Introducción

El Manual de referencia del dispositivo Panda GateDefender se divide en secciones que siguen la organización de los módulos de la aplicación.

El resto de esta sección contiene información básica sobre esta guía y sobre cómo realizar los primeros pasos con el dispositivo Panda GateDefender. Asimismo, presenta algunos conceptos importantes y describe las partes más relevantes de la GUI.

Convenciones utilizadas en este documento

Para facilitar la lectura y mejorar la claridad de este documento, se utilizan diferentes convenciones:

Al mover el ratón sobre determinados términos, se muestra una Ventana de ayuda.

Esto es un cuadro para un ejemplo.

Los cuadros como este contienen ejemplos de configuraciones o instrucciones prácticas breves para la instalación rápida de alguna función o algún servicio descritos en el documento principal.

Además, se utiliza letra cursiva para resaltar objetos no interactivos o etiquetas dentro de la GUI web, mientras que una palabra (o palabras) subrayada con rayas indica un objeto que requiere interacción del usuario, es decir, hacer clic sobre un botón o abrir un hipervínculo.

Se utilizan advertencias para marcar elementos, acciones o tareas que requieren atención especial:

Advertencia:

si cambia este valor, el servicio se reiniciará.

Nota:

recuerde que puede modificarlo más tarde.

Sugerencia:

consejos sobre configuración de opciones

Un tema relevante o un ejemplo

En cuadros como este (“tema”), puede encontrar la explicación de algún tema que requiere una explicación no tan corta y que es relevante para el tema de la sección o para la configuración de alguna preferencia. Es posible que también incluya ejemplos o instrucciones rápidas. La parte inferior puede incluir uno o más hipervínculos a recursos en línea.

Es necesario hacer clic en todos los elementos de una secuencia como Barra de menú ‣ Firewall ‣ Redirección de puertos/DNAT ‣ Mostrar reglas del sistema, en la secuencia indicada, para llegar a una página o un elemento de configuración específicos. Este ejemplo muestra cómo llegar a la página que contiene la configuración de las reglas del sistema para el DNAT del firewall.

Por otro lado, en una secuencia como Barra de menú ‣ Firewall ‣ Redirección de puertos/DNAT ‣ [Lista de reglas] ‣ Editar, el signo [...] indica que existe un gran número de objetos (en este caso una lista de las reglas del firewall) entre los que hay que elegir uno para llevar a cabo la acción (Editar).

Estas secuencias pueden encontrarse dentro de los cuadros “vea también”, bajo un hipervínculo como el siguiente:

Véase también:

Configuración de red

Barra de menú ‣ Sistema ‣ Configuración de red

Dentro del cuadro, el hipervínculo ofrece acceso directo a la documentación, mientras que la secuencia muestra debajo cómo llegar desde la página de inicio hasta la página donde se configura dicha funcionalidad.

También existen algunos términos que tienen un uso o un significado especiales en este manual y que se incluyen en el Glosario.

Las zonas

Uno de los conceptos más importantes en los que se basa el dispositivo Panda GateDefender, la Zona, tiene su origen en la idea de IPCOP de proteger las redes a las que puede llegar agrupándolas en diferentes segmentos (la zona en sí) y permitiendo el intercambio de tráfico solamente en determinadas direcciones entre estos segmentos. Las cuatro zonas principales se identifican por un color y pueden agrupar varios servidores de estación de trabajo que tienen el mismo propósito.

• ROJA: este es el llamado Segmento no confiable, es decir, la WAN. Comprende todas las redes fuera del dispositivo Panda GateDefender o, en términos generales, Internet, y es el origen de las conexiones entrantes. Esta es la única zona que no puede administrarse, sino solamente limitar u otorgar acceso desde y hacia ella.

• VERDE: la red interna, es decir, LAN. Esta zona es la más protegida, está dedicada a las estaciones de trabajo y nunca debería accederse a ella de manera directa desde la zona ROJA. También es la única zona que puede acceder a la interfaz de administración de forma predeterminada.

• NARANJA, la DMZ. Esta zona debería hospedar los servidores que necesitan acceder a Internet para proporcionar servicios (por ejemplo, SMTP/POP, SVN, HTTP, etc.). Sería aconsejable que la zona NARANJA fuera la única zona accesible directamente desde la zona ROJA. De hecho, si un atacante consigue entrar en alguno de los servidores, se encontrará atrapado dentro de la DMZ y no podrá acceder a la zona VERDE. Por tanto, será imposible que acceda a información importante de las máquinas locales dentro de la zona VERDE.

• AZUL: la zona Wi-Fi, es decir, la zona que utilizarán los clientes inalámbricos para acceder a Internet. En general, las redes inalámbricas no son seguras, por lo que la idea es atrapar de forma predeterminada a todos los clientes conectados de manera inalámbrica dentro de su propia zona sin que accedan a ninguna otra zona excepto la ROJA.

Para que el dispositivo Panda GateDefender funcione correctamente, no es necesario configurar las zonas NARANJA y AZUL. De hecho, basta con definir la zona VERDE, porque la zona ROJA también se puede dejar sin configurar en algunos casos.

El dispositivo Panda GateDefender posee reglas del firewall predefinidas que prohíben que el tráfico de red fluya entre algunas de las zonas. Además de las cuatro zonas principales, existen dos zonas más que se encuentran disponibles, pero que se utilizan solamente en configuraciones avanzadas: la zona de clientes OpenVPN (a la que a veces se la llama VIOLETA) y la zona HA. Estas son dos zonas especiales que se utilizan como redes para los usuarios remotos de OpenVPN que deberían conectarse al dispositivo Panda GateDefender y para el servicio HA. De forma predeterminada, utilizan las redes 192.168.15.0/24 y 192.168.177.0/24, respectivamente, por lo que, si tiene previsto utilizar alguno de estos servicios, no debería utilizar dichos rangos de red en las zonas principales. De lo contrario, esas redes se solaparían y es posible que provoquen efectos no deseados. Sin embargo, pueden cambiarse los rangos de IP de estas dos zonas durante la configuración de los servicios OpenVPN o HA.

A cada zona le corresponde una interfaz (red) y una dirección IP. La interfaz es el puerto (Ethernet o inalámbrico) a través del cual fluye el tráfico de red hacia la zona, por lo que la interfaz ROJA es el puerto a través del cual usted puede acceder a la zona ROJA y a Internet. La dirección IP de la interfaz es la <Zona>IP. Por ejemplo, la configuración de fábrica para la zona VERDE es la red 192.168.15.0/24, por lo que a la interfaz VERDE le corresponderá la IP 192.168.0.15, a la que se llama GREENIP.

Véase también:

Alta disponibilidad

Para obtener una descripción de la “alta disponibilidad”.

VPN

Para obtener una descripción de OpenVPN.

La interfaz de administración del dispositivo Panda GateDefender

La GUI del dispositivo Panda GateDefender ha sido concebida para que resulte fácil de usar, y se compone de cinco partes principales: el encabezado, la barra de menú principal, el submenú, el área principal y el pie de página. A continuación se puede ver una captura de pantalla de muestra del módulo Servicio.

El encabezado

El encabezado de la página contiene el logotipo de Panda y la versión del dispositivo Panda GateDefender en la parte izquierda, mientras que en la parte derecha aparecen dos enlaces: uno para cerrar la sesión en la GUI y otro para acceder a la documentación en línea, que depende del contexto (es decir, desde cada página se mostrará la ayuda correspondiente). Esta parte es estática y no cambia.

El pie de página

El pie de página se encuentra al final de la página. Se compone de dos líneas de texto con algo de información sobre el dispositivo Panda GateDefender en ejecución. La línea superior muestra (Estado:) si un enlace activo está conectado o conectándose y cuál es (si hay más de un enlace activo definido). También muestra el tiempo transcurrido (Tiempo en línea:) desde la última vez que se estableció la conexión y el tiempo en línea de la máquina, que se presenta como el resultado del comando uptime, es decir, el tiempo transcurrido desde el último inicio, el número de usuarios y la carga media. Al cambiar de página, se actualiza la información. La última línea muestra la versión de la aplicación junto con el paquete de implementación y los derechos de autor, así como un enlace al sitio web de Panda.

La barra de navegación principal

La barra de navegación principal, situada justo debajo del encabezado, es una barra de menú con un fondo de color negro una línea azul en la parte inferior que muestra todas las secciones disponibles del dispositivo Panda GateDefender. Al hacer clic en uno de los módulos (por ejemplo, Servicios), su fondo se vuelve azul, para enfatizar el módulo que está abierto actualmente. Al hacer clic sobre un elemento del menú, el submenú a la izquierda de la página y el título en la parte superior del área principal cambian, ya que dependen del contexto. De forma predeterminada, la GUI se abre en el menú Sistema.

El submenú

El submenú aparece sobre el lado izquierdo de la GUI y cambia dependiendo del módulo seleccionado en la barra del menú. Aparece como una lista vertical de elementos en los que se puede hacer clic para cambiar el contenido del área principal y para acceder a todas las funciones incluidas en dicho módulo del dispositivo Panda GateDefender.

El área principal

El área principal contiene toda la información y las configuraciones correspondientes a la selección actual de la combinación menú/submenú. Algunas de las páginas (por ejemplo, el Panel de control o partes de los módulos Servicio y Registros) son simplemente informativas y muestran el estado actual del dispositivo Panda GateDefender de manera gráfica o textual. En este último caso, se presenta el resultado de los comandos de Linux en pantalla. Sin embargo, la gran mayoría de las páginas muestran una tabla que contiene información diversa sobre las preferencias actuales configuradas y permite modificar o eliminar elementos y preferencias existentes o añadir nuevos. Los servicios especialmente elaborados como, por ejemplo, el proxy HTTP o el firewall contienen tantas opciones de configuración que no basta una sola página para presentarlas todas, por lo que las configuraciones disponibles se agrupan y se organizan en pestañas.

Dentro de las pestañas, a menudo las opciones de configuración se agrupan en uno o más cuadros, que agrupan ajustes relativos a una misma parte de la configuración general.

La Interfaz de administración del Hotspot

La única excepción al diseño de la GUI del dispositivo Panda GateDefender es la Interfaz de administración del Hotspot, que se muestra a continuación en la captura de pantalla. No tiene ningún pie de página, presenta el submenú bajo la barra de menú principal y en el extremo derecho de la barra de menú incluye un enlace Menú principal que permite volver al menú principal.

Cabe destacar que, al hacer referencia a los elementos bajo la Interfaz de administración del Hotspot, suele omitirse la Barra de menú.

Los iconos

En las páginas presentadas por el dispositivo Panda GateDefender se utilizan muchos iconos para indicar acciones que pueden realizarse con rapidez o dar algún significado a las configuraciones que se muestran.

Interruptores

Los interruptores se utilizan para activar o desactivar completamente un servicio y se encuentran en la parte superior del área principal. El interruptor gris indica que el servicio se encuentra desactivado e inactivo, y en el área principal no se muestra ninguna preferencia ni ninguna opción de configuración. Al hacer clic en el interruptor, se inician e inicializan los servicios y los demonios necesarios para su correcto funcionamiento. Al cabo de unos segundos, el interruptor se vuelve azul y aparecen todas las opciones de configuración. Para desactivar el servicio, haga clic de nuevo en el interruptor. Esto hace que todos los demonios se detengan, que el interruptor se vuelva gris y que desaparezcan las configuraciones.

Políticas

Estos iconos se encuentran en aquellos servicios que precisan de algún tipo de política de acceso o control de tráfico, por ejemplo, las reglas del firewall o las especificaciones del proxy. Cada vez que un paquete coincide con una regla, se aplica la política especificada para dicha regla, y se determina si el paquete puede pasar o no y cómo se produce dicho paso.

aceptar el acceso sin restricciones.

permite el acceso pero solamente después de que los paquetes hayan pasado las IPS de manera positiva. Esta política solo se encuentra disponible dentro de las reglas del firewall.

bloquea los paquetes y los descarta.

bloquea los paquetes, pero se envía una notificación al origen.

acepta las reglas de manera parcial. Esta opción solo se encuentra en el encabezado de una lista de políticas. Permite identificar enseguida que algunas de las políticas de la lista han sido aceptadas y otras rechazadas, como, por ejemplo, en Barra de menú ‣ Proxy ‣ HTTP ‣ Filtro de contenido.

Otros iconos

Iconos adicionales que pueden encontrarse en el dispositivo Panda GateDefender.

expande un panel dejando ver su contenido.

cierra un panel ocultando su contenido.

Barra de navegación

En la mayoría de lugares donde aparece una lista larga de elementos, aparece una barra de navegación para facilitar el listado de los elementos, que se compone de varias celdas: Primera y Anterior a la izquierda, Siguiente y Última a la derecha, que contienen un número variable de celdas con los números de página. Al hacer clic en las diferentes celdas se puede acceder a la página indicada por el número, a la primera o la última páginas, o a la página anterior o a la siguiente.

Acciones comunes y tareas

Existen dos tipos de acciones que pueden realizarse dentro de la GUI: acciones sobre un único elemento de una lista de preferencias de configuración (es decir, una regla del firewall) y acciones globales para guardar, almacenar y aplicar todas las preferencias dentro de una lista, un cuadro o una página.

Acciones e iconos

Estos iconos se encuentran dentro de la columna Acciones a la derecha de las diferentes tablas que aparecen en las páginas y, por regla general, muestran una lista de los elementos definidos, por ejemplo, las reglas del firewall o los usuarios de OpenVPN. Los iconos de acciones permiten ejecutar una tarea sobre el elemento de la lista a la que corresponden. Algunas acciones solo se encuentran disponibles en determinados tipos de lista:

y indican el estado de un elemento, a saber, activado o desactivado, respectivamente. Puede cambiar el estado haciendo clic en el icono. A continuación, puede aparecer un mensaje que le indica que reinicie el servicio, si es necesario, para que los demonios vuelvan a cargar la configuración y activen los cambios.

y solamente se encuentran disponibles en listas en las que el orden es importante, por ejemplo, las reglas del firewall, y permiten modificar el orden moviendo el elemento correspondiente hacia arriba o hacia abajo .

permite modificar el elemento actual. Al hacer clic en este icono, se abrirá el editor apropiado para dicho elemento.

hace que el elemento seleccionado se elimine de la lista y de la configuración. Aparecerá un mensaje que solicitará confirmación antes de que el elemento se elimine de forma permanente.

permite descargar el elemento (normalmente, un archivo).

se utiliza en lugares limitados, por ejemplo, en Barra de menú ‣ Servicios ‣ Capacitación de spam para probar la conexión de un elemento con un servidor remoto.

y aparecen dentro de IPS (Barra de menú ‣ Servicios ‣ Prevención de intrusiones) y permiten registrar los paquetes autorizados a pasar o bloqueados después de haber coincidido con una regla.

Acciones globales

En la parte inferior de todas las páginas que permiten personalizar una o más opciones, existe la opción de Guardar y almacenar la nueva configuración en el disco o de cancelar la personalización que se ha realizado hasta el momento. En último caso, no se necesita ninguna acción adicional, ya que la configuración no ha cambiado. En el primer caso, sin embargo, es necesario reiniciar el servicio que se acaba de modificar, y quizás también otros servicios relacionados o dependientes, para que se vuelvan a cargar las nuevas preferencias y se puedan utilizar en la configuración en ejecución. Por motivos prácticos, si es necesario realizar esta acción, tras guardar la configuración se mostrará una notificación con un botón Aplicar en el que habrá que hacer clic para reiniciar el servicio.

Siempre que se utilice una Casilla de multiselección (por ejemplo, en Barra de menú ‣ Configuraciones del Hotspot), se podrá hacer clic sobre Añadir todos y Eliminar todos como un atajo para añadir o eliminar todas las entradas disponibles de la lista de elementos disponibles o los elementos seleccionados y activos, respectivamente.

Entradas múltiples en una opción de configuración

En varios lugares se pueden introducir diversos valores para un solo elemento de configuración, por ejemplo, el origen o el destino de una regla del firewall. En esos casos, se muestra un área de texto o un menú desplegable. En el primer caso, es posible introducir un valor por línea, por ejemplo, una dirección MAC, un rango de red (en notación CIDR) o un usuario de OpenVPN. En el último caso, las posibilidades se limitan a varios valores predefinidos, que pueden seleccionarse manteniendo pulsada la tecla Control del teclado y haciendo clic en los valores que deseen seleccionarse.

Notación IPv4 y CIDR.

Una dirección IPv4 es una dirección de red cuya longitud es de 32 bits, divididos en cuatro octetos de 8 bits de longitud cada uno. En decimales, cada octeto puede asumir cualquier valor entre 0 y 255 (2⁸= 256).

Al especificar un rango de red, la dirección IP del primer host de la red junto con la máscara de subred, o máscara de red para acortar, viene dada y define la cantidad de hosts disponibles en dicha red. La subred se define como la longitud del prefijo de red, es decir, la parte de la dirección que comparten todos los hosts de una red.

Existen dos posibilidades para indicar el par red/máscara de red:

• explícitamente, es decir, ambas se indican en la notación decimal punteada. Por ejemplo:

  red 192.168.0.0
  máscara de red 255.255.255.0

  Esta es una red que comienza en la dirección 192.168.0.0 con 256 hosts disponibles, es decir, el rango de red va de 192.168.0.0 a 192.168.0.255. Los tres primeros octetos de la máscara de red son 255, lo que muestra que no hay ningún host libre (o que esta parte de la dirección es el prefijo de red), mientras que el cuarto es 0, lo que significa que todos los hosts (256 - 0 = 0) se encuentran disponibles.

• En notación CIDR, una manera más compacta de mostrar el rango de red, se indican los bits libres en lugar de los hosts libres. El mismo rango de red que se describe más arriba se expresa como:

  192.168.0.0/24

  Dicha notación muestra la longitud en bits de la parte compartida de la dirección IP. 24 significa que los tres primeros octetos (cada uno de 8 bits) son compartidos, mientras que el cuarto octeto está libre, lo que indica un número de hosts libres que es igual a 32 - 24 = 8 bits, es decir, 256 hosts.

  Puede aplicarse el mismo razonamiento a una dirección IPv6, con la única diferencia de que las direcciones IPv6 tienen una longitud de 128 bits.

Acceder al dispositivo Panda GateDefender

Existen diferentes maneras de acceder al dispositivo Panda GateDefender: La más intuitiva y sencilla es de utilizar la GUI basada en web. También existe un acceso basado en la consola mediante SSH y consola de serie, aunque solo se recomiendan para usuarios avanzados.

La GUI del dispositivo Panda GateDefender

Sugerencia:

la dirección IP predeterminada del dispositivo Panda GateDefender es 192.168.0.15.

El acceso recomendado a la GUI del dispositivo Panda GateDefender es muy sencillo: inicie el navegador e introduzca la dirección GREENIP, con independencia de si esta es la primera vez que utiliza el dispositivo Panda GateDefender.

El navegador se redireccionará a una conexión HTTPS segura en el puerto 10443. Puesto que el dispositivo Panda GateDefender utiliza un certificado HTTPS autofirmado, el explorador podría solicitar que acepte dicho certificado durante la primera conexión. Después, el sistema le solicitará su nombre de usuario y contraseña. Especifique “admin” como nombre de usuario y proporcione la contraseña facilitada por el proveedor. En caso de haber personalizado el dispositivo Panda GateDefender, escriba la contraseña generada durante la instalación.

Después de introducir la contraseña, se muestra el Panel de control de la GUI del dispositivo Panda GateDefender, y es posible comenzar a explorar de inmediato la información disponible en dicha interfaz o continuar navegando y configurando el dispositivo. Lo que resta de este manual sigue el diseño de la barra de navegación principal: cada elemento de la barra de menú principal representa una sección diferente del dispositivo Panda GateDefender y se presenta en un capítulo independiente, con subapartados para cada uno de los elementos o las pestañas de los submenús.

Acceso basado en la consola

El acceso basado en la consola al dispositivo Panda GateDefender solamente está indicado para usuarios que están familiarizados con la línea de comandos de Linux.

Existen dos posibilidades para acceder a la CLI: utilizar el acceso SSH o a través de la consola de serie. El acceso SSH está desactivado de forma predeterminada, pero puede activarlo en Barra de menú ‣ Sistema ‣ Acceso SSH. Por el contrario, el acceso a través de la consola de serie está activado de forma predeterminada en todos los dispositivos con los siguientes parámetros:

• puerto: ttyS0
• bit, bit de paridad, bit de detención: 8, N, 1
• velocidad: 115.200 baudios

La conexión que utiliza la consola de serie necesita:

• un programa de terminal adecuado, como minicom para máquinas con Unix/Linux o putty para MS Windows,
• una estación de trabajo con interfaz de serie, y
• un cable de módem nulo para conectar una estación de trabajo al dispositivo;

o

• un programa de terminal,
• un adaptador de red serie a Ethernet, y
• un cable serie a Ethernet para conectar el dispositivo al adaptador.

Nota:

si la red no estuviera configurada correctamente, la consola de serie podría ser la única manera de acceder al dispositivo Panda GateDefender.