Navegación

El menú de servicios

En esta página se especifica la información siguiente:

El dispositivo Panda GateDefender incluye muchos servicios útiles para prevenir amenazas y monitorizar las redes y demonios en funcionamiento, cuya activación y configuración se explica en esta sección. En particular, entre ellos, destacamos los varios servicios proxy, como el motor antivirus, además del sistema de detección de intrusos, alta disponibilidad y monitorización de tráfico. Los servicios disponibles aparecen como elementos en la lista del submenú a la izquierda de la pantalla.

  • Servidor DHCP - Servidor DHCP para cesión automática de IP
  • DNS dinámico - Cliente para proveedores de DNS dinámicos, como DynDNS (para uso en el hogar / oficina pequeña)
  • Motor antivirus - configura el motor antivirus utilizado por los proxies de correo electrónico, web, pop y FTP
  • Servidor de horario - activar y configurar el servidor de horario NTP, ajustar la zona horaria o actualizar el horario manualmente
  • Cuarentena de correo: administración de correos electrónicos en cuarentena
  • Formación sobre correo no deseado - configurar formación para el filtro de correo no deseado utilizado por los proxies del correo
  • Prevención de intrusos - configurar snort, el IPS
  • Alta disponibilidad - configurar el dispositivo Panda GateDefender en una configuración de alta disponibilidad
  • Monitoreo de tráfico - activar o desactivar el monitoreo de tráfico con ntop
  • Servidor SNMP - activar o desactivar el soporte para el Protocolo de administración de red simple
  • Calidad de servicio - priorización de tráfico IP.

Servidor DHCP

El servidor DHCP es utilizado por los clientes (terminales y servidores) en las zonas controladas por el dispositivo Panda GateDefender para recibir una dirección IP (“asignación”) y permite el control de la dirección IP asignada a ellos de manera centralizada. Se pueden asignar dos tipos de préstamos a los clientes: dinámicos y fijos. La página del servidor DHCP está dividida en dos o tres cuadros, a saber DHCP, en donde se configura el servidor DHCP, Asignaciones actuales fijas, que muestra los préstamos fijos, y Asignaciones actuales dinámicas que solo aparece si al menos un cliente ha obtenido una asignación dinámica. Las asignaciones dinámicas son cargadas en una base de red dentro de un rango determinado que se configura en la primera casilla, mientras que las asignaciones fijas son cargadas en una base por hora y se configuran en la segunda casilla.

DHCP

Cuando un cliente (un host u otro dispositivo como una impresora en la red) se une a la red, automáticamente recibirá una dirección IP válida de un rango de direcciones y otros ajustes desde el servicio DHCP. El cliente debe estar configurado para utilizar DHCP, que a veces es denominado “configuración de red automática”, y a menudo es el ajuste por defecto en la mayoría de terminales. Las asignaciones dinámicas son configuradas en una base de zonas: por ejemplo, se los puede habilitar solo para los clientes en la zona VERDE, mientras que otras zonas activas solo reciben asignaciones fijas.

Sin embargo, es posible dejar también que los dispositivos en las zonas NARANJA (DMZ) o AZUL (WLAN) reciban asignaciones dinámicas.

Nota

Si la zona AZUL está activada pero administrada por el punto de acceso, aparece el mensaje La configuración DHCP es administrada por el hotspot, impidiendo que lo configure.

Para personalizar el parámetro DHCP para cada zona, haga clic en el pequeño icono expand junto a la etiqueta Configuración. Estas son las opciones disponibles:

Activada
Activa el servidor DHCP en la zona.
Dirección de inicio, Dirección de finalización

El rango de direcciones IP para ser suministradas a los clientes. Estas direcciones deben encontrarse dentro de la subred que ha sido asignada a la zona correspondiente. Si algunos hosts deben recibir una asignación fija (ver abajo), asegurarse de que sus direcciones IP no están incluidas en este rango ni en el rango del conjunto de direcciones de OpenVPN (ver Barra de menú ‣ VPN ‣ Servidor OpenVPN) para evitar conflictos.

Dejar esos dos campos en blanco asignará todo el rango IP de la zona para las asignaciones dinámicas.

Permitir solo asignaciones fijas
Marcar esta casilla para utilizar solo asignaciones fijas. No se destinará ninguna asignación dinámica.
Tiempo de asignación por defecto, Tiempo máximo de asignación
El tiempo por defecto y máximo en minutos antes de que la cesión venza y el cliente solicite una nueva asignación al servidor DHCP.
Sufijo del nombre de dominio
El sufijo del nombre de dominio que se pasa a los clientes y que será utilizado para búsquedas de dominio locales.
Puerta de enlace predeterminada
La puerta de enlace predeterminada a ser utilizada. Si se deja en blanco, se utiliza la puerta de enlace actual.
DNS primario, DNS secundario
El DNS utilizado por los clientes. Dado que el dispositivo Panda GateDefender contiene un servidor DNS caché, el valor por defecto es la propia dirección IP del firewall en la zona respectiva, aunque se puede cambiar un segundo servidor o incluso el valor primario.
Servidor NTP primario, Servidor NTP secundario
Los servidores NTP utilizados por los clientes, para mantener los relojes sincronizados.
Servidor WINS primario, Servidor WINS secundario
Los servidores WINS utilizados por los clientes. Esta opción solo se necesita para las redes de Microsoft Windows que utilizan WINS.

Los usuarios avanzados pueden querer agregar algunas líneas de configuración personalizadas para ser agregadas al archivo dhcpd.conf (por ejemplo, rutas personalizadas a subredes) al escribirlas en el área de texto al pie, marcadas con la etiqueta Líneas de configuración personalizada.

Advertencia

La interfaz del dispositivo Panda GateDefender no realiza ninguna verificación de sintaxis en esas líneas: ¡Cualquier error aquí puede inhibir que el servidor DHCP comience!

Ejemplos: Inicio de PXE y configuración de dhcpd.conf.

La personalización del servidor DHCP es útil en diferentes configuraciones de red.

Otro caso de uso común es el de los teléfonos VoIP que necesitan recuperar sus archivos de configuración de un servidor HTTP al momento del inicio. En este caso, los archivos también pueden residir en el dispositivo Panda GateDefender, para que la configuración del servidor tftp pueda ser pasado como línea adicional como la siguiente:

opción de nombre de servidor tftp "http://$GREEN_ADDRESS";
opción de nombre de archivo de inicio "download/snom/{mac}.html";

Nótese que el uso de $GREEN_ADDRESS que es un macro que es reemplazado en el archivo dhcpd.conf con el IP VERDE del dispositivo Panda GateDefender.

Asignaciones fijas actuales

A veces es necesario que determinados dispositivos utilicen siempre la misma dirección IP mientras que utilizan DHCP, por ejemplo servidores que proveen servicios como un cuadro VoIP, un repositorio SVN, un servidor de archivos, o dispositivos como impresoras o escáneres. Una asignación fija generalmente es denominada Dirección IP estática, dado que un dispositivo siempre recibirá la misma dirección IP al solicitar una asignación desde el servidor DHCP.

Esta casilla informa la lista de todas las asignaciones fijas actualmente activas en la red local, proporcionando información acerca de esa asignación. Al hacer clic en el enlace Añadir asignación fija, se pueden destinar nuevas asignaciones fijas a un dispositivo e introducir toda la información que aparecerá en la lista. Los dispositivos son identificados por sus direcciones MAC.

Nota

Destinar una asignación fija desde el servidor DHCP es muy diferente a configurar la dirección IP manualmente en un dispositivo. De hecho, en el último caso, el dispositivo aún contactará al servidor DHCP para recibir su dirección y para anunciar su presencia en la red. Cuando la dirección IP requerida por el dispositivo ya ha sido asignada, sin embargo, se otorgará una asignación dinámica al dispositivo.

Se pueden establecer los siguientes parámetros para las asignaciones fijas:

Dirección MAC
La dirección MAC del cliente.
Dirección IP
La dirección IP que siempre será asignada al cliente.
Descripción
Una descripción opcional del dispositivo que recibe la asignación.
Siguiente dirección
La dirección del servidor TFTP. Esta y las dos opciones siguientes son útiles solo en algunos casos (ver un ejemplo a continuación).
Nombre de archivo
El nombre de archivo de la imagen de inicio. Opción necesaria solo para clientes finos o inicio de la red.
Ruta root
La ruta del archivo de imagen de inicio.
Activada
Si esta casilla no está marcada, la asignación fija será almacenada pero no escrita en el archivo dhcpd.conf.

Un caso de uso para una asignación fija.

Un caso de uso que muestra la utilidad de una asignación fija es el caso de clientes finos o terminales sin disco en la red que utilizan PXE, es decir, inician el sistema operativo desde una imagen suministrada por un servidor tftp de red. Si el servidor tftp es admitido por el mismo servidor que el DHCP, el cliente fino recibe la asignación y la imagen desde el mismo servidor. Con más frecuencia, sin embargo, el servidor tftp es admitido por otro servidor en la misma red. Por lo tanto, el cliente debe ser redirigido a este servidor por el servidor DHCP, una operación que puede ser realizada fácilmente agregando una asignación fija en el servidor DHCP para el cliente fino, agregando una dirección siguiente y el nombre de archivo de la imagen para iniciar.

Además de la información suministrada durante la creación de la asignación fija, la lista permite que cada asignación sea activada o desactivada (al marcar la casilla), editada o eliminada, al hacer clic en los iconos de la columna Acciones. Editar una asignación abrirá el mismo formulario que la creación de una asignación nueva, mientras que eliminar una asignación la eliminará inmediatamente de la configuración.

Asignaciones dinámicas actuales

Cuando el servidor DHCP se encuentra activo, y al menos un cliente ha recibido una dirección IP (dinámica), aparece una tercera casilla al pie de página, que contiene la lista de las direcciones IP dinámicas actualmente asignadas. La lista informa las direcciones IP, las direcciones MAC, el nombre del host, el horario de vencimiento del préstamo asociado a cada cliente.

DNS dinámico

Un servidor DNS proporciona un servicio que permite resolver la dirección IP (numérica) de un host, dado su nombre de host, y viceversa, y funciona perfectamente para hosts con direcciones IP y nombres fijos.

Proveedores DDNS, como DynDNS o no IP, ofrecen un servicio similar cuando las direcciones IP son dinámicas, que en general es el caso cuando se utilizan conexiones ADSL residenciales: Cualquier dominio se puede registrar y asociar a un servidor con una dirección IP dinámica, que comunica cualquier cambio de dirección IP al proveedor DDNS. Para ser compatible e integrarse con los servidores DNS root, cada vez que la dirección IP cambia, la actualización debe propagarse activamente desde el proveedor de DDNS.

El dispositivo Panda GateDefender incluye un cliente DNS dinámico para 14 proveedores diferentes y si se los habilita, se conectará automáticamente al proveedor DNS dinámico para comunicar la nueva dirección IP cuando cambie.

Nota

Si no se ha configurado una cuenta DNS dinámica, están disponibles en el sitio Web de los proveedores las indicaciones precisas para registrar una nueva cuenta y las ayudas e instrucciones detalladas en línea.

Esta página muestra la lista de cuentas DNS dinámicas. De hecho, se puede utilizar más de un proveedor de DDNS. Para cada cuenta, la lista muestra información acerca del servicio utilizado, el nombre del host y nombre de dominio registrado, si el proxy anónimo y los comodines se encuentran activos, si está activado, y las posibles acciones. Se pueden crear cuentas nuevas haciendo clic en el enlace Añadir un host, proporcionando los siguientes parámetros:

Servicio
El menú desplegable muestra los proveedores de DDNS disponibles.
Detrás de un proxy
Esta opción solo aplica al proveedor de no ip.com. La casilla de verificación debe estar marcada si el dispositivo Panda GateDefender se conecta a Internet a través de un proxy.
Activar comodines
Algunos proveedores de DNS dinámicos permiten que todos los subdominios de un dominio apunten a la misma dirección IP. Esta es una situación en la que dos hosts como www.ejemplo.myddns.org y segundo.ejemplo.myddns.org se encuentran ubicados en la misma dirección IP. Marcar estas casillas activa la función, haciendo que todos los subdominios posibles se redirijan en la misma dirección IP. La función también debe configurarse en la cuenta en el servidor proveedor de DDNS, si se encuentra disponible.
Nombre de host y nombre de dominio
El nombre de host y de dominio son registrados con el proveedor de DDNS, por ejemplo “ejemplo” y “myddns.org”.
Usuario y Contraseña
Las credenciales otorgadas desde el proveedor de DNS dinámico para acceder al servicio.
Detrás del enrutador (NAT)
Activar esta opción si el dispositivo Panda GateDefender no está conectado directamente a Internet, es decir, hay otro enrutador o puerta de enlace antes de acceder a Internet. En este caso, se puede utilizar el servicio en http://checkip.dyndns.org para encontrar la dirección IP del enrutador.
Activada
Marcar esta casilla para activar la cuenta, que es la predeterminada.

Nota

Es necesario exportar un servicio a la zona ROJA para permitir el uso del nombre de dominio para conectarse al dispositivo Panda GateDefender desde Internet utilizando la dirección IP dinámica; dado que el proveedor DNS dinámico solo resuelve el nombre de dominio y no los servicios relacionados. Exportar un servicio en general puede involucrar establecer la redirección de puertos (ver Barra de menú ‣ Firewall ‣ Redirección de puertos / NAT).

Después de realizar un cambio en la configuración o para actualizar inmediatamente el DNS dinámico de todas las cuentas definidas, hacer clic en el botón Forzar actualización. Esto es útil, por ejemplo, cuando el enlace activo ha sido desconectado y el REDIP ha cambiado: Cuando esto sucede, se requiere actualizar todas las cuentas DDNS, de lo contrario no se podrá acceder a los servicios ofrecidos a través del DDNS.

Motor de antivirus

El dispositivo Panda GateDefender utiliza el motor de antivirus Panda para proteger su red de malware.

Se pueden configurar cuatro ciclos de actualización diferentes para las definiciones de malware o virus: cada hora, diariamente, semanalmente o mensualmente.

Las opciones de escaneo que pueden configurarse se agrupan en 3 secciones:

Análisis de contenido de archivos

Limpiar archivos infectados
Activa/desactiva la desinfección durante el escaneo de antimalware. Activando esta opción, se intentará desinfectar el malware detectado, mientras que desactivándola, se eliminará el archivo infectado sin intentar desinfectarlo. Valor por defecto: Desactivado.
Examina las jokes conocidas
Activa/desactiva el escaneo de malware conocido como «jokes». Valor por defecto: Desactivado.
Examina los dialers conocidos
Activa/desactiva el escaneo de malware conocido como «dialers». Valor por defecto: Desactivado.
Examina los spyware/adware conocidos
Activa o desactiva el examen de malware conocido como spyware/adware. Valor por defecto: Desactivado.
Examina las herramientas de piratería conocidas
Activa o desactiva el examen de malware conocido como herramientas de piratería. Valor por defecto: Desactivado.
Examina los riesgos de seguridad conocidos
Activa o desactiva el examen de malware conocido como riesgos de seguridad. Valor por defecto: Desactivado.
Examina las vulnerabilidades MIME conocidas
Activa/desactiva el examen de MIME en busca de vulnerabilidades. Valor por defecto: Desactivado.
Activa el análisis heurístico
Activa o desactiva el análisis heurístico de malware. Valor por defecto: Desactivado.
Nivel heurístico
Nivel de análisis heurístico. Los niveles que pueden definirse son: baja confidencialidad de detección, media confidencialidad de detección y alta confidencialidad de detección (por defecto).

Archivos empaquetados y/o comprimidos

Analiza los archivos comprimidos/empaquetados
Activa o desactiva el análisis del contenido de los archivos comprimidos/empaquetados. Valor por defecto: Desactivado.
Nivel máximo de recursividad
Nivel máximo de recursividad de los archivos comprimidos. Valor por defecto: 20.
Controlar tamaño de descompresión
Activa/desactiva el control del nivel máximo de descompresión de archivos. Valor por defecto: desactivado.
Tamaño máximo de descompresión
Tamaño máximo de descompresión permitido para los elementos sin comprimir en KB. Valor por defecto: 150000 KB.
Nivel máximo de anidamiento
Nivel máximo de anidamiento permitido para archivos comprimidos. Valor por defecto: 9990.

Extensiones de archivo

Extensiones de la lista blanca

Activa o desactiva el uso de la lista blanca de extensiones en el examen de antimalware. Valor por defecto: Desactivado.

Extensión lista blanca: lista de extensiones que se tendrán en cuenta durante el examen de antimalware.

Extensiones de la lista negra

Activa o desactiva el uso de la lista negra de extensiones en el examen de antimalware. Valor por defecto: Desactivado.

Lista negra de extensiones: lista de extensiones que se NO tendrán en cuenta durante el examen de antimalware. La lista negra se prioridad sobre la lista blanca.

Servidor de fecha y hora

El dispositivo Panda GateDefender utiliza NTP para mantener el horario de su sistema sincronizado con los servidores en Internet. Los ajustes se encuentran disponibles y agrupados en dos casillas.

Utilizar un servidor de horario de red

Varios servidores de horario en Internet están preconfigurados y son utilizados por el sistema, pero los servidores de horarios personalizados pueden especificarse después de marcar la casilla Sobrescribir servidores NTP preestablecidos. Esto puede ser necesario al ejecutar una configuración que no permite al dispositivo Panda GateDefender alcanzar Internet. Se pueden suministrar varias direcciones de servidores de horario, uno por línea, en el formulario pequeño que aparecerá.

Este cuadro solo muestra el ajuste de zona horaria actual, que también puede cambiarse seleccionando uno diferente desde el menú desplegable. Se puede realizar una sincronización inmediata al hacer clic en el botón Sincronizar ahora.

Ajustar manualmente

La segunda casilla ofrece la posibilidad de cambiar el horario del sistema de manera manual. Si bien esto no es aconsejable, esta acción es útil cuando el reloj del sistema no está corrido y se necesita una actualización inmediata del reloj del dispositivo Panda GateDefender para corregir la hora.

La sincronización automática utilizando servidores de horario no se realiza instantáneamente, sino que el reloj se “desacelera” o “acelera” un poco para recuperar y alinearse con el horario correcto, por lo tanto un sistema con un error importante en su horario puede requerir un largo período para ser corregido. En esos casos, forzar una sincronización manual representa una solución más drástica pero inmediata.

Cuarentena de correo

La cuarentena de correo es un lugar especial del disco duro del dispositivo Panda GateDefender donde se almacenan todos los correos electrónicos que el proxy SMTP reconoce como correo no deseado, malware, virus o archivos adjuntos sospechosos, en lugar de ser enviados. Aquí se pueden analizar esos mensajes de manera segura y tomar medidas para administrarlos. Para activar la cuarentena de correo, vaya a Barra de menú ‣ Proxy ‣ SMTP ‣ Configuración y en los cuadros Configuración de spam, Configuración del antivirus y Configuración de archivos, elija la opción “mover a la ubicación de cuarentena por defecto” de los menús desplegables.

La página de cuarentena de correo contiene una tabla con la lista de todos los correos almacenados en cuarentena. Por encima de esta se encuentra una barra de navegación para explorar los correos.

La tabla contiene la siguiente información sobre el correo guardado en la cuarentena.

Seleccionar
Una casilla de verificación que permite seleccionar uno o más mensajes y efectuar acciones en todos a la vez.
Motivo
El motivo del bloqueo en la entrega de un correo electrónico, que puede deberse a: Malware: el correo contiene virus u otros tipos de amenazas, Spam: correo electrónico no deseado, Prohibido: el correo contiene un archivo adjunto que no se puede enviar, y Encabezado erróneo: la información contenida en el encabezado no es válida.
Fecha
La fecha y hora de reubicación del correo electrónico en la cuarentena.
Tamaño
El tamaño del correo electrónico.
De
El remitente del correo electrónico.
Asunto
El asunto del correo electrónico.
Anexo
El número de documentos adjuntos del correo electrónico.
Acciones
Las cuatro iconos de esta columna representan las acciones disponibles: viewmail Ver el mensaje, dlmaildescargar el mensaje, mailrelliberar el mensaje y enviarlo al destinatario original y delmaileliminar el correo electrónico. Encontrará más detalles a continuación.

Dos botones situados debajo de la tabla permiten llevar a cabo acciones cuando hay más de un mensaje seleccionado en la tabla.

Liberar
Libera los mensajes seleccionados y los programa para su envío inmediato.
Eliminar
Elimina de forma permanente los correos electrónicos seleccionados.

Al hacer clic en el icono de ver mensaje, la lista de correos electrónicos se sustituye por una página dividida en tres cuadros, que muestra diversos detalles sobre el correo electrónico seleccionado.

Correo electrónico en cuarentena

Este cuadro muestra una vista más detallada de los datos del correo electrónico que figuran en la lista de correo: La razón por la que el correo electrónico fue enviado a la cuarentena, el remitente y los destinatarios, las direcciones en copia (CC), el asunto, la fecha y la hora de recepción y el tamaño del correo.

Encabezados

El encabezado completo original del correo electrónico, que puede proporcionar información útil, por ejemplo, sobre la ruta que ha seguido el correo.

Carga útil

Si el correo electrónico tiene uno o más archivos adjuntos, se muestran aquí junto con sus detalles. Además, cada archivo HTML adjunto se muestra con su código fuente completo.

En la parte inferior hay una opción disponible:

Eliminar de la cuarentena después de la liberación
El correo electrónico será eliminado de la cuarentena una vez que sea enviado al destinatario original.

Capacitación de spam

El dispositivo Panda GateDefender incluye SpamAssassin como motor para encontrar y luchar contra los correos electrónicos no deseados. Si bien tiene éxito en la mayoría de casos, SpamAssassin necesita ser entrenado para mejorar sus capacidades de interceptar correos electrónicos no deseados. La configuración de la capacitación del motor anti correo electrónico no deseado puede realizarse en esta página: De hecho, SpamAssassin puede aprender automáticamente qué correos electrónicos son no deseados y cuáles no lo son (los denominados correos ham). Para poder aprender, necesita conectarse a un host IMAP y verificar las carpetas predefinidas para mensajes no deseados y ham.

La página de SpamAssassin consiste de dos recuadros, uno que contiene una lista de hosts IMAP utilizada para aprender, con las posibilidades de administrarlo en varios niveles y otro para modificar la programación de las actualizaciones.

Fuentes para capacitación de correo no deseado vigente

El primer cuadro permite la configuración de las fuentes de capacitación, mediante dos enlaces que, después de hacer clic, revelarán dos paneles donde especificar los varios valores de configuración. La configuración predeterminada, que inicialmente se encuentra vacía, no es utilizada para capacitación, sino que solo proporciona valores que luego son heredados por las fuentes de capacitación reales que pueden ser agregadas justo a continuación. Al hacer clic en el enlace Editar configuración predeterminada, se pueden configurar estos ajustes:

Host IMAP por defecto
El host IMAP que contiene las carpetas de capacitación.
Nombre de usuario por defecto
El nombre de inicio de sesión para el host IMAP.
Contraseña por defecto
La contraseña del usuario.
Carpeta ham por defecto
El nombre de una carpeta que solo contiene mensajes ham. Puede ser, por ejemplo, una carpeta dedicada que almacena solo mensajes ‘limpios’, o incluso la Bandeja de entrada.
Carpeta predeterminada de correo no deseado
El nombre de una carpeta que solo contiene mensajes de correo no deseado.
Programar una formación de filtro de correo no deseado automático
El intervalo de tiempo entre dos verificaciones consecutivas, que puede ser desactivado o puede ser un intervalo por hora, día, semana o mes. El tiempo exacto programado aparece al mover el cursor del ratón sobre los signos de interrogación. Si la opción está deshabilitada, el motor antispam debe ser adiestrado manualmente.

Las fuentes de entrenamiento de correo no deseado pueden añadirse en el panel que aparece al hacer clic en el enlace Añadir fuente de entrenamiento de correo no deseado IMAP. Las opciones para los hosts de formación adicional son las mismas que las opciones de configuración por defecto, excepto para la programación, que siempre se hereda de la configuración por defecto, y para tres nuevas opciones disponibles.

Activada
La formación origen se usarán siempre que se adapte por medio de SpamAssassin. Si no se encuentra activado, la fuente no se utilizará durante la formación automática, sino únicamente en las manuales.
Observación
Un comentario acerca de esta fuente.
Eliminar correos procesados
Si los correos electrónicos deben ser eliminados después de haber sido procesados.

Las otras opciones se pueden definir como ocurría en la configuración predeterminada de fábrica y, cuando se especifica, se invalidar los valores de predeterminados. Para guardar la configuración de una fuente es necesario hacer clic en el botón Añadir fuente de capacitación después de haber establecido todos los valores deseados. Se pueden realizar varias acciones en una fuente: Se la puede activar, desactivar, editar, eliminar o se puede probar la conexión al hacer clic en el icono adecuado.

Hay dos acciones adicionales disponibles y se realizarán en todas las conexiones, al hacer clic en uno de los botones ubicados a la derecha superior del cuadro.

Probar todas las conexiones
Para verificar todas las conexiones a la misma vez. Esta función puede tomar un tiempo si se han definido muchas fuentes de entrenamiento o la conexión a los servidores IMAP es lenta.
Comenzar el entrenamiento ahora
Comenzar la capacitación inmediatamente. Es importante notar que el entrenamiento puede tardar bastante tiempo, dependiendo de muchos factores: La cantidad de fuentes, la velocidad de la conexión y sobre todo la cantidad de correos electrónicos que serán descargados.

Nota

El motor antispam también puede entrenarse de otro modo si el proxy SMTP se encuentra activado para correos entrantes además de salientes. Esto se realiza al enviar correos no deseados a spam@spam.spam. Los correos que no son no deseados pueden ser enviados a ham@ham.ham. Para que esto funcione es necesario que spam.spam y ham.ham puedan ser resueltos: Si no, estos dos nombres de host pueden agregarse a la configuración de host en Barra de menú ‣ Red ‣ Editar hosts ‣ Añadir un host en el dispositivo Panda GateDefender.

Cronograma para actualizaciones de reglas SpamAssassin

En esta casilla se puede programar la descarga automática de las firmas SpamAssassin entre las cuatro opciones: Por hora, diariamente, semanalmente y mensualmente.

Prevención de intrusos

El dispositivo Panda GateDefender incluye el conocido sistema de detección de intrusión (DNS) y prevención (IPS) snort, que directamente está construido en iptables, para interceptar y cortar conexiones desde fuentes no deseadas o de desconfianza.

La página contiene tres pestañas, Sistema de prevención de intrusos, Reglas y Editor.

Sistema de prevención de intrusos

Si snort no se encuentra activo, aparece un interruptor gris al lado de la etiqueta Activar sistema de prevención de intrusos en la página y se puede hacer clic para iniciar el servicio. Aparece un mensaje, informando que el servicio está siendo reiniciado y que luego de un intervalo pequeño, el cuadro contendrá algunas opciones para configurar el servicio.

Buscar reglas SNORT automáticamente
Marcar esta casilla permitirá que el dispositivo Panda GateDefender descargue automáticamente las reglas snort desde la Consola de administración perimetral Panda.
Elegir programación de actualización
La frecuencia de descarga de las reglas: Un menú desplegable permite elegir una opción de descarga por hora, día, semana o mes. Esta opción aparece solo si la opción anterior ha sido activada.
Personalizar reglas SNORT
Un archivo que contiene reglas SNORT personalizadas que se debe cargar. Elegir un archivo desde la ventana de selección de archivos que se abre al hacer clic en el botón Examinar y cargarlo al hacer clic en el botón Cargar reglas personalizadas.

Reglas

En la pestaña Reglas aparece la lista de conjunto de reglas almacenadas en el dispositivo Panda GateDefender, junto con la cantidad de reglas que contienen y las acciones que se puede realizar en ellas, que son para activar o desactivar un conjunto de reglas, cambiar su política, editar y eliminar un conjunto de reglas. Todas estas acciones, excepto la edición, pueden realizarse en más de un conjunto de reglas a la vez, al seleccionarlos (marcar la casilla a la izquierda de su nombre de archivo) y presionar en uno de los botones debajo de la lista.

Por defecto, la política de todos los conjuntos de reglas se establece en alerta. Este comportamiento se puede modificar al hacer clic en el icono de alerta para marcar la política en bloquear y el icono con un escudo rojo. Después de hacer clic en el botón Aplicar, ese conjunto de reglas no causará más alertas, pero todo el tráfico que coincida con sus reglas será bloqueado.

Un conjunto de reglas puede ser eliminado al hacer clic en el icono papelera, mientras que un clic en el icono lápiz redirige a la página Editor en donde se edita cada regla independientemente.

Editor

En la parte superior de la página Editor aparecen los conjuntos de reglas que se pueden editar. Para elegir más de un conjunto de reglas a la vez, sostener la tecla CTRL y hacer clic en los conjuntos de reglas.

Nota

Al editar un conjunto de reglas en la pestaña Reglas, la página Editor abrirá ese conjunto de reglas que ha sido seleccionado.

Después de seleccionar y hacer clic en el botón Editar, se muestra la lista de reglas incluidas en el conjunto (o conjuntos) de reglas seleccionado. La lista puede ser acotada al introducir algunos términos en el cuadro de texto junto a la etiqueta Buscar. Al igual que en la página Reglas, la política de cada entrada se puede cambiar.

Advertencia

Encender el IPS únicamente implica que snort está en funcionamiento, pero todavía no está filtrando el tráfico. Para que snort filtre paquetes, la política de filtro Permitir con IPS debe ser seleccionada en las reglas definidas en las varias páginas de configuración de Firewall.

Alta disponibilidad

El dispositivo Panda GateDefender se puede ejecutar en un modo HA, que puede configurarse fácilmente utilizando al menos dos dispositivos Panda GateDefender, uno de los cuales asume el rol de firewall activo (es decir, maestro), mientras que los demás son firewall en espera (es decir, esclavos).

Si el firewall maestro falla, se realiza una elección entre los esclavos y uno de ellos se volverá el nuevo maestro, siempre que haya una tolerancia a fallos transparente. Si solo hay un esclavo, inmediatamente adoptará las tareas del maestro y permitirá una transición perfecta al segundo dispositivo Panda GateDefender en el caso de una falla en el hardware en el dispositivo primario. Esto provee una disponibilidad de hardware sin precedentes y redundancia para funciones y seguridad de red críticas.

Para iniciar el servicio HA, se deben configurar al menos un dispositivo Panda GateDefender maestro y uno esclavo de acuerdo con las siguientes pautas.

Nota

El módulo de alta disponibilidad requiere al menos dos dispositivos Panda GateDefender absolutamente idénticos.

Un punto importante en el cual concentrarse al utilizar la alta disponibilidad es que se debe proveer un método de duplicación para cada conexión del dispositivo de Panda. Cada conexión de la unidad primaria (por ejemplo, WAN, LAN, etc.), debe ser replicada en todas las unidades en espera para asegurar que existan capacidades de réplica absolutas.

En este caso, cada red en el dispositivo Panda GateDefender (WAN, LAN, etc.) está conectado a un interruptor manejado externamente que tiene un VLAN asignado a cada red. Esta opción de uso consume la menor cantidad de puertos de red y provee una extensibilidad mejorada. Otra opción es reemplazar un interruptor de administración única (capaz de VLAN) con interruptores más pequeños, individuales para cada red (WAN, LAN, etc.). Esta configuración sin embargo puede no ser rentable y podría ser menos confiable dado que la falla de cualquier interruptor podría romper las fallas parcial o totalmente.

Advertencia

Dado que HA se ejecuta de forma automática en la red VERDE, el latido puede configurarse para ejecutarse en la conexión del interruptor o, alternativamente, un puerto Ethernet adicional puede asignarse a la red VERDE para conectar de manera directa el dispositivo maestro a la unidad esclava. La ventaja de añadir una conexión directa es que elimina el interruptor (y por lo tanto posibles fuentes de problemas, mejorando la confiabilidad general) de la ecuación de fallas. La decisión de implementar esta configuración puede depender en gran medida de la confiabilidad general del interruptor administrado (energía dual, índice de falla del puerto, términos de garantía, etc.). Por ello, cuanto más confiable/ redundante es la configuración del puerto, se vuelve menos crítico tener una conexión directa.

En esta página, solo hay un cuadro, que inicialmente contiene solo una opción:

Activar alta disponibilidad
Activar HA en el dispositivo Panda GateDefender, por defecto está desactivada.

Tras ser activada, aparece un segundo menú desplegable, Lado de alta disponibilidad, que permite configurar el dispositivo Panda GateDefender como maestro o esclavo. Dependiendo de esta elección, hay diferentes opciones de configuración disponibles. Configurar una unidad esclava, sin embargo, requiere que una unidad maestra haya sido establecida.

Para el lado maestro, se encuentran disponibles las siguientes opciones:

Administración de red
La subred especial a la cual todos los dispositivos Panda GateDefender que son parte de la misma configuración HA deben estar conectados, y por defecto es 192.168.177.0/24. A menos que esta subred sea utilizada para otros fines, no existe necesidad de cambiarla.
Dirección IP maestra
La primera dirección IP de la red de administración. Automáticamente está establecida en 1 en la red elegida, y por defecto es 192.168.177.1.
Notificación: dirección de correo electrónico del destinatario, Notificación: dirección de correo electrónico del remitente, Notificación: asunto del correo electrónico, Notificación: servidor SMTP que se utilizará
Estas opciones pueden completarse para ser notificadas por correo electrónico cuando ocurre un evento fallido. Están configurados de la misma manera que fueron configurados para otras notificaciones de eventos en Barra de menú ‣ Sistema ‣ Notificación de evento: Un remitente, destinatario y asunto personalizado del correo electrónico y un smarthost SMTP utilizados para enviar el correo electrónico.

Aparecerá un segundo cuadro después de haber activado el HA, con la lista de esclavos con sus direcciones IP, un enlace para acceder su GUI de administración y la posibilidad de eliminar un esclavo.

La red de administración de HA.

El dispositivo Panda GateDefender utiliza una red especial para conectar la unidad maestra a la esclava: 192.168.177.0/24. Si esta red ha sido utilizada en otras zonas, ninguna de las redes definidas es eliminada ni se debe hacer ningún cambio en ellas. De hecho, en tal caso, simplemente asigne a la red de administración de HA un rango de direcciones IP diferentes, por ejemplo, 172.19.253.0/24 o 10.123.234.0/28. Cabe mencionar que el único requisito de la red de administración es que debe ser lo suficientemente grande como para acomodar al maestro y los esclavos, por consiguiente si solo hay un dispositivo maestro y uno esclavo, incluso una red pequeña como la 192.168.177.0/29 debería ser suficiente. La red de administración será creada como interfaz en la red VERDE, y se mostrará como tal en el dispositivo o al visualizar el estado de la red.

Advertencia

Asegúrese de que la red de administración pueda alcanzarse desde una configuración LAN actual, ¡o no será posible introducir a la unidad maestra!

Luego de que la unidad maestra ha sido configurada, se puede configurar el segundo dispositivo Panda GateDefender, que será el esclavo. Los mismos procedimientos deben seguirse para configurar a cada esclavo adicional.

Advertencia

Se recomienda hacer un backup de la unidad esclava antes de configurarla y guardarla en un sitio seguro, dado que puede ser útil restablecer una unidad esclava después de haberla eliminado de su rol.

Para el lado esclavo, se encuentran disponibles las siguientes opciones:

Dirección IP maestra
La dirección IP de la unidad maestra, que por defecto es 192.168.177.1/24 si la red de administración no se cambió. Este valor debe coincidir con el que aparece como valor de la opción Dirección IP maestra en la unidad maestra.
Contraseña de root principal
La contraseña del usuario de consola root (¡no la interfaz de administración gráfica!) en la unidad maestra.

Estos datos serán utilizados por el esclavo para recuperar del maestro toda la información necesaria y mantener la sincronización.

Al guardar la configuración, la conexión al dispositivo se pierde temporalmente, dado que se crea la red de administración y luego los dos dispositivos (el maestro y el esclavo definido actualmente) comienzan a sincronizarse.

Después de que el proceso de sincronización se completa, el esclavo no puede ser alcanzado a través de su dirección IP anterior (ya sea la predeterminada de fábrica o su dirección VERDE anterior), dado que ha entrado en modo en espera y está conectado al maestro solo a través de la red de administración. Todo cambio realizado en la unidad primaria (activación de un servicio, cambio de un ajuste, eliminación de un usuario VPN, y demás) automáticamente será sincronizado con las unidades esclavas con excepción de las actualizaciones o backups de dispositivos (estos deben realizarse de manera manual en la unidad esclava).

Además, la unidad esclava de Panda automáticamente aparecerá en la lista maestra de esclavos y se cambiará a una interfaz web únicamente informativa a la que se puede acceder desde el maestro, siguiendo el enlace Ir a administración de GUI junto a cada una de las entradas de la lista de esclavos.

La dirección ROJA MAC

Durante la falla del HA, la dirección de la interfaz ROJA MAC no es replicada en la unidad esclava. Esto puede significar un problema si el ISP requiere el uso de la configuración IP permanente. En esta situación, la dirección IP asignada desde el ISP se determina desde la dirección MAC de la interfaz de red del cliente, de manera similar a una IP fija asignada desde un servidor DHCP a un cliente. Para evitar esta situación, es necesario utilizar la función de suplantar la dirección de MAC en la interfaz ROJA para que HA funcione adecuadamente. Esto asegurará que cuando el HA sea activado la dirección MAC cargue la unidad en espera y no requiera intervención manual. Esto puede lograrse en el esclavo, antes de activarlo, marcando la opción Utilizar dirección MAC personalizada en Barra de menú ‣ Red ‣ Interfaces ‣ Editar enlace activo principal ‣ Configuración avanzada y especificar la dirección MAC de la interfaz ROJA en el maestro. Alternativamente, la dirección MAC puede introducirse en el paso 4 del asistente de instalación de red, escribiendo la dirección MAC principal en la opción Suplantar la dirección MAC con.

Monitorización de tráfico

La monitorización de tráfico se realiza por ntop y puede ser activada o desactivada al hacer clic en el interruptor principal de esta página. Una vez que la monitorización de tráfico se encuentra activada, aparece un enlace a la interfaz de administración de monitorización en la sección inferior de la página. La interfaz de administración es proporcionada por ntop, funciona en el puerto 3001, e incluye estadísticas de tráfico detalladas. ntop muestra resúmenes además de información más fina. El tráfico puede se puede analizar por el host, protocolo, interfaz de red local y muchos otros tipos de información. Hay varias opciones de configuración disponibles; para obtener más información acerca de ntop, consulte Acerca de ‣ Documentos en línea en la interfaz de administración de ntop o visite la página de documentación de ntop.

Servidor SNMP

El SNMP se utiliza para monitorizar dispositivos adheridos a red, y se puede utilizar, por ejemplo, para controlar el estado de la infraestructura interna.

Para activar el servidor SNMP es suficiente hacer clic en el interruptor gris junto a la etiqueta Activar servidor SNMP. Una vez realizado, aparecerán algunas opciones en la casilla Configuración.

Cadena comunitaria
Una clave necesaria para leer los datos con un cliente SNMP.
Ubicación
Una cadena de identificación que puede establecerse a cualquier cosa, pero se recomienda que describa la ubicación del dispositivo Panda GateDefender.
Sobrescribir dirección de correo electrónico para notificación global
El servidor SNMP requiere configurar una dirección de correo electrónico como contacto de sistema. Por defecto se utiliza la dirección de correo electrónico global proporcionada durante el proceso de instalación. No obstante, para utilizar una dirección de correo electrónico personalizada, marcar la casilla y escribir una dirección de correo electrónico personalizada en el campo Dirección de correo electrónico para contacto del sistema que se activará debajo.

Calidad de servicio

El objetivo del módulo QoS es priorizar el tráfico IP que va desde el dispositivo Panda GateDefender dependiendo del servicio. En otras palabras, el QoS es una manera conveniente de reservar una determinada cantidad de ancho de banda disponible (entrante y saliente) para un servicio determinado. Las aplicaciones que típicamente necesitan ser priorizadas sobre tráfico masivo son servicios interactivos, por ejemplo SSH o VoIP.

Las opciones de configuración de QoS se encuentran organizadas en tres pestañas: Dispositivos, Clases y Reglas.

Dispositivos

La pestaña Dispositivos también es la página inicial del QoS e inicialmente está vacía. Una vez cargada, aparece una tabla que muestra una lista de todos los dispositivos de Calidad de Servicio (QoS), algunos parámetros y las acciones disponibles.

Se pueden agregar nuevos QoS al hacer clic en el enlace Crear elemento nuevo arriba de la lista y configurar algunas opciones.

Dispositivo objetivo
La interfaz de red que será utilizada por estos dispositivos. Las elecciones se encuentran entre las interfaces de red o zonas habilitadas en el sistema y pueden seleccionarse desde un menú desplegable.
Ancho de banda de bajada (kbits/s)
La velocidad de bajada de la interfaz.
Ancho de banda de subida (kbits/s)
La velocidad de subida de la interfaz.
Activada
Activar los QoS (por defecto) o no.

Las acciones disponibles en los dispositivos son editar, activar/desactivar, o eliminar un dispositivo y se pueden realizar al hacer clic en los iconos respectivos. Al editar un dispositivo, se abre el mismo formulario que cuando se agrega un dispositivo nuevo, donde modificar los parámetros actuales del dispositivo.

Por cada dispositivo añadido, aparecerán cuatro elementos bajo la pestaña Clases: Tres para prioridad alta, mediana y baja, respectivamente, y uno para tráfico masivo (ver abajo).

Clases

Esta pestaña muestra una lista de las clases de Calidad de servicio que han sido creadas, si corresponde. Para cada entrada, se muestran varios datos. Se pueden añadir elementos al hacer clic en el enlace Crear elemento nuevo arriba de la lista de clases. Los parámetros para configurar son los mismos que aparecen en la lista:

Nombre
El nombre de la clase de Calidad de servicio.
Dispositivo
El dispositivo de la Calidad de servicio para el que se creó la clase.
Reservado
El porcentaje de ancho de banda reservado para esta clase desde el ancho de banda disponible total del dispositivo.
Límite
El porcentaje de ancho de banda máximo que esta clase puede utilizar.
Prioridad
La prioridad de la clase.

Nota

La suma de los porcentajes reservados no puede ser superior a 100 por dispositivo. Además, el ancho de banda reservado no puede ser superior al límite del ancho de banda.

Las acciones disponibles son editar, mover, y eliminar una clase al hacer clic en el icono respectivo. Las clases pueden moverse hacia arriba o abajo en la lista: Los elementos más cercanos a la parte superior de la lista son los primeros en ser procesados cuando el ancho de banda no es suficiente para todo el tráfico y el dispositivo Panda GateDefender necesita elegir qué tráfico priorizar.

Reglas

La tercera pestaña muestra una lista de las Reglas de calidad de servicio definidas y permite especificar qué tipo de tráfico debe pertenecer a cada una de las clases. Para añadir una nueva regla de Calidad de servicio, hacer clic en el enlace Añadir regla de calidad de servicio. En el formulario que se abre, que es muy similar al utilizado para definir las reglas de firewall, se deben configurar varios valores. Se utilizan muchos menús desplegables para facilitar las elecciones y guiarlo durante la configuración.

Fuente
Elija del menú desplegable la fuente de tráfico, ya sea una zona o interfaz, una red, dirección IP o MAC. Se especificarán diferentes valores, según la elección: una zona o interfaz de las disponibles entre las que aparecen o una o más direcciones IP, redes o direcciones MAC.
Dispositivo de destino/Clase de tráfico
Elegir el dispositivo/clase desde el menú desplegable y luego las direcciones IP o redes de destino.
Servicio/Puerto, Protocolo
Los siguientes dos menús desplegables se utilizan para definir el servicio, protocolo, y un puerto de destino para la regla (cuando se seleccionan los protocolos TCP, UDP, o TCP + UDP). Existen algunas combinaciones predefinidas de servicio/protocolo/puerto, como HTTP/TCP/80, <ALL>/TCP+UDP/0:65535, o <ANY>, que es un atajo para todos los servicios, protocolos y puertos. Finalmente, en el Puerto de destino, se pueden suministrar uno o más números de puertos personalizados (esto es útil cuando algún servicio no funciona en un puerto estándar).
TOS/DSCP
El tipo de valor TOS o DSCP a igualar. Consultar aquí para obtener una descripción.
Igualar tráfico
Elegir TOS o clase DSCP en el menú desplegable anterior permite seleccionar un valor adecuado para que el tráfico coincida con otro menú desplegable. De lo contrario, la elección Valor DSCP permite introducir un valor personalizado que debe coincidir con la regla.
Comentario
Un comentario para identificar esta regla.
Activada
Marcar esta casilla para habilitar la regla.

Nota

Si hay más de un servicio en una clase de Calidad de servicio, entonces todos los servicios compartirán el ancho de banda reservado.

Contenidos

Tema anterior

El menú de red

Próximo tema

El menú del firewall

Navegación

© Copyright 2012, Panda Security SL. Última actualización: 4 de febrero de 2013.