión del usuario se interrumpirá (GAV no da una notificación
sobre por qué la conexión se cayó).
308 WatchGuard System Manager

Acerca del Gateway AntiVirus
Activando el Gateway AntiVirus
Antes de usar el Gateway AntiVirus con una política para la proxy SMTP o HTTP, debe ejecutar el Asistente
Activate Gateway AntiVirus para activar la función y crear una configuración básica. Para hacerlo:
1 Desde el WatchGuard® System Manager, seleccione el Firebox® que usará el Gateway AntiVirus.
2 Seleccione Tools > Policy Manager.
o
puede hacer click en el ícono del Policy Manager en la barra de tareas del WatchGuard System Manager.
3 Desde el Policy Manager, seleccione Tasks > Gateway AntiVirus > Activate.
Comenzará el Asistente Activate Gateway AntiVirus.
4 Haga click en Next.
5 Complete el Asistente. El Asistente mostrará diferentes pantallas, según usted ya tenga o no políticas
para proxies en su configuración. Por ejemplo, si no las tiene, el Asistente lo ayudará a crear una. Puede
usar luego el Asistente otra vez para configurar GAV o ver las instrucciones en la sección subsiguiente.
Las pantallas son:
Apply Gateway AntiVirus Settings to your policies (Aplicar parámetros del Gateway
AntiVirus a sus políticas)
Esta pantalla incluye una lista de las políticas para proxy que ya estén en su Firebox. En dicho listado, seleccione
las políticas de proxies para las cuales quiere habilitar el Gateway AntiVirus. Aquellas políticas que ya
tengan habilitado el Gateway AntiVirus aparecerán grisadas.
Create new proxy policies (crear nuevas políticas para proxy)
Esta pantalla aparece si su Firebox no tiene aún políticas creadas para SMTP o HTTP.
Para crear una política, seleccione la caja de verificación correspondiente. Si selecciona SMTP, ingrese la
dirección IP del servidor de correo.
El Asistente creará una política SMTP por defecto, que será una política NAT estática. Para crear esta política
SMTP por defecto, debe tener al menos una interfaz externa con una dirección IP estática o PPPoE. Sólo se
creará una política, aún si usted tiene más de una interfaz externa. El campo To de la política es una entrada
NAT estática (la dirección IP estática de la primera interfaz externa hacia la dirección IP especificada del servicio
de mail). Si esta política por defecto no reúne sus requerimientos, puede crear una política SMTP en el
Policy Manager antes de ejecutar este Asistente.
Guía del Usuario 309

Configurando el Gateway AntiVirus
Configurando el Gateway AntiVirus
Luego de usar el Asistente Activate Gateway AntiVirus para activar GAV y crear una configuración básica,
puede refinar aún más la configuración.
1 Desde el Policy Manager, seleccione Tasks > Gateway AntiVirus > Configure.
Aparecerá la caja de diálogo Gateway AntiVirus, donde aparecen listadas las políticas SMTP, HTTP y TCP ya creadas.
2 Seleccione la política que quiere configurar y haga click en Configure.
Aparecerá la página General Gateway Antivirus Settings para dicha política.
3 Los campos en esta caja de diálogo establecen las acciones necesarias si se encuentra un virus en
un mensaje de e-mail. También se utiliza esta caja de diálogo para configurar acciones para cuando un
mensaje de correo electrónico contenga un archivo adjunto demasiado grande, o que el Firebox no
310 WatchGuard System Manager

Configurando el Gateway AntiVirus
pueda examinar. En la sección Actions, use el listado desplegable para seleccionar una acción del
Firebox para cada una de estas condiciones:
Allow (permitir)
Permite al adjunto llegar a su destinatario, aunque el contenido contenga un virus.
Drop (descartar)
Descarta el adjunto e interrumpe la conexión. Ninguna información es enviada a la fuente del mensaje.
Block (bloquear)
Bloquea el adjunto, y añade la dirección IP del remitente a la lista de sitios bloqueados (Blocked Sites).
Acciones adicionales pueden aplicarse a la proxy de SMTP:
Lock (“encerrar”)
“Encierra” el adjunto. Es una buena opción para archivos demasiado grandes para el Gateway AntiVirus
o que no pueden ser analizados por el Firebox. Un archivo que está “encerrado” no puede ser abierto
fácilmente por el usuario. Sólo puede abrirlo el administrador. El administrador puede usar una herramienta
antivirus diferente para analizar ese archivo y examinar el contenido del adjunto.
Remove (remover)
Remueve el adjunto y permite que el mensaje vaya a su destinatario.
Nota
Si establece una configuración que permita adjuntos, esa configuración será menos segura.
Creando alarmas o entradas en el registro de eventos para respuestas del antivirus
Una alarma es un mecanismo para decir a los usuarios cuándo una regla de proxy se aplica al tráfico de la
red. Use la caja de verificación Alarm, que está en la página de General Gateway AntiVirus Settings, para
crear una alarma para una determinada respuesta antivirus. Para usar exitosamente la opción de alarmas,
también debe configurar el tipo de alarma a utilizar en cada política de proxy.
Para configurar el tipo de alarma a utilizar, abra la política de proxy para editarla. En el listado de categorías
de acciones para proxies, seleccione Proxy and AV Alarms.
Si quiere que se registren mensajes para determinada respuesta del antivirus, seleccione la caja de verificación
Log. Si no quiere registrar este tipo de mensajes, deje vacía la caja de verificación Log.
Configurando los parámetros del motor GAV
1 Desde la caja de diálogo Gateway AntiVirus, haga click en Settings.
Guía del Usuario 311

Configurando el Gateway AntiVirus
2 Para analizar archivos adjuntos comprimidos, seleccione la caja de verificación Decompress archives.
Seleccione o escriba la cantidad de niveles de compresión a analizar.
Los adjuntos comprimidos que no pueden ser analizados incluyen archivos encriptados o aquellos que utilizan un tipo
de compresión al cual no damos soporte, como archivos .zip protegidos con contraseña. Use la caja de diálogo Gateway
AntiVirus > Configure para establecer acciones para cuando el Firebox encuentre un mensaje que no pueda analizar.
3 Ingrese el tamaño máximo en kilobytes para los mensajes de e-mail.
Configurando el servidor de firmas del GAV
1 Desde la caja de diálogo Gateway AntiVirus, haga click en Signature Server.
2 Para habilitar actualizaciones automáticas de firmas de virus, seleccione la casilla de verificación
Automatic update. Ingrese la cantidad de minutos entre actualizaciones automáticas.
3 Seleccione la cantidad de reintentos a realizar si falla la actualización automática.
4 Para actualizar el motor del GAV al mismo intervalo de tiempo, seleccione la casilla de verificación
Include GAV engine update.
5 No cambie el URL del servidor de firmas para GAV/IPS, a menos que WatchGuard le diga que lo haga.
6 Haga click en OK.
Usando el Gateway AntiVirus con más de un proxy
Se puede usar más de una proxy de SMTP para hallar y remover virus en diferentes servidores de su organización.
Cada proxy que utilice Gateway AntiVirus está configurada con opciones específicas. Por ejemplo, puede
usar diferentes configuraciones antivirus de proxy para correo electrónico destinado a servidores o destinos
diferentes. Y puede excluir los adjuntos demasiado grandes para ser analizados en los mails de algunos
usuarios, mientras que permite esos mismos adjuntos para otros usuarios.
Desbloqueando un adjunto bloqueado por el Gateway AntiVirus
El WatchGuard System Manager provee un ejecutable para desbloquear adjuntos bloqueados por el
Gateway AntiVirus:
C:\Program Files\WatchGuard\wsm8\bin\unlock.exe
Para abrir un archivo bloqueado:
1 Abra un comando prompt.
2 Escriba Unlock
312 WatchGuard System Manager

Obteniendo el Estado del Gateway AntiVirus y su Actualización
Obteniendo el Estado del Gateway AntiVirus y su Actualización
Se puede ver el estado del Gateway AntiVirus y conseguir sus actualizaciones desde la pestaña Security
Services en el Firebox® System Manager.
Viendo el estado del servicio
La página de estado del Gateway AntiVirus muestra si la protección está activa. También exhibe información
sobre el escaneo de virus, las versiones de firmas de virus y cuándo fueron actualizadas dichas firmas.
Para ver el estado del servicio:
1 Desde el From WatchGuard® System Manager, seleccione el Firebox. Seleccione Tools > Firebox System
Manager.
También puede hacer click sobre el ícono del Firebox System Manager en la barra de tareas del WatchGuard
System Manager.
2 Haga click en la pestaña Security Services.
La ventana muestra el estado de los servicios de seguridad instalados. Las licencias de estas opciones deben
estar instaladas para ver la información de estado.
Guía del Usuario 313

Activando la Prevención de Intrusiones (IPS)
Actualizando las firmas del GAV o el motor de GAV manualmente
El Gateway AntiVirus puede configurarse para actualizar las firmas y el motor del GAV automáticamente.
Puede también actualizar las firmas y el motor del GAV manualmente. Si las firmas o el motor en el Firebox
no son actuales, no estará protegido de los últimos virus y ataques. Para actualizar estos servicios manualmente:
1 Abra el Firebox System Manager.
2 Haga click en la pestaña Security Services.
Aparecerá el estado de los servicios de seguridad.
3 Haga click en Update sobre el servicio que quiera actualizar. Debe escribir la frase clave de su
configuración.
El Firebox descargará la actualización más reciente disponible para la firma o el motor más actual disponible para el
Gateway Antivirus. Verá información sobre la actualización en Traffic Monitor.
Si no hay actualizaciones disponibles, el botón de Update no está activo.
Actualizando el software antivirus
Como aparecen todo el tiempo nuevos tipos de ataques, debe actualizar regularmente su software antivirus.
Cuando es necesario, WatchGuard lanza actualizaciones para su base de datos antivirus y para su software
antivirus. Cuando nosotros publiquemos una actualización, usted recibirá un e-mail de LiveSecurity.
Tendrá acceso a todas las actualizaciónes mientras su suscripción a Gateway AntiVirus permanezca activa.
Para descargar actualizaciones de software, ingrese en su cuenta LiveSecurity® en el sitio:
https://www.watchguard.com/support
Activando la Prevención de Intrusiones (IPS)
Los hackers usan muchos métodos para atacar computadoras en Internet. La función de estos ataques es
causar daño a su red, conseguir información sensible o usar sus computadoras para atacar otras redes.
Estos ataques se conocen como intrusiones.
Nuestro Prevention Service se usa para hallar y detener ataques con las proxies WatchGuard. El Firebox®
Intrusion Prevention Service examina tráfico DNS, FTP, HTTP y SMTP. Y utiliza la proxy TCP para analizar otro
tráfico basado en TCP.
Antes de usar el IPS en una política para proxy, debe ejecutar el Asistente Activate Intrusion Prevention
para activar la función y crear una configuración básica. Para hacerlo:
1 Desde el WatchGuard® System Manager, seleccione el Firebox® que usará el IPS.
2 Seleccione Tools > Policy Manager.
o puede hacer click en el ícono del Policy Manager en la barra de tareas del WatchGuard System Manager.
314 WatchGuard System Manager

Activando la Prevención de Intrusiones (IPS)
3 Desde el Policy Manager, seleccione Tasks > Intrusion Prevention > Activate.
Comenzará el Asistente Activate Intrusion Prevention.
4 Haga click en Next.
5 Haga click a través del Asistente y agregue la información que le vaya pidiendo. El asistente muestra diferentes
pantallas, según haya o no políticas para proxy en su configuración. Si no hay, el Asistente lo ayudará
a crear una. Puede utilizar nuevamente el Asistente para configurar IPS, o ver las instrucciones en la
sección subsiguiente. Las pantallas son:
Select proxy policies to enable (seleccionar políticas de proxy para activar)
Esta pantalla muestra una lista de políticas de proxy ya definidas en su Firebox. En esta lista, seleccione las
políticas de proxy que quiera habilitar para el IPS. Aquellas políticas ya habilitadas para el IPS aparecerán grisadas.
Create new proxy policies (crear nuevas políticas para proxies)
Esta pantalla muestra los tipos de proxy cuyas correspondientes políticas no existen actualmente. Si, por
ejemplo, usted ya creó una política SMTP, no aparecerá en esta lista.
Para crear una nueva política, seleccione la casilla de verificación correspondiente. Si selecciona SMTP, ingrese
la dirección IP del servidor de correo electrónico. Este Asistente crea una política SMTP por defecto, que
será una política NAT estática. Para crear esta política SMTP por defecto, debe tener al menos una interfaz
externa con una dirección IP estática o PPPoE. Sólo se creará una política, aún si usted tiene más de una
interfaz externa. El campo To de la política es una entrada NAT estática (la dirección IP estática de la primera
interfaz externa hacia la dirección IP especificada del servicio de mail). Si esta política por defecto no reúne
sus requerimientos, puede crear una política SMTP en el Policy Manager antes de ejecutar este Asistente.
Select Advanced Intrusion Prevention settings (seleccionar parámetros de prevención
avanzada de intrusiones), sólo para HTTP y TCP
Si usa el Asistente para añadir una política HTTP o TCP, puede seleccionar protección contra Mensajería
Instantánea, (IM), Peer-to-Peer (P2P) y Spyware.
Guía del Usuario 315

Configurando la Prevención de Intrusiones
Configurando la Prevención de Intrusiones
Luego de usar el Asistente Activate Intrusion Prevention para activar IPS y crear una configuración básica,
puede establecer otros parámetros de configuración.
1 Desde el Policy Manager, seleccione Tasks > Intrusion Prevention > Configure.
Aparecerá la caja de diálogo Intrusion Prevention, que tiene un listado de las políticas ya creadas.
2 Seleccione la política que quiere configurar y haga click en Configure.
Aparecerá la página de Intrusion Prevention Settings para dicha política.
Acerca de los grados de severidad de las intrusiones
La configuración de las proxies para prevención de intrusiones generalmente utiliza tres niveles separados
de seguridad. Estos tres grados de severidad de las intrusiones son como sigue:
Alto (High)
Son vulnerabilidades que permiten acceso remoto o ejecución de código, como la sobrecarga del
buffer, la ejecución a distancia de comandos, la vulneración de contraseñas, las puertas traseras y los
atajos de seguridad.
Medio (Medium)
Son vulnerabilidades que permiten el acceso, o descubren a los atacantes código fuente del lado del
servidor, y deniegan el acceso a los usuarios legítimos. Ejemplos: directory traversal, descubrimiento
de archivos o fuentes (file/source disclosure), inyección DoS y SQL y cross-site scripting.
Bajo (Low)
Son vulnerabilidades que no permiten al atacante ganar acceso directamente, pero sí conseguir
información que puede usar en un ataque. Por ejemplo, un atacante puede enviar un comando que
consiga información sobre el sistema operativo, las direcciones IP o la topología de la red.
Las firmas de virus que consiguen acceso a aplicaciones de software con vulnerabilidades (como
aquellas que no tienen un contenido muy específico) también tienen este tipo de severidad.
Algunas firmas que usualmente estarían en los niveles Alto o Medio se ponen en niveles más bajos si su
contenido no está muy detallado. También se ponen en niveles más bajos si tienen un amplio espectro y
podrían causar falsos positivos.
316 WatchGuard System Manager

Configurando la Prevención de Intrusiones
Configurando la prevención de intrusiones para HTTP o TCP
Las proxies HTTP y TCP incluyen opciones para prevenir Mensajería Instantánea (IM), Peer to Peer (P2P) y
spyware.
Si utiliza las proxies TCP y HTTP, asegúrese de configurar acciones para IM, P2P y spyware en ambas proxies
para aplicar acciones a todo el tráfico de IM, P2P y spyware.
1 Seleccione la casilla de verificación Enable Intrusion Prevention.
2 (sólo para HTTP) debajo de Signatures, haga click sobre una o ambas cajas de verificación para usar una
lista más precisa de firmas para endpoints del cliente HTTP, endpoints del servidor HTTP, o ambos.
3 En la sección Actions, use la lista desplegable para seleccionar la acción del Firebox para cada nivel de
seguridad.
Allow (permitir)
Permite un paquete, de modo que llegue a su destinatario aunque su contenido coincida con una
firma.
Deny (denegar)
Deniega el paso a un paquete para detenerlo y envía un paquete TCP de reset al remitente.
Drop (excluir)
Excluye un paquete para denegarlo, pero no envía un paquete TCP de reset al remitente.
Block (bloquear)
Bloquea un mensaje para excluir un paquete, y añade la dirección IP de la que dicho paquete comenzó
a la lista de sitios bloqueados (Blocked Sites).
Previniendo el uso de Mensajería Instantánea (IM)
La proxy HTTP tiene opciones para prevenir el uso de Mensajería Instantánea (IM). Encuentra estos servicios
de (IM):
• AOL Instant Messenger (AIM)
• ICQ
• MSN Messenger
• Yahoo Messenger
1 Desde los campos de Intrusion Prevention Services en la proxy HTTP, haga click en la pestaña IM.
Guía del Usuario 317

Configurando la Prevención de Intrusiones
2 Seleccione la acción que el Firebox tomará cuando detecte IM: Allow, Drop, Deny o Block.
3 Seleccione IM Signature Categories para activar conjuntos de firmas para los diferentes servicios de
IM. Luego se puede deseleccionar servicios individualmente.
Previniendo el uso de Peer to Peer (P2P)
La proxy HTTP tiene opciones para prevenir el uso de Peer to Peer (P2P). Encuentra estos servicios de
(P2P):
• BitTorrent
• eDonkey2000 (ed2k)
• GNUtella
• Kazaa
• Napster
• Phatbot
1 Desde los campos de Intrusion Prevention Services en la proxy HTTP, haga click en la pestaña P2P.
2 Seleccione la acción que el Firebox tomará cuando detecte P2P: Allow, Drop, Deny o Block.
3 Seleccione P2P Signature Categories para activar conjuntos de firmas para los diferentes servicios de
IM. Luego se puede deseleccionar servicios individualmente.
Bloqueando spyware
Las proxies HTTP y TCP proveen estas categorías antispyware:
Adware
Es una aplicación de software en la cual se muestran banners de publicidad mientras el programa
está en operación. A veces incluye código que registra información personal del usuario y la envía a
terceros, sin la autorización ni conocimiento del usuario.
Dialer
Es una aplicación de software que puede secuestrar el módem del usuario y discar números de
pago que dan acceso a sitios web inapropiados.
Downloader
Es un programa que consigue e instala otros archivos. La mayoría está configurada para conseguir
archivos de determinado sitio web o FTP.
Hijacker
Es un tipo de programa malware que modifica la configuración del navegador de la computadora y
lo redirige hacia sitios que uno no planeaba visitar.
Trackware
Es cualquier software que utiliza la conexión a Internet de la computadora para enviar información
personal sin el permiso del usuario.
1 Desde los campos de Intrusion Prevention Services en la proxy HTTP, haga click en la pestaña
Antispyware.
2 Seleccione la acción que el Firebox tomará cuando detecte spyware: Allow, Drop, Deny o Block.
318 WatchGuard System Manager

Configurando la Prevención de Intrusiones
Configurando la prevención de intrusiones para FTP, SMTP, o DNS
1 Seleccione la casilla de verificación Enable Intrusion Prevention.
2 Para cada nivel de severidad, seleccione una de las siguientes acciones:
Allow (permitir)
Permite el adjunto.
Deny (denegar)
Deniega el adjunto y envía un mensaje de denegación al remitente.
Drop (excluir)
Excluye el adjunto para detener el mensaje y detiene la conexión. Ninguna información se envía a la
fuente del mensaje.
Block (bloquear)
Bloquea el mensaje para excluir el adjunto, y añade la dirección IP del remitente a la lista de sitios bloqueados
(Blocked List).
Nota
Si la configuración permite adjuntos, será menos segura.
Guía del Usuario 319

Configurando la Prevención de Intrusiones
Configurando el servidor de firmas
1 Desde la caja de diálogo Intrusion Prevention, haga click en Signature Server.
2 Para habilitar actualizaciones automáticas de firmas de virus, seleccione la casilla de verificación
Automatic update. Ingrese la cantidad de minutos entre actualizaciones automáticas.
3 Seleccione la cantidad de reintentos a realizar si falla la actualización automática.
4 Escriba el URL del servidor de firmas para GAV/IPS.
5 Haga click en OK.
6 Seleccione File > Save > To Firebox.
7 Escriba la frase clave de su configuración y haga click en OK.
Configurando las excepciones de firmas
1 Desde la caja de diálogo Intrusion Prevention, haga click Signature Exceptions.
Aparecerá la caja de diálogo Signature ID Exceptions.
2 Escriba las firmas de IPS, IM, P2P o Antispyware que quiera deshabilitar. Haga click en Add.
Copiando los parámetros de IPS a otras políticas
Luego de configurar IPS para una proxy, puede copiar la misma configuración para otras. Sin embargo,
puede copiar los parámetros de IPS solamente entre políticas con configuraciones de IPS compatibles.
• Entre políticas FTP, DNS y SMTP
• Entre múltiples políticas TCP
• Entre múltiples políticas HTTP
320 WatchGuard System Manager

Obteniendo el Estado de la Prevención de Intrusiones y su Actualización
1 Desde la caja de diálogo Intrusion Prevention, seleccione la proxy cuya configuración quiere copiar,
haga click derecho, y seleccione Copy IPS Configuration.
2 Desde la misma caja de diálogo, seleccione la o las proxies cuya configuración quiere copiar, haga click
derecho y seleccione Paste IPS Configuration.
Obteniendo el Estado de la Prevención de Intrusiones y su Actualización
Se puede ver el estado del Intrusion Prevention Service y conseguir sus actualizaciones desde la pestaña
Security Services en el Firebox® System Manager.
Viendo el estado del servicio
El página de estado del Intrusion Prevention Service muestra si la protección está activa. También exhibe
información sobre las versiones de firmas.
Para ver el estado del servicio:
1 Desde el From WatchGuard® System Manager, seleccione el Firebox. Seleccione Tools > Firebox System
Manager.
También puede hacer click sobre el ícono del Firebox System Manager en la barra de tareas del WatchGuard
System Manager.
Guía del Usuario 321

Obteniendo el Estado de la Prevención de Intrusiones y su Actualización
2 Haga click en la pestaña Security Services.
La ventana muestra el estado de los servicios de seguridad instalados. Las licencias de estas opciones deben estar instaladas
para ver la información de estado.
3 Haga click en History para ver la fecha, versión y estado de las actualizaciones de firmas que hayan
ocurrido.
Actualizando las firmas manualmente
El Intrusion Prevention Service puede configurarse para actualizar las firmas automáticamente. Puede también
actualizar las firmas manualmente. Si las firmas en el Firebox no son actuales, no estará protegido de
los últimos virus y ataques. Para actualizar estos servicios manualmente:
1 Abra el Firebox System Manager.
2 Haga click en la pestaña Security Services.
Aparecerá el estado de los servicios de seguridad.
3 Haga click en Update sobre el servicio que quiera actualizar.
El Firebox descargará la actualización más reciente disponible de la firma. Verá información sobre la actualización en
Traffic Monitor.
Si no hay actualizaciones disponibles, el botón de Update no está activo.
322 WatchGuard System Manager

CA P Í T U LO 26
Configuración Avanzada de la Red
Nota
La mayoría de las funciones avanzadas de red descriptas en este capítulo —Quality of Service y protocolos
dinámicos de enrutamiento OSPF y BGP— sólo están disponibles en Fireware® Pro. Solamente el
protocolo dinámico de enrutamiento RIP está disponible con Fireware.
Las funciones de red avanzadas están diseñadas para dar al administrador del Firebox® más control y una
mayor eficiencia con el tráfico de una red que sea muy grande o de alto tráfico. Estas funciones incluyen:
Quality of Service (Calidad de Servicio, o QoS)
Esta función le permite establecer colas de prioridad, restricciones de ancho de banda y límites a la
tasa de conexiones para políticas individuales.
Enrutamiento dinámico
Además del enrutamiento estático, el Firebox puede usar los protocolos de enrutamiento dinámico
RIP versiones 1 y 2, OSPF versión 2 y BGP versión 4. Estos protocolos de enrutamiento permiten la
modificación dinámica de tablas de enrutamiento.
Creando Acciones QoS
Nota
Esta función sólo está disponible en Fireware® Pro.
En una red grande, con muchas computadoras, el volumen de datos movido a través del firewall puede ser
muy grande. Cuando el tráfico es excesivo para la red, hay paquetes de datos que se caen. Un administrador
de red puede prevenir la pérdida de datos para las aplicaciones de negocios importantes mediante Quality
of Service (QoS). Por ejemplo, se puede asignar que el tráfico del tipo intercambio de datos entre oficinas
centrales y sucursales tenga una prioridad más alta que el generado por la navegación por la web.
Con Fireware® Pro, se pueden establecer acciones de Quality of Service (QoS) y aplicarlas a las políticas, y así
asegurar que el ancho de banda esté siempre disponible para el tráfico importante.
También se puede definir una alarma que se dispare cuando la capacidad de la red resulte excedida, de
acuerdo con los parámetros establecidos para la acción QoS. Puede configurar la alarma para hacer que el
Firebox® envíe una notificación de evento al sistema de administración del SNMP, o que envíe una notifica-
Guía del Usuario 323

Creando Acciones QoS
ción en forma de correo electrónico o de ventana emergente en la estación de administración.
1 Desde el Policy Manager, seleccione Setup > Actions > QoS.
Aparecerá la caja de diálogo QoS Actions.
2 Haga click en Add.
Aparecerá la caja de diálogo New QoS.
3 Escriba el nombre y descripción de la acción QoS.
4 Establezca Priority en normal o alta para dar al tráfico un determinado tratamiento prioritario.
Estas categorías se conocen a menudo como colas.
5 Use la lista desplegable Maximum Bandwidth para establecer un conjunto de límites de ancho de
banda para esta acción.
Utilice No Limits para remover las restricciones de ancho de banda para el tráfico importante, o seleccione un ancho de
banda máximo de cierta cantidad de kilobytes por segundo. Cuando se alcance dicho ancho de banda, la acción QoS
comenzará.
6 Use la lista desplegable Connection Rate para establecer una cantidad máxima de conexiones por
segundo que pueden hacerse antes de que se inicie la acción QoS.
La configuración por defecto no pone límites a la tasa de conexiones. Si selecciona Custom, puede escribir la tasa máxima
de conexiones. Cuando este límite se alcance, la acción QoS comenzará.
7 Si quiere establecer una alarma cuando se exceda la tasa de ancho de banda o conexiones permitidas,
seleccione la casilla de verificación Alarm when capacity exceeded. Utilice esta alarma para determinar
si una política requiere más ancho de banda. Haga click en Notification y configure los parámetros
de notificación, como se describe en el capítulo 7.
324 WatchGuard System Manager

Creando Acciones QoS
8 Haga click en OK.
La nueva acción aparece en la caja de diálogo QoS Actions.
Aplicando acciones QoS a las políticas
Después de haber creado acciones QoS, usted puede aplicarlas a las políticas que ha configurado en el
Policy Manager. Para aplicar una acción QoS:
1 Desde el Policy Manager, haga doble click sobre la política a la que quiera añadir una acción QoS.
2 Seleccione la pestaña Advanced.
3 Desde la lista desplegable QoS, seleccione la acción QoS a aplicar a dicha política.
4 Use los botones View/Edit o New/Clone (a la derecha de los campos Schedule y QoS) para cambiar las
propiedades de la acción QoS o para crear una nueva de esa política.
5 Haga click en OK. Guarde los cambios en el Firebox.
Usando QoS en un ambiente de múltiple WAN
Cuando una acción QoS se aplica a una política de múltiple WAN con una configuración múltiple WAN en
modo Round Robin, los parámetros máximos establecidos para el ancho de banda y la tasa de conexiones
en la acción QoS controlan el rendimiento y la tasa de conexiones a lo largo de todas las interfaces. Esto
incluye todas las interfaces configuradas para rutear tráfico. Y también incluye las interfaces externas caídas.
Cuando una acción QoS se aplica a una política de múltiple WAN con una configuración múltiple WAN en
modo Failover, los parámetros máximos establecidos para el ancho de banda y la tasa de conexiones en la
acción QoS controlan el rendimiento y la tasa de conexiones de la única interfaz externa que esté en ese
momento enviando paquetes.
Guía del Usuario 325

Enrutamiento Dinámico
Enrutamiento Dinámico
Un protocolo de enrutamiento es el lenguaje con el que un router habla con otros routers para compartir
información sobre el estado de las tablas de enrutamiento de la red. Con el enrutamiento estático, las
tablas de enrutamiento se establecen y no cambiarn. Si un router en el camino remoto falla, un paquete
no puede llegar a destino.
El enrutamiento dinámico permite cambiar las tablas de enrutamiento en los routers cuando las rutas
cambian. Si el mejor camino hacia un destino no puede usarse, los protocolos de enrutamiento dinámico
cambian las tablas de enrutamiento cuando sea necesario para mantener en movimiento el tráfico de su
red. Fireware® Pro soporta los protocolos de enrutamiento dinámico RIP v1 y v2, OSPF y BGP v4. Fireware
soporta solamente RIP v1 y v2.
Archivos de configuración del demonio de enrutamiento
Para usar cualquier protocolo dinámico de enrutamiento con Fireware, se debe importar o escribir un
archivo de configuración de enrutamiento dinámico para el nuevo servicio (o “daemon”, demonio) de enrutamiento
que elija. Este archivo de configuración incluye información como la contraseña y el nombre del
archivo de log. Puede encontrar plantillas de configuración para cada protocolo de enrutamiento en el
siguiente FAQ:
https://www.watchguard.com/support/advancedfaqs/fw_dynroute-ex.asp
Encontrará una lista de los comandos de configuración soportados para cada protocolo de enrutamiento
en las secciones que siguen. Las secciones que siguen sobre comandos aparecen en el orden en que
deben ir en un archivo de configuración operativo.
Notas sobre los archivos de configuración:
• Los caracteres “!” y “#” son para comentarios. Si el primer carácter de una palabra es uno de ellos, el
resto de la línea se interpreta como comentario. Si el carácter de comentario no es el primer carácter
de una palabra, se interpreta como un comando.
• Usualmente, se puede usar la palabra “no” al principio de la línea para deshabilitar un comando. Por
ejemplo “no network 10.0.0.0/24 area 0.0.0.0” deshabilita el área backbone para la red especificada.
Usando RIP
RIP Versión 1
Nota
El soporte para este protocolo está disponible tanto para Fireware® como para Fireware Pro.
RIP (Routing Information Protocol) se usa para administrar información sobre el router en una red auto
contenida, como una LAN corporativa o una WAN privada. Con RIP, un gateway host envía su tabla de
enrutamiento hacia el router más cercano cada 30 segundos. Este router, a su vez, envía los contenidos de
sus tablas de enrutamiento hacia los routers vecinos.
RIP es mejor para redes pequeñas. Esto es así porque la transmisión de la tabla de enrutamiento completa
puede implicar una gran carga de tráfico para la red, y porque las tablas RIP están limitadas a 15 hops.
OSPF es una alternativa mejor para redes mayores.
RIP V1 utiliza un broadcast UDP sobre el puerto 520 para enviar actualizaciones hacia las tablas de enrutamiento.
Para crear o modificar un archivo de configuración de enrutamiento, aquí hay una tabla de coman-
326 WatchGuard System Manager

Usando RIP
dos de enrutamiento soportados. Las secciones deben aparecer en el archivo de configuración en el mismo
orden en que aparecen en esta tabla. También puede utilizar el mismo archivo de configuración RIP que se
encuentra en este FAQ:
https://www.watchguard.com/support/advancedfaqs/fw_dynroute-ex.asp
Sección Comando Descripción
Establecer contraseña simple o autenticación MD5 sobre una interfaz
interface eth[N]
ip rip authentication string [CONTRASEÑA]
key chain [KEY-CHAIN]
key [NUMERO ENTERO]
interface eth[N]
ip rip authentication mode md5
ip rip authentication mode key-chain [KEY-CHAIN]
Comenzar sección para establecer un
tipo de autenticación para la interfaz
Establecer contraseña de autenticación
RIP
Establecer nombre de key chain MD5
Establecer un número de MD5 key
Comenzar sección para establecer un
tipo de autenticación para la interfaz
Usar autenticación MD5
Establecer autenticación MD5
key-chain
Configurar el daemon de enrutamiento RIP
Router rip
version [1|2]
Activar el daemon RIP
Usar versión de RIP 1 ó 2 (por defecto,
es 2)
ip rip send version [1|2] Configurar RIP para enviar en versión 1
ó 2
ip rip receive version [1|2] Configurar RIP para recibir en versión 1
ó 2
no ip split-horizon
Configurar interfases y redes
no network eth[N]
passive-interface eth[N]
passive-interface default
network [A.B.C.D/M]
neighbor [A.B.C.D/M]
Distribuir rutas a pares RIP e inyectar rutas OSPF o BGP
hacia la tabla de enrutamiento RIP
Deshabilitar split-horizon, que está
habilitado por defecto
default-information originate
redistribute kernel
redistribute connected
redistribute connected routemap[MAPNAME]
redistribute ospf
redistribute ospf route-map[MAPNAME]
Compartir la ruta de último recurso (la
ruta por defecto) con los pares RIP.
Redistribuir rutas estáticas del firewall
a los pares RIP
Redistribuir las rutas de todas las inte-r
fases hacia los pares RIP
Redistribuir las rutas de todas las inter
fases hacia pares RIP, con un filtro de
mapas de ruta (mapname)
Redistribuir rutas desde OSPF hacia
RIP
Redistribuir rutas desde OSFP hacia
RIP, con un filtro de mapas de ruta
(mapname)
Guía del Usuario 327

Usando RIP
Sección Comando Descripción
redistribute bgp
redistribute bgp route-map [MAPNAME]
Configurar la redistribución de rutas con mapas de rutas
y listas de acceso
access-list [PERMIT | DENY] [LISTNAME]
[A.B.C.D/M | ANY]
route-map [MAPNAME] permit [N]
match ip address [LISTNAME]
Redistribuir rutas desde BGP hacia RIP
Redistribuir rutas desde BGP hacia RIP,
con un filtro de mapas de ruta
(mapname)
Crea una lista de acceso para permitir
o denegar la redistribución de solo
una dirección IP o para todas las
direcciones IP
Crea un mapa de ruta con un nombre
y permite con prioridad N
Configurando Fireware o Fireware Pro para usar RIP v1
1 Desde el Policy Manager, seleccione Network > Dynamic Routing.
La caja de diálogo Dynamic Routing Setup aparecerá.
2 Haga click en Enable Dynamic Routing y Enable RIP.
328 WatchGuard System Manager

Usando RIP
3 Haga click en Import para importar un archivo de configuración del demonio de enrutamiento, o escriba
su archivo de configuración en la caja de texto.
Si hace click en Import, puede navegar hacia la ubicación de la plantilla de configuración del demonio de RIP. Está ubicada
en C:\Documents and Settings\My Documents\My WatchGuard.
4 Haga click en OK.
Permitiendo el tráfico RIP v1 a través del Firebox
Debe añadir y configurar una política para permitir broadcasts RIP desde el router hacia la dirección de IP
para broadcast de la red. Debe también añadir la dirección IP a la interfaz del Firebox® en el campo To.
1 Desde el Policy Manager, seleccione Edit > Add Policies. Desde el listado de filtros de paquetes,
seleccione RIP. Haga click en Add.
Aparecerá la nueva ventana de New Policy Properties para RIP.
Guía del Usuario 329

Usando RIP
2 En la caja de diálogo New Policy Properties, configure la política para permitir el tráfico de la
dirección IP o de red del router que use RIP hacia la interfaz de Firebox® a la cual se conecta.
También debe añadir la dirección IP de broadcast de la red.
RIP Versión 2
3 Haga click en OK.
RIP v2 usa el método multicast para enviar actualizaciones de tablas de enrutamiento. Para crear o modificar
un archivo de configuración de enrutamiento, fíjese en la tabla de comandos RIP soportados en la sección
RIP Version 1. Cualquier comando que utiliza una dirección IP de red debe incluir la máscara de
subred, o RIP v2 no funcionará. Las secciones deben aparecer en el archivo de configuración en el mismo
orden en que aparecen en esa tabla.
330 WatchGuard System Manager

Usando RIP
Configurando Fireware para usar RIP v2
1 Desde el Policy Manager, seleccione Network > Dynamic Routing.
La caja de diálogo Dynamic Routing Setup aparecerá.
2 Haga click en Enable Dynamic Routing y Enable RIP.
3 Haga click en Import para importar un archivo de configuración de demonio de enrutamiento, o escriba
su archivo de configuración en la caja de texto.
Si hace click en Import, puede navegar hacia la ubicación de la plantilla de configuración del demonio de RIP. Está ubicada
en C:\Documents and Settings\My Documents\My WatchGuard.
4 Haga click en OK.
Permitiendo el tráfico RIP v2 a través del Firebox
Debe añadir y configurar una política para permitir multicasts RIP v2 desde los routers habilitados para RIP
v2 hacia las direcciones reservadas para multicast para RIP v2.
1 Desde el Policy Manager, seleccione Edit > Add Policies. Desde el listado de filtros de paquetes,
seleccione RIP. Haga click en Add.
Aparecerá la nueva ventana de New Policy Properties para RIP.
Guía del Usuario 331

Usando OSPF
2 En la ventana New Policy Properties, configure la política para permitir el tráfico desde la dirección IP
o de red del router que usa RIP hacia la dirección multicast 224.0.0.9.
3 Haga click en OK.
Usando OSPF
Nota
Esta función sólo está disponible en Fireware® Pro.
OSPF (Open Shortest Path First) es un protocolo interior del router utilizado en grandes redes. Con OSPF,
un router que ve un cambio en su tabla de enrutamiento, o detecta un cambio en la red, envía inmediatamente
una actualización multicast hacia todos los demás routers de la red. OSPF difiere de RIP en que:
• OSPF envía solamente la parte de la tabla de enrutamiento que cambió en su transmisión.
RIP envía la tabla de enrutamiento completa cada vez.
• OSPF envía un multicast solamente cuando su información cambió. RIP envía la tabla de
enrutamiento cada 30 segundos.
Hay otras cosas específicas que es importante entender sobre OSPF:
• Si tiene más de un área OSPF, una de ellas debe ser la 0.0.0.0 (el área backbone).
• Todas las áreas deben ser adyacentes al área backbone. Si no lo son, debe configurar un vínculo
virtual hacia el área backbone.
Configuración del demonio OSPF
Para crear o modificar un archivo de configuración de enrutamiento, he aquí un catálogo de comandos de
enrutamiento soportados. Las secciones deben aparecer en el archivo de configuración en el mismo orden
en que aparecen en esta tabla. También puede usar el archivo de configuración de muestra que está en
este FAQ:
https://www.watchguard.com/support/advancedfaqs/fw_dynroute-ex.asp
332 WatchGuard System Manager

Usando OSPF
Sección Comando Descripción
Configurar interfaz
ip ospf authentication-key [CONTRASEÑA]
interface eth[N]
ip ospf message-digest-key [KEY-ID] md5 [KEY]
ip ospf cost [1-65535]
ip ospf hello-interval [1-65535]
ip ospf dead-interval [1-65535]
ip ospf retransmit-interval [1-65535]
ip ospf transmit-delay [1-3600]
ip ospf priority [0-255]
Configurar el demonio de enrutamiento OSFP
router ospf
ospf router-id [A.B.C.D]
Establece la contraseña de autenticación
OSPF
Inicia la sección para establecer las
propiedades de la interfaz
Establece la key ID de autenticación
MD5 y la key.
Establece el costo del link para la
interfaz (tabla de costos más abajo)
Establece un intervalo para enviar
paquetes de saludo, por defecto
son 10 seg.
Establece un intervalo luego del último
saludo desde un vecino antes de
declararlo caído, por defecto son 40 seg.
Establece un intervalo entre los avisos
de retransmisiones link-state
advertisements (LSA), por defecto
son 5 seg.
Establece el tiempo requerido para
enviar una actualización del LSA, por
defecto es 1 seg.
Establece prioridad para el router, un
valor más alto incrementa la elegibilidad
para ser el router designado (DR)
Habilita el OSFP daemon
Establece manualmente el ID del router,
de lo contrario el router determinará su
propio ID
ospf rfc 1583compatibility Habilita compatibilidad RFC 1583
(esto puede conducir a “loops” de
enrutamiento)
ospf abr-type [cisco|ibm|shortcut|standard]
passive interface eth[N]
auto-cost reference bandwidth [0-429495]
timers spf [0-4294967295][0-4294967295]
Habilitar OSPF en una red
*La variable “Area” puede escribirse en dos formatos: [W.X.Y.Z]
o como un entero [Z].
network [A.B.C.D/M] area [Z]
Configurar propiedades para el área backbone u otras áreas
*La variable “Area” puede escribirse en dos formatos: [W.X.Y.Z]
o como un entero [Z].
area [Z] range [A.B.C.D/M]
Puede hallar más información sobre este
comando en draftietf-abr-alt-o5.txt
Deshabilita el anuncio OSPF en la
interfaz eth[N]
Establece un costo global (ver la tabla de
costos más abajo); no usar con el
comando “ip ospf [COST]”
Establece una demora horaria para OSPF
y un tiempo de espera
Anuncia OSFP en la red A.B.C.D/M para
el área 0.0.0.Z
Crea un área 0.0.0.Z y establece una red
“classful” para el área (el rango, interfaz
de red y configuración de la máscara
deben coincidir)
Guía del Usuario 333

Usando OSPF
Sección Comando Descripción
area [Z] virtual-link [W.X.Y.Z]
Establece un enlace virtual vecino para
el área 0.0.0.Z
area [Z] stub
Establece un área 0.0.0.Z como stub
area [Z] stub no-summary
area [Z] authentication
area [Z] authentication message-digest
Redistribuir rutas OSPF
default-information originate
default-information originate metrics [0-16777214]
default-information originate always
default-information originate always metrics [0-16777214]
redistribute connected
redistribute connected metrics
Configurar redistribución de la ruta con listas de acceso
y mapas de ruta
access-list [LISTNAME] permit [A.B.C.D/M]
access-list [LISTNAME] deny any
route-map [MAPNAME] permit [N]
match ip address [LISTNAME]
Permite autenticación simple por
contraseña para el área 0.0.0.Z
Habilita la autenticación MD5 para el
área 0.0.0.Z
Compartir ruta de último recurso (ruta
por defecto) con OSPF
Compartir ruta de último recurso (ruta
por defecto) con OSPF
Compartir ruta de último recurso (ruta
por defecto) con OSPF
Compartir ruta de último recurso (ruta
por defecto) con OSPF
Redistribuir rutas desde todas las
interfases hacia OSPF
Redistribuir rutas desde todas las
interfases hacia OSPF
Crea una lista de acceso para permitir la
distribución de A.B.C.D/M
Restringe la distribución de cualquier
mapa de ruta no especificado arriba
Crea un mapa de ruta con un nombre
[MAPNAME] y permite con una
prioridad [N]
Tabla de costos de la interfaz OSPF
El protocolo OSPF encuentra la ruta más eficiente entre dos puntos. Para hacerlo, busca factores como
velocidad de enlace de la interfaz, cantidad de hops entre puntos, y otras métricas. Por defecto, OSFP usa
la velocidad de enlace actual de un dispositivo para calcular el costo total de una ruta. Puede configurar el
costo de la interfaz manualmente para maximizar la eficiencia si, por ejemplo, su firewall de más de un
gygabyte se conecta a un router de 100M. Use las cifras en la tabla de costos de interfaces OSPF para configurar
manualmente el costo de la interfaz con un valor diferente del que la interfaz actual tiene.
Tipo de Interfaz Ancho de banda Ancho de banda Costo de la en
bits/segundo en bits/segundo interfaz OSPF
Ethernet 1G 100M 1
Ethernet 100M 10M 10
Ethernet 10M 1M 100
Modem 2M 200K 500
Modem 1M 100K 1000
Modem 500K 50K 2000
Modem 250K 25K 4000
Modem 125K 12500 8000
Modem 62500 6250 16000
334 WatchGuard System Manager

Usando OSPF
Tipo de Interfaz Ancho de banda Ancho de banda Costo de la en
bits/segundo en bits/segundo interfaz OSPF
Serial 115200 9216 10850
Serial 57600 4608 21700
Serial 38400 3072 32550
Serial 19200 1636 61120
Serial 9600 768 65535
Configurando Fireware Pro para usar OSPF
1 Desde el Policy Manager, seleccione Network > Dynamic Routing.
La caja de diálogo Dynamic Routing Setup aparecerá.
2 Haga click en la pestaña OSPF.
3 Haga click en Enable Dynamic Routing y Enable OSPF.
Guía del Usuario 335

Usando OSPF
4 Haga click en Import para importar un archivo de configuración de demonio de enrutamiento,
o escriba su archivo de configuración en la caja de texto.
Si hace click en Import, puede navegar hacia la ubicación de la plantilla de configuración del demonio de OSPF. Está ubicada
en C:\Documents and Settings\My Documents\My WatchGuard.
5 Haga click en OK.
Permitiendo el tráfico OSPF a través del Firebox
Debe añadir y configurar una política para permitir multicasts OSPF desde los routers habilitados para
OSPF hacia las direcciones de multicast reservadas para OSPF.
1 Desde el Policy Manager, seleccione Edit > Add Policies. Desde el listado de filtros de paquetes,
seleccione OSPF. Haga click en Add.
Aparecerá la nueva ventana de New Policy Properties para OSPF.
336 WatchGuard System Manager

Usando BGP
2 En la ventana New Policy Properties, configure la política para permitir el tráfico desde la dirección
IP o de red del router que usa OSPF hacia las direcciones IP 224.0.0.5 y 224.0.0.6. Haga click en OK.
Usando BGP
Nota
Esta función sólo está disponible en Fireware® Pro.
Border Gateway Protocol (BGP) es un protocolo de enrutamiento dinámico y escalable utilizado por grupos
de routers para compartir información de enrutamiento. BGP es el protocolo de enrutamiento que se usa en
la Internet. BGP usa parámetros de ruta o “atributos” para definir políticas de enrutamiento y crear un entorno
de enrutamiento estable. BGP le permite anunciar más de un camino hacia y desde la Internet hasta su
red y sus recursos. Esto le brinda caminos redundantes y puede incrementar su disponibilidad (uptime).
Los hosts que usan BGP utilizan TCP para enviar información actualizada sobre las tablas de enrutamiento
cuando encuentran un cambio. El host envía solamente la parte de la tabla de enrutamiento que tiene el
cambio. BGP usa “classless interdomain routing (CIDR)” para reducir el tamaño de las tablas de enrutamiento
de Internet. El tamaño de la tabla de enrutamiento BGP en Fireware® Pro está establecido en 32 K.
El tamaño de la típica red de área amplia (WAN) de los clientes de WatchGuard® se ajusta mejor al enrutamiento
por OSPF dinámico. Una WAN también puede usar External Border Gateway Protocol (EBGP) cuando
esté disponible más de un gateway hacia Internet. EBGP le permitirá tomar plena ventaja de la posible
redundancia que hay con una red que tenga dos o más Sistemas Autónomos independientes (multihomed
network).
Para participar en EBGP con un ISP debe tener un número autónomo de sistema, o ASN (Autonomous
System Number). Debe conseguir un ASN de uno de los registros regionales de la tabla de abajo. Luego de
tener asignado su propio ASN, debe contactar a cada ISP para obtener sus números AS y otra información
necesaria.
Guía del Usuario 337

Usando BGP
Región Nombre del registro Sitio web
Norteamérica ARIN www.arin.net
Europa RIPE NCC www.ripe.net
Asia Pacífico APNIC www.apnic.net
Latinoamérica LACNIC www.lacnic.net
África AfriNIC www.afrinic.net
Configuración del demonio BGP
Para crear o modificar un archivo de configuración de enrutamiento, he aquí un catálogo de comandos de
enrutamiento soportados. Las secciones deben aparecer en el archivo de configuración en el mismo orden
en que aparecen en esta tabla. También puede usar el archivo de configuración de muestra de BGP que
está en este FAQ:
https://www.watchguard.com/support/advancedfaqs/fw_dynroute-ex.asp
No use parámetros de configuración BGP que no le provea su ISP.
Sección Comando Descripción
Configurar el demonio de enrutamiento BGP
router bgp [ASN]
network [A.B.C.D/M]
no network [A.B.C.D/M]
Estableciendo propiedades para vecinos
neighbor [A.B.C.D] remote-as [ASN]
neighbor [A.B.C.D] ebgp-multihop
neighbor [A.B.C.D] version 4+
neighbor [A.B.C.D] update-source [WORD]
neighbor [A.B.C.D] default-originate
neighbor [A.B.C.D] port 189
neighbor [A.B.C.D] send-community
neighbor [A.B.C.D] weight 1000
neighbor [A.B.C.D] maximum-prefix [NUMERO]
ip community-list [|] permit AA:NN
Habilita el demonio de BGP y establece
un ASN provisto por su ISP
Anuncia BGP sobre la red [A.B.C.D/M]
Deshabilita anuncios de BGP en la red
[A.B.C.D/M]
Establece un vecino como miembro de
un ASN remoto
Establece un vecino de otra red usando
EBGP multi-hop
Establece BGP versión (4, 4+, 4-) para la
comunicación con el vecino,
por defecto es 4
Hace que la sesión BGP use una interfaz
específica para conexiones TCP
Anuncia una ruta por defecto al vecino
BGP [A.B.C.D]
Hace que el puerto TCP se comunique
con el vecino [A.B.C.D]
Establece una comunidad de envíos
entre pares
Establece un peso por defecto para las
rutas de vecinos [A.B.C.D]
Establece la cantidad máxima de prefijos
permitidos para este vecino
Especifica la comunidad a aceptar el
ASN y el número de red separados por
una coma.
338 WatchGuard System Manager

Usando BGP
Sección Comando Descripción
Peer Filtering
neighbor [A.B.C.D] distribute-list [LISTNAME] [IN|OUT]
neighbor [A.B.C.D] prefix-list [LISTNAME] [IN|OUT]
neighbor [A.B.C.D] filter-list [LISTNAME] [IN|OUT]
neighbor [A.B.C.D] route-map [MAPNAME] [IN|OUT]
Redistribuir rutas hacia BGP
redistribute kernel
redistribute rip
redistribute ospf
Establece una lista de distribución y una
dirección para un par
Para aplicar una lista prefijo que se hará
coincidir con los anuncios entrantes o
salientes hacia aquel vecino
Para hacer coincidir una lista de acceso a
un camino autónomo de sistema hacia
rutas entrantes o salientes.
Para aplicar un mapa de ruta a rutas
entrantes o salientes
Redistribuye rutas estáticas hacia BGP
Redistribuye rutas RIP hacia BGP
Redistribuye rutas OSPF hacia BGP
Reflexión de rutas
bgp cluster-id A.B.C.D
neighbor [W.X.Y.Z] route-reflector-client
Listas de acceso y Listas de prefijos IP
ip prefix-list PRELIST permit A.B.C.D/E
access-list NAME [deny|allow] A.B.C.D/E
route-map [MAPNAME] permit [N]
match ip address prefix-list [LISTNAME]
set community [A:B]
set community [A:B]
set local-preference [N]
Para configurar la ID del cluster si el
cluster BGP tiene más de un reflector
de ruta
Para configurar el router como reflector
de ruta BGP y configurar el vecino
especificado como su cliente
Establede una lista de prefijos
Establece una lista de acceso
En conjunto con los comandos “match” y
“set”, éste define las condiciones y
acciones para redistribuir rutas
Hace coincidir con la access_list
especificada
Establece el atributo de comunidad BGP
Hace coincidir la community_list
especificada
Establece el valor de preferencia para el
camino autónomo del sistema
Guía del Usuario 339

Usando BGP
Configurando Fireware Pro para usar BGP
1 Desde el Policy Manager, seleccione Network > Dynamic Routing.
La caja de diálogo Dynamic Routing Setup aparecerá.
2 Haga click en la pestaña BGP.
3 Haga click en Enable Dynamic Routing y Enable BGP.
4 Haga click en Import para importar un archivo de configuración del demonio de enrutamiento de BGP,
o escriba su archivo de configuración en la caja de texto.
Si hace click en Import, puede navegar hacia la ubicación de la plantilla de configuración del demonio de BGP. Está ubicada
en C:\Documents and Settings\My Documents\My WatchGuard.
5 Haga click en Select a BGP Configuration file. Haga click en OK.
340 WatchGuard System Manager

Usando BGP
Permitiendo el tráfico BGP a través del Firebox
Debe añadir y configurar una política para permitir tráfico BGP hacia el Firebox® desde las redes aprobadas.
Estas redes deben ser las mismas que definió en su archivo de configuración BGP.
1 Desde el Policy Manager, seleccione Edit > Add Policies. Desde el listado de filtros de paquetes,
seleccione BGP. Haga click en Add.
Aparecerá la nueva ventana de New Policy Properties para BGP.
2 En la ventana New Policy Properties, configure la política para permitir el tráfico desde la dirección IP o
de red del router que usa BGP hacia la interfaz de Firebox que conecta. Haga click en OK.
Guía del Usuario 341

Usando BGP
342 WatchGuard System Manager

CA P Í T U LO 27
Alta Disponibilidad
Nota
Alta Disponibilidad sólo está disponible en Fireware® Pro.
Alta Disponibilidad (HA) se refiere a la capacidad de una red de operar cuando el hardware o el software
falla. Si usted añade redundancia a su red, eliminará un punto de vulnerabilidad.
La función WatchGuard® High Availability permite la instalación de dos dispositivos Firebox® en una configuración
failover (es decir, que produce una migración de un equipo a otro tras una falla). La configuración
incluye un Firebox que identificaremos como el dispositivo primario y otro que identificaremos como el
secundario. Uno de ellos siempre estará en modo activo y, el otro, en standby. Estos dos Fireboxes se conocen
como “pares” (“peers”). Constantemente estarán enviándose mensajes entre ellos para comunicarse su
respectivo estado.
Cuando ocurre un failover, el sistema que está en standby se activa. Cuando un Firebox se activa, permanece
activo hasta que algo lo ponga fuera de línea y, entonces, el Firebox que está en standby se inicia como la
unidad activa.
Este capítulo incluye dos métodos para configurar Alta Disponibilidad. Use el primer método si los dispositivos
a configurar para Alta Disponibilidad son equipos Firebox X Core o Peak e-Series. Si los dos Firebox son
Firebox X Core o Peak e-Series y no e-Series, puede usar tanto el primero como el segundo método.
Requisitos de Alta Disponibilidad (HA)
He aquí los requisitos para la función de Alta Disponibilidad (HA):
• Un Firebox en cada par HA es el primario. Recomendamos usar el Firebox® con la mayor cantidad de
licencias de funciones y capacidades como el dispositivo primario para HA.
• Los dos Fireboxes en una configuración HA deben ser del mismo modelo y deben usar la misma
versión de software. Si la versión del software es diferente, debe actualizar la del Firebox que tenga la
versión más antigua, para que coincida con el otro Firebox. El Firebox con el software antiguo debe
tener licencia para usar el software actualizado.
• Cada interfaz activa sobre el Firebox primario para HA debe conectarse al mismo hub o switch, así
como su correspondiente interfaz activa sobre el Firebox secundario de HA.
• Cuando conecte dos equipos Firebox en un cluster HA, conecte el cable entre los puertos de número
más alto en cada Firebox. Si está configurando dos conexiones HA entre dispositivos Firebox, use los
dos puertos de número más alto en cada Firebox. Recomendamos que conecte los puertos luego de
haberlos configurado.
Guía del Usuario 343

Seleccionando un Firebox Primario de Alta Disponibilidad
• HA no operará correctamente si uno de los Fireboxes en el par de Alta Disponibilidad es el extremo
final de un túnel VPN creado y administrado por el Management Server.
• No se puede poner un WatchGuard Management Server detrás del gateway de un Firebox que
forme parte de un cluster HA.
Nota
La Alta Disponibilidad requiere una interfaz o interfaces dedicadas específicamente para
sincronización HA.
Seleccionando un Firebox Primario de Alta Disponibilidad
Cuando se activa Alta Disponibilidad, cada Firebox® en el par debe tener una “feature key” o clave que lo
habilite a usar la misma versión del software Fireware. Recomendamos que seleccione el Firebox con la
mayor cantidad de funciones habilitadas como Firebox primario. Si usted adquiere una actualización para
su par de Alta Disponibilidad, debe aplicar la actualización al número serial del Firebox primario cuando
active la actualización en el sitio de LiveSecurity. Ambos fireboxes en el par de Alta Disponibilidad usarán
las funciones licenciadas para el Firebox primario.
Si utiliza túneles IPSec VPN que usen certificados VPN para la autenticación, el Firebox secundario debe
obtener su propio sertificado IPSec VPN. Solamente el certificado del Management Server se copia desde
el Firebox primario hacia el secundario cuando ocurre un failover.
Configurando HA para Dispositivos Firebox X e-Series
1 Desde el Policy Manager en el Firebox de HA primario, seleccione Network > High Availability.
La caja de diálogo High Availability aparecerá.
344 WatchGuard System Manager

Configurando HA para Dispositivos Firebox X e-Series
2 Seleccione la casilla de verificación Enable High Availability.
3 Seleccione la casilla de verificación HA1 para la interfaz que hay que habilitar con High Availability.
4 En la caja de texto Primary Box IP, puede cambiar si lo desea la dirección IP que viene por defecto. Esta
dirección IP debería provenir de una red reservada o no asignada. Se convertirá en la dirección IP permanente
para esta interfaz.
5 En la caja de texto Secondary Box IP, escriba una dirección IP de la misma subred que la interfaz con
Alta Disponibilidad habilitada en el Firebox® activo.
Si usted no cambia la dirección IP por defecto del Firebox primario, tampoco cambie la dirección IP del Firebox secundario.
6 Si quiere usar la segunda interfaz de HA, seleccione la caja de verificación HA2 para habilitarla.
La interfaz HA2 es opcional.
7 Puede seleccionar las interfaces en las cuales quiere monitorear el estado de sus enlaces físicos. El
Firebox monitoreará las interfaces seleccionadas y, si la interfaz no está activa, inicia el proceso HA failover.
Haga click en la casilla de verificación adyacente al nombre de la interfaz para activar el monitoreo.
Deje vacía la caja de verificación adyacente al nombre de la interfaz para dejar de monitorearla.
Es una buena idea monitorear todas las interfaces habilitadas.
8 Use el valor Group ID para identificar este grupo HA en la red. Si utiliza más de un par HA en la misma
red, este número debe ser diferente para cada par.
9 Haga click en el botón radial Yes para encriptar todo el tráfico HA entre los Fireboxes. Esto usualmente
no es necesario, y usa más recursos.
o
haga click en el botón radial No para no encriptar el tráfico HA entre los Fireboxes.
10 (Si seleccionó el botón radial Yes) En el campo Shared Secret, escriba un secreto compartido para
encriptar el tráfico HA entre Fireboxes. Escriba de nuevo el secreto compartido en el campo Confirm.
11 Guarde esta configuración en el Firebox activo.
12 Cierre el Policy Manager.
Configurando el Firebox secundario de alta disponibilidad
El Firebox secundario de Alta Disponibilidad debe:
• Ser del mismo modelo que el Firebox primario de HA
• Tener una clave Feature Key válida
Antes de habilitar el Firebox secundario para HA, primero debe usar el asistente Web Quick Setup Wizard
para instalar Fireware® y una configuración básica para el Firebox. Cuando complete el Web Quick Setup
Wizard. ponga el Firebox en su red.
Activando la alta disponibilidad
Luego de que los Fireboxes HA primario y secundario estén configurados:
1 Abra el Firebox System Manager para el Firebox que quiere que sea su HA Firebox secundario.
2 Seleccione Tools > High Availability > Enable as Secondary.
Aparecerá la caja de advertencia Confirm Enable as Secondary.
Guía del Usuario 345

Configurando HA para Dispositivos Firebox X (no e-Series)
3 Haga click en Yes para resetear el Firebox a su estado por defecto y configúrelo como HA Firebox
secundario en el par HA.
Debe escribir la frase clave de la configuración para el HA Firebox secundario.
4 Use un cable cruzado para conectar la interfaz HA1 (eth7) de un Firebox con la interfaz HA1 del otro. Si
está habilitada la interfaz HA2 (eth6), conecte asimismo ambas interfaces HA2.
5 Abra el Firebox System Manager para el Firebox HA primario y seleccione Tools > High Availability
> Synchronize Configuration. Cuando se pueda, escriba la frase clave de la configuración.
Verá un mensaje que dice “High Availability is enabled”, o sea que HA ya está habilitada.
Configurando HA para Dispositivos Firebox X (no e-Series)
1 Desde el Policy Manager, seleccione Network > High Availability.
La caja de diálogo High Availability aparecerá.
2 Seleccione la casilla de verificación Enable High Availability.
3 Seleccione la casilla de verificación HA1 para la interfaz que va a habilitar para HA.
4 En la caja de texto Primary Box IP, puede cambiar la dirección IP que viene por defecto. Esta dirección
IP debería provenir de una red reservada o no asignada. Se convertirá en la dirección IP permanente
para esta interfaz.
5 En la caja de texto Secondary Box IP, escriba una dirección IP de la misma subred que la interfaz con
Alta Disponibilidad habilitada en el Firebox® activo.
6 Seleccione la casilla de verificación HA2 para habilitar la interfaz HA2.
La interfaz HA2 es opcional.
7 Use el valor Group ID para identificar este grupo HA en la red. Si utiliza más de un par HA en la misma
red, este número debe ser diferente para cada par.
8 Haga click en el botón radial Yes para encriptar todo el tráfico HA entre los Fireboxes. Esto usualmente
no es necesario, y usa más recursos.
o
Haga click en el botón radial No para no encriptar el tráfico HA entre los Fireboxes.
346 WatchGuard System Manager

Controlando Manualmente la Alta Disponibilidad
9 (Si seleccionó el botón radial Yes) En el campo Shared Secret, escriba un secreto compartido para
encriptar el tráfico HA entre Fireboxes. Escriba de nuevo el secreto compartido en el campo Confirm.
10 Guarde esta configuración en el Firebox activo.
11 Cierre el Policy Manager.
12 Use un cable cruzado para conectar la interfaz HA1 (eth5) de un Firebox con la interfaz HA1 del otro. Si
está habilitada la interfaz HA2 (eth4), conecte asimismo ambas interfaces HA2.
13 Ponga la unidad secundaria en modo seguro. Para hacerlo, apague el Firebox, luego délo vuelta hacia
usted y oprima el botón que tiene una flecha hacia arriba en el panel frontal del Firebox.
Botón con flecha hacia arriba
14 Inicie el Start Firebox System Manager y conéctese al Firebox primario.
15 Seleccione Tools > High Availability > Synchronize Configuration. Cuando se pueda, escriba la frase
clave de la configuración.
Verá un mensaje que dice “High Availability is enabled”, o sea que HA ya está habilitada.
Controlando Manualmente la Alta Disponibilidad
Aunque las operaciones de Alta Disponibilidad usualmente se producen automáticamente, también se pueden
hacer algunas de estas funciones manualmente.
Forzando un failover
Se puede forzar que ocurra un failover. El sistema que está en standby se convertirá en activo inmediatamente.
Desde el Firebox® System Manager, seleccione Tools > High Availability > Force Failover.
Sincronizando la configuración
Debe sincronizar la configuración cuando la configuración de un Firebox cambia mientras el otro está desconectado
del par HA, o bien apagado.
Desde Firebox System Manager, seleccione Tools > High Availability > Synchronize Configuration.
Reiniciando el par
Cuando usted se conecta a una configuración HA, se comunica solamente con el Firebox activo. Para reiniciar
el par de Fireboxes, debe enviar al Firebox activo un comando.
Desde el Firebox System Manager, seleccione Tools > High Availability > Restart Peer.
Nota
Cuando un Firebox está en una condición donde hay mucho tráfico y usted utilice el Firebox System
Manager para controlar operaciones HA, puede llegar a obtener mensajes de “time-out” (expiración)
incorrectos. En este caso, la operación puede haberse completado, y es posible que el mensaje de
time-out no sea correcto.
Guía del Usuario 347

Actualizando el Software en una Configuración HA
Respaldando una configuración HA
Cuando un Firebox está en un par de Alta Disponibilidad, puede respaldar su imagen flash solamente
cuando éste es el Firebox activo. Esto es porque la imagen de respaldo incluye la información del sistema y
las políticas, los certificados y las licencias, que no existen en el Firebox secundario hasta que se produce
un failover. Para crear una imagen de respaldo (.fxi) en el Firebox activo:
1 Desde el Policy Manager, seleccione File > Backup.
2 Escriba la frase clave de la configuración. Haga click en OK.
3 Escriba y confirme una clave de encriptación. Esta clave se usa para encriptar el archivo de respaldo.
Escriba una clave de encriptación fuerte que sea fácil de recordar.
4 Navegue hasta encontrar el archivo de respaldo, o escriba su nombre. Haga click en OK.
Será creado el archivo de respaldo.
5 Haga click en OK cuando el respaldo esté completo.
Actualizando el Software en una Configuración HA
Si instala el software en el Firebox® activo, el Firebox que está en standby en la configuración HA no se
actualizará automáticamente. Así que debe actualizar cada Firefox. Actualice primero el Firebox primario.
Cuando éste se reinicie, el que está en standby se convertirá en activo. Entonces podrá actualizarlo. No
podrá actualizar el software de un Firebox cuando esté en modo stand by.
Usando HA con Servicios de Seguridad Basados en Firmas
Las bases de datos de firmas para Gateway AntiVirus y Intrusion Prevention Service (IPS) no se sincronizan
automáticamente entre el dispositivos HA activos y los que están en standby.
Si las funciones de antivirus e IPS están habilitadas y ocurre un incidente que causa que el Firebox® en
standby se convierta en activo, este dispositivo puede tener una versión desactualizada de las bases de
datos de firmas para Gateway AntiVirus e IPS (especialmente si estuvo en standby por largo tiempo). Hasta
que sea actualizada la base de datos, pasará un tiempo durante el cual un virus nuevo podría sobrepasar
el Firebox.
Para minimizar este problema, mantenga los intervalos de actualización de las firmas para Gateway
AntiVirus y Intrusion Prevention Service habilitados y breves. Si es posible, fuerce una actualización manual
de firmas sobre el nuevo Firebox activo inmediatamente después de ocurrido el failover.
Usando HA con Sesiones Proxy
Cuando se activa Alta Disponibilidad con la configuración por defecto, todas las sesiones TCP salientes son
desconectadas al ocurrir un failover. Los usuarios deben reestablecer manualmente todas las sesiones
interactivas o persistentes. Esto es porque el estado de la sesión de la proxy no es retenido entre los pares
HA, y la configuración por defecto tiene una proxy TCP por defecto para todas las sesiones. Las sesiones de
filtrado de paquetes sí se mantienen, pero el filtro de paquetes no se usa por defecto. Considere añadir
políticas específicas de filtrado de paquetes a su configuración para telnet, ssh o cualquier otra política
para la cual quiera un failover. Note que IPS no operará con estas nuevas políticas.
348 WatchGuard System Manager

APENDICE A
Copyright y Licenciamiento
Acuerdo de Licencia de Usuario Final del Software WatchGuard Firebox
I M P O R TANTE - LEA CUIDADOSAMENTE ANTES DE ACCEDER AL SOFTWARE WATCHGUARD:
Este acuerdo para el usuario final del software Firebox (“A C U E R D O”) es un acuerdo legal entre Usted (individuo o
entidad legal) y WatchGuard Technologies, Inc. (“WATC H G U A R D”) para el producto de software WATC H G U A R D
Firebox, el cual incluye componentes de software (tanto instalados separadamente en una computadora
workstation o en el producto de hardware WATC H G U A R D ) y puede incluir soportes asociados, materiales impresos,
documentación en línea o electrónica y cualquier actualización o modificación que se produzca de aquí en
adelante, incluyendo aquellas recibidas a través de (o su equivalente) el WatchGuard LiveSecurity Service (el
“P R O D U C TO DE SOFTWA R E”). WATC H G U A R D está dispuesta a licenciar el “P R O D U C TO DE SOFTWA R E”
sólo a Usted, bajo la condición de que acepta todos los términos contenidos en este ACUERDO. Por favor léalo
cuidadosamente. Al instalar o usar el PRODUCTO DE SOFTWARE, Usted acepta estar sometido a los términos del
mismo.
Si Usted no está de acuerdo con los términos de este A C U E R D O, WATC H G U A R D no le licenciará el P R O D U C TO
DE SOFTWA R E y usted no tendrá ningún derecho a éste. En ese caso, (1) si el P R O D U C TO DE SOFTWA R E fue
asociado con un producto de hardware, rápidamente devuelva el P R O D U C TO DE SOFTWA R E y el producto de
hardware, junto con una prueba del pago, al distribuidor autorizado del cual obtuvo el P R O D U C TO DE SOFT-
WA R E y el producto de hardware para un completa devolución del precio que haya pagado o (2) si el P R O D U C-
TO DE SOFTWA R E fue vendido por separado, rápidamente devuelva cualquier clave de licencia para el P R O -
D U C TO DE SOFTWA R E, junto con la prueba del pago, a: (i) el distribuidor autorizado del cual ha obtenido el
P R O D U C TO DE SOFTWA R E o (ii) si lo compró directamente de WATC H G U A R D, a WATC H G U A R D para una
completa devolución del precio que Usted pagó. El producto de hardware WATC H G U A R D está sujeto a un acuerdo
separado y una garantía de hardware limitada, que se incluye con el paquete del producto de hardware
WATC H G U A R D y/o su documentación asociada.
1. Propiedad y Licencia. El PRODUCTO DE SOFTWA R E está protegido por las leyes del copyright y los tratados
internacionales de copyright, así como otras leyes y tratados de propiedad intelectual. Este es un acuerdo
de licenciamiento y NO un acuerdo para venta. Todos los títulos y copyrights en y del P R O D U C TO DE SOFTWA-
R E (incluida, pero sin limitarse a, cualquier imagen, fotografía, animaciones, video, audio, música, texto y applets
incorporadas al P R O D U C TO DE SOFTWA R E), los materiales impresos acompañantes y cualquier copia del P R O-
D U C TO DE SOFTWA R E son propiedad de WATC H G U A R D o sus licenciatarios. Sus derechos a usar el P R O D U C -
TO DE SOFTWA R E están especificados en este A C U E R D O y WATC H G U A R D retiene todos los derechos no
expresamente otorgados en este A C U E R D O. Nada en este A C U E R D O constituye una concesión de nuestros derechos
bajo la ley de copyright de EEUU o cualquier otra ley o tratado.
2. Usos permitidos. A Usted se le conceden los siguientes derechos sobre el P R O D U C TO DE SOFTWA R E: (A)
Usted podrá instalar y usar el P R O D U C TO DE SOFTWA R E en cualquier producto único de hardware WATC H -
G U A R D y en cualquier ubicación única y podrá instalar y usar el P R O D U C TO DE SOFTWA R E en múltiples
workstations.
Guía del Usuario 349

(B) Para usar el P R O D U C TO DE SOFTWA R E en más de un hardware WATC H G U A R D al mismo tiempo, usted
debe comprar una copia adicional del P R O D U C TO DE SOFTWA R E para cada producto de hardware WATC H -
G U A R D en el cual quiera usarlo. En la medida en que usted instale copias del P R O D U C TO DE SOFTWA R E en
otros productos de hardware WATC H G U A R D -de acuerdo al enunciado anterior-, sin instalar las copias adicionales
del P R O D U C TO DE SOFTWA R E incluidas con esos productos de hardware WATC H G U A R D , Usted acepta
que el uso de cualquier software provisto con o incluido en los productos de hardware WATC H G U A R D adicionales,
que no requiera instalación, estará sujeto a los términos y condiciones de este A C U E R D O. Usted deberá
también mantener una suscripción actualizada al WatchGuard LiveSecurity Service (o su equivalente) por
cada producto de hardware WATC H G U A R D adicional en el cual use una copia o una versión actualizada o
modificada del P R O D U C TO DE SOFTWA R E recibido mediante el WatchGuard LiveSecurity Service (o su equivalente).
(C) Además de las copias descriptas en la sección 2(A), usted podrá hacer una única copia del P R O D U C TO DE
S O F T WA R E para propósitos de respaldo o archivo, solamente.
3. Usos prohibidos. Usted no podrá sin el permiso expreso y escrito de WATC H G U A R D: (A) Usar, copiar,
modificar, mezclar o transferir copias del P R O D U C TO DE SOFTWA R E o los materiales impresos, excepto como
se provee en este A C U E R D O; (B) Usar cualquier copia de respaldo o archivo de este P R O D U C TO DE SOFT-
WA R E para cualquier propósito distinto de reemplazar a la copia original en el caso de que se destruyera o volviera
defectuosa; (C) Sublicenciar, prestar, dar en “leasing” o alquilar el P R O D U C TO DE SOFTWA R E; (D)
Transferir esta licencia a otro, a menos que
(i) la transferencia sea permanente,
(ii) la parte receptora acepte los términos de ese A C U E R D O, y
(iii) usted no retenga ninguna copia del P R O D U C TO DE SOFTWA R E; o
(E) Realizar ingeniería inversa, desensamblar o descompilar el P R O D U C TO DE SOFTWA R E.
4. Garantía Limitada. WATC H G U A R D otorga las siguientes garantías limitadas por un período de noventa (90)
días desde la fecha que Usted obtenga el P R O D U C TO DE SOFTWARE de WATC H G U A R D o de un distribuidor
autorizado: (A) Soporte. Los discos y la documentación estarán libres de defectos en los materiales y la
manufactura bajo circunstancias de uso normales. Si los discos o la documentación fallaran en cumplir esta
garantía, Usted podrá, como única reparación, obtener el reemplazo sin cargo si devuelve el disco o la documentación
fallados a WATC H G U A R D con una prueba de compra fechada. (B) P R O D U C TO DE SOFTWA R E. El
P R O D U C TO DE SOFTWA R E cumplirá materialmente lo especificado en la documentación que lo acompaña. Si
el P R O D U C TO DE SOFTWA R E falla en operar de acuerdo a lo descrito en esta garantía, Usted podrá, como
única reparación, devolver todo el P R O D U C TO DE SOFTWA R E y la documentación al distribuidor autorizado
del cual lo obtuvo, junto con una prueba de compra fechada, especificando los problemas, y ellos le proveerán
una nueva versión del P R O D U C TO DE SOFTWA R E o una devolución completa a elección del distribuidor.
Renuncia de responsabilidad y notificación. LAS GARANTÍAS, OBLIGACIONES Y RESPONSABILIDADES
DE WATCHGUARD, Y SUS REPARACIONES, EXPRESADOS EN LOS PÁRRAFOS 4, 4(A) Y 4(B) MAS
ARRIBA SON EXCLUYENTES, SUSTITUYEN OTRAS GARANTÍAS Y USTED DE AQUÍ EN ADELANTE
CONDONA, RENUNCIA Y LIBERA A CUALQUIERA Y TODAS LAS OTRAS GARANTÍAS, OBLIGACIO-
NES Y RESPONSABILIDADES DE WATCHGUARD Y SUS LICENCIATARIOS Y TODO OTRO DERECHO A
REIVINDICACIÓN O REPARACIÓN QUE USTED TUVIERA FRENTE A WATCHGUARD Y SUS LICENCIA-
TARIOS, EXPRESO O IMPLÍCITO, DEVENIDO POR LEY O DE OTRO MODO, CON RESPECTO A CUAL-
QUIER NO CUMPLIMIENTO O DEFECTO DEL PRODUCTO DE SOFTWARE (INCLUIDAS, PERO SIN
L I M I TARSE A ELLAS, CUALQUIER GARANTÍA DE VIABILIDAD COMERCIAL, O ADECUACIÓN PA R A
UN PROPÓSITO PARTICULAR, CUALQUIER GARANTÍA IMPLÍCITA DEVENIDA DEL COMPORTA M I E N-
TO O ADAPTACIÓN PARA UN PROPÓSITO PARTICULAR, CUALQUIER GARANTÍA IMPLÍCITA DEVENI-
DA DE LOS USOS DEL COMERCIO, CUALQUIER GARANTÍA DE NO INFRACCIÓN, CUALQUIER
GARANTÍA DE QUE EL PRODUCTO DE SOFTWARE CUMPLIRÁ SUS REQUERIMIENTOS, CUALQUIER
GARANTÍA DE OPERACIÓN SIN INTERRUPCIONES Y LIBRE DE ERRORES, CUALQUIER OBLIGACIÓN,
RESPONSABILIDAD, DERECHO, RECLAMO, O REPARACIÓN POR DAÑO, DEVENGA O NO DE LA
NEGLIGENCIA (TA N TO ACTIVA, PASIVA O IMPUTADA) O FALLA DE WATCHGUARD Y SUS LICEN-
C I ATARIOS, Y CUALQUIER OBLIGACIÓN, RESPONSABILIDAD, DERECHO, RECLAMO O REPA R A C I Ó N
POR PÉRDIDA O DAÑO CAUSADO POR, O QUE CONTRIBUYA A CAUSAR, EL PRODUCTO DE SOFT-
WARE).
350 WatchGuard System Manager

Limitación de Responsabilidad. LA RESPONSABILIDAD DE WATCHGUARD (TA N TO POR CONTRATO, DAÑO
U OTRO TIPO; Y NO MEDIANDO CUALQUIER FALLA, NEGLIGENCIA, RESPONSABILIDAD ESTRICTA O
RESPONSABILIDAD DEL PRODUCTO) CON RELACIÓN AL PRODUCTO DE SOFTWARE, EN NINGÚN
CASO EXCEDERÁ EL PRECIO DE COMPRA PAGADO POR ESE PRODUCTO. ESTO SERÁ VÁLIDO AUN
EN EL CASO DE FALLA DE UNA REPARACIÓN ACORDADA. EN NINGÚN CASO WATCHGUARD SERÁ
RESPONSABLE ANTE USTED O ANTE UNA TERCERA PARTE, ASÍ DEVENGA DEL CONTRATO (INCLU-
YENDO LA GARANTÍA) O POR DAÑO (INCLUYENDO NEGLIGENCIA ACTIVA, PASIVA O IMPUTADA Y
E S T R I C TA RESPONSABILIDAD Y FALLA), NI POR CUALQUIER DAÑO INDIRECTO, ESPECIAL, INCIDEN-
TAL O CONSECUENTE (INCLUYENDO SIN LIMITACIÓN PÉRDIDA DE LAS GANANCIAS DEL NEGOCIO,
INTERRUPCIÓN DEL NEGOCIO, PÉRDIDA DE LA INFORMACIÓN COMERCIAL) DEVINIENDO DE O EN
CONEXIÓN CON ESTA GARANTÍA O EL USO O INCAPACIDAD DE USAR EL PRODUCTO DE SOFTWA-
RE, AÚN SI WATCHGUARD HA SIDO NOTIFICADO DE LA POSIBILIDAD DE TALES DAÑOS. ESTO SERÁ
VÁLIDO AUN EN EL CASO DE FALLA DE UNA REPARACIÓN ACORDADA.
5. Derechos restringidos del Gobierno de Estados Unidos. El PRODUCTO DE SOFTWA R E es provisto con
Derechos Restringidos. El uso, duplicación o revelación por el Gobierno de E E U U o cualquier agencia o instrumentalidad
está sujeto a restricción de acuerdo a lo establecido en la subdivisión (c)(1)(ii) de los Derecho en Datos
Técnicos y Software de Computadoras cláusula DFARS 252.227-701 3 , o en la subdivisión (c)(1) y (2) del
Software Comercial de Computadoras – Cláusula de Derechos Restringidos 48 C.F.R. 52.227-19, como sea aplicable.
El Fabricante es WatchGuard Technologies, Inc., 505 5th Ave. South, Suite 500, Seattle, WA 98104.
6. Control de Exportación. Usted acuerda no transferir directa o indirectamente el PRODUCTO DE SOFTWARE o su
documentación a ningún país para el cual dicha transferencia pudiera estar prohibida por el Acta de
Administración de Exportaciones de EEUU y las regulaciones hechas bajo la misma.
7. Terminación. Esta licencia y su derecho a usar el P R O D U C TO DE SOFTWA R E terminarán automáticamente si
Usted falla en cumplir con cualquiera de las provisiones de este A C U E R D O, o si destruye todas las copias del
P R O D U C TO DE SOFTWA R E en su posesión y la documentación, o voluntariamente devuelve el P R O D U C TO DE
S O F T WARE A WATC H G U A R D . Tras la terminación Usted destruirá todas las copias del P R O D U C TO DE SOFT-
WA R E y la documentación que permanezca en su control o posesión.
8. Provisiones Misceláneas. Este A C U E R D O se regirá por y es creado de acuerdo a las leyes correspondientes de
Washington, excluyendo la Convención de las Naciones Unidas para contratos para la venta internacional de
bienes de 1980, como se enmendó. Este es un A C U E R D O completo entre nosotros, relacionado al P R O D U C TO
DE SOFTWA R E y suprime cualquier previa orden de compra, comunicación, publicidad o representaciones concernientes
al P R O D U C TO DE SOFTWARE Y, POR USAR EL PRODUCTO DE SOFTWARE, USTED ACEPTA
E S TOS TÉRMINOS. SI EL PRODUCTO ESTÁ SIENDO USADO POR UNA PERSONA JURÍDICA, EL INDI-
VIDUO QUE INDICA LA CONFORMIDAD CON ESTOS TÉRMINOS REPRESENTA Y GARANTIZA QUE (A)
ESE INDIVIDUO ESTÁ DEBIDAMENTE AUTORIZADO PARA ACEPTAR ESTE ACUERDO; (B) LA PERSONA
JURÍDICA TIENE LA COMPLETA CAPACIDAD, CORPORATIVA Y DE CUALQUIER TIPO, PARA ENTRAR
EN ESTE ACUERDO Y; (C) ESTE ACUERDO Y SU CUMPLIMIENTO POR PARTE DE LA PERSONA
JURÍDICA NO VIOLA NINGÚN ACUERDO DE LA PERSONA JURÍDICA CON TERCERAS PARTES DEL
CUAL LA PERSONA JURÍDICA SEA PA R T E . Ningún cambio o modificación de este A C U E R D O será válido a
menos que esté por escrito y sea firmado por WATC H G U A R D.
Versión: 050309
WatchGuard Technologies, Inc.
Acuerdo de Licencia de Usuario final para productos o servicios adicionales
I M P O R TANTE: LEA CUIDADOSAMENTE. ESTE ACUERDO DE LICENCIA DE USUARIO FINAL DEL PRO-
D U C TO O SERVICIO ADICIONAL. (EL “ACUERDO”) ES UN ACUERDO LEGAL ENTRE USTED, EL CLIEN-
TE (“CLIENTE”) Y WATCHGUARD TECHNOLOGIES, INC. (“WATCHGUARD”). PARA ACTIVAR EL PRO-
D U C TO O SERVICIO ADICIONAL DESCRIPTO MÁS ABAJO (“PRODUCTO O SERVICIO ADICIONAL”), O
RENOVAR O ACTUALIZAR SU PRODUCTO O SERVICIO ADICIONAL USTED DEBERÁ PRIMERO LEER
ESTE ACUERDO Y ACORDAR ACEPTAR SUS TÉRMINOS INDICANDO SU ACEPTA C I Ó N COMO LO INDI-
Guía del Usuario 351

CA EL TEXTO ASOCIADO CON LA PRESENTACIÓN DE ESTE ACUERDO. SI USTED NO ACEPTA LOS
TÉRMINOS DE ESTE ACUERDO, SU SOLICITUD DE ACTIVACIÓN, RENOVACIÓN O ACTUALIZACIÓN
NO SERÁ ACEPTADA Y USTED NO TENDRÁ ACCESO AL PRODUCTO O SERVICIO ADICIONAL.
SI USTED QUIERE DECLINAR LA ACEPTACIÓN, USTED DEBE INDICAR QUE DECLINA CUANDO SE
LO PREGUNTE EL TEXTO RELACIONADO CON LA ACEPTACIÓN DE ESE ACUERDO. SI USTED QUIERE
DECLINAR LA ACEPTACIÓN DE ESTE ACUERDO, SU COMPRA NO SERÁ COMPLETADA O USTED
DEBERÁ DEVOLVER INMEDIATAMENTE LAS CLAVES DE LICENCIA PARA EL PRODUCTO O SERVICIO
ADICIONAL (DEFINIDO MÁS ABAJO), JUNTO CON LA PRUEBA DEL PA G O, AL DISTRIBUIDOR AUTO-
RIZADO O, si fue comprado directamente a WATC H G U A R D , a WATCHGUARD, PARA UNA DEVOLUCIÓN
TOTAL DEL PRECIO QUE USTED PA G Ó. WatchGuard y el Cliente de aquí en adelante acuerdan que:
1 Definiciones. Como se uso aquí, los siguientes términos, en mayúsculas, deberán tener los siguientes significados:
“Producto o Servicio Adicional” significa la licencia de software y el servicio renovable de suscripción, que
generalmente es puesto a disposición por Watchguard a sus clientes comprando el producto o servicio equivalente
(incluyendo niveles de servicio si fuera aplicable), como se indica en las Claves de Licencia, las cuales pueden
incluir la provisión o el acceso a Software, Firmas de Amenazas, información u otros ítems o servicios, los
cuales están sujetos a cambios por WatchGuard de vez en cuando. “Software” significa cualquier software de
WatchGuard, lo que incluye componentes de software de computadora, tanto instalados separadamente en
workstations o en un producto de hardware de WatchGuard) y pueden incluir soportes asociados, materiales
impresos y documentación electrónica o en línea, y cualquier actualización o modificación hasta allí, incluyendo
aquellas recibidas a través de WatchGuard LiveSecurity Service (o su equivalente) o el producto o servicio adicional.
“Clave de Licencia” significa la clave de licencia u otra documentación escrita o en línea provista al
cliente evidenciando la compra del cliente o la renovación o actualización (según sea aplicable) del producto o
servicio. “Firmas de Amenazas” significa cualquier información usada para revisar e identificar amenazas cibernéticas
conocidas que caen dentro de clases específicas (por ejemplo, firmas de virus o firmas de prevención de
intrusión).
2. Producto o Servicio Adicional. WatchGuard hará que el Producto o Servicio adicional esté accesible al cliente
dentro del Período. El Cliente acuerda que (i) un Producto o Servicio adicional (y todos los beneficios asociados
con el Producto o Servicio adicional) pueden solamente ser usados en conjunto con el número de productos de
WatchGuard que expresamente provee la Clave de Licencia, y que deberán ser compradas licencias o subscripciones
para Productos o Servicios Adicionales para productos WatchGuard que hayan de recibir cualquier beneficio
de Producto o Servicio adicional (ii) una renovación o actualización a un producto adicional (y todos los
beneficios asociados con la renovación o actualización del Producto o Servicio adicional) puede solamente ser
usada en conjunto con el número de productos WatchGuard que expresamente provee en la Clave de Licencia
de la renovación o actualización y deberán ser compradas Claves de Licencias para renovaciones o actualizaciones
extras para que productos WatchGuard reciban los beneficios de las renovaciones o actualizaciones.
3 Tarifas de Productos o Servicios Adicionales. El Cliente le pagará a WatchGuard la tarifa aplicable para el
Producto o Servicio Adicional y cualquiera y todas las tarifas aplicables de renovaciones y actualizaciones de
Productos y Servicios Adicionales comprados, cada uno como haya establecido WatchGuard periódicamente.
Las tarifas del Producto o Servicio Adicional y la renovación o actualización del Producto o Servicio adicional no
son reembolsables al cliente aún en el caso de terminación del acuerdo de acuerdo a la sección 6 antes de la
expiración del Período inicial, o cualquier renovación del Período.
El período de este Acuerdo (“Período”) comenzara desde la aceptación de este Acuerdo y la activación del
Producto o Servicio Adicional o la renovación o actualización del Producto o Servicio Adicional por el Cliente, y
terminará por la expiración del Período especificado en la Clave de Licencia aplicable, a menos que sea renovado
de acuerdo con la sección 5 o tempranamente terminado de acuerdo con la sección 6. El Período del acuerdo de
Licencia de Usuario Final del Software WatchGuard Firebox Software es aplicable a todo el software asociado
con el Producto o Servicio Adicional, como se describe más abajo, y deberá ser establecido en aquel acuerdo de
licencia de usuario final.
5. Renovación. WatchGuard podrá establecer diferentes opciones de renovación de vez en cuando, que serán
efectivas como la renovación consiguiente a la Sección 5 una vez que el pago haya sido hecho de acuerdo a
cada opción. A pesar de lo anterior, las renovaciones podrán no ser accesibles para Clientes con productos
WatchGuard que hayan sido discontinuados o que WatchGuard ya no soporte para propósitos de Productos o
352 WatchGuard System Manager

Servicios Adicionales.
6. Terminación. Cualquier parte podrá terminar este acuerdo si la otra parte se encuentra en incumplimiento
material de este acuerdo y no subsana ese incumplimiento dentro de los quince (15) días de la recepción de una
comunicación escrita del mismo, con la excepción de que WatchGuard podrá terminar este Acuerdo inmediatamente
si el Cliente no pagara cualquier tarifa aplicable al momento de su vencimiento.
7. Licencia de Software. El Cliente expresamente acuerda que el uso de de todo el Software asociado con el
Producto o Servicio Adicional se manejará solamente de acuerdo a los términos y condiciones del Acuerdo de
Licencia de Usuario Final del WatchGuard Firebox Software “P R O D U C TO DE SOFTWA R E” o, si fuera aplicable, el
acuerdo de licencia de usuario final del software de WatchGuard asociado con dicho Software y aquellos términos
y condiciones incorporados aquí por referencia.
8 Renuncia de responsabilidad y Notificación. Renuncia de responsabilidad de Garantía. WatchGuard garantiza
que el Producto o Servicio Adicional será provisto al Cliente de acuerdo con todos los requerimientos de este
Acuerdo. WATCHGUARD NO DA OTRAS GARANTÍAS DE NINGUNA CLASE, LO CUAL INCLUYE PERO
NO SE LIMITA A CUALQUIER GARANTÍA EXPRESA O IMPLÍCITA DE VIABILIDAD COMERCIAL O
A D A P TABILIDAD PARA UN USO O PROPÓSITO EN PARTICULAR, CON RESPECTO AL PRODUCTO O
SERVICIO ADICIONAL O LA EXACTITUD, CONFIABILIDAD O COMPLETITUD DE CUALQUIERA DE LAS
FIRMAS DE AMENAZAS, INFORMACIÓN U OTRO ÍTEM O SERVICIO (O ACTUALIZACIONES HASTA LA
FECHA) PROVISTAS O HECHAS ACCESIBLES COMO PARTE O EN CONEXIÓN CON EL PRODUCTO O
SERVICIO ADICIONAL. WATCHGUARD NO SERÁ RESPONSABLE POR CUALQUIER DAÑO EN EL QUE
SE INCURRA COMO RESULTADO DE CUALQUIER USO O DEPENDENCIA DEL PRODUCTO O SERVICIO
ADICIONAL O CUALQUIER FIRMA DE AMENAZA, INFORMACIÓN U OTRO ÍTEM O SERVICIO PROVIS-
TO O HECHO ACCESIBLE EN CONEXIÓN CON EL PRODUCTO O SERVICIO ADICIONAL. LA GARANTÍA
CONTENIDA EN LA PRIMERA SENTENCIA DEL PÁRRAFO 8 ES EXCLUSIVA Y EN SUBSTITUCIÓN DE,
USTED AQUÍ RENUNCIA Y LIBERA DE CUALQUIERA Y TODAS LAS OTRAS GARANTÍAS, OBLIGACIO-
NES Y RESPONSABILIDADES A WATCHGUARD, Y TODOS LOS OTROS DERECHOS, RECLAMOS Y
R E PARACIONES QUE USTED PUEDA TENER FRENTE A WATCHGUARD, EXPRESOS O IMPLÍCITO S ,
DEVENIDOS POR LEY U OTRA CAUSA, CON RESPECTO AL PRODUCTO O SERVICIO ADICIONAL O LA
EXACTITUD, CONFIABILIDAD O COMPLETITUD DE CUALQUIER FIRMA DE AMENAZAS,
INFORMACIÓN U OTRO ÍTEM O SERVICIO (O LAS ACTUALIZACIONES HASTA LA FECHA) PROVISTA S
O HECHAS ACCESIBLES COMO PARTE DE O EN CONEXIÓN CON EL PRODUCTO O SERVICIO ADICIO-
NAL (INCLUIDA, PERO SIN LIMITARSE A, CUALQUIER GARANTÍA IMPLÍCITA DE VIABILIDAD
COMERCIAL, O ADAPTABILIDAD PARA UN PROPÓSITO PARTICULAR O ALGUNA GARANTÍA
I M P L Í C I TA DEVENIDA DE LAS ACCIONES DE CUMPLIMIENTO, LAS ACCIONES COMERCIALES, LAS
PRÁCTICAS DE COMERCIO, CUALQUIER OBLIGACIÓN, RESPONSABILIDAD, DERECHO, RECLAMO O
R E PARACIÓN DE DAÑO, VENGA O NO DE LA NEGLIGENCIA (ACTIVA, PASIVA O IMPUTADA) O FALTA
DE WATCHGUARD, Y CUALQUIER OBLIGACIÓN, RESPONSABILIDAD, DERECHO, RECLAMO O
R E PARACIÓN POR LA PÉRDIDA O DAÑO CAUSADO POR, O QUE HAYA CONTRIBUIDO A, EL PRO-
D U C TO O SERVICIO ADICIONAL). Algunas jurisdicciones no permiten la exclusión de garantías implícitas, por
eso las exclusiones precedentes pueden no aplicarse a algún Cliente. Esta garantía limitada le da al Cliente derechos
legales específicos, y el Cliente puede tener también otros derechos legales, los cuales varían de jurisdicción
en jurisdicción.
9. Limitación de la Responsabilidad. LA RESPONSABILIDAD DE WATCHGUARD FRENTE AL CLIENTE
( TA N TO DEVENGA DE UN DAÑO, CONTRATO U OT R O, Y NO MEDIANDO CUALQUIER FALTA, NEGLI-
GENCIA, RESPONSABILIDAD ESTRICTA O RESPONSABILIDAD DEL PRODUCTO) BAJO ESTE ACUERDO
O CON RESPECTO AL PRODUCTO O SERVICIO ADICIONAL EN NINGÚN CASO EXCEDERÁ EL PRECIO
DE COMPRA PAGADO POR EL SUSCRIPTOR POR EL PRODUCTO O SERVICIO ADICIONAL. ESTO SERÁ
VÁLIDO AÚN EN EL CASO EN QUE SE FALLASE EN CUMPLIR CON LA REPARACIÓN ACORDADA. EN
NINGUNA CIRCUNSTANCIA DEBERÁ WATCHGUARD O SUS PROVEEDORES SER RESPONSABLES
ANTE EL CLIENTE O UNA TERCERA PARTE, YA DEVINIENDO DEL CONTRATO (INCLUYENDO LA
GARANTÍA), YA DEL DAÑO (INCLUYENDO NEGLIGENCIA ACTIVA, PASIVA O IMPUTADA Y RESPON-
SABILIDAD ESTRICTA Y FALLA), POR CUALQUIER DAÑO INDIRECTO, ESPECIAL, INCIDENTAL, O
CONSECUENTE (INCLUYENDO SIN LIMITACIÓN PÉRDIDAS DE GANANCIAS DE NEGOCIOS,
Guía del Usuario 353

INTERRUPCIÓN DE NEGOCIOS, O PÉRDIDA DE INFORMACIÓN COMERCIAL) DEVENIDAS DE O EN
CONEXIÓN CON EL FUNCIONAMIENTO O LA FALLA DE FUNCIONAMIENTO DEL PRODUCTO O SER-
VICIO ADICIONAL, AÚN EN EL CASO EN QUE WATCHGUARD O SUS PROVEEDORES HAYAN SIDO
N OTIFICADOS DE LA POSIBILIDAD DE ESOS DAÑOS. ESTO SERÁ VÁLIDO AÚN EN EL CASO EN QUE
FALLARA UNA REPARACIÓN ACORDADA. Algunas jurisdicciones no permiten esas limitaciones o exclusiones,
por eso esto puede no aplicarse al Cliente.
10. Reserva de Derechos. WatchGuard y sus licenciatarios desde aquí se reservan la propiedad de todos los derechos
en las Firmas de Amenazas, información y otros ítems o servicios provistos o puestos disponibles como
parte o en conexión con el Producto o Servicio Adicional y todos los copyrights, marcas de comercio y otros
derechos propietarios asociados con aquellas Firmas de Amenazas, información u otros ítems o servicios.
Excepto como se provee en este Acuerdo o como expresamente WatchGuard autorice por escrito (incluyendo la
publicación de los términos y condiciones de uso por WatchGuard y cualquier Firma de Amenaza sujeta a una
licencia de “fuente abierta”), usted no podrá reproducir, republicar, publicar, transmitir o distribuir las Firmas de
Amenazas, información u otros ítems o servicios provistos como parte del Producto o Servicio Adicional.
11. Acuerdo Completo. Este Acuerdo, junto con la Clave de Licencia de WatchGuard, el Acuerdo de Licencia de
Usuario Final del Software WatchGuard Firebox, y cualquier acuerdo de licencia de usuario final de software
que acompañe el Software licenciado al Cliente, y cualquier acuerdo entre el Cliente y WatchGuard que establezca
específicamente el control de los términos de ese acuerdo sobre los términos de cualquiera de los acuerdos
listados en este enunciado en el caso de algún conflicto o inconsistencia, constituyen el Acuerdo completo
entre WatchGuard y el Cliente y reemplaza cualquiera y todas las cláusulas previas o contemporáneas, representaciones
y acuerdos, escritos y orales, con relación al Producto o Servicio Adicional. Si el Cliente ha comprado el
derecho a utilizar el Producto o Servicio Adicional en otros productos WatchGuard, este Acuerdo reemplaza de
aquí en más todos los acuerdos y licencias de usuario final aplicables al mismo Producto o Servicio Adicional, y
los términos de este Acuerdo se manejarán para todo uso de este Producto o Servicio Adicional por el Cliente.
Este acuerdo podrá ser corregido o modificado sólo por un instrumento escrito ejecutado por ambas partes o
por la aceptación del Cliente de un subsiguiente Acuerdo para este Producto o Servicio Adicional provisto por
WatchGuard. ESTE ACUERDO SE MANEJARÁ POR Y SE CONSTITUYE BAJO LAS LEYES DEL ESTA D O
DE WA S H I N G TON, SIN REFERENCIA A SUS CONFLICTOS DE PRINCIPIOS LEGALES. Las partes consienten
la personal y exclusiva jurisdicción de las cortes ubicadas en Washington, King County. El Cliente no
cederá este Acuerdo (por operación de la ley u otra causa) sin el previo consentimiento escrito de WatchGuard.
Este Acuerdo será vinculante y perdurará para el beneficio de los debidos sucesores y/o apoderados de las partes.
La condonación de alguna parte del incumplimiento de alguna provisión o el fracaso de una parte en ejercer
un derecho aquí provisto no operará ni se considerará como la condonación de ningún incumplimiento subsiguiente
de ese derecho o la condonación de ese derecho o algún otro derecho. Ninguna parte se considerará en
incumplimiento de este Acuerdo por la demora o el fracaso en el cumplimiento de cualquier obligación aquí
provista (distinta de la obligación de pagar dinero) como resultado de cualquier causa o condición más allá del
control razonable de dicha parte. SI USTED ACEPTA LOS TÉRMINOS DE ESTE ACUERDO, INDIQUE SU
A C E P TACIÓN CUANDO SE LO PIDA EL TEXTO ASOCIADO CON LA PRESENTACIÓN DEL MISMO. SI
USTED NO ACEPTA LOS TÉRMINOS DE ESTE ACUERDO, INDIQUE QUE USTED DECLINA CUANDO
LO PIDA EL TEXTO ASOCIADO CON LA PRESENTACIÓN DEL MISMO. POR ACEPTAR ESTE ACUERDO,
USTED AFIRMA Y GARANTIZA QUE: (A) EL INDIVIDUO QUE INDICA SU ACEPTACIÓN DE ESTE
ACUERDO POR PARTE DEL CLIENTE ESTÁ DEBIDAMENTE AUTORIZADO PARA ACEPTAR ESTE
ACUERDO POR PARTE DEL CLIENTE Y PARA OBLIGAR AL CLIENTE A CUMPLIR LOS TÉRMINOS DE
ESTE ACUERDO; (B) EL CLIENTE TIENE LA PLENA CAPACIDAD, CORPORATIVA O DE OTRO TIPO
PARA CONCLUIR ESTE ACUERDO Y CUMPLIR SUS OBLIGACIONES BAJO EL MISMO Y; (C) ESTE
ACUERDO Y EL CUMPLIMIENTO DE SUS OBLIGACIONES POR PARTE DEL CLIENTE NO VIOLA
NINGÚN ACUERDO CON TERCERAS PARTES DE LAS CUALES EL CLIENTE SEA PA R T E .
Versión: 050309
Copyright y Marcas Comerciales
Copyright© 1998 - 2006 WatchGuard Technologies, Inc. Todos los derechos reservados.
© Hi/fn, Inc. 1993, incluyendo una o más Patentes de EEUU: 4701745, 5016009, 5126739, y 5146221 y otras
354 WatchGuard System Manager

Licencias
patentes pendientes.
Microsoft®, Internet Explorer®, Windows® 95, Windows® 98, Windows NT®, Windows® 2000, Windows® 2003, y
Windows XP son marcas registradas o marcas registradas de Microsoft Corporation en EEUU y/o otros países.
Netscape y Netscape Navigator son marcas registradas de Netscape Communications Corporation en los EEUU y
otros países.
RealNetworks, RealAudio, y RealVideo son marcas registradas o marcas registradas de RealNetworks, Inc. en los
EEUU y/o otros países.
Las Licencias Java y todas las marcas y marcas comerciales basadas en Java son marcas comerciales o marcas
comerciales de Sun Microsystems, Inc. en los EEUU y otros países. Todos los derechos reservados.
Jcchart copyright® 1999 por KL Group Inc. Todos los derechos reservados.
WatchGuard, el logo de WatchGuard, Firebox, LiveSecurity, y cualquier otra marca listada como una marca comercial
en la parte “Términos de Uso” del sitio web de WatchGuard usada aquí, son marcas registradas o marcas de
WatchGuard Technologies, Inc. y/o sus respectivas subsidiarias en los EEUU y/o otros países. Todas las demás marcas
son propiedad de sus respectivos dueños.
Patentes
Patentes de EEUU Números: 6,493,752; 6,597,661; 6,618,755; D473,879. Otras Patentes Pendientes.
Licencias
Licencia SSL
Algunos componentes del Software WatchGuard System Manager software distribuidos con el código
fuente están cubiertos por una o más licencias de fuente abierta de terceras partes. Incluimos abajo el
texto completo de las licencias, tal como se requiere en el texto de cada una. Para obtener el código fuente
cubierto bajo estas licencias, por favor contacte a Soporte técnico de WatchGuard al:
• 877.232.3531 en los Estados Unidos y Canadá
• +1.360.482.1083 desde los otros países.
Es gratis bajar este código fuente de Internet. El costo de envío del CD es de U$S 35.
Este producto incluye software desarrollado por el proyecto OpenSSL para uso en el conjunto de herramientas
de OpenSSL.
Licencia OpenSSL
© 1998-2003 Proyecto OpenSSL. Todos los derechos reservados. La redistribución y el uso de las formas fuentes y
binarias con o sin modificaciones se permiten con el cumplimiento de las siguientes condiciones:
1. La redistribución del código fuente debe retener esta advertencia de copyright, esta lista de condiciones y los
siguientes descargos de responsabilidad.
2. Las redistribuciones en forma binaria deben reproducir esta advertencia de copyright, la lista de condiciones y
los siguientes descargos a la responsabilidad en la documentación y/o otros materiales provistos con la distribución.
3. Todos los materiales de publicidad que mencionen las características o el uso de este software deben mostrar el
siguiente reconocimiento: “Este producto incluye software desarrollado por el Proyecto OpenSSL para uso dentro
del conjunto de herramientas OpenSSL. (http://www.openssl.org)”.
4. Los nombres “OpenSSL Toolkit” y “OpenSSL Project” no deberán ser usados para endosar o promover los productos
derivados de este software sin previo permiso escrito. Para obtener el permiso escrito por favor contactar a
opensslcore@openssl.org.
5. Los productos derivados de este software no podrán ser llamados “OpenSSL” y no podrán ser “OpenSSL” sin el
Guía del Usuario 355

Licencias
previo permiso escrito de OpenSSL Project.
6. Las redistribuciones, de cualquier tipo que sean, deberán retener el siguiente reconocimiento: “Este producto
incluye software desarrollado por el Proyecto OpenSSL para usar dentro del Conjunto de Herramientas
(http://www.openssl.org/)”
The OpenSSL Project PROPORCIONA ESTE SOFTWARE “TAL CUAL”, SIN GARANTÍAS EXPRESAS NI
I M P L Í C I TAS DE NINGUNA CLASE, INCLUIDAS, PERO SIN LIMITARSE A ELLAS, LAS GARANTÍAS
I M P L Í C I TAS DE COMERCIABILIDAD Y ADECUACIÓN PARA UN FIN DETERMINADO. EN NINGÚN
CASO The OpenSSL P R O J E C T NI SUS COLABORADORES SERÁN RESPONSABLES POR DAÑOS
D I R E C TOS, INDIRECTOS, INCIDENTALES, ESPECIALES, EJEMPLARES NI CONSECUENTES (INCLUI-
D O, PERO SIN LIMITARSE A ELLO, EL SUMINISTRO DE BIENES O SERVICIOS SUSTITUTOS; LA
PÉRDIDA DE USO, DATOS O BENEFICIOS; O LA INTERRUPCIÓN DEL NEGOCIO) CUALQUIERA QUE
SEA LA CAUSA Y DE ACUERDO CON CUALQUIER BASE JURÍDICA DE RESPONSABILIDAD, YA SEA
POR CONTRATO, RESPONSABILIDAD ESTRICTA O DAÑO LEGAL (CON O SIN NEGLIGENCIA) QUE
R E S U LTEN DE LA UTILIZACIÓN DE ESTE SOFTWARE, INCLUSO SI SE ADVIERTE DE LA POSIBILIDAD
DE TAL DAÑO.
Licencia Original SSLeay
Este producto incluye software criptográfico escrito por Eric Young (eay@cryptsoft.com). Incluye software escrito
por Tim Hudson (tjh@cryptsoft.com). © 1995-2003 Eric Young (eay@cryptsoft.com)
Todos los derechos reservados.
Este paquete es una implementación SSL escrita por Eric Young (eay@cryptsoft.com). Esta implementación fue
escrita para cumplir con el estándar SSL de Netscape. Esta librería es gratis tanto para uso comercial como no
comercial, mientras se sigan las siguientes condiciones. Las siguientes condiciones se aplican a todo el código
que haya en la distribución, sean el del RC4, RSA, lhash, DES, etc., no sólo el código SSL. La documentación de
SSL incluida en esta versión está cubierta por los mismos términos de copyright, excepto que su titular es Tim
Hudson (tjh@cryptsoft.com). El derecho de Copyright sigue perteneciendo a Eric Young, y no debe ser removida
ninguna advertencia de Copyright en el código. Si este paquete es usado en un producto, se deberá dar a Eric
Young el reconocimiento como autor de las partes de la librería que se usen. Esto podrá ser bajo la forma de un
mensaje de texto en el inicio del programa o en la documentación (en línea o texto) provista con el paquete. La
redistribución y uso de las fuentes y formas binarias, con o sin modificación, están permitidas cuando se cumplan
las siguientes condiciones:
1. Las redistribuciones del código fuente deben retener esta advertencia de copyright, esta lista de condiciones y
el siguiente descargo de responsabilidad.
2. Las redistribuciones en forma binaria deben reproducir esta advertencia de copyright, esta lista de condiciones
y la siguiente descarga de responsabilidad en la documentación y/o otros materiales provistos con la distribución
3. Todos los materiales publicitarios que mencionen las características o el uso de este software deben mostrar
el siguiente reconocimiento: “Este producto incluye software criptográfico escrito por Eric Young
(eay@cryptsoft.com)” La palabra ‘criptográfico’ puede ser omitida si las rutinas de la librería que se utilicen no
son criptográficas.
4. Si usted incluye cualquier código específico de Windows (o un derivado del mismo) del directorio de apps
(código de aplicación) usted debe incluir la siguiente advertencia “Este producto incluye software escrito por
Tim Hudson (tjh@cryptsoft.com)”
ERIC YOUNG PROPORCIONA ESTE SOFTWARE “TAL CUAL”, SIN GARANTÍAS EXPRESAS NI
I M P L Í C I TAS DE NINGUNA CLASE, INCLUIDAS, PERO SIN LIMITARSE A ELLAS, LAS GARANTÍAS
I M P L Í C I TAS DE COMERCIABILIDAD Y ADECUACIÓN PARA UN FIN DETERMINADO. EN NINGÚN
CASO EL AUTOR NI LOS COLABORADORES SERÁN RESPONSABLES POR DAÑOS DIRECTOS, INDI-
R E C TOS, INCIDENTALES, ESPECIALES, EJEMPLARES NI CONSECUENTES (INCLUIDO, PERO SIN
L I M I TARSE A ELLO, EL SUMINISTRO DE BIENES O SERVICIOS SUSTITUTOS; LA PÉRDIDA DE USO,
D ATOS O BENEFICIOS; O LA INTERRUPCIÓN DEL NEGOCIO) CUALQUIERA QUE SEA LA CAUSA Y
DE ACUERDO CON CUALQUIER BASE JURÍDICA DE RESPONSABILIDAD, YA SEA POR CONTRATO, RESPONSABILI-
DAD ESTRICTA O DAÑO LEGAL (CON O SIN NEGLIGENCIA) QUE RESULTEN DE LA UTILIZACIÓN DE ESTE SOFTWA-
356 WatchGuard System Manager

Licencias
RE, INCLUSO SI SE ADVIERTE DE LA POSIBILIDAD DE TAL DAÑO.
La licencia y distribución de los términos para cualquier versión pública derivada de este código no podrá ser
modificada. Por ejemplo el código no podrá ser copiado y puesto bajo otra licencia de distribución [incluyendo la
Licencia Pública GNU]
El paquete mod_ssl cae bajo la etiqueta de Open-Source Software porque es distribuido bajo una licencia del tipo
BSD. La información detallada sigue a continuación.
Copyright (c) 1998-2003 Ralf S. Engelschall. Todos los derechos reservados. La redistribución y uso en forma de
fuente o binaria, con o sin modificación, está permitida cuando se cumplan las siguientes condiciones:
1. Las redistribuciones del código fuente deben retener la anterior advertencia de copyright, esta lista de condiciones
y la siguiente renuncia de responsabilidad.
2. Las redistribuciones en forma binaria deben reproducir la anterior advertencia de copyright, esta lista de condiciones
y la siguiente renuncia de responsabilidad en la documentación y/o otros materiales provistos con la distribución.
3. Todos los materiales publicitarios que mencionen las características o el uso de este software deben mostrar el
siguiente reconocimiento: Este producto incluye software desarrollado por Ralf S. Engelschall
para uso en el proyecto mod_ssl (http://www.modssl.org/).”
4. Los nombres “mod_ssl” no deberán usarse para recomendar o promover los productos derivados de este software
sin previo consentimiento escrito. Para consentimiento escrito por favor contactar a rse@engelschall.com.
5. Los productos derivados de este software no podrán ser llamados “mod_ssl” ni podrá “mod_ssl” aparecer en sus
nombres sin el previo consentimiento escrito de Ralf S. Engelschall.
6. La redistribución en cualquier forma deberá siempre retener el siguiente reconocimiento: “Este producto incluye
software desarrollado por Ralf S. Engelschall para uso en el proyecto mod_ssl (http://
www.modssl.org/).” ESTE SOFTWARE ES PROVISTO POR RALF S. ENGELSCHALL, SIN GARANTÍAS
EXPRESAS NI IMPLÍCITAS DE NINGUNA CLASE, INCLUIDAS, PERO SIN LIMITARSE A ELLAS, LAS
GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD Y ADECUACIÓN PARA UN FIN DETERMINADO. EN
NINGÚN CASO EL AUTOR NI SUS COLABORADORES SERÁN RESPONSABLES POR DAÑOS DIRECTO S ,
I N D I R E C TOS, INCIDENTALES, ESPECIALES, EJEMPLARES NI CONSECUENTES (INCLUIDO, PERO SIN
L I M I TARSE A ELLO, EL SUMINISTRO DE BIENES O SERVICIOS SUSTITUTOS; LA PÉRDIDA DE USO,
D ATOS O BENEFICIOS; O LA INTERRUPCIÓN DEL NEGOCIO) CUALQUIERA QUE SEA LA CAUSA Y DE
ACUERDO CON CUALQUIER BASE JURÍDICA DE RESPONSABILIDAD, YA SEA POR CONTRATO, RES-
PONSABILIDAD ESTRICTA O DAÑO LEGAL (CON O SIN NEGLIGENCIA) QUE RESULTEN DE LA
UTILIZACIÓN DE ESTE SOFTWARE, INCLUSO SI SE ADVIERTE DE LA POSIBILIDAD DE TAL DAÑO.
Licencia de Software Apache, Versión 2.0, Enero de 2004
Algunos componentes del software WatchGuard System Manager son distribuidos con una versión del servidor de
web Apache y otro código fuente bajo licencia de software Apache.
TÉRMINOS Y CONDICIONES PARA USO, REPRODUCCIÓN, Y DISTRIBUCIÓN
1. Definiciones. “Licencia” significará los términos y condiciones para el uso, reproducción y distribución, como se
define en las secciones de 1 hasta 9 de este documento.
“Licenciatario” significará el propietario del copyright o la entidad autorizada por el propietario del copyright que
está dando la licencia.
“Entidad Legal” significará la unión de la entidad actuante y todas las demás entidades que controlan, son controladas
o están bajo el mismo control con esa entidad. Para los fines de esta definición “control” significa (i) el
poder, directo o indirecto para ejercer la dirección o gerenciar esa entidad, ya sea por contrato o de otro modo o
(ii) propiedad del (50%) o más de las acciones comunes, o (iii) usufructo de esa entidad.
“Usted” (o “Su”) significará un individuo o Entidad Legal ejerciendo los permisos otorgados por esta licencia.
Forma “Fuente” significará la forma preferida para hacer modificaciones a un código, lo cual incluye pero no se
limita al código fuente de software, fuente de la documentación, y archivos de configuración.
La forma “Objeto” significará cualquier forma resultante de la transformación mecánica o traducción de la forma
Fuente, incluyendo pero no limitándose a código objeto compilado, documentación generada, y conversiones a
otros tipos de soporte.
“Obra” significará la obra de autoría, tanto en la forma Fuente como en la Objeto, hecha accesible bajo esta
Guía del Usuario 357

Licencias
Licencia, como es indicado por una advertencia de copyright incluida o adosada a la obra. (Se provee un ejemplo
en el apéndice más abajo).
“Obras Derivadas” significará cualquier obra, tanto en forma Fuente como Objeto, que esté basada en (o sea
derivada de) la Obra y para la cual las revisiones editoriales, anotaciones, elaboraciones u otras modificaciones
representan, como un todo, una obra de autoría original. Para los fines de esta Licencia, Obras Derivadas no
incluirán las obras que permanezcan en una forma separable o que estén simplemente conectadas (o ligadas por
el nombre) a las interfaces de la Obra y las Obras Derivadas de ella.
“Contribución” significará cualquier obra de autoría, incluyendo la versión original de la Obra y cualesquiera
otras modificaciones y adiciones a la Obra o a las Obras Derivadas de ella, que sean intencionalmente entregadas
al Licenciatario para su inclusión en la Obra por el dueño o por un individuo o entidad legal autorizado para
entregarlas por parte del dueño del copyright. Para fines de esta definición, “entregado” significa cualquier
forma de comunicación, electrónica, verbal o escrita enviada al Licenciatario o sus representantes, incluyendo
pero no limitándose a, listas de correo electrónico, sistemas de control de código fuente, y sistemas de registro
de incidentes que son administrados por, o en nombre del Licenciatario para el fin de discutir y mejorar la obra,
pero excluyendo comunicaciones que estén manifiestamente señaladas como “No Contribuciones”.
“Colaborador” significará todo Licenciatario y cualquier individuo o Entidad Legal de quien el Licenciatario reciba
una Contribución y subsecuentemente la incorpore a la Obra.
2. Otorgamiento de la licencia de Copyright. Sujeto a los términos y condiciones de esta Licencia cada
Colaborador aquí le otorga a Usted una licencia perpetua, mundial, no exclusiva, gratuita, libre de royalties e
irrevocable, de copyright para reproducir, preparar Obras Derivadas, mostrar públicamente, usar públicamente,
sublicenciar y distribuir la Obra y las Obras Derivadas en formato Fuente u Objeto.
3. Otorgamiento de una Licencia de Patente. Sujeto a los términos y condiciones de esta Licencia, cada
Colaborador aquí le otorga a Usted una licencia perpetua, mundial, no exclusiva, gratuita, libre de royalties e
irrevocable (excepto como se establece en esta sección). Una licencia de patente para tener, haber hecho, usar,
ofrecer a la venta y de cualquier forma transferir la Obra, donde esa licencia se aplica solamente a aquellas
peticiones de patente licenciables por cada Colaborador que necesariamente no infrinjan por el Colaborador
mismo o por una combinación de sus Contribuciones con la Obra a las cuales esas Contribuciones han sido
entregadas. Si Usted establece un litigio que atente contra cualquier entidad (incluyendo una demanda cruzada
o contra demanda en juicio) alegando que la Obra o una Contribución incorporada de la Obra constituye, directamente
o por contribución, una infracción a una patente, entonces cualquier patente otorgada a Usted bajo
esta Licencia y por la Obra terminará en la fecha de registro inicial de ese litigio.
4. Redistribución. Usted podrá reproducir y distribuir copias de la Obra y las Obras Derivadas en cualquier soporte,
con o sin modificaciones, en forma Fuente u Objeto, siempre que cumpla las siguientes condiciones: (a)
Usted debe dar a cualquiera de los receptores de la Obra u Obras Derivadas una copia de esta Licencia. (b) Usted
deberá incluir en los archivos modificados una advertencia notoria de que Usted ha modificado los archivos, y
(c) Usted debe retener, en la forma Fuente de cualquier Obra Derivada que Usted distribuya, todas las advertencias
de copyright, patentes, marcas comerciales y atribuciones de la Obra excluyendo aquellas advertencias que
no pertenezcan a ninguna parte de la Obra Derivada; y (d) Si la Obra incluye un archivo de texto de “ADVER-
TENCIA” como parte de su distribución, entonces cualquier Obra Derivada que Usted distribuya deberá incluir
una copia legible de las advertencias de atribución contenidas dentro de el archivo de A D V E R T E N C I A , excluyendo
aquellas advertencias que ya no pertenezcan a ninguna parte de la Obra Derivada, en al menos uno de
los siguientes lugares: dentro de un archivo de texto de A D V E R T E N C I A distribuido como parte de la Obra
Derivada; dentro de la forma Fuente o la documentación si se entregan junto con la Obra Derivada; o, dentro de
una pantalla generada por la Obra Derivada, si y donde sea que las advertencias de terceras partes normalmente
aparezcan. Los Contenidos de ese archivo de A D V E R T E N C I A son para fines informativos y no modifican la
Licencia. Usted puede agregar sus propias advertencias de atribución dentro de la Obra Derivada que Usted distribuya,
a lo largo o como un agregado a la A D V E R T E N C I A de esta Obra, siempre que esa advertencia de atribución
adicional no pueda ser considerada como modificación de la Licencia. Usted puede agregar Sus propios
términos de Licencia y condiciones para uso, reproducción, o distribución de Sus modificaciones, o para cualquier
Obra Derivada como un todo, cuando Su uso, reproducción o distribución de la Obra cumpla en otro caso
con las condiciones establecidas en esta Licencia.
5. Entrega de Contribuciones. A menos que Usted explícitamente indique lo contrario, cualquier contribución
358 WatchGuard System Manager

Licencias
Licencia PCRE
intencionalmente entregada para inclusión en la Obra por Usted al Licenciatario estará bajo los términos y condiciones
de esta Licencia, sin ningún término o condiciones adicionales. A pesar de lo anterior, nada de lo aquí
dicho modificará o reemplazará cualquier acuerdo separado de licencia que usted pueda haber ejecutado con el
Licenciatario acerca de esas Contribuciones.
6. Marcas Comerciales. Esta licencia no le otorga permiso para usar los nombres comerciales, marcas comerciales,
marcas de servicio o nombres de producto del Licenciatario, excepto para lo requerido por lo razonable y acostumbrado
en la descripción del origen de la Obra y en la reproducción del contenido del archivo de ADVERTENCIA.
7. Renuncia de Garantía. A menos que sea requerido por la ley aplicable o acordado por escrito, el Licenciatario
provee la Obra (y cada Colaborador provee su Contribución) en una base de “TAL CUAL”, SIN GARANTÍAS O
CONDICIONES DE NINGUNA CLASE, tanto expresas o implícitas, incluyendo, sin limitación, cualquier garantía
o condición de T Í T U L O, NO-INFRACCIÓN, VIABILIDAD COMERCIAL O ADAPTABILIDAD PARA UN
P R O P Ó S I TO PA R T I C U L A R . Usted mismo es responsable de determinar lo apropiado del uso o redistribución de
la Obra y asume cualquier riesgo asociado con Su ejercicio de los permisos bajo esta Licencia.
8. Limitación de la Responsabilidad. En ningún caso y bajo ninguna teoría legal, si hubiera daño, (incluida negligencia),
estando bajo contrato o de otro modo, a menos que sea requerido por las leyes aplicables (tal como el
caso de actos deliberada o gruesamente negligentes) o acordado por escrito, deberá cualquier Colaborador ser
hecho responsable ante Usted por daños, incluyendo cualquier daño directo, indirecto, especial, incidental o consecuente,
de cualquier tipo que devenga como resultado de esta Licencia fuera del uso o de la incapacidad de
usar la Obra (incluida, pero sin limitarse a, la pérdida de buena voluntad, detención del trabajo, falla o mal funcionamiento
de computadora o cualquier otro daño o pérdida comercial), aún en el caso en que el Colaborador
haya sido advertido de la posibilidad de ese daño.
9. Aceptación de Garantía o Responsabilidad Adicional. Durante la redistribución de la obra u Obras derivadas de
ella, Usted puede elegir ofrecer y cobrar un importe por dar el soporte o garantía o indemnización u otras obligaciones
de responsabilidad y/o derechos consistentes con esta Licencia. Sin embargo, al aceptar estas obligaciones
Usted debe actuar en Su propio nombre y bajo Su sola responsabilidad, no en nombre de ningún otro Colaborador,
y sólo si Usted acuerda indemnizar, defender y mantener a cada Colaborador indemne de cualquier responsabilidad
en que pudiera incurrir por quejas en contra de dicho Colaborador, por razón de haber aceptado Usted tal
garantía o responsabilidad adicional.
Partes de este software están basadas en software de dominio público originalmente escrito en el Centro
Nacional de Aplicaciones de Supercomputación, Universidad de Illinois, Urbana-Champaign. El PCRE es una
librería de funciones que soportan expresiones regulares cuya sintaxis y semántica es tan parecida como
sea posible a aquellas del leguaje Perl 5.
PCRE es una librería de funciones que soportan expresiones regulares cuya sintaxis y semántica es tan parecida
como sea posible a aquellas del lenguaje Perl 5. La versión 5 de PCRE es distribuida bajo los términos de la licencias
“BSD” como se especifica más abajo. La documentación de PCRE, provista en el directorio “doc”, es distribuida
bajo los mismo términos del software mismo.
Escrito por: Philip Hazel Servicio de Cómputo de la Universidad de Cambridge, Cambridge,
Inglaterra. Teléfono: +44 1223 334714.
Copyright (c) 1997-2004 University de Cambridge. Todos los derechos reservados. Redistribución y uso en forma
fuente y binaria, con o sin modificación, están permitidos cuando se cumplan las siguientes condiciones:
* Las redistribuciones del código fuente deben retener la anterior advertencia de copyright, esta lista de condiciones
y la siguiente renuncia de responsabilidad.
* Las redistribuciones en forma binaria deben reproducir la anterior advertencia de copyright, la lista de condiciones
y la siguiente renuncia de responsabilidad en la documentación y/o otros materiales provistos con la distribución.
* Ni el nombre de la Universidad de Cambridge ni los nombres de los Colaboradores podrán ser usados para recomendar
o promover los productos derivados de este software sin un específico permiso previo.
ESTE SOFTWARE ES PROVISTO POR LOS TITULARES DEL COPYRIGHT Y SUS COLABORADORES “TA L
CUAL”, SIN GARANTÍAS EXPRESAS NI IMPLÍCITAS DE NINGUNA CLASE, INCLUIDAS, PERO SIN
Guía del Usuario 359

Licencias
L I M I TARSE A ELLAS, LAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD Y ADECUACIÓN PA R A
UN FIN DETERMINADO. EN NINGÚN CASO EL TITULAR DEL COPYRIGHT NI SUS COLABORADORES
SERÁN RESPONSABLES POR DAÑOS DIRECTOS, INDIRECTOS, INCIDENTALES, ESPECIALES, EJEM-
PLARES NI CONSECUENTES (INCLUIDO, PERO SIN LIMITARSE A ELLO, EL SUMINISTRO DE BIENES
O SERVICIOS SUSTITUTOS; LA PÉRDIDA DE USO, DATOS O BENEFICIOS; O LA INTERRUPCIÓN DEL
NEGOCIO) CUALQUIERA QUE SEA LA CAUSA Y DE ACUERDO CON CUALQUIER BASE JURÍDICA DE
RESPONSABILIDAD, YA SEA POR CONTRATO, RESPONSABILIDAD ESTRICTA O DAÑO LEGAL (CON O
SIN NEGLIGENCIA) QUE RESULTEN DE LA UTILIZACIÓN DE ESTE SOFTWARE, INCLUSO SI SE
ADVIERTE DE LA POSIBILIDAD DE TAL DAÑO.
Licencia Pública General Reducida de GNU
Algunos componentes del software WatchGuard System Manager son distribuidos con código fuente bajo la
Licencia Pública General Reducida de GNU (LGPL).
Versión 2.1, Febrero de 1999
Copyright (C) 1991, 1999 Fundación para el Software Libre Inc.59 Temple Place, Habitación 330, Boston, MA
02111- 1307 Estados Unidos.
A cualquiera se permite copiar y distribuir copias textuales de este documento de licencia, pero cambiarlo no
está permitido.
[Ésta es la primera versión de la GPL Reducida. Vale también como sucesora de la Licencia de la Librería Pública
de GNU, versión 2, de ahí la versión 2.1.]
Preámbulo
Las licencias para la mayoría del software están diseñadas para quitar su libertad de compartirlo y modificarlo.
En contraste, las Licencias Públicas GNU intentan garantizar su libertad de compartir y modificar libremente
este software para asegurar que el software sea libre para todos los usuarios.
Esta licencia, la Licencia Pública General Reducida, se aplica a algunos paquetes de software especialmente
diseñados -típicamente librerías- de la Fundación para el Software Libre y de otros autores que decidieron usarla.
Usted puede usarla también, pero le sugerimos que primero piense cuidadosamente acerca de cuándo esta
licencia o la Licencia Pública general normal es la mejor estrategia para usar en algún caso en particular, según
las explicaciones que siguen.
Cuando hablamos de software libre, nos referimos a la libertad de uso, no al precio. Nuestras Licencias Públicas
Generales están diseñadas para asegurar que usted tenga la libertad de distribuir copias de software libre (y
cobrar por este servicio si lo desea); que usted reciba código fuente o pueda obtenerlo si lo quiere; que usted
pueda cambiar el software y usar sus partes para un nuevo software libre y que usted sea informado de que
puede hacer estas cosas.
Para proteger sus derechos, nosotros necesitamos hacer restricciones que prohíban a los distribuidores denegar
esos derechos o pedirle que renuncie a ellos. Estas restricciones se traducen en ciertas responsabilidades para
usted si distribuye copias de una librería o las modifica.
Por ejemplo, si usted distribuye copias de la librería, sea gratis o por un importe, usted debe darle a los receptores
todos los derechos que le hemos dado a usted. Usted debe estar seguro de que ellos, también, reciben el
código fuente. Si usted vincula otro código con el de la librería, debe proveer archivos objeto completos, para
que los receptores puedan hacer cambios a la librería y recompilarla, de manera que puedan volver a vincularlos
con la librería después de hacer los cambios a la misma, y recompilarla. Y usted debe mostrarles estos términos,
para que conozcan sus derechos.
Nosotros protegemos sus derechos con un método en dos pasos: (1) hacemos el copyright de la librería, y (2) le
ofrecemos esta licencia, la cual le da derecho legal de copiar, distribuir y/o modificarla.
Para proteger a cada distribuidor, queremos dejar muy claro que no hay garantías para la librería libre.
Asimismo, si la librería es modificada por alguien y pasada a otros, los receptores deberán conocer que lo que
ellos tienen no es la versión original, para que la reputación del autor original no sea afectada por problemas
que pudieran haber sido introducidos por otros.
Finalmente, las patentes de software representan una constante amenaza para la existencia de cualquier programa
libre. Nosotros queremos asegurarnos de que una compañía no pueda efectivamente restringir a los
360 WatchGuard System Manager

Licencias
usuarios de un programa libre obteniendo una licencia restrictiva del titular de una patente. Por eso insistimos en
que cualquier licencia de patente obtenida para una versión de la librería debe ser consistente con la completa
libertad de uso especificada en esta licencia.
La mayoría del software GNU, incluyendo algunas librerías, está cubierta por la Licencia Pública General normal
de GNU. Esta licencia, en cambio, la Licencia Pública General Reducida de GNU, se aplica a algunas librerías especialmente
diseñadas y es bien diferente de la Licencia Pública General normal. Nosotros usamos esta licencia para
ciertas librerías y permitir vincularlas dentro de programas no libres.
Cuando un programa es vinculado con una librería, ya sea en forma estática o usando una librería compartida, la
combinación de los dos es, legalmente hablando, una obra combinada, una derivación de la librería original. La
Licencia Pública General de GNU normal permite, por supuesto, esa vinculación, pero sólo si la combinación completa
cumple los criterios de libertad. La Licencia Pública General Reducida permite un criterio más laxo para vincular
otro código con la librería.
Nosotros llamamos a esta Licencia Pública General “Reducida” porque hace menos para proteger la libertad de los
usuarios que la Licencia Pública General normal. Esto también otorga a los desarrolladores de Software Libre
menos ventajas sobre sus competidores de programas no libres. Estas desventajas son la razón por la que usamos
la Licencia Pública General común para muchas librerías. Sin embargo, la licencia Reducida permite ventajas en
algunas circunstancias especiales.
Por ejemplo, en raras ocasiones puede haber una especial necesidad de animar el uso más amplio posible de una
cierta librería, de manera que se convierta en un estándar “de facto”. Para lograr esto, los programas no libres
deben poder usar la librería. Un caso más frecuente es que la librería libre haga el mismo trabajo que algunas
ampliamente usadas librerías no libres. En este caso, hay poco que ganar limitando la librería libre al software
libre exclusivamente, por eso usamos la Licencia Pública General Reducida.
En otros casos, el permiso para usar una librería particular en programas permite a un gran número de personas
usar un gran cuerpo de software libre. Por ejemplo, el permiso para usar la librería C de GNU en programas no
libres habilitó a mucha gente a usar el sistema operativo GNU tanto como su variante GNU/Linux.
A pesar de que la Licencia Pública General Reducida es Menos protectora de la libertad de los usuarios, asegura
que el usuario de un programa vinculado con la Librería tenga la libertad de correrlo usando una versión modificada
de la Librería. Los términos precisos de las condiciones para copiar, distribuir y modificar siguen a continuación.
Preste especial atención a la diferencia entre “obra basada en la librería” y “obra que usa la librería” La primera
contiene código derivado de la librería mientras que la segunda debe ser combinada con la librería para
correr.
LICENCIA PÚBLICA GENERAL REDUCIDA DE GNU
TÉRMINOS Y CONDICIONES PARA COPIAR, DISTRIBUIR Y MODIFICAR
0. Este Acuerdo de Licencia se aplica a cualquier Librería de software u otro programa que contenga una advertencia
colocada por el titular del copyright u otras partes autorizadas indicando que puede distribuirse bajo los
términos de esta licencia pública general reducida (llamada también “esta licencia”). A los titulares de la licencia
se los denomina “Usted”.
Una Librería es una colección de funciones de software y/o datos preparados para ser convenientemente vinculados
con otro programa de aplicación (que usan algunas de estas funciones y datos) para crear ejecutables.
“Librería”, abajo, se refiere a cualquier Librería de software que haya sido distribuida bajo estos términos. Una
“obra basada en la Librería” significa la Librería o cualquier obra derivada bajo la ley de copyright: es decir, una
obra conteniendo la Librería o parte de ella, tanto textualmente como con modificaciones y/o traducida directamente
a otro lenguaje (a partir de aquí la traducción es incluida sin limitación dentro del término “modificación”).
“Código Fuente” para una obra significa la forma preferida de la obra para hacerle modificaciones. Para una
Librería, el código fuente completo es el código fuente de todos los módulos que contenga, además de cualquier
archivo de definición de interfaz asociado y los scripts usados para controlar la compilación y la instalación de la
Librería.
Las actividades que no sean la copia, distribución y modificación no se encuentran cubiertas por esta licencia y
caen fuera de su ámbito de aplicación. La opción de ejecutar un programa utilizando la Librería no está restringida,
y el resultado de dicho programa está cubierto únicamente si su contenido constituye una obra basada en la
Librería (independientemente del uso de ésta como herramienta para escribirlo). Que esto sea cierto dependerá de
Guía del Usuario 361

Licencias
lo que haga la Librería y de lo que haga el programa que la utiliza.
1. Usted puede copiar y distribuir copias literales del código fuente completo de la Librería tal y como la ha
recibido, en cualquier soporte, a condición de que publique de forma manifiesta y adecuada, en cada una de las
copias, un aviso conveniente de copyright y una renuncia a la garantía; mantenga intactos todos los avisos que
hagan referencia a esta licencia y a la ausencia de cualquier garantía; y distribuya una copia de esta licencia
junto con la librería. Usted puede cobrar un precio por el acto físico de hacer una copia y puede, si lo desea,
ofrecer la protección de una garantía a cambio de un importe.
2. Usted puede modificar su copia o copias de la Librería o de cualquier parte de ella, creando así una obra
basada en la Librería, y copiar y distribuir esas modificaciones o esa obra bajo los términos de la sección 1 descrita
antes, siempre que también cumpla todas estas condiciones:
a) La obra modificada debe ser una Librería de programas.
b) Debe hacer que los archivos modificados porten avisos bien visibles, declarando que ha modificado los archivos
y la fecha de los cambios.
c) Debe hacer que toda la obra disponga de una licencia, sin gasto para terceras partes, bajo los términos de
esta licencia.
d) Si un servicio de la Librería modificada hace referencia a una función o a una tabla de datos que debe suministrar
un programa de aplicación que usa el servicio (distinto de un argumento pasado cuando se invoca el servicio)
deberá hacer un ejercicio de buena fe para garantizar que, en caso de que una aplicación no suministre
esa función o tabla, el servicio siga funcionando y su propósito siga teniendo sentido.
(Por ejemplo, una función de una Librería que permite calcular raíces cuadradas tiene un propósito que está
perfectamente bien definido, independientemente de la aplicación. Por tanto, la subsección 2d exige que cualquier
función o tabla suministradas por la aplicación y usada por esa función debe ser opcional: si la aplicación
no la suministra, la función raíz cuadrada debe seguir calculando raíces cuadradas).
Estos requisitos se aplican a la obra modificada en su conjunto. Si hay secciones identificables de esa obra que
no derivan de la Librería, y que pueden considerarse razonablemente independientes y obras independientes por
sí mismas, entonces esta licencia y sus términos no se aplicarán a esas secciones cuando las distribuya como
obras independientes. Pero cuando distribuya esas mismas secciones como parte de un todo que sea una obra
basada en la Librería, la distribución del conjunto debe estar bajo los términos de esta licencia, cuyos permisos
para otras licencias se extienden a todo el conjunto y, por lo tanto, a todas y cada una de las partes, independientemente
de quién las escribiera.
La intención de esta sección no es exigir derechos o discutir los derechos de una obra escrita completamente
por usted; sino ejercer el derecho a controlar la distribución de obras derivadas o colectivas basadas en la
Librería.
Además, la mera adición a la Librería (o a una obra basada en la Librería) de otra obra que no esté basada en la
Librería en un volumen de almacenamiento o en un soporte de distribución, no pone la otra obra bajo el ámbito
de aplicación de esta licencia.
3. Usted puede optar por aplicar a una determinada copia de la Librería los términos de la licencia pública
general GNU normal en vez de los de esta licencia. Para ello, debe modificar todos los avisos que hacen referencia
a esta licencia, para que hagan referencia a la licencia pública general GNU normal, versión 2, en vez de a
esta licencia (si ha aparecido una versión de la licencia pública general GNU normal posterior a la versión 2,
entonces, si lo desea, puede especificar esa nueva versión). No haga ningún otro cambio en los avisos.
Una vez que se realice este cambio en una determinada copia, es irreversible para esa copia, de modo que la
licencia pública general GNU normal se aplicará a todas las copias posteriores y a las obras derivadas realizadas
a partir de esa copia.
Esta opción es útil cuando se desea copiar parte del código de la Librería en un programa que no sea una
Librería.
4. Usted puede copiar y distribuir la Librería (o una parte o un derivado de ella, según la sección 2) en código
objeto o en formato ejecutable bajo los términos de las secciones 1 y 2 arriba mencionadas, siempre que vaya
acompañada del correspondiente código fuente completo legible por una máquina, el cual debe distribuirse bajo
los términos de las secciones 1 y 2 anteriores, en un soporte usado habitualmente para el intercambio de softwar
e.
Si la distribución del código objeto se hace ofreciendo acceso a la copia desde un lugar concreto, al ofrecer un
362 WatchGuard System Manager

Licencias
acceso equivalente para copiar el código fuente desde el mismo sitio se satisfacen los requisitos para la distribución
del código fuente, aunque las terceras partes no están obligadas a copiar el código fuente con el código
objeto.
5. Un programa que no contenga derivados de ninguna parte de la Librería, pero que está diseñado para trabajar
con la Librería al compilarse o al enlazarse con ella, se denomina un “obra que usa la Librería”. Esa obra, por separado,
no es una obra derivada de la Librería y, por lo tanto, cae fuera del ámbito de aplicación de esta licencia.
Sin embargo, al enlazar una “obra que usa la Librería” con la Librería, se crea un ejecutable que es un derivado de
la Librería (porque contiene partes de ella) en vez de una “obra que usa la Librería”. El ejecutable está, por lo
tanto, cubierto por esta licencia.
En la sección 6 se exponen los términos para la distribución de esos ejecutables.
Cuando una “obra que usa la Librería” utiliza material de un archivo de cabecera que forma parte de la Librería, el
código objeto de la obra puede ser una obra derivada de la Librería aunque el código fuente no lo sea. Que esto
sea cierto es especialmente significativo si la obra puede enlazarse sin la Librería o si la obra es una Librería. El
límite para que esto sea cierto no está definido con precisión por la ley.
Si dicho archivo objeto utiliza sólo parámetros numéricos, esquemas y descriptores de acceso de estructuras de
datos, pequeñas macros y funciones en línea (de diez líneas de longitud como máximo), entonces el uso del archivo
objeto no está restringido, independientemente de si es legalmente una obra derivada (los ejecutables que
contengan este código objeto y partes de la Librería seguirán cubiertos por la sección 6).
En caso contrario, si la obra es un derivado de la Librería, usted puede distribuir el código objeto de la obra bajo
los términos de la sección 6. Cualquier ejecutable que incluya esa obra también estará cubierto por la sección 6,
esté enlazado o no con la Librería.
6. Como excepción a las secciones anteriores, usted también puede combinar o enlazar una “obra que usa la
Librería” con la Librería para generar una obra que contenga partes de la Librería, y distribuir esa obra bajo los
términos que prefiera, siempre que permitan la modificación de la obra para el uso propio del cliente y la ingeniería
inversa para la depuración de tales modificaciones.
Usted deberá incluir con cada copia de la obra un aviso bien visible de que en ella se está utilizando la Librería y
de que tanto la Librería como su uso están cubiertos por esta licencia. Deberá suministrar una copia de esta licencia.
Si durante la ejecución de la obra se muestran avisos de derechos de autor, deberá incluir los avisos de derechos
de autor de la Librería, así como una referencia a la copia de esta licencia. Además, deberá hacer una de
estas cosas:
a) Acompañar la obra con el correspondiente código fuente legible por máquina completo de la Librería, incluyendo
cualquier cambio que se haya utilizado en la obra (que debe distribuirse bajo las secciones 1 y 2 anteriores); y, si la
obra es un ejecutable enlazado con la Librería, con la “obra que usa la Librería” legible completamente por una
máquina, como código objeto y/o código fuente, de forma que el usuario pueda modificar la Librería y volver a
enlazarla para generar un ejecutable modificado que contenga la Librería modificada (se entiende que el usuario
que cambia el contenido de los archivos de definiciones de la Librería no necesariamente será capaz de volver a
compilar la aplicación para usar las definiciones modificadas).
b) Usar un mecanismo de Librería compartida adecuado para enlazar con la Librería. Un mecanismo adecuado es
uno que (1) utiliza durante la ejecución una copia de la Librería que está ya presente en el sistema del usuario, en
vez de copiar funciones de la Librería en el ejecutable, y (2) funcionará correctamente con una versión modificada
de la Librería, si el usuario instala una, mientras que la interfaz de la versión modificada sea compatible con la versión
con que se realizó la obra.
c) Acompañar la obra con una oferta escrita, válida por tres años al menos, para proporcionar a dicho usuario los
materiales especificados en la subsección 6a anterior, por un precio no superior al gasto de realizar esta distribuc
i ó n .
d) Si la distribución de la obra se hace ofreciendo acceso a la copia desde un lugar concreto, ofrecer un acceso
equivalente para la copia de los materiales especificados anteriormente desde ese mismo lugar.
e) Comprobar que el usuario ya ha recibido una copia de estos materiales o que usted ya le ha enviado una copia.
Para un ejecutable, la forma requerida de la “obra que usa la Librería” debe incluir todos los datos y programas de
utilidades necesarios para reproducir el ejecutable desde ella. Sin embargo, como excepción especial, los materiales
que se han de distribuir no necesitan incluir nada de lo que se distribuye normalmente (ya sea en forma binaria
o fuente) con los componentes principales (compilador, núcleo, etcétera) del sistema operativo en que funcio-
Guía del Usuario 363

Licencias
na el ejecutable, a menos que el propio componente acompañe al ejecutable.
Puede suceder que este requisito contradiga las restricciones de la licencia de otras Librerías propietarias que no
suelen acompañar al sistema operativo. Esta contradicción significa que no puede distribuir un ejecutable que
utilice estas Librerías y la Librería al mismo tiempo.
Puede incluir servicios de la Librería, que son obras basados en la Librería, en una sola Librería con otros servicios
de la Librería no cubiertos por esta licencia, y distribuir dicha Librería combinada, con tal de que la distribución
separada de la obra basada en la Librería y de los otros servicios de la Librería esté permitida, y a condición
de que usted haga estas dos cosas:
a) Acompañe a la Librería combinada con una copia de la misma obra basada en la Librería, sin combinar con
los servicios de la Librería. Ésta debe distribuirse bajo los términos de las secciones anteriores.
b) Incluya un aviso bien visible con la Librería combinada del hecho de que parte de ella es una obra basada en
la Librería, y explicando dónde encontrar las formas sin combinar de la misma obra.
8. No debe copiar, modificar, sublicenciar, enlazar o distribuir la Librería excepto como se contempla expresamente
en esta licencia.
Cualquier intento de copiar, modificar, sublicenciar, enlazar o distribuir la Librería no es válido, y anulará automáticamente
los derechos que le otorga esta licencia. Sin embargo, a las partes que hayan recibido de usted
copias o derechos sujetos a esta licencia, no se les anularán sus licencias mientras cumplan sus condiciones.
9. No se le exige que acepte esta licencia, puesto que no la ha firmado. Sin embargo, es lo único que le otorga
permiso para modificar o distribuir la Librería o sus obras derivadas. Estas acciones están prohibidas por ley si
no acepta esta licencia. Por lo tanto, al modificar o distribuir la Librería (o cualquier obra basado en la Librería),
está indicando que acepta esta licencia y todos sus términos y condiciones para copiar, distribuir o modificar la
Librería o los obras basados en ella.
10. Cada vez que distribuya la Librería (o cualquier obra basada en la Librería), el destinatario recibe automáticamente
una licencia del titular original de la licencia para copiar, distribuir, enlazar o modificar la Librería sujeta
a estos términos y condiciones. Usted no puede imponer ninguna restricción posterior al ejercicio de los derechos
otorgados a los destinatarios aquí mencionados. Usted no es responsable de imponer a terceros que cumplan
las condiciones de esta licencia.
11. Si, como consecuencia de una sentencia en corte o la alegación de una infracción de patente o por cualquier
otra razón (no limitada a cuestiones de patentes), se le impusieran condiciones a usted (ya fuera por orden de la
corte, acuerdo o de otro tipo) que contradijeran las condiciones de esta Licencia, ello no lo excusará de las condiciones
de la misma. Si usted no pudiera distribuir de manera de satisfacer simultáneamente las condiciones de
esta licencia y alguna otra obligación pertinente, entonces, como consecuencia, usted no podrá distribuir la
Librería en absoluto. Por ejemplo, si una licencia de patente no le permitiera la redistribución libre de royalties
de la Librería para todos aquellos que recibieran copias directamente o indirectamente a través suyo, entonces
la única forma en la que podría satisfacer a la vez esto y esta Licencia sería evitando completamente la distribución
de la Librería. Si alguna parte de esta sección es inválida o imposible de hacer cumplir bajo alguna circunstancia
particular, se intentará aplicar el balance de la sección y la sección como un todo en cualquier otra
circunstancia. El propósito de esta sección no es inducirlo a infringir cualquier patente o derecho legítimo de
propiedad o de discutir la validez de esos derechos, esta sección tiene el único fin de proteger la integridad del
sistema de distribución del software libre, el cual está implementado por prácticas de licencias públicas. Mucha
gente ha hecho generosas contribuciones a la gran variedad de software distribuido a través de este sistema,
confiando en la aplicación coherente de este sistema; es decisión del autor/donante decidir si desea distribuir
software a través de cualquier otro sistema y una licencia no puede prohibir esa elección.
Esta sección tiene la finalidad de esclarecer completamente lo que se cree que es una consecuencia del resto de
esta licencia.
12. Si la distribución y/o uso de la Librería es restringida en algunos países mediante patentes o por interfaces
con copyright, el titular original de copyright que pone la Librería bajo esta Licencia podrá agregar una limitación
de distribución geográfica explícita excluyendo a esos países, de modo que la distribución esté permitida
sólo en o dentro de esos países y no en los excluidos. En tal caso, esta Licencia incorporará la limitación como si
estuviera escrita en el cuerpo de esta Licencia.
13. La Fundación para el Software Libre podrá publicar versiones revisadas o nuevas de la Licencia Pública
General Reducida de vez en cuando. Esas nuevas versiones serán similares en espíritu a la presente versión, pero
364 WatchGuard System Manager

Licencias
diferirán en detalles para resolver nuevos problemas o preocupaciones. A cada nueva versión se da un número distintivo.
Si la Librería especifica un número de versión de esta Licencia que se aplica a ésta y a “cualquier nueva
versión” usted tiene la opción de seguir los términos y condiciones de aquella versión o de cualquier nueva versión
publicada por la Fundación para el Software Libre. Si la Librería no especifica un número de versión usted
podrá elegir cualquier versión publicada por la Fundación para el Software Libre.
14. Si usted quiere incorporar partes de la Librería dentro de otros programas libres cuyas condiciones de distribución
son incompatibles con éstas, escriba al autor para pedirle permiso. Para software del que tiene copyright la
Fundación para el Software Libre, escriba a la Fundación para el Software Libre; a veces hacemos excepciones.
Nuestra decisión estará guiada por los dos objetivos de preservar el estado de libre de todos los derivados de
nuestro software libre y promover que el software sea generalmente compartido y reutilizado.
Licencia Pública General de GNU
Algunos componentes del software WatchGuard System Manager son distribuidos con código fuente
cubiertos por la Licencia Pública General de GNU (GPL).
Versión 2, Junio 1991 Copyright (C) 1989, 1991 Fundación para el Software Libre, Inc. 59 Temple Place -
Habitación 330, Boston, MA 02111-1307, Estados Unidos.
A todos se permite copiar y distribuir copias textuales de este documento de licencia, pero los cambios no están
permitidos.
Preámbulo
Las licencias para la mayoría del software están diseñadas para quitar su libertad de compartirlo y modificarlo. En
contraste, las Licencias Públicas GNU intentan garantizar su libertad de compartir y modificar libremente este
software para asegurar que el software sea libre para todos los usuarios. La Licencia Pública General se aplica a la
mayoría del software de la Fundación para el Software Libre y a cualquier otro programa cuyos autores quieran
usarla (algún otro software de la Fundación para el software libre está cubierto en cambio por la Licencia Pública
General de GNU para Librerías). Usted también puede aplicarla a sus programas.
Cuando hablamos de software libre, nos referimos a la libertad de uso, no al precio. Nuestras Licencias Públicas
Generales están diseñadas para asegurarse de que usted tenga la libertad de distribuir copias de software libre (y
cobrar por este servicio si lo desea); que usted reciba código fuente o pueda obtenerlo; que usted pueda cambiar
el software y usar sus partes para un nuevo software libre; y que usted sea informado de que puede hacer estas
cosas.
Para proteger sus derechos, nosotros necesitamos hacer restricciones que prohíban a los distribuidores denegar
esos derechos o pedirle que renuncie a ellos. Estas restricciones se traducen en ciertas responsabilidades para
usted si distribuye copias del software o lo modifica.
Por ejemplo, si usted distribuye copias de este programa, sea gratis o por un importe, usted deberá dar a los
receptores todos los derechos que usted tiene. Usted debe asegurarse de que ellos, también, reciben el código
fuente. Y debe mostrarles estos términos para que ellos sepan que tienen estos derechos.
Nosotros protegemos sus derechos con un método en dos pasos: (1) hacemos el copyright del software, y (2) le
ofrecemos esta licencia, la cual le da derecho legal de copiar, distribuir y/o modificar el software.
También, para la protección de cada autor y nuestra, nos aseguramos que todos entienden que no hay garantía
para el software libre. Si el software es modificado por alguien y pasado a otros, queremos que los receptores
sepan que lo que tienen no es el original, de manera que los problemas introducidos por otros no se reflejen en la
reputación de los autores originales.
Finalmente cualquier programa libre está constantemente amenazado por las patentes de software. Nosotros queremos
evitar el peligro de que los redistribuidores de un programa libre obtengan individualmente una licencia de
patente, haciendo en la práctica al programa propietario. Para prevenir esto, nosotros hacemos claro que cualquier
patente debe ser licenciada para el uso de todos o no licenciada en absoluto. Los términos y condiciones
precisos para copiar, distribuir y modificar siguen a continuación.
TÉRMINOS Y CONDICIONES PARA COPIAR, DISTRIBUIR Y MODIFICAR
0. Esta Licencia se aplica a cualquier programa u otra obra que contenga una advertencia colocada por el titular
del copyright indicando que puede distribuirse bajo los términos de la Licencia Pública General. El “Programa”, de
aquí en adelante, se refiere a cualquier programa u obra, y una “obra basada en el Programa” significa tanto el
Guía del Usuario 365

Licencias
Programa como una obra derivada bajo la ley de copyright: esto es una obra conteniendo el programa o una
parte del mismo, ya sea textualmente o con modificaciones y/o traducido a otro lenguaje (de aquí en adelante,
la traducción es incluida sin limitaciones en el término “modificación”). A los titulares de la licencia se los
denomina “Usted”. Las actividades que no sean la copia, distribución y modificación no se encuentran cubiertas
por esta licencia y caen fuera de su ámbito de aplicación. El acto de correr el programa no está restringido, y el
resultado de dicho programa está cubierto sólo si sus contenidos constituyen una obra basada en el programa
(independientemente de si se hicieron por la ejecución del mismo) Que esto sea cierto dependerá de lo que el
programa haga.
1. Usted puede copiar y distribuir copias literales del código fuente completo del Programa tal y como lo ha
recibido, en cualquier soporte, a condición de que publique de forma manifiesta y adecuada, en cada una de las
copias, un aviso conveniente de copyright y una renuncia a la garantía; mantenga intactos todos los avisos que
hagan referencia a esta licencia y a la ausencia de cualquier garantía; y distribuya una copia de esta licencia
junto con la biblioteca. Usted puede cobrar un precio por el acto físico de hacer una copia y puede, si lo desea,
ofrecer la protección de una garantía a cambio de un importe.
2. Usted podrá modificar su copia o copiar el programa o una parte del mismo, creando entonces una obra
basada en el programa, y copiarla y distribuir esas modificaciones u obras bajo los términos de la Sección 1,
cuando también cumpla todas estas condiciones:
a) Debe hacer que los archivos modificados porten avisos bien visibles, declarando que ha modificado los archivos
y la fecha de los cambios.
b) Usted debe hacer que cualquier obra que usted distribuya o publique, que en todo o en parte contenga o se
derive del Programa o una parte del mismo, sea licenciado como un todo, sin cargo, a todas las terceras partes,
bajo los términos de esta Licencia.
c) Si el programa modificado lee normalmente comandos cuando corre, usted debe hacer que cuando comience
a correr en ese modo interactivo de la manera más común, imprima o muestre un anuncio que incluya una
apropiada advertencia de copyright y de que no hay garantía (o bien que diga que usted provee la garantía),
que los usuarios pueden redistribuir el programa bajo estas condiciones, y cómo puede ver el usuario una copia
de esta Licencia (excepción: si el programa es interactivo pero normalmente no imprime tal anuncio, no se
requiere que su obra basada en el programa lo imprima).
Estos requerimientos se aplican a la obra modificada como un todo. Si secciones identificables del programa no
son derivadas del mismo, y pueden razonablemente ser consideradas obras independientes y separadas, entonces
esta Licencia y sus términos no se aplican a las secciones que usted distribuya como obras separadas. Pero
cuando usted distribuya las mismas secciones como parte de un todo, que es una obra basada en el programa,
la distribución del todo debe ser en los términos de esta Licencia, cuyos permisos para otros licenciatarios se
extienden al todo completo y a cada parte, independientemente de quién la escribió.
La intención de esta sección no es exigir derechos o discutir los derechos de una obra escrita completamente
por usted; sino ejercer el derecho a controlar la distribución de obras derivadas o colectivas basadas en el
Programa.
Además, la mera adición al Programa (o a una obra basada en el Programa) de otra obra que no esté basada en
el Programa en un volumen de almacenamiento o en un soporte de distribución, no pone la otra obra bajo el
ámbito de aplicación de esta licencia.
3. Usted podrá copiar y distribuir el Programa (o una obra basada en el, bajo la Sección 2) en código objeto o
ejecutable bajo los términos de las Secciones 1 y 2, cuando usted haga una de las siguientes acciones:
a) acompañar con el código fuente completo correspondiente en un modo legible por una máquina, el cual debe
ser distribuido bajo los términos de las Secciones 1 y 2 en el soporte habitualmente usado para intercambio de
software, o,
b) acompañarlo con una oferta escrita, válida por lo menos por tres años, de darle a cualquier tercera parte por
un precio no mayor que el costo de hacer la distribución física, una copia completa, legible por máquina, del
correspondiente código fuente, para ser distribuido bajo los términos de las secciones 1 y 2 en un soporte de
uso habitual para el intercambio de software, o,
c) Acompañarlo con la información que usted ha recibido sobre la oferta de distribuir el correspondiente código
fuente (esta alternativa se permite sólo para distribución no comercial y sólo si usted ha recibido el programa
en código objeto o ejecutable con esa oferta de acuerdo a la subsección b) de más arriba).
366 WatchGuard System Manager

Licencias
El código fuente de una obra es la forma preferida para hacer modificaciones de la obra. Para una obra ejecutable,
código fuente completo significa todos los códigos fuentes necesarios para todos los módulos que contenga,
más los archivos de las definiciones asociadas de interfases, más los scripts usados para controlar la compilación
e instalación del ejecutable. Sin embargo, como una excepción especial, el código fuente no necesita incluir nada
que normalmente se distribuya (ya sea en forma fuente o binaria) con los componentes mayores (compilador,
núcleo, etc.) del sistema operativo sobre el cual el ejecutable corre, a menos que ese componente en sí mismo
acompañe al ejecutable. Si la distribución del ejecutable u código objeto se hace ofreciendo acceso a una copia
desde un lugar designado, entonces cuenta como distribución del código fuente el ofrecer el acceso equivalente
para copiar el código fuente desde el mismo lugar, junto con el código objeto, aún si las terceras partes no se sintieran
inclinadas a copiar el código fuente junto con el código objeto.
4. Usted no podrá copiar, modificar, sublicenciar o distribuir el Programa excepto como está expresamente provisto
bajo esta Licencia. Cualquier intento de copiar, modificar, sublicenciar o distribuir el Programa de otro modo es
nulo y perderá automáticamente sus derechos bajo esta Licencia. Sin embargo, a las partes que hayan recibido de
usted copias o derechos sujetos a esta licencia, no se les anularán sus licencias mientras cumplan sus condiciones.
5. No se le exige que acepte esta licencia, puesto que no la ha firmado. Sin embargo, es lo único que le otorga
permiso para modificar o distribuir el Programa o sus obras derivadas. Estas acciones están prohibidas por ley si
no acepta esta licencia. Entonces, al modificar o distribuir el Programa (o cualquier obra basada en el Programa),
usted indica su aceptación de esta Licencia y de todos sus términos y condiciones para copiar, distribuir o modificar
el Programa o las obras basadas en él.
6. Cada vez que redistribuye el Programa (o cualquier obra basada en el Programa) el receptor automáticamente
recibe una licencia del licenciatario original para copiar, distribuir o modificar el programa, sujeta a estos términos
y condiciones. Usted no podrá imponer más restricciones a los receptores para ejercitar los derechos aquí
otorgados. Usted no es responsable del cumplimiento de terceras partes de esta Licencia.
7. i, como consecuencia de una sentencia en corte o la alegación de una infracción de patente o por cualquier
otra razón (no limitada a cuestiones de patentes), se le impusieran condiciones a usted (ya fuera por orden de la
corte, acuerdo o de otro tipo) que contradijeran las condiciones de esta Licencia, ello no lo excusará de las condiciones
de la misma. Si usted no pudiera distribuir de manera de satisfacer simultáneamente las condiciones de
esta licencia y alguna otra obligación pertinente, entonces, como consecuencia, usted no podrá distribuir el
Programa en absoluto. Por ejemplo, si una licencia de patente no le permitiera una redistribución del programa
libre de royalties para todos aquellos que reciban copias, directa o indirectamente a través suyo, entonces, el
único modo en que puede satisfacer a la vez esto y esta Licencia es absteniéndose completamente de la distribución
del Programa.
Si alguna parte de esta sección es inválida o inaplicable bajo alguna circunstancia particular, se intentará aplicar
el balance de la sección y la sección como un todo en las demás circunstancias.
El propósito de esta sección no es inducirlo a infringir cualquier patente o derecho legítimo de propiedad o de
discutir la validez de esos derechos, esta sección tiene el único fin de proteger la integridad del sistema de distribución
del software libre, el cual está implementado por prácticas de licencias públicas.
Mucha gente ha hecho generosas contribuciones a la gran variedad de software distribuido a través de este sistema,
confiando en la aplicación coherente de este sistema; es decisión del autor/donante decidir si desea distribuir
software a través de cualquier otro sistema y una licencia no puede prohibir esa elección.
8. Si la distribución y/o uso de el Programa es restringida en algunos países mediante patentes o por interfaces
con copyright, el titular original de copyright que pone el Programa bajo esta Licencia podrá agregar una limitación
de distribución geográfica explícita excluyendo a esos países, de modo que la distribución esté permitida sólo
en o dentro de esos países y no en los excluidos. En tal caso, esta Licencia incorporará la limitación como si estuviera
escrita en el cuerpo de esta Licencia.
9. La Fundación para el Software Libre podrá publicar versiones revisadas o nuevas de la Licencia Pública General
de vez en cuando. Esas nuevas versiones serán similares en espíritu a la presente versión, pero diferirán en detalles
para resolver nuevos problemas o preocupaciones. A cada nueva versión se da un número distintivo. Si el
Programa especifica un número de versión de esta Licencia aplicable a ésta y a “cualquier nueva versión” usted
tiene la opción de seguir los términos y condiciones de aquella versión o de cualquier nueva versión publicada por
la Fundación para el Software Libre. Si el Programa no especifica un número de versión usted podrá elegir cualquier
versión publicada por la Fundación para el Software Libre.
Guía del Usuario 367

Licencias
10. Si usted quiere incorporar partes del Programa dentro de otros programas libres cuyas condiciones de distribución
son incompatibles con éstas, escriba al autor para pedir permiso. Para software del que tiene copyright
la Fundación para el Software Libre escriba a la Fundación para el Software Libre; a veces hacemos excepciones.
Nuestra decisión estará guiada por los dos objetivos de preservar el estado de libre de todos los derivados de
nuestro software libre y promover que el software sea generalmente compartido y reutilizado.
SIN GARANTÍA
11. DADO QUE EL PROGRAMA ES LICENCIADO GRAT U I TAMENTE, NO HAY GARANTÍA POR EL PRO-
GRAMA, HASTA EL PUNTO PERMITIDO POR LA LEY APLICABLE. EXCEPTO CUANDO DE ALGÚN
MODO LO ESTABLEZCAN POR ESCRITO LOS TITULARES DEL COPYRIGHT Y/O OTRAS PARTES, EL
PROGRAMA ES PROVISTO “TAL CUAL” SIN GARANTÍA DE NINGÚN TIPO, TA N TO EXPRESA O
I M P L Í C I TA, INCLUIDAS, PERO SIN LIMITARSE A ELLAS, LAS GARANTÍAS IMPLÍCITAS DE VIABILI-
DAD COMERCIAL Y DE ADAPTABILIDAD PARA UN PROPÓSITO PARTICULAR. EL COMPLETO RIESGO
SOBRE LA CALIDAD Y PERFORMANCE DEL PROGRAMA ES SUYO. SI EL PROGRAMA DEMOSTRARA
SER DEFECTUOSO, USTED ASUME EL COSTO DE TODO EL MANTENIMIENTO, REPARACIÓN O
C O R R E C C I Ó N .
12. EN NINGÚN CASO, A MENOS QUE SEA REQUERIDO POR LA LEY APLICABLE O ACORDADO
POR VOLUNTAD ESCRITA, NINGÚN TITULAR DEL COPYRIGHT O ALGUNA OTRA PARTE QUE PUEDA
MODIFICAR O REDISTRIBUIR EL PROGRAMA COMO SE PERMITE MÁS ARRIBA, PODRÁ SER RES-
PONSABLE ANTE USTED POR DAÑOS, INCLUYENDO CUALQUIER DAÑO GENERAL, ESPECIAL, INCI-
D E N TAL O CONSECUENTE DEVENIDO DEL USO O DE LA INCAPACIDAD DE USAR EL PROGRAMA
( I N C L U Y E N D O, PERO SIN LIMITARSE A, LA PÉRDIDA DE DATOS, O DATOS QUE SE CONVIERTA N
EN INEXACTOS O PERDIDAS CAUSADAS A USTED O A TERCERAS PARTES O LA FALLA DEL PRO-
GRAMA PARA OPERAR CON OTROS PROGRAMAS), AÚN SI EL TITULAR O LA OTRA PARTE HA SIDO
N OTIFICADO DE LA POSIBILIDAD DE ESE DAÑO.
FIN DE TÉRMINOS Y CONDICIONES
Licencia Sleepycat
Algunos de los componentes del software WatchGuard System Manager software son distribuidos con
una versión del Berkeley DB cubierto bajo la licencia de software Sleepycat.
Copyright (c) 1990-2004 Software Sleepycat.
Todos los derechos reservados.
La redistribución y el uso de las formas binarias y fuentes, con o sin modificación, están permitidas cuando se
cumplan las siguientes condiciones:
1. Las redistribuciones del código fuente deben retener la anterior advertencia de copyright, esta lista de condiciones
y la siguiente renuncia de responsabilidad.
2. Las redistribuciones en forma binaria deben reproducir la anterior advertencia de copyright, la lista de condiciones
y la siguiente renuncia de responsabilidad en la documentación y/o en otros materiales provistos con la
distribución.
3. Las redistribuciones en cualquier forma deben ser acompañadas por la información de cómo obtener los códigos
fuentes completos para el software DB y cualquier software acompañante que use el software DB. El código
fuente debe ser incluido en la distribución por no más que el costo de distribución más un importe nominal y
debe ser libremente redistribuible bajo condiciones razonables. Para un archivo ejecutable, códigos fuentes completos
son los códigos fuentes de todos los módulos que contiene. Esto no incluye el código fuente para los
módulos o archivos que típicamente acompañan los componentes principales del sistema operativo sobre los
cuales el ejecutable corre.
ESTE SOFTWARE ES PROVISTO POR SLEEPYCAT SOFTWARE “TAL CUAL” Y SE RENUNCIA A CUAL-
QUIER GARANTÍA, EXPRESA O IMPLÍCITA, INCLUYENDO, PERO NO LIMITÁNDOSE A, LAS
GARANTÍAS IMPLÍCITAS DE VIABILIDAD COMERCIAL, ADAPTABILIDAD PARA UN PROPÓSITO PA R-
TICULAR O NO INFRACCIÓN. EN NINGÚN CASO SLEEPYCAT SOFTWARE SERÁ RESPONSABLE POR
CUALQUIER DAÑO DIRECTO, INDIRECTO, INCIDENTAL, ESPECIAL, EJEMPLAR O CONSECUENTE
( I N C L U Y E N D O, PERO NO LIMITÁNDOSE A, LA PROCURACIÓN DE BIENES O SERVICIOS SUSTITUTI-
368 WatchGuard System Manager

Licencias
VOS, PERDIDA DE USO, DATOS O GANANCIAS O INTERRUPCIÓN DE LOS NEGOCIOS) SIN EMBARGO
CAUSADOS Y DE ACUERDO A CUALQUIER TEORÍA DE RESPONSABILIDAD, SEA EN CONTRATO, RES-
PONSABILIDAD ESTRICTA, DAÑO (INCLUYENDO O NO NEGLIGENCIA) DEVENIDA DEL USO DE ESTE
S O F T WARE, AÚN SI SE NOTIFICARA DE LA POSIBILIDAD DEL DAÑO.
Copyright (c) 1990, 1993, 1994, 1995
Los Regentes de la Universidad de California. Todos los derechos reservados.
La redistribución de las formas fuente y binaria, con o sin modificación, está permitida cuando se cumplan las
siguientes condiciones:
1.Las redistribuciones del código fuente deben retener la anterior advertencia de copyright, esta lista de condiciones
y la siguiente renuncia de garantía.
2. Las redistribuciones en forma binaria deben retener la anterior advertencia de copyright, esta lista de condiciones
y la siguiente renuncia de garantía en la documentación y/o los materiales provistos con la distribución.
3. Ni el nombre de la Universidad ni los nombres de los colaboradores podrán ser usados para autorizar o promover
productos derivados de este software sin el específico permiso escrito previo.
ESTE SOFTWARE ES PROVISTO POR LOS REGENTES Y COLABORADORES “TAL CUAL” Y SE RENUN-
CIA A CUALQUIER GARANTÍA EXPRESA O IMPLÍCITA, INCLUIDAS, PERO SIN LIMITARSE A ELLAS,
LAS GARANTÍAS IMPLÍCITAS DE VIABILIDAD COMERCIAL Y ADAPTABILIDAD PARA UN PROPÓSITO
PARTICULAR. EN NINGÚN CASO LOS REGENTES O LOS COLABORADORS SERÁN RESPONSABLES
POR CUALQUIER DAÑO (INCLUIDOS, PERO SIN LIMITARSE A, LA PROCURACIÓN DE BIENES O SER-
VICIOS SUSTITUTIVOS, PÉRDIDA DE USO, DATOS, GANANCIAS O INTERRUPCIÓN DE NEGOCIOS)
AUNQUE HAYAN SIDO CAUSADOS DE ACUERDO A ALGUNA TEORÍA DE LA RESPONSABILIDAD,
TA N TO EN CONTRATO, RESPONSABILIDAD ESTRICTA, DAÑO (INCLUYENDO O NO NEGLIGENCIA)
DEVENIDOS DE ALGÚN MODO DE USAR EL SOFTWARE, AÚN SI SE HUBIERA NOTIFICADO DE LA
POSIBILIDAD DE ESE DAÑO.
Copyright (c) 1995, 1996
El Presidente y los miembros de la junta de la Universidad de Harvard. Todos los derechos reservados.
La redistribución y el uso en forma fuente o binaria, con o sin modificaciones, están permitidos cuando se cumplan
las siguientes condiciones: 1. Las redistribuciones en forma fuente, con o sin modificación, deben retener la
anterior advertencia de copyright, esta lista de condiciones y la siguiente renuncia de garantía. 2. Las redistribuciones
en cualquier forma deben reproducir la anterior advertencia de copyright, esta lista de condiciones y la
siguiente renuncia de garantía en la documentación y/o otros materiales provistos con la distribución. 3. Ni el
nombre de la Universidad ni los nombres de los colaboradores podrán ser usados para autorizar o promover los
productos derivados de este software sin el permiso específico previo escrito.
ESTE SOFTWARE ES PROVISTO POR HARVARD “TAL CUAL” Y SE RENUNCIA A CUALQUIER
GARANTÍA, INCLUIDAS, PERO SIN LIMITARSE A ELLAS, LAS GARANTÍAS DE VIABILIDAD COMER-
CIAL Y ADAPTABILIDAD PARA UN PROPÓSITO PARTICULAR. EN NINGÚN CASO HARVARD O SUS
COLABORADORES SERÁN RESPONSABLES POR CUALQUIER DAÑO DIRECTO, INDIRECTO, INCIDEN-
TAL, ESPECIAL, EJEMPLAR O CONSECUENTE (INCLUIDAS, PERO SIN LIMITARSE A, LA
PROCURACIÓN DE BIENES O SERVICIOS SUSTITUTIVOS, PÉRDIDA DE USO, DATOS, GANANCIAS O
INTERRUPCIÓN DE NEGOCIOS) DE ALGÚN MODO CAUSADAS DE ACUERDO A ALGUNA TEORÍA DE
RESPONSABILIDAD, SEA EN CONTRATO, RESPONSABILIDAD ESTRICTA, DAÑO (INCLUYENDO O NO
NEGLIGENCIA) DEVENIDOS DE ALGÚN MODO DE USO DE ESTE SOFTWARE, INCLUSO SI SE HUBIE-
RA NOTIFICADO DE LA POSIBILIDAD DE ESE DAÑO.
Licencia Sourcefire
Además del copyright y la información de la licencia encontrada antes en este apéndice, las actualizaciones de
firmas provistas como parte de la suscripción Gateway AV/IPS están sujetas a este acuerdo de licencia:
SOURCEFIRE, INC.
VERSIÓN 1.1.1
LAS REGLAS CERTIFICADAS VRT SE LE ENTREGAN A USTED POR SOURCEFIRE, INC. (“SOURCEFIRE”)
BAJO LOS TÉRMINOS DE ESTE ACUERDO DE LICENCIA CERTIFICADO VRT (El “ACUERDO”). AL
Guía del Usuario 369

Licencias
HACER CLICK EN EL BOTÓN ACEPTAR MÁS ABAJO, O AL INSTALAR O USAR LAS REGLAS CERTIFI-
CADAS VRT, USTED CONSIENTE SER LIGADO POR ESTE ACUERDO. SI USTED NO ESTÁ DE ACUER-
DO CON LOS TÉRMINOS Y CONDICIONES DE ESTE ACUERDO, NO HAGA CLICK EN EL BOT Ó N
A C E P TAR Y NO INSTALE NI USE NINGUNA PARTE DE LAS REGLAS CERTIFICADAS VRT.
1. Definiciones
1.1 “Propósito Comercial” significa el uso, reproducción o distribución de (i) las Reglas Certificadas VRT o cualquier
Modificación, o cualquier porción de lo anterior, (ii) una compilación que incluye en todo o parte, las
Reglas Certificadas VRT o cualquier Modificación, tanto en el caso en que se busca un resultado de ganancia
pecuniaria directa o indirecta, como en cualquier otra consideración o beneficio económico para una persona o
entidad involucrada en tal uso, reproducción o distribución. Ejemplos de Propósito Comercial incluyen, sin limitación,
(v) integrar las Reglas Certificadas VRT con otro software o hardware para venta, (w) licenciar las Reglas
Certificadas por un importe, (x) usar las Reglas Certificadas VRT para proveer un servicio a una tercera parte, (y)
vender las Reglas Certificadas VRT, o (z) distribuir las Reglas Certificadas VRT para su uso con otros productos u
otros servicios.
1.2 “Compilación” significa un trabajo que combina las Reglas Certificadas VRT o alguna Modificación o partes
de las mismas con servicios, programas o código u otros productos no regidos por los términos de este Acuerdo.
1.3. “Mejoras” significan una Modificación de una Regla Certificada VRT (o de una Regla VRT modificada) que
corrige un bug, defecto o error en esa regla sin afectar la funcionalidad general de esa Regla Certificada VRT (o
Modificación de la misma)
1.4 “Modificaciones” significan una alteración, adición, o borrado de la sustancia o la estructura de las Reglas
Certificadas VRT o cualquier Modificación de ellas, incluyendo, sin limitación, (a) cualquier agregado o borrado
de los contenidos del archivo que contenga el Código Original o Modificaciones previas o, (b) cualquier derivado
de las Reglas Certificadas VRT o cualquier Modificación; o (c) cualquier nuevo archivo que contenga cualquier
parte de las Reglas Certificadas VRT o sus Modificaciones.
1.5 “Uso Permitido”, la definición de ese término se dará en la Sección 2.1
1.6 “Actividades Restringidas”, la definición de ese término se dará en la Sección 2.1
1.7 “Usuario Registrado Snort®” significará un individuo que se ha registrado o suscripto a www.nsnort.org para
usar las Reglas Certificadas VRT.
1.8 “Reglas Certificadas VRT” son las reglas Snort® (en forma de texto, como código fuente, como código objeto
y toda la documentación a ellas relacionada) que han sido creadas, desarrolladas, probadas y oficialmente aprobadas
por Sourcefire. Estas reglas son designadas con SIDs de 3465 - 1,000,000, excepto en el caso que se
advierta otra cosa en el archivo de licencia.
1.9 “Usted” (o “Su”) significa un individuo ejerciendo derechos bajo este Acuerdo otorgado bajo la Sección 7.
Para entidades legales, “Usted” o “Su” incluye cualquier entidad legal que controla, es controlada, o está bajo un
control común con usted o cualquier otra entidad de la que usted esté actuando en nombre de. Para los fines de
esta definición, “control” significa (a) el poder, directo o indirecto de ejercer la dirección o el gerenciamiento de
esa entidad por contrato o de otro modo, o (b) la propiedad o usufructo de más del cuarenta por ciento (40%)
de las acciones comunes.
2. Otorgamiento de Licencia Sourcefire
2.1 Otorgamiento de Licencia. Permiso de uso. Sujeto a los términos y condiciones de este Acuerdo, Sourcefire
aquí otorga a usted una licencia mundial, no exclusiva, para hacer cualquiera de las siguientes cosas respecto a
las Reglas Certificadas VRT: (a) usar y desplegar las Reglas Certificadas VRT en las consolas de administración y
los sensores que usted administre (sobre los cuales tenga control administrativo); (b) usar y desplegar las Reglas
Certificadas VRT en nombre de su empleador en las consolas de administración y sensores internos (por ejemplo
donde una relación empleador-empleado válida exista entre usted y una entidad legal); (c) modificar las Reglas
Certificadas VRT y usar las Modificaciones consistentemente con los párrafos (a) y (b) más arriba; (d) distribuir
las Reglas Certificadas VRT y cualesquiera Modificaciones generalmente accesibles a los Usuarios Registrados
Snort® sobre una base limitada a otros Usuarios Registrados Snort®; (e) distribuir cualquier Mejora generalmente
accesible a los Usuarios Registrados Snort® en las listas de correo habitualmente utilizadas por la comunidad
de usuarios Snort® como un todo; (f) reproducir las Reglas Certificadas VRT como sea estrictamente necesario
para el ejercicio de sus derechos bajo esta Sección 2.1; y (g) Hacer accesibles las Reglas Certificadas VRT (o
cualquier Modificación) a los consultores de su empleador, agentes, y subcontratistas para el propósito limitado
370 WatchGuard System Manager

Licencias
de ejercer sus derechos bajo la Sección 2.1, dado que eso respeta este Acuerdo. Los párrafos (a) hasta (g) son
colectivamente mencionados como los “Usos Permitidos”. Todos los derechos no otorgados en este Acuerdo son
reservados por Sourcefire.
2.2 Limitaciones de la Licencia, Actividades Restringidas. Usted reconoce y acuerda que las Reglas Certificadas
VRT son propiedad de Sourcefire, contienen activos valiosos e información propietaria y propiedad de Sourcefire, y
son provistas a usted bajo los términos y condiciones de este Acuerdo. A pesar de todo lo contrario en este
Acuerdo, Usted acuerda que usted no hará ninguna de las siguientes cosas sin el previo consentimiento escrito de
Sourcefire: (a) usar, desplegar, usar, modificar, licenciar, mostrar, reproducir o distribuir las Reglas Certificadas VRT
o sus Modificaciones (aún combinadas con otros materiales como una Compilación) de otro modo que los permitidos
bajo los Usos Permitidos; (b) vender, licenciar, transferir, alquilar, usar, modificar, reproducir o revelar las
Reglas Certificadas VRT o cualquier Modificación a éstas (como un todo o como parte tanto independientemente
como parte de una Compilación) para un Propósito Comercial; (c) Publicar o hacer generalmente accesibles cualquiera
de las Reglas Certificadas VRT (en todo o en parte o alguna de las Modificaciones a las mismas) a individuos
o grupos de individuos que no han acordado los términos y condiciones de este Acuerdo, dado, sin embargo,
que nada en esta Sección 2.2 (c) descartará los Usos Permitidos de la Sección 2.1 (e); (d) compartir cualquier
información de autenticación o contraseña provistos a usted por Sourcefire con alguna tercera parte para permitirle
a esa parte el acceso a su cuenta snort.org o a otros accesos a las Reglas Certificadas VRT; (e) alterar o
remover cualquier advertencia de copyright o leyenda propietaria contenida en las Reglas Certificadas VRT. Los
párrafos (a) hasta (e) de esta Sección 2.2 son colectivamente referidos como “Actividades Restringidas”
2.3. Obligaciones de Reproducción. Usted acepta que cualquier incorporación de las Reglas Certificadas VRT permitidas
bajo este Acuerdo contendrá las Advertencias expuestas en la Exposición A. Además en la medida que
usted haga copias o distribuya las Reglas Certificadas VRT o sus Modificaciones bajo este Acuerdo, usted acuerda
asegurarse que todas y cada una de esas copias contendrán (a) una copia de la apropiada advertencia de copyright
y todas las otras leyendas propietarias aplicables; (b) una renuncia de cualquier garantía consistente con
este Acuerdo; y (c) cualquier advertencia referida a este Acuerdo y a la ausencia de garantías.
3. Modificaciones; Obras Derivadas. En el caso de que usted cree una Modificación, el uso, reproducción y distribución
de esa Modificación se regirá por los términos y condiciones de este Acuerdo. Además usted otorga aquí a
Sourcefire y a cualquier otro licenciatario de las Reglas Certificadas VRT una licencia irrevocable, perpetua, completamente
pagada, mundial, libre de royalties y no exclusiva para usar, reproducir, modificar, mostrar y distribuir
esas Modificaciones (y su código fuente). Sin embargo, usted y cualquier receptor de esas Modificaciones debe
incluir: (a) la advertencia original de copyright y toda otra leyenda propietaria aplicable; (b) la renuncia a la
garantía original; (c) las advertencias originales referidas a este Acuerdo y a la ausencia de garantías; y (d) una
advertencia notoria estableciendo que usted cambió las Reglas Certificadas VRT (o cualquier modificación a las
mismas) y la fecha de cualquier cambio.
4. Obligaciones de Distribución
4.1 General. El código fuente de la versión de las Reglas Certificadas VRT (o cualquier modificación de las mismas)
pueden ser distribuidas bajo los términos de este Acuerdo, y usted debe incluir una copia de este Acuerdo con
cada copia de las Reglas Certificadas VRT que usted distribuya.
4.2 Advertencias Requeridas. Usted debe duplicar la advertencia en la Exposición A en cada archivo del código
fuente. Si no fuera posible poner esa advertencia en un archivo de código fuente debido a su estructura, entonces
debe incluir esa advertencia en una ubicación (como un directorio relevante) donde un usuario buscaría probablemente
esa advertencia. Si usted crea una o mas Modificaciones usted debe agregar su nombre como colaborador
a la advertencia descripta en la Exposición A. Usted debe también duplicar este Acuerdo en cualquier documentación
del código fuente donde haya descrito los derechos de los receptores o los derechos de propiedad relacionados
con las Reglas Certificadas VRT. Si usted ofreciera garantía, soporte, indemnización u obligaciones de responsabilidad,
usted deberá hacerlo sólo en su propio nombre y no en nombre de Sourcefire. Usted debe dejar absolutamente
claro que cualquier garantía, soporte, indemnización u obligación de responsabilidad es ofrecida por
usted mismo y aquí acuerda indemnizar y hacer que Sourcefire no sufrirá daños por cualquier responsabilidad en
la que incurra Sourcefire como resultado de cualquier garantía, soporte, indemnización o responsabilidad en los
términos que usted ofrezca.
5. Incapacidad para cumplir por causa estatutaria o regulatoria. Si fuera imposible para usted cumplir con alguno
de los términos de este acuerdo con respecto a parte o la totalidad del Código Original debido a estatuto, orden
Guía del Usuario 371

Licencias
judicial o regulación, entonces usted debe: (a) cumplir con los términos de este acuerdo hasta el mayor grado
posible; y (b) describir las limitaciones y el código que ellas afectan. Esa descripción debe estar incluida en
todas las distribuciones del Código Fuente. Excepto en el caso en que le esté prohibido por estatuto o regulación
esa descripción, ésta debe ser lo suficientemente detallada como para que un receptor de capacidad normal
sea capaz de entenderla.
6. Aplicación de este Acuerdo. Este acuerdo se aplica al código al cual Sourcefire adosado la advertencia en la
exposición A y se relaciona a las Modificaciones creadas en la Sección 3.
7. Versiones del Acuerdo
7.1 Nuevas Versiones. Sourcefire puede publicar versiones revisada y/o nuevas versiones del Acuerdo de de vez
en cuando. Cada versión recibirá un número de versión distintivo.
7.2 Efecto de las Nuevas Versiones. Una vez que las Reglas Certificadas VRT hayan sido publicadas bajo una versión
particular de este Acuerdo, usted siempre puede continuar usándolas bajo los términos de esa versión.
Usted puede también elegir usar esas Reglas Certificadas VRT bajo cualquier versión posterior de ese Acuerdo
publicada por Sourcefire. Nadie más que Sourcefire tiene derecho a modificar los términos aplicables al Código
Original
8. RENUNCIA DE GARANTÍA
LAS REGLAS CERTIFICADAS VRT Y LAS MODIFICACIONES SON PROVISTAS BAJO ESTE ACUERDO
“ TAL CUAL”, SIN GARANTÍA DE NINGÚN TIPO, TA N TO EXPRESA COMO IMPLÍCITA INCLUYENDO,
SIN LIMITACIÓN, LAS GARANTÍAS DE QUE LAS REGLAS CERTIFICADAS VRT O SUS MODIFICACIO-
NES ESTÉN LIBRES DE DEFECTOS, SEAN COMERCIALMENTE VIABLES, SE AJUSTEN A UN
P R O P Ó S I TO PARTICULAR O NO ESTÉN EN INFRACCIÓN. EL RIESGO TOTAL DE LA CALIDAD Y EL
DESEMPEÑO DE LAS REGLAS CERTIFICADAS VRT Y LAS MODIFICACIONES ES SUYO Y, SI ALGUNA
REGLA CERTIFICADA VRT O MODIFICACIÓN DEMOSTRARA SER DEFECTUOSA EN ALGÚN SENTIDO,
USTED (NO SOURCEFIRE) ASUME EL COSTO DEL NECESARIO MANTENIMIENTO, REPARACIÓN O
CORRECCIÓN. ESTA RENUNCIA DE GARANTÍA CONSTITUYE UNA PARTE ESENCIAL DE ESTE
A C U E R D O. NO SE AUTORIZA NINGÚN USO DE NINGUNA DE LAS REGLAS CERTIFICADAS VRT NI
NINGUNA MODIFICACIÓN DE LAS MISMAS EXCEPTO BAJO ESTA RENUNCIA DE GARANTÍA.
9. Finalización
9.1 Este Acuerdo y los derechos otorgados en el mismo terminarán automáticamente si usted falla en cumplir
con cualquiera o todos estos términos y no subsana esa falla dentro de los 30 días de darse cuenta del incumplimiento.
Todas las sublicencias de las Reglas Certificadas VRT que hayan sido correctamente otorgadas sobrevivirán
cualquier terminación de este acuerdo. Las provisiones que por su naturaleza deban permanecer en efecto
más allá de la terminación de este acuerdo sobrevivirán.
10. L I M I TACIÓN DE RESPONSABILIDAD. BAJO NINGUNA CIRCUNSTANCIA Y BAJO NINGUNA
TEORÍA LEGAL, POR DAÑO (INCLUYENDO NEGLIGENCIA), CONTRATO U OTRO CASO, SERÁ USTED
O SOURCEFIRE RESPONSABLE FRENTE A NINGUNA PERSONA O PARTE POR CUALQUIER DAÑO
I N D I R E C TO, ESPECIAL, INCIDENTAL O CONSECUENTE DE CUALQUIER TIPO INCLUYENDO, SIN
L I M I TACIÓN, DAÑOS POR PÉRDIDA DE BUENA VOLUNTAD, DETENCIÓN DEL TRABAJO, RUPTURAS
A LA SEGURIDAD O FALLAS, DESPERFECTOS EN COMPUTADORAS, MAL FUNCIONAMIENTO, O
CUALQUIER OTRO DAÑO O PÉRDIDA, INCLUSO SI ESA PARTE HUBIERA INFORMADO DE LA POSI-
BILIDAD DE ESOS DAÑOS. ESTA LIMITACIÓN DE RESPONSABILIDAD NO SE APLICARÁ EN EL CASO
EN QUE LAS LEYES APLICABLES PROHÍBAN ESAS LIMITACIONES. ALGUNAS JURISDICCIONES NO
PERMITEN LA EXCLUSIÓN O LIMITACIÓN DE DAÑOS INCIDENTALES O CONSECUENTES, POR LO
TA N TO, ESTA EXCLUSIÓN Y LIMITACIÓN PUEDE NO APLICARSE A USTED.
11. Cumplimiento de la Licencia.
Sourcefire le podrá pedir que provea un certificado, firmado por su representante autorizado, de que está usando
las Reglas Certificadas VRT en forma consistente con los Usos Permitidos. En el caso en que usted no esté
usando las Reglas Certificadas VRT de acuerdo con un Uso Permitido o si usted viola los términos de este
Acuerdo, Sourcefire puede, dado que las reparaciones legales pueden resultar inadecuadas, además de otras
reparaciones: (a) demandar la devolución de las Reglas Certificadas VRT; (b) prohibir e imponer uso posterior de
las Reglas Certificadas VRT; (c) aplicarle un importe apropiado para el uso real que usted hace de las Reglas
Certificadas VRT.
12. Usuarios del Gobierno de Estados Unidos. Si las Reglas Certificadas VRT están siendo adquiridas por o en
372 WatchGuard System Manager

Licencias
nombre del Gobierno de los EEUU o por uno de sus contratistas primarios o subcontratistas (a cualquier nivel),
entonces los derechos del Gobierno en las Reglas Certificadas VRT y sus modificaciones estarán sujetos a los términos
comerciales estándares, solamente como se expresa en este Acuerdo; y sólo con “Derechos Limitados” y
“Derechos Restringidos”, como se define en las regulaciones federales si los términos comerciales parecieran no
aplicar.
13 Misceláneas. El Acuerdo representa un acuerdo completo, concerniente a esta materia. Si alguna previsión de
este Acuerdo fuera inaplicable, será reformada sólo en lo necesario para hacerla aplicable. Este acuerdo se regirá
por las previsiones legales de Maryland (excepto cuando la ley aplicable prevea otra cosa), excluyendo estas previsiones
para conflicto entre leyes. Cualquier litigio relacionado con este Acuerdo estará sujeto a las Cortes del
estado y Federales de Greenbelt, Maryland, y la parte perdedora será responsable por las costas, incluyendo, sin
limitación, las costas de la corte y los honorarios razonables de los abogados y gastos. Usted aquí se somete a la
jurisdicción y ubicación de esas cortes. La aplicación de la Convención de las Naciones Unidas para los Contratos
de Venta Internacional de Bienes está expresamente excluida. Cualquier ley y regulación que prevea que el lenguaje
de un contrato deba ser interpretado en contra de quien lo redacta no se aplicará en este Acuerdo. Las
referencias a encabezados y secciones son usadas para referencia y no deben ser usadas para definir, limitar o
describir cada sección.
CUESTIÓN A - Acuerdo de Licencia de las Reglas Certificadas VRT
Los contenidos de este archivo están sujetos al Acuerdo de Licencia 1.1 (el “Acuerdo”). Usted no puede usar este
archivo excepto de acuerdo con el Acuerdo. Usted puede obtener una copia del Acuerdo aquí. El Software es distribuido
bajo el Acuerdo “TAL CUAL”, SIN GARANTÍA DE NINGÚN TIPO, tanto expresa como implícita. Vea el
Acuerdo para el lenguaje específico que rige los derechos y limitaciones bajo el mismo. El desarrollador de las
Reglas Certificadas VRT es Sourcefire, Inc. una Corporación de Delaware.
Licencia del Parser Expat-MIT HTML
Copyright (c) 1998, 1999, 2000 Thai Open Source Software Center Ltd
Se autoriza, sin costo, a cualquier persona que obtenga una copia de este software y sus archivos de documentación
asociados (el “Software”), a comerciar con el Software sin restricción incluyendo, sin limitación, los derechos
de usar, copiar, modificar, combinar, publicar, distribuir, sublicenciar y/o vender copias del Software, y permitir a
las personas a las cuales el Software les sea provisto hacer lo mismo, con las siguientes condiciones:
La advertencia de copyright y de autorización deberá ser incluida en todas las copias o partes sustanciales del
Software. EL SOFTWARE ES PROVISTO “TAL CUAL”, SIN GARANTÍA DE NINGÚN TIPO, EXPRESA O
I M P L Í C I TA, INCLUIDAS, PERO SIN LIMITARSE A ELLAS, LAS GARANTÍAS DE VIABILIDAD COMER-
CIAL, ADAPTABILIDAD PARA UN PROPÓSITO PARTICULAR Y NO INFRACCIÓN. EN NINGÚN CASO
LOS AUTORES O TITULARES DEL COPYRIGHT SERÁN RESPONSABLES POR CUALQUIER
REIVINDICACIÓN DE DAÑOS U OTRA RESPONSABILIDAD, SEA POR ACCIÓN DE CONTRATO, DAÑO U
OTRO CASO, DEVENIDAS DE O EN CONEXIÓN CON EL SOFTWARE, O SU USO, O SU TRATO.
Licencia de Software Curl MIT-X
ADVERTENCIA DE COPYRIGHT Y AUTORIZACIÓN
Copyright (c) 1996 - 2006, Daniel Stenberg, .
Todos los derechos reservados.
Se otorga permiso para usar, copiar, modificar y distribuir este software para cualquier propósito con o sin costo,
cuando la anterior advertencia de copyright y autorización aparezca en todas las copias.
EL SOFTWARE ES PROVISTO “TAL CUAL” SIN GARANTÍA DE NINGÚN TIPO, EXPRESA O IMPLÍCITA ,
INCLUIDAS, PERO SIN LIMITARSE A ELLAS, LAS GARANTÍAS DE VIABILIDAD COMERCIAL, ADAPTA-
BILIDAD PARA UN USO PARTICULAR Y NO INFRACCIÓN DE LOS DERECHOS DE TERCERAS PA R T E S .
EN NINGÚN CASO EL AUTOR O LOS TITULARES DEL COPYRIGHT SERÁN RESPONSABLES POR NIN-
GUNA REIVINDICACIÓN POR DAÑOS U OTRA RESPONSABILIDAD, TA N TO POR ACCIÓN DE CONTRA-
TO, DAÑO U OTRO CASO, DEVENIDO DEL, O EN CONEXIÓN CON EL SOFTWARE, O SU USO, O SU
T R ATO.
Excepto del modo en que está contenido en esta advertencia, el nombre del titular del copyright no deberá ser
usado en publicidad o de algún otro modo para promover la venta, uso o transacciones sobre este Software sin el
previo consentimiento escrito del titular del copyright.
Guía del Usuario 373

Licencias
Nota
Todas las otras marcas comerciales o nombres comerciales mencionados aquí son propiedad de sus
respectivos dueños.
374 WatchGuard System Manager

APENDICE B
Localización de los Archivos
de Wa t c h G u a rd
Este apéndice da la ubicación donde el software WatchGuard® System Manager guarda los archivos comunes
de datos. Dado que es posible configurar el sistema operativo Windows para poner estos directorios en
discos diferentes, usted debe conocer la ubicación correcta de estos archivos en base a la configuración de
Windows en su computadora.
También se puede configurar que los archivos de registro de actividades (log) se guarden en un directorio
diferente del de los archivos de instalación. Si cambia la ubicación por defecto de los archivos log, estas ubicaciones
por defecto no se aplicarán.
Si usted está usando una versión del sistema operativo que no esté en inglés, debe traducir los nombres de
directorios (por ejemplo “Documents and Settings” o “Program Files”) para que coincidan con el lenguaje de
sistema operativo que utilice.
Tipo de archivo
Datos creados por el usuario
Datos creados por el usuario
(compartidos)
Archivos de configuración del
Firebox®
Archivos de log del Firebox
Archivos de informes
Certificados
Aplicaciones de WatchGuard®
Librerías compartidas de aplicaciones
Datos de administración del servidor
Datos de la autoridad de
certificación
Datos del servidor de WebBlocker
Imágenes futuras de actualización
del producto
Ubicación
My Documents\My WatchGuard
(los datos creados por el usuario incluyen archivos como los archivos de
configuración de Firebox, archivos de licencias y certificados. En muchos
casos, el software WSM crea una subcarpeta en la carpeta My
WatchGuard para guardar estos archivos)
C:\Documents and Settings\All Users\Shared WatchGuard
My Documents\My WatchGuard\configs
C:\Documents and Settings\WatchGuard\logs
C:\Documents and Settings\WatchGuard\reports
My Documents\My WatchGuard
C:\Program Files\WatchGuard\wsm8
C:\Program Files\Common Files\WatchGuard\wsm8
C:\Documents and Settings\WatchGuard\wmserver
C:\Documents and Settings\WatchGuard\wmserver\wgca
C:\Documents and Settings\WatchGuard\wbserver
C:\Program Files\Common Files\WatchGuard\resources
Guía del Usuario 375

Localización de los Archivos por Defecto
Tipo de archivo
Archivos de ayuda (Fireware®)
Archivos de ayuda (WFS)
Ubicación
C:\Program Files\WatchGuard\wsm8\help
C:\Program Files\WatchGuard\wsm8\wfs\help
Localización de los Archivos por Defecto
Estas tablas dan la ubicación por defecto donde las aplicaciones de software y los servidores WatchGuard®
buscan archivos de datos creados por los usuarios (como los archivos de configuración del Firebox®). En
algunos casos, la ubicación por defecto se modifica según dónde el software de aplicación abrió un archivo
de tipo similar. En estos casos, el software de aplicación recuerda el último lugar donde el archivo fue
leído o escrito, y busca primero en dicha ubicación.
Dado que es posible configurar el sistema operativo Windows para poner estos directorios en discos diferentes,
usted debe conocer la ubicación exacta de estos archivos en base a la configuración de Windows
en su computadora.
También se puede configurar que los archivos de registro de actividades (log) se guarden en un directorio
diferente del de los archivos de instalación. Si cambia la ubicación por defecto de los archivos log, estas
ubicaciones por defecto no se aplicarán.
Si usted está usando una versión del sistema operativo que no sea en inglés, debe traducir los nombres de
directorios (por ejemplo “Documents and Settings” o “Program Files”) para que coincidan con el lenguaje
de sistema operativo que utilice.
Software Policy Manager para Fireware Appliance
Operación Tipo de Archivo Ubicación por Defecto
Leer/Escribir
Leer
Archivos de respaldo del
Firebox
Imágenes de actualización
del producto
C:\Documents and Settings\All Users\Shared
WatchGuard\backups
C:\Program Files\Common
Files\WatchGuard\Resources\Fireware
Leer Sitios bloqueados MyDocuments\My WatchGuard
Leer
Leer/Escribir
Leer/Escribir
Leer
Sitios bloqueados, excepciones
Archivos de configuración
del Firebox
Archivos de licencias
Firebox
Importación inicial de
licencia
My Documents\My WatchGuard
My Documents\My WatchGuard\configs
My Documents\My WatchGuard\configs
import MyDocuments\MyWatchGuard
Escribir Archivos MUVPN .wgx C:\Documents and Settings\All Users\Shared
WatchGuard\muvpn
376 WatchGuard System Manager

Localización de los Archivos por Defecto
Software Policy Manager para WFS Appliance
Operación Tipo de Archivo Ubicación por Defecto
Leer
Leer
Escribir
Notificación de
Logging
Importar las reglas
de spam
Archivos de respaldo
guardados
Directorio activo actual
Directorio activo actual
C:\Documents and Settings\All Users\Shared
WatchGuard\backups
Escribir MUVPN SPDs (.wgx) C:\Documents and Settings\All Users\Shared
WatchGuard\muvpn
Read
Importar lista de Sitios
Bloqueados
Directorio activo actual
Flash Disk Management para el Software WFS Appliance
Operación Tipo de Archivo Ubicación por Defecto
Leer/Escribir
Imagen de archivo de
respaldo
C:\Documents and Settings\All Users\Shared
WatchGuard\backups
Informes Históricos
Operación Tipo de Archivo Ubicación por Defecto
Leer/Escribir
Definiciones de
informes
C:\Documents and Settings\WatchGuard\
report-defs
Leer/Escribir Gráficos de informes C:\ProgramFiles\WatchGuard\wsm8\reports\
graphics\
Guía del Usuario 377

Localización de los Archivos por Defecto
377 WatchGuard System Manager

APENDICE C
Tipos de Políticas
Este capítulo brinda una lista de políticas predefinidas incluidas con el software Fireware®, sus protocolos y
sus puertos. También da información especial sobre circunstancias que podrían tener un efecto sobre la
seguridad de algunas políticas.
En este capítulo, las políticas se dividen en dos grupos: políticas controladas por un filtro de paquetes y políticas
controladas por una proxy.
Políticas por Filtro de Paquetes
Las políticas por filtro de paquetes examinan los encabezados de la fuente y el destino de cada paquete. Los
paquetes son permitidos o denegados en función de que esos encabezados parezcan provenir desde y
vayan hacia direcciones confiables.
Any
Utilice la política Any solamente para permitir todo el tráfico entre dos redes o direcciones IP especificadas.
Una política Any abre un “agujero” a través del Firebox®, y permite a todo el tráfico fluir libremente entre los
hosts especificados. Recomendamos usar la política Any solamente para el tráfico a través de una VPN.
La política Any es diferente de otras políticas. Por ejemplo, si usted permite FTP solamente hacia un host
especificado, todas las otras sesiones FTP hacia otros hosts serán denegadas por esas otras políticas (a
menos que haya también configurado otras políticas FTP). La política Any no produce una denegación de
este tipo, como lo hacen las otras.
Asimismo, no se puede usar la política Any a menos que se usen en las listas From (desde) o To (hacia)
direcciones IP, direcciones de red, alias de host, nombres de grupos o nombres de usuarios. De lo contrario, la
política Any no operará.
Características
• Protocolo(s) de Internet: cualquiera
• Número(s) de puerto: cualquiera
Guía del Usuario 379

Políticas por Filtro de Paquetes
AOL
El protocolo propietario de America Online permite acceder a AOL a través de una red TCP/IP. El cliente
AOL debe estar especialmente configurado para usar TCP/IP y no un módem.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 5190
archie
archie es un protocolo de búsqueda usado para encontrar archivos sobre servidores FTP. Recomendamos
usar las interfaces web disponibles para archie. Una lista actualizada de servidores archie está disponible
por FTP anónimo en:
ftp://microlib.cc.utexas.edu/microlib/mac/info/archie-servers.txt
Los host externos podrían estar sujetos a “spoofing”, o suplantación de identidad. El Firebox no puede asegurar
que dichos paquetes fueron enviados desde la ubicación correcta. Se puede configurar el Firebox
para añadir la dirección IP de origen a la lista de sitios bloqueados cuando una conexión archie entrante
sea denegada. Puede usar todas las opciones de log usuales con archie.
Características
• Protocolo(s) de Internet: UDP
• Número(s) de puerto: 1525
auth
El Protocolo de Autenticación de Servidores AUTH tiene un nuevo nombre. Ahora se llama Identification
Protocol (IDENT). Refiérase a IDENT para mayor información sobre esta política.
BGP
Border Gateway Protocol (BGP) es el protocolo de enrutamiento utilizado en la mayor parte de Internet. Es
un protocolo altamente configurable, que puede añadir redundancia a los vínculos hacia y desde la
Internet en las LANs. Le recomendamos usar este servicio solamente si tiene habilitado y configurado BGP
en los procesos de enrutamiento dinámico en la configuración Fireware®.
Características
• Protocolo(s) de Internet: TCP o UDP
• Número(s) de puerto: 179
Citrix
Citrix, o Independent Computing Architecture (ICA), es un protocolo de aplicaciones usado por las aplicaciones
de software de Citrix, como Winframe y Metaframe Presentation Server (MPS). Winframe da acceso
a una computadora Windows desde diferentes tipos de clientes que usen el puerto TCP 1494. Citrix MPS
3.0 usa ICA con Session Reliability sobre TCP en el puerto 2598. Si usted usa Citrix MPS, debe añadir una
política personalizada para el puerto TCP 2598. Si añade la política Citrix, puede poner en riesgo la seguridad
de su red, porque permite acceso remoto sin autenticación a las computadoras a través del firewall. La
amenaza a un servidor Winframe o MPS incluye posibles ataques de denegación de servicio.
Recomendamos que utilice opciones VPN para dar mayor seguridad a las conexiones ICA. Puede usar
todas las opciones usuales de log con WinFrame.
380 WatchGuard System Manager

Políticas por Filtro de Paquetes
Características
Clarent-gateway
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 1494
Clarent Corporation provee tecnología de telefonía IP para los principales operadores y proveedores de servicios.
Los productos Clarent permiten voz sobre IP entre gateways Clarent a lo largo de Internet. Esta política
brinda soporte a los productos Clarent v3.0 y posteriores.
Los productos Clarent usan dos conjuntos de puertos, uno para comunicaciones de gateway a gateway
(puertos UDP 4040,4045 y 5010) y otro para comunicaciones entre un gateway y un centro de comandos de
comunicaciones (Puertos UDP 5001 y 5002).
Use la política de comandos Clarent para las comunicaciones entre un gateway y un centro de comandos de
comunicaciones.
Permita las conexiones entrantes solamente desde gateways externos especificados hacia su gateway o
centro de comandos.
Clarent también da soporte para usar PCAnywhere en la administración. Refiérase a las notas sobre la política
PCAnywhere para más información.
La política para gateways de Clarent podría poner en riesgo su red, porque permite el tráfico dentro del firewall
basándose solamente en la dirección IP. Este no es un método confiable de autenticación. Además, su
servidor Clarent podría recibir ataques de denegación de servicio en esta configuración. Cuando sea posible,
recomendamos que utilice opciones VPN para dar más seguridad a las conexiones de gateway Clarent.
Características
Clarent-command
• Protocolo(s) de Internet: UDP
• Número(s) de puerto: 4040, 4045, 5010
Clarent Corporation provee tecnología de telefonía IP para los principales operadores y proveedores de servicios.
Los productos Clarent permiten voz sobre IP entre gateways Clarent a lo largo de Internet. Esta política
brinda soporte a los productos Clarent v3.0 y posteriores.
Los productos Clarent usan dos conjuntos de puertos, uno para comunicaciones de gateway a gateway
(puertos UDP 4040,4045 y 5010) y otro para comunicaciones entre un gateway y un centro de comandos de
comunicaciones (Puertos UDP 5001 y 5002).
Permita las conexiones entrantes solamente desde gateways externos especificados hacia su gateway o
centro de comandos.
Clarent también da soporte para usar PCAnywhere en la administración. Refiérase a las notas sobre la política
PCAnywhere para más información.
La política para comandos de Clarent podría poner en riesgo su red, porque permite el tráfico dentro del
firewall basándose solamente en la dirección IP. Este no es un método confiable de autenticación. Además,
su servidor Clarent podría recibir ataques de denegación de servicio en esta configuración. Cuando sea posible,
recomendamos que utilice opciones VPN para dar más seguridad a las conexiones de comandos
Clarent.
Características
• Protocolo(s) de Internet: UDP
• Número(s) de puerto: 5001, 5002
Guía del Usuario 381

Políticas por Filtro de Paquetes
CU-SeeMe
CU-SeeMe es una aplicación de software utilizada para hacer videoconferencias por Internet. Para que
CU-SeeMe opere a través del Firebox, debe asegurarse de que no se trate de una red que utilice NAT dinámico
saliente. Configure la política CU-SeeMe para acceso entrante y saliente.
El protocolo CU-SeeMe hace que usted configure esta política para entrante y saliente. La política
CU-SeeMe usa los puertos correctos para permitir el uso de las versiones de CU-SeeMe 2.X y 3.X. La versión
de CU-SeeMe 2.X opera sobre el puerto UDP 7648. La versión 3.X opera sobre el puerto UDP 7648, UDP
24032 (para conferencias H.323) y TCP 7648 (para directorios de videoconferencia).
Características
• Protocolo(s) de Internet: TCP o UDP
• Número(s) de puerto: UDP 7648, UDP 24032, TCP 7648
DHCP-Server o DHCP-Client
Dynamic Host Configuration Protocol (DHCP) brinda una manera de alocar direcciones IP dinámicas a los
dispositivos de una red.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto DHCP Servidor: 68
• Número(s) de puerto DHCP Cliente: 67
DNS
Domain Name Service (DNS) hace coincidir nombres de host con direcciones IP. Una política DNS es habilitada
por defecto en la configuración. La política DNS permite el tráfico UDP DNS, así como que se produzcan
transferencias del modo que haya sido especificado. Todas las opciones usuales de log pueden usarse
con DNS.
Características
• Protocolo(s) de Internet: Multi TCP (para transferencias en la zona servidor-servidor)
y UDP (para lookups cliente-servidor)
• Número(s) de puerto: TCP 53 y UDP 53
Entrust
El protocolo de distribución de aplicaciones Entrust Authority Public Key pasa claves públicas hacia terceros,
que son organizaciones confiables, para su verificación.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 709, 710
finger
finger es un protocolo de aplicaciones usado para obtener información sobre los usuarios de un host
determinado. Es sencillo para un hacker usar esta información en contra suya. Nosotros no recomendamos
poner servidores finger en la interfaz confiable.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 79
382 WatchGuard System Manager

Políticas por Filtro de Paquetes
FTP
File Transfer Protocol (FTP) se usa para transferir archivos a lo largo de Internet. Un filtro de paquetes FTP no
aplicará la regla de la proxy FTP a cualquier tráfico. Para el tráfico de la proxy FTP, use la política FTP proxy.
Recomendamos que el tráfico FTP entrante sólo sea permitido para servidores públicos de FTP localizados
detrás del Firebox.
Los hosts externos pueden ser “spoofed”, es decir, están sujetos a usurpaciones de identidad. WatchGuard no
puede verificar que estos paquetes fueron realmente enviados desde la ubicación correcta. Usted puede
configurar el Firebox para añadir la dirección IP de origen a la lista de sitios bloqueados cuando una conexión
FTP entrante sea denegada. El filtro de paquetes y la política proxy incluidos en el WatchGuard Policy
Manager se hace cargo del canal de datos para las sesiones de FTP activas y pasivas. Todas las opciones
usuales de log pueden usarse con FTP.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: FTP usa dos puertos: TCP 20 para controlar conexiones y TCP 21 para transferir
datos. TCP 21 puede ser una conexión entrante o saliente, dependiendo de cómo esté configurado el
cliente. Si es entrante, 21 es el puerto origen y el puerto de destino es al azar.
Gopher
Gopher es un protocolo de recuperación de datos desarrollado en la universidad de Minnesota. No es usado
con mucha frecuencia, dado que la mayoría de los usarios utiliza HTML.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 70, pero los servidores pueden configurarse para usar otros puertos.
GRE
Generic Routing Encapsulation Protocol (GRE) se usa junto con Point-to-Point Tunneling Protocol (PPTP)
para crear redes privadas virtuales (VPN) entre clientes o entre clientes y servidores.
Características
• Protocolo(s) de Internet: GRE
• Número(s) de puerto: 47
HTTP
Un filtro de paquetes HTTP no aplicará a cualquier tráfico la regla de la proxy HTTP configurada. Para el tráfico
HTTP, utilice la política proxy HTTP. Recomendamos que el tráfico HTTP entrante sólo esté permitido para
servidores públicos HTTP localizados detrás del Firebox.
Los host externos podrían estar sujetos a “spoofing”, o suplantación de identidad. El Firebox no puede asegurar
que dichos paquetes fueron enviados desde la ubicación correcta. Se puede configurar el Firebox para
añadir la dirección IP de origen a la lista de sitios bloqueados cuando una conexión HTTP entrante sea
denegada. Puede usar todas las opciones de log usuales con HTTP.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 80
Guía del Usuario 383

Políticas por Filtro de Paquetes
HTTPS
HTTPS es una versión segura y encriptada del protocolo HTTP. El cliente y el servidor web establecen una
sesión encriptada sobre el puerto TCP 443. Como esta sesión está encriptada, la proxy no puede examinar
los contenidos del paquete usando una proxy. Esta política utiliza un filtro de paquetes para examinar la
conexión.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 443
HBCI
Home Banking Computer Interface (HBCI) es un estándar creado para clientes de bancos y fabricantes de
productos bancarios.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 3000
IDENT
Identification Protocol (IDENT) es un protocolo usado para hacer corresponder conexiones TCP con un
nombre de usuario. Se usa con mayor frecuencia en grandes servidores SMTP y FTP. Se utiliza para logs,
pero no se puede confiar en la información que brinda, porque los atacantes pueden modificar sus servidores
para hacerles enviar información incorrecta. IDENT utiliza información falsa para esconder la información
interna del usuario.
Cuando use SMTP con NAT estática entrante, debe añadir IDENT a su Policy Manager. Configure IDENT
para permitir el tráfico hacia el Firebox. Esto permite a los mensajes de correo fluir desde atrás del Firebox
hacia los muchos servidores SMTP que hay en Internet que usan IDENT para identificar las identidades de
otros servidores de correo, y permite a dichos servidores contestar mensajes a sus remitentes a través del
Firebox.
Si usted no está usando NAT dinámica, habilite IDENT para las direcciones IP de su servidor de correo electrónico.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 113
IGMP
Internet Group Management Protocol (IGMP) es el estándar para IP multicasting en Internet. Se usa para
controlar membresías de hosts en grupos multicast sobre una única red.
Características
• Protocolo(s) de Internet: IGMP
384 WatchGuard System Manager

Políticas por Filtro de Paquetes
IKE
Internet Key Exchange Protocol es un protocolo estándar para administración de claves.
Características
• Protocolo(s) de Internet: UDP
• Número(s) de puerto: 4500 y 500. UDP 4500 se usa sólo para NAT traversal.
IMAP
Internet Mail Access Protocol (IMAP) es un protocolo a nivel de aplicaciones para obtener mensajes de
correo electrónico o foros que están en un servidor de correo remoto, como si esos mensajes fueran locales.
Se puede acceder al correo almacenado en un servidor IMAP desde muchas ubicaciones (por ejemplo, el
hogar, el trabajo o la laptop) sin cambiar de lugar los mensajes.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 143
IPSec
Internet Protocol Security (IPSec) es un marco para un conjunto de protocolos de seguridad a nivel de la red
o del paquete en las comunicaciones de red. Es un protocolo de tunelamiento VPN con encripción.
Características
• Protocolo(s) de Internet: UDP, Encapsulated Security Payload (ESP)y Authentication Header (AH)
• Número(s) de puerto: UDP 500 y UDP 4500.
IRC
Internet Relay Chat (IRC) es un sistema para chatear en Internet. Para usar IRC, hay que tener un cliente IRC y
acceso a Internet. El cliente IRC es una aplicación de software en su computadora que envía y recibe mensajes
hacia y desde un servidor IRC. El servidor IRC asegura que todos los mensajes sean enviados a todos los
usuarios de la sesión de chat.
Características
Intel Video Phone
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 6667
Intel Video Phone es una aplicación multimedia en tiempo real basada en H.323. H.323 es un estándar internacional
para conferencias sobre redes TCP/IP. Esta política no filtra contenido peligroso. No soporta QoS ni
protocolo rsvp, y no soporta NAT.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 1720, 522
Guía del Usuario 385

Políticas por Filtro de Paquetes
Kerberos v 4 y Kerberos v 5
El protocolo de autenticación Kerberos es un sistema de autenticación desarrollado por el Massachusetts
Institute of Technology (MIT). Kerberos permite que dos computadoras intercambien información privada
a lo largo de una red abierta, usando autenticación para la seguridad.
Características
• Protocolo(s) de Internet: TCP y UDP
• Número(s) de puerto Kerberos v4: UDP 750
• Número(s) de puerto Kerberos v5: TCP 88 y UDP 88
L2TP
Layer 2 Tunneling Protocol (L2TP) es una extensión del protocolo PPP que habilita a los ISPs a operar redes
privadas virtuales.
Características
• Protocolo(s) de Internet: UDP
• Número(s) de puerto: 1701
LDAP
Lightweight Directory Access Protocol (LDAP) es un protocolo de estándar abierto para usar servicios de
directorio en línea. Este protocolo opera con los protocolos de transferencia de Internet, como TCP. Puede
usarse LDAP para obtener acceso a servidores autónomos de directorios o directorios X.500.
LDAP-SSL
Lotus Notes
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 389
Lightweight Directory Access Protocol sobre TLS/SSL (LDAP-SSL) se usa con Windows 2000 para brindar
mayor seguridad cuando se accede al Directorio Activo.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 636
Lotus Notes es una plataforma Cliente/Servidor para conferencias, bases de datos y correo electrónico.
También se utiliza para crear y usar documentos. Esta política habilita el protocolo propietario Lotus Notes.
Dado que este protocolo usa encapsulación y tunelamiento y da acceso a datos internos, no recomendamos
la política Lotus Notes para direcciones que estén fuera de la red confiable.
Características
• Protocolo(s) de Internet: TCP o UDP
• Número(s) de puerto: TCP 1352, UDP 1352
386 WatchGuard System Manager

Políticas por Filtro de Paquetes
MSSQL-Monitor
MSSQL-Server
MS Win Media
NetMeeting
Microsoft SQL Monitor se usa para monitorear bases de datos Microsoft SQL.
Características
• Protocolo(s) de Internet: TCP o UDP
• Número(s) de puerto: TCP 1434, UDP 1434
Microsoft SQL Server se usa generalmente para hacer conexiones remotas hacia una base de datos
Microsoft SQL.
Características
• Protocolo(s) de Internet: TCP o UDP
• Número(s) de puerto: TCP 1433, UDP 1433
Microsoft Windows Media Server es un protocolo propietario desarrollado por Microsoft para proveer contenido
multimedia “unicast”. Permite conexiones bidireccionales que habilitan al usuario a adelantar, retroceder
o pausar la ejecución de esos contenidos.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 1755, 80
NetMeeting es un producto desarrollado por Microsoft Corporation que permite la teleconferencia grupal
en Internet. Está incluido en el navegador web Microsoft Internet Explorer. Esta política se basa en el protocolo
H.323 y no filtra contenidos peligrosos. No soporta QoS ni protocolo rsvp, y no soporta NAT.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 1720
NFS
El protocolo Network File System (NFS) es una aplicación de software cliente-servidor creada por Sun
Microsystems para permitir a todos los usuarios de la red el acceso a archivos compartidos guardados en
computadoras de tipos diferentes.
Características
• Protocolo(s) de Internet: TCP o UDP
• Número(s) de puerto: TCP 2049, UDP 2049
Guía del Usuario 387

Políticas por Filtro de Paquetes
NNTP
Network News Transfer Protocol (NNTP) se usa para transmitir artículos de noticias de Usenet.
El mejor procedimiento para usar NNTP es configurar hosts internos a servidores internos de noticias, y
hosts externos a news feeds. En la mayoría de las condiciones, NNTP debe habilitarse en ambas direcciones.
Si usted opera un news feed público, debe permitir conexiones NNTP desde todos los hosts externos.
WatchGuard no puede asegurar que estos paquetes fueron enviados desde la ubicación correcta.
Se puede configurar el Firebox para añadir la dirección IP de origen a la lista de sitios bloqueados cuando
una conexión NNTP entrante sea denegada. Puede usar todas las opciones de log usuales con NNTP.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 119
NTP
Network Time Protocol (NTP) es un protocolo construido sobre TCP/IP que controla el cronometraje local.
Sincroniza los relojes de la computadora con otros relojes en Internet.
Características
• Protocolo(s) de Internet: TCP y UDP
• Número(s) de puerto: TCP 123 y UDP 123
OSPF
Open Shortest Path First (OSPF) es un protocolo de enrutamiento desarrollado para redes IP basadas en el
algoritmo “link-state”. OSPF está reemplazando rápidamente el uso de RIP en Internet, porque brinda
actualizaciones más pequeñas y frecuentes de las tablas de enrutamiento y hace a las redes más estables.
pcAnywhere
Características
• Protocolo(s) de Internet: OSPF
• Número(s) de puerto: 89
pcAnywhere es una aplicación de software usada para obtener acceso remoto a computadoras Windows.
Para habilitar este protocolo, añada la política pcAnywhere. Luego, permita el acceso desde los hosts de
Internet que deban acceder a los servidores internos de pcAnywhere y hacia los servidores pcAnywhere.
pcAnywhere no es una política muy segura y puede poner la red en riesgo, porque permite el paso de tráfico
a través del firewall sin autenticación. Además, su servidor pcAnywhere puede recibir ataques de
denegación de servicio. Recomendamos usar opciones VPN para brindar mayor seguridad.
Características
• Protocolo(s) de Internet: TCP y UDP
• Número(s) de puerto: UDP 22, UDP 5632, TCP 5631, TCP 65301
ping
Se puede usar ping para confirmar si un host puede ser hallado y está operando en la red. Para encontrar
paquetes traceroute basados en DOS o Windows, configure una política ping.
El ping saliente es una buena herramienta para solucionar problemas. No recomendamos habilitar conexiones
de ping entrantes en su red confiable.
388 WatchGuard System Manager

Políticas por Filtro de Paquetes
POP2 y POP3
Características
• Protocolo(s) de Internet: ICMP
• Número(s) de puerto: 1
POP2 y POP3 (Post Office Protocol) son protocolos de transporte de correo electrónico, generalmente utilizados
para obtener el e-mail de un usuario desde un servidor POP.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 109 (POP2) y 110 (POP3)
PPTP
PPTP es un protocolo de tunelamiento VPN con encripción. Utiliza el puerto TCP (para negociación y autenticación
de una conexión VPN) y un protocolo IP (para transferencia de datos) para conectar los dos pares en
una VPN. Configure la política PPTP para permitir el acceso desde hosts de Internet hacia un servidor interno
de red PPTP. PPTP no puede obtener acceso hacia NAT estáticas de hosts porque NAT no puede reenviar
protocolos IP. Dado que esta política habilita un túnel hacia el servidor PPTP y el Firebox no puede examinar
paquetes en un túnel, la utilización de esta política debe estar controlada. Asegúrese de usar la versión más
reciente de PPTP.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 1723
RADIUS y RADIUS-RFC
Remote Authentication Dial-In User Service (RADIUS) provee un acceso seguro a los usuarios remotos a las
redes corporativas. RADIUS es un sistema cliente-servidor que guarda la información de autenticación de los
usuarios, servidores de acceso remoto y gateways VPN en una base de datos central de usuarios, que está
disponible para todos los servidores.
La autenticación ante la red se produce desde una sola ubicación. RADIUS usa una clave de autenticación
que identifica una solicitud de autenticación ante el cliente RADIUS.
En RFC 2865, el puerto del servidor usado por RADIUS cambia desde el puerto 1645 hacia el 1812.
Asegúrese de seleccionar la política que coincida con su implementación.
Características
• Protocolo(s) de Internet: TCP y UDP
• Número(s) de puerto de política RADIUS: UDP 1645
• Número(s) de puerto de política RADIUS-RFC: UDP 1812
RADIUS-Accounting y RADIUS-ACCT-RFC
La política Remote Authentication Dial-In User Service (RADIUS) Accounting provee a los administradores de
redes información sobre cuentas que utilizan autenticación RADIUS. RADIUS es un sistema cliente-servidor
que guarda la información de autenticación de los usuarios, servidores de acceso remoto y gateways VPN en
una base de datos central de usuarios, disponible para todos los servidores. Asimismo, el servidor RADIUS es
notificado cuando la sesión autenticada comienza y se detiene. Esta información puede ser útil para la admi-
Guía del Usuario 389

Políticas por Filtro de Paquetes
nistración de cuentas.
En RFC 2866, el puerto del servidor usado por RADIUS cambia desde el puerto 1646 hacia el 1813.
Asegúrese de seleccionar la política que coincida con su implementación.
Características
• Protocolo(s) de Internet: TCP y UDP
• Número(s) de puerto de política RADIUS: UDP 1646
• Número(s) de puerto de política RADIUS-RFC: UDP 1813
RDP
Microsoft Remote Desktop Protocol (RDP) provee visualización remota y capacidad de ingresar datos
sobre conexiones de red para aplicaciones de software Windows que operen en un servidor.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 3389
RIP
Routing Information Protocol (RIP) es un protocolo “link state” desarrollado en los primeros años del ruteo.
Sus limitaciones lo hacen inapropiado para su uso en Internet, pero puede ser útil en redes pequeñas.
Recomendamos que use este servicio solamente si tiene habilitados los procesos de enrutamiento dinámico
RIP en su configuración de Fireware.
Características
• Protocolo(s) de Internet: UDP
• Número(s) de puerto: 520
RSH
Remote Shell (RSH) se usa para acceder a la línea de comandos de una computadora host remota. Como
no está encriptado, no recomendamos que permita RSH entrante a través del Firebox sin usar una VPN.
RealPlayer G2
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 514
Protocolo de “streaming” de medios v7 y v8.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 554, 80
Rlogin
Remote login (RLogin) es un comando UNIX que permite a un usuario aprobado loggearse en otra computadora
UNIX de la red. Luego del login, el usuario puede hacer todas las operaciones que el host haya
aprobado, como leer, editar o borrar archivos. Dado que no usa encripción, recomendamos no permitir
RLogin entrante a través del Firebox.
390 WatchGuard System Manager

Políticas por Filtro de Paquetes
SecurID
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 513
RSA SecurID Two-Factor Authentication da mayor seguridad en el procedimiento de autenticación del usuario.
Creado por Security Dynamics Technologies, Inc., utiliza tokens SecurID para generar códigos y software
ACE/Server para corroborar los códigos.
Características
• Protocolo(s) de Internet: TCP y UDP
• Número(s) de puerto: TCP 5510, UDP 5500
SMB (Windows Networking)
Windows usa Server Message Block (SMB) para compartir archivos, computadoras, impresoras y otros recursos
de red.
Si usted configura replicación, podrá ver muchos intentos de usar el servicio de mapeo de puertos en el
puerto 135. Cuando esto falla, SMB comienza a usar el puerto 42. Refiérase a las secciones sobre RFC para
DCE y proxy DCE-RPC para más instrucciones.
Nota
SMB a través del Firebox no es seguro y no lo recomendamos, a menos que lo use mediante una conexión
VPN. Estos parámetros de configuración deben usarse sólo si no hay otra alternativa, y la configuración
de esta política debe especificar los hosts internos y externos.
Características
• Protocolo(s) de Internet: TCP y UDP
• Número(s) de puerto: UDP 137, UDP 138, TCP 139, TCP 445, UDP 445
SMTP
La política de filtrado de paquetes SMTP permite el tráfico SMTP (e-mail) sin usar la proxy SMTP.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 25
SNMP
Simple Network Management Protocol (SNMP) se usa para configurar y recolectar información sobre computadoras
remotas. Esto puede ser peligroso. Muchos ataques de Internet usan SNMP. Dado que SNMP
puede producir cambios en una red si es habilitado, revise cuidadosamente las alternativas y guarde logs
para todas las conexiones de este tipo.
Guía del Usuario 391

Políticas por Filtro de Paquetes
SNMP-Trap
SQL*Net
SQL-Server
Características
• Protocolo(s) de Internet: UDP
• Número(s) de puerto: 161
Las Simple Network Management Protocol (SNMP) traps son mensajes de notificación que un agente
SNTP (por ejemplo, un router) envía a una estación de administración de la red. Estos mensajes usualmente
informan que un evento importante debe ser examinado.
Características
• Protocolo(s) de Internet: UDP
• Número(s) de puerto: 162
Oracle usa un puerto para su software sql*net. Por defecto, este puerto es el 1526/tcp ó el 1521/tcp. O
bien, edite el archivo tnsnames.ora para cambiar el puerto. Para permitir sql*net a través del Firebox, configure
una política para el puerto que use su sql*net, con un protocolo de tcp, y un puerto cliente de “ignorar”.
Luego configure el acceso entrante desde los hosts externos permitidos hacia el servidor de sql*net.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 1521, 1526
La política SQL-Server se usa para dar acceso al software Sybase Central y SQL Advantage.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 10000
ssh
Secure Shell (ssh) es un protocolo libre de aplicaciones que permite el login remoto, control de comandos
y movimiento de archivos entre computadoras. Da conexiones con autenticación fuerte y segura (encriptada).
Recomendamos el uso de ssh porque es más seguro que otros protocolos más vulnerables, como
telnet, rssh y rlogin.
Hay versiones UNIX disponibles desde www.ssh.com, y se puede encontrar información acerca de versiones
para Windows en F-Secure (http://www.f-secure.com).
Sun RPC
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 22
Sun Remote Procedure Call (Sun RPC) fue desarrollado por Sun Microsystems para conexiones entre clientes
y servidores en el sistema de archivos de redes Sun.
392 WatchGuard System Manager

Políticas por Filtro de Paquetes
Características
• Protocolo(s) de Internet: TCP y UDP
• Número(s) de puerto: TCP 111, UDP 111
syslog
syslog es una política usada para registrar eventos del sistema operativo sobre hosts UNIX. Syslog generalmente
está habilitado en el firewall para recolectar datos desde un host que está fuera del mismo.
El puerto syslog está bloqueado en la configuración por defecto del Firebox. Para permitir que un log host
recolecte logs de más de un Firebox:
• Elimine el puerto 514 de la lista de Sitios Bloqueados
• Añada la política WatchGuard Logging al Policy Manager
Nota
Usualmente no es seguro permitir el tráfico syslog a través del Firebox. Es posible para los hackers
rellenar syslogs con entradas de log. Si el syslog está lleno, es más difícil ver un ataque. Además, el
disco frecuentemente se llena y el ataque no es registrado.
TACACS
TACACS+
Características
• Protocolo(s) de Internet: UDP
• Número(s) de puerto: 514
La autenticación de usuario TACACS es un sistema que utiliza las cuentas de los usuarios para autenticarlos
en un pool de módems por discado. Esto elimina la necesidad de mantener copias de las cuentas en un sistema
UNIX. TACACS no soporta TACACS+ ni RADIUS.
Características
• Protocolo(s) de Internet: UDP
• Número(s) de puerto: 49
La autenticación de usuario TACACS es un sistema que utiliza las cuentas de los usuarios para autenticarlos
en un pool de módems por discado. Esto elimina la necesidad de mantener copias de las cuentas en un sistema
UNIX. TACACS+ soporta RADIUS.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 49
Guía del Usuario 393

Políticas por Filtro de Paquetes
TCP
Esta política actúa como política por defecto de todas las conexiones TCP, y las otras políticas la anulan. Las
conexiones TCP que no coincidan con políticas especificadas en el Policy Manager no se completarán, a
menos que TCP-UDP, TCP o la proxy TCP también estén configuradas en el Policy Manager. Esta política no
habilita FTP, el cual sólo opera con una política FTP.
TCP-UDP
Esta política actúa como política por defecto de todas las conexiones TCP y UDP, y las otras políticas la
anulan. Las conexiones que no coincidan con políticas especificadas en el Policy Manager no se completarán,
a menos que TCP-UDP, TCP y UDP o la proxy TCP también estén configuradas en el Policy Manager.
Esta política no habilita FTP en modo activo, el cual sólo opera con una política FTP.
UDP
telnet
Esta política actúa como política por defecto de todas las conexiones UDP, y las otras políticas la anulan.
Las conexiones UDP que no coincidan con políticas especificadas en el Policy Manager no se completarán,
a menos que UDP, TCP-UDP, o la proxy TCP también estén configuradas en el Policy Manager.
La política telnet se usa para loggearse en una computadora remota. Es casi lo mismo que un acceso por
discado, pero la conexión se establece mediante una red.
Timbuktu
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 23
Timbuktu Pro es un software de control remoto y transferencia de archivos, usado para acceder a computadoras
Windows. El protocolo utiliza el puerto TCP 1417 y el puerto UDP 407. Si añade la política
Timbuktu permitirá el acceso entrante desde los hosts de Internet que deben acceder a los servidores
internos de Timbuktu, y hacia los servidores internos de Timbuktu.
Timbuktu no es una aplicación de software muy segura y puede poner la red en riesgo. Permite el tráfico
dentro del firewall sin autenticación. Además, el servidor de Timbuktu puede recibir ataques de denegación
de servicio. Recomendamos usar opciones VPN para mayor seguridad.
Características
• Protocolo(s) de Internet: TCP, UDP
• Número(s) de puerto: UDP 407, TCP 1417
Time
La política Time es casi lo mismo que NTP. Se usa para sincronizar relojes entre los hosts de una red. Time
es generalmente menos precisa y eficiente que NTP en una WAN. Recomendamos usar NTP.
Características
• Protocolo(s) de Internet: TCP, UDP
• Número(s) de puerto: TCP 37, UDP 37
394 WatchGuard System Manager

Políticas por Filtro de Paquetes
traceroute
traceroute es una aplicación de software que crea mapas de redes. Se usa para solucionar problemas de red,
solucionar problemas de ruteo en la red, y encontrar el proveedor de servicio de Internet de un sitio. La política
WatchGuard traceroute controla solamente el traceroute de estilo UDP basado en UNIX. Para un filtro de
paquetes traceroute basado en Windows, use la política ping (ver “ping”).
traceroute usa paquetes ICMP y UDP para crear caminos a lo largo de las redes. Usa el campo UDP TTL para
reenviar los paquetes desde cada router y computadora entre una fuente y un destino. Si usted permite
traceroute entrante en una red, esto puede permitir a un hacker crear un mapa de su red privada. Pero el traceroute
saliente es bueno para solucionar problemas.
Características
• Protocolo(s) de Internet: UDP
• Número(s) de puerto: 33401-65535
UUCP
Unix-to-Unix Copy (UUCP) es una herramienta y protocolo de Unix que permite a una computadora enviar
archivos hacia otra computadora. Esta herramienta no se usa frecuentemente, ya que los usuarios más a
menudo utilizan FTP, SMTP y NNTP para transferir archivos.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 540
WAIS
Wide Area Information Services (WAIS) es un protocolo que se puede usar para encontrar documentos en
Internet. WAIS fue desarrollado en primer lugar por Thinking Machines Incorporated. Algunos sitios web
usan WAIS para encontrar índices buscables, pero no frecuentemente.
WAIS está creado sobre el protocolo de búsqueda ANSI Z39.50, la las palabras Z39.50 y WAIS se refieren a la
misma tecnología.
WinFrame
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 210, pero los servidores pueden estar (y frecuentemente lo están) configurados
en otros puertos, como en los puertos HTTP.
Citrix ICA es un protocolo usado por Citrix para sus aplicaciones de software, e incluye el producto
Winframe. Winframe da acceso a Windows desde diferentes tipos de clientes. Citrix usa el puerto TCP 1494
para su protocolo ICA. Citrix MPS 3.0 usa Session Reliability por defecto. Esto cambia el protocolo ICA para
usar el puerto TCP 2598. Si usted usa Citrix MPS, debe añadir una política para el puerto TCP 2598.
Una política WinFrame podría poner su red en riesgo porque permite el tráfico a través del firewall sin
autenticación. Además, su servidor Winframe puede recibir ataques de denegación de servicio.
Recomendamos usar opciones VPN para dar mayor seguridad a las conexiones ICA. Puede usar todas las
usuales opciones de log con WinFrame.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 1494
Guía del Usuario 395

Políticas por Filtro de Paquetes
WG-Auth
La política WatchGuard® Authentication permite a los usuarios autenticarse ante el Firebox.
Características
WG-Firebox-Mgmt
WG-Logging
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 4100
La política WatchGuard Firebox Management permite monitorear y configurar las conexiones que deben
hacerse en el Firebox. Recomendamos que permita esta política sólo en la estación de administración. La
política usualmente se establece en la interfaz confiable.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 4103, 4105, 4117, 4118
La política WatchGuard Logging es necesaria solamente si un segundo Firebox debe acceder a un log host
en la interfaz confiable de un Firebox. Si sólo hay un Firebox, esta política no es necesaria.
Características
WG-Mgmt-Server
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 4107, 4115
Cuando se usa el asistente WatchGuard Management Server Setup para configurar un Management
Server, el asistente automáticamente añade esta política al gateway del Firebox. Ésta controla las conexiones
entrantes hacia el Management Server.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 4110, 4112, 4113
WG-SmallOffice-Mgmt
La política WatchGuard Small Office Management le permite hacer una conexión segura hacia Fireboxes
SOHO y Edge desde el WatchGuard System Manager.
Características
WG-WebBlocker
Protocolo(s) de Internet: TCP
Número(s) de puerto: TCP 4109
La política WatchGuard WebBlocker permite conexiones con el servidor WebBlocker.
Características
• Protocolo(s) de Internet: TCP, UDP
• Número(s) de puerto: TCP 5003, UDP 5003
396 WatchGuard System Manager

Politicas Controladas por Proxies
WHOIS
El protocolo WHOIS da información sobre el administrador de sitios web y redes. Se usa frecuentemente
para encontrar al administrador de un web site diferente.
Para filtrar el tráfico WHOIS, añada la política WHOIS que permita conexiones al servidor WHOIS (como por
ejemplo rs.internic.net).
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: TCP 43
X11
El X Windows System Protocol tiene componentes que se usan para crear escritorios gráficos, que incluyen
ventanas, colores, pantallas y visualizaciones. X11 también provee un flujo de eventos que muestran la interacción
entre el usuario y un dispositivo de entrada de la computadora (como un mouse, un teclado, etc.).
Características
Yahoo Messenger
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: TCP 6000-6063
El protocolo Yahoo Messenger es una herramienta para mensajería instantánea.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 5050, 80
Politicas Controladas por Proxies
Esta sección revisa las políticas de proxy, o “proxied policies”, provistas por el WatchGuard® Firebox® System.
Una política de proxy abre paquetes, separa tipos de datos prohibidos en el contenido del paquete, y reagrupa
los paquetes nuevamente usando los encabezados de fuente y destino de la proxy.
Las proxies se configuran y activan del mismo modo en que son añadidas las políticas de filtrado de paquetes.
DNS
Domain Name Service (DNS) hace coincidir nombres de host con direcciones IP. La política proxy DNS examina
los contenidos de los paquetes DNS para ayudar a proteger de los hackers sus servidores DNS. Pone
límites al tipo de operaciones permitidas en una query DNS y puede buscar patrones específicos en nombres
de queries.
Guía del Usuario 397

Politicas Controladas por Proxies
FTP
Características
• Protocolo(s) de Internet: TCP y UDP
• Número(s) de puerto: TCP 53 y UDP 53
FTP es File Transfer Protocol. FTP se usa para transferir archivos por Internet.
HTTP
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 20 (canal de comandos), 21 (canal de datos)
HTTP es el Hypertext Transfer Protocol usado por la World Wide Web para mover información por Internet.
Nota
La política WatchGuard “HTTP Proxy” no es lo mismo que una proxy HTTP de caché. Una proxy HTTP
de caché controla el caché de datos Web. Si usted usa una proxy externa de caché, debe habilitar
(añadiendo políticas) cualquier política saliente que sea necesaria para su organización. Si no lo
hace, las conexiones TCP no operarán correctamente.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 80 (pero los servidores pueden operar sobre cualquier puerto, una alternativa
común es 8080, y las conexiones Secure Socket Layer (SSL) funcionan habitualmente con el puerto
443.
SMTP
Simple Mail Transfer Protocol (SMTP) es el protocolo estándar de Internet para transmitir y recibir e-mail.
Usualmente, los servidores SMTP son servidores públicos.
Usted debe añadir una política auth al Policy Manager cuando utilice una NAT estática entrante con SMTP
(ver “Auth”). Configure auth para permitir auth entrante al Firebox. Esto habilita a los mensajes salientes
fluir libremente desde atrás del Firebox hacia los múltiples servidores SMTP que hay en Internet y usan
auth.Y permite a estos servidores reenviar mensajes a través del Firebox hacia los remitentes.
Se recomienda hacer logs del SMTP entrante, pero esto puede causar una gran cantidad de logs. Para un
usar la proxy SMTP pero sí hacer funcionar correctamente SMTP, cree una nueva política en el Policy
Manager que use el protocolo TCP y el puerto 25.
Características
• Protocolo(s) de Internet: TCP
• Número(s) de puerto: 25
398 WatchGuard System Manager

Politicas Controladas por Proxies
TCP Proxy
La política de proxy TCP da opciones de configuración para HTTP sobre el puerto 80 y añade una regla que
permite las conexiones TCP desde las redes detrás del Firebox hacia redes externas al Firebox por defecto. La
regla de proxy TCP asegura que todo el tráfico HTTP desde atrás del Firebox sobre todos los puertos está
siendo reemplazado por las reglas de proxy HTTP.
Recomendamos que permita HTTP solamente hacia cualquier servidor público HTTP mantenido detrás del
Firebox. Los hosts externos pueden ser sujetos a “spoofing”, o suplantación de identidad. WatchGuard no
puede asegurar que estos paquetes fueron enviados desde la ubicación correcta.
Configure WatchGuard para añadir la dirección de IP de la fuente a la lista de Sitios Bloqueados cuando una
conexión HTTP hacia un host detrás de su Firebox sea denegada. Configure los parámetros y tipos MIME del
mismo modo en que lo hizo para la proxy HTTP.
Guía del Usuario 399

Politicas Controladas por Proxies
400 WatchGuard System Manager

S í m b o l o s
.cfg file., ver configuración, archivo
.ftr, archivos 192
.wgl, arch ivos
convirtiendo a formato .xml 95
descripción 91
N u m é r i c o s
1-1 Mapeo, caja de diálogo 118
1-a-1 NAT. Ver NAT, 1-to-1 118
A
Activate Gateway AntiVirus, Asistente 309
Activate Intrusion Prevention, Asistente 314–315
Activate spamBlocker, Asistente 301
Activate WebBlocker, Asistente 291–293
Active Directory, autenticación 131
Actualizaciones
y Alta Disponibilidad 348
y LiveSecurity Service 19, 24
y Asistente de Quick Setup 14
Fireware 20
Add Address, caja de diálogo 119, 152, 155, 249, 281
Add Alias, caja de diálogo 74
Add Device, Asistente 214
Add Dynamic NAT, caja de diálogo 115
Add Event Processor, caja de diálogo 84
Add Exception Rule, caja de diálogo 304
Add Firebox Group, caja de diálogo 125
Add Firebox License Key, caja de diálogo 59, 301
Add Policies, caja de diálogo 147
Add Policy, Asistente
añadiendo plantillas de configuración Edge
personalizadas con 270
añadiendo plantillas de configuración Edge
existentes con 269
Add Protocol, caja de diálogo 149, 271
Add Route, caja de diálogo 110, 111
Add Search Rule, caja de diálogo 93
Add Site, caja de diálogo 138
Add Static NAT, caja de diálogo 120, 155
Add User or Group, caja de diálogo 132
Add VPN, Asistente 240, 264
Add WebBlocker Server, caja de diálogo 294
Advanced Diagnostics, caja de diálogo 86
Advanced Encryption Standard (AES) 227
Advanced Settings, caja de diálogo 111
AH (Authentication Header) 226
alarmas
y FTP 174
configurando 164
configurando para DNS proxy 182
configurando para reglas de proxy 164
configurando proxy y antivirus 171
descripción 163
para respuestas Gateway AntiVirus 311
alias
y dispositivos administrados Firebox X Edge 275
creando 74
por defecto 73
definiéndolos para Firebox X Edge 277
descripción 73
para direcciones IP 21
poniendo nombres en el Management Server276
Aliases, caja de diálogo 74, 276
allow (acción de proxy) 162
Alta Disponibilidad (HA, o High Availability)
e Intrusion Prevention Service 348
y sesiones de proxy 348
respaldando la configuración 348
configurando (Firebox X e-Series) 344–346
configurando (no e-Series) 346–347
configurando un Firebox secundario
(Firebox X e-Series) 345
descripción 3, 343
habilitando (Firebox X e-Series) 345
forzando un failover 347
Gateway AntiVirus y 348
requerimientos para 343
reiniciando el par 347
seleccionando el Firebox primario para 344
sincronizando la configuración 347
actualizando software en configuración HA 348
viendo estado de 36
Ancho de Banda, uso de y visualización 45
anonimizadores, sitios web 293
ANSI Z39.50 396
Antispyware Blocklist Categories, caja de diálogo 139
Any, política
y precedencia 158
y RUVPN 284
descripción 379
Any-External, alias 73
Any-Optional, alias 73
Any-Trusted, alias 73
AOL, política 380
Archie, política 380
Archivos, ubicaciones para 377
ARP cache, limpiando 40
ARP, tabla, visualización 49
ataques
sobre SYN, saturación (flood) 137
de espacio a puertos y direcciones 137
DDoS 137
Denegación de Servicio (DoS) 137
flood, o saturación 137
caminos de direcciones IP 136
Ping de la Muerte 136
de espacio a puertos 137
deteniendo 135–138
auth (ident), política 380
autenticación
Directorio Activo 131
y ssh 393
definiendo grupos para 123
descripción 74, 121, 227
para VPNs, visualización 6
desde una interfaz externa 122
desde un Firebox de afuera 122
MD5-HMAC 227
de usuarios remotos 124
eligiendo un método para 227
Estableciendo tiempo de espera de autenticación
para 77
SHA-HMAC 227
a través del Firebox hacia otro Firebox 122
usando un servidor externo 227
Autenticación, encabezado 226
Autenticación, tiempo de espera, configuración 77
Guía del Usuario 1

Autenticación, pestaña List (Firebox System Manager) 49
Autenticación, servidores
y políticas 132
configurando Fireboxes como 125
descripción 227
LDAP 129
RADIUS 127
SecurID sobre servidor RADIUS 128
tipos de 123
tipos soportados 281
usando respaldo 123
usando Fireboxes como 123
Authentication Servers, caja de diálogo 125, 282
Auto ajuste, configuración, tamaño de segmentos TCP 77
B
Backup, caja de diálogo 73
backup, o respaldo, imágenes
creando 72
descripción 72
restaurando 73
backup o respaldo del archivo de configuración 14
Bandwidth Meter, pestaña de medición de ancho de banda
agregando/eliminando líneas en 46
cambiando colores en 46
cambiando nombres de interfaces en 46
cambiando la escala de 45
descripción 45
Barra de tareas. Ver WatchGuard, barra de tareas
básica, encriptación 14
block (acción de proxy) 162
bloqueados, puertos
evitando problemas con los usuarios legítimos 143
bloqueando sitios que usan 143
por defecto 142
logs y notificación para 143
permanentes 143
razones para tener 142
Blocked Ports, caja de diálogo 143
Blocked Ports, lista 143
Blocked Sites, o sitios bloqueados
añadiendo desde HostWatch 55
auto-bloqueados 138
bloquear con configuración de políticas 141
descripción 138
dinámicos 141
excepciones a 140
logs y notificación para 140
permanentes 138
sitios de spyware 139
almacenándolos en un archivo externo 140
temporarios 141
viendo los que estén vigentes 49
Blocked Sites, Configuración, caja de diálogo 138
Blocked Sites, lista
agregando/eliminando sitios desde 50
y Gateway AntiVirus 311
descripción 138
excepciones a la 140
usando definiciones de proxy para 162
viendo 50
Border Gateway Protocol (BGP)
permitiendo el tráfico a través del Firebox 341
Configurando Fireware para usar 340
configuración del demonio 338–339
descripción 337, 380
BOVPN
y autenticación basada en certificados 233
descripción 233
multi-WAN, no soportado en 102
BOVPN con IPSec Manual
añadiendo gateways 243
y encriptación fuerte 14
configurando un gateway 243
configurando un túnel con seguridad manual 246
creando políticas de túnel 250
descripción 233, 243
niveles de encriptación para 233, 243
listado en la pestaña de estado del dispositivo 220
NAT dinámica saliente y 250
configuración Phase 1 245
especificando un método de autenticación 245
especificando tipo de encriptación 245
BOVPN con WatchGuard System Manager
añadiendo plantillas de política 237
añadiendo plantillas de seguridad 239
creando túneles 240
definiendo Fireboxes como clientes administrados 237
descripción 233
editando túneles 241
listado en la pestaña Device Management 220
eliminando dispositivos/túneles 241
escenario 234
Branch Office IPSec, Túneles, caja de diálogo 246
branch office VPN. Ver BOVPN
C
CA. Ver Certificate Authority
cables, instalando 22
carga promedio del Firebox, viendo 48
Certificate Authority, o Autoridad de Certificación
configurando certificados para 201
descripción 201, 221, 228
administrando 222
grabando mensajes log de diagnóstico para 204
Certificate Revocation List (CRL)
configurando propiedades para 203, 204
descripción 221
publicando 223
certificados
descripción 227, 228
destruyendo 223
generando nuevos 223
listando los actuales 223
imprimiéndolos en pantalla 223
readmitiéndolos 223
revocándolos 223
buscándolos 223
viendo huellas digitales CA 37
viendo fecha y hora de expiración 37
viendo el estado de 36
Change Passphrases, caja de diálogo 65
Citrix ICA, política 380
Clarent-command, política 381
Clarent-gateway, política 381
Cliente administrado
configurando Firebox corriendo Fireware como 208
configurando Firebox corriendo WFS como 210
configurando Firebox X Edge como 211
definiendo Firebox como 237
descripción 208
2 WatchGuard System Manager

habilitando a enviar mensajes de log 209
SOHO 6 como 212
clock (reloj), sincronizando servidor NTP 61
Conexiones Activas en el Firebox, viendo 53
configuración, archivo
y Policy Manager 69
haciendo un respaldo de 14
personalizando 19
haciendo un nuevo 71
abriendo 69
abriendo local 71
guardando 71
guardando en el Firebox 72
guardando en el disco local 72
Configuración enrutada
características de la 12
descripción 11
configuración global
para autenticación 77
para manejo de errores ICMP 76
para chequear TCP SYN 76
para VPNs 75
tamaño del segmento TCP 77
usando para Firebox 75
Configuración global, caja de diálogo 75
configuración, modos, descripción 11
configuración, passphrase
cambiándola 64–65
descripción 18, 64
estableciéndola 16
Configure Log Servers, caja de diálogo 84
Configure Syslog, caja de diálogo 84
Configure WINS and DNS, pantalla 258
Conjuntos de reglas
añadiendo 162
y vista avanzada de reglas 163
categorías de 161
descripción 161
Connect to Device, caja de diálogo 18
Connect to Firebox, caja de diálogo
descripción 31
solucionando problemas 70
estado de conexión, viendo 6
Connections For, caja de diálogo 53
Consola de desempeño (Performance Console)
agregando un nuevo gráfico a 44
cambiando el intervalo entre consultas para 44
definiendo counters para 41
borrando un gráfico 44
descripción 40
monitoreando eventos VPN 41
múltiples gráficos 44
mostrando eventos de políticas seleccionadas 41
mostrando eventos de interfaz 41
mostrando información del sistema 41
viendo gráficos 43
contraseñas
y seguridad de VPN endpoints 227
archivos conteniendo 198
cookies, 177
CPU, uso, graficando 41
cronogramas
creando 77
descripción 77
o programación horaria para acciones WebBlocker 297
usándolos para políticas 156
Schedules, caja de diálogo 77
CRL. Ver Certificados, revocándolos
Cuestiones conocidas 26
CU-SeeMe, política 382
customizadas o personalizadas, políticas para establecer tiempo
de espera 157
D
DDoS, ataques 137
Default Packet Handling, caja de diálogo 135–138
Denegación de Servicio (DoS), ataques 137
deny (acción de proxy) 162
denegación, mensaje, cambiando el que viene por defecto 171
Despliegue en estrella, Firebox System Manager 35
Despliegue en triángulo, Firebox System Manager 35
Device Configuration, caja de diálogo 62
Device Management, página
descripción 216
para Firebox 216, 218
para Firebox X Edge 217
iniciando otras herramientas desde 219
actualizando el dispositivo 218
recursos VPN 219
túneles VPN 220
Device Management, pestaña
y VPNs administradas 220
configurando parámetros en 216
descripción 5
eliminando un dispositivo de 241
iniciando otras herramientas desde 219
Device Policy, caja de diálogo 239
Device Properties, caja de diálogo 218, 262, 266
Device Status, pestaña
y BOVPN con IPSec 220 manual
descripción 4, 5
eliminando un dispositivo de 241
dispositivos, eliminando del WatchGuard System Manager 241
dispositivos. Ver también Firebox, SOHO, etc.
DHCP 99
DHCP relay, configurando 99
DHCP, servidor
configurando Firebox como 99
lease time por defecto para 99
descripción 99
usándolo para direccionamiento de interfaces externas
101
usando servidor remoto desde un cliente 99
DHCP, soporte sobre una interfaz externa 21, 100
DHCP-Server, política 382
diagnóstico, archivo log, estableciendo ubicación para 49
diagnóstico, logs
descripción 90
para Autoridad de Certificación (CA) 204
Para el Management Server 201
seleccionando nivel de 85
Diffie-Hellman, grupos
cambiando parámetros 245
descripción 228, 245
digitales, certificados. Ver certificados
dinámicamente bloqueados, sitios 141
DMZ (Zona desmilitarizada) 11
DNS
política para 382
DNS, proxy
añadiendo nuevas reglas de tipos de query 181
e Intrusion Prevention Service 314, 319
Guía del Usuario 3

y protección contra intrusiones 182
configurando 179–182
configurando alarmas 182
configurando nombres de query DNS 182
configurando tipos de query DNS 181
configurando parámetros generales para 180
descripción 179, 399
OPcodes, configurando 180
DNS, servidores
direcciones para 107
configurando 280
Domain Name System. Ver DNS
Don’t Fragment bit, ignorando encabezado de no fragmente el
bit 75
Download WebBlocker Database, caja de diálogo 290
drop (acción de proxy) 162
drop-in, configuración
características de 13
configurando host relacionados 111
descripción 11, 12
multi-WAN, no soportado en 13, 102
Drop-In Mode Properties, caja de diálogo 112
duplex, parámetros, configuración 111
DVCP Server. Ver Management Server
DNS dinámica
creando una cuenta DynDNS 108
descripción 108
configurando Firebox para 109
Dinámicas, rutas, viendo 49
dinámico, enrutamiento
descripción 323, 326
protocolos para 323, 326
archivos de configuración del demonio de enrutamiento
326
usando Border Gateway Protocol (BGP) 337–341
usando OSPF 332–337
usando RIP (Routing Information Protocol) 326
usando RIP (Routing Information Protocol) V1
326–330
usando RIP (Routing Information Protocol) V2
330–332
viendo componentes de 49
duración del tiempo de espera para el Firebox 18
Dynamic Routing Setup, caja de diálogo 328, 331, 335, 340
DynDNS, creación de cuenta 108
E
Edge, Configuración de Plantillas
añadiendo con el Asistente Add Policy 269–271
aplicándolo a los dispositivos 271–273
clonando 271
creando/aplicando 268–269
descripción 268
Edge Network Settings, caja de diálogo 274
Edit Gateway, caja de diálogo 246
Edit Policy Properties, caja de diálogo 79, 156, 208
Edit Service Properties, caja de diálogo 210
Edit Tunnel, caja de diálogo 249
e-mail, estableciendo la longitud máxima de las direcciones
para 167
e-mail, limitando los nombres de archivos para adjuntos 170
e-mail, mensajes 171
acciones para los adjuntos 311
y la proxy SMTP 166
como notificación 89, 153, 165
creando reglas para masivo o sospechoso 304–305
escondiendo datos del servidor para 168
restringiendo destinatarios 170
restringiendo los remitentes 170
escaneando adjuntos comprimidos en 312
configurando longitud máxima de líneas para 168
configurando cantidad máxima de destinatarios para 167
configurando tamaño máximo para 167
configurando respuestas para virus en 170
spam. Ver spamBlocker
Desbloqueando adjuntos 312
Estableciendo TOS para opción IPSec 76
Encabezados 177
estableciendo longitud máxima de URL 175
estableciendo autorización de solicitud 176
estableciendo campos de encabezado, solicitud 176
estableciendo métodos de solicitud 175, 176
Encapsulated Security Payload 226
encripción
Advanced Encryption Standard (AES) 227
y BOVPN con IPSec 233 Manual
y software de administración 14
y RUVPN con PPTP 279
y VPNs 226–227
básica, descripción 14
descripción 226
para VPNs, viendo 6
niveles de 227
fuerte, activando 279
fuerte, y BOVPN con IPSec Manual 14
fuerte, descripción 14
encripción, clave
para crear imágenes de respaldo 73
log. Ver Log, clave de encripción
Entrenamiento y certificación 26, 29
Entrust, política 382
Equipo de respuesta rápida 23, 24
ESMTP
configurando reglas de autenticación 169
configurando parámetros para 169
descripción 168
extendida, autenticación
definiendo grupos para 281
descripción 227
externa, interfaz
configurando 100–102
configurando múltiple. Ver multi-WAN, soporte
descripción 10
direccionamiento dinámico sobre 100
soporte sobre IP dinámica 21
usando una dirección IP estática para 100
usando DHCP para direccionamiento 101
usando PPPoE sobre 100
F
FAQs 26
fbxinstall, utilidad 66
Filtrado de paquetes 145
feature keys 58
funciones, activando 57
File Transfer Protocol. Ver FTP, proxy
finger, política 383
Firebox, servicios de instalación 29
Firebox, interfaces
cabiando direcciones de 98
4 WatchGuard System Manager

configurando 98–110
descripción 11
monitorenado tráfico a través de 35
Ver también listas individuales de interfaces
viendo direcciones IP de 5, 36
Firebox License Keys, caja de diálogo 59, 289
Firebox passphrases. Ver passphrases
Firebox corriendo Fireware, configurando como cliente administrado
208
Firebox corriendo WFS, configurando como cliente administrado
210
Firebox System Manager
y Intrusion Prevention Service 321
pestaña Authentication List 49
pestaña Bandwidth Meter 45
lista de sitios bloqueados, o Blocked Sites 50
descripción 2, 18, 31
Firebox y estado del túnel VPN 36
panel frontal 36
Front Panel, pestaña 34
menús y herramientas 32
monitoreando la actividad del spamBlocker con 305
monitoreando túneles en 37
abriendo 32
pausando 34
Consola de Performance 40–44
Security Services, pestaña 51, 306, 313, 321
Service Watch, pestaña 46
estableciendo intervalo de refresco para 34
visualización de estrella 35
iniciando 31
Status Report, pestaña 48–49
Traffic Monitor, pestaña 38–40
despliegue en triángulo 35
viendo uso de ancho de banda 45
viendo el status del Firebox 48
viendo el tráfico del Firebox 35
viendo el status del Gateway AntiVirus 313
Firebox X Edge
añadiendo al Management Server 257–259
añadiendo recurso VPN 263
añadiendo túnel VPN 264
configurando como cliente administrado 211
configurando propiedades de administración para 262
creando túneles para dinámico 240
definiendo alias sobre 277
importando al Management Server 255
administrando 253–259
administrando configuraciones de red 273–275
modificando plantilla de configuración para 265
preparando el dispositivo instalado para administración
255
preparando nueva unidad para su administración 254
programando actualizaciones del firmware para
259–260
iniciando herramientas para 264
actualizando el dispositivo 263
usando alias con 275
viendo página de administración para 261
Firebox X e-Series
y Asistente Web Quick Setup 15
y Alta Disponibilidad 344–346
reseteando 65
Fireboxes
como Autoridades de Certificación 228
imagen de respaldo de 72
cables para 22
configurando el servidor DHCP 99
configurando para RUVPN con PPTP 279
configurando propiedades de administración para 218
configurando para aceptar consultas en SNMP 62
conectando a 17, 31
definiendo como clientes administrados 237
designando servidor de Log para 83
desconectando de 18
nombres amigables en archivos de log, informes 62
configuración global 75
hosteando sesiones PPTP 124
interfaces. Ver Firebox, interfaces
haciendo conexiones salientes PPTP por detrás de los 287
administrándolo desde una conexión remota 78
monitoreando estado 31
obteniendo direcciones IP dinámicamente 21
abriendo archivo de configuración 69
contenidos del paquete 9
recuperando 65
reseteando passphrase 64
reseteando a la configuración de fábrica 65
reseteando usando fbxinstall 66
guardando el archivo de configuración a 72
configurando una zona horaria para 62
sincronizando el reloj con NTP 61
valor de timeout, o tiempo de espera agotado 18, 208
usando como servidores de autenticación 123
viendo conexiones activas en 53
viendo tabla ARP para 49
viendo uso de ancho de banda 45
viendo tabla de ruteo kernel para 49
viendo carga promedio de 48
viendo uso de memoria de 48
viendo modelo de 48
viendo información de la tarjeta de red 49
viendo procesos de 49
viendo estado de 48
viendo tráfico y performance 48
viendo tráfico a través de 35
Fireware
descripción 1
diferencias entre Fireware y Fireware Pro 2
actualizando 20
Fireware Pro
descripción 1
diferencias entre Fireware y Fireware Pro 2
firmware, actualizaciones, viendo/borrando 261
flood o saturación, ataques de 137
Foro de usuarios 26
Fragmentación Req (PMTU), configuración (ICMP) 76
Front Panel, pestaña (Firebox System Manager) 34
FSM. Ver Firebox System Manager
FTP, política 383
FTP, proxy
y Intrusion Prevention Service 173, 314, 319
configurando parámetros generales 172
configurando alarmas de proxy para 174
definiendo reglas de comandos para 173
descripción 172, 399
estableciendo reglas de descarga para 173
estableciendo reglas de subida para 173
FTP, servidores, y política archie 380
Fully Meshed, topología 229
Funciones activas, viendo 60
Guía del Usuario 5

G
Gateway AntiVirus
acciones (Allow, Drop, Block, Lock, Remove) 311
activando 309
y la proxy HTTP 308
y la proxy SMTP 308
aplicando configuraciones a las políticas 309
configurando 310–313
configurando parámetros del motor para 311
configurando servidor de firmas para 312
creando alarmas/logs para 311
descripción 307, 308
habilitando actualizaciones automáticas de firmas de
virus 312
instalando 308
desbloqueando un adjunto 312
actualizando software antivirus 314
actualizando firmas manualmente 314
usándolo con múltiples proxies 312
viendo versión del motor 52
viendo información del 51
viendo actividad reciente 52
viendo información de firmas 52
viendo estado del 313
Gateway AntiVirus, caja de diálogo 310, 311
gateways
descripción 243
para túneles, añadiendo 243
para túneles, configurando 243–246
para túneles, editando/borrando 246
seleccionando para túnel 247
gateways por defecto
y configuración drop-in 12
Para redes privadas secundarias 21
viendo direcciones IP de 6, 36
Gateways, caja de diálogo 244
Generic Routing Encapsulation Protocol (GRE)
política 383
gopher, política 383
grupos (autenticación)
asignando usuarios a 126
componentes de 123
descripción 123, 282
H
HELO/EHLO, respuestas, examinando 168
High Availability caja de diálogo 344, 346
Home Banking Computer Interface (HBCI), política 384
host, rutas, configurando 110
Host Unreachable, configuración (ICMP) 76
hosts
relacionados, configurando 111–112
viendo en HostWatch 54
hosts relacionados, configurando 111
HostWatch
añadiendo sitios bloqueados desde 55
cambiando propiedades de vistas 55
eligiendo colores para la pantalla 55
descripción 18, 53
pantalla 53
pausando 56
estableciendo propiedades de la pantalla 54
iniciando 53
viendo usuarios autenticados 54
viendo hosts 54
viendo puertos 54
HTTP, caché, proxy 399
HTTP política 384, 399
HTTP, proxy
y respuestas antivirus 178
y Gateway AntiVirus 308, 310
y Intrusion Prevention Service 314, 315, 317
y rango de solicitudes 175
y WebBlocker 292
cambiando mensaje de denegación 178
configurando parámetros para solicitudes 174
descripción 174, 399
enviando mensajes de log por transacción 175
estableciendo tipos de contenido del cuerpo 178
estableciendo tipos de contenido para las respuestas 177
estableciendo cookies para respuestas 177
estableciendo campos de encabezado para respuestas 177
estableciendo caminos HTTP de solicitud de URL 176
estableciendo tiempo de espera para 175, 177
estableciendo longitud de encabezados de respuesta 177
estableciendo máxima longitud de líneas de respuesta 177
HTTPS policy 384
hub-and-spoke, configuración 230
huso horario para el Firebox, configurando 62
I
ICMP, configuración de manejo de errores
para Firebox 76
en políticas 157
Identification Protocol (IDENT), política 384
idle time-out, o tiempo de espera para políticas, configuración
157
IGMP, política 385
Ignorar DF para configuración IPSec 75
IKE
y grupo Diffie-Hellman 245
y configuración Phase 1 245
descripción 228
phase 1,2 228
IKE, política 385
IMAP, política 385
Informes
y relaciones de interfaz de red 190
aplicando un filtro193
detalles de autenticación 193
automazándolos con el Log Server 88
haciendo respaldo de 187
consolidando secciones 189, 193, 196
creando filtros 192
creando/editando 185–190
borrando 187
borrando un filtro 193
denegando un detalle de un paquete entrante/saliente
195
resumen de paquete denegado 195
detalle de servicio denegado 195
descripción 185
secciones de detalle 190
editando 187, 188
editando filtros 192
exportando a HTML 191
estadísticas del Firebox 193
detalle FTP 195
resumen del host 194
6 WatchGuard System Manager

detalle HTTP 194
resumen HTTP 194, 196
incluyendo nombres DNS para direcciones IP 189
ubicación de 190
formato NetIQ 191
estadísticas de red 196
resumen de proxy 194
corriendo 193
secciones in 188, 193
resumen de servicios 194
resumen de sesión 194
estableciendo nombres usados en el Firebox 62
resumen SMTP 194
especificando secciones para 188
comenzando nuevos 186
resumen de secciones 190
períodos de tiempo para 187
resumen horario 194, 196
usando filtros 191
viendo lista de 187
detalle WebBlocker 195
Informes históricos
y tráfico SMTP 168
aplicando un filtro 193
informes automáticos con Log Server 88
creando un filtro de informes 192
creando/editando 185–190
borrando un filtro 193
borrando informes 187
descripción 19, 185
editando un filtro 192
editando informes existentes 187
ejecutando un informe 193
iniciando 185
iniciando informes nuevos 186
períodos de tiempo para 187
zona horaria para 62
procedimientos de instalación 9–22
Instant Messaging (IM), uso, prevención 317
Intel Video Phone, política 386
Interface Settings, caja de diálogo 98, 106
interfaces
cambiando dirección IP de 98
configurando 98–110
graficando eventos en 41
estableciendo velocidad y duplex 111
viendo configuración de 49
Interfaz confiable
y servidores WINS/DNS 107
cableado en 66
configurando 98–100
descripción 10
Internet
accediendo a través de un túnel PPTP 286
preocupaciones de seguridad 225
amenazas de hackers en 171, 307, 314
tráfico de virus en 24
Internet Group Management Protocol (IGMP), política 385
Internet Key Exchange. Ver IKE
Internet Mail Access Protocol (IMAP), política 385
Internet Relay Chat (IRC), política 386
Internet Security Association y Key Management Protocol 246
Intrusion Prevention, caja de diálogo 316, 320, 321
Intrusion Prevention Service
activando 314–315
y proxy DNS 314, 319
y proxy FTP 314, 319
y Alta Disponibilidad 348
y proxy HTTP 314, 315, 317
y proxy SMTP 319
y proxy TCP 314, 315, 317
configurando 316–321
configurando excepciones de firmas 320
configurando servidor de firmas 320
copiando configuraciones hacia otras políticas 320
creando nuevas políticas para proxy 315
descripción 307, 314
habilitando actualizaciones automáticas de firmas de
virus 320
instalando 308
intrusiones, grados de severidad 316
seleccionando políticas de proxy a habilitar 315
actualizando firmas manualmente 322
viendo información sobre 51
viendo actividad reciente 52
viendo información de firmas 52
viendo estado de 321
intrusiones, grados de severidad (Alto, Medio, Bajo) 316
intrusiones
descripción 307
ver también Intrusion Prevention Service
viendo la cantidad hallada de 37
IP, direcciones
y configuración enrutada 12
y VPNs 228
gateways por defecto 6, 36
ingresando 22
ingresando para RUVPN con PPTP 281
netmask 6, 36
de interfaces Firebox 36
servidores WINS/DNS 108
IP alias 21
IP, ataques al origen de la ruta 136
IPS. Ver Intrusion Prevention Service
IPSec
y BOVPN con IPSec Manual 233
y BOVPN con WatchGuard System Manager 233
beneficios de 226
descripción 226
método de encripción para 227
configuración pass through 75
política para 385
estableciendo parámetros globales para 75
tipos de túneles que usan 6, 37
IRC, política 386
ISAKMP
y grupos Diffie-Hellman 245
descripción 246
K
Kerberos, políticas 386
kernel, viendo la tabla de enrutamiento 49
L
L2TP, política 386
lanzar intervalo, configuración 141, 153, 165
LDAP
política para 386
LDAP, autenticación 129–130
LDAP-SSL, política 387
Guía del Usuario 7

licencia, clave, certificados 10
licencias, claves
añadiendo 59
borrando 59
descripción 57
descargando 61
viendo propiedades de 61
viendo 60
Licensed Features, caja de diálogo 301, 308
Límite, tamaño del segmento TCP 77
link, velocidad, configuración 111
LiveSecurity Gold Program 29
LiveSecurity Service
activando 25
beneficios de 23
broadcasts 24
descripción 19
Equipo de respuesta rápida 24
soporte técnico 28
Local Alias Setting, caja de diálogo 278
Local-Remote Pair Settings, caja de diálogo 249
lock (acción de proxy) 163
log, clave de encripción
cambiando 82
por defecto 16
configurando 82
configurando para nuevos servidores 84
log, archivos
consolidando 95
convirtiendo desde formato .wgl hacia .xml 95
copiando entradas 94
creando una regla de búsqueda 93
ubicación por defecto para 90
combinando 95
nombres de 90
buscando 94
estableciendo nombres del Firebox names usados en 62
estableciendo ubicación para diagnóstico 49
Estableciendo cuándo reiniciar los archivos de registro
de eventos 87
estableciendo tamaño para 87
viendo con LogViewer 90
log, mensajes
bloqueando origen/destino de 40
configurando para proxies 164, 165
configurando para reglas 164, 165
copiando dirección de 40
copiando hacia otra dirección 39
haciendo ping origen/destino 40
enviándolos para transacciones HTTP 175
estableciendo cantidad máxima de 38
mostrándolos en color 39
traceando ruta hacia 40
Log, servidores
añadiendo 83
y archivos de log 90
e informes 185
informes automáticos usando 88
cambiando clave de encripción para 82
descripción 1, 82
ícono en la barra de tareas para 4
instalándolos en computadoras con firewalls de escritorio
20
ubicaciones para 81
estableciendo los designados para el Firebox 83
estableciendo prioridad para 84
configurando 82
iniciando/deteniendo 89
viendo direcciones IP de 48
dónde intalarlos 13
logs, haciendo
mensajes de log de alarma 90
configurando para políticas 153
configurando para proxies 164
descripción 81, 89
mensajes de log de diagnóstico 90
habilitando diagnóstico avanzado 85
habilitando syslog 84
mensajes de log de eventos 90
para puertos bloqueados 140, 143
respuestas de Gateway AntiVirus 311
preferencias globales para 86
respuestas de spamBlocker 304
mensajes de tráfico de log 90
dónde ver los mensajes 89
Logging and Notification, caja de diálogo 140, 153, 164
Logging Setup, caja de diálogo 83, 84, 85
LogViewer
copiando datos de log 94
creando una regla de búsqueda 93
descripción 19, 91
exportando archivos log de datos 94
reseteando a los colores por defecto 92
buscando por keyphrase 92
buscando por entradas 94
buscando mensajes de log de muestra 92
seleccionando columnas para desplegar 92
estableciendo color de fondo 92
estableciendo color de tipo de mensaje 92
estableciendo preferencias 92
mostrando logs 92
mostrando mensajes en color 92
iniciando 91
zona horaria para 62
viendo archivo actual en 94
viendo archivos con 90
Lotus Notes, política 387
M
MAC, direcciones
de interfaces, viendo 6, 36
almacenadas en el Firebox 40
Menú principal, botón 40
Managed Client Setup, caja de diálogo 209
Management Information Bases, ubicación de 64
Management Page
descripción 216
para el Firebox 216, 218
para Firebox X Edge 217, 261–265
iniciando otras herramientas desde 219
actualizando dispositivo 218
recursos VPN 219
túneles VPN 220
Management Server
añadiendo dispositivos a 213–216
añadiendo dispositivos Edge/SOHO a 257–259
añadiendo/eliminando licencia para 200
y Firebox X Edge 254
y SOHO 254
y VPN Manager 233
como Autoridad de Certificación 222
respaldando/restaurando configuración de 204, 205
cambiando configuración de 200
8 WatchGuard System Manager

connectando a 207
creando nuevo 199
descripción 1, 197
Device Management, página. Ver Device Management,
página
desconectando de 208
ícono en la barra de tareas para 4
importando dispositivos Firebox X Edge en 255
claves de licencia para 201
administrando dispositivos con 208–213
clave de encripción maestra 197
mudándolo a una nueva computadora 205
nombrando alias en 276
passphrase 198
passphrases para 197
grabando mensajes de log de diagnóstico para 201
usando sólo para monitorear 208
usando el Asistente de Setup 199
dónde instalar 13
Management Server Backup/Restore, Asistente 205
Management Server Configuration, caja de diálogo 200
Management Server, página de configuración 259, 276, 277
management station
y niveles de encripción de software 14
instalando 13
maestra, clave de encripción
descripción 197, 198
instalación 199
cuándo usar 198
MD5-HMAC 227
memoria, viendo el uso de Firebox de la 48
Merge Logfiles, caja de diálogo 95, 96
meshed, topología 229
MIBs, ubicación de 64
Microsoft SysKey, Utilidad 198
Mobile User VPN. Ver MUVPN
MS Win Media, política 387
MSDUN, y RUVPN 285
MSSQL-Monitor, política 387
MSSQL-Server, política 387
multi-WAN, soporte
y NAT 102, 119, 157
y configuración de red 13
y acciones QoS 325
descripción 3, 102
modo failover 103
en round-robin 102
limitaciones de 102
opción de tabla de enrutamiento 103
MUVPN
y certificados 222
y direcciones de servidor WINS/DNS 107
autenticación para 232
configurando Firebox al host 124
descripción 232
niveles de encripción para 232
monitoreando túneles 220
multi-WAN no soportado en 102
escenario 235
con autenticación extendida 235
MUVPN, túneles, viendo información sobre 37
MX, registros 154
N
NAT
1-to-1
y soporte PPPoE 22
y túneles VPN con la misma dirección IP 117
configurando 118
configurando en base a políticas 118, 119
definiendo reglas para 117
descripción 113, 116
no soportado en multi-WAN 102
usando 116
usado en políticas 156
y switching en túnel 231
y VPNs 229
descripción 2, 113
dinámica
añadiendo entradas 114
permitiendo a través de túnel BOVPN 250
cambiando el orden de la entrada 115
descripción 113, 114
habilitando 114
basada en políticas 115
usando en políticas 119, 156
estática
configurando una política para 154
configurando para una política 119
descripción 113
tipos de 113
NAT Setup, caja de diálogo 114
NAT Traversal 245
netmask, viendo dirección de 6, 36
NetMeeting, política 388
Network Address Translation. Ver NAT
Network Configuration caja de diálogo 98, 99, 104, 106, 112
Network Connection, Asistente 285, 286
Network File System 142
Network File System (NFS), política 388
Network Time Protocol (NTP), política 388
Network Time Protocol, sincronizando el reloj del Firebox con el
servidor de 61
Network Unreachable, (ICMP), configuración 76
New Gateway, caja de diálogo 244, 250
New Policy Properties, caja de diálogo 148
New Policy Template, caja de diálogo 149
New QoS, caja de diálogo 324
New Schedule, caja de diálogo 78
New Tunnel, caja de diálogo 247
NFS, política 388
NNTP, política 388
No Ajustar, configuración, tamaño de segmento TCP 77
notación, slash 22
notificación
trayendo una ventana emergente como 141, 153
configurando para proxies 164
para puertos bloqueados 140, 143
preferencias globales para 86
enviando 165
enviando mensajes de e-mail para 89
estableciendo intervalo de emisión de 141, 153, 165
estableciendo cuenta de repeticiones 141, 153, 165
NTP, política 388
NTP, sincronizando el reloj del Firebox con el servidor de 61
NTP Setting, caja de diálogo 61
O
Online, Ayuda 27
online, servicios de soporte
Guía del Usuario 9

accediendo 26
descripción 25
online, entrenamiento 26
Open Firebox, caja de diálogo 65, 70
opcional, interfaz
y DHCP 99
y DHCP relay 99
configurando 98–100
descripción 11
OSPF (Open Shortest Path First)
permitiendo tráfico a través del Firebox 336
configurando Fireware para usar 335
configuración del demonio 332
descripción 332
tabla de costos de la interfaz 334
OSPF, político 389
P
por defecto, manejo de paquetes
y ataques de espacio de direcciones 137
y pruebas de espacio de direcciones 137
y ataques DDoS 137
y ataques de Denegación de Servicio (DoS) 137
y ataques flood, o de saturación 137
y ataques a la ruta de la fuente IP 136
y ataques Ping de la Muerte 136
y ataques al espacio de puertos 137
y pruebas del espacio de puertos 137
y ataques de spoofing 136
descripción 135
opciones para 135
paquetes
sin “manejo” 137
viendo cantidad de enviados y recibidos 6, 36
pares de claves 221
redes parcialmente meshed 230
passphrases
y utilidad SysKey 198
autenticación 227
cambiando 64
configuración, cambiando 64
configuración, descripción 18
descripción 227
para autenticarse ante el Firebox 126
ubicación de 198
Management Server 198
reseteando para el Firebox 64
estableciéndola en el asistente Quick Setup 16
estado, cambiando 64
estado, descripción 18
consejos para crear 64
tipos de 64
passphrase, estado
como clave de encripción de log 16
cambiando 64–65
descripción 18, 64
configurando 16
PCAnywhere, política 381, 389
Peer to Peer (P2P), previniendo su uso 318
Per Interface Dynamic DNS, caja de diálogo 109
Perfect Forward Secrecy 248
Performance Console. Ver Consola de Desempeño
PFS 248
Phase 1
descripción 228
parámetros 245
Phase 2
cambiando parámetros 247
descripción 228
Phase1 Advanced Settings, caja de diálogo 245
Phase2 Advanced Settings, caja de diálogo 248
Phase2 Proposal, caja de diálogo 247
ping, comando para el origen de los mensajes 40
Ping de la Muerte, ataques 136
ping, política 389
PKI 221
Point to Point Tunneling Protocol. Ver PPTP
Point-to-Point Protocol over Ethernet. Ver PPPoE
Policy Manager
como vista en el archivo de configuración 69
descripción 2, 18, 69
desplegando vista detallada 147
desplegando vista con íconos grandes 146
abriendo un archivo de configuración desde 69
usándolo para modificar el archivo de configuración
97–102
Policy Properties, caja de diálogo 164
políticas
añadiendo 147
añadiendo varias del mismo tipo 150
y su política de seguridad 19
cambiando propiedades de 150–157
configurando para NAT estática entrante 154
configurando notificación para 153
configurando NAT estática para 113, 119
configurando permitir tráfico RUVPN 283
creando 145–157
creando personalizada 148
borrando 150
descripción 145
sobre graficación de eventos 41
manejo de errores en ICMP 157
configurando destinos para 151
configurando propiedades de logs para 153
estableciendo precedencia para 157–159
estableciendo programación horaria para 156
estableciendo fuentes de 151
estableciendo tiempo de espera para 157
tipos de 379
autenticación del usuario y 132
versus proxies 161
viendo íconos para 146
viendo cantidad de conexiones por 46
bien conocidas 379
Políticas de proxies. Ver proxies
políticas, plantillas
añadiendo 237
añadiendo recursos a 239
creando nuevas 238
obteniendo actuales 238
POP2, política 389
POP3, política 389
popup, ventana, como notificación 141, 153, 165
Port Unreachable, configuración (ICMP) 76
PPP, nombre de usuario y contraseña 21
PPPoE
y 1-to-1 NAT 21
descripción 100
estableciendo parámetros para 101
soporte sobre interfaz externa 21, 100
PPPoE parameters, caja de diálogo 101
PPPoE, soporte sobre interfaz externa 100
10 WatchGuard System Manager

PPTP
descripción 226
política para 390
Ver también RUVPN con PPTP
túneles VPN, viendo información sobre 37
PPTP_Users group, añadiendo nuevos usuarios a 282–283
privada, LAN 10
procesos, viendo información sobre 49
procesador, indicador de carga del 36
Properties, caja de diálogo 141
Protocol Unreachable, configuración (ICMP) 76
Provide Contact Information, pantalla 258
proxies
vista de reglas avanzadas 163
y Gateway AntiVirus 3
y Intrusion Prevention Service 3
múltiples acciones asociadas con 161
lista de categorías 161
configurando 161–183
configurando logs/notificación para 164
descripción 145, 161
preconfiguradas 145
Ver también nombres individuales de proxies
versus filtros de paquetes 161
proxy, reglas. Ver reglas
pruebas del espacio de puertos 137
Public Key Intrastructure (PKI) 221
puertos
bloqueando 142–143
monitoreando 54
restringiéndolos para clientes MUVPN 124
especificándolos para políticas 150
configuración de velocidad y duplex 111
viendo en HostWatch 54
Q
QoS Actions, caja de diálogo 324
Quality of Service (QoS)
aplicando acciones a las políticas 156, 325
creando acciones para 323–325
descripción 3, 323
usándola en un entorno multi-WAN 325
Quick Setup, Asistente
descripción 14
lanzando 16
no Web 16
Web
descripción 15
solucionando problemas 15
usando 15
usando para recuperación 15
R
RADIUS Steel Belted 128
RADIUS, política 390
RADIUS, autenticación del servidor 127
RADIUS-Accounting, política 390
rcp 142
RDP, política 390
RealPlayer G2, política 391
recuperación
y Asistente Web Quick Setup 15
procedimiento para 65
signo de exclamación rojo en el WatchGuard System
Manager 7
Redes secundarias
añadiendo 21, 105
y el Asistente Web Quick Setup 21
descripción 21
refresco, intervalo para Firebox System Manager 34
Reglas Avanzadas, vista (en definiciones de Proxies) 163
Remote Desktop Protocol (RDP), política 390
Remote Proxies, categoría (WebBlocker) 294
repetir cuenta, configuración 141, 153, 165
Report Filter, caja de diálogo 192
Report Properties, caja de diálogo 186, 187, 188, 189, 190
Resource, caja de diálogo 239
RIP (Routing Information Protocol)
descripción 326, 391
Version 1
permitiendo broadcasts a través del Firebox 329
configurando Fireware para usar 328
descripción 326
Version 2
permitiendo multicasts de 331
configurando Fireware para usar 331
descripción 330
RIP, política 391
rlogin 142
Rlogin, política 391
raíz, certificado, publicando 222
round-robin, multiWAN 102–103
Rutas de red. Ver rutas
rutas
configurando 110
descripción 110
host 110
red 110
viendo 49
RPC mapeador de puertos 142
rsh 142
RSH, política 391
reglas
cambiando precedencia de 163
componentes of 161
configurando alarmas for 164
configurando mensajes de log para 164
RUVPN con PPTP
accediendo a la Internet con 286
activando 281
y MSDUN 285
y la política Any 284
y las direcciones de servidor WINS/DNS 107
lista de chequeo de la configuración 279
configurando políticas para permitir 283
configurando servidores compartidos para 280
descripción 232, 279
niveles de encripción 279
ingresando direcciones IP para 281
direccionamiento IP 279
haciendo conexiones desde atrás del Firebox 287
preparando computadoras clientes para 284
preparando el acceso remoto de Windows 2000 286
preparando un host remoto de Windows XP 285
corriendo 286
S
Save to Firebox, caja de diálogo 72
Guía del Usuario 11

Secondary Networks, caja de diálogo 107
SecurID, autenticación 128
SecurID, política 392
seguridad, política de
personalizando 19
descripción 19
Ver también archivo de configuración
Security Policy, caja de diálogo 240
Security Services, pestaña (Firebox System Manager) 51
Security Template, caja de diálogo 239, 241
securidad, plantillas de
añadiendo 239–240
descripción 237, 239
Select Device, caja de diálogo 273
Select Firebox Model and Name, caja de diálogo 71
Select the Time and Date, página 260
servicio, usando sus propiedades para bloquear sitios 141
Service Watch, pestaña
añadiendo/eliminando líneas en 47
cambiando colores en 47
cambiando nombres de políticas en 47
cambiando escala de 47
descripción 46
mostrando conexiones por política/regla 47
Settings, caja de diálogo 38, 92
Setup Firebox User, caja de diálogo 126, 283
Setup Routes, caja de diálogo 110
SHA-HMAC 227
secretos compartidos 227
Simple Mail Transfer Protocol 399
Simple Network Management Protocol. Ver SNMP
sitios bloqueados. Ver Blocked Sites, o sitios bloqueados.
slash, barra, notación con 22
SMB, política 392
SMTP, política de filtrado de paquetes 392
SMTP, proxy
y Gateway AntiVirus 308, 310
y prevención de intrusiones 171
y Intrusion Prevention Service 314, 319
y spamBlocker 302
configurando alarmas proxy/antivirus 171
configurando 166–172
configurando reglas de autenticación 169
configurando filtrado de contenido 170
configurando parámetros ESMTP 168
configurando parámetros generales 167
definiendo respuestas antivirus 170
defining reglas de tipo de contenido 170
definiendo reglas de nombre de archivo 170
descripción 166, 399
examinando respuestas HELO/EHLO 168
escondiendo datos del servidor de e-mail 168
tiempo de espera para 167
haciendo logs de solicitudes de conexión a través de 168
restringiendo remitentes/destinatarios de e-mail 170
estableciendo un número máximo de destinatarios de
e-mail 167
estableciendo valores para filtrado de encabezados
170
con NAT estático entrante 384
escribiendo un mensaje personalizado de denegación
171
SNMP
configurando Firebox para aceptar consultas desde el servidor
62
descripción 62, 392
habilitando consultas para 63
management system 165
política para 392
SNMP Settings, caja de diálogo 63
SNMP traps, o trampas SNMP
configurando manejo de paquetes por defecto 136
habilitando 63
habilitando para políticas 153
enviando 165
SNMP-Trap, política 393
software, actualizaciones
y Alta Disponibilidad 348
y LiveSecurity Service 19, 24
y Asistente Quick Setup 14
Fireware 20
software, viendo la versión del 48
SOHO
creando túneles para dinámico 240
administrando 253
SOHO 5, administrando 253
SOHO 6
añadiendo un recurso VPN 267
añadiendo un túnel VPN 268
añadiendo al Management Server 257–259
como cliente administrado 212
configurando propiedades de administración para 266
preparando para administración 256
iniciando herramientas para 267
actualizando dispositivo 266
viendo página de administración de 265
Soporte técnico
soporte asistido 28
Firebox Installation Services 29
LiveSecurity Gold Program 29
LiveSecurity Service 28
foro de usuarios 26, 27
VPN, servicios de instalación 29
spam, mensajes
y análisis reverso de su origen IP 154
viendo cantidad bloqueada 37
spamBlocker
acciones (Denegar, Marcar, Permitir) 299
acciones, seleccionando 302
activando 301–302
añadiendo excepciones 304
añadiendo marcas en la línea de Asunto del mail sospechoso
300
categorías (Spam, Masivo, Sospechoso) 300
configurando 303–304
creando políticas de proxy para 302
personalizando el uso de múltiples proxies 306
descripción 171, 299
instalando licencia para 300
haciendo logs con las respuestas 304
monitoreando actividad de 305
informando falsos positivos/negativos 305
seleccionando políticas 302
viendo actividad reciente 53
spamBlocker, caja de diálogo 303
spoofing, ataques 136
spyware, bloqueando sitios de 139
spyware, bloqueando 318
SQL*Net, política 393
SQL-Server, política 393
ssh, política 393
SSL VPN 226
Status Report, pestaña (Firebox System Manager) 48–49
strip (acción de proxy) 162
12 WatchGuard System Manager

Sun RPC, política 393
Support Logs, caja de diálogo 49
servicios de soporte online 25
SYN, ataques de saturación (flood) 137
syslog
descripción 394
facility 85
haciendo logs de 84
política 394
ubicación de los archivos de sistema 375
T
TACACS, política 394
TACACS+, política 394
Tarjetas de red, viendo información acerca de 49
TCP, conexiones 394
TCP, política 394
TCP, proxy
y Gateway AntiVirus 310
y High Availability 348
y prevención de intrusiones183
y Intrusion Prevention Service 314, 315, 317
configurando 182–183
configurando parámetros generales para 182
descripción 182, 400
TCP, ajuste del segmento de TCP, configuración 77
TCP SYN, habilitando chequeo de 76
TCPmux, servicio 142
TCP-UDP, política 395
telnet, política 395
Terceros, servidor de autenticación de. Ver Autenticación.
Timbuktu, política 395
Time Exceeded, configuración (ICMP) 76
Time Filters, caja de diálogo 187
Time, política 395
Topología de red
completamente meshed 229
hub-and-spoke 230
parcialmente meshed 230
traceroute, comando para el origen de los mensajes 40
traceroute, política 396
tráfico
viendo Firebox 35
indicador de volumen para 36
Traffic Monitor
bloquando el origen/destino de un mensaje 40
copiando mensajes en 40
emitiendo comando ping y traceroute en 40
limitando mensajes 38
Traffic Monitor, pestaña (Firebox System Manager) 38–40
Transmission Control Protocol (TCP) 182
Tunnel Properties, caja de diálogo 241
Tunelamiento dividido (split)
y seguridad 232
con PPTP, habilitando 286
túnel, switching 231
túneles
monitoreando 6, 37
protocolos para 226
ver también túneles VPN
viendo estado de 36
Type of Service (TOS), bits 76
U
Ubicación remota, administrando Firebox desde 78
UDP, política 395
Update Device, caja de diálogo 218, 238, 263, 266
Update Firmware, Asistente de 260
usuario, autenticación. Ver Autenticación
usuarios
y autenticación en Active Directory 131
y autenticación en Firebox 123
y autenticación en LDAP 129
y autenticación en servidor RADIUS 127
y autenticación SecurID 128
asignándolos a grupos de autenticación123, 126
autenticación remota 124
configurando una política para autenticación de 132–133
lista de autenticados 49
foro online para 26
viendo en HostWatch 54
UUCP, política 396
V
velocidad y parámetros duplex, configuración 111
Virtual Private Networks. Ver VPNs
virus
defendiéndose contra. Ver Gateway AntiVirus
información sobre nuevos 24
viendo cantidad encontrada 37
VPN Installation Services 29
VPN Manager Access, página 257
VPN Resource, caja de diálogo 238
VPN, túneles
y gateways 243
tipos de autenticación/encripción para 239
configurando con seguridad manual 246
creando políticas para 250
creando con el Asistente Add VPN 240
creando con WatchGuard System Manager 237, 240
creación arrastrando y soltando 240
editando 241
eliminando del WatchGuard System Manager 241
sin arrastrar y soltar 240–241
VPNs
control de acceso para 229
y política Any 379
y direccionamiento IP 228
y NAT 229
y contraseñas fuertes 227
y WatchGuard System Manager 233
métodos de autenticación para 227
descripción 226
consideraciones de diseño 230
configuración global 75
graficando eventos, acerca de 41
administradas. Ver BOVPN con WatchGuard System
Manager
manualmente configuradas. Ver BOVPN con IPSec Manual
monitoreando 220
topología de red 229
escenarios 234
pasos de su creación 237
tipos de 232
usando NAT 1-to-1 cuando las redes usan el mismo IP 117
Guía del Usuario 13

W
WAIS, política 396
WatchGuard Certified Training Partners 29
WatchGuard Firebox System
y clientes administrados 210
y Management Server 213
descripción 2
documentación para 2
ubicaciones de archivos para 377
archivos de log creados con 95
puertos para Log Server 20
WatchGuard Log Server Configuration, caja de diálogo 82
WatchGuard Management Access, página 256
WatchGuard Management Server. Ver Management Server
WatchGuard PPTP, ícono de política 281
WatchGuard System Manager
y autenticación mediante certificados 234
y túneles IPSec 233
y VPNs 233
descripción 1
Device Management, pestaña 5
Device Status, pestaña 4
instalando 9–22
ubicación de archivos de datos para 375
monitoreando túneles en 6
contenidos del paquete 9
servidores 1
instalando la estación de administración 13
comenzando 17
interfaz de usuario 4
viendo estado de la conexión en 6
WatchGuard, barra de tareas
y Log Server 82
y Management Server 199
y WebBlocker Server 290
descripción 2, 4
íconos en 4
WatchGuard, foro de usuarios 26, 27
WCTP 29
Web Quick Setup, Asistente
y redes secundarias 21
descripción 15
solucionando problemas 15
usando 15
usando para recuperación 15
web sites
anonimizadores 293, 294
filtrando 3, 289
seleccionando categorías para bloquear 293, 294
virus en 308
WebBlocker
ajustando el tamaño de caché para 296
descargando automáticamente base de datos 291
configurando 293–296
creando excepciones para 295–296
descripción 3, 289
descargando base de datos 290
instalando licencia para 289
prerrequisitos 290
programando una acción para 297
programando horarios 297
seleccionando políticas para 292
seleccionando categorías de sitios para bloquear 293, 294
estableciendo el valor de timeout 296
huso horario para 62
WebBlocker Configuration, caja de diálogo 294
WebBlocker Server
añadiendo uno adicional 292
añadiendo nuevo 294
descripción 1
ícono en la barra de tareas para 4
instalando 290
instalando en computadoras con firewalls de escritorio 20
dónde instalar 13
WebBlocker, utilidad290
WFS 377
y clientes administrados 210
y Management Server 213
descripción 2
documentación para 2
archivos log creados con 95
puertos para Log Server 20
WG-Auth, política 397
WG-Firebox-Mgmt, política 397
WG-Logging, política 397
WG-Mgmt-Server, política 397
WG-SmallOffice-Mgmt, política 398
WG-WebBlocker, política 398
WHOIS, política 398
Windows 2000
y LDAP-SSL 387
preparándolo para RUVPN con PPTP 286
Windows networking 392
Windows XP, preparándolo para RUVPN con PPTP 285
Winframe, política 396
WINS, servidores
direcciones para 107
configurando 280
WSM. Ver Watchguard System Manager
X
X Font, servidor 142
X Window System 142
X11, política 398
Y
Yahoo Messenger, política 397
14 WatchGuard System Manager