El menú del proxy

Un servidor proxy es un sistema, ubicado entre un cliente (que solicita una página web o algún recurso) y las redes externas con el propósito de capturar todas las solicitudes del cliente, recuperar los recursos solicitados y transmitirlos al cliente. La ventaja principal del servidor proxy es su capacidad de copiar en caché (es decir, almacenar localmente) todas las páginas que fueron solicitadas y hace que las futuras solicitudes de las mismas páginas sean más rápidas.

Proxy transparente.

Un proxy transparente es un sistema de proxy combinado con una puerta de enlace: Además de recuperar y almacenar recursos en caché, un proxy transparente permite realizar muchas operaciones útiles en la página web o el recurso que el cliente solicita: Para filtrar su contenido, para examinar y buscar virus, o incluso para bloquear información, mediante la combinación de distintos servicios que se ejecutan en la puerta de enlace. además, todas estas actividades se consiguen sin solicitar al usuario que configure el cliente que está utilizando.

Por el contrario, los proxies no transparentes cuentan con la colaboración del cliente para ser usados (por ejemplo, al configurar los ajustes de proxy en el navegador web) y requieren que el usuario especifique la ubicación del proxy en la configuración del navegador, o no podrá tener acceso a Internet.

Para mejorar la seguridad en línea, el dispositivo Panda GateDefender ofrece varios servicios que combinan sus capacidades con las del proxy. El submenú a la izquierda de la pantalla brinda acceso a sus páginas y opciones de configuración que se resumen de la siguiente manera:

• HTTP - proxy web: acceso a políticas, autenticación, filtro de contenido y antivirus
• POP3 - proxy para recuperar correo: filtro de correo no deseado y antivirus
• FTP - archivos descargados a través de FTP: antivirus
• SMTP - el proxy para enviar o recuperar correo: filtro de correo no deseado y antivirus
• DNS - caché DNS: antispyware

Cada proxy puede configurarse y activarse/desactivarse independientemente del otro y también iniciará cualquier otro servicio requerido para su funcionamiento adecuado. Por ejemplo, cuando se ha configurado e iniciado el proxy SMTP, también se iniciará el servicio SMTP si no es que ya se encuentra en funcionamiento. Por lo tanto, es necesario configurar el servicio SMTP antes de utilizar el proxy SMTP.

HTTP

El proxy HTTP empleado en el dispositivo Panda GateDefender es squid, cuya principal capacidad es almacenar caché de las solicitudes web para acelerar futuras solicitudes de la misma página, aunque tiene muchas más funciones que permiten su integración perfecta con los otros servicios descritos en el resto de esta sección. La página de configuración del proxy HTTP está compuesta por seis pestañas que organizan miles de opciones: Configuración, Política de acceso, Autenticación, Filtro web, Replicar Active Directory y Proxy HTTPS.

Configuración

Un clic en el interruptor Activar proxy HTTP activa el proxy HTTP. Tras algunos segundos, necesarios para comenzar todos los servicios requeridos, aparecen algunos controles en la pestaña Configuración, agrupados en seis paneles: Cada panel tiene un título, seguido de un signo ? que muestra una ventana de ayuda, y se puede expandir o plegar al hacer clic en los iconos o situados a la izquierda de las etiquetas.

El primer ajuste es seleccionar desde un menú desplegable cómo los usuarios en cada zona activada —VERDE, NARANJA, AZUL— pueden acceder al proxy (no hay menú desplegable para las zonas no activadas):

no transparente

El servidor proxy está disponible para todos sin necesidad de iniciar sesión, pero los clientes deben configurar su explorador manualmente o informar al explorador que busque un proxy (es decir, utilizando el protocolo PAC o WPAD para establecer los ajustes del proxy del navegador).

transparente

El servidor proxy está disponible para todos y no requiere configuración en el explorador. Todo el tráfico HTTP es interceptado y reenviado al servidor proxy, que está a cargo de recuperar las páginas web solicitadas y ofrecérselas a los clientes.

Nota

Algunos exploradores, incluidos Internet Explorer y Firefox, pueden detectar automáticamente servidores proxy utilizando el WPAD. La mayoría de los exploradores también admiten PAC, aunque a través de un URL especial. Al utilizar el dispositivo Panda GateDefender como servidor proxy, el URL se ve de este modo: http://<GREENIP>/proxy.pac.

Deshabilitar el proxy HTTP por zona

Para desactivar completamente el proxy para una determinada zona, este debe configurarse en transparente y la subred de la zona (cuyo valor se puede encontrar en Barra de menú ‣ Servicios ‣ Servidor DHCP) debe agregarse a Bypass proxy transparente en el campo SUBRED/IP/MAC que aparece al expandir el panel Bypass proxy transparente.

Configuración de proxy

En el panel Configuración de proxy hay opciones globales de configuración para los servicios del proxy:

Puerto utilizado por el proxy

El puerto TCP en el cual el servidor proxy escucha las conexiones, que de manera predeterminada es 8080.

Idioma de error

El idioma en el que aparecen los mensajes de error, que por defecto es el elegido en Barra de menú ‣ Sistema ‣ Configuración de GUI.

Nombre de equipo visible usado por el proxy

El nombre de host asumido por el servidor proxy, también informado al pie de los mensajes de error.

Correo electrónico utilizado para notificación (administrador de caché)

La dirección de correo electrónico que el servidor proxy muestra en los mensajes de error.

Tamaño de descarga máximo (entrante en KB)

El límite de las descargas de archivo HTTP. Cero significa ilimitado.

Tamaño de carga máximo (saliente en KB)

El límite de carga de archivos HTTP (por ejemplo, los utilizados por formas HTML mientras se carga el archivo). Cero significa ilimitado.

Puertos permitidos y puertos SSL

Opción de configuración para los puertos que los clientes pueden utilizar cuando navegan:

Puertos habilitados (desde el cliente)

Los puertos de destino TCP de los cuales el servidor proxy aceptará conexiones al utilizar HTTP. Se acepta un puerto o un rango de puertos por línea, se permiten comentarios y comienzan con #.

Puertos SSL permitidos (desde el cliente)

Los puertos de destino TCP a los que el servidor proxy aceptará conexiones al utilizar HTTPS. Se acepta un puerto o rango de puertos por línea, se permiten comentarios, comienzan por # y finalizan al final de la línea.

Configuración del registro

Opción de configuración para activar la función de registro y elegir qué registrar.

Registro de proxy HTTP

Registro de todos los URL a los que se accede a través del proxy. Es un interruptor maestro, por lo tanto las otras opciones están activadas y pueden configurarse solo si el registro está activado, lo que no ocurre por defecto (recuerde que cuanto más se registra, mayor es el espacio que el dispositivo Panda GateDefender necesita).

Registro de consulta de término

Registro de los parámetros en la URL (por ejemplo, ?id=123).

Registro de usuario agente

Registro del Usuario agente enviado por cada explorador.

Registro del filtro de contenido

Registro del momento en el que se filtra el contenido de las páginas web.

Registro de firewall (solo proxies transparentes)

Permitir que el firewall registre los accesos salientes de la web, es decir, los dirigidos a través de la interfaz ROJA a Internet. Esta opción solo funciona para proxies transparentes.

Bypass proxy transparente

En este panel se puede definir alguna excepción al proxy transparente (ver también arriba), es decir, qué fuentes (es decir, clientes) y destinos (es decir, servidores remotos) debe ignorar el proxy, aunque esté activado en esa zona.

Bypass proxy transparente desde SUBRED/IP/MAC

Las fuentes que no deben estar sujetas al proxy transparente.

Bypass proxy transparente a SUBRED/IP

Los destinos que no se encuentran sujetos al proxy transparente.

Administración de caché

Opciones de configuración para el espacio ocupado en disco por el caché y el tamaño de los objetos almacenados.

Tamaño del caché en disco duro (MB)

La cantidad en megabytes que el proxy debe asignar para almacenar sitios web en el disco duro.

Tamaño del caché dentro de la memoria (MB)

La cantidad en megabytes de memoria que el proxy debe asignar para almacenar sitios web en la memoria del sistema.

Tamaño máximo de objeto (KB)

El límite superior de tamaño en megabytes de un único objeto que se debe almacenar.

Tamaño mínimo de objeto (KB)

El límite inferior de tamaño en megabytes de un único objeto que se debe almacenar.

Nota

Los objetos cuyos tamaños no caen dentro de los rangos definidos anteriormente jamás serán almacenados en el disco, pero se descargarán cada vez que un cliente los solicite.

Activar modo sin conexión

Cuando esta opción se encuentra activada (es decir, la casilla está marcada), el proxy jamás intentará actualizar objetos en caché desde el servidor web de subida. Los clientes podrán explorar sitios web estáticos en caché incluso después de que el enlace quede inactivo.

Advertencia

Esta opción es útil para navegar en Internet mientras que el uplink activo no funciona si la página solicitada ha sido almacenada anteriormente. No obstante, esta opción puede causar algún problema cuando se intente actualizar una página, aun con un uplink activo en funcionamiento, dado que el proxy HTTP siempre atenderá a la página en caché. La única posibilidad de tener una copia actualizada de una página web en este caso es vaciar el caché del servidor proxy.

Vaciar caché

Cuando se hace clic en este botón, se elimina el caché del proxy.

No hacer caché en estos destinos

Los dominios cuyos recursos jamás deben tener un caché.

Proxy de subida

Si hay otro servidor proxy en el LAN, puede contactarse antes de solicitar el recurso original. Este panel contiene opciones de configuración para la conexión entre el dispositivo Panda GateDefender y el proxy de subida.

Proxy de subida

Marcar esta casilla para activar un proxy de subida y mostrar más opciones. Cuando está activado, antes de recuperar una página web remota que todavía no está en su caché, el proxy del dispositivo Panda GateDefender se contacta con el proxy de subida para solicitar esa página.

Servidor de subida

El nombre de host o dirección IP del servidor de subida.

Puerto de subida

El puerto en el cual el proxy escucha al servidor de subida.

Nombre de usuario / contraseña de subida

Si se requiere autenticación para el proxy de subida, especificar las credenciales aquí.

Reenvío de nombre de usuario del cliente / reenvío del IP del cliente

Reenvío del nombre de usuario o dirección IP del cliente al proxy de subida.

Política de acceso

Las políticas de acceso se aplican a cada cliente que se conecta a través del proxy, sin importar su autenticación. Una regla de política de acceso es un esquema basado en el tiempo que permite o prohíbe los accesos según diversos parámetros acerca del usuario (por ejemplo, la fuente o el destino del tráfico), y el cliente utilizado o el contenido descargado (por ejemplo, el agente usuario, los tipos mime, la detección de virus y el filtro de contenido).

En la página aparece una lista de normas definidas. Cualquier norma puede especificar si el acceso a la web está bloqueado o permitido y, en último caso, se puede activar y seleccionar un tipo de filtro. Para añadir una nueva regla de política de acceso, haga clic en Añadir política de acceso: Se abrirá un formulario en el que configurar todos los parámetros:

Tipo de fuente

Las fuentes del tráfico sobre las cuales se aplica esta norma. Puede ser <ANY>, una zona, una lista de redes, direcciones IP o direcciones MAC.

Tipo de destino

Los destinos del tráfico sobre los cuales se aplicará esta norma. Puede ser <ANY>, una zona, una lista de redes, direcciones IP o dominios.

Autenticación

El tipo de autenticación a aplicar a los clientes. Puede estar desactivada, en cuyo caso no se requiere autenticación, ser basada en el grupo o basada en el usuario. Se pueden seleccionar uno o más usuarios o grupos, a los cuales aplicar la política, entre los existentes desde la lista que aparecerá.

Restricción de tiempo

Determina si la norma tiene efecto sobre fechas específicas y/o un período de tiempo. Por defecto una regla siempre está activa, pero su validez puede estar limitada a un intervalo o a algunos días de la semana al seleccionarlos en la lista de selección Días activos y seleccionar la hora y minuto de comienzo y fin desde los menús desplegables que aparecerán al marcar la casilla.

Agentes usuarios

Los clientes y navegadores permitidos, identificados por su agente usuario, es decir, su cadena de identificación.

Tipos de mime

Una lista de los tipos de MIME de archivos entrantes que deben bloquearse, uno por línea. Los tipos de MIME solo pueden ser bloqueados (es decir, estar en la ista negra), pero no permitidos (es decir, estar en la lista blanca), por lo tanto, sta opción solo se encuentra disponible en las políticas de acceso de Rechazo. Esta opción permite bloquear cualquier archivo que no corresponda a la política de la empresa (por ejemplo, archivos multimedia).

Nota

La lista de los tipos MIME disponibles se puede encontrar en el archivo /etc/mime.types de cualquier máquina Linux, en la página web oficial de IANA, así como en RFC 2045 y RFC 2046.

Política de acceso

Seleccionar si la norma debe permitir o rechazar acceso web desde el menú desplegable. Si está configurado para Rechazar, la opción de Tipos de mime debajo está activada.

Perfil de filtro

Este menú desplegable, disponible cuando la Política de acceso ha sido establecida en Permitir acceso, y permitir la selección de verificación ue la norma debe realizar. Las opciones disponibles son: ninguna para inguna verificación y solo detección de virus para escanear virus. Además, si el perfil de filtro de contenido ha sido creado (ver a continuación), se puede aplicar a la norma.

Estado de la política

Si la norma se encuentra activada o desactivada. Las normas desactivadas no se aplicarán, por defecto las normas están activadas.

Posición

El lugar donde se debe insertar la norma nueva: Las posiciones más bajas tienen mayor prioridad.

La acción disponible permite cambiar la prioridad, editar, habilitar/deshabilitar o eliminar cada norma desde la lista de normas.

Autenticación

El proxy del dispositivo Panda GateDefender admite cuatro tipos de autenticación, que se pueden ver en el menú desplegable de la parte superior de la página: Autenticación local (NCSA), LDAP (v2, v3, Novell eDirectory, AD), Windows Active Directory (NTLM) y RADIUS. El tipo NCSA almacena las credenciales de acceso en el dispositivo Panda GateDefender, mientras que el otro método se basa en un servidor externo: En esos casos es obligatorio proporcionar toda la información necesaria para acceder a ese servidor.

Debajo del menú desplegable desde el cual se selecciona el tipo de autenticación, hay dos paneles presentes. El de arriba, Configuración de autenticación contiene elementos de configuración comunes, mientras que el de abajo cambia ante la selección del tipo de autenticación, presentando la configuración particular de cada método.

Configuración de autenticación

Los elementos comunes que se pueden configurar en este panel son:

Dominio de autenticación

El texto aparece en el diálogo de autenticación y es utilizado como el dominio de kerberos o winbind al unirse al dominio del directorio activo. Cuando Windows Active Directory es utilizado para autenticación, se debe utilizar el FQDN del PDC.

Número de procesos-hijo de autenticación

El número máximo de procesos de autenticación que pueden funcionar simultáneamente.

Autenticación de caché TTL (en minutos)

El tiempo en minutos durante el cual los datos de autenticación se deben copiar en caché, antes de ser eliminados.

Número de IP diferentes por usuario

El número máximo de direcciones IP desde las cuales un usuario puede conectarse al proxy simultáneamente.

Caché TTL para usuario / IP (en minutos)

El tiempo en minutos que una dirección IP se asocia con el usuario registrado.

Una vez que se ha rellenado el formulario común de configuración, dependiendo del tipo de autenticación elegido, se puede configurar el ajuste específico para el tipo de autenticación seleccionado. Autenticación local (NCSA), Windows Active Directory (NTLM), LDAP (v2, v3, Novell eDirectory, AD), RADIUS.

Parámetros de autenticación NCSA

Administración de usuarios NCSA

Al hacer clic en el botón administrar usuarios la administración del GUI para los usuarios se abre. Consiste en una lista simple de los usuarios existentes, si se creó alguna, y de un enlace Añadir usuario NCSA para agregar más usuarios. Se añade un usuario al introducir el nombre de usuario y contraseña en el formulario y después se puede editar o eliminar.

Administración de grupo NCSA

Al hacer clic en el botón :administrar grupos y :guilabel, la administración del GUI para los grupos se abre. Consiste en una lista simple de los grupos existentes y sus miembros, si se creó alguna, y de un enlace Añadir grupo NCSA para agregar más grupos. Se crea un grupo al introducir un nombre de grupo y seleccionar uno o más usuarios que deben pertenecer a ese grupo. Un usuario puede pertenecer a más de un grupo.

Advertencia

Si bien el mismo usuario puede ser legalmente parte de uno o más grupos, se debe tener cuidado con que los grupos a los que pertenece el usuario no definan políticas de acceso opuestas. Como ejemplo, considere un miembro usuario de dos grupos, uno con la política para permitir acceso al sitio web www.ejemplo.org, mientras que la política del segundo grupo bloquea el acceso a esa página web. En este caso, no es fácil predecir si a ese usuario se le otorgará acceso o no al sitio www.example.org. La administración de estos asuntos recae en el diseñador de las políticas de acceso.

Longitud mínima de contraseña

La longitud mínima de la contraseña del usuario local.

Parámetros de autenticación de Windows Active Directory.

Nombre de dominio del servidor AD

El dominio del directorio activo al cual unirse. Se deberían utilizar las FQDN del servidor.

Unirse al dominio AD

Hacer clic en el botón unirse al domino para unirse al dominio. Esta acción debe realizarse solo después de que se guarde y aplique la configuración de autenticación.

Nombre del host PDC del servidor AD, Dirección IP de PDC del servidor AD

El nombre de host y dirección IP del PDC. Ambos, el nombre de host y la dirección IP son necesarios para crear la entrada DNS.

Nombre del host BDC del servidor AD, Dirección IP de BDC del servidor AD

El nombre de host y dirección IP del BDC. Ambos, el nombre de host y la dirección IP son necesarios para crear la entrada DNS.

Requisitos para el uso de NTLM.

Para poder utilizar la autenticación original de Windows con el directorio activo (NTLM), se debe cumplir con algunas condiciones:

• La configuración de autenticación debe guardarse y aplicarse antes de intentar la unión con el dominio.
• El dispositivo Panda GateDefender debe unirse al dominio.
• Los relojes del sistema en el dispositivo Panda GateDefender y en el servidor del directorio activo deben estar sincronizados.
• El dominio de autenticación debe ser un FQDN.
• El nombre de host PDC debe ajustarse al nombre netbios del servidor del Directorio activo.

Nota

El reloj del dispositivo Panda GateDefender puede sincronizarse con el reloj del servidor del Directorio activo al emitir el siguiente comando en el shell:

net time set -S IP_OF_AD_SERVER

Autenticación NTLM con Windows Vista y Windows 7.

El proxy HTTP en el dispositivo Panda GateDefender utiliza NTLMv2 negociado, mientras que Windows Vista y Windows 7 permiten únicamente NTLMv2 por defecto. Como resultado, un cliente que instala esos sistemas operativos puede fallar en la autenticación del proxy HTTP aunque presente las credenciales correctas. Se requieren los siguientes cambios en la configuración del cliente para autenticar correctamente:

1. Inicio ‣ gpedit.msc (ejecutar como administrador)
2. Ir a: Configuración de ordenador ‣ Configuración de Windows ‣ Configuración de seguridad ‣ Políticas locales ‣ Opciones de seguridad
3. Encontrar la opción de configuración Seguridad de red: Nivel de autenticación el ADMINISTRADOR LAN
4. Seleccionar el valor “Enviar LM * NTLM - utilizar la sesión de seguridad NTLMv2 si se negoció”.

Después de aplicar estos cambios el explorador del cliente debe autenticar correctamente utilizando el Nombre de inicio de sesión del AD / Credenciales para el proxy HTTP.

Parámetros de autenticación LDAP.

Servidor LDAP

La dirección IP o FQDN del servidor LDAP.

Puerto de servidor LDAP

El puerto en el cual el servidor está escuchando. El valor por defecto es 389.

Unir configuración DN

El nombre de base diferenciado; este es el punto inicial de la búsqueda.

Tipo LDAP

Este menú desplegable permite la elección del tipo de servidor de autenticación entre Directorio activo, Novell eDirectory, LDAP versión 2, o LDAP versión 3.

Unir nombre de usuario DN

El nombre completamente distintivo de un usuario unido a DN, que debe tener permiso para leer los atributos del usuario.

Unir contraseña DN

La contraseña de la unión de usuario DN.

Clase de objeto del usuario

La clase de objeto a la que el usuario unido DN debe pertenecer.

Clase de objeto del grupo

La clase de objeto a la que el grupo unido DN debe pertenecer.

Parámetros de autenticación RADIUS.

Servidor RADIUS

La dirección del servidor RADIUS.

Puerto del servidor RADIUS

El puerto en el cual el servidor RADIUS está escuchando.

Identificador

Un identificador adicional.

Secreto compartido

La contraseña a utilizar.

Filtro web

La capacidad del filtro de contenido del dispositivo Panda GateDefender está basada en la solución de filtrado de URL Commtouch, que utiliza dos técnicas de filtrado que pueden ser definidas por perfil de filtro.

La primera consiste en un método avanzado de categorización de páginas web en función de su contenido. El segundo método utiliza una combinación de URL y dominios de listas blancas y negras: Todas las URL solicitadas por un cliente se buscan en esta lista y solo se proporcionan si se encuentran en la lista blanca.

Se necesita un perfil para poder utilizar el filtro de contenido. Hay un perfil por defecto disponible, que permite el acceso a cada página web y no se puede eliminar. Pueden crearse fácilmente los perfiles adicionales que se necesiten en la definición de una Política de acceso. Por lo tanto, las políticas de acceso que requieran un perfil determinado solo se podrán crear según ese perfil.

En la página hay una lista de perfiles existentes y un enlace para Crear un perfil situado sobre esta. Al hacer clic, el enlace es reemplazado por el Editor de perfil, que se utiliza para configurar un perfil nuevo, y la lista de perfiles existentes se mueve al pie de la página. Se pueden definir los siguientes ajustes:

Nombre del perfil

El nombre dado al perfil.

Activar escaneo antivirus

Habilitar filtro de contenido y HAVP.

Los siguientes ajustes vienen en forma de paneles, que pueden expandirse o plegarse al hacer clic en los iconos o a la izquierda de su título. A la derecha, una flecha pequeña muestra si los elementos contenidos son permitidos completamente, no son permitidos, o están permitidos parcialmente. Se puede hacer clic en esas flechas para cambiar rápidamente el estado de todos los elementos contenidos.

Filtro de URL

Las categorías que se van a activar para aplicar el filtro de contenido. Cada categoría contiene otras subcategorías, que se pueden permitir de manera individual. La flecha verde significa que los elementos de las (sub)categorías son utilizados para el filtro de contenido. La flecha roja significa que esos elementos no se utilizan. La flecha roja/verde situada cerca del nombre de la categoría indica que solo algunas de las subcategorías que contiene se utilizan para el filtro de contenido.

Listas negras y blancas personalizadas

Aquí se pueden añadir listas personalizadas de páginas web como permitidas siempre (lista blanca), cuyo acceso se permitirá siempre a los clientes, o rechazadas (lista negra), cuyo acceso no se permitirá nunca a los clientes.

El filtrado de contenido puede causar positivos y negativos falsos, por lo tanto la lista de dominios que siempre debe estar bloqueada o habilitada se puede introducir aquí. Esta política será aplicada sin importar los resultados del análisis del filtro de contenido.

Replicar Active Directory

En esta sección se puede suministrar las credenciales solicitadas para unirse al Servidor de directorio activo, una función que solo es posible si la pestaña Autenticación en la opción Windows Active Directory (NTLM) ha sido seleccionada.

Nombre de usuario del administrador de ADS

El nombre de usuario del servidor del Directorio activo.

Contraseña del administrador de ADS

La contraseña del servidor del Directorio activo. No aparece por defecto, pero puede mostrarse marcando la casilla de verificación situada a la derecha del campo de texto.

Proxy HTTPS

En esta página es posible configurar el servidor proxy para el escaneo de tráfico SLL cifrado, es decir, el tráfico a través del puerto 443. Cuando está activado, el squid intercepta todas las solicitudes de los clientes y las reenvía al servidor remoto, como en el caso de las solicitudes HTTP. La única diferencia surge en las solicitudes HTTPS. Se necesita un certificado «intermedio» para que el cliente se conecte al dispositivo Panda GateDefender a través de HTTPS. Este podrá proporcionar la solicitud, recuperar el recurso remoto, controlarlo y enviarlo a el cliente que lo solicitó.

Existen tres ajustes disponibles en esta página y se dividen en dos partes: La primera permite configurar el proxy HTTPS. La segunda se utiliza para administrar el certificado del dispositivo Panda GateDefender.

Activar proxy HTTPS

Marque esta casilla para activar el proxy HTTPS. Aparecerá la siguiente opción.

Aceptar cada certificado

Esta opción permite al dispositivo Panda GateDefender aceptar automáticamente todos los certificados del servidor remoto, incluso aquellos que no son válidos o están obsoletos.

Para activar el proxy HTTPS, haga clic en Guardar y espere unos segundos.

La parte inferior se puede utilizar para cargar un certificado que usará el dispositivo Panda GateDefender o para generar uno nuevo, que sustituirá al actual, en caso de haberlo.

Cargar certificado proxy

Para utilizar un certificado existente, haga clic en Examinar…, elija el certificado en el disco duro local y, a continuación, haga clic en el botón Cargar para copiar el certificado en el dispositivo Panda GateDefender.

Crear un certificado nuevo

Para crear un certificado nuevo, haga clic en este botón. Aparecerá un cuadro de diálogo solicitando confirmación. Haga clic en Aceptar para continuar o en Cancelar para cerrar el cuadro de diálogo y volver atrás.

Una vez que el certificado ha sido cargado o creado, aparecerá una nueva opción en forma de hiperenlace junto a la etiqueta Cargar certificado proxy.

Descargar

Haga clic en este hiperenlace para descargar el certificado, que necesitarán los clientes.

POP3

Esta página contiene opciones de configuración para el filtro de correo spamassassin y cómo se deben administrar los correos electrónicos reconocidos como correo no deseado.

Configuración general

En esta página, al marcar las casillas adecuadas, se pueden habilitar algunos ajustes de configuración general del POP3.

Habilitado en verde, Habilitado en azul, Habilitado en naranja

Habilita el escáner de correo electrónico de POP3 en la zona VERDE, AZUL y NARANJA, respectivamente. Aparecen solo si las zonas correspondientes están habilitadas.

Escáner de virus

Activa el escáner de virus.

Filtro de correo no deseado

Activa el filtro de correo no deseado en los correos electrónicos.

No interceptar conexiones SSL/TLS cifradas

Cuando la casilla de verificación está marcada, las conexiones a través de SSL/TLS no se escanean, pero

Registros del firewall de conexiones salientes

Permite que el firewall registre las conexiones salientes.

Filtro de correo no deseado

Esta página permite configurar cómo el proxy POP3 debe proceder cuando encuentra un correo electrónico no deseado.

Nota

Incluso cuando un correo electrónico ha sido marcado como correo no deseado, será entregado al destinatario original. De hecho, no entregarlo rompería el RFC 2821, que establece que una vez que un correo electrónico ha sido aceptado, debe ser entregado al destinatario.

Etiqueta de asunto de correo no deseado

El prefijo que se añadirá al asunto del correo electrónico reconocido como correo no deseado.

Coincidencias requeridas

La cantidad de coincidencias requeridas para que un mensaje sea considerado como no deseado.

Activar soporte para correos electrónicos japoneses

Marcar esta casilla para activar el soporte para conjuntos de caracteres japoneses en correos electrónicos para buscar correos no deseados japoneses.

Activar la detección de no deseados en el resumen del mensaje (pyzor)

Para analizar correos electrónicos no deseados utilizando pyzor (en resumen: los correos electrónicos no deseados son convertidos a un resumen de mensaje que puede utilizarse para identificar futuros correos electrónicos no deseados análogos).

Advertencia

¡Activar esta opción puede desacelerar considerablemente el POP3 proxy!

Lista blanca

Una lista de direcciones de correo electrónico o dominios completos, especificados utilizando comodines, por ejemplo, *@ejemplo.com, una dirección por línea. Los correos electrónicos enviados desde estas direcciones y los dominios jamás serán verificados como correo no deseado.

Lista negra

Una lista de direcciones de correo electrónico o dominios completos, especificados utilizando comodines, por ejemplo, *@ejemplo.com, una dirección por línea. Los correos electrónicos enviados desde estas direcciones y los dominios siempre serán marcados como correo no deseado.

La configuración se puede guardar al hacer clic en el botón Guardar.

Correos electrónicos cifrados.

El dispositivo Panda GateDefender no puede escanear los correos electrónicos enviados a través de la conexión POP3 SSL dado que se encuentra en un canal cifrado.

Por lo tanto, para permitir que un cliente utilice POP3 sobre SSL es necesario configurarlo adecuadamente y desactivar la codificación desde el cliente al dispositivo Panda GateDefender. Se debe desactivar el cifrado (es decir, no utilizar SSL), pero el puerto para el tráfico POP3 en texto sin formato debe cambiarse del predeterminado 110 a 995.

Tras ajustar esta configuración, la conexión desde el cliente al dispositivo Panda GateDefender permanecerá en texto sin formato, pero utilizará el puerto 995, convirtiendo la configuración del dispositivo Panda GateDefender en un POP3 cifrado sobre la conexión SSL desde el mismo hacia el servidor POP3.

FTP

El proxy FTP se encuentra disponible solo como proxy transparente en las zonas que han sido habilitadas y permite el escaneo de archivos descargados a través del FTP para buscar virus. El dispositivo Panda GateDefender emplea frox como proxy FTP.

Nota

Solo se redirigen las conexiones al puerto (21) estándar del FTP al proxy. Esto significa que si un cliente está configurado para utilizar el proxy HTTP también para el protocolo FTP, los ajustes para el proxy FTP serán evadidos.

En esta página se pueden configurar algunas opciones:

Habilitado en VERDE, Habilitado en AZUL, Habilitado en NARANJA

Habilita el proxy FTP en cada zona. Solo disponible en las zonas activadas.

Registros del firewall de conexiones salientes

Registro de las conexiones salientes en el firewall.

Bypass el proxy transparente

Permite que algunas fuentes (área izquierda del texto) o destinos (área derecha del texto) bajo las etiquetas correspondientes no se encuentren sujetas al escaneo del proxy FTP.

Proxy FTP y modo activo y pasivo del FTP del cliente.

El dispositivo Panda GateDefender admite un proxy FTP transparente con frox únicamente si está conectado de forma directa a Internet.

Pueden surgir problemas cuando el proxy FTP transparente se encuentra habilitado y hay un dispositivo NAT entre el dispositivo Panda GateDefender e Internet. En esta configuración, cualquier conexión FTP a un sitio FTP remoto estará bloqueada hasta que se venza el tiempo y en los registros aparecerán mensajes como:

Lun Mar 2 11:32:02 2009 frox[18450] La conexión caducó al
 intentar conectar con <su ip de cliente ftp>
Lun Mar  2 11:32:02 2009 frox[18450] Error al contactar con puerto de datos del cliente.

Para resolver estos problemas, el cliente ftp debe estar configurado para utilizar el modo pasivo (PASV) como modo de transferencia y la norma en Barra de menú ‣ Firewall ‣ Acceso al sistema debe estar creada, para permitir el tráfico en los puertos 50000 a 50999 para el dispositivo NAT. Por motivos de seguridad, estos puertos solo deben ser habilitados si es necesario. Para comprender la motivación de esta configuración, la siguiente es una descripción más detallada de cómo funcionan los modos activo y pasivo y cómo interactúan con el proxy FTP.

El modo activo requiere que el servidor (en nuestro caso, el proxy FTP) inicie la conexión de datos con el cliente. Sin embargo, un dispositivo NAT entre los clientes y el proxy causa que la conexión desde el servidor jamás alcance al cliente. Por este motivo el cliente debe utilizar el modo pasivo.

Con el modo pasivo, se requiere al cliente ftp que inicie la conexión al servidor (otra vez, el proxy FTP) utilizando un puerto dinámico, que ha sido negociado a través de la conexión de control. El proxy ftp escucha a ese puerto, pero el firewall de acceso al sistema necesita permitir el tráfico a ese puerto.

Dado que múltiples conexiones de datos concurrentes pueden intentar acceder al proxy ftp, es necesario permitir conexiones para un rango de puerto completo. Por consiguiente, todos los puertos reservados para conexiones de datos pasivos (es decir, 50000-50999) deben ser permitidos por el firewall de acceso al sistema.

SMTP

El proxy SMTP puede repetir y filtrar tráfico de correo electrónico cuando se envía desde los clientes a los servidores de correo.

El objetivo del proxy SMTP es controlar y optimizar el tráfico SMTP y proteger a las redes locales de amenazas al utilizar el protocolo SMTP. SMTP se utiliza cuando un correo electrónico se envía desde un cliente de correo electrónico local a un servidor de correo remoto, es decir, para los correos electrónicos salientes. También se utilizará si un servidor de correo se está ejecutando en la LAN (es decir, dentro de la zona VERDE) o DMZ (zona NARANJA) y los correos electrónicos se pueden enviar fuera de la red local (solicitudes entrantes) a través de ese servidor de correo, es decir, cuando los clientes tengan permitido enviar correos electrónicos desde la interfaz ROJA.

Para poder descargar correos electrónicos desde servidores de correo remotos en un correo electrónico de cliente local, se utiliza el protocolo de POP3 o IMAP. Para proteger también ese tráfico, active el proxy POP3 en Barra de menú ‣ Proxy ‣ POP3.

Advertencia

El escaneo de tráfico IMAP no se admite actualmente.

Con la funcionalidad del proxy de correo electrónico, el tráfico de entrada y salida del correo electrónico puede ser escaneado para verificar virus, correo no deseado y otras amenazas. Los correos electrónicos se bloquean si es necesario y, en ese caso, se notifica al usuario receptor y al administrador. Con la posibilidad de escanear correos electrónicos entrantes, el proxy de correo electrónico puede gestionar conexiones entrantes desde la interfaz ROJA y enviar el correo electrónico a uno o más servidores de correo internos. Por ello, es posible hacer funcionar un servidor propio de correo electrónico detrás del firewall sin tener que definir las normas adecuadas de reenvío de puerto.

La configuración del proxy SMTP se divide en cinco o seis pestañas (según la disponibilidad de Commtouch), cada una personalizada a los aspectos del proxy SMTP.

Configuración

Esta es la página principal de configuración para el proxy SMTP. El proxy SMTP se puede activar haciendo clic en el interruptor seleccionador. Cuando se activa, se puede elegir si el proxy SMTP debe estar activo, inactivo o transparente para cada zona activa:

activo

El proxy SMTP se encuentra activado para la zona y acepta solicitudes en el puerto 25.

modo transparente

Si el modo transparente se encuentra activado, todas las solicitudes del puerto 25 de destino serán interceptadas y reenviadas al proxy SMTP sin cambiar la configuración de los clientes. Esta opción no se encuentra disponible para la zona ROJA.

inactivo

El proxy SMTP no se encuentra disponible para esa zona.

Hay otras opciones disponibles, agrupadas en cuatro paneles que se pueden expandir al hacer clic en el icono .

Configuración de correo no deseado

En este panel existe la posibilidad de configurar spamassassin y amavisd-new, las dos aplicaciones de software utilizadas por el dispositivo Panda GateDefender para reconocer y filtrar el correo no deseado, al configurar las siguientes opciones:

Filtrar correo no deseado

Activa el filtro de correo no deseado y permite la configuración de opciones adicionales que aparecerán a continuación.

Motor de correo no deseado Commtouch

Activa el uso del motor antispam commtouch para filtrar los correos electrónicos.

Elegir gestión de correo no deseado

Existen tres acciones que se pueden aplicar a correos electrónicos que han sido identificados como no deseados:

• mover a la ubicación de cuarentena por defecto: Los correos electrónicos no deseados se moverán a la ubicación por defecto.
• enviar a la dirección de correo electrónico de cuarentena: Los correos electrónicos no deseados son reenviados a una dirección de correo electrónico ersonalizada que puede especificarse en el cuadro de texto dirección de correo electrónico no deseado en cuarentena que aparecerá al seleccionar esta opción.
• marcar como correo no deseado: El correo electrónico es marcado como no deseado antes de la entrega.

Asunto no deseado

Se añade un prefijo al asunto de todos los correos electrónicos marcados como no deseados.

Correos electrónicos utilizados para notificaciones de correo no deseado (administrador del correo no deseado)

La dirección de correo electrónico que recibirá una notificación por cada correo electrónico de coreo no deseado procesado.

Etiqueta de nivel de correo no deseado

Si la puntuación de correo no deseado de SpamAssassin es superior a este número, los encabezados de Estado de correo no deseado X y Nivel de correo no deseado X se agregan al correo electrónico.

Etiqueta de nivel de correo no deseado

Si la puntuación de correo no deseado de SpamAssassin es superior a este número, los encabezados de Asunto de no deseado e Flag de no deseado X se añaden al correo electrónico.

Nivel de cuarentena de correo no deseado

Cualquier correo electrónico que exceda esta puntuación de correo no deseado será movido a la ubicación de cuarentena.

Enviar notificación únicamente debajo del nivel

Envía correos electrónicos de notificación únicamente si la puntuación del correo no deseado se encuentra por debajo de este número.

Filtro de correo no deseado

Activa la lista gris de correo no deseado y muestra la siguiente opción.

Demora en lista de grises (seg)

La demora en segundos de la lista de grises puede ser un valor entre 30 y 3600.

Conversión a japonés

Marcar este cuadro para activar el soporte para conjuntos de caracteres en japonés en correos electrónicos y filtrar correos electrónicos no deseados japoneses.

Nota

Si bien la mayoría de los mensajes de correo no deseado son simples y conocidos, y los correos no deseados enviados por hosts conocidos se encuentran bloqueados, los spammers siempre adaptarán sus mensajes para sortear los filtros de correo no deseado. Por consiguiente, es absolutamente necesario entrenar siempre al filtro del correo no deseado para alcanzar un filtro personalizado y más fuerte (bayes).

Configuración del virus

En este panel se pueden configurar algunas opciones para administrar cualquier virus encontrado.

Escanear correo para analizar si contiene virus

Activar el filtrado de correos electrónicos para buscar virus y revelar las opciones de filtro de virus adicionales.

Elegir gestión de virus

Existen tres o cuatro acciones disponibles (según el tipo de dispositivo Panda GateDefender) que se pueden desarrollar en correos electrónicos que han sido reconocidos como no deseados. Son las mismas que en la Configuración de correo no deseado arriba:

• mover a la ubicación de cuarentena por defecto: los correos electrónicos que contengan virus se enviarán a la ubicación por defecto.
• enviar a dirección de correo electrónico de cuarentena: los correos electrónicos que contienen virus son reenviados a una dirección de correo electrónico personalizada que puede ser especificada en el cuadro de texto dirección de cuarentena de virus que aparecerá al seleccionar esta opción.
• enviar al destinatario (sin importar el contenido potencialmente peligroso): los correos electrónicos que contienen virus serán entregados normalmente.

Correo electrónico utilizado para notificaciones de virus (administrador de virus)

La dirección de correo electrónico que recibirá una notificación por cada correo electrónico que contiene virus procesado.

Configuración de archivos

Este panel contiene ajustes para bloquear cualquier archivo adjunto a un correo electrónico según su extensión. Cuando se encuentren esas extensiones de archivo en cualquier adjunto, se realizará la acción seleccionada.

Bloquear archivos según extensión

Activa el filtro de archivos en base a su extensión y revela opciones de filtro de virus adicionales.

Elegir gestión de archivos bloqueados

Existen tres o cuatro acciones disponibles (según el tipo de dispositivo Panda GateDefender) que se pueden desarrollar en correos electrónicos que tienen archivos bloqueados (son las mismas que en los recuadros previos de Configuración de correo no deseado y Configuración de virus):

• mover a la ubicación de cuarentena por defecto: los correos electrónicos que contengan archivos bloqueados se enviarán a la ubicación por defecto.
• enviar a dirección de correo electrónico de cuarentena: los correos electrónicos que contienen archivos bloqueados son reenviados a una dirección de correo electrónico personalizada que puede ser especificada en el cuadro de texto Correo electrónico utilizado para notificaciones de archivo bloqueado que aparecerá al seleccionar esta opción.
• enviar al destinatario (sin importar los archivos bloqueados): los correos electrónicos que contengan archivos bloqueados se enviarán con normalidad.

Elegir tipos de archivos a bloquear (por extensión)

Las extensiones de archivo a ser bloqueadas.

Correo electrónico utilizado para notificaciones de archivo bloqueado (administrador de archivos)

La dirección de correo electrónico que recibirá una notificación por cada correo electrónico procesado que contiene adjuntos bloqueados.

Bloquear archivos con extensión doble

Activa el bloqueo de cualquier archivo con extensión doble.

Nota

Los archivos con extensión doble generalmente son archivos maliciosos que aparecen como imágenes o documentos inofensivos, pero cuando se hace clic sobre ellos, se ejecuta una aplicación que tiene el objetivo de dañar el ordenador o robar datos personales. Un archivo con extensión doble es exactamente igual a un archivo normal, pero cuyo nombre (por ejemplo, image.jpg) es seguido por .exe, .com, .vbs, .pif, .scr, .bat, .cmd o .dll (por ejemplo, image.jpg.exe).

Es necesario configurar los dominios de correo electrónico por los cuales cada servidor local debe ser responsable. La lista de combinaciones de dominio-servidor SMTP puede definirse en Barra de menú ‣ Proxy ‣ SMTP ‣ Dominios de entrada.

Bypass proxy transparente

En el último panel, se pueden definir listas personalizadas de dominios para los cuales el proxy transparente se debe deshabilitar.

Bypass proxy transparente desde SUBRED/IP/MAC

Los correos electrónicos desde estas fuentes no se encuentran sujetos al proxy transparente.

Bypass proxy transparente a SUBRED/IP

Los correos electrónicos enviados a estos destinos no se encuentran sujetos al proxy transparente.

Listas negras y blancas

En esta página hay cuatro paneles: Tres permiten definir varias listas blancas y negras personalizadas, mientras que la cuarta permite seleccionar y utilizar un RBL existente.

Correo aceptado (Listas blancas y negras)

En el primer panel se puede introducir cualquier cantidad de dominios, subdominios o direcciones únicas de correo electrónico en una lista negra o blanca. En las dos listas se puede introducir cualquier cantidad de remitentes, destinatarios y clientes en las áreas de texto adecuadas de la siguiente forma:

Remitente de lista blanca

Todos los correos electrónicos enviados desde estas direcciones o dominios serán aceptados. Este es el campo De: en el correo electrónico.

Remitente de lista negra

Todos los correos electrónicos enviados desde estas direcciones o dominios serán rechazados. Este es el campo De: en el correo electrónico.

Destinatario de lista blanca

Todos los correos electrónicos enviados a estas direcciones o dominios serán aceptados. Este es el campo Para: en el correo electrónico.

Destinatario de lista negra

Todos los correos electrónicos enviados a estas direcciones o dominios serán rechazados. Este es el campo Para: en el correo electrónico.

Cliente de lista blanca

odos los correos electrónicos enviados desde estas direcciones IP o hosts serán aceptados.

Cliente de lista negra

Todos los correos electrónicos enviados desde estas direcciones IP o osts serán rechazados.

Ejemplos de listas blancas y negras para remitente/destinatario:

Todo el (sub)dominio puede encontrarse en la lista blanca o negra, de esta forma:

• Un dominio incluyendo subdominios: ejemplo.com.
• Solo los subdominios: ejemplo.com.
• Una dirección única: info@ejemplo.com, admin@ejemplo.com.

Ejemplos de listas blancas y negras para cliente:

• Un dominio o IP ejemplo.com, 10.10.121.101, 192.168.100.0/24.

Lista negra de tiempo real (RBL)

El método a menudo utilizado para bloquear correos electrónicos no deseados se denomina RBL, y su uso puede configurarse en el segundo panel. Estas listas son creadas, administradas y actualizadas por diferentes organizaciones con el propósito de identificar lo más rápidamente posible el nuevo servidor SMTP utilizado para enviar correo no deseado y bloquearlo. Si un dominio o dirección IP aparece en una de las listas negras, los correos electrónicos enviados desde allí serán rechazados sin notificación. El uso de RBL ahorra ancho de banda, dado que los correos electrónicos no serán aceptados y manejados como correos electrónicos legítimos, sino que serán desestimados tan pronto se encuentre la dirección IP o el dominio del remitente en cualquier lista negra. El dispositivo Panda GateDefender utiliza muchos RBL diferentes, que se dividen en base IP y base dominio. La lista negra que pertenece a cada categoría aparece al hacer clic en el pequeño icono , que puede habilitarse o deshabilitarse al hacer clic en la flecha roja o verde en la parte superior de la lista o individualmente. Se puede acceder a la página de inicio de las varias organizaciones que compilan listas al hacer clic en el nombre de la lista. Entre las listas negras instaladas se encuentran:

bl.spamcop.net

Una lista negra basada en presentaciones de parte de sus usuarios.

zen.spamhaus.org

Esta lista remplaza la anterior sbl-xbl.spamhaus.org y contiene la lista bloqueada de Spamhaus además de la lista bloqueada de explotación de Spamhaus y su política de lista de bloqueo.

cbl.abuseat.org

El CBL toma sus datos fuente de excepciones de correo no deseado muy grandes. Únicamente lista las IP que muestran características que son específicas para proxies abiertos de varios tipos (por ejemplo, HTTP, socks, AnalogX, wingate, etc.) que han sido objeto de abuso para enviar correos no deseados, virus que hacen su propia transmisión de correos o algún tipo de troyano o spamware “sigiloso”, sin hacer ningún tipo de pruebas de proxy abierto.

[nombre].dnsbl.sorbs.net y rhsbl.dnsbl.sorbs.net

Esta organización suministra varias listas negras (reemplazar [nombre] con retransmisiones seguras, etc.), y pueden ser activadas individualmente o todas juntas al habilitar la lista negra dsnbl.sorbs.net.

uceprotect.net

Listas que tienen dominios de fuentes conocidas de correo no deseado durante al menos siete días. Después de este período, los dominios on eliminados de las listas, pero las futuras violaciones causan la aplicación de políticas más restrictivas.

dsn.rfc-ignorant.org

Esta es una lista que contiene dominios o redes IP cuyos administradores eligen no obedecer al RFC, los estándares de la red.

Nota

El sitio rfc-ignorant.org finalizó su servicio el 30 de noviembre de 2012 (consulte el anuncio), pero ha sido reemplazado porhttp://www.rfc-ignorant.de/. Para continuar utilizando esta RBL, haga clic en este último enlace y lea las instrucciones.

Advertencia

A veces puede suceder que las direcciones IP o dominios hayan sido incluidos en las listas por error por un operador de RBL. Si esto sucede, puede impactar negativamente en las comunicaciones, dado que incluso correos electrónicos legítimos de esos dominios serán rechazados sin la posibilidad de recuperarlos. Dado que no existe la posibilidad de influir directamente sobre RBL, es necesario considerar las políticas aplicadas desde las organizaciones que administran RBL antes de utilizarlas. Panda no se responsabiliza de ningún correo electrónico que pueda perderse utilizando RBL.

Nota

Los usuarios avanzados pueden modificar la lista desde el CLI, editando el archivo /var/efw/smtpscan/settings, y modificando el RBL variable.

Lista de grises de correo no deseado

En el tercer panel, las listas blancas con listas de grises pueden crearse al añadir entradas por cada destinatario, dirección IP o red en las dos áreas de texto. A los elementos de la lista blanca no se les aplicará ninguna lista de grises.

Destinatario de lista blanca

Todas las direcciones de correo electrónico o dominios completos escritos en este área de texto, por ejemplo, prueba@ejemplo.com o ejemplo.com, se consideran «seguros», es decir, los correos electrónicos que provengan de ellos no se comprobarán en busca de correo no deseado.

Cliente de lista blanca

Todas las direcciones del servidor de correo en esta área de texto son consideradas “seguras”, es decir, todos los correos electrónicos que vienen de esta dirección de servidor no serán verificadas en busca de correo no deseado.

Listas grises

Las listas grises son un método utilizado por un MTA para verificar si un correo electrónico es legítimo al rechazarlo una primera vez y esperar un segundo envío del mismo correo electrónico. Si el correo electrónico no se vuelve a recibir, el remitente se considera una fuente de correo no deseado. La idea tras las listas grises es que los robots de correo no deseado masivo no intenten reenviar ningún correo rechazado. Por lo tanto, solo se reenviarían correos electrónicos válidos.

Correo no deseado (Listas blancas y negras)

Finalmente, en el último panel, se definen las listas blancas y negras explícitas para el filtro de correo no deseado.

Remitente de lista blanca

Las direcciones de correo electrónico o dominios completos se pueden incluir en las listas blancas en esta área de texto (es decir, jamás se las analizará como correo no deseado), por ejemplo, prueba@ejemplo.com el dominio ejemplo.com.

Remitente de lista negra

Las direcciones de correo electrónico o dominios completos se pueden incluir en las listas negras en esta área de texto (es decir, siempre serán detectadas como correo no deseado), por ejemplo, prueba@ejemplo.com o el dominio ejemplo.com.

Dominios de entrada

Cuando el correo entrante se ha activado (es decir, los clientes fuera de la interfaz ROJA pueden enviar correos electrónicos desde un servidor SMTP local) y los correos electrónicos deben reenviarse a un servidor de correo detrás del dispositivo Panda GateDefender (normalmente configurado en la zona NARANJA), es necesario declarar los dominios que el proxy SMTP debe aceptar y a cuáles de los servidores de correo electrónico se debe reenviar el correo entrante. Se pueden especificar múltiples servidores de correo detrás del dispositivo Panda GateDefender para dominios diferentes.

La página presenta una lista de dominios junto con el servidor de correo responsable por cada uno de ellos, si se ha definido alguno. Para añadir un dominio nuevo, hacer clic en el botón Añadir un dominio: Se abrirá un formulario simple, donde se puede crear la combinación de dominio-servidor de correo.

Dominio

El dominio por el cual el servidor de correo es responsable.

IP del servidor de correo

La dirección IP del servidor de correo.

La nueva entrada aparecerá al pie de la lista.

Enrutamiento de correo

Esta opción permite enviar un CCO de un correo electrónico a una dirección de correo electrónico determinada y se aplica a todos los correos electrónicos enviados a un destinatario específico o desde una dirección de remitente específica. La lista muestra el sentido, la dirección y la dirección BCC, si corresponde. Para añadir una ruta de correo nueva, hacer clic en el botón Añadir ruta de correo: En el formulario que se abre se pueden configurar estas opciones:

Dirección

Seleccionar del menú desplegable si la ruta debe definirse para un remitente o destinatario del correo electrónico.

Dirección de correo

Según el sentido elegido, esta será la dirección de correo electrónico del destinatario o remitente a quien se debe aplicar la ruta.

Dirección CCO

La dirección de correo electrónico que es destinataria de la copia de los correos electrónicos.

Advertencia

Ni el remitente ni el destinatario serán notificados de la copia enviada a un tercero. En la mayoría de los países es altamente ilegal leer mensajes privados de otras personas, por lo tanto no haga un mal uso ni abuso de esta función.

Avanzado

En la última página de configuración del proxy SMTP hay opciones avanzadas de configuración disponibles, agrupadas en cuatro paneles, que pueden aparecer o esconderse al hacer clic en los iconos o a la izquierda del título del panel.

Configuración de Smarthost

En el primer panel se puede activar y configurar un smarthost. Si el servidor SMTP tiene una dirección IP dinámica, por ejemplo al utilizar una conexión de acceso telefónico a Internet ADLS, puede haber problemas al enviar correos electrónicos a otros servidores de correo, dado que esa dirección IP puede haber sido incluida en alguna RBL (ver Listas blancas y negras arriba) y, por ello, el servidor de correo remoto puede rechazar los correos electrónicos. En consecuencia, es necesario utilizar un smarthost para enviar correos electrónicos.

Smarthost para entrega

Marcar esta casilla para activar que un smarthost entregue correos electrónicos y muestre opciones adicionales.

Dirección de smarthost

La dirección del smarthost.

Puerto de smarthost

El puerto en donde el smarthost escucha, por defecto el 25.

Smarthost requiere autenticación

Marcar esta casilla si el smarthost requiere autenticación. Después se muestran las siguientes tres opciones adicionales.

Nombre de usuario de smarthost

El nombre de usuario utilizado para autenticación en el smarthost.

Contraseña de smarthost

La contraseña utilizada para autenticación en el smarthost.

Elegir método de autenticación

os métodos de autenticación requeridos por el smarthost: se admiten PLAIN, LOGIN, CRAM-MD5, y DIGEST-MD5. Se pueden elegir más métodos al mantener la tecla CTRL presionada y hacer clic en cada uno de los métodos deseados.

Nota

En pocas palabras, un smarthost es un servidor de correo utilizado por el proxy SMTP como el servidor de salida. El smarthost necesita aceptar los correos electrónicos y retransmitirlos. Normalmente, el servidor SMTP propio del proveedor es utilizado como smarthost, dado que aceptará retransmitir los correos electrónicos, mientras que otros servidores de correo no lo harán.

Servidor IMAP para autenticación SMTP

Este panel contiene las opciones de configuración para el servidor IMAP que se deben utilizar para la autenticación cuando se envían correos electrónicos. Estos ajustes son especialmente importantes para las conexiones de entrada del SMTP que son abiertas desde la zona ROJA. Se pueden configurar los siguientes ajustes:

Activar autenticación SMTP con servidor IMAP

Marcar esta casilla para permitir la autenticación IMAP y ver opciones adicionales.

Elegir cantidad de demonios de autenticación

La cantidad de inicios de sesión concurrentes que son posibles a través del dispositivo Panda GateDefender.

Servidor IMAP de autenticación

La dirección del servidor IMAP.

Puerto IMAP de autenticación

El puerto en el cual el servidor IMAP escucha, por defecto el 143 para IMAP sin formato o 993 para IMAP sobre SSL.

Configuración del servidor de correo

En este panel, se pueden definir varios de los parámetros del servidor SMTP.

Requerir SMTP HELO

Cuando esta casilla está marcada, el cliente que se está conectando debe enviar un comando HELO (o EHLO) al comienzo de una sesión SMTP.

Nombre de host inválido

Rechazo del cliente en conexión cuando el parámetro HELO o EHLO del cliente provee un nombre de host no válido.

Nombre SMTP HELO

El nombre de host a enviar con el comando SMTP EHLO o HELO. El valor por defecto es el REDIP, pero se puede proveer un nombre de host o dirección IP personalizados.

Siempre CCO para enviar

Una dirección de correo electrónico aquí que recibirá un CCO de cada mensaje que pase por el proxy SMTP.

Elegir idioma de plantilla de correo

El idioma en el que se deben enviar los mensajes de error.

Verificar dirección del destinatario

Activar para verificar la dirección válida del destinatario antes de enviar el mensaje.

Elegir límite de error grave

La cantidad máxima de errores que un cliente SMTP puede producir sin enviar un correo. El servidor proxy SMTP se desconecta una vez que se excede este límite (por defecto 20).

Elegir tamaño máximo de contenido de correo electrónico

El tamaño máximo para un único mensaje de correo electrónico.

HELO/EHLO y nombre de host

Casi todos los servidores de correo requieren que los clientes se conecten a través de SMTP y se anuncien con un nombre del host válido junto con el HELO/EHLO, o bien que interrumpan la conexión. Sin embargo, el dispositivo Panda GateDefender utiliza su propio nombre de host para anunciar servidores de correo electrónico extranjeros que en ocasiones no son públicamente válidos dentro del DNS global.

Si ese es el caso, se puede configurar otro nombre del host personalizado en Barra de menú ‣ Proxy ‣ SMTP ‣ Avanzado ‣ Configuración del servidor de correo ‣ Nombre 'SMTP HELO', que el servidor de correo remoto pueda entender.

En lugar de un nombre del host personalizado, incluso se puede proporcionar una dirección IP entre corchetes (por ejemplo, [192.192.192.192]), que debe ser la dirección IPROJA.

Prevención de correo no deseado

Finalmente, en este último panel los parámetros adicionales para el filtro de correo no deseado se pueden definir al marcar una o más de las cuatro casillas.

Rechazar destinatario inválido (no FQDN)

Rechazo de la solicitud cuando la dirección RCPT TO no se encuentra en formato FQDN, según lo requiere el RFC 821.

Rechazar remitente inválido (no FQDN)

Rechazo del cliente en conexión si el nombre del host proporcionado con el comando HELO o EHLO no se encuentra en formato FQDN, según lo requiere el RFC 821.

Rechazar dominio de destinatario desconocido

Rechazo de la conexión si el dominio de la dirección de correo electrónico del destinatario no tiene un registro DNS A o MX.

Rechazar dominio de remitente desconocido

Rechazo de la conexión si el dominio de la dirección de correo electrónico del remitente no tiene un registro DNS A o MX.

Resolución de problemas para proxy SMTP.

Cuando aparece el mensaje “El correo para xxx vuelve a mí” en el registro de archivos, es indicativo de una desconfiguración en el nombre SMTP HELO personalizado en el dispositivo, que es igual al nombre de host del servidor interno al cual se deben reenviar correos electrónicos de entrada.

En ese caso la conexión SMTP recibida desde el servidor de correo interno contendrá un nombre del host (el de la línea HELO desde la configuración de proxy SMTP), que es el mismo que el nombre del host del servidor de correo interno, por lo que el servidor de correo interno cree que envía y recibe el mismo correo electrónico, lo que genera el mensaje de error.

Las posibles soluciones son:

• Cambiar el nombre del host del servidor de correo interno.
• Crear un Registro A públicamente válido dentro de la zona DNS que también señala al dispositivo Panda GateDefender y utilizar este nombre de host como línea HELO dentro del proxy SMTP.
• Utilizar la dirección numérica IP del enlace activo como línea HELO.

Antispam

Esta página incluye ajustes de configuración para el motor anti correo no deseado de Commtouch. Se pueden configurar las siguientes opciones:

Habilitar circuito corto de spamassassin

Marcar esta casilla para saltar spamassassin cuando Commtouch marque un mensaje como correo no deseado.

Ignorar IP/Redes

Aquí se pueden definir las IP y redes que no deben ser verificados por commtouch.

En la sección de nivel de etiqueta de CORREO NO DESEADO se pueden configurar las siguientes opciones:

CONFIRMADO

Todo correo con un nivel de etiqueta superior a este valor se reconocerá como no deseado (entre -10 y 10).

MASIVO

Todo correo con nivel de etiqueta superior a este valor será reconocido como masivo (entre -10 y 10).

SOSPECHOSO

Todo correo con nivel de etiqueta superior a este valor se considerará sospechoso (entre -10 y 10).

DESCONOCIDO

Todo correo con nivel de etiqueta por debajo de este valor se clasificará como desconocido (entre -10 y 10).

NO SPAM

Todo correo con un nivel de etiqueta inferior a este valor se reconocerá como válido (entre -10 y 10).

DNS

El proxy DNS es un servidor proxy que intercepta consultas DNS y las responde, sin tener que conectarse con un servidor DNS remoto cada vez que haya que resolver una dirección IP o un nombre del host. Cuando se repite una misma consulta a menudo, almacenar sus resultados en caché puede mejorar sensiblemente el rendimiento. Las configuraciones disponibles para el proxy DNS se agrupan en tres pestañas.

Proxy DNS

El proxy DNS se puede activar como transparente para las zonas VERDE, NARANJA y AZUL si están activas, al marcar la casilla adecuada. Se pueden configurar fuentes y destinos para evitar el proxy completando sus valores en el área de texto. Las fuentes pueden especificarse como direcciones IP, redes o direcciones MAC, mientras que los destinos pueden especificarse como direcciones o redes.

Enrutamiento de DNS

En esta página aparece una lista de servidores de nombres personalizados que deben utilizarse para un dominio determinado, a los cuales se puede agregar nuevas combinaciones de servidor de nombres/dominio al hacer clic en el enlace Agregar nuevo servidor de nombre personalizado para un dominio. Al agregar una entrada, se pueden introducir varios valores para las diferentes opciones disponibles:

Dominio

El dominio para el cual utilizar el servidor de nombre personalizado.

Servidor DNS

La dirección IP del servidor de nombre.

Observación

Un comentario adicional.

Antispyware

Esta página presenta opciones de configuración acerca de la reacción del dispositivo Panda GateDefender cuando se le pide resolver un nombre de dominio que se conoce por ser utilizado para propagar spyware. Las opciones que se pueden configurar son:

Activada

Las solicitudes son redireccionadas a un host local. En otras palabras, no se podrá contactar ni acceder al sitio remoto.

Dominios de listas blancas

Los nombres de dominio que se introducen aquí no son tratados como objetivo de spyware, independientemente del contenido de la lista.

Dominios de listas negras

Los nombres de dominio que se introducen aquí siempre son tratados como objetivo de spyware, independientemente del contenido de la lista.

Cronograma para actualizaciones de lista de dominios de spyware

La frecuencia de actualización de la lista de dominios de spyware. Las elecciones posibles son Por hora, Diariamente, Semanalmente y Mensualmente. Al mover el cursor del ratón sobre el respectivo signo de pregunta, se muestra el tiempo de ejecución de actualización exacto.