manual de referenciapandasecurity.s3.amazonaws.com/enterprise/document… · ·...
TRANSCRIPT
Panda GateDefender Manual de referencia
Contenido
Introducción...................................................................................................................... 7
Introducción................................................................................................................ 7
Convenciones utilizadas en este documento .................................................... 7
Las zonas ................................................................................................................. 8
La interfaz de administración del dispositivo Panda GateDefender ............ 9
Acceder al dispositivo Panda GateDefender................................................... 15
Manual de referencia del dispositivo Panda GateDefender 5.50 .................... 16
El menú sistema.............................................................................................................. 19
El menú del sistema ................................................................................................ 19
Panel de control................................................................................................... 19
Configuración de red........................................................................................... 22
Notificaciones de eventos .................................................................................. 29
Actualizaciones .................................................................................................... 31
Soporte .................................................................................................................. 31
Consola de administración perimetral Panda ................................................. 32
Contraseñas .......................................................................................................... 33
Consola Web ......................................................................................................... 33
Acceso SSH ............................................................................................................ 34
Configuración del interfaz ................................................................................. 35
Backup ................................................................................................................... 35
Apagar .................................................................................................................... 39
Contrato de Licencia ........................................................................................... 39
El menú Estado............................................................................................................... 40
El menú Estado......................................................................................................... 40
Estado del sistema............................................................................................... 40
Estado de red........................................................................................................ 41
Gráficos del sistema ............................................................................................ 42
Gráficos del tráfico ............................................................................................. 43
Gráficos del proxy................................................................................................ 43
Conexiones ............................................................................................................ 43
Conexiones VPN.................................................................................................... 44
Estadísticas de correo SMTP .............................................................................. 44
Lista de correos.................................................................................................... 45
El menú Red ................................................................................................................... 46
El menú de red ......................................................................................................... 46
Editar hosts ........................................................................................................... 46
Enrutamiento ........................................................................................................ 47
Interfaces .............................................................................................................. 50
El menú Servicios........................................................................................................... 53
El menú Servicios ..................................................................................................... 53
Servidor DHCP....................................................................................................... 53
DNS dinámico........................................................................................................ 56
Motor de antivirus................................................................................................ 58
Servidor de fecha y hora .................................................................................... 60
Cuarentena de correo ......................................................................................... 60
Capacitación de spam ......................................................................................... 62
Prevención de intrusiones .................................................................................. 63
Alta disponibilidad ............................................................................................... 65
Monitorización de tráfico ................................................................................... 67
Servidor SNMP....................................................................................................... 67
Calidad de servicio .............................................................................................. 68
El menú Firewall ............................................................................................................ 71
El menú del firewall ................................................................................................ 71
Elementos de configuración comunes.............................................................. 71
Redirección de puertos / NAT ........................................................................... 72
Tráfico de salida .................................................................................................. 74
Tráfico interzona ................................................................................................. 76
Tráfico VPN ........................................................................................................... 77
Acceso al sistema................................................................................................. 77
Diagramas de firewall ......................................................................................... 78
El menú Proxy ................................................................................................................ 79
El menú Proxy........................................................................................................... 79
HTTP....................................................................................................................... 80
POP3 ....................................................................................................................... 90
FTP ......................................................................................................................... 92
SMTP ....................................................................................................................... 93
DNS ....................................................................................................................... 105
El menú VPN................................................................................................................ 107
Autenticación ......................................................................................................... 107
Usuarios ............................................................................................................... 107
Grupos.................................................................................................................. 109
Configuración ..................................................................................................... 111
El menú VPN ........................................................................................................... 112
Servidor OpenVPN .................................................................................................. 112
Configuración del servidor ............................................................................... 113
Cliente OpenVPN (Gw2Gw) .................................................................................. 117
IPsec ......................................................................................................................... 120
IPsec ..................................................................................................................... 120
L2TP ..................................................................................................................... 125
Certificados............................................................................................................. 126
Certificados......................................................................................................... 126
Autoridad de certificado .................................................................................. 128
Certificados revocados ..................................................................................... 129
Lista de revocación de certificados................................................................ 129
El menú Hotspot ........................................................................................................... 130
El menú Hotspot..................................................................................................... 130
Configuraciones del Hotspot................................................................................ 130
Interfaz de administración ................................................................................... 135
Cuentas .................................................................................................................... 136
Lista...................................................................................................................... 136
Importar de CSV ................................................................................................. 140
Exportar desde CSV ........................................................................................... 141
Generador de cuentas....................................................................................... 142
Tickets ..................................................................................................................... 144
Tasas .................................................................................................................... 144
Ticket rápido ...................................................................................................... 147
Generador de tickets ........................................................................................ 147
Informes................................................................................................................... 148
Conexiones .......................................................................................................... 148
Saldo..................................................................................................................... 149
Registros de conexión ....................................................................................... 151
Exportar registros de conexión como CSV..................................................... 152
Transacciones SmartConnect........................................................................... 152
Configuración ......................................................................................................... 153
Principal .............................................................................................................. 153
SmartConnect ..................................................................................................... 156
API ........................................................................................................................ 159
Idioma .................................................................................................................. 160
Usuario del Hotspot ............................................................................................... 165
Acceso de clientes al Hotspot ............................................................................. 166
El menú Registros e Informes ...................................................................................... 170
El menú Registros e informes .............................................................................. 170
Panel de control................................................................................................. 170
Monitorización de tráfico ................................................................................. 173
En vivo ................................................................................................................. 176
Acciones comunes.............................................................................................. 177
Resumen .............................................................................................................. 178
Sistema ................................................................................................................ 179
Servicio ................................................................................................................ 179
Firewall................................................................................................................ 179
Proxy .................................................................................................................... 180
Configuración ..................................................................................................... 180
Manual de referencia
vi
Servidor de timestamps seguros ..................................................................... 181
Glosario ........................................................................................................................ 183
Glosario.................................................................................................................... 183
Guía rápida...¿Dónde puedo...? .................................................................................... 185
Guía rápida. ¿Dónde puedo...? ............................................................................ 185
Hotspot ................................................................................................................ 185
Red ....................................................................................................................... 185
Varios ................................................................................................................... 185
Licencia de documentación GNU libre ........................................................................ 186
Licencia de documentación GNU libre............................................................... 186
Introducción Introducción
El Manual de referencia del dispositivo Panda GateDefender se divide en secciones que siguen la organización de los módulos de la
aplicación.
El resto de esta sección contiene información básica sobre esta guía y sobre cómo realizar los primeros pasos con el dispositivo Panda
GateDefender. Asimismo, presenta algunos conceptos importantes y describe las partes más relevantes de la GUI.
Convenciones utilizadas en este documento
Para facilitar la lectura y mejorar la claridad de este documento, se utilizan diferentes convenciones:
Al mover el ratón sobre determinados términos, se muestra una Ventana de ayuda.
Esto es un cuadro para un ejemplo.
Los cuadros como este contienen ejemplos de configuraciones o instrucciones prácticas breves para la instalación rápida de alguna
función o algún servicio descritos en el documento principal.
Además, se utiliza letra cursiva para resaltar objetos no interactivos o etiquetas dentro de la GUI web, mientras que una palabra (o
palabras) subrayada con rayas indica un objeto que requiere interacción del usuario, es decir, hacer clic sobre un botón o abrir un
hipervínculo.
Se utilizan advertencias para marcar elementos, acciones o tareas que requieren atención especial:
Advertencia:
si cambia este valor, el servicio se reiniciará.
Nota:
recuerde que puede modificarlo más tarde.
Sugerencia:
consejos sobre configuración de opciones
Un tema relevante o un ejemplo
En cuadros como este (“tema”), puede encontrar la explicación de algún tema que requiere una explicación no tan corta y que es
relevante para el tema de la sección o para la configuración de alguna preferencia. Es posible que también incluya ejemplos o
instrucciones rápidas. La parte inferior puede incluir uno o más hipervínculos a recursos en línea.
Es necesario hacer clic en todos los elementos de una secuencia como Barra de menú ‣ Firewall ‣ Redirección de puertos/DNAT ‣
Mostrar reglas del sistema, en la secuencia indicada, para llegar a una página o un elemento de configuración específicos. Este ejemplo
muestra cómo llegar a la página que contiene la configuración de las reglas del sistema para el DNAT del firewall.
Por otro lado, en una secuencia como Barra de menú ‣ Firewall ‣ Redirección de puertos/DNAT ‣ [Lista de reglas] ‣ Editar, el signo [...]
indica que existe un gran número de objetos (en este caso una lista de las reglas del firewall) entre los que hay que elegir uno para
llevar a cabo la acción (Editar).
Estas secuencias pueden encontrarse dentro de los cuadros “vea también”, bajo un hipervínculo como el siguiente:
Véase también:
Configuración de red
Barra de menú ‣ Sistema ‣ Configuración de red
Dentro del cuadro, el hipervínculo ofrece acceso directo a la documentación, mientras que la secuencia muestra debajo cómo llegar
desde la página de inicio hasta la página donde se configura dicha funcionalidad.
También existen algunos términos que tienen un uso o un significado especiales en este manual y que se incluyen en el Glosario.
Las zonas
Uno de los conceptos más importantes en los que se basa el dispositivo Panda GateDefender, la Zona, tiene su origen en la idea de
IPCOP de proteger las redes a las que puede llegar agrupándolas en diferentes segmentos (la zona en sí) y permitiendo el intercambio
de tráfico solamente en determinadas direcciones entre estos segmentos. Las cuatro zonas principales se identifican por un color y
pueden agrupar varios servidores de estación de trabajo que tienen el mismo propósito.
ROJA: este es el llamado Segmento no confiable, es decir, la WAN. Comprende todas las redes fuera del dispositivo Panda
GateDefender o, en términos generales, Internet, y es el origen de las conexiones entrantes. Esta es la única zona que no
puede administrarse, sino solamente limitar u otorgar acceso desde y hacia ella.
VERDE: la red interna, es decir, LAN. Esta zona es la más protegida, está dedicada a las estaciones de trabajo y nunca
debería accederse a ella de manera directa desde la zona ROJA. También es la única zona que puede acceder a la interfaz
de administración de forma predeterminada.
NARANJA, la DMZ. Esta zona debería hospedar los servidores que necesitan acceder a Internet para proporcionar servicios
(por ejemplo, SMTP/POP, SVN, HTTP, etc.). Sería aconsejable que la zona NARANJA fuera la única zona accesible
directamente desde la zona ROJA. De hecho, si un atacante consigue entrar en alguno de los servidores, se encontrará
atrapado dentro de la DMZ y no podrá acceder a la zona VERDE. Por tanto, será imposible que acceda a información
importante de las máquinas locales dentro de la zona VERDE.
AZUL: la zona Wi-Fi, es decir, la zona que utilizarán los clientes inalámbricos para acceder a Internet. En general, las redes
inalámbricas no son seguras, por lo que la idea es atrapar de forma predeterminada a todos los clientes conectados de
manera inalámbrica dentro de su propia zona sin que accedan a ninguna otra zona excepto la ROJA.
Para que el dispositivo Panda GateDefender funcione correctamente, no es necesario configurar las zonas NARANJA y AZUL. De
hecho, basta con definir la zona VERDE, porque la zona ROJA también se puede dejar sin configurar en algunos casos.
El dispositivo Panda GateDefender posee reglas del firewall predefinidas que prohíben que el tráfico de red fluya entre algunas de las
zonas. Además de las cuatro zonas principales, existen dos zonas más que se encuentran disponibles, pero que se utilizan solamente
en configuraciones avanzadas: la zona de clientes OpenVPN (a la que a veces se la llama VIOLETA) y la zona HA. Estas son dos zonas
especiales que se utilizan como redes para los usuarios remotos de OpenVPN que deberían conectarse al dispositivo Panda
GateDefender y para el servicio HA. De forma predeterminada, utilizan las redes 192.168.15.0/24 y
192.168.177.0/24, respectivamente, por lo que, si tiene previsto utilizar alguno de estos servicios, no debería utilizar dichos
rangos de red en las zonas principales. De lo contrario, esas redes se solaparían y es posible que provoquen efectos no deseados. Sin
embargo, pueden cambiarse los rangos de IP de estas dos zonas durante la configuración de los servicios OpenVPN o HA.
A cada zona le corresponde una interfaz (red) y una dirección IP. La interfaz es el puerto (Ethernet o inalámbrico) a través del cual fluye
el tráfico de red hacia la zona, por lo que la interfaz ROJA es el puerto a través del cual usted puede acceder a la zona ROJA y a
Internet. La dirección IP de la interfaz es la <Zona>IP. Por ejemplo, la configuración de fábrica para la zona VERDE es la red
192.168.15.0/24, por lo que a la interfaz VERDE le corresponderá la IP 192.168.0.15, a la que se llama GREENIP.
Véase también:
Alta disponibilidad
Para obtener una descripción de la “alta disponibilidad”.
VPN
Para obtener una descripción de OpenVPN.
La interfaz de administración del dispositivo Panda GateDefender
La GUI del dispositivo Panda GateDefender ha sido concebida para que resulte fácil de usar, y se compone de cinco partes principales:
el encabezado, la barra de menú principal, el submenú, el área principal y el pie de página. A continuación se puede ver una captura de
pantalla de muestra del módulo Servicio.
El encabezado
El encabezado de la página contiene el logotipo de Panda y la versión del dispositivo Panda GateDefender en la parte izquierda,
mientras que en la parte derecha aparecen dos enlaces: uno para cerrar la sesión en la GUI y otro para acceder a la documentación en
línea, que depende del contexto (es decir, desde cada página se mostrará la ayuda correspondiente). Esta parte es estática y no cambia.
El pie de página
El pie de página se encuentra al final de la página. Se compone de dos líneas de texto con algo de información sobre el dispositivo
Panda GateDefender en ejecución. La línea superior muestra (Estado:) si un enlace activo está conectado o conectándose y cuál es (si
hay más de un enlace activo definido). También muestra el tiempo transcurrido (Tiempo en línea:) desde la última vez que se
estableció la conexión y el tiempo en línea de la máquina, que se presenta como el resultado del comando uptime, es decir, el tiempo
transcurrido desde el último inicio, el número de usuarios y la carga media. Al cambiar de página, se actualiza la información. La última
línea muestra la versión de la aplicación junto con el paquete de implementación y los derechos de autor, así como un enlace al sitio
web de Panda.
La barra de navegación principal
La barra de navegación principal, situada justo debajo del encabezado, es una barra de menú con un fondo de color negro una línea
azul en la parte inferior que muestra todas las secciones disponibles del dispositivo Panda GateDefender. Al hacer clic en uno de los
módulos (por ejemplo, Servicios), su fondo se vuelve azul, para enfatizar el módulo que está abierto actualmente. Al hacer clic sobre un
elemento del menú, el submenú a la izquierda de la página y el título en la parte superior del área principal cambian, ya que dependen
del contexto. De forma predeterminada, la GUI se abre en el menú Sistema.
El submenú
El submenú aparece sobre el lado izquierdo de la GUI y cambia dependiendo del módulo seleccionado en la barra del menú. Aparece
como una lista vertical de elementos en los que se puede hacer clic para cambiar el contenido del área principal y para acceder a todas
las funciones incluidas en dicho módulo del dispositivo Panda GateDefender.
El área principal
El área principal contiene toda la información y las configuraciones correspondientes a la selección actual de la combinación
menú/submenú. Algunas de las páginas (por ejemplo, el Panel de control o partes de los módulos Servicio y Registros) son simplemente
informativas y muestran el estado actual del dispositivo Panda GateDefender de manera gráfica o textual. En este último caso, se
presenta el resultado de los comandos de Linux en pantalla. Sin embargo, la gran mayoría de las páginas muestran una tabla que
contiene información diversa sobre las preferencias actuales configuradas y permite modificar o eliminar elementos y preferencias
existentes o añadir nuevos. Los servicios especialmente elaborados como, por ejemplo, el proxy HTTP o el firewall contienen tantas
opciones de configuración que no basta una sola página para presentarlas todas, por lo que las configuraciones disponibles se agrupan
y se organizan en pestañas.
Dentro de las pestañas, a menudo las opciones de configuración se agrupan en uno o más cuadros, que agrupan ajustes relativos a una
misma parte de la configuración general.
La Interfaz de administración del Hotspot
La única excepción al diseño de la GUI del dispositivo Panda GateDefender es la Interfaz de administración del Hotspot, que se muestra
a continuación en la captura de pantalla. No tiene ningún pie de página, presenta el submenú bajo la barra de menú principal y en el
extremo derecho de la barra de menú incluye un enlace Menú principal que permite volver al menú principal.
Cabe destacar que, al hacer referencia a los elementos bajo la Interfaz de administración del Hotspot, suele omitirse la Barra de menú.
Los iconos
En las páginas presentadas por el dispositivo Panda GateDefender se utilizan muchos iconos para indicar acciones que pueden
realizarse con rapidez o dar algún significado a las configuraciones que se muestran.
Interruptores
Los interruptores se utilizan para activar o desactivar completamente un servicio y se encuentran en la parte superior del
área principal. El interruptor gris indica que el servicio se encuentra desactivado e inactivo, y en el área principal no se
muestra ninguna preferencia ni ninguna opción de configuración. Al hacer clic en el interruptor, se inician e inicializan los
servicios y los demonios necesarios para su correcto funcionamiento. Al cabo de unos segundos, el interruptor se vuelve
azul y aparecen todas las opciones de configuración. Para desactivar el servicio, haga clic de nuevo en el interruptor. Esto
hace que todos los demonios se detengan, que el interruptor se vuelva gris y que desaparezcan las configuraciones.
Políticas
Estos iconos se encuentran en aquellos servicios que precisan de algún tipo de política de acceso o control de tráfico, por ejemplo, las
reglas del firewall o las especificaciones del proxy. Cada vez que un paquete coincide con una regla, se aplica la política especificada
para dicha regla, y se determina si el paquete puede pasar o no y cómo se produce dicho paso.
aceptar el acceso sin restricciones.
permite el acceso pero solamente después de que los paquetes hayan pasado las IPS de manera positiva. Esta
política solo se encuentra disponible dentro de las reglas del firewall.
bloquea los paquetes y los descarta.
bloquea los paquetes, pero se envía una notificación al origen.
acepta las reglas de manera parcial. Esta opción solo se encuentra en el encabezado de una lista de políticas.
Permite identificar enseguida que algunas de las políticas de la lista han sido aceptadas y otras rechazadas, como, por
ejemplo, en Barra de menú ‣ Proxy ‣ HTTP ‣ Filtro de contenido.
Otros iconos
Iconos adicionales que pueden encontrarse en el dispositivo Panda GateDefender.
expande un panel dejando ver su contenido.
cierra un panel ocultando su contenido.
Barra de navegación
En la mayoría de lugares donde aparece una lista larga de elementos, aparece una barra de navegación para facilitar el
listado de los elementos, que se compone de varias celdas: Primera y Anterior a la izquierda, Siguiente y Última a la derecha,
que contienen un número variable de celdas con los números de página. Al hacer clic en las diferentes celdas se puede
acceder a la página indicada por el número, a la primera o la última páginas, o a la página anterior o a la siguiente.
Acciones comunes y tareas
Existen dos tipos de acciones que pueden realizarse dentro de la GUI: acciones sobre un único elemento de una lista de preferencias de
configuración (es decir, una regla del firewall) y acciones globales para guardar, almacenar y aplicar todas las preferencias dentro de
una lista, un cuadro o una página.
Acciones e iconos
Estos iconos se encuentran dentro de la columna Acciones a la derecha de las diferentes tablas que aparecen en las páginas y, por
regla general, muestran una lista de los elementos definidos, por ejemplo, las reglas del firewall o los usuarios de OpenVPN. Los
iconos de acciones permiten ejecutar una tarea sobre el elemento de la lista a la que corresponden. Algunas acciones solo se
encuentran disponibles en determinados tipos de lista:
y indican el estado de un elemento, a saber, activado o desactivado, respectivamente. Puede cambiar el estado haciendo clic
en el icono. A continuación, puede aparecer un mensaje que le indica que reinicie el servicio, si es necesario, para que los demonios
vuelvan a cargar la configuración y activen los cambios.
y solamente se encuentran disponibles en listas en las que el orden es importante, por ejemplo, las reglas del firewall, y
permiten modificar el orden moviendo el elemento correspondiente hacia arriba o hacia abajo .
permite modificar el elemento actual. Al hacer clic en este icono, se abrirá el editor apropiado para dicho elemento.
hace que el elemento seleccionado se elimine de la lista y de la configuración. Aparecerá un mensaje que solicitará confirmación
antes de que el elemento se elimine de forma permanente.
permite descargar el elemento (normalmente, un archivo).
se utiliza en lugares limitados, por ejemplo, en Barra de menú ‣ Servicios ‣ Capacitación de spam para probar la conexión de un
elemento con un servidor remoto.
y aparecen dentro de IPS (Barra de menú ‣ Servicios ‣ Prevención de intrusiones) y permiten registrar los paquetes
autorizados a pasar o bloqueados después de haber coincidido con una regla.
Acciones globales
En la parte inferior de todas las páginas que permiten personalizar una o más opciones, existe la opción de Guardar y almacenar la
nueva configuración en el disco o de cancelar la personalización que se ha realizado hasta el momento. En último caso, no se
necesita ninguna acción adicional, ya que la configuración no ha cambiado. En el primer caso, sin embargo, es necesario reiniciar el
servicio que se acaba de modificar, y quizás también otros servicios relacionados o dependientes, para que se vuelvan a cargar las
nuevas preferencias y se puedan utilizar en la configuración en ejecución. Por motivos prácticos, si es necesario realizar esta acción,
tras guardar la configuración se mostrará una notificación con un botón Aplicar en el que habrá que hacer clic para reiniciar el servicio.
Siempre que se utilice una Casilla de multiselección (por ejemplo, en Barra de menú ‣ Configuraciones del Hotspot), se podrá hacer
clic sobre Añadir todos y Eliminar todos como un atajo para añadir o eliminar todas las entradas disponibles de la lista de elementos
disponibles o los elementos seleccionados y activos, respectivamente.
Entradas múltiples en una opción de configuración
En varios lugares se pueden introducir diversos valores para un solo elemento de configuración, por ejemplo, el origen o el
destino de una regla del firewall. En esos casos, se muestra un área de texto o un menú desplegable. En el primer caso, es
posible introducir un valor por línea, por ejemplo, una dirección MAC, un rango de red (en notación CIDR) o un usuario de
OpenVPN. En el último caso, las posibilidades se limitan a varios valores predefinidos, que pueden seleccionarse
manteniendo pulsada la tecla Control del teclado y haciendo clic en los valores que deseen seleccionarse.
Notación IPv4 y CIDR.
Una dirección IPv4 es una dirección de red cuya longitud es de 32 bits, divididos en cuatro octetos de 8 bits de longitud cada uno. En
decimales, cada octeto puede asumir cualquier valor entre 0 y 255 (28= 256).
Al especificar un rango de red, la dirección IP del primer host de la red junto con la máscara de subred, o máscara de red para acortar,
viene dada y define la cantidad de hosts disponibles en dicha red. La subred se define como la longitud del prefijo de red, es decir, la
parte de la dirección que comparten todos los hosts de una red.
Existen dos posibilidades para indicar el par red/máscara de red:
explícitamente, es decir, ambas se indican en la notación decimal punteada. Por ejemplo:
red 192.168.0.0
máscara de red 255.255.255.0
Esta es una red que comienza en la dirección 192.168.0.0 con 256 hosts disponibles, es decir, el rango de red va de 192.168.0.0 a
192.168.0.255. Los tres primeros octetos de la máscara de red son 255, lo que muestra que no hay ningún host libre (o que esta parte
de la dirección es el prefijo de red), mientras que el cuarto es 0, lo que significa que todos los hosts (256 - 0 = 0) se encuentran
disponibles.
En notación CIDR, una manera más compacta de mostrar el rango de red, se indican los bits libres en lugar de los hosts libres. El
mismo rango de red que se describe más arriba se expresa como:
192.168.0.0/24
Dicha notación muestra la longitud en bits de la parte compartida de la dirección IP. 24 significa que los tres primeros octetos (cada
uno de 8 bits) son compartidos, mientras que el cuarto octeto está libre, lo que indica un número de hosts libres que es igual a 32 - 24
= 8 bits, es decir, 256 hosts.
Puede aplicarse el mismo razonamiento a una dirección IPv6, con la única diferencia de que las direcciones IPv6 tienen una longitud
de 128 bits.
Acceder al dispositivo Panda GateDefender
Existen diferentes maneras de acceder al dispositivo Panda GateDefender: La más intuitiva y sencilla es de utilizar la GUI basada en
web. También existe un acceso basado en la consola mediante SSH y consola de serie, aunque solo se recomiendan para usuarios
avanzados.
La GUI del dispositivo Panda GateDefender
Sugerencia:
la dirección IP predeterminada del dispositivo Panda GateDefender es 192.168.0.15.
El acceso recomendado a la GUI del dispositivo Panda GateDefender es muy sencillo: inicie el navegador e introduzca la dirección
GREENIP, con independencia de si esta es la primera vez que utiliza el dispositivo Panda GateDefender.
El navegador se redireccionará a una conexión HTTPS segura en el puerto 10443. Puesto que el dispositivo Panda GateDefender utiliza
un certificado HTTPS autofirmado, el explorador podría solicitar que acepte dicho certificado durante la primera conexión. Después, el
sistema le solicitará su nombre de usuario y contraseña. Especifique “admin” como nombre de usuario y proporcione la contraseña
facilitada por el proveedor. En caso de haber personalizado el dispositivo Panda GateDefender, escriba la contraseña generada durante
la instalación.
Después de introducir la contraseña, se muestra el Panel de control de la GUI del dispositivo Panda GateDefender, y es posible
comenzar a explorar de inmediato la información disponible en dicha interfaz o continuar navegando y configurando el dispositivo. Lo
que resta de este manual sigue el diseño de la barra de navegación principal: cada elemento de la barra de menú principal representa
una sección diferente del dispositivo Panda GateDefender y se presenta en un capítulo independiente, con subapartados para cada uno
de los elementos o las pestañas de los submenús.
Acceso basado en la consola
El acceso basado en la consola al dispositivo Panda GateDefender solamente está indicado para usuarios que están familiarizados con
la línea de comandos de Linux.
Existen dos posibilidades para acceder a la CLI: utilizar el acceso SSH o a través de la consola de serie. El acceso SSH está
desactivado de forma predeterminada, pero puede activarlo en Barra de menú ‣ Sistema ‣ Acceso SSH. Por el contrario, el acceso a
través de la consola de serie está activado de forma predeterminada en todos los dispositivos con los siguientes parámetros:
puerto: ttyS0
bit, bit de paridad, bit de detención: 8, N, 1
velocidad: 115.200 baudios
La conexión que utiliza la consola de serie necesita:
un programa de terminal adecuado, como minicom para máquinas con Unix/Linux o putty para MS Windows,
una estación de trabajo con interfaz de serie, y
un cable de módem nulo para conectar una estación de trabajo al dispositivo;
o
un programa de terminal,
un adaptador de red serie a Ethernet, y
un cable serie a Ethernet para conectar el dispositivo al adaptador.
Nota:
si la red no estuviera configurada correctamente, la consola de serie podría ser la única manera de acceder al dispositivo Panda
GateDefender.
Manual de referencia del dispositivo Panda GateDefender 5.50
Esta documentación está sujeta a Copyright (c) 2011-2012 Panda Security SL. Se ha concedido permiso para copiar, distribuir y
modificar este documento bajo los términos de la Licencia de documentación GNU libre, versión 1.2, o cualquier versión posterior
publicada por Free Software Foundation; sin Secciones invariantes, textos de portada ni textos de contraportada. Se incluye una copia
de la licencia en la Licencia de documentación GNU libre.
Contenidos:
Introducción
o Convenciones utilizadas en este documento
o Las zonas
o La interfaz de administración del dispositivo Panda GateDefender
o Acceder al dispositivo Panda GateDefender
El menú Sistema
o Panel de control
o Configuración de red
o Notificaciones de eventos
o Actualizaciones
o Soporte
o Panda Perimetral Management Console
o Contraseñas
o Consola Web
o Acceso SSH
o Configuración de GUI
o Backup
o Cierre
o Acuerdo de licencia
El menú Estado
o Estado del sistema
o Estado de red
o Gráficos del sistema
o Gráficos del tráfico
o Gráficos del proxy
o Conexiones
o Conexiones VPN
o Estadísticas de correo SMTP
o Lista de correos
El menú Red
o Editar hosts
o Enrutamiento
o Interfaces
El menú Servicios
o Servidor DHCP
o DNS dinámico
o Motor de antivirus
o Servidor de fecha y hora
o Cuarentena de correo
o Capacitación de spam
o Prevención de intrusiones
o Alta disponibilidad
o Monitorización de tráfico
o Servidor SNMP
o Calidad de servicio
El menú Firewall
o Elementos de configuración comunes
o Redirección de puertos/NAT
o Tráfico saliente
o Tráfico interzona
o Tráfico VPN
o Acceso al sistema
o Diagramas de firewall
El menú Proxy
o HTTP
o POP3
o FTP
o SMTP
o DNS
El menú VPN
o Servidor OpenVPN
o Cliente OpenVPN (Gw2Gw)
o IPsec
o Autenticación
o Certificados
El menú Hotspot
o Configuraciones del Hotspot
o Interfaz de administración
o Cuentas
o Tickets
o Informes
o Configuración
o Usuario del Hotspot
o Acceso de clientes al Hotspot
El menú Registros e informes
o Panel de control
o Monitorización de tráfico
o En vivo
o Acciones comunes
o Resumen
o Sistema
o Servicio
o Firewall
o Proxy
o Configuración
o Servidor de timestamps seguros
Glosario
Guía rápida. ¿Dónde puedo...?
o Hotspot
o Red
o Varios
Licencia de documentación GNU libre
El menú sistema El menú del sistema
El menú del Sistema proporciona diferente información sobre el dispositivo Panda GateDefender y su estado, y permite definir la
configuración de red y algunos modos de acceso (por ej.: vía SSH o para el soporte de Panda).
El submenú en el lado izquierdo contiene los siguientes elementos, que permiten realizar algunas tareas básicas de administración y
monitorizar las actividades en ejecución del dispositivo Panda GateDefender.
Panel de control - vista rápida del sistema y del estado de las conexiones
Configuración de red - configuración de red y de la interfaz de red
Notificaciones de eventos - configuración de la notificación a través del correo electrónico o SMS
Actualizaciones - gestión de actualizaciones del sistema
Soporte técnico - formulario de contacto de soporte técnico
Consola Perimetral - Información de registro de la Consola de administración perimetral Panda
Contraseñas - configura las contraseñas del sistema
Consola Web - una consola shell en el navegador
Acceso SSH - permite activar/configurar el acceso SSH al dispositivo Panda GateDefender
Configuración GUI - configuración del idioma de la interfaz Web
Backup - respalda o restaura las configuraciones del dispositivo Panda GateDefender así como también restaura la
configuración de fábrica
Cierre - cierre o reinicio del dispositivo Panda GateDefender
Contrato de Licencia - copia del Contrato de Licencia del Usuario.
El resto de esta sección describe las diferentes partes que componen los elementos del menú del Sistema.
Panel de control
El Panel de control es la página por defecto, la que se muestra en cada inicio de sesión. Contiene varias casillas (“complementos”)
organizadas en dos columnas que proveen una vista rápida completa del sistema en ejecución y de su estado. La parte superior de
cada casilla muestra el nombre de la misma. El Panel de control ha pasado por algunos cambios en su utilización y se han añadido
nuevas funcionalidades para mejorar la interacción con el usuario. La información visible en pantalla se actualiza en intervalos regulares.
Aquí se describen los complementos disponibles y la información que muestran.
Complemento de información del sistema
Muestra diferente información sobre el sistema instalado. Generalmente muestra el nombre de host y el nombre de dominio del
dispositivo Panda GateDefender en el título.
Dispositivo: El tipo de dispositivo.
Versión: La versión del firmware.
Kernel: El kernel actual en ejecución.
Tiempo en funcionamiento: El tiempo transcurrido desde el último reinicio.
Estado de actualización: Un mensaje que depende del estado del dispositivo Panda GateDefender:
“actualizado”. No hay actualizaciones disponibles:
“se necesita una actualización”. Se pueden instalar nuevos paquetes. Al hacer clic en el
mensaje, aparece la página Actualizaciones, donde se puede revisar la lista de paquetes
nuevos.
“Registro para empresas”. El sistema aún no se ha registrado en la Panda Perimetral
Management Console. Al hacer clic en el mensaje, se abrirá la página Panda Perimetral
Management Console, que presenta un formulario para completar el registro.
Mantenimiento: Los días restantes de validez del soporte de mantenimiento.
Acceso al soporte: si el equipo de soporte puede acceder o no al dispositivo Panda GateDefender. En el primer caso,
también se muestra la fecha hasta la cual está permitido el acceso.
Este complemento también muestra los días restantes de validez de los módulos adicionales Panda Antivirus y Commtouch, si se han
comprado.
Complemento de información del hardware
Muestra la información del hardware principal del dispositivo Panda GateDefender y la disponibilidad de los recursos. Toda la
información se proporciona con el valor absoluto (de manera gráfica con una barra pequeña y de manera numérica al final de una línea)
y el porcentaje de utilización. La única excepción es la carga de CPU, que solo muestra el porcentaje de utilización, tanto de manera
gráfica como numérica.
CPU x: La carga del CPU, donde la x representa el número de CPU, para los dispositivos que tienen más de una CPU.
Memoria: La cantidad de memoria RAM utilizada.
Swap: La cantidad de espacio de intercambio del disco que se utiliza. Un porcentaje alto aquí normalmente significa que
algo no está funcionando de manera correcta.
Disco principal: La utilización de la partición de root.
Temp: El espacio utilizado en la partición /tmp.
Disco de datos: la utilización de la partición /var.
Disco de configuración El espacio ocupado por la partición que contiene todos los servicios y la configuración del
dispositivo Panda GateDefender.
Disco de registro La cantidad de espacio utilizado en la partición que contiene los registros.
Los valores finales, que muestran la disponibilidad del espacio de los discos, pueden diferir según el dispositivo, ya que
los datos, el sistema y las particiones de registro pueden encontrarse en diferentes lugares.
Advertencia
Una partición en el disco duro (por ejemplo, disco principal, disco de datos, /var/log) nunca debe tener un uso del 95% o
superior, ya que esto puede provocar errores de funcionamiento y pérdidas de datos.
Complemento de información del servicio
Este complemento muestra información acerca de los servicios más importantes instalados en el dispositivo Panda GateDefender, junto
con su estado real. Se muestra el estado, ya sea ON u OFF de cada servicio, y un resumen de las tareas que se han realizado durante
la última hora y los últimos días. Al hacer clic en el nombre del servicio, se expande o contrae la información adicional sobre las tareas
llevadas a cabo por el servicio. Para los servicios en ejecución, existe la posibilidad de abrir en una nueva ventana los respectivos
Registros en tiempo real. Por lo tanto, si un número dentro de los resúmenes parece extraño (por ej.: un número de correo electrónico
rechazado que es el doble de lo normal) o no es común comparado con las actividades normales (por ej.: el IDS ha detectado algún
ataque), pueden controlarse los registros para buscar algún mensaje útil que se haya guardado. Los servicios que actualmente admiten
este complemento son:
Detección de intrusos: El número de ataques que registra Snort.
Proxy SMTP: Estadísticas sobre los correos electrónicos procesados. La cantidad de correos electrónicos que se
encuentran actualmente en la lista de sufijos, la cantidad de correos electrónicos recibidos y cuántos de ellos se limpiaron,
la cantidad de virus encontrados y cuántos correos electrónicos se bloquearon.
Proxy HTTP: El número de pérdidas y coincidencias de squid y de los virus encontrados.
Proxy POP3: Estadísticas sobre los correos electrónicos recibidos, bloqueados y que contienen virus que pasaron a
través del Proxy POP3.
Sugerencia
Los servicios inactivos se marcan con un mensaje DESACTIVADO en rojo.
Complemento de información de la red
Muestra la información sobre las interfaces de red del firewall y sobre el tráfico. La parte superior de este complemento muestra
diferentes datos sobre las interfaces de red del dispositivo Panda GateDefender: Su nombre, tipo, enlace (Activado si una conexión está
establecida, Desactivado si no) y estado (Activado si el dispositivo se encuentra activado, Desactivado si no), y el tráfico entrante y
saliente. Los últimos dos datos se actualizan en tiempo real. Al marcar la casilla junto al nombre del dispositivo, este se muestra en los
gráficos que aparecen debajo. El nombre del dispositivo aparece en un color según la zona que sirve.
La parte de abajo del complemento contiene dos gráficos: El primero muestra el tráfico entrante, mientras que el segundo muestra el
tráfico saliente de cada una de las interfaces elegidas. El tráfico de cada interfaz aparece coloreado según la zona a la que pertenece.
Las diferentes interfaces que sirven a la misma zona poseen diferentes matices. Los puentes que se construyen en un dispositivo se
muestran en el mismo color del dispositivo. Ambos gráficos se actualizan en tiempo real, como ocurre con los datos de tráfico en la parte
superior.
Sugerencia
Pueden seleccionarse y mostrarse hasta seis interfaces en los gráficos.
Complemento de información de las firmas
Este complemento muestra información sobre el estado real de los servicios que requieren la descarga de firmas que se instalan y
activan en el dispositivo Panda GateDefender. En caso de que no se haya descargado ninguna firma ni se haya activado ningún servicio
se mostrará el mensaje No se encontraron actualizaciones de firma recientes, de lo contrario el complemento presenta las firmas
instaladas para los diferentes demonios y la marca de tiempo (fecha y hora) de la última descarga. La lista incluye las firmas para el
antispyware, el antivirus, el filtro de contenido y los servicios de prevención de intrusiones.
Complemento de información del enlace
Este complemento muestra una tabla que detalla el estado de conexión de los enlaces. Se muestran el nombre, la dirección IP, el
estado, la actividad, si se encuentra activado o no , si está gestionado o es manual para cada uplink definido. Hacer
clic en la flecha circular permite reconectar inmediatamente el enlace correspondiente. Es de particular interés el campo Estado de
cada enlace, que puede ser:
Detenido: No conectado.
Inactivo: No conectado.
Conectando: No conectado todavía, pero con una conexión en proceso.
Conectado o Activo: Se ha establecido la conexión y se encuentra en completo funcionamiento.
Desconectando: El uplink está cerrando la conexión. El dispositivo Panda GateDefender sigue haciendo ping sobre la
puerta de enlace y muestra cuando se encuentra disponible.
Error: Hubo un error al conectar al uplink.
Error, reconectando: Hubo un error mientras se conectaba al uplink, pero el dispositivo Panda GateDefender vuelve a
intentarlo.
Link no establecido: El enlace está conectado, pero se puede conectar con los hosts definidos en la configuración del
enlace (Barra de menú ‣ Red ‣ Interfaces, opción Revisar si estos hosts son alcanzables en el Editor de enlaces activos)
para comprobar la conexión. En otras palabras, el uplink no se encuentra en funcionamiento.
Uplink gestionado y manual.
Cada uplink puede funcionar tanto en modo gestionado, que es el modo por defecto, o modo manual. En modo gestionado, el dispositivo
Panda GateDefender monitoriza y reinicia el uplink de manera automática según sea necesario. Si se desactiva el modo gestionado, el
uplink debe activarse o desactivarse de manera manual: Esto implica que no habrá intento de reconexión automática si se pierde la
conexión, pero se necesita hacer clic sobre Reconectar para reiniciar un uplink que no se encuentra en funcionamiento. Puede
seleccionarse el modo de gestión de un uplink en Barra de menú ‣ Red ‣ Interfaces.
Mientras que un uplink debería gestionarse siempre para permitir una reconexión rápida si se pierde la conexión, el modo manual es útil
para resolver problemas o probar las conexiones antes de establecerlas.
Configuración de red
La configuración de las redes y de las interfaces de red que sirven a las zonas es rápida y fácil si se utiliza este asistente de 8 pasos. Es
posible navegar de manera libre hacia adelante o atrás del paso, utilizando los botones <<< and >>> y también decidir cancelar las
acciones que se han hecho hasta el momento en cualquier momento. Solamente se solicita que se confirmen las nuevas
configuraciones en el último paso: En ese caso, se aplicarán todos los cambios que se han realizado. Tenga en cuenta que mientras se
aplican las nuevas configuraciones, la interfaz Web podría no responder por un corto período.
El modo de enlace sigiloso
El modo de enlace sigiloso representa una nueva posibilidad para integrar a la perfección el dispositivo Panda GateDefender en una
infraestructura de red existente sin que sea necesario modificar las reglas existentes de enrutamiento o firewall.
Para utilizar el modo de sigiloso, el dispositivo Panda GateDefender debe estar equipado con un mínimo de dos NIC que presten
servicio a la misma zona, que puede ser VERDE, NARANJA o AZUL. Una de esas interfaces enruta todo el tráfico dirigido desde la zona
hasta una puerta de enlace y, en la práctica, representa el “enlace” del dispositivo Panda GateDefender.
La presencia de una interfaz explícita designada como “enlace” permite diferenciar una dirección para el tráfico que sale de la zona a la
que presta servicio el enlace sigiloso y filtrarlo utilizando el firewall saliente. Esta es la principal diferencia con el modo sin enlace
(llamado anteriormente modo de puerta de enlace), en el que no hay posibilidad de filtrar el tráfico saliente y, por tanto, no se puede
aplicar el control de aplicaciones.
Para utilizar el modo de enlace sigiloso, el firewall del dispositivo Panda GateDefender se debe configurar de un modo específico.
Las reglas de acceso al sistema se gestionan del modo normal.
También se realiza del modo normal la configuración del reenvío de puertos y el NAT de destino. Sin embargo, puesto que la
interfaz saliente se encuentra en la misma zona que la red interna, las reglas se aplicarán a ambos lados de la zona.
El NAT de origen no se aplica a las conexiones salientes en esta configuración, puesto que, de lo contrario, el
comportamiento ya no sería transparente.
El firewall saliente se utiliza para todo el tráfico que fluye desde la zona a la que presta servicio el enlace sigiloso hasta el
NIC designado como enlace, lo que permite aprovechar las capacidades del control de aplicaciones.
El firewall interzona, si se ha definido, se utiliza para el resto del tráfico entre las otras zonas. Si el enlace sigiloso se
compone de tres o más interfaces y, por tanto, dos o más de ellas prestan servicio a la zona correspondiente, el firewall
interzona también puede filtrar el tráfico entre esas zonas y las otras zonas.
A causa de la disponibilidad de este modo de enlace, se ha cambiado la GUI del asistente de configuración de red, en especial en la
primera página del asistente, para aclarar las diferencias entre los distintos enlaces y las opciones de configuración disponibles para
cada uno de ellos.
Los 8 pasos en los que se divide el asistente de configuración son:
1/8 - Elegir modo de red y tipo de enlace
La primera página del asistente de configuración de red contiene dos cuadros: Modos de red, en el que elegir el modo operativo del
enlace, y Tipo de enlace, donde seleccionar el enlace.
Modos de red
El primer cuadro permite elegir el modo operativo del enlace utilizado por el dispositivo Panda GateDefender entre tres posibilidades que
se excluyen mutuamente. Al seleccionar una de las opciones o pasar el ratón por encima, aparece una breve descripción.
Enrutada. Esta opción corresponde a los enlaces clásicos disponibles en el dispositivo Panda GateDefender, excepto para el modo de
puerta de enlace.
Enlazada. El nuevo modo de enlace sigiloso.
Sin enlace. Esta opción corresponde al modo que antes se llamaba modo de puerta de enlace.
Nota
Cuando se utiliza el modo Sin enlace, no se tienen en cuenta las reglas definidas en el firewall saliente, que filtra el tráfico que va
desde el dispositivo Panda GateDefender hasta el enlace.
El cuadro siguiente solo aparece al seleccionar la opción Enrutada, puesto que en los otros casos el modo determina automáticamente
la interfaz ROJA.
Tipo de enlace (zona roja)
En el momento de la instalación, el dispositivo Panda GateDefender recibe una IP VERDE por defecto. Esta pantalla permite elegir el
tipo de interfaz ROJA (es decir, el tipo de uplink) entre aquellas que admite el dispositivo Panda GateDefender.
ETHERNET ESTÁTICA
La interfaz ROJA está en una LAN y tiene una dirección IP y una máscara de red fijas, por ejemplo, al conectar la interfaz
ROJA a un enrutador simple, pero con la practicidad de que siempre podrá accederse al dispositivo Panda GateDefender en
la misma dirección IP.
ETHERNET DHCP
La interfaz ROJA recibe su configuración de red a través de DHCP (dinámico) de un servidor local, un enrutador, o un
módem, es decir, la interfaz ROJA está conectada a un enrutador simple pero sin la necesidad de poseer una dirección fija.
PPPoE
La interfaz ROJA se encuentra conectada a un módem ADSL. Solamente se necesita esta opción cuando el módem utiliza el
modo de puente y solicita utilizar PPPoE para conectarse al proveedor. No debe confundirse esta opción con las opciones
ETHERNET ESTÁTICA o ETHERNET DHCP, que se utilizan para conectar enrutadores ADSL que manejan PPPoE por sí
mismos.
ADSL (USB, PCI)
La interfaz ROJA se conecta a un módem ADSL a través de un cable USB o PCI, no a través de un cable de Ethernet.
ISDN
La interfaz ROJA es una conexión ISDN.
Módem ANALÓGICO/UMTS
La interfaz ROJA es un módem analógico (conexión de acceso telefónico) o UMTS (teléfono móvil).
A la derecha de las opciones disponibles se muestra una pequeña casilla que recuerda la cantidad de interfaces de red disponibles en el
sistema. La interfaz ROJA puede configurarse por completo durante el paso 4.
2/8 - Elegir zonas de red
El dispositivo Panda GateDefender separa las redes conectadas a él en cuatro zonas principales, como se describe en esta sección. En
este punto, las dos zonas más importantes (VERDE y ROJA) ya se han encontrado durante la instalación. Este paso permite activar una
o dos zonas adicionales, dependiendo de los servicios que deba proporcionar el dispositivo Panda GateDefender: NARANJA (usada
como la parte de red DMZ) y AZUL (usada como segmento para clientes inalámbricos). Su configuración completa será posible en el
siguiente paso.
Nota
En el dispositivo Panda GateDefender, se reserva una interfaz de red para la zona VERDE y quizá se haya asignado otra a la zona
ROJA, si la interfaz ROJA necesita una tarjeta de red. Esto podría limitar las opciones hasta el punto en el que no puedan activarse las
zonas NARANJA o AZUL, debido a una falta de interfaces de red adicionales.
3/8 - Preferencias de red
Este paso está relacionado con la configuración de la zona VERDE, si es necesario, y de cualquier zona seleccionada en el paso
anterior. Se pueden configurar las siguientes opciones para cada una de las zonas activadas:
Dirección IP
La dirección IP (como por ejemplo 192.168.0.1) de la interfaz, que no debe encontrarse en uso en la red.
Sugerencia
Se suele sugerir que el último octeto sea 1, ya que la interfaz reunirá el tráfico de la totalidad de la subred.
Recuerde también que, si se cambian las direcciones IP de un dispositivo Panda GateDefender, especialmente en un entorno de
producción, quizá sea necesario realizar otros ajustes de configuración en otro lugar, por ejemplo, la configuración del proxy HTTP en
las estaciones de trabajo. De lo contrario, los exploradores web no funcionarán correctamente.
Advertencia
Al configurar las interfaces de la zona VERDE, ¡asegúrese de no quedarse fuera de la interfaz web! Esta situación podría ocurrir al
cambiar la dirección GREENIP por una que no sea accesible desde el segmento VERDE actual y luego guardar la configuración. En
este caso, el único acceso al dispositivo Panda GateDefender es a través de la consola de serie.
Máscara de red
Define la máscara de red de un menú desplegable que contiene las posibles máscaras (por ej.: 24 - 255.255.255.0).
Sugerencia
Todos los dispositivos conectados a la misma subred tienen la misma máscara de red para comunicarse correctamente.
Direcciones adicionales
Aquí pueden añadirse a la interfaz direcciones IP adicionales para las diferentes subredes.
Interfaces
Asigne una interfaz de red a una zona horaria, con las siguientes reglas:
1. Puede mapearse cada interfaz con solamente una zona y cada zona debe poseer al menos una interfaz.
2. Cuando se asigna más de una interfaz a una zona horaria, esas interfaces se enlazarán y actuarán como si fueran una
parte de un interruptor.
Para cada interfaz disponible se muestra la información siguiente:
Una casilla de color, que indica qué zona sirve la interfaz. Si no tiene color, significa que la interfaz no está asignada a ninguna zona.
Puerto, el número de puerto.
Enlace, muestra el estado actual por medio de iconos: (el enlace está activo), (no hay enlace o no hay ningún cable
conectado), (no hay información del controlador).
Descripción, la cadena de identificación PCI de la interfaz, tal como la devuelve lspci. La cadena se corta, pero puede verse
moviendo el cursor sobre el ?.
MAC, la dirección MAC de la interfaz.
Dispositivo, el nombre lógico del dispositivo.
Nota
El dispositivo Panda GateDefender maneja, de manera interna, todas las zonas como si fueran puentes, independientemente del
número de interfaces asignadas. Por lo tanto, el nombre Linux para las interfaces es brX y no ethX.
Por último, el nombre de host y el nombre de dominio del sistema pueden configurarse desde los dos cuadros de texto que se
encuentran en la parte inferior de la pantalla.
Direcciones IP privadas
Se recomienda seguir el estándar descrito en el RFC 1918 (recién actualizado por el RFC 6761) y utilizar para la configuración de la
zona solo las direcciones IP incluidas en los segmentos de red reservados para uso privado por la IANA, que son:
Desde 10.0.0.0 hasta 10.255.255.255 (10.0.0.0/8, 16.777.216 direcciones), desde 172.16.0.0 hasta 172.31.255.255 (172.16.0.0/12, 1.048.576 direcciones) y desde 192.168.0.0 hasta 192.168.255.255 ( 192.168.0.0/16, 65.536 direcciones)
Esta opción evita cometer errores de resolución de DNS, ya que las direcciones IP que no están dentro de estos rangos probablemente
han sido reservadas por otras organizaciones como IP públicas. Además, deben utilizarse diferentes rangos de IP dentro de los
diferentes segmentos de red para cada interfaz, por ejemplo:
IP = 192.168.0.1, máscara de red = /24 - 255.255.255.0 para la VERDE IP = 192.168.10.1, máscara de red = /24 - 255.255.255.0 para la NARANJA IP = 10.0.0.1, máscara de red = /24 - 255.255.255.0 para la AZUL
Nótese también que la primera y la última dirección IP de un segmento de red (generalmente .0 y .255) se reservan como la dirección de
red y la dirección de transmisión respectivamente y no deberán asignarse a ningún dispositivo.
4/8 - Preferencias de acceso a Internet
Este paso permite configurar la interfaz ROJA que se eligió en el paso 1, que se conecta a Internet o a cualquier otra red no es de
confianza fuera del dispositivo Panda GateDefender.
Nota
Si se ha elegido el modo Enrutada en el paso 1/8, aquí solo se puede elegir la opción de puerta de enlace predeterminada.
Según el tipo de interfaz ROJA seleccionado, estarán disponibles diferentes opciones de configuración, según lo solicite cada tipo de
interfaz. En la parte inferior de la página aparecen dos opciones que suelen estar disponibles, concretamente MTU y Ocultar la dirección
MAC con, descritas más adelante, y la elección del DNS, disponible en casi todos los tipos de interfaz, que puede ser Dinámico o
Manual: En último caso, debe proporcionarse de manera manual una dirección IP válida de un servidor DNS en el siguiente paso. Las
otras opciones de configuración son:
ETHERNET ESTÁTICA
La dirección IP y la máscara de red de la interfaz ROJA, así como también la dirección IP de la puerta de enlace por defecto,
es decir, la dirección IP de la puerta de enlace que conecta al dispositivo Panda GateDefender con la Internet o con otra red
que no es de confianza. Opcionalmente, se puede especificar la dirección Ethernet de hardware de la interfaz (dirección
MAC).
ETHERNET DHCP
Solo existe una opción disponible, la opción DNS.
PPPoE
Para configurar PPPoE, rellene el formulario con el nombre de usuario y la contraseña asignados por el proveedor y con el método de
autenticación. Opcionalmente, puede configurarse el servicio del proveedor y el nombre del concentrador, aunque por lo general no es
necesario.
Sugerencia
Si duda entre seleccionar autenticación PAP o CHAP, elija la opción predeterminada.
ADSL (USB, PCI)
Existen 3 subpantallas para esta opción.
1. En la primera, seleccione el controlador apropiado para el módem del menú desplegable dentro de las opciones que se le ofrecen.
2. En la segunda, elija el tipo de ADSL del menú desplegable entre las cuatro opciones: PPPoA, PPPoE, IP estática o DHCP.
3. Finalmente, según la selección que usted haya hecho en los dos pasos previos, se requieren algunas de las siguientes
configuraciones, que se pueden preguntar al proveedor de ADSL:
o Números VPI/VCI y el tipo de encapsulación
o el nombre de usuario y la contraseña asignados por el proveedor y el método de autenticación (si no está seguro,
mantenga la configuración PAP o CHAP por defecto)
o la dirección IP y la máscara de red de la interfaz ROJA,
o la dirección IP de la puerta de enlace por defecto (requerida solamente para la IP estática).
Nota
Si se eligió PPPoE en el punto 2 más arriba, entonces la configuración es igual a la que se explica en el párrafo PPPoE.
ISDN
Para configurar la conexión ISDN, es necesario el controlador del módem, los números de teléfono (el número del proveedor
y el número para marcar), así como también el nombre de usuario y la contraseña asignados por el proveedor, y el método
de autenticación (si no está seguro, mantenga la configuración por defecto de PAP o CHAP). También debe especificar si la
dirección IP del DNS debe asignarse de manera automática o configurarse de manera manual.
Módem ANALÓGICO/UMTS
Aunque el dispositivo Panda GateDefender es compatible con la mayoría de módems UMTS modernos, se requiere algo de cuidado
cuando se utilizan junto con este dispositivo. Por un lado, algunos módems UMTS también son dispositivos de almacenamiento
masivo USB y generalmente registran dos dispositivos (p. ej., /dev/ttyUSB0, /dev/ttyUSB1): En este caso, el
primer dispositivo /dev/ttyUSB0 es el módem, el segundo es el almacenamiento. Este tipo de módem puede causar
problemas al reiniciar el firewall porque el dispositivo Panda GateDefender intenta iniciarse desde el dispositivo de almacenamiento
masivo USB. Por otro lado, algunas tarjetas SIM requieren un número de identificación personal (PIN) para funcionar, pero esto no es
compatible. Para permitir que esas tarjetas funcionen con el dispositivo Panda GateDefender, el PIN debe eliminarse de la tarjeta.
Existen 2 subpantallas para esta opción.
1. En la primera, especifique a qué puerto de serie se conecta el módem y si es un módem analógico o un módem
UMTS/HSDPA.
Sugerencia
El dispositivo /dev/ttyS0 se reserva para la consola de serie y, por lo tanto, no se encuentra
disponible como puerto para módems.
2. En la segunda, configure el rango de bits del módem, el número telefónico o el nombre del hotspot, el nombre de
usuario y la contraseña asignados por el proveedor y el método de autenticación (si no está seguro, mantenga la
configuración por defecto PAP o CHAP). También es necesario especificar el nombre del hotspot para los módems
UMTS.
PUERTA DE ENLACE
La dirección IP de la puerta de enlace - es decir, la dirección IP de la puerta de enlace que conecta al dispositivo Panda
GateDefender a la Internet o a otra red que no es de confianza.
Las opciones comunes son:
MTU
El tamaño MTU de los paquetes que se envían a través de la red.
Suplantar la dirección MAC con
Especifique una dirección MAC personalizada para la interfaz ROJA. Se necesita esta configuración para un control de
tolerancia de fallos apropiado de los dispositivos esclavos dentro de una configuración HA. Consultar Alta disponibilidad para
obtener más información sobre la dirección ROJA en las configuraciones HA.
El tamaño MTU.
Aunque la gran mayoría de los ISPs utilizan un valor estándar de 1500 bytes, a veces el tamaño estándar MTU es demasiado alto. Si
eso pasara, notará algún tipo de comportamiento extraño de la red, como por ejemplo, descargas que siempre se detienen después de
un tiempo o conexiones que no funcionarán.
Si el ISP no utiliza un tamaño estándar MTU, es fácil descubrir cuál es el correcto enviando paquetes ICMP especiales con un valor
específico que puede bajarse hasta que no se encuentren errores: En ese momento, el tamaño MTU será el correcto y deberá
introducirse ese valor en las opciones de configuración.
Para enviar los paquetes icmp haga lo siguiente:
Regístrese en EFW y elija un host que puede alcanzarse (por ej.: el DNS del ISP, que siempre deberían poder alcanzarse)
y haga un ping a ese host con el siguiente comando:
ping -c1 -M do -s 1460 <host> (por favor consulte la página del manual ping(8) para más información).
Si el tamaño MTU 1460 es correcto, se recibirán las siguientes respuestas del ping:
PING 10.10.10.10 (10.10.10.10) 1460(1488) bytes de datos. 1468 bytes de 10.10.10.10: icmp_seq=1 ttl=49 tiempo=75,2 ms
Sin embargo, si el tamaño actual MTU todavía es demasiado grande para los paquetes del tamaño 1460, aparecerá el
siguiente mensaje de error:
PING 10.10.10.10 (62.116.64.82) 1.461(1.489) bytes de datos. ping: sendmsg: Mensaje demasiado largo
Vuelva a intentarlo con diferentes tamaños de paquete (es decir, el valor tras la opción -s), hasta que encuentre el tamaño
correcto y no se muestre ningún error. El valor que se muestra entre paréntesis en el resultado del comando ping es el
tamaño MTU. En este ejemplo el resultado es 1460(1488), por lo tanto 1488 es el valor a seleccionar para el tamaño MTU.
Un valor MTU menor a 1500 puede causar problemas también en la Configuración OpenVPN y requiere que se ajuste
alguna configuración allí.
5/8 - Configurar DNS
Este paso permite definir hasta dos direcciones IP para el servidor DNS, salvo que se asignen de manera automática. En este caso, no
se puede establecer ninguna opción de configuración y es seguro pasar a la siguiente. Si solo va a utilizarse un servidor DNS, debe
introducirse la dirección IP dos veces. Se debe poder acceder a la dirección (o las direcciones) IP del DNS desde el dispositivo Panda
GateDefender, de lo contrario, la resolución de la URL y del dominio no funcionará.
Ver también
Los cambios en la interfaz ROJA, es decir, el enlace, y el servidor DNS pueden modificarse posteriormente, por separado desde la otra
configuración de red:
Editor de enlaces
Barra de menú ‣ Red ‣ Interfaces ‣ [editar enlace]
6/8 - Configurar correo electrónico administrativo por defecto
Aquí se realiza la configuración de una dirección de correo electrónico para un administrador global que utilizarán todos los servicios
para enviar correos electrónicos. Entonces se utiliza la dirección de correo electrónico del administrador para enviar notificaciones en
caso de que hubiere problemas o emergencias.Estas direcciones de correo electrónico las utilizarán las Notificaciones de eventos.
Existen tres campos a configurar:
Correo electrónico del administrador
Una dirección de correo electrónico válida a la cual se enviarán los correos electrónicos del sistema.
Dirección de correo electrónico del emisor
Una dirección de correo electrónico válida que aparece como la dirección del emisor. Una dirección personalizada para el
emisor es útil si el receptor desea filtrar los mensajes que envía el dispositivo Panda GateDefender.
Dirección del smarthost
El servidor SMTP a través del cual se enviará el correo electrónico.
Sugerencia
Aunque todos los campos pueden dejarse en blanco, es aconsejable proporcionar al menos una dirección de correo electrónico del
administrador válida.
7/8 - Aplicar la configuración
Este paso informa de que ha finalizado la configuración de la red y se ha recopilado toda la nueva configuración. Al hacer clic en el
botón OK, aplicar configuración se guardarán las configuraciones y se aplicará la configuración al reiniciar todos los servicios y
demonios necesarios.
8/8 - Fin
En el último paso, se escriben todos los archivos de configuración en el disco, todos los dispositivos se vuelven a configurar y los
servicios y demonios que dependen de la red (por ejemplo, el firewall y ntpd) se reinician según sea necesario. Todo el proceso puede
tardar hasta 20 segundos, durante los cuales la conexión a la interfaz de administrador y a través del dispositivo Panda GateDefender
puede no ser posible.
Después la interfaz de administración volverá a cargar de manera automática. Si la dirección de IPVERDE ha cambiado, se reiniciará la
GUI en la nueva dirección IP. En este caso o en el caso de que haya cambiado el nombre del host, se generará un nuevo certificado
SSL para identificar al nuevo host.
Nota
Si desea cambiar más adelante algunas de las preferencias dentro de la configuración de red (por ej.: el nombre del host o el rango de
red de una zona), simplemente inicie la configuración de red, omita todos los pasos hasta llegar al que desea cambiar, edite los valores
apropiados, proceda al último paso y finalmente guarde los cambios.
Notificaciones de eventos
Siempre que se produzca un evento crítico en el dispositivo Panda GateDefender (por ejemplo, una partición se está llenando, o existen
actualizaciones disponibles), existe la opción de recibir una notificación por correo electrónico de inmediato para adoptar medidas con el
fin de resolver un problema si es necesario.
Los sistemas que presentan el Hotspot también utilizan SMS para la activación de nuevas cuentas o para la adquisición de nuevos
tickets. Existen tres pestañas disponibles en la página: Configuración, Notificaciones por SMS y Eventos.
Configuración
La pestaña por defecto sirve para configurar la notificación por correo electrónico:
Notificaciones por correo electrónico
Seleccione de un menú desplegable cómo se utilizará el sistema de notificaciones. Las opciones disponibles son:
notificar utilizando la dirección de correo electrónico predeterminada: la dirección de correo electrónico de
administrador predeterminada (como se lo especificó en el asistente de instalación o en el paso 6 de Barra de menú ‣
Sistema ‣ Configuración de red).
notificar utilizando la dirección de correo electrónico personalizada: una dirección de correo electrónico alternativa a la
que se enviará la notificación por correo electrónico. En este caso, deben configurarse tres opciones más, a saber:
Dirección del remitente de correo
La dirección de correo electrónico que aparece como emisor del correo electrónico.
Dirección del destinatario de correo
La dirección de correo electrónico a la que se entregará el correo electrónico.
Smarthost de correo
El servidor SMTP que se utilizará para enviar el correo electrónico de notificación.
no notificar: no se enviarán notificaciones.
SMS
El hotspot utiliza la notificación por SMS para activar cuentas o tickets.
Este cuadro se divide en dos partes: en la parte superior es posible añadir paquetes de SMS, mientras que en la parte inferior se
muestra información sobre el contingente de SMS:
Introduzca el código de activación...
Para añadir un nuevo paquete de SMS, debe adquirirlo primero en la Panda Perimetral Management Console, tras lo cual se
generará un código de activación. Ese código de activación debe introducirse en este cuadro de texto.
Activar
Después de proporcionar un código de activación válido, al hacer clic en este botón se añadirá un contingente de SMS que
se utilizará para enviar las notificaciones.
SMS disponibles
El número de SMS que se encuentran a disposición.
SMS reservados
El número de SMS que ya se han utilizado pero que todavía no se han entregado al receptor. Esto podría ocurrir por ejemplo
si el receptor no se encontraba disponible.
Eventos
Esta pestaña muestra una lista de todos los eventos que pueden producir un mensaje de notificación y permite configurar las acciones
que deben realizarse cuando cada uno de los eventos tiene lugar. Justo encima de la lista aparece una barra de navegación pequeña y
un campo de búsqueda. Este último se puede utilizar para filtrar solamente los elementos importantes.
La lista contiene tres columnas:
ID
El código ABBCCCCD de ID de 8 dígitos del evento, que se crea de la siguiente manera:
A representa el número de capa, es decir, en qué componente del sistema ha tenido lugar el evento: 1 es
el kernel, 2 es el propio sistema, 3 son los servicios, 4 es configlayer y 5 es la GUI.
BB es el número de módulo.
CCCC es un número secuencial asignado al evento.
D es la gravedad del evento, es decir, el grado de maldad del evento. Cuanto más bajo sea el número,
peor será la gravedad: 0 es un evento crítico, 4-5 es un evento neutral, 9 es un evento positivo.
Descripción
Una breve descripción del evento.
Acciones
Las acciones que pueden tomarse para cada evento. Todas las notificaciones de correo electrónico están activadas de forma
predeterminada (esto se muestra mediante el icono ). Para desactivar las notificaciones para un evento, haga clic en el
icono de correo de la fila de ese evento (esto cambia el icono a ). Para volver a activar la notificación más tarde, basta
con hacer clic nuevamente en el icono. Tras cambiar una acción, recuerde hacer clic en el botón Aplicar que aparece dentro
del aviso verde encima de la lista de eventos.
Actualizaciones
Desde aquí se realiza la gestión de las actualizaciones del software. Es posible comprobar manualmente en cualquier momento si hay
paquetes actualizados disponibles o programar una comprobación periódica.
En esta página hay dos casillas: Una con el estado actual del sistema y otra para programar una revisión periódica de actualizaciones.
Estado
El cuadro Estado indica si el sistema necesita actualizaciones o no. Si el sistema necesita actualizarse, se muestra una lista de los
paquetes disponibles; si el sistema está actualizado, aparece el mensaje “Su dispositivo Panda GateDefender está actualizado”.
Además, algunos mensajes adicionales indican la última fecha y hora en que se comprobaron las actualizaciones y en que se llevó a
cabo la última actualización. Las siguientes opciones se encuentran disponibles:
Buscar nuevas actualizaciones
Se inicia una revisión manual de paquetes actualizados y se enumera cualquier paquete que pueda actualizarse. Pueden
elegirse paquetes individuales de la lista e instalarse.
Iniciar proceso de actualización AHORA
Se inicia el proceso de actualización: El sistema descarga los paquetes actualizados y luego los instala, reemplazando a los
viejos.
Nota
Para revisar si existen actualizaciones se necesita un mantenimiento válido, de lo contrario no aparecerá actualización alguna, aunque
se encuentre disponible.
Programar la recuperación de la lista de actualizaciones
La casilla Programar permite configurar una tarea periódica de la cual se encarga el proceso cron, que recupera la lista de paquetes
actualizados. Las opciones disponibles, que se excluyen mutuamente son Por hora, Diariamente, Semanalmente y Mensualmente. Al
mover el ratón sobre el pequeño ? al lado de cada opción se visualiza una ventana de ayuda con el tiempo exacto en el cual se realizará
la tarea.
Soporte
En esta página es posible administrar solicitudes de asistencia para el soporte de Panda.
Nota
Para poder enviar una solicitud de asistencia, el sistema debe estar registrado en la Panda Perimetral Management Console. En caso
contrario, se mostrará el mensaje “Actualmente no existen ejecuciones de mantenimiento disponibles”.
La página se divide en dos cuadros con diferentes propósitos: El primero contiene un enlace para abrir la página de inicio del soporte,
mientras que en el segundo es posible conceder acceso SSH al equipo de soporte.
Visite el sitio web de soporte
Este cuadro solo contiene un hiperenlace a la página de inicio del soporte.
Visite nuestro sitio web de soporte
Haciendo clic en este enlace, se abrirá una pestaña nueva en el navegador, donde es posible obtener instrucciones sobre
cómo rellenar una solicitud de asistencia para el equipo de soporte.
Acceso para el equipo de soporte de Panda
Si lo desea, se puede conceder acceso al firewall a través de SSH, una conexión segura y encriptada que permite que un miembro del
personal de soporte inicie sesión en el dispositivo Panda GateDefender, compruebe su configuración y lo inspeccione para averiguar
dónde está el problema. El cuadro contiene un mensaje informativo con el estado del acceso, que puede ser RECHAZADOo
PERMITIDO. Cuando el estado es RECHAZADO, se muestra un botón en la parte inferior del cuadro:
Permitir acceso
Haga clic en este botón para conceder al equipo de soporte 4 días de acceso al dispositivo Panda GateDefender.
Cuando el acceso del equipo de soporte está permitido, un nuevo mensaje aparece bajo el mensaje de estado, Acceso permitido hasta:,
seguido de la fecha y hora en que se revocará el acceso al dispositivo Panda GateDefender. Además, hay dos botones en la parte
inferior del cuadro.
Rechazar acceso
Revocar inmediatamente el acceso al dispositivo Panda GateDefender.
Acceso extendido durante 4 días más
Si el equipo de soporte necesita más tiempo para inspeccionar el dispositivo Panda GateDefender, un clic en este botón
amplía el acceso cuatro días más.
Nota
Si está activado, la clave SSH pública del equipo de soporte se copia en el sistema, y el acceso se otorga a través de dicha clave. El
equipo de soporte no se autenticará con nombre de usuario/contraseña en el dispositivo Panda GateDefender. La contraseña raíz del
dispositivo Panda GateDefender nunca se divulga de ninguna manera al equipo de soporte.
Consola de administración perimetral Panda
La Consola perimetral, abreviación para la Consola de administración perimetral Panda, es la solución de Panda para la monitorización,
la gestión y la actualización fácil y centralizada de todos los sistemas registrados del dispositivo Panda GateDefender, con solo unos
clics.
Esta página se encuentra organizada en dos etiquetas, a saber, Suscripción y Acceso remoto.
Suscripción
Si todavía no se ha registrado el firewall a la Consola de administración perimetral Panda, se muestra el formulario de registro, que
puede llenarse antes de enviar la solicitud de registro. Luego de que se haya completado el registro, la etiqueta Suscripción muestra tres
casillas:
Información del sistema
Datos básicos sobre el dispositivo Panda GateDefender: número de serie, código de activación, modelo del dispositivo y paquete de
mantenimiento elegido.
Estado del registro
Un resumen del estado de soporte de la Panda Perimetral Management Console: nombre del sistema, organización para la cual se ha
registrado el dispositivo Panda GateDefender, ID del sistema y fecha de la última actualización.
Sus claves de activación
Se necesita al menos una clave de activación válida (es decir, que no haya vencido) para recibir actualizaciones y para participar de la
Consola de administración perimetral Panda. Existe una clave para cada canal de soporte, pero generalmente una sola que se muestra
con el tiempo de validez y los días de mantenimiento que quedan. Las claves caducadas se identifican por tener el nombre de canal
tachado y por mostrar la cadena caducada en la columna Días restantes correspondiente.
Acceso remoto
La etiqueta de Acceso remoto permite elegir si puede accederse al dispositivo Panda GateDefender a través de la Consola de
administración perimetral Panda y a través de qué protocolo. Para permitir el acceso, haga clic sobre el interruptor gris en
la parte superior de la página: Se volverá azul y se podrá elegir entre dos opciones de acceso marcando la casilla:
Activar acceso HTTPS
Se puede acceder al dispositivo Panda GateDefender a través de la interfaz web.
Activar acceso SSH
Se permite el acceso al dispositivo Panda GateDefender a través de un shell seguro. Al activar esta opcilón se activa de
manera automática Acceso SSH.
Contraseñas
En esta página se pueden cambiar las contraseñas para cada uno de los tres usuarios por defecto al escribir cada contraseña nueva
dos veces y luego al presionar el botón correspondiente a Cambiar contraseña:
Administrador
el usuario que puede conectarse a la interfaz web para la administración.
Marcar
Un usuario especial que solamente puede gestionar uplinks, con acceso limitado a la interfaz.
Root
el usuario que puede iniciar sesión en la shell para la administración. El usuario que puede iniciar sesión en la shell para la
administración. Se puede iniciar sesión a través de la consola de serie o de manera remota con un cliente SSH.
Sugerencia
Las contraseñas deben tener al menos 6 caracteres.
Consola Web
La consola web proporciona un subprograma que emula un terminal dentro de la ventana del explorador, que actúa como CLI para
realizar tareas administrativas.
Las funciones de la consola web son las mismas que se encuentran al iniciar sesión a través de una consola de serie o SSH. En la parte
inferior izquierda del subprograma aparece un mensaje que muestra el estado de la consola: Conectado o Desconectado. Es posible
salir en cualquier momento escribiendo exit en la consola y, a continuación, pulsando Intro en el teclado, como en cualquier
consola normal.
Si el estado es el de desconectado, haga clic nuevamente en el punto del submenú de la Consola Web para volver a conectarse. En la
parte inferior derecha del subprograma aparecen dos hipervínculos:
Habilitar teclado virtual
Al hacer clic en este enlace, aparecerá un subprograma de teclado debajo de la consola, que puede utilizarse para teclear y ejecutar
comandos haciendo clic con el ratón en las distintas claves.
Nota
Cuando la consola web está desconectada, ese subprograma no se comunica con la consola.
Deshabilitar entrada
Este enlace cambia la posibilidad de enviar una entrada del teclado a la consola web.
Sugerencia
Esta opción no tiene efecto alguno en el teclado virtual.
Acceso SSH
Esta pantalla permite activar el acceso remoto SSH al dispositivo Panda GateDefender. Se encuentra desactivado por defecto y es la
configuración recomendada. Existen dos casillas en la página: Configuraciones de acceso SSH y Claves de host SSH.
Configuraciones de acceso SSH
El acceso SSH se activa al hacer clic sobre el interruptor gris . Se inicia el servicio SSH y, luego de unos pocos segundos,
se muestran algunas opciones de configuración:
Ejemplo SYS-1: tráfico tunelizado por SSH.
Suponga que un servicio como telnet (o cualquier otro servicio que pueda pasar a través de SSH) se encuentra en ejecución en un
ordenador dentro de la zona VERDE, digamos el puerto 23 en el host myhost con la dirección IP 10.0.0.20. Para configurar un túnel
SSH a través del dispositivo Panda GateDefender para acceder al servicio de manera segura desde fuera de la LAN, es decir, desde la
zona ROJA. Aunque el acceso VERDE desde la interfaz ROJA no se recomienda por lo general, puede ser útil en algunos casos, por
ejemplo durante la fase de prueba de un servicio.
1. Active SSH y asegúrese de que puede accederse al host, es decir, configure el firewall en Barra de menú ‣ Firewall ‣ Acceso
al sistema para que pueda accederse a myhost desde el exterior.
2. Conéctese al dispositivo Panda GateDefender desde un sistema externo utilizando el comando ssh -N -f -L
12345:10.0.0.20:23 root@appliance en el cual -N le dice a SSH que no ejecute comando alguno si no es para reenviar
tráfico, -f hace que SSH se ejecute en segundo plano y -L 12345:10.0.0.20:23 mapea el puerto del
sistema externo 12345 hacia el puerto 23 en myhost, como puede verse desde el dispositivo Panda GateDefender.
3. El túnel SSH desde el puerto 12345 del sistema externo hacia el puerto 23 en myhost se encuentra ahora establecido. Ahora,
en el sistema externo, es suficiente para telnet exportar el puerto 12345 en el host local para alcanzar myhost.
Protocolo SSH versión 1
Esto solamente es necesario para los clientes viejos SSH que no admiten versiones nuevas del protocolo SSH.
Advertencia
se desaconseja la activación de la versión 1 de SSH, puesto que ya no se ofrece mantenimiento para esta versión, que ha quedado
obsoleta y contiene vulnerabilidades conocidas que usuarios malintencionados podrían aprovechar. Los clientes SSH actuales
deberían utilizar siempre la versión 2 de SSH, que es más segura y fiable.
Permitir reenvío TCP
Al marcar esta opción se permite que otros protocolos pasen a través del SSH. Consulte el ejemplo de uso SYS-1.
Permitir la autenticación basada en contraseñas
Permite el inicio de sesión utilizando autenticación por contraseña.
Permitir la autenticación basada en la clave pública
Permite el inicio de sesión con claves públicas. Las claves públicas de los clientes que pueden iniciar sesión utilizando
autenticación de clave deben añadirse al archivo /root/.ssh/authorized_keys.
Guardar
Haga clic en este botón en la parte inferior del cuadro para guardar la configuración de las cuatro opciones anteriores.
Nota
El acceso SSH se activa de manera automática cuando al menos una de las siguientes opciones es válida:
Se permite el acceso del equipo de soporte de Panda en Barra de menú ‣ Sistema ‣ Soporte.
Está activada la disponibilidad alta en Barra de menú ‣ Servicios ‣ Disponibilidad alta.
Está activado el acceso SSH en Barra de menú ‣ Sistema ‣ Consola perimetral ‣ Acceso remoto.
Claves de host SSH
En la parte inferior de la página, una casilla detalla las claves de host SSH del dispositivo Panda GateDefender que han sido generadas
durante el primer arranque del servidor openSSH, junto con sus huellas digitales y su tamaño en bits.
Configuración del interfaz
Aquí existen dos opciones de configuración para la GUI. La primera opción es la del idioma que se utilizará para los nombres de sección,
las etiquetas y todas las cadenas a utilizarse en la interfaz Web y puede seleccionarse desde un menú desplegable. Los idiomas
admitidos actualmente son: inglés, alemán, italiano, chino simplificado, japonés, portugués, ruso, español y turco.
La segunda opción es la de desplegar el nombre de host del dispositivo Panda GateDefender en el título de la ventana del explorador,
que se activa al marcar la casilla Mostrar nombre del host en el título de la ventana.
Backup
En esta sección se lleva a cabo la gestión de los backups: La creación de los backups de la configuración y sistema actual del
dispositivo Panda GateDefender vuelve a una de estos backups cuando es necesario. Los backups pueden guardarse de manera local
en el host del dispositivo Panda GateDefender, en un dispositivo USB o descargarse a una estación de trabajo.
También es posible restaurar la configuración a los valores de fábrica, crear copias de seguridad completamente automáticas y llevar a
cabo otras tareas administrativas que estén relacionadas con los backups.
Esta sección se encuentra organizada en dos pestañas, Backup y Backups programados. La primera se utiliza para gestionar los
backups manuales, mientras que la última se utiliza para configurar backups automáticos programados.
Backup
En la pestaña Backup existen cuatro casillas que le permiten gestionar los backups manuales.
Conjuntos de backups
La primera casilla contiene una lista de los backups almacenados dentro del dispositivo Panda GateDefender, tanto las manuales como
las programadas, una opción para crear un nuevo backup y la leyenda de los símbolos que acompañan a cada backup. Si se inserta un
dispositivo USB en el dispositivo Panda GateDefender y se detecta, también se muestran los backups almacenados en él.
Al hacer clic en el botón Crear un nuevo backup, se abre un cuadro de diálogo en el cual se pueden seleccionar los datos a incluirse en
el backup.
Configuración actual
El backup contiene todas las preferencias de configuración, incluyendo todos los cambios y personalizaciones realizadas
hasta el momento, o, en otras palabras, todo el contenido del directorio /var/efw.
Incluir volcado de la base de datos
También se hará una copia de seguridad del contenido de la base de datos.
Advertencia
Los volcados de la base de datos pueden incluir datos confidenciales, por lo que debe asegurarse de que el backup se almacene en
un lugar seguro cuando contenga un volcado de base de datos.
Incluir archivos de registro
Incluye los archivos de registro actuales (por ej.: /var/log/messages, pero no los archivos de registro de días
anteriores.
Incluir archivos de registro
Incluir también archivos de registro anteriores que han sido rotados, como por ejemplo
/var/log/messages.YYYYMMDD.gz, etc. Los backups que se creen con esta opción pueden llegar a ser
muy grandes con el tiempo.
Observación
Un comentario sobre el backup que aparecerá en la columna Observación de la tabla. Por lo tanto, deberá ser lo
suficientemente importante como para permitir un recuento rápido del contenido.
Para crear un nuevo backup deberá estar marcada al menos una de las casillas.
El formato y el nombre de los archivos de backup.
Los archivos de backup se crean como archivos tar.gz, usando las herramientas estándar de Linux tar y gzip. Los archivos
almacenados en el archivo pueden extraerse utilizando los comandos tar zxf archivename.tar.gz o tar vzxf archivename.tar.gz, que
permiten ver todos los archivos procesados y extraídos, así como ver algún mensaje informativo la pantalla. La opción v significa
verbose (detallado). El nombre del archivo de backup se crea de modo que sea único y expresa la máxima información posible sobre su
contenido, por lo que puede ser una cadena bastante larga, por ejemplo, backup-20130208093337-midispositivo.midominio-
configuración-bd-registros-archivoregistro.tar.gz, donde 20130208093337 es la marca de tiempo de creación del backup, en el
formato AAAAMMDDHHMMSS (en este ejemplo, 8 de febrero de 2013 a las 9:33:37 AM). Esta opción permite ordenar los backups
lexicográficamente de más antiguo a más reciente; midispositivo.midominio son el nombre del host y el nombre de dominio del
dispositivo Panda GateDefender tal como se definen en el paso 3 de la Configuración de red (Barra de menú ‣ Sistema ‣ Configuración
de red), y configuración-bd-registros-archivoregistro representa el contenido del backup. En este caso es un backup completo, ya que
las cuatro partes aparecen en el nombre. Por ejemplo, un backup que contenga solo configuración y registros estará identificado por la
cadena configuración-registros.
Para crear un backup en un dispositivo externo USB, deberá insertarse un dispositivo USB en el dispositivo Panda GateDefender. Se
sugiere utilizar un sistema de archivos FAT32/VFAT, ya que esto maximiza la portabilidad hacia otros sistemas. Cuando se detecta el
dispositivo, aparecerá el mensaje Dispositivo USB detectado en el lado derecho de la casilla, junto con la nueva opción de Crear backup
en un dispositivo USB. Para que el backup se almacene en el dispositivo, deberá marcarse la casilla que se encuentra al lado de dicha
opción.
Haga clic sobre el botón Crear backup para crear el backup. Después de un momento, durante el cual se recogen y juntan los archivos
que requiere el backup dentro del archivo, aparecerá el nuevo backup en la lista. El final del proceso de backup está marcado por un
aviso amarillo que aparece encima del cuadro y que muestra el mensaje Backup completado con éxito.
La lista de los backups disponibles, que al principio se encuentra vacía, muestra para todas los backups la fecha de creación, el
contenido mostrado por un conjunto de letras, la observación y la lista de acciones disponibles para cada archivo de backup. Los
backups automáticos se marcan con la cadena Autobackup antes de actualización.
El contenido de cada backup está marcado por al menos uno de los siguientes símbolos o letras correspondientes a la opción
especificada durante su creación:
A, Archivo. El backup contiene los archivos de registro viejos.
C, Cron. El backup ha sido creada de manera automática por una tarea de backup programada.
D, Descargas de bases de datos. El backup contiene una descarga de bases de datos.
E, Cifrado. El archivo de backup está cifrado.
L, Archivos de registro. El backup contiene los archivos de registro de hoy.
S, Configuración. El backup contiene las configuraciones y preferencias.
U, USB. El backup ha sido guardada en un dispositivo USB.
!, ¡Error! Se ha producido algún error al enviar el archivo de backup por correo electrónico.
Las acciones disponibles son exportar un archivo a la estación de trabajo local, eliminarlo o restaurarlo en el dispositivo
Panda GateDefender.
Cifrar el backup
La segunda casilla hace que la opción de cifrar todos los backups al proporcionar una clave pública GPG estén disponibles. Seleccione
la clave pública GPG haciendo clic en el botón Seleccionar archivo para cargar el archivo de claves desde el sistema de archivos local.
Asegúrese de que la casilla Cifrar backups esté marcada. A continuación, cargue el archivo de claves haciendo clic en Guardar.
Sugerencia
Cifre los backups siempre que guarde datos confidenciales en el archivo de backup, por ejemplo, contraseñas de usuarios almacenadas
en la base de datos o datos e información de facturación de los usuarios del Hotspot.
Importar archivo de backup
El tercer cuadro permite que un archivo de backup guardado anteriormente se cargue en el dispositivo Panda GateDefender. Se puede
seleccionar el archivo de backup haciendo clic en el botón Seleccionar archivo y, a continuación, seleccionando el archivo de backup del
sistema de archivos local. De manera opcional puede añadirse alguna nota al backup en el campo Observación. Por último, el backup
se carga haciendo clic en el botón Importar. Luego de un momento, aparece el backup en la lista de backups en la parte superior de la
página, y se puede restaurar haciendo clic en el icono de restauración .
Nota
No se pueden importar backups cifrados al dispositivo Panda GateDefender: Cualquier backup cifrado debe descifrarse antes de
cargarse.
Restablecer la configuración a los ajustes de fábrica y reiniciar.
La cuarta casilla permite borrar todas las configuraciones y preferencias que se hayan efectuado y reiniciar el sistema con la
configuración de fábrica. Este resultado se alcanza al hacer clic en el botón Valores de fábrica: La configuración del dispositivo Panda
GateDefender se restablece a los ajustes de fábrica y se reinicia de manera inmediata después de que un backup de las
configuraciones actuales se haya guardado de manera automática.
Backups programados
Pueden activarse y configurarse backups automatizados en la etiqueta Backups programados que contiene dos casillas.
Backups automáticos programados
En la primera casilla se activan y configuran los backups automáticos. Cuando se encuentran activados, los elementos del dispositivo
Panda GateDefender que van a incluirse en el backup pueden elegirse como se muestra en el cuadro Conjuntos de backups en la otra
pestaña. La única diferencia es que para los backups programados no se puede especificar ninguna observación. Las opciones
adicionales son:
Activado
Activa backups programados.
Mantener Nº de archivos
Elija en el menú desplegable cuántos backups se mantendrán en el dispositivo Panda GateDefender (entre 2 y 10, pero se
pueden exportar para ahorrar espacio).
Programar backups automáticos
La frecuencia entre backups, ya sea cada hora, diaria, semanal o mensual.
Enviar backups por correo electrónico
En la segunda casilla puede configurarse el sistema para que envíe o no los backups por correo electrónico: Están disponibles las
opciones siguientes:
Activado
Permite enviar archivos de backup por correo electrónico.
Dirección de correo del destinatario
La dirección de correo electrónico a la que se enviará el mensaje con el backup.
Dirección de correo del remitente
La dirección de correo electrónico que aparecerá como dirección de correo electrónico del emisor, lo que resulta útil cuando
deba parecer que los backups se envían desde una dirección especial (por ejemplo, [email protected]).
Asimismo, debe indicarse si el dominio o el nombre de host no pueden resolverse mediante el DNS.
Dirección del Smarthost a utilizar
La dirección de un smarthost que se utilizará para enviar los mensajes, que es necesaria en caso de que los mensajes
salientes deban pasar a través de un servidor SMTP, por ejemplo, el servidor SMTP de la empresa, en lugar de enviarlos
directamente desde el dispositivo Panda GateDefender.
Sugerencia
La dirección explícita de un smarthost es necesaria si el proxy SMTP (Barra de menú -> Proxy SMTP) está desactivado.
Enviar backup ahora
Al hacer clic en este botón, se guardará la configuración e inmediatamente se intentará enviar un correo electrónico con el
archivo del backup como adjunto, una acción que sirve también como prueba para comprobar la validez de los datos
suministrados.
Apagar
En esta página se proporcionan las opciones para apagar o reiniciar el dispositivo Panda GateDefender, al hacer clic en el botón Apagar
o Reiniciar respectivamente.
Advertencia
El proceso de cierre o reinicio se iniciará inmediatamente después de hacer clic en el botón correspondiente, sin que se muestre
ninguna otra solicitud de confirmación.
Después de un reinicio, es posible continuar utilizando la GUI sin necesidad autenticarse.
Contrato de Licencia
Esta sección muestra el contrato de licencia entre Panda y el propietario del dispositivo Panda GateDefender.
Nota
Después de una actualización, si el acuerdo de licencia cambia, durante el primer inicio de sesión es necesario aceptar el nuevo
acuerdo de licencia antes de acceder al sistema actualizado y poder utilizar el dispositivo Panda GateDefender.
El menú Estado El menú Estado
El menú Estado proporciona un conjunto de páginas que muestran la información tanto en vistas de texto como de gráficos sobre
diferentes demonios y servicios que se ejecutan en el dispositivo Panda GateDefender. No existe ninguna opción de configuración
disponible en este módulo, que solamente muestra el estado actual y reciente del dispositivo Panda GateDefender.
En el submenú situado a la izquierda de la pantalla aparecen los elementos siguientes. Cada uno proporciona información de estado
detallada sobre algunas funciones del dispositivo Panda GateDefender:
Estado del sistema: servicios, recursos, tiempo en línea, kernel
Estado de red: configuración de las interfaces de red, tabla de enrutamiento, caché ARP
Gráficos del sistema: gráficos de utilización de recursos
Gráficos de tráfico: gráficos de utilización del ancho de banda
Gráficos del proxy: gráfico de las estadísticas de acceso al proxy HTTP en las 24 últimas horas (semana, mes y año)
Conexiones: lista de todas las conexiones TCP/IP abiertas
Conexiones OpenVPN: lista de todas las conexiones OpenVPN
Estadísticas de correo SMTP: gráficos sobre el servicio SMTP.
Lista de correos: lista de correos en el servidor SMTP
Estado del sistema
La página predeterminada que se abre al hacer clic sobre Barra de menú ‣ Estado es la página Estado del sistema, que proporciona
una vista rápida de los servicios en ejecución, la memoria, la utilización del disco, el tiempo en línea y los usuarios, los módulos
cargados, y la versión del kernel, cada uno en su propio cuadro. En la parte superior de la página hay hipervínculos hacia cada cuadro.
De forma más detallada, estos son los datos presentados en cada cuadro, que normalmente son el resultado de algunos comandos de
Linux.
Servicios
El estado (marcado como Detenido o Ejecutando mediante un cuadrado rojo o verde) de cada servicio instalado en el dispositivo Panda
GateDefender se muestra aquí. Un servicio puede aparecer como detenido porque el demonio o guión no se encuentra habilitado.
Memoria
El resultado del comando de Linux free proporciona la información que se muestra aquí. Toda la información se encuentra representada
con la cantidad real en kilobytes, y con una barra para facilitar la visualización de la memoria utilizada. La primera línea muestra la
memoria RAM utilizada total, que es normal que esté cerca del 100% en el caso de un sistema que ha estado en ejecución durante un
tiempo prolongado, ya que el kernel de Linux utiliza toda la memoria RAM disponible como caché de disco para acelerar las operaciones
E/S. La segunda línea muestra la memoria que realmente utilizan los procesos: lo ideal sería que este valor fuera inferior al 80% para
mantener algo de memoria disponible para la caché de disco. Si este valor se acerca al 100%, el sistema se ralentizará porque los
procesos activos se cambiarán al disco. Si la utilización de la memoria permanece sobre el 80% durante periodos prolongados, debería
añadirse memoria RAM para mejorar el rendimiento. La tercera barra indica la utilización de la memoria de intercambio. En el caso de
los sistemas en ejecución durante periodos prolongados, es normal ver una utilización moderada de la memoria de intercambio (el valor
debería ser inferior al 20%), especialmente si no se utilizan todos los servicios todo el tiempo.
Uso de disco
El resultado del comando df de Linux muestra los dispositivos del disco (discos físicos y particiones, su punto de montaje y el espacio de
cada partición de disco). Dependiendo del tipo de dispositivo Panda GateDefender, los datos que aparecen en este cuadro pueden
variar. Normalmente, son:
El disco principal /dev/hda1.
El disco de datos /dev/mapper/local-var.
El disco de configuración, donde se almacenan todos los ajustes del dispositivo Panda GateDefender
/dev/mapper/local-config.
El disco de registro /dev/mapper/local-log.
La memoria compartida, /dev/shm/.
Nota:
el tamaño del disco de datos y el disco de registro puede aumentar con el tiempo, por lo que debería reservarse suficiente espacio para
ellos, especialmente el disco de registro. Recuerde también que los discos nunca deben llenarse más de un 95%, ya que esto puede
dificultar el funcionamiento correcto del sistema.
Tiempo en línea y usuarios
Este cuadro muestra el resultado del comando de Linux w, que presenta la hora actual, información sobre la cantidad de tiempo que el
sistema ha estado en ejecución desde el último reinicio, la cantidad de usuarios de consola que están conectados al sistema
actualmente (aunque por lo general no debería haber ninguno) y el promedio de carga del sistema de los últimos 1, 5 y 15 minutos.
Además, si algún usuario de consola está conectado al sistema, se muestra algún tipo de información sobre el usuario (por ejemplo, el
host remoto desde el que ha iniciado sesión o lo que está haciendo). Puede consultarse más información en la página del manual w(1).
Módulos cargados
El resultado del comando de Linux lsmod. Muestra los módulos del kernel que actualmente están cargados en la memoria. Dicha
información solo debería ser útil para los usuarios avanzados.
Versión del kernel
El resultado del comando de Linux uname -r, que muestra la versión actual del kernel.
Estado de red
Esta página contiene información diversa sobre el estado de ejecución de las interfaces de red. Hay cuatro cuadros en la página e, igual
que en el caso del Estado del sistema, se incluyen hipervínculos en la parte superior de la página para proporcionar un acceso rápido.
Los cuadros contienen la siguiente información, que representa el resultado de diferentes comandos shell.
Interfaces
El primer cuadro contiene el resultado del comando ip addr show, que proporciona la dirección MAC, la dirección IP y parámetros de
comunicación adicionales asociados a cada interfaz de red. Las interfaces activas se encuentran destacadas con el color de la zona a la
que sirven. La interfaz puede ser una interfaz de Ethernet, un puente o un dispositivo virtual.
Estado de NIC
Aquí se muestran las configuraciones de ejecución y capacidades de cada NIC. Cada interfaz se encuentra destacada con el color de la
zona a la que sirve y se etiqueta como [Enlace correcto] para indicar que está funcionando. Las interfaces que no están en uso se
etiquetan con “[NO hay enlace]”. El comando que proporciona el resultado es ip link show.
Entradas de la tabla de enrutamiento
La tabla de enrutamiento del kernel, según se genera con el comando route -n. Normalmente, debería haber una línea por cada interfaz
activa, que enruta de manera correcta el tráfico entre las zonas a las que sirve el dispositivo Panda GateDefender, más una ruta
predeterminada (que se reconoce por el campo de destino 0.0.0.0) que permiten que el tráfico llegue a Internet.
Entradas de la tabla ARP
El último cuadro muestra el resultado del comando arp -n y la tabla ARP, es decir, una tabla que contiene la dirección MAC asociada a
cada dirección IP conocida de la red local.
Gráficos del sistema
Los gráficos que se muestran en esta página presentan la utilización de recursos durante las 24 últimas horas: la utilización de la CPU,
la memoria, el intercambio y el disco, cada una acompañada de una leyenda de la información incluida en el gráfico, su color asociado y
un resumen del porcentaje de utilización máximo, medio y actual. Además, un mensaje informa sobre la hora y la fecha de la última
actualización de los gráficos, que generalmente coincide con el último acceso a la página.
Al hacer clic sobre uno de los gráficos, se abrirá una nueva página, con resúmenes de los gráficos de utilización de los últimos día,
semana, mes y año. En estas páginas, haciendo clic en el botón ATRÁS se puede volver a la página anterior.
Nota:
la cadena nan (siglas de “Not A Number”) que puede aparecer en los resúmenes indica que no hay suficientes datos para calcular el uso
del recurso seleccionado. Puede aparecer por ejemplo en el “uso por año” cuando el dispositivo Panda GateDefender se utiliza solo
durante unas pocas semanas.
Gráfico de CPU
En este cuadro se muestra el uso de CPU al día del dispositivo Panda GateDefender, medido en el porcentaje de tiempo de CPU usado
por los distintos procesos. El resultado se obtiene mediante el comando top. Se utilizan diferentes colores para indicar el tipo de los
procesos en ejecución:
Blanco: inactivo, es decir, momento en que ningún proceso utiliza la CPU.
Verde: procesos nice, es decir, procesos de usuario que han cambiado su prioridad predeterminada.
Azul: procesos de usuario con prioridad predeterminada.
Naranja: tiempo dedicado por la CPU a esperar a que se completen tareas de E/S.
Rojo: procesos del sistema (kernel).
Rosa: softirq, es decir, el tiempo dedicado a interrupciones de software.
Marrón: interrupt, es decir, es el tiempo dedicado a interrupciones de hardware.
Negro: steal, relevante solo si se ejecuta como una máquina virtual; es el tiempo utilizado por el hipervisor para ejecutar la
MV.
Gráfico de memoria
Este gráfico muestra el uso de memoria durante las 24 últimas horas. Se usan los siguientes colores para indicar los tipos de memoria:
Verde: memoria sin asignar, que puede asignarse a nuevos procesos.
Azul: memoria caché, copia de datos recientes usados por procesos.
Naranja: memoria de búfer, una porción de memoria temporal que almacena datos para enviarlos a dispositivos externos o
recibirlos de ellos.
Rojo: memoria usada.
Gráfico de Swap
En este cuadro se muestra el uso del área de intercambio, que se encuentra en el disco duro.
Verde: intercambio sin asignar.
Azul: intercambio en caché.
Rojo: espacio de intercambio utilizado.
Gráficos de uso de disco
Los gráficos que muestran el uso del disco se dividen en cuatro cuadros, y cada uno muestra el uso de una partición. En cada uno de
ellos, el color verde muestra el espacio libre, mientras que el color rojo muestra el espacio en disco utilizado.
Gráficos del tráfico
Esta página contiene los gráficos del tráfico de las 24 últimas horas, dividido por zona. Por lo tanto, en función de las zonas activadas y
configuradas, esta página contendrá 2, 3 o 4 cuadros, cada uno con un gráfico. Como sucede con los Gráficos del sistema, los gráficos
van acompañados de un leyenda de los datos mostrados:
Verde: el tráfico saliente.
Azul: el tráfico entrante.
Debajo de los gráficos, también se muestra el resumen de la cantidad actual, media y máxima de datos transmitidos y recibidos. El
resumen se actualiza en tiempo real.
Al hacer clic en uno de los gráficos, se abrirá una página nueva con los resúmenes de los datos que han pasado a través del dispositivo
Panda GateDefender durante los últimos día, semana, mes y año. La información que se muestra es la misma en todos los gráficos: el
tráfico entrante y saliente en azul y verde, respectivamente. En
Sugerencia:
para volver a la página con todos los gráficos de la zona, haga clic en el hipervínculo ATRÁS en la parte inferior de la página.
Gráficos del proxy
Aquí se muestran las estadísticas de acceso al proxy HTTP durante las 24 últimas horas. No hay gráficos en esta página si el servicio
proxy HTTP no está activo y nunca ha sido activado. Sin embargo, si el servicio se ha ejecutado, incluso durante un periodo breve
durante el último año, aún se puede acceder a los datos generados haciendo clic en el gráfico. De manera similar a los otros gráficos, se
muestran estadísticas antiguas para los últimos día, semana, mes y año. Haciendo clic en el hipervínculo ATRÁS de la parte inferior de
la página, se puede volver a la página principal.
Nota:
para mostrar los gráficos de proxy, debe activarse el registro del proxy HTTP en Proxy ‣ HTTP ‣ Configuración ‣ Configuración del
registro, marcando la casilla Activar registro. También pueden registrarse términos de consulta y usuarios agente para generar registros
y gráficos más detallados.
Tras haber activado el proxy HTTP, los cuatro cuadros muestran los datos siguientes:
Tráfico total por día. la cantidad de datos que han pasado por el servicio proxy del dispositivo Panda GateDefender. En verde
aparece el tráfico saliente y en azul, el tráfico entrante.
Accesos totales por día. El número de solicitudes HTTP, representado en azul, recibidas por el dispositivo Panda
GateDefender.
Coincidencias de caché por día. El número de datos de caché solicitados.
Ratio de coincidencias de caché durante 5 minutos por día. El número de datos de caché solicitados en un periodo de cinco
minutos.
Conexiones
Esta página muestra una tabla que contiene la lista de conexiones actuales desde, hacia o a través del dispositivo Panda GateDefender.
Los datos que se muestran aquí son los generados por la tabla kernel conntrack. Los siguientes colores se emplean en la tabla y se
utilizan como fondo de las celdas de la tabla para indicar el origen y el destino de la conexión.
El verde, el rojo, el naranja y el azul indican las zonas controladas por el dispositivo Panda GateDefender.
El negro se usa para las conexiones en las que participa el firewall, incluidos demonios y servicios (por ejemplo, SSH o
accesos web).
El morado muestra las conexiones que utilizan IPsec o VPN.
Los datos que aparecen en la tabla son los siguientes.
IP de origen
La IP desde la que se originó la conexión.
Puerto de origen
El puerto desde el que se originó la conexión.
IP de destino
La IP a la que se dirige la conexión.
Puerto de destino
El puerto al que se dirige la conexión.
Protocolo
El protocolo utilizado en la conexión, que suele ser TCP o UDP.
Estado
El estado actual de la conexión, que solo es pertinente para las conexiones TCP. Se definen en el RFC 793; los estados
pertinentes son ESTABLECIDA (conexión activa) y CERRADA (sin conexión).
Caduca
El tiempo que la conexión permanecerá en ese estado concreto.
Sugerencia:
la página se actualiza automáticamente cada 5 segundos.
Se puede hacer clic en cada dirección IP y cada puerto IP de la tabla para obtener información útil. Al hacer clic en la dirección IP se
lanzará una consulta whois que mostrará quién es el dueño de la dirección IP y dónde se encuentra localizada. Al hacer clic en el
número de puerto, se abrirá la página web Internet Storm Center, con información sobre el puerto (es decir, la finalidad para la que se
usa), qué servicios o malware (por ejemplo, troyanos, virus) pueden utilizar dicho puerto, y el número de ataques que dichos puertos han
recibido de diferentes servidores en todo el mundo.
Conexiones VPN
Si en el dispositivo Panda GateDefender se ejecutan servidores OpenVPN o IPsec, esta página muestra los usuarios conectados, junto
con el servicio del que dependen para la conexión (OpenVPN, L2TP, IPsec, XAuth), la marca de tiempo desde que están conectados y
las posibles acciones que pueden llevarse a cabo. Actualmente, solo se puede desconectar al usuario.
Estadísticas de correo SMTP
En esta página aparecen cuatro cuadros que muestran gráficos sobre el correo electrónico enviado por el servidor SMTP local a través
del dispositivo Panda GateDefender por día, semana, mes y año.
Sugerencia:
si el servidor SMTP no está activado, no se mostrarán ni información ni gráficos.
Cada cuadro contiene dos gráficos. En ambos se presentan en el eje y el número de mensajes de correo electrónico por minuto y en el
eje x el tiempo, cuya unidad de medida cambia según el tipo de gráfico: un periodo de dos horas en los gráficos por día, un día en los
gráficos por semana, una semana en los gráficos por mes y un mes en losgráficos por año.
El gráfico de la parte superior muestra un resumen del número de mensajes por minuto enviados (en azul) o recibidos (en verde) por el
dispositivo Panda GateDefender. El gráfico de la parte inferior puede considerarse una versión más detallada del otro gráfico, dado que
muestra los mensajes de correo electrónico que han sido rechazados (en rojo) o devueltos (en negro), aquellos que se han interceptado
porque contienen virus (en amarillo), y aquellos que se han reconocido como spam (en gris).
Debajo de cada gráfico, también hay información textual acerca de cada categoría del correo electrónico (enviado, recibido, rechazado,
devuelto, virus y spam) sobre el número total, la media y el número máximo de mensajes de correo electrónico (“msgs”) procesados,
además de la marca de tiempo (fecha y hora) de la última actualización de la página.
Lista de correos
Cuando el proxy SMTP está activado, esta página muestra la lista de correos actual. Si no hay correos electrónicos en la lista, aparece
el mensaje Lista de correos vacía. Cuando hay correos, se puede vaciar la lista haciendo clic en el botón Liberar la lista de correo. Con
el proxy SMTP desactivado, solo se muestra el mensaje que indica que está desactivado.
El menú Red El menú de red
El menú de red se puede utilizar para ajustar la configuración de la red al agregar hosts y rutas específicas o al configurar el uplink y
añadir VLAN. No se debe confundir este menú con el asistente Configuración de red disponible en Barra de menú ‣ Sistema ‣
Configuración de red, que permite configurar interfaces, zonas y definir uplinks. Muchas opciones de preferencias y configuración,
especialmente bajo Interfaces, a continuación se pueden encontrar sin embargo bajo el asistente de red, al que hay que consultar para
obtener una ayuda más detallada.
El submenú situado en el lateral izquierdo de la pantalla contiene estos elementos y cada uno agrupa varias opciones de configuración:
Editar hosts - define hosts para resolución de nombre de dominio local
Enrutamiento - establece rutas estáticas y política de enrutamiento
Interfaces - edita los enlaces o crea VLAN
Editar hosts
La página contiene la lista de hosts definidos anteriormente. Cada línea contiene una dirección IP, el nombre de host asociado, y el
nombre de domino, si está especificado. Existen dos acciones disponibles para cada entrada: editarla o eliminarla.
Advertencia
Eliminar una entrada de host al hacer clic en el pequeño icono no requiere confirmación y no es reversible. Si se elimina por error, se
debe volver a introducir una entrada manualmente.
Se puede añadir una nueva entrada en el archivo al hacer clic en el enlace Añadir host a la derecha encima de la tabla. La tabla será
sustituida por un sencillo formulario, en el que se pueden introducir las siguientes opciones:
Dirección IP
La dirección IP del servidor remoto.
Nombre del host
El nombre del host asociado a la dirección IP.
Nombre de dominio
Un nombre de dominio opcional.
Nota
A diferencia del archivo /etc/hosts (véase más adelante), cada dirección IP añadida aquí corresponde a un nombre de host y
viceversa. Para añadir dos nombres de host a una misma IP, añada dos entradas con la misma dirección IP.
La elección puede confirmarse al hacer clic en el botón Añadir host. Para asociar más nombres de host a la misma dirección IP, repita el
procedimiento al introducir la misma dirección IP pero un nombre diferente.
Gestión de hosts, dnsmasq y /etc/hosts.
La aplicación dnsmasq se utiliza en redes pequeñas como servidor DNS para hosts locales y como reenviador de DNS y servidor de
caché para servidores DNS mundiales. El dispositivo Panda GateDefender utiliza dnsmasq para resolver y responder correctamente las
solicitudes de DNS procedentes de las zonas VERDE, NARANJA y AZUL. A veces es conveniente (por ejemplo, para realizar pruebas
en un sitio web remoto) invalidar algunas entradas en dnsmasq o añadir algún servidor local a la caché de dnsmasq, para que los
clientes locales puedan conectarse.
Los hosts añadidos en esta página se almacenan en el archivo de configuración de dnsmasq y se fusionan con el archivo
/etc/hosts cada vez que se reinicia el demonio. Un host añadido a esos archivos directamente mediante CLI no se mantendrá
después de reiniciar el dispositivo Panda GateDefender o dnsmasq.
El archivo /etc/hosts contiene la tabla de búsqueda denominada estática de la siguiente manera:
IP1 nombredehost1 [nombredehost2] IP2 nombredehost3 [nombredehost4] [nombredehost5]
Aquí, IP1 e IP2 son direcciones IP (numéricas) únicas, y nombredehost1, nombredehost2, nombredehost3, nombredehost4 y
nombredehost5 son nombres personalizados dados a esas IP. Los nombres entre corchetes son opcionales: En otras palabras, cada
dirección IP puede estar asociada con uno o más nombres de hosts conocidos. Se pueden añadir entradas de host personalizadas al
archivo, que después se resolverán para los clientes que se conectan a través del dispositivo Panda GateDefender. En un dispositivo
Panda GateDefender normal, el archivo /etc/hosts contiene como mínimo las entradas siguientes:
127.0.0.1 hostlocal.hostlocal.hostlocal 172.20.0.21 midispositivo.dominiolocal midispositivo 172.20.0.21 spam.spam spam 172.20.0.21 ham.ham ham 172.20.0.21 wpad.dominiolocal wpad
Aquí, 127.0.0.1 es la dirección IP del dispositivo de bucle, hostlocal, que es una entrada obligatoria para que cualquier sistema Linux
funcione correctamente. Por su parte, 172.20.0.21 es la dirección IP de la interfaz VERDE. Las entradas indicadas para esa IP tienen el
significado y el objetivo siguientes:
midispositivo.dominiolocal
El nombre de host y el nombre de dominio del dispositivo Panda GateDefender, según se han configurado durante la
Configuración de red.
spam.spam spam y ham.ham ham
Estas dos entradas combinadas se utilizan para la formación del filtro de correo electrónico spamassassin.
wpad.dominiolocal wpad
Un método que tienen algunos exploradores para detectar y aplicar automáticamente la configuración del proxy sin
necesidad de que el usuario interactúe cuando el proxy no es transparente.
Enrutamiento
Junto a la tabla predeterminada de enrutamiento, que se puede ver en Barra de menú ‣ Estado ‣ Estado de red, el enrutamiento del
dispositivo Panda GateDefender se puede mejorar con reglas estáticas y políticas de enrutamiento. Esta página muestra una tabla única
que contiene todos los enrutamientos personalizados, aunque se añaden reglas nuevas desde las dos pestañas diferentes existentes en
esta página. De hecho, las reglas estáticas y las políticas de enrutamiento precisan de una configuración ligeramente diferente. La tabla
contiene un resumen de la regla: las redes o zonas de fuente y destino, la puerta de enlace, una observación, y la lista de acciones
disponibles: Activar o desactivar, editar y eliminar una regla.
Cuando se realiza una modificación en la tabla de enrutamiento, se solicita guardar los cambios y reiniciar el servicio.
Enrutamiento estático
Una ruta estática permite asociar redes de fuente y destino específicas con una puerta de enlace o enlace determinados. Un clic en el
enlace Añadir una ruta nueva encima de la tabla permite crear rutas nuevas al definir los siguientes campos en la forma que aparecerá:
Red de fuente
La red de la fuente, en notación CIDR.
Red de destino
La red de destino, en notación CIDR.
Vía de la ruta
Hay cuatro opciones disponibles para definir a través de qué medio canalizar el tráfico: Puerta de enlace estática, Enlace,
Usuario OpenVPN, o Usuario L2TP. En caso de seleccionar la Puerta de enlace estática, se debe proporcionar la dirección
IP de una puerta enlace en la casilla de texto situada a la derecha. De lo contrario, aparecerá un menú desplegable,
proponiendo la elección entre los enlaces disponibles, usuarios OpenVPN o usuarios L2TP.
Activado
Una casilla marcada significa que la regla está activada (predeterminado). Si no está marcada, entonces la regla solo ha sido
creada, pero no está activada: Siempre se puede activarse más adelante.
Observación
Una observación o comentario para explicar el objetivo de esta regla.
Al hacer clic en uno de los iconos se desencadena una acción en el elemento correspondiente:
: cambia el estado del elemento entre activado y desactivado.
: modifica las propiedades del elemento.
: elimina el elemento.
Política de enrutamiento
Una regla de política de ruta permite asociar direcciones, zonas o servicios de red específicos (expresados como puerto y protocolo) a
un enlace determinado.
La tabla muestra todas las reglas definidas tanto estáticas como de política de enrutamiento, con algunas de sus propiedades: Origen,
Destino, TOS, Puerta de enlace, Servicio, Observaciones, y las acciones disponibles:
: mueve una regla.
: cambia el estado del elemento entre activado y desactivado.
: modifica las propiedades del elemento.
: elimina el elemento.
Sugerencia
La columna TOS solo aparece si como mínimo se ha definido una regla con ese campo.
Cuanto más arriba aparecen las reglas en la tabla, mayor es su prioridad.
Política de enrutamiento, proxy HTTP y enlace.
La interacción entre estos tres componentes del dispositivo Panda GateDefender puede ocasionar algún comportamiento que puede
parecer extraño o incluso erróneo cuando los clientes de las zonas intentan acceder a Internet. De hecho, cabe destacar tres pasos para
comprender correctamente cómo fluye el tráfico hasta Internet cuando hay un proxy HTTP activado y se han definido reglas de políticas
de enrutamiento.
1. Un proxy HTTP utiliza el enlace principal, es decir, accede a la zona ROJA y a Internet utilizando el enlace principal.
2. Un proxy HTTP “divide” una conexión de un cliente a un servidor remoto en dos conexiones. Una de las conexiones va del
cliente al dispositivo Panda GateDefender y la otra va del dispositivo Panda GateDefender al servidor remoto.
3. Las reglas de políticas de enrutamiento se tienen en cuenta después de que el tráfico haya pasado por el proxy HTTP.
Al hacer clic en el enlace Crear una regla de política de enrutamiento, se abrirá un formulario, que parece más complicado que el
utilizado para las rutas estáticas y muy similar al editor de reglas del firewall. Sin embargo, este editor de política es muy parecido al
anterior, pero ofrece más control sobre la definición de la regla. Además, la configuración de la regla se guía por varios menús
desplegables para simplificar la introducción de datos en los siguientes campos:
Origen
El primer menú desplegable permite elegir la fuente del tráfico. Se aceptan más entradas, una por línea, pero todas deben
pertenecer al mismo tipo: una zona o interfaz, usuarios OpenVPN o L2TP, IP o redes, o direcciones MAC. Se ofrecerán
diferentes valores, según la elección. Para aplicar la regla a todas las fuentes, seleccionar <ANY>.
Destino
El segundo menú desplegable permite la elección del destino del tráfico, como una lista de IP, redes, usuarios OpenVPN o
L2TP. Otra vez, al seleccionar <ANY> la regla coincidirá con cada destino.
Servicio/Puerto
Los siguientes dos menús desplegables permiten especificar el servicio, protocolo, y un puerto de destino para la regla
cuando se seleccionan los protocolos TCP, UDP o TCP + UDP. Existen algunas combinaciones predefinidas de
servicio/protocolo/puerto, como HTTP/TCP/80, <ALL>/TCP+UDP/0:65535, o <ANY>, que es un atajo para todos los servicios,
protocolos y puertos. Definido por el usuario permite especificar un protocolo personalizado y los puertos a bloquear, una
opción útil cuando se utilizan servicios en puertos que no son los estándares.
Protocolo
El tipo de tráfico interesado por la regla: TCP, UDP, TCP+UDP, ESP, GRE y ICMP. TCP y UDP son los más utilizados, GRE
es utilizado por túneles, ESP por IPsec, y ICMP por los comandos ping y traceroute.
Vía de la ruta
Qué ruta debería seguir el tráfico para esta regla. Hay cuatro opciones disponibles:
1. Puerta de enlace estática: En este caso, se facilitará una dirección IP.
2. Enlace: El enlace que debe utilizarse para esta regla. Existe la opción, cuando el enlace no está disponible,
de que el enrutamiento sea realizado por un enlace de soporte, correspondiente al enlace seleccionado. Esta
opción se activa cuando la casilla junto al menú desplegable está marcada.
3. Usuario OpenVPN: Un usuario OpenVPN, elegido entre los disponibles en el menú desplegable.
4. Usuario L2TP: Un usuario L2TP, elegido entre los disponibles en el menú desplegable.
Tipo de servicio
El tipo de servicio (TOS) se puede seleccionar aquí. Se puede elegir entre cuatro valores, en función de cuál sea la
característica más importante del tráfico que interesa a esa regla: predeterminado, poco retraso, fiabilidad o rendimiento.
Observación
Una observación o comentario para explicar el objetivo de esta regla.
Posición
La posición en la que se debe insertar la regla (posición relativa en la lista de reglas).
Activado
Marcar esta casilla para activar la regla (predeterminado). Si no está marcada, significa que la regla ha sido creada pero no
está activada: Una regla se puede activar más adelante.
Registrar todos los paquetes aceptados
Esta casilla debe estar marcada para registrar todos los paquetes afectados por esta regla.
Advertencia
La activación de esta opción puede mejorar enormemente el tamaño de los archivos de registro.
Interfaces
El administrador de uplinks permite desarrollar una variedad de tareas relacionadas con el uplink y las interfaces y, en particular, definir
VLAN personalizados en las interfaces de la red.
Editor de enlaces
De forma predeterminada, el editor de enlaces muestra los enlaces disponibles que se han creado y las acciones que se pueden
ejecutar en cada uno de ellos haciendo clic en los iconos de la última columna, Acciones:
: cambia el estado del elemento entre activado y desactivado.
: modifica las propiedades del elemento.
: elimina el elemento.
Sugerencia
El enlace principal no se puede eliminar.
Al hacer clic en el hipervínculo Crear un enlace encima de la lista de enlaces, se pueden definir enlaces adicionales. Se abrirá una
página bastante extensa, llena de opciones configurables, que debe completarse con los valores adecuados, muy similares a los de la
configuración de red. Las configuraciones disponibles diferirán según el tipo de enlace elegido.
Nota
Aquí no se describen todas las opciones disponibles: Son las mismas que se encuentran presentes en el asistente de configuración de
red y dependen del tipo de enlace elegido. Consulte esa sección para obtener una explicación completa de cada opción.
Descripción
Una descripción del enlace.
Tipo
La selección del tipo de conexión ROJA incluye un protocolo adicional, en comparación con las disponibles en el asistente de
configuración de red: PPTP. El PPTP se puede configurar para funcionar de modo estático o en DHCP, seleccionable desde
el valor respectivo del menú desplegable “método PPTP”. La dirección IP y la máscara de red deben definirse en los campos
de texto adecuados si el método estático ha sido elegido, en cuyo caso IP/máscara de red adicionales o combinaciones
IP/CIDR pueden agregarse en el campo a continuación si la casilla está marcada. No se requiere el número de teléfono, el
nombre de usuario y la contraseña, pero se pueden ser necesarios para que funcionen algunas configuraciones,
dependiendo de las configuraciones del proveedor. El método de autenticación puede ser PAP o CHAP: si no está seguro,
mantenga el valor predeterminado “PAP o CHAP”.
El uplink está activado
Marcar esta casilla para activar el enlace.
Iniciar uplink en el arranque
Esta casilla especifica si se debe activar un enlace en el arranque o no. Esta opción es útil para enlaces de soporte que son
administrados, pero no necesitan iniciarse durante el proceso de arranque.
El uplink es administrado
Marcar esta casilla para administrar el enlace. Consultar Complemento de información del uplink en Barra de menú ‣
Sistema ‣ Panel de control para encontrar un texto sobre los modos administrado y manual.
si este enlace falla, activar
Si está activado, se puede elegir una conexión alternativa de un menú desplegable, que se activará cuando este enlace falle.
Revisar si estos hosts son alcanzables
Marcar esta opción para introducir una lista de IP o nombres de host que serán ping cuando el enlace falle, para revisar si se ha
reconectado.
Sugerencia
Uno de esos hosts puede ser el servidor DNS o la puerta de enlace del proveedor.
En el panel de configuraciones avanzadas, se pueden personalizar otras dos opciones:
Tiempo de espera para la reconexión
El intervalo de tiempo (en segundos) tras el cual un uplink intenta reconectarse cuando falla. Este valor depende de las
configuraciones del proveedor. Si no está seguro, deje este campo en blanco.
MTU
Un valor personalizado para el tamaño MTU. Consulte aquí para conocer los motivos para modificar el valor predeterminado.
Ver también
Configuración de red, pasos 1, 4, y 5.
Barra de menú -> Sistema ‣ Configuración de la red
VLANs
La idea de ofrecer compatibilidad VLAN en el dispositivo Panda GateDefender es permitir asociaciones arbitrarias de ID de VLAN con
las zonas para ofrecer un nivel adicional de separación (y, por tanto, añadir otro nivel de seguridad) entre zonas. Las VLAN existentes
aparecen en la tabla, si alguna ya ha sido creada. La única acción disponible es:
: elimina la VLAN. Se abrirá una ventana emergente que debe confirmarse para realizar la eliminación.
Se puede definir una nueva VLAN haciendo clic en el hipervínculo Añadir nueva VLAN situado encima de la lista de VLAN. En el
formulario que se abrirá, bastarán unos pocos clics para crear una asociación entre una interfaz y una VLAN al especificar algunos
valores:
Interfaz
La interfaz física a la cual la VLAN está conectada. Solo se pueden seleccionar las interfaces disponibles desde el menú
desplegable. El menú también muestra el estado del enlace de la interfaz.
ID de VLAN
El ID de VLAN, que debe ser un número entero entre 0 y 4095.
Zona
La zona con la que VLAN está asociada. Solo las zonas que han sido definidas en el asistente de configuración de red
pueden ser seleccionadas. Se puede elegir la zona “NINGUNA”, si esa interfaz se utiliza como puerto de administración de
alta disponibilidad.
Advertencia
No es posible definir una VLAN que sirve a una zona (por ejemplo, una VLAN en AZUL) en una interfaz que ya sirve a otra zona (por
ejemplo, eth1 que sirve en VERDE). Al intentar hacerlo, el formulario se cierra y aparece una llamada roja, que informa que la VLAN no
se puede crear.
Cuando se crea una LAN virtual, se crea una nueva interfaz y se la nombra ethX.y donde X es el número de la interfaz e y es el ID de
VLAN. Después esta interfaz se asigna a la zona elegida y aparecerá como interfaz común en las varias secciones que aportan
información de red, como Barra de menú ‣ Estado ‣ Configuración de red o en el Panel de control, donde se puede seleccionar para
incorporarla al gráfico.
El menú Servicios El menú Servicios
El dispositivo Panda GateDefender incluye muchos servicios útiles para prevenir amenazas y supervisar las redes y los demonios en
funcionamiento, cuya activación y configuración se explica en esta sección. En particular, entre ellos, destacamos los varios servicios
proxy, como el motor de antivirus, además del sistema de detección de intrusos, la alta disponibilidad y la monitorización del tráfico. Los
servicios disponibles aparecen como elementos en la lista del submenú a la izquierda de la pantalla.
Servidor DHCP: servidor DHCP para la asignación automática de IP
DNS dinámico: cliente para proveedores de DNS dinámicos, como DynDNS (para uso en casa u oficinas pequeñas)
Motor de antivirus: configura el motor de antivirus utilizado por los proxies de correo electrónico, web, pop y FTP
Servidor de fecha y hora: activa y configura el servidor de fecha y hora NTP, ajusta la zona horaria o actualiza la hora
manualmente
Cuarentena de correo: administración de correos electrónicos en cuarentena
Capacitación de spam: configura la capacitación para el filtro de spam utilizado por los proxies de correo
Prevención de intrusiones: configura snort, el IPS
Alta disponibilidad: configura el dispositivo Panda GateDefender en una configuración de alta disponibilidad
Monitorización de tráfico: activa o desactiva la monitorización del tráfico con ntop
Servidor SNMP: activa o desactiva la compatibilidad con el protocolo simple de administración de redes
Calidad de servicio: priorización del tráfico IP
Servidor DHCP
Los clientes (terminales y servidores) utilizan el servidor DHCP en las zonas controladas por el dispositivo Panda GateDefender para
recibir una dirección IP (“asignación”). Asimismo, el servidor DHCP permite controlar de manera centralizada la dirección IP que se les
ha asignado. Se pueden conceder dos tipos de asignación a los clientes: dinámica y fija. La página del servidor DHCP está dividida en
dos o tres cuadros: DHCP, donde se configura el servidor DHCP; Asignaciones actuales fijas, que muestra las asignaciones fijas, y
Asignaciones actuales dinámicas, que solo aparece si al menos un cliente ha obtenido una asignación dinámica. Las asignaciones
dinámicas se asignan en una base de red dentro de un rango determinado que se configura en el primer cuadro, mientras que las
asignaciones fijas se asignan en una base por host y se configuran en el segundo cuadro.
DHCP
Cuando un cliente (un host u otro dispositivo como una impresora en la red) se une a la red, automáticamente recibirá una dirección IP
válida de un rango de direcciones y otros ajustes desde el servicio DHCP. El cliente debe estar configurado para utilizar DHCP, que a
veces se denomina “configuración de red automática”, y a menudo es el ajuste predeterminado en la mayoría de las estaciones de
trabajo. Las asignaciones dinámicas se configuran en una base de zonas: por ejemplo, se pueden habilitar solo para los clientes en la
zona VERDE, mientras que otras zonas activas solo reciben asignaciones fijas.
Sin embargo, es posible permitir que también los dispositivos en las zonas NARANJA (DMZ) o AZUL (WLAN) reciban asignaciones
dinámicas.
Nota:
si la zona AZUL está activada pero la administra el Hotspot, aparece el mensaje La configuración DHCP es administrada por el Hotspot,
impidiendo que lo configure.
Para personalizar el parámetro DHCP para cada zona, haga clic en el pequeño icono junto a la etiqueta Configuración. Estas son las
opciones disponibles:
Activado
Activa el servidor DHCP en la zona.
Dirección de inicio, Dirección de finalización
El rango de las direcciones IP que se suministrarán a los clientes. Estas direcciones deben encontrarse dentro de la subred que se ha
asignado a la zona correspondiente. Si algunos hosts deben recibir una asignación fija (véase más adelante), asegúrese de que sus
direcciones IP no están incluidas en este rango ni en el rango del conjunto de direcciones de OpenVPN (véase Barra de menú ‣ VPN
‣ Servidor OpenVPN) para evitar conflictos.
Si deja estos dos campos en blanco, se utilizará todo el rango de IP de la zona para asignaciones dinámicas.
Permitir solo asignaciones fijas
Marque esta casilla para utilizar solo asignaciones fijas. No se asignará ninguna asignación dinámica.
Tiempo de asignación por defecto, Tiempo máximo de asignación
El tiempo predeterminado y el tiempo máximo en minutos antes de que la concesión de cada asignación caduque y el cliente
solicite una nueva asignación desde el servidor DHCP.
Sufijo del nombre de dominio
El sufijo del nombre de dominio predeterminado que se pasa a los clientes y que se utilizará para búsquedas de dominios
locales.
Puerta de enlace predeterminada
La puerta de enlace predeterminada que utilizarán los clientes de la zona. Si se deja en blanco, la puerta de enlace
predeterminada es el mismo dispositivo Panda GateDefender.
DNS primario, DNS secundario
El DNS utilizado por los clientes. Dado que el dispositivo Panda GateDefender contiene un servidor DNS caché, el valor
predeterminado es la propia dirección IP del firewall en la zona respectiva, aunque se puede cambiar un segundo servidor o
incluso el valor primario.
Servidor NTP primario, Servidor NTP secundario
Los servidores NTP utilizados por los clientes para mantener los relojes sincronizados.
INS primario, Servidor WINS secundario Servidor W
Los servidores WINS utilizados por los clientes. Esta opción solo se necesita para las redes de Microsoft Windows que
utilizan WINS.
Los usuarios avanzados pueden querer añadir algunas líneas de configuración personalizadas al archivo dhcpd.conf (por
ejemplo, rutas personalizadas a subredes). Para ello, deben escribirlas en el área de texto al pie, marcada con la etiqueta Líneas de
configuración personalizadas.
Advertencia:
no se lleva a cabo ninguna comprobación de sintaxis en estas líneas. Las líneas se añaden al archivo de configuración. Cualquier error
cometido aquí puede impedir que el servidor DHCP arranque.
Ejemplo SRV-1: arranque PXE y configuración dhcpd.conf.
La personalización del servidor DHCP es útil en diferentes configuraciones de red.
Otro caso de uso común es el de los teléfonos VoIP que necesitan recuperar sus archivos de configuración de un servidor HTTP en el
momento del inicio. En este caso, los archivos también pueden residir en el dispositivo Panda GateDefender, para que la configuración
del servidor tftp pueda pasarse como líneas adicionales similares a la siguiente:
option tftp-server-name "http://$GREEN_ADDRESS";
option bootfile-name "download/voip/{mac}.html";
Cabe destacar el uso de $GREEN_ADDRESS, que es una macro reemplazada en el archivo dhcpd.conf por la GREENIP del
dispositivo Panda GateDefender.
Asignaciones actuales fijas
A veces es necesario o deseable que determinados dispositivos utilicen siempre la misma dirección IP mientras utilizan DHCP, por
ejemplo, servidores que proporcionan servicios como un cuadro VoIP, un repositorio SVN, un servidor de archivos, o dispositivos como
impresoras o escáneres. Por regla general, una asignación fija se denomina Dirección IP estática, dado que un dispositivo siempre
recibirá la misma dirección IP al solicitar una asignación desde el servidor DHCP.
Este cuadro presenta la lista de todas las asignaciones fijas actualmente activas en la red local, y proporciona información acerca de esa
asignación. Al hacer clic en el enlace Añadir asignación fija, se pueden asignar nuevas asignaciones fijas a un dispositivo e insertar toda
la información que aparecerá en la lista. Los dispositivos se identifican por sus direcciones MAC.
Nota:
asignar una asignación fija desde el servidor DHCP es muy diferente de configurar la dirección IP manualmente en un dispositivo. De
hecho, en este último caso, el dispositivo aún contactará con el servidor DHCP para recibir su dirección y anunciar su presencia en la
red. Cuando la dirección IP requerida por el dispositivo ya ha sido asignada, sin embargo, se otorgará una asignación dinámica al
dispositivo.
Se pueden establecer los siguientes parámetros para las asignaciones fijas:
Dirección MAC
La dirección MAC del cliente.
Dirección IP
La dirección IP que siempre se asignará al cliente.
Descripción
Una descripción opcional del dispositivo que recibe la asignación.
Siguiente dirección
La dirección del servidor TFTP. Esta y las dos opciones siguientes son útiles solo en algunos casos (véase un ejemplo a
continuación).
Nombre de archivo
El nombre de archivo de la imagen de inicio. Opción necesaria solo para clientes finos o inicio de la red.
Ruta root
La ruta del archivo de imagen de inicio.
Activado
Si esta casilla no está marcada, la asignación fija se almacenará pero no se escribirá en el archivo dhcpd.conf.
Las acciones disponibles para cada asignación fija en la tabla son:
: cambia el estado de la asignación entre activada y desactivada.
: modifica la propiedad de la asignación.
: elimina la asignación.
Un ejemplo de uso de una asignación fija.
Un ejemplo de uso que demuestra la utilidad de una asignación fija es el caso de clientes finos o estaciones de trabajo sin disco en la
red que utilizan PXE, es decir, inician el sistema operativo desde una imagen suministrada por un servidor tftp de red. Si el servidor tftp
está hospedado en el mismo servidor que el DHCP, el cliente fino recibe la asignación y la imagen desde el mismo servidor. Sin
embargo, lo más frecuente es que el servidor tftp esté hospedado en otro servidor de la misma red. Por lo tanto, el servidor DHCP debe
redirigir al cliente a ese otro servidor, una operación que puede realizarse fácilmente añadiendo una asignación fija en el servidor DHCP
para el cliente fino, una dirección siguiente y el nombre de archivo de la imagen para realizar el inicio.
Además de la información suministrada durante la creación de la asignación fija, la lista permite que cada asignación se active o
desactive (marcando la casilla), edite o elimine haciendo clic en los iconos de la columna Acciones. Editar una asignación abrirá el
mismo formulario que la creación de una asignación nueva, mientras que eliminar una asignación la eliminará inmediatamente de la
configuración.
Nota:
todas las asignaciones concedidas por el servidor DHCP se almacenan de forma predeterminada en el archivo
/var/lib/dhcp/dhcpd.leases. Aunque el demonio DHCP se encarga de limpiar dicho archivo, puede suceder que
el archivo almacene asignaciones que ya hayan caducado y sean bastante antiguas. Esto no supone ningún problema y no interfiere
con el funcionamiento normal del servidor DHCP. Una entrada típica en ese archivo es:
lease 192.168.58.157 {
starts 2 2013/06/11 13:00:21;
ends 5 2013/06/14 01:00:21;
binding state active;
next binding state free;
hardware ethernet 00:14:22:b1:09:9b;
}
Asignaciones actuales dinámicas
Cuando el servidor DHCP está activo y al menos un cliente ha recibido una dirección IP (dinámica), aparece un tercer cuadro al pie de
página que contiene la lista de las direcciones IP dinámicas asignadas actualmente. Esta lista presenta las direcciones IP, las
direcciones MAC, el nombre del host, el momento de caducidad de la asignación asociada a cada cliente.
DNS dinámico
Un servidor DNS proporciona un servicio que permite resolver la dirección IP (numérica) de un host a partir su nombre de host y
viceversa, y funciona perfectamente para hosts con direcciones IP y nombres de host fijos.
Los proveedores de DDNS, como DynDNS o no-IP, ofrecen un servicio similar cuando las direcciones IP son dinámicas, que suele ser lo
habitual cuando se utilizan conexiones ADSL residenciales. Cualquier nombre de dominio se puede registrar y asociar a un servidor con
una dirección IP dinámica, que comunica cualquier cambio de dirección IP al proveedor DDNS. Para ser compatible e integrarse con los
servidores DNS root, cada vez que la dirección IP cambia, la actualización debe propagarse activamente desde el proveedor de DDNS.
El dispositivo Panda GateDefender incluye un cliente DNS dinámico para 14 proveedores diferentes y, si está activado, se conectará
automáticamente al proveedor de DNS dinámico para comunicar la nueva dirección IP siempre que cambie.
Nota:
si no se ha configurado ninguna cuenta DNS dinámica, en el sitio web de los proveedores están disponibles las indicaciones precisas
para registrar una nueva cuenta y las ayudas e instrucciones detalladas en línea.
Esta página muestra la lista de cuentas DNS dinámicas. De hecho, se puede utilizar más de un proveedor de DDNS. Para cada cuenta,
la lista muestra información acerca del servicio utilizado, el nombre del host y nombre de dominio registrado, si el proxy anónimo y los
comodines se encuentran activos, si está activado, y las posibles acciones:
: cambia el estado de la asignación entre activada y desactivada.
: modifica la propiedad de la asignación.
: elimina la asignación.
Se pueden crear cuentas nuevas haciendo clic en el enlace Añadir host, proporcionando los siguientes parámetros:
Servicio
El menú desplegable muestra los proveedores de DDNS disponibles.
Detrás de un proxy
Esta opción solo aplica al proveedor no-ip.com. Si el dispositivo Panda GateDefender se conecta a Internet a través de un
proxy, se debe marcar esta casilla.
Activar comodines
Algunos proveedores de DNS dinámicos permiten que todos los subdominios de un dominio apunten a la misma dirección IP.
Esta es una situación en la que dos hosts como www.ejemplo.myddns.org y segundo.ejemplo.myddns.org se encuentran
ubicados en la misma dirección IP. Marcar estas casillas activa la función, haciendo que todos los subdominios posibles
redirijan a la misma dirección IP. La función también debe configurarse en la cuenta del servidor del proveedor de DDNS, si
se encuentra disponible.
Nombre de host y Dominio
El nombre de host y el dominio según figuran registrados con el proveedor de DDNS, por ejemplo “ejemplo” y “myddns.org”.
Nombre de usuario y Contraseña
Las credenciales proporcionadas desde el proveedor de DNS dinámico para acceder al servicio.
Detrás del enrutador (NAT)
Active esta opción si el dispositivo Panda GateDefender no está conectado directamente a Internet, es decir, hay otro
enrutador o puerta de enlace antes de acceder a Internet. En este caso, se puede utilizar el servicio en
http://checkip.dyndns.org para encontrar la dirección IP del enrutador.
Activado
Marque esta casilla para activar la cuenta, que es la predeterminada.
Nota:
sigue siendo necesario exportar un servicio a la zona ROJA para permitir el uso del nombre de dominio para conectarse al dispositivo
Panda GateDefender desde Internet utilizando su dirección IP dinámica, puesto que el proveedor de DNS dinámico solo resuelve el
nombre de dominio y no los servicios asociados. Para exportar un servicio, suele ser necesario establecer la redirección de puertos
(véase Barra de menú ‣ Firewall ‣ Redirección de puertos/NAT).
Después de realizar un cambio en la configuración o para actualizar inmediatamente el DNS dinámico de todas las cuentas definidas,
haga clic en el botón Forzar actualización. Esto es útil, por ejemplo, cuando el enlace activo ha sido desconectado y se ha cambiado la
REDIP. Cuando esto sucede, deben actualizarse todas las cuentas DDNS; de lo contrario, no se podrá acceder a los servicios ofrecidos
a través del DDNS.
Motor de antivirus
El motor de antivirus del dispositivo Panda GateDefender es Panda, que se usará para la búsqueda de virus y malware en archivos y
documentos que pasen por el dispositivo Panda GateDefender mediante uno de los servicios de proxy en ejecución. En esta página solo
hay una pestaña: Panda Antivirus.
Archivo bomba y DoS.
Los archivos bomba son archivos que utilizan algunos trucos para sobrecargar un software antivirus hasta el punto que consumen la
mayoría de los recursos del equipo que lo hospeda. Esto se denomina ataque de DoS. Estos trucos incluyen: archivos pequeños
creados a partir de archivos grandes con contenido repetitivo que se comprime bien (por ejemplo, un archivo de 1 GB que contenga solo
ceros se comprime a solo 1 MB utilizando zip); varios archivos anidados (es decir, archivos zip dentro de archivos zip); archivos que
contienen un gran número de archivos vacíos, etc. Descomprimir archivos con alguna de estas características supone un gran reto para
las actividades normales de un servidor o una estación de trabajo, dado que se necesitan muchos recursos (especialmente RAM y CPU)
y reducen su disponibilidad para los usuarios.
Panda Antivirus
El dispositivo Panda GateDefender incorpora el motor Panda Antivirus para proteger redes internas contra virus y malware.
La primera opción disponible es seleccionar el ciclo de actualización de las firmas antivirus, que puede ser: cada hora, diario, semanal o
mensual.
Las opciones de escaneo que pueden configurarse se agrupan en 3 secciones:
Análisis de contenido de archivos
La siguiente opción está relacionada con la búsqueda y el análisis de varios tipos de programas de malware que pueden infectar los
servidores y las estaciones de trabajo que hay detrás del dispositivo Panda GateDefender.
Limpiar archivos infectados
Marque la casilla para activar la limpieza automática de archivos durante el análisis antimalware. Cuando está desactivada,
esta opción provoca la eliminación del archivo infectado, sin intentar repararlo.
Examina las jokes conocidas
Active el análisis de jokes de malware, es decir, programas pequeños que causan pánico en los usuarios sin provocar daño
alguno en la estación de trabajo del usuario.
Examina los dialers conocidos
Active el análisis de dialers de malware, programas que intentan marcar números de teléfono sin su consentimiento.
Examina los spyware/adware conocidos
Activa la búsqueda programas de spyware y adware.
Examina las herramientas de piratería conocidas
Marque la casilla para activar la búsqueda de malware de herramientas de piratería.
Examina los riesgos de seguridad conocidos
Active el análisis de malware conocido como riesgos de seguridad.
Examina las vulnerabilidades MIME conocidas
Marque la casilla para activar la búsqueda de vulnerabilidades MIME.
Activa el análisis heurístico
Utilice el análisis heurístico de malware para buscar nuevos tipos de malware que aún no han sido incluidos en las firmas.
Nivel heurístico
Elija el nivel de sensibilidad deseado para el análisis heurístico, entre los tres disponibles, bajo, medio y alto.
Archivos empaquetados y/o comprimidos
Estas opciones están relacionadas con el comportamiento del antivirus cuando se enfrenta a archivos comprimidos. Para obtener más
información, haga clic aquí.
Analiza los archivos comprimidos/empaquetados
Marque la casilla para activar el análisis del contenido de los archivos comprimidos.
Nivel máximo de recursividad
Nivel máximo de recursividad de los archivos comprimidos.
Controlar tamaño de descompresión
Marque la casilla para activar el control del tamaño de los archivos descomprimidos.
Tamaño máximo de descompresión
El tamaño máximo en kilobytes de los archivos descomprimidos permitido para elementos sin comprimir.
Nivel máximo de anidamiento
El nivel de anidación máximo permitido para archivos comprimidos.
Extensiones de archivo
Extensiones de la lista blanca
Al marcar esta casilla, aparece un área de texto justo debajo de la opción en la que se puede escribir una lista de extensiones de archivo. Los archivos que terminan con una de esas extensiones pasarán por el motor antivirus sin analizarlos.
Extensiones de la lista negra
Al marcar esta casilla, aparece un área de texto justo debajo de la opción en la que se puede escribir una lista de
extensiones de archivo. Los archivos que terminan con una de esas extensiones serán bloqueados por el motor antivirus sin
analizarlos.
Servidor de fecha y hora
El dispositivo Panda GateDefender utiliza NTP para mantener la hora de su sistema sincronizada con los servidores de fecha y hora de
Internet. Los ajustes disponibles están agrupados en dos cuadros.
Utilizar un servidor de fecha y hora de red
El sistema tiene preconfigurados y utiliza varios hosts del servidor de tiempo en Internet. No obstante, pueden especificarse servidores
de tiempo personalizados después de marcar la casilla Sobrescribir servidores NTP preestablecidos. Esto puede ser necesario al
ejecutar una configuración que no permite al dispositivo Panda GateDefender conectarse a Internet. Se pueden introducir varias
direcciones de servidores de fecha y hora, una por línea, en el formulario pequeño que aparecerá.
Este cuadro también muestra el ajuste de zona horaria actual, que también puede cambiarse seleccionando uno diferente desde el
menú desplegable. Se puede realizar una sincronización inmediata haciendo clic en el botón Sincronizar ahora.
Ajustar manualmente
La segunda casilla ofrece la posibilidad de cambiar el horario del sistema de manera manual. Si bien esto no es aconsejable, esta
acción es útil cuando el reloj del sistema no está sincronizado y se necesita una actualización inmediata del reloj del dispositivo Panda
GateDefender para corregir la hora.
La sincronización automática utilizando servidores de fecha y hora no se realiza instantáneamente, sino que el reloj se “desacelera” o
“acelera” un poco para recuperar y alinearse con la hora correcta. Por lo tanto, para corregir un sistema con un error importante en su
hora puede necesitarse un periodo de tiempo considerable. En esos casos, forzar una sincronización manual representa una solución
más drástica pero inmediata.
Cuarentena de correo
La cuarentena de correo es un lugar especial del disco duro del dispositivo Panda GateDefender donde se almacenan, en lugar de ser
enviados, todos los correos electrónicos que el proxy SMTP identifica como que contienen spam, malware, virus o archivos adjuntos
sospechosos. Aquí pueden analizarse esos mensajes de manera segura y tomarse medidas para administrarlos. Para activar la
cuarentena de correo, vaya a Barra de menú ‣ Proxy ‣ SMTP ‣ Configuración y en los cuadros Configuración de spam, Configuración
del antivirus y Configuración de archivos, elija la opción “mover a la ubicación de cuarentena por defecto” de los menús desplegables.
La página de cuarentena de correo contiene una tabla con la lista de todos los correos almacenados en la cuarentena. Encima de la
tabla, hay una barra de navegación para explorar los correos.
La tabla contiene la siguiente información sobre los correos guardados en la cuarentena.
Seleccionar
Una casilla que permite seleccionar uno o más mensajes simultáneamente y efectuar una acción en todos ellos.
Motivo
El motivo por el cual se ha bloqueado la entrega de un correo electrónico, que puede ser: Malware (el correo electrónico
contiene virus u otros tipos de amenazas), Spam (correo electrónico no deseado), Prohibido (el correo contiene un archivo
adjunto que no se puede enviar) y Encabezado erróneo (la información contenida en el encabezado no es válida).
Fecha
La fecha y la hora en que el correo electrónico se ha movido a la cuarentena.
Tamaño
El tamaño del correo electrónico.
De
El emisor del correo electrónico.
Asunto
El asunto del correo electrónico.
Adjunto
El número de documentos adjuntos al correo electrónico.
Acciones
Los cuatro iconos de esta columna representan las acciones disponibles: ver el mensaje, descargar el mensaje,
liberar el mensaje y entregarlo al receptor original y eliminar el correo electrónico. Encontrará más detalles a
continuación.
Dos botones situados debajo de la tabla permiten llevar a cabo acciones cuando hay más de un mensaje seleccionado en la tabla.
Liberar
Libera los mensajes seleccionados y los programa para su entrega inmediata.
Eliminar
Elimina de forma permanente los correos electrónicos seleccionados.
Al hacer clic en el icono de ver mensaje, la lista de correos electrónicos se sustituye por una página dividida en tres cuadros, que
muestra diversos detalles sobre el correo electrónico seleccionado.
Correo electrónico en cuarentena
Este cuadro muestra una vista más detallada de los datos de los correos electrónicos que figuran en la lista: la razón por la que el correo
electrónico fue enviado a la cuarentena, el emisor y los receptores, las direcciones en copia (CC), el asunto, la fecha y la hora de
recepción y el tamaño del correo.
Encabezados
El encabezado completo original del correo electrónico, que puede proporcionar información útil, por ejemplo, sobre la ruta que ha
seguido el correo.
Carga útil
Si el correo electrónico tiene uno o más archivos adjuntos, se muestran aquí junto con sus detalles. Además, cada archivo HTML
adjunto se muestra con su código fuente completo.
En la parte inferior hay una opción disponible:
Eliminar de la cuarentena después de la liberación
El correo electrónico se eliminará de la cuarentena después de enviarlo al receptor original.
Capacitación de spam
El dispositivo Panda GateDefender incluye SpamAssassin como motor para encontrar y luchar contra el spam. Si bien SpamAssassin
tiene éxito en la mayoría de los casos, es necesario capacitarlo para mejorar sus capacidades de interceptar correos electrónicos no
deseados. La configuración de la capacitación del motor antispam puede realizarse en esta página. De hecho, SpamAssassin puede
aprender automáticamente qué correos electrónicos son spam y cuáles no lo son (los denominados correos ham). Para aprender,
necesita conectarse a un host IMAP y comprobar las carpetas predefinidas para mensajes spam y ham.
La página de SpamAssassin se compone de dos cuadros: uno que contiene una lista de hosts IMAP utilizada para aprender, con las
posibilidades de administrarlo en varios niveles, y otro para modificar la programación de las actualizaciones.
Fuentes para capacitación de spam vigente
El primer cuadro permite la configuración de las fuentes de capacitación, mediante dos enlaces que, después de hacer clic en ellos,
revelarán dos paneles donde especificar los varios valores de configuración. La configuración predeterminada, que inicialmente se
encuentra vacía, no se utiliza para la capacitación, sino que solo proporciona valores que luego heredan las fuentes de capacitación
reales que pueden añadirse justo a continuación. Al hacer clic en el enlace Editar configuración predeterminada, se pueden configurar
estos ajustes:
Host IMAP por defecto
El host IMAP que contiene las carpetas de capacitación.
Nombre de usuario por defecto
El nombre de inicio de sesión para el host IMAP.
Contraseña por defecto
La contraseña del usuario.
Carpeta ham por defecto
El nombre de una carpeta que solo contiene mensajes ham. Puede ser, por ejemplo, una carpeta dedicada que almacena
solo mensajes “limpios”, o incluso la Bandeja de entrada.
Carpeta predeterminada de correo no deseado
El nombre de una carpeta que solo contiene mensajes de spam.
Programar una capacitación de filtro de correo no deseado automático
El intervalo de tiempo entre dos comprobaciones consecutivas, que puede ser desactivado o puede ser un intervalo por
horas, días, semanas o meses. La hora exacta programada aparece al mover el cursor del ratón sobre los signos de
interrogación. Si la opción está deshabilitada, se debe capacitar manualmente al motor antispam.
Pueden añadirse fuentes de capacitación de spam adicionales en el panel que aparece al hacer clic en el enlace Añadir fuente IMAP de
capacitación de SPAM. Las opciones para los hosts de capacitación adicionales son las mismas que las opciones de configuración
predeterminadas, excepto por lo que respecta a la programación, que siempre se hereda de la configuración predeterminada, y a tres
nuevas opciones disponibles.
Activado
La fuente de capacitación se usará siempre que se capacite SpamAssassin. Si no está activada, la fuente no se utilizará
durante la capacitación automática, sino únicamente en las manuales.
Observaciones
Un comentario acerca de esta fuente.
Eliminar correos procesados
Si los correos electrónicos deben eliminarse después de procesarlos.
Las otras opciones se pueden definir igual que en la configuración predeterminada y, cuando se especifica, se invalidan los valores
predeterminados. Para guardar la configuración de una fuente es necesario hacer clic en el botón Añadir fuente de capacitación
después de haber establecido todos los valores deseados. Se pueden realizar varias acciones en una fuente de capacitación:
: cambia el estado del host IMAP entre activado y desactivado.
: modifica la propiedad del host IMAP.
: elimina el host IMAP.
: prueba la conexión con el host IMAP.
Se puede activar, desactivar, editar, eliminar o se puede probar la conexión haciendo clic en el icono adecuado.
Hay dos acciones adicionales disponibles y se realizarán en todas las conexiones, haciendo clic en uno de los botones ubicados en la
parte derecha superior del cuadro.
Probar todas las conexiones
Comprueba todas las conexiones a la vez. Esta operación puede tardar bastante tiempo si se han definido muchas fuentes
de capacitación o si la conexión con los servidores IMAP es lenta.
Iniciar capacitación ahora
Inicia la capacitación inmediatamente. Cabe destacar que la capacitación puede tardar bastante tiempo, dependiendo de
muchos factores: la cantidad de fuentes, la velocidad de la conexión y, sobre todo, la cantidad de correos electrónicos que se
descargarán.
Nota:
el motor antispam también puede capacitarse de otro modo si el proxy SMTP está activado tanto para los correos entrantes como para
los salientes. Esto se realiza mediante el envío de correos spam a las direcciones especiales [email protected] y correos no spam a
[email protected]. Los nombres del host spam.spam y ham.ham se añaden a la configuración de red inmediatamente después de la
instalación de la red y son alias para el host local. Si estas dos direcciones no están presentes, pueden añadirse a la configuración del
host en Barra de menú ‣ Red ‣ Editar hosts ‣ Añadir host en el dispositivo Panda GateDefender.
Cronograma para actualizaciones de reglas SpamAssassin
En esta casilla se puede programar la descarga automática de las firmas SpamAssassin utilizando las cuatro opciones disponibles: Por
hora, Diariamente, Semanalmente y Mensualmente.
Prevención de intrusiones
El dispositivo Panda GateDefender incluye el conocido sistema de detección y prevención de intrusiones (IDS e IPS, respectivamente)
snort, que ha sido desarrollado directamente a partir de iptables, para interceptar y cortar conexiones desde orígenes no deseados o
que no son de confianza.
La página contiene tres pestañas: Sistema de prevención de intrusos, Reglas y Editor.
Sistema de prevención de intrusos
Si snort no está activo, aparece un interruptor gris al lado de la etiqueta Activar sistema de prevención de intrusos en la
página y se puede hacer clic en él para iniciar el servicio. Aparece un mensaje que informa de que el servicio se está reiniciando y que,
tras un breve periodo, el cuadro contendrá algunas opciones para configurar el servicio.
Buscar reglas SNORT automáticamente
Marcar esta casilla permitirá que el dispositivo Panda GateDefender descargue automáticamente las reglas snort desde la Panda
Perimetral Management Console.
Nota:
si el dispositivo Panda GateDefender no está registrado, las reglas se descargan desde la página web de Amenazas Emergentes.
También se muestra un mensaje informativo en la parte inferior de la página.
Elegir programación de actualización
La frecuencia de descarga de las reglas. Un menú desplegable permite elegir una de las opciones: por hora, día, semana o
mes. Esta opción aparece solo si la opción anterior se ha activado.
Reglas de SNORT personalizadas
Un archivo que contiene reglas SNORT personalizadas que se debe cargar. Elija un archivo desde la ventana de selección
de archivos que se abre al hacer clic en el botón Examinar y cárguelo haciendo clic en el botón Subir reglas personalizadas.
Reglas
En la pestaña Reglas aparece la lista de conjuntos de reglas que se almacenan en el dispositivo Panda GateDefender, junto con el
número de reglas que contienen y las acciones que pueden realizarse sobre ellas:
: cambia el estado del conjunto de reglas entre activado y desactivado.
: la política aplicada a paquetes, se permita o no su paso.
: modifica la propiedad del conjunto de reglas.
: elimina el conjunto de reglas.
Nota:
al editar un conjunto de reglas en la pestaña Reglas, la página Editor (véase más adelante) abrirá ese conjunto de reglas que ha sido
seleccionado.
Todas estas acciones, excepto la edición, pueden realizarse en más de un conjunto de reglas a la vez, seleccionándolos (marcar la
casilla a la izquierda de su nombre de archivo) y pulsando uno de los botones debajo de la lista.
De forma predeterminada, la política de todos los conjuntos de reglas se establece en alerta. Este comportamiento se puede modificar
haciendo clic en el icono de alerta para cambiar la política a bloquear y en el icono con un escudo rojo. Después de hacer clic en el
botón Aplicar, ese conjunto de reglas no causará más alertas, pero todo el tráfico que coincida con sus reglas se bloqueará.
Un conjunto de reglas se puede eliminar haciendo clic en el icono de la papelera. Sin embargo, al hacer clic en el icono del lápiz, se abre
la página Editor donde se edita cada regla independientemente.
Editor
En la parte superior de la página Editor aparecen los conjuntos de reglas que se pueden editar. Para elegir más de un conjunto de
reglas al mismo tiempo, mantenga pulsada la tecla CTRL y haga clic en los conjuntos de reglas.
Después de seleccionar y hacer clic en el botón Editar, se muestra la lista de reglas incluidas en el conjunto (o conjuntos) de reglas
seleccionado(s). La lista puede acortarse introduciendo algunos términos en el cuadro de texto junto a la etiqueta Buscar. Al igual que
en la página Reglas, la política de cada entrada se puede cambiar.
Advertencia:
activar el IPS únicamente conlleva que snort esté en funcionamiento, pero todavía no filtra el tráfico. Para que snort filtre paquetes, se
debe seleccionar la política de filtro Permitir con IPS en las reglas definidas en las varias páginas de configuración de Firewall.
Alta disponibilidad
El dispositivo Panda GateDefender se puede ejecutar en un modo HA, que puede configurarse fácilmente utilizando al menos dos
dispositivos Panda GateDefender, uno de los cuales asume el rol de firewall activo (es decir, maestro), mientras que los demás son
firewalls en espera (es decir, esclavos).
Si el firewall maestro falla, se realiza una elección entre los esclavos y uno de ellos se convierte en el nuevo maestro, lo que proporciona
una conmutación por error transparente. No obstante, si solo hay un esclavo, inmediatamente adoptará las tareas del maestro y
permitirá una transición de conmutación por error perfecta al dispositivo Panda GateDefender secundario en caso de avería de hardware
en el dispositivo maestro. Esto proporciona una disponibilidad de hardware sin precedentes y redundancia para funciones y seguridad
de red críticas.
Para iniciar el servicio HA, se deben configurar al menos un dispositivo Panda GateDefender maestro y uno esclavo de acuerdo con las
siguientes pautas.
Nota:
el módulo de alta disponibilidad precisa de como mínimo dos dispositivos Panda GateDefender absolutamente idénticos.
Un aspecto importante que debe tenerse en cuenta al implementar alta disponibilidad es que se debe proporcionar un método de
duplicación para cada conexión con el dispositivo de Panda. Cada conexión de la unidad principal (por ejemplo, WAN, LAN, etc.) debe
replicarse en todas las unidades en espera para garantizar que existan capacidades de replicación completas.
En este caso, cada red del dispositivo Panda GateDefender (WAN, LAN, etc.) está conectada a un interruptor administrado
externamente que tiene una VLAN asignada a cada red. Esta opción de implementación consume la menor cantidad de puertos de red y
aporta una extensibilidad mejorada. Otra opción consiste en reemplazar un único interruptor administrado (preparado para VLAN) por
interruptores más pequeños e individuales para cada red (WAN, LAN, etc.). Sin embargo, esta configuración puede no ser rentable y
podría ser menos fiable dado que la avería de cualquier interruptor podría romper la conmutación por error parcial o totalmente.
Advertencia:
dado que la HA se ejecuta de forma automática en la red VERDE, el latido puede configurarse para ejecutarse en la conexión del
interruptor o, como alternativa, se puede asignar un puerto Ethernet adicional a la red VERDE para conectar de manera directa el
dispositivo maestro a la unidad esclava. La ventaja de añadir una conexión directa es que elimina el interruptor (y, por lo tanto, posibles
fuentes de problemas, mejorando la fiabilidad general) de la ecuación de conmutación por error. La decisión de implementar esta
configuración puede depender en gran medida de la fiabilidad general del interruptor administrado (fuente de alimentación doble, índice
de averías del puerto, términos de garantía, etc.). Por ello, cuanto más fiable/redundante es la configuración del interruptor, menos
crítico resulta tener una conexión directa.
En esta página, solo hay un cuadro, que inicialmente contiene solo una opción:
Activar alta disponibilidad
Activa HA en el dispositivo Panda GateDefender; de forma predeterminada, está desactivada.
Tras la activación, aparece un segundo menú desplegable, Lado de alta disponibilidad, que permite configurar el dispositivo Panda
GateDefender como maestro o esclavo. Dependiendo de esta elección, hay diferentes opciones de configuración disponibles. Para
configurar una unidad esclava, sin embargo, es necesario haber establecido una unidad maestra.
Para el lado maestro, existen las siguientes opciones:
Red de administración
La subred especial a la cual deben conectarse todos los dispositivos Panda GateDefender que son parte de la misma
configuración HA y su valor predeterminado es 192.168.177.0/24. A menos que esta subred se utilice para
otros fines, no es necesario cambiarla.
Dirección IP maestra
La primera dirección IP de la red de administración. Automáticamente está establecida en 1 en la red elegida, y su valor
predeterminado es 192.168.177.1.
Notificación: dirección de correo electrónico del destinatario, Notificación: dirección de correo electrónico del remitente, Notificación: asunto del correo electrónico, Notificación: servidor SMTP que se utilizará
Estas opciones pueden rellenarse para recibir notificaciones por correo electrónico cuando se produce un evento de
conmutación por error. Se configuran de la misma manera que otras notificaciones de eventos en Barra de menú ‣ Sistema ‣
Notificación de evento: un emisor, un receptor y un asunto personalizados del correo electrónico y el smarthost SMTP
utilizados para enviar el correo electrónico.
Activar STP
Elija en el menú desplegable si desea activar o no el STP (protocolo de árbol de expansión). Esta opción y la siguiente son
importantes cuando el dispositivo Panda GateDefender está en modo de puerta de enlace.
Prioridad de enlace STP
La prioridad del enlace. Debe ser 1 en el lado maestro.
Aparecerá un segundo cuadro después de haber activado la HA, con la lista de esclavos con sus direcciones IP, un enlace para acceder
a su GUI de administración y la posibilidad de eliminar un esclavo.
La red de administración de HA.
El dispositivo Panda GateDefender utiliza una red especial para conectar la unidad maestra a la(s) esclava(s). 192.168.177.0/24. Si esta
red ha sido utilizada en otras zonas, no se elimina ninguna de las redes definidas ni se debe hacer ningún cambio en ellas. De hecho, en
tal caso, simplemente asigne a la red de administración de HA un rango de direcciones IP diferentes, por ejemplo, 172.19.253.0/24 o
10.123.234.0/28. Cabe mencionar que el único requisito de la red de administración es que debe ser lo suficientemente grande como
para acomodar al maestro y los esclavos. Por consiguiente, si solo hay un dispositivo maestro y un esclavo, incluso una red pequeña
como la 192.168.177.0/29 debería ser suficiente. La red de administración se creará como interfaz en la red VERDE, y se mostrará
como tal en el dispositivo o al visualizar el estado de la red.
Advertencia:
asegúrese de que se pueda establecer conexión con la red de administración desde la configuración LAN actual, o no será posible
iniciar sesión en la unidad maestra.
Después de configurar la unidad maestra, se puede configurar el segundo dispositivo Panda GateDefender, que será el esclavo. Deben
seguirse los mismos procedimientos para configurar cada esclavo adicional.
Advertencia:
se recomienda hacer un backup de la unidad esclava antes de configurarla y guardarla en un sitio seguro, dado que puede ser útil para
restablecer una unidad esclava después de haberla retirado de su rol.
Para el lado esclavo, se encuentran disponibles las siguientes opciones:
Dirección IP maestra
La dirección IP de la unidad maestra, que de forma predeterminada es 192.168.177.1/24 si la red de
administración no se ha cambiado. Este valor debe coincidir con el que aparece como valor de la opción Dirección IP
maestra en la unidad maestra.
Contraseña de root principal
La contraseña del usuario root de la consola (no la interfaz de administración gráfica) en la unidad maestra.
El esclavo utilizará estos datos para recuperar del maestro toda la información necesaria y mantener la sincronización.
Activar STP
Elija en el menú desplegable si desea activar o no el STP (protocolo de árbol de expansión). En el lado esclavo, esta opción
debe tener el mismo valor que en el lado maestro.
Prioridad de enlace STP
La prioridad del enlace. En el lado esclavo, debe ser un dígito o número mayor que el del lado maestro.
Al guardar la configuración, la conexión con el dispositivo se pierde temporalmente, dado que se crea la red de administración y luego
los dos dispositivos (el maestro y el esclavo definido actualmente) comienzan a sincronizarse.
Después de completar el proceso de sincronización, no se puede establecer conexión con el esclavo desde su dirección IP anterior (ya
sea la predeterminada de fábrica o su dirección GREENIP anterior), dado que ha entrado en modo en espera y está conectado al
maestro solo a través de la red de administración. Todo cambio realizado en la unidad principal (activación de un servicio, cambio de un
ajuste, eliminación de un usuario VPN, y demás) se sincronizará automáticamente con las unidades esclavas con excepción de las
actualizaciones o los backups de dispositivos (estos deben realizarse de manera manual en la unidad esclava).
Además, la unidad esclava de Panda aparecerá automáticamente en la lista de esclavos de la unidad maestra y se cambiará a una
interfaz web únicamente informativa a la que se puede acceder desde la unidad maestra, siguiendo el enlace Ir a administración de GUI
junto a cada una de las entradas de la lista de esclavos.
La dirección MAC ROJA
Durante la conmutación por error de HA, la dirección MAC de la interfaz ROJA no se replica en la unidad esclava. Esto puede suponer
un problema si el ISP exige utilizar la configuración IP permanente. En esta situación, la dirección IP asignada desde el ISP se
determina desde la dirección MAC de la interfaz de red del cliente, de manera similar a una IP fija asignada desde un servidor DHCP a
un cliente. Quizá no sea posible volver a conectar con la unidad esclava. Para evitar esta situación, es necesario utilizar la función de
ocultar la dirección de MAC en la interfaz ROJA para que la HA funcione adecuadamente. De este modo se garantizará que, cuando la
HA se active, la dirección MAC cargue la unidad en espera y no sea necesaria ninguna intervención manual. Esto puede lograrse en el
esclavo, antes de activarlo, marcando la opción Utilizar dirección MAC personalizada en Barra de menú ‣ Red ‣ Interfaces ‣ Editar
enlace activo principal ‣ Configuración avanzada y especificando la dirección MAC de la interfaz ROJA en el maestro. Como alternativa,
la dirección MAC puede introducirse en el paso 4 del asistente de instalación de red, escribiendo la dirección MAC del maestro en la
opción Ocultar la dirección MAC con.
Monitorización de tráfico
La monitorización del tráfico se realiza mediante ntopng y puede activarse o desactivarse haciendo clic en el interruptor principal de esta
página. Cuando está activada la monitorización del tráfico, aparece un enlace a su nueva interfaz de administración en la sección inferior
de la página. El tráfico se puede visualizar y analizar por host, protocolo, interfaz de red local y muchos otros tipos de información.
Todas estas operaciones pueden realizarse directamente desde el módulo Monitorización de tráfico en el menú Registros e informes.
Servidor SNMP
El SNMP se utiliza para supervisar dispositivos de red, y se puede utilizar, por ejemplo, para controlar el estado de la infraestructura
interna.
Para activar el servidor SNMP es suficiente hacer clic en el interruptor gris junto a la etiqueta Activar servidor SNMP. Una vez realizado,
aparecerán algunas opciones en el cuadro Configuración.
Cadena comunitaria
Una clave necesaria para leer los datos con un cliente SNMP.
Ubicación
Una cadena de identificación que puede establecerse como cualquier cosa, pero se recomienda que describa la ubicación
del dispositivo Panda GateDefender.
Sobrescribir dirección de correo electrónico para notificación global
El servidor SNMP exige configurar una dirección de correo electrónico como contacto del sistema, y la dirección de correo
electrónico general indicada durante el procedimiento de instalación es la que se utiliza de forma predeterminada. Sin
embargo, para utilizar una dirección de correo electrónico personalizada, marque la casilla y escríbala en el campo Dirección
de correo electrónico de contacto para el sistema que se activará justo debajo.
Calidad de servicio
El objetivo del módulo QoS es priorizar el tráfico IP que pasa por el dispositivo Panda GateDefender dependiendo del servicio. En otras
palabras, la QoS es una manera práctica de reservar una determinada cantidad de ancho de banda disponible (entrante y saliente) para
un servicio determinado. Las aplicaciones que suele ser necesario priorizar sobre el tráfico masivo son servicios interactivos, por
ejemplo, SSH o VoIP.
Las opciones de configuración de QoS se encuentran organizadas en tres pestañas: Dispositivos, Clases y Reglas.
Dispositivos
La pestaña Dispositivos también es la página inicial de QoS e inicialmente está vacía. Una vez cargada, aparece una tabla que muestra
una lista de todos los dispositivos de Calidad de servicio y, para cada dispositivo, algunos parámetros y las acciones disponibles.
Pueden añadirse nuevos dispositivos QoS haciendo clic en el enlace Añadir dispositivo de calidad de servicio encima de la lista y
configurando una serie de opciones.
Dispositivo de destino
La interfaz de red que utilizará este dispositivo. Las opciones se encuentran entre las interfaces de red o zonas activadas en
el sistema y pueden seleccionarse desde un menú desplegable.
Ancho de banda de bajada (kbits/s)
La velocidad de bajada de la interfaz.
Ancho de banda de subida (kbits/s)
La velocidad de subida de la interfaz.
Activado
Activa la QoS (opción predeterminada) o no.
Las acciones disponibles en los dispositivos son:
: activa o desactiva el dispositivo.
: modifica las propiedades del dispositivo.
: elimina el dispositivo.
Al editar un dispositivo, se abre el mismo formulario que cuando se añade un dispositivo nuevo, en el que se pueden modificar los
parámetros actuales del dispositivo.
Por cada dispositivo añadido, aparecerán cuatro elementos bajo la pestaña Clases: tres para prioridad alta, mediana y baja,
respectivamente, y uno para tráfico masivo (véase a continuación).
Clases
Esta pestaña muestra una lista de las clases de Calidad de servicio que se han creado, si corresponde. Para cada entrada, se muestran
varios datos. Pueden añadirse nuevos elementos haciendo clic en el enlace Añadir clase de calidad de servicio encima de la lista de
clases. Los parámetros que se deben configurar son los mismos que aparecen en la lista:
Nombre
El nombre de la clase de Calidad de servicio.
Dispositivo de calidad de servicio
El menú desplegable permite elegir el dispositivo de calidad de servicio para el que se creó la clase.
Sugerencia:
antes de definir una clase de QoS debe haberse creado al menos un dispositivo de QoS.
Reservado
El porcentaje de ancho de banda reservado para esta clase del ancho de banda del dispositivo disponible en total.
Límite
El porcentaje de ancho de banda máximo que esta clase puede utilizar.
Prioridad
La prioridad de la clase, de 0 (baja) a 10 (alta), seleccionada en un menú desplegable.
Nota:
la suma de los porcentajes reservados no puede ser superior a 100 por dispositivo. Además, el ancho de banda reservado no puede ser
superior al ancho de banda límite.
Las acciones disponibles son: * , modifica las propiedades del dispositivo; * , mueve la clase en la lista; y * , elimina el
dispositivo.
Las clases pueden moverse hacia arriba o abajo en la lista: los elementos más cercanos a la parte superior de la lista son los primeros
en procesarse cuando el ancho de banda no es suficiente para todo el tráfico y el dispositivo Panda GateDefender necesita elegir qué
tráfico priorizar.
Reglas
La tercera pestaña muestra una lista de las Reglas de calidad de servicio definidas y permite especificar qué tipo de tráfico debe
pertenecer a cada una de las clases. Para añadir una nueva regla de Calidad de servicio, haga clic en el enlace Añadir regla de calidad
de servicio. En el formulario que se abre, que es muy similar al utilizado para definir las reglas del firewall, se deben configurar varios
valores. Se utilizan muchos menús desplegables para facilitar las elecciones y guiarle durante la configuración.
Origen
Elija en el menú desplegable el origen del tráfico, ya sea una zona o interfaz, una red, o una dirección IP o MAC. En función
de esta elección, podrán especificarse distintos valores: una zona o interfaz de las disponibles entre las que aparecen o una
o más direcciones IP, redes o direcciones MAC.
Dispositivo de destino/Clase de tráfico
Elija el dispositivo/clase en el menú desplegable y, luego, las direcciones IP o las redes de destino, que deben escribirse en
el área de texto de la derecha.
Servicio/Puerto, Protocolo
Los dos menús desplegables siguientes se utilizan para definir el servicio, el protocolo y un puerto de destino para la regla
(cuando se seleccionan los protocolos TCP, UDP, o TCP + UDP). Existen algunas combinaciones predefinidas de
servicio/protocolo/puerto, como HTTP/TCP/80, <TODOS>/TCP+UDP/0:65535, o <CUALQUIERA>, que es un atajo para
todos los servicios, los protocolos y los puertos. Por último, en el Puerto de destino se pueden indicar uno o más números de
puertos personalizados (esto es útil cuando algún servicio no funciona en un puerto estándar).
TOS/DSCP
El tipo de valor TOS o DSCP que hay que igualar.
Igualar tráfico
Elegir TOS o Clase DSCP en el menú desplegable anterior permite seleccionar un valor adecuado para que el tráfico
coincida con otro menú desplegable. Por otra parte, la elección Valor DSCP permite introducir un valor personalizado que
debe coincidir con la regla.
Activado
Marque esta casilla para activar la regla.
Comentario
Un comentario para identificar la regla.
Nota:
si hay más de un servicio en una clase de Calidad de servicio, entonces todos los servicios compartirán el ancho de banda reservado.
Las acciones disponibles en las reglas son:
: activa o desactiva la regla.
: modifica las propiedades de la regla.
: elimina la regla.
El menú Firewall El menú del firewall
Esta sección permite establecer reglas que especifican si y cómo el tráfico de red fluye a través del dispositivo Panda GateDefender. El
firewall del dispositivo Panda GateDefender está dividido en diferentes módulos, cada uno de los cuales monitoriza y permite o bloquea
un tipo específico de tráfico. Los módulos que se encuentran disponibles son los siguientes:
Redirección de puertos / NAT - redirección de puertos y abbr:NAT (Network Address Translation).
Tráfico saliente - tráfico saliente, es decir, hacia la interfaz ROJA
tráfico Interzona - tráfico entre zonas.
Tráfico VPN - tráfico generado por los usuarios de la VPN.
Acceso al sistema - otorga acceso al propio host del dispositivo Panda GateDefender.
Diagramas del firewall - imágenes que muestran qué tipo de tráfico es interceptado por cada tipo de firewall.
Dentro de cada submenú, en los que se detallan todas las reglas existentes correspondientes, se puede agregar cualquier tipo de regla
personalizada, para cada tipo de servicio o todos los puertos/protocolos. Las diferentes partes de las que se compone el firewall se
refieren a diferentes tipos de tráfico (por ej.: Las diferentes partes de las que se compone el firewall se refieren a diferentes tipos de
tráfico (por ej.: OpenVPN gobierna el tráfico desde/hacia los usuarios de la VPN, el tráfico interzona gobierna el tráfico que fluye de zona
a zona) y están designadas para prevenir cualquier tipo de regla superpuesta u opuesta. En otras palabras, no hay manera de escribir
dos reglas en dos módulos diferentes del firewall cuyo efecto combinado produzca un bloqueo o acceso indeseado de los paquetes.
La opción de separar las redes que controla el dispositivo Panda GateDefender también permite un manejo más sencillo del firewall,
cuya configuración puede volverse muy compleja. En efecto, puede considerarse a cada uno de los módulos como un firewall
independiente y su efecto combinado cubre todo el flujo posible de los paquetes a través del dispositivo Panda GateDefender.
Además, para cualquier módulo que se detalla arriba, pueden existir una o más reglas, que no pueden deshabilitarse ni eliminarse.
Estas son las llamadas Reglas de los servicios del sistema (o Reglas del sistema), cuyo propósito es permitir la interoperabilidad
correcta de los servicios en ejecución en el dispositivo Panda GateDefender con la infraestructura de la Panda Perimetral Management
Console.
Las reglas que se definen aquí se transformarán en comandos iptables, la herramienta del firewall de Linux estándar desde el kernel
2.4 y, por lo tanto, se organizarán en tablas, cadenas y reglas. Para una descripción más profunda de los diferentes elementos que
componen una regla del firewall, o incluso para aprender a ajustar y administrar un firewall complejo, se sugiere leer la página del
manual iptables(8) en cualquier máquina Linux o alguno de los numerosos recursos en línea o tutoriales disponibles en Internet.
Elementos de configuración comunes
Al añadir una regla, la mayoría de los valores que se van a configurar en los diferentes módulos son del mismo tipo (p. ej., las interfaces
de fuente o destino), ya que al final todos se configuran con iptables. Por lo tanto, para mantener esta sección corta y fácil de leer,
todos los elementos de configuración que son comunes a todos los módulos del firewall están agrupados aquí y definidos una sola vez.
Solamente existirán más explicaciones en caso de que existan diferencias significativas con las descripciones que aquí se otorgan.
Origen o IP Entrante. Esta configuración, generalmente en forma de un menú desplegable, es el tipo de conexión de origen o entrante
que se debe combinar. Dependiendo del tipo elegido, será posible la selección de diferentes conexiones de la pequeña caja bajo el
menú: Zona/VPN/Enlace se refiere a la zona de origen, el cliente VPN, o al enlace al que debería aplicarse dicha regla, Red/IP/Rango
se refiere a la dirección IP o las direcciones de red, Usuario OpenVPN y Usuario L2TP se refiere a los usuarios OpenVPN o L2TP
respectivamente.
Destino o Meta. Esta configuración también aparece en un menú desplegable y permite la elección entre tres tipos de destinos que
deberían combinarse y que son iguales a los del menú desplegable Origen: Zona/VPN/Enlace, Red/IP, Usuario OpenVPN o Usuario
L2TP, con la excepción de algún pequeño cambio (por ej.: para algunos tipos de reglas, el destino no podrá ser un OpenVPN o un
usuario L2TP).
Servicio, Puerto y Protocolo. Generalmente se define a un servicio como la combinación de un puerto y un protocolo. Por ejemplo, el
servicio SSH se ejecuta por defecto en el puerto 22 y utiliza el protocolo TCP. Estas tres opciones controlan el puerto y el protocolo a
los que se aplicará la regla y consisten en dos menús desplegables desde los cuales se elige un Servicio predefinido que también
fijará el protocolo y el rango de puertos en el área del texto, o un Protocolo y opcionalmente un puerto o un rango de puertos. Los
protocolos disponibles son: TCP y UDP - los más utilizados, GRE - utilizado por los túneles, ESP - utilizado por el IPsec, e ICMP -
utilizado por los comandos ping y traceroute.
Nota
Existen docenas de servicios predefinidos que pueden elegirse desde los menús desplegables y deberían ser suficientes para permitir
el acceso a Internet de los servicios más comunes. Debería utilizarse una combinación de puerto y protocolo definida por el usuario
solamente si un servicio no se ejecuta en un puerto estándar (p. ej., un servidor SSH escucha el puerto 2345 o un servidor web se
ejecuta en el puerto 7981) o si un servicio utiliza un puerto en particular (p. ej., un juego multijugador en Internet).
Subregla "Acceder desde". Casi todas las reglas pueden detallarse con más profundidad añadiendo varias reglas Acceder desde, por
ejemplo para limitar el acceso a un cliente dependiendo de la zona desde la cual se conecta al dispositivo Panda GateDefender. Las
reglas Acceder desde pueden configurarse cuando se selecciona el modo avanzado (consulte a continuación). Como consecuencia,
una regla puede aparecer dividida en dos o más líneas, según el número de políticas de acceso que se hayan definido. Se puede
eliminar de manera individual cada subregla Acceder desde sin cambiar la regla principal. Cada una de las subreglas pueden poseer
incluso una política de filtro diferente.
Política, Política de filtro. La acción a llevarse a cabo en los paquetes que concuerdan con la regla actual. El menú desplegable
permite seleccionar entre cuatro opciones: Permitir con IPS permite que el paquete pase pero se analiza con el Sistema de prevención
de intrusos. Permitir permite que pasen los paquetes sin ningún tipo de revisión. Descartar descarta el paquete. Rechazar descarta el
paquete y envía un paquete de error como respuesta.
Activado. Todas las reglas que se crean se activan por defecto, pero pueden guardarse y no activarse al desmarcar la casilla, es decir,
no se tendrán en cuenta para el filtrado de paquetes. Desactivar una regla podría ser útil para los problemas de conexión con fallas.
Registrar, Registrar todos los paquetes aceptados. Por defecto no se registran entradas cuando se filtra el tráfico. Para activar el
registro de una regla, marque la casilla.
Advertencia
Si existe mucho tráfico y paquetes para analizar, el tamaño de los archivos de registro probablemente crezca rápido, así que en este
caso ¡recuerde revisar el registro de manera regular para evitar quedarse sin espacio!
Observación. Una descripción u observación sobre la regla para recordar el propósito de la regla.
Posición. Recuerde que las reglas iptables se procesan en orden de aparición en la lista y que algunas son reglas de “cese”, es decir,
que podrían descartar o rechazar un paquete y finalizar el procesamiento de las reglas subsiguientes. Este menú desplegable permite
la elección de la posición en la que debería guardarse esta regla.
Acciones. Pueden llevarse a cabo varias acciones en todas las reglas:
o : mueve la regla arriba o abajo en la lista.
Sugerencia
Recuerde que el orden es importante. Las reglas del firewall se procesan en el orden en el que aparecen en la página, de arriba
abajo.
o : activa o desactiva la regla.
o : modifica la regla.
o : elimina la regla.
Finalmente, después de que se haya guardado cada cambio dentro de las reglas del firewall, debería reiniciarse el firewall para volver a
cargar la configuración. Aparecerá una ventana con un botón Aplicar seleccionable para recordarle dicha necesidad.
Redirección de puertos / NAT
El módulo de Redirección de puertos / NAT se compone de tres pestañas: Redirección de puertos / DNAT, NAT de origen y tráfico
entrante enrutado. Su propósito es el de gestionar todo el tráfico que fluye a través del enlace ascendente, desde la zona ROJA hacia el
dispositivo Panda GateDefender, y el tráfico NAT-ed, tanto entrante como saliente.
Redirección de puertos / NAT de destino
Generalmente se utiliza NAT de destino para limitar los accesos a la red desde una red que no es de confianza o para redirigir el tráfico
que proviene de una red que no es de confianza y dirigirlo hacia un puerto específico o hacia una combinación de dirección-puerto. Es
posible definir qué puerto en qué interfaz debería reenviarse a qué host y puerto.
La lista de las reglas configuradas muestra diversas informaciones: El ID (#) que muestra el orden en el que las reglas se corresponden
con el tráfico, la dirección IP entrante, el servicio (es decir, el puerto y el protocolo) hacia el que se dirige el tráfico, la Política que se
aplica al tráfico, la dirección Traducir a (es decir, el host y el puerto hacia los que se redirige el tráfico), Observaciones personalizadas y
las Acciones disponibles.
Al editar una regla, se abre el mismo formulario que cuando se añade una nueva regla, al hacer clic sobre Añadir una nueva regla de
Redirección de puertos / NAT de destino. Un enlace en la parte superior derecha del formulario permite elegir entre un Modo simple o un
Modo avanzado. Este último modo permite también ajustar el valor Acceder desde, la política y el tipo de Traducir a.
Además de las opciones comunes , también pueden configurarse estos otros ajustes:
Traducir a
Esta parte del formulario cambia dependiendo del modo actual de edición activo, simple o avanzado. Si el modo está establecido en
avanzado, además de añadir subreglas Acceder desde, existe un menú desplegable Tipo adicional que permite elegir entre distintos
tipos de traducciones.
1. El primero es IP y corresponde al único disponible en el modo simple. Aquí debería escribirse la dirección IP de destino (además del
puerto y NAT), el puerto o el rango de puertos de reenvío y si deberá aplicarse NAT o no a los paquetes entrantes.
2. Usuario OpenVPN: elija un usuario OpenVPN como meta de destino para el tráfico.
3. Balanceo de carga: especifique un rango de direcciones IP hacia las que se dividirá el tráfico para evitar cuellos de botella o la
sobrecarga de una sola IP.
4. Mapear la red. Inserte una subred hacia la cual se trasladará el tráfico entrante.
Nota
La traducción Mapear la red mapea estáticamente una red completa de direcciones hacia otra red de direcciones. Esto puede
resultar útil para las compañías cuyas filiales utilicen todas la misma red interna. En efecto, en este caso todas estas redes pueden
conectarse entre sí a través del mapeo de red.
Un ejemplo sería:
red original 1: 192.168.0.0/24 red mapeada 1: 192.168.1.0/24 red original 2: 192.168.0.0/24 red mapeada 2: 192.168.2.0/24
5. Usuario de L2TP: elija un usuario de L2TP como meta de destino para el tráfico.
A excepción de cuando se selecciona la opción Mapear la red, siempre es posible definir el puerto o el rango de puertos hacia el que
deberá enviarse el tráfico y si se aplicará NAT al tráfico. Si se elige No hacer NAT, no está permitido definir una Política de filtro bajo
Acceder desde (modo avanzado).
Advertencia
Al seleccionar IP, Usuario OpenVPN, Usuario de L2TP o Balanceo de carga, tenga en cuenta que los rangos de puertos no se
mapearán 1 a 1, sino que se realiza un balanceo circular. Por ejemplo, el mapeo de los puertos entrantes 137:139 hacia los puertos de
destino 137:139 dará como resultado que dichos puertos se utilicen de manera aleatoria: El tráfico entrante hacia el puerto 138 puede
redireccionarse de manera impredecible hacia el puerto 137, 138, o 139. ¡Deje el campo Puerto/Rango de traducción vacío para evitar
dichos acontecimientos!
Resolución de problemas de la redirección de puertos.
Principalmente existen dos razones por las cuales la redirección de puertos podría no funcionar.
1. El dispositivo Panda GateDefender se encuentra detrás de un dispositivo NAT.
En este caso existe un dispositivo como un enrutador u otro firewall entre el dispositivo Panda GateDefender y la Internet que
desestima las conexiones entrantes directas. La solución es la configuración de una redirección de puertos también en dicho
dispositivo hacia la IP ROJA del dispositivo Panda GateDefender, si ello fuera posible.
2. El servidor de destino posee una puerta de enlace predeterminada incorrecta.
Se ha configurado el servidor como el destino de una regla de redirección de puertos con una puerta de enlace predeterminada
incorrecta o sin puerta de enlace. Las conexiones se direccionarán ha cia la dirección IP de destino pero debido a una puerta de
enlace incorrecta, no se direccionarán los paquetes a través del dispositivo Panda GateDefender. La solución consiste en corregir la
puerta de enlace del servidor.
NAT de origen
En esta página pueden definirse las reglas que se aplican a la SNAT para las conexiones salientes. También se despliegan las reglas ya
definidas, para las cuales se muestran cada una de las direcciones IP de origen y destino, el servicio, el estado de la NAT, una
descripción personalizada de la regla y las acciones disponibles.
La NAT de origen puede ser útil si un servidor detrás del dispositivo Panda GateDefender tiene su IP externa propia y los paquetes
salientes por lo tanto no podrían utilizar la dirección IP ROJA del firewall, sino aquella del servidor. Para añadir una nueva regla, haga
clic en Añadir una nueva regla de NAT fuente y continúe igual que al añadir una regla de reenvío de puertos. Además de las opciones
comunes, solamente puede configurarse un ajuste más:
NAT
Seleccionar NAT para aplicar NAT, Ninguna NAT, o Mapear red. La elección de utilizar SNAT permite la selección de la
dirección IP que debería utilizarse entre aquellas presentadas en el menú desplegable. Las entradas Automáticas elegirán
de manera automática la dirección IP correspondiente a la interfaz saliente.
SNAT y un servidor SMTP dentro de la zona naranja.
En algunos casos es preferible declarar explícitamente que no se realice un NAT fuente. Un ejemplo sería el de un servidor SMTP en
DMZ, configurado con una IP externa, pero cuyas conexiones salientes deberían poseer la REDIP como fuente. La configuración de un
servidor SMTP que se ejecuta en la IP 123.123.123.123 (asumiendo que 123.123.123.123 es una dirección IP adicional del enlace
ascendente) dentro del DMZ con el NAT de origen puede realizarse de la siguiente manera:
1. Configure la zona NARANJA con cualquier subred (p. ej., 192.168.100.0).
2. Configure el servidor SMTP para que escuche en el puerto 25 de una IP dentro de la zona NARANJA (por ej.:
129.168.100.13).
3. En la sección Barra de menú ‣ Red ‣ Interfaces, añada un enlace de Ethernet estático con la IP 123.123.123.123 al
dispositivo Panda GateDefender.
4. Añada una regla NAT de origen y especifique que la IP NARANJA del servidor SMTP sea la dirección de origen. Asegúrese
de utilizar NAT y configure la dirección IP de la NAT-ed como 123.123.123.123.
Tráfico entrante enrutado
Esta pestaña permite redirigir el tráfico que ha sido enrutado a través del dispositivo Panda GateDefender. Esto es muy útil cuando se
posee más de una dirección IP externa y alguna de ellas debería utilizarse en DMZ sin la necesidad de utilizar NAT. Los campos que se
muestran para cada regla en la lista son el tráfico de origen y de destino, el servicio, la política a aplicar, una observación y las acciones
disponibles.
No se puede configurar ningún otro ajuste aparte de las opciones comunes.
Tráfico de salida
El dispositivo Panda GateDefender incorpora con un conjunto de reglas preconfiguradas para el tráfico saliente, es decir, para permitir el
flujo de tráfico de servicios, puertos y aplicaciones específicos de las diferentes zonas a la interfaz ROJA y, por lo tanto, a Internet. Estas
reglas son necesarias para asegurar que los servicios más comunes siempre puedan acceder a Internet y funcionar de manera
adecuada. Existen dos casillas en esta página, una que muestra las reglas actuales y permite añadir nuevas, y una que permite
configurar las opciones de salida del firewall.
Nota
Cuando el dispositivo Panda GateDefender está en modo sin enlace, se omiten las reglas definidas en el firewall saliente. Si se utiliza en
el modo de enlace sigiloso, solo una parte del tráfico que va desde la zona tras el dispositivo Panda GateDefender hacia el exterior se
considera saliente; consulte la descripción del enlace sigiloso.
Dispositivo Panda GateDefender y firewall de aplicaciones (control de aplicaciones)
Los firewalls de aplicaciones son una novedad reciente que supone una mejora frente a los firewalls de estado, puesto que combinan la
capacidad de estos últimos para realizar un seguimiento de la fuente y la ruta de la conexión con la de los sistemas de prevención de
intrusos para inspeccionar el contenido de los paquetes con el fin de proporcionar más seguridad frente a gusanos, virus, malware y
todo tipo de amenazas. El resultado final desde el punto de vista de la experiencia del usuario es que los firewalls pueden bloquear tanto
el tráfico entre puertos y direcciones IP como el tráfico generado por aplicaciones individuales. No obstante, esto exige un mayor
esfuerzo por parte del firewall: mientras que con el tráfico entre direcciones IP basta con inspeccionar el primer paquete para bloquear o
permitir el conjunto del flujo, para reconocer correctamente el tráfico generado por aplicaciones a veces es necesario analizar varios
paquetes del flujo, por regla general, no más de tres.
A partir de la versión 5.50, todos los dispositivos Panda GateDefender van equipados con nDPI, una biblioteca de código abierto que
implementa inspección de paquetes profunda, lo que permite desplegar reglas para el firewall de aplicaciones. nDPI se despliega como
un módulo del kernel e interactúa con iptables para el análisis de los paquetes.
Por tanto, ahora se pueden definir dos tipos distintos de reglas en el firewall saliente:
Reglas de firewall de estado, que filtran el tráfico entre direcciones IP y puertos.
Reglas de aplicaciones, es decir, reglas que filtran el tráfico generado por aplicaciones.
Si no se han definido reglas de aplicaciones, el comportamiento del firewall es exactamente el mismo que el de la versión anterior. Sin
embargo, si se ha definido una regla de aplicaciones, las reglas de estado que la preceden se comportarán del modo normal, mientras
que las que la siguen pasarán por nDPI.
Cabe señalar que el uso de nDPI puede presentar algunas sutilezas, como pone de manifiesto el ejemplo siguiente, lo que puede dar
lugar a algunos efectos secundarios no deseados.
Imaginemos que una empresa desea permitir todo el tráfico HTTP, excepto para YouTube y Gmail. La primera regla predeterminada
definida en el dispositivo Panda GateDefender sirve para permitir todo el tráfico HTTP sin restricciones. Por tanto, el primer paso
consiste en desactivar esta regla. A continuación, se deben definir dos reglas:
1. una regla de aplicaciones que bloquee los protocolos de Gmail y YouTube; y
2. una regla de estado que permita todo el tráfico HTTP.
Si la segunda regla fuera una regla de aplicaciones con el protocolo HTTP, solo se permitiría el tráfico reconocido por nDPI como HTTP,
pero otros protocolos que utilizan HTTP, como Yahoo y Facebook, también pasarían, puesto que nDPI no los considera HTTP, sino
protocolos independientes.
Reglas actuales
En detalle, estos son los servicios y protocolos permitidos por defecto para el acceso a la IP ROJA desde las zonas y que se muestran
en el cuadro superior:
VERDE: HTTP, HTTPS, FTP, SMTP, POP, IMAP, POP3, IMAP, DNS, ICMP AZUL: HTTP, HTTPS, DNS, ICMP NARANJA: DNS, ICMP
Todo lo demás está prohibido por defecto, a excepción de las Reglas del sistema que permiten el acceso a los servicios en la Panda
Perimetral Management Console. Las reglas de sistema se encuentran definidas aunque las zonas correspondientes no se encuentran
activadas.
Las posibles acciones para cada regla son las de activarlas o desactivarlas, editarlas o eliminarlas. Se pueden añadir reglas adicionales
al hacer clic en el enlace Añadir nueva regla del firewall en la parte superior de la página. Por favor recuerde que el orden de las reglas
es importante: la primera regla que coincide decide si se permite o deniega un paquete, sin importar cuántas reglas que coinciden le
siguen. Puede cambiarse el orden de las reglas utilizando los iconos de flecha hacia arriba y hacia abajo situados junto a cada regla.
Las siguientes configuraciones difieren de las opciones comunes por defecto.
Origen
Puede consistir en una o más Zona/Interfaces, Red/IP o direcciones MAC.
Destino
Puede ser la zona ROJA, uno o más enlaces, o una o más direcciones de red/host accesibles fuera de la interfaz ROJA.
Aplicación
Este widget de búsqueda permite seleccionar las aplicaciones que deberían formar parte de la regla. Las aplicaciones se dividen en
categorías, por ejemplo, bases de datos, archivos compartidos, etc.
Sugerencia
Escriba como mínimo una letra para mostrar todas las aplicaciones cuyo nombre comienza por esa letra.
Configuración de firewall de salida
Es posible desactivar o activar la totalidad del firewall saliente haciendo clic en el interruptor Activar firewall saliente. Al desactivarlo, se
permite todo el tráfico saliente y no se filtra paquete alguno: Sin embargo, se desaconseja firmemente dicha configuración y se
recomienda mantener activado el firewall saliente.
Registrar las conexiones salientes aceptadas
Al marcar esta casilla se permite el registro de todas las conexiones aceptadas para la interfaz ROJA.
Proxy y firewall saliente.
Siempre que se active el proxy para un servicio concreto (p. ej., HTTP, POP, SMTP, DNS), las reglas del firewall en el firewall saliente
no tendrán efecto debido a la naturaleza del proxy.
Cuando el proxy está activado, siempre que se inicie una conexión desde un cliente hacia Internet, será interceptada por el proxy del
dispositivo Panda GateDefender (en modo transparente) o irá directamente al firewall pero jamás irá a través del firewall. Después el
proxy comienza una nueva conexión hacia el destino real, obtiene los datos y se los envía al cliente. Esas conexiones hacia Internet
siempre comienzan desde el dispositivo Panda GateDefender, que oculta la dirección IP interna del cliente. Por lo tanto, dichas
conexiones nunca pasan a través del firewall saliente ya que, de hecho, son conexiones locales.
Tráfico interzona
Este módulo permite configurar reglas que determinan cómo puede fluir el tráfico entre las zonas de redes locales, excluyendo así la
zona ROJA (el tráfico a través de la zona ROJA podrá filtrarse en Tráfico saliente y Redirección de puertos / NAT). Para activar el
firewall interzona, haga clic en el interruptor gris . Existen dos casillas en esta página, una que muestra las reglas actuales
y permite añadir nuevas, y una que permite configurar las opciones del firewall interzona.
Nota
Cuando el dispositivo Panda GateDefender está configurado en el modo sin enlace, todo el tráfico de red debe filtrarse usando el firewall
interzona. Asimismo, si está en el modo de enlace sigiloso con más de una zona definida, todo el tráfico que no se enruta por la puerta
de enlace se filtra con el firewall interzona. Para obtener más información, consulte la referencia descripción del enlace sigiloso
<stealth>.
Reglas actuales
El dispositivo Panda GateDefender incluye un conjunto simple de reglas preconfiguradas: se permite el tráfico desde la zona VERDE
hacia cualquier otra zona (NARANJA y AZUL) y dentro de cada zona, prohibiéndose por defecto todo lo demás.
De manera análoga a lo que ocurre con el firewall de tráfico saliente, se pueden desactivar/activar las reglas, editarlas o eliminarlas
haciendo clic en el icono apropiado en el lado derecho de la tabla. Se pueden añadir reglas nuevas al hacer clic en el enlace Añadir
nueva regla del firewall interzona en la parte superior de la página. Solo se pueden configurar las opciones comunes.
Configuración del firewall interzona
El firewall interzona puede desactivarse o activarse utilizando el interruptor Activar firewall interzona. Cuando se encuentra desactivado,
se permite todo el tráfico entre todas las zonas AZUL, VERDE y NARANJA. Se desalienta enfáticamente la desactivación del firewall
interzona.
Registrar las conexiones interzona aceptadas
Al marcar esta casilla se permite el registro de todas las conexiones aceptadas entre las zonas.
Tráfico VPN
El firewall de tráfico VPN permite añadir reglas del firewall aplicadas a los usuarios y hosts que se conectan a través de OpenVPN.
Generalmente el firewall de tráfico VPN no se encuentra activo, lo que significa que, por un lado, el tráfico puede fluir libremente entre
los hosts VPN y los hosts dentro de la zona VERDE y, por otro lado, los hosts VPN pueden acceder a todas las demás zonas. Tenga en
cuenta que los hosts VPN no están sujetos al firewall de tráfico saliente ni al firewall de tráfico interzona. Existen dos casillas en esta
página, una que muestra las reglas actuales y permite añadir nuevas, y otra que permite configurar las opciones de VPN del firewall.
Reglas actuales
El manejo y la definición de las reglas son idénticos al del firewall de tráfico saliente, por lo que debe consultar esa sección y las
opciones comunes para obtener indicaciones sobre la definición y el manejo de las reglas del firewall en este módulo.
Configuración del firewall VPN
El firewall VPN puede desactivarse o activarse utilizando el interruptor Activar firewall VPN.
Registrar las conexiones VPN aceptadas
Al marcar esta casilla se permite el registro de todas las conexiones aceptadas de los usuarios de VPN.
Acceso al sistema
Esta sección gobierna las reglas que permiten o niegan el acceso al propio dispositivo Panda GateDefender.
Existe una lista de reglas preconfiguradas que no pueden cambiarse, cuyo propósito es el de garantizar el correcto funcionamiento del
firewall. En efecto, existen servicios, entre los suministrados por el dispositivo Panda GateDefender, que requieren el acceso de clientes
en las diferentes zonas locales. Los ejemplos incluyen el uso del DNS (que requiere que el puerto 53 esté abierto) para resolver
nombres de hosts remotos o el uso de las interfaces web de administración (que utilizan el puerto 10443): Siempre que se activa uno de
estos servicios, se crean automáticamente una o más reglas para permitir la eficiencia correcta del propio servicio.
Se muestra la lista de las reglas predefinidas cuando se hace clic en el botón Mostrar reglas de los servicios del sistema en la parte
inferior de la página.
se pueden añadir más reglas de acceso al sistema al hacer clic en el enlace Añadir una nueva regla de acceso al sistema. Las
configuraciones específicas para este módulo del firewall son:
Registro de paquetes
Se registran todos los paquetes que acceden o tratan de acceder al dispositivo Panda GateDefender si esta casilla está
marcada. Esta opción es útil para saber quién accedió, o intentó acceder, al sistema.
Dirección de origen
Las direcciones MAC de la conexión entrante.
Interfaz de origen
La interfaz desde la cual se puede acceder al sistema
Nota
No existe dirección de Destino, ya que esta es la dirección IP de la interfaz desde la cual se otorga o se intenta el acceso.
Las acciones consisten en desactivar/activar, editar o eliminar una regla de la lista de reglas.
Diagramas de firewall
Esta página muestra, para cada uno de los módulos que se describen en ella, un diagrama que muestra cómo fluye el tráfico entre las
zonas y cual es el módulo del firewall que se encarga de los diferentes flujos. Las líneas verdes con flechas muestran cual es el tráfico
que se permite en cada zona y en qué direcciones. En el caso del VPN, las reglas desde/hacia la interfaz ROJA se marcan con una X
roja, lo que significa que no es posible el tráfico entre ellas.
Al hacer clic en una imagen, se abrirá en una galería que permite explorarla como si fuera una presentación de diapositivas.
El menú Proxy El menú Proxy
Para mejorar la seguridad en línea, el dispositivo Panda GateDefender ofrece varios servicios que combinan sus capacidades con las
del proxy. El submenú a la izquierda de la página permite acceder a sus páginas y opciones de configuración, que se resumen de la
siguiente manera:
HTTP: proxy web (políticas de acceso, autenticación, filtro de contenido y antivirus)
POP3: proxy para recuperar correo (filtro de correo no deseado y antivirus)
FTP: archivos descargados a través de FTP (antivirus)
SMTP: el proxy para enviar o recuperar correo (filtro de correo no deseado y antivirus)
DNS: DNS de caché (antispyware)
Cada proxy puede configurarse y activarse/desactivarse independientemente del otro, y también iniciará cualquier otro servicio
necesario para su correcto funcionamiento. Por ejemplo, tras configurar e iniciar el proxy SMTP, también se inicia el servicio SMTP, si
no se encuentra ya en funcionamiento. Por lo tanto, es necesario configurar el servicio SMTP antes de utilizar el proxy SMTP.
En la versión 5.50 se ha modificado toda la arquitectura del proxy.
La antigua y la nueva arquitectura del proxy HTTP
En la versión 5.50 del dispositivo Panda GateDefender se ha implementado y desplegado una arquitectura más ligera, pero más potente,
para el proxy HTTP.
La arquitectura anterior del proxy HTTP se basaba en el denominado encadenamiento proxy, es decir, cuando un cliente solicitaba un
recurso remoto que no estaba en caché, tenía lugar un proceso de 5 pasos:
1. El proxy HTTP (squid) enviaba una solicitud GET al servidor, y recibía una página HTML como respuesta.
2. Toda la página HTML se enviaba al demonio de filtrado de contenido (dansguardian) y se analizaba.
3. A continuación, dansguardian enviaba la página al demonio antivirus (havp) y la analizaba en busca de virus y otro malware.
4. Por último, si no se encontraban virus ni contenido malintencionado, toda la página HTML se enviaba de vuelta a squid. De
lo contrario, un mensaje de error HTML (“página de error”) habría reemplazado a la página original.
5. squid guardaba la página HTML (o la página de error) para futuras solicitudes y se la entregaba al cliente que había
solicitado la página HTML originalmente.
El principal inconveniente (y obstáculo) de esta arquitectura es su uso intensivo de los recursos. De hecho, toda la página HTML pasaba
secuencialmente a través de toda la cadena, paso a paso, sin posibilidad de agilizar el proceso. La página HTML se recibía desde squid
y se enviaba a dansguardian para analizar su contenido. En este punto, aunque el filtro de contenido encontrara contenido malicioso, es
decir, aunque la página no se pudiera enviar al cliente que la solicitaba, la página HTML seguía la cadena hacia havp, y luego de vuelta
a squid. Solo en ese momento squid enviaba una página de error al cliente original.
Por lo tanto, se decidió abordar este problema desde otro planteamiento, adoptando un enfoque completamente nuevo que garantiza
más fiabilidad y consume muchos menos recursos. Ahora el proxy HTTP está respaldado por un servidor ICAP y, aunque esto podría
representar a primera vista una arquitectura más compleja, ofrece una importante mejora de rendimiento.
Resumiendo, ICAP es un protocolo, definido en el RFC 3507, que permite manipular el contenido de una página web y volver a
presentarlo al cliente. Aunque esta capacidad puede utilizarse de varias formas, en el dispositivo Panda GateDefender está
implementada con c-icap para ofrecer análisis de filtrado de contenido y escaneo antivirus de recursos remotos (páginas HTML, y
también audio, vídeo, imágenes y documentos de texto).
Gracias a c-icap, se ha aumentado el rendimiento de dos áreas:
1. De squid a c-icap:
c-icap recibe dos solicitudes paralelas del proxy HTTP.
2. Entre c-icap y los demonios.
Véase también:
Para obtener más información sobre ICAP junto con sus especificaciones, visite la página web del foro icap.
HTTP
El proxy HTTP empleado en el dispositivo Panda GateDefender es squid, cuya principal capacidad consiste en almacenar en caché las
solicitudes web para acelerar futuras solicitudes de la misma página, aunque tiene muchas más funciones que permiten su perfecta
integración con los otros servicios descritos en el resto de esta sección. La página de configuración del proxy HTTP está compuesta por
seis pestañas que organizan un sinfín de opciones: Configuración, Política de acceso, Autenticación, Filtro web, Replicar Active
Directory y Proxy HTTPS.
Configuración
Un clic en el interruptor Activar proxy HTTP activa el proxy HTTP. Tras algunos segundos, necesarios para iniciar todos los servicios
requeridos, aparecen algunos controles en la pestaña Configuración, agrupados en seis paneles. Cada panel tiene un título, seguido de
un signo ? que muestra una ventana de ayuda, y se puede expandir o contraer haciendo clic en los iconos o situados a la izquierda de
las etiquetas.
El primer ajuste consiste en seleccionar desde un menú desplegable cómo pueden acceder al proxy los usuarios en cada zona activada
(VERDE, NARANJA, AZUL) (no hay menú desplegable para las zonas no activadas):
no transparente
El servidor proxy está disponible para todos sin necesidad de iniciar sesión, pero los clientes deben configurar su explorador
manualmente o solicitar al explorador que busque un proxy (es decir, utilizando el protocolo PAC o WPAD para establecer
los ajustes del proxy del explorador).
transparente
El servidor proxy está disponible para todos y no requiere configuración en el explorador. Todo el tráfico HTTP es
interceptado y reenviado al servidor proxy, que está a cargo de recuperar las páginas web solicitadas y servirlas a los
clientes.
Nota:
algunos exploradores, incluidos Internet Explorer y Firefox, son capaces de detectar automáticamente los servidores proxy mediante
WPAD. La mayoría de los exploradores también admiten PAC, a través de una URL especial. Al utilizar un dispositivo Panda
GateDefender como servidor proxy, la URL se ve de este modo: http://<GREENIP>/proxy.pac.
Deshabilitar el proxy HTTP por zona
Para desactivar completamente el proxy para una determinada zona, el proxy de la zona debe establecerse como transparente y la
subred de la zona (cuyo valor se puede encontrar en Barra de menú ‣ Servicios ‣ Servidor DHCP) debe añadirse a Omitir proxy
transparente desde SUBRED/IP/MAC que aparece al expandir el panel Omitir proxy transparente.
Configuraciones de proxy
En el panel Configuraciones de proxy hay opciones globales de configuración para los servicios del proxy:
Puerto utilizado por el proxy
El puerto TCP en el cual el servidor proxy escucha las conexiones, que de manera predeterminada es 8080.
Idioma de error
El idioma en el que aparecen los mensajes de error, que de forma predeterminada es el elegido en Barra de menú ‣ Sistema
‣ Configuración de GUI.
Nombre de equipo visible usado por el proxy
El nombre de host asumido por el servidor proxy, que también se indica al pie de los mensajes de error.
Correo electrónico utilizado para notificación (administrador de caché)
La dirección de correo electrónico que el servidor proxy muestra en los mensajes de error.
Tamaño máximo de descarga (entrante en KB)
El límite de descargas de archivos HTTP. 0 significa ilimitado.
Tamaño máximo de carga (saliente en KB)
El límite de cargas de archivos HTTP (por ejemplo, los utilizados por formularios HTML mientras se carga el archivo). 0
significa ilimitado.
Puertos y puertos SSL habilitados
Opción de configuración para los puertos que los clientes pueden utilizar cuando navegan:
Puertos habilitados (desde el cliente)
Los puertos de destino TCP de los cuales el servidor proxy aceptará conexiones al utilizar HTTP. Se acepta un puerto o un
rango de puertos por línea, se permiten comentarios y comienzan con #.
Puertos SSL permitidos (desde el cliente)
Los puertos de destino TCP de los cuales el servidor proxy aceptará conexiones al utilizar HTTPS. Se acepta un puerto o
rango de puertos por línea, se permiten comentarios, comienzan por # y finalizan al final de la línea.
Configuración del registro
Opción de configuración para activar la función de registro y elegir qué registrar.
Registro de proxy HTTP
Registro de todas las URL a las que se accede a través del proxy. Es un interruptor maestro, por lo que las cuatro opciones
siguientes están activadas y pueden configurarse solo si el registro está activado, lo que no ocurre de forma predeterminada
(recuerde que, cuanto más se registra, mayor es el espacio que necesita el dispositivo Panda GateDefender).
Registro de consulta de término
Registro de los parámetros en la URL (por ejemplo, ?id=123).
Registro del agente de usuario
Registro del usuario agente enviado por cada explorador.
Registro del filtro de contenido
Registro del momento en el que se filtra el contenido de las páginas web.
Registro de firewall (solo proxies transparentes)
Permite que el firewall registre los accesos web salientes, es decir, los dirigidos a través de la interfaz ROJA a Internet. Esta
opción solo funciona para proxies transparentes.
Omitir proxy transparente
En este panel se puede definir alguna excepción al proxy transparente (véase también arriba), es decir, qué orígenes (es decir, clientes)
y destinos (es decir, servidores remotos) debe omitir el proxy, aunque esté activado en esa zona.
Omitir proxy transparente desde SUBRED/IP/MAC
Los orígenes que no deben estar sujetos al proxy transparente.
Omitir proxy transparente a SUBRED/IP
Los destinos que no se encuentran sujetos al proxy transparente.
Sugerencia:
utilice la notación CIDR para introducir subredes.
Administración de caché
Opciones de configuración para el espacio ocupado en disco por el caché y el tamaño de los objetos almacenados.
Tamaño del caché en disco duro (MB)
La cantidad en megabytes que el proxy debe asignar para almacenar en caché sitios web en el disco duro.
Tamaño del caché dentro de la memoria (MB)
La cantidad en megabytes de memoria que el proxy debe asignar para almacenar en caché sitios web en la memoria del
sistema.
Tamaño máximo de objeto (KB)
El límite superior de tamaño en megabytes de un único objeto que se debe almacenar en caché.
Tamaño mínimo de objeto (KB)
El límite inferior de tamaño en megabytes de un único objeto que se debe almacenar en caché.
Nota:
los objetos cuyo tamaño no entra dentro de los rangos definidos anteriormente jamás se almacenarán en el disco, sino que se
descargarán cada vez que un cliente los solicite.
Activar modo sin conexión
Cuando esta opción se encuentra activada (es decir, la casilla está marcada), el proxy jamás intentará actualizar objetos en caché
desde el servidor web de subida. Los clientes podrán explorar sitios web estáticos en caché incluso después de que el enlace activo
quede inactivo.
Advertencia:
esta opción es útil para navegar por Internet mientras que el enlace activo no funciona si la página solicitada ha sido almacenada en
caché anteriormente. No obstante, esta opción puede causar algún problema si se intenta actualizar una página, aun con un enlace
activo en funcionamiento, dado que el proxy HTTP siempre servirá la página en caché. La única posibilidad de tener una copia
actualizada de una página web en este caso es vaciar la memoria caché del servidor proxy.
Vaciar caché
Cuando se hace clic en este botón, se elimina el caché del proxy.
No hacer caché en estos destinos
Los dominios cuyos recursos jamás deben almacenarse en caché.
Proxy de subida
Si hay otro servidor proxy en la LAN, puede contactarse antes de solicitar el recurso original. Este panel contiene opciones de
configuración para la conexión entre el dispositivo Panda GateDefender y el proxy de subida.
Proxy de subida
Marque esta casilla para activar un proxy de subida y mostrar más opciones. Cuando está activado, antes de recuperar una
página web remota que todavía no está en su caché, el proxy del dispositivo Panda GateDefender contacta con el proxy de
subida para solicitar esa página.
Servidor de subida
El nombre de host o dirección IP del servidor de subida.
Puerto de subida
El puerto en el cual el proxy escucha el servidor de subida.
Nombre de usuario / contraseña de subida
Si se requiere autenticación para el proxy de subida, las credenciales deben especificarse aquí.
Reenvío de nombre de usuario del cliente
Marque la casilla para reenviar el nombre de usuario al proxy de subida.
Reenvío de IP del cliente
Marque la casilla para reenviar la dirección IP del cliente al proxy de subida.
Política de acceso
Las políticas de acceso se aplican a cada cliente que se conecta a través del proxy, sin importar su autenticación. Una regla de política
de acceso es un esquema basado en el tiempo que permite o prohíbe los accesos en función de diversos parámetros acerca del usuario
(por ejemplo, la fuente o el destino del tráfico), y el cliente utilizado o el contenido descargado (por ejemplo, el usuario agente, los tipos
de mime, la detección de virus y el filtrado de contenido).
En la página aparece una lista de reglas definidas. Cualquier regla puede especificar si se bloquea o se permite el acceso web y, en
este último caso, se puede activar y seleccionar un tipo de filtro. La tabla contiene la siguiente información para cada regla incluida en
ella: el número de identificación progresivo (#), el nombre (``), el origen y el destino, el tipo de autenticación, si es necesario, los
periodos en que está activa, los usuarios agente emparejados, y las acciones disponibles:
: modifica la política.
: elimina la política.
: mueve la directiva arriba o abajo en la lista.
: activa o desactiva la política.
Para añadir una nueva regla de política de acceso, haga clic en Añadir política de acceso. Se abrirá un formulario en el que configurar
todos los parámetros:
Tipo de fuente
Las fuentes del tráfico a las cuales se aplica esta regla. Puede ser <CUALQUIERA>, una zona, una lista de redes,
direcciones IP o direcciones MAC.
Tipo de destino
Los destinos del tráfico a los cuales se aplicará esta regla. Puede ser <CUALQUIERA>, una zona, una lista de redes,
direcciones IP o dominios.
Autenticación
El tipo de autenticación que se aplicará a los clientes. Puede estar desactivada (en cuyo caso no se requiere autenticación), basada
en el grupo o basada en el usuario. Se pueden seleccionar uno o más usuarios o grupos, a los cuales aplicar la política, entre los
existentes en la lista que aparecerá.
Sugerencia:
la autenticación solo es local, por lo tanto, antes de poder utilizarla, hay que crear al menos un usuario o un grupo en la pestaña
Autenticación.
Restricción de tiempo
Determina si la regla tiene efecto en días específicos o en un periodo de tiempo. De forma predeterminada, una regla
siempre está activa, pero su validez puede estar limitada a un intervalo o a algunos días de la semana. Al marcar esta casilla,
se puede acceder a las siguientes opciones:
Días activos
Selecciona uno o varios días de la semana.
Sugerencia:
para seleccionar dos o más días, mantenga pulsada la tecla CTRL y haga clic con el ratón en el nombre del día.
Hora de inicio, Hora de fin, Minuto de inicio, Minuto de fin
Para ajustar el intervalo del día durante el cual estará activa la política de acceso, seleccione las horas de inicio y fin en el
menú desplegable.
Agentes de usuarios
Los clientes y exploradores permitidos, identificados como tal por su usuario agente, es decir, su cadena de identificación.
Tipos de mime
Una lista de los tipos de MIME de archivos entrantes que deben bloquearse; uno por línea. Los tipos de MIME solo pueden ser
bloqueados (es decir, estar en la lista negra), pero no permitidos (es decir, estar en la lista blanca), por lo tanto, esta opción solo se
encuentra disponible en las políticas de acceso de Rechazo. Esta opción permite bloquear cualquier archivo que no corresponda a la
política de la empresa (por ejemplo, archivos multimedia).
Nota:
la lista de los tipos MIME disponibles se puede encontrar en el archivo /etc/mime.types en cualquier cuadro de Linux,
en la página web oficial de la IANA, y también en el RFC 2045 y el RFC 2046.
Política de acceso
Selecciona si la regla debe permitir o rechazar el acceso web desde el menú desplegable. Si se establece en Rechazar, la
opción Tipos de MIME arriba está activada.
Perfil de filtro
Este menú desplegable, disponible cuando la Política de acceso se ha establecido como Permitir acceso, permite
seleccionar qué tipo de verificación debe realizar la regla. Las opciones disponibles son: ninguna para ninguna comprobación
y detección de virus únicamente para escanear virus. Además, si se ha creado algún perfil de filtro de contenido (véase a
continuación), se puede aplicar a la regla.
Estado de la política
Si la regla está activada o desactivada. Las reglas desactivadas no se aplicarán. De forma predeterminada, las reglas están
activadas.
Posición
El lugar donde se debe insertar la regla nueva. Las posiciones más bajas tienen mayor prioridad.
Las acciones disponibles permiten cambiar la prioridad, editar, activar/desactivar o eliminar cada regla de la lista de reglas.
Autenticación
El proxy del dispositivo Panda GateDefender admite cuatro tipos de autenticación, que se pueden ver en el menú desplegable de la
parte superior de la página: Autenticación local (NCSA), LDAP (v2, v3, Novell eDirectory, AD), Windows Active Directory (NTLM) y
RADIUS. El tipo NCSA almacena las credenciales de acceso en el dispositivo Panda GateDefender, mientras que los otros métodos se
basan en un servidor externo. En esos casos es obligatorio proporcionar toda la información necesaria para acceder a ese servidor.
Debajo del menú desplegable desde el cual se selecciona el tipo de autenticación, hay dos paneles presentes. El de arriba,
Configuración de autenticación, contiene elementos de configuración comunes, mientras que el de abajo cambia en función de la
selección del tipo de autenticación, presentando la configuración específica de cada método.
Configuración de autenticación
Los elementos comunes que se pueden configurar en este panel son:
Dominio de autenticación
El texto que aparece en el diálogo de autenticación y se utiliza como el dominio de kerberos o winbind al unirse al dominio de Active
Directory. Si se utiliza Windows Active Directory para la autenticación, se debe utilizar el FQDN del PDC.
Sugerencia:
si el nombre del servidor es localauth y el nombre de dominio es ejemplo.org, el FQDN es
localauth.ejemplo.org.
Número de procesos-hijo de autenticación
El número máximo de procesos de autenticación que pueden ejecutarse simultáneamente.
Autenticación de caché TTL (en minutos)
El tiempo en minutos durante el cual deben estar almacenados en caché los datos de autenticación antes de eliminarlos.
Número de IP diferentes por usuario
El número máximo de direcciones IP desde las cuales un usuario puede conectarse al proxy simultáneamente.
Caché TTL para usuario / IP (en minutos)
El tiempo en minutos que una dirección IP se asocia al usuario registrado.
Una vez que se ha rellenado el formulario común de configuración, dependiendo del tipo de autenticación elegido, se puede configurar
el ajuste específico para el tipo de autenticación seleccionado: Autenticación local (NCSA), Windows Active Directory (NTLM), LDAP (v2,
v3, Novell eDirectory, AD), RADIUS.
Parámetros de autenticación NCSA
Administración de usuarios NCSA
Al hacer clic en el botón administrar usuarios, se abre la GUI de administración de usuarios. Se compone de una lista sencilla de los
usuarios existentes, si se ha creado alguno, y de un enlace Añadir usuario NCSA para añadir más usuarios. Un usuario se añade
introduciendo el nombre de usuario y la contraseña en el formulario, y después se puede editar o eliminar.
Sugerencia:
la contraseña debe tener al menos 6 caracteres.
Administración de grupo NCSA
Al hacer clic en el botón administrar grupos, se abre la GUI de administración de grupos. Se compone de una lista sencilla de los
grupos existentes y sus miembros, si se ha creado alguno, y de un enlace Añadir grupo NCSA para añadir más grupos. Un grupo se
crea introduciendo un nombre de grupo y seleccionando uno o más usuarios que deben pertenecer a ese grupo. Un usuario puede
pertenecer a más de un grupo.
Advertencia:
si bien un mismo usuario puede pertenecer legalmente a uno o más grupos, se debe tener cuidado con que los grupos a los que
pertenece el usuario no definan políticas de acceso opuestas. Como ejemplo, imagine un usuario que sea miembro de dos grupos,
uno con la política para permitir acceso al sitio web www.ejemplo.org y otro con la política que bloquea el acceso a esa página web.
En este caso, no es fácil predecir si a ese usuario se le otorgará acceso o no al sitio www.example.org. De la administración de estos
problemas se encarga el diseñador de las políticas de acceso.
Longitud mínima de contraseña
La longitud mínima de la contraseña del usuario local.
Parámetros de autenticación de Windows Active Directory
Nombre de dominio del servidor AD
El dominio de Active Directory al cual unirse. Se debería utilizar el FQDN del servidor.
Unirse al dominio AD
Haga clic en el botón unirse al domino para unirse al dominio. Esta acción debe realizarse solo después de haber guardado y
aplicado la configuración de autenticación.
Nombre del host PDC del servidor AD, Dirección IP de PDC del servidor AD
El nombre del host y la dirección IP del PDC. Tanto el nombre del host como la dirección IP son necesarios para crear la
entrada DNS.
Nombre del host BDC del servidor AD, Dirección IP de BDC del servidor AD
El nombre del host y la dirección IP de BDC, si lo hubiera. Para crear la entrada DNS se necesitan tanto el nombre de host
como la dirección IP.
Requisitos para el uso de NTLM.
Para poder utilizar la autenticación nativa de Windows con Active Directory (NTLM), se deben cumplir algunas condiciones:
La configuración de autenticación debe guardarse y aplicarse antes de intentar la unión con el dominio.
El dispositivo Panda GateDefender debe unirse al dominio.
Los relojes de sistema del dispositivo Panda GateDefender y el servidor Active Directory deben estar sincronizados.
El dominio de autenticación debe ser un FQDN.
El nombre del host PDC debe establecerse como el nombre de netbios del servidor Active Directory.
Sugerencia:
el reloj del dispositivo Panda GateDefender puede sincronizarse con el reloj del servidor Active Directory emitiendo el siguiente comando
en el shell:
net time set -S IP_OF_AD_SERVER
Autenticación NTLM con Windows Vista y Windows 7.
El proxy HTTP en el dispositivo Panda GateDefender utiliza NTLMv2 negociado, mientras que, de forma predeterminada, Windows Vista
y Windows 7 solo admiten NTLMv2. Por consiguiente, es posible que un cliente que instale esos sistemas operativos no logre
autenticarse en el proxy HTTP aunque introduzca las credenciales correctas. Para realizar correctamente la autenticación, es necesario
efectuar los cambios siguientes:
1. Haga clic en Inicio ‣ gpedit.msc (ejecutar como administrador).
2. Vaya a Configuración del equipo ‣ Configuración de Windows ‣ Configuración de seguridad ‣ Directivas
locales ‣ Opciones de seguridad.
3. Busque la opción de configuración Seguridad de redes: nivel de autenticación de LAN Manager.
4. Seleccione el valor “Enviar Lan Manager y NT Lan Manager: usar la seguridad de sesión NT Lan Manager
versión 2 si se negocia”.
Después de aplicar estos cambios el explorador del cliente debe autenticarse correctamente utilizando el nombre de inicio de sesión de
AD y las credenciales para el proxy HTTP.
Parámetros de autenticación LDAP
Servidor LDAP
La dirección IP o el FQDN del servidor LDAP.
Puerto de servidor LDAP
El puerto en el cual está escuchando el servidor. El valor predeterminado es 389.
Unir configuración DN
El nombre de base diferenciado; es el punto inicial de la búsqueda.
Tipo LDAP
Este menú desplegable permite seleccionar el tipo de servidor de autenticación entre Active Directory, Novell eDirectory,
LDAP versión 2 y LDAP versión 3.
Unir nombre de usuario DN
El nombre totalmente diferenciado de un usuario unido a DN, que debe tener permiso para leer los atributos del usuario.
Unir contraseña DN
La contraseña del usuario unido a DN.
Clase de objeto del usuario
La clase de objeto a la que el usuario unido a DN debe pertenecer.
Clase de objeto del grupo
La clase de objeto a la que el grupo unido a DN debe pertenecer.
Parámetros de autenticación RADIUS
Servidor RADIUS
La dirección IP o la URL del servidor RADIUS.
Puerto del servidor RADIUS
El puerto en el que escucha el servidor RADIUS.
Identificador
Un identificador adicional.
Secreto compartido
La contraseña que se utilizará.
Filtro web
La capacidad del filtro de contenido del dispositivo Panda GateDefender se basa en la solución de filtrado de URL Commtouch, que
utiliza dos técnicas de filtrado que pueden definirse por perfil de filtro.
La primera consiste en un método avanzado de categorización de páginas web en función de su contenido. La segunda técnica utiliza
una combinación de URL y dominios de listas blancas y negras. Todas las URL solicitadas por un cliente se buscan en esta lista y solo
se sirven si se encuentran en la lista blanca.
Se necesita un perfil para poder utilizar el filtro de contenido. Hay disponible un perfil por defecto, que permite acceder a todas las
páginas web y que no se debe eliminar. Pueden crearse fácilmente los perfiles adicionales que se necesiten en la definición de una
Política de acceso. Por lo tanto, las políticas de acceso que requieran un perfil determinado solo se podrán crear después de haber
creado ese perfil.
En la página, hay una lista de los perfiles existentes, acompañados de una observación y de las acciones disponibles:
: edita un perfil.
: elimina un perfil.
Encima de la tabla, hay un enlace Crear un perfil. Al hacer clic en él, se reemplaza el enlace por el Editor de perfil, que se utiliza para
configurar un perfil nuevo, y la lista de perfiles existentes se mueve al pie de la página. Se pueden definir los siguientes ajustes:
Nombre del perfil
El nombre dado al perfil.
Activar escaneo antivirus
Activa el antivirus en el filtro de contenido.
Los siguientes ajustes vienen en forma de paneles, que pueden expandirse o contraerse haciendo clic en los iconos o a la
izquierda de su título. En el extremo derecho, una flecha pequeña muestra si los elementos contenidos se permiten total o parcialmente
o no se permiten. Se puede hacer clic en esas flechas para cambiar rápidamente el estado de todos los elementos contenidos.
Filtro de URL
Las categorías que se deben activar para aplicar el filtro de contenido. Cada categoría contiene otras subcategorías, que se pueden
permitir o no de manera individual. La flecha verde significa que los elementos de la (sub)categoría se utilizan para el filtro de
contenido, mientras que la flecha roja significa que esos elementos no se utilizan. El icono situado cerca del nombre de la
categoría indica que solo se utilizan para el filtrado de contenido algunas de las subcategorías que contiene.
Listas negras y blancas personalizadas
Aquí se pueden añadir listas personalizadas de páginas web como permitidas siempre (lista blanca), cuyo acceso se permitirá siempre a
los clientes, o rechazadas (lista negra), cuyo acceso no se permitirá nunca a los clientes.
El filtrado de contenido puede causar positivos y negativos falsos, por lo tanto aquí se puede introducir la lista de dominios que siempre
deben bloquearse o permitirse. Esta política se aplicará con independencia de los resultados del análisis del filtro de contenido.
Replicar Active Directory
En esta sección se pueden introducir las credenciales necesarias para unirse al servidor Active Directory, una función que solo es
posible si se ha seleccionado la opción Windows Active Directory (NTLM) en la pestaña Autenticación.
Nombre de usuario del administrador del ADS
El nombre de usuario del servidor Active Directory.
Contraseña del administrador de ADS
La contraseña del servidor Active Directory. No aparece de forma predeterminada, pero puede mostrarse marcando la casilla
situada a la derecha del campo de texto.
Proxy HTTPS
En esta página es posible configurar el servidor proxy para el escaneo de tráfico cifrado SSL cifrado, es decir, el tráfico a través del
puerto 443. Cuando está activado, el squid intercepta todas las solicitudes de los clientes y las reenvía al servidor remoto, como en el
caso de las solicitudes HTTP. La única diferencia surge en las solicitudes HTTPS. Se necesita un certificado “intermedio” para que el
cliente se conecte al dispositivo Panda GateDefender a través de HTTPS. El dispositivo podrá responder a la solicitud, recuperar el
recurso remoto, controlarlo y enviarlo al cliente que lo haya solicitado.
Existen tres ajustes disponibles en esta página y se dividen en dos partes. La primera permite configurar el proxy HTTPS. La segunda
se utiliza para administrar el certificado del dispositivo Panda GateDefender.
Activar proxy HTTPS
Marque esta casilla para activar el proxy HTTPS. Aparecerá la siguiente opción.
Aceptar cada certificado
Esta opción permite al dispositivo Panda GateDefender aceptar automáticamente todos los certificados del servidor remoto,
incluso aquellos que no son válidos o están obsoletos.
Para activar el proxy HTTPS, haga clic en Guardar y espere unos segundos.
La parte inferior se puede utilizar para cargar un certificado que usará el dispositivo Panda GateDefender o para generar uno nuevo, que
sustituirá al actual, en caso de haberlo.
Cargar certificado proxy
Para utilizar un certificado existente, haga clic en Examinar…, elija el certificado en el disco duro local y, a continuación,
haga clic en el botón Cargar para copiar el certificado en el dispositivo Panda GateDefender.
Crear un certificado nuevo
Para crear un certificado nuevo desde cero, haga clic en este botón. Aparecerá un cuadro de diálogo solicitando
confirmación. Haga clic en Aceptar para continuar o en Cancelar para cerrar el cuadro de diálogo y volver atrás.
Una vez cargado o creado el certificado, aparecerá una nueva opción en forma de hipervínculo junto a la etiqueta Cargar certificado
proxy:
Descarga
Haga clic en este hipervínculo para descargar el certificado, que será necesario para los clientes.
POP3
Esta página contiene opciones de configuración para el filtro de correo SpamAssassin y cómo se deben administrar los correos
electrónicos reconocidos como spam.
Configuración general
En esta página se pueden activar algunas preferencias de configuración general de POP3 marcando las casillas adecuadas.
Habilitado en verde, Habilitado en azul, Habilitado en naranja
Activa el escáner de correo electrónico de POP3 en las zonas VERDE, AZUL y NARANJA, respectivamente. Aparecen solo
si las zonas correspondientes están activadas.
Escáner de virus
Activa el escáner de virus.
Filtro de correo no deseado
Activa el filtro de correo no deseado en los correos electrónicos.
Interceptar conexiones cifradas SSL/TLS
Si se marca esta casilla, también se escanean las conexiones a través de SSL/TLS en busca de virus.
Registros del firewall de conexiones salientes
Permite que el firewall registre todas las conexiones salientes.
Filtro de correo no deseado
Esta página permite configurar cómo debe proceder el proxy POP3 cuando identifica un correo electrónico como spam.
Nota:
incluso si un correo electrónico ha sido marcado como spam, se entregará al receptor original. De hecho, no entregarlo rompería el RFC
2821, que establece que, una vez que un correo electrónico ha sido aceptado, debe entregarse al receptor.
Etiqueta de asunto de correo no deseado
El prefijo que se añadirá al asunto del correo electrónico identificado como spam.
Añadir informe de spam a cuerpo del mensaje
Marque la casilla para reemplazar, en cada mensaje de spam, el cuerpo del mensaje original por un informe del demonio
SpamAssassin con el resumen de lo que ha encontrado, es decir, con los motivos por los que el correo electrónico se ha
clasificado como spam.
Coincidencias requeridas
La cantidad de coincidencias requeridas para que un mensaje sea considerado como spam.
Activar soporte para correos electrónicos japoneses
Marque esta casilla para activar el soporte para conjuntos de caracteres japoneses en correos electrónicos para buscar
spam en japonés.
Activar la detección de no deseados en el resumen del mensaje (pyzor)
Para detectar correos electrónicos no deseados utilizando pyzor (en pocas palabras, los correos electrónicos no deseados se
convierten a un único mensaje de resumen que puede utilizarse para identificar otros correos electrónicos no deseados similares).
Advertencia:
si se activa esta opción puede, ralentizarse considerablemente el proxy POP3.
Lista blanca
Una lista de direcciones de correo electrónico o dominios completos, especificados utilizando comodines, por ejemplo,
*@ejemplo.com; una dirección por línea. Jamás se comprobarán en búsqueda de spam los correos electrónicos enviados
desde estas direcciones y estos dominios.
Lista negra
Una lista de direcciones de correo electrónico o dominios completos, especificados utilizando comodines, por ejemplo,
*@ejemplo.com; una dirección por línea. Los correos electrónicos enviados desde estas direcciones y estos dominios
siempre se marcarán como spam.
La configuración se puede guardar haciendo clic en el botón Guardar.
Correos electrónicos cifrados.
El dispositivo Panda GateDefender no puede escanear los correos electrónicos enviados a través de la conexión POP3 SSL dado que
se encuentra en un canal cifrado.
Por lo tanto, para permitir que un cliente utilice POP3 sobre SSL es necesario configurarlo adecuadamente y desactivar el cifrado desde
el cliente al dispositivo Panda GateDefender. Se debe desactivar el cifrado (es decir, no utilizar SSL), pero el puerto para el tráfico POP3
en texto sin formato debe cambiarse del 110 (predeterminado) al 995.
Tras establecer esta configuración, la conexión desde el cliente al dispositivo Panda GateDefender permanecerá en texto sin formato,
pero utilizará el puerto 995, convirtiendo la configuración del dispositivo Panda GateDefender en un POP3 cifrado sobre la conexión SSL
desde el dispositivo al servidor POP3.
FTP
El proxy FTP se encuentra disponible solo como proxy transparente en las zonas que se han activado y permite el escaneo de archivos
descargados a través del FTP para buscar virus. El dispositivo Panda GateDefender emplea frox como proxy FTP.
Nota:
solo se redirigen al proxy las conexiones al puerto estándar del FTP (21). Esto significa que, si un cliente está configurado para utilizar el
proxy HTTP también para el protocolo FTP, se omitirán los ajustes para el proxy FTP.
En esta página se pueden configurar algunas opciones:
Habilitado en verde, Habilitado en azul, Habilitado en naranja
Activa el proxy FTP en cada zona. Solo disponible en las zonas activadas.
Registros del firewall de conexiones salientes
Registro de las conexiones salientes en el firewall.
Omitir el proxy transparente en el origen
Permite que los orígenes en el área de texto correspondiente no se sometan al análisis del proxy FTP.
Omitir el proxy transparente en el destino
Permite que los destinos en el área de texto correspondiente no se sometan al análisis del proxy FTP.
Proxy FTP y modos activo y pasivo del cliente FTP.
El dispositivo Panda GateDefender admite un proxy FTP transparente con frox únicamente si está conectado de forma directa a Internet.
Pueden surgir problemas si el proxy FTP transparente está activado y hay un dispositivo NAT entre el dispositivo Panda GateDefender e
Internet. En esta configuración, cualquier conexión FTP a un sitio FTP remoto estará bloqueada hasta que se agote el tiempo de espera,
y en los registros aparecerán mensajes como:
Mon Mar 2 11:32:02 2009 frox[18450] Connection timed out when
trying to connect to <your ftp client ip>
Mon Mar 2 11:32:02 2009 frox[18450] Failed to contact client data port
Para resolver estos problemas, debe configurarse el cliente FTP para utilizar el modo pasivo (PASV) como modo de transferencia, y
debe crearse una regla en Barra de menú ‣ Firewall ‣ Acceso al sistema que permita el tráfico en los puertos del 50000 al 50999 para el
dispositivo NAT. No obstante, por motivos de seguridad, estos puertos solo deben activarse si es necesario. Para comprender los
motivos de esta configuración, a continuación se ofrece una descripción más detallada de cómo funcionan los modos activo y pasivo y
cómo interactúan con el proxy FTP.
El modo activo exige que el servidor (en nuestro caso, el proxy FTP) inicie la conexión de datos con el cliente. Sin embargo, un
dispositivo NAT entre los clientes y el proxy hace que la conexión desde el servidor jamás alcance al cliente. Por este motivo, el cliente
debe utilizar el modo pasivo.
Con el modo pasivo, el cliente FTP debe iniciar la conexión con el servidor (otra vez, el proxy FTP) utilizando un puerto dinámico, que se
ha negociado a través de la conexión de control. El proxy FTP escucha a ese puerto, pero el firewall de acceso al sistema necesita
permitir el tráfico a ese puerto.
Dado que múltiples conexiones de datos concurrentes pueden intentar acceder al proxy FTP, es necesario permitir conexiones para un
rango de puertos completo. Por consiguiente, el firewall de acceso al sistema debe admitir todos los puertos reservados para
conexiones de datos pasivas (es decir, 50000-50999).
SMTP
El proxy SMTP puede repetir y filtrar tráfico de correo electrónico cuando se envía desde los clientes a los servidores de correo.
El objetivo del proxy SMTP es controlar y optimizar el tráfico SMTP y proteger las redes locales de amenazas al utilizar el protocolo
SMTP. SMTP se utiliza cuando un correo electrónico se envía desde un cliente de correo electrónico local a un servidor de correo
remoto, es decir, para los correos electrónicos salientes. También se utilizará si un servidor de correo se ejecuta en la LAN (es decir,
dentro de la zona VERDE) o la DMZ (zona NARANJA) y los correos electrónicos se pueden enviar desde fuera de la red local
(solicitudes entrantes) a través de ese servidor de correo, es decir, cuando se permita a los clientes enviar correos electrónicos desde la
interfaz ROJA.
Para descargar correos electrónicos desde un servidor de correo remoto a un cliente de correo electrónico local, se utilizan los
protocolos POP3 o IMAP. Para proteger también ese tráfico, active el proxy POP3 en Barra de menú ‣ Proxy ‣ POP3.
Advertencia:
actualmente, no se admite el escaneo de tráfico IMAP.
Con la funcionalidad del proxy de correo electrónico, se puede escanear el tráfico de entrada y salida del correo electrónico en busca de
virus, spam y otras amenazas. Los correos electrónicos se bloquean si es necesario y, en ese caso, se notifica al usuario receptor y al
administrador. Con la posibilidad de escanear correos electrónicos entrantes, el proxy de correo electrónico puede gestionar conexiones
entrantes desde la interfaz ROJA y enviar el correo electrónico a uno o más servidores de correo internos. Por ello, es posible utilizar un
servidor propio de correo electrónico detrás del firewall sin tener que definir las reglas adecuadas de reenvío de puertos.
La configuración del proxy SMTP está dividida en seis pestañas, cada una adaptada a uno de los aspectos del proxy SMTP.
Configuración
Esta es la página principal de configuración para el proxy SMTP. El proxy SMTP se puede activar haciendo clic en el interruptor
. Cuando está activado, se puede elegir si el proxy SMTP debe estar activo, inactivo o transparente para cada zona activa:
activo
El proxy SMTP se encuentra activado para la zona y acepta solicitudes en el puerto 25.
modo transparente
Si el modo transparente se encuentra activado, todas las solicitudes del puerto 25 de destino se interceptarán y reenviarán al
proxy SMTP sin necesidad de cambiar la configuración de los clientes. Esta opción no se encuentra disponible para la zona
ROJA.
inactivo
El proxy SMTP no se está activado para esa zona.
Hay otras opciones disponibles agrupadas en cinco paneles. Cada panel puede expandirse haciendo clic en el icono o contraerse
haciendo clic en el icono .
Configuración de spam
En este panel existe la posibilidad de configurar las aplicaciones de software usadas por el dispositivo Panda GateDefender para
reconocer y filtrar el spam, configurando las siguientes opciones:
Filtrar correo no deseado
Activa el filtro de correo no deseado y permite la configuración de las opciones adicionales que aparecerán a continuación.
Elegir gestión de correo no deseado
Existen tres acciones que se pueden aplicar a los correos electrónicos que se han identificado como spam:
mover a la ubicación de cuarentena por defecto: los correos electrónicos no deseados se moverán a la ubicación
predeterminada.
enviar a la dirección de correo electrónico de cuarentena: los correos electrónicos no deseados se reenvían a una
dirección de correo electrónico personalizada que puede especificarse en el cuadro de texto Dirección de correo
electrónico para el correo no deseado en cuarentena que aparecerá al seleccionar esta opción.
marcar como correo no deseado: el correo electrónico se marca como spam antes de la entrega.
colocar correo electrónico: el correo spam se elimina de inmediato.
Asunto del spam
Se aplica un prefijo al asunto de todos los correos electrónicos marcados como spam.
Correos electrónicos utilizados para notificaciones de correo no deseado (administrador del correo no deseado)
La dirección de correo electrónico que recibirá una notificación por cada correo electrónico procesado como spam.
Etiqueta de nivel de correo no deseado
Si la puntuación de spam de SpamAssassin es superior a este número, se añaden al correo electrónico los encabezados de
Estado de correo no deseado X y Nivel de correo no deseado X.
Etiqueta de nivel de correo no deseado
Si la puntuación de correo no deseado de SpamAssassin es superior a este número, se añaden al correo electrónico los
encabezados de Asunto del spam y Flag de no deseado X.
Nivel de cuarentena de correo no deseado
Cualquier correo electrónico que supere esta puntuación de spam se moverá a la ubicación de cuarentena.
Enviar notificación únicamente debajo del nivel
Envía correos electrónicos de notificación únicamente si la puntuación de spam es inferior a este número.
Filtro de correo no deseado
Activa la lista gris de correo no deseado y muestra la siguiente opción.
Espera para lista gris (seg)
El retraso en segundos de la lista gris puede ser un valor entre 30 y 3.600.
Informe de correo no deseado
Marque esta casilla para añadir un informe al cuerpo de los correos electrónicos identificados como spam.
Conversión a japonés
Marque este cuadro para activar el soporte para conjuntos de caracteres japoneses en correos electrónicos y filtrar spam en
japonés.
Nota:
aunque se bloquea la mayoría de los mensajes de spam simples y conocidos y los correos enviados por hosts de spam, los spammers
siempre adaptan sus mensajes para que los filtros de correo no deseado no los identifiquen Por consiguiente, es absolutamente
necesario capacitar siempre al filtro del correo no deseado para obtener un filtro personalizado y más fuerte (bayes).
Configuración del antivirus
En este panel se pueden configurar algunas opciones para administrar cualquier virus encontrado.
Buscar virus en los correos
Activa el filtrado de correos electrónicos para buscar virus y muestra las opciones de filtro de virus adicionales.
Elegir gestión de virus
Existen tres o cuatro acciones disponibles (según el tipo de dispositivo Panda GateDefender) que se pueden realizar en correos
electrónicos identificados como spam). Son las mismas que en la Configuración de spam indicada anteriormente:
mover a la ubicación de cuarentena por defecto: los correos electrónicos que contengan virus se enviarán a la ubicación
predeterminada.
enviar a la dirección de correo electrónico de cuarentena: los correos electrónicos que contienen virus se reenvían a una
dirección de correo electrónico personalizada que se puede especificar en el cuadro de texto Dirección de correo
electrónico para cuarentena de virus que aparecerá al seleccionar esta opción.
enviar al destinatario (sin importar el contenido potencialmente peligroso): los correos electrónicos que contienen virus se
entregarán del modo habitual.
colocar correo electrónico: el mensaje de correo electrónico que contiene virus se elimina de inmediato.
Correo electrónico utilizado para notificaciones de virus (administrador de virus)
La dirección de correo electrónico que recibirá una notificación por cada correo electrónico procesado que contiene virus.
Configuración de archivos
Este panel contiene ajustes para bloquear cualquier archivo adjunto a un correo electrónico en función de su extensión. Cuando se
encuentren esas extensiones de archivo en cualquier adjunto, se realizará la acción seleccionada.
Bloquear archivos según extensión
Activa el filtro de archivos basado en extensiones y muestra opciones adicionales de filtro de virus.
Elegir gestión de archivos bloqueados
Existen tres o cuatro acciones disponibles (según el tipo de dispositivo Panda GateDefender) que se pueden realizar en correos
electrónicos que tienen archivos bloqueados (son las mismas que en los cuadros previos de Configuración de spam y Configuración
del antivirus):
mover a la ubicación de cuarentena por defecto: los correos electrónicos que contengan archivos bloqueados se enviarán
a la ubicación predeterminada.
enviar a la dirección de correo electrónico de cuarentena: los correos electrónicos que contienen archivos bloqueados se
reenvían a una dirección de correo electrónico personalizada que se puede especificar en el cuadro de texto Correo
electrónico utilizado para notificaciones de archivo bloqueado que aparecerá al seleccionar esta opción.
enviar al destinatario (sin importar los archivos bloqueados): los correos electrónicos que contienen archivos bloqueados
se entregarán del modo habitual.
Elegir tipos de archivos a bloquear (por extensión)
Las extensiones de archivo que se bloquearán.
Sugerencia:
mantenga pulsada la tecla CTRL y haga clic con el botón izquierdo del ratón para seleccionar varias extensiones.
Correo electrónico utilizado para notificaciones de archivo bloqueado (administrador de archivos)
La dirección de correo electrónico que recibirá una notificación por cada correo electrónico procesado que contenga adjuntos
bloqueados.
Bloquear archivos con extensión doble
Activa el bloqueo de cualquier archivo con extensión doble.
Nota:
los archivos con extensión doble generalmente son archivos maliciosos que aparecen como imágenes o documentos inofensivos. No
obstante, al hacer clic en ellos, se ejecuta una aplicación cuyo objetivo es dañar el equipo o robar datos personales. Un archivo con
extensión doble es exactamente igual que un archivo normal, pero su nombre (por ejemplo, imagen.jpg) va seguido
por .exe, .com, .vbs, .pif, .scr, .bat, .cmd o .dll (por ejemplo, imagen.jpg.exe).
Es necesario configurar los dominios de correo electrónico de los que debe responsabilizarse cada servidor local. La lista de
combinaciones de dominio-servidor SMTP puede definirse en Barra de menú ‣ Proxy ‣ SMTP ‣ Dominios de entrada.
Configuración de cuarentena
En este panel solo hay una opción:
Tiempo de retención de cuarentena (días)
El número de días que el correo electrónico se almacenará en la ubicación especial de cuarentena en el dispositivo Panda
GateDefender antes de eliminarlo.
Sugerencia:
los mensajes almacenados en la cuarentena pueden gestionarse en la Cuarentena de correo, que se encuentra en Barra de menú ‣
Servicios ‣ Cuarentena de correo
Omitir proxy transparente
En el último panel, se pueden definir listas personalizadas de dominios para los cuales se deba desactivar el proxy transparente.
Omitir proxy transparente desde SUBRED/IP/MAC
Los correos electrónicos enviados desde estas fuentes no se someten al proxy transparente.
Omitir proxy transparente a SUBRED/IP
Los correos electrónicos enviados a estos destinos no se someten al proxy transparente.
Listas negras y blancas
En esta página hay cuatro paneles: Tres permiten definir varias listas blancas y negras personalizadas, mientras que el cuarto permite
seleccionar y utilizar un RBL existente.
Ejemplos de listas blancas y negras para receptor/emisor:
En las listas blancas o negras se puede incluir todo un (sub)dominio, de esta forma:
Un dominio que incluye subdominios: ejemplo.com.
Solo los subdominios: .ejemplo.com.
Una dirección única: [email protected], [email protected].
Ejemplos de listas blancas y negras para cliente:
Un dominio o IP: ejemplo.com, 10.10.121.101, 192.168.100.0/24.
Correo aceptado (listas blancas y negras)
En el primer panel se puede introducir cualquier cantidad de dominios, subdominios o direcciones únicas de correo electrónico en una
lista blanca o negra. En las dos listas se puede introducir cualquier cantidad de emisores, receptores y clientes en las áreas de texto
adecuadas, que son las siguientes:
Lista blanca del remitente
Todos los correos electrónicos enviados desde estas direcciones o dominios serán aceptados. Este es el campo De: en el
correo electrónico.
Remitente de lista negra
Todos los correos electrónicos enviados desde estas direcciones o dominios serán rechazados. Este es el campo De: en
el correo electrónico.
Lista blanca de destinatarios
Todos los correos electrónicos enviados a estas direcciones o dominios serán aceptados. Este es el campo Para: en el
correo electrónico.
Destinatario de lista negra
Todos los correos electrónicos enviados a estas direcciones o dominios serán rechazados. Este es el campo Para: en el
correo electrónico.
Lista blanca de clientes
Todos los correos electrónicos enviados desde estas direcciones IP o hosts serán aceptados.
Cliente de lista negra
Todos los correos electrónicos enviados desde estas direcciones IP o hosts serán rechazados.
Lista negra de tiempo real (RBL)
Un método que se suele utilizar para bloquear correos electrónicos no deseados se denomina RBL, y su uso puede configurarse en el
segundo panel. Estas listas las crean administran y actualizan diferentes organizaciones con el fin de identificar y bloquear lo más
rápidamente posible un nuevo servidor SMTP utilizado para enviar spam. Si un dominio o una dirección IP de emisor aparecen en una
de las listas negras, los correos electrónicos enviados desde allí se rechazarán sin ninguna otra notificación. El uso de RBL ahorra
ancho de banda, dado que los correos electrónicos no se aceptarán y gestionarán como correos electrónicos legítimos, sino que se
rechazarán en cuanto la dirección IP o el dominio del emisor se incluyan en cualquier lista negra. El dispositivo Panda GateDefender
utiliza muchas RBL diferentes, que se dividen en basados en IP y basados en dominio. La lista negra que pertenece a cada categoría se
muestra haciendo clic en el pequeño icono , y puede activarse o desactivarse haciendo clic en la flecha roja o verde en la parte
superior de la lista o individualmente. Se puede acceder a la página de inicio de las varias organizaciones que compilan listas haciendo
clic en el nombre de la lista.
Advertencia:
a veces un operador de RBL puede haber incluido por error en las listas direcciones IP o dominios. Si esto sucede, puede perjudicar las
comunicaciones, dado que incluso correos electrónicos legítimos de esos dominios se rechazarán y no será posible recuperarlos. Dado
que no existe la posibilidad de influir directamente en las RBL, es necesario analizar bien las políticas aplicadas desde las
organizaciones que administran RBL antes de utilizarlas. Panda no se asume responsabilidad alguna por los correos electrónicos que se
hayan perdido a causa de utilizar RBL.
Entre las listas negras instaladas se encuentran:
bl.spamcop.net
Una lista negra basada en datos presentados por sus propios usuarios.
zen.spamhaus.org
Esta lista reemplaza la antigua sbl-xbl.spamhaus.org y contiene la lista de bloqueo de Spamhaus además de la lista de
bloqueo de explotación de Spamhaus y su política de lista de bloqueo.
cbl.abuseat.org
La CBL toma sus datos de origen de excepciones de correo no deseado muy grandes. Solo incluye IP que muestran
características específicas de proxies abiertos de varios tipos (por ejemplo, HTTP, socks, AnalogX, wingate, etc.) desde los
que, de forma abusiva, se han enviado spam, gusanos, virus que hacen su propia transmisión de correos o algún tipo de
troyano o spamware “sigiloso”, sin hacer ningún tipo de pruebas en los proxies abiertos.
[nombre].dnsbl.sorbs.net y rhsbl.dnsbl.sorbs.net
Esta organización suministra varias listas negras (reemplazar [nombre] con retransmisiones seguras, etc.), y pueden
activarse individualmente o todas juntas activando la lista negra dsnbl.sorbs.net.
uceprotect.net
Listas que tienen dominios de fuentes conocidas de spam durante como máximo siete días. Después de este periodo, los
dominios se eliminan de las listas, pero las futuras violaciones causan la aplicación de políticas más restrictivas.
dsn.rfc-ignorant.org
Esta es una lista que contiene dominios o redes IP cuyos administradores eligen no obedecer al RFC, los estándares de la red.
Nota:
el sitio rfc-ignorant.org cerró su servicio el 30 de noviembre de 2012 (véase el anuncio), pero su contenido lo ha heredado el equipo de
http://www.rfc-ignorant.de/. No obstante, a día de hoy, su trabajo aún no ha creado RBL operativas (noviembre de 2013).
Los RBL se agrupan en dos cuadros. A la izquierda hay RBL basadas en IP, mientras que a la derecha hay RBL basadas en dominios.
Para activar todas las RBL de un cuadro, haga clic en el icono junto a la barra de título del cuadro (el icono se convertirá en ). Si
desea activar solo algunas de las RBL, haga clic en el icono situado al lado del nombre de cada RBL. En ese caso, el icono o
de la barra de título quedará reemplazado por un icono .
Listas grises de correo no deseado
En el tercer panel, se pueden crear listas blancas con listas grises añadiendo entradas por cada receptor, dirección IP o red en las dos
áreas de texto. A los elementos de la lista blanca no se les aplicará ninguna lista gris.
Lista blanca de destinatarios
Todas las direcciones de correo electrónico o dominios completos escritos en esta área de texto, por ejemplo,
[email protected] o ejemplo.com, se consideran “seguros”, es decir, los correos electrónicos que provengan de ellos no
se comprobarán en busca de spam.
Lista blanca de clientes
Todas las direcciones del servidor de correo en esta área de texto se consideran “seguras”, es decir, los correos electrónicos
que vienen de esta dirección del servidor no se comprobarán en busca de spam.
Listas grises
Las listas grises son un método utilizado por un MTA para verificar si un correo electrónico es legítimo. Para ello, lo rechaza una primera
vez y espera a que se produzca un segundo envío del mismo correo electrónico. Si el correo electrónico no se vuelve a recibir, el
remitente se considera una fuente de spam. La idea tras las listas grises es que los robots de spam masivo no intentan reenviar ningún
correo rechazado. Por lo tanto, solo se reenviarían correos electrónicos válidos.
Correo no deseado (listas blancas y negras)
Finalmente, en el último panel, se definen las listas blancas y negras explícitas para el filtro de correo no deseado.
Lista blanca del remitente
En esta área de texto se pueden incluir en las listas blancas direcciones de correo electrónico o dominios completos (es decir,
jamás se identificarán como spam), por ejemplo, [email protected] o el dominio ejemplo.com.
Remitente de lista negra
En esta área de texto se pueden incluir en las listas negras direcciones de correo electrónico o dominios completos (es decir,
siempre se identificarán como spam), por ejemplo, [email protected] o el dominio ejemplo.com.
Dominios de entrada
Cuando el correo entrante está activado (es decir, los clientes fuera de la interfaz ROJA pueden enviar correos electrónicos desde un
servidor SMTP local) y los correos electrónicos que se enviarán deben reenviarse a un servidor de correo detrás del dispositivo Panda
GateDefender (normalmente configurado en la zona NARANJA), es necesario declarar los dominios que el proxy SMTP debe aceptar y
a qué servidores de correo electrónico se debe reenviar el correo entrante. Se pueden especificar múltiples servidores de correo detrás
del dispositivo Panda GateDefender para dominios diferentes.
La página presenta una lista de dominios junto con el servidor de correo responsable de cada uno de ellos, si se ha definido alguno.
Para añadir un dominio nuevo, haga clic en el botón Añadir un dominio. Se abrirá un formulario sencillo, donde se puede crear la
combinación de dominio-servidor de correo.
Dominio
El dominio del que es responsable el servidor de correo.
IP del servidor de correo
La dirección IP del servidor de correo.
La nueva entrada aparecerá al pie de la lista. Las acciones disponibles para cada dominio son:
: modifica la propiedad del dominio.
: elimina el dominio.
Advertencia:
no se solicitará confirmación alguna después de hacer clic en el icono . El dominio se eliminará inmediatamente.
Enrutamiento de dominio
La página muestra una lista de dominios junto con el smarthost responsable de la entrega o la recepción de mensajes desde esos
dominios. La información mostrada por la lista es la misma que la proporcionada al añadir un dominio nuevo. Las acciones disponibles
son:
: modifica el enrutamiento del dominio.
: elimina el enrutamiento del dominio.
Para añadir un dominio nuevo, haga clic en el botón Agregar nueva ruta de dominio. Se abrirá un formulario sencillo, donde se puede
crear la combinación de dominio-servidor de correo.
Sentido
Decida si la regla se aplica al dominio asociado con el emisor o con el receptor.
Dominio
El dominio del que es responsable el servidor de correo.
Dirección de salida
La interfaz o dirección IP del enlace activo a través del cual se enviarán los correos, entre los disponibles en el menú
desplegable. Si se deja en blanco, el smarthost elegirá el enlace activo o la dirección IP.
Smarthost
Al marcar esta casilla, se mostrarán más opciones para invalidar el smarthost del sistema y configurar uno externo. Las
opciones son las mismas que las indicadas más adelante para la Configuración de smarthost.
Prioridad de regla
Supongamos que ha definido dos reglas de enrutamiento de dominio: una con dominio midominio.com como emisor y enlace activo
principal como ruta, y otra regla con dominio ejemplo.org como receptor y enlace activo secundario como ruta. ¿Qué le sucede a un
correo electrónico que se envía desde el servidor foo.midominio.com a un usuario en bar.ejemplo.org? La respuesta radica en cómo
procesa el MTA del dispositivo Panda GateDefender, postfix, las reglas de envío de correos electrónicos. Primero lee todas las reglas
relacionadas con los orígenes y, a continuación, las reglas relacionadas con el receptor. Por tanto, el correo que se envía desde
foo.midominio.com a bar.ejemplo.org se enrutará a través del enlace activo secundario.
Enrutamiento de correo
Esta opción permite enviar una CCO de un correo electrónico a una dirección de correo electrónico determinada y se aplica a todos los
correos electrónicos enviados a un receptor específico o desde una dirección de emisor específica. La lista muestra el sentido, la
dirección, la dirección de CCO, si la hay, y las acciones disponibles:
: modifica el enrutamiento del correo.
: elimina el enrutamiento del correo.
Para añadir una ruta de correo nueva, haga clic en el botón Añadir ruta de correo. En el formulario que se abre se pueden configurar
estas opciones:
Sentido
Seleccione en el menú desplegable si debe definirse la ruta de correo para un emisor o un receptor del correo electrónico.
Dirección de correo
En función del sentido elegido, esta será la dirección de correo electrónico del receptor o el emisor a la que se debe aplicar
la ruta.
Dirección CCO
La dirección de correo electrónico que recibe la copia de los correos electrónicos.
Advertencia:
ni el emisor ni el receptor recibirán notificación alguna de la copia enviada a un tercero. En la mayoría de los países es ilegal leer
mensajes privados de otras personas. Por tanto, no haga un mal uso de esta función ni abuse de ella.
Avanzado
En esta página de configuración del proxy SMTP se presentan opciones avanzadas de configuración agrupadas en cuatro paneles, que
pueden mostrarse u ocultarse haciendo clic en los iconos o a la izquierda del título del panel.
Configuración de smarthost
En el primer panel se puede activar y configurar un smarthost. Si el servidor SMTP tiene una dirección IP dinámica, por ejemplo, si
utiliza una conexión a Internet de acceso telefónico ISDN o ADSL, pueden producirse problemas al enviar correos electrónicos a otros
servidores de correo, dado que esa dirección IP puede haber sido incluida en alguna RBL (véase Listas blancas y negras anteriormente)
y, por ello, el servidor de correo remoto puede rechazar los correos electrónicos. En estos casos es necesario utilizar un smarthost para
enviar correos electrónicos.
Smarthost para entrega
Marque esta casilla para activar un smarthost para la entrega de correos electrónicos y mostrar opciones adicionales.
Dirección de smarthost
La dirección IP o el nombre de host del smarthost.
Puerto de smarthost
El puerto en donde el smarthost escucha, que, de forma predeterminada, es el 25.
Autenticación de smarthost
Marque esta casilla si el smarthost requiere autenticación. Después se muestran las tres opciones adicionales siguientes.
Nombre de usuario de smarthost
El nombre de usuario utilizado para la autenticación en el smarthost.
Contraseña de smarthost
La contraseña utilizada para autenticación en el smarthost.
Elegir método de autenticación
Los métodos de autenticación requeridos por el smarthost: se admiten PLAIN, LOGIN, CRAM-MD5 y DIGEST-MD5. Se
pueden elegir más métodos manteniendo pulsada la tecla CTRL y haciendo clic en cada uno de los métodos deseados.
Nota:
en pocas palabras, un smarthost es un servidor de correo utilizado por el proxy SMTP como servidor SMTP saliente. El smarthost
necesita aceptar los correos electrónicos y retransmitirlos. Normalmente, se utiliza como smarthost el servidor SMTP propio del
proveedor, dado que aceptará retransmitir los correos electrónicos, mientras que otros servidores de correo no lo harán.
Servidor IMAP para autenticación SMTP
Este panel contiene las opciones de configuración para el servidor IMAP que se deben utilizar para la autenticación cuando se envían
correos electrónicos. Estos ajustes son especialmente importantes para las conexiones entrantes del SMTP que se abren desde la zona
ROJA. Se pueden configurar los siguientes ajustes:
Autenticación SMTP
Marque esta casilla para activar la autenticación IMAP y ver opciones adicionales.
Elegir cantidad de demonios de autenticación
Indica la cantidad de inicios de sesión concurrentes admitidos a través del dispositivo Panda GateDefender.
Servidor IMAP de autenticación
La dirección IP del servidor IMAP.
Puerto IMAP de autenticación
El puerto en el que el servidor IMAP escucha y que, de forma predeterminada, es el 143 para IMAP sin formato o el 993 para
IMAP sobre SSL.
Configuración del servidor de correo
En este panel, se pueden definir parámetros adicionales del servidor SMTP.
SMTP HELO
Si esta casilla está marcada, el cliente que se conecta debe enviar un comando HELO (o EHLO) al comienzo de una sesión
SMTP.
Nombre de host inválido
Rechaza el cliente que se conecta si el parámetro HELO o EHLO del cliente proporciona un nombre de host no válido.
Nombre SMTP HELO
El nombre del host que debe enviarse con el comando SMTP EHLO o HELO. El valor predeterminada es la REDIP, pero se
puede indicar un nombre del host o una dirección IP personalizados.
Enviar siempre con copia oculta (CCO) a la dirección
Una dirección de correo electrónico aquí que recibirá una CCO de cada mensaje que pase por el proxy SMTP.
Elegir idioma de plantilla de correo
El idioma en el que deben enviarse los mensajes de error, entre los disponibles: inglés, alemán, italiano y japonés.
Verificar dirección del destinatario
Active esta opción para comprobar la validez de las direcciones de los receptores antes de enviar el mensaje.
Elegir límite de error grave
La cantidad máxima de errores que un cliente SMTP puede generar sin entregar un correo. El servidor proxy SMTP se
desconecta una vez que se supera este límite (el valor predeterminado es 20).
Elegir tamaño máximo de contenido de correo electrónico
El tamaño máximo permitido para un único mensaje de correo electrónico. En el menú desplegable pueden seleccionarse
varios valores predefinidos. Si se elige la opción tamaño del contenido del correo electrónico personalizado, se muestra la
siguiente opción.
Personalizar el tamaño máximo del contenido del correo electrónico (en KB)
El tamaño máximo en megabytes del correo electrónico que aceptará el servidor SMTP.
Activar DSN en zonas
Elija entre las zonas disponibles aquellas que enviarán un mensaje devuelto (es decir, un mensaje DSN) a correos
electrónicos que no se pueden entregar o a los que no se pueden enviar correctamente. En otras palabras, se podrán recibir
mensajes de notificación de entrega de correos electrónicos solo desde las zonas que se hayan seleccionado aquí.
HELO/EHLO y nombre de host
Casi todos los servidores de correo exigen que los clientes que se conectan a través de SMTP se anuncien con un nombre del host
válido junto con el HELO/EHLO, o bien que interrumpan la conexión. Sin embargo, el dispositivo Panda GateDefender utiliza su propio
nombre de host para anunciarse a servidores de correo electrónico externos, lo que en ocasiones no es válido de forma pública dentro
del DNS global.
Si ese es el caso, se puede configurar otro nombre del host personalizado en Barra de menú ‣ Proxy ‣ SMTP ‣ Avanzado ‣
Configuración del servidor de correo ‣ Nombre SMTP HELO, que el servidor de correo remoto pueda entender.
En lugar de un nombre del host personalizado, se puede proporcionar incluso una dirección IP numérica entre corchetes (por ejemplo,
[192.192.192.192]), que debe ser la dirección REDIP.
Prevención del spam
Finalmente, en este último panel se pueden definir parámetros adicionales para el filtro de correo no deseado marcando una o más de
las cuatro casillas.
receptor inválido
Rechaza la solicitud cuando la dirección RCPT TO no se encuentra en formato FQDN, según exige el RFC 821.
emisor inválido
Rechaza el cliente que se conecta si el nombre del host proporcionado con el comando HELO o EHLO no se encuentra en
formato FQDN, según exige el RFC 821.
dominio del receptor desconocido
Rechaza la conexión si el dominio de la dirección de correo electrónico del receptor no tiene un registro DNS A o MX.
emisor desconocido
Rechaza la conexión si el dominio de la dirección de correo electrónico del emisor no tiene un registro DNS A o MX.
Resolución de problemas del proxy SMTP.
Cuando en el archivo de registro aparece el mensaje “El correo para xxx vuelve a mí”, indica un error de configuración en el nombre
SMTP HELO personalizado en el dispositivo, que es igual al nombre del host del servidor de correo interno al cual se deben reenviar los
correos electrónicos entrantes.
En ese caso, la conexión SMTP recibida desde el servidor de correo interno contendrá un nombre del host (el que figura en la línea
HELO en la configuración del proxy SMTP), que es el mismo que el nombre del host del servidor de correo interno, por lo que el servidor
de correo interno cree que envía y recibe el mismo correo electrónico, lo que genera el mensaje de error.
Las posibles soluciones son:
Cambiar el nombre del host del servidor de correo interno.
Crear un registro A válido públicamente dentro de la zona DNS que también señale al dispositivo Panda
GateDefender y utilizar este nombre del host como línea HELO en del proxy SMTP.
Utilizar la dirección IP numérica del enlace activo como línea HELO.
Antispam
Esta página incluye los ajustes de configuración para el motor antispam. Se pueden configurar las siguientes opciones:
Activar Commtouch
Activa el motor antispam de Commtouch. Esta opción solo está disponible si se ha instalado Commtouch en
el dispositivo Panda GateDefender.
Habilitar el cortocircuito de SpamAssassin
Marque esta casilla para omitir SpamAssassin cuando Commtouch marque un mensaje como spam.
Ignorar IP/Redes
Aquí se pueden definir las IP y las redes que Commtouch no debe comprobar.
En la sección Etiqueta de nivel de correo no deseado se pueden configurar las siguientes opciones: Los valores válidos para cada
opción están entre -10 y 10, ambos incluidos.
CONFIRMADO
Los correos electrónicos con un nivel de etiqueta superior a este valor se identificarán como spam.
MASIVO
Los correos electrónicos con un nivel de etiqueta superior a este valor se identificarán como correo masivo.
SOSPECHOSO
Los correos electrónicos con un nivel de etiqueta superior a este valor se identificarán como sospechosos de contener spam.
DESCONOCIDO
Los correos electrónicos con un nivel de etiqueta inferior a este valor se clasificarán como desconocidos.
SIN SPAM
Los correos electrónicos con un nivel de etiqueta inferior a este valor se identificarán como sin spam.
DNS
El proxy DNS es un servidor proxy que intercepta consultas DNS y las responde, sin tener que conectarse a un servidor DNS remoto
cada vez que haya que resolver una dirección IP o un nombre del host. Cuando se repite una misma consulta a menudo, almacenar sus
resultados en caché puede mejorar sensiblemente el rendimiento. Las configuraciones disponibles para el proxy DNS se agrupan en
tres pestañas.
Proxy DNS
En esta página pueden configurarse algunas opciones para el proxy DNS.
Transparente en verde, Transparente en azul, Transparente en naranja
Activa el proxy DNS como transparente en las zonas VERDE, AZUL y NARANJA, respectivamente. Aparecen solo si las
zonas correspondientes están activadas.
Se pueden configurar fuentes y destinos específicos para evitar el proxy completando sus valores en las dos áreas de texto disponibles.
Qué direcciones de origen puede omitir el proxy transparente
Permite que los orígenes en el área de texto correspondiente no se sometan al análisis del DNS. Los orígenes pueden
especificarse como direcciones IP, redes o direcciones MAC.
Qué destinos omitirá el proxy transparente
Permite que los destinos en el área de texto correspondiente no se sometan al análisis del proxy DNS. Los destinos pueden
especificarse como direcciones IP o redes.
Enrutamiento de DNS
Esta página permite gestionar combinaciones personalizadas de dominio-servidor de nombres. Resumiendo, cuando se consulta un
subdominio de un dominio, se usará el servidor de nombres correspondiente de la lista para resolver el dominio en la dirección IP
correcta.
Se puede añadir una nueva combinación dominio-servidor de nombres haciendo clic en el enlace Añadir un nuevo servidor de nombres
personalizado para un dominio. Al añadir una entrada, se pueden introducir varios valores para las diferentes opciones disponibles:
Dominio
El dominio para el cual utilizar el servidor de nombres personalizado.
Servidor DNS
La dirección IP del servidor de nombres.
Observaciones
Un comentario adicional.
En cada dominio de la lista pueden llevarse a cabo las acciones siguientes:
: edita la regla.
: elimina la regla.
Antispyware
Esta página presenta opciones de configuración acerca de la reacción del dispositivo Panda GateDefender cuando debe resolver un
nombre de dominio conocido por ser utilizado para propagar spyware, o bien porque sirve como sitio de phishing. Las opciones que se
pueden configurar son:
Activado
Las solicitudes se redirigen a un host local. En otras palabras, no se podrá contactar con el sitio remoto ni acceder a él.
Lista blanca de dominios
Los nombres de dominio que se introducen aquí no se tratan como objetivos de spyware, independientemente del contenido
de la lista.
Dominios de lista negra
Los nombres de dominio que se introducen aquí se tratan siempre como objetivos de spyware, independientemente del
contenido de la lista.
Tareas programadas de actualización de la lista de dominios del spyware
La frecuencia de actualización de la lista de dominios de spyware. Las opciones posibles son Diariamente, Semanalmente y
Mensualmente. Al mover el cursor del ratón sobre el signo de interrogación respectivo, se muestra la hora exacta de
ejecución de la actualización.
Sugerencia:
para descargar firmas actualizadas, el sistema debe estar registrado en la Panda Perimetral Management Console.
El menú VPN Autenticación
Esta página muestra tres pestañas, que permiten gestionar usuarios locales, grupos locales y la configuración para la autenticación
remota.
Usuarios
En esta página, todos los usuarios que disponen de una cuenta en el servidor VPN del dispositivo Panda GateDefender se muestran en
la tabla, y para cada usuario se muestra la siguiente información:
Nombre. El nombre del usuario.
Observaciones. Un comentario.
Servidor de autenticación. El servidor utilizado para la autenticación de usuario, que puede ser local (el mismo dispositivo
Panda GateDefender) o LDAP (un servidor LDAP externo, que puede configurarse en la pestaña Configuración).
Acciones. Las operaciones disponibles que pueden llevarse a cabo en la cuenta. Para usuarios LDAP son Activar/Desactivar
y Editar; para los usuarios locales, también existe la posibilidad de Eliminar. Editar un usuario LDAP solo permite modificar
sus opciones locales, no otros datos como el nombre de usuario o la contraseña, que son completamente gestionados por el
servidor LDAP.
Haga clic en Añadir nuevo usuario local sobre la tabla para añadir una cuenta local nueva. Se pueden especificar las siguientes
opciones para cada usuario dentro del formulario que aparecerá.
Añadir nuevo usuario local
Nombre de usuario
El nombre de usuario para iniciar la sesión.
Observaciones
Un comentario adicional.
Contraseña, Confirmar contraseña
La contraseña para el usuario, que se debe introducir dos veces. Las contraseñas no se muestran. Para verlas, marque las
dos casillas a su derecha.
Configuración de certificado
Seleccione el modo para asignar un certificado al usuario. Los modos disponibles se pueden seleccionar en el menú
desplegable: Generar un certificado nuevo, Cargar un certificado y Cargar una solicitud de firma de certificado. Tras la
selección, debajo del menú desplegable aparecen las opciones disponibles para cada modo, que se describen en la página
Certificados.
Nombre de la unidad organizativa
La unidad organizativa a la que pertenece el usuario, es decir, la compañía, la empresa o el departamento de la institución
que se identifica con el certificado.
Nombre de la organización
La organización a la que pertenece el usuario.
Ciudad
La población (L) donde se encuentra la organización.
Estado o provincia
El estado o la provincia (ST) donde se encuentra la organización.
País
El país (C) donde se encuentra la organización, seleccionado entre los disponibles en el menú de selección. Escribiendo una
o más letras, se encuentran y se muestran los países coincidentes.
Dirección de correo electrónico
La dirección de correo electrónico del usuario.
Miembros del grupo
En esta parte del panel es posible asignar al usuario la pertenencia a uno o más grupos. En el widget de búsqueda es
posible filtrar grupos existentes para encontrar grupos coincidentes. La pertenencia a un grupo se añade haciendo clic en el
botón + a la derecha del nombre del grupo. Los grupos a los que pertenece el usuario se muestran en el siguiente campo de
texto. También existen accesos directos para Añadir todas y Eliminar todas las pertenencias a grupos a la vez.
Invalidar opciones de OpenVPN
Marque esta casilla para permitir que se utilice el protocolo OpenVPN. Esta opción mostrará un cuadro donde especificar las
opciones personalizadas para la cuenta (véase más adelante).
Invalidar opciones de L2TP
Marque esta casilla para mostrar un cuadro en el que elegir el túnel L2TP que se utilizará.
Nota:
si todavía no se ha configurado un túnel L2TP, no puede seleccionarse esta opción. En ese caso, aparecerá un mensaje informativo
como un hipervínculo. tras hacer clic en él, se abre el editor de conexiones IPsec. A continuación, será posible permitir que un usuario
VPN se conecte utilizando el protocolo L2TP.
Sugerencia:
el cuadro de opciones de L2TP aparecerá debajo del cuadro Opciones de OpenVPN, si también debe invalidarse la opción de
OpenVPN.
Activado
Marque la casilla para activar el usuario, es decir, para permitirle que se conecte al servidor OpenVPN del dispositivo Panda
GateDefender.
Opciones de OpenVPN
dirigir todo el tráfico del cliente a través del servidor VPN
Si se marca esta opción, todo el tráfico proveniente del cliente conectado, sin importar su destino, se enrutará a través del
enlace activo del dispositivo Panda GateDefender. El valor predeterminado es el de enrutar todo el tráfico cuyo destino se
encuentre fuera de cualquiera de las zonas internas (por ejemplo, los hosts de Internet) a través del enlace activo del cliente.
Solo enviar opciones globales a este cliente
Solo para usuarios avanzados. Por lo general, cuando un cliente se conecta, se añaden a la tabla de enrutamiento del cliente
las rutas del túnel de las redes a las que se puede acceder a través de la VPN, para permitir que se conecte a las diferentes
redes locales a las que se puede acceder desde el dispositivo Panda GateDefender. Debería activarse esta opción si no se
desea dicho comportamiento, pero las tablas de enrutamiento del cliente (especialmente aquellas para las zonas internas)
deberían modificarse de forma manual.
Enviar ruta a la zona VERDE [AZUL, NARANJA],
Si esta opción está activada, el cliente tendrá acceso a la zona VERDE, AZUL o NARANJA. Estas opciones no tienen efecto
alguno si las zonas correspondientes no están activadas.
Redes detrás del cliente
Esta opción solo es necesaria si se utiliza esta cuenta como un cliente en una configuración puerta de enlace a puerta de
enlace. En la casilla deberían introducirse las redes que se encuentran detrás de este cliente y que deberían enviarse a los
otros clientes. En otras palabras, estas redes estarán disponibles para los otros clientes.
Direcciones IP estáticas
A los clientes se les asignan direcciones IP dinámicas. No obstante, cada vez que el cliente se conecte, se le asignará una dirección
IP estática proporcionada aquí.
Nota:
si el cliente se conecta a un servidor VPN multinúcleo que se ejecuta en el dispositivo Panda GateDefender, esta asignación no se
tendrá en cuenta.
Enviar estos nombres de servidores
Aquí se asignan nombres de servidores personalizados para cada cliente. Esta configuración (y la siguiente) puede definirse.
También puede activarse o desactivarse cuando se desee.
Enviar estos dominios
Aquí se asignan dominios de búsqueda personalizados para cada cliente.
Nota:
si tiene previsto hacer que dos o más sucursales se conecten a través de una VPN puerta de enlace a puerta de enlace, se recomienda
elegir diferentes subredes para las LAN en las diferentes sucursales. Por ejemplo, una sucursal podría poseer una zona VERDE con la
subred 192.168.1.0/24 mientras que la otra sucursal podría utilizar 192.168.2.0/24. Utilizando esta solución, se
evitarán varias posibles fuentes de errores y conflictos. De hecho, se incluyen varias ventajas gratis, entre otras: la asignación
automática de rutas correctas sin necesidad de enviar rutas personalizadas, ningún mensaje de advertencia sobre rutas posiblemente
conflictivas, la resolución correcta del nombre local y una configuración más sencilla de la red WAN.
Opciones de L2TP
Túnel IPsec
Este menú desplegable le permite elegir el túnel que utilizará el usuario, entre aquellos ya definidos.
Grupos
En esta página se muestra una tabla, que muestra todos los grupos que están definidos en el dispositivo Panda GateDefender o en un
servidor LDAP externo. Para cada grupo se muestra la siguiente información:
Nombre de grupo. El nombre del grupo.
Observaciones. Un comentario.
Servidor de autenticación. El servidor utilizado para la autenticación de usuario, que puede ser local (el mismo dispositivo
Panda GateDefender) o LDAP (un servidor LDAP externo, que puede configurarse en la pestaña vpnauthsettings).
Acciones. Las operaciones disponibles que pueden llevarse a cabo en la cuenta. Para servidores LDAP la única acción es
Editar las propiedades locales, mientras que para los grupos locales también existe la posibilidad de Eliminar el grupo.
Haga clic en Añadir nuevos grupos locales sobre la tabla para añadir un nuevo grupo local. Se pueden especificar las siguientes
opciones para cada grupo dentro del formulario que aparecerá.
Nombre de grupo
El nombre asignado al grupo.
Observaciones
Un comentario.
Usuarios
En esta parte del panel es posible asignar usuarios al grupo. En el widget de búsqueda es posible filtrar usuarios locales
existentes para encontrar usuarios coincidentes. Los usuarios se añaden al grupo pulsando en el signo + a la derecha del
nombre de usuario. Los usuarios en el grupo se muestran en el campo de texto siguiente. También existen accesos directos
para Añadir todos y Eliminar todos los usuarios de un grupo.
Invalidar opciones de OpenVPN
Marque esta casilla para permitir que se utilice el protocolo OpenVPN. Esta opción mostrará un cuadro donde especificar las
opciones personalizadas para la cuenta, que son las mismas que las especificadas para los usuarios locales.
Invalidar opciones de L2TP
Marque esta casilla para mostrar un cuadro en el que elegir el túnel L2TP que se utilizará de un menú desplegable.
Nota:
si todavía no se ha configurado un túnel L2TP, no puede seleccionarse esta opción. En ese caso, aparecerá un mensaje informativo
como un hipervínculo. Tras hacer clic en él, se abre el editor de conexiones IPsec. Una vez creado un nuevo túnel L2TP, será posible
asociarlo a un usuario.
Sugerencia:
el cuadro de opciones de L2TP aparecerá debajo del cuadro Opciones de OpenVPN, si también debe invalidarse la opción de
OpenVPN.
Activado
Marque la casilla para activar el usuario, es decir, para permitirle que se conecte al servidor OpenVPN del dispositivo Panda
GateDefender.
Advertencia:
si bien se admite que un mismo usuario forme parte de uno o más grupos, se debe tener cuidado de que los grupos a los que pertenece
el usuario no definan opciones de invalidación opuestas. Como ejemplo, considere un usuario miembro de dos grupos, uno que permite
acceder únicamente a la zona VERDE y otro que solo da acceso a la AZUL. En este caso, no es fácil saber si a dicho usuario se le
concederá o no acceso a la zona AZUL o a la VERDE. La gestión de estos problemas corresponde al administrador del servidor
OpenVPN.
Configuración
Esta página contiene la configuración actual de los servidores de autenticación en los que el dispositivo Panda GateDefender confía y
admite para su gestión. Actualmente, solo son compatibles los locales y LDAP/Active Directory, aunque en futuras versiones pueden
añadirse tipos adicionales de servidores de autenticación, por ejemplo, servidores Radius.
En esta página hay dos tablas: una que muestra información acerca del Servidor de autenticación y otra que muestra Asignaciones de
servidores de autenticación. En el primer caso, se muestra la información siguiente:
Nombre. El nombre asignado al servidor.
Tipo. Si es el servidor es un servidor local o un LDAP externo.
Servicio Autenticación que está disponible para ese servidor.
Acciones. En el caso de la autenticación local, es posible activar o desactivar el servidor, editarlo o eliminarlo. En el caso de
los servidores LDAP, también existe la posibilidad de actualizar la conexión, para sincronizar los usuarios y los grupos.
La tabla de la parte inferior muestra las correspondencias entre un servicio (IPsec XAuth, OpenVPN y L2TP) y el tipo de autenticación
permitido. La única Acción disponible para los mapeos es Editar. Al hacer clic en Editar, aparecerá un formulario en el que un selector
permite seleccionar qué backends de autenticación se utilizarán para ese servicio.
Al hacer clic en el enlace Añadir nuevo servidor de autenticación encima de las tablas, se abre un formulario en el que proporcionar
todos los datos para configurar un nuevo servidor de autenticación.
Este formulario sustituye las tablas que muestran los servidores de autenticación ya definidos y permite configurar uno nuevo,
especificando valores adecuados para las siguientes opciones de configuración.
Nombre
El nombre asignado al servidor de autenticación.
Activado
Marque la casilla para activar el servidor.
Tipo
Seleccione en el menú desplegable si el servidor debe ser LDAP/Active Directory o local. Todas las opciones siguientes,
excepto la última, solo están disponibles para la configuración de los servidores LDAP.
URI del servidor LDAP
El URI del servidor LDAP.
Tipo de servidor LDAP
Este menú desplegable permite elegir el tipo de servidor de autenticación entre Genérico, Active Directory, Novell eDirectory
u OpenLDAP.
Nombre de usuario de LDAP bind DN
El nombre completamente único de un usuario unido a DN, que debe tener permiso para leer los atributos del usuario.
Contraseña de LDAP bind DN
La contraseña del usuario unido a DN.
Las siguientes opciones dependen de la configuración del servidor y se usan para identificar a qué usuarios y grupos se concederá
acceso al servidor OpenVPN del dispositivo Panda GateDefender: DN base de usuarios de LDAP, Filtro de búsqueda de usuarios de
LDAP, Atributo de ID único de usuario de LDAP, DN base de grupo de LDAP, Atributo de ID único de grupo de LDAP, Atributo de
miembro de grupo de LDAP, Filtro de búsqueda de grupos de LDAP.
Limitar a grupos especificados
Esta opción permite seleccionar qué grupos del servidor LDAP pueden conectarse al servidor OpenVPN del dispositivo
Panda GateDefender.
El menú VPN
Servidor OpenVPN
o Configuración del servidor
Cliente OpenVPN (Gw2Gw)
IPsec
o IPsec
o L2TP
Autenticación
o Usuarios
o Grupos
o Configuración
Certificados
o Certificados
o Autoridad de certificado
o Certificados revocados
o Lista de revocación de certificados
Una VPN permite que dos redes locales separadas se conecten de forma directa entre ellas a través de redes potencialmente no
seguras, como Internet. Todo el tráfico de red que pasa a través de la conexión VPN se transmite de manera segura dentro de un túnel
cifrado, oculto a los curiosos. Dicha configuración se denomina VPN Puerta de Enlace a Puerta de Enlace o, de manera abreviada, VPN
Gw2Gw. De manera similar, un ordenador remoto desde cualquier lugar de Internet puede utilizar un túnel VPN para conectarse a una
LAN local de confianza. El ordenador remoto, al que a veces se le llama Road Warrior, parece estar conectado directamente a la LAN
de confianza mientras el túnel VPN está activado.
El dispositivo Panda GateDefender admite la creación de VPN que se basan en el protocolo IPsec, admitido por la mayoría de los
sistemas operativos y equipos de red, o en el servicio OpenVPN.
El dispositivo Panda GateDefender puede configurarse como un servidor OpenVPN o un cliente, e incluso desempeñar ambos papeles
al mismo tiempo, con el fin de crear una red de dispositivos conectados a través de OpenVPN. Los elementos de menú disponibles en el
submenú son los siguientes:
Servidor OpenVPN: configura el servidor OpenVPN para que los clientes (tanto los Road Warriors como otros dispositivos
Panda GateDefender en una configuración puerta de enlace a puerta de enlace) se puedan conectar a una de las zonas
locales.
Cliente OpenVPN (Gw2Gw): configura el lado del cliente de una configuración puerta de enlace a puerta de enlace entre dos
o más dispositivos Panda GateDefender.
IPsec/L2TP: configura túneles VPN basados en IPsec y conexiones L2TP.
Autenticación: administra usuarios de conexiones VPN.
Certificados: gestionan los certificados que se utilizarán con conexiones VPN.
actualización: 31 de enero de 2014.
Servidor OpenVPN
Si se configura el dispositivo Panda GateDefender como un servidor OpenVPN, puede aceptar conexiones remotas del enlace activo y
permitir que se configure un cliente VPN y que funcione como si fuera una estación de trabajo o un servidor locales.
A partir de la versión 5.50, el servidor OpenVPN implementado en el dispositivo Panda GateDefender permite la presencia simultánea
de varias instancias. Cada servidor escuchará un puerto diferente, y solo aceptará conexiones entrantes en ese puerto. Además, si el
hardware en el que está instalado el dispositivo Panda GateDefender tiene múltiples núcleos de CPU, a cada instancia se le puede
asignar más de un núcleo, lo que se traduce en un aumento del rendimiento y el procesamiento de datos de esa instancia. Sin embargo,
también es posible tener varias instancias de OpenVPN ejecutándose en un dispositivo equipado con una CPU de un solo núcleo,
aunque esto hace que la CPU gestione la carga de todas las instancias.
Configuración del servidor
Esta página muestra un interruptor Habilitar servidor OpenVPN . Al hacer clic en él, se iniciarán el servidor OpenVPN y todos los
servicios relacionados con él (por ejemplo, el Firewall VPN, si está activado). A continuación hay un cuadro, Configuración de OpenVPN,
que permite configurar algunos ajustes generales. Justo debajo, un enlace permite definir una nueva instancia de servidor, mientras que
en la parte inferior de la página aparece la lista de los servidores OpenVPN disponibles que se ejecutan en el dispositivo Panda
GateDefender, si ya se ha definido alguno. La lista muestra los siguientes datos sobre cada instancia definida del servidor OpenVPN: el
nombre, las observaciones y detalles sobre la configuración, a saber, el puerto en el que escucha, el protocolo, el tipo de dispositivo y el
tipo de red. Por último, las acciones disponibles son:
: el servidor está activo o detenido.
: modifica la configuración del servidor.
: elimina la configuración y el servidor.
Nota:
al iniciar el servidor OpenVPN por primera vez, los certificados de root y de host se generan automáticamente.
Configuración de OpenVPN
El cuadro de la parte superior muestra la configuración de OpenVPN actual, que está relacionada con el método de autenticación y es la
siguiente:
Tipo de autenticación
Existen tres métodos de autenticación disponibles para conectar los clientes al servidor OpenVPN que se ejecuta en el dispositivo
Panda GateDefender:
PSK (nombre de usuario y contraseña). La conexión se establece tras proporcionar el nombre de usuario y la contraseña
correctos.
Certificado X.509. Solo es necesario un certificado válido para conectarse.
Certificado X.509 y PSK (dos factores). Además de un certificado válido, se necesitan un nombre de usuario y una
contraseña.
Advertencia:
al utilizarse la autenticación solo por certificado, un cliente con un certificado válido podrá acceder al servidor OpenVPN aunque no
posea una cuenta válida.
El método predeterminado del dispositivo Panda GateDefender es PSK (nombre de usuario/contraseña). El cliente se autentica
utilizando un nombre de usuario y una contraseña. No se necesita ningún cambio adicional para utilizar este método, mientras que los
otros dos métodos se describen debajo.
Configuración de certificado
Este menú desplegable se utiliza para seleccionar el método de creación de un nuevo certificado. Las opciones disponibles son:
Generar un certificado nuevo. Crea un certificado nuevo desde cero. Esta opción solo está disponible si no se ha generado ningún
certificado del host. Se abrirá un formulario en el que podrá especificar todas las opciones necesarias para crear un certificado
nuevo. Son las mismas que presenta el editor de generación de nuevos certificados, con dos pequeño cambios: Nombre común se
convierte en Nombre de host del sistema y Nombre de la unidad organizativa se convierte en Nombre del departamento.
Usar certificado seleccionado. Seleccione un certificado entre los disponibles, que se muestran en el lado derecho del menú
desplegable. Es posible ver los detalles completos de este certificado haciendo clic en el hipervínculo Ver detalles.
Sugerencia:
el nombre del certificado seleccionado aparecerá justo encima del hipervínculo.
Usar un certificado existente. Un segundo menú desplegable a la izquierda permite seleccionar un certificado que ya se ha creado y
almacenado en el dispositivo Panda GateDefender.
Cargar un certificado. Haciendo clic en el botón Examinar... que aparece debajo del menú desplegable será posible seleccionar un
certificado existente desde la estación de trabajo y cargarlo. La contraseña para el certificado, si es necesaria, se puede
proporcionar en el campo de texto de la derecha.
Cargar una solicitud de firma de certificado. Se puede hacer clic en el botón Examinar... que aparece debajo del menú desplegable
para seleccionar una solicitud de firma de certificado existente desde la estación de trabajo y cargarla. La validez del certificado en
días puede indicarse en el campo de texto de la derecha.
Instancias del servidor OpenVPN
La lista de instancias de OpenVPN ya definidas aparece en este panel, encima del cual está el hipervínculo Añadir nueva instancia del
servidor OpenVPN. Al hacer clic en este enlace, se abre un editor en el que indicar todos los valores de configuración necesarios para
una nueva instancia de VPN.
Nota:
cuando el número de instancias de OpenVPN supera los núcleos disponibles, un aviso amarillo indica que el rendimiento puede
disminuir.
En el editor, aparecen las siguientes opciones de configuración.
Nombre
El nombre asignado a la instancia del servidor OpenVPN.
Observaciones
Un comentario para esta instancia.
Enlazar solo con
La dirección IP a la que la instancia debería escuchar.
Puerto
El puerto en el que la instancia espera conexiones entrantes.
Tipo de dispositivo
El dispositivo utilizado por la instancia, elegido entre TUN y TAP en el menú desplegable. Los dispositivos TUN necesitan
que el tráfico se enrute, por lo que la opción Enlazado que aparece más adelante no está disponible para los dispositivos
TUN.
Protocolo
El protocolo utilizado, elegido entre TCP y UDP en el menú desplegable.
Enlazado
Marque esta opción para ejecutar el servidor OpenVPN en modo enlazado, es decir, dentro de una de las zonas existentes.
Nota:
si el servidor OpenVPN no está enlazado (es decir, está enrutado), los clientes recibirán sus direcciones IP desde una subred
específica. En este caso, deberán crearse reglas del firewall apropiadas en Firewall VPN para asegurarse de que los clientes puedan
acceder a cualquier zona, o a algún servidor/recurso (por ejemplo, un repositorio de código fuente). Si el servidor OpenVPN está
enlazado, hereda la configuración del firewall de la zona en la que se encuentra definido.
Subred VPN
Esta opción solo está disponible si el modo enlazado está desactivado. Permite que el servidor OpenVPN se ejecute en su
propia subred dedicada, que puede especificarse en la casilla de texto y que debería ser diferente de las subredes de las
otras zonas.
Enlazar a
La zona a la cual deberá enlazarse el servidor OpenVPN. El menú desplegable solamente muestra las zonas disponibles.
Dirección inicial del conjunto de IP dinámicas
La primera dirección IP posible en la red de la zona seleccionada que debería utilizarse para los clientes OpenVPN.
Dirección final del conjunto de IP dinámicas
La última dirección IP posible en la red de la zona seleccionada que debería utilizarse para los clientes OpenVPN.
Servidor OpenVPN enrutado y enlazado, estático y dinámico.
Al configurar un grupo de direcciones IP para reservarlas para clientes que se conectan a través de OpenVPN, es necesario recordar
unas pautas que contribuirán tanto a la prevención de futuros errores de funcionamiento como a un diseño y una configuración más
limpios y fáciles de configurar.
Antes de comenzar la configuración del servidor, existe una regla de oro que hay que recordar respecto a la implementación de la
arquitectura multinúcleo VPN. Con independencia de si se usa el modo enlazado o el enrutado para una instancia de servidor VPN
multinúcleo, se omite la reserva de direcciones IP estáticas. En otras palabras, un cliente que se conecte a este servidor VPN recibirá
una dirección IP dinámica, aunque en su configuración haya una asignación de IP estática.
Lo primero es definir si el servidor OpenVPN debe actuar en modo enrutado o en modo enlazado. En el primer caso, es necesario definir
una subred VPN adecuada que proporcione las direcciones IP a los clientes. El tráfico dirigido a esta subred debe filtrarse, en caso
necesario, utilizando el Firewall VPN. En el segundo caso, el servidor OpenVPN se configura para considerar los clientes, tras
conectarse, como si estuvieran conectados físicamente a esa zona, es decir, el servidor enlaza el cliente a una de las zonas. En este
caso, se debe definir un grupo de direcciones IP dentro de esa zona mediante las dos opciones que aparecen justo antes de este
cuadro. Ese grupo debe estar completamente contenido en la subred de la zona y debe ser menor que la subred. También es
importante asegurarse de que este grupo no entre en conflicto con otros grupos definidos en esa zona, por ejemplo, un servidor DHCP.
En un servidor OpenVPN enlazado es posible asignar una dirección IP estática a algunos (o incluso a todos) usuarios. Cuando
planifique esta posibilidad, es una buena práctica que estas direcciones IP estáticas no pertenezcan a ninguno de los grupos de IP
definidos en esa zona para evitar conflictos de direcciones y enrutamientos equivocados. El tráfico a este cliente concreto puede filtrarse
mediante el usuario VPN (o IPsec) como origen o destino del tráfico en las reglas del firewall.
En el cuadro Opciones avanzadas pueden configurarse opciones adicionales.
Número de núcleos
El menú desplegable permite elegir cuántas CPU del dispositivo Panda GateDefender puede utilizar la instancia, por lo que
las opciones del menú desplegable pueden variar.
Permitir conexiones múltiples desde una cuenta
Generalmente, un cliente no puede conectarse desde más de una ubicación al mismo tiempo. Al seleccionar esta opción, se
permite el inicio de sesión múltiple de los clientes, incluso desde diferentes ubicaciones. Sin embargo, cuando el mismo
cliente está conectado dos o más veces, las reglas del firewall VPN ya no se aplican.
Bloquear respuestas DHCP que provienen del túnel
Marque esta casilla cuando reciba respuestas DHCP desde la LAN del otro lado del túnel VPN que se encuentren en
conflicto con el servidor DHCP local.
Conexiones de cliente a cliente
Seleccione en el menú desplegable las modalidades de las comunicaciones entre los clientes del servidor OpenVPN:
No permitido: los clientes no pueden comunicarse el uno con el otro.
Permitir conexiones directas: los clientes pueden conectarse. Esta opción solo está disponible en CPU de un solo
núcleo.
Filtrar conexiones en el Firewall VPN. Los clientes pueden comunicarse entre sí, pero su tráfico se rige por el Firewall
VPN.
Enviar estos nombres de servidores
Al marcar esta casilla, el servidor de nombres especificado en el siguiente campo de texto se envía a los clientes tras
conectarse.
Servidores de nombres
Los servidores de nombres especificados en este campo de texto se envían a los clientes conectados, si está marcada la
casilla anterior.
Enviar estas redes
Al marcar esta casilla, las rutas hacia las redes definidas en el siguiente campo de texto se envían a los clientes conectados.
Redes
Las redes especificadas en este campo de texto se envían a los clientes conectados, si está marcada la casilla anterior.
Enviar este dominio
Al marcar esta casilla, el dominio de búsqueda definido en el campo de texto de la derecha se añadirá a los de los clientes
conectados.
Dominio
El dominio que se utilizará para identificar los servidores y los recursos de red en la red VPN (es decir, el dominio de
búsqueda).
Nota:
las opciones Enviar estos nombres de servidores y Enviar dominio solo funcionan para clientes que utilizan el sistema operativo
Microsoft Windows.
La primera vez que se inicia el servicio se genera un nuevo certificado CA autofirmado para este servidor OpenVPN, operación que
puede tardar bastante tiempo. Tras haber generado el certificado, podrá descargárselo haciendo clic en el enlace Descargar certificado
CA. Todos los clientes que deseen conectarse a este servidor OpenVPN deberán utilizar este certificado. De lo contrario, no podrán
acceder.
Después de haber configurado el servidor, es posible crear y configurar cuentas en la pestaña Autenticación para los clientes que
pueden conectarse al dispositivo Panda GateDefender.
Activado
Marque esta casilla para asegurarse de que se inicie el servidor OpenVPN.
Resolución de problemas de las conexiones VPN.
Aunque pueden reconocerse fácilmente varios problemas con las conexiones VPN mirando la configuración, una de las fuentes sutiles
de problemas de conexión es un valor erróneo del tamaño MTU. El dispositivo Panda GateDefender fija un límite de 1.450 bytes para el
tamaño MTU de VPN con el fin de evitar problemas con el valor MTU utilizado habitualmente por los ISP, que es 1.500. Sin embargo,
algunos ISP pueden utilizar un tamaño MTU inferior al valor que se utiliza habitualmente, por lo que el valor MTU de Panda quizá sea
demasiado grande y provoque problemas de conexión (el más notorio es probablemente la imposibilidad de descargar archivos
grandes). Puede modificarse dicho valor accediendo al dispositivo Panda GateDefender desde CLI y siguiendo las instrucciones que se
indican a continuación:
1. Escriba el tamaño MTU que utiliza el ISP (véase el enlace a continuación).
2. Inicie sesión en CLI, ya sea desde un shell o desde Barra de menú ‣ Sistema ‣ Consola Web.
3. Edite la plantilla OpenVPN con el editor preferido: nano /etc/openvpn/openvpn.conf.tmpl.
4. Busque la cadena mssfix 1450.
5. Reemplace 1450 por un valor menor, por ejemplo, 1200.
6. Reinicie OpenVPN con el comando jobcontrol restart openvpnjob.
Véase también:
Más información sobre el tamaño MTU.
Cliente OpenVPN (Gw2Gw)
En esta página se muestra la lista de las conexiones del dispositivo Panda GateDefender como clientes OpenVPN, es decir, todas las
conexiones en túnel con servidores OpenVPN remotos. Para cada conexión, la lista presenta el estado, el nombre, cualquier opción
adicional, una observación y las acciones disponibles:
: el servidor está activo o detenido.
: modifica la configuración del servidor.
: elimina la configuración y el servidor.
El estado es cerrada cuando la conexión está desactivada, establecida cuando la conexión cuando está activada y conectando...
mientras se establece la conexión. Además de activar y desactivar una conexión, las acciones disponibles permiten editarla y eliminarla.
En el primer caso se abrirá un formulario que es igual que el que se abre al añadir una conexión (véase más adelante), en el que se ven
y modifican las configuraciones actuales, mientras que en el último caso solo se permite la eliminación de ese perfil del dispositivo
Panda GateDefender.
La creación de conexiones nuevas de clientes OpenVPN es muy sencilla y puede realizarse de dos maneras. Se puede hacer clic en el
botón Añadir configuración de túnel e introducir la información necesaria sobre el servidor OpenVPN al que conectarse (puede haber
más de uno), o se pueden importar las configuraciones del cliente desde el servidor de acceso OpenVPN haciendo clic en Importar perfil
desde el Servidor de acceso OpenVPN.
Añadir configuración de túnel
Existen dos tipos de preferencias que pueden configurarse para cada configuración de túnel. La más básica incluye opciones
obligatorias para establecer el túnel, mientras que la avanzada es opcional y generalmente solo debe cambiarse si el servidor OpenVPN
tiene una configuración que no es la estándar. Para acceder a las configuraciones avanzadas, haga clic en el botón >> que se encuentra
al lado de la etiqueta Configuración avanzada del túnel. Las configuraciones básicas son:
Nombre de la conexión
Una etiqueta para identificar la conexión.
Conectar a
El FQDN, el puerto y el protocolo del servidor OpenVPN remoto en formato
myvpn.ejemplo.com:puerto:protocolo. El puerto y el protocolo son opcionales y se dejan en sus
valores predeterminados, que son 1194 y udp, respectivamente, cuando no se especifica ninguno. El protocolo debe
especificarse en letras minúsculas.
Cargar certificado
El certificado del servidor que se necesita para la conexión del túnel. Se puede explorar el sistema de archivos local para
buscar el archivo, o se pueden introducir la ruta y el nombre del archivo. Si el servidor está configurado para utilizar la
autenticación PSK (contraseña/nombre de usuario), debe cargarse al dispositivo Panda GateDefender el certificado de host
del servidor (es decir, el que se ha descargado del enlace Descargar certificado CA de la sección del servidor Barra de menú
‣ VPN ‣ Servidor OpenVPN). De lo contrario, para utilizar la autenticación basada en certificados, debe cargarse el archivo
PKCS#12 del servidor (es decir, el que se ha descargado del enlace Exportar CA como PKCS#12 de la sección del servidor
Barra de menú ‣ VPN ‣ Servidor OpenVPN ‣ Avanzado).
Contraseña de cifrado PKCS#12
Inserte aquí la Contraseña de cifrado si se ha comunicado alguna al CA antes o durante la creación del certificado o durante.
Esto solo es necesario al cargar un certificado PKCS#12.
Nombre de usuario, Contraseña
Si el servidor está configurado para utilizar una autenticación PSK (contraseña/nombre de usuario) o un certificado más una
autenticación por contraseña, indique aquí el nombre de usuario y la contraseña de la cuenta del servidor OpenVPN.
Observaciones
Un comentario sobre la conexión.
Configuración avanzada del túnel
En este cuadro, que aparece al hacer clic en el botón >> del cuadro anterior, se pueden modificar opciones adicionales, aunque los
valores de este cuadro solo deberán modificarse si el servidor no se ha configurado con los valores estándares.
Servidores VPN de backup
Uno o más (uno por línea) servidores OpenVPN alternativos en el mismo formato que el utilizado para el servidor principal, es decir,
myvpn.ejemplo.com:puerto:protocolo. De omitirse, los valores del puerto y del protocolo serán los
predeterminados: 1194 y udp, respectivamente. Si se produce un error en la conexión con el servidor principal, uno de estos
servidores alternativos se hará cargo.
Sugerencia:
el protocolo debe especificarse en letras minúsculas.
Tipo de dispositivo
El dispositivo que utiliza el servidor, que es TAP o TUN.
Tipo de conexión
Este menú desplegable no se encuentra disponible si se ha seleccionado TUN como Tipo de dispositivo, ya que en este
caso el tipo de conexión siempre es enrutada. Las opciones disponibles son enrutada (es decir, el cliente actúa como una
puerta de enlace con la LAN remota) o enlazada (es decir, el firewall cliente aparece como una parte de la LAN remota). El
valor predeterminado es enrutada.
Enlazar a
Este campo solo se encuentra disponible si se ha elegido TAP como Tipo de dispositivo y el tipo de conexión es enlazada.
En este menú desplegable, seleccione la zona a la que debería enlazarse esta conexión del cliente.
NAT
Esta opción solo está disponible si el Tipo de conexión es enrutada. Marque esta casilla para ocultar los clientes conectados
a través de este dispositivo Panda GateDefender detrás de la dirección IP de la VPN del firewall. Esta configuración impedirá
que los clientes reciban solicitudes de conexiones entrantes. En otras palabras, las conexiones entrantes no verán los
clientes dentro de la red local.
Bloquear respuestas DHCP que provienen del túnel
Marque esta casilla para evitar recibir respuestas DHCP desde la LAN al otro lado del túnel VPN que estén en conflicto con
el servidor DHCP local.
Utilizar compresión LZO
Comprime el tráfico que pasa por el túnel; está activada de forma predeterminada.
Protocolo
El protocolo que utiliza el servidor: UDP (predeterminado) o TCP. Configúrelo en TCP solo si se debe utilizar un proxy HTTP:
En este caso, aparecerá un formulario para su configuración.
Si el dispositivo Panda GateDefender solo puede acceder a Internet a través de un proxy HTTP de subida, puede seguir utilizándose
como un cliente de OpenVPN en una configuración puerta de enlace a puerta de enlace, pero el protocolo TCP para OpenVPN debe
seleccionarse en ambos lados. Además, la información de cuenta para el proxy HTTP de subida debe introducirse en los campos de
texto:
Proxy HTTP
El host del proxy HTTP, por ejemplo, proxy.ejemplo.com:puerto, en el que el puerto predeterminado es
8080, si se deja en blanco.
Nombre de usuario del proxy, Contraseña del proxy
La información de cuenta del proxy: el nombre de usuario y la contraseña.
Falsificar el usuario agente del proxy
En algunos casos se puede utilizar una cadena usuario agente falsificada para disfrazar el dispositivo Panda GateDefender
como un explorador web corriente, es decir, para contactar con el proxy como un explorador. Esta operación podría ser útil si
el proxy solo acepta conexiones de algún tipo de exploradores.
Una vez que se ha configurado la conexión, aparecerá un nuevo cuadro en la parte inferior de la página, que se llama Autenticación TLS,
desde el que se podrá cargar un archivo de clave TLS para utilizarlo para la conexión. Están disponibles las opciones siguientes:
Archivo de clave TLS
El archivo de claves que se cargará, que se puede consultar en la estación de trabajo local.
MD5
El checksum MD5 del archivo cargado, que aparecerá en cuanto el archivo se haya almacenado en el dispositivo Panda
GateDefender.
Sentido
Este valor se fija en 0 para los servidores y en 1 para los clientes.
Importar perfil desde el Servidor de acceso OpenVPN
La segunda posibilidad para añadir una cuenta es importar directamente el perfil desde un servidor de acceso OpenVPN. En este caso,
debe indicarse la siguiente información:
Nombre de la conexión
Un nombre personalizado para la conexión.
URL del servidor de acceso
La URL del servidor de acceso OpenVPN.
Nota:
cabe destacar que el dispositivo Panda GateDefender solo admite la configuración XML-RPC del servidor de acceso OpenVPN, por lo
que la URL introducida aquí tiene el formato: https://<<NOMBREDELSERVIDOR>/RPC2.
Nombre de usuario, Contraseña
El nombre de usuario y la contraseña en el servidor de acceso.
Verificar certificado SSL
Si se marca esta casilla y el servidor funciona con una conexión cifrada SSL, se verificará la validez del certificado SSL. Si el
certificado no es válido, la conexión se cerrará de inmediato. Esta opción puede desactivarse cuando se utiliza un certificado
autofirmado.
Observaciones
Un comentario para recordar el propósito de la conexión.
IPsec
La página IPsec contiene dos pestañas (IPsec y L2TP), que permiten instalar y configurar los túneles IPsec y activar la compatibilidad
con L2TP, respectivamente.
IPsec
Para activar L2TP en el dispositivo Panda GateDefender, el interruptor junto a la etiqueta Activar L2TP debe estar en verde . Si está en
gris , haga clic en él para iniciar el servicio.
La pestaña IPsec contiene dos cuadros. El primero es Configuración de IPsec, que está relacionado con la elección del certificado y
diversas opciones, también para fines de depuración. El segundo es Conexiones, que muestra todas las conexiones y permite
gestionarlas.
IPsec, L2TP, y XAuth en resumen.
IPsec es una solución genérica VPN estandarizada, en la que las tareas de cifrado y autenticación se llevan a cabo en la capa 3 OSI
como una extensión del protocolo IP. Por lo tanto, IPsec debe implementarse en la pila IP del kernel. Aunque IPsec es un protocolo
estandarizado y es compatible con la mayor parte de los proveedores que implementan soluciones IPsec, la implementación real puede
variar enormemente de un proveedor a otro, lo que a veces causa graves problemas de interoperabilidad.
Asimismo, la configuración y la administración de IPsec suelen resultar bastante difíciles debido a su complejidad y diseño, mientras que
algunas situaciones en particular podrían ser imposibles de manejar, por ejemplo, cuando existe la necesidad de lidiar con NAT.
En comparación con IPsec, OpenVPN es más fácil de instalar, configurar y gestionar. Sin embargo, los dispositivos móviles dependen
de IPsec, motivo por el que el dispositivo Panda GateDefender implementa una sencilla interfaz de administración para IPsec,
compatible con distintos métodos de autenticación y también autenticación de dos factores cuando se utiliza junto con L2TP o XAuth.
De hecho, IPsec se utiliza para autenticar clientes (es decir, túneles) pero no usuarios, de modo que no puede haber más de un usuario
utilizando un mismo túnel simultáneamente.
L2TP y XAuth añaden autenticación de usuario a IPsec, por lo que muchos clientes pueden conectarse al servidor mediante el mismo
túnel cifrado y cada cliente se autentica por L2TP o XAuth.
Hay una opción adicional disponible cuando se utiliza XAuth que se denomina modo XAuth híbrido, y solo autentica el usuario.
Configuración de IPsec
En este cuadro pueden definirse algunas opciones generales de IPsec, en especial, dos de detección de extremo muerto, además de
muchas opciones de depuración. Además, la configuración de los certificados usados en conexiones IPsec tunelizadas también se lleva
a cabo aquí.
Conjunto de IP virtuales de Road Warrior
El intervalo de IP desde el cual recibirán su dirección IP todas las conexiones Road Warrior.
Retraso de ping (en segundos)
La cantidad de segundos entre dos pings sucesivos, utilizada para detectar si la conexión sigue activa.
Intervalo de tiempo de espera (en segundos), solo IKEv1
La cantidad máxima de segundos del intervalo de intercambio para el protocolo IKEv1.
Sugerencia:
IKEv2 no necesita un intervalo de tiempo de espera, ya que es capaz de determinar si el otro equipo no responde y las acciones que
se llevarán acabo.
Configuración de certificado
La configuración y la gestión de certificados se lleva a cabo exactamente como en el caso del servidor OpenVPN (en Barra
de menú ‣ VPN ‣ Servidor OpenVPN), en el que se explican todas las modalidades de administración.
Opciones de depuración
Las opciones de depuración son ajustes bastante avanzados y normalmente no necesarios, ya que solo incrementarán el número de
eventos y mensajes registrados en el archivo de registro.
Conexiones
En esta tabla se muestran todas las conexiones IPsec ya configuradas con la información siguiente:
Nombre. El nombre asignado a la conexión.
Tipo. El tipo de túnel que se utiliza.
Nombre común. El nombre del certificado usado para autenticar la conexión.
Observaciones. Un comentario sobre la conexión.
Estado. Si la conexión está Cerrada, Conectando o Establecida.
Acciones. Las operaciones que pueden realizarse en cada túnel:
o : la conexión está activa o no.
o : modifica la configuración de la conexión.
o : reinicia la conexión.
o : muestra información detallada acerca de la conexión.
o : elimina la conexión.
Sugerencia:
cuando se restablece una conexión desde el dispositivo Panda GateDefender, es necesario que el cliente vuelva a conectarse para
establecer la conexión.
Tras hacer clic en Añadir nueva conexión, aparecerá un panel que contiene todas las opciones necesarias para configurar una nueva
conexión de IPsec.
Nombre
El nombre de la conexión.
Observaciones
Un comentario sobre la conexión.
Tipo de conexión
Existen cuatro modalidades diferentes de conexión que se pueden elegir para el túnel IPsec:
Host a red. El cliente que está conectándose al servidor IPsec a través el dispositivo Panda GateDefender es una única
estación de trabajo remota, un único servidor remoto o un único recurso remoto.
Red a red. El cliente es una subred entera. En otras palabras, la conexión IPsec se establece entre subredes remotas.
Host a red L2TP. El cliente es un único dispositivo que también utiliza L2TP.
Host a red XAuth. El cliente es un único dispositivo y la autenticación se lleva a cabo por XAuth.
Sugerencia:
los usuarios de Linux pueden obtener más información sobre XAuth leyendo la página del manual
Xsecurity(7), también disponible públicamente en línea.
Las opciones disponibles para cada uno de ellos son básicamente las mismas, con solo una opción más disponible para
las conexiones de red a red.
Tipo de autenticación
La opción seleccionada en el menú desplegable determina cómo se lleva a cabo la autenticación del cliente. Los valores disponibles
son:
Contraseña (PSK). El cliente proporcionará la contraseña especificada en el campo de texto Utilizar una clave compartida
previamente situado a la derecha.
El extremo es identificado por IPV4_ADDR, FQDN, USER_FQDN o DER_ASN1_DN en el campo ID remoto. El cliente se
autentica con su dirección IP, con su nombre de dominio o con otra información exclusiva del túnel IPsec.
Usar un certificado existente. Se utilizará el certificado seleccionado en el menú desplegable de la derecha.
Generar un certificado nuevo. Se mostrarán opciones adicionales para crear un certificado nuevo.
Cargar un certificado. Seleccione desde la estación de trabajo local un certificado para utilizarlo.
Cargar una petición de certificado. Seleccione desde la estación de trabajo local una solicitud de certificado para obtener
un certificado nuevo.
XAuth híbrido. Disponible únicamente para conexiones Host a red XAuth. El usuario debe autenticarse, pero el túnel de
cifrado, no.
ID local
Una cadena que identifica el cliente en la red local.
Interfaz
La interfaz a través de la cual se conecta el host.
Subredes locales
Las subredes locales a las que se podrá acceder desde el cliente.
Nota:
los dispositivos móviles con iOS no pueden conectarse correctamente mediante XAuth al dispositivo Panda GateDefender si este valor
no está establecido. Por tanto, la subred especial 0.0.0.0/0 se añade automáticamente cuando el tipo de conexión es XAuth.
Sugerencia:
solo cuando se utiliza IKEv2 es posible añadir más de una subred, una por línea, dado que IKEv1 solo admite una subred.
ID remoto
El ID que identifica el host remoto de esta conexión.
Subred remota
Solamente está disponible para conexiones de red a red y especifica la subred remota.
Sugerencia:
si se utiliza IKEv2, se puede añadir más de una subred.
Dirección IP o host remoto
La dirección IP o FQDN del host remoto.
Nota:
cuando se indica un nombre de host en esta opción, debe coincidir con el ID local del lado remoto.
IP virtual de Road Warrior
La dirección IP especificada en el campo de texto se asignará al cliente remoto.
Sugerencia:
esta dirección IP debe pertenecer al grupo definido en la Configuración de IPsec más adelante.
Nota:
esta opción no está disponible ni para conexiones host a red L2TP, ya que L2TP se encarga de la asignación de direcciones IP a los
clientes, ni para conexiones red a red.
Acción de detección de extremo muerto
La acción que se realizará si un extremo se desconecta. Las opciones disponibles en el menú desplegable son Limpiar,
Mantener o Reiniciar el extremo.
Al hacer clic en la etiqueta Avanzado, estarán disponibles opciones adicionales para seleccionar y configurar diferentes tipos de
algoritmo de cifrado. Para cada opción se pueden elegir muchos tipos de algoritmo.
Nota:
solo es necesario cambiar de algoritmo en caso que algún cliente remoto utilice un algoritmo dado y no pueda cambiarlo.
Cifrado IKE
Los métodos de cifrado que debería admitir IKE.
Integridad IKE
Los algoritmos que deberían admitirse para verificar la integridad de los paquetes.
Tipo de grupo IKE
El tipo de grupo IKE.
Duración de IKE
La cantidad de horas que son válidos los paquetes IKE.
Cifrado ESP
Los métodos de cifrado que debería admitir ESP.
Integridad ESP
Los algoritmos que deberían admitirse para verificar la integridad de los paquetes.
Tipo de grupo ESP
El tipo de grupo ESP.
Duración de ESP
La cantidad de horas que debería ser válida una clave ESP.
Negociación de compresión para la carga de red
Marque la casilla para permitir la compresión de la carga.
Véase también:
IKE se define en el RFC 5996, que también sustituye el RFC 2409 (IKEv1) y el RFC 4306 (IKEv2), más antiguos.
ESP se describe en el RFC 4303 (ESP) y el RFC 4305 (algoritmos de cifrado para ESP).
Cómo crear una VPN de red a red con IPsec utilizando la autenticación por certificado.
Situación:
Firewall CoreFW - REDIP: 100.100.100.100, GREENIP: 10.10.10.1/24
Firewall LocalFW - REDIP: 200.200.200.200, GREENIP: 192.168.0.1/24
Problema: conectar LocalFW a CoreFW utilizando IPsec.
Solución:
Deben realizarse los siguientes pasos en CoreFW:
1. Vaya a Barra de menú ‣ VPN ‣ IPsec. Active IPsec y especifique 100.100.100.100 como nombre de host/IP de la VPN local.
2. Después de guardar, haga clic en el botón Crear certificado de host/root, salvo que ya se hayan generado, y compile el
formulario.
3. Descargue el certificado de host y guárdelo como fw_a_cert.pem.
4. En el cuadro Estado y control de conexión, haga clic en el botón Añadir y, a continuación, seleccione Red a red. Se abre una
página en la que aparecen dos cuadros.
5. En Configuración de la conexión escriba 200.200.200.200 en el campo Dirección IP o host remoto, 10.10.10.0/24 como
Subred local y 192.168.0.0/24 como Subred remota.
6. Seleccione Crear un certificado en el cuadro Autenticación y compile el formulario. Asegúrese de establecer una contraseña.
7. Después de guardar, descargue el archivo PKCS12 y guárdelo como fw_a.p12.
Deben realizarse los siguientes pasos en LocalFW:
1. Vaya a Barra de menú ‣ VPN ‣ IPsec. Active IPsec y especifique 200.200.200.200 como nombre de host/IP de la VPN local.
2. Después de guardar haga clic en el botón Crear certificado de host/root. Si ya se han generado, haga clic en Reiniciar para
reiniciar los certificados anteriores.
3. En Crear certificado de host/root, no rellene ningún campo de la primera sección. En su lugar, cargue el archivo fw_a.p12
que ha guardado de CoreFW, introduzca la contraseña y haga clic en Subir archivo PKCS12.
4. En el cuadro Estado y control de conexión, haga clic en el botón Añadir y, a continuación, seleccione Red a red. Se abre una
página en la que aparecen dos cuadros.
5. En Configuración de la conexión escriba 100.100.100.100 en el campo Dirección IP o host remoto, 192.168.0.0/24 como
Subred local y 10.10.10.0/24 como Subred remota.
6. En el cuadro Autenticación, seleccione Cargar un certificado y cargue el archivo fw_a_cert.pem que ha creado en MainFW.
L2TP
L2TP, siglas de protocolo de túnel de capa dos, se describe en el RFC 2661.
Para activar L2TP en el dispositivo Panda GateDefender, el interruptor junto a la etiqueta Activar L2TP debe estar en verde. Si está en
gris, haga clic en él para iniciar el servicio.
Las siguientes opciones se encuentran disponibles para configurar L2TP.
Zona
La zona hacia la que se dirigen las conexiones L2TP. En el menú desplegable solamente pueden elegirse las zonas
activadas.
Dirección de inicio del conjunto de IP L2TP, Dirección final del conjunto de IP L2TP
El rango de IP del que los usuarios L2TP recibirán una dirección IP al conectarse al dispositivo Panda GateDefender.
Activar depuración
Marque esta casilla para permitir que L2TP genere registros más detallados.
Certificados
La página Certificados permite administrar los certificados necesarios por las diversas instancias de los servidores OpenVPN que se
ejecutan en el dispositivo Panda GateDefender. Se compone de tres pestañas: Certificados,Autoridad de certificado y Certificados
revocados.
Certificados
Aquí es posible gestionar todos los certificados almacenados en el dispositivo Panda GateDefender. La tabla, inicialmente vacía,
muestra todos los certificados junto con los detalles siguientes, uno por cada columna:
Número de serie. Un número exclusivo que identifica el certificado.
Nombre. El nombre asignado al certificado.
Asunto. La recopilación de información que identifica el propio certificado. Véanse las opciones a continuación.
Fecha de caducidad. La fecha final de validez del certificado.
Acciones. Qué se puede hacer con el certificado:
o : muestra todos sus detalles.
o : lo descarga en formato PEM.
o : lo descarga en formato PKCS12.
o : elimina la clave privada asociada a él.
o : revocar el certificado.
Encima de la lista, se puede hacer clic en un enlace para Añadir nuevo certificado. Tras hacer clic, la página será reemplazada por un
formulario que permite introducir todos los datos necesarios para la generación de un nuevo certificado.
En la parte inferior izquierda de la tabla hay un widget de navegación que permite navegar entre las distintas páginas que componen la
tabla si hay muchos certificados. En la parte derecha hay un widget de recarga, que se utiliza para actualizar la lista de certificados.
Añadir nuevo certificado
Hay tres alternativas disponibles para almacenar un certificado nuevo en el dispositivo Panda GateDefender. Puede
seleccionarlas en el menú desplegable: Generar un certificado nuevo, Cargar un certificado y Cargar una solicitud de firma
de certificado.
Generar un certificado nuevo
La primera alternativa permite crear un certificado nuevo directamente en el dispositivo Panda GateDefender, proporcionando la
información siguiente. Las letras mayúsculas entre paréntesis muestran el campo del certificado que se rellenará con el valor
proporcionado y formará el Asunto del certificado.
Nota:
para crear certificados, se necesita una autoridad de certificado raíz. Por tanto, cree la CA raíz antes de crear certificados.
Nombre común
El nombre común (CN) del propietario del certificado, es decir, el nombre con el que se identificará al propietario.
Dirección de correo electrónico
La dirección de correo electrónico del propietario del certificado.
Nombre de la unidad organizativa
La unidad organizativa (OU) a la que pertenece el propietario, es decir, la compañía, la empresa o el departamento de la
institución que se identifica con el certificado.
Nombre de la organización
La organización (O) a la que pertenece el propietario.
Ciudad
La población (L) donde se encuentra la organización.
Estado o provincia
El estado o la provincia (ST) donde se encuentra la organización.
País
El país (C) donde se encuentra la organización, seleccionado entre los disponibles en el menú de selección. Escribiendo una
o más letras, se encuentran y se muestran los países coincidentes.
Nombre alternativo del asunto (subjectAltName=email:*,URI:*,DNS:*,RID:*)
Un nombre alternativo para el asunto, es decir, el certificado.
Tipo de certificado
El tipo de certificado, elegido entre Cliente y Servidor en el menú desplegable.
Validez (días)
El número de días antes de la caducidad del certificado.
Contraseña del archivo PKCS12
La contraseña para el certificado, si es necesaria.
Confirmación de contraseña del archivo PKCS12
Escriba una vez más la contraseña del certificado para confirmarla.
Cargar un certificado
La siguiente alternativa es cargar un certificado existente desde la estación de trabajo local al dispositivo Panda GateDefender.
Certificado (PKCS12/PEM)
Haciendo clic en el botón Examinar o en el campo de texto, se abrirá un selector de archivos donde podrá indicar la ruta del
certificado que se va a cargar.
Contraseña del archivo PKCS12
La contraseña para el certificado, si es necesaria.
Cargar una solicitud de firma de certificado
La tercera alternativa es cargar una CSR desde la estación de trabajo local al dispositivo Panda GateDefender, es decir, un archivo de
texto cifrado que contenga toda la información necesaria para generar un certificado nuevo reconocido por el servidor.
Solicitud de firma de certificado (CSR)
Haciendo clic en el botón Examinar o en el campo de texto, se abrirá un selector de archivos donde podrá indicar la CSR que
se va a cargar.
Validez (días)
Cuántos días deberá ser válido el certificado.
Autoridad de certificado
Esta página permite gestionar las CA, que son necesarias para el correcto funcionamiento de una conexión cifrada OpenVPN. Hay dos
formas de añadir una CA: haciendo clic en el enlace sobre la tabla de certificados ya existentes para generar un certificado nuevo, o
cargando uno utilizando los widgets que figuran debajo de la tabla.
La tabla, una vez rellenada, muestra la misma información que en la pestaña Certificados. Solo se diferencian en las Acciones
disponibles, que son:
: muestra todos detalles de la CA.
: lo descarga en formato PEM.
: elimina el certificado.
Para cargar un certificado, proporcione la siguiente información:
Nombre de CA
El nombre de la autoridad que creó el certificado.
Certificado (PEM)
Haciendo clic en el botón Examinar o en el campo de texto, se abrirá un selector de archivos donde podrá indicar la ruta del
certificado que se va a cargar.
Al hacer clic en Cargar certificado CA, comenzará el proceso de carga.
Generar nuevos certificados raíz/de host
Este procedimiento puede aplicarse solo una vez y generará dos certificados: una autoridad de certificado raíz y un certificado de host.
Este último que aparecerá en el enlace de la pestaña Certificados. Al hacer clic en el enlace, la lista será sustituida por un formulario en
el que podrá indicar los datos siguientes, que se usarán en los nuevos certificados raíz y de host.
Nota:
la única manera de generar un nuevo certificado raíz es eliminar el existente.
Nombre de host del sistema
El nombre del sistema, que se utilizará como nombre común del certificado.
Dirección de correo electrónico
La dirección de correo electrónico del propietario o responsable del sistema.
Nombre de la unidad organizativa
La unidad organizativa (UO) a la que pertenece el sistema.
Nombre de la organización
La organización (O) a la que pertenece el sistema.
Ciudad
La población (L) donde se encuentra la organización.
Estado o provincia
El estado o la provincia (ST) donde se encuentra la organización.
País
El país (C) donde se encuentra la organización, seleccionado entre los disponibles en el menú de selección. Escribiendo una
o más letras, se encuentran y se muestran los países coincidentes.
Nombre alternativo del asunto (subjectAltName=email:*,URI:*,DNS:*,RID:*)
Un nombre alternativo para el asunto, es decir, el certificado.
Validez (días)
El número de días antes de la caducidad del certificado.
Certificados revocados
Los certificados que han sido revocados se indican en la tabla, que muestra el número de serie y el asunto del certificado.
Descargar la lista de revocación de certificados
Hacer clic en este enlace permite descargar en una estación de trabajo local la lista de revocación de certificados.
Lista de revocación de certificados
En esta página pueden gestionarse todas las listas de revocación de certificados que se han cargado.
La tabla muestra todas las listas de revocación de certificados que se han cargado y, para cada elemento de la tabla, se muestran el
nombre del certificado, el emisor y la fecha de emisión. Las acciones disponibles son:
: muestra los detalles del certificado.
: descarga el certificado en la estación de trabajo local.
El menú Hotspot El menú Hotspot
El Hotspot enviado con el dispositivo Panda GateDefender es una solución altamente flexible y personalizable para proporcionar una
conexión inalámbrica segura y de confianza, así como para las conexiones LAN por cable. Las principales funciones implementadas en
el Hotspot incluyen:
tres roles para el Hotspot: puede funcionar como un Hotspot independiente, en una configuración maestro-
satélite o depender de un servidor RADIUS externo;
tres tipos de usuarios: administradores del Hotspot (acceso de administración completo), editores de cuentas
(determinada administración de usuarios) y usuarios normales (solo navegación por Internet);
diferentes tipos de tickets: los basados en el tiempo frente a los basados en datos, el acceso prepago frente al
postpago;
tres portales de acceso diferentes para usuarios: modo normal, sin JavaScript y móvil;
la opción de añadir una página de fondo personalizada que puedan ver todos los usuarios;
una opción SmartConnect™ para que el usuario pueda comprar acceso mediante una tarjeta de crédito;
creación y activación de usuarios por SMS; y
una opción para permitir el acceso a algunos sitios web incluso sin tickets.
En el dispositivo Panda GateDefender, la zona AZUL está dedicada a los dispositivos inalámbricos, por lo que el Hotspot no funciona si
la zona AZUL está desactivada. Las conexiones desde la zona AZUL a la ROJA (enlace activo, es decir, Internet) dependen del firewall
de salida, por lo tanto, para permitir selectivamente el acceso a Internet, las reglas pertinentes se definirán en él.
Al entrar en el Hotspot, se abrirá una página que contiene tres elementos en el submenú de la izquierda, un interruptor para Activar el
Hotspot y la primera opción de configuración: el rol operativo del Hotspot.
Los elementos del menú de la izquierda dan acceso a varias opciones de configuración y administración para la Configuraciones del
Hotspot, la Interfaz de administración y el Usuario del Hotspot, respectivamente:
Configuraciones del Hotspot es la primera página del Hotspot, por ejemplo, en la que está usted actualmente, y permite
seleccionar la modalidad del Hotspot.
Interfaz de administración es la parte principal del Hotspot, donde se pueden realizar todas las tareas administrativas.
Usuario del Hotspot permite la administración de los superusuarios del Hotspot.
Además, Acceso de clientes al Hotspot contiene instrucciones que guían a los clientes a través del proceso de acceder al Hotspot y
conectarse a Internet.
Configuraciones del Hotspot
El Hotspot se puede activar o desactivar haciendo clic en el interruptor principal situado en la parte superior de la página. Cuando está
activado (es decir, el interruptor es de color verde ), se puede seleccionar uno de los tres roles existentes:
1. Hotspot maestro/independiente o Hotspot independiente
Cuando el Hotspot se utiliza como maestro, todos los datos de configuración, incluso los de los satélites, es decir, la base de datos de
usuarios, la configuración del portal, la configuración, los registros, etc., se almacenan localmente y las tareas de administración se
llevan a cabo en este Hotspot.
Para el rol Maestro, hay disponible una configuración y también se muestran las cuentas VPN disponibles que se pueden asignar a los
satélites.
Contraseña del Hotspot
Esta es la contraseña del Hotspot maestro. Los sistemas satélite remotos necesitan usarla para conectarse al Hotspot
maestro. Si este campo se deja en blanco, se generará una nueva contraseña aleatoria.
Satélites de Hotspot
La lista de los túneles OpenVPN disponibles para utilizarlos en la conexión de un sistema de satélite remoto. Se pueden
seleccionar uno o más sistemas de esta lista.
2. Hotspot por satélite
Un Hotspot satélite no almacena ninguna configuración, pero se basa en el maestro para verificar los datos del usuario, la disponibilidad
de tickets y todas las configuraciones. Al seleccionar esta opción, la dirección IP y la contraseña del Hotspot maestro deben
especificarse, junto con el nombre del túnel VPN (véase a continuación). Más concretamente, las opciones disponibles son las
siguientes:
Dirección IP del Hotspot maestro
Especifique en este campo la dirección IP del Hotspot maestro, que suele ser la primera dirección IP disponible en la subred
OpenVPN especial (véase Las zonas) definida en la configuración del servidor OpenVPN (en Barra de menú ‣ VPN ‣
Servidor OpenVPN ‣ Configuración del servidor) del Hotspot maestro.
Contraseña del Hotspot maestro
La contraseña del Hotspot maestro. Por lo general, se genera automáticamente en el Maestro. Haga clic en la casilla Mostrar
para ver la máscara de la contraseña.
Túnel VPN del Hotspot
Desde este menú desplegable, seleccione el túnel OpenVPN utilizado para ir al Hotspot maestro.
3. Servidor RADIUS externo
En esta configuración, el Hotspot se basa en un servidor RADIUS externo, como FreeRadius para sus actividades: se conecta y solicita
autenticación para el servidor RADIUS, que almacena todos los datos de contabilidad, configuraciones, emisión de tickets y conexiones.
Para el correcto funcionamiento del servidor RADIUS se necesitan varios datos al respecto: la dirección IP, la contraseña, los puertos y
la dirección IP del servidor alternativo. Además, se puede utilizar el portal externo.
Dirección IP del servidor RADIUS
La dirección IP del servidor RADIUS externo.
Dirección IP del servidor RADIUS alternativo
La dirección IP del servidor RADIUS externo alternativo.
Contraseña del servidor RADIUS
La contraseña para el servidor RADIUS. Haga clic en la casilla Mostrar para revelar la contraseña.
Puerto AUTH del servidor RADIUS
El número de puerto AUTH (Autenticación) del servidor RADIUS.
Puerto ACCT del servidor RADIUS
El número de puerto ACCT (Registro) del servidor RADIUS.
Puerto COA del servidor RADIUS
El número de puerto COA (Cambio de autorización) del servidor RADIUS.
Sugerencia:
los valores predeterminados para el puerto RADIUS son: 1812 (AUTH), 1813 (ACCT) y 3799 (COA).
Usar portal externo
Cuando se elige esta opción, se puede configurar un portal externo como interfaz de inicio de sesión que los usuarios ven
cuando quieren conectarse a través del Hotspot. El portal externo debe ser compatible y comunicarse con chilli. Para activar
el portal externo, se deben configurar las siguientes opciones.
URL del portal externo
La ubicación en la que se encuentra el portal.
ID de NAS
El identificador del servidor de acceso a la red del servidor RADIUS que identifica al portal.
UAM Secret
El secreto compartido de UAM del servidor RADIUS externo. Aunque cabe la posibilidad de no definir ningún valor para esta
opción, se recomienda definir un secreto, puesto que mejora la seguridad.
Sitios/accesos permitidos
Una lista de sitios web accesibles incluso sin registrarse en el Hotspot.
Activar AnyIP
Permite a los clientes sin un cliente de DHCP activo conectarse al Hotspot.
Nota:
aquí no se analiza la configuración de un servidor RADIUS, puesto que está fuera del dominio y las obligaciones de Panda, que no
proporciona ayuda en esta tarea.
Roles de Maestro/Satélite y VPN.
Los roles de maestro/satélite pueden resultar útiles cuando deben cubrirse áreas amplias y no basta con un Hotspot. Cuando se emplea
este tipo de arquitectura, todas las tareas de administración de los usuarios y los tickets se llevan a cabo solamente en el maestro. En
los sistemas satélite solo estará disponible la sección Informes (en la interfaz de administración del Hotspot).
La conexión entre el maestro y sus satélites se configura creando cuentas OpenVPN en el maestro, una para cada satélite, y
estableciendo un túnel VPN entre cada par maestro-satélite. Antes de establecer esta configuración, se deben realizar numerosas
tareas tanto en el sistema maestro como en los satélites, que se agrupan en dos partes. Cada parte abarca las operaciones que se
llevarán a cabo en el maestro, en cuyo caso se etiquetan con M#, o en los satélites, que se etiquetan con S#.
Cuando ya se han configurado un Hotspot maestro y un Hotspot satélite (o más), si se incorpora un nuevo satélite, solo es necesario
realizar las tareas M3, M4 y M5 en el maestro y todas las tareas en el satélite.
M0. Establezca el Hotspot como independiente (esto es opcional).
M1. En la sección El menú VPN (VPN ‣ Servidor OpenVPN), configure el Hotspot como servidor OpenVPN con un tipo de
conexión enrutada y un rango de red ad-hoc (por ejemplo, xxx.yyy.zzz.0/24) que debe ser diferente de las subredes de las
demás zonas del dispositivo Panda GateDefender.
M2. Se crea una nueva interfaz virtual que enruta el tráfico de los túneles OpenVPN. El maestro adquiere la IP
xxx.yyy.zzz.1 (es decir, la primera dirección IP disponible en el rango de red) y actúa como puerta de enlace para todos
los túneles OpenVPN.
M3. Cree una cuenta de OpenVPN exclusiva para cada sistema satélite remoto (desde Barra de menú ‣ VPN ‣ Servidor
OpenVPN ‣ Cuentas). La cuenta OpenVPN debe configurarse con una dirección IP estática. Las direcciones IP asignadas
a los satélites deben estar dentro de la subred definida en el paso M1. Dentro de esa subred, las direcciones IP que
terminan en 0, 255 y la primera IP del rango de subred no están disponibles para los satélites.
Sugerencia:
las buenas prácticas sugieren asignar a cada nuevo satélite la IP más baja disponible, para que permanezcan en orden.
Una vez que se hayan creado todas las cuentas de clientes necesarias y antes de activar la configuración maestro/satélite, es necesario
verificar que la conexión OpenVPN esté configurada correctamente. Por lo tanto, con respecto a los satélites, es necesario realizar dos
pasos:
S1. Cree la cuenta de cliente OpenVPN (VPN ‣ Cliente OpenVPN (Gw2Gw)), utilizando una de las cuentas creadas en el
paso M3.
S2. Conéctese al maestro y verifique que se ha establecido la conexión y fluya el tráfico.
Ahora es posible activar el maestro y completar la configuración:
M4. Abra la página de configuración del Hotspot y active la cuenta VPN necesaria en la lista de sistemas satélite del
Hotspot.
M5. Haga clic en Guardar y, a continuación, en Aplicar para activar los cambios.
La configuración del maestro ya ha finalizado. Es momento de realizar la configuración de los satélites:
S3. Entre en el menú Hotspot, elija el Hotspot satélite, introduzca la primera dirección IP disponible en la subred
OpenVPN del maestro y la contraseña del Hotspot maestro y seleccione el túnel VPN del Hotspot en el menú desplegable.
S4. Haga clic en Guardar y, a continuación, en Aplicar para activar los cambios.
Para verificar que el sistema satélite esté conectado correctamente, abra la Interfaz de administración del Hotspot del sistema satélite.
Solo se muestra una interfaz limitada, que contiene la sección Informes y nada más: todas las tareas de administración se delegan en el
maestro.
La configuración ya se ha completado: tanto el sistema maestro como los sistemas satélite funcionan correctamente.
Usar autenticación externa
Cuando el rol del Hotspot es Hotspot maestro/independiente, puede basarse en un recurso externo únicamente para autenticar los
usuarios, mientras mantiene la contabilidad, el registro, la base de datos de usuarios y todos los demás ajustes localmente en el
dispositivo Panda GateDefender. En otras palabras, los datos de un usuario se copian de forma local desde el servidor externo, que
puede ser un servidor RADIUS o LDAP, lo que le permite proporcionar sus credenciales del servidor remoto y utilizar el Hotspot de
inmediato sin necesidad de crear una cuenta nueva.
Hay una opción disponible para que el Hotspot pueda conectarse al servidor remoto y recuperar los datos:
Usar autenticación externa
Al marcar esta casilla, aparecen dos modalidades de autenticación remota posibles, junto con todas las opciones necesarias
para configurarlas.
Tipo de servidor
Este menú desplegable permite elegir uno de los dos servidores admitidos, bien LDAP o RADIUS, y cambia las opciones de
configuración que aparecen en consecuencia.
Nota:
las opciones de configuración adicionales que aparecen son muy similares a las que se muestran en Barra de menú ‣ Proxy ‣ HTTP ‣
Autenticación.
Ejemplo HS1: autenticación externa con LDAP.
La configuración del servidor LDAP puede rellenarse como se muestra a continuación, utilizando el formato estándar de Active Directory,
en el cual:
DC es el controlador de dominio.
OU es la unidad organizativa, un grupo de objetos dentro del DC.
CN es el nombre común del usuario en la OU.
Por lo tanto, con el fin de autorizar a los usuarios en la unidad organizativa Personal en el dominio ACME del servidor LDAP que
se encuentra en ldap.example.org para utilizar el Hotspot, se necesita la siguiente configuración:
1. Servidor LDAP: ldap://ldap.example.com
2. Unir configuración DN ou=Staff,dc=ACME
3. Unir nombre de usuario DN cn=admin,dc=ACME
4. Unir contraseña DN (contraseña remota de administrador de usuarios)
5. Filtro de búsqueda de usuarios (&(uid=%(u)s))
Para el servidor LDAP, están disponibles las siguientes opciones de configuración (véase el ejemplo de la derecha para obtener más
información):
Servidor LDAP
La dirección IP o el nombre de host del servidor LDAP, en formato LDAP.
Sugerencia:
la especificación de puerto, si es necesaria, se puede escribir tras la URL, por ejemplo, ldap://192.168.0.20:389/. Es seguro omitir el
puerto estándar (389).
Unir configuración DN
Esta configuración define el nombre distintivo del servidor LDAP, es decir, el nodo de nivel superior de la estructura de árbol
del LDAP.
Unir nombre de usuario DN
El nombre de usuario que se debe utilizar para consultar el DN. Es necesario para recuperar y autenticar las credenciales de
los usuarios del Hotspot.
Unir contraseña DN
La contraseña para el usuario especificado en la opción anterior. Al hacer clic en la casilla de la derecha, muestra u oculta
los caracteres.
Filtro de búsqueda de usuarios
La cadena que debe utilizarse para consultar el servidor LDAP remoto.
Servidor de reserva de LDAP
La dirección IP o el nombre de host del servidor LDAP alternativo, en formato LDAP, que debe utilizarse cuando no se puede
acceder al servidor principal.
Tasa predeterminada
La tasa que estará asociada a cada usuario que se autentique mediante este método.
Para el servidor RADIUS, están disponibles las siguientes opciones de configuración:
Servidor RADIUS
La dirección IP o la URL del servidor RADIUS.
Puerto del servidor RADIUS
El puerto en el que escucha el servidor RADIUS.
Identificador
Un identificador adicional.
Secreto compartido
La contraseña que se utilizará.
Servidor de reserva RADIUS
La dirección IP o la URL del servidor RADIUS alternativo, utilizado cuando no se puede acceder al servidor principal.
Tasa predeterminada
La tasa que estará asociada a cada usuario que se autentique mediante este método.
Interfaz de administración
La barra de menú de administración del Hotspot
En esta sección se describe el componente principal del Hotspot y se incluyen subpáginas que explican cómo administrar cuentas,
tickets y tasas de ticket, crear informes y configurar los ajustes generales. Aunque esta interfaz gráfica presenta el mismo diseño que los
otros módulos, contiene una estructura de menús totalmente nueva. Su complejidad y las incontables opciones de configuración que
ofrece exigen utilizar un diseño diferente. La solución pasaba por considerar el Hotspot como un módulo independiente del dispositivo
Panda GateDefender y reemplazar así la barra de menú estándar, común en el resto de secciones principales del dispositivo Panda
GateDefender, por una nueva dividida en dos partes, como muestra la imagen anterior. La parte superior no varía en las diferentes
partes de la Interfaz de administración y contiene el menú “normal”. La parte inferior, sin embargo, pasa a ser un submenú, que cambia
en función de la sección de la Interfaz de administración escogida.
Cada una de las cuatro secciones principales permite gestionar los diferentes componentes del Hotspot:
Cuentas: permite crear, administrar, importar y exportar cuentas de usuario.
Tickets: permite definir tasas de tickets y generar tickets.
Informes: permite consultar los diferentes registros de saldos, conexiones y transacciones.
Configuración: permite cambiar la apariencia de la interfaz web, configurar SmartConnect™, habilitar la API y configurar todas las
funcionalidades.
En el extremo derecho siempre se mantiene el enlace al Menú principal para poder volver al Panel de control y a la barra de menú
iniciales.
Cuentas
Esta sección de la Interfaz de administración del Hotspot contiene cuatro elementos de submenú: Lista, Importar de CSV, Exportar como
CSV y Generador de cuentas, que permiten crear, eliminar y administrar los clientes del Hotspot.
Lista
De forma predeterminada, esta página muestra una lista de las cuentas de usuario disponibles con determinada información, como
Nombre de usuario/Dirección MAC, Nombre (el nombre completo del usuario), Activado (el estado de la cuenta), Fecha de creación y
Válido hasta. Dispone de algunas opciones para personalizar la vista:
Ordenar por
Permite ordenar los usuarios por cualquiera de los campos mencionados anteriormente, salvo por su estado.
Orden inverso
Es posible ordenar la lista en orden ascendente o descendente.
Ocultar cuentas desactivadas
Se pueden ocultar en la lista los usuarios desactivados, es decir, usuarios que existen pero que no pueden acceder al
Hotspot.
Buscar
Se pueden buscar cuentas. Hay paginación disponible para conjuntos de resultados extensos.
Nota:
los usuarios mencionados en esta sección se proponen como usuarios del Hotspot, tales como clientes que pueden acceder a Internet y
navegar por ella. Sin embargo, existen otros dos tipos de usuarios, a saber, Administradores y Editores de cuentas, cuyos privilegios y
tareas aparecen descritos en la sección Usuario del Hotspot.
Existen varias Acciones disponibles en todas las cuentas y se pueden ver junto a cada una de ellas en el lado derecho de la tabla:
Editar/añadir ticket
Una cuenta se puede editar o eliminar. También se le pueden asignar tickets.
Saldo
Muestra el saldo de la cuenta.
Conexiones
Muestra información detallada acerca de la cuenta.
Eliminar
Elimina la cuenta de usuario del Hotspot.
Imprimir
Imprime un mensaje informativo con las credenciales de dicha cuenta.
Sugerencia:
los mensajes para las cuentas basadas en MAC no se pueden imprimir, ya que no tienen definidos ni un nombre de usuario ni una
contraseña.
Las acciones que permiten mostrar el saldo y la conexión, junto con las opciones para su administración, se describen en la sección
Informes. El resto de esta sección está compuesto por la administración de las cuentas (es decir, la administración de usuarios y tickets).
Existen dos maneras alternativas de crear una nueva cuenta: especificando un nombre de usuario y una contraseña o proporcionando
una dirección MAC. Ambas acciones pueden llevarse a cabo haciendo clic en el enlace correspondiente situado sobre la tabla de
cuentas. Los datos asociados a cada cuenta se dividen en tres tipos: Información de inicio de sesión, Información de cuenta y Tickets.
Información de inicio de sesión varía un poco en los dos tipos de cuenta, en función del tipo. Información de cuenta es exactamente
igual. Por último, los tickets pueden asociarse a una cuenta, dependiendo del tipo de tickets que ya estén definidos y disponibles en el
Hotspot. Consulte la sección Tickets para obtener una descripción de los tipos de tickets y su configuración.
Añadir cuenta
Para crear una cuenta nueva, se deben especificar un nombre de usuario y una contraseña que identifiquen al usuario
conectado al Hotspot. Hay otros ajustes para los que se pueden modificar sus valores predeterminados, definidos en
Configuración. Son: fecha de caducidad (“válido hasta”), si la cuenta está activa, el idioma y el límite de ancho de banda en
KB/s. Se puede elegir el Idioma entre aquellos idiomas activados en Hotspot ‣ Interfaz de administración ‣ Configuración ‣
Idioma.
Añadir cuenta MAC
La única diferencia es que, para este tipo de cuenta, el nombre de usuario y la contraseña no son necesarios. En su lugar,
debe proporcionarse la dirección MAC de la interfaz de red de un equipo, que se utilizará para identificar la cuenta. El resto
de la configuración es la misma que antes, pero a las direcciones MAC se les puede asignar, además, una dirección IP
estática.
Se pueden asociar los siguientes datos a cada cuenta:
Información de inicio de sesión
Este cuadro contiene información relativa a la cuenta que se acaba de crear y que es necesaria para acceder al Hotspot y utilizarlo.
Nombre de usuario
El nombre de usuario asociado a la cuenta. Si el campo se deja en blanco, se generará un nombre de usuario aleatorio.
Contraseña
La contraseña para la nueva cuenta, que puede autogenerar el sistema si se deja el campo en blanco, lo que puede resultar
práctico. La contraseña solo aparecerá cuando se imprima el mensaje que se entregará al usuario con las credenciales para
acceder al Hotspot.
Dirección MAC
La dirección MAC que debe utilizarse para identificar la cuenta. Solo está disponible para las cuentas MAC.
Válida hasta
La fecha de caducidad de la cuenta. El valor predeterminado de un año, o 365 días, se puede modificar en Configuración.
Para cambiar el valor de la cuenta actual, es preciso escribir la nueva fecha en el formato DD.MM.AAAA o hacer clic en el
botón ... y seleccionar la fecha nueva en el calendario emergente.
¿Activa?
Esta casilla especifica si la cuenta está activada o no. Si está marcada, significa que la cuenta está activa.
Idioma
El idioma en el que el usuario verá todos los mensajes del Hotspot, elegido entre los disponibles en el menú desplegable.
Limitación de ancho de banda
Los límites de ancho de banda superiores de carga y descarga para la cuenta en KB/s. Si el campo está en blanco, significa
que no hay límite; es decir, el usuario puede utilizar todo el ancho de banda. Se pueden activar límites personalizados
marcando las casillas.
Dirección IP estática
Esta opción solo está disponible para las cuentas MAC, que se pueden asociar a una dirección IP estática especificada aquí.
Advertencia:
tenga en cuenta que cambiar parte de la información de inicio de sesión de una cuenta ya existente, como el nombre de usuario,
provocará que se cree una nueva cuenta.
Información de cuenta
Este cuadro contiene toda la información personal relacionada con el propietario de la cuenta.
Tratamiento
El tratamiento del usuario (por ejemplo, Sra., Dr.)
Nombre
El nombre del usuario.
Apellido
El apellido del usuario.
Calle
La calle en la que reside el usuario.
Código postal
El código postal de la ciudad de residencia del usuario.
Ciudad
La población o ciudad de procedencia del usuario.
País
El país de procedencia del usuario, que debe seleccionarse en el menú desplegable.
Dirección de correo electrónico
La dirección de correo electrónico que se asociará a la cuenta. Se pueden modificar ilimitadamente las direcciones de correo
electrónico en el editor de cuentas, pero no se puede utilizar una dirección que ya esté en uso para registrar una cuenta
SmartConnect™.
Número de teléfono
El número de teléfono asociado a la cuenta. Se puede elegir el código de país en el menú desplegable de la izquierda, y los
números deben escribirse en el cuadro de texto de la derecha.
Fecha de nacimiento
La fecha de nacimiento del usuario.
Ciudad de nacimiento
La población o ciudad de nacimiento del usuario.
Tipo de documento
El tipo de documento que se ha utilizado para identificar al usuario. Hay cuatro tipos de documentos disponibles en el menú
desplegable: Partida de nacimiento, Carné de identidad, Pasaporte y Carné de conducir.
ID del documento
El ID del documento utilizado para identificar al usuario. Es importante tener en cuenta que en algunos países es obligatorio
solicitar los documentos para acceder a Hotspots públicos.
Documento emitido por
El emisor del documento (por ejemplo, la ciudad de Nueva York).
Descripción
Una descripción adicional para la cuenta.
Tickets
Este cuadro permite ver y administrar los tickets asociados a la cuenta actual y muestra las siguientes opciones:
Añadir nuevo ticket
El menú desplegable muestra las tasas de tickets disponibles y si se basan en tiempo o en tráfico. No es posible mezclar
tickets basados en tiempo y en tráfico. Por lo tanto, si un usuario tiene ya uno o más tickets basados en tiempo, no se puede
añadir un ticket basado en tráfico, y viceversa.
Validez
Una vez seleccionada una tasa de ticket disponible, se mostrará esta opción y se permitirá personalizar la validez del ticket.
Los valores disponibles son los mismos que se definieron durante la creación de las tasas de ticket e invalidan los valores
predeterminados (que aparecen en el cuadro de texto y en el menú desplegable situado debajo).
Añadir
Una vez elegido el ticket, podrá asociarse a la cuenta actual haciendo clic en este botón.
Nota:
al editar una cuenta existente también es posible imprimir un mensaje de bienvenida con las credenciales haciendo clic en el botón
Imprimir. Esta es la misma acción que puede llevarse a cabo desde la lista de cuentas.
En la parte inferior del cuadro, una pequeña tabla muestra todos los tickets asociados a la cuenta, con algo de información de cada uno
de ellos. Si un ticket es válido todavía, se puede eliminar, pero, si ha caducado, permanecerá ahí, ya que ha sido almacenado en la
contabilidad de la cuenta (consulte Informes para obtener más información acerca del saldo y la contabilidad).
Si el dispositivo Panda GateDefender ya es compatible con los tickets cíclicos (incluidos con la versión 2.5-20130516), tras seleccionar
un ticket cíclico en el menú desplegable, en lugar del menú desplegable Validez, se mostrará un pequeño formulario con las siguientes
opciones.
Fecha de inicio
El día en el que comienza el primer ciclo del ticket. Si el periodo del ticket es Mensualmente, solo se puede elegir el primer
mes de validez. Para tickets con ciclo mensual, el inicio del periodo corresponde al primer día del mes, mientras que la
finalización es el último día del mes.
Fecha de fin
El día en el que termina el primer ciclo del ticket. Si el periodo del ticket es Mensualmente, solo se puede elegir el último mes
de validez.
Bajo estas opciones, un mensaje variable muestra el número total de ciclos de los tickets y el precio por ciclo, y calcula el precio total del
ticket. Al igual que en el caso de los tickets normales, una tabla incluye la lista de los tickets cíclicos asociados a la cuenta. En interés de
la claridad, esta tabla se mantiene separada de la otra.
Importar de CSV
Cuando se importan los nombres de las cuentas desde un archivo CSV, el nombre del archivo no es importante (los archivos exportados
tienen nombres peculiares, véase la sección siguiente), pero se necesita un formato fijo para los campos. Están disponibles las
siguientes opciones:
Seleccionar un archivo
Haga clic en este botón para seleccionar el archivo CSV que deba cargarse. El archivo debe ser de texto sin formato; no se
aceptan archivos ZIP, archivos cifrados GPG y demás.
Delimitador
El carácter que se utiliza como delimitador, que normalmente es una coma “,” o un punto y coma “;”. Si no se proporciona, el
dispositivo Panda GateDefender intentará adivinar cuál es el carácter correcto.
Sugerencia:
el dispositivo Panda GateDefender utiliza comas para separar los campos.
La primera línea del archivo CSV contiene los títulos de la columna
Marque la casilla para permitir que el dispositivo Panda GateDefender sepa que la primera línea del archivo CSV contiene el
encabezado de las columnas y lo ignore al importarlo.
Nota:
los archivos que el dispositivo Panda GateDefender no reconozca como archivos CSV se rechazarán con el mensaje El archivo
aportado no parece estar en formato CSV.
Importar cuentas
Haga clic en este botón para importar el archivo CSV.
Una vez que se haya importado la cuenta, la página se reemplazará por una nueva que contenga algunas columnas (dependiendo del
número de cuentas que se encuentren en el archivo). La primera columna contiene todos los campos disponibles, mientras que la
segunda contiene todos los campos que se han reconocido en el archivo CSV.
Sugerencia:
si en la primera columna todas las etiquetas tienen un fondo de color rojo, y en la segunda columna tienen un fondo verde, los datos se
habrán importado correctamente.
Las columnas restantes mostrarán el contenido del archivo y cómo se interpretarán los datos que contiene. Todos los campos que no se
reconozcan aparecerán de color amarillo. Se pueden asociar con los campos disponibles arrastrando las etiquetas de color rojo de la
columna situada más a la izquierda hasta los campos amarillos de las segundas columnas.
Nota:
los datos de estas columnas no se pueden modificar, así que, si hay un problema con ellos, vuelva a la página anterior para interrumpir
el proceso de importación y modifique el archivo CSV antes de intentar importarlo de nuevo.
Bajo la tabla aparecerán las siguientes opciones:
¿Desea ver qué cuentas se han importado?
Al marcar esta casilla, antes de que se hayan importado y almacenado las nuevas cuentas, se mostrará un resumen de las
cuentas, dividido en dos partes. En la parte superior de la página se mostrarán las nuevas cuentas, mientras que en la parte
inferior aparecerán las cuentas que se van a actualizar.
Almacenar cuentas
Al hacer clic en este botón, se iniciará el almacenamiento de las cuentas en el dispositivo Panda GateDefender y se
completará el proceso de importación.
Sugerencia:
si está marcada la casilla anterior, vuelva a hacer clic en este botón una vez mostrado el resumen para completar el
proceso de importación.
Advertencia:
es preciso recordar que modificar cualquier dato de la información de inicio de sesión de un usuario provocará que se cree una nueva
cuenta. Esto también sucede al importar cuentas cuya información de inicio de sesión solo difiere ligeramente de las ya existentes. Hay
que asegurarse de examinarlas para evitar posibles problemas posteriores.
Exportar desde CSV
Se puede exportar y guardar una lista de las cuentas existentes en formato CSV. Al exportar la lista, los campos del archivo exportado
serán fijos, por lo que solo es posible decidir si desea abrir (ver) el archivo o en qué directorio lo guardará. Por comodidad, el nombre de
archivo se guarda como cuentas_AAAAMMDD_HHMM, donde AAAAMMDD representa el año, el mes y el día y HHMM representa la
hora y los minutos en que la lista fue exportada. Esta opción permite clasificar los archivos exportados en orden lexicográfico en el
directorio en el que se guarden. No obstante, los nombres de archivo se pueden modificar según se desee. Los archivos exportados
pueden utilizarse como backups e importarse más adelante.
Advertencia:
recuerde que la lista exportada contiene también las contraseñas de los usuarios en texto sin formato, por lo que es conveniente
guardarla en un lugar seguro.
Generador de cuentas
Usar el generador de cuentas puede ser especialmente útil si es necesario crear muchas cuentas nuevas con un ticket predeterminado
que ya esté asignado y que, por lo tanto, se pueda entregar a un grupo de usuarios, por ejemplo. Como ejemplo, piense en la fase de
registro al comienzo de los eventos como conferencias o convenciones, en los que grandes grupos de personas necesitan acceder al
Hotspot y recibir sus credenciales en un pequeño intervalo de tiempo. El generador de cuentas permite crear un número específico de
cuentas a la vez facilitando solo algunas opciones comunes, agrupadas en tres partes: Nombre de usuario, Contraseña y Configuración,
descritos más adelante. Esta página se divide en cuatro cuadros: los tres primeros componen el generador de cuentas, mientras que el
cuarto es la lista de conjuntos generados de cuentas, mostrado en la parte inferior de la página después de haber creado como mínimo
un conjunto.
Ejemplo HS2: generación de varias cuentas.
Este ejemplo muestra las diferencias entre el generador secuencial y el aleatorio en la generación de 5 cuentas con la misma
configuración común:
Prefijo del nombre de usuario: user (4 caracteres).
Longitud del nombre de usuario: 8 caracteres (por lo tanto, existen 4 caracteres por rellenar).
Longitud de la contraseña: 8 caracteres.
Conjuntos de caracteres: all.
Utilizando el generador de nombres de usuario secuencial con la opción Secuencia de inicio establecida en 10, el resultado generado
(nombre de usuario/contraseña) es:
user0010 / hLFE.+6C
user0011 / u_4w3.N_
user0012 / h7R7p7sK
user0013 / p6lGRc3T
user0014 / KqUDmWiI
Puesto que se necesitan dos caracteres más para alcanzar la longitud de 8 caracteres necesaria en los nombres de usuario, se añaden
algunos 0 entre el prefijo y la secuencia.
Utilizando el generador de nombres de usuario aleatorio, con todo el Conjunto de caracteres excepto los caracteres Extra, el resultado
(nombre de usuario/contraseña) tiene un aspecto similar al siguiente:
userLI4u / p0Dch_fA
userWNDS / Qhbovfb7
userrq7K / dQTlmA-u
userSYE0 / BuWHuKfZ
userAHEQ / -Gx1yMta
Nombre de usuario
Existen 2 tipos diferentes de generadores de nombres de usuario: secuencial y aleatorio. Ambos comparten dos opciones comunes:
Prefijo
La primera parte del nombre de usuario, compartida por todas las cuentas del conjunto. También se acepta un prefijo vacío.
Longitud
La longitud total del nombre de usuario.
La longitud debe ser mayor que la longitud del prefijo. De lo contrario, se mostrará un mensaje de error.
Los nombres de usuario completos se rellenarán de forma distinta en los dos generadores, y para ambos generadores se mostrará una
opción particular. En el caso del generador secuencial, se utilizan números crecientes, definidos por la opción:
Secuencia de inicio
El dígito o número desde el que se inicia la secuencia.
Sugerencia:
si se necesitan más caracteres además de la secuencia y la longitud del prefijo, para alcanzar la longitud necesaria, se añadirán 0
(véase el ejemplo HS2).
En el caso del generador aleatorio, se usan caracteres, definidos por los diferentes Conjuntos de caracteres seleccionados:
* Letras mayúsculas (A-Z)
* Letras minúsculas (a-z)
* Números (0-9)
* Caracteres extra (._-+)
Contraseña
La longitud de la contraseña y qué conjuntos de caracteres deben utilizarse para generar las contraseñas aleatorias se pueden definir
aquí. El nivel de protección de la contraseña depende de su longitud y de cuántos conjuntos de caracteres se utilizan entre los cuatro
disponibles: mayúsculas y minúsculas, números y caracteres adicionales. Como regla general, elegir una contraseña de 8 caracteres y
todos los conjuntos de caracteres diferentes generará contraseñas de 48 bits, que deberían bastar para la mayoría de los usos.
Configuración
Opción adicional de las cuentas generadas: el número de cuentas que se van a generar, si se deben activar de inmediato, si tienen un
ticket predeterminado asociado y, por último, el número de días de duración de la cuenta.
Para generar usuarios con los ajustes especificados, haga clic en el botón Generar cuentas. Aparecerá una muestra de las primeras 5
combinaciones de nombre de usuario y contraseña. Todo el conjunto se creará únicamente tras hacer clic en Confirmar; de lo contrario,
un clic en Cancelar eliminará incluso las 5 muestras mostradas.
Tras crear por primera vez un conjunto de cuentas, la página volverá a cargarse con un mensaje de confirmación y, debajo del
generador de cuentas, aparecerá una nueva tabla con información sobre las cuentas creadas. En concreto, se mostrarán las siguientes
columnas en la tabla:
Fecha
La fecha en la que se han generado las cuentas.
Usuarios generados
El número de usuarios que se han generado.
Acciones
Existen tres acciones disponibles en cada conjunto:
Cargar configuración, para cargar la configuración utilizada en la creación de esas cuentas y reutilizarla al crear un nuevo conjunto.
Eliminar usuarios, para eliminar todos los usuarios creados en esa generación. Esta acción solo eliminará usuarios que aún no se
hayan conectado o que no dispongan de más crédito. En otras palabras, los usuarios que ya se han conectado al Hotspot o que aún
disponen de crédito no se eliminarán.
Exportar como CSV, para exportar la combinación de nombre de usuario y contraseña en formato CSV. Esto resulta especialmente útil
para imprimir los datos de las tarjetas prepago.
Tickets
Esta sección sirve para gestionar todas las opciones relacionadas con los tickets: el tipo de tickets disponibles y si se basan en tiempo o
en tráfico, su tasa (es decir, cuánto paga el usuario por unidad de tiempo o información), y la creación de tickets prescindibles. Las
opciones se agrupan en tres categorías, que se muestran en el submenú Tickets: Tasas, Ticket rápido y Generador de tickets.
Novedad en la versión 2.5-20130516:Tickets cíclicos
Tasas
El dispositivo Panda GateDefender ofrece la posibilidad de definir varias tasas de tickets en la página Añadir tasas, seleccionando
diferentes combinaciones de opciones de pago (postpago frente a prepago) y medida (basada en tráfico frente a basada en tiempo)
desde el menú desplegable pertinente. Dependiendo de la combinación elegida, se puede establecer el precio por unidad de uso o para
todo el ticket. En particular, el postpago permite definir el precio por una hora (basado en tiempo) o por 10 MB (basado en tráfico). El
prepago, en cambio, permite la definición de un precio más preciso e incluso la unidad. En este caso, de hecho, incluso se pueden
proporcionar la cantidad de tiempo (en minutos, horas o días) o de tráfico (en MB o GB) y el precio del ticket o el precio unitario.
Nota:
al introducir el precio del ticket, el precio por unidad se calcula automáticamente, y viceversa. Esto resulta útil cuando se ofrecen
diferentes tipos de tickets de prepago y se comprueba, por ejemplo, que el coste de cuatro tickets de prepago de 15 minutos de duración
es más caro que un ticket de prepago de una hora de duración.
Tickets cíclicos
Novedad en la versión 2.5-20130516.
Los tickets cíclicos son un nuevo tipo de tickets que se pueden ofrecer a usuarios del Hotspot. La idea en la que se basa esta novedad
es asignar a un usuario la misma cantidad de tráfico dentro de un periodo (ciclo), que se pueda repetir un número arbitrario de veces
(duración del ciclo). A cada usuario no se le puede asignar más de un único ticket cíclico a la vez.
Más concretamente, un ticket cíclico se compone de tres partes:
1. una tasa, que es el coste por cantidad de tiempo o de MB de tráfico, justo como con otros tipos de tasas;
2. una duración del ciclo, que es un periodo de un día, una semana, un mes o un año, durante el que se debe consumir el
tráfico;
3. un número de ciclos, que muestra cuántas veces consecutivas se puede utilizar el ticket. Este número lo establece el
administrador del Hotspot y, de forma predeterminada, es 1.
Aunque todos los tipos de ticket se pueden adquirir en cualquier momento y utilizarse de manera inmediata, hay una excepción: los
tickets cíclicos cuya duración del ciclo es mensual, siempre inician un ciclo el primer día del mes y caducan el último día del mes. Por
ejemplo, pensemos en un ticket cíclico mensual comprado el 20 de junio. Si bien es posible iniciar su uso inmediatamente, el primer
ciclo finalizará el 30 de junio. Por lo tanto, se recomienda iniciar la validez de este ticket el 1 de julio, para que el primer ciclo caduque el
31 de julio.
El ticket cíclico solo puede ser de prepago, es decir, debe adquirirse por adelantado. El tráfico no consumido de un ciclo no se añade al
siguiente, es decir, debe utilizarse antes de la finalización del ciclo o se perderá. Las tasas cíclicas no pueden utilizarse con los tickets
rápidos, los tickets de SmartConnect, el generador de tickets ni el generador de cuentas: deben asignarse explícitamente a un usuario
existente o durante la creación de un nuevo usuario.
Los tickets ofrecidos también pueden estar disponibles para transacciones de SmartConnect™ (consúltelo a continuación).
Los tipos de tickets disponibles se muestran al abrir la página Ticket en una tabla compuesta por varias columnas, que se corresponden
con las opciones que se pueden definir en la página Añadir tasas. Las tuplas pueden ordenarse por nombre de la tasa, pago o modo de
medición. El criterio de orden se puede invertir marcando la casilla Orden inverso. Para buscar un nombre de tasa concreto o para filtrar
entre ellos, rellene el formulario de entrada que se encuentra en la parte superior de la tabla con un carácter como mínimo y pulse
Intro. Las columnas de la tabla contienen la siguiente información:
Nombre de tasa
El nombre que se asigna a la tasa del ticket.
Código del ticket
El código ASA para la tasa del ticket. A pesar de que solo se utiliza para el sistema de gestión de hoteles ASA, este campo es
obligatorio. En caso de que no haya ningún sistema de gestión ASA, rellénelo con cualquier carácter o cadena.
Sugerencia:
si no se usa ASA, utilice la misma cadena para el nombre de la tasa y para el código de ticket ASA.
¿SmartConnect?
Esta columna muestra si esta tasa está disponible para las transacciones de SmartConnect™, en cuyo caso aparecerá el
icono en la lista; de lo contrario, se mostrará . Al hacer clic en el icono, cambiará el estado de la tasa.
¿Ticket rápido?
De manera similar al elemento anterior, este muestra si esta tasa puede utilizarse para la creación de nuevos tickets rápidos. En este
caso aparecerá un icono en la lista; de lo contrario se mostrará . Al hacer clic en el icono, cambiará el estado de la tasa.
Novedad en la versión 2.5-20130516.
Pago
Esta columna aparece si la tasa requiere prepago o postpago.
Modo de medición
Esta columna muestra si la tasa utiliza el modo de medición basado en tiempo o basado en tráfico.
Ciclo
La longitud de cada ciclo del ticket.
Cantidad
La cantidad de tiempo o tráfico disponible cuando se ha creado un único ticket con esta tasa. En el editor de tasas, esta
opción aparece justo debajo de Modo de medición. Un menú desplegable permite elegir un ticket basado en tiempo o basado
en tráfico. En el primer caso, se puede elegir el número de minutos, horas o días de validez, mientras que en el segundo se
puede elegir la cantidad de megabytes o gigabytes.
Precio
Muestra el precio por hora o por 10 MB y el precio del ticket especificado para esta tasa. En el editor de tasas, aparecen dos
cuadros de texto que convierten de forma rápida el precio por unidad (10 MB o una hora) en el precio por ticket, lo que
resulta útil para controlar el precio medio por unidad de las distintas tasas definidas.
Acciones
Elija entre editar o eliminar una tasa de ticket.
Cuando se elige el Tipo de tasa Cíclico, el editor de tasas cambia ligeramente y muestra las siguientes opciones de configuración, en
lugar de Precio:
Duración del ciclo
La duración de un ciclo de la tasa, que puede ser un día, una semana, un mes o un año.
Precio por ciclo
El coste de cada ciclo.
Número predeterminado de ciclos
El número de ciclos predeterminado para la validez del ticket. Si no se especifica, se aplicará el valor 1.
Ejemplos de precio total
En cuanto se introduce el precio por ciclo, esta tabla calcula el precio total del ticket cíclico para algunos números de ciclo
relevantes (por ejemplo, 7 o 14 días, 3 o 6 meses, etc.).
En el editor de tasas, se puede especificar una configuración adicional para el ticket:
Validez
Esta opción define las fechas de caducidad de los tickets individuales creados a partir de este tipo y aparece solo en el editor de tasas.
Los cuatro valores que se pueden seleccionar en el menú desplegable son:
Siempre. Validez ilimitada.
Desde la creación del ticket, que permite especificar la duración de la validez del ticket, medida en minutos, horas, días, semanas o
meses desde su creación.
Desde el primer uso del ticket, que es como el valor anterior, pero la validez comienza cuando el ticket se utiliza por primera vez
para acceder al Hotspot.
Hasta el final del día. El ticket deberá utilizarse durante el día actual.
Estos serán los valores predeterminados para los nuevos tickets que se creen, aunque pueden invalidarse en función del usuario si
están asociados a un usuario en Cuentas ‣ Lista ‣ Editar/Añadir ticket ‣ Añadir ticket.
Advertencia:
cuando se guarda una tasa de ticket, solo se pueden cambiar el nombre de tasa, el código de tasa o la disponibilidad para realizar
transacciones de SmartConnect™. De hecho, cambiar cualquier otra cosa provocaría que hubiera datos de contabilidad incoherentes.
Por lo tanto, para modificar un precio de una tasa, cambie el nombre de la tasa existente y cree una nueva tasa con el nombre original.
Supongamos, por ejemplo, que hay una tasa llamada por horas cuyo coste debe modificarse. En primer lugar, cambie el nombre de la
tasa por algo como ANTIGUO-por horas y, a continuación, cree una nueva tasa con el nombre original “por horas”.
Ticket rápido
Esta página se usa para crear una nueva cuenta de usuario única, cuyo nombre de usuario y contraseña se generan automáticamente.
Para ello, opcionalmente, proporcione el nombre y apellido del usuario y, a continuación, haga clic en la tasa que desee de las que
aparecen.
Sugerencia:
para los tickets rápidos, solo están disponibles las tasas disponibles para SmartConnect™.
Después de hacer clic en el botón de la tasa, se mostrarán en pantalla el nombre de usuario, la contraseña y la tasa. En este momento,
se puede elegir el idioma para el usuario. Esta información de contabilidad se puede imprimir haciendo clic en el botón Imprimir
información. La nueva cuenta hereda todos los ajustes predeterminados (definidos en Hotspot ‣ Configuración) y se añade a la página
Cuentas. Se trata de una cuenta normal en la que pueden llevarse a cabo todas las acciones.
Generador de tickets
Con el generador de tickets es posible crear un número de tickets específico que comparten una configuración común, incluida una tasa
de ticket predefinida. Esta opción es útil cuando existe la necesidad de crear un gran conjunto de códigos de tickets de prepago para
clientes que pueden usarlos directamente en SmartConnect™ para acceder al Hotspot, o incluso para usarlos como códigos de
evaluación o demostración. Para poder utilizar un ticket, sin embargo, el cliente debe estar registrado. Si no lo está, deberá crear una
nueva cuenta, una operación que puede llevar a cabo fácilmente el cliente sin necesidad de interactuar con el administrador del Hotspot.
La página del generador de tickets se divide en dos cuadros. En el lado superior, se pueden rellenar los formularios de entrada para
crear tickets nuevos rápidamente, mientras que el lado inferior contiene una tabla con el conjunto de tickets ya generados. Después de
haber creado al menos un conjunto de tickets, aparecerá un enlace entre los dos lados, Mostrar tickets generados, en el que se puede
hacer clic para mostrar todos los tickets disponibles (véase a continuación).
El generador ofrece dos grupos de opciones para crear tickets nuevos:
Código del ticket
Defina el texto de prefijo (cadena) que se utilizará al crear el conjunto de tickets, la longitud del nombre de los tickets y qué
conjuntos de caracteres deben usarse para generar los tickets aleatorios.
Configuración
El número de tickets que se van a generar y la tasa asignada que debe asignarse a los tickets, entre los que ya estén
presentes en Tasas.
Para generar el conjunto de tickets con la configuración especificada, haga clic en el botón Generar tickets. Aparecerá una muestra de
las 5 primeras combinaciones ticket-código. Todo el conjunto se creará únicamente tras hacer clic en Confirmar; de lo contrario, un clic
en Cancelar eliminará incluso las 5 muestras mostradas.
Debajo de las opciones del generador de tickets, todo el conjunto de tickets generado anteriormente aparece en una tabla con las
siguientes columnas:
Fecha
La fecha y hora a la que se han generado los tickets.
Tickets generados
El número de tickets que se han generado.
Acciones
Existen tres acciones disponibles en cada conjunto:
Cargar configuración, para cargar la configuración utilizada para crear esos tickets y reutilizarla para generar un nuevo conjunto.
Eliminar tickets, para eliminar todos los tickets creados en esa generación. Esta acción solo eliminará los tickets que aún no se hayan
consumido.
Exportar como CSV, para exportar la lista de combinación de tickets en formato CSV.
Al hacer clic en el enlace Mostrar tickets generados, se accede a la página que muestra una tabla con todos los tickets generados, que
pueden estar ordenados (a la inversa) por el código del ticket o por la fecha de creación, con la opción de ocultar los tickets caducados o
sin usar. También se pueden buscar códigos específicos para utilizar el formulario de entrada que se encuentra junto a la etiqueta
Código:.
La tabla muestra el código del ticket, qué usuario ha usado un ticket o a cuál se le ha asignado un ticket (si lo hay), la tasa del ticket, la
fecha de creación del ticket y un enlace opcional para eliminar un solo código de ticket sin utilizar o para que caduque un código de
ticket en uso. Cuando la tabla contiene un gran número de tickets, la paginación está disponible para dividir la lista.
Informes
La sección Informes contiene información y estadísticas acerca de las actividades, los usuarios, los tickets, el tráfico, las conexiones y
los datos de contabilidad relativos al Hotspot. Hay pocas acciones disponibles en esta sección, cuyo objetivo es proporcionar una
imagen detallada de las estadísticas y las conexiones de los usuarios y del uso del Hotspot.
Nota:
en los Hotspots satélite, Informes es el único elemento de menú disponible en toda la interfaz de administración del Hotspot.
Conexiones
La vista predeterminada al abrir las páginas Informes muestra la tabla con todas las conexiones activas actualmente con el Hotspot,
incluidas las de los satélites, si las hay. Se muestra la siguiente información sobre cada conexión:
Satélite
El nombre (por ejemplo, el nombre de la cuenta de OpenVPN) del sistema del Hotspot satélite remoto, si este dispositivo
Panda GateDefender actúa como maestro en una configuración maestro/satélite (más información en la sección Roles de un
Hotspot) y si el usuario está conectado a un satélite.
Nombre de usuario
El nombre de usuario de la cuenta conectada.
Descripción
La descripción de la cuenta conectada.
Autenticado
Muestra si la conexión se ha autenticado o no.
Duración
El tiempo total que lleva establecida la conexión.
Tiempo de inactividad
La cantidad de tiempo transcurrido desde que se detectó tráfico por última vez entre la cuenta y el Hotspot.
Dirección IP
La dirección IP del cliente conectado al Hotspot.
Dirección MAC
La dirección MAC de la interfaz del cliente conectado.
Acción
Se pueden cerrar todas las conexiones activas haciendo clic en el enlace Cerrar sesión de esta columna.
Saldo
Esta página contiene una lista de cuentas con información sobre sus conexiones, además de un resumen global en la parte inferior de la
página. Hay dos vistas alternativas disponibles para mostrar el saldo de los usuarios: Periodo de filtro y Elementos de la cuenta abiertos.
La primera es la vista predeterminada. Se puede acceder a ambas usando el enlace disponible en el extremo derecho de la página. Los
datos reales que se muestran en cada vista son diferentes, pero ofrecen el mismo tipo de información, a saber:
Nombre de usuario
El nombre de usuario o la dirección MAC de la cuenta. Al hacer clic en el nombre de usuario, se abrirá la página Saldo de la
cuenta de ese usuario (véase a continuación).
Importe utilizado
El importe de dinero utilizado por esta cuenta.
Pagado
El dinero ya abonado por el usuario.
Duración
El tiempo que el usuario ha pasado conectado al Hotspot.
Tráfico
El tráfico generado por esta cuenta.
En la parte superior de la tabla, se pueden escribir una fecha de inicio y una de finalización en los campos De y Hasta, respectivamente:
Al hacer clic en el botón Filtro situado a la derecha, volverá a cargarse la página solo con las estadísticas de ese intervalo de fechas.
Para mostrar un calendario para facilitar la búsqueda de una fecha, haga clic en el botón ... a la derecha del campo de texto. La
paginación está disponible para dividir listas extensas.
Sugerencia:
el formato de la fecha es DD.MM.AAAA, por ejemplo, 03.06.2013 (tres de junio de 2013).
La vista alternativa, Elementos de contabilidad, muestra los mismos datos mencionados anteriormente, pero con una columna adicional:
Importe a pagar
La cantidad de dinero que aún no ha pagado esa cuenta.
En cualquiera de las vistas, al hacer clic en un nombre de usuario o una dirección MAC, se abre la página Saldo de la cuenta, que
muestra estadísticas detalladas de los tickets y las facturas de los usuarios, agrupadas en cuatro partes. También se puede acceder a
esta página desde Cuentas ‣ [Lista de usuarios] ‣ [Acciones] ‣ [Saldo].
Información del usuario
Toda la información de inicio de sesión del usuario, es decir, nombre, nombre de usuario, ciudad y fecha de nacimiento, documento de
identificación y entidad emisora del documento.
Saldo de la cuenta
Información detallada sobre el saldo de la cuenta, con todas las estadísticas relacionadas con el tiempo y el tráfico. En ambos casos se
muestran los tickets de prepago y postpago asignados al usuario, así como el tráfico y el tiempo, tanto utilizado como disponible.
Postpago
En esta columna, dos cuadros muestran la cantidad de dinero ya pagada por el usuario y la que le queda por abonar, en la divisa
configurada en la página de Configuración. El cuadro inferior tendrá un fondo verde si se ha abonado todo; si no, este aparecerá en rojo.
Se puede añadir crédito al usuario para abonar una deuda o para permitirle comprar más tráfico. Para ello, debe insertarse un importe
en el campo situado bajo los dos cuadros y hacer clic en Añadir crédito.
Entradas contables
Esta tabla aparece en la parte inferior de la página y contiene una lista de los tickets asociados al usuario. Se muestra la siguiente
información para cada ticket:
Nombre del ticket
El nombre de la tasa del ticket.
Cantidad
El crédito (con fondo verde) o la deuda (con fondo rojo) asociados a esta cuenta.
Cualquier ticket cíclico adquirido por el usuario se muestra en esta columna varias veces: una vez que se ha creado con el nombre del
ticket Cíclico [nombre], y luego al comienzo de cada ciclo se añade a la contabilidad un nuevo ticket llamado [nombre] con cantidad
0,00 EUR (o en la divisa utilizada en el Hotspot).
Fecha/Hora
La marca de tiempo de creación de los tickets.
Duración
El tiempo que ha sido utilizado el ticket.
Tráfico
El tráfico consumido por el ticket.
Procesado
Si el ticket se ha utilizado o no.
Reintentos
Esta opción la utiliza la interfaz ASA y muestra el número de veces que el sistema ha intentado contabilizar estas entradas.
Mensaje
Un mensaje personalizado.
Para cada entrada que es un ticket cíclico, el mensaje contiene la siguiente información:
ID de periodo es un número progresivo que identifica el ticket.
Ciclo: y Número de ciclos se refieren al ticket, a la longitud del periodo del ticket y al número de ciclos adquirido.
Fecha de inicio y Fecha de fin muestran el primer día de validez del ticket y el último.
Tras rellenar los campos Fecha de inicio y Fecha de fin situados sobre la información de usuario (o hacer clic en los botones ... para
elegir las fechas en un calendario emergente) y hacer clic en el botón Filtro, solo aparecen las estadísticas de ese periodo.
Las estadísticas mostradas pueden imprimirse haciendo clic en el botón>>> Imprimir.
Registros de conexión
Esta página contiene una tabla con información sobre las conexiones actuales y pasadas. Los elementos se pueden ordenar (a la
inversa) por cualquiera de las columnas. Incluso pueden filtrarse para mostrar solo las conexiones establecidas entre dos fechas. La
información que se muestra es:
Nombre de usuario
El nombre de usuario que establece la conexión.
Dirección IP
La dirección IP del cliente conectado.
Dirección MAC
La dirección MAC de la interfaz del cliente conectado.
Inicio de conexión
La hora de inicio de la conexión.
Detención de conexión
La hora de fin de la conexión.
Descarga
La cantidad de datos que se han descargado durante esta conexión.
Carga
La cantidad de datos que se han cargado durante esta conexión.
Duración
La duración de la conexión.
Exportar registros de conexión como CSV
La registros de conexión, que contienen información detallada y relevante, se pueden descargar para verse o almacenarse en formato
CSV haciendo clic en el enlace Exportar registros de conexión como CSV del submenú. El nombre predeterminado del archivo de
registro es Hotspot-AAAAMMDD-FULL.csv, donde AAAAMMDD es la fecha de creación del archivo. FULL significa que el archivo
contiene detalles de todas las conexiones.
Advertencia:
conviene recordar que la lista exportada contiene también las contraseñas de los usuarios como texto sin formato, por lo que es
recomendable guardarla en un lugar seguro.
Transacciones SmartConnect
Esta página contiene la lista de todas las conexiones y transacciones SmartConnect™, que se pueden ordenar (a la inversa) por ID de
transacción u hora del pedido. Se pueden buscar transacciones específicas escribiendo algunos caracteres en el formulario de entrada
junto a la etiqueta Buscar:. La información proporcionada en la tabla es:
ID de transacción
La cadena de identificación de la transacción, que es especialmente útil para la contabilidad y si surge algún problema con el
registro de clientes y tickets. Aquí se puede buscar cualquier transacción.
Hora del pedido
La fecha y la hora de la transacción.
Pago
Indica el estado del pago: si se completó correctamente (los tickets gratuitos se muestran siempre como Completado) o no.
Usuario
El nombre de usuario de la cuenta creada, que será el número de teléfono en el caso de transacciones SmartConnect™
basadas en SMS.
Número de teléfono
El número de teléfono proporcionado durante la creación de la cuenta.
SMS
El SMS con las credenciales de la cuenta se envía desde el Hotspot a través de la Panda Perimetral Management Console.
Si, por cualquier motivo, el mensaje no se ha enviado o el cliente no lo ha recibido, este campo mostrará Error; de lo
contrario se leerá Con éxito.
Hora del SMS
La fecha y la hora en las que se procesó el SMS.
Nombre
El nombre que se especificó al crear la cuenta.
Información
La dirección, el código postal y el país que se especificaron al crear la cuenta.
La paginación está disponible para tablas con muchas entradas.
Véase también:
SmartConnect
Hotspot ‣ Configuración ‣ SmartConnect
Configuración
Esta sección incluye todas las opciones disponibles para configurar el Hotspot en cuatro grupos principales: Principal, SmartConnect™,
API e Idioma.
Principal
Esta página contiene toda la configuración del sistema, dividida en cuatro partes. En la primera, Portal, es posible definir los valores
predeterminados para la apariencia del portal; la segunda, Configuración general, permite especificar alguna opción utilizada por las
diversas partes del Hotspot; en la tercera, Cuentas, se definen opciones comunes de la cuenta; y en la cuarta, se elige el Conjunto de
caracteres para contraseñas generadas utilizado en Ticket rápido.
Advertencia:
cualquier cambio en la configuración del portal y en la Configuración general forzará la desconexión de todos los usuarios conectados.
Esa configuración se marca con un asterisco rojo en la GUI.
Portal
El primer cuadro engloba las siguientes opciones que se pueden personalizar:
Página de inicio después de inicio de sesión correcto
La URL de una página web que se mostrará al usuario después de un inicio de sesión correcto.
Página de inicio de fondo del portal
La URL que se usa como imagen de fondo para el portal de inicio de sesión del Hotspot.
Mostrar formulario de inicio de sesión
Elija en el menú desplegable cómo se debe mostrar el formulario de inicio de sesión del Hotspot:
inmediatamente mostrará el formulario de inicio de sesión de inmediato a través de la página de inicio de fondo.
manualmente mostrará la página de inicio de fondo con una barra de navegación en la parte superior, lo que permite al
usuario acceder a la página de registro en cualquier momento, pudiendo navegar por el sitio de inicio sin ningún registro
de usuario. Esto es útil para promocionar un sitio web propio o para proporcionar información. Para acceder al resto de los
sitios sigue siendo necesario un registro, aunque siempre se puede acceder a los sitios que aparecen en Sitios permitidos
(véase a continuación).
después de x segundos mostrará el formulario de inicio de sesión a través de la página de inicio de fondo después de un
periodo de segundos especificado por el usuario (el usuario recibe una notificación del tiempo de registro latente en la
barra de navegación).
Usar portal mini para dispositivos móviles
Esta opción controla qué tipos de portal recibirán servicio del Hotspot. Además del portal estándar, hay dos más disponibles:
uno sin JavaScripts y otro adaptado para dispositivos móviles. Cuando esta opción está activada, los tres tipos de portal
reciben servicio, mientras que, si no lo está, solo se ofrece a los usuarios el portal estándar.
Sitios permitidos
Los sitios o direcciones IP a los que se puede acceder incluso sin autenticación, es decir, los sitios que puede visitar
cualquiera. Se permite un sitio por línea, en forma de nombre de dominio normal o de cadena con el formato
protocolo:IP[/mascara]:puerto, por ejemplo, pandasecurity.com o tcp:192.168.20.0/24:443. Tenga en cuenta que, si las
páginas incorporan widgets, JavaScripts u otros componentes de sitios que no se encuentren en esta lista, no se podrán
cargar correctamente.
Configuración general
Nombre del Hotspot
Un nombre para identificar el Hotspot.
Elementos por página
El valor de paginación, es decir, el número máximo de elementos de una lista o tabla que se muestran por página.
Divisa
La divisa que se utiliza en todos los cálculos de pagos en el Hotspot.
Nota:
PayPal no admite algunos tipos de divisa y, por eso, no se pueden utilizar con tickets de SmartConnect.
Países populares
Los países populares ocupan los primeros lugares en la lista de países presentada a los usuarios cuando se registran, con el
fin de reducir el tiempo necesario para todo el proceso de registro.
Activar AnyIP
Esta opción activa la función AnyIP, que debería ayudar a los clientes que no utilicen DHCP y permitirles acceder al Hotspot
incluso con una IP estática que no esté comprendida dentro de la subred de IP del Hotspot (zona AZUL).
Limitación de ancho de banda
Los límites de carga y descarga predeterminados por usuario en KB/s. Si estos campos están en blanco, no se aplica ningún límite.
Nota:
recuerde que en un KB hay 8 kilobits. Por tanto, asegúrese de introducir valores adecuados en los campos.
Rango dinámico de DHCP
Cuando esta opción se activa marcando la casilla, se asignan direcciones IP dinámicas a los dispositivos conectados al
Hotspot.
Rango de IP dinámicas
Esta opción aparece cuando la anterior está activa y permite especificar un rango personalizado de direcciones IP dentro de
la zona AZUL que se asignan de forma dinámica al cliente del Hotspot.
Cuentas
Requiere autenticación del usuario
Marque la casilla si desea que los clientes que accedan al Hotspot necesiten una cuenta válida y registrada.
Requiere que los usuarios acepten los Términos del servicio al iniciar sesión
Cuando se selecciona esta opción, se solicitará al usuario que acepte los Términos del servicio justo antes del inicio de
sesión.
Recuperación de contraseña
Permite que un usuario que ha perdido u olvidado sus credenciales pueda restablecerlas. Se pueden elegir tres opciones:
Desactivado: no se permite la recuperación de contraseña.
Utilizar la configuración de SmartConnect: las credenciales se envían de la misma forma que con SmartConnect™.
Uso de configuración personalizada: puede definirse una configuración personalizada (consulte el cuadro a continuación).
Nota:
es posible permitir el inicio de sesión anónimo (es decir, sin necesidad de autenticación de usuario), pero exigir a todos los usuarios que
acepten los Términos del servicio. Para ello, es necesario crear un ticket de tipo postpago, desactivar la opción Requiere autenticación
del usuario y activar Requiere que los usuarios acepten los Términos del servicio al iniciar sesión. Si el ticket postpago se ha creado con
una validez determinada, después de ese periodo, el usuario tendrá que volver a aceptar los Términos del servicio.
Tiempo de espera para usuarios inactivos
El tiempo de inactividad tras el que un se cierra la sesión de un usuario (de forma predeterminada son 15 minutos, es decir,
después de 15 minutos de inactividad, se cierra automáticamente la sesión de un usuario), con el fin de que el usuario no
desperdicie demasiado la validez de su ticket.
Duración de la cuenta predeterminada (días)
El número de días durante los que una cuenta es válida (de forma predeterminada, 365 días). Una vez transcurrido ese
número de días, el usuario se vuelve inactivo automáticamente.
Permitir eliminación de cuentas usadas
Esta opción permite la eliminación de cuentas que ya han utilizado partes de sus tickets. Si se selecciona, aparece la
siguiente opción.
Evitar eliminación de usuarios que adquirieron tickets con SmartConnect
Esta casilla aparece cuando se ha seleccionado la opción anterior. Está activada de forma predeterminada, y sugiere que los
usuarios que ya adquirieron tickets mediante tarjeta de crédito con SmartConnect no se eliminen del sistema.
Eliminar cuentas desactivadas diariamente
Activa la eliminación automática de cuentas de usuario desactivadas a diario.
Conjunto de caracteres para contraseñas generadas
La segunda parte de la configuración principal permite la elección de los valores predeterminados para las contraseñas que se generan
automáticamente, por ejemplo, al crear un conjunto de tickets. Se pueden personalizar los siguientes valores de las contraseñas: la
longitud, si desea utilizar mayúsculas y minúsculas, números u otros caracteres especiales adicionales. De forma predeterminada, las
contraseñas serán de 6 caracteres y estarán compuestas solo por dígitos.
Configuración personalizada de recuperación de contraseña.
Si se elige que se permita la recuperación de la contraseña con una configuración personalizada, aparecen varias opciones de
configuración, necesarias para un proceso de recuperación correcto. La primera es la modalidad en la que se realiza la recuperación:
La recuperación de la contraseña ha finalizado
Existen tres posibilidades para esta opción: por SMS, por correo electrónico o ambas. Dependiendo de la elección, aparecen
diferentes opciones para configurar el envío del SMS o del correo electrónico. Tenga en cuenta que todas las opciones
aparecen si tanto la recuperación de contraseña por correo electrónico como por SMS están activadas.
En el modo de recuperación por SMS solo hay una opción adicional:
Códigos de países permitidos para recuperación de contraseña
Es posible permitir el envío de SMS solo a los teléfonos móviles que pertenezcan a los países seleccionados. Para añadir un
nuevo código de país, empiece escribiendo el nombre o el código del país en la casilla de multiselección que se encuentra
sobre la lista de países hasta que el nombre del país aparezca en el cuadro de abajo. A continuación, selecciónelo y haga
clic en el signo + situado a la derecha del nombre del país. Los países permitidos aparecen en el cuadro de la derecha y se
pueden anular haciendo clic en el signo - a su derecha.
Para el modo de recuperación por correo electrónico, hay dos opciones disponibles.
Servidor de correo
El servidor SMTP utilizado para enviar el correo electrónico de recuperación. Es posible elegir entre tres opciones del menú
desplegable.
1. Servidor SMTP del sistema. Para poder elegir esta opción, debe estar activado Barra de menú ‣ Proxy ‣ SMTP.
2. Servidor SMTP personalizado. En este caso, el nombre del servidor de correo se puede especificar en el cuadro de texto.
Dirección de correo electrónico del emisor
Una dirección de correo electrónico personalizada que se utilizará como emisor personalizado del correo electrónico de
recuperación.
También hay disponible una opción adicional para ambos modos de recuperación:
Limitar recuperación de contraseña a
El intervalo de tiempo que debe pasar antes de intentar recuperar la contraseña otra vez. Solo se puede seleccionar una de
las cuatro opciones del menú desplegable: una vez cada 10 minutos, una vez cada 30 minutos, una vez cada hora y una vez
cada día.
SmartConnect
En esta página se pueden configurar las funciones SmartConnect™ (autoservicio) y SmartLogin del Hotspot. El sistema
SmartConnect™ es totalmente compatible con la creación de tickets de autoservicio pagados o el uso de los tickets gratuitos sin pago
del cliente, mientras que SmartLogin ofrece al usuario la posibilidad de evitar tener que volver a autenticarse en el Hotspot al cerrar y
abrir el explorador. Si aún no se ha activado, la primera vez que se abre esta página solo hay una opción disponible.
SmartConnect
Activar SmartConnect
La función SmartConnect™ solo se activa si se marca esta casilla.
En cuanto se active SmartConnect™, aparecerán opciones adicionales para permitir más control sobre esta funcionalidad:
Registro del usuario de autoservicio
Este menú desplegable permite seleccionar la modalidad para notificar al usuario que el registro de la cuenta se ha realizado
correctamente. Hay tres opciones disponibles que se excluyen entre sí (es decir, solo se puede seleccionar una): por SMS, por correo
electrónico y ninguna notificación (desactivado). Dependiendo de la elección, algunas aparecen opciones adicionales.
Desactivado: no hay más opciones disponibles. No se puede crear un nuevo usuario con SmartConnect™, aunque los usuarios
existentes de SmartConnect™ pueden navegar y comprar tickets.
SMS: la activación de esta opción requiere la disponibilidad de paquetes de SMS, utilizados para enviar la confirmación al usuario,
que puede verificarse en Sistema ‣ Notificaciones de eventos ‣ Notificaciones por SMS. Se pueden adquirir paquetes de SMS
adicionales desde la Panda Perimetral Management Console. Están disponibles las opciones siguientes:
No requiere confirmación del número de teléfono
Desactiva la exigencia de escribir dos veces el número de móvil al que se va a enviar la confirmación. Es útil cuando se compila la solicitud en un smartphone.
Códigos de países permitidos
Solo los móviles que pertenecen a los países seleccionados pueden registrarse para acceder a SmartConnect™. Para añadir un nuevo país, empiece
escribiendo el nombre o el código del país en la casilla de multiselección que se encuentra sobre la lista de países hasta que el nombre del país aparezca en el
cuadro de abajo. A continuación, selecciónelo y haga clic en el signo + situado a la derecha del nombre del país. Los países permitidos aparecen en el cuadro
de la derecha y se pueden anular haciendo clic en el signo - a su derecha.
Correo electrónico: se envía un correo electrónico con las credenciales de acceso a la dirección de correo electrónico proporcionada
durante el proceso de registro. También se incluye un enlace de confirmación, en el que se debe hacer clic para que el usuario
complete correctamente el proceso y active la cuenta. Esta opción requiere un smarthost o un servidor SMTP.
No requiere confirmación de la dirección de correo electrónico
Desactiva la exigencia de escribir dos veces la dirección de correo electrónico a la que se va a enviar la confirmación. Es útil cuando se compila la solicitud en
un smartphone.
Tasa de ticket por verificación de dirección de correo electrónico
Este menú desplegable permite la selección de una de las tasas disponibles para permitir que un usuario se conecte un breve periodo para leer y recibir el
correo electrónico de confirmación.
Sugerencia:
las tasas que se pueden seleccionar aquí deben definirse como basadas en tiempo y prepago, validez desde la creación del ticket y no activadas para
SmartConnect ™.
Servidor de correo
Este menú desplegable permite la elección del smarthost que enviará el correo electrónico con las credenciales de acceso. Las opciones disponibles son:
Servidor de correo personalizado, en el que se puede facilitar la URL de un servidor de correo personalizado, Smarthost del sistema y Proxy SMTP del sistema.
Estas últimas opciones solo se encuentran disponibles si se han configurado un smarthost y un proxy SMTP y se están ejecutando en el dispositivo.
Dirección de correo electrónico del emisor
Una dirección de correo electrónico personalizada que aparecerá como emisor del correo electrónico de confirmación.
Campos de registro de usuario
En esta casilla de multiselección es posible definir cuáles son los atributos de cuenta obligatorios que se deben proporcionar durante
el proceso de registro. Los atributos que se presentan al usuario aparecen en la columna de la derecha, junto con la marca requerido u
opcional. El número total de atributos requeridos u opcionales se muestra en la parte superior del lado izquierdo.
Nota:
Dependiendo del tipo de registro de usuario, algunos campos serán obligatorios y no se podrán desactivar. Cuando el registro por
correo electrónico está activado, los valores de Nombre de usuario, Contraseña y Dirección de correo electrónico son obligatorios,
mientras que cuando está activado el registro por sms, solo se exige el Número de teléfono, que actuará como el nombre de usuario.
Limitar tickets gratuitos por cuenta
La cantidad de tickets gratuitos que se pueden utilizar en cada cuenta. La opción predeterminada es “sin límite”, lo que
significa que se pueden adquirir nuevos tickets en cualquier momento, pero existe la opción “límite de horario”, que permite a
los usuarios comprar un nuevo ticket gratuito solo cada determinada cantidad de minutos.
Activar tickets pagados
Esta opción permite a los usuarios pagar los tickets del Hotspot mediante PayPal o una tarjeta de crédito. Cuando está desactivada,
esta función permite configurar una cuenta de PayPal a la que se cobrarán los pagos.
Advertencia:
si esta opción se activa mientras los usuarios están conectados al Hotspot, se desconectarán todos por la fuerza.
Activar PayPal Sandbox
Este cuadro activa o desactiva PayPal Sandbox solo con fines de pruebas/demostraciones. El uso de Sandbox permite verificar que la
integración de la API de PayPal funciona, sin tener que ejecutar transacciones con dinero real.
Nombre de usuario de la API de PayPal
El nombre de usuario de la API de PayPal.
Contraseña de la API de PayPal
La contraseña de la API de PayPal.
Firma de la API de PayPal
La firma de la API de PayPal.
Nota:
para configurar correctamente la funcionalidad SmartConnect™ del Hotspot de Panda y recibir pagos de clientes, es necesario
registrarse y crear una cuenta de PayPal.
SmartLogin
La funcionalidad SmartLogin proporciona al usuario del Hotspot una cómoda forma de evitar tener que volver a autenticarse al
conectarse de nuevo al Hotspot. En otras palabras, si un usuario cierra el explorador, luego solo tiene que reiniciar el mismo explorador
para acceder inmediatamente a Internet, sin necesidad de volver a autenticarse. La funcionalidad SmartLogin se activar habilitar de
manera global para todos los usuarios del Hotspot o de manera individual para cada usuario. En el último caso, SmartLogin funciona
para esos usuarios incluso aunque no se haya activado de manera global. Se puede activar en la sección Información de inicio de
sesión del Editor de cuentas.
Están disponibles las siguientes opciones:
Activar SmartLogin
Marque la casilla para activar SmartLogin para todos los usuarios.
Duración de la cookie SmartLogin
El tiempo en días durante el cual el usuario tiene la posibilidad de usar la funcionalidad SmartLogin.
Permitir a los usuarios que invaliden la eliminación de cookies SmartLogin al cerrar sesión
Cuando esta opción está activada, en el portal de inicio de sesión del usuario aparece una nueva opción (Deshabilitar el
inicio de sesión automático) que ofrece la opción de usar o no la funcionalidad SmartLogin.
Tasas para la comprobación de correos electrónicos.
Para permitir que el usuario lea el correo electrónico de confirmación, se le debería permitir un acceso rápido y gratuito a Internet y a su
cuenta de correo para leer las credenciales de la cuenta que acaba de crear. Por lo tanto, se debe vincular una tasa adecuada con
características precisas con el proceso de registro de usuario de SmartConnect™. En caso de que todavía no haya tasas disponibles,
un mensaje describe las opciones necesarias para este ticket, que puede crearse en Ticket ‣ Tasas. Las tasas del ticket tienen que ser
de prepago, gratuitas, basadas en tiempo y no disponibles para SmartConnect™. Además, también deben definirse con un valor de
validez “Desde la creación de ticket”. Se recomienda limitar este valor a unos minutos, para conceder al usuario solo la posibilidad de
recuperar sus credenciales.
Para obtener ayuda con la creación de tasas de ticket, consulte también la ayuda en línea.
API
Esta sección controla la configuración de la API del Hotspot de Panda, que permite la integración del Hotspot del dispositivo Panda
GateDefender en un sistema que ya se esté ejecutando. En función del Modo seleccionado, se pueden configurar diferentes parámetros.
Modo
La versión 2.5 del dispositivo Panda GateDefender ofrece tres modos de API diferentes: interfaces API/JSON genérica, ASA
jHotel y pcs Phoenix de Panda. Las interfaces ASA jHotel y pcs Phoenix solo son necesarias en hoteles que usen el software
de gestión de hoteles ASA jHotel o pcs Phoenix, respectivamente, mientras que la API genérica puede utilizarse para
interactuar con otros sistemas de software. Los tres modos disponibles son mutuamente excluyentes, es decir, solo puede
activarse uno. Si hay una de las tres interfaces activada, y se activa otra diferente, solo estará activa la segunda, mientras
que la primera se desactivará automáticamente.
El resto de las opciones de configuración dependen del Modo seleccionado. A continuación se indica la opción que debe especificarse
para el modo ASA jHotel.
Interfaz ASA jHotel activada
Al marcar esta casilla, se activa la interfaz de ASA jHotel.
URL ASA jHotel
La URL de la interfaz de gestión de ASA jHotel. Su exactitud se puede comprobar haciendo clic en el botón Prueba a la derecha del
cuadro de entrada.
Sugerencia:
en la URL de muestra proporcionada, reemplace la DIRECCIÓN_IP de la instalación de ASA y el nombre de la EMPRESA.
Permitir registro del invitado (inicio de sesión del invitado/SmartConnect)
Marque esta casilla para permitir que un invitado se autorregistre.
Tasa predeterminada de registro de invitado
Seleccione en este menú desplegable la tasa predeterminada que se aplicará a las nuevas cuentas. Las tasas disponibles ya
deberían estar definidas en Ticket ‣ Tasas.
Permitir tickets no gratuitos postpago para invitados que no se han registrado
Marque la casilla para permitir que los invitados del hotel que no se hayan registrado puedan comprar tickets postpago.
Acceso al Hotspot con el software de gestión ASA jHotel.
Cualquier usuario que ya disponga de una cuenta en el software de gestión ASA puede acceder rápidamente al Hotspot sin necesidad
de crear una cuenta, siempre que el Hotspot esté configurado correctamente. Los pasos necesarios en el Hotspot son:
1. Marque la casilla Interfaz ASA jHotel activada y compruebe que el Hotspot puede acceder a la URL de la interfaz ASA jHotel.
2. En Ticket ‣ Tasas, cree una nueva tasa de postpago, con Código del ticket (el ID que usa ASA) y asígnele un nombre único
(por ejemplo, “mi-ASA”).
3. Vuelva a Configuración ‣ API. A continuación, seleccione el modo ASA jHotel y, como Tasa predeterminada de registro de
invitado, seleccione el nombre de tasa creado en el paso anterior (“mi-ASA”).
Para la interfaz API/JSON genérica o pcs Phoenix, hay tres opciones disponibles:
API activada
Marque la casilla para activar la API.
URL de contabilidad
El Hotspot enviará información de contabilidad a esta URL, para comprobar los datos suministrados por el usuario. Deje este
campo vacío si el Hotspot no debe realizar la contabilidad.
La URL de contabilidad necesita autenticación de HTTP
Si la URL proporcionada en la opción anterior requiere autenticación de HTTP, marque esta casilla. Aparecerán dos nuevos
campos de texto para proporcionar el nombre de usuario y la contraseña, respectivamente.
Por último, la API se puede probar en la página especial https://GREENIP:10443/admin/api/, en caso de que se haya seleccionado la
interfaz API/JSON genérica.
Idioma
La sección Idioma permite establecer todas las opciones que dependen del idioma y personalizar todas las cadenas mostradas en los
diversos idiomas y las plantillas del portal. La página se organiza en dos cuadros: Idiomas admitidos y Editar idiomas, con un tercero
que aparece en función de la elección de Editar realizada en el segundo cuadro.
Idiomas admitidos
En el primer cuadro es posible elegir qué idiomas se admiten en el Hotspot y estarán disponibles para los usuarios. Los idiomas se
deben seleccionar en la casilla de multiselección y, a continuación, guardarse haciendo clic en el botón Almacenar. Solo los idiomas que
se seleccionen aquí estarán disponibles para los usuarios durante el proceso de registro y cuando se conecten al portal.
Editar idiomas
En el segundo cuadro es posible modificar una de las cuatro plantillas del portal o las cadenas de la interfaz de usuario, para cada
idioma activado en el cuadro anterior. Para personalizar las plantillas y las cadenas, existen algunas variables que se pueden usar.
Cuando hay que enviar un mensaje a un usuario (por ejemplo, si ha perdido la contraseña de su cuenta), cada variable se sustituye por
un valor real, obtenido de los datos almacenados en el Hotspot.
Idioma
El idioma para el que hay que modificar o añadir las traducciones. Las opciones disponibles en el menú desplegable
dependen de los idiomas activados.
Editar
Los objetos que se van a modificar. Pueden ser las Plantillas del portal o las Cadenas del portal. Si se elige modificar las
Cadenas del portal, el editor se sustituye por una lista de palabras y frases en inglés, que se usan en la GUI y el portal del
Hotspot, cada una con un cuadro de entrada en el que se debe escribir la traducción en el idioma seleccionado. Si se
elige Plantillas del portal, una de las plantillas se puede editar en el cuadro que se abre: Página de bienvenida, Impresión
de cuenta, Términos del servicio, Ayuda, Cuerpo de correo electrónico y Cuerpo de correo electrónico de contraseña
perdida.
Para obtener más información sobre cómo personalizar el portal, vaya a Personalización del Hotspot más adelante.
El contenido de cada plantilla se puede modificar y personalizar con la ayuda de un editor WYSIWYG con todas las funciones.
Personalización del Hotspot
El portal que se presenta a los usuarios cuando se conectan por primera vez al Hotspot puede personalizarse de varias formas: el
idioma usado en el portal, el texto que aparece en las distintas páginas, las CSS, el logotipo de la empresa que gestiona el Hotspot y el
nombre del portal. La última opción solo se puede configurar desde la CLI, mientras que el resto se puede realizar desde la interfaz de
administración del Hotspot, en la sección Idiomas (Hotspot ‣ Interfaz de administración ‣ Configuración ‣ Idiomas).
Idiomas disponibles.
Hay seis idiomas activos de forma predeterminada: en (inglés, también predeterminado), de (alemán), it (italiano), ja (japonés), es
(español) y pt (portugués). Un usuario que se conecte al portal podrá seleccionar personalizar cada idioma. El Hotspot puede
proporcionar idiomas adicionales; para ello, seleccione los idiomas que desee en la casilla de multiselección.
Plantillas.
Estas son las plantillas que pueden modificarse:
Página de bienvenida
La página que se presenta al usuario antes de iniciar sesión.
Impresión de cuenta
Un mensaje de bienvenida impreso y entregado a los usuarios después de su registro junto con su nombre de usuario y
contraseña. Estas son las variables que se pueden utilizar: $title, $firstname, $lastname, $username, $password.
Términos del servicio
Se presentan al usuario cuando hace clic en el enlace que se encuentra junto a la casilla que le solicita que acepte los
Términos del servicio antes de poder iniciar la sesión.
Ayuda
El contenido de esta página se muestra al usuario como un mensaje de ayuda.
Cuerpo de correo electrónico
El texto que se incluye en el correo electrónico enviado con las credenciales del usuario tras registrarse, utilizado cuando el
registro por correo electrónico está activo. Estas son las variables que se pueden utilizar: $hotspot_name, $activation_link,
$rate_name, $username, $password, $amount, $price, $currency, $txn_id.
Cuerpo de correo electrónico de contraseña perdida
El texto que se incluye en el correo electrónico enviado con las credenciales del usuario, que se usa cuando
el usuario las ha perdido y selecciona la opción recuperación de contraseña por correo electrónico. Estas son
las variables que se pueden utilizar: $username, $password.
Todas las plantillas se pueden editar para cada idioma disponible en el Hotspot y pueden utilizar las variables predefinidas (consulte
estas tablas).
Texto e imágenes.
El contenido del portal, ya sean imágenes o texto, se puede modificar desde el editor, desde el que también es posible cargar imágenes
personalizadas, CSS y otros archivos. Para usar el editor, vaya a la sección Editar idiomas, elija Plantillas del portal en el menú
desplegable situado junto a la etiqueta Editar: y, a continuación, seleccione la plantilla entre las disponibles en el menú desplegable que
se muestra a continuación (con la etiqueta Plantilla):
Página de bienvenida: la página que ve todo usuario antes de conectarse.
Impresión de cuenta: el documento que se imprime y entrega al usuario con sus credenciales.
Términos del servicio: las reglas que deberá seguir el usuario durante el uso del Hotspot.
Ayuda: la página de ayuda y solución de problemas para el usuario.
Cuerpo de correo electrónico: el texto del mensaje de correo electrónico que se envía al usuario como confirmación de que
se ha creado una cuenta correctamente.
Cuerpo de correo electrónico de contraseña perdida: el texto del mensaje de correo electrónico que se envía al usuario como
recordatorio de sus credenciales de acceso al Hotspot.
En el editor de la parte inferior de la página se pueden documentos con texto e imágenes. Añadir imágenes y archivos personalizados
es, de hecho, muy sencillo. Coloque el cursor en el punto en el que desee insertar una imagen y, a continuación, haga clic en el botón
para abrir una ventana emergente llamada Propiedades de imagen. En la pestaña Información de la imagen se muestran dos
alternativas para insertar una imagen:
1. Proporcionar un hipervínculo a una imagen de la web en el campo de texto URL.
2. Hacer clic en el botón Examinar servidor para abrir un explorador de archivos y seleccionar una imagen existente en el
servidor o bien hacer clic en el botón Seleccionar archivo en la parte inferior de la página para seleccionar una imagen de la
estación de trabajo local y, a continuación, hacer clic en el botón Cargar.
Sugerencia:
los archivos cargados se almacenarán en el dispositivo Panda GateDefender en el directorio
/home/httpd/html/userfiles/. Los archivos personalizados también pueden cargarse directamente, por ejemplo,
a través de SSH de esa ubicación.
CSS
También pueden utilizarse archivos CSS personalizados. Cárguelos en el dispositivo Panda GateDefender y colóquelos en el directorio
/home/httpd/html/userfiles. Al igual que los archivos de imagen, pueden cargarse con el botón o a través de
SSH. El archivo se denominará:
hotspotcustom.css, la CSS utilizada para la interfaz de administración;
portalcustom.css, la CSS utilizada para el portal del Hotspot;
miniportalcustom.css, la CSS utilizada para el portal mini del Hotspot, es decir, el que tiene JavaScript desactivado y está
adaptado para dispositivos móviles.
Sugerencia:
los originales de estos archivos se pueden encontrar en el directorio /home/httpd/html/include y se denominan
hotspot.css, portal.css y miniportal.css, respectivamente. Se pueden usar como base para los personalizados.
Logotipo.
El logotipo que ven los usuarios en el portal puede reemplazarse utilizando los archivos CSS personalizados
portalcustom.css o miniportalcustom.css. Cargue el logotipo en el directorio
/home/httpd/html/userfiles (con un tamaño de aproximado de 80x20 píxeles) y, a continuación, modifique los
archivos CSS, por ejemplo:
div.logo img { display: none; }
div.logo { background-image: url('images/your-logo.png'); }
Nombre del Hotspot.
La operación para cambiar el nombre de dominio del portal debe hacerse manualmente desde la CLI. El acceso CLI al dispositivo Panda
GateDefender se puede activar en Barra de menú ‣ Sistema ‣ Acceso SSH (consulte la sección Acceder al dispositivo Panda
GateDefender para obtener instrucciones).
Advertencia:
para editar y modificar manualmente cualquier archivo de configuración desde la CLI se necesitan conocimientos del interior del
dispositivo Panda GateDefender, ya que una edición incorrecta de un archivo puede provocar la detención del servicio. Se recomienda
tener cuidado y guardar un backup de cualquier archivo antes de editarlo.
Para cambiar el nombre de host y el nombre de dominio del Hotspot, edite el archivo /var/efw/hotspot/settings
como raíz, utilizando, por ejemplo, el editor nano instalado, y busque las líneas, que son realmente definiciones de variables (los valores
que se muestran aquí son solo ejemplos):
HOTSPOT_HOSTNAME=hotspot
HOTSPOT_DOMAINNAME=ejemplo.com
Sustituya los valores a la derecha del signo igual (hotspot y ejemplo.com) por los personalizados.
Además, puesto que la conexión con el portal cautivo está cifrada, también es necesaria una configuración SSL válida, que equivale a
crear:
un certificado válido (es decir, ninguno autofirmado);
un archivo de claves privadas, no cifrado; y
un archivo que contenga la cadena de claves de SSL para el certificado.
Estos archivos se pueden crear en cualquier directorio, aunque como mejor práctica se recomienda copiar estos archivos en
/var/efw/hotspot/ también, a fin de garantizar que se incluyan en todos los backups de configuración. Una vez que
creados todos los certificados, también es necesario hacer que el motor del Hotspot se dé cuenta de su existencia, sobrescriba la
configuración de certificados predeterminada, editando otra vez el archivo /var/efw/hotspot/settings, y añada las
variables siguientes:
HOTSPOT_CERT=/<RUTA_PERSONALIZADA>/hotspot.ejemplo.com-cert.pem
HOTSPOT_KEY=/<RUTA_PERSONALIZADA>/hotspot.ejemplo.com-key.pem
HOTSPOT_CHAIN=/<RUTA_PERSONALIZADA>/hotspot.ejemplo.com-cabundle.pem
Recuerde reemplazar <RUTA_PERSONALIZADA> por la ruta completa a los tres certificados.
Por último, si no se necesita ningún archivo de cadena de claves de SSL, se puede asignar un valor vacío a la última variable de la
configuración anterior, como:
HOTSPOT_CHAIN=
Significado de las variables.
Esta es una referencia completa de las variables que se pueden utilizar al personalizar las cadenas del portal y las plantillas del portal
del Hotspot. Resultan útiles para redactar mensajes adaptados a cada usuario. Cuando una de estas variables aparezca en una plantilla,
se reemplazará por el valor correspondiente definido para esa cuenta. Las variables están agrupadas en tres tablas. La Tabla 1 contiene
las variables que se pueden usar en todas las plantillas del portal, la Tabla 2 contiene las variables que se pueden usar solo en la
plantilla Impresión de cuenta, y la Tabla 3 contiene las variables utilizadas en las cadenas del portal.
Tabla 1. Variables para todas las plantillas del portal.
Variable Se reemplazará por
$title El tratamiento del titular de la cuenta
$firstname El nombre del titular de la cuenta
$lastname El apellido del titular de la cuenta
$username El nombre de usuario de la cuenta
$password La contraseña de la cuenta
$rate_name El nombre de la tasa del ticket del Hotspot
$amount La cantidad de tráfico o tiempo disponible
$price El coste del ticket
$currency La divisa con la que se ha pagado el ticket
$txn_id El ID de la transacción
Las variables de la siguiente tabla se reemplazarán en la información de cuenta impresa con los valores especificados en los campos
correspondientes del Editor de cuenta.
Tabla 2. Variables para la plantilla del portal Impresión de cuenta.
Variable Se reemplazará por
$language El idioma del usuario
$birth_city La población o ciudad de nacimiento del usuario
$birth_date La fecha de nacimiento del usuario
$document_type El documento que identifica al usuario
$document_party
$document_id El ID del documento
$street La calle en la que reside el usuario
$country El país en el que vive el usuario
$city La población o ciudad en la que vive el usuario
$zip El código postal de la ciudad del usuario
Variable Se reemplazará por
$description La descripción de la cuenta
$static_ip
$external_id
$phonenumber El número de teléfono proporcionado por el usuario
$areacode
$email El correo electrónico del usuario
Variables para las cadenas del portal.
Variable Sustituido por [nº de cadena]
%(recovery_freq)s Con qué frecuencia se puede recuperar una contraseña nueva [4]
%(phonenumber)s El número de teléfono del usuario [9 42]
%(transaction_id)s El ID de la transacción [9 11 28 31 37 42 44 105 121]
%(email)s La dirección de correo electrónico del usuario [11 44 121]
%(grant_ticket_duration)s Los minutos de acceso gratuito a Internet [44 121]
%(seconds)s La cantidad de segundos que un usuario tiene que esperar [55 133]
%(home)s El enlace a la página de inicio del Hotspot [107]
Solo unas pocas cadenas del portal (14 de 123) contienen variables. Para esas 14 cadenas, es necesario que cada variable contenida
en la cadena original (por ejemplo, cadena #4 Solo puede hacer una solicitud cada %(recovery_freq)s.) esté incluida también en la
cadena traducida.
Las cadenas que contienen algunas variables (y cuáles) son las siguientes:
4 %(recovery_freq)s
9, 42 %(phonenumber)s y %(transaction_id)s
11 %(email)s y %(transaction_id)s
28, 31, 37, 105, %(transaction_id)s
44, 121 %(grant_ticket_duration)s, %(email)s y %(transaction_id)s
55, 113 %(seconds)s
107 %(home)s
Usuario del Hotspot
En esta sección se presenta una lista de los (super)usuarios del Hotspot, es decir, aquellos que pueden realizar diferentes tareas de
administración, y se dividen en dos grupos. Un Administrador del Hotspot puede administrar completamente la interfaz del Hotspot, pero
no puede acceder al menú principal del dispositivo Panda GateDefender, mientras que un Editor de cuentas del Hotspot solo puede
editar y activar o desactivar las cuentas de usuario del Hotspot proporcionando un nombre de usuario existente. Por lo tanto, un
administrador también tiene los privilegios de un Editor de cuentas, pero no a la inversa.
En esta página, hay una lista de usuarios que muestra el nombre, el grupo al que pertenecen y las acciones disponibles en las cuentas.
Existe una cuenta de administrador protegida y predeterminada, “hotspot”, que nunca se puede eliminar. Las acciones disponibles son
editar y eliminar la cuenta de usuario. Si se borra, se borrará el usuario de la lista, mientras que, si se edita, se abrirá el editor del
usuario (consultar más abajo). Cuando se edita un usuario del Hotspot, solo se puede cambiar su contraseña, pero no se pueden
modificar ni su nombre ni su grupo.
Un administrador tiene acceso a la página https://GREENIP:10443/admin/ y todas las secciones contenidas en ella, que se describen en
la sección Hotspot de esta guía. Por el contrario, un Editor de cuentas tiene acceso a la página del editor de información limitada que se
encuentra en https://GREENIP:10443/admin/infoedit/ y es una interfaz web sencilla. Aquí, el Editor de cuentas puede introducir un
nombre de usuario existente, cuya información de cuenta asociada se puede modificar.
Para añadir un usuario, simplemente haga clic en el enlace Añadir usuario encima de la lista. Se abrirá el cuadro Editor de usuarios, en
el que se pueden introducir todos los datos necesarios para la creación de un nuevo usuario.
Nombre de usuario
El nombre de usuario de la cuenta nueva.
Grupo
El grupo al que pertenece el nuevo usuario. El menú desplegable permite elegir entre los dos grupos disponibles, Editor de
cuentas del Hotspot y Administrador del Hotspot.
Contraseña, Contraseña (confirmar)
La contraseña para el usuario que se debe introducir dos veces como confirmación.
Acceso de clientes al Hotspot
En esta sección se describe la interfaz de usuario del Hotspot, la que ven los clientes cuando se conectan por conexión inalámbrica al
Hotspot. El administrador del Hotspot puede personalizar la apariencia y los ajustes del portal en Barra de menú ‣ Hotspot ‣ Interfaz de
administración ‣ Configuración.
Antes de poder navegar por Internet, el usuario debe acceder al Hotspot e iniciar sesión en él. Para ello, no es necesario instalar ningún
software, puesto que basta con ejecutar un explorador e intentar abrir cualquier página web: el explorador se redirigirá al portal del
Hotspot, en el que usuario puede iniciar sesión, registrar una nueva cuenta de Hotspot o iniciar sesión directamente y navegar por
Internet. El Hotspot puede proporcionar al cliente diferentes tipos de portales, por lo que el cliente verá, en función del dispositivo
utilizado, el portal para dispositivos móviles, el utilizado para exploradores sin JavaScript, o uno genérico para cualquier otro tipo de
dispositivo.
Nota:
desde la versión 2.5, si el Hotspot está configurado en modo de usuario, no se exige al usuario que se autentique.
La página de inicio de sesión se compone de dos secciones: a la izquierda se puede elegir el idioma de la interfaz en un menú
desplegable y leer un mensaje informativo. La sección de la derecha es el formulario de inicio de sesión, en el que el usuario puede
iniciar sesión, registrar una nueva cuenta o comprar un nuevo ticket.
Existen dos versiones del formulario de inicio de sesión: una para el acceso de invitados y otra para el acceso de usuarios registrados.
La primera solo funciona cuando se ejecuta ASA en el Hotspot y abarca las siguientes opciones:
No soy un invitado
Al hacer clic en este botón, se muestra el formulario de inicio de sesión para usuarios registrados, cuyas opciones aparecen
más adelante.
Apellido
El apellido del invitado.
Nombre
El nombre del invitado.
Fecha de nacimiento
La fecha de nacimiento del invitado, con formato DD.MM.AAAA. (Ejemplo: el 5 de febrero de 1980 se convierte en
05.02.1980).
Inicio de sesión
Tras proporcionar la información necesaria, haciendo clic en este botón podrá acceder al Hotspot.
El formulario de inicio de sesión para usuarios registrados muestra las siguientes opciones.
Nombre de usuario
El nombre de usuario del usuario.
Contraseñas
La contraseña del usuario.
Registrar una cuenta nueva
Los usuarios no registrados pueden crear una nueva cuenta para navegar por Internet. Esto solo está permitido cuando se
ejecuta SmartConnect™ en el Hotspot. El procedimiento para la configuración de una cuenta nueva puede consultarse a
continuación.
Añadir ticket
El usuario puede comprar un ticket, un requisito obligatorio para acceder al Hotspot. Esta opción también está disponible
cuando SmartConnect™ está activado.
Inicio de sesión
Tras proporcionar las credenciales de inicio de sesión, haciendo clic en este botón podrá acceder al Hotspot.
Si el Hotspot está configurado para aceptar los Términos del servicio, después de hacer clic en el botón Inicio de sesión, se abrirá una
ventana con un botón en la parte inferior de la ventana:
Acepto los términos del servicio
Al hacer clic en este enlace, se abrirá una ventana con los términos del servicio.
Registrar una cuenta nueva
Tras hacer clic en el nuevo botón Registrar una cuenta nueva, se abrirá un asistente de cuatro pasos para configurar y activar una
cuenta nueva del Hotspot. En el primer paso, se crea la cuenta de usuario. Para crearla correctamente, los siguientes datos son
obligatorios:
Nombre, Apellido
El nombre y el apellido del usuario.
Calle, Código postal, Ciudad, País
La dirección, el código postal, la ciudad y el país de residencia del usuario.
Número de teléfono para recibir el nombre de usuario y la contraseña
El código de país del número de teléfono del usuario, elegido entre los disponibles en el menú desplegable, seguido del
número de teléfono real del usuario.
Confirmar número de teléfono
Vuelva a introducir el número de teléfono como confirmación.
También es necesario marcar la casilla situada junto al enlace Acepto los términos del servicio para crear la cuenta. Al hacer clic en el
enlace, se abrirá una ventana con los términos del servicio, que se pueden leer antes de aceptarlos.
Cuando se hayan introducido todos los datos, haciendo clic en el botón Registrarse de la parte inferior derecha del formulario se iniciará
el segundo paso. Después de registrarse, se le enviará un SMS con el nombre de usuario y la contraseña, que autorizará el inicio de
sesión en el Hotspot.
En el segundo paso, se puede seleccionar un ticket en un menú desplegable que se asociará a la cuenta y permitirá utilizar el Hotspot
para acceder a Internet. En función de la configuración del Hotspot, podrá elegir solo entre tickets gratuitos o también entre tickets de
prepago o postpago. Para cada ticket disponible, se mostrarán el nombre, la duración y el coste. Para que esta opción funcione, se debe
activar SmartConnect™ en el Hotspot y se deben configurar los pagos a través de PayPal.
Después de seleccionar un ticket, haga clic en el botón Continuar para proceder al tercer paso.
Nota:
aunque no hay límite en la compra de tickets de prepago y postpago, no se permite tener tickets basados en tiempo y en tráfico al
mismo tiempo. En otras palabras, un cliente que posea uno o más tickets válidos basados en tiempo, no podrá comprar ningún ticket
basado en tráfico hasta que se consuman o caduquen todos los tickets válidos basados en tiempo asociados a la cuenta. Lo mismo
sucede con los tickets basados en tráfico: se deben utilizar todos o deben caducar antes de poder comprar un ticket basado en tiempo.
En el tercer paso, al elegir un ticket para el que sea necesario efectuar un pago, se redirigirá al usuario al sitio web de PayPal, donde
deberá proporcionar los datos necesarios para la transacción y realizar la compra del ticket con una tarjeta de crédito o con una cuenta
de PayPal. Por el contrario, si se ha seleccionado un ticket gratuito, este paso simplemente se omitirá y el proceso continuará en el
cuarto paso.
En el cuarto paso aparecerá un mensaje para informar de que el registro se ha efectuado correctamente o se mostrará un mensaje de
error si se ha producido un error en alguna parte del proceso de registro. En cualquier caso, también se mostrará la cadena ID de
transacción. El ID de la transacción se debe anotar para futuras referencias o para utilizarlo en caso de que surja algún problema
durante el proceso de registro o si se produjera algún problema durante la conexión. Si se da el caso anterior, póngase en contacto con
un administrador del Hotspot rápidamente para completar el registro y obtener las credenciales de inicio de sesión.
Inicio de sesión
Al iniciar la sesión tras proporcionar el nombre de usuario y la contraseña, un panel informativo de la página mostrará varios detalles
acerca del estado de la conexión. Esta página debe permanecer abierta: si se cierra, la sesión finalizará inmediatamente y se deberá
realizar un nuevo inicio de sesión para acceder al Hotspot. En la página se muestra la información siguiente:
Tiempo restante
El tiempo total que falta por consumir. Cuando se utiliza un ticket basado en el tráfico, aparece la cadena sin límite.
Tiempo de la sesión
La duración de la sesión actual.
Tráfico restante
La cantidad de tráfico disponible en MB o GB del ticket actual. Cuando se utiliza un ticket basado en tiempo, aparece la
cadena sin límite.
Tráfico de la sesión
La cantidad de datos que se han intercambiado durante la navegación. Se proporciona una cantidad total, así como las
cantidades de datos descargados y cargados entre corchetes.
Tiempo de espera de inactividad
Una cuenta atrás que muestra el tiempo de espera de inactividad del dispositivo, es decir, el tiempo transcurrido desde la
última actividad entre el dispositivo y el Hotspot. Cuando la cuenta atrás llegue a 0, el dispositivo se desconectará
automáticamente.
Hora de inicio de la sesión
La marca de tiempo de la hora de inicio de la sesión.
Deshabilitar el inicio de sesión automático
Si esta casilla está marcada, el usuario tendrá que autenticarse al restablecer la conexión, con independencia de la configuración de
SmartLogin. En caso contrario, si la casilla no está marcada, el usuario no tendrá que autenticarse al volver a conectarse al Hotspot.
Nota:
esta opción solo aparece si el administrador del Hotspot ha activado la funcionalidad SmartLogin.
En la parte inferior del panel aparecerán dos botones.
Empezar a navegar
Al hacer clic en este botón, situado en la parte izquierda, se abrirá una nueva pestaña en el explorador, que llevará a la
página de inicio del Hotspot.
Cerrar sesión
Al hacer clic en este botón, se cerrará la sesión del Hotspot inmediatamente.
Añadir ticket
Antes de acceder al Hotspot y a Internet, el usuario debe poseer un ticket válido. El procedimiento para comprar un ticket es el mismo
que el que se describe en el segundo paso y en el tercer paso del proceso de registro.
El menú Registros e Informes El menú Registros e informes
La sección de registros del dispositivo Panda GateDefender permite ver exhaustivamente los registros y administrarlos.
El submenú situado en el lateral izquierdo de la pantalla contiene los siguientes elementos:
Panel de control: el nuevo módulo de generación de informes
Registros en tiempo real: permite acceder a una vista rápida y en vivo de las últimas entradas de los registros a medida que
se generan
Resumen: permite acceder a resúmenes diarios de todos los registros
Sistema: registros del sistema (/var/log/messages) filtrados por origen y fecha
Servicio: registros del sistema de detección de intrusiones (IDS, por sus siglas en inglés), OpenVPN y el antivirus
Firewall: registros de reglas de iptables
Proxy: registros de los proxies de HTTP, SMTP y filtro de contenido
Configuración: personalización de todas las opciones de registro
Servidor de timestamps seguros: fija marcas de tiempo en los archivos de registros para verificar que no han sido alterados
En resumen, existen dos modalidades para acceder al registro desde la GUI: en vivo y “por servicio”. En el modo en vivo, los archivos de
registro se visualizan en cuanto se crean, mientras que en el modo “por servicio” solo se muestran registros producidos por un demonio
o servicio.
Panel de control
La GUI de generación de informes es un nuevo módulo, introducido en la versión 5.50, cuyo propósito es mostrar gráficamente la
existencia de diversos tipos de eventos en el sistema.
Resumiendo, el módulo de generación de informes muestra eventos ocurridos en el dispositivo Panda GateDefender utilizando
diferentes widgets y gráficos. Todos los eventos que se producen en el sistema y la información referente a ellos registrada por el
demonio syslog se analizan y se utilizan para rellenar una base de datos sqlite3. Desde aquí, los datos se recopilan según las opciones
y los filtros aplicados en la GUI y son mostrados por los widgets.
Nota:
este módulo está ligeramente vinculado a las Notificaciones de eventos situadas en Barra de menú ‣ Sistema ‣ Notificaciones de
eventos. Todos los eventos registrados ahí, y en relación con los cuales se envían alertas por SMS o correo electrónico, también
aparecen aquí, pero no sucede lo mismo a la inversa.
Esta página se divide en seis pestañas: Resumen, Sistema, Web, Correo no deseado, Ataquesy Virus. Excepto por la primera pestaña,
que muestra una vista general de todos los eventos, cada una de ellas está dedicado a un servicio preciso que se ejecuta en el
dispositivo Panda GateDefender.
Elementos comunes
Todas las pestañas comparten el mismo diseño: debajo de las pestañas, hay un selector de fecha en el lado izquierdo y un botón
Imprimir en el lado derecho. A continuación, hay un gráfico de líneas con una barra de desplazamiento horizontal justo debajo, encima
de un cuadro informativo (Cuadrícula resumen) y un gráfico circular. En la parte inferior hay una o más tablas, dependiendo de la
pestaña y los datos mostrados. La tabla que está siempre presente es la que muestra los mensajes syslog relacionados con los eventos
mostrados.
Más detalladamente, aquí se incluye una descripción de todos los widgets presentes en el módulo de generación de informes.
Selector de fecha
En la parte superior izquierda de la GUI hay un hipervínculo que muestra el intervalo en el que se produjeron los eventos que
han sido considerados para los gráficos. Al hacer clic en él, un panel pequeño da acceso a otras opciones de intervalos.
Existen dos tipos de opciones: la primera está relacionada con los eventos que han tenido lugar en los ... últimos días, a
saber eventos del último día, semana, mes, trimestre o año; la segunda selecciona todos los eventos que se hayan
producido en uno de los 12 últimos meses. Al seleccionar un nuevo periodo de tiempo, los demás widgets también se
actualizan. También existe la posibilidad de no cambiar el intervalo mostrado, haciendo clic en Cancelar.
Imprimir
Al hacer clic en este botón se muestra una vista previa de impresión de la página actual, en la que el botón Atrás reemplaza
al botón Imprimir y abre una ventana emergente en la que puede elegir el dispositivo de impresión.
Gráfico de líneas y deslizador de tiempo.
El gráfico de líneas muestra el evento ocurrido en el dispositivo Panda GateDefender durante el periodo de tiempo seleccionado en un
gráfico bidimensional, en el que el eje x muestra el intervalo de tiempo y el eje y muestra el número de repeticiones. Una línea de color
conecta eventos del mismo tipo.
Sugerencia:
los diferentes tipos de evento se indican con distintos colores.
El deslizador de tiempo está ubicado debajo del gráfico y muestra, dentro del periodo de tiempo seleccionado, una vista más detallada
de los eventos, representados aquí como histogramas. De hecho, se puede hacer clic en los dos extremos grises a izquierda y derecha
del deslizador y arrastrarlos para reducir el tiempo mostrado en el gráfico de líneas. Cuando se reduce, el deslizador también puede
moverse haciendo clic en el centro y arrastrándolo a la izquierda o la derecha.
Cuadrícula resumen
La cuadrícula resumen tiene un doble finalidad: por un lado, mostrar el número de repeticiones de los diversos tipos de eventos que se
han producido en el dispositivo Panda GateDefender en el periodo seleccionado y, por otro, filtrar qué tipo de eventos se muestran en el
gráfico de líneas. Su contenido cambia según las pestañas en las que se encuentra, es decir, según los tipos de eventos registrados. La
cuadrícula resumen no está presente en las pestañas Correo, Ataquesy Virus, en las que se sustituye por una serie de tablas con
detalles sobre los eventos.
Gráfico circular
El diagrama de gráfico circular muestra gráficamente el número de eventos que han tenido lugar en el periodo de tiempo seleccionado.
Desde la pestaña Resumen, se puede hacer clic en cada sector para abrir la pestaña correspondiente al tipo de evento y mostrar una
representación más detallada.
Tabla syslog
Una tabla que muestra los mensajes syslog extraídos de los archivos de registro y relacionados con los eventos mostrados en los
gráficos. Cuando la tabla contiene muchos mensajes, estos se dividen en muchas páginas y pueden visualizarse utilizando los botones y
los números que hay en su lado inferior izquierdo. En la parte inferior derecha hay un icono que permite actualizar el contenido de la
tabla.
Resumen
La pestaña Resumen muestra una visión general de todas las categorías de eventos registrados en el dispositivo Panda GateDefender.
La cuadrícula resumen permite filtrar los siguientes tipos de eventos:
Sistema (verde). Número de inicios de sesión y otros eventos relacionados con las tareas de administración del sistema (por
ejemplo: enlaces activos, cambio de estado, inicio y cese del registro, etc.).
Correo (gris oscuro). Cantidad de correo electrónico no deseado recibido.
Web (azul). Número de páginas bloqueadas por el filtro de contenido.
Virus (rojo). Número de virus encontrados.
Intentos de intrusión (amarillo). Eventos registrados por el IPS.
Cada categoría puede mostrarse por separado, con más información y un nivel superior de detalles en las demás pestañas de la página;
véase más adelante.
Sistema
La pestaña Sistema muestra todos los eventos que están relacionados con la eficiencia y la administración del sistema. Estos son todos
los eventos mostrados:
Enlace activo (rojo). Las veces que los enlaces activos se conectan o se desconectan.
Estado (gris oscuro). Cambios en el estado del dispositivo Panda GateDefender.
Inicio de sesión (azul). El número de inicios de sesión, tanto correctos como incorrectos.
Disco (amarillo). Eventos relacionados con E/S de disco.
Actualización (verde). Eventos que conllevan una actualización del sistema o de paquetes.
Soporte (gris claro). Número de accesos y operaciones realizados por el equipo de soporte.
Al hacer clic en el icono pequeño a la izquierda de cada categoría de evento, se oculta el resto de las categorías, mientras que la actual
aparece más detallada y el gráfico circular está actualizado.
Web
La pestaña Web muestra el número de páginas que ha bloqueado el motor de filtrado de URL. La cuadrícula resumen está compuesta
por dos pestañas: Informe de accesos e Informe de filtros. La primera muestra las URL bloqueadas divididas por Dirección IP de origen,
URL y Usuarios que se han bloqueado, y el recuento total para cada elemento, cada uno en una tabla.
La segunda pestaña muestra en la primera tabla las siguientes categorías, que son las que se encuentran en Filtro web (véase Barra de
menú ‣ Proxy ‣ HTTP ‣ Filtro web).
Uso general (verde).
Control parental (amarillo).
Productividad (azul).
Seguridad (rojo).
Sitios sin categoría (gris oscuro).
Como en el caso de la pestaña Sistema, al hacer clic en el icono pequeño a la izquierda de cada categoría de evento, se oculta el resto
de las categorías, mientras que la actual aparece más detallada y el gráfico circular está actualizado.
El resto de las tablas de la parte inferior muestran los recuentos de todos los objetos bloqueados: las Direcciones IP de origen, las URL
y los Usuarios.
Correo
La pestaña Correo muestra todos los mensajes bloqueados como spam.
No hay ninguna cuadrícula resumen en esta pestaña, que queda reemplazada por tres tablas que muestran los recuentos de:
De. Los emisores de mensajes de spam.
Para. Los receptores de mensajes de spam.
Dirección IP de origen. La dirección IP desde la que se ha enviado el mensaje de spam.
Intentos de intrusión
La pestaña Intentos de intrusión muestra todas las tentativas de intrusión detectadas por el IPS (véase Barra de menú ‣ Servicios ‣
Prevención de intrusiones).
Las tablas de la parte inferior muestran recuentos de la siguiente información:
Intentos de intrusión. Las categorías en las que se clasifica cada intento.
Dirección IP de origen. La dirección IP desde la que se ha originado el ataque.
Dirección IP de destino. La dirección IP contra la que se ha lanzado el ataque.
Virus
La pestaña Virus muestra todos los virus interceptadas por el motor de antivirus (véase Barra de menú ‣ Servicios ‣ Motor de antivirus).
Las tablas de la parte inferior muestran recuentos de la siguiente información:
Nombre del virus. El nombre del virus encontrado.
Dirección IP de origen. La dirección IP donde el virus se encontraba originalmente.
Dirección IP de destino. La dirección IP a la que se ha propagado el virus.
Conexiones
La pestaña Conexiones muestra el número medio de conexiones iniciadas por los usuarios del dispositivo Panda GateDefender,
agrupadas por:
Conexiones locales. Accesos a través de SSH o consola.
Usuarios del Hotspot. Usuarios que acceden al Hotspot.
Usuarios de IPsec. Clientes conectados a través de IPsec.
Usuarios de OpenVPN. Clientes conectados mediante VPN.
Monitorización de tráfico
El software ntopng es el sucesor del analizador de tráfico de red ntop, que añade una interfaz más intuitiva y más representaciones
gráficas del tráfico que fluye a través del dispositivo Panda GateDefender.
La interfaz de administración de ntopng ofrece ahora más usabilidad y se puede acceder a ella fácilmente desde cualquier explorador.
Por lo tanto, se ha integrado mejor con la interfaz del dispositivo Panda GateDefender que en versiones anteriores.
Las capacidades de ntopng se pueden resumir de la siguiente forma:
Supervisión en tiempo real de cada interfaz de red del dispositivo Panda GateDefender.
Interfaz de administración accesible por web.
Menos recursos necesarios en comparación con ntop.
Integración de nDPI (firewall de la aplicación).
Análisis del tráfico según diferentes parámetros (protocolo, origen/destino).
Exportación de informes en formato JSON.
Almacenamiento de las estadísticas de tráfico en el disco.
La GUI de ntopng se organiza en cuatro pestañas: Panel de control Flujos, Hosts e Interfaces. Además, también existe un cuadro de
búsqueda para mostrar rápidamente información sobre un host específico.
En el pie de página de cada pestaña, se muestran un par de datos. Además de un aviso de copyright y un enlace a la página principal
de ntop, hay un gráfico que muestra el tráfico de red durante los 20 últimos segundos, actualizado en tiempo real, y algunos datos
numéricos sobre el ancho de banda actual utilizado, el número de hosts y flujos y el tiempo en línea del dispositivo Panda GateDefender.
Panel de control
El panel de control muestra todas las conexiones que interesan al dispositivo Panda GateDefender, es decir, todos los Flujos
establecidos en los que participa el dispositivo Panda GateDefender.
La página se divide en varios diagramas. El primero (llamado diagrama Sankey) muestra todos los flujos que pasan por el dispositivo
Panda GateDefender actualizados en tiempo real. Los flujos horizontales muestran el tráfico entre dos hosts, mientras la anchura
vertical de cada flujo es proporcional al ancho de banda utilizado por cada uno, es decir, a la cantidad de datos que fluye. Las
conexiones y, por tanto, el sentido de los datos enviados aparecen de izquierda a derecha. Los hosts del lado izquierdo del diagrama
envían datos a hosts del lado derecho y se identifican por su dirección IP o nombre del host. Al hacer clic en un host, se llega a la página
Información general de la pestaña Hosts, que muestra varios datos acerca de ese host.
Debajo del diagrama Sankey, cuatro gráficos circulares informativos muestran en porcentaje los elementos que generan más tráfico,
divididos en: total por host (parte superior izquierda); protocolos de aplicación (parte superior derecha), ASN (parte inferior izquierda) y
emisores de flujo en vivo (parte inferior derecha).
Flujos
La pestaña de flujos activos contiene una tabla grande con cierta información sobre los flujos activos:
Información. Un clic en el icono abre una página nueva en la que se muestra información más detallada sobre ese flujo.
Aplicación. La aplicación que provoca el flujo. Se usa nDPI para reconocer la aplicación, por lo que podría ser necesario esperar a un
par de paquetes para que muestre la aplicación correcta. En este caso, el mensaje (Demasiado pronto) aparece en lugar del nombre
de la aplicación.
L4 Proto. El protocolo de red usado por el flujo, que suele ser TCP o UDP.
Cliente. El nombre del host y el puerto utilizados por el flujo en el lado del cliente. Al hacer clic en el nombre del host o en el puerto, se
mostrará más información en una página nueva sobre el tráfico de red que fluye por ese host o puerto.
Servidor. El nombre del host y el puerto utilizado por el flujo en el lado del servidor. Igual que en el caso del Cliente explicado
anteriormente, se muestra más información cuando se hace clic en el nombre del host o en el puerto.
Sugerencia:
al hacer clic en el nombre del host o en el puerto, la tabla muestra información detallada al respecto y abre una subpestaña en la
pestaña Hosts.
Duración. La duración de la conexión.
Desglose. El porcentaje de tráfico generado por el cliente y el servidor.
Rendimiento. La cantidad de datos actualmente intercambiados entre el cliente (en la parte izquierda, en negro) y el servidor (a la
derecha, en verde).
Número total de bytes. El total de datos intercambiados desde que se establece la conexión.
En la parte inferior izquierda de la tabla se indica el número total de filas mostradas, mientras que en la parte derecha es posible
examinar las distintas páginas en las que se divide la tabla cuando el número de filas es mayor que la paginación.
Un clic en el icono Información dará información detallada sobre ese flujo concreto. Además de los datos descritos anteriormente, se
muestran estos otros datos:
Visto por primera vez. La marca de tiempo del momento en el que se ha establecida la conexión, junto con el tiempo que ha
pasado desde entonces.
Visto por última vez. La marca de tiempo en que la conexión estuvo activa por última vez y el tiempo transcurrido desde ese
momento.
Tráfico de Cliente a servidor. El número de paquetes y bytes enviados del cliente al servidor.
Tráfico de Servidor a cliente. El número de paquetes y bytes enviados del servidor al cliente.
Flags TCP. Los estados de TCP del flujo actual.
Es posible volver a la lista de flujos haciendo clic en el hipervínculo Flujos en la parte izquierda, justo encima de la tabla.
Hosts
La pestaña Hosts permite ver varios detalles sobre las partes que participan en un flujo: host, puerto, aplicación, flujos y su duración,
datos intercambiados, etc.
Hay dos representaciones disponibles: Lista de hosts y Hosts principales (locales)
La representación de la Lista de hosts muestra información sobre todos los hosts que participan en algún flujo con el dispositivo Panda
GateDefender y los siguientes datos sobre ellos:
Dirección IP. La dirección IP o la dirección MAC del host. La segunda se muestra si la asignación DHCP para ese host ha
caducado.
Ubicación. Si el host está en la red local o en una red remota.
Nombre simbólico. Si está disponible, es el nombre de host del host.
Visto desde. La marca de tiempo de la primera conexión establecida.
ASN.
Desglose. El equilibrio entre el tráfico enviado y el recibido.
Tráfico. La cantidad de datos intercambiados por el host.
Al hacer clic en la dirección IP, se abre una descripción general del host que muestra varios datos sobre él, además de los indicados
anteriormente:
Visto por última vez. La marca de tiempo en que la conexión estuvo activa por última vez y el tiempo transcurrido desde ese
momento.
Desglose del tráfico enviado frente al tráfico recibido. El tráfico generado o recibido por el host.
Tráfico enviado. El número de paquetes y bytes enviados del cliente al servidor.
Tráfico recibido. El número de paquetes y bytes enviados del servidor al cliente.
JSON. Descarga información acerca del host en formato JSON.
Mapa de actividad. Cuántos flujos han visto el host que participa en una marca de tiempo determinada. Cada cuadrado
muestra un minuto. Cuanto más oscuro es el color, más flujos han tenido lugar en ese minuto.
Desde aquí también es posible abrir otras pestañas informativas sobre ese host. Cada pestaña contiene uno o más gráficos circulares
(excepto las pestañas Contactos e Histórico) que se presenta encima de un resumen textual de los datos mostrados.
Tráfico. El protocolo de red utilizado por el host. (TCP, UDP e ICMP son los más comunes).
Paquetes. La longitud en paquetes de cada flujo. (Nota: es mi suposición).
Protocolos. El protocolo de aplicación utilizado por el host.
Flujos. La tabla con todos los flujos de red de los hosts.
Talkers. El diagrama Sankey de las conexiones, muy similar a la que se muestra en el panel de control, que, sin embargo, solo
muestra los flujos más activos.
Contacto. Esta pestaña es ligeramente distinta a las demás. En la parte superior muestra un mapa de interacción y en la parte inferior,
una lista de conexiones que tienen el host como cliente o destinatario.
Histórico. Un gráfico interactivo que muestra el historial del
tráfico que ha fluido desde y hacia el host en un intervalo de tiempo determinado (hasta un año), que puede seleccionarse encima del gráfico.
La representación de Hosts principales (locales) muestra un gráfico en tiempo real de los hosts que tienen conexiones activas en el host.
Muestra los 30 últimos minutos.
Interfaces
La pestaña Interfaces permite seleccionar la interfaz de red, entre las activas, cuyo tráfico debe mostrarse.
Nota:
actualmente no es posible seleccionar flujos ni hosts de distintas interfaces
En vivo
Al entrar en la sección Registros o hacer clic en la entrada En vivo en el submenú, aparece el Visor de registros en tiempo real, un
cuadro que muestra la lista de todos los archivos de registro disponibles para ver en tiempo real. Seleccionando las casillas
correspondientes, se pueden elegir todos los registros que se deseen ver, que aparecerán en una nueva ventana al hacer clic en el
botón Mostrar registros seleccionados. Para ver todos los archivos de registro a la vez, seleccione la casilla Seleccionar todos encima
del botón Mostrar registros seleccionados y, a continuación, haga clic en este último botón. Para ver un solo archivo, haga clic en el
enlace Mostrar solo este registro.
La ventana que se abre contiene dos cuadros, Configuración en la parte superior y Registros en tiempo real en la parte inferior.
Advertencia:
la lista de entradas de registros puede resultar ilegible si se muestran muchos registros, puesto que puede haberse generado una gran
cantidad de entradas de registros (especialmente por el registro del firewall o el proxy, que puede generar varias entradas de registro
por segundo en caso de mucho tráfico). En estos casos, los registros que se mostrarán pueden configurarse en el cuadro Configuración.
Configuración
Este cuadro permite modificar la configuración del visor de registros, lo que incluye qué archivos de registro se mostrarán, su color y las
opciones para destacar o buscar palabras clave específicas.
A la derecha del cuadro aparece la lista de registros que se muestran en ese momento y el color con el que aparecen destacados,
mientras que a la izquierda se muestran algunos elementos de control adicionales que ayudan a limitar la salida:
Filtro
Solo se muestran las entradas de registro que contienen la expresión introducida en este campo.
Filtro adicional
Igual que el filtro anterior, pero aplicado a la salida del primer filtro. En otras palabras, en el registro solo se muestran las
entradas de registro que contienen ambas expresiones.
Pausar salida
Hacer clic en este botón impedirá que aparezcan nuevas entradas de registro en el registro en tiempo real. No obstante, al
hacer clic en este botón por segunda vez, todas las entradas nuevas aparecerán al instante y desplazarán rápidamente las
anteriores.
Destacar
Todas las entradas de registro que contienen esta expresión se destacarán con el color elegido. La diferencia con la opción
de filtro es que todavía se muestra todo el contenido y las entradas de registro que contienen la expresión estarán
destacadas con un fondo de color.
Color de destacado
Hacer clic en el recuadro de color ofrece la posibilidad de seleccionar el color que se utilizará para destacar.
Desplazamiento automático
Esta opción solo se encuentra disponible si la opción Ordenar por orden cronológico inverso en la sección Barra de menú ‣
Registros ‣ Configuración está desactivada. Esto hace que todas las entradas nuevas aparezcan al pie de la página. Si se
activa esta opción, la lista se desplaza hacia arriba para mostrar las últimas entradas al pie de la página. De lo contrario, solo
se muestran las entradas más antiguas y se debe utilizar la barra de desplazamiento de la derecha para ver las nuevas.
Para añadir o eliminar algún registro de la pantalla, haga clic en el enlace Mostrar más debajo de la lista de archivos de registro de la
parte superior derecha. Los controles se reemplazarán por una tabla desde la cual se pueden seleccionar los archivos de registro
deseados marcando o desmarcando sus respectivas casillas. Para cambiar el color de un archivo de registro, haga clic en la paleta de
colores de ese tipo de registro y, a continuación, seleccione un color nuevo. Para ver los controles otra vez, haga clic en uno de los
enlaces Cerrar debajo de la tabla o de la lista de los archivos de registro mostrados.
Registros en tiempo real
Los registros seleccionados para su visualización aparecen en este cuadro, que consiste en una tabla dividida en tres columnas.
Columna izquierda
Esta columna contiene el nombre del registro, es decir, el demonio o servicio que genera la entrada del registro.
Columna central
La marca de tiempo (fecha y hora) del evento que se ha registrado.
Columna derecha
El mensaje real generado por el servicio o demonio y registrado en los archivos de registro.
Nota:
algunos mensajes de registro (especialmente entradas del firewall) abarcan más de una línea, lo que se indica mediante el botón a
la derecha del mensaje. Para mostrar todo el mensaje, haga clic en él o en el botón.
Por último, también existe la posibilidad de aumentar o disminuir el tamaño de la ventana haciendo clic en los botones Aumentar altura o
Disminuir altura, respectivamente, que están situados en el encabezado del cuadro.
Acciones comunes
Las entradas Sistema, Servicio, Firewall y Proxy del submenú muestran archivos de registro para diferentes servicios y demonios,
agrupados por características similares. Hay varios controles disponibles para buscar dentro del registro, o ver solo algunas entradas del
registro, muchas de las cuales son las mismas en todos los servicios y demonios; solo el elemento del menú Sistema y la pestaña
Informe de HTTP bajo Proxy tienen algunos controles adicionales. Estas entradas del submenú también tienen una estructura común de
sus páginas, organizadas en dos cuadros: Configuración en la parte superior y Registro en la parte inferior.
Filtro
Solo se muestran las líneas que contienen la expresión introducida.
Ir a la fecha
Muestra directamente las entradas de registro para esta fecha.
Ir a página
Muestra directamente las entradas de registro de esta página en los resultados. La cantidad de entradas mostradas por
página se puede modificar en la página Barra de menú ‣ Registros ‣ Configuración.
Actualizar
Después de cambiar cualquiera de las configuraciones anteriores, hacer clic en este botón actualiza el contenido de la
página. Esta página no se actualiza automáticamente.
Exportar
Al hacer clic en este botón las entradas de registro se exportan a un archivo de texto.
Firmar registro
Al hacer clic en este enlace, se firma el registro actual. Este botón solo está disponible si está activado Servidor de
timestamps seguros.
Anterior, Nuevo
Estos dos botones se encuentran en el cuadro Registro y aparecen cada vez que la cantidad de entradas es tan grande que
se divide en dos o más partes. Al hacer clic en ellos, permiten explorar entradas anteriores o más nuevas de los resultados
de la búsqueda.
Nota:
un mensaje en la parte superior de la página indica si no hay registros disponibles en una fecha determinada. Esto puede suceder si el
demonio o servicio no se ejecutaron o si no generaron ningún mensaje.
En el resto de esta sección, se presentan todos los servicios y sus configuraciones particulares.
Resumen
Esta página presenta resúmenes de los registros generados por el dispositivo Panda GateDefender, separados por día y generados por
el software de monitorización logwatch. A diferencia de otras partes de la sección de registro, tiene sus propias configuraciones para
controlar el nivel de los detalles mostrados. Los siguientes elementos de control están disponibles en el primer cuadro en la parte
superior de la página.
Mes
Selecciona desde este menú desplegable el mes en el que se generaron los mensajes de registro.
Día
El segundo menú desplegable permite elegir el día en el que se generaron los mensajes de registro.
<<, >>
Permiten explorar el historial, moverse de un día (o parte de él si se han generado demasiados mensajes) a otro. El
contenido de la página se actualizará automáticamente.
Actualizar
Actualiza inmediatamente el contenido de la página cuando se ha cambiado la combinación mes/día.
Exportar
Al hacer clic en este botón, aparece una versión de texto del resumen y se puede guardar en el sistema de archivos local.
Debajo del cuadro Configuración, aparece una cantidad variable de cuadros, según los servicios activos que tienen entradas de registro.
Como mínimo debe estar visible el cuadro Espacio de disco, que muestra el espacio de disco disponible en la fecha seleccionada.
También pueden aparecer otros cuadros, como Sufijo (lista de correos) y Firewall (paquetes aceptados y eliminados).
Observe que los resúmenes no están disponibles para el día actual, puesto que se crean cada noche a partir de los archivos de registro
generados el día anterior.
Sistema
En esta sección aparece el visor de registros para los varios archivos de registro del sistema. El cuadro superior, Configuración, define
los criterios para mostrar las entradas en el cuadro inferior. Junto a las acciones comunes, hay un control adicional disponible:
Sección
Permite seleccionar el tipo de registro que debe aparecer, Todos o solo los relacionados con un servicio o demonio
determinados. Entre otros, incluyen mensajes de kernel, acceso SSH, NTP y demás.
Después de elegir la sección, haga clic en el botón Actualizar para actualizar los registros que aparecen en el cuadro Registro al pie de
la página, donde los botones Anterior y Nuevo permiten navegar por las páginas.
Servicio
En esta sección aparecen las entradas de registro para tres de los servicios más importantes proporcionados por el dispositivo Panda
GateDefender: IDS, OpenVPN, y el antivirus Panda, cada uno en su propia pestaña. Solo se encuentran disponibles las acciones
comunes.
Firewall
El visor de registros de firewall contiene los mensajes que registran las actividades del firewall. Solo se encuentran disponibles las
acciones comunes.
La información que se muestra en la tabla es:
Hora
La marca de tiempo en que el mensaje se ha generado.
Cadena
La cadena a través de la cual ha pasado el paquete.
Interfaz
La interfaz por la que ha pasado el paquete.
Proto
El prototipo del paquete.
Origen, Puerto de origen
La dirección IP y el puerto desde donde ha llegado el paquete.
Dirección MAC
La dirección MAC de la interfaz de origen.
Destino, Puerto de destino
La dirección IP y el puerto a los que tenía que llegar el paquete.
Proxy
El visor de registros del proxy muestra los registros de los cuatro demonios que usan el proxy. Cada uno tiene su propia pestaña: squid
(HTTP), icap (Filtro de contenido), sarg (Informe de HTTP), y smtpd (SMTP, proxy de correo electrónico).
HTTP y filtro de contenido
Además de las acciones comunes, el visor de registro para el proxy HTTP y el filtro de contenidos permiten especificar estos valores:
IP de origen
Muestra solo las entradas de registro que contienen la dirección IP de origen seleccionada, elegida desde un menú
desplegable.
Ignorar filtro
Una expresión regular que excluye todas las entradas de registro que la contienen.
Activar ignorar filtro
Marque esta casilla para desactivar temporalmente la opción de ignorar filtro.
Restaurar los valores predefinidos
Hacer clic en este botón restaurará todos los parámetros de búsqueda predeterminados.
Informe de HTTP
La pestaña Informe de HTTP solo tiene una opción: permite activar o no el generador de informes de análisis de proxy haciendo clic en
la casilla Activar y, a continuación, en el botón Guardar. Una vez que el generador de informes está activado, al hacer clic en los enlaces
Informe diario, Informe semanal, e Informe mensual, se muestran informes de HTTP detallados.
SMTP
En la pestaña del demonio posfijo, solo se encuentran disponibles las acciones comunes.
Configuración
Esta página contiene todos los elementos de configuración global de las funciones de registro del dispositivo Panda GateDefender,
organizados en cuatro cuadros: Opciones del visor de registros, Resúmenes de registro, Registro remoto y Registro del firewall.
Opciones del visor de registros
Número de líneas a mostrar
El valor de paginación, es decir, la cantidad de líneas que se muestran por página de registro.
Ordenar por orden cronológico inverso
Si esta casilla está seleccionada, las entradas de registro más nuevas aparecerán primero.
Resúmenes de registro
Guardar resúmenes durante __ días
El tiempo durante el cual deben almacenarse los resúmenes de registro en el disco antes de eliminarlos.
Nivel de detalle
El nivel de detalle del resumen de registro: cuanto más alto sea el nivel, mayor cantidad de entradas de registro se guardan y
muestran. El menú desplegable ofrece tres niveles de detalle: bajo, medio y alto.
Registro remoto
Activado (registro remoto)
Hacer clic en esta casilla permite activar el registro remoto. La siguiente opción permite introducir el nombre del host del
servidor syslog.
Servidor syslog
Nombre del host del servidor remoto al que se enviarán los registros. El servidor debe ser compatible con los últimos
estándares de protocolo de syslog IETF.
Registro del firewall
Registrar paquetes con constelación MALA de flags TCP
Si esta opción está activada, el firewall registrará paquetes con constelación mala de flags TCP (por ejemplo, todos los flags
están establecidos).
Registrar conexiones NUEVAS sin flag SYN
Si esta opción está activada, se registrarán todas las conexiones TCP nuevas sin el flag SYN.
Registrar las conexiones salientes aceptadas
Para registrar todas las conexiones salientes aceptadas, se debe marcar esta casilla.
Registrar paquetes rechazados
Si esta opción está activada, el firewall registrará todos los paquetes rechazados.
Servidor de timestamps seguros
El servidor de timestamps seguros es un proceso por el que pasan los archivos de registro (en general cualquier documento) para que
se puedan seguir y certificar su origen y cumplimiento con el original. En otras palabras, el servidor de timestamps seguros permite
certificar y verificar que un archivo de registro no ha sido modificado por nadie de ningún modo, ni siquiera por el autor original. En el
caso de archivos de registro, el servidor de timestamps seguros es útil, por ejemplo, para verificar los accesos al sistema o las
conexiones de los usuarios de la VPN, incluso en los casos de auditorías independientes.
El Servidor de timestamps seguros no está activado de manera predeterminada, pero para activarlo solo es necesario hacer clic en el
interruptor gris. Cuando se pone verde, aparecen algunas opciones de configuración.
URL del servidor de timestamping
La URL del servidor de timestamping (también denominado TSA) es obligatoria, dado que este servidor firmará los archivos de registro.
Nota:
se necesita una URL válida de un TSA válido para poder utilizar Servidor de timestamps seguros. Varias empresas pueden prestar
este tipo de servicio.
Autenticación de HTTP
Si el servidor de timestamping requiere autenticación, marque la casilla situada debajo de la etiqueta Autenticación de HTTP.
Nombre de usuario
El nombre de usuario utilizado para autenticarse en el servidor de timestamping.
Contraseña.
La contraseña utilizada para autenticarse en el servidor de timestamping.
Clave pública del servidor de marcas de tiempo
Para que la comunicación con el servidor sea más sencilla y segura, se puede importar la clave pública del servidor. Se
puede buscar el archivo del certificado en el equipo local haciendo clic en el botón Examinar... y luego cargarlo en el
dispositivo Panda GateDefender haciendo clic en el botón Cargar. Tras guardar el certificado, junto a la etiqueta Clave
pública del servidor de marcas de tiempo, aparecerá el enlace Descarga. Se puede hacer clic en él para recuperar el
certificado, por ejemplo, si debe instalarse en otro dispositivo Panda GateDefender.
Después de hacer clic en el botón Guardar, la configuración se guarda y, al día siguiente, aparecerá un botón nuevo en la sección
Registros, a la derecha del cuadro Configuración:
Verificar firma de registro
Al hacer clic en él, se muestra un mensaje en un globo amarillo que informa sobre el estado del registro.
Véase también:
La documentación del servidor de timestamps OpenSSL oficial y la RFC 3161, la definición original del protocolo de marca de tiempo.
Glosario Glosario
Cuadro
Un cuadro es un elemento de la página de un servicio que contiene varias opciones de configuración.
Cliente
Es un usuario que se conecta al Hotspot. A veces se le llama usuario del Hotspot.
GREENIP
Es la dirección IP de la zona VERDE, es decir, de la LAN donde se encuentra el dispositivo Panda GateDefender.
Módulo
Por módulo se entiende cada uno de los elementos que se muestran en la barra de navegación principal (Sistema, Estado,
Registros, etc.), que agrupan un conjunto de funciones.
Casilla de multiselección
Es una casilla especial que muestra una lista de elementos disponibles en el lado derecho, una lista de elementos “activos” o
seleccionados en el lado izquierdo y un cuadro de texto de búsqueda en la parte superior. Algunas también permiten
especificar una característica para cada elemento permitido (por ejemplo, que el elemento es obligatorio u opcional).
Paginación
Permite que las tablas que contienen muchas entradas se dividan en dos o más partes cuando el número de entradas
supera el valor de paginación, mostrando solamente una parte cada vez. Este valor, que actualmente solo está disponible
para el Hotspot y los registros, puede definirse en Hotspot ‣ Configuración y Barra de menú ‣ Registros ‣ Configuración. Es
posible navegar de una página a otra haciendo clic en los enlaces Primero, Anterior, Siguiente, y Último que se encuentran
encima de la tabla.
Complemento
Los complementos son los cuadros presentes en el panel de control.
Smarthost
Un servidor de repetición SMTP que, en lugar de enviar un correo electrónico directamente al receptor, lo envía a un servidor
intermedio que realizará la entrega final. Los smarthosts generalmente requieren autenticación, a diferencia de los servidores
de repetición abiertos, que no la requieren.
Pestaña
Las pestañas son subpáginas de un servicio principal que se utilizan para dividir y mantener organizadas todas las opciones
de configuración de ese servicio.
Las zonas
Cada una de las 4 subredes administradas por el dispositivo Panda GateDefender: VERDE, ROJA, AZUL, y NARANJA.
Usuario
Manual de referencia
184
Es una persona que utiliza el dispositivo Panda GateDefender.
Usuario agente
El usuario agente de un explorador web es la cadena que todo explorador envía como identificación al solicitar una página web.
Contiene diferente información sobre el explorador y el sistema. Por ejemplo:
Mozilla/5.0 (X11; U; Linux i586; it; rv:5.0) Gecko/20100101 Firefox/5.0
Puede encontrarse una lista completa de cadenas de usuarios agente en el sitio web http://www.useragentstring.com/.
Widget
Un elemento de la GUI que muestra información y a veces puede ser interactivo, es decir, un usuario puede interactuar con
él para cambiar la información que contiene.
de 2014.
Guía rápida...¿Dónde puedo...? Guía rápida. ¿Dónde puedo...?
Hotspot
Administrar el Hotspot: Barra de menú ‣ Hotspot ‣ Interfaz de administración o https://GREENIP:10443/admin/ (recuerde la
“/” final).
Editar Hotspot en cuenta de usuario: https://GREENIP:10443/admin/infoedit/ (recuerde la “/” final).
Añadir Hotspot en cuenta de usuario: Barra de menú ‣ Hotspot ‣ Cuentas ‣ Añadir cuenta nueva.
Activar SmartConnect y SmartLogin: Barra de menú ‣ Hotspot ‣ Interfaz de administración ‣ Configuración ‣
SmartConnect.
Red
Activar/desactivar zona AZUL/NARANJA: Barra de menú ‣ Sistema ‣ Configuración de red, paso 2.
Cambiar nombre de host y nombre de dominio: Barra de menú ‣ Sistema ‣ Configuración de red, paso 3.
Cambiar nombre de dominio por zona: Barra de menú ‣ Servicios ‣ Servidor DHCP.
Añadir enlace: Barra de menú ‣ Red ‣ Interfaces.
Limitar ancho de banda por interfaz: Barra de menú ‣ Servicios ‣ Calidad de servicio.
Añadir/Configurar VLAN: Barra de menú ‣ Red ‣ Interfaces ‣ VLANs.
Configurar antispyware y antimalware: Barra de menú ‣ Proxy ‣ POP3 ‣ Filtro de correo no deseado, Barra de menú ‣
Proxy ‣ DNS ‣ Antispyware.
Configurar antispam: Barra de menú ‣ Proxy ‣ SMTP ‣ Configuración de spam, Barra de menú ‣ Servicios ‣ Capacitación
de spam.
Configurar antivirus: Barra de menú ‣ Servicios ‣ Motor de antivirus, Barra de menú ‣ Proxy ‣ [HTTP/POP3/FTP/SMTP].
Varios
Modificar dirección de correo electrónico predeterminada: Barra de menú ‣ Sistema ‣ Configuración de red, paso 6.
Abrir un ticket de soporte: Barra de menú ‣ Sistema ‣ Soporte.
Cambiar idioma del GUI: Barra de menú ‣ Configuración de GUI.
Visualizar la licencia: Barra de menú ‣ Sistema ‣ Acuerdo de licencia.
Configurar servidor de timestamps seguros: Barra de menú ‣ Registros ‣ Servidor de timestamps seguros.
Restablecer los ajustes predeterminados de fábrica: Barra de menú ‣ Sistema ‣ Backup.
Licencia de documentación GNU libre
Licencia de documentación GNU libre
Licencia de documentación GNU libre
Versión 1.2, noviembre de 2002
Copyright (C) 2000, 2001, 2002 Free Software Foundation, Inc. 51 Franklin St, Fifth Floor, Boston, MA
02110-1301 EE. UU. Se permite copiar y distribuir copias literales de este documento de licencia, pero no
se permite realizar cambios.
1. INTRODUCCIÓN
El objeto de esta Licencia es hacer que un manual, un libro de texto u otro documento funcional y útil sean “libres” en el
sentido de libertad, con el fin de garantizar a todos la libertad efectiva para copiarlo y redistribuirlo, con la posibilidad de
modificarlo, ya sea con fines comerciales o de otro modo. En segundo lugar, esta Licencia prevé la forma de que se
reconozca el trabajo del autor y el editor, pero sin considerarlos responsables de las modificaciones realizadas por
terceros.
Esta Licencia es un tipo de “copyleft”, lo que significa que las obras derivadas del documento también deben ser libres en
el mismo sentido. Complementa a la Licencia pública general de GNU, que es una licencia “copyleft” diseñada para el
software libre.
Hemos diseñado esta Licencia con el fin de utilizarla para manuales de software libre, porque el software libre necesita
documentación libre: un programa libre debe ir acompañado de manuales que proporcionen las mismas libertades que el
software. No obstante, esta Licencia no se limita a los manuales de software; puede utilizarse para cualquier obra textual,
sin importar su temática o su publicación como libro impreso. Recomendamos esta Licencia principalmente para obras
cuyo objeto es la formación o la referencia.
1. APLICABILIDAD Y DEFINICIONES
Esta Licencia se aplica a cualquier manual u otra obra, en cualquier medio, que contenga una notificación incorporada por
el titular de los derechos de autor donde exprese que puede ser distribuido de conformidad con los términos de esta
Licencia. Dicha notificación concede una licencia mundial, libre de royalties y de duración ilimitada para utilizar esa obra
de acuerdo con las condiciones establecidas en el presente documento. El “Documento”, a continuación, se refiere a
cualquier obra o manual de tales características. Cualquier miembro del público es un licenciatario, y aparece como
“usted”. Usted acepta esta licencia si copia, modifica o distribuye la obra de un modo que exija obtener autorización con
arreglo a la ley de derechos de autor.
Por “Versión modificada” del Documento se entenderá cualquier obra que contenga el Documento o una parte de este, ya
sea una copia literal, o con modificaciones y/o traducida a otro idioma.
Una “Sección secundaria” es un apéndice titulado o una sección preliminar del Documento que trata exclusivamente de la
relación de los editores o los autores del Documento con el tema general del Documento (o asuntos relacionados) y no
contiene nada que pueda entrar directamente dentro del tema general. (Por lo tanto, si el Documento es en parte un libro
de texto de matemáticas, una Sección secundaria no puede explicar nada de matemáticas). La relación puede ser un
asunto de conexión histórica con el tema o con temas relacionados, o una posición legal, comercial, filosófica, ética o
política al respecto.
Las “Secciones invariantes” son determinadas Secciones secundarias cuyos títulos se recogen, como Secciones
invariantes, en el aviso que indica que el Documento se difunde con esta Licencia. Si la sección no encaja en la definición
anterior de Secundaria, entonces no está permitido considerarla Invariante. Es posible que el Documento no contenga
ninguna Sección invariante. Si no se identifica ninguna Sección invariante en el Documento, es que no contiene ninguna.
Los “Textos de tapa” son determinados pasajes cortos de texto que aparecen, como textos de portada o textos de
contraportada, en el aviso que indica que el Documento se difunde con esta Licencia. Un texto de portada puede tener
como máximo 5 palabras, y un texto de contraportada puede tener como máximo 25 palabras.
Por copia “Transparente” del Documento se entenderá una copia legible por máquina, representada en un formato cuya
especificación está disponible para el público en general, que es adecuada para revisar el documento directamente con
editores de texto genéricos o (para las imágenes compuestas por píxeles) programas genéricos de imágenes o (para
dibujos) algún editor de dibujo disponible de forma general, y que es adecuada para introducirse en formateadores de
texto o para la traducción automática en una variedad de formatos adecuados para introducirse en formateadores de texto.
Una copia realizada en otro formato de archivo Transparente cuyas marcas, o ausencia de marcas, han sido dispuestas
para impedir o desalentar una modificación posterior por parte de los lectores es no Transparente. Un formato de imagen
es no Transparente si se utiliza para cualquier cantidad considerable de texto. Una copia que es no “Transparente” se
denomina “Opaca”.
Los ejemplos de formatos adecuados para copias Transparentes incluyen ASCII sin formato, formato de entrada Texinfo,
formato de entrada LaTeX, SGML o XML utilizando un DTD disponible públicamente y HTML, PostScript o PDF estándar
diseñados para modificaciones humanas. Los ejemplos de formatos de imagen transparentes incluyen PNG, XCF y JPG.
Los formatos Opacos incluyen formatos propios que solo pueden leerse o editarse utilizando procesadores de texto del
propietario, SGML o XML para los cuales el DTD y/o las herramientas de procesamiento no están a disposición del
público en general, y HTML, PostScript o PDF generados por máquina por algunos procesadores de texto con fines
exclusivos de salida.
Por “Página de título” se entenderá, para un libro impreso, la propia página del título; además de las siguientes páginas
que se deben conservar, de manera legible, el material que esta Licencia exige que aparezca en la página del título. Para
obras en formatos que no tienen ninguna página de título como tal, por “Página de título” se entenderá el texto próximo a
la aparición más destacada del título de la obra, antes del comienzo del cuerpo del texto.
Una sección “Titulada XYZ” es una subunidad con título del Documento cuyo título es precisamente XYZ o contiene XYZ
entre paréntesis a continuación del texto que traduce XYZ en otro idioma. (Aquí XYZ significa un nombre de sección
específico mencionado más adelante, como “Agradecimientos”, “Dedicatorias”, “Aprobaciones” o “Antecedentes”).
“Conservar el título” de dicha sección al modificar el Documento significa que se mantiene como una sección “Titulada
XYZ” de acuerdo con esta definición.
El Documento puede incluir una Exención de responsabilidad de la garantía junto al aviso que establece que esta Licencia
se aplica al Documento. Se considera que tales Exenciones de responsabilidad de la garantía están incluidas como
referencia en esta Licencia, pero solo en relación con las exenciones de responsabilidad de las garantías; cualquier otra
implicación que puedan tener estas Exenciones de responsabilidad de la garantía es nula y no tiene efecto sobre el
significado de esta Licencia.
2. COPIA LITERAL
Puede copiar y distribuir el Documento en cualquier medio, de manera comercial o no, siempre que esta Licencia, los
avisos de derechos de autor y la notificación de la licencia que expresa que esta Licencia se aplica al Documento
aparezcan en todas las copias, y que no añada ninguna otra condición además de las existentes en esta Licencia. No
puede utilizar medidas técnicas para impedir ni controlar la lectura o la posterior copia de las copias que realice o
distribuya. Sin embargo, puede aceptar una compensación a cambio de las copias. Si distribuye una cantidad de copias lo
suficientemente grande, debe respetar las condiciones de la sección 3.
También puede prestar copias, bajo las mismas condiciones establecidas anteriormente, y mostrar copias públicamente.
3. COPIAS EN GRANDES CANTIDADES
Si publica copias impresas (o copias en un medio que habitualmente tiene tapas impresas) del Documento en una
cantidad superior a 100, y la notificación de la licencia del Documento exige Textos de tapa, debe incluir las copias en
tapas que expresen, clara y legiblemente, todos los Textos de tapa: textos de portada en la tapa frontal, y textos de
contraportada en la contratapa. Ambas tapas también deben identificar clara y legiblemente que usted es el editor de
estas copias. La tapa frontal debe presentar el título completo con todas las palabras del título de manera igualmente
importante y visible. También puede añadir otro material en las tapas. Las copias con cambios limitados en las tapas,
siempre que conserven el título del Documento y cumplan estas condiciones, pueden considerarse copias literales en
otros aspectos.
Si los textos requeridos para cualquiera de las tapas son demasiado extensos para ser legibles, primero debe introducir
los que aparecen (todos los que quepan de manera razonable) en la tapa y continuar con el resto en las páginas
adyacentes.
Si publica o distribuye más de 100 copias Opacas del Documento, debe incluir una copia Transparente legible por
máquina junto con cada copia Opaca, o expresar en o con cada copia Opaca una ubicación de red informática desde
donde el público general que utiliza la red pueda acceder para descargar, utilizando protocolos de red estándar públicos,
una copia Transparente completa del Documento, libre de material añadido. Si utiliza esta última opción, debe adoptar
pasos prudentes de manera razonable, cuando comience a distribuir copias Opacas en cantidad, para garantizar que esta
copia Transparente permanezca de ese modo accesible en la ubicación establecida hasta al menos un año tras la última
vez que haya distribuido una copia Opaca (directamente o a través de sus agentes o minoristas) de esa edición al público.
Se solicita, pero no se exige, que se ponga en contacto con los autores del Documento antes de redistribuir una gran
cantidad de copias, para que tengan la oportunidad de proporcionarle una versión actualizada del Documento.
4. MODIFICACIONES
Puede copiar y distribuir una Versión modificada del Documento de acuerdo con las condiciones de las secciones 2 y 3
anteriormente expuestas, siempre que divulgue la Versión modificada bajo esta misma Licencia, puesto que la Versión
modificada desempeña el papel del Documento, y la Licencia autoriza la distribución y modificación de la Versión
modificada a quien posea una copia de ella. Además, debe hacer lo siguiente en la Versión modificada:
1. Utilice en la Página de título (y en las tapas, si corresponde) un título diferente al del Documento y a los de las
versiones anteriores (que deben, si las hubiera, aparecer en la sección Antecedentes del Documento). Puede
utilizar el mismo título que una versión anterior si el editor original de esa versión lo autoriza.
2. Mencione en la Página de título, como autores, a una o más personas o entidades responsables de la autoría
de las modificaciones en la Versión modificada, junto con al menos cinco de los autores principales del
Documento (todos sus autores principales, si son menos de cinco), a menos que le eximan de este requisito.
3. Establezca en la Página de título el nombre del editor de la Versión modificada e identifíquelo como editor.
4. Conserve todos los avisos sobre derechos de autor del Documento.
5. Añada un aviso de derechos de autor adecuado para sus modificaciones junto a los otros avisos de derechos
de autor.
6. Incluya, inmediatamente después de los avisos de derechos de autor, una notificación de licencia que otorgue
al público permiso para utilizar la Versión modificada conforme a los términos de esta Licencia, tal y como se
muestra en el Anexo a continuación.
7. Conserve en esa notificación de licencia todas las listas de Secciones invariantes y Textos de tapa requeridos
según la notificación de licencia del Documento.
8. Incluya una copia inalterada de esta Licencia.
9. Conserve la sección titulada “Antecedentes”, conserve su Título y añada un elemento que establezca al
menos el título, el año, los nuevos autores y el editor de la Versión modificada según aparece en la Página de
título. Si no hay una sección titulada “Antecedentes” en el Documento, cree una haciendo constar el título, el
año, los autores y el editor del Documento según aparece en su Página de título; después, añada un
elemento que describa la Versión modificada tal y como se establece en la frase anterior.
10. Conserve la ubicación de red, si corresponde, incluida en el Documento para que el público pueda acceder a
una copia Transparente del Documento y, asimismo, las ubicaciones de red dadas en el Documento en las
que se basaban las versiones anteriores. Esto puede aparecer en la sección “Antecedentes”. Puede omitir
una ubicación de red para una obra publicada al menos cuatro años antes del propio Documento, o si el
editor original de la versión a la que se refiere le otorga permiso.
11. Para cualquier sección titulada “Agradecimientos” o “Dedicatorias”, conserve el título de la sección y conserve
en la sección la sustancia y el tono de cada uno de los agradecimientos y/o las dedicatorias incluidos en ella.
12. Conserve todas las Secciones invariantes del Documento, sin alterar ni su texto ni sus títulos. Los números de
sección o equivalentes no se consideran parte de los títulos de sección.
13. Elimine cualquier sección titulada “Aprobaciones”. Dicha sección puede no estar incluida en la Versión
modificada.
14. No cambie el título de ninguna sección existente como “Aprobaciones” para que no esté en conflicto con el
título de ninguna Sección invariante.
15. Conserve las Exenciones de responsabilidad de la garantía.
Si la Versión modificada incluye nuevas secciones preliminares o apéndices que deban considerarse como Secciones
secundarias y no contiene material copiado del Documento, puede optar por designar algunas o todas estas secciones
como invariantes. Para hacerlo, añada sus títulos a la lista de Secciones invariantes en la notificación de licencia de la
Versión modificada. Estos títulos deben ser distintos de todos los títulos de otras secciones.
Puede añadir una sección titulada “Aprobaciones”, siempre que únicamente contenga aprobaciones de su Versión
modificada procedentes de varias personas, por ejemplo, declaraciones de evaluaciones por pares o que el texto ha sido
aprobado por una organización como definición de autoridad de un estándar.
Puede añadir un pasaje de hasta cinco palabras como texto de portada y un pasaje de hasta 25 palabras como texto de
contraportada, al final de la lista de Textos de tapa en la Versión modificada. Cualquier entidad solo puede añadir (o llevar
a cabo planes para ello) un pasaje de texto de portada y uno de texto de contraportada. Si el Documento ya incluye un
texto de tapa para la misma tapa, que ha añadido anteriormente usted o debido a los planes realizados por la misma
entidad que usted representa, no puede añadir otro; pero puede reemplazar el anterior con el permiso explícito del
anterior editor que añadió el texto anterior.
Los autores y los editores del Documento no otorgan mediante esta Licencia permiso para utilizar sus nombres con fines
publicitarios ni para afirmar, expresa o implícitamente, la aprobación de cualquier Versión modificada.
5. COMBINACIÓN DE DOCUMENTOS
Puede combinar el Documento con otros documentos divulgados de conformidad con esta Licencia, bajo los términos
definidos en la sección 4 para versiones modificadas, siempre que se incluyan en la combinación todas las Secciones
invariantes de todos los documentos originales, no modificadas, y las mencione como Secciones invariantes de su obra
combinada en la notificación de licencia, y que conserve todas las Exenciones de responsabilidad de la garantía.
La obra combinada solo debe contener una copia de esta Licencia, y las múltiples Secciones invariantes idénticas se
pueden reemplazar con una copia individual. Si existen múltiples Secciones invariantes con el mismo nombre pero
diferentes contenidos, el título de cada sección debe ser único y se le debe añadir al final, entre paréntesis, el nombre del
autor o editor original de esa sección si se conoce o, en caso contrario, un número único. Realice el mismo ajuste en los
títulos de sección de la lista de Secciones invariantes en la notificación de licencia de la obra combinada.
En la combinación, debe combinar todas las secciones tituladas “Antecedentes” de los diferentes documentos originales y
formar una única sección titulada “Antecedentes”; del mismo modo, combine todas las secciones tituladas
“Agradecimientos” y todas las secciones tituladas “Dedicatorias”. Debe eliminar todas las secciones tituladas
“Aprobaciones”.
6. RECOPILACIÓN DE DOCUMENTOS
Puede crear una recopilación formada por el Documento y otros documentos divulgados conforme a esta Licencia, y
reemplazar las copias individuales de esta Licencia en los diversos documentos incluyendo una copia única en la
recopilación, siempre que siga las reglas de esta Licencia para la copia literal de cada uno de los documentos en todos
los demás aspectos.
Puede extraer un único documento de dicha recopilación y distribuirlo individualmente conforme a esta Licencia, siempre
que incluya una copia de esta Licencia en el documento extraído y cumpla con esta Licencia en todos los aspectos
relacionados con la copia literal de ese documento.
7. AGRUPACIÓN DE OBRAS INDEPENDIENTES
Se denomina “agrupación” a una compilación del Documento o sus derivados con otros documentos u obras individuales
e independientes, en un volumen de almacenamiento o medio de distribución, si los derechos de autor resultantes de la
compilación no se utilizan para limitar los derechos legales de los usuarios de la compilación excediendo los permisos de
las obras individuales. Cuando se incluye el Documento en una agrupación, esta Licencia no se aplica a las otras obras
de la agrupación que no sean obras derivadas del Documento.
Si la exigencia relativa al Texto de tapa dispuesta en la sección 3 es aplicable a estas copias del Documento y el
Documento representa menos de un tercio del total de la agrupación, los Textos de tapa del Documento pueden colocarse
en tapas que catalogan el Documento dentro de la agrupación, o el equivalente electrónico de las tapas si el Documento
está en formato electrónico. De lo contrario deben aparecer en las tapas impresas que catalogan toda la agrupación.
8. TRADUCCIÓN
Se considera que la traducción es un tipo de modificación y, por lo tanto, puede distribuir traducciones del Documento de
acuerdo con los términos de la sección 4. Para reemplazar las Secciones invariantes con traducciones se precisa de un
permiso especial de parte de los titulares de los derechos de autor, pero puede incluir traducciones en algunas o todas las
Secciones invariantes además de las versiones originales de tales Secciones invariantes. Puede incluir una traducción de
esta Licencia, todas las notificaciones de licencia del Documento y cualquier Exención de responsabilidad de la garantía,
siempre que incluya también la versión original en inglés de esta Licencia y las versiones originales de dichas
notificaciones y exenciones de responsabilidad. En caso de divergencia entre la traducción y la versión original de esta
Licencia o una notificación o exención de responsabilidad, prevalecerá la versión original.
Si una sección del Documento se titula “Agradecimientos”,“Dedicatorias” o “Antecedentes”, el requisito (sección 4) de
conservar su título (sección 1) exigirá, por lo general, cambiar el título real.
Manual de referencia
190
9. RESCISIÓN
No podrá copiar, modificar, sublicenciar ni distribuir el Documento excepto conforme lo expresado en esta Licencia.
Cualquier otro intento de copiar, modificar, sublicenciar o distribuir el Documento es nulo, y rescindirá automáticamente
sus derechos conforme a esta Licencia. Sin embargo, a las partes que reciban copias o derechos de usted de acuerdo
con esta Licencia no se les rescindirán las licencias siempre que dichas partes se encuentren en absoluto cumplimiento.
10. FUTURAS REVISIONES DE LA PRESENTE LICENCIA
Free Software Foundation puede publicar versiones nuevas y revisadas de la Licencia de documentación GNU libre
periódicamente. Dichas versiones nuevas serán similares en espíritu a la presente versión, pero podrán diferir en detalles
a la hora de abordar nuevos problemas o inquietudes. Consulte http://www.gnu.org/copyleft/.
Cada versión de la Licencia recibe un número de versión distintivo. Si el Documento especifica que se aplica una versión
numerada particular de esta Licencia “o cualquier versión futura”, tiene la opción de seguir los términos y las condiciones
de la versión especificada o de cualquier versión posterior que haya sido publicada (no como borrador) por Free Software
Foundation. Si el Documento no especifica un número de versión de esta Licencia, puede elegir cualquier versión
publicada (no como borrador) por Free Software Foundation.
APÉNDICE: Instrucciones de uso de esta Licencia en sus documentos
Para utilizar esta Licencia en un documento que usted haya escrito, incluya una copia de la Licencia en el documento e
introduzca los siguientes avisos de derechos de autor y las siguientes notificaciones de licencia justo después de la
página de título:
Copyright (c) AÑO SU NOMBRE. Se ha concedido permiso para copiar, distribuir y modificar este documento bajo los términos de la Licencia de documentación GNU libre, versión 1.2, o cualquier versión posterior publicada por Free Software Foundation; sin Secciones invariantes, textos de portada ni textos de contraportada. Se incluye una copia de la licencia en la sección titulada “Licencia de documentación GNU libre”.
Si tiene Secciones invariantes, Textos de portada y Textos de contraportada, reemplace la línea “con... Textos” por lo
siguiente:
las Secciones invariantes son MENCIONE LOS TÍTULOS, los Textos de portada son LISTA, y los Textos de contraportada son LISTA.
Si tiene Secciones invariantes sin Textos de tapa, o alguna otra combinación de los tres, agrupe aquellas dos alternativas
para adaptarse a la situación.
Si su documento contiene ejemplos no triviales del código de programa, recomendamos divulgar ejemplos de manera
paralela bajo su elección de licencia de software libre, como la Licencia pública general de GNU, para permitir su uso en
el software libre.