Navegación

Introducción

El Manual de referencia para el dispositivo Panda GateDefender se encuentra dividido en secciones que se asemejan a la organización de los módulos de la aplicación.

El resto de esta sección contiene información básica sobre esta guía y sobre cómo realizar sus primeros pasos con el dispositivo Panda GateDefender, al presentar algunos conceptos importantes y describir las partes más importantes de la Interfaz Web de Panda.

Convenciones utilizadas en este documento

Se utilizan diferentes convenciones para mejorar la lectura y claridad de este documento:

Al mover el ratón sobre algún término, se muestra una Ventana de ayuda para cada uno.

Además, se utiliza letra cursiva para resaltar objetos no interactivos o etiquetas dentro de la Web GUI, mientras que una palabra (o palabras) subrayada con rayas indica los objetos que requieren la interacción del usuario, es decir, hacer clic sobre un botón o abrir un hipervínculo.

Se utilizan advertencias para marcar elementos, acciones o tareas que requieren especial atención:

Advertencia

¡Si cambia este valor el servicio se reiniciará!

Nota

Recuerde que puede modificarlo más tarde.

Un tema o ejemplo relevante

En casillas como esta (“tema”), puede encontrar la explicación de algún tema que requiere una explicación no tan corta y que es relevante para el tema de la sección o para la configuración de alguna preferencia. Es posible que también incluya ejemplos o guías prácticas rápidas. La parte inferior puede incluir uno o más hiperenlaces a recursos en línea.

Es necesario hacer clic en todos los elementos de una secuencia como Barra de menú ‣ Firewall ‣ Redirección de puertos/DNAT ‣ Mostrar reglas del sistema para llegar a una página o elemento de configuración específico. Este ejemplo muestra cómo llegar a la página que contiene la configuración de las reglas del sistema para el DNAT del firewall.

Por otro lado, en una secuencia como Barra de menú ‣ Firewall ‣ Redirección de puertos/DNAT ‣ [Lista de reglas] ‣ Editar, el signo [...] indica que existe un gran número de objetos (en este caso una lista de las reglas del firewall) entre los que hay que elegir uno para llevar a cabo la acción (Editar).

Estas secuencias pueden encontrarse dentro de las casillas “vea también”, bajo un hipervínculo como el siguiente:

Ver también

Configuración de red
Barra de menú -> Sistema ‣ Configuración de la red

Dentro de la casilla, el hipervínculo ofrece acceso directo a la documentación, mientras que la secuencia muestra debajo cómo llegar desde la página de inicio hasta la página donde se configura dicha funcionalidad.

También existen algunos términos que poseen una utilización o significado especial dentro de este manual, y que pueden encontrarse en el Glosario.

Las zonas

Uno de los conceptos más importantes sobre los que se basa el dispositivo Panda GateDefender, la Zona, tiene su origen en la idea de IPCOP de proteger las redes a las que puede llegar al agruparlas en diferentes segmentos -la zona, de hecho- y al permitir que se intercambie tráfico solamente en ciertas direcciones entre estos segmentos. Las cuatro zonas principales se identifican por un color y pueden agrupar una cantidad de servidores de la estación de trabajo que poseen el mismo propósito.

_images/zones.png
  • ROJA: este es el llamado Segmento no confiable, es decir, la WAN: Comprende todas las redes fuera del dispositivo Panda GateDefender o, en términos generales, Internet, y es la fuente de las conexiones entrantes. Esta es la única zona que no puede administrarse, sino solamente limitar u otorgar el acceso desde y hacia ella.
  • VERDE: la red interna, es decir, LAN. Esta zona es la más protegida y está dedicada a las estaciones de trabajos y nunca debería accederse a ella de manera directa desde la zona ROJA.
  • NARANJA: El DMZ. Esta zona debería contener los servidores que necesitan acceder a la Internet para proveer servicios (por ej.: SMTP/POP, SVN y HTTP, y así sucesivamente). Sería aconsejable que la zona NARANJA fuera la única zona accesible directamente desde la zona ROJA. De hecho, si un atacante puede entrar en alguno de los servidores, se encontrará atrapado dentro del DMZ y no podrá acceder a la zona VERDE, lo que hará imposible que recoja información importante de las máquinas locales dentro de la zona VERDE.
  • AZUL: la zona Wi-Fi, es decir, la zona que utilizarán los clientes inalámbricos para acceder a Internet. Generalmente, las redes inalámbricas no son seguras, por lo que la idea es atrapar por defecto a todos los clientes conectados de manera inalámbrica dentro de su propia zona, para que así no posean acceso a ninguna otra zona excepto la ROJA.

El dispositivo Panda GateDefender posee reglas del firewall predefinidas que prohíben que el tráfico de red fluya entre algunas de las zonas. Además de las cuatro zonas principales, existen dos zonas más que se encuentran disponibles, pero se utilizan solamente en configuraciones avanzadas: La zona de clientes OpenVPN (a la que a veces se la llama VIOLETA) y la zona HA. Estas son dos zonas especiales que se utilizan como redes para los usuarios remotos de OpenVPN que deberían conectarse al dispositivo Panda GateDefender y para el servicio HA. Por defecto, utilizan las redes 192.168.15.0/24 y 192.168.177.0/24 respectivamente, por lo que si usted planea utilizar cualquiera de estos servicios, no debería utilizar dichos rangos de red en las zonas principales o se solaparán, causando efectos no deseables. De hecho, esas redes se solaparían y es posible que provoquen efectos no deseados. Sin embargo, pueden cambiarse los rangos IP de estas dos zonas al configurar los servicios OpenVPN o HA.

A cada zona le corresponde una interfaz (red) y una dirección IP. La interfaz es el puerto (ethernet o inalámbrico) a través del cual el tráfico de red fluye hacia la zona, por lo que la interfaz ROJA es el puerto a través del cual usted puede acceder a la zona ROJA y a Internet. La dirección IP de la interfaz es la <Zone>IP. Por ejemplo, la configuración de fábrica para la zona VERDE es la red 192.168.15.0/24, por lo que la interfaz VERDE poseerá la IP 192.168.15.1, a la que se llama IPVERDE.

La GUI del dispositivo Panda GateDefender

Se ha diseñado la interfaz web gráfica del dispositivo Panda GateDefender para que sea fácil de usar, y se compone de cinco partes principales: El encabezado, la barra de menú principal, el submenú, el área principal y el pie de página. Debajo puede ver una captura de pantalla de la interfaz web, a la que se le llamará GUI de aquí en adelante para simplificar la lectura.

_images/gui.png

El encabezado

_images/header.png

El encabezado de la página contiene el logotipo de Panda a la izquierda, mientras que a la derecha se ve una imagen que muestra el tipo de dispositivo Panda GateDefender, sobre la que aparecen dos enlaces: uno hacia la documentación en línea (ayuda), que depende del contexto (es decir que se desplegará la ayuda correspondiente a cada página) y otro para salir de la GUI. Esta parte es estática y no cambia.

El pie de página

_images/footer.png

El pie de página se encuentra al final de la página. Consiste de dos líneas de texto con algo de información sobre el dispositivo Panda GateDefender en ejecución. La línea superior muestra (Estado:), si un enlace está conectado o conectándose y cuál es (si hay más de un enlace definido). También muestra el tiempo transcurrido (Tiempo en línea:) desde la última vez que se estableció la conexión y el tiempo de la máquina, que se notifica como el resultado del comando Tiempo en línea:, es decir, el tiempo transcurrido desde la última vez que se inició, el número de usuarios y la media de carga. Al cambiar de página, se actualiza la información. La última línea muestra la versión de la aplicación junto con el paquete de implementación y los derechos de autor y un enlace al sitio web de Panda.

La barra principal de navegación

_images/mainmenu.png

La barra de navegación principal es una barra de menú con un fondo azul Panda que muestra todas las secciones disponibles del dispositivo Panda GateDefender. Cuando está situado justo debajo del encabezado, es estático, pero al hacer clic en el nombre de uno de los módulos (por ejemplo: Servicios), se invierten sus colores para destacar el módulo que está siendo utilizado. Al hacer clic sobre un elemento del menú, cambia también el submenú a la izquierda de la página y el título en la parte superior del área principal, ya que dependen del contexto. Por defecto, la GUI se abre en el menú Sistema.

El submenú

_images/submenu.png

El submenú aparece sobre el lado izquierdo de la GUI y cambia dependiendo de la sección que se seleccione en la barra del menú. Aparece como una lista vertical de elementos sobre los cuales se puede hacer clic para cambiar el contenido del área principal y para acceder a todas las funciones de dicho módulo del dispositivo Panda GateDefender.

El área principal

_images/maingui.png

El área principal contiene toda la información y configuraciones abarcadas por la selección actual de la combinación menú/submenú. Algunas de las páginas (por ej.: el Panel de control o partes de los menús Servicio y Registros son simplemente informativas y muestran el estado actual del dispositivo Panda GateDefender de manera gráfica o textual, para lo cual en último caso se transmite el resultado de los comandos de Linux en la pantalla. Sin embargo, la gran mayoría de las páginas muestran una tabla que contiene información diversa sobre las preferencias actuales configuradas y permiten modificar o eliminar las preferencias existentes o añadir preferencias nuevas. Los servicios específicamente elaborados como, por ejemplo, el proxy HTTP o el firewall contienen tantas opciones de información que no basta una sola página para presentarlas, por lo que las configuraciones disponibles se agrupan y se organizan en pestañas.

_images/tabs.png

Dentro de las pestañas, a menudo las opciones de configuración se agrupan en una o más casillas, que reúnen ajustes que hacen referencia a una parte común de la configuración general.

La interfaz de administración del hotspot

La única excepción al diseño de la GUI del dispositivo Panda GateDefender es la Interfaz de administración del hotspot, que se muestra debajo en la captura de pantalla, que no posee pie de página, ubica el submenú bajo la barra de menú principal y posee un enlace Menú principal a la derecha del menú para volver al menú principal.

_images/hotspotgui.png

Cabe destacar que al hacer referencia a los elementos bajo la Interfaz de administración del hotspot, la Barra de menú inicial generalmente se omite.

Los iconos

Se utilizan muchos iconos a través de las páginas que provee el dispositivo Panda GateDefender para indicar tanto una acción que puede realizarse con rapidez, u otorgar algún significado para las configuraciones que se muestran.

Interruptores swon swoff
Los interruptores se utilizan para activar o desactivar completamente un servicio y se encuentran en la parte superior del área principal. El interruptor gris indica que el servicio se encuentra desactivado e inactivo, y en el área principal no se muestran preferencias u opciones de configuración alguna. Al hacer clic en el interruptor, se inician y comienzan los servicios y los demonios necesarios para su funcionamiento correcto. Después de unos segundos, el interruptor se vuelve azul y aparecen todas las opciones de configuración disponibles. Para desactivar el servicio, haga clic nuevamente sobre el interruptor: Esto hace que todos los demonios se detengan, que el interruptor se vuelva gris y que desaparezcan las configuraciones.
Políticas

Estos iconos se encuentran en aquellos servicios que requieren algún tipo de política de acceso o control de tráfico, como por ejemplo las reglas del firewall o las especificaciones del proxy. Cada vez que un paquete se corresponde con una regla, se aplica la política especificada para dicha regla, y se determina si y cómo el paquete puede pasar o no.

accept aceptar el acceso sin restricciones.

allowips permite el acceso pero solamente después de que los paquetes hayan pasado las IPS de manera positiva. Esta política solo se encuentra disponible dentro de las reglas del firewall.

drop bloquea los paquetes y los descarta.

reject bloquea los paquetes, pero se envía una notificación al origen.

partial acepta las reglas de manera parcial. Esto solo se encuentra en el encabezado de una lista de políticas, para otorgar una idea general de que algunas de las políticas en la lista fueron aceptadas y otras rechazadas, como por ejemplo en Barra de menú ‣ Proxy ‣ HTTP ‣ Filtro de contenidos.

Otros iconos

Iconos adicionales que pueden encontrarse en el dispositivo Panda GateDefender.

expand expande un tablero, revelando su contenido.

collapse cierra un tablero, ocultando su contenido.

Barra de navegación navbar
En la mayoría de lugares donde aparece una lista larga de elementos, aparece una barra de navegación para facilitar el listado de los puntos, la cual se encuentra compuesta por varias celdas: Primera y Anterior a la izquierda, Siguiente y Última a la derecha, que contienen un número variable de celdas con los números de página. Al hacer clic sobre las diferentes celdas se puede acceder tanto a la página indicada por el número como a la primera o última página, o a la página anterior o siguiente.

Acciones comunes y tareas

Existen dos tipos de acciones que pueden realizarse dentro de la GUI: Acciones sobre un solo elemento de una lista de preferencias de configuración (es decir, una regla del firewall) y acciones globales para guardar, almacenar y aplicar todas las preferencias dentro de una lista, una casilla o una página.

Acciones e iconos

Estos iconos se encuentran dentro de la columna Acciones a la derecha de las diferentes tablas que aparecen dentro de las páginas y generalmente muestran una lista de los puntos definidos, como por ejemplo las reglas del firewall o los usuarios OpenVPN. Los iconos de acciones permiten la ejecución de una tarea sobre el elemento de la lista al que corresponde. Algunas acciones solo se encuentran disponibles para un tipo de lista:

on y off indican el estado de un punto, activado o desactivado respectivamente. Puede cambiar el estado al hacer clic en el icono. Después de hacerlo, puede aparecer una notificación para que reinicie el servicio, si es necesario, para que los demonios vuelvan a cargar la configuración y activen los cambios.

up y down solamente se encuentran disponibles para las listas en donde el orden es importante, por ejemplo, las reglas del firewall, y permiten que se modifique el orden al mover el elemento correspondiente hacia arriba up o hacia abajo down.

edit permite la modificación del elemento actual. Al hacer clic sobre este icono se abrirá el editor apropiado para dicho elemento.

delete provoca que se elimine el elemento seleccionado de la lista y de la configuración. Aparecerá un mensaje que solicitará la confirmación antes de que el elemento sea eliminado de manera permanente.

descargar permite descargar el elemento (generalmente un download archivo).

test se utiliza en ubicaciones limitadas, como por ejemplo en Barra de menú ‣ Servicios ‣ Aprendizaje de spam para evaluar la conexión de un elemento con servidores remotos.

passlog y blocklog aparecen dentro de IPS (Barra de menú ‣ Servicios ‣ Prevención de intrusiones) y permiten registrar los paquetes a los que se les permite pasar o a los que se bloquea después de que se hayan ajustado a una regla.

Acciones globales

Al final de cada página que permite la personalización de una o más opciones, existe la opción de Guardar y almacenar la nueva configuración en el disco o de cancelar la personalización que se ha realizado hasta el momento. En último caso, no se necesita ninguna acción adicional, ya que la configuración no ha cambiado. En el primer caso, sin embargo, es necesario reiniciar el servicio que se acaba de modificar y quizás también algunos otros servicios relacionados o dependientes, para que se vuelvan a cargar los nuevos ajustes y se puedan utilizar en la configuración en ejecución. Por motivos prácticos, cuando se requiera dicha acción, se mostrará una notificación tras guardar la configuración con un botón Aplicar, en el que deberá hacer clic para reiniciar el servicio.

Cada vez que se utilice una Casilla de multiselección (por ej.: en Barra de menú ‣ Configuraciones del hotspot), se podrá hacer clic sobre Añadir todos y Eliminar todos como un atajo para añadir o eliminar todas las entradas disponibles de la lista de elementos disponibles o los puntos seleccionados y activos respectivamente.

Entradas múltiples en una opción de configuración
Es posible introducir más de un valor para un solo elemento de configuración en varios lugares, por ejemplo, el origen o destino de una regla del firewall. En esos casos, se muestra un área de texto o un menú desplegable. En el primer caso, es posible introducir un valor por línea, ya sea una dirección MAC, un rango de red (en notación CIDR) o un usuario OpenVPN. En el último caso, la opción se encuentra limitada entre una cantidad de valores predefinidos, que pueden seleccionarse al mantener apretada la tecla Control del teclado y al hacer clic sobre los valores a seleccionar.

Notación IPv4 y CIDR.

Una dirección IPv4 es una dirección de red cuya longitud es de 32 bits, divididos en cuatro octetos de 8 bits de longitud. En decimales, cada octeto puede asumir cualquier valor entre 0 y 255 (28= 256).

Al especificar un rango de red, se otorga una dirección IP del primer host dentro de la red junto con la máscara de subred o máscara de red para acortar que define la cantidad de hosts disponibles dentro de esa red. La definición de subred es la longitud del prefijo de red, es decir, aquella porción de la dirección que comparten todos los hosts de una red.

Existen dos posibilidades para indicar el par red/máscara de red:

  • explícitamente, es decir, ambas se indican en la notación decimal con puntos. Por ejemplo:

    network 192.168.0.0
netmask 255.255.255.0

    Esta es una red que comienza en la dirección 192.168.0.0 con 256 hosts disponibles, es decir, el rango de red de 192.168.0.0 a 192.168.0.255. Los primeros tres octetos en la máscara de red son 255, lo que muestra que no existe host libre allí (o que esta parte de la dirección es el prefijo de red), mientras que el cuarto es 0, lo que significa que todos los hosts (256 - 0 = 0) se encuentran disponibles.

  • en notación CIDR, una manera más compacta de mostrar el rango de red, se indican los bits libres en lugar de los hosts libres. El mismo rango de red que se describe más arriba se expresa como:

    192.168.0.0/24

    Dicha notación muestra la longitud en bits de la porción compartida de la dirección IP. 24 significa que los primeros tres octetos (cada uno consiste de 8 bits) son compartidos, mientras que el cuarto octeto está libre, otorgando un número de hosts libres que es equivalente a 32 - 24 = 8 bits, es decir, 256 hosts.

    Puede aplicarse el mismo razonamiento a una dirección IPv6, con la única diferencia de que las direcciones IPv6 tienen una longitud de 128 bits.

Acceder al dispositivo Panda GateDefender

Existen diferentes maneras de acceder al dispositivo Panda GateDefender: La más intuitiva y directa es desde la GUI de la web. También existen accesos desde la consola a través de SSH y consola de serie, aunque se sugiere que solamente los utilicen los usuarios avanzados.

La GUI del dispositivo Panda GateDefender

El acceso recomendado a la GUI del dispositivo Panda GateDefender es muy simple: Inicie el navegador e introduzca la dirección IPVERDE, tanto si esta la primera vez que utiliza el dispositivo Panda GateDefender como si no lo es.

El navegador será redireccionado a una conexión HTTPS segura en el puerto 10443. Ya que el dispositivo Panda GateDefender utiliza un certificado HTTPS autofirmado, el navegador podría solicitar que acepte dicho certificado durante la primera conexión. Después el sistema le solicitará su nombre de usuario y contraseña. Especifique «admin» como nombre de usuario y proporcione la contraseña facilitada por el proveedor. En caso de haber personalizado el dispositivo Panda GateDefender, escriba la contraseña que se generó durante la instalación.

Después de introducir la contraseña, se muestra el Panel de control de la GUI del dispositivo Panda GateDefender y es posible comenzar a explorar de inmediato la información disponible en dicha interfaz o continuar navegando y configurando la aplicación. Lo que resta de este manual se ocupa del diseño de la barra de navegación principal: Cada punto de la barra de menú principal representa una sección diferente del dispositivo Panda GateDefender y se la presenta en un capítulo separado, en el que los elementos y pestañas del submenú poseen marcas de encabezados de las subsecciones y las sub-subsecciones respectivamente.

Acceso basado en la consola

Solamente se sugiere el acceso basado en la consola al dispositivo Panda GateDefender a usuarios que se encuentran familiarizados con la línea de comando de Linux.

Existen dos posibilidades disponibles para acceder a la CLI: Utilizando el acceso SSH o a través de la consola de serie. El acceso a través de SSH se encuentra desactivado por defecto, pero puede activarlo en Barra de menú ‣ Sistema ‣ Acceso SSH, mientras que el acceso a través de la Consola de serie se encuentra activado por defecto con los siguientes parámetros:

  • puerto: ttyS0
  • bit, bit de paridad, bit de detención: 8, N, 1
  • velocidad: 38400 baudios o 115200 baudios en dispositivos más nuevos.

La conexión que utiliza la consola de serie requiere:

  • Un programa de terminal apropiado como minicom para máquinas con Unix/Linux o putty para MS Windows.
  • Una estación de trabajo con interfaz de serie
  • Un cable de módem nulo para conectar una estación de trabajo al dispositivo.

o

  • Programa de terminal.
  • Adaptador de red serie-a-Ethernet.
  • Un cable serie-a-Ethernet para conectar el dispositivo al adaptador.

Nota

En caso de que la red no esté configurada de manera apropiada, la consola de serie podría ser la única manera de acceder al dispositivo Panda GateDefender.

Contenidos

Tema anterior

Manual de referencia del dispositivo Panda GateDefender 5.00.10

Próximo tema

El menú del sistema

Navegación

© Copyright 2012, Panda Security SL. Última actualización: 4 de febrero de 2013.