El menú Proxy¶

En esta página se especifica la información siguiente:

Para mejorar la seguridad en línea, el dispositivo Panda GateDefender ofrece varios servicios que combinan sus capacidades con las del proxy. El submenú a la izquierda de la página permite acceder a sus páginas y opciones de configuración, que se resumen de la siguiente manera:

HTTP: proxy web (políticas de acceso, autenticación, filtro de contenido y antivirus)
POP3: proxy para recuperar correo (filtro de correo no deseado y antivirus)
FTP: archivos descargados a través de FTP (antivirus)
SMTP: el proxy para enviar o recuperar correo (filtro de correo no deseado y antivirus)
DNS: DNS de caché (antispyware)

Cada proxy puede configurarse y activarse/desactivarse independientemente del otro, y también iniciará cualquier otro servicio necesario para su correcto funcionamiento. Por ejemplo, tras configurar e iniciar el proxy SMTP, también se inicia el servicio SMTP, si no se encuentra ya en funcionamiento. Por lo tanto, es necesario configurar el servicio SMTP antes de utilizar el proxy SMTP.

En la versión 5.50 se ha modificado toda la arquitectura del proxy.

La antigua y la nueva arquitectura del proxy HTTP

En la versión 5.50 del dispositivo Panda GateDefender se ha implementado y desplegado una arquitectura más ligera, pero más potente, para el proxy HTTP.

La arquitectura anterior del proxy HTTP se basaba en el denominado encadenamiento proxy, es decir, cuando un cliente solicitaba un recurso remoto que no estaba en caché, tenía lugar un proceso de 5 pasos:

El proxy HTTP (squid) enviaba una solicitud GET al servidor, y recibía una página HTML como respuesta.
Toda la página HTML se enviaba al demonio de filtrado de contenido (dansguardian) y se analizaba.
A continuación, dansguardian enviaba la página al demonio antivirus (havp) y la analizaba en busca de virus y otro malware.
Por último, si no se encontraban virus ni contenido malintencionado, toda la página HTML se enviaba de vuelta a squid. De lo contrario, un mensaje de error HTML (“página de error”) habría reemplazado a la página original.
squid guardaba la página HTML (o la página de error) para futuras solicitudes y se la entregaba al cliente que había solicitado la página HTML originalmente.

El principal inconveniente (y obstáculo) de esta arquitectura es su uso intensivo de los recursos. De hecho, toda la página HTML pasaba secuencialmente a través de toda la cadena, paso a paso, sin posibilidad de agilizar el proceso. La página HTML se recibía desde squid y se enviaba a dansguardian para analizar su contenido. En este punto, aunque el filtro de contenido encontrara contenido malicioso, es decir, aunque la página no se pudiera enviar al cliente que la solicitaba, la página HTML seguía la cadena hacia havp, y luego de vuelta a squid. Solo en ese momento squid enviaba una página de error al cliente original.

Por lo tanto, se decidió abordar este problema desde otro planteamiento, adoptando un enfoque completamente nuevo que garantiza más fiabilidad y consume muchos menos recursos. Ahora el proxy HTTP está respaldado por un servidor ICAP y, aunque esto podría representar a primera vista una arquitectura más compleja, ofrece una importante mejora de rendimiento.

Resumiendo, ICAP es un protocolo, definido en el RFC 3507, que permite manipular el contenido de una página web y volver a presentarlo al cliente. Aunque esta capacidad puede utilizarse de varias formas, en el dispositivo Panda GateDefender está implementada con c-icap para ofrecer análisis de filtrado de contenido y escaneo antivirus de recursos remotos (páginas HTML, y también audio, vídeo, imágenes y documentos de texto).

Gracias a c-icap, se ha aumentado el rendimiento de dos áreas:

De squid a c-icap:

c-icap recibe dos solicitudes paralelas del proxy HTTP.
Entre c-icap y los demonios.

Véase también:

Para obtener más información sobre ICAP junto con sus especificaciones, visite la página web del foro icap.

HTTP ¶

El proxy HTTP empleado en el dispositivo Panda GateDefender es squid, cuya principal capacidad consiste en almacenar en caché las solicitudes web para acelerar futuras solicitudes de la misma página, aunque tiene muchas más funciones que permiten su perfecta integración con los otros servicios descritos en el resto de esta sección. La página de configuración del proxy HTTP está compuesta por seis pestañas que organizan un sinfín de opciones: Configuración, Política de acceso, Autenticación, Filtro web, Replicar Active Directory y Proxy HTTPS.

Configuración ¶

Un clic en el interruptor Activar proxy HTTP activa el proxy HTTP. Tras algunos segundos, necesarios para iniciar todos los servicios requeridos, aparecen algunos controles en la pestaña Configuración, agrupados en seis paneles. Cada panel tiene un título, seguido de un signo ? que muestra una ventana de ayuda, y se puede expandir o contraer haciendo clic en los iconos o situados a la izquierda de las etiquetas.

El primer ajuste consiste en seleccionar desde un menú desplegable cómo pueden acceder al proxy los usuarios en cada zona activada (VERDE, NARANJA, AZUL) (no hay menú desplegable para las zonas no activadas):

no transparente: El servidor proxy está disponible para todos sin necesidad de iniciar sesión, pero los clientes deben configurar su explorador manualmente o solicitar al explorador que busque un proxy (es decir, utilizando el protocolo PAC o WPAD para establecer los ajustes del proxy del explorador).
transparente: El servidor proxy está disponible para todos y no requiere configuración en el explorador. Todo el tráfico HTTP es interceptado y reenviado al servidor proxy, que está a cargo de recuperar las páginas web solicitadas y servirlas a los clientes.

Nota:

algunos exploradores, incluidos Internet Explorer y Firefox, son capaces de detectar automáticamente los servidores proxy mediante WPAD. La mayoría de los exploradores también admiten PAC, a través de una URL especial. Al utilizar un dispositivo Panda GateDefender como servidor proxy, la URL se ve de este modo: http://<GREENIP>/proxy.pac.

Deshabilitar el proxy HTTP por zona

Para desactivar completamente el proxy para una determinada zona, el proxy de la zona debe establecerse como transparente y la subred de la zona (cuyo valor se puede encontrar en Barra de menú ‣ Servicios ‣ Servidor DHCP) debe añadirse a Omitir proxy transparente desde SUBRED/IP/MAC que aparece al expandir el panel Omitir proxy transparente.

Configuraciones de proxy

En el panel Configuraciones de proxy hay opciones globales de configuración para los servicios del proxy:

Puerto utilizado por el proxy: El puerto TCP en el cual el servidor proxy escucha las conexiones, que de manera predeterminada es 8080.
Idioma de error: El idioma en el que aparecen los mensajes de error, que de forma predeterminada es el elegido en Barra de menú ‣ Sistema ‣ Configuración de GUI.
Nombre de equipo visible usado por el proxy: El nombre de host asumido por el servidor proxy, que también se indica al pie de los mensajes de error.

Correo electrónico utilizado para notificación (administrador de caché): La dirección de correo electrónico que el servidor proxy muestra en los mensajes de error.
Tamaño máximo de descarga (entrante en KB): El límite de descargas de archivos HTTP. 0 significa ilimitado.
Tamaño máximo de carga (saliente en KB): El límite de cargas de archivos HTTP (por ejemplo, los utilizados por formularios HTML mientras se carga el archivo). 0 significa ilimitado.

Puertos y puertos SSL habilitados

Opción de configuración para los puertos que los clientes pueden utilizar cuando navegan:

Puertos habilitados (desde el cliente): Los puertos de destino TCP de los cuales el servidor proxy aceptará conexiones al utilizar HTTP. Se acepta un puerto o un rango de puertos por línea, se permiten comentarios y comienzan con #.
Puertos SSL permitidos (desde el cliente): Los puertos de destino TCP de los cuales el servidor proxy aceptará conexiones al utilizar HTTPS. Se acepta un puerto o rango de puertos por línea, se permiten comentarios, comienzan por # y finalizan al final de la línea.

Configuración del registro

Opción de configuración para activar la función de registro y elegir qué registrar.

Registro de proxy HTTP: Registro de todas las URL a las que se accede a través del proxy. Es un interruptor maestro, por lo que las cuatro opciones siguientes están activadas y pueden configurarse solo si el registro está activado, lo que no ocurre de forma predeterminada (recuerde que, cuanto más se registra, mayor es el espacio que necesita el dispositivo Panda GateDefender).
Registro de consulta de término: Registro de los parámetros en la URL (por ejemplo, ?id=123).
Registro del agente de usuario: Registro del usuario agente enviado por cada explorador.
Registro del filtro de contenido: Registro del momento en el que se filtra el contenido de las páginas web.
Registro de firewall (solo proxies transparentes): Permite que el firewall registre los accesos web salientes, es decir, los dirigidos a través de la interfaz ROJA a Internet. Esta opción solo funciona para proxies transparentes.

Omitir proxy transparente

En este panel se puede definir alguna excepción al proxy transparente (véase también arriba), es decir, qué orígenes (es decir, clientes) y destinos (es decir, servidores remotos) debe omitir el proxy, aunque esté activado en esa zona.

Omitir proxy transparente desde SUBRED/IP/MAC: Los orígenes que no deben estar sujetos al proxy transparente.
Omitir proxy transparente a SUBRED/IP: Los destinos que no se encuentran sujetos al proxy transparente.

Sugerencia:

utilice la notación CIDR para introducir subredes.

Administración de caché

Opciones de configuración para el espacio ocupado en disco por el caché y el tamaño de los objetos almacenados.

Tamaño del caché en disco duro (MB): La cantidad en megabytes que el proxy debe asignar para almacenar en caché sitios web en el disco duro.
Tamaño del caché dentro de la memoria (MB): La cantidad en megabytes de memoria que el proxy debe asignar para almacenar en caché sitios web en la memoria del sistema.
Tamaño máximo de objeto (KB): El límite superior de tamaño en megabytes de un único objeto que se debe almacenar en caché.
Tamaño mínimo de objeto (KB): El límite inferior de tamaño en megabytes de un único objeto que se debe almacenar en caché.

Nota:

los objetos cuyo tamaño no entra dentro de los rangos definidos anteriormente jamás se almacenarán en el disco, sino que se descargarán cada vez que un cliente los solicite.

Activar modo sin conexión: Cuando esta opción se encuentra activada (es decir, la casilla está marcada), el proxy jamás intentará actualizar objetos en caché desde el servidor web de subida. Los clientes podrán explorar sitios web estáticos en caché incluso después de que el enlace activo quede inactivo.

Advertencia:

esta opción es útil para navegar por Internet mientras que el enlace activo no funciona si la página solicitada ha sido almacenada en caché anteriormente. No obstante, esta opción puede causar algún problema si se intenta actualizar una página, aun con un enlace activo en funcionamiento, dado que el proxy HTTP siempre servirá la página en caché. La única posibilidad de tener una copia actualizada de una página web en este caso es vaciar la memoria caché del servidor proxy.
Vaciar caché: Cuando se hace clic en este botón, se elimina el caché del proxy.
No hacer caché en estos destinos: Los dominios cuyos recursos jamás deben almacenarse en caché.

Proxy de subida

Si hay otro servidor proxy en la LAN, puede contactarse antes de solicitar el recurso original. Este panel contiene opciones de configuración para la conexión entre el dispositivo Panda GateDefender y el proxy de subida.

Proxy de subida: Marque esta casilla para activar un proxy de subida y mostrar más opciones. Cuando está activado, antes de recuperar una página web remota que todavía no está en su caché, el proxy del dispositivo Panda GateDefender contacta con el proxy de subida para solicitar esa página.
Servidor de subida: El nombre de host o dirección IP del servidor de subida.
Puerto de subida: El puerto en el cual el proxy escucha el servidor de subida.
Nombre de usuario / contraseña de subida: Si se requiere autenticación para el proxy de subida, las credenciales deben especificarse aquí.
Reenvío de nombre de usuario del cliente: Marque la casilla para reenviar el nombre de usuario al proxy de subida.
Reenvío de IP del cliente: Marque la casilla para reenviar la dirección IP del cliente al proxy de subida.

Política de acceso ¶

Las políticas de acceso se aplican a cada cliente que se conecta a través del proxy, sin importar su autenticación. Una regla de política de acceso es un esquema basado en el tiempo que permite o prohíbe los accesos en función de diversos parámetros acerca del usuario (por ejemplo, la fuente o el destino del tráfico), y el cliente utilizado o el contenido descargado (por ejemplo, el usuario agente, los tipos de mime, la detección de virus y el filtrado de contenido).

En la página aparece una lista de reglas definidas. Cualquier regla puede especificar si se bloquea o se permite el acceso web y, en este último caso, se puede activar y seleccionar un tipo de filtro. La tabla contiene la siguiente información para cada regla incluida en ella: el número de identificación progresivo (#), el nombre (``), el origen y el destino, el tipo de autenticación, si es necesario, los periodos en que está activa, los usuarios agente emparejados, y las acciones disponibles:

: modifica la política.
: elimina la política.
: mueve la directiva arriba o abajo en la lista.
: activa o desactiva la política.

Para añadir una nueva regla de política de acceso, haga clic en Añadir política de acceso. Se abrirá un formulario en el que configurar todos los parámetros:

Tipo de fuente: Las fuentes del tráfico a las cuales se aplica esta regla. Puede ser <CUALQUIERA>, una zona, una lista de redes, direcciones IP o direcciones MAC.
Tipo de destino: Los destinos del tráfico a los cuales se aplicará esta regla. Puede ser <CUALQUIERA>, una zona, una lista de redes, direcciones IP o dominios.
Autenticación: El tipo de autenticación que se aplicará a los clientes. Puede estar desactivada (en cuyo caso no se requiere autenticación), basada en el grupo o basada en el usuario. Se pueden seleccionar uno o más usuarios o grupos, a los cuales aplicar la política, entre los existentes en la lista que aparecerá.

Sugerencia:

la autenticación solo es local, por lo tanto, antes de poder utilizarla, hay que crear al menos un usuario o un grupo en la pestaña Autenticación.
Restricción de tiempo: Determina si la regla tiene efecto en días específicos o en un periodo de tiempo. De forma predeterminada, una regla siempre está activa, pero su validez puede estar limitada a un intervalo o a algunos días de la semana. Al marcar esta casilla, se puede acceder a las siguientes opciones:
Días activos: Selecciona uno o varios días de la semana.

Sugerencia:

para seleccionar dos o más días, mantenga pulsada la tecla CTRL y haga clic con el ratón en el nombre del día.
Hora de inicio, Hora de fin, Minuto de inicio, Minuto de fin: Para ajustar el intervalo del día durante el cual estará activa la política de acceso, seleccione las horas de inicio y fin en el menú desplegable.
Agentes de usuarios: Los clientes y exploradores permitidos, identificados como tal por su usuario agente, es decir, su cadena de identificación.
Tipos de mime: Una lista de los tipos de MIME de archivos entrantes que deben bloquearse; uno por línea. Los tipos de MIME solo pueden ser bloqueados (es decir, estar en la lista negra), pero no permitidos (es decir, estar en la lista blanca), por lo tanto, esta opción solo se encuentra disponible en las políticas de acceso de Rechazo. Esta opción permite bloquear cualquier archivo que no corresponda a la política de la empresa (por ejemplo, archivos multimedia).

Nota:

la lista de los tipos MIME disponibles se puede encontrar en el archivo /etc/mime.types en cualquier cuadro de Linux, en la página web oficial de la IANA, y también en el RFC 2045 y el RFC 2046.
Política de acceso: Selecciona si la regla debe permitir o rechazar el acceso web desde el menú desplegable. Si se establece en Rechazar, la opción Tipos de MIME arriba está activada.
Perfil de filtro: Este menú desplegable, disponible cuando la Política de acceso se ha establecido como Permitir acceso, permite seleccionar qué tipo de verificación debe realizar la regla. Las opciones disponibles son: ninguna para ninguna comprobación y detección de virus únicamente para escanear virus. Además, si se ha creado algún perfil de filtro de contenido (véase a continuación), se puede aplicar a la regla.
Estado de la política: Si la regla está activada o desactivada. Las reglas desactivadas no se aplicarán. De forma predeterminada, las reglas están activadas.
Posición: El lugar donde se debe insertar la regla nueva. Las posiciones más bajas tienen mayor prioridad.

Las acciones disponibles permiten cambiar la prioridad, editar, activar/desactivar o eliminar cada regla de la lista de reglas.

Autenticación ¶

El proxy del dispositivo Panda GateDefender admite cuatro tipos de autenticación, que se pueden ver en el menú desplegable de la parte superior de la página: Autenticación local (NCSA), LDAP (v2, v3, Novell eDirectory, AD), Windows Active Directory (NTLM) y RADIUS. El tipo NCSA almacena las credenciales de acceso en el dispositivo Panda GateDefender, mientras que los otros métodos se basan en un servidor externo. En esos casos es obligatorio proporcionar toda la información necesaria para acceder a ese servidor.

Debajo del menú desplegable desde el cual se selecciona el tipo de autenticación, hay dos paneles presentes. El de arriba, Configuración de autenticación, contiene elementos de configuración comunes, mientras que el de abajo cambia en función de la selección del tipo de autenticación, presentando la configuración específica de cada método.

Configuración de autenticación

Los elementos comunes que se pueden configurar en este panel son:

Dominio de autenticación: El texto que aparece en el diálogo de autenticación y se utiliza como el dominio de kerberos o winbind al unirse al dominio de Active Directory. Si se utiliza Windows Active Directory para la autenticación, se debe utilizar el FQDN del PDC.

Sugerencia:

si el nombre del servidor es localauth y el nombre de dominio es ejemplo.org, el FQDN es localauth.ejemplo.org.
Número de procesos-hijo de autenticación: El número máximo de procesos de autenticación que pueden ejecutarse simultáneamente.
Autenticación de caché TTL (en minutos): El tiempo en minutos durante el cual deben estar almacenados en caché los datos de autenticación antes de eliminarlos.
Número de IP diferentes por usuario: El número máximo de direcciones IP desde las cuales un usuario puede conectarse al proxy simultáneamente.
Caché TTL para usuario / IP (en minutos): El tiempo en minutos que una dirección IP se asocia al usuario registrado.

Una vez que se ha rellenado el formulario común de configuración, dependiendo del tipo de autenticación elegido, se puede configurar el ajuste específico para el tipo de autenticación seleccionado: Autenticación local (NCSA), Windows Active Directory (NTLM), LDAP (v2, v3, Novell eDirectory, AD), RADIUS.

Parámetros de autenticación NCSA

Administración de usuarios NCSA: Al hacer clic en el botón administrar usuarios, se abre la GUI de administración de usuarios. Se compone de una lista sencilla de los usuarios existentes, si se ha creado alguno, y de un enlace Añadir usuario NCSA para añadir más usuarios. Un usuario se añade introduciendo el nombre de usuario y la contraseña en el formulario, y después se puede editar o eliminar.

Sugerencia:

la contraseña debe tener al menos 6 caracteres.
Administración de grupo NCSA: Al hacer clic en el botón administrar grupos, se abre la GUI de administración de grupos. Se compone de una lista sencilla de los grupos existentes y sus miembros, si se ha creado alguno, y de un enlace Añadir grupo NCSA para añadir más grupos. Un grupo se crea introduciendo un nombre de grupo y seleccionando uno o más usuarios que deben pertenecer a ese grupo. Un usuario puede pertenecer a más de un grupo.

Advertencia:

si bien un mismo usuario puede pertenecer legalmente a uno o más grupos, se debe tener cuidado con que los grupos a los que pertenece el usuario no definan políticas de acceso opuestas. Como ejemplo, imagine un usuario que sea miembro de dos grupos, uno con la política para permitir acceso al sitio web www.ejemplo.org y otro con la política que bloquea el acceso a esa página web. En este caso, no es fácil predecir si a ese usuario se le otorgará acceso o no al sitio www.example.org. De la administración de estos problemas se encarga el diseñador de las políticas de acceso.
Longitud mínima de contraseña: La longitud mínima de la contraseña del usuario local.

Parámetros de autenticación de Windows Active Directory

Nombre de dominio del servidor AD: El dominio de Active Directory al cual unirse. Se debería utilizar el FQDN del servidor.
Unirse al dominio AD: Haga clic en el botón unirse al domino para unirse al dominio. Esta acción debe realizarse solo después de haber guardado y aplicado la configuración de autenticación.
Nombre del host PDC del servidor AD, Dirección IP de PDC del servidor AD: El nombre del host y la dirección IP del PDC. Tanto el nombre del host como la dirección IP son necesarios para crear la entrada DNS.
Nombre del host BDC del servidor AD, Dirección IP de BDC del servidor AD: El nombre del host y la dirección IP de BDC, si lo hubiera. Para crear la entrada DNS se necesitan tanto el nombre de host como la dirección IP.

Requisitos para el uso de NTLM.

Para poder utilizar la autenticación nativa de Windows con Active Directory (NTLM), se deben cumplir algunas condiciones:

La configuración de autenticación debe guardarse y aplicarse antes de intentar la unión con el dominio.
El dispositivo Panda GateDefender debe unirse al dominio.
Los relojes de sistema del dispositivo Panda GateDefender y el servidor Active Directory deben estar sincronizados.
El dominio de autenticación debe ser un FQDN.
El nombre del host PDC debe establecerse como el nombre de netbios del servidor Active Directory.

Sugerencia:

el reloj del dispositivo Panda GateDefender puede sincronizarse con el reloj del servidor Active Directory emitiendo el siguiente comando en el shell:

net time set -S IP_OF_AD_SERVER

Autenticación NTLM con Windows Vista y Windows 7.

El proxy HTTP en el dispositivo Panda GateDefender utiliza NTLMv2 negociado, mientras que, de forma predeterminada, Windows Vista y Windows 7 solo admiten NTLMv2. Por consiguiente, es posible que un cliente que instale esos sistemas operativos no logre autenticarse en el proxy HTTP aunque introduzca las credenciales correctas. Para realizar correctamente la autenticación, es necesario efectuar los cambios siguientes:

Haga clic en Inicio ‣ gpedit.msc (ejecutar como administrador).

Vaya a Configuración del equipo ‣ Configuración de Windows ‣ Configuración de seguridad ‣ Directivas locales ‣ Opciones de seguridad.

Busque la opción de configuración Seguridad de redes: nivel de autenticación de LAN Manager.

Seleccione el valor “Enviar Lan Manager y NT Lan Manager: usar la seguridad de sesión NT Lan Manager versión 2 si se negocia”.

Después de aplicar estos cambios el explorador del cliente debe autenticarse correctamente utilizando el nombre de inicio de sesión de AD y las credenciales para el proxy HTTP.

Parámetros de autenticación LDAP

Servidor LDAP: La dirección IP o el FQDN del servidor LDAP.
Puerto de servidor LDAP: El puerto en el cual está escuchando el servidor. El valor predeterminado es 389.
Unir configuración DN: El nombre de base diferenciado; es el punto inicial de la búsqueda.
Tipo LDAP: Este menú desplegable permite seleccionar el tipo de servidor de autenticación entre Active Directory, Novell eDirectory, LDAP versión 2 y LDAP versión 3.
Unir nombre de usuario DN: El nombre totalmente diferenciado de un usuario unido a DN, que debe tener permiso para leer los atributos del usuario.
Unir contraseña DN: La contraseña del usuario unido a DN.
Clase de objeto del usuario: La clase de objeto a la que el usuario unido a DN debe pertenecer.
Clase de objeto del grupo: La clase de objeto a la que el grupo unido a DN debe pertenecer.

Parámetros de autenticación RADIUS

Servidor RADIUS: La dirección IP o la URL del servidor RADIUS.
Puerto del servidor RADIUS: El puerto en el que escucha el servidor RADIUS.
Identificador: Un identificador adicional.
Secreto compartido: La contraseña que se utilizará.

Filtro web ¶

La capacidad del filtro de contenido del dispositivo Panda GateDefender se basa en la solución de filtrado de URL Commtouch, que utiliza dos técnicas de filtrado que pueden definirse por perfil de filtro.

La primera consiste en un método avanzado de categorización de páginas web en función de su contenido. La segunda técnica utiliza una combinación de URL y dominios de listas blancas y negras. Todas las URL solicitadas por un cliente se buscan en esta lista y solo se sirven si se encuentran en la lista blanca.

Se necesita un perfil para poder utilizar el filtro de contenido. Hay disponible un perfil por defecto, que permite acceder a todas las páginas web y que no se debe eliminar. Pueden crearse fácilmente los perfiles adicionales que se necesiten en la definición de una Política de acceso. Por lo tanto, las políticas de acceso que requieran un perfil determinado solo se podrán crear después de haber creado ese perfil.

En la página, hay una lista de los perfiles existentes, acompañados de una observación y de las acciones disponibles:

: edita un perfil.
: elimina un perfil.

Encima de la tabla, hay un enlace Crear un perfil. Al hacer clic en él, se reemplaza el enlace por el Editor de perfil, que se utiliza para configurar un perfil nuevo, y la lista de perfiles existentes se mueve al pie de la página. Se pueden definir los siguientes ajustes:

Nombre del perfil: El nombre dado al perfil.
Activar escaneo antivirus: Activa el antivirus en el filtro de contenido.

Los siguientes ajustes vienen en forma de paneles, que pueden expandirse o contraerse haciendo clic en los iconos o a la izquierda de su título. En el extremo derecho, una flecha pequeña muestra si los elementos contenidos se permiten total o parcialmente o no se permiten. Se puede hacer clic en esas flechas para cambiar rápidamente el estado de todos los elementos contenidos.

Filtro de URL

Las categorías que se deben activar para aplicar el filtro de contenido. Cada categoría contiene otras subcategorías, que se pueden permitir o no de manera individual. La flecha verde significa que los elementos de la (sub)categoría se utilizan para el filtro de contenido, mientras que la flecha roja significa que esos elementos no se utilizan. El icono situado cerca del nombre de la categoría indica que solo se utilizan para el filtrado de contenido algunas de las subcategorías que contiene.

Listas negras y blancas personalizadas

Aquí se pueden añadir listas personalizadas de páginas web como permitidas siempre (lista blanca), cuyo acceso se permitirá siempre a los clientes, o rechazadas (lista negra), cuyo acceso no se permitirá nunca a los clientes.

El filtrado de contenido puede causar positivos y negativos falsos, por lo tanto aquí se puede introducir la lista de dominios que siempre deben bloquearse o permitirse. Esta política se aplicará con independencia de los resultados del análisis del filtro de contenido.

Replicar Active Directory ¶

En esta sección se pueden introducir las credenciales necesarias para unirse al servidor Active Directory, una función que solo es posible si se ha seleccionado la opción Windows Active Directory (NTLM) en la pestaña Autenticación.

Nombre de usuario del administrador del ADS: El nombre de usuario del servidor Active Directory.
Contraseña del administrador de ADS: La contraseña del servidor Active Directory. No aparece de forma predeterminada, pero puede mostrarse marcando la casilla situada a la derecha del campo de texto.

Proxy HTTPS ¶

En esta página es posible configurar el servidor proxy para el escaneo de tráfico cifrado SSL cifrado, es decir, el tráfico a través del puerto 443. Cuando está activado, el squid intercepta todas las solicitudes de los clientes y las reenvía al servidor remoto, como en el caso de las solicitudes HTTP. La única diferencia surge en las solicitudes HTTPS. Se necesita un certificado “intermedio” para que el cliente se conecte al dispositivo Panda GateDefender a través de HTTPS. El dispositivo podrá responder a la solicitud, recuperar el recurso remoto, controlarlo y enviarlo al cliente que lo haya solicitado.

Existen tres ajustes disponibles en esta página y se dividen en dos partes. La primera permite configurar el proxy HTTPS. La segunda se utiliza para administrar el certificado del dispositivo Panda GateDefender.

Activar proxy HTTPS: Marque esta casilla para activar el proxy HTTPS. Aparecerá la siguiente opción.
Aceptar cada certificado: Esta opción permite al dispositivo Panda GateDefender aceptar automáticamente todos los certificados del servidor remoto, incluso aquellos que no son válidos o están obsoletos.

Para activar el proxy HTTPS, haga clic en Guardar y espere unos segundos.

La parte inferior se puede utilizar para cargar un certificado que usará el dispositivo Panda GateDefender o para generar uno nuevo, que sustituirá al actual, en caso de haberlo.

Cargar certificado proxy: Para utilizar un certificado existente, haga clic en Examinar…, elija el certificado en el disco duro local y, a continuación, haga clic en el botón Cargar para copiar el certificado en el dispositivo Panda GateDefender.
Crear un certificado nuevo: Para crear un certificado nuevo desde cero, haga clic en este botón. Aparecerá un cuadro de diálogo solicitando confirmación. Haga clic en Aceptar para continuar o en Cancelar para cerrar el cuadro de diálogo y volver atrás.

Una vez cargado o creado el certificado, aparecerá una nueva opción en forma de hipervínculo junto a la etiqueta Cargar certificado proxy:

Descarga: Haga clic en este hipervínculo para descargar el certificado, que será necesario para los clientes.

POP3 ¶

Esta página contiene opciones de configuración para el filtro de correo SpamAssassin y cómo se deben administrar los correos electrónicos reconocidos como spam.

Configuración general ¶

En esta página se pueden activar algunas preferencias de configuración general de POP3 marcando las casillas adecuadas.

Habilitado en verde, Habilitado en azul, Habilitado en naranja: Activa el escáner de correo electrónico de POP3 en las zonas VERDE, AZUL y NARANJA, respectivamente. Aparecen solo si las zonas correspondientes están activadas.
Escáner de virus: Activa el escáner de virus.
Filtro de correo no deseado: Activa el filtro de correo no deseado en los correos electrónicos.
Interceptar conexiones cifradas SSL/TLS: Si se marca esta casilla, también se escanean las conexiones a través de SSL/TLS en busca de virus.
Registros del firewall de conexiones salientes: Permite que el firewall registre todas las conexiones salientes.

Filtro de correo no deseado ¶

Esta página permite configurar cómo debe proceder el proxy POP3 cuando identifica un correo electrónico como spam.

Nota:

incluso si un correo electrónico ha sido marcado como spam, se entregará al receptor original. De hecho, no entregarlo rompería el RFC 2821, que establece que, una vez que un correo electrónico ha sido aceptado, debe entregarse al receptor.

Etiqueta de asunto de correo no deseado: El prefijo que se añadirá al asunto del correo electrónico identificado como spam.
Añadir informe de spam a cuerpo del mensaje: Marque la casilla para reemplazar, en cada mensaje de spam, el cuerpo del mensaje original por un informe del demonio SpamAssassin con el resumen de lo que ha encontrado, es decir, con los motivos por los que el correo electrónico se ha clasificado como spam.
Coincidencias requeridas: La cantidad de coincidencias requeridas para que un mensaje sea considerado como spam.
Activar soporte para correos electrónicos japoneses: Marque esta casilla para activar el soporte para conjuntos de caracteres japoneses en correos electrónicos para buscar spam en japonés.
Activar la detección de no deseados en el resumen del mensaje (pyzor): Para detectar correos electrónicos no deseados utilizando pyzor (en pocas palabras, los correos electrónicos no deseados se convierten a un único mensaje de resumen que puede utilizarse para identificar otros correos electrónicos no deseados similares).

Advertencia:

si se activa esta opción puede, ralentizarse considerablemente el proxy POP3.
Lista blanca: Una lista de direcciones de correo electrónico o dominios completos, especificados utilizando comodines, por ejemplo, *@ejemplo.com; una dirección por línea. Jamás se comprobarán en búsqueda de spam los correos electrónicos enviados desde estas direcciones y estos dominios.
Lista negra: Una lista de direcciones de correo electrónico o dominios completos, especificados utilizando comodines, por ejemplo, *@ejemplo.com; una dirección por línea. Los correos electrónicos enviados desde estas direcciones y estos dominios siempre se marcarán como spam.

La configuración se puede guardar haciendo clic en el botón Guardar.

Correos electrónicos cifrados.

El dispositivo Panda GateDefender no puede escanear los correos electrónicos enviados a través de la conexión POP3 SSL dado que se encuentra en un canal cifrado.

Por lo tanto, para permitir que un cliente utilice POP3 sobre SSL es necesario configurarlo adecuadamente y desactivar el cifrado desde el cliente al dispositivo Panda GateDefender. Se debe desactivar el cifrado (es decir, no utilizar SSL), pero el puerto para el tráfico POP3 en texto sin formato debe cambiarse del 110 (predeterminado) al 995.

Tras establecer esta configuración, la conexión desde el cliente al dispositivo Panda GateDefender permanecerá en texto sin formato, pero utilizará el puerto 995, convirtiendo la configuración del dispositivo Panda GateDefender en un POP3 cifrado sobre la conexión SSL desde el dispositivo al servidor POP3.

FTP ¶

El proxy FTP se encuentra disponible solo como proxy transparente en las zonas que se han activado y permite el escaneo de archivos descargados a través del FTP para buscar virus. El dispositivo Panda GateDefender emplea frox como proxy FTP.

Nota:

solo se redirigen al proxy las conexiones al puerto estándar del FTP (21). Esto significa que, si un cliente está configurado para utilizar el proxy HTTP también para el protocolo FTP, se omitirán los ajustes para el proxy FTP.

En esta página se pueden configurar algunas opciones:

Habilitado en verde, Habilitado en azul, Habilitado en naranja: Activa el proxy FTP en cada zona. Solo disponible en las zonas activadas.
Registros del firewall de conexiones salientes: Registro de las conexiones salientes en el firewall.
Omitir el proxy transparente en el origen: Permite que los orígenes en el área de texto correspondiente no se sometan al análisis del proxy FTP.
Omitir el proxy transparente en el destino: Permite que los destinos en el área de texto correspondiente no se sometan al análisis del proxy FTP.

Proxy FTP y modos activo y pasivo del cliente FTP.

El dispositivo Panda GateDefender admite un proxy FTP transparente con frox únicamente si está conectado de forma directa a Internet.

Pueden surgir problemas si el proxy FTP transparente está activado y hay un dispositivo NAT entre el dispositivo Panda GateDefender e Internet. En esta configuración, cualquier conexión FTP a un sitio FTP remoto estará bloqueada hasta que se agote el tiempo de espera, y en los registros aparecerán mensajes como:

Mon Mar  2 11:32:02 2009 frox[18450] Connection timed out when
 trying to connect to <your ftp client ip>
Mon Mar  2 11:32:02 2009 frox[18450] Failed to contact client data port

Para resolver estos problemas, debe configurarse el cliente FTP para utilizar el modo pasivo (PASV) como modo de transferencia, y debe crearse una regla en Barra de menú ‣ Firewall ‣ Acceso al sistema que permita el tráfico en los puertos del 50000 al 50999 para el dispositivo NAT. No obstante, por motivos de seguridad, estos puertos solo deben activarse si es necesario. Para comprender los motivos de esta configuración, a continuación se ofrece una descripción más detallada de cómo funcionan los modos activo y pasivo y cómo interactúan con el proxy FTP.

El modo activo exige que el servidor (en nuestro caso, el proxy FTP) inicie la conexión de datos con el cliente. Sin embargo, un dispositivo NAT entre los clientes y el proxy hace que la conexión desde el servidor jamás alcance al cliente. Por este motivo, el cliente debe utilizar el modo pasivo.

Con el modo pasivo, el cliente FTP debe iniciar la conexión con el servidor (otra vez, el proxy FTP) utilizando un puerto dinámico, que se ha negociado a través de la conexión de control. El proxy FTP escucha a ese puerto, pero el firewall de acceso al sistema necesita permitir el tráfico a ese puerto.

Dado que múltiples conexiones de datos concurrentes pueden intentar acceder al proxy FTP, es necesario permitir conexiones para un rango de puertos completo. Por consiguiente, el firewall de acceso al sistema debe admitir todos los puertos reservados para conexiones de datos pasivas (es decir, 50000-50999).

SMTP ¶

El proxy SMTP puede repetir y filtrar tráfico de correo electrónico cuando se envía desde los clientes a los servidores de correo.

El objetivo del proxy SMTP es controlar y optimizar el tráfico SMTP y proteger las redes locales de amenazas al utilizar el protocolo SMTP. SMTP se utiliza cuando un correo electrónico se envía desde un cliente de correo electrónico local a un servidor de correo remoto, es decir, para los correos electrónicos salientes. También se utilizará si un servidor de correo se ejecuta en la LAN (es decir, dentro de la zona VERDE) o la DMZ (zona NARANJA) y los correos electrónicos se pueden enviar desde fuera de la red local (solicitudes entrantes) a través de ese servidor de correo, es decir, cuando se permita a los clientes enviar correos electrónicos desde la interfaz ROJA.

Para descargar correos electrónicos desde un servidor de correo remoto a un cliente de correo electrónico local, se utilizan los protocolos POP3 o IMAP. Para proteger también ese tráfico, active el proxy POP3 en Barra de menú ‣ Proxy ‣ POP3.

Advertencia:

actualmente, no se admite el escaneo de tráfico IMAP.

Con la funcionalidad del proxy de correo electrónico, se puede escanear el tráfico de entrada y salida del correo electrónico en busca de virus, spam y otras amenazas. Los correos electrónicos se bloquean si es necesario y, en ese caso, se notifica al usuario receptor y al administrador. Con la posibilidad de escanear correos electrónicos entrantes, el proxy de correo electrónico puede gestionar conexiones entrantes desde la interfaz ROJA y enviar el correo electrónico a uno o más servidores de correo internos. Por ello, es posible utilizar un servidor propio de correo electrónico detrás del firewall sin tener que definir las reglas adecuadas de reenvío de puertos.

La configuración del proxy SMTP está dividida en seis pestañas, cada una adaptada a uno de los aspectos del proxy SMTP.

Configuración ¶

Esta es la página principal de configuración para el proxy SMTP. El proxy SMTP se puede activar haciendo clic en el interruptor . Cuando está activado, se puede elegir si el proxy SMTP debe estar activo, inactivo o transparente para cada zona activa:

activo: El proxy SMTP se encuentra activado para la zona y acepta solicitudes en el puerto 25.
modo transparente: Si el modo transparente se encuentra activado, todas las solicitudes del puerto 25 de destino se interceptarán y reenviarán al proxy SMTP sin necesidad de cambiar la configuración de los clientes. Esta opción no se encuentra disponible para la zona ROJA.
inactivo: El proxy SMTP no se está activado para esa zona.

Hay otras opciones disponibles agrupadas en cinco paneles. Cada panel puede expandirse haciendo clic en el icono o contraerse haciendo clic en el icono .

Configuración de spam

En este panel existe la posibilidad de configurar las aplicaciones de software usadas por el dispositivo Panda GateDefender para reconocer y filtrar el spam, configurando las siguientes opciones:

Filtrar correo no deseado

Activa el filtro de correo no deseado y permite la configuración de las opciones adicionales que aparecerán a continuación.

Elegir gestión de correo no deseado

Existen tres acciones que se pueden aplicar a los correos electrónicos que se han identificado como spam:

mover a la ubicación de cuarentena por defecto: los correos electrónicos no deseados se moverán a la ubicación predeterminada.
enviar a la dirección de correo electrónico de cuarentena: los correos electrónicos no deseados se reenvían a una dirección de correo electrónico personalizada que puede especificarse en el cuadro de texto Dirección de correo electrónico para el correo no deseado en cuarentena que aparecerá al seleccionar esta opción.
marcar como correo no deseado: el correo electrónico se marca como spam antes de la entrega.
colocar correo electrónico: el correo spam se elimina de inmediato.

Asunto del spam

Se aplica un prefijo al asunto de todos los correos electrónicos marcados como spam.

Correos electrónicos utilizados para notificaciones de correo no deseado (administrador del correo no deseado): La dirección de correo electrónico que recibirá una notificación por cada correo electrónico procesado como spam.
Etiqueta de nivel de correo no deseado: Si la puntuación de spam de SpamAssassin es superior a este número, se añaden al correo electrónico los encabezados de Estado de correo no deseado X y Nivel de correo no deseado X.
Etiqueta de nivel de correo no deseado: Si la puntuación de correo no deseado de SpamAssassin es superior a este número, se añaden al correo electrónico los encabezados de Asunto del spam y Flag de no deseado X.
Nivel de cuarentena de correo no deseado: Cualquier correo electrónico que supere esta puntuación de spam se moverá a la ubicación de cuarentena.
Enviar notificación únicamente debajo del nivel: Envía correos electrónicos de notificación únicamente si la puntuación de spam es inferior a este número.
Filtro de correo no deseado: Activa la lista gris de correo no deseado y muestra la siguiente opción.
Espera para lista gris (seg): El retraso en segundos de la lista gris puede ser un valor entre 30 y 3.600.
Informe de correo no deseado: Marque esta casilla para añadir un informe al cuerpo de los correos electrónicos identificados como spam.
Conversión a japonés: Marque este cuadro para activar el soporte para conjuntos de caracteres japoneses en correos electrónicos y filtrar spam en japonés.

Nota:

aunque se bloquea la mayoría de los mensajes de spam simples y conocidos y los correos enviados por hosts de spam, los spammers siempre adaptan sus mensajes para que los filtros de correo no deseado no los identifiquen Por consiguiente, es absolutamente necesario capacitar siempre al filtro del correo no deseado para obtener un filtro personalizado y más fuerte (bayes).

Configuración del antivirus

En este panel se pueden configurar algunas opciones para administrar cualquier virus encontrado.

Buscar virus en los correos

Activa el filtrado de correos electrónicos para buscar virus y muestra las opciones de filtro de virus adicionales.

Elegir gestión de virus

Existen tres o cuatro acciones disponibles (según el tipo de dispositivo Panda GateDefender) que se pueden realizar en correos electrónicos identificados como spam). Son las mismas que en la Configuración de spam indicada anteriormente:

mover a la ubicación de cuarentena por defecto: los correos electrónicos que contengan virus se enviarán a la ubicación predeterminada.
enviar a la dirección de correo electrónico de cuarentena: los correos electrónicos que contienen virus se reenvían a una dirección de correo electrónico personalizada que se puede especificar en el cuadro de texto Dirección de correo electrónico para cuarentena de virus que aparecerá al seleccionar esta opción.
enviar al destinatario (sin importar el contenido potencialmente peligroso): los correos electrónicos que contienen virus se entregarán del modo habitual.
colocar correo electrónico: el mensaje de correo electrónico que contiene virus se elimina de inmediato.

Correo electrónico utilizado para notificaciones de virus (administrador de virus): La dirección de correo electrónico que recibirá una notificación por cada correo electrónico procesado que contiene virus.

Configuración de archivos

Este panel contiene ajustes para bloquear cualquier archivo adjunto a un correo electrónico en función de su extensión. Cuando se encuentren esas extensiones de archivo en cualquier adjunto, se realizará la acción seleccionada.

Bloquear archivos según extensión

Activa el filtro de archivos basado en extensiones y muestra opciones adicionales de filtro de virus.

Elegir gestión de archivos bloqueados

Existen tres o cuatro acciones disponibles (según el tipo de dispositivo Panda GateDefender) que se pueden realizar en correos electrónicos que tienen archivos bloqueados (son las mismas que en los cuadros previos de Configuración de spam y Configuración del antivirus):

mover a la ubicación de cuarentena por defecto: los correos electrónicos que contengan archivos bloqueados se enviarán a la ubicación predeterminada.
enviar a la dirección de correo electrónico de cuarentena: los correos electrónicos que contienen archivos bloqueados se reenvían a una dirección de correo electrónico personalizada que se puede especificar en el cuadro de texto Correo electrónico utilizado para notificaciones de archivo bloqueado que aparecerá al seleccionar esta opción.
enviar al destinatario (sin importar los archivos bloqueados): los correos electrónicos que contienen archivos bloqueados se entregarán del modo habitual.

Elegir tipos de archivos a bloquear (por extensión)

Las extensiones de archivo que se bloquearán.

Sugerencia:

mantenga pulsada la tecla CTRL y haga clic con el botón izquierdo del ratón para seleccionar varias extensiones.

Correo electrónico utilizado para notificaciones de archivo bloqueado (administrador de archivos): La dirección de correo electrónico que recibirá una notificación por cada correo electrónico procesado que contenga adjuntos bloqueados.
Bloquear archivos con extensión doble: Activa el bloqueo de cualquier archivo con extensión doble.

Nota:

los archivos con extensión doble generalmente son archivos maliciosos que aparecen como imágenes o documentos inofensivos. No obstante, al hacer clic en ellos, se ejecuta una aplicación cuyo objetivo es dañar el equipo o robar datos personales. Un archivo con extensión doble es exactamente igual que un archivo normal, pero su nombre (por ejemplo, imagen.jpg) va seguido por .exe, .com, .vbs, .pif, .scr, .bat, .cmd o .dll (por ejemplo, imagen.jpg.exe).

Es necesario configurar los dominios de correo electrónico de los que debe responsabilizarse cada servidor local. La lista de combinaciones de dominio-servidor SMTP puede definirse en Barra de menú ‣ Proxy ‣ SMTP ‣ Dominios de entrada.

Configuración de cuarentena

En este panel solo hay una opción:

Tiempo de retención de cuarentena (días): El número de días que el correo electrónico se almacenará en la ubicación especial de cuarentena en el dispositivo Panda GateDefender antes de eliminarlo.

Sugerencia:

los mensajes almacenados en la cuarentena pueden gestionarse en la Cuarentena de correo, que se encuentra en Barra de menú ‣ Servicios ‣ Cuarentena de correo

Omitir proxy transparente

En el último panel, se pueden definir listas personalizadas de dominios para los cuales se deba desactivar el proxy transparente.

Omitir proxy transparente desde SUBRED/IP/MAC: Los correos electrónicos enviados desde estas fuentes no se someten al proxy transparente.
Omitir proxy transparente a SUBRED/IP: Los correos electrónicos enviados a estos destinos no se someten al proxy transparente.

Listas negras y blancas ¶

En esta página hay cuatro paneles: Tres permiten definir varias listas blancas y negras personalizadas, mientras que el cuarto permite seleccionar y utilizar un RBL existente.

Correo aceptado (listas blancas y negras)

En el primer panel se puede introducir cualquier cantidad de dominios, subdominios o direcciones únicas de correo electrónico en una lista blanca o negra. En las dos listas se puede introducir cualquier cantidad de emisores, receptores y clientes en las áreas de texto adecuadas, que son las siguientes:

Lista blanca del remitente: Todos los correos electrónicos enviados desde estas direcciones o dominios serán aceptados. Este es el campo De: en el correo electrónico.
Remitente de lista negra: Todos los correos electrónicos enviados desde estas direcciones o dominios serán rechazados. Este es el campo De: en el correo electrónico.
Lista blanca de destinatarios: Todos los correos electrónicos enviados a estas direcciones o dominios serán aceptados. Este es el campo Para: en el correo electrónico.
Destinatario de lista negra: Todos los correos electrónicos enviados a estas direcciones o dominios serán rechazados. Este es el campo Para: en el correo electrónico.
Lista blanca de clientes: Todos los correos electrónicos enviados desde estas direcciones IP o hosts serán aceptados.
Cliente de lista negra: Todos los correos electrónicos enviados desde estas direcciones IP o hosts serán rechazados.

Lista negra de tiempo real (RBL)

Un método que se suele utilizar para bloquear correos electrónicos no deseados se denomina RBL, y su uso puede configurarse en el segundo panel. Estas listas las crean administran y actualizan diferentes organizaciones con el fin de identificar y bloquear lo más rápidamente posible un nuevo servidor SMTP utilizado para enviar spam. Si un dominio o una dirección IP de emisor aparecen en una de las listas negras, los correos electrónicos enviados desde allí se rechazarán sin ninguna otra notificación. El uso de RBL ahorra ancho de banda, dado que los correos electrónicos no se aceptarán y gestionarán como correos electrónicos legítimos, sino que se rechazarán en cuanto la dirección IP o el dominio del emisor se incluyan en cualquier lista negra. El dispositivo Panda GateDefender utiliza muchas RBL diferentes, que se dividen en basados en IP y basados en dominio. La lista negra que pertenece a cada categoría se muestra haciendo clic en el pequeño icono , y puede activarse o desactivarse haciendo clic en la flecha roja o verde en la parte superior de la lista o individualmente. Se puede acceder a la página de inicio de las varias organizaciones que compilan listas haciendo clic en el nombre de la lista.

Advertencia:

a veces un operador de RBL puede haber incluido por error en las listas direcciones IP o dominios. Si esto sucede, puede perjudicar las comunicaciones, dado que incluso correos electrónicos legítimos de esos dominios se rechazarán y no será posible recuperarlos. Dado que no existe la posibilidad de influir directamente en las RBL, es necesario analizar bien las políticas aplicadas desde las organizaciones que administran RBL antes de utilizarlas. Panda no se asume responsabilidad alguna por los correos electrónicos que se hayan perdido a causa de utilizar RBL.

Entre las listas negras instaladas se encuentran:

bl.spamcop.net: Una lista negra basada en datos presentados por sus propios usuarios.
zen.spamhaus.org: Esta lista reemplaza la antigua sbl-xbl.spamhaus.org y contiene la lista de bloqueo de Spamhaus además de la lista de bloqueo de explotación de Spamhaus y su política de lista de bloqueo.
cbl.abuseat.org: La CBL toma sus datos de origen de excepciones de correo no deseado muy grandes. Solo incluye IP que muestran características específicas de proxies abiertos de varios tipos (por ejemplo, HTTP, socks, AnalogX, wingate, etc.) desde los que, de forma abusiva, se han enviado spam, gusanos, virus que hacen su propia transmisión de correos o algún tipo de troyano o spamware “sigiloso”, sin hacer ningún tipo de pruebas en los proxies abiertos.
[nombre].dnsbl.sorbs.net y rhsbl.dnsbl.sorbs.net: Esta organización suministra varias listas negras (reemplazar [nombre] con retransmisiones seguras, etc.), y pueden activarse individualmente o todas juntas activando la lista negra dsnbl.sorbs.net.
uceprotect.net: Listas que tienen dominios de fuentes conocidas de spam durante como máximo siete días. Después de este periodo, los dominios se eliminan de las listas, pero las futuras violaciones causan la aplicación de políticas más restrictivas.
dsn.rfc-ignorant.org: Esta es una lista que contiene dominios o redes IP cuyos administradores eligen no obedecer al RFC, los estándares de la red.

Nota:

el sitio rfc-ignorant.org cerró su servicio el 30 de noviembre de 2012 (véase el anuncio), pero su contenido lo ha heredado el equipo de http://www.rfc-ignorant.de/. No obstante, a día de hoy, su trabajo aún no ha creado RBL operativas (noviembre de 2013).

Los RBL se agrupan en dos cuadros. A la izquierda hay RBL basadas en IP, mientras que a la derecha hay RBL basadas en dominios. Para activar todas las RBL de un cuadro, haga clic en el icono junto a la barra de título del cuadro (el icono se convertirá en ). Si desea activar solo algunas de las RBL, haga clic en el icono situado al lado del nombre de cada RBL. En ese caso, el icono o de la barra de título quedará reemplazado por un icono .

Listas grises de correo no deseado

En el tercer panel, se pueden crear listas blancas con listas grises añadiendo entradas por cada receptor, dirección IP o red en las dos áreas de texto. A los elementos de la lista blanca no se les aplicará ninguna lista gris.

Lista blanca de destinatarios: Todas las direcciones de correo electrónico o dominios completos escritos en esta área de texto, por ejemplo, prueba@ejemplo.com o ejemplo.com, se consideran “seguros”, es decir, los correos electrónicos que provengan de ellos no se comprobarán en busca de spam.
Lista blanca de clientes: Todas las direcciones del servidor de correo en esta área de texto se consideran “seguras”, es decir, los correos electrónicos que vienen de esta dirección del servidor no se comprobarán en busca de spam.

Listas grises

Las listas grises son un método utilizado por un MTA para verificar si un correo electrónico es legítimo. Para ello, lo rechaza una primera vez y espera a que se produzca un segundo envío del mismo correo electrónico. Si el correo electrónico no se vuelve a recibir, el remitente se considera una fuente de spam. La idea tras las listas grises es que los robots de spam masivo no intentan reenviar ningún correo rechazado. Por lo tanto, solo se reenviarían correos electrónicos válidos.

Correo no deseado (listas blancas y negras)

Finalmente, en el último panel, se definen las listas blancas y negras explícitas para el filtro de correo no deseado.

Lista blanca del remitente: En esta área de texto se pueden incluir en las listas blancas direcciones de correo electrónico o dominios completos (es decir, jamás se identificarán como spam), por ejemplo, prueba@ejemplo.com o el dominio ejemplo.com.
Remitente de lista negra: En esta área de texto se pueden incluir en las listas negras direcciones de correo electrónico o dominios completos (es decir, siempre se identificarán como spam), por ejemplo, prueba@ejemplo.com o el dominio ejemplo.com.

Dominios de entrada ¶

Cuando el correo entrante está activado (es decir, los clientes fuera de la interfaz ROJA pueden enviar correos electrónicos desde un servidor SMTP local) y los correos electrónicos que se enviarán deben reenviarse a un servidor de correo detrás del dispositivo Panda GateDefender (normalmente configurado en la zona NARANJA), es necesario declarar los dominios que el proxy SMTP debe aceptar y a qué servidores de correo electrónico se debe reenviar el correo entrante. Se pueden especificar múltiples servidores de correo detrás del dispositivo Panda GateDefender para dominios diferentes.

La página presenta una lista de dominios junto con el servidor de correo responsable de cada uno de ellos, si se ha definido alguno. Para añadir un dominio nuevo, haga clic en el botón Añadir un dominio. Se abrirá un formulario sencillo, donde se puede crear la combinación de dominio-servidor de correo.

Dominio: El dominio del que es responsable el servidor de correo.
IP del servidor de correo: La dirección IP del servidor de correo.

La nueva entrada aparecerá al pie de la lista. Las acciones disponibles para cada dominio son:

: modifica la propiedad del dominio.
: elimina el dominio.

Advertencia:

no se solicitará confirmación alguna después de hacer clic en el icono . El dominio se eliminará inmediatamente.

Enrutamiento de dominio ¶

La página muestra una lista de dominios junto con el smarthost responsable de la entrega o la recepción de mensajes desde esos dominios. La información mostrada por la lista es la misma que la proporcionada al añadir un dominio nuevo. Las acciones disponibles son:

: modifica el enrutamiento del dominio.
: elimina el enrutamiento del dominio.

Para añadir un dominio nuevo, haga clic en el botón Agregar nueva ruta de dominio. Se abrirá un formulario sencillo, donde se puede crear la combinación de dominio-servidor de correo.

Sentido: Decida si la regla se aplica al dominio asociado con el emisor o con el receptor.
Dominio: El dominio del que es responsable el servidor de correo.
Dirección de salida: La interfaz o dirección IP del enlace activo a través del cual se enviarán los correos, entre los disponibles en el menú desplegable. Si se deja en blanco, el smarthost elegirá el enlace activo o la dirección IP.
Smarthost: Al marcar esta casilla, se mostrarán más opciones para invalidar el smarthost del sistema y configurar uno externo. Las opciones son las mismas que las indicadas más adelante para la Configuración de smarthost.

Prioridad de regla

Supongamos que ha definido dos reglas de enrutamiento de dominio: una con dominio midominio.com como emisor y enlace activo principal como ruta, y otra regla con dominio ejemplo.org como receptor y enlace activo secundario como ruta. ¿Qué le sucede a un correo electrónico que se envía desde el servidor foo.midominio.com a un usuario en bar.ejemplo.org? La respuesta radica en cómo procesa el MTA del dispositivo Panda GateDefender, postfix, las reglas de envío de correos electrónicos. Primero lee todas las reglas relacionadas con los orígenes y, a continuación, las reglas relacionadas con el receptor. Por tanto, el correo que se envía desde foo.midominio.com a bar.ejemplo.org se enrutará a través del enlace activo secundario.

Enrutamiento de correo ¶

Esta opción permite enviar una CCO de un correo electrónico a una dirección de correo electrónico determinada y se aplica a todos los correos electrónicos enviados a un receptor específico o desde una dirección de emisor específica. La lista muestra el sentido, la dirección, la dirección de CCO, si la hay, y las acciones disponibles:

: modifica el enrutamiento del correo.
: elimina el enrutamiento del correo.

Para añadir una ruta de correo nueva, haga clic en el botón Añadir ruta de correo. En el formulario que se abre se pueden configurar estas opciones:

Sentido: Seleccione en el menú desplegable si debe definirse la ruta de correo para un emisor o un receptor del correo electrónico.
Dirección de correo: En función del sentido elegido, esta será la dirección de correo electrónico del receptor o el emisor a la que se debe aplicar la ruta.
Dirección CCO: La dirección de correo electrónico que recibe la copia de los correos electrónicos.

Advertencia:

ni el emisor ni el receptor recibirán notificación alguna de la copia enviada a un tercero. En la mayoría de los países es ilegal leer mensajes privados de otras personas. Por tanto, no haga un mal uso de esta función ni abuse de ella.

Avanzado ¶

En esta página de configuración del proxy SMTP se presentan opciones avanzadas de configuración agrupadas en cuatro paneles, que pueden mostrarse u ocultarse haciendo clic en los iconos o a la izquierda del título del panel.

Configuración de smarthost

En el primer panel se puede activar y configurar un smarthost. Si el servidor SMTP tiene una dirección IP dinámica, por ejemplo, si utiliza una conexión a Internet de acceso telefónico ISDN o ADSL, pueden producirse problemas al enviar correos electrónicos a otros servidores de correo, dado que esa dirección IP puede haber sido incluida en alguna RBL (véase Listas blancas y negras anteriormente) y, por ello, el servidor de correo remoto puede rechazar los correos electrónicos. En estos casos es necesario utilizar un smarthost para enviar correos electrónicos.

Smarthost para entrega: Marque esta casilla para activar un smarthost para la entrega de correos electrónicos y mostrar opciones adicionales.
Dirección de smarthost: La dirección IP o el nombre de host del smarthost.
Puerto de smarthost: El puerto en donde el smarthost escucha, que, de forma predeterminada, es el 25.
Autenticación de smarthost: Marque esta casilla si el smarthost requiere autenticación. Después se muestran las tres opciones adicionales siguientes.
Nombre de usuario de smarthost: El nombre de usuario utilizado para la autenticación en el smarthost.
Contraseña de smarthost: La contraseña utilizada para autenticación en el smarthost.
Elegir método de autenticación: Los métodos de autenticación requeridos por el smarthost: se admiten PLAIN, LOGIN, CRAM-MD5 y DIGEST-MD5. Se pueden elegir más métodos manteniendo pulsada la tecla CTRL y haciendo clic en cada uno de los métodos deseados.

Nota:

en pocas palabras, un smarthost es un servidor de correo utilizado por el proxy SMTP como servidor SMTP saliente. El smarthost necesita aceptar los correos electrónicos y retransmitirlos. Normalmente, se utiliza como smarthost el servidor SMTP propio del proveedor, dado que aceptará retransmitir los correos electrónicos, mientras que otros servidores de correo no lo harán.

Servidor IMAP para autenticación SMTP

Este panel contiene las opciones de configuración para el servidor IMAP que se deben utilizar para la autenticación cuando se envían correos electrónicos. Estos ajustes son especialmente importantes para las conexiones entrantes del SMTP que se abren desde la zona ROJA. Se pueden configurar los siguientes ajustes:

Autenticación SMTP: Marque esta casilla para activar la autenticación IMAP y ver opciones adicionales.
Elegir cantidad de demonios de autenticación: Indica la cantidad de inicios de sesión concurrentes admitidos a través del dispositivo Panda GateDefender.
Servidor IMAP de autenticación: La dirección IP del servidor IMAP.
Puerto IMAP de autenticación: El puerto en el que el servidor IMAP escucha y que, de forma predeterminada, es el 143 para IMAP sin formato o el 993 para IMAP sobre SSL.

Configuración del servidor de correo

En este panel, se pueden definir parámetros adicionales del servidor SMTP.

SMTP HELO: Si esta casilla está marcada, el cliente que se conecta debe enviar un comando HELO (o EHLO) al comienzo de una sesión SMTP.
Nombre de host inválido: Rechaza el cliente que se conecta si el parámetro HELO o EHLO del cliente proporciona un nombre de host no válido.
Nombre SMTP HELO: El nombre del host que debe enviarse con el comando SMTP EHLO o HELO. El valor predeterminada es la REDIP, pero se puede indicar un nombre del host o una dirección IP personalizados.
Enviar siempre con copia oculta (CCO) a la dirección: Una dirección de correo electrónico aquí que recibirá una CCO de cada mensaje que pase por el proxy SMTP.
Elegir idioma de plantilla de correo: El idioma en el que deben enviarse los mensajes de error, entre los disponibles: inglés, alemán, italiano y japonés.
Verificar dirección del destinatario: Active esta opción para comprobar la validez de las direcciones de los receptores antes de enviar el mensaje.
Elegir límite de error grave: La cantidad máxima de errores que un cliente SMTP puede generar sin entregar un correo. El servidor proxy SMTP se desconecta una vez que se supera este límite (el valor predeterminado es 20).
Elegir tamaño máximo de contenido de correo electrónico: El tamaño máximo permitido para un único mensaje de correo electrónico. En el menú desplegable pueden seleccionarse varios valores predefinidos. Si se elige la opción tamaño del contenido del correo electrónico personalizado, se muestra la siguiente opción.
Personalizar el tamaño máximo del contenido del correo electrónico (en KB): El tamaño máximo en megabytes del correo electrónico que aceptará el servidor SMTP.
Activar DSN en zonas: Elija entre las zonas disponibles aquellas que enviarán un mensaje devuelto (es decir, un mensaje DSN) a correos electrónicos que no se pueden entregar o a los que no se pueden enviar correctamente. En otras palabras, se podrán recibir mensajes de notificación de entrega de correos electrónicos solo desde las zonas que se hayan seleccionado aquí.

HELO/EHLO y nombre de host

Casi todos los servidores de correo exigen que los clientes que se conectan a través de SMTP se anuncien con un nombre del host válido junto con el HELO/EHLO, o bien que interrumpan la conexión. Sin embargo, el dispositivo Panda GateDefender utiliza su propio nombre de host para anunciarse a servidores de correo electrónico externos, lo que en ocasiones no es válido de forma pública dentro del DNS global.

Si ese es el caso, se puede configurar otro nombre del host personalizado en Barra de menú ‣ Proxy ‣ SMTP ‣ Avanzado ‣ Configuración del servidor de correo ‣ Nombre SMTP HELO, que el servidor de correo remoto pueda entender.

En lugar de un nombre del host personalizado, se puede proporcionar incluso una dirección IP numérica entre corchetes (por ejemplo, [192.192.192.192]), que debe ser la dirección REDIP.

Prevención del spam

Finalmente, en este último panel se pueden definir parámetros adicionales para el filtro de correo no deseado marcando una o más de las cuatro casillas.

receptor inválido: Rechaza la solicitud cuando la dirección RCPT TO no se encuentra en formato FQDN, según exige el RFC 821.
emisor inválido: Rechaza el cliente que se conecta si el nombre del host proporcionado con el comando HELO o EHLO no se encuentra en formato FQDN, según exige el RFC 821.
dominio del receptor desconocido: Rechaza la conexión si el dominio de la dirección de correo electrónico del receptor no tiene un registro DNS A o MX.
emisor desconocido: Rechaza la conexión si el dominio de la dirección de correo electrónico del emisor no tiene un registro DNS A o MX.

Resolución de problemas del proxy SMTP.

Cuando en el archivo de registro aparece el mensaje “El correo para xxx vuelve a mí”, indica un error de configuración en el nombre SMTP HELO personalizado en el dispositivo, que es igual al nombre del host del servidor de correo interno al cual se deben reenviar los correos electrónicos entrantes.

En ese caso, la conexión SMTP recibida desde el servidor de correo interno contendrá un nombre del host (el que figura en la línea HELO en la configuración del proxy SMTP), que es el mismo que el nombre del host del servidor de correo interno, por lo que el servidor de correo interno cree que envía y recibe el mismo correo electrónico, lo que genera el mensaje de error.

Las posibles soluciones son:

Cambiar el nombre del host del servidor de correo interno.

Crear un registro A válido públicamente dentro de la zona DNS que también señale al dispositivo Panda GateDefender y utilizar este nombre del host como línea HELO en del proxy SMTP.

Utilizar la dirección IP numérica del enlace activo como línea HELO.

Antispam ¶

Esta página incluye los ajustes de configuración para el motor antispam. Se pueden configurar las siguientes opciones:

Activar Commtouch

Activa el motor antispam de Commtouch. Esta opción solo está disponible si se ha instalado Commtouch en el dispositivo Panda GateDefender.

Habilitar el cortocircuito de SpamAssassin: Marque esta casilla para omitir SpamAssassin cuando Commtouch marque un mensaje como spam.
Ignorar IP/Redes: Aquí se pueden definir las IP y las redes que Commtouch no debe comprobar.

En la sección Etiqueta de nivel de correo no deseado se pueden configurar las siguientes opciones: Los valores válidos para cada opción están entre -10 y 10, ambos incluidos.

CONFIRMADO: Los correos electrónicos con un nivel de etiqueta superior a este valor se identificarán como spam.
MASIVO: Los correos electrónicos con un nivel de etiqueta superior a este valor se identificarán como correo masivo.
SOSPECHOSO: Los correos electrónicos con un nivel de etiqueta superior a este valor se identificarán como sospechosos de contener spam.
DESCONOCIDO: Los correos electrónicos con un nivel de etiqueta inferior a este valor se clasificarán como desconocidos.
SIN SPAM: Los correos electrónicos con un nivel de etiqueta inferior a este valor se identificarán como sin spam.

DNS ¶

El proxy DNS es un servidor proxy que intercepta consultas DNS y las responde, sin tener que conectarse a un servidor DNS remoto cada vez que haya que resolver una dirección IP o un nombre del host. Cuando se repite una misma consulta a menudo, almacenar sus resultados en caché puede mejorar sensiblemente el rendimiento. Las configuraciones disponibles para el proxy DNS se agrupan en tres pestañas.

Proxy DNS ¶

En esta página pueden configurarse algunas opciones para el proxy DNS.

Transparente en verde, Transparente en azul, Transparente en naranja: Activa el proxy DNS como transparente en las zonas VERDE, AZUL y NARANJA, respectivamente. Aparecen solo si las zonas correspondientes están activadas.

Se pueden configurar fuentes y destinos específicos para evitar el proxy completando sus valores en las dos áreas de texto disponibles.

Qué direcciones de origen puede omitir el proxy transparente: Permite que los orígenes en el área de texto correspondiente no se sometan al análisis del DNS. Los orígenes pueden especificarse como direcciones IP, redes o direcciones MAC.
Qué destinos omitirá el proxy transparente: Permite que los destinos en el área de texto correspondiente no se sometan al análisis del proxy DNS. Los destinos pueden especificarse como direcciones IP o redes.

Enrutamiento de DNS ¶

Esta página permite gestionar combinaciones personalizadas de dominio-servidor de nombres. Resumiendo, cuando se consulta un subdominio de un dominio, se usará el servidor de nombres correspondiente de la lista para resolver el dominio en la dirección IP correcta.

Se puede añadir una nueva combinación dominio-servidor de nombres haciendo clic en el enlace Añadir un nuevo servidor de nombres personalizado para un dominio. Al añadir una entrada, se pueden introducir varios valores para las diferentes opciones disponibles:

Dominio: El dominio para el cual utilizar el servidor de nombres personalizado.
Servidor DNS: La dirección IP del servidor de nombres.
Observaciones: Un comentario adicional.

En cada dominio de la lista pueden llevarse a cabo las acciones siguientes:

: edita la regla.
: elimina la regla.

Antispyware ¶

Esta página presenta opciones de configuración acerca de la reacción del dispositivo Panda GateDefender cuando debe resolver un nombre de dominio conocido por ser utilizado para propagar spyware, o bien porque sirve como sitio de phishing. Las opciones que se pueden configurar son:

Activado: Las solicitudes se redirigen a un host local. En otras palabras, no se podrá contactar con el sitio remoto ni acceder a él.
Lista blanca de dominios: Los nombres de dominio que se introducen aquí no se tratan como objetivos de spyware, independientemente del contenido de la lista.
Dominios de lista negra: Los nombres de dominio que se introducen aquí se tratan siempre como objetivos de spyware, independientemente del contenido de la lista.
Tareas programadas de actualización de la lista de dominios del spyware: La frecuencia de actualización de la lista de dominios de spyware. Las opciones posibles son Diariamente, Semanalmente y Mensualmente. Al mover el cursor del ratón sobre el signo de interrogación respectivo, se muestra la hora exacta de ejecución de la actualización.

Sugerencia:

para descargar firmas actualizadas, el sistema debe estar registrado en la Panda Perimetral Management Console.

El menú Proxy¶

HTTP ¶

Configuración ¶

Política de acceso ¶

Autenticación ¶

Filtro web ¶

Replicar Active Directory ¶

Proxy HTTPS ¶

POP3 ¶

Configuración general ¶

Filtro de correo no deseado ¶

FTP ¶

SMTP ¶

Configuración ¶

Listas negras y blancas ¶

Dominios de entrada ¶

Enrutamiento de dominio ¶

Enrutamiento de correo ¶

Avanzado ¶

Antispam ¶

DNS ¶

Proxy DNS ¶

Enrutamiento de DNS ¶

Antispyware ¶

Tabla de contenidos

Tema anterior

Tema siguiente

Navegación

El menú Proxy¶

Tema anterior

Tema siguiente

Búsqueda rápida

Navegación