guia_utm_v2

8/17/2019 guia_utm_v2

1/35

Guía UTM

Guía de uso del servidor Ónice UTMversión 2.0

Neia Ltda2da Edición - Enero 2011

8/17/2019 guia_utm_v2

2/35

.................................................................................Introducción 5

..............................................................................................Como leer esta guía

5

..............................................................................Configuración 6

..................................................................................................................Ingreso

6

.........................................................................................Configuración General 6

......................................................................................Configuración Avanzada 8

.................................................................................... Acceso al administrador web (Admin Access)

8

.......................................................................................................................... Firewall / NAT 10

..............................................................................................Configuraciones de red (Networking)

12

......................................................................................................... Misceláneos (Miscellaneous)

14

....................................................................................................... Notificaciones (Notifications) 16

..................................................................................................Interfaces de red

18

............................................................Configuración Interfaces de red de tipo LAN, WAN ó VLAN 18

.................................................................................................................. Asignación de Interfaz

20

...............................................................................................VLANs (Redes Privadas Virtuales)

21

...................................................................................................................Ruteo

22

......................................................................................................... Pasarelas de red (Gateways) 22

..................................................................................................... Rutas Estáticas (Static Routes)

22

.........................................................................................................................Grupos (Groups) 23

.......................................................................................Firewall 25

....................................................................................................................Alias

25

....................................................................................................................NAT 26

.................................................................................. Redireccionamiento de Puerto (Port Forward)

26

............................................................................................... Redireccionamiento 1:1 (NAT 1:1) 27

8/17/2019 guia_utm_v2

3/35

....................................................................Reglas de Filtro de Paquetes (Rules)

28

......................................................................................Servicios 29

......................................................Redireccionamiento DNS (DNS Forwarder)

29

.................................................................................................................DHCP 29

...................................................................................................................Proxy

30

............................................................................................................................ Filtro del Proxy

30

......................................................................Estado del Sistema 34

.......................................................................DHCP asignados (DHCP Leases) 34

................................................................................Recargar Filtro del Firewall

34

................................................................................................Interfaces de Red 34

................................................................................................Reporte de Proxy 34

.....................................................................................................Gráficas RDD

34

..............................................................................................................Servicios 34

..................................................................................................Logs del sistema 34

...............................................................................................Gráfica del trafico

35

...............................................................................................Tablero de estatus 35

8/17/2019 guia_utm_v2

4/35

8/17/2019 guia_utm_v2

5/35

IntroducciónNeia Ltda desde finales el 2009 ha introducido una nueva linea de servidores Ónice UTM

(Unified Threat Management), la cual ha remplazado al servidor Firewall, ofreciendo asínuevas funcionales entre otras:

• Interfaz Web para la administración

• Nuevo sistema para el manejo de balanceo de carga vía router

• Manejo de Usuarios

• Servidor DHCP para interfaces WAN

• Estado del sistema y de sus diferentes servicios

• Herramientas de diagnostico como captura de paquetes, ping, DNS lookup• Configuración web de certificados para OpenVPN

COMO LEER ESTA GUÍA Este manual a tenido en cuenta diferentes convenciones para denotar diferente tipo de

información, a continuación:

System > Advanced - Selección de Menú

Advanced - Seleccione de Pestaña

Apply - Botón

Hostname: Campos Obligatorios Obligatorios

Hostname: Campos de formulario NO Obligatorios

8/17/2019 guia_utm_v2

6/35

Capitulo 1

ConfiguraciónEl servidores Ónice UTM tiene una interfaz web para su administración la cual por defecto

solo es accesible por la interfaz LAN.

INGRESO

Para ingresar al sistema conecte su computador en la red donde esta conectada la interfazLAN del servidor Ónice UTM. Edite su interfaz de red y en el protocolo TCP/IP coloque lasiguiente configuración manual:

IP: 192.168.1.100PASARELA DE RED: 192.168.1.1

MASCARA DE RED:

255.255.255.0

CONFIGURACIÓN GENERAL

Seleccione System > General Setup en el menú.

System (Sistema)

• Hostname (Nombre del servidor): Nombre por el cual se va a identificar el servidorÓnice UTM.

• Domain (Dominio) : Dominio de la red Ej. midominio.com, oficina, etc. Recuerde queNO debe utilizar el dominio 'local' como nombre.

• Servidores DNS (DNS Servers): Dirección IP de los servidores DNS. Puede seleccionarla pasarela de red “Use Gateway” por donde el servidor UTM va ha realizar las

peticiones DNS, esto se debe tener en cuenta para cuando existe balanceo de cargasaliente, para mas información ver la sección RUTEO > GRUPOS.

Sobre escribir la lista de servidores DNS por el DHCP de conexiones PPP en la

interfaz WAN (Allow DNS server list to be overridden by DHCP/PPP on WAN). Sise selecciona esta opción el servidor UTM usará los DNS asignados por la conexión PPP dela WAN para sus propios propósitos, incluyendo el reenvio DNS (DNS forwarder), pero nose utilizará en los servicios DHCP y PPTP VPN.

8/17/2019 guia_utm_v2

7/35

• Zona horaria (Time Zone): Zona horaria que va a utilizar el servidor UTM. Recuerdeque la zona horaria va ha ser utilizada por el sistema para el registro de sus registros yreportes.

• Servidor tiempo NTP (NTP time server): servidor de sincronización de tiempo.

Para guardar los cambios haga clic en Save

8/17/2019 guia_utm_v2

8/35

CONFIGURACIÓN A VANZADA

Seleccione System > Advanced en el menú.

Recuerde que estas opciones solo son para usuarios avanzados, cualquier cambio puedeprovocar.

A CCESO AL ADMINISTRADOR WEB (A DMIN A CCESS )

Seleccione la pestaña Admin Access

WebConfigurator (Configuración web del administrador web)

• Protocol (Protocolo): Protocolo para el acceso (HTTP o HTTPS) a la administración delservidor Ónice UTM.

• SSL Certificate (Certificado SSL): Seleccione el certificado SSL que se utilizara siselecciona en protocolo HTTPS, para mas información sobre certificados digitales versección XXX.

• TCP port (Puerto TCP): Ingrese el puerto por el cual desea ingresar al administradorweb

• WebGUI redirect (Redirección hacia el administrador web): Si selecciona el campo dechequeo de deshabilita la regla de redirección hacia el administrador web.

• Anti-lockout (Antibloqueo): Cuando el campo de chequeo no está seleccionado sehabilita una regla del firewall que permite el acceso al administrador web a través de lainterfaz LAN, en caso contrario el acceso se bloquea y se debe habilitar manualmente através de las reglas del firewall.

• DNS Rebind Check (Chequeo de DNS Rebind): Cuando el campo de chequeo no estáseleccionado el sistema evita ataques DNS Rebinding, en caso contrario esta protección sedeshabilita.

Secure Shell (Shell Seguro)

8/17/2019 guia_utm_v2

9/35

• Secure Shell Server (Servidor de Shell seguro): Cuando el campo de chequeo estáseleccionado se activa el servicio de de Shell seguro en caso contrario se deshabilita esteservicio.

• Authentication Method (Método de Autenticación): Cuando el campo de chequeo está

seleccionado se desactiva el acceso por clave y se activa el acceso por llaves RSAautorizadas.

• SSH port (puerto SSH): Puerto del servicio SSH. Si no se ingresa ningún numero elservicio corre por defecto en el puerto 22.

Serial Communications (Comunicaciones por puerto serial)

•

Serial Terminal (Terminal de puerto serial): Cuando el campo de chequeo estáseleccionado se activa el puerto serial(9600/8/N/1) y se redirecciona la consola del de latarjeta de video y el teclado hacia este.

Console Options (Opciones de Consola):

• Console Menu (Menú de consola): Cuando el campo de chequeo está seleccionado elmenú de consola solo se puede acceder con usuario y clave.


8/17/2019 guia_utm_v2

10/35

FIREWALL / NAT

Seleccione la pestaña Firewall / NAT

Firewall Advanced (Opciones avanzadas del firewall)

• IP Do-Not-Fragment compatibility (Compatibilidad Do-Not-Fragment): Cuando elcampo de chequeo está seleccionado limpia los bits DF en vez de eliminar los paquetes.Esto permite la comunicación en hosts que generan paquetes con bits no fragmentados(DF). Es conocido que el servicio NFS de Linux hace esto.

• IP Random id generation (Generación aleatoria de id en el encabezado IP): Cuandoel campo de chequeo está seleccionado inserta un id mas fuerte in el encabezado IP de lospaquetes que pasan a través del filtro.

• Firewall Optimization Options:

- Normal: Algoritmo de optimización normal

- High-latency (Alta latencia): Algoritmo utilizado para conexiones de alta latencia, comoconexiones satelitales.

- Aggressive (Agresiva): Algoritmo que expira las conexiones idle rápidamente. Esto eseficiente en el uso de CPU y memoria pero puede eliminar conexiones establecidas.

- Conservative (Concervadora): Trata de no eliminar las conexiones legitimas a expensasde incrementar el uso de la CPU y memoria.

• Disable Firewall (Desactivación del Firewall): Cuando el campo de chequeo está

seleccionado se desactiva el filtro y el servidor se vuelve solo una plataforma de ruteo. Estotambién desactiva el NAT.

• Disable Firewall Scrub (Desactivar la normalización de paquetes “Scrub”): Cuandoel campo de chequeo está seleccionado se desactiva la normalización de paquetes “Scrub”.Desactivar la normalización de paquetes puede causar problemas con servicios como NFS y PPTP.

• Firewall Maximun States (Maximo numero de estados): Numero máximo deconexiones que puede mantener el firewall en su tabla de estado. El sistema le indicara elmáximo de estados que tiene por defecto.

• Firewall Maximum Table Entries (Maximo numero de entradas en las tablas):Numero máximo de conexiones que pueden las tablas (aliases, bloqueo ssh, snort, etc). Elsistema le indicara el máximo de estados que tiene por defecto.

• Static Route Filtering (Filtrado de rutas estáticas): Cuando el campo de chequeo estáseleccionado el trafico de las rutas estáticas que entran y salen a través de la misma interfaz

8/17/2019 guia_utm_v2

11/35

no es revisado por el firewall. Solo aplica para cuando se define una o mas rutas estáticas.

Network Address Tranlatión (Traducción de direcciones de red NAT)

• Disable NAT Reflection for port forwards (Desactivar la reflexión para la

redirección de puertos del NAT): Cuando el campo de chequeo está seleccionado sedeshabilita la creación automática de reglas adicional de redirección NAT para acceder alos puertos redireccionados en la IP externa desde su red interna. La reflexión para laredireción de puertos no aplica para rangos de puertos mayores a 500.

• Reflection Tiemout (tiempo de espera): Tiempo de espera para la reflexión ensegundos.

• Disable NAT Reflection for 1:1 NAT (Desactivar la reflexión para NAT 1:1): Cuando

el campo de chequeo está seleccionado se deshabilita la creación adicional de mapeos 1:1para el acceso NAT 1:1 para acceder desde la IP externa s su red interna. La reflexiónpara NAT 1:1 no funciona en ciertos escenarios complejos de ruteo.

• TFFTP Proxy (Proxy TFTP): Selecciona las interfaces de red en la que desea ayuda porparte del proxy TFTP.

8/17/2019 guia_utm_v2

12/35

CONFIGURACIONES DE RED (NETWORKING )

Seleccione la pestaña Networking (Configuraciones de red)

IPv6 Options (Opciones IPv6)

• Allow IPv6 (Permitir IPv6): Cuando el campo de chequeo NO está seleccionado todo eltrafico IPv6 es bloqueado.

• IPv6 over IPv4 Tunneling (Encapsulamiento de paquetes de IPv6 sobre NAT IPv4):Cuando el campo de chequeo está seleccionado provee compatibilidad RFC 2893 lo cualpermite utilizar un túnel IPv6 sobre infraestructura de ruteo IPv4. Recuerde que que si estaeste punto esta activado debe agregar al firewall la regla que permita paquetes IPv6

Network Interfaces (Interfaces de Red)

• Device polling (Verificar el estado del dispositivo): Cuando el campo de chequeo estáseleccionado se activa una verificación periódica que previene que cuando exista muchacarga en la interfaz de red no se pueda acceder a servicios del servidor UTM como por Ej.Al administrador Web, SSH, etc. Por lo general no se recomienda utilizar esta opción. Solociertas tarjetas de red soportan esta opción.

• Hardware Checksum Offloading (Descarga de suma de comprobación por

hardware): Cuando el campo de chequeo está seleccionado desactiva la descarga de sumade comprobación de hardware. No es recomendado desactivarlo y solo se debe utilizar paraciertas interfaces de red que tiene problemas.

• Hardware TCP Segmentation Offloading (Descarga de segmentación TPC por

hardware): Cuando el campo de chequeo está seleccionado desactiva la descarga desegmentación por hardware. Esto es recomendado en la mayoría de dispositivos deinterfaces de red.

• Hardware Larger Receive Offloading (Descarga de mayor recepción por hardware):Cuando el campo de chequeo está seleccionado desactiva la descarga de mayor recepciónpor hardware. Esto es recomendado en la mayoría de dispositivos de interfaces de red.

• ARP Handling (Manejo de ARP): Cuando el campo de chequeo está seleccionado ycualquiera de las pasarelas de red (gateways ) se cae ARP cuando existen múltiplesinterfaces en el mismo dominio de difusión (broadcast).

8/17/2019 guia_utm_v2

13/35


8/17/2019 guia_utm_v2

14/35

MISCELÁNEOS (MISCELLANEOUS )

Seleccione la pestaña Miscellaneous (Misceláneos)

Load Balancing (Balanceador de Carga)

• Load Balancing (Balanceador de Carga): Cuando el campo de chequeo estáseleccionado se activa las conexiones pegajosas, lo cual permite que cuando se hacebalanceo de carga entrante mediante Round-Robin las conexiones que provienen de lamisma fuente se conecten al mismo servidor web, cuando el estado expira también laconexión pegajosa también expira.

• Power Savings (Ahorro de Energía): Cuando el campo de chequeo está seleccionado seactiva el ahorro de energía se activa, lo cual permite que el sistema sistema se adapte ysegún el consumo del UTM utilice el máximo o mínimo de rendimiento. Esto solo aplicaha ciertos sistemas.

glxsb Crypto Acceleration (Aceleración Critografica glxsb)

• glxsb: Cuando el campo de chequeo está seleccionado se activa el de funciones decriptografía de los procesadores AMD Geode LX Security Block. Si se tiene una tarjeta decriptografía Hifn se utilizara solo la glxsb. Si no cuenta con ninguno de estos hardwareNO debe activar esta opción.

Schedules (Horarios)

• Schedule States (Estados con horario): Cuando el campo de chequeo está seleccionadolos estados con horario cuyo tiempo hayan expirado se mantienen y no son eliminados. Pordefecto el sistema elimina los estados con horario cuyo tiempo haya expirado.

Gateway Monitoring (Monitoreo de la pasarela de red ‘Gateway’)

8/17/2019 guia_utm_v2

15/35

• States (Estados): Cuando el campo de chequeo está seleccionado los estados de unapasarela de red (gateway ) que este caído se mantienen. Por defecto el sistema elimina losestados de la pasarela de red (gateway ) caído.


8/17/2019 guia_utm_v2

16/35

NOTIFICACIONES (NOTIFICATIONS )

Seleccione la pestaña Notifications (Notificaciones)

Growl

• Registration Name (Nombre de Registro): Nombre de registro asignado en Growl.

• Notification Name (Nombre de la Notificación): Nombre de la notificación.

• IP Address (Dirección IP): Dirección IP donde se encuentra el servicio Growl.

• Password (Clave): Clave del sistema donde se encuentra el servicio Growl.

SMTP E-Mail

• IP Address of E-Mail server (Dirección IP del servidor de Correo Electrónico):Dirección IP del correo electrónico el cual se usa para enviar las notificaciones del sistema.

• SMTP Port of E-Mail server (Puerto del servicio SMTP del servidor de correo):Puerto del servicio SMTP del servidor de correo, por lo general es el puerto 25 o 587.

• From e-mail address (Dirección de correo que notifica): Es la dirección de correo quenotifica.

• Notification E-Mail address (Dirección de correo electrónica a la cual se notifica):Dirección de correo electrónico a la cual es sistema envía las notificaciones del UTM.

• Notification E-Mail auth username (Usuario del servidor de Correo Electrónico):Usuario de correo electrónico del cual el sistema envía las notificaciones del UTM.

• Notification E-Mail auth password (Clave del servidor de Correo Electrónico): Clavedel usuario de correo electrónico del cual el sistema envía las notificaciones del UTM.


8/17/2019 guia_utm_v2

17/35

8/17/2019 guia_utm_v2

18/35

INTERFACES DE RED

CONFIGURACIÓN INTERFACES DE RED DE TIPO LAN, WAN Ó VLAN

Todas las interface de red creadas de tipo LAN (Red de Area Local), WAN (Red de AreaAmplia) o VLAN (Red de Area Local Virtual) tienen las mimas opciones de configuración, yse deben ajustar dependiendo del tipo de red que sea.

Seleccione System > General Setup en el menú y la interfaz que desea modificar.

General Configuration (Configuración General)

• Enable (Activar): Cuando el campo de chequeo está seleccionado la interfaz se activa encaso contrario la interfaz se desactiva. Recuerde que si la desactiva la interfaz de red noenvía o recibe información.

• Description (Descripción): Descripción o nombre para la interfaz de red. No serecomienda cambiar el nombre de esta interfaz.

• Type (Tipo): Descripción o nombre para la interfaz de red. No se recomienda cambiar elnombre de esta interfaz.

- None (Ninguna): No permite asignar dirección IP.

- Static (Estática): Asignación manual de la configuración de la interfaz de red. Alseleccionar esta opción aparece la configuración (Static IP configuration ) donde sesolicita la dirección IP (IP address ) junto con el segmento de red y la pasarela de red(gateway ). Esta el la opción mas recomendada para la LAN, se recomienda ingresaruna dirección IP privada con un segmento adecuado para el numero de dispositivos dered que se tiene y como router (gateway ) la opción None.

- DHCP: Asignación dinámica de configuración de la interfaz de red. Al seleccionar esta

opción aparece la configuración (DHCP client configuratión ) donde se solicita lanombre de identificación para el servidor DHCP (Hostname ) y la dirección IP alterna( Alias IP address ), la cual se utiliza en caso de que el servidor DHCP no asigne ladirección IP.

- PPP (Protocolo Punto a Punto): Conexión a través de modem. Al seleccionar estaopción se solicitan los siguientes campos:

8/17/2019 guia_utm_v2

19/35

! Service Provider(Proveedor del Servicio): Seleccione el proveedor del servicio por elpais (Contry ).

! Username (Nombre de Usuario): Nombre de usuario para la autenticación.

! Phone Number (Número Telefónico): Numero telefónico del proveedor PPP.

! Acces Point Name (Nombre de punto de acceso): Nombre del punto de acceso paraconexiones PPP de redes telefónicas móviles (celular).

! Modem Port (Puerto del Modem): puerto del modem.

! Advance PPP (Configuración avanzada): Al hacer clic en Click here se va a la opciónde crear una interfaz de red PPP.

- PPPoE (Protocolo Punto a Punto sobre Ethernet): Conexión encapsulada delprotocolo PPP sobre ethernet, este es utilizado por proveedores de Internet de BandaAncha. Al seleccionar esta opción se solicitan los siguientes campos:

! Username (Nombre de Usuario): Nombre de usuario para la autenticación.! Password (Clave): Clave para la autenticación.

! Service name: (Nombre del servicio): Nombre del servicio, por lo general se puededejar vacío.

! Dial on demand (Marcación por demanda): Cuando el campo de chequeo estáseleccionado se activa la marcación por demanda, lo cual permite estar en modo deespera, cuando se realizan peticiones estas se retrasan hasta que la conexión de salidase establezca.

!

Idle timeout (Tiempo de inactividad): Tiempo en segundos de inactividad, estopermite desconectar la conexión después de los n segundos introducidos, si se coloca 0esta opción se deshabilita.

! Periodic reset (Reinicio periódico): Horario en que se reinicia el servicio. Se puedenseleccionar las siguientes opciones:

Disable (Deshabilitado): Desabilitado

Custom (Personalizado): Personalizado, debe ingresar la hora y losminutos, si lo desea puede ingresar un día especifico, si no ingresa eldía el sistema realiza el reinicio cada día en la hora y minutos

indicados.Pre-Set (Predefinidos): reset at each month (Reinicar cada mes), reset ateach week (Reinicar cada semana), reset at each day (Reinicar cadadía), reset at each hour (Reinicar cada hora)

8/17/2019 guia_utm_v2

20/35

- PPTP Configuration (Protocolo Punto a Punto de Tunel): Conexión de redprivada virtual o VPN desarrollada por Microsoft. Al seleccionar esta opción se solicitanlos siguientes campos:

! Username (Nombre de Usuario): Nombre de usuario para la autenticación.

! Password (Clave): Clave para la autenticación.! Local IP address (Dirección IP local): Dirección IP local.

! Remote IP address (Dirección de IP remota): Clave para la autenticación.

! Dial on demand (Marcación por demanda): Cuando el campo de chequeo estáseleccionado se activa la marcación por demanda, lo cual permite estar en modo deespera, cuando se realizan peticiones estas se retrasan hasta que la conexión de salidase establezca.

! Idle timeout (Tiempo de inactividad): Tiempo en segundos de inactividad, esto

permite desconectar la conexión después de los n segundos introducidos, si se coloca 0esta opción se deshabilita.

Private networks (Redes Privadas)

• Block private networks (Bloquear redes privadas): Cuando el campo de chequeo estáseleccionado se bloquea el trafico de redes privadas RFC 1918 (10/8, 172.16/12,192.168/16) y también direcciones loopback (127/8). Se recomienda activar esta opción

para interfaces de tipo WAN (Red de Area Amplia) si esta tiene una dirección IP publica,en caso contrario o de que sea tipo LAN no se recomienda su activación.

• Block bogon networks (Bloquear redes bogon): Cuando el campo de chequeo estáseleccionado se bloquea el trafico de redes reservadas o no asignadas por la IANA. Serecomienda activar esta opción para interfaces de tipo WAN (Red de Area Amplia) y LAN(Red de Area Local).


A SIGNACIÓN DE INTERFAZ

Esta opción permite asignar a interfaces de red a los puertos de red que tenga el sistema

Seleccione Interfaces > assign y luego haga clic en la pestaña Interfaceassignments.

8/17/2019 guia_utm_v2

21/35

El sistema mostrara el listado de interfaces de red asignada con su respectivo puerto,exceptuando la interfaz de red WAN las demás interfaces de red se pueden eliminar del sistemahaciendo clic en el botón . Recuerde que al eliminar se perderán todas la información (reglas,NAT, etc) del firewall.

Para agregar una nueva asignación a una interfaz haga clic en botón , el sistemaautomáticamente creara la interfaz asignando el primer puerto de red (Network port ) que se

encuentre libre, si desea cambiar el puerto de red (Network port ) seleccionelo en el campo deselección respectivo. Recuerde que si desea cambiar algún atributo, como por Ej. dirección IP dela interface remitase a la sección Configuración Interfaces de red de tipo LAN, WAN ó VLAN.

VLANS (REDES PRIVADAS VIRTUALES )

Esta opción permite crear o eliminar puertos de red de tipo VLAN.

Seleccione Interfaces > assign y luego haga clic en la pestaña VLANs

El sistema mostrara el listado de los puertos VLAN creados, se pueden eliminar del sistemahaciendo clic clic en el botón . Recuerde que al eliminar una VLAN se perderán todas lainformación (reglas, NAT, etc) del firewall.

Para agregar una nueva asignación a una interfaz haga clic en botón , el sistema lesolicitara la siguiente información

VLAN configuration (Configuración VLAN)

• Parent Interface (Interfaz padre): Puerto de red al cual desea asignarle la VLAN. Debetener en cuenta que debe revisar el manual de su conmutador de red (switch ) para asignaral puerto donde se conecta la interfaz VLAN la VLAN adecuada. Si el puerto de red tienemas de una VLAN asignada o por ejemplo esta funcionando como una interfaz de redLAN, se debe activar en el conmutador el soporte para varias VLANs.

• VLAN tag (etiqueta VLAN): Etiqueta VLAN, recuerde esta debe estar entre 1 y 4094

• Description (Descripción): Descripción para la VLAN.

Si desea cambiar algún atributo, como por Ej. Dirección IP de la interface remitase a lasección Configuración Interfaces de red de tipo LAN, WAN ó VLAN.


8/17/2019 guia_utm_v2

22/35

RUTEO

PASARELAS DE RED (GATEWAYS )

Permite crear o eliminar pasarelas de red (gateways ).

Seleccione System > Routing y luego haga clic en la pestaña Gateways

El sistema mostrara el listado de las pasarelas de red (gateways ) creadas, estas se puedeneliminar del sistema haciendo clic clic en el botón . Debe tener cuidado ya que al eliminaralguna pasarela de red (gateway ) ya que puede afectar la conexión de la interfaz de red a la cualesta asignada.

Para agregar una nueva pasarela de red (gateway ) haga clic en botón , el sistema lesolicitara la siguiente información

Edit Gateway (Edición de la pasarela de red)

• Interface (Interfaz de red): Interfaz de red a la cual se va a asginar la pasarela de red(Gateway ).

• Name (Nombre): nombre de la pasarela de red (Gateway ). Este nombre es utilizado porel UTM para sus operaciones internas.

•

Gateway (pasarela de red): Dirección IP de la pasarela de red (Gateway)• Default gateway (pasarela de red por defecto): Cuando el campo de chequeo está

seleccionado esta pasarela de red se vuelve la pasarela de red por defecto del sistema.

• Monitor IP (Dirección IP del Monitor): Dirección IP de un monitor alternativo. Seutiliza por lo general para cuando la pasarela de red no responde mensajes ICMP o paraque el monitoreo lo haga sobre un servidor (Ej. DNS del proveedor) para tener la certezade que hay servicio sobre

RUTAS ESTÁTICAS (STATIC ROUTES )Permite crear o eliminar rutas (Routes ) de red estáticas.

Seleccione System > Routing y luego haga clic en la pestaña Routes

El sistema mostrara el listado de la rutas de red estáticas (gateways ) creadas, estas se puedeneliminar del sistema haciendo clic clic en el botón . Debe tener cuidado ya que al eliminar

8/17/2019 guia_utm_v2

23/35

alguna pasarela de red (gateway ) ya que puede afectar la conexión de la interfaz de red a la cualesta asignada.

Para agregar una nueva ruta estática haga clic en botón , el sistema le solicitara lasiguiente información

Edit route entry

• Destination Network (red de destino): Ingrese la red de destino para la ruta estática.

• Gateway (pasarela de red): seleccione la pasarela de red por la cual va a rutear el trafico.

• Description (descripción): Ingrese la descripción para describir esta ruta estática.

GRUPOS (GROUPS )

Permite crear grupos de ruteo de tipo respaldo(backup) o de tipo balanceo, esto es utili pararealizar balanceos de cargar con 2 conexiones o más ó tener una o varias conexiónes en modode backup en caso de que la ruta por defecto deje de funcionar.

Seleccione Interfaces > Routing y luego haga clic en la pestaña Groups

El sistema mostrara el listado de los grupos (groups ) creados, estos se pueden eliminar del

sistema haciendo clic clic en el botón . Debe tener cuidado ya que al eliminar algún grupo(group ) ya que puede afectar las reglas del firewall donde ésta está asignada.

Para agregar un nuevo grupo haga clic en botón , el sistema le solicitara la siguienteinformación

Edit gateway entry

•

Group Name (Nombre del Grupo): Ingrese el nombre del grupo.• Gateway Priority (Prioridad de la pasarela de red): Por cada pasarela de red se

mostrara un menú desplegable en el cual aparecerá las siguientes opciones, Never, Tier 1,Tier 2, Tier 3, Tier 4 y Tier 5, seleccione el nivel (Tier) para las pasarelas de red quepertenecen a este grupo(entre mas alto el numero es de menor prioridad), cuando más deuna de las pasarela de red tiene el mismo Tier estas actúan en modo de balanceo de carga.

8/17/2019 guia_utm_v2

24/35

Recuerde que para que esto tenga efecto debe seleccionar este grupo en la regla del firewalla la cual desea aplicarlo.

• Trigger Level (nivel de desencadenamiento): El nivel de desencadenamiento indicacuando se excluye un miembro del grupo.

• Description (descripción): Ingrese la descripción para describir el grupo.

8/17/2019 guia_utm_v2

25/35

Capitulo 2

FirewallA LIAS

Permite crear o eliminar alias los cuales simplifican el manejo del host, networks, ports, URLo tablas URL para las reglas de NAT y del Firewall.

Seleccione Firewall > Aliases.

El sistema mostrara el listado alias (aliases ) creadas, estas se pueden eliminar del sistemahaciendo clic clic en el botón . Debe tener cuidado ya que al eliminar algún alias ( Alias ) puedeafectar la conexión de la interfaz de red a la cual esta asignada.

Para agregar un nuevo alias (alias ) haga clic en botón , el sistema le solicitara la siguienteinformación

Alias Edit

• Name (Nombre): Ingrese el nombre del alias.

• Description (descripción): Ingrese la descripción para describir el alias.

• Type (Tipo): Seleccione el tipo host(s) para cuando se trata de direcciones IP, network(s)para cuando se trata de segmentos de red, Port(s) para cuando se trata de puertos, URLpara cuando se trata de direcciones URL o URL table cuando se trata de una tabla dedirecciones.

• Host, Network(s), Port(s), URL y URL Table (Host, red(es), puerto(s), URL y tabla

URL): Una vez seleccionado el tipo el sistema mostrara el tipo correspondiente paraingresar la información.

8/17/2019 guia_utm_v2

26/35

NAT

REDIRECCIONAMIENTO DE PUERTO (PORT FORWARD )

Permite redirigir puertos de una interfaz a un dispositivo de red de otra interfaz de red, por logeneral se utiliza en la interfaz WAN para dar acceso desde Internet por ejemplo a un

servidor web interno en el puerto 80(http).

Seleccione Firewall > NAT y luego haga clic en la pestaña Port Forward

El sistema mostrara el listado las reglas NAT de redireccionamiento (Port Forward ) creadas,estas se pueden eliminar del sistema haciendo clic clic en el botón .

Para agregar una nueva regla de NAT clic en botón , el sistema le solicitara la siguienteinformación

Edit Redirect entry

• Desactivar (Disabled): Al seleccionar la caja de chequeo la regla se desactiva.

• No RDR (NOT) (Desahabilitar el redireccionamiento): Al seleccionar la caja dechequeo solo desactiva el redireccionamento de esta regla. Es poco usual utilizar estaopción.

• Interface (Interface): Seleccione la interface de red (Interface ) en la cual se va aplicar laregla.

• Protocol (Protocolo): Seleccione el protocolo de red (Protocol ) que va a utilizar para laregla.

• Source (Fuente): Ingrese la fuente desde la cual se va aplicar la regla. Por defecto escualquiera (any ), se puede seleccionar otras opciones como una dirección o alias (Singlehost or alias ), segmento de red (Network ) y las direcciones del segmento de cadainterfaz o la dirección IP de estas interfaces. Si selecciona la caja de chequeo no ( not ) lafuente en este caso es la inversa ingresada.

• Source port range (Rango de Puertos Fuentes): Ingrese el puerto o rango de puertosfuentes.

• Destination (Destino): Ingrese el destino desde la cual se va aplicar la regla. Por defectoes cualquiera (any ), se puede seleccionar otras opciones como una dirección o alias (Singlehost or alias ), segmento de red (Network ) y las direcciones del segmento de cada

8/17/2019 guia_utm_v2

27/35

interfaz o la dirección IP de estas interfaces. Si selecciona la caja de chequeo no ( not ) lafuente en este caso es la inversa ingresada.

• Destination port range (Rango de Puertos Destino): Ingrese el puerto o rango depuertos destino.

• Redirect target IP (Redireccionamiento de IP de destino): Ingrese la IP deredireccionamiento de destino. Esta IP es la IP del servidor en el segmento de la LAN.

• Redirect target Port (Redireccionamiento del Puerto de destino): Ingrese el puertode redireccionamiento de destino.

• Description (Descripción): Ingrese la descripción para describir el grupo.

• No XMLRPC Sync (No realizar sincronización XMLRPC): Si selecciona la caja dechequeo no se sincronizara la regla con otros miembros del grupos CARP.

• NAT reflection (Reflección del NAT): Seleccione el tipo de reflección. Por defectoseleccione use system default .

• Filter rule association (Agregar regla al filtro de paquetes): Seleccione si se va aagregar una regla al filtro de paquetes. Esto se realiza con el fin de dejar pasar los paquetespor la interfaz seleccionada a la IP de redireccionamiento (Redirect target IP)

REDIRECCIONAMIENTO 1:1 (NAT 1:1)

Permite redirigir una dirección IP de una interfaz a una IP de la LAN, por lo general se

utiliza en la interfaz WAN para dar redireccionar una IP publica a una IP privada.

Seleccione Firewall > NAT y luego haga clic en la pestaña 1:1

El sistema mostrara el listado las reglas NAT 1:1 creadas, estas se pueden eliminar delsistema haciendo clic clic en el botón .

Para agregar una nueva regla de NAT clic en botón , el sistema le solicitara la siguienteinformación

1:1

• Desactivar (Disabled): Al seleccionar la caja de chequeo la regla es desactivada.

• Interface (Interface): Seleccione la interface de red (Interface ) en la cual se va aplicar elNAT.

8/17/2019 guia_utm_v2

28/35

• External Subnet IP (Dirección IP Externa): Ingrese la IP externa.

• Internal IP (IP Interna): Ingrese la IP interna.

• Destination (Destino): Seleccione any para NAT 1:1.

• Description (Descripción): Ingrese la descripción para describir el grupo.• NAT reflection (Reflección del NAT): Seleccione el tipo de reflección. Por defecto

seleccione use system default .

REGLAS DE FILTRO DE PAQUETES (RULES )

Permite dar acceso o no desde y hacia las diferentes redes de cada interfaz de red.

Seleccione Firewall > Rules y luego haga clic en la pestaña de la interfaz que deseé ver.

El sistema mostrará el listado las reglas de filtro de paquetes (Rules ) creadas, estas se puedeneliminar del sistema haciendo clic clic en el botón .

Para agregar una nueva regla de de filtro de paquetes haga clic en botón al final de lista,el sistema le solicitara la siguiente información

Edit Firewall Rule

• Acción (Action): Especifica que se debe hacer con el paquete que cumpla con la regla,existe tres opciones dejarlo pasar (pass ), bloquearlo (block ) y rechazarlo (Reject ), ladiferencia entre bloquear y rechazar es que la primera no envía notificación al cliente quese le bloque la regla y la segunda si le notifica que fue rechazada.

• Desactivar (Disabled): Al seleccionar la caja de chequeo la regla se desactiva.

• Interface (Interface): Seleccione la interface de red (Interface ) en la cual se va aplicar laregla.

• Protocol (Protocolo): Seleccione el protocolo de red (Protocol ) que va a utilizar para la

regla.• Source (Fuente): Ingrese la fuente desde la cual se va aplicar la regla. Por defecto es

cualquiera (any ), se puede seleccionar otras opciones como una dirección o alias (Singlehost or alias ), segmento de red (Network ) y las direcciones del segmento de cadainterfaz o la dirección IP de estas interfaces. Si selecciona la caja de chequeo no ( not ) lafuente en este caso es la inversa ingresada.

8/17/2019 guia_utm_v2

29/35

• Source port range (Rango de Puertos Fuentes): Ingrese el puerto o rango de puertosfuentes.

• Destination (Destino): Ingrese el destino desde la cual se va aplicar la regla. Por defectoes cualquiera (any ), se puede seleccionar otras opciones como una dirección o alias (Single

host or alias ), segmento de red (Network ) y las direcciones del segmento de cadainterfaz o la dirección IP de estas interfaces. Si selecciona la caja de chequeo no ( not ) lafuente en este caso es la inversa ingresada.



• Log (Log): Al seleccionar la caja de chequeo se guarda el log de la regla, el cual puede ser

visualizado en Status > Systemlog > Firewall.• Description (Descripción): Ingrese la descripción de la regla.

Capitulo 4

ServiciosREDIRECCIONAMIENTO DNS (DNS FORWARDER )

DHCP

Seleccione Services -> DHCP Server en el menú principal.

8/17/2019 guia_utm_v2

30/35

Este servicio solo se presta para la interfaces LAN, si desea habilitar el servicio seleccione lacaja de chequeo .

La opción de denegar clientes desconocidos (Deny unknown clients) permite solo asignar

direcciones a los clientes que usted asigne en la parte inferior, si desea habilitar el servicioseleccione la caja de chequeo . Para agregar direcciones validas valla a la parte inferior de pagina y haga clic , se debe ingresar la dirección MAC (MAC address), la dirección IP (IP address), elnombre del host (Hostname) y la Descripción (Descripción) a cada dispositivo de red. Una vezingresado se muestra un listado donde se puede modificar haciendo clic en o eliminar haciendoclic en .

El rango disponible (Avalible range) muestra que segmento de la red puede utilizar paraingresar el rango (Range) de direcciones IP que puede asignar, recuerde que si si usted activa la

opción denegar clientes desconocidos (Deny unknown clients) este rango no será asignado.

Ingrese el los servidores WINS (WINS Server) en caso de tenerlos, servidor DNS (DNSServer) y pasarela de red (Gateway ). Recuerde que estos dos últimos no son obligatorios y sontomados de la configuración del sistema.

Una vez haya realizados los respectivos cambios haga clic en Salvar (Save)

PROXY

FILTRO DEL PROXY

Le permite manejar las políticas del proxy. Recuerde que si el proxy esta modo transparenteeste solo filtrara el trafico por el puerto 80 y no podrá filtrar el trafico https (http seguro).

Seleccione Services > Proxy Filter. A continuación se describe cada una de las pestañas

General Settings

- Activo (Enable). Activa o desactiva los filtros del proxy

- Lista Negra (Blacklist). Activa o desactiva las listas negras que tiene por defecto el proxy.

8/17/2019 guia_utm_v2

31/35

Una vez haya realizados los respectivos cambios haga clic en Salvar (Save) y luego si se deseaaplicar los cambios haga clic en aplicar (Apply) que se encuentra en la primera fila (Enable) paraque reinicie el servicio y se activen los cambios.

Common ACL

Destino por defecto (Default destination). Haga clic para ver las reglas de destino (estas reglasson basadas en la lista negra o en destinos que se agregan), si se desea denegar (deny), permitir sino esta bloqueada por otra regla (allow) o permitir siempre(white) alguna de estas reglas haga clicen la lista de seleccione y elija la opción de acuerdo a sus políticas.

No permitir direcciones IP en la URL (Not to allow IP addresses in URL), si se activa estaopción bloquea todas las URL que contenga direcciones IP. EJ. http://200.50.189.40

Una vez haya realizados los respectivos cambios haga clic en Salvar (Save) y luego si se deseaaplicar los cambios haga clic en el tab de Configuración General (General Settings) y haga clic enaplicar (Apply) que se encuentra en la primera fila (Enable) para que se reinicie el servicio y seactiven los cambios.

Groups ACL

Nombre (Name)

Orden (Order) de la ACL la que este de primeras tiene mayor prioridad

Fuente (Source IP adresses and domains)

Horario (Time) si desea que la ACL se ejecute en un tiempo de trabajo.

Destino (Destination). Haga clic para ver las reglas de destino (estas reglas son basadas en lalista negra o en destinos que se agregan), se mostraran 2 columnas con las mismas listas, la deizquierda se ejecuta si no se ha elegido un horario o en el horario si se ha elegido uno, la segunda

http://200.50.189.40/http://200.50.189.40/

8/17/2019 guia_utm_v2

32/35

es para cuando no se encuentra en el periodo de tiempo solo si se ha escogido un horario, paradenegar (deny), permitir si no esta bloqueada por otra regla (allow) o permitir siempre(white)alguna de estas reglas haga clic en la lista de seleccione y elija la opción de acuerdo a sus políticas.

No permitir direcciones IP en la URL (Not to allow IP addresses in URL), si se activa estaopción bloquea todas las URL que contenga direcciones IP. EJ. http://200.50.189.40


Una vez ingresada la ACL se muestra un listado de todas las ACL, allí se podrá modificar oeliminar la ACL haciendo clic en o haciendo clic en .

Target categories

Nombre (Name)

Lista de dominios (Domain List). Ingrese los dominios separados por espacio Ej. 'mail.ru e-mail.ru yahoo.com'

Expresiones (Expressions). Ingrese los palabras que puede contener la URL separadas por |.Ej. 'mail|casino|game'

Lista de URLs (Expressions). Ingrese las URL separadas por espacio Ej. 'host.com/xxx12.10.220.125/alisa'


http://200.50.189.40/http://200.50.189.40/http://200.50.189.40/http://200.50.189.40/http://200.50.189.40/http://200.50.189.40/http://200.50.189.40/http://200.50.189.40/

8/17/2019 guia_utm_v2

33/35

Una vez ingresado el destino se muestra un listado de todos los destinos, allí se podrámodificar o eliminar el destino haciendo clic en o haciendo clic en .

Times

Nombre (Name).

Valores (Values). Seleccione el tipo de horario [ semanal (Weekly) o fecha (Date)], días (Days)solo si a seleccionado semanal (Weekly), fecha (Date or Date range) si ha seleccionado fecha(Date) y rango de tiempo (Time range). Si desea agregar mas valores haga clic en .

Descripción (Description).


Una vez ingresado el horario se muestra un listado de todos los horarios, allí se podrámodificar o eliminar el horario haciendo clic en o haciendo clic en .

8/17/2019 guia_utm_v2

34/35

Capitulo 5

Estado del SistemaDHCP ASIGNADOS (DHCP LEASES )

Muestra todos las direcciones DHCP asignadas (Dirección IP, Dirección MAC, Nombre deHost, Inicio, Fin, Esta en Linea, Tipo de Asignación)

RECARGAR FILTRO DEL FIREWALL

Recarga todas las reglas del filtro de paquetes.

INTERFACES DE RED

Muestra el estado de las interfaces de red.

REPORTE DE PROXY

Reporte de las sitios web visitados a través del servicio de proxy.

GRÁFICAS RDD

Reporte gráfico del sistema, trafico de red, trafico de paquetes y calidad del servicio.

SERVICIOS

Estado de los servicios activos del servidor UTM. Los servicios pueden iniciar, reiniciar oapagar.

LOGS DEL SISTEMA

8/17/2019 guia_utm_v2

35/35

Reporte de las sitios web visitados a través del servicio de proxy.

GRÁFICA DEL TRAFICO

Muestra el consumo actual del ancho de banda de las interfaces asi como las direcciones IPsque lo están consumiendo.

TABLERO DE ESTATUS

Muestra los diferentes estados del sistema y los servicios que se prestan.

guia_utm_v2

Documents